抗電路板級物理攻擊的操作系統(tǒng)防御技術(shù)研究
發(fā)布時間:2021-01-10 21:25
計算設(shè)備處理和存儲日益增多的敏感信息,如口令和指紋信息等,對安全性提出更高要求.物理攻擊技術(shù)的發(fā)展催生了一種通過攻擊電路板級硬件組件來獲取操作系統(tǒng)機(jī)密信息的攻擊方法:電路板級物理攻擊.該類攻擊具有工具簡單、成本低、易流程化等特點,極容易被攻擊者利用形成黑色產(chǎn)業(yè),是操作系統(tǒng)面臨的新安全威脅和挑戰(zhàn).在處理器上擴(kuò)展內(nèi)存加密引擎可抵抗該類攻擊,但是目前大部分計算設(shè)備并未配備該硬件安全機(jī)制.學(xué)術(shù)界和產(chǎn)業(yè)界提出軟件方式抗電路板級物理攻擊的操作系統(tǒng)防御技術(shù),該類技術(shù)已成為近年來的研究熱點.深入分析了該類技術(shù)的研究進(jìn)展,總結(jié)其技術(shù)優(yōu)勢和不足,并探討其發(fā)展趨勢.首先,介紹了電路板級物理攻擊的定義、威脅模型、現(xiàn)實攻擊實例.之后,介紹軟件方式抗電路板級物理攻擊的操作系統(tǒng)防御技術(shù)所依賴的一些基礎(chǔ)技術(shù).然后,對該類防御技術(shù)的研究進(jìn)展按照保護(hù)范圍進(jìn)行分類總結(jié)和歸納.最后,分析了該類防御技術(shù)的優(yōu)勢與不足,給出工程實現(xiàn)建議,并探討該類防御技術(shù)未來的研究趨勢.
【文章來源】:軟件學(xué)報. 2020,31(10)北大核心
【文章頁數(shù)】:27 頁
【部分圖文】:
Fig.1Threatmodelfortheboardlevelphysicalattacks圖1板級物理攻擊威脅模型
CPU讀取的就是正常片外RAM地址B處的內(nèi)容.重放攻擊:敵手將地址A處的內(nèi)容替換為地址A以前某一時刻的內(nèi)容.敵手在某一時刻將正常片外RAM地址A處的內(nèi)容記錄在惡意片外RAM地址A處.在之后的某一時刻CPU讀取地址A處的內(nèi)容時,敵手將數(shù)據(jù)總線切換到惡意片外RAM,這樣CPU實際讀取的是地址A以前的內(nèi)容.1.2實際板級物理攻擊現(xiàn)實世界中已經(jīng)出現(xiàn)了眾多板級物理攻擊實例,攻破了DRAM接口、系統(tǒng)總線和DMA外設(shè)接口等硬件組件(如圖2所示).Fig.2Illustrationofreal-worldboardlevelphysicalattacks圖2實際板級物理攻擊示意圖具體攻擊方法主要包含冷啟動攻擊、總線攻擊以及DMA攻擊.冷啟動攻擊[15]利用DRAM的斷電存留特點[48](DRAM內(nèi)存在斷電1~2s內(nèi),大部分?jǐn)?shù)據(jù)仍殘留在內(nèi)存上,并且通過給DRAM降溫可以延長數(shù)據(jù)存留時間),通過物理斷電重啟設(shè)備并重刷固件的方式在設(shè)備上加載惡意攻擊程序,利用該惡意程序獲取DRAM內(nèi)存的鏡像,進(jìn)一步分析該鏡像即可獲得內(nèi)存中的密鑰等機(jī)密信息.普林斯頓大學(xué)的研究團(tuán)隊[1]實際測量了低溫下DRAM隨溫度變化數(shù)據(jù)的損失率,測量結(jié)果發(fā)現(xiàn)在–50℃溫度下,掉電DRAM每隔10分鐘僅損失1%的數(shù)據(jù);在–196℃溫度下,掉電DRAM每隔60分鐘僅損失0.17%的數(shù)據(jù).該團(tuán)隊成功實施了幾種類型的攻擊:低溫下直接重啟或斷電重啟后加載惡意內(nèi)核來讀取DRAM鏡像,或直接將DRAM內(nèi)存條移植到一個攻擊計算機(jī)上來讀取鏡像,最終從DRAM鏡像中獲得了全盤加密系統(tǒng)的AES密鑰以及RSA密鑰等機(jī)密數(shù)據(jù).德國埃爾朗根-紐倫堡大
