基于行为等价远程程序执行认证.docVIP

基于行为等价远程程序执行认证 　　摘要：远程程序执行的认证是可信计算的重要内容之一，文献中所提出的众多框架大体上分为，基于软件，或基于硬件。初步地提出了一种远程程序执行的认证框架（命名为Spirit），Spirit综合地使用了程序分析、信任链、互模拟技术和TPM。 关键词：认证； TPM； 程序分析； 信任链 中图分类号：TP393 文献标识码：A文章编号：2095-2163（2013）02-0077-03 0引言 在计算机领域学术发展过程中，计算机安全问题始终是其学术界直面并在不懈攻关的挑战之一。由可信组织开发和推广的可信计算技术[1]就是要通过硬件或软件的合理运用使得计算系统能够按照预定方式正常运行。在可信计算技术中，远程认证技术就是一种典型技术。该技术可以确保授权方能及时获知用户的计算机系统被改变现象的发生。因而，可以将远程认证技术应用到检测远程程序的运行是否正确，以及验证是否存在被攻击方改动运行的程序。举例来说，在SETI@Home[2]项目中，如何保证客户端运行的程序未被施加改动是确保得到正确计算结果的前提条件。 本文在分析和借鉴相关研究工作的基础上，提出了一个新型的远程程序运行的认证框架Spirit。该框架主旨清晰，程序的运行行为是由其迹确定的，即借助可信计算的TPM技术，服务器通过迹等价来对远程程序运行的语义正确性完成认证。 本文的组织结构如下：第1部分总结相关工作，第2部分阐述相关的概念和框架细节。第3部分总结。 1相关工作 文献[3]提出了一种在不可信遗留平台上运用程序执行远程认证框架的技术，该框架通过可扩展、OS透明、且安全的方式收集客户端程序的运行信息，并且再将这些信息以轻量级，风险较低的方式传送给服务器。对于任务密切相关子程序的运行，文献[4]提出了一种函数级的远程认证方法。该方法利用了处理器的调试功能，并且建立了基于TPM为根的信任链。方法优点如下： （1）不需要使用度量数据库； （2）不依赖源码和特定的编译，因其将直接工作于可执行代码。 BIND[5]提出一个细粒度的代码认证，只会认证感兴趣代码片段的执行，因此大大简化了验证过程。而在文献[6]中，对影响整个程序的所有对象（如网络SOCKETS，文件，相关进程）都进行了分析，这些对象在程序运行时均要经历度量，因此开销颇大。 Flicker[7]则是一种基于源代码的，需要对源代码加以修改，并利用AMD处理器的安全虚拟机，使用完全隔离方式执行安全、敏感代码的框架。Seshadri 等人先后在文献[8]、[9]中提出一种基于原语的在非可信遗留主机上的可以验证的代码执行解决办法，两者间的差别在于，前者完全基于软件技术，而后者则基于硬件与软件的结合技术。在文献[10]中提出的策略则结合了TPM的时间戳功能，并基于定时的远程代码完整性验证机制而共同解决遗留平台下远程软件的执行完整性认证。文献[11]则设计了一套名为虚拟机完整性度量系统，可用来对远程系统的配置及软件的行为完整性加以认证。文献[12]分析了感知网络系统中的远程代码认证。对于不同的认证目的，使用了不同的内存噪声填充技术以及与其相关的通信协议。文献[13]则对在可信计算框架下的远程认证进行了系统综述且给出了研究方向。 从总体上说，远程认证或者基于软件，或者基于硬件技术。若由此角度对以上方法进行分类，可得： （1）基于软件技术，如文献[3、8、11、12]； （2）基于硬件和软件技术，如文献[4、7、9、10]。 虚拟机技术也是广泛采用的技术之一，例如文献[11]。 2相关技术介绍 本文研究主要针对在远程非可信主机上的可信程序执行问题。下面，将需使用的技术做出简单的介绍。 2.1TPM TPM是一种性优价廉的芯片，其功能在于提供阻止软件及硬件的攻击。在可信平台中，TPM是硬件信任根。根据TCG[14]给出的TPM规约，TPM主要包括安全内存、计算引擎、输入输出部件、非对称密钥、加密/解密、数字签名、对称加密引擎、随机数生成器和SHA-1引擎。文献[13]中已经明确指出，可信平台需要可信组件，而TPM则位列其中。第2期梁志荣：基于行为等价的远程程序执行认证智能计算机与应用第3卷 2.2程序控制流检查验证 按可信计算的观点，程序正确执行就是程序的行为按预期的方式顺序实现。为实现可信计算，就需要对程序控制流进行检查验证。由此，也决定了程序控制流非法改变就成为了实施软件攻击的关键一步[15]。对程序控制流的验证检查，文献中已有相关研究[16-18]。在文献[16]中，提出了利用控制流完整性（CFI）可以根据静态规则防止程序控制流的非法改变。而在文献[17]则给出了基于软件签名的控制流检查（