引 言

    實時嵌入式系統與網絡的結合以及高可信覆蓋網絡的發展使得嵌入式實時操作系統的安全性問題日益突出。提高實時嵌入式系統的安全性和可靠性是未來實時嵌入式系統發展的重要方向之一。VxWorks是一個運行在目標機上的高性能、可裁剪的嵌入式實時操作系統。該系統以其良好的可靠性和卓越的實時性被廣泛應用在通信、軍事、航空、航天等高精尖技術及實時性要求極高的領域中。VxWorks系統在安全方面未作任何處理。針對這一問題，本文在分析現有嵌入式安全操作系統構建原理及技術的基礎上，提出了VxWorks安全內核，實現了基于多策略的強制訪問控制等安全機制。測試表明，該安全內核不僅增強了VxWorks系統的安全性，而且對其實時性的影響較小。

1 安全操作系統構建原理及方法

    1．1 強制安全和訪問控制

    操作系統的安全性是整個計算機系統安全性的基礎。操作系統的安全特性很多，強制安全是其一個側面。是不是強制安全，要視其安全策略邏輯定義與安全屬性分配是不是由系統安全性策略管理員控制。如果是，則是強制安全；反之，如果是由普通用戶控制的，則是自主安全。一個操作系統的強制安全策略可以分解為若干種類的策略，如訪問控制策略，認證、加密策略等。

    在本系統中實現了基于多策路的強制訪問控制，即規定主體在操作系統的控制下依據一定的策略對客體進行訪問。為此，提供了一個定義和轉換強制安全性策略的架構，用于定義操作系統的強制安全策略，并把它轉化成底層的操作系統強制安全機制能夠解釋的形式。

    1．2 增強嵌入式操作系統安全性的方法

    在一個現有的較成熟的嵌入式操作系統基礎上增加安全核來增強現有系統安全性，是一個很好的開發安全嵌入式系統的思路。安全內核負責實現整個操作系統的安全機制，在硬件、操作系統、計算系統的其他部分之間提供安全接口，將安全功能隔離在安全核內。

2 VxWorks安全核框架

    2．1 安全核體系結構

    本文提出一種如圖1所示的VxWorks安全核框架結構。基本思想是：應用程序對Wind內核的訪問都是受控的，即應用程序(主體)對任務、信號量、共享內存、消息隊列、管道、信號和文件等(客體)的訪問及操作都受到強制的控制，安全核依據一定的策略判定是否允許主題對客體訪問。應用程序對Wind內核的所有調用都被監控器攔截。首先通過查詢策略緩存判定該調用的合法性，如果合法則允許進行該調用；如果沒有找到相關策略則將該請求交由安全服務器進行判定，合法則允許進行該調用并將該策略寫入策略緩存以便下次調用時直接判定，非法則拒絕此次調用。每次調用及結果反饋給審計模塊以備查詢。監視器、安全服務器、審計模塊的配置工作由主機端配置工具進行。

    該安全核的強制訪問控制模塊主要由監控器、策略緩存和安全服務器三大組件組成。其中，監控器負責攔截主體對客體的所有訪問，將攔截到的訪問交由判定機構判定，并負責依據接收到的判定結果對訪問進行控制；策略緩存(Access Vector Cache，AVC)組件緩存安全服務器提供的訪問控制決策供監控器使用，以減少檢查對象訪問權限耗時，從而提高整體性能；安全服務器是內核的一個子系統，將安全策略與通用接口封裝在一起的一個組件，通用接口用于獲取安全策略決策。針對不同對象的管理器負責向安全服務器申請SID標簽以及向監控器提供服務。

    2．2 安全服務器

    安全服務器是本系統的核心組件，是訪問合法性的判定部分。其結構如圖2所示。

    安全上下文是表示安全屬性的變長字符串，是安全服務器私有的數據類型，由安全服務器依據一定的策略邏輯負責解釋。安全上下文不直接與主客體綁定，而是在運行時由安全服務器依據標簽規則進行其與安全標識符SID的映射。多策略驗證器是安全服務器的核心模塊，它包含系統設定的所有安全策略的判定邏輯。本安全核對多安全策略的支持由這一模塊實現。按照不同的策略，對訪問有不同的判定結果，安全服務器依據這些判定結果的交集做出最終的判定結論。

    策略數據庫是策略數據的存儲結構，通過主機端配置工具配置其中相關信息。

    本安全核的實現采用了一種結合類型實施(TE)、基于角色的訪問控制(RBAC)和多級安全(MLS)的多安全策略。安全服務器定義的安全性上下文由用戶身份、角色、類型及可選的安全級別和范圍組成，其中角色只與任務(task)相關。只有合法的用戶、角色、類別及安全級別或范圍的組合才會被安全服務器賦予SID。

