機(jī)載嵌入式軟件的安全性機(jī)制研究

李亞暉，張亞棣，郭鵬

（中航工業(yè)西安航空計(jì)算技術(shù)研究所 機(jī)彈載計(jì)算機(jī)航空科技重點(diǎn)實(shí)驗(yàn)室，陜西 西安，710065）

1 引言

在航空領(lǐng)域，隨著機(jī)載系統(tǒng)中軟件所占比重的逐步增大，軟件失效可能引起的后果也越來(lái)越嚴(yán)重，輕者導(dǎo)致無(wú)法完成任務(wù)，重者導(dǎo)致設(shè)備損毀，甚至危及人的生命。機(jī)載嵌入式軟件對(duì)于安全性的要求格外的高，其面臨的問(wèn)題也更加復(fù)雜。主要原因包括機(jī)載軟件的運(yùn)行剖面多樣化和復(fù)雜，軟件系統(tǒng)層次多、任務(wù)多，大量周期性任務(wù)和非周期性任務(wù)并存，任務(wù)之間的耦合關(guān)系復(fù)雜，涉及的硬件類(lèi)型多，傳感器數(shù)量大等。

在機(jī)載綜合化電子系統(tǒng)的開(kāi)放環(huán)境下，機(jī)載軟件系統(tǒng)除了保證不同安全關(guān)鍵級(jí)別的任務(wù)軟件運(yùn)行期間互不影響外，還要防護(hù)系統(tǒng)遭受來(lái)自外部環(huán)境（包括網(wǎng)絡(luò)、維護(hù)人員、電磁信號(hào)等）惡意攻擊。面對(duì)這種情況，國(guó)外研究多級(jí)別安全性（MILS，multiple independent levels of security）關(guān)鍵系統(tǒng)軟件架構(gòu)。其采用分層隔離的思想，通過(guò)可形式化驗(yàn)證的微內(nèi)核提供系統(tǒng)架構(gòu)的安全基礎(chǔ)，利用時(shí)空隔離的分區(qū)機(jī)制將多種安全界別的任務(wù)進(jìn)行隔離部署，從而減少故障引發(fā)的關(guān)聯(lián)失效，以及提供自底向上的信息安全防護(hù)支撐機(jī)制，使運(yùn)行于各分區(qū)中的任務(wù)軟件能夠收到系統(tǒng)架構(gòu)提供的有效安全防護(hù)。這種機(jī)制能夠便于機(jī)載系統(tǒng)軟件的獨(dú)立開(kāi)發(fā)和增量化驗(yàn)證。

然而，機(jī)載嵌入式軟件的安全性需求是一個(gè)系統(tǒng)性需求，不僅涉及軟件系統(tǒng)架構(gòu)，同時(shí)還涉及軟件方法、開(kāi)發(fā)過(guò)程和運(yùn)行環(huán)境等各方面因素。本文將從機(jī)載嵌入式軟件的安全性方面展開(kāi)系統(tǒng)性的分析，對(duì)故障引發(fā)的安全性（safety）和惡意攻擊導(dǎo)致的保密性（security）進(jìn)行發(fā)生機(jī)理、引入原因和防護(hù)機(jī)制等方面的研究，從而為機(jī)載嵌入式軟件安全性防護(hù)提供技術(shù)支撐。

2 機(jī)載軟件的安全性

2.1 軟件安全性定義

關(guān)于軟件的安全性，Leveson[1]的定義是：“指確保軟件在系統(tǒng)上下文中執(zhí)行不會(huì)導(dǎo)致系統(tǒng)發(fā)生不可接受的風(fēng)險(xiǎn)?！避浖踩灾晕茨苡行Ц吨T實(shí)踐的2個(gè)主要原因是“軟件安全性概念在開(kāi)發(fā)人員或用戶(hù)未能正確理解哪些要素可以確保系統(tǒng)安全”和“未能在更大的或更寬泛的系統(tǒng)中考慮軟件安全性”。軟件保密性融合了可用性、機(jī)密性和完整性，著重關(guān)注如何保護(hù)軟件使其不被惡意攻擊。

