劉智勇

[摘 要]嵌入式設(shè)備是當(dāng)前互聯(lián)網(wǎng)技術(shù)發(fā)展的一個(gè)主要方向，網(wǎng)絡(luò)信息的共享給人們生活、工作帶來了極大的便利，同時(shí)也使得信息安全問題更加的突出。操作系統(tǒng)是嵌入式系統(tǒng)的核心，也是系統(tǒng)信息安全的重要保障。如果缺乏這個(gè)安全的根基，構(gòu)建在操作系統(tǒng)上的應(yīng)用系統(tǒng)以及整個(gè)嵌入式系統(tǒng)的安全性將得不到根本保障，因此提高嵌入式操作性系統(tǒng)的可靠性、安全性是非常有必要的。本文分析了影響嵌入式操作系統(tǒng)的因素析，并找出危害嵌入式操作系統(tǒng)安全的原因，介紹了近年來的操作系統(tǒng)安全領(lǐng)域的研究成果，并對(duì)未來發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)。

[關(guān)鍵字]嵌入式操作系統(tǒng)；安全保障；核心技術(shù)；影響因素

[中圖分類號(hào)]TP316 [文獻(xiàn)標(biāo)識(shí)碼]A

嵌入式設(shè)備隨著計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展，對(duì)其進(jìn)行了有機(jī)的結(jié)合，網(wǎng)絡(luò)的共享跨越了時(shí)間和空間的限制，信息安全問題顯得也越來越重要。政府、國(guó)防、金融等領(lǐng)域都引用了嵌入式設(shè)備，而且都有自身的需求，因此找到一個(gè)既滿足功能需求，又具備高安全可信度的嵌入式操作系統(tǒng)是非常有必要的。本文就針對(duì)嵌入式操作系統(tǒng)的安全問題展開研究，從多個(gè)角度對(duì)安全的概念進(jìn)行分析和研究，提高嵌入式操作系統(tǒng)的安全保障。

1 操作系統(tǒng)安全概述

計(jì)算軟件安全可分為操作系統(tǒng)安全、數(shù)據(jù)庫安全、網(wǎng)絡(luò)軟件安全和應(yīng)用軟件安全。操作系統(tǒng)是計(jì)算機(jī)軟件的基礎(chǔ)，因?yàn)樗苯优c硬件協(xié)作，為用戶提供接口，數(shù)據(jù)庫也是建立在操作系統(tǒng)上的。操作吸引的安全機(jī)制失去控制，那么數(shù)據(jù)的安全性就得不到保障，在網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)的安全可信度也依賴于系統(tǒng)對(duì)信息的存儲(chǔ)和處理。因此操作系統(tǒng)是一切軟件運(yùn)行的基礎(chǔ)，沒有操作系統(tǒng)的安全性，應(yīng)用軟件信息的安全性也得不到保障。安全在操作系統(tǒng)中的定義指的是在操作系統(tǒng)的工作范圍內(nèi)，提供較強(qiáng)的訪問控制和審計(jì)機(jī)制，合理地調(diào)用用戶與資源。盡可能地限制非法訪問，對(duì)入侵行為進(jìn)行有效的攔截和監(jiān)測(cè)，為整個(gè)軟件系統(tǒng)提供最基本的保障。因此操作系統(tǒng)的安全也具備以下幾個(gè)特征：首先，要保障系統(tǒng)信息的機(jī)密性，計(jì)算機(jī)系統(tǒng)信息只能被授權(quán)的對(duì)象進(jìn)行訪問；其次，要保障數(shù)據(jù)信息的完整性，計(jì)算機(jī)系統(tǒng)的資源不得隨意修改，需要修改的時(shí)候要有授權(quán)。最后，要保證系統(tǒng)的可用性，被授權(quán)的用戶隨時(shí)可以正常使用。