來說操作系統(tǒng)的地址空間遠(yuǎn)遠(yuǎn)大于TLB所能保護(hù)的地址空間,因此同樣存在由于部分地址空間沒有被保護(hù)而受到攻擊的缺陷,譬如以下攻擊:(1)一旦CPU執(zhí)行片外RAM中的指令,攻擊者即通過總線向CPU注入清空TLB指令,使得鎖定的TLB失效,而CPU再次建立地址映射時頁表已經(jīng)被攻擊者篡改;(2)如果中斷處理代碼沒有受到完整的保護(hù),攻擊者可以向CPU發(fā)起硬件中斷,將未被保護(hù)的中斷處理代碼(即位于片外RAM中的代碼)篡改為清空TLB指令或其他惡意代碼來控制系統(tǒng).Fig.4Anexampleofboardlevelphysicalattacks圖4板級物理攻擊實例第3.1節(jié)和第3.2節(jié)的密碼算法保障和應(yīng)用程序保護(hù)類工作無法從根本上抵抗板級物理攻擊的主要原因在于防御組件無法對其所在的地址空間進(jìn)行整體保護(hù)(如果防御組件實現(xiàn)為內(nèi)核模塊,那么其所在地址空間就是內(nèi)核地址空間).雖然部分方案提出將所有的代碼特別是管理代碼全部放入片內(nèi)存儲的思路,但是圖4描述的攻擊表明這種思路對實際的操作系統(tǒng)內(nèi)核是不可行的:由于操作系統(tǒng)內(nèi)核體積較大無法全部放入片內(nèi)存儲,攻擊者可以攻擊未受保護(hù)的那些代碼和數(shù)據(jù),并且如果防御組件缺乏對頁表、中斷處理等關(guān)鍵數(shù)據(jù)和代碼的保護(hù)則會加速攻擊過程,而這恰恰是當(dāng)前眾多方案所缺乏的.針對該安全問題,學(xué)術(shù)界提出了全系統(tǒng)加密技術(shù),該技術(shù)的思路是對防御組件所在的地址空間進(jìn)行整體防護(hù).一般來說防御組件位于內(nèi)核層,因此這類工作基本上對操作系統(tǒng)內(nèi)核進(jìn)行了整體防護(hù),并向上對應(yīng)用層內(nèi)存也進(jìn)行了加密和完整性保護(hù).根據(jù)技術(shù)實現(xiàn)思路的不同,全系統(tǒng)加密技術(shù)可分為輕量級操作系統(tǒng)全系統(tǒng)加密和基于請求分頁系統(tǒng)的全系統(tǒng)加
本文編號:2969439
【文章來源】:軟件學(xué)報. 2020,31(10)北大核心
【文章頁數(shù)】:27 頁
【部分圖文】:
Fig.1Threatmodelfortheboardlevelphysicalattacks圖1板級物理攻擊威脅模型
CPU讀取的就是正常片外RAM地址B處的內(nèi)容.重放攻擊:敵手將地址A處的內(nèi)容替換為地址A以前某一時刻的內(nèi)容.敵手在某一時刻將正常片外RAM地址A處的內(nèi)容記錄在惡意片外RAM地址A處.在之后的某一時刻CPU讀取地址A處的內(nèi)容時,敵手將數(shù)據(jù)總線切換到惡意片外RAM,這樣CPU實際讀取的是地址A以前的內(nèi)容.1.2實際板級物理攻擊現(xiàn)實世界中已經(jīng)出現(xiàn)了眾多板級物理攻擊實例,攻破了DRAM接口、系統(tǒng)總線和DMA外設(shè)接口等硬件組件(如圖2所示).Fig.2Illustrationofreal-worldboardlevelphysicalattacks圖2實際板級物理攻擊示意圖具體攻擊方法主要包含冷啟動攻擊、總線攻擊以及DMA攻擊.