基于可信计算技术的网络空间防御策略

【 摘 要 】 论文研究分析了“震网”对网络空间的攻击行为，为实现网络空间安全，引入了可信计算技术，以可信密码模块为信任根，在安全操作系统之上，配置密钥协商和进程预期值匹配等防御策略，建立安全可信的终端运行环境和传输通道，杜绝各种外部攻击引入的病毒、木马和其他非法程序以及非授权访问。

【 关键词 】 网络空间；可信计算；防御策略

【 中图分类号 】 TP309 【 文献标识码 】 A

The Defense Policy of Cyberspace Based on Trusted Computing Technology

Wang Xiao-rui 1 Li Shi-jian 2

（1.Naval Institution of Computing Technology Beijing 100841；

2.Shenzhen Bangyan Information Technology Co. GuangdongShenzhen 518057）

【 Abstract 】 This paper researches and analysis the attacking behavior to cyberspace by Stuxnet. For the security of cyberspace， the trusted-computing is referenced. The trusted cipher module is the trusted root； the defense policies like key association and matching process’s expected value are valid on security operation system. The safe and trusted terminal and date channel can be constructed by this way， the external virus， troy， illegal progress and access without authorization will be denied.

【 Keywords 】 cyberspace； trusted-computing； defense policy

1 引言

网络空间被认为是继陆、海、空、天之后人类开辟的第五空间，现在较普遍的观点认为，网络空间是指基于全球计算机网络化的由人、机器、信息源之间相互联结而构成的一种新型的社会生活和交往的虚拟空间。它具有虚拟性、开放性、数字化、自由性、变动性以及资源丰富性和时空压缩化等特点。

美国空军对网络空间的定义最为具体：一个信息环境下的全球性领域，由相互依存的信息技术基础设施网络所构成，包括互联网、电信网、计算机系统以及内嵌的处理器和控制器。

网络空间已深入一个国家的工业、军事和民生等各个方面，网络空间的安全威胁日趋严重，一旦受到攻击，后果不堪设想。一个开放的网络空间固然容易遭受攻击，但封闭的网络空间同样难以高枕无忧。2010 年，伊朗核设施遭受代号为“震网”（Stuxnet，又称超级工厂病毒）的蠕虫病毒攻击，被认为是网络空间安全的一个重要的里程碑事件。它没有直接关闭纳坦兹核设施的离心机，而是巧妙地控制着整个系统。蠕虫病毒悄悄地渗透到工厂的网络中，之后跳进了控制系统，截断并记录传感器输入的检测值，然后以合乎现有规定的控制代码发送预先准备的假输入信号。病毒绕过了数字安全和监控系统，秘密地操纵实际过程，并开启一连串执行程序，最终导致整个系统的自我毁灭。

2 “震网”的攻击行为分析

Stuxnet蠕虫利用微软操作系统中至少4个漏洞，其中有3个零日漏洞。Stuxnet蠕虫伪造驱动程序的数字签名，通过一套完整的入侵和传播流程，突破工业专用局域网的物理限制。利用WinCC系统的2个漏洞，对其开展破坏性攻击。Stuxnet蠕虫的攻击目标直指西门子公司的SIMATIC WinCC系统，是第一个直接破坏现实世界中工业基础设施的恶意代码。

从传播方式来看，该病毒利用快捷方式文件解析漏洞、打印机后台程序服务漏洞和RPC远程执行与提权漏洞这三个微软操作系统漏洞进行传播。

2.1 利用快捷方式文件解析漏洞

Stuxnet蠕虫搜索计算机中的可移动存储设备以实现“摆渡”攻击。拷贝到U盘的DLL文件有两个：～wtr4132.tmp和～wtr4141.tmp。后者Hook了kernel32.dll和ntdll.dll中的系统函数。借此实现对U盘中lnk文件和DLL文件的隐藏。因此，Stuxnet一共使用了两种措施（内核态驱动程序、用户态Hook API）来实现对U盘文件的隐藏，使攻击过程很难被用户发觉，也能一定程度上躲避杀毒软件的扫描。

