基于可信計算技術構建的抗惡意代碼攻擊安全結構框架以可信計算技術為基礎,融合身份認證、授權訪問控制、備份恢復以及審計等多種安全控制技術構成。可信安全模塊是抗惡意代碼攻擊的根基,可信計算技術是抗惡意代碼攻擊的必要條件,各種安全控制技術使抗攻擊效能最大化。
該框架通過各種技術的配合,建立了抵抗惡意攻擊的層層防線,并且在系統遭到破壞時能及時發現并進行恢復,不僅能防范已知惡意代碼,而且能防范未知惡意代碼。惡意代碼包括細菌、蠕蟲、病毒、特洛伊木馬、邏輯炸彈以及陷阱門等。
惡意代碼攻擊計算機系統通常包括偵查、探測、攻擊、獲得立足點、利用溢出手段從非特權用戶到特權用戶、隱藏、建立偵聽基地、控制并擴展等步驟。而PC軟硬件存在先天性安全缺陷,為惡意代碼攻擊提供了可利用的安全脆弱點。
首先,硬件的脆弱性。PC硬件雖然具有對代碼段和數據段的分段機制,但是沒有提供界限寄存器以及中斷等硬件機制來保護段越界,從而造成惡意代碼通過緩沖區溢出等機制執行非授權代碼。在Intel X86和X86-64架構的計算機中,提供特權級最高的系統管理模式(System Management Model,SMM),只有BIOS擁有權限將SMM代碼寫入系統內存區SMRAM,一旦SMRAM被非法訪問,SMM代碼被修改,將能夠隨意獲取系統數據。
其次,軟件脆弱性。操作系統存在特權用戶和特權進程,操作系統缺乏安全的系統擴展機制,擴展的驅動程序具有系統權限,被惡意代碼利用后可隨意操作系統。PC軟硬件結構的脆弱性直接造成PC上執行代碼可以被修改,惡意程序容易被植入,重要信息容易被竊取,在平時及戰時極易被敵手利用控制而喪失戰斗能力。惡意代碼歸根結底只是一種計算機程序。惡意代碼的產生和發作必然是利用了PC軟硬件安全體系結構的脆弱性。利用PC軟硬件脆弱性,惡意代碼攻擊可分為非法連接、惡意代碼植入、惡意代碼發作和非授權操作4種手段。在一次攻擊過程中,上述4種類型手段可能交替使用。
目前,已有的各種抗惡意代碼攻擊的安全技術手段主要包括終端和網絡安全防護型手段兩種。終端安全防護型手段包括殺病毒軟件、安全增強軟件等,網絡安全防護型手段包括防火墻、入侵檢測、安全隔離等。與目前已有的各種抗惡意代碼攻擊安全技術手段有著本質不同,基于可信計算技術的抗惡意代碼攻擊安全結構框架解決的是抗惡意代碼攻擊的基礎可信計算基的建立問題,即首先解決各種安全技術手段不能被繞過和不能被篡改的問題。
可信計算基是實施抗惡意代碼攻擊各種安全保密控制手段的實體,首先要保證其隔離性即不被非法篡改。可信計算基的第二個重要特征是保證其不被繞過。惡意攻擊如果將可信計算基進行篡改或發現存在一條繞過安全控制的途徑,則任何抗惡意代碼攻擊技術手段都形同虛設。
1 可信計算平臺安全結構框架
基于可信計算技術構建的可信計算平臺結構框架如圖1所示,包括可信硬件平臺、可信系統軟件以及可信應用層。
圖1 可信計算平臺結構
可信硬件平臺包括可信模塊和可信BIOS。可信模塊是整個結構框架的根基,為所有上層應用提供可信管理服務,也是整個結構框架的信任根。可信BIOS驗證硬件平臺的完整性,主要驗證主引導記錄、操作系統裝載器和操作系統內核的完整性。可信系統軟件由可信軟件棧和安全增強操作系統組成。可信軟件棧分別向安全增強操作系統和可信典型應用提供調用可信模塊的接口。安全增強操作系統提供強制訪問控制、強制安全策略和完整性度量驗證功能。
可信網絡連接是對網絡接入的可信計算平臺身份和可信計算平臺的完整性狀態進行安全性檢測,自動拒絕不安全的主機接入。接入主機必須符合內部網絡的安全策略。結構框架的核心是信任鏈的傳遞。信任鏈以可信模塊為信任根。可信模塊驗證可信BIOS完整性,可信BIOS驗證主引導記錄、操作系統裝載器、操作系統內核的完整性,操作系統內核驗證系統服務、應用程序及腳本的完整性。
