RTL级硬件木马问题研究

信息时代使得信息安全变得日益重要。信息安全可以分为两类:软件安全和硬件安全。攻击方为了获取想要的信息,除了使用软件方面的手段,如病毒、蠕虫、软件木马等,同样也使用硬件手段来威胁设备、系统和数据的安全,如在芯片中植入硬件木马等。如果将硬件木马植入信息处理的核心——处理器,那将风险更高、危害更大。然而,硬件木马位于信息系统底层核心的层面,难以被检测和发现出来。硬件木马是国内外学术界研究的热点课题,尤其是在设计阶段结合源代码的硬件木马检测问题,是新问题,也是有实际需要的问题。在上述背景并结合国内对芯片RTL源代码安全风险评估的实际需求展开了相关工作,围绕RTL源代码中硬件木马的问题展开了研究。主要贡献:针对RTL级硬件木马尚未在学术上给出一般属性的问题,给出硬件木马的属性描述形式,在形成硬件木马属性的基础上,以模块端口信号为源,提出了一种基于信号流向的多叉树分层递归搜索方法,实验结果表明,该方法对于依附在端口上的硬件木马的检测是有效的。     

基于三值语义的软件运行时验证方法

运行时验证技术是对传统的程序正确性保证技术如模型检验和测试的有效补充。模型检验和测试都试图验证系统的所有可能执行路径的正确性,而运行时验证关注的是系统的当前执行路径。本文提出一种基于三值语义的软件运行时验证方法,一方面该方法提供了从代码插装、系统底层信息提取到监控器生成、验证系统运行轨迹是否满足性质规约的完整的解决方案;另一方面基于三值语义的监控器有发现一条无穷运行轨迹的最小好(坏)前缀的能力,从而使得监控器能尽可能早的发现性质违背。同时,我们开发了基于三值语义的软件运行时验证原型工具并针对案例进行了分析。     

数值稳定性相关漏洞隐患的自动化检测方法

安全漏洞检测是保障软件安全性的重要手段.随着互联网的发展,黑客的攻击手段日趋多样化,且攻击技术不断翻新,使软件安全受到了新的威胁.本文描述了当前软件中实际存在的一种新类型的安全漏洞隐患,我们称之为数值稳定性相关的安全漏洞隐患.由于黑客可以利用该类漏洞绕过现有的防护措施,且已有的数值稳定性分析方法很难检测到该类漏洞的存在,因而这一新类型的漏洞隐患十分危险.面对这一挑战,本文首先从数值稳定性引起软件行为改变的角度定义了数值稳定性相关的安全漏洞隐患,并给出了对应的自动化检测方法.该方法基于动静态相结合的程序分析与符号执行技术,通过数值变量符号式提取、静态攻击流程分析、以及高精度动态攻击验证三个步骤,来检测和分析软件中可能存在的数值稳定性相关安全漏洞.我们在业界多个著名开源软件上进行了实例研究,实验结果表明,本文方法能够有效检测到实际软件中真实存在的数值稳定性相关漏洞隐患.     

基于模型检测的硬件木马检测技术研究

硬件木马对原始电路的恶意篡改,已成为集成电路面临的核心安全威胁.为了保障集成电路的安全可信,研究人员提出了诸多硬件木马检测方法.其中,模型检测作为一种形式化验证方法,在设计阶段可有效检测出硬件木马.首先,阐述了模型检测的工作原理和应用流程;其次,介绍了基于模型检测的硬件木马检测技术的研究进展;最后,指出了当前该技术所面...     

