【技术实现步骤摘要】
一种基于硬件安全隔离执行环境的硬件架构、及应用上下文完整性度量方法
本专利技术属于可信计算
,具体涉及一种基于硬件安全隔离执行环境的应用上下文完整性度量方法。
技术介绍
当前网络攻击方式已经由高级黑客“单兵作战”转为由政府或组织支持的黑客团体发起的高级持续性威胁AdvancedPersistentThreats,APT。APT攻击利用若干未知0-Day漏洞对企业核心网络、国家重要基础设施、重要涉密信息系统进行攻击,具有攻击范围广、持续时间长、隐蔽性强的特点。对伊朗核设施发起的“震网”攻击表明,即便是物理隔离的网络也并不能保证绝对安全性。APT攻击核心特征就是,通过介质摆渡、社交攻击等方式,利用系统0-Day漏洞,修改系统高权限ring0组件即破坏系统完整性注入后门程序,在攻陷某一主机的前提下,将攻击延伸到整个网络。因此,系统完整性保护成为重要的研究课题和产品研发方向。基于可信计算技术的完整性度量技术是系统完整性保护的重要研究方向之一,系统完整性度量通过某时刻对目标进行度量得到度量值,然后与标准值进行比较,以此判断系统是否完整未被篡改。完整性度量研究包括静态度量和动态度量,静态度量是在系统启动时对代码的完整性进行度量,防止恶意代码的执行,动态度量是在系统运行过程中,对内存中重要数据存储空间进行动态时刻的度量,以检测其是否遭到恶意程序的篡改。静态度量保证了系统启动时的安全状态,在一些服务器、移动终端环境,系统启动后长时间运行,动态度量技术才能满足运行时度量需求。现有的动态度量方案包括修改内核模块来监控上层应用、基于协处理器的内存空间度量、基于虚拟机隔离的...
【技术保护点】
1.一种基于硬件安全隔离执行环境的硬件架构,其特征在于,包括安全隔离硬件(400)、安全管理器(461)、安全服务驱动层(441)及安全服务接口层(462);安全隔离硬件(400)提供可配置的硬件隔离环境;安全管理器(461)可对安全隔离硬件(400)进行配置,使其工作在普通域(410)或安全域(420);安全服务驱动层(441)位于普通域(410)的内核空间(440),为用户空间(430)提供安全服务;安全服务接口层(462)位于安全域(420)的内核空间(460),为安全域(420)用户空间(450)提供安全服务;安全管理器(461)可执行普通域(410)和安全域(420)之间的转换,安全服务驱动层(441)调用安全管理器(461)由普通域(410)切换到安全域(420),安全服务接口层(462)调用安全管理器(461)由安全域(420)切换到普通域(410)。
【技术特征摘要】
1.一种基于硬件安全隔离执行环境的硬件架构,其特征在于,包括安全隔离硬件(400)、安全管理器(461)、安全服务驱动层(441)及安全服务接口层(462);安全隔离硬件(400)提供可配置的硬件隔离环境;安全管理器(461)可对安全隔离硬件(400)进行配置,使其工作在普通域(410)或安全域(420);安全服务驱动层(441)位于普通域(410)的内核空间(440),为用户空间(430)提供安全服务;安全服务接口层(462)位于安全域(420)的内核空间(460),为安全域(420)用户空间(450)提供安全服务;安全管理器(461)可执行普通域(410)和安全域(420)之间的转换,安全服务驱动层(441)调用安全管理器(461)由普通域(410)切换到安全域(420),安全服务接口层(462)调用安全管理器(461)由安全域(420)切换到普通域(410)。2.根据权利要求1所述基于硬件安全隔离执行环境的硬件架构,其特征在于,所述安全隔离硬件(400)包括:安全扩展处理器核(401)、地址空间控制器(402)、内存(403)、密码引擎(404)及度量根(405);安全扩展处理器核(401)运行于虚拟普通核(4010)和虚拟安全核(4011)两种状态,分别对应系统普通域(410)和安全域(420);地址空间控制器(402)将内存(403)物理隔离为普通内存区(3030)和安全内存区(4031),安全域代码可访问普通内存区(3030)和安全内存区(4031),而普通域代码只能访问普通内存区(3030);密码引擎(404)可实现包括哈希(4040)及签名算法(4041);度量根(405)包含公私钥对(4050)和平台配置寄存器PCRs(4051),其中PCRs(4051)保存系统状态度量值,公私钥对(4050)用于对度量值进行数字签名,以访问度量值被篡改。3.