冷啟動攻擊[15]利用DRAM的斷電存留特點[48](DRAM內(nèi)存在斷電1~2s內(nèi),大部分?jǐn)?shù)據(jù)仍殘留在內(nèi)存上,并且通過給DRAM降溫可以延長數(shù)據(jù)存留時間),通過物理斷電重啟設(shè)備并重刷固件的方式在設(shè)備上加載惡意攻擊程序,利用該惡意程序獲取DRAM內(nèi)存的鏡像,進(jìn)一步分析該鏡像即可獲得內(nèi)存中的密鑰等機(jī)密信息.普林斯頓大學(xué)的研究團(tuán)隊[1]實際測量了低溫下DRAM隨溫度變化數(shù)據(jù)的損失率,測量結(jié)果發(fā)現(xiàn)在–50℃溫度下,掉電DRAM每隔10分鐘僅損失1%的數(shù)據(jù);在–196℃溫度下,掉電DRAM每隔60分鐘僅損失0.17%的數(shù)據(jù).該團(tuán)隊成功實施了幾種類型的攻擊:低溫下直接重啟或斷電重啟后加載惡意內(nèi)核來讀取DRAM鏡像,或直接將DRAM內(nèi)存條移植到一個攻擊計算機(jī)上來讀取鏡像,最終從DRAM鏡像中獲得了全盤加密系統(tǒng)的AES密鑰以及RSA密鑰等機(jī)密數(shù)據(jù).德國埃爾朗根-紐倫堡大
來說操作系統(tǒng)的地址空間遠(yuǎn)遠(yuǎn)大于TLB所能保護(hù)的地址空間,因此同樣存在由于部分地址空間沒有被保護(hù)而受到攻擊的缺陷,譬如以下攻擊:(1)一旦CPU執(zhí)行片外RAM中的指令,攻擊者即通過總線向CPU注入清空TLB指令,使得鎖定的TLB失效,而CPU再次建立地址映射時頁表已經(jīng)被攻擊者篡改;(2)如果中斷處理代碼沒有受到完整的保護(hù),攻擊者可以向CPU發(fā)起硬件中斷,將未被保護(hù)的中斷處理代碼(即位于片外RAM中的代碼)篡改為清空TLB指令或其他惡意代碼來控制系統(tǒng).Fig.4Anexampleofboardlevelphysicalattacks圖4板級物理攻擊實例第3.1節(jié)和第3.2節(jié)的密碼算法保障和應(yīng)用程序保護(hù)類工作無法從根本上抵抗板級物理攻擊的主要原因在于防御組件無法對其所在的地址空間進(jìn)行整體保護(hù)(如果防御組件實現(xiàn)為內(nèi)核模塊,那么其所在地址空間就是內(nèi)核地址空間).雖然部分方案提出將所有的代碼特別是管理代碼全部放入片內(nèi)存儲的思路,但是圖4描述的攻擊表明這種思路對實際的操作系統(tǒng)內(nèi)核是不可行的:由于操作系統(tǒng)內(nèi)核體積較大無法全部放入片內(nèi)存儲,攻擊者可以攻擊未受保護(hù)的那些代碼和數(shù)據(jù),并且如果防御組件缺乏對頁表、中斷處理等關(guān)鍵數(shù)據(jù)和代碼的保護(hù)則會加速攻擊過程,而這恰恰是當(dāng)前眾多方案所缺乏的.針對該安全問題,學(xué)術(shù)界提出了全系統(tǒng)加密技術(shù),該技術(shù)的思路是對防御組件所在的地址空間進(jìn)行整體防護(hù).一般來說防御組件位于內(nèi)核層,因此這類工作基本上對操作系統(tǒng)內(nèi)核進(jìn)行了整體防護(hù),并向上對應(yīng)用層內(nèi)存也進(jìn)行了加密和完整性保護(hù).根據(jù)技術(shù)實現(xiàn)思路的不同,全系統(tǒng)加密技術(shù)可分為輕量級操作系統(tǒng)全系統(tǒng)加密和基于請求分頁系統(tǒng)的全系統(tǒng)加
本文編號:2969439
本文鏈接:http://www.lk138.cn/kejilunwen/jisuanjikexuelunwen/2969439.html
最近更新
教材專著