基于硬件辅助虚拟化技术的反键盘记录器模型

结合已有的键盘记录器,分析了Windows中从用户按键到应用程序处理消息的过程,并针对该过程详细分析了可能出现的安全威胁。在此基础上提出了基于硬件辅助虚拟化的反键盘记录器模型。利用CPU提供的硬件辅助虚拟化技术实现了虚拟机监控器,当获取用户输入时通过在虚拟机监控器中自主处理键盘中断并将读取到的键盘扫描码信息交由受保护的用户线程来保护用户键盘输入的安全。     

一种基于完整性保护的终端计算机安全防护方法

终端计算机是网络空间活动的基本单元,其安全性直接关系着网络环境和信息系统的安全.提出了一种基于完整性保护的终端计算机安全防护方法,它将完整性度量和实时监控技术相结合,保证终端计算机运行过程的安全可信.建立了以TPM为硬件可信基、虚拟监控器为核心的防护框架,采用完整性度量方法建立从硬件平台到操作系统的基础可信链;在系统运行过程中监控内核代码、数据结构、关键寄存器和系统状态数据等完整性相关对象,发现并阻止恶意篡改行为,以保证系统的完整、安全和可靠.利用Intel VT硬件辅助虚拟化技术,采用半穿透结构设计实现了轻量级虚拟监控器,构建了原型系统.测试表明,该方法能够对终端计算机实施有效的保护,且对其性能的影响较小.     

基于VMM的操作系统隐藏对象关联检测技术

恶意软件通过隐藏自身行为来逃避安全监控程序的检测.当前的安全监控程序通常位于操作系统内部,难以有效检测恶意软件,特别是内核级恶意软件的隐藏行为.针对现有方法中存在的不足,提出了基于虚拟机监控器(virtual machine monitor,简称VMM)的操作系统隐藏对象关联检测方法,并设计和实现了相应的检测系统vDetector.采用隐式和显式相结合的方式建立操作系统对象的多个视图,通过对比多视图间的差异性来识别隐藏对象,支持对进程、文件及网络连接这3种隐藏对象的检测,并基于操作系统语义建立隐藏对象间的关联关系以识别完整攻击路径.在KVM虚拟化平台上实现了vDetector的系统原型,并通过实验评测vDetector的有效性和性能.结果表明,vDetector能够有效检测出客户操作系统(guest OS)中的隐藏对象,且性能开销在合理范围内.     

一种基于CPN的运行时监控服务交互行为的方法

BPEL对Web服务组合的描述特性使得它很难表达和分析服务组合中的交互行为属性.这些行为属性需要遵循一定的交互协议.然而良定义的交互协议还是容易受到侵犯,这将导致服务组合进程产生状态不一致的问题.为了解决这类实际交互行为与其服务组合描述之间的不一致性问题,提出了一种由BPEL描述自动构造运行时监控器的方法.首先提出了一种基于有色Petri网(CPN)的形式化表示模型以及服务组合规约到模型的映射方法,用于精确表达从BPEL流程描述中提取的服务交互行为规约.然后,描述了由CPN形式化表示模型生成运行时监控器的方法.该运行时监控器能够捕获所有进出服务组合进程的交互消息,并且检测是否存在违背交互协议的行为.     

普适计算应用时空性质的运行时验证

运行时验证是提升普适计算应用可靠性的重要手段.这类应用的很多性质同时涉及时间关系和空间位置关系,这样的时空性质给运行时验证带来了特有的挑战.一方面,传统的时态逻辑难以描述空间性质;另一方面,适合描述空间性质的Ambient Logic在真值不确定等情况下不能很好支持有限轨迹中时间性质的描述.为支持普适计算应用时空性质的运行时验证,本文引入三值逻辑语义,提出了AL₃（3-valued Ambient Logic）;并在此基础上设计实现了基于AL₃的性质检验算法和运行时监控器.最后,通过案例分析和运行效率实验阐明了所提方法的有效性和可行性.     

基于代码路径的安全操作系统性能优化方法

为了满足面向访问验证保护级的要求, 研发新一代高等级安全操作系统, 我们采用微内核的架构设计和实现了面向访问验证保护级的安全操作系统原型系统(VSOS), 并通过设计和实现新的访问监控器来满足安全内核设计原则中的不可旁过和总是被调用两项要求, 但访问监控器的引入导致VSOS的性能产生较大的损耗. 提出了一种基于代码路径优化的方法, 用于改进访问监控器的实现和调用方式, 以及可信路径机制的实现方式. 实验表明, 通过此方法VSOS的性能和可信路径过程的用户体验都得到了提升.     

