CN111159018B - 基于软件防护扩展指令sgx的在线模糊测试系统和方法 - Google Patents

Abstract

本发明公开了一种基于软件防护扩展指令SGX的在线模糊测试系统和方法，包括：SGX加密模块，基于软件防护扩展指令SGX生成可信空间；自动化处理框架，分析待测软件的特征，传递给测试用例生成器，对位于可信空间内的监控器和测试报告生成器进行功能调度；测试用例生成器，根据所述的特征生成对应的相对随机函数，产生随机的测试输入，传递给待测软件进行运行；监控器，运行于所述的可信空间内，监控待测软件的运行状态，并存储于所述的可信空间内；测试报告生成器，运行于所述的可信空间内，生成测试报告并通过可信渠道传递给用户。本发明使用SGX技术保护模糊测试过程中产生的随机输入对应会产生的程序状态，防止会触发软件漏洞的输入信息被窃取。

Description

基于软件防护扩展指令SGX的在线模糊测试系统和方法

技术领域

本发明涉及信息技术数据安全保护领域，尤其涉及一种基于软件防护扩展指令SGX的在线模糊测试系统和方法。

背景技术

自从软件诞生开始，如何对软件进行测试就是一项考验程序员能力的难题。在使用纸带卡的年代，程序员就会采用随机打孔的纸带作为程序的输入，来测试整个程序中隐藏的错误和漏洞以便进行修复。但是，在1981年，这种完全随机的输入检测方式被证明效率非常低下并且耗资巨大。因此，找到一种设计测试输入数据的方法对于测试程序的鲁棒性来说非常重要，这也就催生了模糊测试(fuzzing)技术的诞生。

模糊测试技术的诞生主要由于以下几个原因：

(1)输入的不可穷举性。不管是人为还是随机生成，都无法对所有的输入进行遍历；

(2)异常情况的多样性。组件内部和不同组件之间组合形成的漏洞(bug)很难被人发现；

(3)软件保护的迫切性。大型软件工程中的漏洞如果被攻击者发现甚至利用，可能会造成巨额的经济和财产损失，甚至会造成其他安全隐患。

模糊测试技术依赖“大数定律”执行自动化的有条件相对随机测试，以自动化技术提高测试速度，从而通过大量和随机的测试让隐藏在程序内部的概率极低的软件漏洞(bug)被发现。模糊测试系统会集成自动化测试框架、测试用例生成器(Fuzzer)、监视器和测试报告生成器，通过自动化测试和监控程序状态来判定该测试用例是否会触发漏洞，并且能够生成相关测试报告。

尽管这种方式为软件测试提供了一种非常有效的手段，但目前没有完备的机制保障测试结果的安全性。如果恶意软件通过读取产生的测试报告获知了测试结果中测得的会触发漏洞的输入，那么攻击者就可以根据这个测试结果发起针对性的利用或者攻击，在被测软件持有者来不及对漏洞进行填补的状态下造成其损失。

SGX(Software Guard Extensions)是Intel公司提供的一套硬件保护机制，它在地址空间中开辟一块安全区(enclave)，利用地址空间中受保护的区域，来确保操作系统环境中信息内容的机密性与完整性。这种方式并不是识别和隔离平台上的所有恶意软件，而是将合法软件的安全操作封装在一个安全区中，保护其不受恶意软件的攻击，特权或者非特权的软件都无法访问安全区，也就是说，一旦软件和数据位于安全区中，即便操作系统或者高特权级软件(如主操作系统，虚拟机监控器等)都不被允许访问，也无法影响安全区里面的代码和数据，安全区的安全边界只包含CPU和它自身。同时，SGX也提供了并发执行的机制，确保其运行时不会影响其他服务的运行，从而保证了这项技术的可推广性和可复用性。