軟件安全性和保密性是針對(duì)內(nèi)部缺陷和外部威脅而考慮的兩個(gè)方面需求，二者之間是相互關(guān)聯(lián)的，主要表現(xiàn)在：安全性主要處理危及人員生命財(cái)產(chǎn)安全的風(fēng)險(xiǎn)，而保密性主要防御造成敏感信息的隱私性泄漏的威脅；安全性著重關(guān)注由于內(nèi)部缺陷引起系統(tǒng)故障而造成的風(fēng)險(xiǎn)，而保密性則主要關(guān)注外部惡意行為非授權(quán)訪問(wèn)造成的威脅；軟件的外部攻擊往往利用軟件設(shè)計(jì)時(shí)引入的內(nèi)部缺陷來(lái)獲取非授權(quán)的訪問(wèn)控制權(quán)限，而針對(duì)軟件保密性的外部攻擊往往導(dǎo)致軟件系統(tǒng)出現(xiàn)運(yùn)行故障，造成功能失效而引起安全性事件。

2.2 機(jī)載嵌入式軟件的安全性問(wèn)題

機(jī)載嵌入式軟件規(guī)模大、邏輯復(fù)雜，各種類(lèi)型的軟件組件數(shù)量多，組件之間交互關(guān)系多，功能耦合多。機(jī)載嵌入式軟件的安全性要求來(lái)源于機(jī)載系統(tǒng)的安全性需求，也受制于運(yùn)行平臺(tái)的安全性保障機(jī)制（如分區(qū)的時(shí)空隔離、中斷保護(hù)等）。隨著機(jī)載軟件系統(tǒng)綜合化程度的不斷提高，大量的軟件高度共享綜合核心處理計(jì)算機(jī)等硬件資源，軟件之間相互影響進(jìn)一步加劇，故障的傳播途徑多，“牽一發(fā)而動(dòng)全身”。為了解決因規(guī)模、復(fù)雜度和綜合化程度對(duì)安全性帶來(lái)的挑戰(zhàn)問(wèn)題，相關(guān)組織和部門(mén)為機(jī)載嵌入式軟件開(kāi)發(fā)制定了嚴(yán)格的過(guò)程規(guī)范，如DO-178B/C，它強(qiáng)調(diào)嚴(yán)格的過(guò)程評(píng)審和驗(yàn)證，并在研制過(guò)程中綜合應(yīng)用多種試驗(yàn)手段，以盡早發(fā)現(xiàn)可能導(dǎo)致安全事故的隱藏缺陷。DO-178B按照失效后果的嚴(yán)重程度對(duì)機(jī)載嵌入式軟件的安全級(jí)別進(jìn)行了定義，并針對(duì)每個(gè)級(jí)別明確了必須開(kāi)展的驗(yàn)證活動(dòng)和驗(yàn)證要點(diǎn)，這使得針對(duì)不同級(jí)別的機(jī)載嵌入式軟件進(jìn)行設(shè)計(jì)時(shí)，軟件的驗(yàn)證和測(cè)試活動(dòng)必須滿(mǎn)足該級(jí)別所要求的相關(guān)準(zhǔn)則。

隨著航空電子信息綜合能力的增強(qiáng)，智能化是綜合航空電子系統(tǒng)發(fā)展的方向，飛機(jī)平臺(tái)和飛行員對(duì)航空電子綜合系統(tǒng)的依賴(lài)程度也越來(lái)越高。然而，作為現(xiàn)在戰(zhàn)爭(zhēng)信息網(wǎng)絡(luò)系統(tǒng)中的一個(gè)節(jié)點(diǎn)，航空電子系統(tǒng)需要保持與外界的信息交互，必然有遭受信息攻擊和破壞的可能。因此，系統(tǒng)的信息安全和保障是未來(lái)網(wǎng)絡(luò)化作戰(zhàn)環(huán)境中機(jī)載系統(tǒng)的一個(gè)關(guān)鍵。2013年7月，美國(guó)FAA的計(jì)算機(jī)安全專(zhuān)家開(kāi)始向企業(yè)、高校和政府部門(mén)尋求信息安全研究工作的合作方案，用于開(kāi)展航空飛行器的信息安全研究和發(fā)展計(jì)劃。

