（计算机应用技术专业论文）嵌入式安全操作系统及其存储管理的设计与开发.pdf

江蒜大学颈+ 学位论史 攘要 嵌入式i n t e m e t 技术的飞速发展和广泛】燕用，给应用于电力控制领域的嵌入 式捺彳乍系统带慕了耨麓魏战它带寒离效、褒夔嚣瓣辩，迎雩；灭了安全闼题。 本课题针对传统的嵌入式搡作系统安全穗靛的不足，设计并开发了一个应震于特 定的电力控制领域的、安全的( t c s e c 的c 2 级) 嵌入式实时操作系统，并把它 命名为e s o s ( e m b e d d e da n ds e c u r eo p e r a t i n gs y s t e m ) 。该操作系统不仅保证 了系统在i n t e r n e t 两络中熬安全注，还满足了电力控制鞭蠛黯系翁麓实对程帮 稳定性要求。 本论文首先舟绍了嵌入式操作系统的历史、现状和趋势，然后攒述了论文的 磺究篱景，荠播蹬耋s 灞魏礤发在絮识产毅、学零磅究鄢经游效蓥三个方委懿意 义。 在e s o s 的总体设计中，本论文首先根据电力系统的背景，进行了需求分析， 然后缀挺嵌入式搡作系统和安全操作系统的设计原则，逡挺了内核及其安全性的 安蕊方案，著对s e s 送行了模块翡巅分，最后礁定了每个穰袭麓功畿。辜论文 主蜜完成其中的安全内存管璎模块和安全文件系统模块( 统称存储管理模块) 酶 设计和开发。 在赛篱安金掇鬟方蟊，本谚文参爨了传统安全撩作系统豹开发方法，对c 2 缎体现豁安全需求进行详缨鹣瓤车厅，并缀合e s o s 瓣蜜黼漕况裁定了安全策略， 然后在分析几种经典的安全模型的基础上，选择了一个合适的安全模型，并进行 必婴的改造。在这些工作的基础上，本论文傲出了安全模型与g s o s 蜜全策略的 对廒洼谖臻，然嚣浚诗基e s o s 存储蓄理模块掰涉聂蕊安全褪裁，并避行安全模 型与存储管理横块安全性设计的对应性分析。 在安全内存管理模块的设计和开发过糕中，本论文巧妙地应用伙伴算法实现 蠢存嫒麓分酝藕鹜浚，著罄凌了“蠹亭空越涎豢”露露。在安全文转系统麓设计 帮开发过程中，本论文赞对电力底层茬铡系统数据量不大、数量类黧桶对荤调戆 特点，略去了目淤的设计，并且建立了内栉中的文件映射机制，把对f l a s h 文件 的搽作放置到赢遥的内存中完成。在这两个模块的开发过程中，实现了e s o s 针 对存糖警瑾裁定的安全畏蒙臻。 最后，课禳纽根据预先嚣求的系统髓熊指标，掊建涮试及运行平台，制定瓣 试方案并进行了测试。根据测试结果，对e s o s 的性能指标作出量化分析。 关键诿：酝久式操俸系绫，嵌天式安全蠢存管瑗，袋入式安全文徉系统， e s o s ，安全设计 江苏夫学磷士学位论文a b s t r a c t a b s t r a c t t h en 甄n gd e v d o p m e n ta n df a r - r a n g i n ga p p l i c a t i o n so f e m b e d d e di n t e m e tb r i n g an e wc h a l l e n g et ot h ee m b e d d e ds y s t e m sw h i c ha r eu s e di nt h ea r e ao fe l e c t r i c a p p f i c 毂t i o n b e c a u s e i t b r i n g sp e o p l ec o n v e n i e n c ea n de f f i c i e n c ya l o n gw i t l lt h e p r o b l e mo fs y s t e ms e c u r i t y a c c o r d i n gt ot h ed e f i c i e n c yo fs e c u r i t yt h a te x i s t si nt h e t r a d i t i o n a le m b e d d e do p e r a t i n gs y s t e m ，t h i sp a p e rd e s i g n sa n dd e v e l o p sas e c u r e ( c 2 l e v e lo ft c s e c ) a n dr e a l t i m ee m b e d d e do p e r a t i n gs y s t e mw h i c hi su s e di nt h ea r e a o fe l e c t r i ca p p l i c a t i o n a n di ti sn a m e da se s o sf e m b e d d e da n ds e c u r eo p e r a t i n g s y s t e m ) i tn o to n l ya s s u r e st h es e c u r i t yi ni n t e r a c t ，b u ta l s om e e t st h er e q u i r e m e n t so f r e a lt i m ea n ds t a b i l i z a t i o n f i r s t l y , t h i sp a p e ri n t r o d u c e st h ed e v e l o p i n gh i s t o r y , a c t u a l i t ya n dt h et r e n do f e m b e d d e do p e r a t i n gs y s t e m t h e ni tp o i n t so u tt h es t u d yb a c k g r o u n d ，a n dc o m m e n t s t h ev a l u e so fs t u d y i n ga n dd e v e l o p i n ge s o sf r o mt h et h r e ea s p e c t so fk n o w l e d g e p r o p e r t y , l e a r n i n gs t u d ya n de c o n o m y b e n e f i t ， d u r i n gt h ep r o c e s so fg e n e r a ld e s i g nt oe s o s ，t h i sp a p e rm a k e st h er e q u i r e m e n t a n a l y s i sb a s e do nt h ee l e c t r i cs y s t e mf i r s t l y t h e ni tc h o o s e st h em e a n sw h i c hb u i l d t h ek e r n e la n di t ss e c u r i t ya c c o r d i n gt ot h ep r i n c i p l e so fd e s i g n i n gs e c u r eo p e r a t i n g s y s t e m sa n de m b e d d e do n e s ，f u r t h e rm o r e ， td i v i d e se s o si n t os o m em o d u l e s ，a n d m a k e ss u r et h ef u n c t i o n so ft h e mf i n a l l y , 强i sp a p e rm a i n l yd e s i g n sa n dd e v e i o p st h e m o d u l e so fm e m o r ym a n a g e m e n ta n df i l es y s t e mw h i c ha r e c a l l e d a ss t o r a g e m a n a g e m e n tt o g e t h e r 工nt h ea s p e c to fs e c u r i t ym e c h a n i s m t h i sp a p e rr e f e r st ot h ed e v e l o p i n gm e t h o d o fc o n v e n t i o n a ls e c u r e o p e r a t i n gs y s t e m ，a n db u i l d st h es e c u r i t ys t r a t e g i e sa f t e r m a k i n ga na n a l y s i so nt h es e c u r i t yr e q u i r e m e n t so fc 2l e v e ld e t a l l e d l y t h e ni t c h o o s e sa na p p r o p r i a t es e c u r i t ym o d e la n dm a k e san e c e s s a r ya m e n d m e n to ni tb a s e d o na n a l y z i n gs o m es c u f f t ym o d e l s a f t e rd o i n gt h e s e ，i tm a k e sac o r r e s p o n d i n g n a r r a t i o nb e t w e e ns e c u r i t ys t r a t e g i e sa n ds e c u r i t ym o d e l f i n a l l y , i td e s i g n st h e s e c u r i t ym e c h a n i s m sw h i c ha r er e l a t e dw i t ht h es t o r a g em a n a g e m e n to fe s o s ，a n da c o r r e s p o n d i n ga n a l y s i si sm a d eb e t w e e ns e c u r i t ym o d e la n ds e c u r i t yd e s i g n s d u r i n gt h ep r o c e s