超级会员免费看
Lockdown:安全实用架构的探索
1. 外部验证与可信路径
1.1 Lockdown验证器
用户使用名为Lockdown验证器的外部设备在可信和不可信环境之间进行切换。为了让用户信任该验证器,它需具备以下特性:
- 正确操作 :在Lockdown验证器上运行的软件必须具备强大的抗攻击能力。通过减少验证器的代码量,使其更易于进行形式化分析。
- 最少输入功能 :为了降低复杂度(从而减少用户的困惑),应尽量减少输入选项的数量。
- 最少输出功能 :为减少混淆,用户应能轻松了解自己所处的工作环境。
为实现这些特性,Lockdown验证器由一个开关、两个LED灯和一个蜂鸣器组成。开关可在安全和不安全状态之间切换(反之亦然)。当用户处于可信环境时,绿色LED灯亮起;当处于不可信环境时,红色LED灯亮起。为向用户提供额外反馈(例如,在用户切换开关后),验证器使用闪烁的红色LED灯表示正在处理。此外,当LED灯状态改变时,验证器会使用蜂鸣器吸引用户的注意力。如果验证器无法验证参考监视器(例如Lockdown)的正确性,或者系统遇到致命错误,它还会发出警报声。
1.2 安全通道
为了准确验证系统的状态(可信或不可信),Lockdown验证器必须能够与红/绿参考监视器(即管理程序或虚拟机监视器)进行安全通信。具体而言,攻击者不应能够假冒或在不被察觉的情况下修改参考监视器。可通过结合CPU保护和基于TPM的硬件认证来实现这一目标。
为了与Lockdown验证器建立安全通信通道,参考监视器
订阅专栏 解锁全文
扫一扫
2006
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