发明内容

本发明提供了一种基于软件防护扩展指令SGX的在线模糊测试系统，将软件防护扩展指令SGX和模糊测试技术相结合，使用SGX技术保护模糊测试过程中产生的随机输入对应会产生的程序状态，防止会触发软件漏洞的输入信息被窃取。

具体技术方案如下：

一种基于软件防护扩展指令SGX的在线模糊测试系统，包括：

SGX加密模块，基于软件防护扩展指令SGX生成可信空间，并生成用于验证所述可信空间访问权限的访问密钥；

自动化处理框架，根据用户发起的软件模糊测试的请求信息，分析待测软件的特征，将所述特征作为参数传递给测试用例生成器，并通过所述的访问密钥访问SGX加密模块，对位于可信空间内的监控器和测试报告生成器进行功能调度；

测试用例生成器，根据所述的特征生成对应的相对随机函数，产生随机的测试输入，传递给待测软件进行运行；

监控器，运行于所述的可信空间内，监控待测软件的运行状态，并将运行状态和对应的测试输入存储于所述的可信空间内；

测试报告生成器，运行于所述的可信空间内，根据待测软件的运行状态和对应的测试输入，生成测试报告并通过可信渠道传递给用户。

所述的SGX加密模块包括：

处理空间，用于加载监控器和测试报告生成器二者的代码数据和证书信息；

可信空间，为监控器和测试报告生成器提供运行空间，并存储待测软件的运行状态和对应的测试输入；

SGX驱动器，对监控器、测试报告生成器以及二者的证书进行参数测量，为监控器和测试报告生成器创建可信空间，并将所述的证书信息传递给SGX硬件处理器；

SGX硬件处理器，根据所述的证书信息和SGX硬件处理器自身的特征数据，生成可信空间的访问密钥，通过访问密钥对可信空间进行加密。

所述的SGX驱动器属于操作系统，所述的SGX硬件处理器属于硬件构架。

本发明将软件防护扩展指令SGX和模糊测试技术相结合，使用SGX技术保护模糊测试过程中产生的随机输入对应会产生的程序状态，防止会触发软件漏洞的输入信息被窃取，从而保护被测软件不会因为被攻击者知悉漏洞从而被发起有针对性的利用或者攻击。

本发明的基于软件防护扩展指令SGX的在线模糊测试系统能够适应和其他安全保护系统的协同运作，共同保护迷糊测试系统的安全。

本发明还提供了一种基于软件防护扩展指令SGX的在线模糊测试方法，包括以下步骤：

(1)对模糊测试系统进行初始化，基于软件防护扩展指令SGX生成用于运行监控器和测试报告生成器的可信空间，并生成用于验证所述可信空间访问权限的访问密钥；

所述的模糊测试系统包括：自动化处理框架、测试用例生成器、监控器和测试报告生成器；

(2)自动化处理框架根据用户发起的软件模糊测试的请求信息，分析待测软件的特征，将所述特征作为参数传递给测试用例生成器，并通过所述的访问密钥访问SGX加密模块，对位于可信空间内的监控器和测试报告生成器进行功能调度；

(3)测试用例生成器根据所述的特征生成对应的相对随机函数，产生随机的测试输入，传递给待测软件进行运行；同时监控器监控待测软件的运行状态，并将运行状态和对应的测试输入存储于所述的可信空间内；

(4)测试报告生成器根据待测软件的运行状态和对应的测试输入，生成测试报告并通过可信渠道传递给用户。

步骤(1)包括：

(1-1)启动模糊测试系统，检查其是否支持软件防护扩展指令SGX，若支持则进入下一步骤，否则启动本地修复程序进行环境修复；

若环境修复失败则发出对应的警告等待维护人员处理；

若本地硬件设备不支持软件防护扩展指令SGX，则终止操作，并给出对应提示；

(1-2)通过软件防护扩展指令SGX为监控器和测试报告生成器创建可信空间。

步骤(1-2)包括：

(1-2a)生成监控器和测试报告生成器二者的证书，将监控器、测试报告生成器以及二者的证书上载到处理空间；

(1-2b)通过SGX驱动器对上载的监控器、测试报告生成器以及二者的证书进行参数测量，创建可信空间(Enclave)，将监控器和测试报告生成器复制到可信空间中，并将所述的证书信息传递给SGX硬件处理器；之后删除处理空间中的数据；