Windows在显示快捷方式文件时，会根据文件中的信息寻找它所需的图标资源，并将其作为文件的图标展现给用户。如果图标资源在一个DLL文件中，系统就会加载这个DLL文件。攻击者可以构造这样一个快捷方式文件，使系统加载指定的DLL文件，从而执行其中的恶意代码。快捷方式文件的显示是系统自动执行，无需用户交互，因此漏洞的利用效果很好。

2.2 利用快捷方式文件解析漏洞

Windows打印后台程序没有合理地设置用户权限。Stuxnet通过提交精心构造的打印请求，将两个文件winsta.exe和sysnullevnt.mof发送到暴露了打印后台程序接口的主机的%system32%目录中。sysnullevnt.mof是微软的一种托管对象格式（MOF）文件，在一些特定事件驱动下，它将驱使winsta.exe被执行。利用这个漏洞可以以系统权限执行任意程序，从而实现病毒的传播和攻击。

2.3 RPC远程执行与提权漏洞

Stuxnet蠕虫利用这个漏洞实现在内部局域网中的传播。利用这一漏洞时，Stuxnet构造的RPC请求以实现远程执行代码。如果权限不够导致失败，还会使用一个尚未公开的漏洞来提升自身权限，然后再次尝试攻击。截止微软停止提供Windows XP更新服务，微软尚未给出该提权漏洞的解决方案。

一旦Stuxnet蠕虫完成传播并植入目标机器，首先判断当前操作系统类型，如果是Windows 9X/ME，就直接退出。接下来加载一个主要的DLL模块，后续的行为都将在这个DLL中进行。为了躲避查杀，病毒并不将DLL模块释放为磁盘文件然后加载，而是直接拷贝到内存中，然后模拟DLL的加载过程。

具体而言，病毒先申请足够的内存空间，然后Hook ntdll.dll导出的6个系统函数：ZwMapViewOfSection、ZwCreateSection、ZwOpenFile、ZwClose、ZwQueryAttributesFile和ZwQuerySection。为此，病毒先修改ntdll.dll文件内存映像中PE头的保护属性，然后将偏移0x40处的无用数据改写为跳转代码，用以实现HOOK。进而，病毒就可以使用ZwCreateSection在内存空间中创建一个新的PE节，并将要加载的DLL模块拷贝到其中，最后使用LoadLibraryW来获取模块句柄。

此后，病毒跳转到被加载的DLL中执行，衍生出mrxcls.sys和mrxnet.sys等文件，分别被注册成名为MRXCLS和MRXNET的系统服务，实现开机自启动。mrxcls.sys负责查找主机中安装的WinCC系统，并进行攻击。mrxnet.sys通过修改一些内核调用来隐藏被拷贝到U盘的lnk文件和DLL文件，以便病毒更广泛的隐蔽传播。这两个驱动程序都使用了Rootkit技术，并伪装了Realtek公司的数字签名，尽管该数字签名已被注销，在线验证无法通过，但在内部网络或单机状态下，仍有可能瞒天过海。

总结Stuxnet蠕虫的传播和攻击手段，可以看出有一些共性特点：（1）病毒在传播时通过合法的进程、网络包或RPC请求来调用非法的DLL模块、程序或代码；（2）HOOK系统函数隐藏文件，便于病毒传播；（3）病毒在攻击时并不释放攻击程序，而是将系统合法DLL镜像的无用字段修改为跳转代码以实现HOOK，通过调用系统函数获得合法内存空间，间接地为病毒提供运行空间，躲避查杀，隐蔽性强；（4）病毒通过伪造的驱动数字签名，注册成为系统服务；（5）在相对封闭的网络空间内，操作人员如不慎引入类似针对性、攻击性、隐蔽性极强的超级病毒，传统杀毒软件或安全工具很难起到防范作用。