通過信任鏈傳遞,保證核心的功能模塊不被篡改,保障系統按照預期的行為方式運行。
2 基于可信計算技術的抗惡意代碼攻擊安全結構框架設計
2.1 安全結構框架構建原則
設計基于可信計算技術的抗惡意代碼攻擊安全結構框架時,應遵循以下原則。
2.1.1 最小限度的安全控制和隔離
為了使系統的安全具有高度的可靠性,應該盡可能減小內部設計安全相關部分的規模和復雜度。由于安全性滲透到可信安全模塊、可信BIOS,尤其是可信系統軟件(即安全操作系統和可信軟件棧)許多不同的功能領域,如文件系統管理、存儲管理、進程控制、輸入/輸出以及其他大量的管理功能中,涉及安全相關的軟件不僅難以確定和隔離,而且即使所有的安全軟件能以某種方式隔離出來,機制的變化也使得公共的安全系統很難設計。
因此,安全結構框架的構建與操作系統的體系結構密切相關,在操作系統中獲得安全特性比較困難。如果操作系統在設計之初就將安全特性考慮其中,并且安全相關的機制是簡單的、容易識別的和隔離的,那么就有可能實現附加的安全控制,以保護它免受系統中其他部分的破壞。
2.1.2 最小特權所謂特權是指基于系統的訪問控制機制在系統上實施某種行為的能力。恰當特權是POSIX1003.6中提出的術語,是基于系統的訪問控制機制,在系統上執行一個特殊的、受限制的操作,或者超越某個特殊的訪問控制策略的能力。它被定義為某些進程與特權的結合方式,這些進程與需要特殊特權的功能相關。
所謂最小特權就是操作系統應精確確定用戶的任務,不應賦予用戶超過執行任務所需權力以外的特權。最小特權的含義包括以下幾個方面。
(1)硬件特權。當處理器不以特權方式工作時,最小特權機制可以限制特殊指令的使用,約束處理器對某些內存區域的訪問。
(2)軟件特權。軟件特權允許某些應用程序避開普通用戶程序所必須遵從的正常存取控制而執行特定的系統功能。
(3)結構化和模塊設計程序化的方法。
(4)用戶和系統管理者的行為。用戶和系統的管理者不能得到除了應該完成任務之外的存取權限。
2.1.3 安全相關功能清晰明確安全結構框架應具有如下特性:系統中安全相關的各個方面非常容易被確定,以便從總體上很快地對系統進行安全性檢查;安全控制應該被隔離和最小化,從而使得安全相關的功能有一個清晰和容易確定的接口。
2.1.4 安全性能友好(1)安全不應影響遵守規則的用戶。對于大多數用戶及他們所做的工作,安全性應該是透明的。(2)應該便于用戶授權存取。確保用戶可以訪問他們所需的信息而不再需要建立嚴格檢查的缺省值,以避免過于復雜的檢查過程。(3)應該便于用戶約束存取。要使安全性能“用戶友好”,需要對使用的系統及應用程序有全面的了解。
這對于某些專用系統是容易的,但對通用系統的設計者而言,由于難于確定用戶將要做什么,為了滿足每個用戶的要求,往往提供了不少多余的管理機制,這樣就違反了機制精簡的原則。
2.2 安全結構框架構建
針對惡意代碼攻擊模型的類型手段,構建基于可信計算技術的抗惡意代碼攻擊安全結構框架,如圖2所示。
圖2 基于可信計算技術的抗惡意代碼攻擊安全結構框架基于可信計算技術的抗惡意代碼攻擊安全結構框架由安全服務器和分布在BIOS、系統軟件和網絡的安全管理器組成。信任鏈傳遞貫穿整個可信安全模塊、可信BIOS、可信系統軟件和可信網絡,保證各安全機制不被非法篡改。
可信安全模塊、可信BIOS、可信系統軟件和可信網絡組成了可信計算基。可信計算基內安全相關的部件包括安全服務器和安全管理器。
