嵌入式操作系統安全保障技術研究

劉智勇

[摘 要]嵌入式設備是當前互聯網技術發展的一個主要方向，網絡信息的共享給人們生活、工作帶來了極大的便利，同時也使得信息安全問題更加的突出。操作系統是嵌入式系統的核心，也是系統信息安全的重要保障。如果缺乏這個安全的根基，構建在操作系統上的應用系統以及整個嵌入式系統的安全性將得不到根本保障，因此提高嵌入式操作性系統的可靠性、安全性是非常有必要的。本文分析了影響嵌入式操作系統的因素析，并找出危害嵌入式操作系統安全的原因，介紹了近年來的操作系統安全領域的研究成果，并對未來發展趨勢進行預測。

[關鍵字]嵌入式操作系統；安全保障；核心技術；影響因素

[中圖分類號]TP316 [文獻標識碼]A

嵌入式設備隨著計算機和網絡的發展，對其進行了有機的結合，網絡的共享跨越了時間和空間的限制，信息安全問題顯得也越來越重要。政府、國防、金融等領域都引用了嵌入式設備，而且都有自身的需求，因此找到一個既滿足功能需求，又具備高安全可信度的嵌入式操作系統是非常有必要的。本文就針對嵌入式操作系統的安全問題展開研究，從多個角度對安全的概念進行分析和研究，提高嵌入式操作系統的安全保障。

1 操作系統安全概述

計算軟件安全可分為操作系統安全、數據庫安全、網絡軟件安全和應用軟件安全。操作系統是計算機軟件的基礎，因為它直接與硬件協作，為用戶提供接口，數據庫也是建立在操作系統上的。操作吸引的安全機制失去控制，那么數據的安全性就得不到保障，在網絡環境中，網絡的安全可信度也依賴于系統對信息的存儲和處理。因此操作系統是一切軟件運行的基礎，沒有操作系統的安全性，應用軟件信息的安全性也得不到保障。安全在操作系統中的定義指的是在操作系統的工作范圍內，提供較強的訪問控制和審計機制，合理地調用用戶與資源。盡可能地限制非法訪問，對入侵行為進行有效的攔截和監測，為整個軟件系統提供最基本的保障。因此操作系統的安全也具備以下幾個特征：首先，要保障系統信息的機密性，計算機系統信息只能被授權的對象進行訪問；其次，要保障數據信息的完整性，計算機系統的資源不得隨意修改，需要修改的時候要有授權。最后，要保證系統的可用性，被授權的用戶隨時可以正常使用。

安全的操作系統基本都有五大特征，其一，身份驗證；其二，最小特權；其三，自主訪問控制和強制訪問控制；其四，安全審計；其五，安全域隔離。這些基本的安全功能，可以在一定程度上抵御偽裝的病毒、木馬程序、非法操作等。長期以來，我國使用的嵌入式操作系統都是從國外引進的，安全性能不能得到保障。雖然近年來，我國的嵌入式系統不斷出現，但是沒人考慮安全性，但是嵌入式操作系統的安全性又至關重要，因此提高具有我國自主版權的嵌入式操作系統的安全保障是當前信息產業發展的必然趨勢。

2 嵌入式操作系統安全技術研究

2.1 嵌入式操作系統安全的主要目標

操作系統是一座橋梁，鏈接硬件與應用軟件，為其提供相應的安全服務，比如內存保護、文件保護等。嵌入式操作系統的安全性可以從物理、時間、邏輯等進行考慮。利用虛擬端口實現網絡端口的物理隔離；具有不可安全要求的時間也可以在不同的時間運行，形成時間上的分離。操作系統可以同時限制程序的存取，這樣使得它們從邏輯上進行分離；除此之外，進程還可以對其他進程隱蔽數據，形成密碼上的分離。因此嵌入式操作系統安全的主要目標是要保證操作系統運行的安全性，并對用戶進行身份驗證；保障系統自身的安全性與完整性；設置訪問控制機制，防止非法用戶竊取計算資源。

2.2 硬件安全機制

操作系統運行是基于硬件設備的，因此高效、可靠的硬件保護性能是操作系統安全運行的前提，操作系統硬件安全機制的目的就是為了保證自身的可靠性，并保護系統的安全運行。硬件安全機制有內存保護、運行保護和I/O保護三類。

內存保護是操作系統安全保障的基本要求，主要是保護用戶在存儲器中的數據。保護單元為存儲器中的最小數據范圍，而且單元越小，保護精度越高。在單進程系統中，內存保護機制可以保護操作系統內核的存儲區域；多進程程序下，內存保護機制可以隔離各個進程的存儲區域，保護內存空間，防止進程非法訪問。內存管理的主要目的是提高內存空間的利用率，二者緊密相連。一般來說頁面的訪問權限是由地址解釋機制解決的，我們知道，每個進程都有一個相應的地址描述符，該描述符會詳細記錄進程對系統的訪問。由于資源的限制，嵌入式操作系統一般都不具備虛擬存儲管理機制，對內存的管理和保護也比較簡單。

