一种增强的基于威胁度的沙箱框架设计.pdfVIP

第 25卷第 3期 计 算 技 术 与 自 动 化 Vo1．25．NO．3 2006年 9月 Computing YechnologyandAutomation Sep 2()()6 文章编号 ：1003 6199(2006)03—0123—05 一 种增 强 的基 于威胁度 的沙箱框 架 设计 李时惠 (湖南省益 阳电业局 ，湖南 益阳 413000) 摘 要 ：从沙箱技术的相关背景 出发 ，回顾传统沙箱技术的发展过程 ，分析一个模 型实例 Ostia，发现存 在不足；结合现有 的可信计算平台技术 ，将具体操作与身份进行绑定，并在此基础上将威胁度融入沙箱模 型，提 出一个增强的沙箱框架，并对该框架的特性进行分析 ，认为该框架能够更为有效的确保操作系统的安 全 。 关键词 ：沙箱 ；可信计算 ；安全；威胁度 中图分类号 ：TP393．08 文献标识码 ：A An ImprovedThreaten——basedArchitectureforSandboxing LIShi—hui (ELectricalPowerBureauofYiyangHunanYiyang 413000，China) Abstract：Applicationsandboxesproviderestrictedexecutionenvironmentsthatlimitanapplication’SaccesstosensitiveOS resources、First，weintroducetherealisticofsandboxingsystem 、Currentinterpositionbasedarchitecturesofferawidevarietyof propertiesthatmakethem anattractiveapproachforbuildingsandbo xingsystems．Unfortunately，thesearchitecturesalsopossess severalcriticalpropertiesthatmaketheirimplementationerrorproneandlimittheirfunctionality．Thenwedescriptthetrusted computingtechnique、W eintegratedthetrustedcomputingandOstiaintoonearchitecture．Finally，wepresentthesalientfeatures ofthisarchitectureandexaminethedesignchoicesthatsignificantlyimpactsecurity，compatibility，flexibility，deploysabilityand performanceinthisclassofsystem， Keywords：sandboxing；trustedcomputing；security；threatenmetric 沙箱技术 ，就是为了保护本机的敏感资源不受 1 引 言 恶意代码的非法访 问而出现 的一种保护机制 。沙 箱技术 的核心在 于建立 了一个受限的应用程序执 随着计算机网络的高速发展，计算机 已经 由传 行环境 “沙箱”，通过将不安全 的代码放在 “沙箱” 统的孤立的计算平台转化为通过 网络连接的分布 中来限制恶意代码对计算机系统可能造成