3 機(jī)載軟件的安全性影響因素

3.1 安全性因素的機(jī)理

1）安全性因素

機(jī)載嵌入式軟件安全性和軟件可靠性既有聯(lián)系，也有區(qū)別。安全性關(guān)注故障的后果嚴(yán)重程度，可靠性則關(guān)注系統(tǒng)連續(xù)運(yùn)行時(shí)間。容錯(cuò)是安全性設(shè)計(jì)和可靠性設(shè)計(jì)中共同關(guān)注的問(wèn)題，但是安全性設(shè)計(jì)往往需要根據(jù)故障的嚴(yán)重程度設(shè)計(jì)相應(yīng)的預(yù)防、功能降級(jí)等針對(duì)性措施，而可靠性設(shè)計(jì)則往往針對(duì)故障的發(fā)生概率和傳播機(jī)制等設(shè)計(jì)統(tǒng)一的故障處理機(jī)制。此外，軟件安全性需求來(lái)源于系統(tǒng)安全性需求，必須針對(duì)系統(tǒng)安全性需求分析軟件需要處理的各種安全性故障，并確保軟件在運(yùn)行過(guò)程中不能引發(fā)可能導(dǎo)致安全事故的故障。

機(jī)載嵌入式軟件安全性需求來(lái)源于系統(tǒng)安全性需求，必須針對(duì)系統(tǒng)安全性需求分析軟件需要處理的各種安全性故障，并確保軟件在運(yùn)行過(guò)程中不能引發(fā)可能導(dǎo)致安全事故的故障。因此，機(jī)載嵌入式軟件安全性研究在安全性故障分析基礎(chǔ)上，重點(diǎn)關(guān)注這些故障的觸發(fā)條件和處理措施，并對(duì)安全性設(shè)計(jì)提出具體的處理要求。

由于機(jī)載嵌入式軟件安全性主要針對(duì)故障進(jìn)行分析，且所關(guān)注的故障涉及多種類(lèi)型，包括運(yùn)行平臺(tái)故障、外部硬件設(shè)備故障、內(nèi)存訪問(wèn)故障、并發(fā)與同步控制故障等。對(duì)這些不同類(lèi)型故障的認(rèn)識(shí)和描述是開(kāi)展軟件安全性分析和設(shè)計(jì)的基礎(chǔ)，因此必須在分析階段識(shí)別可能發(fā)生的故障及其導(dǎo)致的后果，在設(shè)計(jì)階段對(duì)故障發(fā)生機(jī)理和處理措施進(jìn)行分析和驗(yàn)證，在測(cè)試階段通過(guò)故障注入手段對(duì)安全性進(jìn)行測(cè)試，在評(píng)估階段對(duì)安全性相關(guān)的故障失效率、故障風(fēng)險(xiǎn)等進(jìn)行分析。

2）保密性因素

安全關(guān)鍵系統(tǒng)的信息安全問(wèn)題能夠?qū)е孪到y(tǒng)的可靠性和安全性受到危害，從而引發(fā)系統(tǒng)的失效，是系統(tǒng)造成人身、設(shè)備以及環(huán)境的損害。信息安全缺陷引入的機(jī)理[4,5]主要分為以下幾個(gè)方面。

①系統(tǒng)的安全防護(hù)設(shè)計(jì)缺失。由于沒(méi)有在系統(tǒng)設(shè)計(jì)時(shí)考慮信息安全防護(hù)的需求，導(dǎo)致系統(tǒng)當(dāng)處于開(kāi)放環(huán)境中時(shí)，可以被惡意人員利用合法指令進(jìn)行違反系統(tǒng)運(yùn)行規(guī)則的行為，導(dǎo)致系統(tǒng)失效。例如：2010年，伊朗核電站的離心機(jī)由于感染“震網(wǎng)”病毒，使控制系統(tǒng)發(fā)出超負(fù)荷運(yùn)轉(zhuǎn)指令，造成布什爾核電站的1 000臺(tái)離心機(jī)報(bào)廢。

②系統(tǒng)在開(kāi)發(fā)過(guò)程中存在信息安全隱患。由于安全關(guān)鍵系統(tǒng)中的安全防護(hù)措施不嚴(yán)密，導(dǎo)致惡意人員利用安全缺陷成功入侵系統(tǒng)，造成系統(tǒng)敏感信息的丟失。例如2011年，VxWorks操作系統(tǒng)的遠(yuǎn)程登錄程序密碼算法缺陷，使惡意人員可以入侵到系統(tǒng)獲取權(quán)限，從而使我國(guó)大范圍使用該操作系統(tǒng)的路由器收到攻擊，泄露了大量的用戶(hù)信息。

