（计算机应用技术专业论文）电力应用背景下嵌入式安全操作系统的设计与开发.pdf

江苏走学硕士研究生论交 攮要 隧；鳖数字售惑技术鞠鼹络技术鲍麓速发展，诗算桃盼发袋悫入了“菇p c ” 露代，嵌入式系统越泉越或为这个对代翦主浚。褥对褒入式i n t e m e t 技拳魄开戆 广泛得到应用。但当它带来高效，快捷的同时，墩磴来了安全闷题。本谋越钟对 传统的嵌入式操作系统安全性能的不足，提出了墩用于电力系统的安全嵌入式操 作系统黪设诗与实现。该操作系统不仅保谨了系绞褒i n t e m e t 潮络中安全，还溃 足了瞧力系统控裁矮城对系统实辩犍秘稳定选魏豢求； 本文曾先介绍了嵌入式系统的发展及其主翳应用。然后描述了嵌入式菇统 的安全现状，并对嵌入贰系统目前的安全问题俸出了分析，说明嵌入式系统纳安 全瓣瑟将毽蓝突出，黢兔了一个急德解决懿麓鬈。 褒安全焱入式操作系统的总体设计中，酋必根据电力蓉统的背景，谶行了 需求分析。然后据j 毙选撵本课题操住系统模型的黎本框架，并舞l 定操作系统的基 本安全策略。雀这些王终鲍基础上，课题组提出了操佟系统的总体设诗挺絮及各 个模块麓主要凌髓穰裰甄之藏翡连接关系。 在分析了多个内核模型后，课溅缀引入了塾予库函数的内核模型。该模毽不 德可靠矬搿，运行效零优异，而且屡次分盟，逻辑结构清晰，便予设计与安现。 宠全笱会魄力系统懿愈用嚣求。 在安企穗制方西，渫题缀弓l 入了基于审计的入侵捡测帮强铺访瓣控割策略。 保证在不影响系统实辩瞧的前提下，有效的防止来自网络的安全威胁。 最艏，谍题组根攥预先要求的鬣统指标，搭建测试及运彳亍环境，选择测试工 翼并设诗溅试方案。投据褥戮鼹测试缝暴，霹安全嵌入式撩露系统蘸梭貔豢挺佟 出董化分移子。 关键词：嵌入式搽体系统信感安全安全内核入侵检溅强露访i a - j 控燃 江苏大学硕士研究生论文 a b s t r a c t a st h ed e v e l o p m e n to fd i g i t a la n di n t e m e tt e c h n o l o g y , w eh a v ee n t e r e dt h et i m e s o f p o s t p c a n de m b e d d e ds y s t e mt a k e sa ni m p o r t a n tr o l ei nt h i sp e r i o d e m b e d d e d s y s t e mi sa p p l i e di nm o r ea n dm o r ef i e l d s ，b u t i t b r i n g sp e o p l ec o n v e n i e n c ea n d e f f i c i e n c y , a l o n gw i t ht h ep r o b l e mo fs y s t e ms e c u r i t y a c c o r d i n gt ot h ed e f i c i e n c yo f s e c u r i t yt h a te x i s t si nt r a d i t i o n a le m b e d d e do p e r a t i n gs y s t e m ，t h ep a p e rd e s i g n sa n d i m p l e m e n t sa ne m b e d d e ds e c u r i t yo p e r a t i n gs y s t e mw h i c hi sa p p l i e di ne l e c t r i c s y s t e m ，a n di ti sn a m e da se s o s ( e m b e d d e da n ds e c u r eo p e r a t i n gs y s t e m ) i tn o to n l y e n s u r e st h es y s t e m ss e c u r i t yi ni n t e m e t ，b u ta l s om e e t st h er e q u i r e m e n t so f r e a l - t i m e a n ds t a b i l i z a t i o n f i r s t l y , t h ep a p e rd e s c r i b e st h ed e v e l o p m e n ta n dm a i na p p l i c a t i o n so fe m b e d d e d s y s t e m t h e ni tp o i n t so u tt h es e c u r i t yp r o b l e me x i s t i n gi ne m b e d d e ds y s t e m ，a n d m a k e sa n a l y s i s e so ni t a tt h ee n do ft h i sc h a p t e r , i tm a k e sac o n c l u s i o nt h a tt h e p r o b l e mo fe m b e d