基于可信计算技术的移动代码安全研究

摘要

互联网的飞速发展使移动代码及相关技术得到了极大的发展，广泛存在的诸如“动态内容（Active Contents）”、“脚本语言（Scripting）”、“宏（Macro）”、“应用程序（Applet）”、“自定义控制（Custom Control）”等，这类代码被统称为“移动代码”。由于移动代码的移动性、动态性和多态性，在给用户带来方便性的同时，移动代码所引发的安全问题也突现。关于移动代码的安全一直是难以解决的问题，特别是在对安全要求较高的环境中，安全问题严重影响着移动代码的发展和应用。本文主要基于可信计算思想及技术研究如何防范恶意的移动代码对主机资源的破坏以及恶意的主机对于移动代码的攻击。 当前，可信计算及其应用已经成为研究热点。可信计算在可信认证、可信度量、可信存储等方面为安全应用支撑平台的建立提供基础支持。按照可信计算技术思路，代码是否可信是基于代码的行为而言的，相比传统的以代码静态特征为依据的检测和防范手段而言，从行为的度量和控制方面研究移动代码的安全能够弥补传统技术的不足，符合信息安全的发展趋势。目前可信计算平台对于应用支持方面的研究仍存在很多值得研究的问题，本文所探讨的基于可信计算技术的移动代码安全保护就是其中一个方面，在此方面所做的探讨和研究也将对可信计算技术的进一步推广产生积极效应。 本文综述了移动代码的特征以及由此引发的安全问题，分析当前研究中存在的问题和不足之处，指出现有的静态特征码扫描技术在恶意移动代码变体以及未知类型移动代码识别方面已经存在明显缺陷和短板，要解决未知移动代码的安全防护问题必须以可信计算平台技术为基础，以移动代码的行为特征为核心，构筑主动防御体系。在信息安全保障“一个中心三重防护体系”框架下，本文针对移动代码安全提出了一个三重防护模型，以代码行为特征为基本出发点，试图从移动代码来源控制、移动代码可信验证以及移动代码行为控制三个层面建立移动代码安全的综合防御体系，并对其中的关键技术进行重点研究。具体来说，本文在以下方面进行了较为深入的研究。 1）以源头控制为主导思想，对移动代码的来源平台进行度量和证明，提出一种基于终端行为特征的可信网络连接控制方法，将终端行为特征作为度量指标，与其它方法相比能够更加实时和准确地反映平台状态，并实时地将恶意主机阻断在网络环境之外，从源头有效控制恶意移动代码的入侵。 2）移动代码“生产平台”和“消费平台”之间的信任关系建立有助于对移动代码消费平台的保护，结合自动信任协商ATN技术，依靠逐步披露的平台身份证书和行为属性证书，在陌生的移动代码生产者和移动代码消费者之间建立信任关系，该方法不仅解决了跨域平台的信任建立难题，同时保护了平台属性等隐私信息。 3）当移动代码消费平台接收到外来的移动代码时，对其进行检测和验证是抵御恶意移动代码攻击的重要环节，为此本文首次提出了以移动代码宿主解释进程的综合行为特征为依据的移动代码检测和判定方法。通过引入攻击树模型描述代码在执行过程中生成和调用的所有中间代码以及目标代码的逻辑关系，计算得到移动代码恶意性权值，进而对代码是否可信作出判别。实验表明相对于已有的静态特征识别方法和行为特征序列识别方法，本文提出的方法具有极低的漏报率和误报率，并且对于未知恶意代码的识别具有积极意义。 4）针对移动代码存在的不同形态，对其行为实施有效控制，把系统中的所有主客体划分为已标识域和未标识域，在生产系统中对移动代码实施标记，通过访问控制机制明确限定代码能够访问的资源范围，实现主机平台对恶意移动代码的“自免疫”。对于无法准确标记以及开放网络环境下的移动代码，提出了一种面向可信标识对象的移动代码访问控制模型，该模型以“管道封装”思想为基础，通过对移动代码及其相关资源的封装，限定代码的作用范围，同时通过对代码的可信状态进行区分，限制不可信的以及不确定的移动代码对本地资源的威胁。 5）基于可信计算平台技术以及密封存储机制，对移动代码所携带资源实施密封（Seal）保护，使得只有授权的用户在授权的终端平台上才能够通过解封（UnSeal）得到移动代码和其携带的敏感资源信息的明文，以此保证移动代码中敏感资源的机密性，防止恶意主机平台对于移动代码的篡改和破坏，以及恶意用户对移动代码中敏感信息的窃取。

