龙蜥衍生版KeyarchOS国密应用、eBPF安全技术实践介绍|龙蜥大讲堂107期

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
云防火墙,500元 1000GB
简介: 龙蜥衍生版KeyarchOS国密应用及eBPF安全技术实践介绍。本次分享由浪潮信息的霍文和甄鹏主讲,涵盖全栈国密、国密密钥证书、国密通信等内容,并介绍了基于eBPF技术的新一代零侵入安全防御组件KSecure。通过实际案例展示了敏感信息传输加密、虚拟机热迁移等应用场景,以及如何利用eBPF实现进程注入检测等安全功能。该技术方案有效提升了操作系统的安全性与合规性,为服务器提供了强大的安全保障。

龙蜥衍生版KeyarchOS国密应用、eBPF安全技术实践介绍|龙蜥大讲堂107期


浪潮信息KeyarchOS国密应用实践


内容介绍:

一、全栈国密

二、国密密钥证书

三、国密通信

 

本次分享的主题是浪潮信息KeyarchOS国密应用实践,由浪潮信息系统软件产品部霍文分享。

image.png

最近这几年,国家在信息安全方面一直加大力度。信息安全三驾马车都在相继发布,分别是网络安全法、个人信息保护法和数据保护法。从技术开发的角度说,这些数据安全就是机密性、完整性和可靠性。密码技术是国密应用时间,国密应用对比相应的国际算法,是国家发布的密码法,密码法规定国家密码分为三类,核心密码、普通密码和商用密码。核心密码和普通密码是保护国家秘密的,商业密码是保护企业秘密和个人秘密的。商用密码普遍叫国秘,它的官方名称叫商用密码。


一、全栈国密

image.png

1、国密的目标

浪潮信息做国密的目标是做全栈国密。整个冯诺依曼体系结构,从上层到下层,从底层到上层。最底层有硬件设备,比如QAT技术或HSM硬件加密设备,固件层,启动层,内核层,OS层。OS层就是大部分的应用层。最上面是应用层,会在应用上面做一些适配。最下面是协处理器、指令集、TEE、HSM、USBKEY芯片等,在操作系统层中开发了国密库。国密的KMS叫密码管理模块软件加密机,都是硬件加密机,软件加密机既能适配提供软件的国民算法,还能适配硬件。在应用层的表现是能提供敏感信息保护,云数据盘加密、云硬盘加密、国密加密、存储数据盘国密加密。

image.png

2、国密的内容

国密的内容分别是算法、密钥证书、国密通信、应用这4个方面。

2.1算法层

算法层可以分为三个层面,软件实现、硬件实现还有其他实现。

(1)软件实现

软件实现目前提供了各种语言的国密算法包,比如Python、Java, C, JS, go语言。不同语言的应用,能够集成使用相应算法的国密算法包。

(2)硬件层

硬件层有加密机、加密卡、QAT技术或者是其他的硬件的使用国密技术。单纯使用这些功能会存在技术障碍。因此开发了HSM adapter适配器,这样对外层提供适配层的接口,OS上层应用对接adapt的一个接口。adapt在下层适配不同的硬件、不同厂商的加密机,不同的硬件设备。这就是硬件的实现。

(3)其他实现

在其他实现中有硬件厂商会提供自己的驱动或者引擎之类的东西,如OpenSSL引擎,在1.0版本时是以引擎的方式提供的,在3.0版本时把引擎的方式弃用了,使用provider的方式,会参考不同的应用基于OpenSSL哪个版本实现功能会有不同版本的适配实现。


二、国密密钥证书

image.png

国密密钥证书包括算法和密钥。有密钥就需要考虑怎么保存密钥,即密钥管理模块。在密钥管理模块分别做了两部分,一个是KMS Server,实现了密钥管理服务器,它具备密钥的全生命周期的管理包括生成、存储、使用、注销、归档一系列的功能。另外还实现了KMS Client密钥管理的客户端。有好多商用的KMS使用不标准的接口协议,上层的其他应用想使用商用的KMS会存在技术障碍。KMS Client实现了c、Java、Python三种语言。应用是哪种语言就集成Client的包或使用商用KMS的restful协议或KMIP协议都能够适配上。GMT0110密钥管理互操作协议规范是国家的KMIP协议,KMS Server、KMS Client都支持国家规范。右边是证书管理平台,因为算法分为对称算法、非对称算法,同样密钥也分为对称密钥和非对称密钥,除了密钥之外还有另外一种使用方法就是证书。实现了支持管理国密的证书平台,国密证书可以使用keytppl实现、生成。OpenSSL实现的平台都是支持管理的。