安全的操作系統(tǒng)基本都有五大特征，其一，身份驗(yàn)證；其二，最小特權(quán)；其三，自主訪問控制和強(qiáng)制訪問控制；其四，安全審計(jì)；其五，安全域隔離。這些基本的安全功能，可以在一定程度上抵御偽裝的病毒、木馬程序、非法操作等。長(zhǎng)期以來，我國(guó)使用的嵌入式操作系統(tǒng)都是從國(guó)外引進(jìn)的，安全性能不能得到保障。雖然近年來，我國(guó)的嵌入式系統(tǒng)不斷出現(xiàn)，但是沒人考慮安全性，但是嵌入式操作系統(tǒng)的安全性又至關(guān)重要，因此提高具有我國(guó)自主版權(quán)的嵌入式操作系統(tǒng)的安全保障是當(dāng)前信息產(chǎn)業(yè)發(fā)展的必然趨勢(shì)。

2 嵌入式操作系統(tǒng)安全技術(shù)研究

2.1 嵌入式操作系統(tǒng)安全的主要目標(biāo)

操作系統(tǒng)是一座橋梁，鏈接硬件與應(yīng)用軟件，為其提供相應(yīng)的安全服務(wù)，比如內(nèi)存保護(hù)、文件保護(hù)等。嵌入式操作系統(tǒng)的安全性可以從物理、時(shí)間、邏輯等進(jìn)行考慮。利用虛擬端口實(shí)現(xiàn)網(wǎng)絡(luò)端口的物理隔離；具有不可安全要求的時(shí)間也可以在不同的時(shí)間運(yùn)行，形成時(shí)間上的分離。操作系統(tǒng)可以同時(shí)限制程序的存取，這樣使得它們從邏輯上進(jìn)行分離；除此之外，進(jìn)程還可以對(duì)其他進(jìn)程隱蔽數(shù)據(jù)，形成密碼上的分離。因此嵌入式操作系統(tǒng)安全的主要目標(biāo)是要保證操作系統(tǒng)運(yùn)行的安全性，并對(duì)用戶進(jìn)行身份驗(yàn)證；保障系統(tǒng)自身的安全性與完整性；設(shè)置訪問控制機(jī)制，防止非法用戶竊取計(jì)算資源。

2.2 硬件安全機(jī)制

操作系統(tǒng)運(yùn)行是基于硬件設(shè)備的，因此高效、可靠的硬件保護(hù)性能是操作系統(tǒng)安全運(yùn)行的前提，操作系統(tǒng)硬件安全機(jī)制的目的就是為了保證自身的可靠性，并保護(hù)系統(tǒng)的安全運(yùn)行。硬件安全機(jī)制有內(nèi)存保護(hù)、運(yùn)行保護(hù)和I/O保護(hù)三類。

內(nèi)存保護(hù)是操作系統(tǒng)安全保障的基本要求，主要是保護(hù)用戶在存儲(chǔ)器中的數(shù)據(jù)。保護(hù)單元為存儲(chǔ)器中的最小數(shù)據(jù)范圍，而且單元越小，保護(hù)精度越高。在單進(jìn)程系統(tǒng)中，內(nèi)存保護(hù)機(jī)制可以保護(hù)操作系統(tǒng)內(nèi)核的存儲(chǔ)區(qū)域；多進(jìn)程程序下，內(nèi)存保護(hù)機(jī)制可以隔離各個(gè)進(jìn)程的存儲(chǔ)區(qū)域，保護(hù)內(nèi)存空間，防止進(jìn)程非法訪問。內(nèi)存管理的主要目的是提高內(nèi)存空間的利用率，二者緊密相連。一般來說頁面的訪問權(quán)限是由地址解釋機(jī)制解決的，我們知道，每個(gè)進(jìn)程都有一個(gè)相應(yīng)的地址描述符，該描述符會(huì)詳細(xì)記錄進(jìn)程對(duì)系統(tǒng)的訪問。由于資源的限制，嵌入式操作系統(tǒng)一般都不具備虛擬存儲(chǔ)管理機(jī)制，對(duì)內(nèi)存的管理和保護(hù)也比較簡(jiǎn)單。

