基于RT-Linux防危保障机制的实验模型
关键词:防危核 安全核 实时系统 防危策略
早在19世纪70年代,为保证系统中的敏感信息不被非法用户恶意破坏和非法访问,Roger Schell和Mitre等人提出了安全核(security kernel)的概念。安全核将系统中的软件隔离为可信的和不可信的两部分,由可信赖信号负责对不可信部分进行审核,以保证不可信部分不会对敏感数据进行非法和错误的访问。安全核的技术在信息安全领域中取得了成功并得到广泛的应用。在安全核基础上,Rushby等人又进一步提出了防危核(safety kernel)的概念,用于防止软件对安全关键设备的非法访问,从而保障系统安全。防危核由一组防危策略和隔离组成,因此,防危策略的完备性和低开销是防隐核可靠和高效的关键。现在,对防危核的研究还处于初级阶段,本文介绍我们基于RT-Linux实现的队危核。实验结果表明了该方案的有效性和可行性。
1 防危核技术
防危核关心的是如何保护设备不被非法访问,(凹丫丫范文网fanwen.oyaya.net收集整理)以避免因对设备的误操作引起的重大生命财产损失和环境破坏。防危核把受保护设备与系统中的其它部分隔离,通过实施防危策略(safety policy)对这些设备的访问进行特殊控制。凡是对受保护设备的访问,都必须经过危核的审查,合法者予以支持;反之,则采取相应的出错处理措施,维护系统的防危特性,这样就能很好地避免软件故障造成的灾难后果。从应用软件的角度来看,防危核的原理如图1所示。在工程应用中,要保证危核的有效性,必须遵循下列3项规则。
(1)短小精练
为了不影响系统的性能,防危核应尽可能小,为此系统所有的防危核策略均由防危核为实施是不现实的。采用将防危策略放在防危核外部的防危策略库中的方法,缩小防危核的大小主,防危核在防危处理时访问防危策略库,以获取相应防危策略。
(2)完备性
完备性要求,不通过防危核主体就不能对客体进行任何访问操作。它表明对设备的任何访问请求都必须通过防危核的验证。如果系统中存在其它组件可以绕开防危核访问设备,显然安全将无法得到保障。所以采用了防危核技术的系统必须要保证防危核对设备的专一控制。
(3)通用性
通用性指防危核模块的基本结构不依赖于任何特定的操作系统和设备,只需要操作系统和设备满足防危核的接口要求,并修改策略库,就可以将防危核软件应用到任何操作系统和设备中。
2 开发平台RT-Linux OS构架与特征
通常,安全关键系统对实时性有严格要求,我们选择RT-Linux操作系统为安全实验模型的开发平台。
RT-Linux是美国NMT大学对标准Linux的一个实时扩展版本,其结构如图2所示。它实际上是给原Linux内核打了实时补丁,打了补丁的Linux内核由两部分组成:RT-Linux和Linux。在RT-Linux内核实时应用(任务)则是一种可加载的内核模块,具有高的优先级。另外,所有的中断都先由RT-Linux来处理,之后才由标准的内核来处理。非实时任务通过RT-Linux提供的FIFO(一种透明的管道)与实时任务通信。
RT-Linux可以提供应用程序的硬实时保证。所谓“硬实时”是区别“软实时”而言的。硬实时对满足时限的要求比软实时严格,通常硬实时的系统响应时间在ms或μs级,而软实时对其响应时间的要求没有那么严格。硬实时工作通常指超过时限要求就会造成严重损害的工作,而软实时即使超过时限也不会带来严重后果。以核能电厂和看VCD为例,用在核能电厂的实时操作系统,如果超出时限可能会导致严重的损害,然而VCD播放器超出时限只不过让使用者感觉不舒服而已。所以前者是硬实时,后者是软实时。
这样一种Linux实时化方案,对原Linux改动最小,又能充分利用标准Linux的全部特性,从而能满足实时系统防危核控制模型研究的诸多要求,因此,NMT RT-Linux是本安全模型研究的最佳实验平台。