高可信嵌入式計算機系統損毀機制研究

鄭敏娟

（寧夏銀光鋼構件制造有限公司 寧夏 銀川 750101）

0 引言

在分析設計損毀模塊過程中，主要需針對損毀方式、時機、策略和多級自毀策略進行研究。所謂的自毀技術是保證系統數據信息安全的關鍵安全技術。能夠自主保護系統內部重要數據、程序的安全性不受到威脅，采取對系統有選擇性的進行損毀操作。系統損毀機制能夠提供自毀技術支持，可以根據系統受到的安全性威脅的級別，自動觸發，完成不同程度自毀。

1 損毀的時機

對于需要有系統銷毀功能的高可信嵌入式控制系統，其內部需要損毀的部分數據、程序等資料是十分針對的，例如日志資料對于合法用戶來說是缺失后不可再得的寶貴數據資源。所以系統一旦在不適當的情況下啟動系統銷毀時，對系統來說就不再是一種保護，恰恰相反是這種行為將會對系統造成了難以估量的損失。因此對于如何選擇合理恰當的時機，如何判斷銷毀級別的研究是系統損毀機制功能模塊策略設計的首要前提。

系統損毀機制需要保證系統啟動的時機是在十分必要的情況下才觸發的，不允許系統在不受任何威脅的情況下啟動自毀功能，或者由于合法用戶的誤操作而觸發系統損毀，造成系統不必要的損失。同時，需要考慮到系統是如何判定這些觸發條件的真實性及必要性，以避免不必要的損毀造成的麻煩。系統損毀啟動的條件包括系統落入非法用戶或已被非法用戶以某種方式控制，或者是系統的可靠性低于指定的門限值等。系統內存儲的重要信息只要存在被非法用戶竊取的威脅，就需要系統在無系統管理員管理的情況下主動獲知系統當前的狀況，在必要恰當的情況下啟動系統損毀機制。

通過研究自毀機制，并結合系統設計考慮，系統損毀機制啟動的時機至少需要包括如下幾個方面:

1.1 在用戶進行身份認證的基礎上，例如口令輸入等身份驗證結果中加入看門狗，設定閾值，當連續出現密碼輸入錯誤并驗證次數超過閾值時導致狗叫，并啟動系統自毀裝置。

1.2 當合法用戶確認系統落入非法用戶手中時，可由高可信嵌入式控制計算機系統的主機系統進行無線遙感啟動系統自毀裝置。

1.3 高可信嵌入式控制計算機系統的外箱體、內箱體、主要器件在自毀模塊未停止工作的前提下被人為破壞、拆卸或自然損壞，系統啟動自毀裝置。

另外為了確保自毀系統能夠成功進行，當提供自毀系統的電源電量低于一定的門限值時，在輔助液晶屏顯示屏上提示充電或更換，并發出報警音。保證自毀模塊順暢運行。

2 損毀方式

2.1 損毀控制手段

2.1.1 系統自毀

系統需要能夠自主控制損毀裝置，在必要的情況下，對系統的關鍵數據、程序、部件進行損毀。在這里我們稱之為自毀手段，系統根據當前系統狀態，判斷是否需要進行系統損毀，并且根據需要進行級別劃定，采取不同的損毀方式。因為不同的系統損毀策略對系統所造成的損害是不同的，同時系統的修復能力也是不同，必須保證系統能夠在不同情形下，根據系統受威脅程度采用不同的損毀能力。這樣可以既保證系統關鍵信息的安全性，又提高系統的可維修能力。

對于這種方式，對威脅程度的劃分需要進一步考慮，損毀級別定義可以根據系統所采用的身份認證技術及系統完整性保障技術作為衡量的基礎上，采用分級自毀策略保證系統的安全性。通常情況下，嵌入式系統多采用多級認證機制來保證系統免受非法用戶的入侵，那么可以根據用戶進入系統的狀態，來判斷系統受到的安全性威脅的級別，自動觸發，完成關鍵數據，關鍵程序，關鍵部件的不同程度的自毀功能。