內核化的操作系統包含了四層：硬件、內核、操作系統和用戶。這種分層設計的目的就是為了對運行區域進行隔離，將運行區域當做一系列的同心圓來看，進程與中心的接近程度看做進程的可信度和訪問特權，最敏感的操作是最內層，離圓心最近的區域。那些安全核心外的區域可以實現安全關聯行為操作，比如用戶身份認證。另外一種結構，就是環形結構，以硬件為中心，從R0-N逐漸遞增。環結構可以有效隔離操作系統程序與用戶程序，它的操作系統在最內層，控制系統的運行，它的管理非常復雜，安全系數也不高，而且低特權環不可以在高特權環內運行。

最后是I/O保護，I/O部分也是操作系統所有功能中最復雜的一部分，系統中I/O部分的缺陷也是最多的。I/O在一般情況下，僅僅是操作系統完成的一個特權操作，比如操作系統對文件進行讀寫操作的時候，就不需要控制 I/O 操作的細節。I/O 介質訪問控制將設備看做一個客體，設備到介質間的路徑不受任何約束。

3 嵌入式操作系統軟件安全機制

3.1 標識與鑒別

用戶與系統的一個首要過程就是用戶身份的標識與鑒別，系統要對用戶身份進行識別，要給每個用戶分配唯一的標識符，標識符不能偽造，這就使得用戶不得進行身份冒充。所謂鑒別就是將用戶標識符與用戶進行聯系，從而識別用戶的真實身份。鑒別一般是發生在用戶登錄的時候，比如口令、指紋、視網膜等技術。安全的操作系統都要求用戶先進行識別，才能執行其他操作。因為用戶的鑒別是通過口令、指紋等信息完成的，因此保證每個用戶的密碼的私有性是非常有必要的。標識和鑒別機制可以阻止非法用戶的登錄，因此用戶密碼的私有性保護是嵌入式操作系統安全的基本保障。

3.2 訪問控制

操作系統中，安全機制的主要內容是訪問控制，它包括以下三個任務：授權；確定存取權限；實施存取權限。當然這里指的訪問控制權限僅僅用于操作系統內部的主體和客體。客體是信息的實體，包含文件、目錄、網絡節點等；主體指的是人、設備等這一類的實體，他們可以引導客體之間的流動。一般有兩種控制形式，自主訪問和強制訪問。自主訪問控制（DAC）是最為常見的訪問控制機制，它是用戶對客體訪問權限的約束，用戶可以自主選擇資源的權限。但是自主訪問機制不夠安全，容易被偽裝過的木馬病毒欺騙。強制訪問控制（MAC），它的文件都由管理人員設置的，用戶不可更改。

4 嵌入式操作系統安全機制的實現技術

4.1 小接口技術

建立安全平臺的方法之一就是小接口技術，它提可以提供小的組件，這些組件又含有少量的安全接口。小接口技術是基于微內核的，小的接口可以隔離地址空間，不安全組件被隔離在各自的地址空間中，但是微內核的安全方法不容易實現I/O訪問控制。小接口的另一個辦法就是可擴展系統，它對內核中組件的下肢進行了限制。目前我國的小接口技術也日漸成熟，可以集成到現有的操作系統中去，并提供系統接口支持已有的應用程序。

4.2 訪問控制證書

目前，我國現有的嵌入式操作系統中，最小特權原則并沒有被執行，解決的主要辦法就是訪問控制證書機制。它可以高度抽象訪問權限被授予的過程，獲取指定的資源執行操作。比如想要在操作系統中安裝一個新的程序，就先要出示具備數字簽名的安全證書，并指明客體的訪問權利和資源執行來源。

4.3 有效的資源控制

有效的資源控制是防御安全攻擊的有效手段，比如阻塞DOS 攻擊所需的資源。資源控制的主要依據就是實時系統領域的研究成果，資源控制有兩個辦法，其一，就是控制系統的部分資源分配，比如資源核和DROPS系統都會預留出獨立的資源，比如CPU等，可以通過資源控制來限制其攻擊的范圍。另外一個就是早期多路分解技術，在網絡接口卡中加入專用的芯片，可以避免資源的浪費，有效解決本地DOS攻擊。

5 結語

隨著互聯網和嵌入式技術的快速發展，嵌入式設備接入網絡設備，實現資源的高度共享是當前計算機技術發展的主要方向。眾所周知，嵌入式操作系統是整個計算機系統的安全保障，因此要不斷創新嵌入式操作系統安全保障技術，促進嵌入式操作系統的快速發展。

[參考文獻]

[1] 高洪濤.四級安全操作系統中審計系統的研究與設計[D].北京：中科院軟件所，2005.

[2] 陳佳音，隋菱歌.智慧銀行安防系統的設計與實現[J].長春金融高等專科學校學報，2015（01）.

[3] 李翔，吳向陽，張激.面向安全關鍵嵌入式系統的時鐘同步設計[J].計算機系統應用，2017（06）.