I一种新的进程可信保护方法.docxVIP

《可信计算》论文摘要：随着计算机终端系统中安全问题的日益突出，用户对计算机甚至整个信息系统产生了不信任。在网络环境下，如何建立用户到应用的可信通道，并确保系统任务授权执行是一个值得深入研究的课题。文章从可信计算平台规范的思想入手，通过数据完整性检测方法从静态保护和动态保护两个方面探索了系统中关键进程的可信保护机制。一、引言目前，网络环境下系统用户的信任保证技术和不同节点间的信任管理和维护方法已经成为新的研究热点，但如何保障用户信任自己直接操作的终端系统却没有引起足够的重视。事实上，计算机代理用户执行任务的实体是进程以及由进程派生的线程。病毒和木马破坏计算机安全的重要途径就是修改原有进程的执行体或者让系统启动时产生新的未授权进程。黑客则擅长利用进程中的各种漏洞进行缓冲区溢出攻击获得更高权限。因此，监视操作系统中进程的变化，保护授权进程不被恶意篡改、确保进程的可信性对于终端系统的安全至关重要。此前，Capability(权能)系统和DTE (Domain and Type Enforcement )系统主要根据最小特权原则为每个进程分配尽可能少的特权或权限来降低不安全进程给整个系统所带来的危害。遗憾的是Capability系统和DTE系统忽视了进程权限的动态变化；多保护域进程模型则需要预先明确进程在不同阶段对不同内存区域的访问权限，控制策略缺乏足够的灵活性，由于模型还需要对进程所属代码和数据的存放位置进行适当安排，在实现上也显复杂。本文借鉴国际TCG组织建议的可信计算平台的设计思想，通过度量进程代码和数据的完整性判定其可信性。该方法综合运用软硬件控制，采用单向散列算法，在通用开放的计算机系统中建立起用户到进程的可信通道，确保了进程代理用户任务的可信性。同时也防止了非法进程的随意启动，一定程度上消除了病毒和木马对系统的破坏。二、可信计算平台及其信任机制国际TCG组织一直致力于可信计算平台的研究，制定了一系列指导可信计算平台设计的TCG规范。它建议的可信计算机在传统计算机组成上增加一个硬件构成的信任根，借助信任根和数据的完整性保护和加解密技术实现整个平台软件的保护。可信计算机启动时的控制逻辑如图1所示。　　图1 可信计算平台的信任机制从图1可以看出，计算机的启动被底层信任根TPM接管。TPM首先认证BIOS的完整性，在确认BIOS完整的情况下将控制权交给它；BIOS执行后同样认证MBR和操作系统加载程序的完整性，并在确认他们无误的情况下将控制权交给操作系统加载程序；接着操作系统加载程序检查操作系统核心和重要组件的完整性，并把控制权交给操作系统；最后由操作系统担保上层各种应用的信任性。由于可信计算机需要底层硬件和操作系统的全面配合，相对通用计算机系统而言变化较大。我们借鉴TCG规范的思想，深入研究了通用计算机系统的可信增强方法：采用SOC技术设计并生产了自己的安全核心SUP320；使用SUP320设计并实现了一个通用计算机系统安全控制用的USBKEY；采用“用户USBKEY+安全BIOS”作为系统的信任根，探索了通用计算机系统的可信增强方法。考虑到上层应用的多样性和多变性，研究过程中着重探索如何借助USBKEY建立各种应用进程的可信保护机制，实现用户到进程的可信路径。三、基于USBKEY的进程可信保护遵循可信计算平台的思想，操作系统进程的可信性可以由其代码和数据的完整性来保障。进程完整性保护又可以看作是两个阶段的保护：进程在磁盘存储介质上的静态完整性保护和进程在内存执行时的动态完整性保护。前一个阶段可以借助文件系统完整性保护来实现，后一个阶段则需要对进程所在的内存区域进行完整性保护。1．静态完整性保护不少学者很早就开始了对文件系统静态完整性保护技术的研究：如Linux下的文件系统完整性保护工具Tripwire能够对指定的文件目录进行完整性扫描。TCG规范诞生后，一个开放源代码的Linux安全模块Enforcer又引起了人们的关注。它借助TPM对文件系统进行保护，能够在上层应用程序打开文件时对文件进行检查。作者希望采用文件系统完整性保护的思想保护操作系统重要进程的完整性。由于病毒或木马通常修改进程的执行文件或链接库文件，以便用户下次启动系统时仍然能够获得系统的控制权，因此要保护进程静态存储的完整性就必须逐个检查进程的执行文件和运行时支持库文件的完整性。为讨论问题方便，我们假设需要保护的进程列表为P1、P2 …Pm，并假设进程Pi相关的文件有Fi1、Fi2 …Fij（0i=m, 0j=n, m为进程数目，n为一个进程最大可能对应的文件数目）。考虑到动态连接库文件可能为多个进程共用，文件Fikjk和文件Fiijl可能为同一个文件。定义辅助的文件集合Wij：当扫描进程Pi的第j个文件Fij时集合Wij包含进程P1到进程Pi-1的所有相关文件，