③系統(tǒng)運(yùn)行過(guò)程中的安全防護(hù)。由于當(dāng)前的安全關(guān)鍵系統(tǒng)普遍運(yùn)行于網(wǎng)絡(luò)系統(tǒng)上，依賴(lài)網(wǎng)絡(luò)進(jìn)行大量的數(shù)據(jù)交換，一旦網(wǎng)絡(luò)收到惡意人員的攻擊，就可能造成網(wǎng)絡(luò)阻塞，從而造成系統(tǒng)無(wú)法正常工作。例如在 2011年，伊朗宣稱(chēng)“俘獲”一架美國(guó)RQ-170哨兵無(wú)人機(jī)，主要通過(guò)噪聲干擾其通信，切斷美國(guó)無(wú)人機(jī)與指揮部之間的聯(lián)系，使無(wú)人機(jī)被迫轉(zhuǎn)為自動(dòng)駕駛，并利用GPS坐標(biāo)“哄騙”無(wú)人機(jī)“自動(dòng)著陸”，無(wú)人機(jī)根據(jù)程序認(rèn)為降落地點(diǎn)位于阿富汗總部，而實(shí)際上在伊朗境內(nèi)。

④系統(tǒng)在維護(hù)過(guò)程中引入安全缺陷。由于系統(tǒng)在維護(hù)和升級(jí)過(guò)程中，維護(hù)人員具有系統(tǒng)的修改權(quán)限，一旦引入惡意程序就可能造成系統(tǒng)的敏感信息損壞和泄露。例如，某地面系統(tǒng)由于維護(hù)人員操作不當(dāng)，將“擺渡”木馬通過(guò)維護(hù)升級(jí)程序感染系統(tǒng)，險(xiǎn)些造成敏感數(shù)據(jù)的丟失。

3.2 機(jī)載軟件安全性因素的引入

機(jī)載軟件的開(kāi)發(fā)過(guò)程采用“V”字模型，需要融合系統(tǒng)工程與軟件工程的交叉學(xué)科的軟件系統(tǒng)工程來(lái)提供目標(biāo)系統(tǒng)的領(lǐng)域知識(shí)，以便軟件工程師充分理解系統(tǒng)需求，從而在軟件設(shè)計(jì)中減少需求和設(shè)計(jì)缺陷，增強(qiáng)系統(tǒng)的安全性。根據(jù)實(shí)踐研究指出，70%的故障是在軟件壽命的早期引進(jìn)來(lái)的，而其中80%直到綜合測(cè)試以后才以 10倍以上的修復(fù)成本抓到[6]。圖1顯示了故障引進(jìn)、發(fā)現(xiàn)和成本因素的百分比。

系統(tǒng)的綜合化和模塊化導(dǎo)致新一代飛機(jī)系統(tǒng)越來(lái)越復(fù)雜，形成了新型的機(jī)載“系統(tǒng)的系統(tǒng)”。而復(fù)雜機(jī)載系統(tǒng)的功能越來(lái)越依賴(lài)軟件實(shí)現(xiàn)，其設(shè)計(jì)方法和過(guò)程模型在機(jī)載綜合化系統(tǒng)中的作用越來(lái)越重要。當(dāng)前的“先構(gòu)建，后綜合”的開(kāi)發(fā)過(guò)程已經(jīng)證明對(duì)航空工業(yè)是不合適的。整個(gè)設(shè)計(jì)的生命周期后端（集成測(cè)試和工程化）發(fā)現(xiàn)了近80%的問(wèn)題，解決這些問(wèn)題是前段發(fā)現(xiàn)和解決問(wèn)題成本的16～110倍，導(dǎo)致系統(tǒng)開(kāi)發(fā)的成本、周期和風(fēng)險(xiǎn)難以控制。

3.3 機(jī)載軟件安全性因素分類(lèi)

1) 軟件需求缺陷。由于缺乏需求工程的嚴(yán)格分析與定義，針對(duì)安全性需求的準(zhǔn)確描述方法缺乏，系統(tǒng)的安全需求正確轉(zhuǎn)化為軟件的安全需求難以保證。往往依賴(lài)于個(gè)人的經(jīng)驗(yàn)來(lái)形成軟件安全性需求，其完備性和正確性難以得到保證。軟件需求缺陷涉及的范圍包括：故障檢測(cè)、定位、隔離和恢復(fù)，冗余容錯(cuò)管理，邊界條件的約束、時(shí)序和邏輯關(guān)系限制等。

