可信增強(qiáng)訪(fǎng)問(wèn)控制框架

可信增強(qiáng)訪(fǎng)問(wèn)控制框架

目前，大多數(shù)終端平臺(tái)信息安全系統(tǒng)主要由防火墻、入侵監(jiān)測(cè)和病毒預(yù)防組成。然而，僅僅“封鎖漏洞、高墻和外部攻擊”無(wú)法從根本上解決終端平臺(tái)的安全問(wèn)題?？v觀安全操作系統(tǒng)近40年的發(fā)展歷史可以發(fā)現(xiàn),安全操作系統(tǒng)得到了長(zhǎng)足的發(fā)展,并在訪(fǎng)問(wèn)控制框架和安全模型方面均取得了豐碩的成果。但是,傳統(tǒng)的訪(fǎng)問(wèn)控制并不能解決“內(nèi)部威脅”問(wèn)題。造成內(nèi)部威脅的原因主要是“脆弱性或漏洞攻擊”。“脆弱性或漏洞攻擊”是指內(nèi)部授權(quán)主體可以繞過(guò)檢測(cè)和訪(fǎng)問(wèn)控制機(jī)制,利用自身的權(quán)限和已知的系統(tǒng)脆弱性及漏洞,通過(guò)完全合法的操作發(fā)動(dòng)內(nèi)部攻擊。從技術(shù)上講,這種內(nèi)部威脅的根源在于傳統(tǒng)的訪(fǎng)問(wèn)控制理論存在的缺陷。傳統(tǒng)的訪(fǎng)問(wèn)控制理論是基于“關(guān)口控制”理論實(shí)施的,即它不會(huì)讓不符合條件的主體對(duì)客體進(jìn)行請(qǐng)求的操作,但是主體一旦取得相應(yīng)的操作權(quán)限,它在允許操作范圍內(nèi)的活動(dòng)行為就可以暢通無(wú)阻。究其原因,主體對(duì)客體的訪(fǎng)問(wèn)和行為是根據(jù)授權(quán)和身份識(shí)別來(lái)決定的,授權(quán)一旦確定,就不會(huì)再考慮主體的表現(xiàn),也不會(huì)再考慮主體行為的可信性,直到另外一次授權(quán)開(kāi)始。另外,傳統(tǒng)的訪(fǎng)問(wèn)控制也不能保證客體內(nèi)容的真實(shí)性和完整性。因此,尋求一種通用的方法對(duì)授權(quán)操作的行為進(jìn)行監(jiān)管,控制授權(quán)后的信息流失,保證合法主體的行為得到應(yīng)有的控制和監(jiān)督,才能使這類(lèi)主體的行為規(guī)范可信,預(yù)防和控制內(nèi)部威脅的發(fā)生。目前,隨著新的安全技術(shù)的興起,可信計(jì)算也成為人們關(guān)注的熱點(diǎn)。從可信計(jì)算的概念及其特征可以發(fā)現(xiàn),通過(guò)引入可信計(jì)算解決上述安全問(wèn)題是可行的。1信任鏈的傳遞為了提高計(jì)算機(jī)的安全防護(hù)能力,由Intel、惠普、微軟、IBM等業(yè)界大公司牽頭,于1999年成立了可信計(jì)算平臺(tái)聯(lián)盟TCPA(后于2003年改組為T(mén)CG),并提出了“可信計(jì)算”的概念?？尚庞?jì)算旨在從硬件體系結(jié)構(gòu)和系統(tǒng)完整性角度來(lái)提高終端計(jì)算平臺(tái)的安全性,解決終端平臺(tái)安全性問(wèn)題。它認(rèn)為如果終端計(jì)算平臺(tái)從一個(gè)初始的“可信根”出發(fā),在終端平臺(tái)計(jì)算環(huán)境的每一次轉(zhuǎn)換時(shí),這種可信狀態(tài)都可以通過(guò)傳遞的方式保持下去而不被破壞,則該終端平臺(tái)就始終是可信的。在可信環(huán)境下不存在不被信任的實(shí)體,因而可以很好地保證平臺(tái)本身及上層應(yīng)用的安全。信任鏈的傳遞是體現(xiàn)可信的重要手段,它是可信計(jì)算平臺(tái)的核心機(jī)制。