（计算机应用技术专业论文）自适应防危核的研究与实现.pdf

独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：边塞韭日期：友。7 口年f 月节日 论文使用授权 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名： 新躲一 导师签名： 望一乙一 日期：年月 曰 6 ，。多w ，r|i j j 一 摘要 摘要 随着嵌入式技术的飞速发展，应用成本的大幅降低，嵌入式技术已广泛应用 于航空航天、智能交通、工业自动化控制等领域。随着应用范围的不断扩张，特 别是随着嵌入式系统应用在一些高危工作环境后，用户对嵌入式系统的要求也在 发生着改变；用户的要求已不仅仅局限于系统的实时性与高性能等方面，开始越 来越重视系统的安全性、可靠性及防危性等。防危核技术是保证系统防危性的有 力手段。但目前为止，国内外对防危核的研究成果中，并未单独考虑系统工作环 境的改变对防危策略的影响；但在实际工作环境下，安全关键系统的工作环境一 旦改变，其防危策略也将随之发生巨大的改变；即在某种工作环境下合法的操 作，在另一种工作环境下将非法。因此，使防危核具有自适应性，提高安全关键 系统在不同安全环境下的可靠性与安全性防已成为研究热点之一。 本文首先介绍了国内外防危技术的研究成果，并详细讨论了各防危技术的原 理以及它们之间的差异。而后，详细论述了利用有限状态自动机原理构造自适应 防危策略的方法，以此作为自适应防危策略来源的理论依据：再者利用反射技术 原理设计出防危核模型，该模型具有良好的通用性与可扩展性。并根据自适应的 特点，设计出自适应防危核的结构，在此结构中，为了提高防危核的通用性，并 为了实现其自适应的特性，提出使防危核与防危策略库相隔离，且将各安全环境 下的防危策略相互独立的设计思想；同时利用自适应中间件的特点，使防危核能 够根据当前系统所处的安全环境，通过自适应中间件的自适应机制动态的选择适 当的防危策略子库进行防危验证。然后在r t a r m m 平台上，本文结合了 r t a r m m 自身结构的特点，以及其自适应机制的特性，设计并实现了自适应防 危核。最后以核电站操作控制与飞机飞行控制为模型，分别建立了核电站操作与 飞机飞行控制的自适应防危策略库，并对设计的自适应防危核进行了验证。最后 总结了已经完成的工作和重要的创新点，并提出了防危核研究发展方向的一些设 想。 关键词：中间件，r t a r m m ，自适应防危核，有限状态自动机，自适应防危策略 4 叮 a b s 仃a c t a b s t r a c t w i t l lm er 印i dd e v e l o p m e n t0 f 锄b e d d e dt e c l l l l o l o g ya 芏l dn l er e d u c eo fm e a p p l i c a t i o nc o s t e i i l b e d d e dt e c i l n 0 1 0 9 ) ，h a sb e e l lu s e dw i d e l yi n 嘶t i c a la p p l i c a t i o l l s ， s u c h 嬲a i r c r a rn i 曲tc o n h o l ，仃a n s p o r t a t i o nc o n 协o l ，i n d u s 仃i a la u t o m a t i o nc o n t m l w i t l lm ec o n s t 跹t l y 唧a n d i i l gr a l l g eo f 印p l i c a t i o n s ，e s p e c i a l l yw i m 锄b e d d e ds y s t 锄 a p p l i c 撕o n si i l an u n l b e ro f1 1 i 曲一r i s kw o r k 跗v i r o n m e l l t ，廿1 eu s e r s r e q u i r e m e n t so f e i 】1 b e d d e ds y s t 锄sa r ea l s oc h a l l 百n & n o to i l l yl i n l i t e dt 0r e a l 一胁ea n d1 1 i 曲 p e r 】f 0 n n a l l c e ，t l l e yb e g a i lt 0p a ym