A Framework of TPM, SVM and Boot Control for Securing Forensic Logs.ppt

AFrameworkofTPM,SVMandBootControlforSecuringForensicLogs,2012.10.22,论文说明,来源InternationalJournalofComputerApplications（IJCA）2012作者NazaninBorhan工作于：LecturerofDigitalForensicsandSecurityModulesatA.P.U./ForensicsITAnalystatFerrierHodgson.求学于：FacultyofComputerScienceandInformationTechnology,UniversityPutraMalaysia.研究方向：DigitalForensicsandSecurity.RamlanMahmodUPM大学教授，研究方向：ArtificialIntelligence，SecurityinComputing.AliDehghantanhaUPM博士生，adigitalsecurityandforensicconsultantandauniversitylecturer.,主要内容,研究背景基于硬件TPM的可信日志应用SVM的安全日志安全日志系统模型的架构总结与未来工作,计算机日志文件的重要性日志文件保存了重要的信息，可以作为对计算机系统的攻击和相关操作行为的取证证据网络数字取证有着广泛的应用，网络中的日志是取证数据的重要来源电子记录例如网络和计算机日志容易遭到窜改造成不可信，因此网络中可用于取证的日志的安全问题成为焦点目前关于日志取证方面的研究利用信息隐藏方法保证日志文件的完整性，将日志隐藏于图片中，防止被恶意窜改多种日志获取方法，例如从网络传感器中获得日志，加强取证的多样性多种日志分析方法，类似于入侵检测系统的预定策略，用于探测和鉴别非法攻击与入侵,研究背景,基于硬件TPM的可信日志（1）,TPM应用的目的本文主要考虑了CS模型中的日志问题，系统日志数据一般产生于客户端，之后发送到系统日志服务器中，服务器很难区分真实日志与窜改过的日志数据，服务器对客户端的有效认证很重要基于芯片的TPM，可以产生来自硬件的保护，面对基于软件的攻击，更加健壮，TPM的认证可以通过其安全的子系统完成每个芯片独有的密钥可以减小来自外部软件攻击的危害（授权可信软件），并且可以防止物理部件被偷窃文章提出的方案，利用了集成在USB设备上的生物指纹传感器，来完成对闪存的身份认证，以此确保对连接设备的用户的认证授权，USB设备中安装有TPM的相关设备,基于硬件TPM的可信日志（2）,基于TPM应用的可信日志参考方案文章借鉴了参考文献1的解决方案，该参考方案为客户端系统日志守护程序建立了可信根，在客户端与服务器间初始化了可信的关联,基于硬件TPM的可信日志（3）,上述步骤中的密钥生成与加载便是通过TPM实现的，通过上述步骤，合法的登陆客户完成了与服务器的连接，并且通过验证算法，可以证明客户端是运行在一个受保护的环境中上述步骤之后，客户端用服务器公钥加密自己的日志目录，并用自己私钥签名后发送给服务器，以此生成了受保护的日志目录（PLE），日志服务器可以验证客户端的合法性并获得PLE如果客户端与服务器没有建立合法连接，PLE将保存在本地以保护日志的完整性和机密性,应用SVM的安全日志（1）,SVM应用的目的运行于操作系统上的日志系统存在两个弱点：在获得管理员权限情况下，攻击者可以关闭日志系统攻击者可以窜改日志，掩盖其获得权限的方式和事实SecureVirtualMachines（SVM）的结构是AMD发展出来的用于企业级服务器的虚拟软件技术，该技术优化硬件资源，让一台主机更高效的运行多个操作系统。除了高效率低功耗特点外，SVM包含了一个重要的组件：虚拟机监视器（VMM），它可以控制各客户操作系统的运行。VMM不容易被攻击，文章的方案借鉴了参考文献2中的模型，如下：,应用SVM的安全日志（2）,应用SVM的安全日志（3）,SVGrid该方案是应用于网格计算中的安全虚拟环境网格应用程序独立运行在网格虚拟机中网格虚拟机的文件系统和网络服务被放置于特设的监视虚拟机中，所有的文件和网络服务请求必须通过监视虚拟机监视虚拟机拥有加强的安全策略，即使某一个网格虚拟机被攻击，监视虚拟机也可以保证大环境的安全SVGrid可以有效防止攻击者恶意接触文件系统和网络透明性（无需修改应用程序）完全中间介质（访问控制）攻击容忍（容忍网格虚拟机被攻击）,安全日志系统的架构（1）,安全日志系统模型的架构日志生成的应用程序容易受到攻击为了增强防护，本文提出了综合应用TPM、Dig-Force和AMD的SVM技术，以保护客户端系统的安全架构分析TPM可以降低基于软件层次攻击的威胁，唯一的窜改日志信息的方式是窜改硬件，此时攻击者需要物理连接方式才能控制硬件。但是支持TPM的软件和固件有限，且他们之间必须互相信任。TPM只确保了合法代码的加载，但是无法很好防止攻击者在程序运行时的恶意修改,安全日志系统模型的架构（2）,运用最新的Dig-Force2可以产生可信的系统日志，它具有bootcontrol的功能，提供了与TPM相结合的API，可以防止bootjamming程序的运行，进而阻止攻击者试图通过操作系统启动时的（口令）认证SVM允许多个操作系统允许在同一物理主机上，它为不同的虚拟机提供了优化后的硬件资源，且运行更安全有效。SVM可以将对安全敏感的代码分离在有高安全策略的位置中（SecureLoaderBlock(SLB)），阻止不可信软件的接触。VMM提供了安全的内核，从而提供更加安全的环境，VMM中的检测代码与TPM结合可以随时检测加载和执行的敏感程序,安全日志系统的架构（3）,客户端与服务器的系统认证结构图,安全日志系统的架构（4）,安全分析通过从TPM获得信任根并且遵循信任链的方式从客户端获得安全的系统日志，客户端系统日志守护程序可以防止被窜改，TPM阻止不被信任的软件和固件的安装，如果攻击者强行安装自己修改过的软件与客户端主机，该软件将被分入不被信任组，从而无法接触客户端数据Dig-Force完成了bootcontrol功能，防止恶意程序在启动时被运行运行在客户主机的SVM结构可以在虚拟机中检测任何安装在客户主机的程序，不仅可以检测程序的兼容性，还同时检测其安全性,总结与未来工作,总结基于硬件的TPM集成于芯片组中，可以防止物理攻击，基于软件的bootcontrol和SVM可以阻止恶意攻击者获得进入计算机系统的权利，防止攻击者获得高级权限进入根系统并执行攻击TPM、bootcontrol和SVM的组合应用为日志系统提供了一套安全的解决方案未来工作利用通用的方法实现和评估本文所提出的架构模型提升现有的密码算法，目前TPM运用的是RSA，未来希望运用AES结合ECC来提高安全防护能力,参考文献,1BenjaminBoeckandDavidHuemer,AMinTjoa,TowardsmoreTrustableLogFilesforDigitalForensicsbyMeansofTrustedComputing.24thIEEEInternationalConferenceonAdvancedInformationNetworkingandApplications.IEEEComputerSecurity,pp.1019-1027,2010.