作者:刘桂雄,徐钦桂,文元美,林若波
出版社:清华大学出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
网络化测控系统可信技术及应用试读:
前言
遵循开放式体系标准,以仪器硬件为基础、计算机为核心、网络通信为支撑的网络化测控系统,越来越多地引入普适计算(pervasive computing)、移动计算(mobile computing)、云计算(cloud computing)等先进计算,通过软件技术实现其测控功能。但信息网络系统中存在的安全威胁不断向测控系统扩散,测控软件的开放性、复杂性等特点带来测控系统的脆弱性,降低其正确执行测控功能的可信度。因此,迫切需要专门工作来寻求网络化测控系统可信增强的基础理论创新与应用。
本书以增强网络化测控系统的可信度为主线,重点研究网络化测控系统的可信增强与评价方法。第1章主要讲述网络化测控系统可信性内涵及进展;第2章主要讲述可信网络化测控系统的总体构架设计与形式化建模方法;第3章主要讲述包括现场节点、测控应用服务器软件、操控终端软件在内的系统完整性保护分析与增强方法;第4章是身份认证与访问控制方法研究;第5章主要讲述可信评价方法;第6章为探讨可信增强与可信评价方法在网络化测控系统的应用,给出可信技术在物联网环境空气质量监测平台、高压输电线路网络监测平台、物联网LED显示集成监控平台、虚拟仪器计量技术等测控系统实际应用实际。
本书是作者长期从事网络化测控系统,特别是网络化测控系统可信性研究工作方法和应用成果总结。部分内容在《物联网技术与应用》等研究生课程中进行讲授,这些实践工作对本书的形成起到积极作用。
本书由在一线从事网络化测控系统可信研究的科研工作者完成。第1、2、3章由刘桂雄教授执笔,第4、5章由刘桂雄教授、徐钦桂教授执笔,第6章由刘桂雄教授、文元美副教授、林若波副教授执笔。全书由刘桂雄教授策划和统稿。
本书的研究与出版工作得到了教育部新世纪优秀人才支持计划项目(NCET-08-0211)、中国博士后科学基金(2011M500130)、广东省高等学校高层次人才项目(粤教师函[2010]79号文)、广东省科技攻关重点项目(2007A060304003)、广州市科学技术协会的资助,在此表示衷心感谢!
博士生吴卓葵、吴国光、余长庚与硕士生赵大伟、袁明山、罗丽等为相关课题的研究做了大量工作。同时,本书在撰写过程中,也得到清华大学出版社的大力支持,在此表示诚挚的谢意!
由于作者水平所限,加之网络化测控系统的可信研究仍处于不断的发展和变化之中,书中错误和不足之处在所难免,恳请专家、读者指正。作者2014年8月于广州第1章 网络化测控系统可信技术概述1.1 网络化测控系统可信度概述
网络化测控系统越来越多通过软件技术实现其测控功能,利用各种总线将地域分散的基本功能单元(计算机、测试仪器、智能传感器、控制模块)互连起来,通过各种网络技术进行信息的传输和交换,使得测控系统功能更强、使用更灵活、性能更高。随着普适计算(pervasive computing)、移动计算(mobile computing)、云计算(cloud computing)等先进计算模式出现,遵循开放式体系标准,以仪器硬件为基础、计算机为核心、网络通信为支撑的网络化测控系统将成为测控领域的重要发展方向,是物联网技术的核心支撑部分。但测控软件的复杂性、开放性又容易带来测控系统的脆弱性,有时在可靠性方面不如传统硬件化测控仪器,降低其正常工作、正确执行测控功能的可信度。随着最新计算机技术、软件开发技术、网络互连技术在测控领域应用的不断深入,信息网络系统中存在的安全威胁不断向测控系统扩散。测控软件的崩溃、遭受木马攻击与异常工作,会导致军事设施瘫痪、产品废品率增高甚至生产设备毁坏、公众贸易结算利益受到损害,甚至危及人民生命财产。开展网络化测控系统可信技术研究具有重要战略意义。1.1.1 网络化测控系统可信度概念
网络化测控系统概念突出于测控系统工作在网络化、分布式环境下,基于测控系统层次结构分析方法,可把系统划分为数据传感、数据采集、数据传输、数据处理和数据表达等五个环节,这些环节既可集成在传统计算机及模块化硬件上,又可通过测控网络、仪器总线和外设接口连接分布在独立测控节点。
图1-1为网络化测控系统组成结构框图,软件系统是其重要部分,由软件实现的数据处理、数据表达环节又可细分成更多的软件层次、软件模块或软件构件,各软硬件模块的工作可能需调用标定参数。图1-1 网络化测控系统组成结构框图
网络化测控系统可信度目前还没有明确定义,这里是指以用户、公众或监管部门期望方式工作,正确执行测量控制、系统配置、管理维护等功能,并产生可信测控结果的能力。在开放的软硬件结构、网络环境下,要使网络化测控系统给出可信测控结果,不但要求系统软硬件完整,还需要求系统工作流程正确、用户身份真实、用户操作属于其职权范围并满足系统安全。网络化测控系统应用环境还存在相当数量的系统漏洞、安全威胁,这将直接影响系统的可信度。1.1.2 脆弱性与系统可信度
图1-2为网络化测控系统存在脆弱性与系统可信度关系图。可以看出,如果系统存在完整性保护、身份认证、访问控制等方面脆弱性,使恶意人员、不良用户和恶意代码等通过对系统执行身份冒充、篡改软件代码、更换硬件模块、非正常操作、篡改关键参数、测控欺诈和注入恶意程序等行为,使系统表现出操作人员身份可信、软硬件完整可信、运行环境可信、用户行为可信等多个方面可信度降低,更改系统测控逻辑,操控测控结果。这也就是说,减少系统存在的脆弱性,可以减少导致可信降低行为的发生,提高系统的可信度。图1-2 网络化测控系统存在脆弱性与系统可信度关系图
还可以看出,用户身份可信度降低由身份冒充行为引起,身份冒充由身份认证漏洞、完整性保护脆弱所致,要提高操作人员身份可信度,应减少或消除系统身份认证漏洞和完整性保护脆弱性;软硬件完整性可信度降低由更换硬件单元、篡改软硬件代码和测控欺诈等行为所致,使这些行为得以发生的原因是系统存在完整性保护脆弱性、访问控制缺陷,提高系统软硬件完整性可信度,必须增强系统完整性保护能力、消除访问控制保护缺陷;更换硬件单元、篡改软件代码、更改标定参数和注入恶意程序,都导致测控模块运行环境可信度降低,这些行为也需要利用系统完整性保护脆弱性、访问控制缺陷,要提高运行环境可信度也需要从完整性保护、访问控制两方面增强系统的保护能力;操作行为可信度降低是由于不良用户通过非正常操作、测控欺诈产生了不可信测控结果,非正常操作和测控欺诈行为的发生往往因为系统存在访问控制缺陷,提高操作流程可信度,需要增强系统访问控制保护能力。
