基于ＴｒｕｓｔＺｏｎｅ技術(shù)和μＣＬｉｎｕｘ的安全嵌入式系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

摘要：深入分析了TrustZone技術(shù)和μCLinux操作系統(tǒng)在構(gòu)建嵌入系統(tǒng)時(shí)存在的不足，并針對(duì)其安全缺陷，利用LSM框架，采用DTE模型和BLP模型實(shí)現(xiàn)了μCLinux操作系統(tǒng)的安全增強(qiáng)，從而在操作系統(tǒng)層解決了TrustZone技術(shù)存在的安全問(wèn)題，在此基礎(chǔ)上，提出了基于TrustZone 技術(shù)和安全增強(qiáng)的μCLinux操作系統(tǒng)的安全嵌入式系統(tǒng)框架，并對(duì)其具體實(shí)現(xiàn)進(jìn)行了簡(jiǎn)要介紹。

關(guān)鍵詞：安全嵌入式系統(tǒng)； 安全操作系統(tǒng)； 可信計(jì)算；強(qiáng)制訪問(wèn)控制

中圖分類號(hào)：TP316

文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001－3695(2008)06－1793－03

嵌入式系統(tǒng)是指以應(yīng)用為中心，以計(jì)算機(jī)技術(shù)為基礎(chǔ)，軟/硬件可裁減，適應(yīng)用于系統(tǒng)對(duì)功能、可靠性、成本、體積、功耗等嚴(yán)格要求的專用計(jì)算機(jī)系統(tǒng)。一個(gè)典型的嵌入式系統(tǒng)通常包含一個(gè)嵌入式硬件模塊和運(yùn)行于其上的嵌入式操作系統(tǒng)。

嵌入式系統(tǒng)通常采用封閉平臺(tái)或開(kāi)放性平臺(tái)進(jìn)行開(kāi)發(fā)，對(duì)于一些安全需求較高的嵌入式應(yīng)用，通常采用封閉平臺(tái)、功能固定的專用嵌入式硬件設(shè)備以保證其安全性，但這類系統(tǒng)功能單一，難以滿足網(wǎng)絡(luò)環(huán)境下多樣化、個(gè)性化的需求；開(kāi)放式平臺(tái)可以提供通用的平臺(tái)環(huán)境，支持TCP/IP協(xié)議和多種網(wǎng)絡(luò)服務(wù)，方便地部署各種應(yīng)用，滿足了用戶多樣化的需求。因此，開(kāi)放式平臺(tái)逐漸成為嵌入式應(yīng)用系統(tǒng)的首選，但隨著網(wǎng)絡(luò)攻擊的不斷增加，系統(tǒng)的安全問(wèn)題也日漸突出。當(dāng)前存在的安全解決方案主要是依靠軟件來(lái)構(gòu)筑系統(tǒng)的安全體系，僅靠軟件體系很難保證系統(tǒng)的安全性，這一點(diǎn)早已被信息安全界所認(rèn)知?？尚庞?jì)算的興起為信息安全問(wèn)題的解決提供了新的思路，采用可信計(jì)算技術(shù)，研究基于可信硬件和安全操作系統(tǒng)的嵌入式系統(tǒng)安全體系，為各種應(yīng)用提供一個(gè)可信、安全的運(yùn)行環(huán)境，是解決嵌入式系統(tǒng)安全問(wèn)題的可行方案。

1相關(guān)技術(shù)分析

1．1TrustZone技術(shù)分析

基于可信硬件的嵌入式系統(tǒng)安全解決方案主要有ARM公司的TrustZone技術(shù)、MIT提出的AEGIS安全處理器技術(shù)和Stanford的XOM（execute only memory）技術(shù)[1]。TrustZone技術(shù)通過(guò)將安全功能內(nèi)置入處理器本身，以硬件保護(hù)的方式實(shí)現(xiàn)了高安全性軟件架構(gòu)，為運(yùn)行在Palm OS、嵌入式Linux、Symbian OS和Windows CE等操作系統(tǒng)上的嵌入式系統(tǒng)提供了一個(gè)安全的硬件基礎(chǔ)，是一個(gè)在業(yè)界得到廣泛認(rèn)可的開(kāi)放式安全框架和可信硬件平臺(tái)。