o r ea 1 1 dm o r ea t t e l l t i o nt om es e c u r i 坝r e l i a b i l i t ya i l d s a f e 够s a f e t yk e n l e lt e 咖1 0 1 0 9 yi sap o w e r m lm e a i l sf o rd s kp r e v 训o n s of a r ，p e o p l e w h or e s e a r c h e ds a f i e 哆k e n l e ld i d n tc 0 n s i d e rm ei n n u e n c eo fw o f l ( i n ge n v i r o m e n t f a c t o r st 0s a 做yp 0 1 岖a c m a l l y ，、7 v ，h 饥m ew o 施n ge 1 1 v i r o l l i l l e n to fs a f e t y - 鲥t i c a l s y s t e mc h a i l g e d ，l es a f e t ) ，p 0 1 i t yw i l ls u b s e q u e n t l yb ec h a n 百n gd r 锄a t i c a l l y - 1 1 1 a t m e a n sa na p p l i c a t i o ni s1 e 西t i m a t eu n d e rs o m ee n v i r o r l m e n t sb u tw o u l di l l e g a lu n d e r o t h e re i 】而r 0 1 1 1 n e i l t s t h e r e f o r e ，i th a sb e c o m eah o tt o p i ci i l 也ed o m a i l lo f 即曲e d d e d s y s t e mt h a tt om a k es a f e t yk c n l e lt 0h a v ea d a p t a b i l i t ym a tc a l li m p r 0 v et h er e l i a b i l i t ) r a n ds a f e t yo fc m c i a ls y s t e mu n d e rv a r ye r i r 0 i l m e n t s t h et 1 1 e s i sf l r s t l yi 1 1 仃d d u c e s 廿1 er e l a t i o n a lr e s e a r c ha b o u ts a f e 够k e n l e ld o m e s t i c a l l y a n d a b r o a d ，a n d d i s c u s s e s p 血c i p l e s o ft l l e t 1 1 e c h o l o g y a 1 1 d m e i r d i 丑衙e 1 1 c e s s e c o n d l yt l l ef s mm e o 巧i su s e d t oc r e a ta d a p t a b l e s a 矗暑t yp o l i c y m o d e l ，t h j sm o d e lp r o v i d eaw a yt og e t l ea d a p t a b l es a f e t yp 0 1 i c ya b o u tc e n a i nc m c i a l s y s t e m t 1 l i r d l y ；m er e a l t i m er e f l 枷o nt o w e r m o d e li su s e dt oc r e a t et 1 1 es a f e t yk e m e l m o d e l 1 1 l i sm o d e lc a np r o v i d es c a l a b i l 埘t 0 廿l es a f e t yk 锄e 1 7 n l e l l ，a 1 1a d a p t a b l e s a f e t yk e n l e l 咖c t u r ei sd e s i 弘e d 1 1 1t 1 1 i ss t n l c h 玳m es a f e t yp o l i c yi si n d 