Ｌｉｎｕｘ可信路徑安全機(jī)制研究及改進(jìn)

摘 要：在分析Linux操作系統(tǒng)現(xiàn)有的可信路徑機(jī)制的基礎(chǔ)上，采用阻止不可信進(jìn)程對虛擬終端訪問并且根據(jù)不同情況掛起、殺掉小部分進(jìn)程的方法，提出了一種利用安全注意鍵實(shí)現(xiàn)的可信路徑改進(jìn)方案，提高了Linux可信路徑機(jī)制的友好性、可擴(kuò)充性，并且對用戶登錄的整個(gè)過程進(jìn)行了保護(hù)。

關(guān)鍵詞：可信路徑； 安全注意鍵； Linux

中圖分類號：TP309文獻(xiàn)標(biāo)志碼：A

文章編號：1001—3695(2007)03—0109—03

隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的應(yīng)用，信息安全問題受到廣泛關(guān)注。操作系統(tǒng)作為系統(tǒng)軟件最基礎(chǔ)的部分，其安全問題的解決自然成為關(guān)鍵中的關(guān)鍵。在現(xiàn)有的構(gòu)建安全操作系統(tǒng)的各種方法[1]中，基于Linux系統(tǒng)的改進(jìn)/增強(qiáng)法因其在開發(fā)代價(jià)及系統(tǒng)效率等方面具有明顯的優(yōu)勢而被廣泛采用。因此可信路徑(Trusted Path)安全機(jī)制在Linux系統(tǒng)上的設(shè)計(jì)及實(shí)現(xiàn)方案是構(gòu)建基于Linux安全操作系統(tǒng)一個(gè)十分重要的方面。

美國國防部制定的《可信計(jì)算機(jī)系統(tǒng)評價(jià)標(biāo)準(zhǔn)》(TCSEC)[2]對可信路徑機(jī)制及相關(guān)概念作了詳細(xì)準(zhǔn)確的界定。可信路徑機(jī)制指的是一種可以使終端用戶直接與計(jì)算機(jī)信息系統(tǒng)可信計(jì)算基(TCB)[2]進(jìn)行通信的機(jī)制?？尚怕窂綑C(jī)制只允許由用戶或者TCB激活，并且不能被不可信軟件所偽造。

標(biāo)志和鑒別機(jī)制[3]用于保證只有合法用戶才能進(jìn)入系統(tǒng)并且以系統(tǒng)允許的方式訪問資源。目前比較通用的做法是采用口令驗(yàn)證方式，但現(xiàn)實(shí)中存在通過模仿登錄過程來竊取用戶口令的特洛伊木馬軟件，這些特洛伊木馬軟件往往擁有與正常登錄界面完全相同的界面。因此TCB必須通過可信路徑機(jī)制來防止特洛伊木馬偽造登錄過程，竊取用戶的敏感信息。標(biāo)志和鑒別機(jī)制也只有通過可信路徑才能更好地發(fā)揮作用。

同時(shí)，TCSEC在B2及以上級別對可信路徑安全機(jī)制都作了相應(yīng)的要求。由此可見，可信路徑安全機(jī)制在保護(hù)用戶敏感信息、維護(hù)系統(tǒng)整體安全性上起著舉足輕重的作用。

1 SAK機(jī)制

現(xiàn)有的主流操作系統(tǒng)都在一定程度上提供了可信路徑機(jī)制，這些操作系統(tǒng)中的可信路徑一般都是通過安全注意鍵(Secure Attention Key， SAK)的方式實(shí)現(xiàn)的。雖然不同系統(tǒng)所使用的SAK并不一致，對SAK的稱呼和處理也有所不同，但其原理基本上是一致的。

1.1 SAK原理及可信性

可信路徑必須能夠保證用戶通過它可以與TCB進(jìn)行直接通信，并且這種通信不可以被攻擊者截獲或修改。SAK作為實(shí)現(xiàn)可信路徑機(jī)制的一種方法，主要通過操作系統(tǒng)中斷機(jī)制來保證其符合上述要求。