TrustZone技術(shù)的核心是通過(guò)硬件結(jié)構(gòu)來(lái)實(shí)現(xiàn)安全機(jī)制，它提供了一個(gè)特殊安全等級(jí)——信任區(qū)，信任區(qū)是核心態(tài)與用戶態(tài)的一個(gè)補(bǔ)充，它的權(quán)限高于核心態(tài)權(quán)限。信任區(qū)不是專有區(qū)域，核心態(tài)和用戶態(tài)均可以在信任區(qū)運(yùn)行，程序在信任區(qū)和非信任區(qū)之間的切換由一個(gè)完全獨(dú)立于操作系統(tǒng)的監(jiān)控模塊來(lái)負(fù)責(zé)。監(jiān)控模塊是一個(gè)小的、不可重復(fù)進(jìn)入的程序，它保護(hù)切換時(shí)的上下文內(nèi)容，實(shí)時(shí)監(jiān)控處理器的所有操作，系統(tǒng)只能通過(guò)有限命令對(duì)監(jiān)控模塊進(jìn)行操作。

如果核心態(tài)程序要進(jìn)入到信任區(qū)運(yùn)行，操作系統(tǒng)必須調(diào)用安全監(jiān)控中斷(secure monitor interrupt，SMI)指令，應(yīng)用程序需要調(diào)用API函數(shù)來(lái)調(diào)用SMI指令，操作系統(tǒng)負(fù)責(zé)檢查應(yīng)用程序是否安全，若通過(guò)檢查則調(diào)用SMI指令進(jìn)入到信任區(qū)運(yùn)行，此時(shí)信任區(qū)安全特性取決于操作系統(tǒng)內(nèi)核。當(dāng)執(zhí)行SMI指令時(shí)，系統(tǒng)切換到信任區(qū)域，SMI在專用寄存器中設(shè)置新的安全位，表明該程序是安全的，可以進(jìn)入信任區(qū)運(yùn)行，在信任區(qū)中，信任區(qū)核心程序負(fù)責(zé)審查程序是否合法。只要信任區(qū)的安全位保持設(shè)置，監(jiān)控程序?qū)⒈O(jiān)視處理器的所有操作，負(fù)責(zé)非信任區(qū)和信任區(qū)的上下文切換，而操作系統(tǒng)處理非信任區(qū)的內(nèi)容。

由以上分析可知，TrustZone技術(shù)中普通區(qū)和信任區(qū)的安全切換取決于操作系統(tǒng)的安全性，因此操作系統(tǒng)的安全性是保證TrustZone技術(shù)安全實(shí)施的軟件根基。

1．2μCLinux操作系統(tǒng)分析

μCLinux是一個(gè)源代碼開(kāi)放，符合GNU/GPL公約的免費(fèi)操作系統(tǒng)。其內(nèi)核結(jié)構(gòu)與Linux基本相同，不同的只是對(duì)內(nèi)存管理和進(jìn)程管理進(jìn)行改寫(xiě)，以滿足無(wú)MMU處理器的要求。μCLinux的內(nèi)核保持了Linux操作系統(tǒng)的主要優(yōu)點(diǎn)，對(duì)一些復(fù)雜的應(yīng)用，μCLinux具有極大的優(yōu)勢(shì)。目前，μCLinux已經(jīng)成功應(yīng)用于路由器、機(jī)頂盒、PDA等很多領(lǐng)域。

