基于网络的系统防攻击方法技术方案

本发明专利技术提供了一种基于网络的系统防攻击方法，该方法包括：可信平台通过验证SID，禁止占有状态的块被内核块表或者其他应用的安全块表映射；可信平台通过在不可信内核中构建一条可信应用数据流来传输应用数据，通过验证SUID保证应用数据只能被其所有者访问。本发明专利技术提出了一种基于网络的系统防攻击方法，与不可信操作系统完全隔离，避免了频繁低效的加密解密，并为应用提供了全面的保护。

Anti attack method of network based system

The present invention provides a method for preventing attack of network based system, the method comprises: a trusted platform through SID verification, prohibit possession of the state block is safe block table mapping kernel block tables or other applications; trusted platform by building a trusted application data stream transmission of application data in untrusted kernel, through verification the application of SUID to ensure the data can only be access to its owner. The invention provides a network-based attack prevention method, which is completely isolated from an untrusted operating system, avoids frequent and inefficient encryption and decryption, and provides comprehensive protection for an application.

【技术实现步骤摘要】

本专利技术涉及计算机安全，特别涉及一种基于网络的系统防攻击方法。
技术介绍
随着信息技术的发展，计算机系统广泛应用于政治、经济、文化、国防和安全等重要领域。其中，操作系统内核是整个计算机系统工作和安全的基础。内核运行于整个系统的最高权限层，管理和控制底层硬件资源，为上层文件提供安全隔离的资源抽象和访问接口。越来越多的安全报告表明操作系统内核仍然存在着大量的漏洞和错误，攻击者能够获得最髙的权限、以内核权限实施任意攻击行为，包括恶意操作底层硬件、执行系统中的任意代码、读写内存和磁盘上的任意数据等等。现有技术基于VMM，对内核权限操作进行截获和验证，实现了对文件的全面保护。然而另一方面，VMM运行于更高的权限层，操作系统内核与VMM之间频繁的层间切换也导致了较高的性能开销。
技术实现思路
为解决上述现有技术所存在的问题，本专利技术提出了一种基于网络的系统防攻击方法，包括：从应用寻址区的块将应用数据拷贝到内核的缓存块，然后从缓存块传输到磁盘块；应用数据在内核中传输时与内核隔离，无法被内核访问；当一个块被内核分配给应用时，可信平台仅授权内核使用隔离状态的块；当可信平台将该块映射到应用的安全块表时，对该块的映射状态进行验证，拒绝所有非隔离块；然后，该块被安全的分配给该应用，标记为占有状态、并被应用的SID标记；可信平台通过验证SID，禁止占有状态的块被内核块表或者其他应用的安全块表映射，保证应用的内存隔离；同时禁止应用块在应用寻址区中被重映射；应用数据以明文的形式进入内核，可信平台通过在不可信内核中构建一条可信应用数据流来传输应用数据；应用数据被安全用户ID即SUID标识；每个用户都占有自身的SUID，用户在启动自身的应用时，将SUID赋予应用；可信平台通过验证SUID保证应用数据只能被其所有者访问；SUID标记一个用户组，用于用户之间的文件共享，并指定不同的读写和执行权限；文件块被映射为占有状态时，应用数据无法被内核访问；当内核需要将应用数据从文件块拷贝到缓存块时，只能向可信平台发出请求，由可信平台完成数据拷贝；可信平台仅授权内核提供隔离状态的缓存块，对于非隔离状态的缓存块，可信平台拒绝拷贝应用数据；可信平台定义两种磁盘块的状态即空闲和占用，并使用一个磁盘块数组进行状态跟踪；在磁盘块数组中，内存的一个位对应一个磁盘块的状态；可信平台对所有发送到磁盘的I/O命令进行验证；如果该命令是将应用数据写入磁盘块，可信平台确保被写入的磁盘块只能是空闲状态；在数据传输完成