系統(tǒng)加電后,在可信硬件平臺(tái)的控制下,BIOS會(huì)將信任傳遞給主引導(dǎo)分區(qū),主引導(dǎo)分區(qū)將信任傳遞給操作系統(tǒng)裝載器,操作系統(tǒng)裝載器將信任傳遞給操作系統(tǒng)內(nèi)核模塊,也就是說(shuō)可信鏈的傳遞是分層進(jìn)行的。當(dāng)?shù)图?jí)別的節(jié)點(diǎn)驗(yàn)證到高一級(jí)的節(jié)點(diǎn)是可信時(shí),低級(jí)別節(jié)點(diǎn)才會(huì)把可信計(jì)算平臺(tái)的運(yùn)行控制權(quán)轉(zhuǎn)交給高一級(jí)節(jié)點(diǎn)。可信計(jì)算平臺(tái)正是基于這種信任鏈傳遞的機(jī)制將可信擴(kuò)展到了應(yīng)用程序部分。平臺(tái)可信的驗(yàn)證通過(guò)哈希運(yùn)算進(jìn)行,在驗(yàn)證過(guò)程中,各程序的雜湊值將會(huì)被存儲(chǔ)在平臺(tái)配置寄存器PCR(PlatformConfigurationregisters)中,而且在關(guān)機(jī)之前這部分PCR的值不會(huì)被重置,只能被擴(kuò)展。當(dāng)遠(yuǎn)程或本地程序(請(qǐng)求者)需要驗(yàn)證當(dāng)前系統(tǒng)是否處于預(yù)定義的可信狀態(tài)時(shí),這些PCR的值就會(huì)被讀取。請(qǐng)求者對(duì)這些可執(zhí)行體或數(shù)據(jù)進(jìn)行雜湊運(yùn)算,并且與PCR中的預(yù)期值進(jìn)行比較。如果相同,則可以判定該系統(tǒng)運(yùn)行的程序是預(yù)先規(guī)定的可信程序或者是可信數(shù)據(jù)。2可靠標(biāo)準(zhǔn)flak訪(fǎng)問(wèn)控制權(quán)的設(shè)計(jì)和分析2.1flusk的主要內(nèi)容Flask是目前業(yè)界關(guān)注度最高的訪(fǎng)問(wèn)控制框架之一,它是由美國(guó)國(guó)家安全局聯(lián)合猶他州大學(xué)和安全計(jì)算公司,以安全策略靈活性為目標(biāo)設(shè)計(jì)開(kāi)發(fā)的多訪(fǎng)問(wèn)控制策略支持框架。Flask嚴(yán)格分離了策略實(shí)施邏輯和策略決策邏輯。Flask由對(duì)象管理器和安全服務(wù)器兩部分組成,對(duì)象管理器負(fù)責(zé)策略實(shí)施邏輯的執(zhí)行,安全服務(wù)器負(fù)責(zé)策略決策邏輯的制定。Flask描述了對(duì)象管理器和安全服務(wù)器的交互,以及對(duì)它們內(nèi)部組成部分的要求。Flask還借助一個(gè)訪(fǎng)問(wèn)向量緩存(AVC)模塊來(lái)實(shí)現(xiàn)對(duì)動(dòng)態(tài)策略和性能要求的支持。如圖1所示,在Flask訪(fǎng)問(wèn)控制框架下,主體要對(duì)客體進(jìn)行操作。首先要將訪(fǎng)問(wèn)請(qǐng)求發(fā)送到對(duì)象管理器,對(duì)象管理器收集主客體的安全標(biāo)簽,對(duì)訪(fǎng)問(wèn)請(qǐng)求進(jìn)行判斷;對(duì)象管理器首先檢查存放在AVC中的訪(fǎng)問(wèn)向量,如果存在此訪(fǎng)問(wèn)向量,則直接返回在AVC中的訪(fǎng)問(wèn)向量,否則,向安全服務(wù)器提出查詢(xún)請(qǐng)求。在安全服務(wù)器中根據(jù)主客體的SID及相應(yīng)的類(lèi),針對(duì)相關(guān)的安全策略對(duì)請(qǐng)求進(jìn)行計(jì)算,然后返回相應(yīng)的訪(fǎng)問(wèn)向量決策,同時(shí)把此訪(fǎng)問(wèn)向量存放在AVC中。