收藏
下载资源

操作系统内核的动态可信度量模型.doc

上传人:枫** 文档编号:562107343 上传时间:2023-01-26 格式:DOC 页数:11 大小:46KB
返回 下载 相关 举报
操作系统内核的动态可信度量模型.doc_第1页
第1页 / 共11页
操作系统内核的动态可信度量模型.doc_第2页
第2页 / 共11页
操作系统内核的动态可信度量模型.doc_第3页
第3页 / 共11页
操作系统内核的动态可信度量模型.doc_第4页
第4页 / 共11页
操作系统内核的动态可信度量模型.doc_第5页
第5页 / 共11页
点击查看更多>>
资源描述

《操作系统内核的动态可信度量模型.doc》由会员分享,可在线阅读,更多相关《操作系统内核的动态可信度量模型.doc(11页珍藏版)》请在金锄头文库上搜索。

1、 操作系统内核的动态可信度量模型摘要:动态可信度量是可信计算的研究热点和难点,针对由操作系统内核动态性所引起的可信度量困难问题,提出一种操作系统内核的动态可信度量模型,使用动态度量变量描述和构建系统动态数据对象及其关系,对内核内存进行实时数据采集,采用语义约束描述内核动态数据的动态完整性,通过语义约束检查验证内核动态数据是否维持其动态完整性。给出了模型的动态度量性质分析与证明,模型能够有效地对操作系统内核的动态数据进行可信度量,识别对内核动态数据的非法篡改。关键词:可信计算;可信度量;动态度量;操作系统内核;远程证明dynamic trusted measurement model of op

2、erating system kernelxin si.yuan1*, zhao yong2, liao jian.hua3, wang ting41institute of electronic technology, information engineering university, zhengzhou henan 450004,china;2college of computer science,beijing university of technology,beijing 100124,china;3school of electronics engineering and co

3、mputer science, peking university, beijing 100871, china;4 unit 65047 of pla,shenyang liaoning 100805,chinaabstract:dynamic trusted measurement is a hot and difficult research topic in trusted computing. aim at the measurement difficulty problem invoked by the dynamic nature of operating system kern

4、el a dynamic trusted kernel measurement (dtkm) model is proposed, dynamic measurement variable (dmv) is presented to describe and construct dynamic data objects and their relations, and the method of semantic constraint is proposed to measure the dynamic integrity of kernel components.in dtkm, the c

5、ollection of memory data is implemented in real time, and the dynamic integrity is verified by checking whether the constructed dmv is consistent with semantic constraints which are defined based on the security semantic. formal analysis and application examples show that dtkm can effectively implem

6、ent dynamic measurement of the kernel and detect the illegal modification of the kernel dynamic data.dynamic trusted measurement is a hot and difficult research topic in trusted computing. concerning the measurement difficulty invoked by the dynamic nature of operating system kernel, a dynamic trust

7、ed kernel measurement (dtkm) model was proposed. dynamic measurement variable (dmv) was presented to describe and construct dynamic data objects and their relations, and the method of semantic constraint was proposed to measure the dynamic integrity of kernel components. in dtkm, the collection of m

8、emory data was implemented in real.time, and the dynamic integrity was verified by checking whether the constructed dmv was consistent with semantic constraints which were defined based on the security semantics. the nature analysis and application examples show that dtkm can effectively implement d

9、ynamic measurement of the kernel and detect the illegal modification of the kernel dynamic data.key words:trusted computing; trusted measurement; dynamic measurement; operating system kernel; remote attestation0引言可信度量是可信计算的关键技术,用于测量和评估系统预期描述和系统实际行为的符合程度,对于可信计算平台的信任链构建、远程证明起到重要的支撑作用。可信度量在一定的时间点对度量对象的

10、状态信息进行采集,以检验度量对象的当前状态是否符合预期1。目前,可信计算平台中的可信度量大多采用静态完整性度量方法2-5,在计算实体启动和控制权传递之前,使用杂凑算法计算度量对象静态文件的摘要值,与事先记录的基准值相比较,从而判定将要运行的实体是否符合预期。然而,当计算实体获得控制权并处于运行状态之后,其可信状态可能遭受动态的恶意篡改,破坏计算实体运行的可信性。操作系统内核作为计算平台硬件之上的第一层软件,运行于cpu的最高特权级,是可信计算平台的核心构件。由于操作系统内核动态性和复杂性,仅在操作系统启动之前度量硬盘中的静态镜像文件的静态摘要值是不够的,操作系统内核在运行过程中可能受到缓冲区溢