圖1 安全關(guān)鍵軟件的缺陷分析

2) 軟件設(shè)計(jì)缺陷。由于在軟件設(shè)計(jì)階段缺乏對(duì)安全性的描述方法，容易造成設(shè)計(jì)人員對(duì)需求理解的誤差，設(shè)計(jì)過(guò)程會(huì)引入安全性的缺陷。設(shè)計(jì)階段引入的缺陷主要體現(xiàn)為安全性需求與安全性設(shè)計(jì)的一致性難以保證，造成安全性設(shè)計(jì)缺陷。

3) 軟件代碼缺陷。編碼過(guò)程中由于人為因素引入代碼缺陷，代碼缺陷涉及的范圍包括數(shù)據(jù)定義與使用、代碼接口、代碼邏輯、使用資源、運(yùn)行模式、類(lèi)型轉(zhuǎn)換和臨界條件等。

4) 硬件升級(jí)引發(fā)的缺陷。當(dāng)硬件環(huán)境發(fā)生變化，已有軟件產(chǎn)品在適應(yīng)新的硬件環(huán)境時(shí)，安全性需求難以進(jìn)行全面驗(yàn)證，容易引入軟件安全性防護(hù)的缺陷。

5) 保密性的缺陷。由于當(dāng)前的機(jī)載嵌入式系統(tǒng)內(nèi)部幾乎沒(méi)有考慮任何保密性的問(wèn)題，當(dāng)機(jī)載系統(tǒng)發(fā)展為網(wǎng)絡(luò)化、綜合化的架構(gòu)時(shí)，保密性難以得到有效防護(hù)。

4 機(jī)載嵌入式軟件的安全性保證技術(shù)

4.1 安全性的保證技術(shù)

在航空領(lǐng)域，針對(duì)機(jī)載嵌入式軟件的開(kāi)發(fā)過(guò)程中的安全性分析給出了嚴(yán)格的規(guī)定[7,8]。機(jī)載嵌入式系統(tǒng)的安全性分析主要分為系統(tǒng)需求階段的初步危害識(shí)別、體系結(jié)構(gòu)設(shè)計(jì)階段的初步危害分析、詳細(xì)設(shè)計(jì)階段的安全性初步評(píng)估和實(shí)現(xiàn)階段的共因分析，如圖2所示。

圖2 機(jī)載嵌入式軟件的開(kāi)發(fā)過(guò)程

航空領(lǐng)域針對(duì)機(jī)載嵌入式系統(tǒng)的安全性[9]，提供了有關(guān)功能危險(xiǎn)性評(píng)估、初步系統(tǒng)安全性評(píng)估、系統(tǒng)安全性評(píng)估、故障樹(shù)分析、相關(guān)圖、馬爾可夫分析、失效模式和影響分析、失效模式和影響摘要、區(qū)域安全性分析、特定風(fēng)險(xiǎn)分析和共模分析等方面信息[10]。

4.2 保密性的保證技術(shù)

1) 機(jī)載系統(tǒng)的軟件保密性防護(hù)機(jī)制

隨著機(jī)載系統(tǒng)的網(wǎng)絡(luò)化、綜合化的快速發(fā)展，機(jī)載嵌入式軟件作為使能技術(shù)，承擔(dān)著越來(lái)越多的功能實(shí)現(xiàn)。面對(duì)來(lái)自網(wǎng)絡(luò)空間、維護(hù)保障系統(tǒng)和復(fù)雜電磁環(huán)境的惡意攻擊威脅，需要構(gòu)建基于可信計(jì)算基的機(jī)載系統(tǒng)安全防護(hù)架構(gòu)，提供主動(dòng)的安全防御機(jī)制。機(jī)載軟件系統(tǒng)中可參考的保密性技術(shù)如圖3所示。

圖3 可信軟件棧結(jié)構(gòu)

機(jī)載系統(tǒng)的主動(dòng)安全防護(hù)需要基于硬件可信根來(lái)提供軟件運(yùn)行環(huán)境的安全檢測(cè)、防御措施。機(jī)載軟件需要依托可信計(jì)算基提供的密碼學(xué)算法和功能來(lái)構(gòu)建可信軟件協(xié)議棧，通過(guò)分布式驗(yàn)證機(jī)制為整個(gè)機(jī)載系統(tǒng)提供可信安全服務(wù)。機(jī)載系統(tǒng)的可信軟件棧，具體功能包括密碼算法服務(wù)、平臺(tái)可信驗(yàn)證服務(wù)、遠(yuǎn)程可信認(rèn)證服務(wù)、敏感數(shù)據(jù)安全存儲(chǔ)、密鑰安全管理、證書(shū)管理和審計(jì)信息記錄等。