印e i l d 咖 舶m s a f e t yk 锄e 1 ，a n ds a 触yp o l i c y1 1 1 1 d e rd i 仔e r e n t 眺m e ni si 1 1 d 印e 1 1 d e n t 丘0 m e a c ho m 既a n d 也e 1 1 ，o nt l l er t a rm mm i d d l e w a r ep l a t f o md e s i 朗e di nm e 1 e s i sa 1 1 d 伽f i ua d a p t a b l es a f e t ) rk e l l l e l t h e l l ，n u c l e a rs a f e t yc o n 仃0 1m o d e l 纽df l i 咖c o n 缸d l m o d e la r cu s e dt 0 t e s tt 1 1 e a d a p t a b l es a f 爸哆k e n l d a t1 a s t ，l e a c i l i e v e m e n ta 1 1 d i i i l p o r t 孤t c r e a t i v ep o i l l t sa r cs u m m a r i z e d ，锄ds o m en e wr e s e a r c h 也i n l ( i n gi n 觚r e i i a b s 缸- a c t a r ep r o p o s e d k e yw o r d s ：m i d d l e w a r e ，r t a r m m ，a d 印t a b l es a 蠡奶rk e m e l ，f i l l i t es t a t em a c l l i n e ， a d 印t a b l es a f e t yp o l i c y i ， i ， 一 磊 目录 目录 第一章绪论1 1 1 研究背景1 1 2 相关技术发展现状2 1 2 1 实时中间件技术的发展2 1 2 2 防危技术的发展3 1 3 自适应性与自适应系统的定义3 1 3 1 自适应性的定义。3 1 3 2 自适应系统的定义4 1 4 课题来源与主要工作4 1 5 本文章节安排5 第二章防危技术简介6 2 1 防危性与安全性6 2 2 防危壳技术7 2 3 防危核技术8 2 3 1 防危核理论及模型结构9 2 3 2k e v i n 防危核实现方案1 0 2 3 3 基于反射技术的防危核1 1 2 3 4 防危核与防危壳技术对比分析1 2 2 4 本章小结。1 3 第三章r t a i 沿i m 技术简介1 4 3 1c o i 冯a 简介1 4 3 2t a o 简介1 5 3 3r 1 r a r m m 简介1 6 3 3 1r t a r m m 技术功能简介1 6 3 3 2r t a r m m 的总体结构1 7 3 3 3 代理( d e l e g a t e ) 1 8 3 3 4 合同( c o 廊a c t ) 1 8 3 3 5 系统状态对象( s y s t e mc o n d i t i o n0 i b j e c t ) 1 9 目录 3 3 6q o s k e t s ：可复用的自适应策略1 9 3 3 7 性能描述语言q d l 2 0 3 3 8r t a r m m 的执行流程2 0 3 4 本章小结2 2 四章基于有限自动机的自适应防危策略模型2 3 4 1 有限自动机简介。2 3 4 1 1 有限状态自动机的定义2 3 4 1 2 有限状态自动机的特点2 4 4 2 自适应防危策略模型2 4 4 2 1 系统安全环境有限自动机模型2 4 4 2 2 各安全环境状态下防危策略模型2 7 4 2 3 自适应防危策略整体模型2 9 4 3 本章小结3 1 五章自适应防危核的实现3 2 5 1 自适应防危核结构分析3 2 5 1 1 通用性分析3 2 5 1 2 自适应防危核结构3 3 5 2r 队i 洲m 服务器端关键设备的配置3 6 5 2 1 用户态设计3 7 5 2 2 多用户互斥性设计3 8 5 2 3 设备的更新设计3 9 5 3 基于r t a r m m 平台的自适应防危核设计4 0 5 3 1 需求分析4 0 5 3 2 基于r t a r m m 的自适应防危核原理4 1 5 4 自适应防危核的实现4 3 5 4 1 重要数据结构4 3 5 4 2 基于r t a r m m 的防危反射塔设计4 