三、国密通信

image.png

国密通信是OpenSSL、TLS,我国的协议是TLCP协议。它的演变过程,最开始的通信协议是SSL,后来感觉SSL不安全,出了TLS。我国最开始是SSVPN,它是行业的标准,最后形成了TLCP国标。目前国密通信主要是两个库,一个是OpenSSL库,还有一个TongSuo库。TongSuo是龙蜥开发的软件包。在应用时用OpenSSL还是TongSuo,如果有功能不满足或者功能没有完全实现,会形成一些pash去补齐这些功能,然后把pash推送到上游OpenSSL的TongSuo的社区,这是底层实现协议部分。中间层就是web中间件,做了很多web中间件来支持国民算法,如NGS、light Htpd。比如NGS或Llight Htpd要满足web服务,在实现国民算法时都是在外部中间件实现的。最外层是数据传输业务,有很多传输不是协议的,如KOS迁移或虚拟机迁移,只要涉及迁移过程就会要求使用国密算法。这里也做了基于国密数据传输的应用。

image.png

国密应用做了自研和第三方应用都支持国民算法。第一个是Gnutls+Nettle组合,实现了虚拟机迁移支持国民算法。第二个是QEMU+Cryptsetup,实现云硬盘加密支持国民算法。第三个是Cryptography,是open snake里的token加密,支持了国民算法。第四个是Haproxy,Haproxy是外部中间件用TongSuo作为底层,实现了国密算法、国民通信功能。

后边计划做的是内核OS,kernel应用。整个从底层上向上层安全启动链。第二个是正在做的open SSH,即open SSH链接的时候使用国民算法。

image.png

介绍国秘应用实践。第一个是敏感信息传输加密。开发外部应用时在前台有用户名、密码,传输时都是用HTPS,但是基于某些原因会把这些重要的敏感信息二次加密以密文的方式传到后端。解决方案是前端后端和加密服务,使用国密的SM2、SM3、SM4算法,实现了敏感信息传输加密功能。后边是虚拟机热迁移,改造Gnutls+Nettle实现用抓包的形式。使用0S102这个版本号,对应的加密套件是国密的SM2,SM3,SM4。

image.png

国民算法中web是分客户端、服务端的。客户端是web浏览器,服务端是web中间件,Haprox是web中间件。如果表现出来是国密就在浏览器看证书,证书使用是开发的SM4,SM3、SM2套件。

第四个是云硬盘加密开发的云主机,创建的盘是用国密加密的盘,使用hash算法SM3,加密算法SM4。

以上是本次分享的全部内容。

image.png


浪潮信息keyaichOS基于ebPF技术的安全实践

 

内容介绍:

一、传统安全方案面临的挑战

二、新一代零侵入安全防御组件

三、ptrace进程注入检测演示

 

本次分享的主题是浪潮信息keyaichOS基于ebPF技术的安全实践,由浪潮信息系统工程师甄鹏分享。

image.png

image.png

主要从以上三方面分享。


一、传统安全方案面临的挑战

image.png

传统安全方案主要采用内核模块技术。内核模块可以直接访问和修改操作系统内核,并且可以实现一些高级别的控制,实际功能也丰富。但是编写不当可能会导致内核崩溃和引入安全漏洞。左边是内核模块方案,它实际上是串行在内核代码路径中。当代码有问题时导致系统的锁定还有内存的损坏以及进程崩溃。右边是新推出的eBPF方案。eBPF方案能够在内核跟用户程序事件发生时,有安全代码注入的能力,在无需加载内核的情况下就能够把API程序挂载到内核点上,实现内核的监控跟访问控制。利用这个优势可以把安全控制程序挂载到内核点上做访问控制。