(1-2c)SGX硬件处理器根据监控器、测试报告生成器二者的证书信息以及SGX硬件处理器自身的特征数据生成可信空间的访问密钥，并通过访问密钥对可信空间进行加密。

步骤(3)中，所述的待测软件的运行状态包括内存信息和错误信息。

步骤(4)中，所述的测试报告包括触发软件漏洞的测试输入、产生错误的位置和回溯路径。

步骤(4)中，采用加密信道将所述的测试报告传递给用户；优选的所述的加密信道为以安全套接层(SSL)为基础建立的加密信道。

与现有技术相比，本发明的有益效果为：

(1)本发明的模糊测试系统中的测试输入对应的结果以及最终产生的报告受SGX指令的保护，攻击者无法对这些信息进行直接访问，从而无法根据测试结果对待测软件发起针对性的利用和攻击；

(2)本发明的模糊测试系统中的核心部分，即监控器位于SGX的可信空间内，可信空间内的测试结果不会被篡改，保证了整个测试系统的有效性；

(3)本发明的模糊测试系统将各个部分作为模块分离出来，可以针对不同的测试需求更改对应的模块内容和SGX内外的位置，符合不同软件测试情景的需求，具有高度的适配性；

(4)SGX硬件处理器生成可信空间的访问密钥时，使用了SGX硬件处理器的信息，拥有不可复制性，确保了加密过程的安全；

(5)本发明严谨考虑了模糊测试过程中数据保存和数据传输中可能存在的攻击性行为，确保了整个系统运行过程中的安全性。

附图说明

图1为基于SGX的在线模糊测试系统的结构示意图；

图2为基于SGX的在线模糊测试系统初始化流程示意图；

图3为基于SGX的在线模糊测试系统进行测试数据生成和测试的流程示意图；

图4为基于SGX的在线模糊测试系统进行状态监控的流程示意图；

图5为基于SGX的在线模糊测试系统进行测试报告生成的流程示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步详细描述，需要指出的是，以下所述实施例旨在便于对本发明的理解，而对其不起任何限定作用。

如图1所示，本发明的基于SGX的在线模糊测试系统包括以下四个模块：

自动化测试框架，运行于模糊测试系统的软件防护扩展指令SGX的可信空间(Enclave)外，作为整个系统的总体框架，分析软件的特征，将软件的特征作为参数传递给测试用例生成器，并且负责监控器和测试报告生成器的启动；

测试用例生成器，运行于模糊测试系统的Enclave外，根据软件的特征生成对应的相对随机函数，从而产生随机的输入，传递给待测软件进行运行；

监控器，运行于模糊测试系统的Enclave内，监控待测软件的状态，包括内存信息和错误信息等，并且保存对应的内容以便和测试输入进行匹配；

测试报告生成器，运行于模糊测试系统的Enclave内，在经过大量重复测试后，会对测试结果生成一份报告，包括触发漏洞的测试输入、产生错误的位置和回溯路径。

基于SGX的在线模糊测试的方法包括以下步骤：

(1)系统初始化，其流程如图2所示，包括：

(1-1)启动基于SGX的模糊测试系统的各个模块，包括自动化测试框架、测试用例生成器、监控器和测试报告生成器，检查整个系统对于SGX的支持，检查无误后进入下一步骤，否则启动本地修复程序进行环境修复，若修复失败则发出对应的警告等待维护人员处理，如果检查结果显示本地的硬件设备不支持SGX则终止该流程，并且给出对应的提示，告知保护系统无法运行。理论上不推荐用户在此时启动本基于SGX的模糊测试系统，但是不限制该存在风险的行为；