操作系統(tǒng)內(nèi)核通過中斷機(jī)制來對外設(shè)的請求進(jìn)行響應(yīng)。在外設(shè)中斷信號到來之后系統(tǒng)陷入內(nèi)核態(tài)對中斷進(jìn)行處理；鍵盤中斷也是這樣，用戶按下相應(yīng)的鍵后，操作系統(tǒng)調(diào)用內(nèi)核中的鍵盤驅(qū)動程序?qū)Π存I進(jìn)行解釋和處理。SAK機(jī)制就是規(guī)定了某一鍵盤序列，當(dāng)用戶在終端鍵盤上使用這一鍵盤序列時(shí)，操作系統(tǒng)便直接陷入內(nèi)核，由隸屬于TCB的操作系統(tǒng)內(nèi)核提供可信路徑的功能。由于應(yīng)用程序無法截獲鍵盤中斷，這樣就可以保證攻擊者無法截獲或修改可信路徑上的通信。

1.2 Windows系統(tǒng)中的SAK[4]

運(yùn)行著Windows NT內(nèi)核的Windows系列操作系統(tǒng)(NT/2000/XP)所默認(rèn)的SAK序列是“Ctrl+Alt+Del”，微軟的官方文檔稱其為Secure Attention Sequence。以Windows NT Server version 4.0為例，當(dāng)系統(tǒng)內(nèi)核檢測到上述三鍵被同時(shí)按下時(shí)，由Winlogon進(jìn)程將系統(tǒng)設(shè)置為已注銷、已登錄或已鎖定三種不同狀態(tài)，然后將當(dāng)前桌面切換到Winlogon桌面。雖然Winlo￣gon進(jìn)程在桌面初始化過程共創(chuàng)建了三個(gè)桌面，即應(yīng)用程序桌面、Winlogon桌面和屏幕保護(hù)桌面，但系統(tǒng)采用了“只有Winlogon進(jìn)程才能夠訪問Winlogon桌面”的安全策略，即用戶及其所屬進(jìn)程并不能訪問Winlogon桌面以竊取用戶口令。這樣就保證了攻擊者無法截獲或者修改用戶在Winlogon桌面上輸入的口令。

1.3 Linux系統(tǒng)中的SAK[5，6]

本文所討論的Linux系統(tǒng)指的是x86體系結(jié)構(gòu)、字符方式、運(yùn)行2.4版本內(nèi)核的Linux系統(tǒng)。此系統(tǒng)默認(rèn)的SAK序列是“Alt+SysRq+K”，這組鍵是Linux系統(tǒng)中稱為Magic SysRq Key系列的一組。

Linux在系統(tǒng)初始化期間，通過Init進(jìn)程為每個(gè)虛擬終端(tty)[6]創(chuàng)建一個(gè)Mingetty進(jìn)程(默認(rèn)為六個(gè))。Mingetty進(jìn)程負(fù)責(zé)初始化虛擬終端并且提示用戶輸入用戶名。此進(jìn)程在獲得用戶名之后便會以該用戶名為參數(shù)調(diào)用Login程序，從而將Mingetty進(jìn)程替換成Login進(jìn)程；用戶通過Login進(jìn)程完成登錄過程。

當(dāng)用戶在某一虛擬終端使用SAK時(shí)，所產(chǎn)生的中斷首先由內(nèi)核中的鍵盤中斷處理程序截獲，該處理程序最終調(diào)用__do_SAK()[5]函數(shù)對此進(jìn)行處理。__do_SAK()函數(shù)通過向至少滿足以下三個(gè)條件之一的進(jìn)程發(fā)送SIGKILL信號來終止這些進(jìn)程：