image.png

eBPF只能使用辅助函数,内核模块可以使用内核里边几乎所有的函数。在稳定性方面,eBPF在加载之前会通过验证器进行验证以保证程序不会发生问题,从而保证内核安全。而内核模块没有这部分功能,若编写不当就会导致内核崩溃。在可移植性方面,eBPF具有CO-RE技术,不需要编译内核。即在一个内核上编译通过之后几乎在所有的内核上都能跑。这样提升了效率,省去了大部分编译时间。这是两个技术的主要区别。eBPF技术可以实现深度的系统监控能力并且可以自定义内核模块,扩展性、安全性和稳定性更优。劣势是eBPF技术有一些限制,只能够使用eBPF辅助函数。


二、新一代零侵入安全防御组件

image.png

新一代零侵入安全防御组件KeyarchOS。浪潮信息服务器操作系统KeyarchOS内置轻量化的安全防御组件KSecure提供主机安全检测和防御能力,提升操作系统安全性和合规性,为服务器操作系统的稳定运行提供更加强大的安全保障。

KSecure功能主要分为两部分:一是安全检测部分安全基线和入侵检测。二是安全基线是基于等保和CIS标准支持基线检测和修复。入侵检测是记录规则引擎的主机入侵检测,包括Rootkit、本地提权、反弹shell的行为检测。入侵检测是基于诱饵的勒索病毒检测和防御。

安全防御功能:文件防御和进程防御功能。

文件防御会对系统的关键文件进行保护,防止被恶意篡改、运维人员误操作。进程会保护系统的关键业务不被恶意终止,还有一些辅助功能,如处置响应。在检测到恶意入侵时会产生安全报警,并且自动终止恶意程序。安全管理的辅助功能有策略管理、日志管理、配置管理、模板管理等辅助功能。

image.png

KSecure技术基于eBPF的系统内多层次hook技术,将eBPF程序hook到操作系统内核的多各层级(LSM、syscall、network、kprobe内核函数,在各个hook点安全策略和应用程序进行监控跟拦截。

KSecure技术主要分为三部分,用户态、内核态和通信部分。用户态首先通过命令行的CLI能跟用户提供人机的交互。之后CLI通过gRPC服务跟Agent主程序进行通信。主Agent程序有基础框架跟特性模块这两大部分,基础框架基于策略管理和eBPF管理功能。特性模块会有文件进程、合规性检测、卫星检测这几大特性功能。

内核态基于运行的hook程序,当这些点检测到系统之后会结合策略,对策略进行匹配。策略有检测策略跟防御策略,匹配上策略之后会做处置响应,处置响应里边包括阻断、监控、结束进程。之后把产生的日志通过eBPF map上传到Agent主进程。

image.png

KSecure有两个关键技术。

基于eBPF-LSM hook技术将eBPF程序挂载到hook点上实现文件跟进程的访问控制,只允许信任的程序对关键文件和目录进行操作,防止恶意软件或者未经授权的访问对重要的文件进行修改跟破坏。左边是主要的流程图,第一步会加载一个eBPF程序,接着用户通过配置策略来将策略下发到第三步hash map缓存区,如果是恶意程序操作保护文件,被LSM的hook点监控操作之后会从hashmap里拿到安全策略,通过采集的事件跟安全策略进行匹配。匹配成功之后就可能认为是一个恶意操作。第六步对这个操作进行拦截,通过第七步把安全日志通过web上传到安全组件然后反馈给用户。

image.png

内核跟踪技术,内核跟踪是通过kprobe和tracepoint技术挂载到内核监控系统中的文件、进程、网络的创建消亡调用以及网络连接等行为基于MITRE ATT&CK框架构建规则引擎为检测引擎提供判断依据,实现入侵事件的检测。下面这个模块是数据采集模块,是对文件进程的一些操作进行通过APL程序进行监控并采集相应的数据上传到rain buffer map缓冲区暂存,之后通过预处理程序从缓存区拿到数据之后把数据解析,通过解析会过滤掉一些无用数据,减轻上层的规则引擎比例压力。