因此,必须从完整性保护、身份认证、访问控制等3个方面研究网络化测控系统可信增强技术,来提高整个系统可信度,由于3个方面的脆弱性与系统4个可信度属性之间不是一一对应关系,因此在研究解决系统脆弱性问题可信增强方法时,需要综合考虑。1.2 网络化测控系统可信理论国内外研究进展
近年来,围绕网络化测控系统可信理论的研究主要集中在“网络化测控系统完整性验证与增强方法”、“网络化测控系统身份认证与访问控制方法”、“网络化测控系统可信评价方法”等方面。1.2.1 网络化测控系统完整性验证与增强方法
网络化测控系统完整性包括数据完整性、模块(包括软硬件模块)完整性,那么系统完整性保护必须保证始终保持硬件完整、信息或软件不被未授权篡改,或在篡改后能够被迅速发现,相应也可从完整性验证、完整性增强两个层次来进行。其中完整性验证是被动测试硬件、数据及软件模块的完整性状态,是被动方法;完整性增强,严防非授权操作更改硬件、数据及软件模块的内容,是主动方法。
1. 完整性验证方法
完整性验证原理是通过对硬件、数据以及模块在不同时期的不变特征值进行比较来判断模块是否已被更改。基于不变特征类型,大致可划分为基于数字指纹、基于特征匹配和基于行为监控三种完整性验证方法。
1)基于数字指纹完整性验证方法
图1-3是基于数字指纹的完整性验证过程,它的原理是采用一个*l散列函数h:{0,1}→{0,1}为硬件、数据以及模块M计算一个长度为l的数字指纹g(不变特征值P),通过安全传输或保存,验证方重新计算待验证硬件、数据或模块的数字指纹g',比较g'与g是否相等来判断M完整性状态。由R. L. Rivest开发的(1992)MD5散列算法能对任意长度的消息m采用分组、迭代、散列方法进行处理,压缩成128bit数字指纹g,具有良好单向性、抗碰撞性和雪崩效应(对输入消息m的微小改动,算法输出的数字指纹g有近乎半数左右bit位会改变),被广泛应用于加密解密、PGP邮件加密和文件完整性验证。为支持高安全性要求的电子商务应用,美国国家安全局(NSA)(1995)通过公开标准文件(FIPS 180-2)发布了SHA系列密码散列64函数,其中SHA-1可对最大长度为2bits的消息计算160bits数字指纹,与数字签名算法DSS(digital signature standard)联合使用。SHA-1算法产生160bits数字指纹,对穷举攻击能力更强,MD-5的碰80撞攻击对SHA无效,理论上破解运算量达2次,用每秒十万亿次速度计算机破解需要5000年,但还是有学者找到将SHA-1碰撞消息算法69复杂度降低为2的方法。美国马萨诸塞州RSA实验室Michael Szydlo等(2006)采用消息扩充函数对输入消息进行预处理方法,进一步增强MD5和SHA-1抗冲突性能,但并未增加理论上的破解难度。文献[22](2010)研究一种输出长度为160bits的动态散列函数构造方案,对MD结构进行改进,提高了散列函数抵抗部分消息碰撞攻击的能力。图1-3 基于数字指纹的完整性验证过程
2)基于特征匹配完整性验证方法
图1-4是特征匹配完整性验证过程,它将计算机病毒、网络蠕虫、特洛伊木马、后门代码、rootkit等恶意代码的二进制特征码、检测规则分别建立成特征库和规则库,按照匹配规则用每个特征码去匹配待验证模块二进制串,一旦发现某个特征码匹配,则认为模块M已被相应恶意代码篡改,完整性遭到破坏。基于特征匹配验证方法关键是特征库的全面性、特征匹配算法的验证能力与效率。Vienna大学C. Kruegel等(2004)以rootkit恶意代码的执行序列为特征,采用非形式化方法描述这些特征并建立特征库,对被检程序二进制代码进行静态分析或符号执行,获得指令执行序列,然后进行特征码匹配,实验结果获得了100%的rootkit识别率和零误报率。C. Wysopal等(2008)研究特殊凭证、隐藏功能、安全关键参数控制、植入Shell命令、逻辑炸弹、类Rootkit行为、自修改代码、代码或数据异常等应用级后门程序代码的特征码,提出基于源程序、二进制形式模块的静态检测方法,在Symantec病毒防护系统中得到应用,但不能检测未知后门代码和恶意代码。文献[26](2010)年提出一种基于规则优化与排序的恶意代码匹配检测方法,将面向协议特征变换为面向内容特征进行搜索匹配,精简特征库中规则条数,采用规则匹配成功的频繁度对规则排序,提高恶意代码检测能力和检测速度。图1-4 基于特征匹配的完整性验证
3)基于行为监控的完整性验证方法
图1-5是基于行为监控的完整性验证方法框架,它由可信监控模块对处于运行过程的模块行为进行跟踪,设置监控规则,进行行为特征匹配,识别程序异常状态,判断恶意代码的存在性与模块的完整性状态。行为监控、捕捉和特征码提取方法是关键技术。Carnegie Mellon大学Newsome等(2005)提出商用软件恶意代码检测模型TaintCheck,自动检测、分析堆栈覆盖攻击代码,利用语义分析产生攻击特征码,可有效识别多态蠕虫代码,但算法开销较大;EunYoung Kim等(2006)提出一种启发式恶意代码实时检测系统,通过监测进程操作、注册表访问和网络行为生成程序轮廓,将偏离正常轮廓的行为视为非正常代码,对未知恶意代码检测准确率达93%,但恶意代码可通过反检测措施逃避监测。Jochen(2008)在维持代码语义不变条件下在移动代码中嵌入篡改检测标记,实现移动代码完整性验证,但不具有通用性。图1-5 基于行为监控的完整性验证方法框架
表1-1为3种完整性验证方法特性对比表。可以看出:①基于数字指纹的验证方法可对任何硬件、数据、模块实施完整性验证,但依赖于数字指纹可信度、散列算法安全性;②基于特征码匹配验证方法根据代码特征可检测已知恶意代码,但依赖于代码特征可靠度,可能存在误判;③基于行为监控完整性验证方法可检测未知恶意代码,但恶意行为特征提取难度大,3类完整性验证方法各有特点,可根据应用场合灵活应用、改进。表1-1 3种完整性验证方法特性对比表[18]NIST.Secure hash standard[S].//Federal Information Processing Standards,FIPS-180-1,April 1995.[24]KRUEGEL C. Detecting kernel-level rootkits through binary analysis[C].//20th Annual Computer Security Applications Conference.2004:91-100.[29]MICHAEL J J. Bile code integrity through static program analysis,steganography,and dynamic transformation control[D]. Delaware University,2008.
