技術領域

本發(fā)明涉及計算機信息安全可信計算領域，特別是涉及一種多虛擬域環(huán)境下針對TPM可信計算的TOCTOU攻擊響應方法。本發(fā)明的響應方法通過更新可信平臺模塊存儲的平臺信息來防御針對TPM可信計算的TOCTOU攻擊。

背景技術

目前大多數商用操作系統將內核程序(包括加載模塊)設計成擁有超級用戶權限，而且內核程序使用共享線性內存以便為提高系統效率，這導致了僅僅提供軟件加載驗證的TCG體系結構容易遭受TOCTOU(time?of?check?vstime?of?use)的攻擊。利用Xen虛擬機可以實現一個純軟件方案，來監(jiān)測針對客戶虛擬域TPM可信計算的TOCTOU攻擊。目前也有針對TPM可信計算的TOCTOU攻擊響應方法。基于圖1所示的將虛擬化技術與可信計算技術有機結合的終端平臺安全解決方案，作者(Sergey?Bratus，Nihal?D’Cunha，EvanSparks，Sean?Smith，TOCTOU，Traps，and?Trusted?Computing，TRUST2008)設計了監(jiān)測以及響應TOCTOU攻擊的方案，方法的示意圖見圖2。針對圖2響應系統的安全缺陷，北京交通大學常曉林老師申請了一個克服以上缺陷的響應方法的專利(申請?zhí)?00910078201.2，一種針對TPM可信計算的TOCTOU攻擊響應方法，如圖4所示。)，圖3為該響應方法的組件示意圖，該方法組件包括功能增強的vTPM設備程序和特權域代理模塊。

但是以上兩種響應方法只適用于單可信虛擬域環(huán)境，而在實際大多數情況下，Xen虛擬環(huán)境中很可能同時運行多個客戶虛擬域，我們有必要實現一種多域環(huán)境下針對TOCTOU攻擊的響應方法。

發(fā)明內容

本發(fā)明的目的在于為避免上述現有技術中的不足而提供的一種多虛擬域環(huán)境下針對TPM可信計算的TOCTOU攻擊響應方法。本發(fā)明的方法采用更新TPM存儲的平臺信息的手段，響應方法的組件包括特權域中實現的(1)功能增強的特權域內核心文件、(2)功能增強的虛擬域管理工具、(3)功能增強的vTPM設備程序、和(4)特權域代理模塊，以及虛擬機監(jiān)控器中實現內存監(jiān)控模塊。在本發(fā)明提供的方法中，特權域與虛擬機監(jiān)控器之間額外定義了1個hypercall(T_hypercall)，用于特權域向虛擬機監(jiān)控器傳遞信息，定義10個虛擬中斷(T_vIRQ)，用于虛擬機監(jiān)控器向特權域傳遞關于某個可信虛擬域的信息，每個虛擬中斷對應一個運行的可信虛擬域。

本發(fā)明的目的可以通過以下措施來達到：

1.多虛擬域環(huán)境下針對TPM可信計算的TOCTOU攻擊響應方法，方法組件包括特權域中實現的功能增強的特權域內核心文件、功能增強的虛擬域管理工具、功能增強的vTPM設備程序和特權域代理模塊，以及虛擬機監(jiān)控器中實現內存監(jiān)控模塊；響應方法的具體步驟如下：

步驟1，特權域中通過功能增強的虛擬域管理工具啟動虛擬域，功能增強虛擬域管理工具維護一張T_vIRQ與vTPM設備標識號對應表(每個可信客戶虛擬域有一個獨立的vTPM設備標識號)，該對應表存放在/etc目錄下；虛擬域管理工具為每個啟動的可信客戶虛擬域分配一個沒有使用的T_vIRQ，同時更新對應表；當可信客戶虛擬域不工作時，虛擬域管理工具解除該虛擬域與T_vIRQ的綁定關系，同時更新對應表；每當對應表內容發(fā)生變化時，虛擬域管理工具都將該對應表傳遞給特權域代理模塊，然后特權域代理模塊通過T_hypercall傳遞給虛擬機監(jiān)控器的內存監(jiān)控模塊；

步驟2，當特權域代理模塊接收到虛擬機監(jiān)控器通過T_vIRQ發(fā)來的TOCTOU攻擊消息后，會立即根據T_vIRQ的標識號到/etc/目錄下的對應表查找對應項，獲得vTPM設備標識號；然后在/proc目錄下創(chuàng)建文件名為vTPM％s的文件，其中％s表示vTPM設備標識號，并將內容置成1，表示虛擬域內存已被篡改；

步驟3，功能增強的vTPM設備程序接收到來自客戶虛擬域的TPM指令時，先不處理TPM指令，而是根據自身的vTPM設備標識號去查找是否有/proc/vTPM$s文件，如果沒有或者文件存在但內容為0，則正常處理TPM指令；否則利用當前系統時間為種子，產生一隨機數，并用該隨機數對指定的PCR寄存器內容進行擴展，同時將/proc/vTPM$s文件的內容置成0，然后再處理TPM指令；