7 5 4 3 防危代理模块4 8 5 4 4 防危验证模块5 0 5 4 5 防危核自适应性实现 5 5 自适应防危核整体工作机制 5 6 本章小结 v 0 7 ， 目录 第六章自适应防危核模型验证6 0 6 1 核反应堆安全关键系统原理简介6 0 6 2 核电站状态分析6 1 6 3 核电站关键设备操作分析6 3 6 4 核电站自适应防危策略模型6 4 6 4 1 核电站安全环境有限自动机模型6 4 6 4 2 核电站各安全环境下防危策略模型6 4 6 4 3 核电站自适应防危核整体模型6 5 6 5 核电站自适应防危策略数据6 6 6 6 飞机飞行控制模型例6 8 6 7 自适应防危核的测试7 1 6 8 本章小结7 3 第七章结束语7 4 参考文献。7 6 致谢7 8 硕士期间取得的成果7 9 v l 一 ， 图目录 图目录 图2 1 安全措施与防危措施原理示意图7 图2 2 防危壳原理示意图7 图2 3 安全核原理示意图9 图2 4 防危核原理示意图9 图2 5k e v i n 防危核结构图1 0 图2 6 反射塔示意图1 2 图3 1r t a r m m 总体结构图1 7 图3 2q o s k e t 流程示意图2 0 图3 3r t a r m m 自适应服务流程图2 1 图4 1 安全环境有限自动机图2 6 图4 2 安全环境下工作状态控制有限自动机图2 9 图4 3 系统整体工作状态迁移示意图3 0 图5 1k e v i l l 防危核结构图3 3 图5 2 可替换策略的防危核结构图3 3 图5 3 自适应防危核结构图3 4 图5 - 4 防危核内部结构图3 6 图5 5 r m 气r m m 服务器端接收数据格式3 7 图5 6 用户态字符驱动初始化过程一3 7 图5 7 请求处理过程3 9 图5 8 基于r t a r m m 自适应防危核原理框图4 2 图5 9 防危策略项结构图4 5 图5 10 防危策略在内存中结构图4 6 图5 11 防危代理流程图4 9 图5 1 2 防危验证流程图5 2 图5 1 3 防危核自适应流程图5 6 图5 1 4s y sa d 印流程图5 7 图5 1 5 自适应防危核工作机制5 8 图6 1 核电站原理示意图6 0 i 图目录 限自动机图6 4 状态有限自动机图6 5 体有限自动机图6 6 一7 1 二7 2 一 ， 埘 表目录 表目录 表5 1r t a r m m 自适应机制示意图5 6 第一章绪论 1 1 研究背景 第一章绪论 从人类历史上第一台通用电子数字计算机“埃尼阿克 ( e n i a c ) 宣告研制成 功以来，计算机的发展经历了从无到有，从快到慢的发展过程。早期计算机体积 巨大，且造价昂贵，计算机资源相对匮乏，那时人们关注的重点是如何合理高效 的利用计算机资源，使其发挥最大的功效。此后制造业的飞速发展，使计算机的 制造成本逐渐降低，第一台个人计算机( p c ) 的问世标志着计算机走入人们生活、 工作各个领域的开始。随着嵌入式技术的不断发展、应用成本的不断降低，计算 机已进入了所谓“无处不在的计算机 发展时代。目前，嵌入式技术已广泛应用 于航空航天、智能交通、工业自动化控制等领域【2 】。应用范围的不断扩张，特别 是随着嵌入式系统应用在一些高危工作环境后，使用户对嵌入式系统的要求也在 发生着改变；用户对其的要求己不仅仅局限于系统的实时性与高性能等方面，开 始越来越重视系统的安全性、可靠性及防危性等。而无论是1 9 8 6 年的美国“挑战 者号 航天飞机事件【2 引，或1 9 8 6 年前苏联切尔诺贝利核电站事件，都预示着提升 安全关键系统防危性能已成为人们最关注的问题之一。防危核技术是保证系统防 危性的有力手段。但目前为止，国内外对防危核的研究成果中，并未单独考虑系 统环境对防危策略的影响；但在实际工作环境下，环境因素对实时系统的可靠性 有着重要影响幽；受到不同环境因素的作用，会导致操作正确性的变化。如何让 防危核根据系统安全的变化自动绑定适当的防危策略，增加系统的可靠性成为了 研究热点之一。 而另一方面，随着各种各样的个人计算机与操作系统相继走入了人们的视 线，为了实现资源共享以及应用程序在不同平台上的移植， “中间件 ( m i d d l e w a r e ) 的概念应运而生【1 1 。而传统中间件( 如t a o ) 未能实现系统性能( 包括 防危性、安全性等) 与功能的分离，传统中间件虽然提供了q o s ( q u a l 时o f s e i c e ) 确保机制，但这些机制都是必须在各功能构件内部中实现，这种方式大大降低了 构件的可重用性。