如果策略允許主體在客體上執(zhí)行預(yù)期的操作,則該請(qǐng)求就會(huì)被允許,否則,該請(qǐng)求就會(huì)被拒絕。2.2主體訪(fǎng)問(wèn)控制盡管Flask安全框架在一定程度上解決了系統(tǒng)的安全問(wèn)題,但其解決的是不讓非法主體對(duì)系統(tǒng)資源進(jìn)行惡意的訪(fǎng)問(wèn)控制,而無(wú)法解決合法主體的可信性問(wèn)題,即前言中描述的“內(nèi)部威脅”問(wèn)題。另一方面,Flask也無(wú)法保證系統(tǒng)中客體內(nèi)容的完整性和真實(shí)性問(wèn)題。結(jié)合可信計(jì)算,本文提出了一種可信增強(qiáng)的Flask訪(fǎng)問(wèn)控制框架,它在普通Flask框架的基礎(chǔ)上加入了身份認(rèn)證和可信監(jiān)控機(jī)制,如圖2所示。訪(fǎng)問(wèn)控制中,用戶(hù)身份認(rèn)證是非常重要的。在用戶(hù)對(duì)系統(tǒng)資源進(jìn)行訪(fǎng)問(wèn)控制之前,首先要經(jīng)過(guò)身份認(rèn)證模塊識(shí)別用戶(hù)的身份,訪(fǎng)問(wèn)控制模塊才能根據(jù)用戶(hù)的身份和安全策略庫(kù)決定用戶(hù)是否能夠訪(fǎng)問(wèn)某個(gè)資源?？尚疟O(jiān)控機(jī)制用于保障安全策略的正確實(shí)施,它在安全服務(wù)器內(nèi)實(shí)現(xiàn)。其主要工作有:(1)對(duì)主體行為進(jìn)行監(jiān)控,即在進(jìn)行訪(fǎng)問(wèn)控制之前,確保主體的行為是可信的,不會(huì)給系統(tǒng)造成破壞;(2)對(duì)客體進(jìn)行驗(yàn)證,即根據(jù)客體的當(dāng)前狀態(tài)驗(yàn)證主體的身份和客體自身的完整性,確?？腕w內(nèi)容的真實(shí)性;(3)監(jiān)控訪(fǎng)問(wèn)行為,即監(jiān)控所有與安全相關(guān)的訪(fǎng)問(wèn)企圖,確保訪(fǎng)問(wèn)企圖不被篡改,訪(fǎng)問(wèn)機(jī)制不被繞過(guò)。圖3是可信監(jiān)控機(jī)制的示意圖?？尚疟O(jiān)控機(jī)制可分為可信驗(yàn)證、可信存儲(chǔ)和可信報(bào)告三部分,其中可信驗(yàn)證必須存在,可信存儲(chǔ)和可信報(bào)告可選。為了實(shí)施可信驗(yàn)證,首先要對(duì)進(jìn)行可信驗(yàn)證的實(shí)體進(jìn)行可信度量,可信度量由度量實(shí)體(或者是度量事件)啟動(dòng),通過(guò)對(duì)度量實(shí)體進(jìn)行SHA1運(yùn)算得到一個(gè)雜湊值,度量實(shí)體會(huì)將這個(gè)雜湊值存儲(chǔ)在內(nèi)核里的一個(gè)有序度量列表中,同時(shí)將可信度量值報(bào)告給存儲(chǔ)在可信硬件里的平臺(tái)配置寄存器(PCR),以擴(kuò)展度量列表?？尚膨?yàn)證結(jié)合度量列表中存儲(chǔ)的度量值,對(duì)主客體進(jìn)行一致性驗(yàn)證,檢查其是否被篡改或破壞,以確保主客體的可信性和完整性。驗(yàn)證過(guò)程依賴(lài)于度量列表中存儲(chǔ)的基準(zhǔn)度量值與當(dāng)前狀態(tài)的可信度量值的比較。若當(dāng)前狀態(tài)的可信度量值符合基準(zhǔn)度量值,則認(rèn)為該實(shí)體(或事件)是可信的。在加入了身份認(rèn)證和可信監(jiān)控之后,訪(fǎng)問(wèn)控制的工作流程如下:(1)在身份鑒別的控制下,用戶(hù)登錄,啟動(dòng)訪(fǎng)問(wèn)控制模塊;(2)主體向?qū)ο蠊芾砥靼l(fā)送訪(fǎng)問(wèn)請(qǐng)求,要求對(duì)相應(yīng)的客體進(jìn)行請(qǐng)求操作;(3)對(duì)象管理器將訪(fǎng)問(wèn)請(qǐng)求發(fā)送給安全服務(wù)器。