2. 完整性增强方法
完整性增强是指采用硬件或软件手段加固模块、系统,阻止破坏系统完整性的数据流,隔离被篡改软硬件模块,使测控操作由可信测控软件在可信软硬件环境下执行完成。与网络化测控系统可信有关的完整性增强方法主要有完整性增强的信任链传递方法、完整性增强的信息流控制方法、计量规范完整性保护方法等。
1)完整性增强的信任链传递方法
图1-6描述了计算机系统信任链传递过程,其基本思想是以防篡改、防伪造的可信平台模块TPM(一个含有密码运算部件和存储部件的小型SoC片上系统)和BIOS Boot Block作为可信根源,系统上电时,首先获得CPU控制权,对BIOS执行完整性度量和验证,若通过验证则将BIOS加入可信模块集(Trusted Modules Set,TMS)并将控制转移到给它,此后,BIOS对Bootloader、Bootloader对OS、OS对OS模块与应用程序依次执行同样的完整性度量、验证、控制转移操作,将通过验证的模块加入TMS,最终将信任边界扩展到系统启动路径上所有模块。Joshua Guttman等(2008)基于TCG规范,建立可信软件栈,实现远程完整性验证功能,验证时间满足实时性要求;还有学者(2010)提出基于可信计算技术软件运行时的可信证据收集机制,在操作系统层引入一个可信证据收集代理,收集目标应用程序运行时的可信证据,实现基于TPM的应用程序完整性保护方案,但软件模块数字指纹的安全存储仍然是一个薄弱环节。图1-6 计算机系统信任链传递过程
2)完整性增强的信息流控制方法
基于信息流控制完整性增强方法由Kenneth J. Biba(1977)首次提出,图1-7描述了其工作原理,系统为每个受保护的数据、模块绑定一个完整级标签,将系统保持完整性定义为系统中未曾发生完整级高的信息被完整级低的信息所污染时所处的状态,系统通过安全策略监控所有受保护数据访问请求,若本次访问可导致低完整级信息直接或间接流向高完整级的信息,则阻止该次数据访问。美国国防部(1985)《可信计算机系统评价准则》(trusted computer system evaluation criteria,TCSEC)规定安全等级在B1级及以上计算机和信息系统都要进行信息流控制,以增强对恶意代码的免疫保护能力。美国国家安全局(national security agency,NSA)Loscocco和NAI公司Smalley将Biba完整性保护模型集成进Linux内核,使通用操作系统获得基于信息流控制的完整性保护特性。孙玉芳等(2005)在基于Linux的安全操作系统RFSOS中实现一种动态完整性实施方案,对系统整体效率影响小于1%。Jafarian等(2009)提出根据上下文动态调整完整性标签方法,将基于信息流控制完整性增强方法推广到普适计算环境,但存在从低完整级到高完整级合法数据流被误拒问题。图1-7 基于信息流控制完整性增强过程
3)计量规范完整性保护方法
计量规范完整性保护方法近年来得到国内外计量部门的关注和重视,国际法定计量组织、欧洲国家法定计量服务组织和中国国家技术监督总局等计量组织(2004—2008)相继发布了“计量器具软件通用要求(OIML D-SW)”、“欧洲计量器具法规(WELMEC 7.2)”和“计量器具软件测评指南(JJF 1182—2007)”,规定可能影响到测控结果的软件模块都应经过管理部门审批,以保证基于软件计量器具给出测量结果可信。图1-8描述了计量规范软件完整性保护结构。系统首先应采用硬件锁、铅封和电子封缄等硬件方法使攻击者无法更改测控仪器硬件单元和其中软件代码,若强行更改将留下明显印记,对于部署与存储设备中的测控功能模块,根据重要程度不同封装成独立的库文件或可执行文件,利用系统访问控制机制实施保护;软件升级过程有检验人员在场监督,或在一个可信的监控管理模块(trusted supervising module,TSM)控制下,严格按照装载、完整性检查、来源鉴别、安装、激活五个步骤执行,以保证载入和安装的升级模块经过了审批并保持完整性;软件升级和用户操作事件写入日志文件以便进行事后安全审计。德国时钟同步负载电表项目(tLZ)组(2007)发布同步模块化电表规范,提出遵循WELMEC 7.2规范智能电表软件远程升级流程,Fraunhofer安全信息技术研究所Andreas Fuchs和Siegen大学Donatus Weber(2011)对升级过程安全性进行形式化分析和证明。图1-8 基于计量规范软件完整性保护结构
表1-2是3种完整性增强方法特性对比表。可以看出:①完整性增强的信任链传递方法可从系统启动模块开始实施完整性保护,可信度高,但数字指纹安全存储是一个薄弱环节;②完整性增强的信息流控制方法允许以合法方式更新受保护信息,但需按具体应用需求进行构造、配置和改进;③计量规范完整性保护方法反映测控计量领域对软件完整性的要求,但需根据应用需要确定适合的实现方案。表1-2 3种完整性增强方法特性对比表[44]李晓勇,韩臻,沈昌祥.Windows环境下信任链传递及其性能分析[J].计算机研究与发展,2007,44(11):1889-1895.[37]张相锋,孙玉芳. Biba模型中严格完整性政策的动态实施[J].计算机研究与发展,2005,42(5):746-754.1.2.2 网络化测控系统身份认证与访问控制方法
身份认证和访问控制是受保护网络测控系统可信工作的另一重要环节,身份认证保证操作者具有合法、真实的身份,访问控制限制操作者按照规定的流程执行属于其权限范围内的测控功能,在完整、可信的软硬件环境下,调用完整、可信的测控功能软件,获得可信测控结果。
1. 身份认证技术
身份认证原理是通过验证一组由被认证方身份相关属性产生的身份证据与认证方预存身份证据匹配情况来决定实体是否具有其声称的身份。图1-9是可信要素集合为KS={K,K,…,K}实体身份认12n证过程,被验证方用要素K(1≤i≤n)在上下文Context下产生身份证i据为Proof= f(K,Context),验证方用布尔函数Match将Proof 与身iiii份证据期望值Expect进行匹配,再用逻辑与函数AND 综合各次匹配i结果,即可得到身份验证结果。一般静态身份证据容易遭受录制重放攻击,动态身份认证伪造难度大、可靠性更高。要求认证要素越多,身份证据伪造越难,身份认证可信度越高。按照身份相关要素种类可将身份认证方法分为秘密知识验证方法、生物特征鉴别方法和基于非对称加密密钥身份认证方法。图1-9 实体身份认证过程
1)秘密知识验证方法
该方法通过验证用户是否拥有某种秘密知识来决定是否接收其声称身份,基于用户名/口令的认证方法简便易用,已得到广泛应用。很多普通用户倾向于采用容易记忆字符串作为口令,容易遭受到字典扫描和暴力破解攻击。Klein和Spafford(1992)对15000个口令进行分析,发现2.7%可在15min内被破解,21%可在1周内被破解。为增强其安全性,美国Rutgers大学Benny Pinkas等(2002)提出一种抵抗词典攻击的口令保护方法,该方法在传统口令验证过程前增加一个反向图灵测试(reverse Turing tests,RTTs)环节,仅当使用者输入正确答案或验证码后才启动用户名/口令验证,有效阻止口令破解程序攻击。美国Bellcore研究所Neil Haller(1994)提出一个一次性口令(one time password,OTP)产生和认证方法S/Key,实现改变用户名/口令要素产生证据具有动态特征,大大增强口令认证方法安全性,已成为Internet协议标准。英国London大学Kenneth G. Paterson(2010)提出一次性口令认证键值交换协议(PAKE),克服S/Key口令间相关性,执行客户、服务器双向认证,增强一次性口令安全性。但口令保存中毕竟存在容易失密问题,一般仅用于安全性要求不高的场合。