（1）進(jìn)程的控制終端等于當(dāng)前虛擬終端。

（2）進(jìn)程屬于當(dāng)前會話。

（3）進(jìn)程將當(dāng)前虛擬終端作為文件打開。

在殺掉這些進(jìn)程之后，系統(tǒng)復(fù)位當(dāng)前虛擬終端。由于當(dāng)前虛擬終端上包括Mingetty或Login在內(nèi)的所有進(jìn)程都被殺死，Init進(jìn)程發(fā)現(xiàn)這一情況后便會在當(dāng)前虛擬終端上重新啟動Mingetty進(jìn)程來對當(dāng)前虛擬終端進(jìn)行初始化，并進(jìn)一步完成登錄過程。通過上述途徑，當(dāng)前虛擬終端上已經(jīng)存在的模擬用戶登錄界面的特洛伊木馬進(jìn)程就會被殺死。

此方式實(shí)現(xiàn)的可信路徑是建立在以下兩點(diǎn)基礎(chǔ)上的：①鍵盤等外設(shè)發(fā)生中斷時(shí)系統(tǒng)直接陷入內(nèi)核執(zhí)行相應(yīng)的處理程序；②假設(shè)作為TCB組成部分的系統(tǒng)內(nèi)核一定是可信的，而用戶進(jìn)程則不一定可信。

2 Linux可信路徑機(jī)制的缺陷

Linux現(xiàn)有的可信路徑機(jī)制通過殺掉不可信進(jìn)程可以在一定程度上達(dá)到保護(hù)用戶敏感信息的目的，但該機(jī)制存在下述缺陷：

(1)實(shí)現(xiàn)過于粗暴，對用戶不友好。很顯然，簡單地殺掉滿足上述條件的三種進(jìn)程固然可以殺掉有害進(jìn)程，但也不可避免地會殺掉當(dāng)前虛擬終端上的大多數(shù)無辜的用戶進(jìn)程。

(2)沒有完全消除潛在的威脅。Linux本身提供了在進(jìn)程間傳遞文件標(biāo)志符的方法[7]。如果一個(gè)進(jìn)程首先將某一虛擬終端作為文件打開，然后將其文件描述符通過網(wǎng)絡(luò)發(fā)送給其他進(jìn)程或者它本身，最后將該文件關(guān)閉，那么在文件描述符傳遞過程中所進(jìn)行的SAK操作將無法殺掉這樣的進(jìn)程。而且用戶進(jìn)程可以在用戶登錄的過程中操作終端，這樣就無法對登錄過程進(jìn)行后續(xù)保護(hù)。

(3)沒有向其他需要輸入口令的操作提供保護(hù)。文獻(xiàn)[8]指出，可信路徑安全機(jī)制應(yīng)該向所有需要輸入用戶身份信息的操作提供保護(hù)。所以，為passwd、su等命令提供保護(hù)是實(shí)現(xiàn)高等級安全操作系統(tǒng)的必然要求。

3 基于SAK機(jī)制的改進(jìn)方案

針對Linux系統(tǒng)現(xiàn)有可信路徑機(jī)制存在的上述缺陷，對該可信路徑機(jī)制進(jìn)行了改進(jìn)，改進(jìn)后的可信路徑機(jī)制稱為TP_IMP。TP_IMP仍采用SAK機(jī)制來保證直接與TCB進(jìn)行通信，但在對SAK的處理上采用了更為合理的方法。

3.1 關(guān)鍵措施

一旦可信路徑機(jī)制被觸發(fā)，可信路徑上的輸入和輸出必須與所有其他不可信進(jìn)程隔離。文獻(xiàn)[9]中歸納了三種滿足上述需求的方法：①終止所有不可信進(jìn)程；②掛起所有不可信進(jìn)程；③阻止不可信進(jìn)程對終端進(jìn)行訪問。針對問題①和問題②，TP_IMP對SAK的主要處理是采用阻止不可信進(jìn)程對終端訪問并且根據(jù)不同情況掛起、殺掉小部分進(jìn)程的方法；

針對問題③，TP_IMP將修改密碼功能集成在可信路徑機(jī)制中，并且TP_IMP具有良好的可擴(kuò)充性，只要稍作修改就可以將su等其他操作集成進(jìn)來。