請(qǐng)求包括主客體標(biāo)識(shí)以及請(qǐng)求類(lèi)型等;(4)安全服務(wù)器接收到訪(fǎng)問(wèn)請(qǐng)求之后,啟動(dòng)可信監(jiān)控機(jī)制;(5)可信監(jiān)控機(jī)制根據(jù)主體的當(dāng)前訪(fǎng)問(wèn)行為,判斷主體的可信性及主體的這次訪(fǎng)問(wèn)行為是否為不良行為。如果主體可信并且這次訪(fǎng)問(wèn)行為完全合法,可信監(jiān)控機(jī)制則會(huì)轉(zhuǎn)向?qū)腕w的驗(yàn)證,否則,拒絕這次訪(fǎng)問(wèn);(6)可信監(jiān)控機(jī)制根據(jù)訪(fǎng)問(wèn)請(qǐng)求,驗(yàn)證客體的真實(shí)性和完整性,如果驗(yàn)證出客體的真實(shí)性和完整性未遭到破壞,可信監(jiān)控機(jī)制則會(huì)將訪(fǎng)問(wèn)控制權(quán)轉(zhuǎn)向安全服務(wù)器的安全決策邏輯的制定,否則,拒絕這次訪(fǎng)問(wèn);(7)安全服務(wù)器根據(jù)當(dāng)前的訪(fǎng)問(wèn)控制策略庫(kù)進(jìn)行訪(fǎng)問(wèn)決策的判定,如果這次訪(fǎng)問(wèn)行為滿(mǎn)足訪(fǎng)問(wèn)控制策略,則允許主體的這次訪(fǎng)問(wèn)行為,否則,拒絕本次訪(fǎng)問(wèn);(8)安全服務(wù)器將判定結(jié)果返回給對(duì)象管理器,對(duì)象管理器依據(jù)決策結(jié)果實(shí)施主體對(duì)客體的訪(fǎng)問(wèn)控制;(9)可信監(jiān)控機(jī)制實(shí)施主體對(duì)客體操作的監(jiān)控,如果出現(xiàn)違規(guī)行為,則撤銷(xiāo)此次訪(fǎng)問(wèn)。2.3強(qiáng)制訪(fǎng)問(wèn)控制前提本文通過(guò)對(duì)普通Flask訪(fǎng)問(wèn)控制框架加入身份認(rèn)證和可信監(jiān)控機(jī)制,實(shí)現(xiàn)了一個(gè)可信增強(qiáng)的訪(fǎng)問(wèn)控制框架,通過(guò)實(shí)施這個(gè)可信增強(qiáng)的訪(fǎng)問(wèn)控制框架,可以實(shí)現(xiàn)對(duì)操作系統(tǒng)終端平臺(tái)的機(jī)密性、一致性保障,并且具有較好的可用性。下面就這幾個(gè)方面做簡(jiǎn)要說(shuō)明。(1)一致性:通過(guò)在框架中實(shí)施可信監(jiān)控機(jī)制對(duì)相應(yīng)主體和客體(包括文件、目錄、進(jìn)程、套接字等)進(jìn)行一致性驗(yàn)證。對(duì)主、客體的驗(yàn)證首先要檢查主、客體是否存在預(yù)期摘要值,如果不存在,則為其生成預(yù)期摘要值(首次執(zhí)行);否則計(jì)算主、客體的當(dāng)前摘要值,并且與保存的預(yù)期摘要值進(jìn)行比較;如果不一致,則拒絕本次訪(fǎng)問(wèn)請(qǐng)求。這樣做可以保證系統(tǒng)資源的一致性,進(jìn)而保證整個(gè)系統(tǒng)的一致性。(2)機(jī)密性:通過(guò)在框架中實(shí)施強(qiáng)制訪(fǎng)問(wèn)控制對(duì)登錄用戶(hù)、系統(tǒng)主體以及敏感信息進(jìn)行處理,有權(quán)限的合法可信用戶(hù)以及合法可信主體才可訪(fǎng)問(wèn)相應(yīng)級(jí)別的敏感信息,從而解決了前言中闡述的“內(nèi)部威脅”問(wèn)題。