嵌入式代码系统安全研究.pdfVIP

嵌入式代码系统的安全研究 程元斌 (江汉大学数学与计算机科学学院，湖北武汉。430056) 摘要：代码安全，包括操作系统、各种对象与代码库，以及应用程序等的安全，在系统安全 中是最重要的，是整个信息系统安全的基础．在通用计算机系统中，人们采用防火墙、杀毒防 毒软件、安全网关等于代码安全，取得了较好的效果．但由于嵌入式系统的特殊性，这些手段 不适于一般的嵌入式设备．为了有效地保证嵌入式系统的代码安全，必须另辟蹊径．本文提出 程序特征码这一概念．使用程序特征码，可对代码的可侈|生、真实性等进行有效的判别，从而 保证得到执行的程序都是安全可信的．本文还给出了一种适合于嵌入式系统的程序特征码计算 算法． 关键词：系统安全；嵌入式系统安全：代码安全；程序特征码 1．问题定义 依据攻击的手段及危害，可以将信息系统安全问题分为系统安全问题与信息安全问题 两大类。代码系统指的是可被系统执行的各种程序代码的集合，包括操作系统、二进制目 标程序，以及各种可被解释执行或被虚拟机执行的伪代码或脚本代码。代码系统的安全指 各种程序代码在安装、存储、启动、运行等各个生存阶段的安全。在系统安全中，代码系 统的安全是最重要的，是整个信息系统安全的基础。在通用计算机系统中，人们采用防火 墙、杀毒防毒软件、安全网关等于代码安全，取得了较好的效果。但由于嵌入式系统的特 殊性，这些手段不适于一般的嵌入式设备。关于操作系统安全的研究与文献非常多，本文 不讨论操作系统安全的一般问题。本文重点讨论在一般嵌入式系统中，如何防范程序的非 法安装、更改，如何判断正常程序是否发生了非正常改变，确认程序在得到执行前各阶段 的真实性、完整性，其中包括操作系统内核的更新及可安装模块的安装与更新，从而避免 执行恶意代码。而由程序的自身缺陷所带来的安全问题，不是本文讨论的对象。 2．嵌入式系统安全问题及其特殊性 对于做成封闭系统的嵌入式系统，一般可以不考虑信息安全意义上的安全问题。比如， 目前正在使用的大多数的电器控制系统。然而，随着具有嵌入式操作系统的嵌入式系统的 发展，越来越多的嵌入式产品具备了可软件升级、可增值服务的特性，这些特性使得用户 只需花极少的钱，甚至不花钱就可以让产品更新换代，以满足新的需求。其中最典型的例 子莫过于电话产品。 凡事有利就有弊。软件可升级、可增值特性的引入，也同时破坏了系统的封闭性，给 联系作者I程元斌．E-mail：chybin@163．corn 370 第7部分 可信计算与嵌入式计算 嵌入式产品带来了普遍存在于通用计算机系统中的那些安全问题。 不过，嵌入式系统不同于通用计算机系统，它具有以下与安全相关的特殊性。 ·空间特殊性：由于体积及成本控制等原因，一般嵌入式设备的存储空间都不大。 ·时间特殊性：许多嵌入式应用具有较强的实时性要求，不希望甚至不允许过多的安 全处理开销。 由于上述特殊性，要求嵌入式系统的安全设施尽可能简单可靠。而成功应用于通用计 算机系统中的防火墙、杀毒防毒工具、安全网关，以及其他一些安全算法及设施，往往不 适用于嵌入式系统。 ·管理特殊性。 △ 单一用户。嵌入式设备绝大多数是单一用户的，基本上可以不考虑用户管理 问题。 △ 功能较单一，应用程序较少。例如，一部具有上网且可播放视频的手机，经过 精心设计，其程序数量也可控制在两位数以内。 上述管理上相对简单的特性又给设计出一套简单可靠的安全设施提供了可能性。况 且，根据实际需求，可以很容易的设定某个产品只能更新某几个程序，某个产品只能添加 某种服务，从而达到某种安全需求。本文主要讨论一般情况下，嵌入式系统中程序代码的 更新升级及可能受到攻击时的安全问题。 代码系统的安全对策 毫无疑问，操作系统安全是整个代码系统安全的根。操作系统首先要能够保证系统代 码自身与系统信息的安全，同时要绝对保证始终掌握对存储空间的控制权，确保应用程序 对存储空间的访问都必须是经操作系统授权的，而操作系统的每一次授权都是准确的。当 然，系统硬件设计上要确保系统是从运行操作系统引导代码开始的。关于这方面的文献很 多【1．2】，本文主要讨论包括操作系统本身在内的可安装模