TP_IMP 主要由位于應(yīng)用層的可信路徑服務(wù)進(jìn)程及內(nèi)核中的SAK驅(qū)動模塊、進(jìn)程控制模塊、內(nèi)核接口模塊組成。其相互關(guān)系如圖1所示。其中應(yīng)用層虛線框所示的Init進(jìn)程指的是對原Init進(jìn)程稍加修改的新Init進(jìn)程，核心層虛線框所示的鍵盤驅(qū)動模塊指的是Linux原有的鍵盤驅(qū)動程序。

3.2 功能描述

在功能和表現(xiàn)形式上，TP_IMP具有八種不同的狀態(tài)。在系統(tǒng)初始化完畢之后，TP_IMP依據(jù)不同條件在不同狀態(tài)之間轉(zhuǎn)換。

（1)等待狀態(tài)。系統(tǒng)完成初始化之后正常運(yùn)行的狀態(tài)，這時(shí)TP_IMP正等待被激活。

（2)登錄狀態(tài)。提示并等待用戶輸入用戶名。

（3)輸入密碼狀態(tài)。提示并等待用戶輸入密碼。

（4)菜單狀態(tài)。提供可供用戶選擇所需操作的菜單，該菜單上主要有殺掉進(jìn)程、恢復(fù)運(yùn)行及修改密碼三個(gè)可選操作。

（5)確認(rèn)殺掉狀態(tài)。提供“確認(rèn)殺掉”和“取消”兩個(gè)選項(xiàng)。

（6)重新輸入密碼狀態(tài)。提示并等待用戶重新輸入密碼。

（7)輸入新密碼狀態(tài)。提示并等待用戶輸入新密碼。

（8)確認(rèn)新密碼狀態(tài)。提示并等待用戶重新輸入新設(shè)置的密碼以便確認(rèn)。

其中狀態(tài)（2）、（3）基本類似于用戶正常登錄系統(tǒng)所做的操作；狀態(tài)（6）—（8）類似于用戶使用passwd命令修改當(dāng)前口令的步驟。由于一旦殺掉進(jìn)程，則被殺掉的進(jìn)程不可能被恢復(fù)，所以需要有狀態(tài)（5）來獲得用戶的確認(rèn)。上述各狀態(tài)的狀態(tài)轉(zhuǎn)換如圖2所示。圖2中狀態(tài)轉(zhuǎn)換條件如表1所示。

圖1 TP_IMP整體構(gòu)架圖圖2 TP_IMP狀態(tài)轉(zhuǎn)換圖

3.3 SAK驅(qū)動模塊

SAK驅(qū)動模塊的主要功能是根據(jù)TP_IMP的狀態(tài)對SAK進(jìn)行不同的處理。從圖2可以看出，用戶在八個(gè)狀態(tài)中的任意狀態(tài)都可能并且可以使用SAK，但是在不同的狀態(tài)對SAK的處理卻有所不同。在除“等待狀態(tài)”以外的其他七個(gè)狀態(tài)使用SAK，其結(jié)果僅僅是導(dǎo)致TP_IMP狀態(tài)的改變，所以在這里重點(diǎn)介紹SAK驅(qū)動模塊對在“等待狀態(tài)”觸發(fā)的SAK所作的處理。