后，该磁盘块变为占用状态，SUID和应用数据一起存储在磁盘块上，用于标识该磁盘块的所有者；然后，可信平台只允许具有相同SUID的内存块与该占用磁盘块进行数据传输，保证磁盘块上应用数据隔离和访问控制；当读取文件时，可信平台只允许占用磁盘块上的应用数据传输到隔离状态的缓存块，同时该缓存块被赋予占用磁盘块的SUID；此后，可信平台只允许该缓存块的数据拷贝到具有相同SUID的文件块，被其文件所有者访问；可信平台的用户验证是基于验证用户密码来实现的；可信平台使用公钥/私钥对保证不可信内核无法窃取用户密码；使用TPM中的存储密钥来加密和解密可信平台的私钥；当用户启动自身的应用时，将自身的用户密码放置在应用的可执行文件，并使用可信平台的公钥进行加密；可信平台从应用可执行文件中获得用户密码，并使用自身的私钥进行解密；然后，可信平台通过验证用户密码赋予该应用相应的SUID，标识应用的身份。本专利技术相比现有技术，具有以下优点：本专利技术提出了一种基于网络的系统防攻击方法，与不可信操作系统完全隔离，避免了频繁低效的加密解密，并为应用提供了全面的保护。附图说明图1是根据本专利技术实施例的基于网络的系统防攻击方法的流程图。具体实施方式下文与图示本专利技术原理的附图一起提供对本专利技术一个或者多个实施例的详细描述。结合这样的实施例描述本专利技术，但是本专利技术不限于任何实施例。本专利技术的范围仅由权利要求书限定，并且本专利技术涵盖诸多替代、修改和等同物。在下文描述中描述诸多具体细节以便提供对本专利技术的透彻理解。出于示例的目的而提供这些细节，并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本专利技术。本专利技术的一方面提供了一种基于网络的系统防攻击方法。图1是根据本专利技术实施例的基于网络的系统防攻击方法流程图。本专利技术在安全寻址区引入可信平台，应用运行于可信平台保护的安全环境中。将不可信内核与应用分别运行于两个不同的寻址区，分别称为内核寻址区和安全寻址区。内核寻址区中使用的块表称为内核块表，安全寻址区中使用的块表称为安全块表。当安全寻址区的应用与内核交互时，应用首先进入到安全寻址区的可信平台，可信平台保存应用上下文，然后切换到内核寻址区，进入内核执行。当内核返回应用时，必须首先返回安全寻址区的可信平台，可信平台恢复应用上下文，再返回安全寻址区中的应用继续执行。可信平台利用硬件虚拟化直接对控制寄存器的目标值进行限制；同时，可信平台截获并验证系统中所有的块表更新操作，实现内存保护。使用硬件虚拟化保证整个系统(内核、应用和可信平台)只能运行于内核寻址区和安全寻址区中。在控制寄存器目标列表中设定最多4个控制寄存器的目标值。当软件修改控制寄存器，且目标值是控制寄存器目标列表中的一个时，该控制寄存器修改可直接完成。本专利技术仅使用2个目标值，将内核寻址区中的内核块表和安全寻址区中的安全块表的基地址写入控制寄存器目标列表，因此，整个系统在运行过程中只能将控制寄存器修改为这两个值。如果试图修改为其他目标值均使CPU进入到安全模式，本专利技术中任何导致进入到安全模式的操作都被认为是恶意的，并会导致整个系统重启。在内核寻址区中，整个块表被映射为只读。任何运行于内核寻址区中的软件若要修改某个块表项时，必须首先将该块表项映射为可写。内核寻址区中的软件试图解除块表锁定的方式是：1)修改控制寄存器、切换寻址区。2)修改控制寄存器的模式标志位，使块表的只读保护失效。针对这种方式，本专利技术使用硬件虚拟化禁止普通模式的所有软件修改控制寄存器的模式标志位，任何修改模式标志位的操作均使系统进入到安全模式，进而导致系统重启。在安全寻址区中，本专利技术限制只有第0层的软件能够修改块表。块表在其他层被映射为不可见。因此，整个系统中只有安全寻址区的软件能够修改块表。所有的块表更新操作只能由可信平台完成。当内核需要更新块表时，只能向可信平台发出请求，可信平台能够截获并验证所有的块表更新操作，实现内存保护。因此本专利技术基于控制寄存器控制和块表锁定技术，消除了内核寻址区的内核修改块表的权限。可信平台控制所有进入安全寻址区的入口点，保证一旦CPU进入安全寻址区，可信平台获得系统控制权。可信平台在安全寻址区完成自身的执行流程，在返回外部组件时，将CPU切换回内核寻址区或者安全寻址区第3层，保证安全寻址区中只有可信平台运行。因此，外部组件始终只能运行于内核寻址区或者安全寻址区第3层中，不能破坏安全寻址区中可信平台的数据代码。从入口点进入安全寻址区第0层后，可信平台在整个执行过程中，中断被禁止，执行流无法被外部组件劫持：只有当返回外部组件时，可信平台才恢复中断。同时，可信平台将CPU切换回内核寻址区或者安全寻址区第3层，保证安全寻址区第0层中只有可信平台运行。当可信平台中发生不可屏蔽中断本文档来自技高网...