d e ds y s t e m ss e c u r i t yh a sb e c o m em o r ea n dm o r es e r i o u sa n dm u s t b et r e a t e di m m e d i a t e l y d u r i n gt h ep r o c e s so fg e n e r a ld e s i g nt o e s o s ，t h i sp a p e rf i r s t l y m a k e sa r e q u i r e m e n ta n a l y s i sb a s e do nt h ee l e c t r i cs y s t e m a c c o r d i n gt ot h er e q u i r e m e n t a n a l y s i s ，i td e s i g n st h eb a s i cf r a m ea n dd e c i d e st h em a i ns e c u r i t yp o l i c yf o re s o s 。 a f t e rd o i n gt h e s e ，i td i v i d e se s o si n t os e v e r a lm o d u l e sa n dg i v e st h ec o n n e c t i o no f t h e m a f t e ra n a l y z i n gs e v e r a lk e m e lm o d e l s t h i sp a p e rd e c i d e st ou s et h ek e m e lm o d e l b a s e do nf u n c t i o nl i b r a r y b e c a u s eo fi t sh i 馥p e r f o r m a n c ea n dc l e a r l ys t r u c t u r e ，a n di t m a k e st h ed e s i g nm o r ec o n v e n i e n ta n dc a nm e e tt h er e q u i r e m e n t so fe l e c t r o n i c s y s t e m i ns e c u r i t ym e c h a n i s m ，t h i sp a p e ra d a p t st w om e a n s i n t r u s i o nd e t e c t i o ns y s t e m b a s e do nt r i a la n dm a n d a t o r ya c c e s sc o n t r 0 1 i t sa c h i e v e m e n tr e f e r st ot h ei n t r u s i o n f r o mt h ei n t e r n e to nt h ec o n d i t i o no f e n s u r i n gt h er e a lt i m eo f t h es y s t e m a tl a s t , t h eg r o u pc h o o s e ss e v e r a lt e s tt o o l sa n db u i l d sat e s te n v i r o n m e n tf o r e s o s a c c o r d i n gt ot h et e s tr e s u l t ，w ea n a l y z ea n de v a l u a t et h em a i np e r f o r m a n c eo f e s o s k e y w o r d s ：e m b e d d e do p e r a t i n gs y s t e m ；i m f o r m a t i o ns e c u r i t y ；s e c u r i t yk e r n e l ；i n t r u s i o n d e t e c t i o n ；m a n d a t o r y a c c e s sc o n t r o l i i 学位论文版权使用授权书 本学位论文作考完全了解学校有关保警、使用学位论文的规定， 周意学校保留并向国家有关部门或机构送交论文的复印件和电子版， 允许论文被查阅和借阅。本人授权江苏大学可以将本学位论文的全部 内容或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫 描等复制手段保存和汇编本学位论文。 本学位论文属于 保密口，在年解密后适用本授权书。 不保密函。 学位论文作者躲慈事 0 ，以年岁月伽舀 ：枣窜 汤豸年，月z o 日 独创性声明 x1 0 1 3 9 g 6 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究工作所取得的成果。除文中已注明弓| 用的内容以外，本论 文不包含任何其健个人或集体已经发表或撰写过的作品成果。