可信軟件棧從下到上分為3層：可信驅(qū)動(dòng)層、可信核心服務(wù)層、可信服務(wù)層。其中，可信驅(qū)動(dòng)層是內(nèi)嵌在嵌入式操作系統(tǒng)內(nèi)核的系統(tǒng)服務(wù)，用于直接與可信模塊中的安全芯片直接交互，將核心服務(wù)的調(diào)度任務(wù)轉(zhuǎn)交給安全芯片中的安全管理控制程序；可信核心服務(wù)層用于管理和調(diào)度系統(tǒng)核心服務(wù)運(yùn)行，處理服務(wù)接口轉(zhuǎn)發(fā)過(guò)來(lái)的調(diào)用請(qǐng)求，并通過(guò)可信驅(qū)動(dòng)層接口與安全芯片的內(nèi)部控制管理接口交互，完成對(duì)服務(wù)調(diào)用的實(shí)時(shí)響應(yīng)；可信服務(wù)層用于為機(jī)載嵌入式系統(tǒng)提供基于面向服務(wù)的接口，應(yīng)用程序通過(guò)接口調(diào)用可信服務(wù)。

2) MILS機(jī)載軟件系統(tǒng)架構(gòu)

基于 MILS[11,12]架構(gòu)可以構(gòu)建機(jī)載軟件的安全體系架構(gòu)，如圖4所示，基于TPM構(gòu)建嵌入式可信計(jì)算基[13]，結(jié)合微內(nèi)核嵌入式操作系統(tǒng)的安全性增強(qiáng)機(jī)制，在保證微內(nèi)核能夠進(jìn)行形式化驗(yàn)證的基礎(chǔ)上，為用戶(hù)態(tài)的保密性功能提供底層的可信支撐。系統(tǒng)中的各類(lèi)安全功能都以組件的方式運(yùn)行于用戶(hù)態(tài)的分區(qū)中，基于安全微內(nèi)核提供的最小特權(quán)和信息流隔離機(jī)制實(shí)現(xiàn)對(duì)分區(qū)中應(yīng)用任務(wù)的多級(jí)安全保護(hù)，因而能夠從底層實(shí)現(xiàn)安全防護(hù)支撐，并能夠單獨(dú)對(duì)用戶(hù)態(tài)的訪問(wèn)控制和數(shù)據(jù)保密通信功能組件進(jìn)行安全性驗(yàn)證，更加高效和安全地實(shí)現(xiàn)全系統(tǒng)的安全防護(hù)。

在系統(tǒng)可信軟件系統(tǒng)架構(gòu)中，可信計(jì)算基TPM的功能基于安全芯片及其上的安全控制管理軟件和驅(qū)動(dòng)實(shí)現(xiàn)，通過(guò)系統(tǒng)分區(qū)中的可信軟件棧為應(yīng)用程序提供可信服務(wù)功能。

MILS架構(gòu)的機(jī)載軟件系統(tǒng)中的可信安全服務(wù)都部署在獨(dú)立的系統(tǒng)分區(qū)中，應(yīng)用分區(qū)中的任務(wù)請(qǐng)求安全服務(wù)時(shí)，只能通過(guò)分區(qū)內(nèi)核的通信接口訪問(wèn)。機(jī)載系統(tǒng)需求具備的可信安全服務(wù)包括應(yīng)用程序所需要管理自身使用密鑰的密鑰管理服務(wù)；應(yīng)用程序需要進(jìn)行鑒權(quán)認(rèn)證的身份認(rèn)證服務(wù)；應(yīng)用需要進(jìn)行安全數(shù)據(jù)傳輸?shù)陌踩ㄐ欧?wù)；應(yīng)用需要進(jìn)行多種安全級(jí)別敏感信息處理的安全分級(jí)服務(wù)；應(yīng)用程序需要對(duì)系統(tǒng)所存儲(chǔ)的敏感數(shù)據(jù)訪問(wèn)的安全訪問(wèn)控制服務(wù)。

MILS架構(gòu)的機(jī)載軟件系統(tǒng)中，用于支撐訪問(wèn)控制和安全通信功能的安全策略將以獨(dú)立系統(tǒng)分區(qū)的形式進(jìn)行部署，通過(guò)專(zhuān)用配置接口管理和分級(jí)緩沖的機(jī)制為安全服務(wù)中的訪問(wèn)控制和安全通信提供基于強(qiáng)制訪問(wèn)控制 BLP和基于角色訪問(wèn)控制RBAC的安全策略管理功能。