物联网安全威胁与安全模型

随着物联网应用的发展和普及利用,针对物联网的攻击事件日益增多且危害严重。目前面对物联网安全问题主要采用被动补救的方式,缺乏对物联网安全的体系化思考和研究。本论文首先介绍物联网系统架构和各实体的发展,然后分析物联网面临的多层次安全威胁,包括各实体自身的安全威胁,也包括跨域的安全威胁。其中,实体自身安全威胁涉及到云平台、设备端、管道、云端交互。物联网跨域安全威胁包含4个方面:多域级联攻击、物理域的冲突与叠加、信息域对物理域进行非预期的控制、信息域对物理域输入的理解不全面。在此基础上,论文研究了基于PDRR网络安全体系的物联网安全模型,包含安全防护、安全检测、响应、恢复4个维度。安全防护包含认证、授权与访问控制、通信加密等技术,需要考虑物联网种类繁多,规模巨大,异构等特点进行设计与实施。安全检测需要对各实体进行入侵检测、在线安全监测、脆弱性检测以及恶意代码检测。其中,在线安全监测获取系统内部设备、应用程序的行为、状态、是否存在已知脆弱性等。脆弱性检测偏向于对未知脆弱性进行深度挖掘。在响应阶段,除了配合相关部门机关完成安全行动资源配置、态势感知等响应工作外,还需要进行入侵事件的分析与响应,漏洞...     

基于定理证明的内存安全性动态检测算法的正确性研究

随着软件运行时验证技术的发展,出现了许多面向C语言的运行时内存安全验证工具.这些工具大多是基于源代码或者中间代码插桩技术来实现内存安全的运行时检测.但是,其中一些没有经过严格证明的验证工具往往存在两方面的问题,一是插桩程序的加入可能会改变源程序的行为及语义,二是插桩程序并不能有效保证内存安全.为了解决这些问题,文中提出...     

Runtime observation of functional safety properties in an automotive control network

This paper exploits the observability of control messages in a control network to formally monitor safety properties to verify a control application's correct behaviour. A monitor scheme is proposed based on a runtime verification method, which can verify selected properties of an application's behaviour, including the verification of formally specified functional safety properties. A prototype hardware based circuit is developed to provide a monitor function. A case study example for an automotive gearbox control system is presented. The control application is evaluated in the target application environment, which is a controller area network (CAN) based network. The behaviour of the monitor is assessed and the results show that it is feasible to monitor and verify functional safety properties, as defined by the ISO 26262 standard for functional safety in road vehicles, using the proposed method.     

Combining Monitors for Runtime System Verification

Runtime verification permits checking system properties that cannot be fully verified off-line. This is particularly true when the system includes complex third-party components, such as general-purpose operating systems and software libraries, and when the properties of interest include security and performance. The challenge is to find reliable ways to monitor these properties in realistic systems. In particular, it is important to have assurance that violations will be reported when they actually occur. For instance, a monitor may not detect a security violation if the violation results from a series of system events that are not in its model.We describe how combining runtime monitors for diverse features such as memory management, security-related events, performance data, and higher-level temporal properties can result in more effective runtime verification. After discussing some basic notions for combining and relating monitors, we illustrate their application in an intrusion-tolerant Web server architecture under development at SRI.     