同时，传统中间件缺乏自适应行为能力，即当系统内部环境资 源发生改变时采用某种自适应手段，从而适应新的环境来满足用户需求的能力。 因此，传统中间件无法满足自适应防危核的要求，也不利于提高其通用性。故而， 电子科技大学硕士学位论文 本文引入中间件技术r t a r m m ( r e a l t i i i l ea d 印t e rr e s o u r c em a n g em o u d u l e ) ，其 有效解决了性能与功能相分离的问题，使得用户可根据自身需要，随意添加对系 统性能的要求。 为了满足上述要求，本课题在国家“8 6 3 ”项目实时可信服务软件的构件化 研究的支持下，综合分析了当今分布式中间件技术、防危核设计技术等，研究 采用了r t a r m m 技术，实现了系统性能与系统功能的分离。在对系统自适应防 危性的性能定制中，本文首先以有限状态自动机原理作为自适应防危策略的理论 依据，结合r t a r m m 技术的自适应机制，设计并实现具有一定通用性的自适应 防危核。 1 2 相关技术发展现状 1 2 1 实时中间件技术的发展 c o r b a ( c o n m no b j e c tr e q u e s tb r o k e r缸c b i 叫是由o m g ( o b j e c t m a l l a g e m e n tg r o u p ) 提出的基于分布式对象计算模式的开放体系结构标准。o m g 组织于1 9 9 9 年发布了实时c o i 圆a 1 0 规范【2 3 1 ，该规范规定c o r b a 采用了请求服 务的服务方式，并对应用中这种远程调用的时延提供可预测的保证，根据规范说 明，对这种时延保证的措施有：使用了优先级来控制对系统资源的分配、控制优 先级反转、限定调用延迟等。此外，c o r b a 规范定义了一组标准接口以及策略供 用户控制和配置系统处理器资源、内存资源和通信资涮2 4 1 。在对c o 耻认的研究 中，其实现最具代表性的研究成果是w a 蛳n 垂o n 大学计算机系研制的1 a o 和r o d e i s l a n d 大学计算机系研制的n r a d 舢r ic o r b a 。 t a o 是一种性能卓越的、符合c o i 淝a 标准的实时中间件，它为实时应用提 供了实时调度功能，其确保了实时应用的q o s 【3 】。t a o 是以a c e 为基础进行设计 的；a c e ( a d a p t i v ec o m m l l l l i c a t i o ne n v 拍r 1 1 i l e i l t ) 是一种中间件通信框架，其具备了 很高的可移植性，可运行于多种操作系统平台；其包含了大量的c - h 构件，可为 用户提供高性能的实时通信服务。由于t a o 基于a c e ，所以，t a o 也具备了a c e 的诸多优点。 为了满足人们日益复杂的应用需求，中间件技术一直就不断地发展与改善。 但现有的c o i m a 未能将系统功能实现与q o s 的确保机制分离开，而是将q o s 的 策略和机制在各功能构件中予以实现，迫使开发人员在开发功能性构建时不得不 2 第一章绪论 将一部分精力放在考虑系统性能的实现上，不利于开发效率，同时也使得日后的 维护工作开销更大。 1 2 2 防危技术的发展 在对嵌入式的研究中，针对防危性的研究一直是长久不变的主题。这是因为 当今大量嵌入式设备运用于军事、航天航空、核电站等关键领域，其主要负责控 制关键系统中关键设备的操作；此类关键系统的故障，将会给人们带来无法弥补 的损失。而防危性注重的正是此类关键系统在运行时不会失效而发生灾难性的后 果【1 5 1 。 目前，保证系统防危性的手段主要有防危核与防危壳两种。 防危核技术( s a 矗毋k e n l e l ) 最早由安全学家l e v e s o n 【2 6 】提出，其原理是根据一 组根据实际安全关键系统中对关键设备的工作特点定制的一套防危策略，验证所 有对关键设备的操作请求，只有通过验证正确的操作请求才可到达硬件对其操作。 而拒绝所有未经过验证的操作，既会给关键系统造成灾难性后果的操作。其成功 的隔离了应用请求与关键设备，避免由于用户误操作而引起的系统错误，以达到 对系统的防危性保证。 