操作系統(tǒng)是開(kāi)放式平臺(tái)中惟一緊靠硬件的系統(tǒng)軟件，其安全性是應(yīng)用軟件及嵌入式系統(tǒng)的安全基石。μCLinux采取的自主訪問(wèn)控制是比較簡(jiǎn)單的訪問(wèn)控制機(jī)制。客體的安全屬性和訪問(wèn)控制信息由它所屬的進(jìn)程來(lái)指派，其訪問(wèn)控制方式可表示為b=(S×O×A)。b=(S×O×A)表示在某個(gè)狀態(tài)下，哪些主體以何種訪問(wèn)屬性訪問(wèn)哪些客體。其中：S是主體集（即進(jìn)程集）；O為客體集；A={r，w，x}是訪問(wèn)屬性集。該方式的優(yōu)點(diǎn)是靈活的訪問(wèn)控制方式，缺點(diǎn)是容易造成訪問(wèn)控制權(quán)的非法傳遞，不能防止特洛伊木馬等惡意程序的攻擊。由上可知，在基于μCLinux操作系統(tǒng)和TrustZone技術(shù)的嵌入式系統(tǒng)中，μCLinux很難保證應(yīng)用程序在普通區(qū)和信任區(qū)的安全切換。因此，若不對(duì)μCLinux進(jìn)行安全增強(qiáng)，將難以充分發(fā)揮TrustZone技術(shù)的安全特性。

2μCLinux的安全增強(qiáng)實(shí)現(xiàn)

2．1安全增強(qiáng)框架描述

在一般應(yīng)用中，嵌入式操作系的安全性主要考慮對(duì)操作系統(tǒng)最基本的安全需求——信息的機(jī)密性和完整性，其次才考慮信息的可用性和可記賬性[2]。操作系統(tǒng)的安全增強(qiáng)技術(shù)主要有強(qiáng)制訪問(wèn)控制技術(shù)和審計(jì)技術(shù)，強(qiáng)制訪問(wèn)控制技術(shù)可以實(shí)現(xiàn)對(duì)系統(tǒng)機(jī)密性和完整性的有效保護(hù)，是面向?qū)嶋H應(yīng)用的安全操作系統(tǒng)采用的主要安全增強(qiáng)方法，如RSBAC、SELinux等安全操作系統(tǒng)項(xiàng)目，所以采用強(qiáng)制訪問(wèn)控制技術(shù)是增強(qiáng)嵌入式操作系統(tǒng)安全的主要方法。在Linux領(lǐng)域，隨著LSM（Linux security module）框架被納入到Linux的內(nèi)核結(jié)構(gòu)之中，強(qiáng)制訪問(wèn)機(jī)制的實(shí)現(xiàn)有了一個(gè)統(tǒng)一的方法[3]。

LSM采用通過(guò)在內(nèi)核源代碼中放置鉤子（hook）的方法，來(lái)仲裁對(duì)內(nèi)核內(nèi)部對(duì)象進(jìn)行的訪問(wèn)，這些對(duì)象有任務(wù)、inode節(jié)點(diǎn)、打開(kāi)的文件等。用戶進(jìn)程執(zhí)行系統(tǒng)調(diào)用，首先遍歷Linux內(nèi)核原有的邏輯找到并分配資源，進(jìn)行錯(cuò)誤檢查，并經(jīng)過(guò)傳統(tǒng)的自主訪問(wèn)控制，恰好就在Linux內(nèi)核試圖對(duì)內(nèi)部對(duì)象進(jìn)行訪問(wèn)之前，一個(gè)LSM的鉤子對(duì)安全模塊所必須提供的函數(shù)進(jìn)行一個(gè)調(diào)用，從而對(duì)安全模塊提出這樣的問(wèn)題“是否允許訪問(wèn)執(zhí)行?”，安全模塊根據(jù)其安全策略進(jìn)行決策，作出回答允許訪問(wèn)或者拒絕訪問(wèn)如果拒絕則返回一個(gè)錯(cuò)誤。筆者在LSM框架下，運(yùn)用LSM提供的安全模塊堆疊技術(shù)，通過(guò)BLP安全模塊和DTE安全模塊的堆疊實(shí)現(xiàn)了對(duì)μCLinux嵌入式操作系統(tǒng)的安全增強(qiáng)。

