可信嵌入式平台操作系统安全增强研究与实现.pdfVIP

第十八届全国信息保密学术会议(IS2008)论文集 可信嵌入式平台操作系统安全增强研究与实现 赵波1’2俞婷1张焕国1，2 武汉大学计算机学院1 武汉大学软件工程国家重点实验室2 摘要：本文在研究通用安全操作系统的理论与技术的基础上，针对嵌入式 系统的特点和安全需求，在存储隔离、数据机密性和访问控制三个方面对ARM· LINUX-2．4．18嵌入式操作系统进行了安全增强，并利用可信计算技术保证了安全 模块的安全操作功能。 关键词：安全增强嵌入式操作系统可信计算加密文件系统强制访问 控制 嵌入式系统的处理能力和存储能力日益增强，无线网络技术也逐渐普及，很 多新的应用功能被加载在嵌入式设备上，嵌入式设备的移动存储和网络化使嵌入 式系统的安全性问题日益重要。而操作系统是应用软件同系统硬件的接口，通过 其来高效、最大限度、合理的使用计算机资源，则嵌入式操作系统的安全性尤为 突出。要解决嵌入式系统安全问题就应该从根本人手，因此如何保证操作系统的 安全性和可信性是一个亟需解决的问题。 ’ 当前嵌入式操作系统的安全性有了一定的增强，但仍有很多不足之处：身份 验证容易被破解，采用的自主访问控制机制使资源的安全性完全依赖于资源的所 有者，加密存储保护也存在着密钥存储或者加密操作环境不安全等问题。对于计 算机系统所面临的信任危机和安全脆弱性等威胁，可信计算技术是解决其问题一 项关键技术。本文针对以上问题，研究了安全操作系统的原理技术，设计并实现 了通过可信计算技术对嵌入式操作系统的安全增强。 ·104· 可信嵌入式平台操作系统安全增强研究与实现 1 操作系统安全增强原理方法 1．1 安全增强操作系统构建方法 在现有非安全嵌入式操作系统上进行面向安全策略的分析，针对其弱点改进 Platform 来增强其安全性，并利用可信平台模块(TPM，TrustedModule)…和TCG Software 软件协议栈(TSS，TCGStack)[23来保证其可信可靠性。从而不破坏原系 统的体系结构，开发代价小，且能很好地保持原操作系统的用户接口界面和系统 效率。 一般安全保护策略包括身份验证、数据机密性保护、访问控制、安全审计等 几个方面。本系统中身份验证机制是通过TPM的外设指纹识别模块实现的，而非 操作系统的外部设备，本文就不予讨论。安全审计是移植日志记录器Sysklogd来 截获并且记录LINUX内核日志信息。 由于嵌入式系统资源有限，数据机密性保护是通过在内核级别开发加密文件 系统口3来实现，充分利用缓冲机制保证了系统的高效简洁性。为了有利于实现统 一的全局访问控制，在自主访问控制的基础上实施了强制访问控制机制，平均利 用了可信计算组件分别来保证密钥的安全管理和策略逻辑的完整性校验，并且针 对可信启动流程的具体需求实现了存储隔离保护机制。 2面向可信平台安全增强操作系统的体系结构 嵌入式操作系统的安全增强体系由存储隔离保护机制、移动设备安全存储模 块、访问控制机制构成。 2．1 存储隔离保护机制原理 存储隔离保护机制目的是为了提供开机启动完整性校验的环境。可信平台的 序，如果通过完整性验证，则会继续检测操作系统内核部分，也通过后才能把控 制权移交给CPU启动os，从而保证了操作系统的完整性。为了支持启动完整性校 验，要实现可信PDA存储介质NandFlash上重要数据区域的写操作保护，使其上 存储引导代码BootLoader和操作系统内核映像的区域不可写，而实时修改的13志 ·105· 第十八届全国信息保密学术会议(xs2008)论文集 记录文件存储于可写区域。 存储技术设备(MTD，MemoryTechnologyDevice)是用于访问存储设备的 此它在硬件和上层之间提供了一个抽象的接口。系统通过修改MTD设备层来提供 完整性保护，原理如图l。 NandFl