高可信嵌入式操作系統(tǒng)體系架構(gòu)研究.pdf

1、隨著嵌入式系統(tǒng)功能日益強大，應用成本逐漸降低，嵌入式實時系統(tǒng)已廣泛應用于航空航天、核電能源、醫(yī)療衛(wèi)生、國防電子等諸多安全關(guān)鍵系統(tǒng)中。這些系統(tǒng)一旦失效，將會引起生命財產(chǎn)的重大損失并可能嚴重破壞環(huán)境衛(wèi)生。在一些非常尖端的航空、國防電子等安全關(guān)鍵系統(tǒng)中，存在多個安全等級的應用要求，將這些系統(tǒng)稱為多級安全關(guān)鍵嵌入式系統(tǒng)。隨著互聯(lián)網(wǎng)技術(shù)和軟件技術(shù)在這些系統(tǒng)中的大量使用，軟件的故障、失效和安全威脅已逐漸成為引發(fā)系統(tǒng)失效的主要根源。因此，提高多級安全

2、關(guān)鍵嵌入式系統(tǒng)的可信性越來越重要。高可信嵌入式操作系統(tǒng)體系架構(gòu)是從嵌入式系統(tǒng)軟件平臺出發(fā)，提高多級安全關(guān)鍵嵌入式系統(tǒng)可信能力的主要手段，已成為嵌入式系統(tǒng)的熱點課題。本文對多級安全關(guān)鍵嵌入式系統(tǒng)現(xiàn)有的高可信保障技術(shù)進行了系統(tǒng)、全面的分析，認為當前所面臨的主要問題有：①無法同時滿足多個可信屬性，如無法同時滿足安全性、防危性、實時性等屬性；②不能滿足多級安全應用的要求；③系統(tǒng)開銷過大，無法通過較高安全等級的認證。針對上述問題，本文研究了可信的

3、本質(zhì)，并以嵌入式可信操作系統(tǒng)為核心，對多級安全關(guān)鍵嵌入式系統(tǒng)的可信保障技術(shù)進行了系統(tǒng)、深入地理論研究和實驗，主要的工作與貢獻包括：
　　 ⑴深入地研究了可信計算的定義和屬性，總結(jié)了嵌入式操作系統(tǒng)高可信保障技術(shù)的局限性和不足，給出了嵌入式可信操作系統(tǒng)的定義，為嵌入式系統(tǒng)可信保障技術(shù)的研究探索了一條新的途徑。
　　 ⑵在分析現(xiàn)有可信保障技術(shù)不足之處的基礎(chǔ)上，提出了一種高可信嵌入式操作系統(tǒng)體系架構(gòu)-Hades架構(gòu)。Hades架

4、構(gòu)克服了傳統(tǒng)技術(shù)的缺陷，可同時滿足多個高可信屬性，并且通過采用時空隔離思想和分區(qū)機制把系統(tǒng)故障和安全威脅控制在較小的時空范圍內(nèi)，同時還為多級安全應用提供了支持。
　　 ⑶為保障敏感信息的機密性，對現(xiàn)有的分區(qū)間數(shù)據(jù)通信機制進行了分析，總結(jié)出存在的問題，提出了多級安全信息流控制模型，建立了嚴格的分區(qū)間信息流控制機制和控制策略，確保分區(qū)間所有的信息流必須經(jīng)過可信分離內(nèi)核的授權(quán)。通過原型實驗和系統(tǒng)開銷測試說明信息流控制機制是可行的，并且

5、其較少的系統(tǒng)開銷不會影響可信分離內(nèi)核通過安全認證。等物理資源而引起的系統(tǒng)故障，在分析現(xiàn)有分區(qū)調(diào)度算法不足的基礎(chǔ)上，提出了基于固定周期分區(qū)的靜態(tài)調(diào)度模型和基于固定延遲分區(qū)的動態(tài)調(diào)度模型。建立了基于優(yōu)先級位圖的分區(qū)級和任務級兩級調(diào)度機制，以加快兩級調(diào)度速度。任務級調(diào)度采用RM和EDF兩種調(diào)度算法，并分別就任務的可調(diào)度性進行了理論研究，給出了保證任務按時正確運行的調(diào)度條件，通過仿真實驗進一步驗證了調(diào)度模型和調(diào)度條件的正確性。
　　 ⑷

6、針對現(xiàn)有可信保障機制無法同時滿足系統(tǒng)安全性、防危性要求的不足，設(shè)計了一種多層次的安全/防危策略框架，該框架從體系結(jié)構(gòu)上同時支持多種安全、防危策略。通過設(shè)置可信服務分區(qū)方便系統(tǒng)管理員對策略的集中管理、配置、剪裁和擴展。采用強制訪問控制機制，為多種安全策略的實現(xiàn)探索了一種可行的方案。建立了基于有限自動機的防危策略模型，并基于此模型以核電控制系統(tǒng)為原型實現(xiàn)了防危策略，該技術(shù)可推廣到其他任何安全關(guān)鍵設(shè)備中。
　　 ⑸目前，國內(nèi)外對嵌入式