內(nèi)核化的操作系統(tǒng)包含了四層：硬件、內(nèi)核、操作系統(tǒng)和用戶。這種分層設(shè)計(jì)的目的就是為了對(duì)運(yùn)行區(qū)域進(jìn)行隔離，將運(yùn)行區(qū)域當(dāng)做一系列的同心圓來看，進(jìn)程與中心的接近程度看做進(jìn)程的可信度和訪問特權(quán)，最敏感的操作是最內(nèi)層，離圓心最近的區(qū)域。那些安全核心外的區(qū)域可以實(shí)現(xiàn)安全關(guān)聯(lián)行為操作，比如用戶身份認(rèn)證。另外一種結(jié)構(gòu)，就是環(huán)形結(jié)構(gòu)，以硬件為中心，從R0-N逐漸遞增。環(huán)結(jié)構(gòu)可以有效隔離操作系統(tǒng)程序與用戶程序，它的操作系統(tǒng)在最內(nèi)層，控制系統(tǒng)的運(yùn)行，它的管理非常復(fù)雜，安全系數(shù)也不高，而且低特權(quán)環(huán)不可以在高特權(quán)環(huán)內(nèi)運(yùn)行。

最后是I/O保護(hù)，I/O部分也是操作系統(tǒng)所有功能中最復(fù)雜的一部分，系統(tǒng)中I/O部分的缺陷也是最多的。I/O在一般情況下，僅僅是操作系統(tǒng)完成的一個(gè)特權(quán)操作，比如操作系統(tǒng)對(duì)文件進(jìn)行讀寫操作的時(shí)候，就不需要控制 I/O 操作的細(xì)節(jié)。I/O 介質(zhì)訪問控制將設(shè)備看做一個(gè)客體，設(shè)備到介質(zhì)間的路徑不受任何約束。

3 嵌入式操作系統(tǒng)軟件安全機(jī)制

3.1 標(biāo)識(shí)與鑒別

用戶與系統(tǒng)的一個(gè)首要過程就是用戶身份的標(biāo)識(shí)與鑒別，系統(tǒng)要對(duì)用戶身份進(jìn)行識(shí)別，要給每個(gè)用戶分配唯一的標(biāo)識(shí)符，標(biāo)識(shí)符不能偽造，這就使得用戶不得進(jìn)行身份冒充。所謂鑒別就是將用戶標(biāo)識(shí)符與用戶進(jìn)行聯(lián)系，從而識(shí)別用戶的真實(shí)身份。鑒別一般是發(fā)生在用戶登錄的時(shí)候，比如口令、指紋、視網(wǎng)膜等技術(shù)。安全的操作系統(tǒng)都要求用戶先進(jìn)行識(shí)別，才能執(zhí)行其他操作。因?yàn)橛脩舻蔫b別是通過口令、指紋等信息完成的，因此保證每個(gè)用戶的密碼的私有性是非常有必要的。標(biāo)識(shí)和鑒別機(jī)制可以阻止非法用戶的登錄，因此用戶密碼的私有性保護(hù)是嵌入式操作系統(tǒng)安全的基本保障。

3.2 訪問控制

操作系統(tǒng)中，安全機(jī)制的主要內(nèi)容是訪問控制，它包括以下三個(gè)任務(wù)：授權(quán)；確定存取權(quán)限；實(shí)施存取權(quán)限。當(dāng)然這里指的訪問控制權(quán)限僅僅用于操作系統(tǒng)內(nèi)部的主體和客體。客體是信息的實(shí)體，包含文件、目錄、網(wǎng)絡(luò)節(jié)點(diǎn)等；主體指的是人、設(shè)備等這一類的實(shí)體，他們可以引導(dǎo)客體之間的流動(dòng)。一般有兩種控制形式，自主訪問和強(qiáng)制訪問。自主訪問控制（DAC）是最為常見的訪問控制機(jī)制，它是用戶對(duì)客體訪問權(quán)限的約束，用戶可以自主選擇資源的權(quán)限。但是自主訪問機(jī)制不夠安全，容易被偽裝過的木馬病毒欺騙。強(qiáng)制訪問控制（MAC），它的文件都由管理人員設(shè)置的，用戶不可更改。

