[发明专利]一种响应TOCTOU攻击的轻量级方法

说明书

技术领域

本发明涉及计算机信息安全可信计算领域，特别是涉及一种Xen虚拟环境下响应TCG体系结构的TOCTOU攻击的轻量级方法。

背景技术

TCG体系结构利用固化在计算机主板上的TPM硬件芯片的PCR寄存器的内容来判定实际平台的安全性。然而大多数商用操作系统的设计模式使得仅仅提供软件加载验证的TCG体系结构容易遭受TOCTOU(time of check vs timeof use)的攻击。利用Xen虚拟机可以实现一个纯软件方案，来监测客户虚拟域发生的TOCTOU攻击并响应攻击。

图1给出了一种Xen虚拟环境下的虚拟可信设备(vTPM)框架系统。在该vTPM框架系统中，每个虚拟域用DomID来惟一标识；特权域为每个可信客户虚拟域提供一个独立vTPM设备(一个vTPM设备就是特权域用户空间的一个进程)，用vID来惟一标识；任何来自可信虚拟域的TPM指令将经过vTPM前端驱动、vTPM后端驱动、vTPM设备管理工具，然后传到相应vTPM设备；TPM指令的处理结果经过vTPM设备管理工具、vTPM后端驱动、vTPM前端驱动传回到可信客户虚拟域。图2为图1系统中特权域处理一个来自可信虚拟域的TPM指令的信息流程图，所有来自可信虚拟域的TPM指令都先放在vtpm后端驱动的pending_pak队列，等待“vtpm_op_read处理过程”的处理。图3为图1系统中特权域处理一个来自可信虚拟域的TPM指令的处理序列；对于一个TPM指令，vTPM设备管理工具(特权域用户空间的一个进程)需要两次调用read函数才获得一个完整的TPM指令(Dhead+Dbody)以及对应的vID(vTPM设备管理工具根据该vID值判定所接收的TPM指令应该发送到哪个vTPM设备)；而对于一个TPM指令的处理结果(Dresult)，vTPM设备管理工具只需要调用write函数一次就将结果传递到可信客户虚拟域的内存空间。图4给出图2中“vtpm_op_read处理过程”的流程图，其中阴影框是异常处理部分；vTPM设备管理工具对read函数的每一次调用都触发该流程，该流程首先根据自己的状态(aborted的值)决定是否响应。图5给出图2中“vtpm_op_write处理过程”的流程图，其中阴影框是异常处理部分；vTPM设备管理工具对write函数的每一次调用都触发“vtpm_op_write处理过程”的流程；在该流程中，vTPM后端驱动首先根据从vTPM设备管理工具发送过来的vID判断current_pak队列是否有相应的vTPM前端驱动的信息(FEpak)，如果有，再根据FEpak.flags判断是否需要将TPM指令处理结果传给vTPM前端驱动。

基于上述vTPM框架系统，作者(Sergey Bratus，Nihal D’Cunha，EvanSparks，Sean Smith，TOCTOU，Traps，and Trusted Computing，TRUST2008)设计了监测以及响应TOCTOU攻击的方案，但该响应方案不能处理下列情况的TOCTOU攻击(本专利称之为JustAttack攻击)，即下列情况下的TPM指令的结果不能正确反映实际平台的状态：在特权域收到伪造包时已经接收到的TPM指令，但是vTPM设备还没有处理该TPM指令或者处理结果还没通知vTPM后端驱动。针对上述响应系统的安全缺陷，北京交通大学韩臻老师申请了一个专利(申请号200910078201.2，多虚拟域环境下针对TPM可信计算的TOCTOU攻击响应方法)，用于克服以上缺陷；但是该响应方法在安全上只是部分解决了JustAttack问题，此外该响应方法给原有系统带来负作用，降低了原有系统在没有攻击的情况下的系统性能。

发明内容

本发明的目的在于克服上述现有技术中的不足之处而提供一种响应TOCTOU攻击的轻量级方法，在保证安全前提下充分考虑系统性能。该方法包括：当虚拟机监控器检测到攻击时，立即通知特权域；特权域接到通知后，一方面伪造TPM指令对被攻击的可信客户虚拟域所使用的vTPM设备的PCR寄存器进行内容更新，另一方面对vTPM设备已经处理的、但处理结果还没有离开特权域的TPM指令，进行监管和并做相应的处理，保证这些TPM指令的处理结果能正确反映相应的可信客户虚拟域平台状态；在原系统的异常处理部分实现TPM指令的伪造和发送、实现上述对TPM指令处理结果的监控和处理。

本发明的目的可以通过以下措施来达到：

方法组件包括在特权域vTPM后端驱动实现的四个模快和在虚拟机监控器中实现的攻击管理模块。响应方法的具体步骤如下：