2)生物特征鉴别方法
该方法通过计算机利用人体所固有的生理特征或行为特征来进行个人身份认证。人体所固有的指纹、掌纹、脸型、虹膜、手形、DNA、笔迹、步态、手势、击键动作等生物特征具有普遍性、唯一性、稳定性和可采集性,能够用来认证个体身份,其中指纹识别是目前国际公认的应用最广、造价最低、易用性最高的身份认证技术。Hong等(2000)采用具有频率选择、方向选择的Gabor滤波器来增强指纹图像,能在指纹图像质量较差情况下取得很好效果;文献[52]FBI提出点模式细节匹配模型,采用分支点、末梢点鉴定指纹,具有简单、快速、鲁棒性等特点,在门禁、考勤等方面获得广泛应用;Daugman(1993)提出基于2D Gabor变换虹膜识别方法,构造二维Gabor滤波器对虹膜图像进行滤波,获得相位信息,根据相位所在的象限编成256Bytes的相位码。还有学者(2002)提出一种基于多纹理特征融合的新颖虹膜识别方法,对虹膜图像进行Gabor小波变换提取不同分辨力不同方向下的纹理特征作为虹膜的全局特征,在滤波后的子窗口图像上运用灰度级共现矩阵提取虹膜的局部特征,提高虹膜识别的鲁棒性。但生物特征鉴别方法产生静态身份认证,容易被录制重放,在安全性很高的场合不适合单独使用。
3)基于非对称密钥的身份认证方法
该方法实体私钥作为其身份属性仅由被认证方持有,公钥作为其期望值部署到认证方,用被认证方私钥加密后的信息具有唯一性,可作为私钥持有者身份证据,认证方用对应公钥解密,可对消息来源进行鉴别,从而实现对被认证方身份认证。非对称密钥体制密钥长度达数千位,基于非对称体制的身份认证具有安全度高、破解难等优势。目前基于非对称密钥的身份认证主要有基于公钥基础设施(public key infrastructure,PKI)和基于身份加密(identity based encryption,IBE)两种身份认证方法。其中基于PKI机制由实体自行产生密钥,私钥由自身以安全方式保存,公钥对外公开,一个受信任第三方认证中心(certification authority,CA)离线确认实体身份后,将实体身份信息与其公钥绑定并进行数字签名,制作成数字证书,部署到身份认证验证方,作为被认证实体身份证据期望值,但PKI体制数字证书签发和验证结构复杂,存在建设成本高、管理复杂问题;基于身份加密方案IBE是一种非对称密钥系统,它不需要从数字证书获取公钥,而由用户身份标识直接计算得到公钥,从而简化了公钥分发过程和身份认证系统的复杂度。IBE 身份认证方法的私钥由用户向集中式密钥服务器(private key generator,PKG)请求时动态产生,发送方只要获得PKG 系统的公开参数,利用接收方ID 即可生成公钥用于基于IBE 的加密通信。Mississippi州立大学Morris T.H.等(2009)采用安全I/O和加密手段保护密钥,通过安全上下文切换的完整性检测功能确保仅有通过认证的实体能访问密钥,但私钥始终位于一个共享的硬件存储器内,USBKey内置的MCU可在芯片内部完成加密解密和签名验证功能,配置的闪存可用于系统敏感信息的保护,将私钥保存于不可导出的USBKey可以较好地解决私钥保密问题;Thi Nguyen等(2009)将生物认证技术与USBKey相结合保护私钥的保密性,进一步增强了身份认证的安全性;Szczechowiak Piotr等(2009)在异构传感器网络HSN实现传感器节点的IBE加解密功能,节省通信开销以及存储器中密钥数目;Yussoff等学者(2011)将IBE和TCG的思想相结合提出IBE-Trust安全框架,在TinyOS平台实现节点间安全通信。同时,保证传感器节点与基站之间可信性。
表1-3对5种方法的身份认证机理、身份认证要素、安全性能和特点进行了对比。可以看出:①基于秘密知识的验证方法简便易用,但口令选取、口令记忆管理容易成为影响安全性的薄弱环节;②生物特征鉴别方法可靠性高,应用方便,但容易受录制重放攻击,仅适合对生物实体的身份认证;③基于非对称密钥身份认证方法安全性高,防暴力攻击和重放攻击能力强,但认证结构复杂,私钥安全分发和管理是需要解决的问题,工程应用中应根据应用需求,在安全性、结构复杂性、使用方便性、建设成本方面进行折中,选择合适的身份认证方法,设计认证协议,解决系统中对安全性造成影响的问题。表1-3 5种身份认证方法特性对比表[46]SPAFFORD. E H. OPUS Preventing weak password choices[J]. Computers and Security,1992'(11):273-278.[61]NGUYEN T,HOANG L,TRAN Q.A biometrics encryption key algorithm to protect private key in BioPKI based security system[C].//7th International Conference on Information,Communications and Signal Processing,ICICS 2009.2009:1-5.[48]HALLER N. The S/KEY one-time password system[C].//Proceedings of the Internet Society Symposium on Network and Distributed Systems.1994:151-157.[51]HONG L,WAN Y,JAIN A K. Fingerprint image enhancement:algorithm and performance evaluation[J]. IEEE Trans on PAMI,1998,20(8):777-789.[20]WANG X,YIN Y L,YU H B. Finding collisions in the full SHA-1[C]. //VICTOR S.Advances in Cryptology—CRYPTO’05,Lecture Notes in Computer Science. 2005(3621):17-36.[21]MICHAEL S,YIN Y L. Collision-resistant usage of MD5 and SHA-1 via message preprocessing[C]. //DAVID P.CT-RSA,Lecture Notes in Computer Science.2006(3890):99-114.[63]YUSSOFF Y M,HASHIM H. IBE-Trust:a security framework for wireless sensor networks[C].//2011 World Congress on Internet Security (WorldCIS).London,2011:171-176.