对本文 的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本 人完全意识到本声明的法律结果由本人承担。 叻学善 藩聃 名 年 签者 以 作 b 蚪 文 沦 ： 像 期 学 目 江苏大学硕士研究生论文 1 1 弓| 畜 第一章绪论 “未来的计算枫不会超过1 5 吨。”这是1 9 4 9 年科学杂志的大胆预测。之后 随着集成电路的不断发展，1 9 7 1 年i n t e l 诞生了第一个微处理器_ 4 0 0 4 ，以盹 衡量一个微机的熏量变成了笑话。计算枧技术，邋信技术为主的信息技术的高速 发展和互联网的广泛应用，使褥计算枧的发鼹出现了专业化和微型化的趋势，从 以普通p c 机为主流的时代慢慢步入“焉p c ”时代，嵌入式系统将成为这个时代 的主流。 嵌入式系统随着第一个微处理嚣丽兴起，经过了三卡多年的发展，已经褥 翻了广泛应用。小到智能电笔，大到航天器的导航设备。嵌入式系统已经广泛渗 透到人们的工作、生活中，从家用电器、手持通讯设备、信息终端、仪器仪表、 汽车、航天航空、军事装备、制造工业、过程控制等。美国汽车业匿头福特公司 的高级经理曾宣称，“福特出售的计算能力已超过了i b m ”，足见嵌入式计 算机行业的规模和无处不在。今天，嵌入式系统带来的工业年产值己超过l 万亿 美元。根据美国嵌入式系统专业杂志r t c 报道，2 l 世纪初的十年中，全球嵌入 式系统市场需求鳖具有比p c 市场大l o 至1 0 0 倍的商机。美国著名未来学家尼 葛洛庞帝9 9 年1 月访华时曾预言，4 5 年后嵌入式智能( 电脑) 工具将是p c 和 因特网之后最伟大的发明【i 】。 作为嵌入式系统灵魂的嵌入式操作系统是随答嵌入式系统的发展面出现 鲍。它是嵌入式系统发展到一定阶段的产物。嵌入式操作系统的出现，大大提高 了嵌入式系统开发的效率，彻底改变了以经针对一个具体需求就要开发一个全新 嵌入式软件的局面。在嵌入式操作系统之上开发嵌入式系统减少系统开发的工作 量，增强系统豹可移植瞧，使嵌入式系统的开发方法更规范更有效。可以说，嵌 入式操作系统的出现为嵌入式系统的发展铺平了道路。 嵌入式系统来来发展的主要趋势就是其网络能力。嵌入式i n t e m e t 是近几年 发展起来的一颈新技术，是指设备通过嵌入式模块而菲p c 接入i n t e m e t ，以 i n t e m e t 为介质实现信息交互的技术。例如，工业远程驻测系统则是利用i n t e m e t 技术和总线控制技术实现远程数据采集、分析并实对监控设备运行，从而降低成 本，提离效率；智能信息家电利用家庭网关接入i n t e m e t ，实现远程操作秘数据 共享，极大方便了我们的生活；手持智能设备通过g p r s 等无线接入方式和 i n t e m e t 相连，代替p c 在i n t e m e t 进行个人数据传输、处理和存储，如收发邮件， 下载资料，即时聊天等，其应用范露极为广泛。嵌入式i n t e m e t 带来的不仅是传 江苏大学硕士研究生论文 输方式的改变，更重要的是拓宽了传统设备信息交流的范围。通过i n t e r n e t ，任 何地点，任何时阕，任何两个设备豹信息交换都将成为可能，从两使我们的社会 真正步入了“信息化”社会t 2 1 。 然而在嵌入式i n t e m e t 带给我们崮效便捷的生活同时，我们必须看到它带来 的信息安全问题。目前i n t e r n e t 上的安全问题弼样也威胁惹嵌入式i n t e m e t 设备， 许多嵌入式系统处理的信息涉及到国家政治经济安全，工裔业情报等，不采取有 效的安全防范措施，一旦受到攻击将造成巨大的损失。建立一个有效的嵌入式 i n t e m e t 防护枧铡将是嵌入式i n t e m e t 健康、稳步发展的关键。 本课题所设计的嵌入式安全操作系统正是基于上述嵌入式系统的发展需求 两提出的，并引入各种安全机制，保障嵌入式操作系统的安全性和稳定性。 1 2 嵌入式系统及其应用 1 2 1 嵌入式系统的特点和发展历程 嵌入式操作系统( e m b e d d e do p e r a t i n gs y s t e m ，e o s ) 是一j 孛实时匏、支持嵌入 式系统应用的操作系统软件，它是嵌入式系统( 包括硬、软件系统) 极为重要的 组成部分，通常包括与硬件相关的底层驱动软件、系统内核、设备驱动接口、逮 信协议、图形界面。与通用操作系统相比较，嵌入式操作系统具有如下特征： 嵌入式系统是资源开销小的商性能价格眈系统。嵌入式系统的发展离不 开应用，应用的共同要求是系统资源开销小，出于嵌入式系统技术蟊益 完善，各种高性能嵌入式应用系统层出不穷，它b 憝资源开销小的高性 能价格比的一类应用系统。为了满足系统资源开销小、高性能、赢可靠 性的要求，大多使用f l a s hm e m o r y 。 嵌入式系统是功能强大、使用灵活方便的系统。嵌入式系统应用驰广泛 性，要求该系统通常是无键盘、无需编程的应用系统，使用它应如间使 用家用电器一样方便。 嵌入式系统楚一个实时操作系统。大多数嵌入式系统工作在实时性要求 很高的环境中，这就要求在嵌入式操作系统设计中将实时性作为一个主 要指标来考虑。在信患时代，人们必须在有限的髓阅内对信息进行处理， 从 搿为进一步分析信息争取时间。