(1-2)完成自检后，在保证当前环境安全的情况下(如切断网络、关闭无关程序等)，运行模糊测试系统，通过SGX为模糊测试系统中的监控器和测试报告生成器创建可信空间，包括：

(1-2a)生成监控器和测试报告生成器二者的证书，将监控器、测试报告生成器以及二者的证书一起上载到处理空间；

(1-2b)通过SGX驱动器对上载的监控器、测试报告生成器以及二者的证书进行参数测量，为可信空间(Enclave)分配地址空间和内存页，创建可信空间，将监控器和测试报告生成器复制到可信空间中，并将所述的证书的信息传递给SGX硬件处理器；之后删除处理空间中的数据；

(1-2c)SGX硬件处理器根据监控器和测试报告生成器二者的证书信息和SGX硬件处理器自身的唯一数据生成可信空间的访问密钥，并通过密钥对可信空间进行加密。

(1-3)之后，可以运行其他相关的软件，同时可以执行开启网络功能等存在风险的行为。

之后，监控器产生的状态数据在Enclave中保存和维护，目的是基于SGX硬件功能为这些状态数据提供机密性和可靠性的支持。

(2)测试数据生成和测试，该部分完成模糊测试系统根据软件特征生成测试数据和进行软件测试的操作，其流程如图3所示。用户通过模糊测试软件的用户接口发起测试请求，自动化测试框架分析待测软件特征，将提取的特征信息等传给测试用例生成器，测试用生成器会根据接收到的信息产生对应的相对随机函数，然后根据这个随机函数不断生成测试输入，将其传递给待测软件进行测试，具体包括：

(2-1)发起请求。用户发起模糊测试的请求信息，自动化测试框架读取待测软件的各项特征，用于根据不同软件的特征优化测试方法，传入测试用例生成器，并对位于Enclave中的监控器进行功能调度；

(2-2)信息处理。测试用例生成器根据软件特征产生相对随机函数，产生符合要求的随机输入，将其传递给待测软件，待测软件进行运行。

(3)状态监控，该部分完成模糊测试系统在进行软件测试的同时监控被测软件的状态的操作，其流程如图4所示。自动化测试框架在启动测试用例生成器之后，同时开启Enclave中的监控器，记录下每一个测试输入经过的程序流程和软件状态，将软件状态和当前的测试输入匹配后，保存在Enclave的内存中；

(4)测试报告生成，该部分完成模糊测试系统完成软件测试之后的测试报告生成的操作，其流程如图5所示。在完成一定预设测试次数、时间或者发现程序漏洞等终止条件满足之后，自动化测试框架发送信号停止测试用例生成器和监控器的工作，启动Enclave中的测试报告生成器，对Enclave中监控器中的数据进行汇总分析，生成一份测试报告，随后与用户可信的接收端建立加密信道进行收发操作，将测试的结果传递给用户，具体包括：

(4-1)生成报告。重复检测多次之后产生结果，结果传递给测试报告生成器产生对应的报告，包括触发漏洞的测试输入、产生错误的位置和回溯路径，以便用户对此进行排查。

(4-2)结果返回。测试报告需要通过可信渠道传递给用户。推荐使用加密信道，以安全套接层(SSL)为基础建立的加密信道为优先，但是不排除使用其他加密技术进行通信的方法。

以上所述的实施例对本发明的技术方案和有益效果进行了详细说明，应理解的是以上所述仅为本发明的具体实施例，并不用于限制本发明，凡在本发明的原则范围内所做的任何修改、补充和等同替换等，均应包含在本发明的保护范围之内。

Claims (4)

1.一种基于软件防护扩展指令SGX的在线模糊测试系统，其特征在于，包括：

SGX加密模块，基于软件防护扩展指令SGX生成可信空间，并生成用于验证所述可信空间访问权限的访问密钥；

自动化处理框架，根据用户发起的软件模糊测试的请求信息，分析待测软件的特征，将所述特征作为参数传递给测试用例生成器，并通过所述的访问密钥访问SGX加密模块，对位于可信空间内的监控器和测试报告生成器进行功能调度；

