刘智勇

[摘 要]嵌入式设备是当前互联网技术发展的一个主要方向，网络信息的共享给人们生活、工作带来了极大的便利，同时也使得信息安全问题更加的突出。操作系统是嵌入式系统的核心，也是系统信息安全的重要保障。如果缺乏这个安全的根基，构建在操作系统上的应用系统以及整个嵌入式系统的安全性将得不到根本保障，因此提高嵌入式操作性系统的可靠性、安全性是非常有必要的。本文分析了影响嵌入式操作系统的因素析，并找出危害嵌入式操作系统安全的原因，介绍了近年来的操作系统安全领域的研究成果，并对未来发展趋势进行预测。

[关键字]嵌入式操作系统；安全保障；核心技术；影响因素

[中图分类号]TP316 [文献标识码]A

嵌入式设备随着计算机和网络的发展，对其进行了有机的结合，网络的共享跨越了时间和空间的限制，信息安全问题显得也越来越重要。政府、国防、金融等领域都引用了嵌入式设备，而且都有自身的需求，因此找到一个既满足功能需求，又具备高安全可信度的嵌入式操作系统是非常有必要的。本文就针对嵌入式操作系统的安全问题展开研究，从多个角度对安全的概念进行分析和研究，提高嵌入式操作系统的安全保障。

1 操作系统安全概述

计算软件安全可分为操作系统安全、数据库安全、网络软件安全和应用软件安全。操作系统是计算机软件的基础，因为它直接与硬件协作，为用户提供接口，数据库也是建立在操作系统上的。操作吸引的安全机制失去控制，那么数据的安全性就得不到保障，在网络环境中，网络的安全可信度也依赖于系统对信息的存储和处理。因此操作系统是一切软件运行的基础，没有操作系统的安全性，应用软件信息的安全性也得不到保障。安全在操作系统中的定义指的是在操作系统的工作范围内，提供较强的访问控制和审计机制，合理地调用用户与资源。尽可能地限制非法访问，对入侵行为进行有效的拦截和监测，为整个软件系统提供最基本的保障。因此操作系统的安全也具备以下几个特征：首先，要保障系统信息的机密性，计算机系统信息只能被授权的对象进行访问；其次，要保障数据信息的完整性，计算机系统的资源不得随意修改，需要修改的时候要有授权。最后，要保证系统的可用性，被授权的用户随时可以正常使用。

安全的操作系统基本都有五大特征，其一，身份验证；其二，最小特权；其三，自主访问控制和强制访问控制；其四，安全审计；其五，安全域隔离。这些基本的安全功能，可以在一定程度上抵御伪装的病毒、木马程序、非法操作等。长期以来，我国使用的嵌入式操作系统都是从国外引进的，安全性能不能得到保障。虽然近年来，我国的嵌入式系统不断出现，但是没人考虑安全性，但是嵌入式操作系统的安全性又至关重要，因此提高具有我国自主版权的嵌入式操作系统的安全保障是当前信息产业发展的必然趋势。

2 嵌入式操作系统安全技术研究

2.1 嵌入式操作系统安全的主要目标

操作系统是一座桥梁，链接硬件与应用软件，为其提供相应的安全服务，比如内存保护、文件保护等。嵌入式操作系统的安全性可以从物理、时间、逻辑等进行考虑。利用虚拟端口实现网络端口的物理隔离；具有不可安全要求的时间也可以在不同的时间运行，形成时间上的分离。操作系统可以同时限制程序的存取，这样使得它们从逻辑上进行分离；除此之外，进程还可以对其他进程隐蔽数据，形成密码上的分离。因此嵌入式操作系统安全的主要目标是要保证操作系统运行的安全性，并对用户进行身份验证；保障系统自身的安全性与完整性；设置访问控制机制，防止非法用户窃取计算资源。

2.2 硬件安全机制

操作系统运行是基于硬件设备的，因此高效、可靠的硬件保护性能是操作系统安全运行的前提，操作系统硬件安全机制的目的就是为了保证自身的可靠性，并保护系统的安全运行。硬件安全机制有内存保护、运行保护和I/O保护三类。

内存保护是操作系统安全保障的基本要求，主要是保护用戶在存储器中的数据。保护单元为存储器中的最小数据范围，而且单元越小，保护精度越高。在单进程系统中，内存保护机制可以保护操作系统内核的存储区域；多进程程序下，内存保护机制可以隔离各个进程的存储区域，保护内存空间，防止进程非法访问。内存管理的主要目的是提高内存空间的利用率，二者紧密相连。一般来说页面的访问权限是由地址解释机制解决的，我们知道，每个进程都有一个相应的地址描述符，该描述符会详细记录进程对系统的访问。由于资源的限制，嵌入式操作系统一般都不具备虚拟存储管理机制，对内存的管理和保护也比较简单。