目录

文摘

英文文摘

声明

致谢

1 绪论

1.1 研究背景

1.1.1 移动代码的特点、优势及其应用

1.1.2 移动代码的安全问题及其特殊性

1.1.3 信息安全及等级保护的保障框架

1.2 研究现状

1.2.1 相关研究方法及成果综述

1.2.2 已有安全技术存在的问题

1.2.3 可信计算技术及其新思路

1.3 研究内容

1.3.1 基于可信计算的移动代码安全模型

1.3.2 基于生产平台状态的代码来源控制

1.3.3 代码生产者和消费者间的信任协商

1.3.4 基于行为特征的移动代码可信验证

1.3.5 移动代码行为控制方法及访控模型

1.4 论文组织结构

2 可信计算平台技术

2.1 可信计算的发展情况

2.2 可信计算的可信含义

2.3 可信计算与行为可信

2.4 可信计算平台体系结构

2.5 信任根与信任链建立

2.6 可信计算平台与应用

2.7 TCB扩展与可信网络

2.8 小结

3 移动代码安全的三重保护模型

3.1 引言

3.2 可信计算平台的基础保障作用

3.3 移动代码安全的三重保护模型

3.4 对消费平台的层次化安全保护

3.5 对移动代码的层次化安全保护

3.6 移动代码安全平台的实用模型

3.7 小结

4 基于可信网络连接的移动代码来源控制

4.1 引言

4.2 相关研究背景

4.2.1 网络接入控制-NAC

4.2.2 网络访问保护-NAP

4.2.3 可信网络连接-TNC

4.3 相关研究中存在的问题

4.4 终端行为的可信度量

4.4.1 基于行为的终端状态描述

4.4.2 基于行为的终端状态度量

4.4.3 终端状态可信的判定策略

4.5 基于终端行为的可信网络连接控制模型EBTNC

4.5.1 EBTNC基本架构

4.5.2 EBTNC工作流程

4.6 EBTNC原型系统设计

4.7 EBTNC实验结果统计

4.8 EBTNC与其它方法的对比分析

4.9 小结

5 基于进程行为特征的移动代码可信验证

5.1 引言

5.2 相关研究背景

5.2.1 依据代码静态特征的检验方法

5.2.2 依据代码行为特征的检测方法

5.3 恶意代码的行为特征分析

5.3.1 病毒行为特征

5.3.2 木马行为特征

5.3.3 蠕虫行为特征

5.3.4 流氓软件行为特征

5.4 基于综合行为特征的移动代码分析方法IBC-DA

5.4.1 攻击树模型在行为特征分析中的应用

5.4.2 基于改造攻击树的恶意代码识别算法

5.4.3 IBC-DA算法的合理性分析

5.4.4 IBC-DA原型系统设计实现

5.4.5 IBC-DA实验结果统计分析

5.5 基于行为可信证书的移动代码判定模型ATNMCVM

5.5.1 自动信任协商基础

5.5.2 ATN在可信移动代码判定模型中的意义

5.5.3 ATNMCVM模型

5.5.4 实验及性能分析

5.6 小结

6 基于可信计算技术的移动代码行为控制

6.1 引言

6.2 基于完整性校验的移动代码启动行为的控制

6.2.1 静态可执行代码一致性校验

6.2.2 动态解释型代码一致性校验

6.2.3 主机对恶意代码自免疫机制

6.3 面向可信标识对象的移动代码行为控制模型TEOOSM

6.3.1 面向对象思想在访控模型中的应用

6.3.2 可信标识对象、类及可信状态定义

6.3.3 TEOOSM模型的可信扩展基本规则

6.3.4 对象内部访问控制规则形式化描述

6.3.5 对象之间访问控制规则形式化描述

6.3.6 类间对象访问控制规则形式化描述

6.3.7 TEOOSM安全性分析

6.3.8 TEOOSM在移动代码访控中的应用

6.4 基于密封存储的移动代码数据保护模型SBMAC

6.4.1 环境密钥生成思想及其应用

6.4.2 可信平台模块与密封存储

6.4.3 利用密封存储保护移动代码

6.4.4 SBMAC安全性分析

6.5 小结

7 移动代码保护技术在实际系统中的应用

7.1 生产系统中的移动代码保护

7.2 应用区域边界“安全检查室”

7.3 开放网络中的移动代码保护

8 总结

8.1 论文的主要贡献

8.2 不足以及下一步工作方向

参考文献

作者简历