2．2DTE模型和BLP模型

DTE本質(zhì)上是基于表的訪問(wèn)控制模型，是一種不依賴可信任用戶就可以實(shí)現(xiàn)系統(tǒng)地完整性的訪問(wèn)控制技術(shù)，DTE模型可以提供和BLP模型相同安全等級(jí)的強(qiáng)制訪問(wèn)控制。該模型中，給系統(tǒng)中所有的主體（進(jìn)程）指定了一個(gè)域（domain），客體（即資源）指定了一個(gè)類型（type）。DTE先建立一個(gè)表域定義表，描述各個(gè)域?qū)Σ煌愋涂腕w的操作權(quán)限；同時(shí)建立另一張域交互表，描述各個(gè)域之間的許可訪問(wèn)模式（如創(chuàng)建、發(fā)信號(hào)、切換等）。系統(tǒng)運(yùn)行時(shí)，依據(jù)訪問(wèn)的主體域和客體類型，查找域定義表，決定是否允許訪問(wèn)。如果本次訪問(wèn)在訪問(wèn)權(quán)限范圍內(nèi)則主體可以訪問(wèn)客體，否則訪問(wèn)被拒絕。DTE模型訪問(wèn)控制配置靈活、可以對(duì)進(jìn)程的訪問(wèn)權(quán)限進(jìn)行細(xì)粒度的控制，使進(jìn)程的對(duì)系統(tǒng)的影響降到最小，將惡意攻擊對(duì)系統(tǒng)的影響控制在最小范圍內(nèi)，保護(hù)系統(tǒng)重要資源的完整性。

BLP是一個(gè)狀態(tài)機(jī)模型，是模擬符合軍事安全策略的計(jì)算機(jī)操作的模型，它形式化地定義了系統(tǒng)狀態(tài)及狀態(tài)間的轉(zhuǎn)換規(guī)則，并制定了一組約束系統(tǒng)狀態(tài)間轉(zhuǎn)換規(guī)則的安全公理。BLP模型通過(guò)對(duì)系統(tǒng)主客體的等級(jí)及范疇的分類，劃定了系統(tǒng)內(nèi)實(shí)體的不同訪問(wèn)級(jí)別，實(shí)現(xiàn)了對(duì)系統(tǒng)的機(jī)密性保護(hù)。BLP模型有以下兩條基本的規(guī)則：

a）簡(jiǎn)單安全特性規(guī)則。一個(gè)主體對(duì)客體進(jìn)行讀訪問(wèn)的必要條件是主體的安全級(jí)支配客體的的安全級(jí)，即主體的保密性級(jí)別不小于客體的保密性級(jí)別，主體的范疇集合包含客體的全部范疇，即主體只能向下讀，不能向上讀。

b）特性規(guī)則。一個(gè)主體對(duì)客體進(jìn)行寫(xiě)訪問(wèn)的必要條件客體的安全級(jí)支配主體的安全級(jí)，即客體的保密性級(jí)別不小于主體的保密性級(jí)別，客體的范疇集合包含主體的全部范疇，即主體只能向上寫(xiě)，不能向下寫(xiě)。