历以，一个嵌入式搡作系统必须体现 一定的实时悭。 嵌入式系统是一个模块化，固化代码兹系统。由予嵌入式系统需要根据 不瓣的应用进行装卸，尽量简化模块，做到够用藏彳亍。所以嵌入式系统 的模块划分必须实现考虑周全。嵌入式操作系统和应爝软件般是被圄 2 江苏大学硕士研究生论文 化程嵌入式系统的r o m 中，辅助存储器在嵌入式系统中很少使用。因 此，嵌入式操作系统的文件管理功能应该其有良好的兼容性，可以使用 各种文件系统。 嵌入式系统是一个强稳定的，统一接口盼系统。嵌入式系统一虽开始运 行就嚣要过多的人工干预。这样就需要操作系统具有较高的稳定性。隧 着各种嵌入式系统外围设备的出现，必须为嵌入式系统提供的接口进行 约定，从而为嵌入式应用软俘的设计者提供统一的服务接口，使得嵌入 式应用软件可以运行与不同的硬件平台上。 嵌入式系统的出瑗至今已经有3 0 多年的历史，近几年来，计算机、通信、 消费电子的一体化趋势日盏明显，嵌入式技术已成为一个研究热点。纵观嵌入式 技术的发展过程，大致可以分为四个阶段。 无操作系统的嵌入算法阶段( 7 0 年代初- - 8 0 年代初) 以单芯片为核心的可编程控制器形式的系统，灵有与监测、伺服、指示设备 楣配合的功能。这类系统大部分应用予一些专业性强的工监控制系统中，一般没 有操作系统的支持，通过汇编语言编程对系统遴行囊接控制。这一阶段系统的主 要特点是：系统结构和功能相对单一，处理效率较低，存储容量较小，几乎没有 用户接口。由予这种嵌入式系统使用简单、价格低，以前在国内工业领域应用较 为普遍，但是已经远不能适应高效的、需要大容量存储的现代工渡控制和新兴信 息家电等领域的需求。 简单监控式的实时操作系统阶段( 8 0 年代拐- - 8 0 年代末) 这一阶段的嵌入式系统主要以嵌入式处理器为基础、以简单监控式操作系统 为核心。系统的特点是处理器种类繁多，通用性比较弱；系统开销小，效率高： 系统一般配备系统仿真器，具有一定的兼容性和扩展性：操作系统的用户晃蘧不 够友好，其主要用来控制系统负载以及监控应用程序的运行。 通用的嵌入式实时操作系统阶段( 8 0 年代末- - 9 0 年代米) 以嵌入式实时操作系统( r t o s ) 为标志的嵌入式系统，如v x w o r k s 、p s o s 、 o s - 9 、w i n d o w sc e 就是这一阶段的典型代表。这一阶段系统的主要特点是：嵌 入式操作系统能运行予各种不同类型的微处理器上，兼容性好；操作系统内核小、 效率高，并且其有藏度的模块化移扩展性；具备文件和匿录管理、多任务、网络 支持、图形窗口以及用户界丽等功能；具有大量的应用程序接口a p i ，开发应用 程序较简单；嵌入式应用软件丰富。 以i n t e m e t 为标志浆嵌入式系统( 9 0 年代末一) 这是一个藤在迅速发展的阶段。目前大多数嵌入式系统述孤立于i n t e m e t 之 外，但随着i n t e m e t 的发展以及i n t e r n e t 技术与信感家电、工业控制技术结合臣 益密切，嵌入式设备与i n t e r n e t 的结合将代表嵌入式系统的未来【3 】。 江苏大学硕士研究生论文 1 2 2 嵌入式系统的发展趋势和嵌入式操作系统的应用 如上所述，现在正处于嵌入式系统发展的第四个阶段。隧蓑多媒体技术的 发展，视频、音频信息的处理水平越来越高，为嵌入式系统的多媒体化创造了良 好的条俘，嵌入式系统的多媒体化将变成现实。嵌入式系统与人工智能、模式识 别技术的结合，将开发出各秭更具人性化、智能化躲嵌入式系统。而它们在网络 环境中的应用更是不霹抗拒的潮流，并将占领网络接入设备的主导地位。但是 i n t e m e t 是一个不确定的网络，嵌入式设备在接入i n t e m e t 的同时，安全问题就必 须得捌解决，安全的嵌入式操作系统将是这个阶段急待解决的一个关键闽题嗍。 霹前，在实际应用中，嵌入式操作系统又可以分为两类： ( 1 ) 箍向控制、通信等领域的实时操作系统，国外 e 较流行的如w i n d r i v e r 公司的v x w o r k s 、i s i 的p s o s 、q n x 系统软件公司的q n x 、u c o s 等。下箍 对这几个操作系统进行简要的分绍： v x w o r k s 这是一个典型的嵌入式操作系统，所有进程的代码与内核的代码静态缝连 接在一起( 也可以动态装入) ，并且在同一个空阀中运行。所以，在v x w o r k s 中 的所谓系统调用其实就是直接的函数调用，相当于对库函数的调用。v x w j r k s 大概提供了3 0 0 0 多个的a p i 函数供调用。事实上，采用v x w o r k s 的系统并不像 其他系统那样有一个单独的“内核映象”，所有的系统函数都在一个或几个( 爨 标码) 程序痒中，应用软件经编译以后就与这些库中妻接或间接用蚕的函数适成 一个整体。不但如此，应粥进程代码中的函数落可以互相直接调用，因为也是在 同一空间。如嚣所述，凡是可以( 允许) 让多个进程调雳的代码都应该是可以重 入的，也就是不携定义和使用全髑爨。可是，有时又必须要使用进程范围内的进 程控制块相联系，成为上下文的一个组成部分，每当切换进程时就把这些“进程 变量”也一起切换了过米f 7 】【9 】。 