圖4 基于MILS的機(jī)載軟件體系結(jié)構(gòu)

5 結(jié)束語(yǔ)

本文從機(jī)載嵌入式系統(tǒng)的安全性需求出發(fā)，深入分析了機(jī)載嵌入式軟件的安全缺陷機(jī)理、分類(lèi)方法和引入機(jī)制，并針對(duì)當(dāng)前航空領(lǐng)域的標(biāo)準(zhǔn)所采用的安全性分析方法進(jìn)行的分析，提出了基于嵌入式TPM可信計(jì)算基的MILS軟件架構(gòu)，為機(jī)載軟件的安全性提供了保證措施，為機(jī)載嵌入式軟件的安全性機(jī)制研究提供了完整的研究思路。

[1] 樊曉光, 褚文奎, 張鳳鳴. 軟件安全性研究綜述[J]. 計(jì)算機(jī)科學(xué),2011, 38(5):8-13.FAN X G, CHU W K, ZHANG F M. Surveys of software safety[J].Computer Science, 2011, 38(5):8-13.

[2] SWIFT M M, BERSHAD B N, LEVY H M. Improving the reliability of commodity operating systems[J]. ACM Trans on Computer Systems,2005, 23( 1) : 77-110.

[3] JAEGER T, SAILER R, SHANKAR U. Prima: policy-reduced integrity measurement architecture[A]. Proc of the 11th ACM Symposium on Access Control Models and Technologies[C]. Lake Tahoe, USA, 2006.19-28.

[4] The statistics portal. Cyber crime incidents worldwide 2014, by victim industry and size[EB/OL]. www.statista.com/stat-istics/194246/ cyber-crime-incidents-victim-industry-size/.

[5] The statistics portal. Cyber crime: average company loss in selected countries 2014[EB/OL]. http://www.statista.com/statistics/293274/ average-cyber-crime-costs-to-companies-in-selected-countries/.

[6] FEILER P H. Challenges in validating safety-critical embedded systems[J]. SAE International Journal of Aerospace, 2010, (1):109-116.

[7] SAE ARP4754A. Guidelines for Development of Civil Aircraft and Systems, Society of Automotive Engineers (SAE)[S]. 2009.

[8] 萬(wàn)明, 樊曉光, 南建國(guó). 航電軟件開(kāi)發(fā)標(biāo)準(zhǔn)與過(guò)程研究[J]. 計(jì)算機(jī)工程與應(yīng)用, 2010, 46(19): 71-73.WAN M, FAN X G, NAN J G. Research on standard and process of avionics software development[J]. Computer Engineering and Applications, 2010, 46(19):71-73.

[9] SAE ARP 4761 Standard, Guidelines and Methods for Conducting the Safety Assessment Process on Civil Airborne Systems and Equipment,Society of Automotive Engineers (SAE)[S]. 1996.

[10] 尹樹(shù)悅, 楊云. 軍機(jī)研制中安全性標(biāo)準(zhǔn)的應(yīng)用[J] 航空標(biāo)準(zhǔn)化與質(zhì)量, 2010, 237.YI S Y, YANG Y. Applicaiton of safety standard in military plan[J].Aeronautic Standardization & Quality, 2010, 237.

[11] GORDON M, UCHENICK W, MARK V. Multiple independent levels of safety and security: high assurance architecture for MSLS/MLS[A].Military Communication Conference[C]. 2005.

[12] JIM A F, W. SCOTT H, PAUL O,et al.The MILS architecture for high-assurance embedded systems[J]. International Journal of Embedded Systems, 2005, 37(2).

[13] 張倩穎, 馮登國(guó), 趙世軍. 基于可信芯片的平臺(tái)身份證明方案研究[J].通信學(xué)報(bào), 2014, 35(8):95-106.ZHANG Q Y, FENG D G. Research of platform identity attestation based on trusted chip[J]. Journal on Communications, 2014, 35(8): 95-106.

[14] 馬贊, 王鵬, 肖女娥. SAE ARP4754A中研制保證等級(jí)分配方法的應(yīng)用研究[J]. 航空維修與工程, 2013, 2(2): 68-70.MA Z, WANG P, XIAO N E. Application and study of development assurance level in civil aircraft development[J]. Aviation Maintenance& Engineering, 2013, 2(2):68-70.