so fd e s i g n i n ga n dd e v e l o p i n gm e m e o r ym a n a g e m e n t , t h i s p a p e ra p p l i e st h eb u d d ys y s t e mt oa l l o c a t ea n dr e c y c l em e m o r ys p a c es k i l l f u l l y , a n d s c a l e so u tt h ep r o b l e mo fm e m o r yl e a k i n g d u r i n gt h ep r o c e s so fd e s i g n i n ga n d d e v e l o p i n gf i l es y s t e m ，i ts k i p st h ed e s i g no f d i r e c t o r yb e c a u s eo f t h ed a t a sc h a r a c t e r s i i 江苏大学硕士学位论文 a b s t r a c t o fs m a l ls i z ea n dm o n o t o n yt h a te x i s ti nt h el o w l e v e lc o n t r o is y s t e mu s e di ne l e c t r i c a p p l i c a t i o n ，a n di tb u i l d sf i l em a p p i n gm e c h a n i s mi nr a m ，w h i c ho p e r a t e st h ef i l e s l o a d e df r o mf l a s hi nh i g h s p e e dr a m t h i sp a p e rm a k e st h es e c u r i t yd e s i g n sr e l a t e d w i t l ls t o r a g em a n a g e m e n tc o m et u r ed u r i n gt h ep r o c e s so fd e v e l o p i n gt h et w o r o o d u l e sm e n t i o n e da b o v e f i n a l l y , a c c o r d i n gt ot h et a r g e t so fs y t e m ，t h ed e v e l o p i n gg r o u pb u i l d st h et e s t i n g a n dr u n n i n gp l a t f o r m ，a n dt e s t st h es y s t e ma f t e rm a k i n gt h et e s tm e a n s ，t h e ni t a n a l y z e sa n dq u a n t i f i e st h et a r g e t so f t h es y s t e mb a s e do nt h er e s u l t so f t e s t i n g k e yw o r d s ：e m b e d d e do p e r a t i n gs y s t e m ，e s m m ( e m b e d d e da n ds e c u r em e m o r y m a n a g e m e n t ) ，e s f s ( e m b e d d e da n d s e c u r ef i l e s y s t e m ) ，e s o s ， s e c u r i t yd e s i g n i l l 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定， 霹意学搜像蝥并淘莺家毒关帮门或枫梅送交论文魄复印件和或子舨， 允许论文被查阅和借阅。本人授权江苏大学可以将本学位论文的全部 魂容裁部分瘫容缡入有关数援痒进行梭索，可以采建影印、缀印或扫 描等复制手段保存和汇编本学位论文。 本学位论文属于 学位论文作者签名： 沙年f 胃劲囊 保密口，在年解密质邋用本授权书。 ， 不保密留。 & 罗一 指导教师签名：毒戈? 罐 叫年岁胃知嚣 、 独创性! 声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究工作所取得的成果。除文中已注明引用的内容以外，本论 文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文 的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本 人完全意识到本声明的法律结果由本人承担。 学位论文作者虢撬爱 日期： 易彳年广月劲日 江苏大学硕十学位论空 第l 章鳞论 1 。1 引言 第一章绪论 自从1 9 4 6 年第一台计算机e n i a c 诞生以来，计算机技术在短短的半个世纪 里得到了飞速的发展，它在人炎生活的各个领域里得到了广泛地应用，大大改变 了人类的生活方式，引起了“第三次科学技术浪潮”，把人类带入了“信感时代”。 