    2．3 客體管理器及強制訪問控制

    客體管理器是負責安全策略實施的部分。Wind內核中任務、信號量、共享內存、消息隊列、管道、信號、文件等的管理系統是不同的對象管理器。本系統實行強制訪問控制，系統中每個任務、信號量、文件等都被賦予一定的安全屬性，這些屬性由客體管理器負責維護。

    強制訪問控制的具體過程為：監控器截獲訪問請求格式為主體SID、客體SID以及許可權限三元組，即<SID，SID，Perms>。監控器將三元組交與AVC進行匹配，如果有相應條目，則允許該訪問請求；如果沒有相應條目，則將該三元組交由安全服務器進行判定。安全服務器首先進行SID與安全上下文的映射，依據策略邏輯將映射后的該條訪問信息交與策略驗證器進行驗證。如果驗證通過則將該三元組寫入AVC，同時運行此次訪問，反之則不允許訪問。

3 系統實現及測試

    3．1 安全系統的實現方式

    在分析VxWorks系統內核Wind結構的基礎上，結合上述提出的安全核設計，本系統實現了安全標記和強制訪問控制，即實現了對Wind任務、信號量(二進制／互斥／計數信號量)、消息隊列、管道、事件等的安全標記和強制訪問控制。實現了監控器部分來支持對系統調用的控制；實現了策略服務器使之初步支持MLS、TE、RBAC策略判定；實現了策略緩存部分以提高系統性能。監控器的實現：監控器對系統調用實施攔截，實質上是作為一個轉向器將正常的系統調用轉入強制訪問控制階段。系統通過調用全局安全鉤子函數securi_hooks()調用各子系統安全鉤子函數，如sec_task_hooks()、see_semB_hooks()、sec_semM_hooks()等。在系統調用級，定義了需要進行安全判定的接口函數，如sec_taskSpawn()、sec_taskDelete()、sec_emBCreate()等。

    安全服務器的實現：本安全核的訪問控制粒度為系統對象級，因此在安全服務器中實現了對每一個系統對象(任務、信號量等)定義安全屬性，定義SID，以及將SID與安全屬性相映射關聯。安全策略的加載與驗證，以及依據監控器發來的判定請求進行訪問判定的功能也在安全服務器中進行了具體實現。驗證函數的三個參數分別為：主題SID、客體SID、訪問請求模式。只有在該請求同時滿足TE、MLS、RBAC的情況下，驗證函數才返回TRUE，同意訪問。

    策略緩存的實現：策略緩存實現中最重要的是緩存數據項。本系統中實現的緩存數據項結構為：

    3．2 系統功能及性能測試

    本文在對此安全內核測試時目標機采用Tornado系統自帶的VxSim目標模擬器。宿主機配置為AMD Ath-lon 64x2 Dual Core Processor 3600+2．00 GHz，512 MB，安裝Tornad02．2／VxWorks5．5。

    安全核功能測試的內容包括安全標記以及強制訪問控制。首先設計了測試用例，結果表明Wind安全內核目前可以標識Wind任務、信號量(二進制／互斥／計數信號量)、消息隊列、管道，安全標簽和對象一一對應且具有繼承性。其次設定了不同安全等級任務的系統調用來測定系統的強制訪問控制，測試表明監控器攔截了安全相關的所有系統調用，安全服務器依據配置好的安全策略給出了正確判定，沒有任務繞過強制訪問控制。

    在安全核性能的測試上使用VxWorks提供的一組系統調用——timex()和timexN()——來記錄使用安全核和未使用安全核時同一任務的執行時間，以及在使用安全核時使用策略緩存和未使用策略緩存時執行統一任務的時間。由于測試時使用的任務執行時間非常短，因此主要采用timexN()來記錄重復執行該任務的時間。測試結果表明，未使用安全核、使用帶緩存安全核、使用不帶緩存安全核執行同一任務時間依次增加。以taskSpawn()任務為例，未使用安全核時執行時間為50μs，使用帶緩存的安全核時執行時間為70 μs，使用不帶緩存時執行時間為80μs，誤差均小于10％。測試表明本文設計的安全內核會在一定程度上影響系統調用的時間，但是策略緩存可以有效地提高系統性能，整體上還是可以接受的。

    該安全核結構具有通用性，改造后可以用于其他嵌入式系統。