CN111881485B - 一种基于arm指针验证的内核敏感数据完整性保护方法 - Google Patents

Abstract

本发明公开了一种基于ARM指针验证的内核敏感数据完整性保护方法，利用通用指针验证码对操作系统内核中用户指定的敏感数据提供完整性保护。此方法包括如下步骤：(1)通过指向分析技术定位操作系统内核代码中所有对敏感数据的读写；(2)插入指针验证指令使得：向内存写入敏感数据前生成并写入指针验证码，从内存读入敏感数据后检查指针验证码；(3)修改操作系统内核启动代码，在启动早期初始化指针验证特性，随后初始化全局敏感数据的指针验证码。本发明利用指针验证技术高效地保护了操作系统内核敏感数据的完整性。

Description

一种基于ARM指针验证的内核敏感数据完整性保护方法

技术领域

本发明涉及计算机系统安全领域，尤其涉及一种基于ARM指针验证(PointerAuthentication,PA)的内核敏感数据完整性的保护方法。

背景技术

操作系统是计算机系统运行的基础，其上任何安全问题会直接危害系统整体安全。近年来，针对操作系统的攻击层出不穷，如2017到2019年的WannaCry蠕虫式勒索病毒。根据攻击手段的演化，对操作系统的攻击主要分为三类：代码注入攻击、代码重用攻击以及非控制数据攻击。与此同时，操作系统安全在攻击者和防护者的不断对抗中得到很大提升，随着抗代码注入攻击硬件安全特性的大规模部署，主流操作系统均已实现基于硬件的抗代码注入攻击防护。而代码重用攻击由于其普遍性，针对它的系统防护方法一直被工业界和学术界广泛研究，一些成熟的防护方法比如控制流完整性(Control-Flow Integrity,CFI)已经在实用的软件上部署，代码重用攻击的有效攻击面正日益收缩。

与前两类攻击相比，非控制数据攻击可以直接篡改系统中的敏感数据，为攻击者提供非法权限；然而对敏感数据的篡改手段隐蔽，难以被检测、监控，对操作系统安全构成重大威胁。由于缺乏专门硬件支持，目前基于软件实现的敏感数据保护引入性能开销过大，阻碍了其大规模部署。

发明内容

本发明实施例的目的是提供一种基于ARM指针验证的内核敏感数据完整性保护方法，以解决基于软件实现的敏感数据保护引入的性能开销过大的问题。

为了达到上述目的，本发明实施例所采用的技术方案如下：

本发明实施例提供一种基于ARM指针验证的内核敏感数据完整性保护方法，包括：

接收用户在操作系统内核代码中指定的敏感数据；

对用户指定的敏感数据进行指向分析，识别所有可能指向敏感数据的敏感指针；

根据识别到的敏感指针，结合操作系统内核代码的语义，识别所有通过敏感指针读写内存的操作，其中通过敏感指针写内存的操作简称敏感写，通过敏感指针读内存的操作简称敏感读；

根据识别出的敏感读写操作，对操作系统内核代码进行如下修改：在敏感写代码后插入敏感数据的PAC生成代码StoreSign_key(sensdata)，在敏感读代码后插入敏感数据的PAC验证代码LoadAuth_key(sensdata)，其中key表示128bit的PA密钥，sensdata表示敏感数据，当操作系统内核运行时，动态执行插入的PAC生成代码生成敏感数据的PAC，动态执行插入的 PAC验证代码验证敏感数据的PAC，若PAC验证通过，则敏感数据完整，反之，则敏感数据完整性被破坏；

在操作系统内核启动代码中插入PA密钥初始化代码keyinit()，该PA密钥初始化代码开启ARM CPU的PA特性并用随机数初始化PA密钥；

根据用户在操作系统内核代码中指定的敏感数据，分析操作系统内核代码中的全局变量，确定操作系统内核中所有包含了敏感数据的全局变量；

根据确定的包含敏感数据的全局变量，在keyinit()之后插入全局敏感数据初始化代码 sensvar_init()，该全局敏感数据初始化代码对所有全局敏感数据变量调用StoreSign_key(gsensdata)，其中gsensdata表示全局敏感数据。

