基于TrustZone技术和μCLinux安全嵌入式系统设计与实现.docVIP

基于TrustZone技术和μCLinux安全嵌入式系统设计与实现 　　摘要：深入分析了TrustZone技术和μCLinux操作系统在构建嵌入系统时存在的不足，并针对其安全缺陷，利用LSM框架，采用DTE模型和BLP模型实现了μCLinux操作系统的安全增强，从而在操作系统层解决了TrustZone技术存在的安全问题，在此基础上，提出了基于TrustZone 技术和安全增强的μCLinux操作系统的安全嵌入式系统框架，并对其具体实现进行了简要介绍。 　　关键词：安全嵌入式系统； 安全操作系统； 可信计算；强制访问控制 　　中图分类号：TP316 　　文献标志码：A 　　文章编号：1001－3695(2008)06－1793－03 　　 　　嵌入式系统是指以应用为中心，以计算机技术为基础，软/硬件可裁减，适应用于系统对功能、可靠性、成本、体积、功耗等严格要求的专用计算机系统。一个典型的嵌入式系统通常包含一个嵌入式硬件模块和运行于其上的嵌入式操作系统。 　　?デ度胧较低惩ǔ２捎梅獗掌教?或开放性平台进行开发，对于一些安全需求较高的嵌入式应用，通常采用封闭平台、功能固定的专用嵌入式硬件设备以保证其安全性，但这类系统功能单一，难以满足网络环境下多样化、个性化的需求；开放式平台可以提供通用的平台环境，支持TCP/IP协议和多种网络服务，方便地部署各种应用，满足了用户多样化的需求。因此，开放式平台逐渐成为嵌入式应用系统的首选，但随着网络攻击的不断增加，系统的安全问题也日渐突出。当前存在的安全解决方案主要是依靠软件来构筑系统的安全体系，仅靠软件体系很难保证系统的安全性，这一点早已被信息安全界所认知。可信计算的兴起为信息安全问题的解决提供了新的思路，采用可信计算技术，研究基于可信硬件和安全操作系统的嵌入式系统安全体系，为各种应用提供一个可信、安全的运行环境，是解决嵌入式系统安全问题的可行方案。 　　 　　??1相关技术分析 　　 　　1．1TrustZone技术分析 　　?セ?于可信硬件的嵌入式系统安全解决方案主要有ARM公司的TrustZone技术、MIT提出的AEGIS安全处理器技术和Stanford的XOM（execute only memory）技术[1]。TrustZone技术通过将安全功能内置入处理器本身，以硬件保护的方式实现了高安全性软件架构，为运行在Palm OS、嵌入式Linux、Symbian OS和Windows CE等操作系统上的嵌入式系统提供了一个安全的硬件基础，是一个在业界得到广泛认可的开放式安全框架和可信硬件平台。 　　??TrustZone技术的核心是通过硬件结构来实现安全机制，它提供了一个特殊安全等级――信任区，信任区是核心态与用户态的一个补充，它的权限高于核心态权限。信任区不是专有区域，核心态和用户态均可以在信任区运行，程序在信任区和非信任区之间的切换由一个完全独立于操作系统的监控模块来负责。监控模块是一个小的、不可重复进入的程序，它保护切换时的上下文内容，实时监控处理器的所有操作，系统只能通过有限命令对监控模块进行操作。 　　?ト绻?核心态程序要进入到信任区运行，操作系统必须调用安全监控中断(secure monitor interrupt,SMI)指令，应用程序需要调用API函数来调用SMI指令，操作系统负责检查应用程序是否安全，若通过检查则调用SMI指令进入到信任区运行，此时信任区安全特性取决于操作系统内核。当执行SMI指令时，系统切换到信任区域，SMI在专用寄存器中设置新的安全位，表明该程序是安全的，可以进入信任区运行，在信任区中，信任区核心程序负责审查程序是否合法。只要信任区的安全位保持设置，监控程序将监视处理器的所有操作，负责非信任区和信任区的上下文切换，而操作系统处理非信任区的内容。 　　?ビ梢陨戏治隹芍?，TrustZone技术中普通区和信任区的安全切换取决于操作系统的安全性，因此操作系统的安全性是保证TrustZone技术安全实施的软件根基。 　　??1．2μCLinux操作系统分析 　　?ウ?CLinux是一个源代码开放，符合GNU/GPL公约的免费操作系统。其内核结构与Linux基本相同，不同的只是对内存管理和进程管理进行改写，以满足无MMU处理器的要求。μCLinux的内核保持了Linux操作系统的主要优点，对一些复杂的应用，μCLinux具有极大的优势。目前，μCLinux已经成功应用于路由器、机顶盒、PDA等很多领域。 　　?ゲ僮飨低呈强?放式平台中惟一紧靠硬件的系统软件，其安全性是应用软件及嵌入式系统的安全基石。μCLinux采取的自主访问控制是比较简单的访问控制机制。客体的安全属性和访问控制信息由它所属的进程来指派，其访问控制方式可表