3 基于可信计算技术的网络空间防御策略探讨

3.1 利用可信计算技术构建运行环境

可信计算技术被认为是最有可能从根本上解决计算机系统安全问题的一种方案，它采取主动防御的方式、从终端入手解决安全问题，其核心思想是：以可信密码模块（Trusted Cipher Module，TCM）作为信任根的核心（提供基于密码的身份认证、杂凑运算和加解密等服务），以信任根作为起点，采取基于可信平台模块的信任链传递技术，并依靠其提供的完整性度量和验证服务，按照计算机系统的启动运行过程，一级验证一级，一级信任一级的方式，实现信任链的传递，构建系统的可信安全状态，可以从根本上保证计算机系统的安全性。它在应用程序运行前，对其进行完整性度量，保护应用程序运行的可信性，实现信任链从可信操作系统到可信应用程序的传递。

总体框架可以概括如图1所示，主要过程为：（1）对操作系统上运行的应用程序，提取其核心组件信息内容，然后依据提取的应用程序的核心组件信息内容，建立维护可信文件列表，并通过硬件信任根模块对可信文件列表进行存储保护；（2）用户必须通过信任根的身份认证才能运行一切应用程序，应用程序启动运行时，可信运行环境可以截获其启动消息，完成对其运行的拦截，依据可信文件列表对应用程序进行完整性度量，判断应用程序是否处于可信状态；（3）根据应用程序是否处于可信状态，执行不同的处理：如果处于可信状态，则允许应用程序运行；如果处于不可信状态，则利用可信备份文件对应用程序进行恢复。

在一个网络空间的各个终端节点上安装可信密码模块和可信操作系统，提供基于密钥协商的身份认证、杂凑运算和敏感信息加密保护等服务，构建安全可信的可信运行环境，可以从根本上摧毁各种病毒、木马和恶意代码的运行条件，达到应对目前已知的各种网络空间攻击手段威胁的目的。

3.2 针对类似“震网”攻击的防御策略

网络空间内部存在多种网络基础设施，因此难以保证在复杂交错的网络基础设备之间不存在攻击漏洞。针对可能的外部网络攻击，基于可信运行环境的网络空间可对各种攻击形成良好的防御效果。

为了有效抵御类似“震网”攻击，提升网络空间自身安全性，可在网络空间内部配置可信运行环境和下述防御策略：（1）在网络空间内部终端设备上安装病毒查杀软件和漏洞扫描软件，并安装最新系统补丁，消灭网络空间内部安全隐患；（2）在终端设备上安装可信密码模块和可信操作系统，采集所有可被执行的文件的哈希值作为预期值，形成可信程序列表；（3）用户登录时采用基于身份的认证密钥协商协议完成身份认证；（4）配置可信运行策略，即仅允许运行可信程序列表中的可执行文件；（5）可信操作系统在执行文件前，首先计算可执行文件的哈希值并与可信程序列表中的可执行文件哈希值进行比较，完全一致时方可允许文件执行；（6）可信操作系统对可信程序列表中的文件进行完整性保护，阻止一切修改和删除行为。通过上述手段，可有效阻止非法程序运行、非法DLL程序加载和非法驱动程序注册为系统服务，从源头阻断了病毒的传播和攻击。

4 结束语

网络空间的概念和技术已经渗透到国家和社会活动的各个领域，成为国家综合实力体现的重要基础设施和技术支撑。通过创新和发展具有自主知识产权的可信计算技术和安全操作系统，才能构筑真正安全的网络空间。

参考文献

[1] 施友连.简论网络空间保护问题[J].电子政务，2008，3（4） ：97～99.

[2] 陈治科，熊伟.美国网络空间发展研究[J].装备学院学报，2013，24（1） ：86～91.

[3] 敬军，郝福珍，徐东华.国产自主平台下可信执行环境的设计与实现[J].计算机工程与设计，2012，33（10） ：3801～3806.

[4] 郑志蓉.可信计算平台可信计算基构建研究[J].信息安全与通信保密，2012，9（1） ：116～117.

[5] 高海英.可证明安全的基于身份的认证密钥协商协议[J].计算机研究与发展，2012，49（8）：1685～1689.

作者简介：

汪晓睿（1984-），男，湖北黄石人，海军工程大学，硕士，工程师；主要研究方向和关注领域：网络和信息安全。

李诗剑（1981-），男，湖南岳阳人，桂林电子科技大学，硕士，经理；主要研究方向和关注领域：信息安全技术。

推荐访问:可信 防御 策略 计算 技术