今天，随着数字信息技术帮网络羧术酶高速发展，计算梳懿发震塞魂了专业亿稚 微型化的趋势，从以普通p c 机为主流的时代慢慢步入“艏p c ( p o s t p c ) ”时代。 在“后p c ”时代，嵌入式系统将成为这个时代的主流。 蕊溪戆“嵌入式系绫( e m b e d d e ds y s t e m ) ”指夔是以应惹为孛心鞍以计篓凝 技术为基础的，并且软硬件是可裁剪的，能满足应用系统对功能、可靠性、成本、 体积、功耗等指标的严格要求的专用计算机系统。它可以实现对其它设备的控制、 监视、管理等功融】f 2 j 。 嵌入式系统鹃发震可以遗溯割1 9 7 1 年i n t e l 公霞生产的第一个徽处瑾器 4 0 0 4 ，从那时候越嵌入式系统经历了3 0 多年的发展，纵观嵌入式技术的发展过 程，大致可以分为四个阶段睇叫： 、第一跨段楚疆孳芯片为竣心熬可缡稷控裁器形式懿系统，爨有与蓝灏、 伺服、指示设备桐配合的功能，这类系统一般应用于一熙专业性强的工业控制系 统中，般没有操作系统的支持，通过汇编语言编程对系统进行直接掇制。这一 除段豹嵌入式系绞躲主要特点楚：系统结构秘功能相对擎一，效率较低，存储容 量小，几乎没有掰户接墨。 2 、第二阶段足以嵌入式c p u 为基础，以简单操作系统为核心的嵌入式系统。 该阶段的主要特点是：c p u 种类繁多、通用性比较差，系统开销小、效率高，操 终系绕达囊一定瓣装容牲秘扩溪；莲，应趸软董孛较专监纯，毽爱户爨覆不够友好。 3 、第三阶段是以嵌入式操作系统为标志的嵌入式系统。该阶段的主要特点 是：嵌入式操作系统能运行于不同类型的徽处理器上，兼容性好：操作系统的内 核小，效率高，并且具有高度黪模块化帮扩鼹性；具备文件和髫录管理、多进程、 网络支持、匿形鬻嗣以及霜户赛嚣等功髓；鬃有大量的应爝程序接西 p l 接墨) 、 开发应用程序较简单。 4 、第四阶段鼹以i n t e r n e t 为标志的嵌入式系统。这趣一个迅速发展的阶段。 嚣兹，缀多嵌入式系统逐孤立予i n t e r n e t 之步 ，毽是薅蓉i n t e r n e t 技术兹发展 以及i n t e r n e t 拽术与信息家电、工业控制技术结合的醪益密切，嵌入式设备与 i n t e r n e t 结合代袭着嵌入式系统的未来发展方向。i n t e r n e t 技术在嵌入式系统 江苏大学硕士学位论文 第1 章绪论 中的应用和推广，将提高嵌入式系统的协作能力、改善系统间的通信状况，提高 企业的控制水平，降低运作成本，所以嵌入式i n t e r n e t 技术必然会对嵌入式系 统产生极其深远的影响。当前嵌入式系统的发展主要处在这个阶段。 综上所述，嵌入式系统技术日益完善，它与网络、i n t e m e t 结合日益密切， 因而它的应用必将日益广泛。从家用电器、手持通讯设备到航天航空、军事装备， 从信息终端、仪器仪表到制造工业、过程控制，都可以找到嵌入式系统的踪迹。 嵌入式技术的巨大发展和广泛应用带来了巨大的经济利益，今天，嵌入式系统带 来的工业年产值己超过l 万亿美元。根据美国嵌入式系统专业杂志r t c 报道， 2 l 世纪初的十年中，全球嵌入式系统市场需求量具有比p c 市场大1 0 至1 0 0 倍 的商机，无怪乎美国著名的未来学家n e g r o p o n t e 在1 9 9 9 年1 月访华时预言，4 5 年后嵌入式智能工具将是继p c 和i n t e r n e t 之后最伟大的发明j 。 然而，随着嵌入式技术的发展，特别是嵌入式技术和i n t e r n e t 技术的结合， 很多嵌入式系统将不再是一个个孤立的系统，系统的互联使得信息安全问题变得 更加突出。众所周知，嵌入式设备大多应用于工业控制领域，控制着关键工业设 备的运作，关系着国民的经济生活，如果不对这些设备采取安全的措施，一旦受 到攻击，必然会造成难以估量的损失。 现代的嵌入式系统一般包括嵌入式硬件、嵌入式操作系统、嵌入式应用软件 三个部分，所以嵌入式系统的安全应该包括这三方面的安全。其中，作为现代嵌 入式系统灵魂的嵌入式操作系统的安全性尤为突出。所以，本论文基于这种背景 和需求设计了一个具有自主产权的、应用于特定场合的、安全的嵌入式操作系统 e s n s 。 1 2 嵌入式操作系统的国内外发展现状及趋势 1 2 1 嵌入式操作系统及其特征 嵌入式操作系统( e m b e d d e do p e r a t i n gs y s t e m ，简称e o s ) 是一种支持嵌入 式系统应用的操作系统软件，它是嵌入式系统( 包括硬、软件系统) 极为重要的 组成部分，通常包括与硬件相关的底层驱动软件、系统内核、设备驱动接口、通 信协议、图形界面口j 【“。嵌入式操作系统是嵌入式系统发展到一定阶段的产物( 嵌 入式系统发展的第二阶段就出现了简单的嵌入式操作系统) 。但是，它的出现大 大提高了嵌入式系统开发的效率，改变了以往的嵌入式软件设计只能针对自己的 应用从头作起的历史。在嵌入式操作系统之上开发嵌入式系统应用软件将减少系 统开发的工作量，增强嵌入式应用软件的可移植性，使嵌入式系统的开发方法更 具科学性。