BLP策略可以有效防止特洛伊木馬的入侵，避免特洛伊木馬等惡意程序?qū)ο到y(tǒng)造成的破壞。

2．3利用LSM實(shí)現(xiàn)的強(qiáng)制訪問(wèn)控制內(nèi)核邏輯

在嵌入式系統(tǒng)中，μCLinux操作系統(tǒng)多以單用戶方式運(yùn)行，用戶的操作通過(guò)進(jìn)程來(lái)完成，進(jìn)程是惟一的安全主體，資源（客體）包括所有的操作系統(tǒng)對(duì)象。安全增強(qiáng)的μCLinux操作系統(tǒng)利用LSM框架，采用BLP與DTE模型作為系統(tǒng)的安全策略，通過(guò)對(duì)系統(tǒng)中的進(jìn)程和資源打上安全標(biāo)簽以實(shí)現(xiàn)強(qiáng)制訪問(wèn)控制。安全標(biāo)簽由兩部分構(gòu)成，即域/類型和安全級(jí)別。其中，域是用戶進(jìn)程操作權(quán)限的標(biāo)志；類型是資源的分類標(biāo)志；安全級(jí)別分別指定了用戶進(jìn)程以及資源的安全級(jí)別。域/類型實(shí)現(xiàn)了DTE安全策略，系統(tǒng)按域和類型對(duì)進(jìn)程訪問(wèn)資源進(jìn)行控制，保證了系統(tǒng)的完整性；安全級(jí)別實(shí)現(xiàn)了BLP安全策略，按安全級(jí)別對(duì)進(jìn)程對(duì)資源的訪問(wèn)進(jìn)行控制，增強(qiáng)了系統(tǒng)的機(jī)密性保護(hù)，增強(qiáng)后的操作系統(tǒng)具有B1級(jí)安全特性。利用LSM實(shí)現(xiàn)的強(qiáng)制訪問(wèn)控制內(nèi)核邏輯模型如圖1所示。

2．4域和型的劃分及安全級(jí)別的劃分

域和型的劃分實(shí)質(zhì)是用戶根據(jù)需求進(jìn)行域定義、類型的定義、域轉(zhuǎn)換規(guī)則定義和缺省域定義，是編制DTE策略全局配置文件，正確進(jìn)行DTE訪問(wèn)控制的基礎(chǔ)；安全級(jí)別是BLP策略實(shí)施的依據(jù)，域和型的劃分及安全級(jí)別的劃分描述如下：

a）域的劃分。根據(jù)安全需求和嵌入式系統(tǒng)運(yùn)行實(shí)際，DTE策略將進(jìn)程被分為六種域類型，分別為守護(hù)進(jìn)程域daemon_d（與系統(tǒng)守護(hù)進(jìn)程相關(guān)的域）、注冊(cè)域login_d（與LSM_dte login相關(guān)的域）、用戶域user_d（與普通應(yīng)用進(jìn)程相關(guān)的域）、系統(tǒng)操作用戶域system_d（與系統(tǒng)操作用戶的會(huì)話相關(guān)的域）、可信域trusted_d（與普通區(qū)安全應(yīng)用進(jìn)程和可信進(jìn)程相關(guān)的域）、網(wǎng)絡(luò)應(yīng)用域network_app_d（與網(wǎng)絡(luò)應(yīng)用進(jìn)程相關(guān)的域）。

b）型的劃分。DTE策略將所有客體被分為六種類型。分別是基型base_t、系統(tǒng)二進(jìn)制文件型bin_t、系統(tǒng)配置文件型conf_t、用戶文件型usr_t、可信進(jìn)程和安全應(yīng)用進(jìn)程文件型trust_t、安全策略文件型secpolicy_t、系統(tǒng)日志文件型Syslog_t、安全策略日志文件型secpolicy_log_t、網(wǎng)絡(luò)應(yīng)用文件型network_t。

c）安全級(jí)別的劃分。主體的安全級(jí)別劃分為絕密、機(jī)密、秘密、保密、不保密、匿名，匿名級(jí)用于域中共享客體的訪問(wèn)；客體的安全級(jí)被劃分為：絕密、機(jī)密、秘密、保密、不保密、共享，共享級(jí)用于域中給匿名進(jìn)程訪問(wèn)的客體。

2．5主要的數(shù)據(jù)結(jié)構(gòu)