进一步地，接收用户在操作系统内核代码中指定的敏感数据，包括：

接收用户通过编译器提供的属性声明__attribute__指定操作系统内核中的敏感数据，其中敏感数据是单个字节，或是多个字节组成的数据块。

进一步地，对用户指定的敏感数据进行指向分析，包括：

在操作系统内核代码编译的LTO阶段，采用CLA算法基于整个内核的LLVM中间表示码对用户指定的敏感数据进行指向分析。

进一步地，结合操作系统内核代码的语义，识别所有通过敏感指针读写内存的操作，包括：

(4-1)在操作系统内核代码编译的LTO阶段，逐个扫描整个内核的LLVM中间表示码中的每条指令；

(4-2)如果当前指令为LOAD指令或是内存块拷贝函数，且其源操作数为敏感指针，则标记当前指令为敏感读指令；

(4-3)如果当前指令为STORE指令或是内存块拷贝函数，且其源操作数为敏感指针，则标记当前指令为敏感写指令。

进一步地，在敏感写代码后插入敏感数据的PAC生成代码StoreSign_key(sensdata)的步骤，包括：

(5-1)将敏感数据分成以8字节为单位的数据块D₀，D₁，...，D_n-1，其中n为数据块的数目；

(5-2)以第一块数据块D₀作为输入，以D₀所在的内存地址ADDR₀作为修饰符，用PA密钥key计算得到PAC₀＝Sign_key(D₀，ADDR₀)；

(5-3)依次以每块数据块为输入，以上一次迭代结果的PAC作为修饰符，迭代计算PAC_i＝Sign_key(D_i，PAC_i-1)(0＜i＜n)；

(5-4)将PAC_n-1作为敏感数据的PAC，存入敏感数据高地址相邻的位置。

进一步地，在敏感读代码后插入敏感数据的PAC验证代码LoadAuth_key(sensdata)的步骤，包括：

(6-1)将敏感数据分成以8字节为单位的数据块D₀，D₁，...，D_n-1，其中n为数据块的数目；

(6-2)以第一块数据块D₀作为输入，以D₀所在的内存地址ADDR₀作为修饰符，用PA密钥key计算得到PAC₀＝Sign_key(D₀，ADDR₀)；

(6-3)依次以每块数据块为输入，以上一次迭代结果的PAC作为修饰符，迭代计算PAC_i＝Sign_key(D_i，PAC_i-1)(0＜i＜n)；

(6-4)取出敏感数据高地址相邻位置保存的PAC并与PAC_n-1进行比较，如果一致，则敏感数据完整，验证通过；如果不一致，则敏感数据完整性被破坏，验证失败；

(6-5)如果验证通过，则操作系统内核可以正常运行；如果验证失败，则停止操作系统的执行，并警报通知操作系统内核的异常。

根据以上技术方案，本发明的有益效果是，本发明利用指向分析技术识别所有的敏感指针，相比于人工分析省时省力且能覆盖所有的敏感指针；本发明在所有的敏感读写处自动插入 PAC生成和PAC验证代码，能保护所有敏感数据的完整性；本发明基于ARM的PA硬件特性实现保护，相比于软件实现性能开销大幅降低。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明实施例提供的一种基于ARM指针验证的内核敏感数据完整性保护方法的流程图；

图2是针对内核敏感数据块生成指针验证码的块链式指针验证码生成算法。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

图1为本发明实施例提供的一种基于ARM指针验证的内核敏感数据完整性保护方法的流程图；本实施例提供的一种基于ARM指针验证的内核敏感数据完整性保护方法，本实施例以保护Linux操作系统内核的敏感数据为例来进行说明，该方法包括以下步骤：

步骤S101，接收用户在操作系统内核代码中指定的敏感数据；

具体地，本实施例修改了LLVM编译器的前端使其支持新的属性声明 __attribute__((sensitive))；用户通过新的属性声明__attribute__((sensitive))声明敏感数据，其中敏感数据由内核开发者指定，可以是内存中任意位置任意大小的数据，既可以是单个字节，也可以是多个字节组成的数据块。

步骤S102，对用户指定的敏感数据进行指向分析，识别所有可能指向敏感数据的敏感指针；

具体地，本实例使用LLVM的LTO编译模式编译得到整个操作系统内核的中间表示(Intermediate Representation,IR)字节码；在中间表示字节码上采用CLA算法(Heintze,N.,& Tardieu,O.(2001).Ultra-fast aliasing analysis using CLA:A million linesof C code in a second.ACM SIGPLAN Notices,36(5),254-263.)对步骤S101中声明的敏感数据进行指向分析，识别到所有可能指向敏感数据的敏感指针。

步骤S103，根据识别到的敏感指针，结合操作系统内核代码的语义，识别所有通过敏感指针读写内存的操作，其中通过敏感指针写内存的操作简称敏感写，通过敏感指针读内存的操作简称敏感读；具体地，包括以下子步骤：