4 嵌入式操作系統(tǒng)安全機(jī)制的實(shí)現(xiàn)技術(shù)

4.1 小接口技術(shù)

建立安全平臺(tái)的方法之一就是小接口技術(shù)，它提可以提供小的組件，這些組件又含有少量的安全接口。小接口技術(shù)是基于微內(nèi)核的，小的接口可以隔離地址空間，不安全組件被隔離在各自的地址空間中，但是微內(nèi)核的安全方法不容易實(shí)現(xiàn)I/O訪問控制。小接口的另一個(gè)辦法就是可擴(kuò)展系統(tǒng)，它對(duì)內(nèi)核中組件的下肢進(jìn)行了限制。目前我國(guó)的小接口技術(shù)也日漸成熟，可以集成到現(xiàn)有的操作系統(tǒng)中去，并提供系統(tǒng)接口支持已有的應(yīng)用程序。

4.2 訪問控制證書

目前，我國(guó)現(xiàn)有的嵌入式操作系統(tǒng)中，最小特權(quán)原則并沒有被執(zhí)行，解決的主要辦法就是訪問控制證書機(jī)制。它可以高度抽象訪問權(quán)限被授予的過程，獲取指定的資源執(zhí)行操作。比如想要在操作系統(tǒng)中安裝一個(gè)新的程序，就先要出示具備數(shù)字簽名的安全證書，并指明客體的訪問權(quán)利和資源執(zhí)行來源。

4.3 有效的資源控制

有效的資源控制是防御安全攻擊的有效手段，比如阻塞DOS 攻擊所需的資源。資源控制的主要依據(jù)就是實(shí)時(shí)系統(tǒng)領(lǐng)域的研究成果，資源控制有兩個(gè)辦法，其一，就是控制系統(tǒng)的部分資源分配，比如資源核和DROPS系統(tǒng)都會(huì)預(yù)留出獨(dú)立的資源，比如CPU等，可以通過資源控制來限制其攻擊的范圍。另外一個(gè)就是早期多路分解技術(shù)，在網(wǎng)絡(luò)接口卡中加入專用的芯片，可以避免資源的浪費(fèi)，有效解決本地DOS攻擊。

5 結(jié)語

隨著互聯(lián)網(wǎng)和嵌入式技術(shù)的快速發(fā)展，嵌入式設(shè)備接入網(wǎng)絡(luò)設(shè)備，實(shí)現(xiàn)資源的高度共享是當(dāng)前計(jì)算機(jī)技術(shù)發(fā)展的主要方向。眾所周知，嵌入式操作系統(tǒng)是整個(gè)計(jì)算機(jī)系統(tǒng)的安全保障，因此要不斷創(chuàng)新嵌入式操作系統(tǒng)安全保障技術(shù)，促進(jìn)嵌入式操作系統(tǒng)的快速發(fā)展。

[參考文獻(xiàn)]

[1] 高洪濤.四級(jí)安全操作系統(tǒng)中審計(jì)系統(tǒng)的研究與設(shè)計(jì)[D].北京：中科院軟件所，2005.

[2] 陳佳音，隋菱歌.智慧銀行安防系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].長(zhǎng)春金融高等?？茖W(xué)校學(xué)報(bào)，2015（01）.

[3] 李翔，吳向陽，張激.面向安全關(guān)鍵嵌入式系統(tǒng)的時(shí)鐘同步設(shè)計(jì)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2017（06）.