標(biāo)志和鑒別是安全操作系統(tǒng)實(shí)現(xiàn)強(qiáng)制訪問(wèn)控制的關(guān)鍵，安全增強(qiáng)的μCLinux保留了系統(tǒng)中原有的標(biāo)志和鑒別機(jī)制，同時(shí)新增加了安全標(biāo)簽，以實(shí)現(xiàn)基于BLP策略和DTE策略的聯(lián)合強(qiáng)制訪問(wèn)控制，保證只有合法進(jìn)程可以存取系統(tǒng)資源。進(jìn)程和inode的安全標(biāo)簽描述如下：

a）進(jìn)程的安全標(biāo)簽。在LSM的任務(wù)鉤子中，通過(guò)task security_struct來(lái)存放進(jìn)程的安全標(biāo)簽，task_security_struct包含了任務(wù)的安全信息，每個(gè)進(jìn)程關(guān)聯(lián)一個(gè)域標(biāo)記和安全級(jí)別，即安全標(biāo)簽，結(jié)構(gòu)定義如下：

struct task_security_struct {

struct task_struct *task;

/*指向相關(guān)的task_struct結(jié)構(gòu)的指針*/

…

char *t_domain/* 進(jìn)程的域標(biāo)記*/

u16 sclass;/* 進(jìn)程的安全級(jí) */

…

};

b）inode的安全標(biāo)簽。在inode_security_struct 增加了inode的安全標(biāo)簽，每個(gè)inode結(jié)構(gòu)關(guān)聯(lián)一個(gè)類型和安全級(jí)別。結(jié)構(gòu)定義如下：

struct inode_security_struct {

struct inode *inode;

/*指向相關(guān)inode的指針*/

…

char *i_type/* inode節(jié)點(diǎn)的類型的標(biāo)記*/

u16 sclass;/* inode的安全級(jí) */

…

};

3總體系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

3．1安全嵌入式系統(tǒng)框架

基于TrustZone技術(shù)和安全增強(qiáng)的μCLinux操作系統(tǒng)的安全嵌入式系統(tǒng)框架如圖2所示。普通應(yīng)用運(yùn)行在安全μCLinux之上。在普通區(qū)運(yùn)行，通過(guò)BLP策略和DTE策略，有效防止惡意軟件入侵，保證了系統(tǒng)的保密性和完整性。普通區(qū)的安全應(yīng)用通過(guò)μCLinux可信進(jìn)程調(diào)用TrustZone訪問(wèn)控制驅(qū)動(dòng)和SMI，由監(jiān)控模塊進(jìn)入信任區(qū)運(yùn)行，保證了普通區(qū)和信任區(qū)的安全切換。對(duì)信任區(qū)的應(yīng)用程序，直接運(yùn)行在安全核心上，由TrustZone機(jī)制的安全內(nèi)核直接保證其安全和訪問(wèn)控制。綜上，該框架可以為不同應(yīng)用提供安全的運(yùn)行環(huán)境，保證了開(kāi)放式嵌入式系統(tǒng)的安全。

3．2安全框架下的主客體訪問(wèn)控制策略

增強(qiáng)的安全架構(gòu)下主體訪問(wèn)客體的步驟如下：

a）主體(如進(jìn)程)通過(guò)系統(tǒng)調(diào)用，請(qǐng)求訪問(wèn)某個(gè)客體(如文件)。

b）系統(tǒng)調(diào)用請(qǐng)求DAC和LSM模塊共同決定，主體是否可以訪問(wèn)客體。

c）如果DAC不允許主體訪問(wèn)客體，那么返回錯(cuò)誤，轉(zhuǎn)到e）；如果DAC允許主體訪問(wèn)客體，那么LSM模塊的DTE策略參考DTE訪問(wèn)控制政策。如果DTE不允許主體訪問(wèn)客體，那么返回錯(cuò)誤，轉(zhuǎn)到e）；如果DTE允許主體訪問(wèn)客體，根據(jù)BLP策略檢查主體和客體的安全級(jí)別。如果BLP不允許主體訪問(wèn)客體，那么返回錯(cuò)誤，轉(zhuǎn)到e）；如果BLP允許主體訪問(wèn)客體，那么返回正確。