(4-1)根据步骤S102得到的整个操作系统内核的IR字节码，逐个扫描整个内核的LLVM 中间表示码中的每条指令；

(4-2)如果当前指令为LOAD指令或是内存块拷贝函数，且其源操作数为敏感指针，则标记当前指令为敏感读指令；

(4-3)如果当前指令为STORE指令或是内存块拷贝函数，且其源操作数为敏感指针，则标记当前指令为敏感写指令。

步骤S104，根据识别出的敏感读写操作，对操作系统内核代码进行如下修改：在敏感写代码后插入敏感数据的PAC生成代码StoreSign_key(sensdata)，在敏感读代码后插入敏感数据的 PAC验证代码LoadAuth_key(sensdata)，其中key表示128bit的PA密钥，sensdata表示敏感数据。图2说明了StoreSign_key(sensdata)和LoadAuth_key(sensdata)中使用的块链式PAC生成算法，对应子步骤(5-1)、(5-2)、(5-3)、(6-1)、(6-2)和(6-3)。

其中，敏感数据的PAC生成代码StoreSign_key(sensdata)的步骤，包括以下子步骤：

(5-1)将敏感数据分成以8字节为单位的数据块D₀，D₁，...，D_n-1，其中n为数据块的数目；

(5-2)以第一块数据块D₀作为输入，以D₀所在的内存地址ADDR₀作为修饰符，用PA密钥key计算得到PAC₀＝Sign_key(D₀，ADDR₀)；

(5-3)依次以每块数据块为输入，以上一次迭代结果的PAC作为修饰符，迭代计算PAC_i＝Sign_key(D_i，PAC_i-1)(0＜i＜n)；

(5-4)将PAC_n-1作为敏感数据的PAC，存入敏感数据高地址相邻的位置。

其中，敏感数据的PAC验证代码LoadAuth_key(sensdata)的步骤，包括以下子步骤：

(6-1)将敏感数据分成以8字节为单位的数据块D₀，D₁，...，D_n-1，其中n为数据块的数目；

(6-2)以第一块数据块D₀作为输入，以D₀所在的内存地址ADDR₀作为修饰符，用PA密钥key计算得到PAC₀＝Sign_key(D₀，ADDR₀)；

(6-3)依次以每块数据块为输入，以上一次迭代结果的PAC作为修饰符，迭代计算PAC_i＝Sign_key(D_i，PAC_i-1)(0＜i＜n)；

(6-4)取出敏感数据高地址相邻位置保存的PAC并与PAC_n-1进行比较，如果一致，则敏感数据完整，验证通过；如果不一致，则敏感数据完整性被破坏，验证失败；

(6-5)如果验证通过，则操作系统内核可以正常运行；如果验证失败，则停止操作系统的执行，并警报通知操作系统内核的异常。

步骤S105，在操作系统内核启动代码中插入PA密钥初始化代码keyinit()，该PA密钥初始化代码开启ARM CPU的PA特性并用随机数初始化PA密钥；

具体地，PA密钥初始化代码keyinit()被插入到start_kernel()中的boot_init_stack_canary() 语句之后。keyinit()应该位于Linux操作系统的随机数生成器初始化函数之后，因为keyinit() 需要调用随机数生成器。

步骤S106，根据用户在操作系统内核代码中指定的敏感数据，分析操作系统内核代码中的全局变量，确定操作系统内核中所有包含了敏感数据的全局变量；

具体地，根据步骤S102得到的整个Linux操作系统内核的IR字节码，枚举字节码中声明的全局变量并记录其中包含敏感数据的全局变量。

步骤S107，根据确定的包含敏感数据的全局变量，在keyinit()之后插入全局敏感数据初始化代码sensvar_init()，该全局敏感数据初始化代码对所有全局敏感数据变量调用 StoreSign_key(gsensdata)，其中gsensdata表示全局敏感数据。

具体地，本步骤为全局敏感数据初始化PAC。全局敏感数据在初始化时默认具有完整性，本发明在操作系统内核启动时直接生成全局敏感数据对应的PAC，使全局敏感数据在第一次被操作系统内核读取时能够通过LoadAuth_key(sensdata)当中的完整性验证。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (6)

1.一种基于ARM指针验证的内核敏感数据完整性保护方法，其特征在于，包括：

接收用户在操作系统内核代码中指定的敏感数据；

对用户指定的敏感数据进行指向分析，识别所有可能指向敏感数据的敏感指针；

根据识别到的敏感指针，结合操作系统内核代码的语义，识别所有通过敏感指针读写内存的操作，其中通过敏感指针写内存的操作简称敏感写，通过敏感指针读内存的操作简称敏感读；

