28、基于虚拟化的非可信操作系统密码保护方案

基于虚拟化的非可信操作系统密码保护方案

1. 密码保护机制概述

在非可信操作系统中，为了抵御恶意软件对密码的攻击，采用了一种基于虚拟化的密码保护机制。该机制的安全性依赖于管理程序（hypervisor）的安全性以及用户的配合。

1.1 证书验证与使用

在SSL连接过程中，会对服务器证书链进行验证。验证时，检查证书是否过期，以及Cert0的主题名称是否与给定的服务器主机名（域名）匹配。若所有证书都通过检查，KGuard会将Cert0作为服务器的公钥，并使用它来加密当前SSL连接中的预主密钥。

管理程序会计算已验证证书链中每个证书的HMAC值，若证书链通过所有检查，则将这些值返回给访客系统。浏览器会将带有HMAC标签的证书插入到可信证书存储库中，这样在用户未来登录时再次使用该证书时，可节省管理程序的验证时间。需要注意的是，一旦用户信任了根证书，新的网站证书就会被接受。

1.2 安全分析

此密码保护机制的安全性依赖于管理程序的安全以及用户的配合。在满足这两个条件的情况下，用户 - 管理程序通道确保只有当KGuard处于拦截击键的位置时，才会输入密码，真实密码会保存在管理程序空间中。虚拟化技术实现的管理程序与访客空间隔离，可防止访客系统访问密码。当浏览器运行SSL连接提交密码时，所有加密操作都由管理程序执行，浏览器和访客操作系统只能获取密码的密文。

2. 系统实现

2.1 KGuard在管理程序中的实现

在配备Intel(R) Core(TM) i7 CPU - 860 @2.80GHz处理器和4GB主内存的台式机上，基于Xen 4.1.0构建了KGua