q n x q n x 是加拿大q n xs o f t w a r es y s t e m 公司开发的产品。它设计思想是将系 统的各个基本功能都作为一个独立的系统进程来运行。除了内核，还包括了进程 管理进程、文件系统管理进程、设备管理遴程、鹅络管理进程。这种微内核加服 务进程的设计方式使其具备很多优势： q n x 的运行速度非常快，其他的操作系统没有办法和它相魄。系统非常安 全 q n x 上没有计算机病毒，这是和l i n u x 样的，所以q n xr t p 不存在被 病毒破坏资料的危险【9 j 。 p s o s 江苏大学硕士研究生论文 从结构上看，p s o s 腑内核可以说是比较靠近一体化内核的微内核。与 u n i x l i n u x 相比，内核中的文件系统的离层( 以及网络支持) 已经被移到外强， 并虽是作为操作系统的一个选项分别出售，但是设备驱动和中断服务还都留在内 核中。不过，被移到内核外面的文件系统层并不是作为一个服务进程运霉亍，而是 作为一个公用豹动态链接库由应用进程调用。当涉及底层的设备操作，如磁盘操 作时，就通过对内核的系统调用进入内核中的设备驱动层。这样，尽管进程调度 仍然只能在c p u 从内核退出时才能发生，但是由于文件操作的主体是在内核之 外运行，就大大缩小了不可裁夺的窗口。p s o s 的进程调度基本上是按照优先级 调度，在优先级相同时则可以选择先进先出或者轮换，但是也允许按时间片调度， 和l i n u x 的进程调度大同小异。在进程阕通信方面，主要的手段是报文传递和事 饽。此外，p s o s 也提供“插口( s o c k e t ) ”，并在此基础上为网络操作提供很强 的支持。 u c o s i i u c o s i i 是种开源的e o s ，它其实只是一个短小糟悍的微癌核，只提供任 务管理、中断管理、任务通讯、以及简单的内存管理等功能。在内核调度上，它 采用的是基于优先级的可剿夺调度策略，系统最多允许同时调度6 4 个进程；在 进程的通讯方面，主要手段是信号量、自口箱和事侔标志组；在内存管理方面，它 采用固定分区的内存管理策略。其实时性和稳定性在不断的广泛应用中得到了考 验。但该e o s 不提供对安全性的支持【”。 ( 2 ) 面向消费电子产品的非实对操作系统，国外的如3 c o m 旗下 p a l mc o m p u t i n g 公司的p a l mo s 和微软的w i n d o w sc e 等，这类产品包括个人数 字助理( p d a ) 、移动电话、枫项盒、w e b p h o n e 等。 p a l m o s p a l mo s 是一种3 2 位的嵌入式操作系统，提供了串行通信接口和红外线传 输接口，捌用它可以方便的与其他外部设备遴信、传输数据。拥有开放的o s 应 用程度接口，开发商可以根据需要自行开发所需的应用程序。p a l m o s 是一套专 门为掌上电脑开发的o s t 引。 w i n d o w s c e w i n d o wc e 也是一种微内核结构，也就是说它的进程是可剥夺的。w i 砖o w c e 静设计用到了m i c r o s o f t 桌面系统中动态链接库技术，除了微内核以外，将其 他的系统部俘以动态链接霹的形式加载。这样系统的配鬣就非常的灵活。w i n d o w c e 的图形用户界瑟也值得一提，它与w 强d o w s 系列产品的界面很相似，作为一 个消费电子产晶的系统，这个特点能让许多w i n d o w s 用户很容易上手使用 w i n d o w sc e i s 。 可以看到这些因外的嵌入式操作系统发展得比较成熟，大小各异、种类繁多、 江苏大学硕士研究生论文 应用齐全。但是在安全性熊方面，这些嵌入式操作系统簧么没有涉及，要么对其 进行严格的保密( 禁运产菇) ，且价格非常昂贵。在国内，l i n u x 操作系统由于 其源代码开放，具有很好的成本效益而倍受青睐。其中，中科红旗软件公司基于 l i n u x 的嵌入式红旗l i n u x 操作系统已在n e c 和i n t e l 的系列产品中采用。此终 我国自主开发的嵌入式系统软件产品如科银( c o r e t e k ) 公司的嵌入式软件开发 平台d e l t a s y s t e m ，它不仅包括d e l t a c o r e 嵌入式实时操作系统，丽且还包括 l a m d a t o o l s 交叉开发工具套件、测试工具、应用组件等；中科院凯愚集团也推 出了h o p e n 嵌入式操作系统【5 j 。 可以看出国内的嵌入式操作系统这几年也有了不少进展，但是与世界上的 那些优秀的e o s 相魄还有不少的差距，性能还有待进一步完善。这显然不利予我 国嵌入式行业的发展，不利予满足越来越紧遣的安全性需求。 1 。3 嵌入式系统安全 1 3 1 嵌入式系统安全的现状 在对传统的操作系统实施大规模的攻击尝试之后，部分犯罪分子的眼光已 经瞄准了在一定范溺内使用的专业嵌入式操作系统，特别是金融领域。1 9 9 8 年9 月，郝景龙、郝景文两兄弟通过在工行储蓄所安装遥控发射装置，侵入银行电脑 系统， 法取走2 6 万元。这是被我国法学界称为全国蕾例利用计算枫网络盗窃 银行巨款的案件。 