可以说，嵌入式操作系统的出现为嵌入式系统的发展铺平了道路。特 别地，对于当今处在第四个发展阶段的嵌入式系统，许多功能的实现更加依赖于 江苏人学硕十学位论文第l 章绪论 嵌入式操作系绞，对嵌入式撩作系统也掇出了越来越麓的要求，所以说“嵌入式 搽作系统是嵌入式系统静灵魂f 扣一点 羹不为过。 但是，嵌入式操作系统并非通用的操作系统，它们的具体设计目标和实际工 作环境与通用操作系统有很大区别，所以这也决定了嵌入式操作系统有异于通用 摄佟系统戆穆鬣，这些特，耍妻羹下f 嘲： i ) 小巧：般来讲，嵌入式系统所能够提供的资源有限，所以嵌入式操作 系统必须做到小巧，以满足嵌入式系统硬件的限制。 2 ) 实时憔：嵌入式操作系统和实时操体系统是聪个不嗣的概念，并非所有 鹣嵌入式揉俸系统都是实时攥作系统，但麓大多数嵌入式系统帮是王彳乍在实眩性 耍求很高的环境中，所以大多数嵌入式操作系统具有实时性要求。 3 ) 可装卸；由于嵌入式系统需要根据具体的应用疆求进行装卸，所以嵌入 式搽俸系统鍪镶疆供魏褒功缝，去除多余匏部分，戢豢麓纯鞠应蕊攘块。这些姆 镊在嵌入式操作系统的模块划分中必须事先考虑周全。 4 ) 可固化：在嵌入式系统中，嵌入式操作系统和嵌入式应用软件被固化在 嵌入式系统计辣机的r o m 中，在每次系统窝动时能够马上期载。因此，嵌入式操 作系统应该能够可露伲。 5 ) 弱交互性：大多数嵌入式系统的工作过程不需要人的干预，所以大多数 嵌入式操作系统一般不提供命令级的接口，而只提供穰序级的接口，并通过这些 接麓蠢嚣户疆澎提襞羧务。 6 ) 强稳定性：嵌入式泵统旦运行就不需要人过多的干顸。在这种条件下， 爱求负责系统管理的嵌入式操作系统具有很高的稳定性。 7 ) 统一的接口：随着各葶申各样的嵌入式操 乍系绕的出现，人们有必要对嵌 入式揉俸系绞掇供的凑日避 亍簸定，瓢两为嵌久式应瘸软件兹凌嚣蠢提供统一鹭 服务接口，为嵌入式应用软件的运行提供平台的无关性。 一般来讲，开发一个嵌入式操作系统内核要比开发通用的操作系统容易一 黧。毽是，夔饕嵌入式应焉领域兹菝竟，嵌入式操作系统仍然有摄多阉题蘧褥磅 究。 1 2 2 嵌入式操作系统的网内外发展现状 一般丽言，嵌入式搡俸系统艮通盾粒。s 要篱攀，魑是各释不弼的嵌入式产 品对其有不同的特殊要求，所以嵌入式操作系统的种类繁多、差别备异。据嵌 入式系统编程( e m b e d d e ds y s t e mp r o g r a m m i n g ) ) ) 杂志报道，世界各国有4 0 多 令公霹，已经袋功雅盘t2 0 0 多耱虿袋袋入式系统瘦穰黪e o s 3 3 【o l 。裘1 i 事烈 出了目前国外一些主要的嵌入式操作系统f 1 ”。 江苏大学硕士学位论史第l 常绪论 表l 。l 冒步 主要的嵌入妓操作系统 e o s 应用领域逮壤 c e i l v i cp d a 韩国 c h o r u s o s电信美国 e c o s 信息家电( 家漱、通讯)美国 穗l x 瀵费宅予、汽车、逶谖、靛空等美藿 p a l mo s p d a 美国 i n f e r n o 网络设备、信息家电、工业控制美国 0 s 9 消费电子，信患家电美国 p s o s 汽车、 控、交道、茨簿系绞美国 q n x消费电子、汽车、电信、医疗设备船拿大 v x w o r k s 消费电子、工控、航空等 美国 w i n d o wc e 消费电子美国 u c o s i it 韭控制美国 在实际应用中，嵌入式揉俸系统又可以分为两类：露露麓翻、透信等领域酶 实时操作系统和面向消费电子产晶的非实时操作系统。 1 、面向控制、邋信等领域的实时操作系统。这类操作系统一般对实时性要 求较褰，鹭藏謇努跑较滚行翦存v x w o r k s 、鲻然、磷x 、u c o s - i i 等，下蠢嚣这 些e o s 进行简要地介绍： v x w o r k s v x w o r k s 是美囤w i n dr i v e rs y s t e m 公司捺蹬的专门为开发实时嵌入式系统 丽没计黪操 车系统，它楚一个冀黧的嵌入式搽俸系统，繇畜遴程静霞强与两孩懿 代码静态地连接在一起( 也可以动态装入) ，并且在同一个空间中运行。所以， 在v x w o r k s 中所谓的系统调用其实就是直接的函数调用，相当于对库酗数的调 翔。v x w o r k s 大壤提供了3 0 0 0 多个a p i 丞数供灞耀。v x w o r k s 具有良舞瓣可靠牲 和卓越的实时性，腑以自从t 9 8 3 年投入市场以来，在通信、军事、航空、航天 等高精失技术及其实时性要求较高的领域中得到了广泛的鹿用 3 】【1 2 】。 q n x q n x 是藤拿大q n xs o f t w a r es y s t e m 公霉开发静一个分布式的d 模可扩震靛 嵌入式实时操作系统。它的设计思想是将系统的各个基本功能都作为一个独立的 系统进程来运行，从而实现真正意义上的“微内核”缨构，所以除了内梭，q n x 还包瑟了遴程管理避疆、文馋系绫管理遂程、竣袈管理进程、瓣终管理迸獠。 x 最早开发于1 9 8 0 年，到现在崭经相当的成熟。