[论文解读] Quire: Lightweight Provenance for Smart Phone Operating Systems
Quire 在 Android 中引入轻量级的来源追踪与加密签名机制,以增强进程间通信(IPC)和远程过程调用(RPC)中的信任。通过标注 IPC 调用链并启用操作系统验证的消息认证码(MAC),Quire 使远程系统能够验证应用程序行为并防止伪造攻击,如在安全广告和微支付用例中所示,性能开销极低。
Smartphone apps often run with full privileges to access the network and sensitive local resources, making it difficult for remote systems to have any trust in the provenance of network connections they receive. Even within the phone, different apps with different privileges can communicate with one another, allowing one app to trick another into improperly exercising its privileges (a Confused Deputy attack). In Quire, we engineered two new security mechanisms into Android to address these issues. First, we track the call chain of IPCs, allowing an app the choice of operating with the diminished privileges of its callers or to act explicitly on its own behalf. Second, a lightweight signature scheme allows any app to create a signed statement that can be verified anywhere inside the phone. Both of these mechanisms are reflected in network RPCs, allowing remote systems visibility into the state of the phone when an RPC is made. We demonstrate the usefulness of Quire with two example applications. We built an advertising service, running distinctly from the app which wants to display ads, which can validate clicks passed to it from its host. We also built a payment service, allowing an app to issue a request which the payment service validates with the user. An app cannot not forge a payment request by directly connecting to the remote server, nor can the local payment service tamper with the request.
研究动机与目标
- 为解决智能手机应用程序交互中缺乏信任的问题,特别是在 IPC 和远程 RPC 场景中,恶意或被 compromise 的应用程序可能伪造请求或操纵权限。
- 通过使应用程序能够验证传入 IPC 请求的真实来源和调用链,防止混淆副手(Confused Deputy)攻击。
- 使远程服务器能够通过操作系统验证的签名,验证来自智能手机的数据来源和完整性。
- 支持安全、防伪造的应用程序,如广告点击验证和微支付,且无需依赖可信第三方。
- 提供低开销、向后兼容的 Android 扩展,支持移动系统中细粒度的信任建模。
提出的方法
- Quire 扩展了 Android 的 Binder IPC 机制,自动为每个 IPC 调用附加完整的调用链,使接收方能够检查请求的来源脉络。
- 引入一种轻量级、由操作系统管理的消息认证码(MAC)机制,应用程序可使用与可信操作系统服务共享的密钥对数据进行签名。
- 操作系统将来源证明声明(如调用者身份和调用链)嵌入网络 RPC 中,使远程方能够验证请求的来源和意图。
- 系统使用可信的操作系统服务来生成和验证 MAC,确保只有授权应用程序才能生成有效签名。
- 应用程序可利用这些机制生成不可伪造的声明,如广告点击或支付请求,远程服务器可对其进行密码学验证。
- 该设计作为向后兼容的 Android 扩展实现,允许现有应用程序与 Quire-aware 服务共存。
实验结果
研究问题
- RQ1轻量级、与操作系统集成的机制是否能为智能手机操作系统的 IPC 和 RPC 提供可验证的来源追踪?
- RQ2如何在移动平台上以最小性能开销实现来源追踪?
- RQ3对进程间数据进行加密签名能否防止常见攻击,如混淆副手攻击和点击欺诈?
- RQ4Quire 的机制在多大程度上能支持移动应用程序中安全、去中心化的信任模型?
- RQ5Quire 的架构能否支持实际用例,如安全广告和微支付系统?
主要发现
- Quire 通过微基准测试证明,成功扩展了 Android 的 Binder IPC 机制,支持完整的调用链来源追踪,且性能开销极小。
- 该系统使远程服务器能够使用操作系统签名的 MAC 对 RPC 的来源和完整性进行密码学验证,防止伪造行为。
- 在广告用例中,Quire 允许独立的广告服务通过密码学保证验证点击行为,彻底消除宿主应用程序的伪造攻击。
- 在微支付场景中,Quire 使可信支付代理能够验证用户授权的请求,防止欺诈交易。
- 该实现性能开销可忽略不计,性能测量表明 Quire 的扩展在实际部署中具有可行性。
- Quire 的设计具有向后兼容性,允许现有 Android 应用程序在无需修改的情况下与 Quire-aware 服务互操作。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。