别了,系统漏洞.doc

别了,系统漏洞
本刊编辑部 去年年底,微软的研究部门对外展示了新的操作系统Verve,该系统最吸引人的地方就是它运行速度极快,而且没有任何安全漏洞。

众所周知,每个月的第二个星期二,微软都会对外发布最新的系统安全别了,系统漏洞
本刊编辑部 去年年底,微软的研究部门对外展示了新的操作系统Verve,该系统最吸引人的地方就是它运行速度极快,而且没有任何安全漏洞。

众所周知,每个月的第二个星期二,微软都会对外发布最新的系统安全漏洞补丁。然而,就像一个病人若不是因为有明显的病征就不会主动去医院检查一样,原则上,如果不是因为有新的攻击方式出现,微软就不会推出相应的Windows安全补丁,所以Windows系统的安全隐患总是被动修补的,无法一次性清除。其中,在针对Windows系统的攻击中,有大约90%的恶意代码通过缓冲区溢出的方式入侵操作系统。
缓冲区溢出是指入侵者破坏内存中预留的区域,从而非法“操纵”Windows系统本身或者运行在系统中的应用程序以及其他在内存区域中连接的设备。每年,微软都需要为Windows系统提供超过100个补丁来修复由此带来的系统安全漏洞。但是,在微软研究院研发的新操作系统Verve中,安全漏洞数量已经降到了0,它是如何实现的呢?
借编程语言突围
Windows操作系统之所以容易受到恶意软件的攻击,源头在于它使用的编程语言。Windows、Linux和Mac OS X都使用“C语言”来构建它们的关键功能,但是C语言从设计之初就无法保证安全性,因为C语言源代码在处理器上运行之前,必须首先被编译器“翻译”为机器语言(汇编语言),同时还需要链接库文件将代码与系统库文件关联起来。在这些步骤中,只要编译器、链接库文件出现了差错,或者系统库文件被篡改,安全漏洞就难以避免。更重要的是,C语言代码本身并不足以完成所有的系统核心功能,为保证操作系统的整体性能表现,部分操作系统核心功能必须直接通过汇编语言编程来实现。然而,不管是C语言还是经典的汇编语言都没有完整的“类”概念,无法检查代码的安全性。
简单举例来说,如果变量被指定了整数类型,那么这个变量就被指定了类型,该变量就无法存储字符和浮点数。如果没有赋予变量类型,攻击者就可以给变量赋予一个非常大的浮点数值,从而造成内存的缓冲区溢出。如果一个编程语言在编译源代码的过程中会检查数据的类型,那么我们就说该语言是“类型安全”的。但是这样做的副作用就是额外的检查势必会影响代码执行效率。
可以自检的操作系统
在新的操作系统Verve中,微软研究员将类型安全检查引入了汇编语言程序,确保操作系统最重要的部分使用类型安全的机器语言编写。类型安全的汇编语言虽然并非微软的新发明,但是它在Verve操作系统上的应用是该语言首次运用于大型的操作系统平台。而且,在Verve系统中,代码被执行之前会发送给一个核查器,该检查器会验证代码并没有访问不该访问的内存位置,确保运行后不会产生错误。这样的话,无论入侵者想对系统进行怎样的非法操纵,都不可能在Verve系统下制造缓冲区溢出。
从系统架构上看,Verve与Windows系统也不相同。Verve操作系统由内核(nucleus)、核心(kernel)和应用程序组成,通过系统内