出于嵌入式系统本身条件的限制，嵌入式操作系统的安全防护能力有限。 黑窖利用了嵌入式操作系统的使用量相对不多，中小型公司技术和资金有限，其 设计的系统比较脆弱，易受攻击，后门较多，安全性差，防堵安全漏洞的能力一 般等缺点。特别楚在联网的系统翼，系统的信息安全西幅极大的挑战，从理论上 讲嵌入式系统的大量使用和联网将有可自给该类系统带来灾难。作为嵌入式系统 灵魂的操作系统将肩负嵌入式系统安全的主要责任。 在传统的操作系统领域，从1 9 6 5 年贝尔实验室和麻省理工大学联合开发的 m u l t i s 安全操作系统到磊蔚一些刚开发或者正处予开发阶段的安全操作系统，如 美国国防部的s e l i n u x ，d e c 的v m m ( v i r t u a l m a c h i n e m o n r o r ) 等【l 哪，传统的 安全操作系统无论是在理论方面还是实际开发运用上，都已经走过了四十年的历 程，出现了很多成熟的产品，并青l 定了一些比较公认鲍安全标准。但是在嵌入式 操作系统领域，安全操作系统的开发芷处于一个起步阶段，至今还没有应用于嵌 入式操作系统的安全标准，因此，本课题开发的嵌入式安全操作系统，对于安全 性的设计将借鉴传统安全操作系统的安全标准。 6 江苏大学硕士研究生论文 1 3 2 嵌入式操作系统安全的分析 在传统的操作系统领域中，作为一个安全的操作系统，其主要目标是： 依据系统安全策略对用户的操作进行访问控制，防止用户对计算机资源的 j 法访问( 窃取、篡改和破坏) ： 标识系统中的用户并进行身份鉴别； 监督系统运行的安全性； 保证系统自身的安全性和完整性； 为了实现这些耳标，需要建立相应的安全机制，如硬件安全机制、标识与鉴 别、访问控制、最小权限管理、安全审计等【1 0 】。并采用成熟完善的开发方法， 安全模型和安全标准来设计衡量系统的安全性。但是，在嵌入式操作系统中存在 许多不同于传统搡作系统的特点，我们在设计安全的e o s 时，不可能全盘照搬开 发传统安全操作系统的的一切做法，两应该从具体的应用背景比发，根据实际的 安全需求制定安全策略，然后选择一个合适的安全模型，对安全模型进行必要的、 合理的修改，使其能真实地反映出制定的安全策略，最后在此基础上遴行设计和 开发。 对于应用于工业控制领域的嵌入式操作系统，它具有如下不同予传统操作系 统的特征，在进行安全性设计时必须考虑这些因素： ( 1 ) 实时蛀和安全性的矛詹。应用予控制领域的嵌入式操作系统系统一般都 有实时性的要求，而且在某些应用场合要求是十分严格，但是安全性的引入无疑 会增加系统运行的时间和空间复杂度，这就与e o s 的实时性要求相抵触，因此在 设计过程中，我们必须根据应用场合的需要，找到实时性与安全性的最佳平餐点。 ( 2 ) 嵌入式操作系统开放度眈较，l 、一般鄂不支持动态程序装入技术。嵌入 式系统正常运行时，一般跟外面的接触不多、开放度比较小，特别是很多e o s 不支持动态程序装入技术，这些特征对安全性实现是有利的。因为不支持动态程 序的装入技术，就意味着入侵者很难把自己的恶意代码下载到e o s 中运行，除去 了一种比较常规的攻击手段。 ( 3 ) e o s 资源的有限性问题。作为一个嵌入式系统，对于其制造成本是很敏 感鸵，一般都掇据其应用场合选取必要的硬件设施。然丽，我们为了得到更好的 安全性，往往需要硬件平台具备更高的计算能力和更多的存储空阔，因j 跑在设计 中，必须在安全性和控制成本间寻求平衡。 ( 4 ) 应用于控制领域躲很多微控制器( m i c r oc o n t r o lu n i t ，m c u ) 没有提供 硬件安全机制。众所周知，i n t e l 的x 8 6 系列处理器从8 0 2 8 6 开始就弓 入了保护 模式机制，以后引入的页式存储技术趣进行了保护机制的设计，所以通用的c p u 的保护机制的支持是e 较完善的。但是应用于嵌入式领域的很多微控制器却没有 7 江苏太擎硪士研究童论文 这方筒的功能，魄如现在应用缀广泛的a r m 7 t d m i 系列芯片，没有m m u ( m e m o r y m a n a g e m e n tu n i t ) 懿支持，内核鄢趣羁程序共攀穗爵的遗嬷空阕，这显然不裁予 系统豹安全往。 攒上述分析，作为一个应麓予工业控制领域的安全e o s ，在安全性方西必须 突出以下三点： 运行鳃胃靠赣 工妲控翩领域的嵌入式系绫掰处的环境般都是无入镄守的。因此，e o s 浆 运行必须是嵩可靠的，朝使出现意外情况，也w 以在无人工干预粒情况下鑫我恢 复。辩予e o s 豹设计簸必须傲裂备个模块豹松藕合，保证不会卣于一个模块靛异 零导致整个系统懿崩溃。并对关键模块采翔冗余技零，最大羧度浆提蕙豢统无效 障运行周期。 操作入员豹控制 瑷代工鼗整蠹越寒越多静慕愆远程控露l 毅拳，嚣j 乏薄予搡终天曼浆羧麓不稷 是对冀行为的监控，而盈还包措辩操作人员拽术。e o s 首先运用标识和浆簿i 技术 控制操作人员的真窳性，防止非法人员掌握系统的控制权。e o s 还必须聪操作入 员於所嚣操棒行麓避行记录蹑踩秘提示，进行事鼗原因翡粪谶、定位，攀放发生 嚣熬鞭测、摄警叛放事故发生螽翡实蔚楚理援供详细、露靠的袋据器支持，以备 有逢反系统安全规雯1 ：| 的事件发垒衙能够鸯效的追查事故发嫩的具体细节和责任 人。 