SDC2024议题聚焦 | BULKHEAD：通过分隔化打造内核安全的水密舱

文章预览

· SDC2024 议题预告   · 0 1 BULKHEAD： 通过分隔化打造内核安全的水密舱 还在为挖不完的漏洞、打不完的补丁苦恼吗？不妨通过分隔化为潜在漏洞构筑安全“水密舱”，保障系统软件乘风破浪。 庞大的Linux宏内核在同一地址空间共享特权。在缺少隔离的现状下，攻击者只需利用薄弱组件中的一个漏洞就有可能攻陷内核，进一步控制整个系统。尽管安全研究人员付出了巨大的努力，内核漏洞仍然层出不穷。面对这一严峻问题，亟需一种通用的、原则性的防御方案来限制潜在漏洞的影响范围。借鉴古人造船的智慧，通过增加隔板（bulkheads）构筑水密隔舱（compartments），可以有效防止漏洞威胁蔓延，避免整个系统倾覆。 为此，本议题利用Intel新引入的PKS特性，结合程序分析技术自动化地将loadable kernel modules (LKMs)分隔到互不可信的安全域中。轻量、新颖的in-ke ………………………………