11、出、直接内存存取(direct memory access,dma)外设攻击6等动态的攻击行为,使操作系统进入非预期的状态,此时再将静态的操作系统度量信息报告给远程平台会出现度量时与使用时状态的不一致问题7,造成失效的远程证明。因此,操作系统内核的动态可信度量研究对构建可信计算环境、实现动态的远程证明具有重要意义。现有的操作系统动态度量研究中,copilot系统8基于协处理器以dma方式周期性地对正在运行的操作系统内核代码段、只读数据等部分进行动态度量。文献1的动态完整性度量框架对进程、内核模块的内存代码进行度量,但这两种方式还是基于杂凑函数对操作系统内核内存中的静态部分进行度量,无法度量在操

12、作系统运行过程中动态变化的数据。文献9提出了程序控制流完整性的概念。文献10通过扫描分析操作系统内核的源码,对运行时的操作系统内核控制流进行监控,度量内核的控制流完整性,此方法依赖于系统源码,仅关注函数指针等控制数据,无法度量系统中非控制动态数据11;操作系统内核上下文监控技术12提供了一种度量内核运行时上下文中重要数据结构的方法,通过分析内核中的重要数据结构,对动态数据中的函数指针以及其上下文环境进行记录,然而此方法并没有给出分析所采集到的上下文动态数据的方法,无法判断操作系统的状态是否符合预期。文献13通过基于软件的方法对嵌入式设备的内存进行度量,通过伪随机的方式对设备内存进行遍历和度量,

13、这种方式侧重于通过精心的设计和构造保证度量模块受到篡改后能够被发现,它将设备的内存块作为一个整体进行度量,不能有效地对设备内存的动态部分进行度量。文献14和文献15采用内核执行保护的思想,分别用硬件虚拟技术和影子内存技术(memory shadowing)保证只有证明过的代码才能够在内核态执行,但依然只能证明和保护静态的内核代码部分,对于如何度量和证明动态的内核数据部分并未解决。现有的操作系统可信度量研究,能够对内核运行过程中内存的静态部分进行度量,读取和采集一定的内核动态数据,但不能描述内核动态部分的预期状态,无法对内核中动态变化的数据进行可信度量。第4期辛思远等:操作系统内核的动态可信度量

14、模型计算机应用 第32卷针对由操作系统内核的动态性引起的可信度量困难问题,本文提出了一种操作系统内核的动态可信度量(dynamic trusted kernel measurement,dtkm)模型,对于加载到内存、处于运行状态的操作系统内核动态数据对象进行动态度量。给出了动态完整性的概念,通过语义约束来描述内核动态元素的动态完整性,采用构造度量变量的方法统一描述度量的对象和内容,对动态的内核内存进行数据采集,验证动态度量对象是否符合预期的语义约束,实现对处于运行状态的操作系统内核的可信动态度量。1模型组成在操作系统内核加载到内存中的各种组成元素中,内核的代码段、只读数据段、系统调用表、中断

15、描述符表、全局描述符表等元素在操作系统运行过程中是静态不变的,仍然可以使用杂凑函数进行实时的度量,而内核初始化数据段、未初始化数据段、内核页表、进程链表等数据动态变化,需要进行动态的可信度量。操作系统内核的动态元素大多都是一些动态的数据内容,这些数据会随着操作系统的运行而动态变化,而数据结构是数据存在的主要形式,研究内核的重要数据结构对象在动态变化中的变化轮廓和相互关系,表达和度量内核动态数据中的安全不变式,是内核动态度量研究的一个有效的切入点。基于上述思想,本文给出一种操作系统内核的动态可信度量模型,针对运行时操作系统内核的动态数据对象进行动态可信度量。模型的基本前提假设是:1)操作系统内核

16、的关键数据结构定义是已知的;2)内核关键数据结构对象在内核空间中的起始地址是已知的。这两个假设在现实中是可行的,数据结构定义可以从操作系统内核头文件中获取,数据对象可以从内核符号映射表中获取,如linux系统的system.map文件。下面给出模型的基本符号:o=o1,o2,on表示操作系统内核的静态元素集,在操作系统运行过程中固定不变;d=d1,d2,dn表示操作系统内核的动态元素集,在操作系统运行过程中动态变化;t=t1,t2,tn表示时间集合。定义1信息资源未受任何授权修改和非法篡改而保持自身的完整属性称为静态完整性,sintg(o,t)=true表示对象o的静态完整性在时刻t没有遭到破坏。定义2信息资源经过正常的授权修

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 社会民生

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号