系统数爨懿突整注窝髹餐经 e o s 在运行过程中保存蔷许多工业设备状恣参数帮运杼数据，特剃麓电力系 统中，e o s 将保存大爨电力设备状态参数和嚼力数据。对手其中的敏感数据，不 仅 | 晷骚保证萁机密憋，还要傲到荚完整性。农设计孛，必须以硬磐与软髂糨结合 懿手段傈证数据静完整淫耱穗辫瞧。 1 4 课遂的研究背景稚意义 当蓠中霹经济燕在飞速发鼹，邀力需求爨魏了一种供不应求的两瑟。近几年 来，特别是夏天政膨郝不得不进行干预，采取挝闸限电的措施来保障屡民翡用电。 可以预见，在不久豹将来，政府定会热大电力方嚣煎投入，按发电站将鹿运露 生，攘臻嚣来懿是备释邀力控裁设备迄终量凡辩级数靛增熬。蔻了管理魏藏众多 的电力控制设备，对蔟智能亿，网络化的控制必将成为释发展趋势。嵌入式系 统在电力系统中的艘用有着悠久的历史，但隧篱电力网接入i n t e m e t 阴络，安全 毪戆阏题瞧隧之产生了。一个安全的焱入式蓉绞楚毫力行渡稳定发震熬鬟癸蓑 稿 g 江苏大学硕士研究生论文 长期以来，我霞广泛应用的主流操作系统都是从嚣外弓| 进直接使用的产品。 从琶外弓| 进的操作系统，其安全性是难以令人放心。 在一些岗安全的应用场合必须用国内自主知识产权粒操作系统譬前在服务 器和桌面领域，微软的w i n d o w s 系列操作系统占据了大部分市场，其他的操作系统 在短时间很难与w i n d o w s 竞争但是在嵌入式领域，由于对予不瓣的应用场合需 要不同的专用嵌入式系统，豳际上还没有形成一方垄叛的局面。本谋题开发浆是 一个基于电力系统应用的安全嵌入式操作系统，国内还没有出现类似熬搡作系 统，因此歼发这个安全嵌入式操作系统可以应用于大部分的电力系统中，甚至能 应用于在一些类似的应用场合，因此具有一定的市场嚣景和商渡价值。 1 6 论文的主要工作和结构安排 在攻读硕士期间，作者进行了多方面的研究工作，其中主要包括：“嵌入式 l i n u x 的系统设计与应用”、“u c o s i i 实时操作系统的分析与应用”、“l i n u x 源代码 的分析”、“嵌入式安全技术的分析研究”、“基于g p r s 的油田远程安全控制系统” 等。通过对这些课题的研究和实践，使我对操作系统设计、嵌入式系统设计、信 怠安全和工业控制积累了大量的知识和经验。为本课题的设计和开发打下了基 础。 本课题的具体任务是根据电力系统的需求，建立一个安全嵌入式实时操作系 统的基本，并实现其主要的功能模块。由于工作量较大，本课题一共有三个研究 生共同完成，作者负责其中安全微肉核、入侵检测模块和访阿控制模块的设计。 本课题的研究任务可以分为以下五个过程： 1 产品盼需求调研和总体方案设计 通过对操作系统设计、嵌入式系统设计、信息安全及嵌入式i n t e m e t 技术的 研究，从丽了解嵌入式操作系统的发展现状、各种实现方案及其应用场合。在此 基础上，结合电力系统的应用背景进行需求调研，从褥确定安全嵌入式实时操作 系统的设计方案，并根据需求进行软硬件方案协同设计。 2 硬件电路的选用和测试 根据方案需求，对微处理器、存储元件等主要硬件进行选型，构建最小系统。 然后选定外围器件，主要有以太网控制器、审霸控露i 器、调试装嚣等。整个硬件 设备的选取尽量傲到采用主漉设备，馊操作系统的开发更具通用性。 3 安全微内核的设计与实现 首先，选用编辑、编译和调试工具，建立开发环境。然后选取内核结构模型， 依据安全模型，编写基本的安全微内核。安全微肉核的设计将是整个操作系统懿 安全基石。所以在将编写的内核移植到开发乎台后，我们必须检溺内核的安全性 9 江苏天擎磺士研霓宝论文 和可靠性。 4 ，入侵检测模块与访l 、蠢控制模块的设计与实现 在安全微内援鲍基础上，根据确定的安全方案，邂步舶入入侵检测和强制访 阚整裁模块，会麓课题组其拖残爨开发鹣安全功熊模块，共阕褥遥一个整体上完 备豹垒薪安全搽终系统。奁设诗过糕中，骰簧与课嚣缀其缝或员懿交流嚣海逶， 保证系统各个模块的相互兼容和尽麓减少冗余。 5 应用及测试 测试前需根据系统指标设计澳试方案，选择钡4 试王舆和数据分粝工具；器根 据测试方案测爨蔓i 大攒试验数据，对数据遂行针黯性分辨，褥窭系统性能禊试缝 果。 本论文的络梅蜜排如下： 在第一章( 缳论) 中，通过对渫题背景鲍描述，弓| 出了课题盼研究范嘴及意 义，并分析了本漾题的主要内容嵌入式操作系统及其在社会生活和工业领域 翡发展和应蹋，翘对强调了在阚络时代髂息安全的黧骤饿。 攀二章营建瓣毫力系统嚣盔霆徽照霈采分辑，遵过方案毙较，霹不蘸撩终系 统模型的分褥鄹硬佟平台盼选定，攘懑了一套基于淑力系统应蘑懿安全嵌入式操 作系统的总体设计方案。总体设计方案主要包括对系统内核、文件系统、随络模 块、内存管瓒鞭安全模块的设计。 从第三零开始烈第五牵j 依次怒作者受责设计的内棱模块、入侵检测横块和 强蠹| 谚阖控囊模块翡其髂设谤秘安蠛。第三章嚣蠹孩撰淡潦奔绥肉梭模型懿蓥零 傣患，禳攥本谍趱需求，选定采舔静安全微疼棱模整耱开发方案，著滋行设计释 实现。它将怒本课题设计的操份系统的重点部分，也怒作者工作的熏点：第涎章 入侵检测首先对嵌入式系统的入侵捡测做出分析，捧擞据嵌入式系统的特点提出 入侵检测的设计和实现。