一种基于硬件安全隔离执行环境的应用上下文完整性度量方法,其特征在于,具体过程为:资源请求应用(431)向管控服务器(490)发送资源访问请求(480),管控服务器(490)执行认证服务引擎(491)向资源请求应用发送完整性证明请求(481);资源请求应用(431)向度量引擎客户端(435)发送应用上下文度量请求(4311);度量引擎客户端调用安全服务驱动层,发起安全域切换(448)指令,执行安全管理器(461)切换安全域,资源提取引擎(463)根据访问控制策略(464)调用安全服务接口层(462)对资源访问应用上下文进行完整性度量;度量引擎客户端调用安全服务驱动层(441)建立与安全域中度量引擎服务端(452)的会话连接,借助跨域共享内存(453)将上下文度量请求发往度量引擎服务端,并通过跨域共享内存(453)读取度量引擎服务端(452)返回的平台度量结果;度量引擎客户端将完整性度量结果(4312)返回资源请求进程/应用(431);资源请求进程/应用进而将完整性度量结果(482),提交管控服务器(490)的认证服务引擎(491);认证服务引擎(491)验证完整性度量结果(482),验证通过时,资源访问应用可以访问共享网络资源(483)。4.根据权利要求3所述基于硬件安全隔离执行环境的应用上下文完整性度量方法,其特征在于,具体过程为:C.1资源请求应用/进程(431)向资源管控服务器(490)发送资源访问请求,以访问共享网络资源(493);C.2资源管控服务器(490)启动认证服务引擎(491)向资源请求应用(431)发送应用上下文度量请求,即完整性证明请求(481);C.3资源请求应用/进程(431)向度量引擎客户端(435)发送应用上下文完整性度量请求(4311);C.4度量引擎客户端(435)通过安全服务驱动层(441)向安全管理器(461)发送安全域切换请求(448),安全管理器(461)将安全隔离硬件(400)执行环境由普通域(410)切换至安全域(420),开启完整性度量过程;C.5度量引擎客户端(435)调用安全服务驱动层(441)进行安全域切换(448)、创建度量会话,将度量请求发送到安全域运行的度量引擎服务端(452);C.6度量引擎服务端(452)启动度量执行引擎(451),度量执行引擎(451)调用安全域内核空间的资源提取引擎(463)进行应用上下文度量,并等待度量完成事件,度量过程使用安全服务接口层(462)提供的秘密服务,安全服务接口层(462)进而调用安全增强硬件中密码引擎(404)实现密码运算;C.7资源提取引擎(463)度量完毕,通过度量执行引擎(451)向资源度量引擎服务端(452)发送度量完成事件,资源度量引擎服务端(452)通过安全服务接口层(462)获取应用上下文度量值CMV;C.8资源度量引擎服务端(452)将CMV放入跨域共享内存区(453),度量会话结束,安全管理器(461)将系统由安全域(420)切换回普通域(410),度量引擎客户端(435)恢复执行;C.9度量引擎客户端(435)通过跨域共享内存(453)读取度量值CMV;C.10资源请求应用/进程(431)将应用唯一特征值APPid,平台证书序列号CERTucn,连同度量值CMV一起发送给资源管控服务器(490):CMV=APPid||CERTucn||CMV,CMV即完整性度量结果(482);C.11资源管控服务器(490)的认证服务引擎(491)接收到平台度量值CMV,启动度量认证;C.12若度量结果与安全基线不符,则拒绝资源访问者(431)的访问请求,对其进行安全隔离,并后续对其进行安全检查;C.13若上述度量过程全部通过,则资源访问者通过完整性度量,资源管控服务器授予资源访问者访问令牌(483),其可以正常访问资源服务器中的网络资源。5.根据权利要求4所述基于硬件安全隔离执行环境的应用上下文完整性度量方法,其特征在于,所述完整性度量的具体过程为:C.4.1度量引擎客户端(435)调用安全服务驱动层(441),向安全扩展处理器核(401)发送安全度量启动指令;C.4.2安全扩展处理器核(401)中的虚拟安全核(4011)将度量根(405)中平台配置寄存器PCR(4051)清零,PCR用于保存平台度量值/哈希值,长度至少为20字;C.4....
【专利技术属性】
技术研发人员:平源,郝斌,杨月华,马慧,李慧娜,
申请(专利权)人:许昌学院,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。