2. 访问控制方法
系统访问控制原理是检查、分析主体(测控节点、软件模块、用户、进程)对系统资源(测量数据、测控参数、系统文件、软件模块、进程等)的访问请求(读、写、执行、升级、创建、添加、更新、删除等),对符合安全策略和权限管理要求合法操作予以授权,对非法或越权操作予以拒绝。根据权限分配策略不同,与网络测控相关的访问控制方法可分为自主访问控制(discretionary access control,DAC)方法、基于角色访问控制(role-based access control,RBAC)方法、强制访问控制(mandatory access control,MAC)方法等。
1) DAC访问控制方法
该方法是TCSEC标准定义的访问控制方法,它直接将对于系统资源的访问权限分配给用户,允许有访问权限的用户直接或间接地向其他用户转授访问权,具有直观易用特点,能满足TCSEC标准中C3保护等级要求。访问控制矩阵(access control matrix,ACM)、访问控制表(access control list,ACL)和权能表(capability list,CL)可用于DAC中访问权限的管理。访问控制表和权能表对稀疏矩阵ACW进行有效压缩,使权限管理数据存储开销大为降低;DAC自主性为用户提供了极大的灵活性,适合于许多系统和应用,但访问权限扩散容易产生信息泄漏、软件篡改等安全隐患,因此,对DAC安全增强和分析研究被重视起来。Solworth等(2004)提出了基于标记、重标记(labels and relabeling)的SS模式,系统给对象加标记,将拥有标记对象访问权限授予某些组,根据某个主体是否属于这些组就可来判断其是否具有对某对象特定访问权限,提高DAC权限可控性。Jerome Saltzer提出从管理上采用最小特权原则,避免无关权限被扩散;Ian Goldberg等(2004)提出沙箱模型(Sandbox)使来自未验证第三方、非信任用户或站点为测试、低可信度程序代码在一个严格受限沙箱中运行,禁止其对本地受保护资源访问;Olzak等(2009)通过将受限制应用程序写文件和写注册表操作重定向到一个虚拟文件夹和注册表来实现其砂箱机制Sandboxie。虽然这些补丁式安全增强方法大大增强DAC在信息系统应用中的生命力,但在安全性高的应用中,日益要求采用安全性更高的强制访问控制方法。
2) MAC访问控制方法
它是由操作系统对主体访问、操作客体行为能力实施强制约束的访问控制类型,TCSEC规定B1保护等级以上的计算机、信息系统都应支持MAC访问控制方法。与DAC访问控制方法相比,MAC访问控制方法更好地满足应用对系统权限管理、访问控制和安全保护能力的要求。MAC访问控制方法主要有基于角色的访问控制(role-based access control,RBAC)、域型增强的访问控制(domain type enforcement access control,DTE)和多级安全访问控制(multilevel security access control,MLS)3种类型。RBAC访问控制方法由美国国家标准技术研究所(National Institute of Standards and Technology,NIST)Ferraiolo,D.F.(1992)首次提出,该方法将角色与系统访问权限相关联,用户通过成为适当角色的成员而得到这些角色的权限,极大地简化了权限的管理。Ferraiolo等(1995)将最小权限、静态和动态责任分离、数据抽象安全特性引入RBAC,RBAC安全保护性能比DAC方法大为增强,更好地反映了应用安全需求,被应用于Sybase、SELinux等系统中,并被美国国家标准学会(American National Standards Institute,ANSI)(2004)纳入ANSI标准。DTE模型对进程行为进行约束、限制,根据系统上下文动态调整进程访问权限,解决了系统服务任务权限不受控问题,美国国家安全局2001年发布的Security-Enhanced Linux(SELinux)系统,采用DTE与RBAC相结合的安全模型,其发布表明解决当前操作系统保护机制不能充分支持机密性、完整性要求的可行性。MLS访问控制为系统中每个实体设置一个完整级标签,并将禁止主体读低于其完整级和写高于其完整级客体作为基本安全策略,实现了多级安全保护特性,可阻止信任度低、完整性等级低的不良用户进程、恶意代码对重要程度高的代码或数据的破坏。为增强模型可用性,Biba模型中引入可信主体的概念来突破信息流动的限制,但可信主体的特权又带来系统安全性能的下降。文献[37]提出动态调整可信度方法,将主体可信度划分为3个等级,分别实施访问控制,有效限制特权扩散;Jafarian等(2009)提出一个上下文敏感强制访问控制模型(context-aware mandatory access control model,CAMAC),根据上下文动态调整访问控制策略,将MAC模型推广到普适计算环境。
3)计量规范访问控制方法
图1-10是OIML和WELMEC计量规范建议的访问控制系统结构,规范从法定计量对计量器具的软件保护要求出发,将软件、数据模块划分为法制相关部分(legally relevant parts)和其他部分(other parts)。法制相关部分定义或执行测控功能或表述测控特性,在检定周期内应保持其完整稳定,其他部分仅能通过不可绕过的统一软件接口(software interface)调用法制相关部分的模块对受保护的法制相关数据进行访问。巴西计量部门(2010)为防止盗电行为,在智能电表设计中推行计量规范软件保护方法,将重要数据和模块按法制计量要求保护,并且基于计量规范流程对访问控制的有效性进行评价。但文献[39-42]规范并未规定这种访问控制在多任务操作系统环境下具体实现方法,如何实现这些访问控制要求还有待进一步探讨。图1-10 计量规范建议的访问控制系统结构
