嵌入式系统安全性对攻击状况和防卫策略的概述和分析

军事政府设备，这个攻击必然是高度复杂的，而且其攻击必须得到大量的资金支持。

为了避免这种情况，可以在敏感电子器件外覆盖极其精细的、能检测侵入的网格。当一个芯片电路确定被侵入时，敏感数据，如秘钥、安全引导映像、根管理程序等就会自动被销毁，器件将无法工作。

　　加固客户系统和网络以抵抗DoS攻击的策略，包括各种基于协议的、能赋予合法的或已授权传送超出背景或攻击性传送的优先级别的方法。其中比较好的一个例子是"快速传递协议"6。

　　快速传递协议为用户提供了加密的可用性令牌。用户信息以一个设定信息包开头，信息包中含有提供给下游程序的认证信息。当设定信息包经过验证后， 信息包中的其他信息以高优先级按链条模式穿过通道。含有未经验证的令牌的信息，则在时间以及带宽允许的情况下得到处理。
大多数的操作系统都内置有一定程度的安全设置。内置安全设置的成熟性以及集成性是广受争议的论题，不过一般来说，加载贯彻了安全思想的Linux，如SE Linux(源于NSA的Linux派生发布)，从安全角度看被认为是很强壮的系统(http://selinux.sourceforge.net/。SE Linux包含有一套丰富的访问控制集，它允许系统被分化为众多细密的安全区。过去的"用户--群--外界环境"分类被扩展为包含了无数额外的、可用来创造极其成熟的安全政策的类型。其思想是：例如，如果一个系统驱动器被破解并尝试访问驱动器权限范围外的资源，操作系统将拒绝访问、并产生异议。

　　这些机制很重要，但从整个系统结构角度来看，它们忽略了一个重要方面--"攻击表面"仍然很大。仍然需要对操作系统及其附带的服务进行分析，以查找出任何可能忽略的易受攻击的弱点进行分析，而且开发者是人，因此这些弱点终将被找到。集成在任意给定的操作系统中的安全设置只是安全难题中的一项。

借助虚拟化实现安全性

　　虚拟技术已从企业计算空间转向嵌入式世界。虚拟技术包括在虚拟计算机监控器的控制下提取系统资源，有时称为系统管理程序。系统管理程序使运行同时执行环境具有可能性，每个环境孤立存在，分别运行在基础硬件平台的一个虚拟代表上。

　　从器件整合和资源最优化的角度来说，虚拟计算机有很多优点。它们可以采用不同设计方法，从"纯粹"的或"完全"的虚拟到"部分虚拟(Paravirtualization)"，部分虚拟是嵌入式应用中最常用的方法。在部分虚拟中，进行进一步的细分，包括微内核、微调度程序和轻薄的产品，这种轻薄产品实际上扩大了硬件抽象层，使之包括了虚拟特性。

　　从安全的角度来看，虚拟技术的使用，允许设计者通过执行特权分离和最小权限原则7，8，来减轻计算机安全攻击的潜在危害。

　　特权分离要求应用程序被分为有特权部分和无特权部分，有特权的部分应保存得越小越好，来减小攻击的表面。因此，一个成功的、针对对更大的、不安全的组件的攻击，只会获得对敏感数据的极低的访问能力。

　　最小权限要求，每个软件模块仅能获得合理用途所需的信息和资源。

　　各种各样不同的虚拟技术的一个共同点就是整齐。对于纯粹虚拟和完全虚拟，VMM负责捕捉和处理所有由客户操作系统执行的指令。这种方法的好处是客户操作系统可以不更改地运行。另外，由于操作系统是与硬件完全脱钩的，才有可能创造更高的便携式应用，其应用平台多样化且在应用程序中。这种方法的缺点是在系统功耗方面是一个重大的支出，特别是当硬件平台没有配置软件虚拟支持的情况下。

　　纯粹虚拟技术依靠具有重要硬件支持的底层硬件平台来实现，如Intel公司的VT体系机构和AMD的Pacifica。在这些系统中，虚拟计算机资源的状态在硬件中维持，而且VMM的性能消耗大幅度减小。这种技术的优点是它类似于全虚拟，表现在客户操作系统可以无修改地运行。缺点是那些运用这一技术的产品占用的裸片面积稍大一些，而且现有可用的嵌入式装置中纳入这种水平的支持能力者并不多。

　　部分虚拟技术(Paravirtualization)是这样一种技术，其特定操作系统的指示，一般具有"特权"和内核模式指示，被"hypercalls"或API对管理程序的调用所代替。这减轻了处理所有客户指示的负担，降低了系统的开销，明显地提高了执行绩效。缺点是客户操作系统必须被"触及"，但是，实际上这种影响是很小的。

　　例如，分析Linux时，发现/dev/arch中具有优先权的指令仅存在15个文件中。

　　在普通的部分虚拟技术种类中，存在一些系统管理程序的子程序。

微调度器(如图2)，正如其名称所暗示的那样，是按照一个固定的进度表来分配系统资源的程序。商业上典型的具体实施方法是在内核模式下运行微调度程序，并且作为主控来控制一个客户