對(duì)于某些由于意外情況而賦予的訪(fǎng)問(wèn)許可,通過(guò)實(shí)施強(qiáng)制訪(fǎng)問(wèn)控制,其實(shí)施范圍也會(huì)限定在有限的區(qū)域,并且當(dāng)再次執(zhí)行訪(fǎng)問(wèn)控制決策時(shí),也會(huì)由于一致性驗(yàn)證不成功而拒絕訪(fǎng)問(wèn),從而保證了整個(gè)系統(tǒng)的機(jī)密性。(3)可用性:身份認(rèn)證是保證用戶(hù)身份合法性及唯一性的方法,而訪(fǎng)問(wèn)控制的有效性也需要建立在合法主體的基礎(chǔ)之上。該框架在普通Flask框架的基礎(chǔ)上增加了身份認(rèn)證和可信監(jiān)控,既解決了用戶(hù)身份的合法性又解決了訪(fǎng)問(wèn)控制實(shí)施的可信性,它在保證機(jī)密性、一致性的基礎(chǔ)上,對(duì)用戶(hù)透明,不需用戶(hù)干預(yù),具有良好的可用性,并且能與操作系統(tǒng)良好兼容。3強(qiáng)訪(fǎng)問(wèn)控制框架本文以通用硬件平臺(tái)和Linux-2.6.19內(nèi)核為基礎(chǔ)實(shí)現(xiàn)了此可信增強(qiáng)訪(fǎng)問(wèn)控制框架。由于所用通用平臺(tái),不具備TCG定義的可信根,因此原型中采用在其他項(xiàng)目中開(kāi)發(fā)的具備密碼功能和存儲(chǔ)機(jī)制的可信支撐模塊作為可信根。限于篇幅,本節(jié)只重點(diǎn)闡述這個(gè)可信增強(qiáng)的訪(fǎng)問(wèn)控制框架在內(nèi)核的實(shí)施流程。3.1與執(zhí)行相關(guān)的程序,包括是否被檢測(cè)可信驗(yàn)證機(jī)制是在位于內(nèi)核空間的安全服務(wù)器內(nèi)實(shí)施的,其主要在以下幾方面對(duì)內(nèi)核進(jìn)行了修改:(1)添加了measure系統(tǒng)調(diào)用。真實(shí)的可信驗(yàn)證是在內(nèi)核中執(zhí)行的,因此在內(nèi)核中添加了新的系統(tǒng)調(diào)用measure,其主要任務(wù)是識(shí)別系統(tǒng)(用戶(hù)或內(nèi)核級(jí))上的檢測(cè)點(diǎn),即與執(zhí)行相關(guān)的內(nèi)容載入的地方,并且在這些位置上插入measure系統(tǒng)調(diào)用(或在內(nèi)核里直接調(diào)用檢測(cè)代碼)。(2)添加了一個(gè)checkfile文件。checkfile文件用于存放檢測(cè)值列表,包括BIOS、操作系統(tǒng)裝載器、內(nèi)核以及應(yīng)用程序的檢測(cè)基準(zhǔn)值。在初始化可信驗(yàn)證之前,內(nèi)核首先要載入檢測(cè)值列表文件checkfile,若實(shí)際的啟動(dòng)或者運(yùn)行過(guò)程與預(yù)期的不同,則checkfile的驗(yàn)證將會(huì)失敗。不允許對(duì)checkfile文件進(jìn)行修改,否則攻擊者將會(huì)隱蔽完整性相關(guān)的行為。checkfile文件使用可信硬件保護(hù)。(3)在內(nèi)核代碼中實(shí)現(xiàn)訪(fǎng)問(wèn)控制的關(guān)鍵點(diǎn)上插入監(jiān)控函數(shù)monitor。monitor函數(shù)用于監(jiān)控某些關(guān)鍵的訪(fǎng)問(wèn)控制實(shí)施,對(duì)于在訪(fǎng)問(wèn)控制中出現(xiàn)的某些意外攻擊,monitor函數(shù)返回一個(gè)錯(cuò)誤信息,并通知相應(yīng)主體訪(fǎng)問(wèn)被篡改,需要撤銷(xiāo)此次訪(fǎng)問(wèn)操作。