其中,安全服務器位于可信安全模塊內,安全管理器分別位于可信BIOS、可信系統軟件和可信網絡內。安全結構框架建立的核心一方面是信任鏈的傳遞,另一方面是安全服務器和安全管理器如何融入相應的系統軟硬件內建立系統的可信計算基。
可信計算基在結構框架設計中需具備以下特點。
(1)在內存保護方面,可信計算基可以實現對CPU之外所有設備的受保護應用程序的物理內存訪問進行控制。
(2)相對于操作系統而言,可信計算基代碼量較少,且可信計算基提供的功能和實現機制相對簡單,能夠證明可信計算基可以被正確實現,不能被繞過。
(3)可信計算基在磁盤上的執行映像及其啟動加載過程可以通過信任鏈傳遞技術來保護,以保證平臺啟動后進入預期的可信計算環境。
可信計算基含有系統中所有實施的安全機制,包括安全服務器和相應的安全管理器。可信計算基不能脫離它所依附的系統,是為系統提供抗惡意代碼攻擊服務的。
因此,安全機制一定要和計算機系統的軟硬件設計同步。可信安全模塊是安全服務器,應提供可信服務和安全服務。由于安全服務與具體的訪問規則相關聯,訪問控制規則的多樣性導致目前可信安全模塊提供安全服務的能力較弱。安全管理器需要覆蓋系統中所有的安全控制點,因此安全管理器必須與系統一體化設計,在計算機系統的集中控制點進行安全控制操作。
基于windows系列設計的安全管理器只能起到安全增強作用,這是因為Windows不是自主可控的,沒有對它的整個系統體系結構有深入的了解,安全管理器不可能覆蓋系統中的所有控制點,容易出現安全機制被繞過的情況。在這種情況下,基于可信計算技術增強計算機操作系統的抗惡意代碼攻擊能力尤為重要。
2.3 安全結構框架特點
基于可信計算技術的抗惡意代碼攻擊安全結構框架特點如下。
2.3.1 可信安全模塊是抗惡意代碼攻擊的根基
可信安全模塊是信任鏈與可信平臺的基礎,內部擁有獨立的處理器和存儲單元,可存儲密鑰和敏感數據。可信安全模塊提供完整性驗證、數據安全、用戶及策略管理等安全機制。對外提供的安全服務包括用戶/平臺認證服務、訪問控制服務、數據安全服務和可信服務。
2.3.2 可信計算技術是抗惡意代碼攻擊的必要條件
使用可信計算技術能夠解決系統的完整性,保證系統不被篡改。惡意代碼攻擊必備的手段是植入惡意代碼,植入惡意代碼即是破壞系統的完整性,因此抗惡意代碼攻擊必須借助于可信計算技術。
2.3.3 融合各種安全控制技術的可信計算基使抗惡意代碼攻擊效能最大化
可信計算是安全的基礎。沒有可信計算的系統一定是不安全的,這是因為基于可信計算技術能夠為信息系統構建安全的可信計算基。可信計算不等于安全,即實施了可信計算技術的系統不一定是安全的。它必須與其他安全技術結合在一起,才能為信息系統提供安全可靠的保障。
3 基于可信計算技術的抗惡意代碼攻擊安全結構框架應用
目前,大部分專用信息系統都是網絡應用,通常具有以下特點。
(1)使用用戶可控。與互聯網上無組織的用戶不同,專用信息系統通常屬于某個組織。該組織由若干機構組成。用戶在組織內部有著明確的分工,每個用戶通常屬于組織中某個機構的人員,承擔著該機構應該履行的任務職責。
(2)網絡邊界明確。專用信息系統網絡拓樸關系明確,專用網絡和公共網絡的界線明確。
(3)使用專用信息系統的用戶既是資源的生產者又是資源的消費者。某個組織使用的應用系統完成特定的業務和組織功能,因此應用系統用戶既產生又接收特定的應用資源。專用信息系統的安全管理部門應根據管理的原則,制定相應的管理制度和采用相應的規范。
這些工作包括:確定系統的安全等級;根據確定的安全等級,確定安全管理的范圍;制定相應的計算機系統出入管理制度;制定嚴格的操作規程;操作規程要根據職責分離和多人負責的原則,各自負責各自的工作,不能超越自己的管轄范圍;制定完備的系統維護制度;制定應急措施。專用信息網絡應用的特點是用戶可控、網絡邊界明確,安全需求是防止非授權用戶進入專用網,防止授權用戶對專用網內資源非法使用。
