[发明专利]一种远程网络服务的完整性检验方法

说明书

技术领域

本发明涉及信息安全领域，尤其涉及远程网络服务的安全保障技术。

背景技术

一个安全系统必须提供一种机制保障用户到达系统的路径是安全可信的，不受恶意程序侵扰或伪造。对于通过本地终端访问系统的情况，现有操作系统一般都提供了可信路径机制，常见的实现方式有两种：一是，在系统的显示输出界面上保留一块不可覆盖的警示区域，用于指示系统当前的安全状态，并提供一种机制供用户调用将系统切换到一个安全状态；二即安全注意键(Secure Attention Key，SAK)机制。不同系统使用的SAK键设置可能不同，称呼和具体处理也可能有差异，但基本原理都是一致的，即在用户输入SAK键后系统确保立即进入一个安全状态。

操作系统内核通常被认为是整个系统的安全基础，上述两种可信路径机制常在内核中的设备驱动层实现。例如，对于第一种方式，警示区域可以是主显示屏上的一块保留区域或者指示灯等专用显示输出设备，此时可以修改显示设备的驱动程序保证该警示区域不会被非法篡改或干扰；对于第二种方式，SAK键可能是普通键盘的按键组合或者专用输入设备，此时可以修改键盘等输入设备的驱动程序，保证内核或可信程序首先截获用户的SAK键输入并将系统切入安全状态。

一种典型的SAK键响应方法是，终止系统中当前所有使用对应终端设备的应用进程，并重启终端到初始登录界面，这样恶意程序将无法伪造终端界面或窃取用户信息。Linux操作系统就采用了类似的机制。而Windows NT操作系统采用的方法是，将终端界面切换到一个由可信程序控制的安全界面，其它应用进程无法干扰和获取安全界面的输入/输出。

以上本地可信路径机制不能解决远程用户通过网络访问系统的安全问题。目前，一般把远程访问的可信路径留给网络服务的服务例程来实现。例如，IBM公司的安全操作系统Secure AIX提出一种Telnet服务的远程可信路径方案(参见美国专利4885789：“RemoteTrusted Path Mechanism for Telnet”)，通过对Telnet协议和Telnet服务器程序的修改实现。此方案中，远程Telnet客户端向服务器端的Telnet服务器进程发送新增的Telnet命令：SAK，来请求建立访问Telnet服务的可信路径。Telnet服务器进程收到SAK命令后，把服务器端系统中当前所有在对应Telnet终端上运行的应用进程杀死，然后在该Telnet终端上重启一个可信Shell进程，并设置仅准许该Shell进程访问Telnet终端等候远程用户登录。

这种依赖于网络服务程序实施的远程可信路径方案的通用性、扩展性和应用兼容性差。为支持一种新的网络服务必须修改网络应用协议和服务器程序，网络应用协议的修改有时是很难甚至不可行的；对每种网络服务的可信访问，除了服务器端程序专用外，还必须通过专门支持的客户端程序，这就要求重新提供一整套服务器端和客户端程序而不能重用现有程序。更为重要的问题是，这种方案实际要求对网络服务的服务例程完全信任，不能应对服务程序本身存在安全漏洞、以及被恶意程序侵入或替换的情况。然而，由于网络服务程序通常也如同普通应用程序在应用层进程上下文中运行，同样存在被恶意程序侵染的可能，并不能委予全部信任。

发明内容

本发明的目的在于提出一种远程网络服务的完整性检验方法，用于建立远程客户访问网络服务的可信路径。

本发明的技术方案包括一个网络服务检验协议和服务器端的完整性检验机制。网络服务检验协议规定客户通过远程服务器的特定网络端口port_v(该端口可为UDP或TCP端口)请求服务器检验指定网络服务的完整性。客户首先向远程服务器的port_v端口发送检验请求报文，报文中指定了待检验网络服务所使用的侦听网络端口port_s，待检验网络服务的服务例程就在远程服务器的port_s端口上侦听并接受服务请求。上述的网络端口由协议和端口号定义，其中协议可为TCP或UDP协议。

如果服务器要求进行客户身份认证，检验请求报文中还应提供客户的身份认证信息，如：身份标识和口令等，或者先通过其它方式完成认证过程，若客户未提供身份认证信息或者身份认证失败，检验请求将被忽略。远程服务器在接受网络服务检验请求后，通过检查对应的服务进程、服务程序映像文件、加载的动态链接库文件、以及各相关文件的完整性来判定该网络服务的当前安全状态，并将检验结果回复客户。