表1-4是多种访问控制方法特性比较表。可以看出:①DAC访问控制方法简便易用,采用重标记、沙箱等手段使其安全性大为增强,但其信息重要程度难以区分、权限扩散问题容易产生信息泄漏、软件篡改等安全隐患;②MAC方法访问控制方法区分信息重要程度,支持多级安全保护、最小权限、职责分离,完整性保护能力强,但需针对应用具体要求进行调整、扩展、配置;③计量规范访问控制方法开始逐渐得到企业和计量管理部门认可和推行,但其具体实现技术和可操作性问题尚处于起始阶段。表1-4 5种访问控制方法特性对比表1.2.3 网络化测控系统可信评价方法
网络化测控系统完整性保护、身份认证、访问控制增强方法的有效性需通过系统可信评价进行验证、确认,网络化测控系统可信评价主要包括身份认证、软硬件完整性、运行环境可信度和用户行为4个属性,涉及可信需求分析、可信指标与等级确定、评价方法选择、评价过程与可信结果表达等多个方面。网络化测控系统可信评价方法主要有设计评审可信评价方法、可信测试评价方法和模糊综合评价方法。
1. 设计评审可信评价方法
设计评审可信评价方法是对网络化测控系统需求分析、设计过程文档进行评审,获取系统采用的可信增强系统构架、实现方法与技术、保护与认证算法,根据应用需求,参考可信标准规范,获得系统可信结果,并进行测试验证。设计评审可信评价方法可以较为准确地把握系统可信特性,但需要获得系统设计开发过程全部文档,评审所需时间和费用都较大。图1-11为设计评审可信评价方法原理框图。图1-11 设计评审可信评价方法原理框图
美国国防部TCSEC(1985)将计算机、信息系统保护等级从低到高分为7个等级,提出应从安全策略、可记账性、保障性和文档4个方面对系统设计进行评审,规定每个保护等级对访问控制方法、保护强度、过程规范性的要求,被作为操作系统访问控制评价基础。美国两部委(2003)联合发布《联邦机构电子身份认证指南》(M-04-04),对政府电子交易系统身份认证可信度要求定义、描述为从低到高4个保障等级,系统身份认证保障等级应该根据实体身份被误认时带来的个人声誉、经济、公众利益、人员安全方面的风险、潜在影响分析来确定。NIST(2006)在M-04-04基础上发布《电子身份认证指南》(NIST SP 800-63)定义4个保障等级在身份证明、注册、身份要素、认证协议和相关断言5个方面的技术需求,规定Level 3等级必须提高多因素远程网络认证功能,应采用秘密键、私钥(private key)或一次性密钥(one time password,OTP)作为身份要素,Level 4要求采用基于硬件加密模块形式身份要素,所有敏感数据传输均需加密认证,被作为身份认证可信度评价规范。JJF 1182—2007规定受保护软件和数据须有防止无意更改、抵抗有意篡改、经过批准验证、具备权限检测四个方面可信特性,为软件开发、软件检测和软件符合定义了高、中、低3个水平,规定了每种水平对系统结构、身份认证、完整性保护、检错防错等方面设计要求。卿斯汉等(2004)通过对内核源代码、系统调用、全局变量和可信进程评审分析,成功地发现安全操作系统多个真实隐蔽通道,为系统安全增强提供了依据。
2. 可信测试评价方法
可信测试评价方法是针对网络化测控系统每一个可信特性,设计若干测试用例对其功能及稳定性进行验证,以评价可信增强方法有效性、系统可信度。正面可信测试以正常方式使用系统验证可信增强技术实现了所需可信特性,负面可信测试以未意欲方式输入数据或操作网络化测控系统以检验可信特性稳定性和抗颠覆性能。可信测试评价方法可获得系统可信直观证据,是可信特性验证必要环节,图1-12为可信测试评价方法原理框图。图1-12 可信测试评价方法原理框图
由欧洲共同体发布的《信息技术安全评估标准》(ITSEC,1991)规定了硬件、软件、固件安全性评价方法规范,将对可信增强功能和机制划分为6个等级,其中E2及以上评价等级都要求执行正面测试验证可信特性有效性,执行穿透测试(penetration test)以确认安全机制强度或证实脆弱存在性。由美国等7国联合发布的《信息技术安全评估通用标准》(CC,2005)定义了8类安全保证要求,规定了测定系统安全可信度的7个安全测试等级。WELMEC 7.2和OIML D-SW规定除进行软件测试外,还应采用穿透测试(penetration test)、硬盘编辑、网络攻击、漏洞扫描等手段验证系统访问控制增强技术有效性,以保证测控系统在存在非法攻击、非正常操作环境下仍能以较高可信度正确工作。Anil K. Jain等(2004)评价基于生物特征身份认证系统可靠度时,采用误拒率和误认率两个指标,对人脸、指纹与虹膜识别技术可信度进行测试评价。Karen Scarfone等(2008)研究有效确定主机、系统、网络、过程等实体对象是否满足具体安全目标的评价过程,建议采用密码破解、穿透测试和社会工程等技术识别系统缺陷,采用文档、规则集、系统配置和文件完整性测试去发现系统漏洞。
3. 模糊综合评价法
模糊综合评价法采用模糊方法对系统多个可信特性指标值进行综合,获得总体可信指标,用于被评对象符合性评价、不同对象比较评价。模糊综合评价方法关键是可信特性选择、特性指标权重和模糊综合算法设计。图1-13为模糊综合评价方法原理框图。图1-13 模糊综合评价方法原理框图
ISO/IEC 9126软件质量标准(2002)将软件质量划分为功能、可靠性、可用性、效率、可维护性和可移植性6大一级特性,将系统可信安全特性作为功能特性的二级特性,并细分为多个三级特性,为可信特性确定提供参考准则。OIML D-SW列出对测控计量领域测控软件中有重要影响的12种可信特性,它们分别是正确性、误操作防范、防欺诈、数据存储与传输、硬件可靠性支持、兼容性与可靠性、模块与接口标示、文档、批准符合性、维护与重构、验证与批准、软件过程评价,对测控系统可信指标体系建立具有重要参考价值。由Lotfi Zadeh创立的模糊逻辑(fuzzy logic)理论用隶属度刻画事物之间联系的不确定性,被很多学者用来表达具有模糊性的威胁频度、脆弱性长度和系统可信度评价。Pennsylvania大学William L. McGill(2007)等提出一种基于模糊逻辑的风险评估模型,采用“IF X Then Y”形式的规则,近似表达系统防御能力与对手攻击成功概率间的关系,用于安全系统可信度快速评价。Junhu Ruan等(2009)通过挖掘目标分类知识,确认目标分类与隶属度间关系,通过定义可区分权重和提取有效值消除冗余数据,实现3步计算隶属度转换算法M(1,2,3),提高了网络安全模糊评价准确性和可信度。