在防危核的发展历程中，第一个真正实现的防危核是由龇【3 0 】针对 m s s ( m a 印e t i cs t e r e o t a 对ss y s t e m ) 设计的防危核；该防危核结构简单、明晰。而后， 出现了基于反射技术实现的防危核【2 7 】。该设计方法将防危核设为反射塔元层的子 层，提高了防危核的通用性与可扩展性。 防危壳( s a 矗村s h e l l ) 是由c e 砷mf 1 0 r i d a 大学的j a i lv a i lk a t 呱j k 和z a l 删s 1 d 等 人提出的防危技术，该技术原理与防危核类似，但其功能更为强大，是防危核技 术的一种扩展。 目前，在防危核的设计中，均未考虑系统环境因素对防危策略的影响，这样 的系统因素包括：温度、湿度、冲击、盐雾、水位等。这样的防危核对系统环境 的适应性不高，不能很好的适应不断变化的工作环境。 1 3 自适应性与自适应系统的定义 1 3 1 自适应性的定义 到目前为止，国内外学术界已对“自适应 进行了多年的深入研究，并从多 电子科技大学硕士学位论文 方面给出了“自适应”的具体定义【4 1 。最早的“自适应”概念是由y a z t s ) ，p k i i l 【6 j 于1 9 7 1 年，在其a d a p t a t i o na n dl e a n l i n gi i la u t o m a t i cs y s t e m 书中提出：自适 应是自动计算的一个方面。并在书中例举了一个简单的实例：双模式的手机，即 当手机在某个具体地点，其可以根据当前具体的信号强弱，自动的在g s m 和 c d m a 这两种通信方式中进行切换。 此外s l p n e e g 一3 1 】认为：系统应该可以随着当前环境的不断变化而自发的进 行自适应的调整，从而系统能继续安全正常地在新的环境中工作。 以上例举的各位学者都从不同方面对“自适应”概念进行了经典的定义，但 都包含了“自适应”根本的观点。以下本文将抽象出在计算机科学领域具有代表 性的“自适应 理论概念。 定义1 自适应性：自适应是软件的一种功能，该功能可以使软件根据当 前整个运行环境上下文的变化，自主自动的选择系统内部的不同组织结构和逻辑 算法，来达到适应当前上下文环境变化，以达到软件正常运行的目的。 第一章绪论 4 为了提高系统整体性能的可扩充性，针对防危核本文沿用了反射塔的设计 思路。但在实现方面，为了减少系统额外开销，本文结合r t a r m m 自适 应机制的特点，提出基于r t a r m m 的反射塔实现方法。 5 为安全关键系统加入自适应行为模块，使得当环境因素发生时，系统可以 自动调节自身工作状态从而适应新的安全环境。 6 最终利用r t a r 心压的自适应机制实现自适应防危核。 1 5 本文章节安排 第一章，主要介绍了本课题的研究背景以及国内外相关技术的研究现状，而 后介绍了本课题的主要任务和本人所做的主要工作。 第二章，主要介绍了有关防危性与安全性的异同，并着重介绍了国内外现有 的防危技术。 第三章，首先介绍中间件的基本概念与两种成熟的传统中间件：c o r b a 和 t a o ；并针对他们的不足，引入了r t a r m m 自适应技术。 第四章，重点讨论自适应防危策略的理论来源。其中，详细论述如何利用有 限状态自动机理论为安全关键系统建立自适应防危策略模型。 第五章，重点讨论如何利用r t a r m m 自适应机制实现基于反射技术的自适 应防危核。 第六章，利用核电站关键系统模型与飞机分型控制模型对设计出的自适应防 危核进行验证与测试。 第七章，主要是总结和下一步工作的展望。 5 电子科技大学硕士学位论文 第二章防危技术简介 随着计算机技术的飞速发展，其应用的范围也越来越广。特别是近年来嵌入 式技术的飞速发展，在工业控制、航空、智能交通等方面，计算机控制都得到了 广泛的应用；与此同时，用户对嵌入式系统的要求也在发生着改变。已不再停留 在以往的实时性、紧凑性等方面，对其可信性方面的要求也日益增加。对于可信 性，可从四个方面加以说明：安全性、可靠性、防危性与可维护性。防危技术是 保证系统防危性的重要技术手段，本章将针对防危技术的发展与种类进行简单的 介绍。 2 1 防危性与安全性 防危性( s a f e t y ) 与安全性( s e 谢锣) 实质上属于两个不同的概念【1 7 1 。但很 多国内学者均将“s a 脚 与“s e 砌t y ”理解为“安全 。而实际上，防危性指系 统防止危险发生的性质，针对的是系统中的关键领域，该领域发生的故障将会引 起灾难性的后果；而对该领域的保障措施则是为了避免该领域发生错误而带来的 严重结果。