根据识别出的敏感读写操作，对操作系统内核代码进行如下修改：在敏感写代码后插入敏感数据的PAC生成代码StoreSign_key(sensdata)，在敏感读代码后插入敏感数据的PAC验证代码LoadAuth_key(sensdata)，其中key表示128bit的PA密钥，sensdata表示敏感数据，当操作系统内核运行时，动态执行插入的PAC生成代码生成敏感数据的PAC，动态执行插入的PAC验证代码验证敏感数据的PAC，若PAC验证通过，则敏感数据完整，反之，则敏感数据完整性被破坏；

在操作系统内核启动代码中插入PA密钥初始化代码keyinit()，该PA密钥初始化代码开启ARM CPU的PA特性并用随机数初始化PA密钥；

根据用户在操作系统内核代码中指定的敏感数据，分析操作系统内核代码中的全局变量，确定操作系统内核中所有包含了敏感数据的全局变量；

根据确定的包含敏感数据的全局变量，在keyinit()之后插入全局敏感数据初始化代码sensvar_init()，该全局敏感数据初始化代码对所有全局敏感数据变量调用StoreSign_key(gsensdata)，其中gsensdata表示全局敏感数据。

2.根据权利要求1所述一种基于ARM指针验证的内核敏感数据完整性保护方法，其特征在于，接收用户在操作系统内核代码中指定的敏感数据，包括：

接收用户通过编译器提供的属性声明__attribute__指定操作系统内核中的敏感数据，其中敏感数据是单个字节，或是多个字节组成的数据块。

3.根据权利要求1所述一种基于ARM指针验证的内核敏感数据完整性保护方法，其特征在于，对用户指定的敏感数据进行指向分析，包括：

在操作系统内核代码编译的LTO阶段，采用CLA算法基于整个内核的LLVM中间表示码对用户指定的敏感数据进行指向分析。

4.根据权利要求1所述一种基于ARM指针验证的内核敏感数据完整性保护方法，其特征在于，结合操作系统内核代码的语义，识别所有通过敏感指针读写内存的操作，包括：

(4-1)在操作系统内核代码编译的LTO阶段，逐个扫描整个内核的LLVM中间表示码中的每条指令；

(4-2)如果当前指令为LOAD指令或是内存块拷贝函数，且其源操作数为敏感指针，则标记当前指令为敏感读指令；

(4-3)如果当前指令为STORE指令或是内存块拷贝函数，且其源操作数为敏感指针，则标记当前指令为敏感写指令。

5.根据权利要求1所述一种基于ARM指针验证的内核敏感数据完整性保护方法，其特征在于，在敏感写代码后插入敏感数据的PAC生成代码StoreSign_key(sensdata)的步骤，包括：

(5-1)将敏感数据分成以8字节为单位的数据块D₀，D₁，...，D_n-1，其中n为数据块的数目；

(5-2)以第一块数据块D₀作为输入，以D₀所在的内存地址ADDR₀作为修饰符，用PA密钥key计算得到PAC₀＝Sign_key(D₀，ADDR₀)；

(5-3)依次以每块数据块为输入，以上一次迭代结果的PAC作为修饰符，迭代计算PAC_i＝Sign_key(D_i，PAC_i-1)(0＜i＜n)；

(5-4)将PAC_n-1作为敏感数据的PAC，存入敏感数据高地址相邻的位置。

6.根据权利要求1所述一种基于ARM指针验证的内核敏感数据完整性保护方法，其特征在于，在敏感读代码后插入敏感数据的PAC验证代码LoadAuth_key(sensdata)的步骤，包括：

(6-1)将敏感数据分成以8字节为单位的数据块D₀，D₁，...，D_n-1，其中n为数据块的数目；

(6-2)以第一块数据块D₀作为输入，以D₀所在的内存地址ADDR₀作为修饰符，用PA密钥key计算得到PAC₀＝Sign_key(D₀，ADDR₀)；

(6-3)依次以每块数据块为输入，以上一次迭代结果的PAC作为修饰符，迭代计算PAC_i＝Sign_key(D_i，PAC_i-1)(0＜i＜n)；

(6-4)取出敏感数据高地址相邻位置保存的PAC并与PAC_n-1进行比较，如果一致，则敏感数据完整，验证通过；如果不一致，则敏感数据完整性被破坏，验证失败；

(6-5)如果验证通过，则操作系统内核可以正常运行；如果验证失败，则停止操作系统的执行，并警报通知操作系统内核的异常。

Images