可以看出:①采用设计评审可信评价方法可较为准确地把握系统可信特性,进行可信等级评定,但需要采用可信测试评价方法验证评价结果准确性;②可信测试评价方法可以获得直观可信证据,发现设计过程中难以预测的系统漏洞,但需要通过设计评审寻找漏洞处理方法;③模糊综合评价方法可以完整地识别系统可信特性及重要程度,对各特性指标值进行综合获得总体可信度指标值。
从上面几方面国内外研究进展分析,可以得到如下结论:①研究完整性保护、身份认证、访问控制增强的可信测控软件体系结构,并进行可信建模,有助于从整体上增强网络化测控系统可信度;②基于数字指纹的信任链传递完整性增强方法,具有安全性好、可信度高等特点,研究数值指纹安全存储方法,实现允许以合法、授权方式更新模块代码的完整性保护模式,可支持网络化测控系统完整性保护特性;③结合秘密知识和非对称密钥技术的身份认证方法能获得较高保障等级,能用于用户、现场节点、软硬件模块等不同类型实体实施身份认证,该方法在认证体系、认证协议方面还存在较大探索研究空间;④MAC访问控制方法支持多级安全保护、最小权限、职责分离等特性,机密性、完整性保护能力强,可更好地支持测量控制、军事领域复杂的安全保护要求,针对网络化测控系统保护需求研究MAC访问控制模型,对访问控制策略、机制进行合理配置、管理,以满足系统访问控制要求,具有理论和实际意义;⑤可信指标体系、可信测试方法、可信综合评价方法与测控应用安全需求、框架结构、系统设计和可信技术密切相关,网络化测控系统可信评价方法还有待深入研究。
因此,本书研究将基于测控软件体系结构描述,从系统完整性保护、身份认证、访问控制和可信评价四个方面展开,期望通过可信增强技术提高网络化测控系统可信度,以满足应用对网络化测控系统可信的要求。第2章 可信增强网络化测控系统构架与建模
网络化测控系统可信技术包括可信增强与可信评价两个方面,先按照网络测控系统可信目标,将可信设计纳入系统建模,利用完整性保护、身份认证和访问控制增强系统可信度,构建可信增强的网络化测控系统(trust enhanced networked measurement & control system,TENMCS),再对其可信技术有效性进行评价。2.1 TENMCS总体架构与功能模块设计2.1.1 TENMCS框架组成
图2-1是一种TENMCS系统构架图,它是对一般网络化测控系统构架(如图1-1所示)的改进,系统分为采集层、通信层、应用层和操作层4个层次。其中,采集层主要由若干现场节点构成,网络传感器一般由智能传感器、DAQ(数据采集卡)以及通信接口等构成,对被测量者进行感知、A/D转换、数据采集形成测量数据,传送给应用层;应用层解析来自操作层的用户命令,转换成现场节点控制命令,调用测控模块执行测控操作,将数据采集指令转发到现场节点,接收来自现场节点的测量数据,执行数据变换、处理和分析操作,将结果保存于数据存储,通过数据发布传送给操作终端输出显示;操作层由若干监控终端、管理终端和操作终端等测控终端构成,用于对整个TENMCS进行操作、管理和监控;测控终端主要由显示硬件、输出设备以及相应的管理控制和数据表达软件模块构成。来自现场节点的测量数据通过测控网络、GPRS/CDMA移动网络、无线网络(WiFi、Zigbee等)或其他总线网络等多种不同的网络结构传输到应用层的数据处理器服务器,数据发布服务器通过Internet/Intranet传送到测控终端,通过测控终端,用户能以命令方式远程控制现场节点的启动停止、数据采集、数据过滤等,查看被测控对象当前运行状态。TENMCS系统架构设计目标是使用户能够更快捷操作、控制现场节点,获得可信的测控结果。图2-1 TENMCS系统框架
在系统构架中,现场节点监控模块、可信增强模块、身份认证模块等模块提高系统可信性。其中,现场节点监控模块采用挑战/响应(Challenge/Response)协议对其完整性状态、工作状态进行实时监控,使从现场采集的测量数据具有更高可信度;可信增强模块加固应用层服务器完整性保护能力;身份认证模块利用用户身份数据库,采用基于动态证据的多要素身份认证方法,对操作用户、操作终端或测控节点执行身份认证。此外,还可通过建立权限数据库、系统安全策略库,通过访问控制模块,使测控操作和数据访问权限仅由通过身份认证的授权用户获得。
TENMCS将各功能模块映射到多个独立任务,以实现可伸缩的系统架构。当现场节点数量庞大、系统负载大、需支持多用户在线操作时,可将TENMCS应用层任务部署到多个应用层服务器(数据处理服务器、数据分析服务器、数据发布服务器、数据库服务器、身份认证服务器、访问控制服务器、现场节点监控服务器等)中;若系统规模较小,不需支持多用户并发操作时,可将所有TENMCS应用层任务安排单个服务器中,甚至与操作终端合并,将TENMCS规模缩降为一个可信度增强的传统测控仪器。2.1.2 TENMCS工作流程
为更好地进行系统功能规划、模块设计,研究TENMCS可信增强和评价技术,有必要对TENMCS工作流程进行描述。考虑到系统总体设计必须符合功能完备性、系统可扩展性和性能可伸缩性原则,TENMCS采用图2-2所示工作流程,下面分别描述操作终端、现场节点和和应用层服务器的工作流程。
1. 操控终端工作流程