内核化的操作系统包含了四层：硬件、内核、操作系统和用户。这种分层设计的目的就是为了对运行区域进行隔离，将运行区域当做一系列的同心圆来看，进程与中心的接近程度看做进程的可信度和访问特权，最敏感的操作是最内层，离圆心最近的区域。那些安全核心外的区域可以实现安全关联行为操作，比如用户身份认证。另外一种结构，就是环形结构，以硬件为中心，从R0-N逐渐递增。环结构可以有效隔离操作系统程序与用户程序，它的操作系统在最内层，控制系统的运行，它的管理非常复杂，安全系数也不高，而且低特权环不可以在高特权环内运行。

最后是I/O保护，I/O部分也是操作系统所有功能中最复杂的一部分，系统中I/O部分的缺陷也是最多的。I/O在一般情况下，仅仅是操作系统完成的一个特权操作，比如操作系统对文件进行读写操作的时候，就不需要控制 I/O 操作的细节。I/O 介质访问控制将设备看做一个客体，设备到介质间的路径不受任何约束。

3 嵌入式操作系统软件安全机制

3.1 标识与鉴别

用户与系统的一个首要过程就是用户身份的标识与鉴别，系统要对用户身份进行识别，要给每个用户分配唯一的标识符，标识符不能伪造，这就使得用户不得进行身份冒充。所谓鉴别就是将用户标识符与用户进行联系，从而识别用户的真实身份。鉴别一般是发生在用户登录的时候，比如口令、指纹、视网膜等技术。安全的操作系统都要求用户先进行识别，才能执行其他操作。因为用户的鉴别是通过口令、指纹等信息完成的，因此保证每个用户的密码的私有性是非常有必要的。标识和鉴别机制可以阻止非法用户的登录，因此用户密码的私有性保护是嵌入式操作系统安全的基本保障。

3.2 访问控制

操作系统中，安全机制的主要内容是访问控制，它包括以下三个任务：授权；确定存取权限；实施存取权限。当然这里指的访问控制权限仅仅用于操作系统内部的主体和客体。客体是信息的实体，包含文件、目录、网络节点等；主体指的是人、设备等这一类的实体，他们可以引导客体之间的流动。一般有两种控制形式，自主访问和强制访问。自主访问控制（DAC）是最为常见的访问控制机制，它是用户对客体访问权限的约束，用户可以自主选择资源的权限。但是自主访问机制不够安全，容易被伪装过的木马病毒欺骗。强制访问控制（MAC），它的文件都由管理人员设置的，用户不可更改。

4 嵌入式操作系统安全机制的实现技术

4.1 小接口技术

建立安全平台的方法之一就是小接口技术，它提可以提供小的组件，这些组件又含有少量的安全接口。小接口技术是基于微内核的，小的接口可以隔离地址空间，不安全组件被隔离在各自的地址空间中，但是微内核的安全方法不容易实现I/O访问控制。小接口的另一个办法就是可扩展系统，它对内核中组件的下肢进行了限制。目前我国的小接口技术也日渐成熟，可以集成到现有的操作系统中去，并提供系统接口支持已有的应用程序。

4.2 访问控制证书

目前，我国现有的嵌入式操作系统中，最小特权原则并没有被执行，解决的主要办法就是访问控制证书机制。它可以高度抽象访问权限被授予的过程，获取指定的资源执行操作。比如想要在操作系统中安装一个新的程序，就先要出示具备数字签名的安全证书，并指明客体的访问权利和资源执行来源。

4.3 有效的资源控制

有效的资源控制是防御安全攻击的有效手段，比如阻塞DOS 攻击所需的资源。资源控制的主要依据就是实时系统领域的研究成果，资源控制有两个办法，其一，就是控制系统的部分资源分配，比如资源核和DROPS系统都会预留出独立的资源，比如CPU等，可以通过资源控制来限制其攻击的范围。另外一个就是早期多路分解技术，在网络接口卡中加入专用的芯片，可以避免资源的浪费，有效解决本地DOS攻击。

5 结语

随着互联网和嵌入式技术的快速发展，嵌入式设备接入网络设备，实现资源的高度共享是当前计算机技术发展的主要方向。众所周知，嵌入式操作系統是整个计算机系统的安全保障，因此要不断创新嵌入式操作系统安全保障技术，促进嵌入式操作系统的快速发展。

[参考文献]

[1] 高洪涛.四级安全操作系统中审计系统的研究与设计[D].北京：中科院软件所，2005.

[2] 陈佳音，隋菱歌.智慧银行安防系统的设计与实现[J].长春金融高等专科学校学报，2015（01）.

[3] 李翔，吴向阳，张激.面向安全关键嵌入式系统的时钟同步设计[J].计算机系统应用，2017（06）.