[发明专利]一种基于ARM指针验证的内核代码指针完整性保护方法

说明书

本发明公开了一种基于ARM指针验证的内核代码指针完整性保护方法，利用指针验证码对内核中所有的敏感指针提供完整性保护。此方法包括如下步骤：(1)定位内核代码中所有的敏感指针；(2)插入指针验证指令使得：向内存写入敏感指针前生成并嵌入指针验证码，从内存读入敏感指针后检查指针验证码；(3)修改内核启动代码，在启动早期初始化指针验证特性，随后初始化全局敏感指针的指针验证码。本发明不仅保护了内核的控制流完整性，也能防止攻击者通过篡改数据指针间接篡改代码指针，在内核中全面保护了代码指针完整性。

技术领域

本发明涉及计算机系统安全领域，尤其涉及一种基于ARM指针验证(PointerAuthentication,PA)的内核代码指针完整性(Code Pointer Integrity,CPI)的保护方法。

背景技术

操作系统是计算机系统运行的基础，其上任何安全问题会直接危害系统整体安全。近年来，针对操作系统的攻击层出不穷，如2017到2019年的WannaCry蠕虫式勒索病毒。根据攻击手段的演化，对操作系统的攻击主要分为三类：代码注入攻击、代码重用攻击以及非控制数据攻击。与此同时，操作系统安全在攻击者和防护者的不断对抗中得到很大提升，随着抗代码注入攻击硬件安全特性的大规模部署，主流操作系统均已实现基于硬件的抗代码注入攻击防护。攻击者无法注入新的代码，转而篡改系统中的代码指针，控制系统控制流重用已有代码片段构造攻击载荷，被称为代码重用攻击。篡改返回地址的ROP攻击和篡改函数指针的JOP攻击都是常见的代码重用攻击技术。非控制数据攻击由于限制条件多、攻击载荷复杂以及通用性较低等特点，目前并未被攻击者广泛采用。抵御代码重用攻击成为当下操作系统防护的重点问题。

已有的针对代码重用攻击的保护技术主要可以分为基于控制流完整性(Control-Flow Integrity,CFI)和基于内存完整性的两类保护方法。基于控制流完整性的保护只对控制数据的跳转进行限制，不对控制数据(即代码指针)本身进行保护。这类保护方案通常需要事先对程序进行分析，创建精准的控制流图(Control-Flow Graph,CFG)，对于每一个控制数据构建允许跳转目标的集合；然后在运行时根据事先建立的控制流图对程序跳转进行检查，不允许控制流图以外的任何跳转。但令人遗憾的是，大规模代码上静态分析得到的控制流图精确性往往受限，导致保护精度也受限。例如J.Li等在2018年发表的工作中(LiJ,Tong X,Zhang F,et al.Fine-CFI:Fine-grained control-flow integrity foroperating system kernels[J].IEEE Transactions on Information Forensics andSecurity,2018,13(6):1535-1550.)同时使用了基于指向(points-to) 分析和基于类型分析的方法构建控制流图后，平均每个间接跳转依然有57个合法的跳转目标。另外运行时在跳转处(call-site)的检查也会引入无法忽视的运行时性能开销，严重影响被保护程序性能。