嵌入式系统的VxWorks安全性问题研究
时间:11-06
来源:作者:单片机与嵌入式系统 南京航空航天大学 田力 袁家
点击:
3 系统实现及测试
3.1 安全系统的实现方式
在分析VxWorks系统内核Wind结构的基础上,结合上述提出的安全核设计,本系统实现了安全标记和强制访问控制,即实现了对Wind任务、信号量(二进制/互斥/计数信号量)、消息队列、管道、事件等的安全标记和强制访问控制。实现了监控器部分来支持对系统调用的控制;实现了策略服务器使之初步支持MLS、TE、RBAC策略判定;实现了策略缓存部分以提高系统性能。监控器的实现:监控器对系统调用实施拦截,实质上是作为一个转向器将正常的系统调用转入强制访问控制阶段。系统通过调用全局安全钩子函数securi_hooks()调用各子系统安全钩子函数,如sec_task_hooks()、see_semB_hooks()、sec_semM_hooks()等。在系统调用级,定义了需要进行安全判定的接口函数,如sec_taskSpawn()、sec_taskDelete()、sec_emBCreate()等。
安全服务器的实现:本安全核的访问控制粒度为系统对象级,因此在安全服务器中实现了对每一个系统对象(任务、信号量等)定义安全属性,定义SID,以及将SID与安全属性相映射关联。安全策略的加载与验证,以及依据监控器发来的判定请求进行访问判定的功能也在安全服务器中进行了具体实现。验证函数的三个参数分别为:主题SID、客体SID、访问请求模式。只有在该请求同时满足TE、MLS、RBAC的情况下,验证函数才返回TRUE,同意访问。
策略缓存的实现:策略缓存实现中最重要的是缓存数据项。本系统中实现的缓存数据项结构为:
本文在对此安全内核测试时目标机采用Tornado系统自带的VxSim目标模拟器。宿主机配置为AMD Ath-lon 64x2 Dual Core Processor 3600+2.00 GHz,512 MB,安装Tornad02.2/VxWorks5.5。
安全核功能测试的内容包括安全标记以及强制访问控制。首先设计了测试用例,结果表明Wind安全内核目前可以标识Wind任务、信号量(二进制/互斥/计数信号量)、消息队列、管道,安全标签和对象一一对应且具有继承性。其次设定了不同安全等级任务的系统调用来测定系统的强制访问控制,测试表明监控器拦截了安全相关的所有系统调用,安全服务器依据配置好的安全策略给出了正确判定,没有任务绕过强制访问控制。
在安全核性能的测试上使用VxWorks提供的一组系统调用--timex()和timexN()--来记录使用安全核和未使用安全核时同一任务的执行时间,以及在使用安全核时使用策略缓存和未使用策略缓存时执行统一任务的时间。由于测试时使用的任务执行时间非常短,因此主要采用timexN()来记录重复执行该任务的时间。测试结果表明,未使用安全核、使用带缓存安全核、使用不带缓存安全核执行同一任务时间依次增加。以taskSpawn()任务为例,未使用安全核时执行时间为50μs,使用带缓存的安全核时执行时间为70 μs,使用不带缓存时执行时间为80μs,误差均小于10%。测试表明本文设计的安全内核会在一定程度上影响系统调用的时间,但是策略缓存可以有效地提高系统性能,整体上还是可以接受的。
该安全核结构具有通用性,改造后可以用于其他嵌入式系统。 (编辑:chiying)
3.1 安全系统的实现方式
在分析VxWorks系统内核Wind结构的基础上,结合上述提出的安全核设计,本系统实现了安全标记和强制访问控制,即实现了对Wind任务、信号量(二进制/互斥/计数信号量)、消息队列、管道、事件等的安全标记和强制访问控制。实现了监控器部分来支持对系统调用的控制;实现了策略服务器使之初步支持MLS、TE、RBAC策略判定;实现了策略缓存部分以提高系统性能。监控器的实现:监控器对系统调用实施拦截,实质上是作为一个转向器将正常的系统调用转入强制访问控制阶段。系统通过调用全局安全钩子函数securi_hooks()调用各子系统安全钩子函数,如sec_task_hooks()、see_semB_hooks()、sec_semM_hooks()等。在系统调用级,定义了需要进行安全判定的接口函数,如sec_taskSpawn()、sec_taskDelete()、sec_emBCreate()等。
安全服务器的实现:本安全核的访问控制粒度为系统对象级,因此在安全服务器中实现了对每一个系统对象(任务、信号量等)定义安全属性,定义SID,以及将SID与安全属性相映射关联。安全策略的加载与验证,以及依据监控器发来的判定请求进行访问判定的功能也在安全服务器中进行了具体实现。验证函数的三个参数分别为:主题SID、客体SID、访问请求模式。只有在该请求同时满足TE、MLS、RBAC的情况下,验证函数才返回TRUE,同意访问。
策略缓存的实现:策略缓存实现中最重要的是缓存数据项。本系统中实现的缓存数据项结构为:
本文在对此安全内核测试时目标机采用Tornado系统自带的VxSim目标模拟器。宿主机配置为AMD Ath-lon 64x2 Dual Core Processor 3600+2.00 GHz,512 MB,安装Tornad02.2/VxWorks5.5。
安全核功能测试的内容包括安全标记以及强制访问控制。首先设计了测试用例,结果表明Wind安全内核目前可以标识Wind任务、信号量(二进制/互斥/计数信号量)、消息队列、管道,安全标签和对象一一对应且具有继承性。其次设定了不同安全等级任务的系统调用来测定系统的强制访问控制,测试表明监控器拦截了安全相关的所有系统调用,安全服务器依据配置好的安全策略给出了正确判定,没有任务绕过强制访问控制。
在安全核性能的测试上使用VxWorks提供的一组系统调用--timex()和timexN()--来记录使用安全核和未使用安全核时同一任务的执行时间,以及在使用安全核时使用策略缓存和未使用策略缓存时执行统一任务的时间。由于测试时使用的任务执行时间非常短,因此主要采用timexN()来记录重复执行该任务的时间。测试结果表明,未使用安全核、使用带缓存安全核、使用不带缓存安全核执行同一任务时间依次增加。以taskSpawn()任务为例,未使用安全核时执行时间为50μs,使用带缓存的安全核时执行时间为70 μs,使用不带缓存时执行时间为80μs,误差均小于10%。测试表明本文设计的安全内核会在一定程度上影响系统调用的时间,但是策略缓存可以有效地提高系统性能,整体上还是可以接受的。
该安全核结构具有通用性,改造后可以用于其他嵌入式系统。 (编辑:chiying)
- Linux嵌入式系统开发平台选型探讨(11-09)
- 嵌入式系统中文输入法的设计(03-02)
- 基于MPC755的嵌入式计算机系统设计(05-10)
- WinCE下光电编码器的驱动程序设计(04-12)
- 为什么嵌入式开发人员要使用FPGA(05-13)
- VxWorks几种常用的延时方法介绍(05-16)