测试用例生成器，根据所述的特征生成对应的相对随机函数，产生随机的测试输入，传递给待测软件进行运行；

监控器，运行于所述的可信空间内，监控待测软件的运行状态，并将运行状态和对应的测试输入存储于所述的可信空间内；

测试报告生成器，运行于所述的可信空间内，根据待测软件的运行状态和对应的测试输入，生成测试报告并通过可信渠道传递给用户。

2.根据权利要求1所述的基于软件防护扩展指令SGX的在线模糊测试系统，其特征在于，所述的SGX加密模块包括：

处理空间，用于加载监控器和测试报告生成器二者的代码数据和证书信息；

可信空间，为监控器和测试报告生成器提供运行空间，并存储待测软件的运行状态和对应的测试输入；

SGX驱动器，对监控器、测试报告生成器以及二者的证书进行参数测量，为监控器和测试报告生成器创建可信空间，并将所述的证书信息传递给SGX硬件处理器；

SGX硬件处理器，根据所述的证书信息和SGX硬件处理器自身的特征数据，生成可信空间的访问密钥，通过访问密钥对可信空间进行加密。

3.一种基于软件防护扩展指令SGX的在线模糊测试方法，其特征在于，包括以下步骤：

（1）对模糊测试系统进行初始化，基于软件防护扩展指令SGX生成用于运行监控器和测试报告生成器的可信空间，并生成用于验证所述可信空间访问权限的访问密钥；包括：

（1-1）启动模糊测试系统，检查其是否支持软件防护扩展指令SGX，若支持则进入下一步骤，否则启动本地修复程序进行环境修复；

若环境修复失败则发出对应的警告等待维护人员处理；

若本地硬件设备不支持软件防护扩展指令SGX，则终止操作，并给出对应提示；

（1-2）通过软件防护扩展指令SGX为监控器和测试报告生成器创建可信空间；包括：

（1-2a）生成监控器和测试报告生成器二者的证书，将监控器、测试报告生成器以及二者的证书上载到处理空间；

（1-2b）通过SGX驱动器对上载的监控器、测试报告生成器以及二者的证书进行参数测量，创建可信空间，将监控器和测试报告生成器复制到可信空间中，并将所述的证书信息传递给SGX硬件处理器；之后删除处理空间中的数据；

（1-2c）SGX硬件处理器根据监控器、测试报告生成器二者的证书信息以及SGX硬件处理器自身的特征数据生成可信空间的访问密钥，并通过访问密钥对可信空间进行加密；

所述的模糊测试系统包括：自动化处理框架、测试用例生成器、监控器和测试报告生成器；

（2）自动化处理框架根据用户发起的软件模糊测试的请求信息，分析待测软件的特征，将所述特征作为参数传递给测试用例生成器，并通过所述的访问密钥访问SGX加密模块，对位于可信空间内的监控器和测试报告生成器进行功能调度；

（3）测试用例生成器根据所述的特征生成对应的相对随机函数，产生随机的测试输入，传递给待测软件进行运行；同时监控器监控待测软件的运行状态，并将运行状态和对应的测试输入存储于所述的可信空间内；所述的待测软件的运行状态包括内存信息和错误信息；

（4）测试报告生成器根据待测软件的运行状态和对应的测试输入，生成测试报告并通过可信渠道传递给用户；所述的测试报告包括触发软件漏洞的测试输入、产生错误的位置和回溯路径。

4.根据权利要求3所述的基于软件防护扩展指令SGX的在线模糊测试方法，其特征在于，步骤（4）中，采用加密信道将所述的测试报告传递给用户；所述的加密信道为以安全套接层为基础建立的加密信道。

Images