3.2訪(fǎng)問(wèn)控制的基本過(guò)程框架的實(shí)施過(guò)程包括框架的初始化和內(nèi)核實(shí)施兩個(gè)階段。前一過(guò)程是策略實(shí)施的基礎(chǔ),包括用戶(hù)身份認(rèn)證以及可信環(huán)境的建立。用戶(hù)身份認(rèn)證通過(guò)TCG規(guī)范中的雙向認(rèn)證來(lái)實(shí)施,克服了傳統(tǒng)認(rèn)證方式的缺陷,使得操作系統(tǒng)與用戶(hù)可以相互認(rèn)證,從而確保用戶(hù)身份信息正確映射到安全策略中;建立可信環(huán)境的目的在于將可信鏈傳遞到應(yīng)用層以確保系統(tǒng)加電直至可信增強(qiáng)內(nèi)核裝載完畢各個(gè)環(huán)節(jié)的可信。內(nèi)核實(shí)施包括策略初始化、主客體的完整性度量及驗(yàn)證以及安全策略的驗(yàn)證實(shí)施。策略初始化是將安全策略配置文件解密并導(dǎo)入內(nèi)核空間;主客體的完整性度量及驗(yàn)證是對(duì)實(shí)施訪(fǎng)問(wèn)控制操作的主客體進(jìn)行雜湊運(yùn)算,與主客體的度量基準(zhǔn)值進(jìn)行比較,以確保主體行為的可信性和客體數(shù)據(jù)的完整性和真實(shí)性。其具體過(guò)程將在下面具體描述;策略實(shí)施是對(duì)通過(guò)了完整性驗(yàn)證的訪(fǎng)問(wèn)控制依據(jù)安全策略庫(kù)實(shí)施安全策略裁決的過(guò)程。整個(gè)實(shí)施過(guò)程中前一環(huán)節(jié)為下一環(huán)節(jié)服務(wù),逐層建立了系統(tǒng)的可信計(jì)算基(TCB),從而保證了框架實(shí)施的可信性。主客體的完整性度量是最為關(guān)鍵的步驟,下面將重點(diǎn)介紹。為了實(shí)現(xiàn)對(duì)訪(fǎng)問(wèn)操作涉及的主客體的完整性度量及驗(yàn)證,本文在Linux內(nèi)核中加入了一個(gè)checkfile文件專(zhuān)門(mén)存放度量基準(zhǔn)值,其格式如下:當(dāng)主體發(fā)起對(duì)客體的訪(fǎng)問(wèn)請(qǐng)求時(shí),對(duì)象管理器將訪(fǎng)問(wèn)請(qǐng)求提交給安全服務(wù)器。安全服務(wù)器首先調(diào)用measure對(duì)相應(yīng)的主客體進(jìn)行可信檢測(cè)與驗(yàn)證,也即啟動(dòng)框架中的可信驗(yàn)證機(jī)制checkfile＿func()函數(shù)來(lái)調(diào)用calculate＿sha1()函數(shù),以對(duì)相應(yīng)的主客體進(jìn)行完整性度量,并且檢查相應(yīng)的主客體是否存在于checkfile中。如果不存在,則將已計(jì)算出的雜湊值擴(kuò)展到checkfile中,以作為下次判斷的依據(jù);如果存在,則調(diào)用strcmp()函數(shù)將所得的雜湊值與基準(zhǔn)值進(jìn)行比較。若不匹配就顯示警告信息,告訴用戶(hù)此次訪(fǎng)問(wèn)操作的主體或客體的完整性已經(jīng)被破壞,訪(fǎng)問(wèn)被拒絕;若匹配,則調(diào)用update＿checkfile()函數(shù)將所計(jì)算出的度量值擴(kuò)展到checkfile文件中,并且在measure系統(tǒng)調(diào)用返回前,擴(kuò)展相應(yīng)的PCR寄存器,同時(shí)將訪(fǎng)問(wèn)請(qǐng)求移交給安全策略服務(wù)器,由策略服務(wù)器檢查是否滿(mǎn)足安全策略。若不