基于TrustZone技术和μCLinux的安全嵌入式系统设计与实现*

深入分析了TrustZone技术和μCLinux操作系统在构建嵌入系统时存在的不足,并针对其安全缺陷,利用LSM框架,采用DTE模型和BLP模型实现了μCLinux操作系统的安全增强,从而在操作系统层解决了TrustZone技术存在的安全问题,在此基础上,提出了基于TrustZone 技术和安全增强的μCLinux操作系统的安全嵌入式系统框架,并对其具体实现进行了简要介绍。     

借助Hypervisor强化TrustZone对非安全世界的监控能力

ARM TrustZone技术已经在Android手机平台上得到了广泛的应用,它把Android手机的硬件资源划分为两个世界,非安全世界（Non-Secure World）和安全世界（Secure World）.用户所使用的Android操作系统运行在非安全世界,而基于TrustZone对非安全世界监控的系统（例如,KNOX,Hypervision）运行在安全世界.这些监控系统拥有高权限,可以动态地检查Android系统的内核完整性,也可以代替Android内核来管理非安全世界的内存.但是由于TrustZone和被监控的Android系统分处于不同的世界, world gap（世界鸿沟）的存在导致处于安全世界的监控系统不能完全地监控非安全世界的资源（例如,Cache）.TrustZone薄弱的拦截能力和内存访问控制能力也弱化了它对非安全世界的监控能力.首次提出一种可扩展框架系统HTrustZone,能结合Hypervisor来协助TrustZone抵御利用world gap的攻击,增强其拦截能力和内存访问控制能力,从而为非安全世界的操作系统提供更高的安全性保障.并在Raspberry Pi2开发板上实现了HTrustZone的原型系统,实验结果表明：HTrustZone的性能开销仅增加了3%左右.     

基于精化的TrustZone多安全分区建模与形式化验证

TrustZone作为ARM处理器上的可信执行环境技术,为设备上安全敏感的程序和数据提供一个隔离的独立执行环境.然而,可信操作系统与所有可信应用运行在同一个可信环境中,任意组件上的漏洞被利用都会波及系统中的其他组件.虽然ARM提出了S-EL2虚拟化技术,支持在安全世界建立多个隔离分区来缓解这个问题,但实际分区管理器中仍可能存在分区间信息泄漏等安全威胁.当前的分区管理器设计及实现缺乏严格的数学证明来保证隔离分区的安全性.详细研究了ARM TrustZone多隔离分区架构,提出一种基于精化的TrustZone多安全分区建模与安全性分析方法,并基于定理证明器Isabelle/HOL完成了分区管理器的建模和形式化验证.首先,基于逐层精化的方法构建了多安全分区模型RMTEE,使用抽象状态机描述系统运行过程和安全策略要求,建立多安全分区的抽象模型并实例化实现分区管理器的具体模型,遵循FF-A规范在具体模型中实现了事件规约;其次,针对现有分区管理器设计无法满足信息流安全性验证的不足,设计了基于DAC的分区间通信访问控制,并将其应用到TrustZone安全分区管理器的建模与验证中;再次,证明了具体模型...     

基于TrustZone的指纹识别安全技术研究与实现

随着指纹识别技术在智能终端设备中的大量应用,指纹技术本身的安全问题也日益突出。为增强智能终端指纹识别的安全性,借助于ARM TrustZone安全扩展机制,提出了一种基于TrustZone的指纹识别安全保障技术和方法,其为指纹识别程序提供了可信执行环境,以保证其执行过程的安全性并防止恶意程序的攻击。同时,对指纹数据和指纹特征模板进行加密,并将密钥存储在受TrustZone保护的安全区域中以防止被窃取。此外,还实现了指纹数据的安全传输通道,以进一步确保敏感数据传输过程的安全性。最后,设计并实现了一个原型系统来验证所提技术和方法的有效性,实验结果证明所提出的技术和方法是可行的。     