而安全性针对的是通信领域，即防止系统外部来的非法访问及未授权 的非法操作带来的严重后果。 针对防危性，其预防了由系统内部带来的错误对外界环境、人生安全、财产 等带来灾难性的后果。其危险来源主要是在系统方面的设计失误以及用户对系统 中的关键设备进行的误操作【2 2 1 。 而对以安全性，其预防了由系统外部来的非法访问与操作，给系统带来的破 坏与损失。其危险来源主要时系统外部人员，刻意使用黑客手段来对整个系统进 行攻击。 综 但在预 图 统示意 户与资 第二章防危技术简介 2 2 防危壳技术 用户操作请求 j 防危保护措施 j 设备资源 卜鬻 0 l 安全保护措施 上 设备资源 图2 1 安全措施与防危措施原理示意图 防危壳作为一种防危技术由c e n t r a lf 1 0 r i d a 大学的j a l lv a nk a 铆ij k 和z a l e w s l l i 等人提出。防危壳主要由3 大部分组成：状态监视器、时间监视器、以及异常处理 子模块。其结构如下图所示：n 们 控制器 俞令系鳓响应 时间控制器危险异常处理器 状悉变 防雉冲 化珠时 突柿命 间砖突令撼销 状态监视器 设各 命令系统 响应 被保护的i o 接口 i 设备 图2 - 2 防危壳原理示意图 图2 2 所示的整个结构中，其中状态监视器是诸多部件中最重要的，其作用类 似于通信的枢纽，负责隔离所有其他模块及用户操作请求控制器与底层的i o 接口， 7 电子科技大学硕士学位论文 由其验证所有操作请求，并与底层i o 接口交互。 当用户通过控制器提出操作请求时，该请求必须通过状态控制器，由其进行 审核，只有当审核结果为安全操作后，才能将请求送达设备完成操作。另外，状 态监控器还要负责实时监测设备的当前工作状态，一旦发现设备处于异常状态， 则由其负责通过发送相应的设备操作命令来调整系统的当前状态，同时向系统报 告错误。 时间监视器用于检验设备命令是否在规定的时间内完成，其保证了在实时系 统中的设备操作实时性。 危险异常处理器监视对设备的操作命令，并拒绝对设备的错误操作命令，调 用相应的错误处理程序。 综上所诉，可以看到，防危壳的防危原理是安插了一个隔离层在用于提出操 作请求的系统控制器与关键设备之间，所有对设备提出的操作请求都必须经过防 危壳的验证，验证成功后该请求才能到达设备进行操作。 防危壳除了这种被动的对设备的操作请求进行验证外，还具有主动保证设备 安全的特点，具体表现为如下几点： 1 ) 防危壳会对设备的状态进行实时跟踪，即使在没有任何来自于外部的设备 操作请求时，也要确保系统处于安全状态。 2 ) 防危壳提供了保证设备命令在指定的时间内完成的机制。 3 ) 防危壳会自动监测到系统的异常状态，并对其进行处理。 综上，防危壳提供了非常强大的防护功能。但其本身的处理流程非常复杂， 实现也很困难；同时其所需的时间与空间开销也较大。但防危壳同时拥有了主动 检查设备状态和保证设备命令时间限制等功能；在对实时性很强的嵌入式系统而 言，该性能十分具有吸引力。 2 3 防危核技术 防危核技术( s a f e t yk e m e l ) 最早由安全学家l e v e s o n 【2 6 】等人提出；其思想是 隔离应用程序与关键设备，从而实现对系统的防危性保障；其理论来源主要是安 全核( s e c 耐t y & ：r i l d ) 概念。在防危核的发展历程中，i 沁h b ) ，【1 2 】作出了巨大的贡 献，其在对防危核与防危策略进行描述时利用了形式化技术，并提出了防危策略 必须满足的两个条件。r u s h b y 为防危核的实现与发展奠定了坚实的理论基础，甚 至后来众多学者将防危核称为r _ u s b b v 的防危核。 8 第二章防危技术简介 2 3 1 防危核理论及模型结构 防危核的设计思想主要来源于安全核( s e c u r i 够) 。通常核主要指代核心、中 心等概念，在这里其主要用于隔离用户与资源，安全核的初衷是将系统与外界相 隔离，即将系统的安全策略封装在系统中，避免系统被外界非法入侵，从而避免 系统中的信息外泄或对系统的非法访问。一旦应用程序行为与系统安全相关，则 必须由安全核根据安全策略对其进行处理，从而保证整个系统的安全【2 0 】。其结构 如下图所示： 图2 - 3 安全核原理示惫图 从图2 3 中可以看到，所有用户对系统提出与系统安全相关的操作请求时，必 须经由安全核依据安全策略的验证，只有能通过验证的请求才能与系统内的各类 信息相交互，其他的请求则予以拒绝。 