规则引擎有两大部分:一是把用户的规则加载之后做解析,这方便做成内存规则对象,便于一些规则匹配。左边是规则匹配,是把预处理上传过来的数据做数据匹配之后格式化输出反馈给用户。

image.png

第一个是安全合规。操作系统提供合规的检测模板提升了操作系统的合规性。第二个是关键业务防护。限制系统超级管理员的权限,防止操作失误或者账号泄露导致重要文件和配置破坏。第三个是防黑客入侵。降低了提权攻击、恶意代玩、植入攻击以及及时发现并阻止勒索病毒的加密行为。


三、ptrace进程注入检测演示

image.png

攻击主机把一个端口打开之后会开启KSecure组件。这模拟了云控主机的常驻进程。根据常驻进程PID将反弹Shell脚本通过共享库的形式注入到系统的常驻进程。被注入常驻进程重新执行反弹shell脚本。

image.png

攻击主机已经反弹到用户的业务主机上之后通过Ptrace软件能够监测到进程注入攻击。下面是一个反弹削弱攻击。从这些信息里能够详细的看得到IP反弹的端口。

以上是本次分享的全部内容。

image.png

目录
打赏
0
12
12
0
1006
分享
相关文章
龙蜥衍生版KerarchOS迁移方案及实践分享|龙蜥大讲堂106期
本次分享来自龙蜥大讲堂106期,主题为“龙蜥衍生版KerarchOS迁移方案及实践”。内容涵盖服务器操作系统现状、安全高性能操作系统KeyarchOS的介绍、CentOS停服后的应对策略(重装或迁移),以及CentOS停更带来的危机与迁移背景。重点介绍了两种迁移方案:原地迁移和扩展迁移,并详细讲解了KeyarchOS迁移工具X2Keyarch的操作流程。通过实际案例展示了操作系统迁移的具体步骤和效果,帮助用户更好地理解和实施迁移工作。
Intel 平台新特性助力龙蜥 OS 云计算 | 龙蜥大讲堂101期
本次分享的主题是Intel平台新特性助力龙蜥OS云计算。内容涵盖英特尔第四代和第五代至强处理器的新特性,如性能提升、内置加速器等,并详细介绍TDX、SGX、AMX等技术原理及其在虚拟化环境中的支持情况,旨在帮助云用户充分利用英特尔新平台的优势。
龙蜥衍生版 KerarchOS数据安全、RDT等实践应用|龙蜥大讲堂105期
龙蜥衍生版KeyarchOS在数据安全、RDT及QAT技术方面进行了深入实践。内容涵盖数据安全趋势、基于可信根的全盘加密、Intel QAT/RDT技术概述,以及KeyarchOS在这些技术上的场景化应用。通过QAT技术,KeyarchOS实现了HTTPS访问中的加解密加速,显著降低了CPU资源消耗,提升了网络性能;而RDT技术则用于K8S场景下的资源调配与监控,确保核心业务如数据库的性能稳定。未来,浪潮信息将继续探索和完善数据安全建设,构建全栈商密方案。
龙蜥衍生版 KerarchOS数据安全、RDT等实践应用|龙蜥大讲堂105期
统信-龙蜥技术认证培训专场
在2024龙蜥大会中,本次分享的主题是龙蜥技术认证培训的相关内容。 1.课前准备 2.课程介绍 3.服务器操作系统 4.蜥基础课程讲解 5.现场考试
29 14
英特尔携手龙蜥,共筑未来操作系统 | 2024龙蜥大会
在2024龙蜥大会中,本次分享的主题是关于英特尔公司与龙蜥社区的合作成果和未来计划。 1.Inter与龙蜥携手共建社区 2.Inter Arch SIG近期内核贡献 3.Inter:龙蜥内核历年贡献总结 4.Inter:开源技术贡献 5.Inter与龙蜥社区实践展示 6.Inter+龙蜥:未来展望
Intel 技术总监:同心共行,共建龙蜥 | 2023 龙蜥操作系统大会
Intel 发布新的至强芯片,都会第一时间支持龙蜥,甚至一些芯片特性的支持,在国际上都处于领先地位。
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等