G.O.S.S.I.P 阅读推荐 2024-10-09 HIVE

主要观点总结

本论文介绍了一种新型的软硬件协同的eBPF安全执行环境，旨在从根本上解决eBPF面临的安全性问题，同时避免现有基于验证的方法带来的状态爆炸问题，提升了eBPF程序的复杂性。研究团队在ARM架构的AArch64平台上提出了一种基于隔离的执行环境，利用硬件功能来隔离eBPF程序，实现了与静态验证等价的安全性。

关键观点总结

关键观点1: 研究背景

介绍eBPF的发展历程、应用场景以及面临的安全性和复杂性挑战，包括静态验证器的局限性和漏洞，以及复杂性对eBPF应用的影响。

关键观点2: 研究方法

详细阐述了该工作如何构建隔离的执行环境，包括数据解耦、内存隔离技术、指针认证和动态检查机制等，以及如何利用硬件特性提高安全性。

关键观点3: 实验评估

通过安全性实验和性能实验验证了隔离执行环境的安全性和效率，并与原生eBPF进行了对比。同时，通过复杂性实验验证了隔离执行环境对程序复杂性的提升效果。

关键观点4: 研究成果

提出的隔离执行环境实现了安全等价的隔离，有效解决了eBPF的安全性和复杂性挑战。实验结果表明，该执行环境具有较低的开销，并成功运行了被静态验证器拒绝的复杂eBPF程序。

文章预览

今天为大家推荐的论文来自中科院计算所内构安全实验室投稿并发表在 USENIX Security 2024 上的最新工作 HIVE: A Hardware-assisted Isolated Execution Environment for eBPF on AArch64 。该工作提出了一种全新的软硬件协同的eBPF安全执行环境，来从根源上解决eBPF面临的安全性问题，同时也避免了现有基于验证的方法带来的状态爆炸问题，提升了eBPF程序的复杂性。 该工作将eBPF程序视为一种新型的内核态应用，认为内核需要一种基于隔离而不是基于验证的方法，并提出了一种用于AArch64上的eBPF程序隔离执行环境。为了提供等效的安全保证，该工作系统总结了eBPF验证器的安全目标，并将eBPF中的指针分为两类：指向BPF对象的 兼容类型 指针和指向内核对象的 排他类型 指针。对于前者，该工作将所有eBPF内存与内核解耦开来，并通过利用 非特权访存 指令来隔离eBPF程序中的内存 ………………………………