而防危核( s a f 啊) 的设计思想以安全核的理念为依据；其初衷是防止系统危 险情况的发生；其主要防止系统本身由于软件设计缺陷与错误操作对系统造成故 障，从而避免对外界环境、人生安全财产带来无法估计的损失。i h s h b y 提出的防 危核结构【3 0 】如下图： 图2 4 防危核原理示意图 图2 4 中防危核的结构设计思路与安全核类似，也是将对设备的操作请求与设 备本身相隔离。所有对设备提出的操作请求，均要通过防危核依据防危策略予以 9 电子科技大学硕士学位论文 验证。同样，只有通过防危验证的操作请求才能传达给设备进行操作；验证失败 的操作应予以拒绝；从而保证系统的安全。 i 沁s h b y 指出如欲使用防危核来实施防危策略，那么必须满足如下两个条件n 羽： 1 ) 防危策略中所包含的数据与变量必须在防危核的控制之下，亦即其必 须在防危核中实现，否则防危策略对防危核来说不可控。 2 ) 防危策略必须满足如下公式： v 口印奉p ( 口) ( 2 - 1 ) 其中印是由防危核提供的所有功能所构成的集合。公式中元素口可以是防危 核中一个或多个功能；p ( 口) 表示防危核对元素口的所有输入输出都进行监控。该 公式表明，无论系统中以何途径想与设备交互，其必须通过防危核以防危策略危 依据的验证。 2 3 2k e v in 防危核实现方案 h b y 为防危核的实现与发展奠定了理论基础，但是i 沁s h b y 并未将防危核应 用于工程，真正将防危核应用于工程的第一人是k e v i n 【3 0 1 。k e v i l l 发扬了r l l s h b y 防危核的设计理念，在9 0 年代，针对m s s ( m a 盟e t i cs t e r e o t a ) 【i ss y s t e m ) 他利用故 障树来制定防危策略，再通过r u s h b y 的两个条件对防危策略进行筛选；而后通过 软件设计出防危核，并将其设于应用层。 应用程序 防危核 可信的支持 系统软件 和计算服务 系统硬件 -眉 r 看门狗二 、 系统中与 * 土儿7 的：，点 r 芦 ( 、) f 图2 5 龇防危核结构图 图2 5 是k 刊n 设计的防危核结构；首先，在此结构中可以明显看出防危核处 l o 一 搴 第二章防危技术简介 于应用层。可信支持与计算服务由系统提供，其目是满足防危核功能的正确性以 及保证防危核实时性的要求。看门狗负责监视防危核的工作情况，一旦防危核出 现异常情况则立即进行处理。此结构采用了c s 模式，即客户端服务器模式。将 防危核看作一个服务器，而将对设备提出操作请求的应用程序看成客户端，每当 该应用程序向底层的硬件设备提出操作请求时，都将请求提交给防危核并通过防 危核对其进行验证。这样的设计使得防危核的开销相对较大，对系统整体的性能 稍有影响。 2 3 3 基于反射技术的防危核 2 3 3 1 反射的相关概念 反射概念的提出，主要是使系统或模块更加灵活，使其更好的适应不同用户 提出的不同要求，以及更好的适应环境的变化【1 3 】。早在1 9 8 2 年，s m i m 便首次系 统的提出了反射的概念【1 4 】。他指出：使用反射技术，一个程序能够完成访问、推 理、以及改变其自身解释的功能；随着时间的推移，近年来反射技术得到了广泛 的应用，包括操作系统，分布式系统等领域。 反射系统指该系统提供了可以被检查和调整的对自身行为的一种表示，并且 这种自身行为的表示和系统行为密切相关；亦即对于自身行为表示的改变将立即 反应到系统的实际状态与行为中去。最简单的反射系统由最基本的两层构成，分 别为：元层与基层。其中基层可以将其理解为系统的功能性接口，负责完成基运 算；而元层则主要负责对系统自身的反射运算，从而达到对系统本身进行调整、 控制的目的。在现实应用中，可以根据具体问题的复杂程度在元层中安排多个子 层，每一层负责进行不同的反射运算，从而使复杂的系统能更加高效、安全、可 靠的运作。 2 3 3 2 基于反射技术的防危核结构 近年来对防危核的研究成果中，有学者利用反射原理提出了一种基于反射技 术的防危核模型【2 8 】；该模型层次清晰、结构简单，易扩展维护、通用性也较之前 实现的防危核更强；如图5 1 所示： 图2 6 中，元层共有3 个子层，每层分别负责不同的元运算，分别为安全层、 防危层、容错层；基层负责具体的功能实现。应用请求必须从上而下依次经过所 有的元层子层的验证后，才能到达底层硬件对其进行操作。在此过程中一旦某