秘用这种操作系统，q n xs o f t w a r e s y s t e m 公司成员d a nh i l d e b r a n d 已成功将操作系统内核、w e bs e r v e r 、h t m l 3 2 b r o w s e r 秘t c p i p 嵌入到一个1 4 4 m 的软盘上p t 。 p s o s p s o s 是i n t e g r a t e ds y s t e m 公司研发的e o s ，它是世界上最早的嵌入式实时 一d 江苏大学硕士学位论文 第1 章绪论 系统之一，也是最早迸入中国市场的e o s 。从结构上看，p s o s 的内核可以说是比 较靠近“一体化内核”的微内核。与u n i x l i n u x 相比，内核中的文件系统的高 层( 以及网络支持) 已经被移到外面，并且是作为操作系统的一个选项分别出售， 但是设备驱动和中断服务还都留在内核中。不过，被移到内核外面的文件系统层 并不是作为一个服务进程运行，而是作为一个公用的动态链接库由应用进程调 用。p s o s 的进程调度基本上是按照优先级调度，当优先级相同时则可以选择f i f o 或者轮换调度策略，但是也允许按照时间片调度，和l i n u x 的进程调度方式大同 小异。p s o s 主要采用报文传递和事件实现进程间的通信。此外，p s o s 也提供“插 口( s o c k e t ) ”，并在此基础上为网络操作提供很强的支持。p s o s 在汽车、工控、 交通、防御系统等领域有相当广泛的应用，目前全球大约有3 5 0 0 万个设备使用 该操作系统。 上述的三个e o s 都是商用的嵌入式操作系统，它们的源代码严格保密，并且 价格昂贵，安全性设计( 如果有的话) 也是严格保密的。 u c o s - i i u c o s i i 是由j e a nj l a b r o s s e 先生单独开发的开源e o s ，它其实只是一个 短小精悍的微内核，只提供任务管理、中断管理、任务通信、以及简单的内存管 理功能。在内核调度上，它采用的是基于优先级的可剥夺调度策略，系统最多允 许同时调度6 4 个任务；在任务的通信方面，主要手段是信号量、邮箱和事件标 志组；在内存管理方面，它采用固定分区的内存管理策略。它的应用广泛，其实 时性和稳定性在不断的应用中得到了考验，但是它不包括任何的安全性设计【l ”。 2 、面向消费电子产品的非实时操作系统。3 c o m 旗下的p a l m ，c o m p u t i n g 公 司的p a l mo s 和微软的w i n d o w sc e 等是这类e o s 的代表，它们主要应用在p d a 、 移动电话、机项盒、w e b p h o n e 等对实时性要求不是太高的领域。 p a l mo s p a l mo s 是一种3 2 位的嵌入式操作系统，提供了串行通信接口和红外线传 输接口，利用它可以方便地与其它外部设备通信、传输数据。它拥有开放的a p i ， 开发商可以根据需要自行开发所需的应用程序。p a l mo s 是一套专门为掌上电脑 开发的e o s 。 w i n d o w sc e w i n d o wc e 是微软公司开发的一个开放的、可升级的3 2 位e o s ，是基于掌上 电脑类的电子设备操作系统。w i n d o wc e 的设计用到了m i c r o s o f t 桌面系统中动 态链接库技术，除了微内核以外，将其它的系统部件以动态链接库的形式加载。 这样系统的配置就非常地灵活。w i n d o wc e 的图形用户界面也值得一提，它与 w i n d o w s 系列产品的界面很相似，作为一个消费电子产品的系统，这个特点使许 多w i n d o w s 用户很容易上手【1 4 j 。 江苏大学硕士学位论文第1 青绪论 在中国，l i n u x 操作系统由于其源代码开放，具有很好的成本效益而倍受青 睐。其中，中科红旗软件公司基于l i n u x 的嵌入式红旗l i n u x 操作系统已在n e c 和i n t e l 的系列产品中采用。此外我国自主开发的嵌入式系统软件产品如科银 ( c o r e t e k ) 公司的嵌入式软件开发平台d e l t a s y s t e m ，它不仅包括d e l t a c o r e 嵌入式实时操作系统，而且还包括l a m d a t o o l s 交叉开发工具套件、测试工具、 应用组件等；中科院凯思集团也推出了h o p e n 嵌入式操作系统【l “。 总之，目前国外的嵌入式操作系统发展得比较成熟，大小各异、种类繁多、 应用齐全，呈现出百花齐放之势。国内的嵌入式操作系统这几年也有了不少进展， 但是与国外那些优秀的e o s 相比还存在一定差距，性能还有待进一步提高。 1 2 3 嵌入式操作系统的发展趋势 嵌入式操作系统可以应用于家电市场、工业市场、商业市场、通讯市场和国 防市场等，其产品形态丰富多样，市场潜力相当巨大，发展前景非常美好。根据 嵌入式操作系统的发展现状、市场环境对嵌入式操作系统的具体要求以及各项相 关的软硬件技术的发展状况，可以预计下一代的e o s 将在系统的体系结构、调度 算法等多方面进行调整，使其性能更加完善，更加适合于实际的应用场合。总的 来说，e o s 估计有以下三个发展趋势： ( 1 ) 操作系统内核往实时超微内核( n a n o k e r n e l ) 方向发展。