專用信息網絡應用安全強調的是整體安全,而不是強調個體安全——客戶端安全或服務器端安全。在專用網中,服務器是資源的存儲者,而客戶端是資源的生產者和消費者。不管是非授權用戶還是授權用戶,非法使用專用網絡必須先繞過終端的安全防護,因此專用信息應用安全必須以客戶端(終端)安全為核心。
理論上,如果專用網網絡邊界安全且終端能夠防止非授權用戶對網絡的使用,防止授權用戶對網絡的非法使用,則整個專用網是安全的。專用信息系統按信息系統業務處理過程可劃分為應用環境、區域邊界和通信網絡3部分。應用環境由終端、服務器等計算節點以及計算節點上的專用應用組成。基于可信計算技術的抗惡意代碼攻擊系統由可信計算平臺和證書/安全管理系統組成,如圖3所示。
圖3 基于可信計算技術的抗惡意代碼攻擊系統組成可信計算平臺部署于應用環境的各計算節點,確保節點內終端、服務器和應用的安全,防止計算機節點內各類信息的非授權泄露和修改。證書/安全管理系統管理實施對應用環境統一的安全策略,確保系統配置完整可信,確定用戶操作權限,實施全程審計追蹤。
從功能上,它可細分為安全管理系統和證書管理系統。可信節點系統在操作系統核心層和系統層通過對用戶行為的控制,可以有效防止非授權用戶訪問和授權用戶越權訪問,確保信息和信息系統的機密性和完整性,從而為業務應用系統的正常運行和免遭惡意破壞提供支撐和保障。通過可信節點系統的安全機制服務,保障應用業務處理全過程的安全。通過系統的建立,為專用應用系統用戶建立了達到以下安全目標的環境。
(1)用戶操作平臺可信:用戶使用的計算機以及操作系統是安全的、可信的。
(2)用戶身份可信:登錄和使用計算機資源(終端、服務器、網絡資源)的用戶身份是合法的,且標識用戶身份信息的載體是唯一的和不可偽造的。
(3)用戶行為可信:用戶的行為是在受控的范圍內使用終端、服務器以及網絡資源。
(4)集中控制、分布式管理:為日常管理提供方便、易用的安全管理平臺。
4 結 語
基于可信計算技術構建的抗惡意代碼攻擊安全結構框架以可信計算技術為基礎,融合身份認證、授權訪問控制、備份恢復以及審計等多種安全控制技術構成。該框架是抗惡意代碼攻擊的綜合安全防護框架,通過各種技術的有機配合,建立了抵抗惡意攻擊的層層防線,并且在系統遭到破壞時能及時發現并進行恢復,不僅能防范已知惡意代碼,而且能防范未知惡意代碼。
基于可信計算技術構建的抗惡意代碼攻擊安全結構框架中,可信安全模塊是抗惡意代碼攻擊的根基。通過可執行代碼安全控制和數據授權控制建立的可信計算基不能被繞過,能夠防止惡意程序發作,對軟件簽名驗證能夠防止植入惡意代碼,對數據授權訪問控制能夠防止惡意竊取數據,對用戶和平臺進行身份認證能夠防止非法連接。
基于可信計算技術構建的抗惡意代碼攻擊安全結構框架中,可信計算技術是抗惡意代碼攻擊的必要條件。通過信任鏈的傳遞過程,防止實施安全機制的可信計算基被篡改,通過完整性驗證防止惡意代碼發作,通過完整性度量報告防止非授權連接。
基于可信計算技術構建的抗惡意代碼攻擊安全結構框架融合各種安全控制技術,使抗攻擊效能最大化。授權訪問控制技術通過全系統統一安全標識,防止非授權連接以及惡意代碼植入、發作、竊密和破壞;審計技術根據用戶身份標識、軟件標識和平臺身份標識,實現安全事件的可追溯性,有效追蹤攻擊行為;備份恢復技術增強系統的抗毀性和可用性。
抗惡意代碼攻擊結構框架不是獨立于系統存在的,必須與系統一體化設計,覆蓋到系統所有安全控制點,對系統進行打補丁式的安全增強。