在“等待狀態(tài)”觸發(fā)SAK后，由鍵盤驅(qū)動程序調(diào)用SAK驅(qū)動模塊進(jìn)行處理。SAK驅(qū)動模塊為了保證可信路徑上的輸入和輸出與不可信進(jìn)程相隔離，①阻止進(jìn)程對當(dāng)前虛擬終端的打開和讀寫等操作，使除當(dāng)前虛擬終端上的可信服務(wù)進(jìn)程以外的進(jìn)程均無法成功執(zhí)行針對當(dāng)前終端的打開和讀寫等系統(tǒng)調(diào)用。②檢測是否有進(jìn)程正在等待進(jìn)入當(dāng)前虛擬終端的讀(寫)臨界區(qū)，如果有這樣的進(jìn)程則調(diào)用進(jìn)程處理模塊將這些進(jìn)程轉(zhuǎn)移到當(dāng)前虛擬終端的可信路徑讀(寫)等待隊(duì)列上睡眠，并且對用于實(shí)現(xiàn)該臨界區(qū)的信號量的值進(jìn)行相應(yīng)修改。此外，考慮到在觸發(fā)SAK時(shí)可能會有進(jìn)程已經(jīng)調(diào)用對當(dāng)前虛擬終端的讀(寫)系統(tǒng)調(diào)用但還未執(zhí)行到臨界區(qū)的情況，如果有這樣的進(jìn)程，則在其即將申請進(jìn)入臨界區(qū)時(shí)將其掛入當(dāng)前虛擬終端的可信路徑讀(寫)等待隊(duì)列中。③如果存在已經(jīng)進(jìn)入讀(寫)臨界區(qū)的進(jìn)程，則殺掉這樣的進(jìn)程。這是因?yàn)樵凇暗却隣顟B(tài)”下，如果已經(jīng)有進(jìn)程進(jìn)入當(dāng)前虛擬終端的讀(寫)臨界區(qū)，正在讀(寫)或等待讀(寫)當(dāng)前虛擬終端，那么該進(jìn)程很可能是一個(gè)用于騙取用戶口令的偽造登錄進(jìn)程，當(dāng)然也很有可能是系統(tǒng)的其他進(jìn)程，但為了安全起見，本文還是將該進(jìn)程殺掉。進(jìn)行完上述處理之后，SAK驅(qū)動模塊喚醒當(dāng)前虛擬終端的可信路徑服務(wù)進(jìn)程，TP_IMP轉(zhuǎn)換到“登錄狀態(tài)”。

對于在其他狀態(tài)所觸發(fā)的SAK操作，SAK驅(qū)動模塊僅僅根據(jù)圖1的規(guī)律改變TP_IMP的狀態(tài)。

3.4 進(jìn)程控制模塊

進(jìn)程控制模塊主要功能表現(xiàn)為以下三個(gè)方面：①將等待進(jìn)入當(dāng)前虛擬終端讀(寫)臨界區(qū)的進(jìn)程轉(zhuǎn)移到該虛擬終端的可信路徑讀(寫)等待隊(duì)列上；②殺掉至少符合第1.3節(jié)中三個(gè)條件之一的所有進(jìn)程，當(dāng)然可信路徑服務(wù)進(jìn)程除外；③將當(dāng)前虛擬終端可信路徑讀(寫)等待隊(duì)列上的進(jìn)程轉(zhuǎn)移到用于實(shí)現(xiàn)讀(寫)臨界區(qū)的信號量的等待隊(duì)列中，對該信號量的值作相應(yīng)修改，然后對該信號量執(zhí)行up()操作，并且通知SAK驅(qū)動模塊停止對當(dāng)前虛擬終端的所有阻塞。最后為用戶創(chuàng)建一個(gè)新Shell，TP_IMP進(jìn)入“等待狀態(tài)”。其中功能①的應(yīng)用已經(jīng)在上一節(jié)中體現(xiàn)；功能②所對應(yīng)的操作是在“確認(rèn)殺掉狀態(tài)”選擇“確認(rèn)殺掉”；功能③所對應(yīng)的操作是在“可信路徑菜單狀態(tài)”選擇“恢復(fù)運(yùn)行”。

3.5 內(nèi)核接口模塊

內(nèi)核接口模塊主要是通過添加一個(gè)新的系統(tǒng)調(diào)用Sys_tp來向可信路徑服務(wù)進(jìn)程提供內(nèi)核部分所提供的服務(wù)。Sys_tp主要提供三種服務(wù)：①向內(nèi)核注冊可信服務(wù)進(jìn)程，該服務(wù)只能由Init進(jìn)程調(diào)用；②執(zhí)行進(jìn)程控制模塊的功能②；③執(zhí)行進(jìn)程控制模塊的功能③。后兩種服務(wù)只能由可信路徑服務(wù)進(jìn)程調(diào)用。