2.1.2 無線控毀

系統管理者無法保證惡意用戶是否在竊取系統后，不會設法通過其他方式來研究嵌入式控制系統，而避開了系統自毀機制的啟動。因此，當管理者已經確定系統的丟失，必須要采取相應的對策，以預防上述事情的發生所造成的巨大損失。

因此系統在自毀子系統實現的基礎上，添加了無線設備，設定相關的遠程控制接口。嵌入式控制系統可以根據系統管理者的意愿采用遠程方式來控制系統關鍵數據銷毀裝置的啟動。

2.1.3 本地銷毀

以上兩種手段仍然不能顧及到所有可能性。系統還需要提供本地銷毀的能力，根據系統當前合法使用者的實際需求，在使用過程中，隨時對系統進行關鍵數據、程序、部件的銷毀。

當前合法用戶，通過系統前端相應模塊在輸入不同損毀方式對應的指令信息，經過解析，保證用戶安全性后，直接調用指令對應的損毀策略，對系統關鍵信息的銷毀。

2.2 損毀實現方式

2.2.1 軟件銷毀

顧名思義，是通過軟件設計的方式對系統關鍵數據進行操作處理，達到不可再生的目的。系統可以采用對存儲芯片關鍵區域擦除的方式，達到對系統的關鍵數據進行銷毀的作用。由于一般嵌入式系統的存儲芯片都是可讀寫的，系統可以通過編寫相應存儲芯片的驅動對其進行讀寫操作。在需要進行數據銷毀的情況下，可過對存放數據、程序的關鍵區段進行寫覆蓋操作或者擦除操作，進而達到信息銷毀的功能。

2.2.2 硬件銷毀

該方式的實現是通過硬件電路，把系統進行報廢，不可再生。相應的損毀器件內部存儲的信息也得到不可恢復的損毀。

2.2.3 物理銷毀

物理銷毀是通過一些常識性物理、化學知識的運用對系統的存儲設備進行不可再生的破壞，比方說使用消磁的方式，又比方說使用化學腐蝕的方式，又或者使用其他的物理破壞的方式對芯片、部件進行銷毀。

3 損毀策略

3.1 數據損毀

數據損毀僅僅是在系統初步受到威脅的情況下，對系統存儲芯片內的關鍵數據文件進行自毀。目前，嵌入式系統選用的存儲芯片都具有擦除復寫的功能。因此通過軟件方式，可以單獨對存儲芯片進行數據段區域進行損毀，這種策略并沒有破壞嵌入式計算機的存儲操作系統的程序段，同時硬件設備也是完好的，系統仍然可以繼續使用，只是非法用戶已經再也無法再獲取到系統原有關鍵計算數據及日志內容信息條目。

3.2 程序損毀

當嵌入式系統受到進一步威脅的情況下，系統已經到了警戒區，不能再繼續允許系統的使用，但是同時又不可以對系統造成太大的損害，需要系統可以經過簡單的修復繼續使用。因此，系統在這個層次上，選擇采用程序銷毀的方式。

3.3 電氣損毀

由于數據自毀與程序自毀的安全性仍然有一定的隱患，我們不能百分百地排除可能由于外界原因，造成芯片擦除不完全，或者非法用戶采用未知的方式進行恢復，導致信息存在泄露的可能性。計算機的安全涉及到從計算機硬件底層一直到操作系統的各個環節，為了使信息安全得到保證，自毀技術從硬件到軟件必須有一套完整的安全設計方案。

4 結束語

總之，作為一個需要與用戶進行交互的設備，其交互設計必須是被用戶認可接受的，滿足用戶的使用習慣及功能需求，方便用戶的理解操作。另外，為了保證系統是高可信的，其設計前提是要保證系統存儲的關鍵信息能夠在可靠安全的情況下被合法用戶使用操作；同時對于外來威脅，系統根據需要采取不同層級的防御措施，以保護系統關鍵信息的安全。

［1］馬靜，張波，辛波.馬爾可夫鏈在冗余系統可靠度求解中的應用[J].中國慣性技術學報，2007，15（2）:248-251

［2］王麗華，徐志根，王長林.可維修三模冗余結構系統的可靠度與安全度分析[J].西南交通大學學報，2002，37（1）:103-107.