面向安全属性的机器人运行时验证

为了保证机器人操作系统(Robot operating system,ROS)的安全性,提出一个运行时验证框架ROS-Monitor来监控系统。将所有的监控信息分为节点消息和节点行为,并实现从用户自定义场景模型自动生成相应监控器的工具。实验证明了该方法的有效性。     

面向物联网应用的SoC安全检查架构设计

物联网（IoT）应用的快速发展和软硬件开源化趋势使得IoT设备所面临的硬件安全威胁日益严峻,尤其是利用运行时条件触发的系统级攻击,很难通过传统测试方法进行检测和防御,需要提供运行时安全检查机制。分析IoT系统芯片面临的安全威胁,结合数据加密传输路径中的攻击、任务流和检查内容,设计4条功能完整性安全检查策略,搭建SoC安全策略检查架构并植入运行时触发硬件木马。仿真结果显示,运行时策略检查状态机可以检查出加密核、内存和UART接口的功能完整性问题,并通过发送错误中断信号进行反馈,证明了所设计的系统级安全策略检查架构的正确性与有效性。     

智能化计算机安全监控信息网络技术研究

为了保障计算机以及使用者信息的安全性、隐秘性,并且提高计算机的使用生命周期,需要对计算机进行安全智能监控。但采用当前的计算机安全监控技术对计算机安全进行监控时,没有设置具体的安全监控指标,无法计算出计算机安全监控的非安全因素权重,存在计算机网络可能自动泄密,无法智能监控以及监控数据误差大的问题。为此,将信息网络技术应用于计算机安全智能监控中,提出了一种基于LINUX的计算机安全智能监控方法。该方法先将计算机非安全因素进行分类,其中包括计算机网络配置,自带系统和网络病毒。然后利用SAltera EPM7128S芯片对计算机安全智能监控进行硬件构造,采用CPLD结构根据计算机非安全因素分类结果对计算机安全智能监控软件部分进行设计,软件设计中依据计算机安全智能监控失真衰减的抑制方法,实现计算机远程安全智能监控,最后根据Delphi法来建立计算机安全智能监控网络环境总体运行情况的评估指标体系,对大规模无法定量分析的计算机安全监控因素做出概率估计,以概率估计结果为依据对计算机安全智能监控的风险进行评估,从而实现对计算机安全的智能化监控。实验仿真证明,所提方法提高了计算机安全智能监控的全面性和高效性,减少了计算机安全智能监控数据传输的丢包率。     

一种嵌入式操作系统运行时验证方法

作为测试、模型检验等开发阶段所用技术的有效补充,运行时验证技术越来越受到广泛的关注。然而,当前的运行时验证技术主要用于应用软件,很少专门针对操作系统进行研究。对面向嵌入式操作系统的运行时验证框架和关键技术进行了研究,并结合一个开源嵌入式操作系统FreeRTOS进行了设计与实现。首先提出了一种面向嵌入式操作系统的运行时验证和反馈调整框架,然后针对框架中的关键技术部分,完成了规约语言的设计、三值语义监控器的生成、FreeRTOS嵌入式操作系统相关接口的实现等主要工作。     

Time-triggered runtime verification

The goal of runtime verification is to monitor the behavior of a system to check its conformance to a set of desirable logical properties. The literature of runtime verification mostly focuses on event-triggered solutions, where a monitor is invoked when an event of interest occurs (e.g., change in the value of some variable). At invocation, the monitor evaluates the set of properties of the system that are affected by the occurrence of the event. This constant invocation introduces two major defects to the system under scrutiny at run time: (1) significant overhead, and (2) unpredictability of behavior. These defects are serious obstacles when applying runtime verification on safety-critical systems that are time-sensitive by nature. To circumvent the aforementioned defects in runtime verification, in this article, we introduce a novel time-triggered approach, where the monitor takes samples from the system with a constant frequency, in order to analyze the system’s health. We describe the formal semantics of time-triggered monitoring and discuss how to optimize the sampling period using minimum auxiliary memory. We show that such optimization is NP-complete and consequently introduce a mapping to Integer Linear Programming. Experiments on a real-time benchmark suite show that our approach introduces bounded overhead and effectively reduces the involvement of the monitor at run time by using negligible auxiliary memory. We also show that in some cases it is even possible to reduce the overall overhead of runtime verification by using our time-triggered approach when the structure of the system allows choosing a long enough sampling period.