嵌入式系统安全性(中)对攻击状况和防卫策略概述和分析.docVIP

嵌入式系统安全性(中)对攻击状况和防卫策略概述和分析 　　借助虚拟化实现安全性 　　 　　虚拟技术已从企业计算空间转向嵌入式世界。虚拟技术包括在虚拟计算机监控器的控制下提取系统资源，有时称为系统管理程序。系统管理程序使运行同时执行环境具有可能性，每个环境孤立存在，分别运行在基础硬件平台的一个虚拟代表上。 　　从器件整合和资源最优化的角度来说，虚拟计算机有很多优点。它们可以采用不同设计方法，从“纯粹”的或“完全”的虚拟到“部分虚拟(Paravirtualization)”，部分虚拟是嵌入式应用中最常用的方法。在部分虚拟中，进行进一步的细分，包括微内核、微调度程序和轻薄的产品，这种轻薄产品实际上扩大了硬件抽象层，使之包括了虚拟特性。 　　从安全的角度来看，虚拟技术的使用，允许设计者通过执行特权分离和最小权限原则，来减轻计算机安全攻击的潜在危害。 　　特权分离要求应用程序被分为有特权部分和无特权部分，有特权的部分应保存得越小越好，来减小攻击的表面。因此，一个成功的、针对对更大的、不安全的组件的攻击，只会获得对敏感数据的极低的访问能力。 　　最小权限要求，每个软件模块仅能获得合理用途所需的信息和资源。 　　各种各样不同的虚拟技术的一个共同点就是整齐。对于纯粹虚拟和完全虚拟，VMM负责捕捉和处理所有由客户操作系统执行的指令。这种方法的好处是客户操作系统可以不更改地运行。另外，由于操作系统是与硬件完全脱钩的，才有可能创造更高的便携式应用，其应用平台多样化且在应用程序中。这种方法的缺点是在系统功耗方面是一个重大的支出，特别是当硬件平台没有配置软件虚拟支持的情况下。 　　纯粹虚拟技术依靠具有重要硬件支持的底层硬件平台来实现，如Intel公司的VT体系机构和AMD的Pacifica。在这些系统中，虚拟计算机资源的状态在硬件中维持，而且VMM的性能消耗大幅度减小。这种技术的优点是它类似于全虚拟，表现在客户操作系统可以无修改地运行。缺点是那些运用这一技术的产品占用的裸片面积稍大一些，而且现有可用的嵌入式装置中纳入这种水平的支持能力者并不多。 　　部分虚拟技术(Paravirtualization)是这样一种技术，其特定操作系统的指示，一般具有“特权”和内核模式指示，被“hypercalls”或API对管理程序的调用所代替。这减轻了处理所有客户指示的负担，降低了系统的开销，明显地提高了执行绩效。缺点是客户操作系统必须被“触及”，但是，实际上这种影响是很小的。 　　例如，分析Linux时，发现/dev/arch中具有优先权的指令仅存在15个文件中。 　　在普通的部分虚拟技术种类中，存在一些系统管理程序的子程序。 　　微调度器(如图2)，正如其名称所暗示的那样，是按照一个固定的进度表来分配系统资源的程序。商业上典型的具体实施方法是在内核模式下运行微调度程序，并且作为主控来控制一个客户操作系统，该OS也在类似的内核模式下进行操作。从安全的角度来说，这意味着客户操作系统一定得是一个“良好的市民”，因为客户完全可能绕过微调度程序。这使得整个空闲的存储器易受攻击。为了消除这个弱点，微调度程序的开发者增加了一个可供选择的安全引擎，以监测和控制硬件的访问。 　　 　　微内核(图3)本质上是一个操作系统，这个系统移去了大量的典型操作系统服务，并代之以可以在用户级别执行服务的机制。从安全的角度来看，它的优点是，用户模式实体访问底层硬件时不具有危险性，因为内核模式指令调用已被移去。其缺点主要是多重处理域的维护，当执行从微核的本地处理区运行到客户操作系统及其应用程序处理区时，这些处理域需要具体实现复杂的进程间通信(IpS)机制和额外的环境转换。 　　虚拟的另一个途径是产生一个硬件抽象层(HAL)，并增加额外的服务，以照顾多重执行环境(图4)的需求。HAL是一个硬件微薄转换层，它可以使得软件具有更好的可移植性。为增加对多重执行环境的支持，开发者创造了超微内核，尽管这种表述不是很准确。在实践中，这种途径和微核型解决方案的不同之处是，虽然微核在设计时已经考虑到要运行某种客户操作系统，而HAL更趋向于以硬件为中心，而且并不了解操作系统的具体情况。 　　 　　从安全的角度来说，最关键的因素是所有商业管理程序控制对硬件资源(如MMU系统)访问的能力。例如，如果一个客户端应用程序(比如web浏览器)被一个流氓HTML站点所破坏，并试图侵入存储器禁区，那么系统管理程序就会向存储器强加边界，并适当地保护敏感数据。通过使用安全的系统管理员，根据驻留在特定的执行环境中的应用程序的已知边界检查可疑的重填数据，就可以实现由软件填充的TBL不受侵扰，由此保证程序的执行处于“界限内”。在路由器或其他客户端装置中，系统管理程序可以用来提供一定程度的DoS保护，这可以通