【技术保护点】
一种基于网络的系统防攻击方法，其特征在于，包括：从应用寻址区的块将应用数据拷贝到内核的缓存块，然后从缓存块传输到磁盘块；应用数据在内核中传输时与内核隔离，无法被内核访问；当一个块被内核分配给应用时，可信平台仅授权内核使用隔离状态的块；当可信平台将该块映射到应用的安全块表时，对该块的映射状态进行验证，拒绝所有非隔离块；然后，该块被安全的分配给该应用，标记为占有状态、并被应用的SID标记；可信平台通过验证SID，禁止占有状态的块被内核块表或者其他应用的安全块表映射，保证应用的内存隔离；同时禁止应用块在应用寻址区中被重映射；应用数据以明文的形式进入内核，可信平台通过在不可信内核中构建一条可信应用数据流来传输应用数据；应用数据被安全用户ID即SUID标识；每个用户都占有自身的SUID，用户在启动自身的应用时，将SUID赋予应用；可信平台通过验证SUID保证应用数据只能被其所有者访问；SUID标记一个用户组，用于用户之间的文件共享，并指定不同的读写和执行权限；文件块被映射为占有状态时，应用数据无法被内核访问；当内核需要将应用数据从文件块拷贝到缓存块时，只能向可信平台发出请求，由可信平台完成数据拷贝；可信平台仅授权内核提供隔离状态的缓存块，对于非隔离状态的缓存块，可信平台拒绝拷贝应用数据；可信平台定义两种磁盘块的状态即空闲和占用，并使用一个磁盘块数组进行状态跟踪；在磁盘块数组中，内存的一个位对应一个磁盘块的状态；可信平台对所有发送到磁盘的I/O命令进行验证；如果该命令是将应用数据写入磁盘块，可信平台确保被写入的磁盘块只能是空闲状态；在数据传输完成后，该磁盘块变为占用状态，SUID和应用数据一起存储在磁盘块上，用于标识该磁盘块的所有者；然后，可信平台只允许具有相同SUID的内存块与该占用磁盘块进行数据传输，保证磁盘块上应用数据隔离和访问控制；当读取文件时，可信平台只允许占用磁盘块上的应用数据传输到隔离状态的缓存块，同时该缓存块被赋予占用磁盘块的SUID；此后，可信平台只允许该缓存块的数据拷贝到具有相同SUID的文件块，被其文件所有者访问；可信平台的用户验证是基于验证用户密码来实现的；可信平台使用公钥/私钥对保证不可信内核无法窃取用户密码；使用TPM中的存储密钥来加密和解密可信平台的私钥；当用户启动自身的应用时，将自身的用户密码放置在应用的可执行文件，并使用可信平台的公钥进行加密；可信平台从应用可执行文件中获得用户密码，并使用自身的私钥进行解密；然后，可信平台通过验证用户密码赋予该应用相应的SUID，标识应用的身份。...

【技术特征摘要】
1.一种基于网络的系统防攻击方法，其特征在于，包括：从应用寻址区的块将应用数据拷贝到内核的缓存块，然后从缓存块传输到磁盘块；应用数据在内核中传输时与内核隔离，无法被内核访问；当一个块被内核分配给应用时，可信平台仅授权内核使用隔离状态的块；当可信平台将该块映射到应用的安全块表时，对该块的映射状态进行验证，拒绝所有非隔离块；然后，该块被安全的分配给该应用，标记为占有状态、并被应用的SID标记；可信平台通过验证SID，禁止占有状态的块被内核块表或者其他应用的安全块表映射，保证应用的内存隔离；同时禁止应用块在应用寻址区中被重映射；应用数据以明文的形式进入内核，可信平台通过在不可信内核中构建一条可信应用数据流来传输应用数据；应用数据被安全用户ID即SUID标识；每个用户都占有自身的SUID，用户在启动自身的应用时，将SUID赋予应用；可信平台通过验证SUID保证应用数据只能被其所有者访问；SUID标记一个用户组，用于用户之间的文件共享，并指定不同的读写和执行权限；文件块被映射为占有状态时，应用数据无法被内核访问；当内核需要将应用数据从文件块拷贝到缓存块时，只能向可信平台发出请求，由可信平台完成数据拷贝；可信平台仅授权内核提供隔离状态的缓存块，对于非隔离状态的缓存块，...

【专利技术属性】
技术研发人员：许驰，
申请(专利权)人：成都鼎智汇科技有限公司，
类型：发明
国别省市：四川;51