基于RT-Linux防危保障机制的实验模型
摘要:随着嵌入式实时系统在安全关键系统中日益广泛的应用,其软件不但要保护嵌放式实时系统的功能性和时间限制,对其安全性、稳定性和可靠性的要求也大大提高。软件错误的比例大大高于硬件错误,软件错误可能引起硬件误操作,进而直接威胁系统安全。使用防危核可有效防止关键设备误操作。本文以RT-Linux实时操作系统为平台,对十字路口交通灯控制建立安全实验模型,硬件防危核实现技术,为防危保障探索新的实现途径。关键词:防危核 安全核 实时系统 防危策略
早在19世纪70年代,为保证系统中的敏感信息不被非法用户恶意破坏和非法访问,Roger Schell和Mitre等人提出了安全核(security kernel)的概念。安全核将系统中的软件隔离为可信的和不可信的两部分,由可信赖信号负责对不可信部分进行审核,以保证不可信部分不会对敏感数据进行非法和错误的访问。安全核的技术在信息安全领域中取得了成功并得到广泛的应用。在安全核基础上,Rushby等人又进一步提出了防危核(safety kernel)的概念,用于防止软件对安全关键设备的非法访问,从而保障系统安全。防危核由一组防危策略和隔离组成,因此,防危策略的完备性和低开销是防隐核可靠和高效的关键。现在,对防危核的研究还处于初级阶段,本文介绍我们基于RT-Linux实现的队危核。实验结果表明了该方案的有效性和可行性。
1 防危核技术
防危核关心的是如何保护设备不被非法访问,以避免因对设备的误操作引起的重大生命财产损失和环境破坏。防危核把受保护设备与系统中的其它部分隔离,通过实施防危策略(safety policy)对这些设备的访问进行特殊控制。凡是对受保护设备的访问,都必须经过危核的审查,合法者予以支持;反之,则采取相应的出错处理措施,维护系统的防危特性,这样就能很好地避免软件故障造成的灾难后果。从应用软件的角度来看,防危核的原理如图1所示。在工程应用中,要保证危核的有效性,必须遵循下列3项规则。
(1)短小精练
为了不影响系统的性能,防危核应尽可能小,为此系统所有的防危核策略均由防危核为实施是不现实的。采用将防危策略放在防危核外部的防危策略库中的方法,缩小防危核的大小主,防危核在防危处理时访问防危策略库,以获取相应防危策略。
(2)完备性
完备性要求,不通过防危核主体就不能对客体进行任何访问操作。它表明对设备的任何访问请求都必须通过防危核的验证。如果系统中存在其它组件可以绕开防危核访问设备,显然安全将无法得到保障。所以采用了防危核技术的系统必须要保证防危核对设备的专一控制。
[1] [2] [3] [4] [5] [6]