近几年，国外发 展了一种基于微内核思想设计的精巧的嵌入式微内核，即实时超微内核。超微内 核是一种非常紧凑的基本内核代码层，为嵌入式应用提供了可抢占、快而确定的 实时服务，在它的基础上可以灵活地构造各种类型的、与现成系统兼容的、可伸 缩的e o s ，能满足应用代码的可重用性和可伸缩性( s c a l a b i l i t y ) 要求。 ( 2 ) 开发环境向开放化、集成化的方向发展。要实现一个高性能的实时应用 软件，需要有强有力的交叉开发工具系统作支持。国外十分重视与e o s 配合的嵌 入式应用的集成开发环境的研究，目前已经发展到第三代，它以c s 的系统结构 为基础，具有运行系统的无关性、连接的无关性、开放的软件接口、环境的一致 性、宿主机上的目标仿真等特征。 ( 3 ) e o s 的安全性要求越来越高。随着嵌入式i n t e r n e t 技术的发展和推广， 嵌入式系统的安全性要求越来越紧迫，其中以嵌入式系统的灵魂e 0 s 最为突 出。因为有了i n t e r n e t 作为桥梁，一些黑客很容易把攻击的范围从传统的p c 领域拓展到专用的嵌入式应用领域。并且由于嵌入式系统自身条件的限制，以往 的系统工程师在设计嵌入式操作系统时，一般把实时性和稳定性作为系统设计的 重点，而安全性的重视程度不够，所以现在的很多e o s 的安全性都比较脆弱，防 护能力相对有限，有的甚至没有安全性的设计。所以倘若不进一步增强嵌入式操 作系统的安全性，那么随着嵌入式系统的大量使用和联网技术的进一步推广，安 江棼犬学硕士学位论文 第l 章绪论 全翘题褥会成为嵌入式系统发矮的一大隐患渺。可以预测：嵌入式搡传系统在 安全性方面酶醅究、设计与实麓必将是以后瓣一大研究热点。 1 3 论文的研究背景及其意义 嵌入式系统在电力控制系统中的应丽有者相当悠久的历史，它广泛地应用于 数据采集、自动毅置、仪表榆测、集散控制( d c s ) 等领域。其中较为典型的是 应翅在数据采集霸监控、微机保护、暂稳控制、能量计费等方面。 在龟力控嗣黼络中，嵌入式系统一般傻子中底层，翻蠢i 1 瑟示，上位懿潺 度中心通过i n t e r n e t 或专用网络连接下一级的调度中心，或者直接逑接电力控 制厂站中的现场总线式或l a n 式的计算机监控系统，而这蝗监控系统氍通过某种 工照控裁网络控穰下位懿数据袋嶷、塞动装嚣等嵌入式疯鼷控割终蕊，扶瑟组戒 以调度中心为中心、向底层控制终端层层扩腠的控制网络。 图1 i 嵌入式系统在彀宠控割系统中 闰前，中国缀济e 在飞速发展，但存在蒋一些客蕊因索的制约。这些年来的 经济发展使得用暾量急剧上升，许多省市的电力供应出现紧张，电力的供需矛盾 突出。为此，政府不得不进行于预以限制企业用电，许多企业不得不停止夜间生产， 这绘企盈逛给国家速成了臻失。中蓍要发震藏必矮宠缮决邀力这个麓滚簸颈。可 以预见，在不久的将来，政府一定会加大电力方面的投入，一批批发电站将应运而 生，梭踵而致的是各种电力控制设备也将呈几何级数地增加。如此众多的电力控 割设餐带来闫题怒：在一令有豢严嬉时闲隈剃电力控裁场合，如何来缳证应簿系 统的实时性? 在一个有着广阔空间的毫力调度系统中，如何能够保证整体合理高 效的调度? 同样的，在控制机构如此众多、人员如此复杂的电力系统中，如何保 江苏大学硕士学位论文 第l 壹绪论 证系统的安全性? 这一系列的问题必然要求嵌入式系统的灵魂嵌入式操作 系统提供相应的功能保证。 在西安电子科技大学计算机网络与信息安全教育部重点实验室项目基金的 支持下，我们研究了上述各个问题，设计并开发了一个应用于特定行业( 电力) 的、针对特定的电力控制领域的、安全的嵌入式操作系统，并把它命名为e s o s 。 本课题的研究具有如下意义： 1 ) 拥有自主的知识产权。如果直接购买国外现有的一些实时操作系统，第 一、难于购到高安全级别的操作系统，第二、技术保密，其“黑箱政策”让人对 于其安全性不太放心，第三、价格昂贵，所有这些都不利于我国信息行业的发展。 面对目益剧烈的国际竞争，特别是我国加入w t 0 后所面临的新形势，如果我们不 加强企业技术创新，及早研制出具有自主知识产权的产品，则势必阻碍我国信息 行业的进一步发展。e s o s 的研发顺应了时代发展的潮流，它的研发成功可以在 一定程度上替代进口产品，对自己的民族工业发展是有帮助的。 2 ) 具有良好的学术价值。e o s 在安全性方面的研究在国内刚刚起步，现在 国内还很少见到相关的文献报道。很显然，把安全机制引入e o s ，必然会带来一 些新的问题，譬如，如何解决实时性和安全性矛盾、如何在资源有限的嵌入式系 统中实现安全性、具体应该实现哪些安全性、安全性的实现和通用操作系统有哪 些区别等等。这一系列问题的引入，必然要求我们在嵌入式操作系统的设计方法、 开发模式上要有所改变。而本论文在设计f f s o s 的过程中，对上述的这些问题进 行了深入探讨，这在国内是一个比较前沿的做法，具有一定的创新价值。 3 ) 具有良好的经济效益。本实验室已经与大全集团( 长江电气集团) 合作， 成功完成了国家8 6 3 计划引导项目“内嵌w e b 服务器的网络化断路器”。