3.6 可信路徑服務(wù)進(jìn)程

可信路徑服務(wù)進(jìn)程集成了原系統(tǒng)中Mingetty、Login及Passwd程序的大部分功能，并且提供符合功能描述的用戶界面。在用戶作出相應(yīng)選擇后，必要時(shí)調(diào)用Sys_tp來完成相應(yīng)操作。

為了防止非法進(jìn)程注冊成可信路徑服務(wù)進(jìn)程并且請求相應(yīng)服務(wù)，系統(tǒng)調(diào)用Sys_tp最初僅僅可以由負(fù)責(zé)系統(tǒng)初始化的Init進(jìn)程(進(jìn)程號為1)調(diào)用。在TP_IMP中，Init進(jìn)程在系統(tǒng)初始化時(shí)為每一個(gè)虛擬終端都創(chuàng)建一個(gè)可信路徑服務(wù)進(jìn)程，也就是用可信路徑服務(wù)進(jìn)程來取代Mingetty進(jìn)程，并且通過Sys_tp注冊這些進(jìn)程。這樣各個(gè)虛擬終端上的可信路徑服務(wù)進(jìn)程才有權(quán)限去調(diào)用Sys_tp。

3.7 分析與對比

TP_IMP通過利用SAK機(jī)制提供了一個(gè)相對安全的用戶與TCB直接通信的環(huán)境。但也必須意識到，僅僅憑借可信路徑無法提供足夠的安全性，可信路徑機(jī)制需要協(xié)同系統(tǒng)中的其他安全機(jī)制一同工作才能更好地發(fā)揮作用。例如，需要系統(tǒng)的訪問控制機(jī)制來保證其他應(yīng)用進(jìn)程無權(quán)向可信路徑服務(wù)進(jìn)程發(fā)送干擾信號，同時(shí)也需要完整性保護(hù)機(jī)制來保證Init進(jìn)程和可信路徑服務(wù)進(jìn)程不被竄改。

與Linux系統(tǒng)本身提供的可信路徑機(jī)制比較，不難分析出TP_IMP具有以下優(yōu)點(diǎn)：

(1)實(shí)現(xiàn)方式對用戶更為友好。通過阻止不可信進(jìn)程對終端訪問并且根據(jù)不同情況掛起、殺掉小部分進(jìn)程的方法，避免了“濫殺無辜”；為用戶提供菜單選項(xiàng)，由用戶決定是否殺掉相關(guān)進(jìn)程。

(2)通過在整個(gè)操作過程中對當(dāng)前虛擬終端的打開和讀寫等系統(tǒng)調(diào)用進(jìn)行有選擇的阻塞，對登錄及修改密碼等過程進(jìn)行完整的保護(hù)。

(3)具有可擴(kuò)充性。TP_IMP不僅集成了修改密碼的操作，而且可以看出，只要對TP_IMP稍加修改，就可以將su等其他需要輸入口令的操作集成進(jìn)來。

4 結(jié)束語

本文提出了一種利用SAK機(jī)制的Linux可信路徑機(jī)制的改進(jìn)方案，對其工作原理及關(guān)鍵技術(shù)進(jìn)行了詳細(xì)論述，并對其優(yōu)點(diǎn)進(jìn)行了分析。此改進(jìn)方案提高了Linux現(xiàn)有可信路徑機(jī)制的友好性、可擴(kuò)充性，并且對登錄及修改密碼過程進(jìn)行了完整的保護(hù)。對Linux系統(tǒng)上原有的可信路徑機(jī)制的改進(jìn)可以被實(shí)現(xiàn)基于Linux更高等級的安全操作系統(tǒng)所借鑒，可信路徑機(jī)制本身也會因?yàn)槠渌踩珯C(jī)制的完善而變得更加可信。

本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。