d）DAC和LSM將結(jié)果返回給系統(tǒng)調(diào)用。

e）系統(tǒng)調(diào)用返回錯(cuò)誤，不允許主體訪問(wèn)客體。

f）主體對(duì)客體進(jìn)行訪問(wèn)。

3．3普通區(qū)安全應(yīng)用的安全性分析

普通區(qū)的安全應(yīng)用是安全嵌入式系統(tǒng)保護(hù)的重點(diǎn)，為了保證普通區(qū)的安全應(yīng)用的安全，根據(jù)DTE策略，將TrustZone訪問(wèn)控制驅(qū)動(dòng)程序及SMI賦型為trust_t；調(diào)用SMI指令的進(jìn)程和需要進(jìn)入TrustZone信任區(qū)運(yùn)行的安全應(yīng)用程序配置為Trusted_d。當(dāng)安全應(yīng)用程序需進(jìn)入信任區(qū)運(yùn)行時(shí)，安全應(yīng)用程序向操作系統(tǒng)發(fā)出請(qǐng)求，操作系統(tǒng)調(diào)用SMI指令，根據(jù)DTE策略，只有Trust_d域的程序才可以調(diào)用SMI指令和TrustZone訪問(wèn)控制驅(qū)動(dòng)程序，然后操作系統(tǒng)根據(jù)BLP策略檢查程序是否合法。若通過(guò)檢查則調(diào)用SMI指令進(jìn)入到信任區(qū)運(yùn)行，消除了軟/硬件安全機(jī)制切換帶來(lái)的安全隱患，有效保證了普通區(qū)和信任區(qū)的安全切換，充分發(fā)揮了TrustZone技術(shù)的安全特性。

4結(jié)束語(yǔ)

隨著普適計(jì)算時(shí)代的到來(lái)，嵌入式系統(tǒng)將廣泛應(yīng)用于網(wǎng)絡(luò)通信、消費(fèi)電子、電子政務(wù)、電子商務(wù)、工業(yè)控制、國(guó)防等各個(gè)領(lǐng)域，構(gòu)筑嵌入式系統(tǒng)的安全保障體系極為迫切。本文采用強(qiáng)制訪問(wèn)控制技術(shù)，實(shí)現(xiàn)了一個(gè)具有B1級(jí)安全特性的安全μCLinux操作系統(tǒng)，并結(jié)合TrustZone可信硬件平臺(tái)，提出了一個(gè)基于 TrustZone技術(shù)和安全μCLinux的嵌入式系統(tǒng)安全解決方案，較好地解決了嵌入式系統(tǒng)存在的安全問(wèn)題，具有廣泛的應(yīng)用前景。

參考文獻(xiàn)：

[1]Secure architecture in embedded systems: an overview[EB/OL]. http://hal.archives－ouvertes. fr/docs/00/12/44/12/PDF/recosoc06.pdf.

[2]RAVI S， RAGHUNATHAN A， CHAKRADHAR S. Tamper resistance mechanisms for secure embedded systems[C] //Proc of the 17th International Conference on VLSI Design (VLSID’04). Mumba:[s.n.]， 2004:605－611.

[3]WRIGHT C， COWANC， MORRIS J， et al. Linux security module framework[EB/OL]. [2002]. http://www.kroah.com/ linux/ talks/ ols_2002_lsm_paper/ lsm.pdf.

[4]PRESTI S L. Technologies and approaches related to trusted computing[EB/OL]. http://www.isg.Rhul.ac.uk/ files/ IY5608_-_Lecture_9_TC_Related.pdf.

[5]HALLYN S E，KEARNS P. Domain and type enforcement for Linux[C] //Proc of the 4th Annual Linux Showcase and Conference. Atlanta:[s.n.]， 2000:247－260.

[6]卿斯?jié)h. 操作系統(tǒng)安全[M]. 北京：清華大學(xué)出版社， 2004.

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文