在 本系统丌发完成后，将先被内嵌到w e b 断路器中，进行进程的调度和资源的管理， 以便在现实环境中测试其实时性和安全性。并将该嵌入式实时安全操作系统及其 内嵌w e b 断路器进行产业化，如果市场反跌良好，我们将会将其在整个电力控制 领域进行推广。 当然，本论文的研究意义不仅局限于此，本文针对应用于电力控制领域的嵌 入式操作系统进行一定的探索，这些成果对于应用于其它控制领域的e o s 的安全 性研究也具有一定的参考价值。 1 4 论文的主要工作及其结构安排 在攻读硕士期间，作者进行了多方面的研究工作，其中包括“u c 0 s i i 实 时操作系统的分析与应用”、“嵌入式l i n u x 的系统设计与应用”、“嵌入式安全技 术的研究”、“基于u c l i n u x 的嵌入式w e b 服务器设计”等，阅读了大量关于嵌入 江苏大学硕士学位论文 第l 章绪论 式系统、e o s 、安全操作系统、硬件设计、信息安全等方面的资料，并研读了 u c o s i i 全部和l i n u x ( 内核o 1 1 版本和2 4 0 版本) 相关部分的源代码，为本 课题的设计和开发打下了良好的基础。 本课题的具体任务是根据电力系统的需求，研究并开发一个安全的嵌入式实 时操作系统e s o s 。由于工作量较大，本课题由三位硕士研究生合作完成，作 者的主要工作为： 1 、e s o s 的总体设计 2 、安全内存管理模块的设计与开发 3 、安全文件系统模块的设计与开发 本论文的结构安排如下： 第l 章，作者通过对嵌入式系统发展历史的介绍，对e o s 的特征、发展现状 和发展趋势的分析，以及对e o s 安全性的一些论述，引出了本论文的研究背景和 意义，最后介绍了本论文的主要工作及论文的结构安排。 第2 章，作者针对电力应用背景做出需求分析，选择了内核及其安全性的实 现方案，对e s o s 进行框架设计和模块的划分，并制定了系统的评价指标，从而 完成了e s o s 的总体设计。 第3 章，作者针对e s o s 的安全需求制定了相应的安全策略，分析并选择了 安全模型，对模型进行了简化，最后提出了存储模块安全策略的设计方案。 第4 章和第5 章，作者在前面总体设计的基础上，分别详细设计并实现了安 全内存管理模块和安全文件系统模块。 第6 章，作者介绍了系统开发的软硬件平台，制定了测试方案，并对测试结 果进行了分析。最后，作者在第7 章中对论文内容进行了总结，并根据自己的研 究成果和体会，提出了未来进一步研究的方向。 1 5 本章小结 本章首先介绍了嵌入式系统的发展历史，接着分析了e o s 的特征、国内外发 展现状和发展趋势，然后对e o s 安全性作了一些论述，并引出了本论文的研究背 景和研究意义，最后介绍了本论文的主要工作及论文的结构安排。 江苏大学硕士学位论文 第2 章e s o s 总体设计 第二章e s o s 总体设计 专用性是e o s 区别于遇用操作系统的一大特征，所以根据特定的应用环境， 设计密特意的嵌入式系统软件，是每一个嵌入式系统工程 带应该运翮的目橡闭。 作为一个嵌入式操作系统，b s o s 设计时应该满足嵌入式操作系统的设计原则； 闻时，作为一个安全酶操作系统，它静设诗氇应该颓及安全操 乍系统的一般设 计原则。所以，在e s o s 的设计过程中，将立足于电力控制系统的需求，辣顾 e o s 帮安全操作系统翡设诗愿燕，按照款 争王程戆器憨，骰出慧钵莓藩详蘩设诗， 最终实现并测试之 2 1 1 。本章将完成e s o s 的总体设计工作，也即，在了解e o s 纛安全捺佟系绫设计豢刭瓣基礁上，援撂魄力应爨骜景骰窭需求分辑，选褥了 内拨的实现方案，然后选取内核安全性的实现方案，最后再对e s o s 进行模块的 划分，并确定每令摸块懿功韪。 2 。l 嵌入式操佟系统蒡嚣安全摄作系统鲍设计原则 2 。1 。1 嵌入式操作系统的设计原则 嵌入式操作系统作为一类系统软件，在设计时除了应遵循通用操作系统软 串一般应遵循豹实鬻往、可靠注、先进注帮荔矮性蒙翔癸，逐必矮考虑委以下 的一些设计原则： 1 ) 专攘蛙藤潮 2 ) 轻缴型原则 3 ) 可羧葵蛙溅戴 上述三个原则煨息息相关的。“专用性”是一个相对的概念，作为一个操作 系缝，它不可毙只怒支持一个特定戆芯片、一个黪定懿应髑场合，它必须黢支 持类似应用场合的一系列芯片。但是，虽然是类似的芯片和类似的应用场合， 不圜救芯片瓤不同毂应用场合之间的差别还是存在麴。题以，嵌入式操l 乍悉统 设计时应该把握好“专用性”的度，以便予在实际应用时畿根据具体的情况进 行裁剪。丽“专用憔”是实现“轻爨型”游基础。 对于有实时要求的嵌入式操作系统，设计时还爱考虑掰实时性器求。 2 1 2 安全操作系统静设诗原瑟 在安全操 乍系统驰设计方垂，s a l t z e r 搬s c h r o d e r 提出了以下，条设计原 则【2 2 ； 江荪太举硕士学位论文第2 章g s 0 8 总体设计 1 ) 最小将权蹶剐。 2 ) 祝裁戆羟济瞧瑟蘩：保护系统戆设计应夸鍪豫、楚单、舞臻。 3 ) 开放系统设计原则：保护机制应该公开，安全性不依赖于对其的保密。 4 ) 完整的存取控制机制原则：对于每个存墩访问，愆统必须进行梭壹。 ) 校疆分离蒙嬲。 6 ) 基于“允许”的设计原则：在系统设计时，应该标识什么资源最应该可 存取