186
第 36 卷 数字技术与应用 www.szjsyyy.com
收稿日期:2018-01-22
作者简介:游夏(1981 —),男,江苏泰州人,本科,工程师,研究方向:嵌入式操作系统安全访问与防护技术。
1 概述
我国信息安全问题越来越需要得到重视,特别是航空航天、核
电能源、交通运输、武器装备等安全关键嵌入式系统面临由系统安
全漏洞带来的安全威胁。信息化系统往往存在着不同安全等级的多
类应用,需要采用嵌入式软件多重独立安全等级(Multiple Inde-
pendent Levels of Security,MILS)
[1]
模型,将应用部署于物理上
隔离的多台设备中,以实现对系统资源、通信过程、系统故障等隔离
处理与隔离控制,从系统底层构建可信度量链,打造多级安全系统
内核,根据安全级别来分离数据,实施严格数据访问限制,确保特定
授权得用户访问指定数据。
因此,针对国内安全关键领域嵌入式系统的迫切需求,本文将
多级安全服务和可信服务相结合,基于国产嵌入式处理器芯片、国
产可信芯片和国产嵌入式虚拟分区操作系统,以嵌入式操作系统隔
离内核为核心,开展嵌入式系统多级安全防护技术研究,为不同安
全等级的嵌入式应用建立隔离的运行环境,将故障和不可信分区与
可信区域隔离,为安全关键应用分区提供可信度量与完整性校验,
防止嵌入式系统的故障和不安全信息的扩散,形成安全可信的嵌入
式系统架构,如图1所示。
2 操作系统隔离内核
内核是嵌入式操作系统管理嵌入式计算机硬件资源的核心管
理软件。本文基于虚拟化技术设计了嵌入式操作系统的隔离内核
[2]
,
采用最小特权管理机制,根据安全等级把系统资源通过系统配置划
分为独立分区,每个分区块具有自己的安全等级,分区间通过配置
受隔离内核信任的安全策略组件实现安全通信。操作系统隔离内核
通过对计算机资源进行抽象模拟完成了系统资源的虚拟化
[3]
,包括
CPU资源、内存资源、中断资源、时钟资源、设备资源等,确保各分区
的空间、时间资源不会互相影响,并提供标准的操作系统接口管理
设备、文件系统和网络协议栈等共享资源。操作系统隔离内核实现
了嵌入式应用的时间隔离、空间隔离
[4]
,并将应用故障和不可信分区
与其他区域隔离,以防止故障和不安全信息的扩散。
3 操作系统安全策略
安全可信的嵌入式系统架构
游夏 马云 胡明星
(中国电子科技集团公司第三十二研究所,上海 201808)
摘要:为解决安全关键嵌入式系统的信息安全问题,针对多级安全架构特点,本文提出了安全可信的嵌入式系统架构技术。通过实现
嵌入式操作系统的隔离内核,在资源分配、信息流和故障等方面的完全隔离,实施严格的数据访问与通信限制。通过构建系统可信度量链,
提供用户身份授权和应用完整性验证, 使安全关键嵌入式系统具有多级安全策略、故障隔离、安全通信、可信度量、身份认证等能力。
关键词: 多重独立安全等级;隔离内核;可信驱动;安全服务
中图分类号:TP316 文献标识码:A 文章编号:1007-9416(2018)02-0186-03
安全技术
DOI:10.19695/j.cnki.cn12-1369.2018.02.95
图1 安全可信的嵌入式系统架构
操作系统安全策略
嵌入式安全计算机硬件
嵌入式应用(用户模式)
操作系统隔离内核 (特权模式)
客户
操作系统
应用
信任根
非密分区
分区内
安全
策略MMR
应用级
协议守
卫策略
GUARD
秘密分区S
分区间
通信
策略
PCS
时间隔离 空间隔离 故障隔离
资源虚拟化
绝密分区TS
国产安全控制模块 国产可信芯片国产多核嵌入式处理器芯片CPU
客户
操作系统
秘密应用
客户
操作系统
绝密应用
信任根 信任根
可信芯片驱动
操作系统可信服务
操作系统安全服务
第36卷 第02期
2018年 2月
数字技术 与应用
Digital Technology &Application
Vol.36 No.2
February 2018
评论0