操控终端启动后,调用可信度量模块对自身软硬件完整性进行度量,并保存于安全存储中;再由可信监控终端完整性报告模块请求连接应用层服务器发送完整性验证码,进行完整性验证;通过完整性验证后,操控终端允许用于输入身份相关信息,请求身份认证;通过身份认证,用户开始在操控终端输入测控命令。
2. 现场节点工作流程
现场节点加电后先对自身软硬件进行自检,由可信完整性度量模块对自身软硬件完整性进行度量并保存于安全存储中;向应用层服务器请求注册,将其身份信息传送给对方,并接收节点身份认证结果;由可信完整性报告模块读取和发送完整性验证码、接收验证结果,通过完整性验证后就准备接收测控命令。
3. 应用层测控服务器工作流程图2-2 TENMCS工作流程图
应用层测控服务器是可信增强TENMCS核心,为实现可伸缩性性能,支持可扩展结构,系统采用多任务并发设计。将工作流程分为启动过程、操控终端监控、现场节点监控、身份认证和测控会话5个任务。启动过程执行应用层服务器启动路径模块,为测控功能运行建立一个可信软硬件运行环境。依靠一个可信启动控制模块对系统启动路径固件模块、软件模块进行完整性验证;通过验证后执行启动路径模块,建立可信运行环境,创建操控终端监控任务、用户身份认证任务和现场节点监控任务;若系统完整性验证失败,则系统停止启动或转入非可信方式工作。操控终端监控任务管理与操控终端通信,实时检测操控终端完整性。任务启动后,等待监控终端连接请求,在连接过程中接收监控终端完整性验证码,对监控终端软硬件执行完整性验证;将通过验证操控终端加入在线操控终端集合,允许用户从该终端发出登录请求;若验证失败,则拒绝来自该节点进一步连接请求,此后定期对操控节点进行完整性验证;现场节点监控任务执行对现场节点活动状态、完整性状态的实时监控,接受来自现场节点注册请求,验证现场节点身份,返回验证结果,读取现场节点完整性验证码,对节点软硬件完整性进行验证,对通过完整性验证节点加入到可信现场节点数据库,允许现场节点工作,接收测控操作命令;若验证失败,则使现场节点停止工作并将其加入到故障节点集合。用户身份认证任务接收来自操控终端用户身份信息,从中提取和计算用户身份证据,执行身份认证协议,对用户实施身份认证;若用户申称身份被认可,则创建测控会话任务,执行测控操作。测控会话任务执行和处理一次登录后所有测控操作,接收用户测控命令,分析、解析命令,根据系统安全策略和用户身份进行访问权限审核,将符合安全策略的授权命令转换成指令序列分配到各测控模块执行,并将测控结果返回到测控终端输出显示。2.1.3 TENMCS可信增强维度设计
为降低复杂度,系统设计应遵循分层设计、按功能划分模块原则,并使可信增强技术、可信增强TENMCS测控功能无缝衔接,将数据的采集、处理、表达与可信增强纳入系统设计中。可信增强TENMCS系统设计划分为测控功能维(实现数据采集和数据处理功能)、可信增强维(实现可信增强技术)和操作表达维(实现数据表达功能)3个维度,其中测控功能维、操作表达维可采用传统方法设计,而可信增强维则是TENMCS测控结果可信的核心。
可信增强维实现TENMCS的完整性保护、身份认证、访问控制和数据保护功能,图2-3和图2-4分别为可信增强维的功能模块结构图及功能模块划分框图,包括完整性增强与验证、身份认证、访问控制和行为监控4类功能模块。图2-3 TENMCS可信增强维功能模块结构图图2-4 TENMCS可信增强维功能模块划分框图
1. 完整性增强与验证功能模块
该模块用于增强和验证应用层测控服务器、测控工作站、现场节点的完整性。其中,在现场节点上部署的节点可信增强硬件和节点可信增强软件,其中包括完整性度量和节点身份标识功能,用于防止恶意人员更换节点或篡改节点参数或模块;在操控终端上部署的终端可信增强硬件和终端可信增强软件,也包含完整性度量和终端标识功能,用于防范对测控终端的攻击或篡改;防篡改的可信平台模块硬件(trusted platform module,TPM)是测控服务器的可信度量根(core root of trust for measurement,CRTM)、可信存储根(root of trust for storage,RTS)和可信报告根(root of trust for reporting,RTR),与可信软件栈(trusted software stack)相结合,可度量和验证从BIOS开始启动路径上系统模块完整性,并用来增强整个软件系统完整性。防篡改存储本身内置身份认证、访问控制,用于存储系统关键标定参数、系统安全相关数据和受保护系统模块数字指纹等,增强这些数据信息防篡改、非授权访问能力。系统日志保存重要的系统事件、用户操作命令和系统资源访问事件,用于对TENMCS可信度进行事后审计。
2. 身份认证功能模块
该模块采用基于动态证据多因素身份认证方法,将作为用户身份属性值的私钥保存于USBKey中,在用户和TENMCS应用层间执行挑战/响应协议(Challenge/Response),用户端的加密解密操作全部在USBKey内部完成,测控服务器将用户提供的身份证据与用户身份证据数据库中的预存证据进行匹配,配合口令、生物特征等身份相关要素,来验证用户申称身份的可靠度,与单要素身份认证模式相比,更能有效抗击身份冒充的攻击行为。
3. 访问控制功能模块
该模块按照测控应用要求将对测控操作的执行权限、对系统资源的访问权限授予经过认证合法用户,强制用户仅能按权限数据库执行授权的测控操作、软件模块和按规定的权限访问系统资源。系统还对用户、测控功能模块、系统资源赋予敏感标记,用信息流控制方法强制限制信息只能向规定方向流动,防止低敏感级的恶意代码、可信度低的数据污染重要的系统模块或标定参数,以抵抗病毒、木马、后门等恶意代码攻击,阻止非法、越权操作,以满足TENMCS安全策略的要求。
4. 行为监控功能模块
该类模块对测控功能模块的行为进行监控,由行为监控模块对测控功能模块行为进行动态监视,利用特征码数据库,检测测控功能模块中恶意代码及活动状况,阻止或终止含恶意代码模块执行。
试读结束[说明:试读内容隐藏了图片]