TCG重放攻击技术规范与解决方案

来源：职称驿站所属分类：电子技术论文发布时间：2011-04-29 14:21:14浏览：次

　　摘要：本文证明了独立对象授权协议（OIAP）个性化设计中存在的缺陷，OIAP是可信平台模块（TPM）的基本构件，TPM是可信计算平台（TP）的核心，符合可信计算组织（TCG）标准。特别是在模型检测器的支持下，我们还证实了该协议容易受到危害TP行为正确性的重放攻击。我们也提出了相应对策，以避免上述协议受到类似攻击或是任何重放攻击。
　　关键词：独立对象授权协议，重放攻击，解决方案
　　
　　1.引言
　　计算机安全机构在构建更安全的信息和通信技术系统方面，有一个最新的发展趋势，那就是以可信计算平台（TP）为基础构建系统。大致的说，TP是包含内置可信组件的计算平台，这些可信组件可用于创建平台内的安全服务，例如安全启动、数字签名、软件完整性检查等。
　　2.符号
　　本节对文中将用到的符号进行说明。
　　下面我们将用大写字母来表示二进制字母表中的字符串，而大写黑体字母表示通用实体，例如主机、硬/软件组件、一般用户等。
　　•X.Y表示X连接Y
　　•A→B:M表示A发送信息M到B
　　•Si表示授权会话i
　　•A′,A″,•••表示伪随机数A的更多“实例”，例如A′表示产生于相同伪随机数发生器但不同于A的另一个伪随机数，所以A和A′有着相同的特性等。
　　3.授权协议
　　TP利用授权协议每次一条主题发出一条指令（此类指令参见[5]）要求访问某一受保护资源。授权协议的主要作用范围是按照所涉及资源的保密性和完整性等政策向授权主题发放访问权利。
　　TCG规范定义了两个主要授权协议：独立对象授权协议（OIAP）和特定对象授权协议（OSAP）。当多次发出同一的指令，可能访问不同的受保护资源时，OIAP开放一条授权会话。OSAP工作方式相似，但在仅有一条授权会话的情况下，每条指令都能访问同一受保护资源。本文着重描述OIAP。
　　OIAP运作如下。U作是一条普通主题希望通过TPMT使用受保护资源R，AR是U和T之间共享的一条秘密。而且
　　•GC是U要在R上执行的授权指令，即GC是为了被使用需要授权的一条指令。授权协议用来满足这样的需求。
　　•Rc是一条成功的返回代码
　　•Re是一条无效的授权代码
　　•D是与GC有关的数据（可以是空的）
　　•RES是GC在R上执行的结果（可以是空的）
　　•Ne是一个160位不可预测的随机偶数，用来提供全新的属性（后面有更多介绍）
　　•No是一个160位不可预测的随机奇数，与Ne属性相同
　　•Auth={GC.S1.Ne.No}是关键密码函数上的数据串
　　用来计算检测损坏的数据传输
　　起初U向T发送指令CMDOIAP请求开放一条授权会话（图1第1步），然后T发回需要处理授权会话的会话信息（图1第2步）。如果步骤执行正确，U将向T发送指令GC执行，指令包含识别AR的证明（图1第3步）。然后T将验证信息真实性和完整性，如果符合标准T则代表U执行GC，并向U发送得到的结果（图1第4步），反之T则关闭连接。图1表现了上述的OIAP，当resAuth={Rx.GC.S1.N′e.No}时，根据第4步的选择Rx为Rc（正确）或Re（错误）。
　　
　　图1OIAP示意图
　　另一方面，基于TCG的TP可以配置HMAC检测信息包改变，但不能区分普通网络错误和MiTM导致的数据包损坏。将在第5节所描述的OIAP攻击中发挥重要作用。
　　4.攻击
　　攻击者可能以以下方式进行连续的重放攻击（[19,14]）。用户与TPM交换完协议的前两条信息（图2第1、2步）攻击者截获下一条来自用户的信息（图2第3步），并存储以便将该信息注入到另一个运行的协议。同时攻击者发送一条重置信息欺骗用户（切记攻击者位于用户和TP间的通信信道中间）。这个信息像是一条“合法”回复信息，如图1所示步骤4a那样的一个发送，但里面有一些错误位，造成一个临时网络错误的假象。而且我们认为，因为是常见操作，所以当有错误[1]发生时客户应用程序会关闭连接，虽然规范里没有明确的规定。
　　这一程序段的末端有一个面向TPM的开放授权上的会话，用户并不知道。攻击者就在这里等待用户的下一步动作再作出适当的决定。
　　看到第一次连接尝试失败用户会：
　　(a).打开一个新的授权会话并在不同数据上执行重新发送故障指令;
　　(b).在相同数据上执行重新发送故障指令
　　(c).执行另一种授权指令。
　　考虑到攻击者已经能够开始攻击，以入侵者的角度来看显然只有方案（a）会因为有针对性的实施攻击产生严重后果。实际上，选择方案（c）将运行另一个协议，可能一开始就再次受到攻击。而选择方案（b）除了由请求引起的一次DoS攻击外不会产生严重影响，用户和攻击者分别来回传送重置信息。相反如果用户选择方案（a）可能发生最后阶段的攻击。实际上，攻击者利用上述仍开放的授权会话和截获的信息能重写TPM受保护资源，完全损害平台的正确行为。
　　这种攻击的后果就是，活跃的破坏者能随意重放任何（捕获的）授权指令，可能修改用户在TP信任度。例如，TCG规范提供一个被隔离的位置，叫做非易失性（NV）存储区，某种程度上受到TPM保护，只有受保护的能力可以修改它的值。如果用这样的区域存放重要的完整性测量值，进行上面提到的攻击，将允许攻击者重写存储的“最新”值覆盖之前捕获的“过时”的值。这样的话攻击者就可以用更新测量过的软件数据包或数据替换代表系统安全风险的旧的数据，避免TP检测。
　　为了方便说明，我们用X＊表示冒充实体X的入侵者，并把攻击划分为三个阶段，即针对截取信息的信息存储阶段（图2）、针对观察用户行为的信息重发阶段（图3）和最后实施攻击的重放攻击阶段（图4）。
　　
　　图2OIAP信息存储攻击阶段
　　
　　图3OIAP信息重发攻击阶段
　　
　　图4OIAP重放攻击阶段
　　5.协议模型检测
　　我们正式的分析OIAP以数学证明存在设计缺陷。我们采用由GeraldJ.Holzmann[13]开发的基于Büchi自动机5上的一种模型检测器SPIN来进行分析。给出一个系统M（适当的模拟）和特性P（通常以线性时序逻辑中的命题表示），模型检测器能验证在M可能穿程的任何序列状态下P是否有效。更确切的说，SPIN分别用automatonM和automaton¬P表示作为Büchi自动机的M和无效P，然后计算automatonM和automaton¬P认可的语言的逻辑乘I。如果结果是空的，那么在M每种可能的序列状态下特性P都被验证。相反非空语言I的每个短语都是M的状态，其中P未被验证。文中所指的M为执行OIAP的系统，P为不存在缺陷的协议规定的命题。