嵌入式可信平台的运行时验证ppt课件

.,1,单位：网络与信息安全学院,嵌入式可信平台的运行时验证,汇报人：孙召昌,第十三届中国信息和通信安全学术会议,CONTENTS,目录,研究背景,实验描述,方案介绍,总结展望,第一部分,可信计算,研究现状,研究背景,可信计算技术通过建立硬件可信根和信任链保证系统的安全性和完整性在嵌入式系统领域，可信计算平台可用于构建安全实时操作系统,可信计算,信任根,硬件平台,操作系统,上层应用,当前可信平台的研究工作主要集中于对平台自身的分析验证和可信环境构建两方面现有工作存在以下问题：侧重于静态验证，无法对实际运行过程中产生的安全问题进行分析验证在嵌入式系统环境下，无法对性能和线程状态等关键的运行时属性提供验证为此，本文提出一种嵌入式可信平台的运行时验证方案。通过实时地监测系统行为，验证系统的正确性，并对异常属性及时处理,研究现状,第二部分,方案框架,属性规约,异常处理机制,方案介绍,以嵌入式可信平台作为监控目标通过对TSS的运行时验证实现对整个嵌入式可信平台的监控，避免硬件监控的复杂度,方案框架,TSS监控系统的构建和处理流程图,方案框架,属性规约,性能属性,主要包括队列长度、优先级设置和响应时间3种属性。,系统状态属性,系统状态属性主要指对线程状态的收集和分析,合法输入属性,合法输入属性主要指对接口输入参数的分析和检查。,功能属性,主要包括密钥合法性、度量权限和认证顺序3种属性。,监控属性描述,属性规约,异常处理机制,安全等级最高属性层次：TCS,挂起系统服务,安全等级次之属性层次：TDDL,重新调用当前接口,安全等级最低属性层次：TSP,终止当前接口调用,异常处理机制,异常处理机制的算法描述,第三部分,监控代码的生成和插入,实验环境,错误注入,实验描述,实验评估,实验结果,监控代码的生成和插入,通过扩展RiTHM工具完成监控代码的生成工作输入：原始系统代码和由LTL描述的监控属性输出：用于实时验证的系统监控程序代码扩展后的工具能够自动化完成以下代码转换操作：自动化完成VxWorks相关函数库的替换和语法转换；自动生成属性异常处理机制的实现代码，并将异常处理代码自动插入到原生成代码。,监控代码的生成和插入,代码行数对比,实验环境,POWERPC开发板：VxWorks5.5、TSS；iTOP-4412开发板：Linux系统、TPMEmulator,错误注入,选取不同监控层次和安全等级上的3种属性（队列长度、密钥合法性和度量权限）进行实验针对以上3种属性的不同要求，分别自动化随机生成500条非法数据作为软件错误注入的测试用例使用上述测试用例进行软件错误注入测试，由上层应用程序对TSP层的可信服务接口进行多次调用每次调用过程中，在目标属性所处的监控层次创建错误注入线程，读取一组测试用例并修改目标属性相关的程序变量，完成TSS监控系统非法数据的随机注入。在该监控层次的不同代码位置插入监控程序，验证监控属性相关的程序变量是否符合属性要求。,实验评估,准确性,实时性,监控开销,指实际监控出的错误数占注入错误总数的比例,指错误发生与该错误被监控到之间的时间间隔，时间间隔越短，实时性越强,时间开销指从接口调用到返回响应结果所用的时间；内存开销指软件系统运行过程中的平均内存分配。,实验结果,监控系统的准确性,(a)度量权限属性,(b)队列长度属性,(c)密钥合法性属性,3种不同属性的准确率均随着监控节点数的增加而以近似线性趋势上升当监控节点数足够多时，准确率可以达到90%以上。,监控系统的实时性,(a)度量权限属性,(b)队列长度属性,(c)密钥合法性属性,3种监控属性的实时性均随着监控节点数的增加而变强时间间隔的变化趋势随监控节点数的增加而逐渐减缓,实验结果,监控系统的时间开销和内存开销,(a)度量权限属性,(b)队列长度属性,(c)密钥合法性属性,实验结果,(a)度量权限属性,(b)队列长度属性,(c)密钥合法性属性,监控系统开销结果分析,实验结果,监控开销均随着监控节点数的增加而增加，且始终高于TSS原系统由于各属性的异常处理方式不同，异常处理导致的监控开销增长也各不相同当前实验中的监控开销和异常处理开销均处于合理范围在监控系统的实际应用中，应综合考虑准确性、实时性和监控开销，选择满足监控需求的监控节点数。,第四部分,工作总结,工作展望,总结展望,工作总结,本文通过扩展运行时验证工具RiTHM，提出了针对嵌入式可信平台的运行时验证方案实现对嵌入式可信平台的功能属性、性能属性、系统状态属性及合法输入属性的运行时验证和自动化异常处理保证了运行无异常的嵌入式可信平台满足预定义的系统属性，从而保证系统整体持续可信实验结果表明，随着监控节点数的增长，监控的准确性和实时性提升，而监控开销和