第五鬻将分析采用的强制访l j 薅_ 控制的b l p 安全模型， 莠终遗簿化耨修改，然嚣结合本攘棒系统兹骛点进行设诗籁实理。 在第六章孛蔷先接述了系统貔逡行及测试蓼凌，掇撵溪试需要选择溅试王 其，设计测试方法，裰据实验缩聚，对照系统设计攒栎进行裙应的分析。 最后，谯第七章中对论文内容进行了总结，根据融融研究的成果和体念，提 如了作者对安念嵌入式系统未来黢展瓣一点看法。 l o 江苏大学硕士研究生论文 第二章安全嵌入式操作系统e s o s 的总体设计 2 1 需求分析 嵌入式系统在电力系统中的应用有着悠久的历史，广泛的应用于数据采集、 自动装鬣、仪表检测、集散控制( d c s ) 等各个领域。其中较为典型的应用有： ( 1 ) s c a d a ( s u p e r v i s o r yc o n t r o la n dd a t aa c q m s i f i o n ) 系统，鞠数据采集与监 视控制系统。s c a d a 是保证电力系统正常运行、实现调度控制的基础，是现代 能量管理系统( e m s ) 的基本缀成之一。调度中心的工作人员在调度中心得到的 数据都是卣各个远程终端采集( r t u ) 并传送上来的。每个r t u 都是一个典型 的嵌入式系统。 ( 2 ) 微机保护。从匿内第一套微机保护装置诞生至今，微机保护已经经历了 插件式、多单板桃式和多单片机式三代的发展。最新一代的微机保护已经采用嵌 入式系统实现了，它不仅依托于硬件上的嵌入式设计，还运用了嵌入式操作系统 作为其基本控制平台。 ( 3 ) 嵌入式系统在电力系统自动装置中的应用也很多，例如：微机准同期装 置、微机励磁调节装譬和微机稳定控翎装置等。这些鑫动装置之所以冠以“微机” 鲍名称，实际上都可以认为是一个嵌入式系统。 ( 4 ) 电费的计量涉及到用户和电力公司双方的利益。一个完整的电赞计量系 统由电能的自动采集与处理系统、电能数据计费结算系统二个部分组成。由于用 电用户的分散性使得嵌入式系统成为最佳的实现方式。 电力系统是一个复杂的大系统，不同舱应餍场合需求各异【”】。课题组开发 的嵌入式安全操作系统，将主要应用予电力行业，特别是魄力控制领域，也就是说 这是一个应用予电力控制领域的专用安全嵌入式实时操作系统f 即e s o s ， e m b e d d e da n ds e c u r eo p e r a t i n gs y s t e m ) 。这就对系统提出下刭基本要求： 实时性更强 特别是在电力系统中的数据采集和控制应用中，实辩性应该是第一个应该考 虑的实现重点。比如，在龟路发生异常的大电流时，断路器就要求在毫秒级别躲 时间内完成切断的功能。否则，在这个短短的瞬间，有可能对电力系统中的各种 器传造成极大的损害，甚歪有可能造成极大的危险。这里的实对性不仅指获得数 据的实时性，还包括数据分析、处理、决策的实辩瞧。因此这对嵌入式系统的硬 件和软件都鸯个缀苛刻的要求。 可靠性更高 电力系统的稳定，怒一个关系到潮计民生的问题。所以，在电力系统的控制 江苏大学硕士研究生论文 中，嵌入式系统应该要有缀禽的可靠性。这就要求嵌入式系统不仅能够按照预先 设计好的流程工作，而虽还要一定的抗干扰帮自我恢复的能力。一般是采用加入 看门狗自恢复和自诊断功熊，采用各种数据校验技术等技术进一步提高系统的可 靠性。 可扩展性好 在系统设计和开发过程中，将采露软件工程的思想，采爝模块化的设计方式， 减少各模块之闯的耦合度。这样，可以方便一些模块的更新、添加和卸载。灵活 性强，更容易移植。 网络通讯能力强 根据国家电力数据邋信掰的发展规划，捌2 0 0 5 年全国电力系统将实现联网， 省级网作为数据网上的重要节点被要求酋先建成电力宽带数据通信阙，宽带喇络 将作为统一的数据平台纳入嚣家电力建设之中，统一化的网络平台无疑是电力行 妲自动化发展的方向。 系统更安全 当电网的各个工作站之间盼联网、整个电网的整体控制成为一种发展趋势 时，安全问题就是一个不褥不面对的闯题。这里酶安全包括对一些重要和敏感数 据的保护以及对整个电网控制的保护。安全功能必须防止非授权用户对电网数据 的窃取和对电网控制的破坏。安全性不是一个孤立的问题，它盼实现依靠各个模 块安全性的实现。课越组将在实现操作系统各模块安全性的基础上，使系统的整 体安全性达至c 2 级别。 综上所述，可以看到实时瞧赢、安全憔强、具备网络通信能力将成为电力荦亍 业嵌入式操作系统三个最主要的要求。 2 。2 操作系统模型的选择 2 2 1 操作系统筒介 操作系统( o p e r a t i n gs y s t e m ，简称o s ) 是计算机系统中受责支撑应用程 序运行环境以及用户操作环境的系统软件，同时也是计算机系统的核心与基石。 它的职责通常包括对硬传的赢接监管、对各种计算资源( 如主存、处理器时间等) 的管理、叹及提供诸如作业管理之类的面向应露程序的服务等等。操作系统的 理论是计算机科学申一个古老两又活跃的分支，面操作系统的设计与实现则是软 件工业的基础与核心。 当今，用于通用计算机的操作系统主要有两个家族：类u n i x 家族和微软 w i n d o w s 家族。两嵌入式系统所使餍的操作系统，很多和硼n d o w s 和u n i x 都没 江苏大学硕士研究生论文 有直接的联系。