嵌入式安全操作系统.docVIP

嵌入式操作系统安全性增强措施 ------王凯 为了增强嵌入式操作系统的安全性，本文提出信息保护、空间域保护和时间域保护增强操作系统安全性。 1 信息保护机制 大多数RTOS 使用消息队列完成进程之间的通信。发送进程对RTOS 进行一个系统调用以传送消息，如图1 所示。系统调用给RTOS 提供一个指向消息所在的存储单元的指针， 还有一个句柄（handle）或是标示接收消息的进程的数字（进程号），然后操作系统通知接收进程有一个消息要接收。 常规进程间通信存在的易受攻击的弱点是RTOS和接收进程无法判断消息的合法性。大多数RTOS 无法判断进入的消息是否合法，仅能根据消息指定的句柄判断接收进程是否存在。接收进程也无法判断接收的消息是否来源于它所认为的发送者，甚至不能判断出消息来源于哪一个进程。这种无法判断使RTOS 允许任何进程发送任何消息给任何进程，只要发送进程使用了合法的目标句柄。接收进程可以通过检查接收的数据的合法性来对自身起到在某种程度上的保护，例如检查校验或者判断数据是否在有效值的范围内。可是，RTOS的操作系统内部通信和操作系统与应用程序间通信一般使用相同的进程间通信制，而且RTOS 隐藏来自应用程序的句柄，以便应用程序不能无意中干扰系统操作，因此RTOS 不能检查消息的合法性。因此，一个对所有可能目标句柄发送随机消息的简单程序就能扰乱系统的进程间通信，使RTOS