操作系统安全增强模型的通用化

研究了实现操作系统安全增强模型通用化的途径。把安全增强模型中与操作系统体系结构相关的部件隐藏在系统特征封装层，从而降低了模型的系统依赖性，使之适用于不同类型的操作系统；引入安全策略抽象层，使安全增强模型独立于任何特定的安全策略，使之对不同安全策略通用；在模型中增加应用支持层，实现在安全增强的操作系统环境下灵活支持已有应用程序。     

一种嵌入式VPN网关系统的设计与实现

在分析IPSec协议数据处理基础上，提出采用嵌入式主处理器和协处理器分别处理IPSec协议中控制层面任务和数据层面任务的方案，并实现了一种基于S3C2510网络处理器和μCLinux操作系统的嵌入式IPSec VPN网关系统。     

ARM架构中TrustZone安全处理技术的研究

对基于ARMv6架构的全新TrustZone安全处理技术进行了研究,着重从该技术的实现原理、运行模式和软硬件支持等方面,论证TrustZone技术实现整体系统安全的有效性和可行性,并提供了一个TrustZone架构扩展的实例.研究表明,在CPU内核集成安全硬件的基础上,提供可扩展的安全应用平台,是解决嵌入式应用安全计算的可靠方案.     

嵌入式μCGUI图像自适应滑动窗口的实现

目前μCGUI的高清显示存在较多问题,根源在于嵌入式操作系统资源有限,从而导致μCGUI无法很好地显示滑动显示图形。针对此问题,提出一种基于图像自适应滑动窗口算法与内存管理的μCGUI高清显示技术,大大降低了系统级的处理时间与内存消耗;并付诸实现在工程项目中,提升了基于嵌入式μCLinux操作系统的图形滑动显示的效果。     

基于通用访问框架的安全操作系统设计

该文介绍Bell-LaPadula模型、Clark-Wilson模型和RBAC模型,在这三种安全策略模型的基础上,结合LSM访问框架体系设计了一个达到结构化保护级要求的安全操作系统方案,提供安全系统的组成和功能,使Linux操作系统达到高安全保护级别。该安全系统结合强大的访问控制机制、系统特权分离、安全审计等一系列功能和技术,体现了安全操作系统设计的安全、可靠、实用、兼容性原则。     

一种增强的基于威胁度的沙箱框架设计

从沙箱技术的相关背景出发，回顾传统沙箱技术的发展过程，分析一个模型实例Ostia，发现存在不足；结合现有的可信计算平台技术，将具体操作与身份进行绑定，并在此基础上将威胁度融入沙箱模型，提出一个增强的沙箱框架，并对该框架的特性进行分析，认为该框架能够更为有效的确保操作系统的安全。     

通过扩展LSM框架构建审计支持机制

LSM是纳入到Linux内核的一个安全模型支持框架,它通过提供钩子机制来支持安全机制的实现。审计机制是安全操作系统的重要组成部分。然而,LSM的现有设计主要考虑的是对访问控制的支持,对审计机制的支持存在着明显的不足。把审计支持纳入到LSM框架中,为审计系统或者是入侵检测系统提供统一的支持接口,对安全操作系统的研究有重要意义。本文提出一个扩展LSM框架的方法,以增强LSM框架对审计机制的支持能力。本文论述了扩展LSM框架实现审计的方法,以及如何在LSM框架中加入审计钩子及在内核函数中插入钩子函数。依照这种方法,作为安全操作系统SECIMOS开发工作的一个重要组成部分,我们在Linux内核中实现了一个审计系统,并对其性能进行了分析。     

利用LSM框架实现基于角色的访问控制

传统的Linux操作系统只提供有限的访问控制机制，缺乏对现有访问控制模型的有效支持，为了克服Linux在安全访问控制方面的不足，增强安全管理的灵活性和易用性，本文深入研究了LSM（Linux Security Module）安全访问框架和基于角色的访问控制（RBAC-Role-Based Access Control）技术，提出了一种利用LSM框架实现RBAC的方法，并详细讨论了在Linux环境中有关实现问题。     

基于嵌入式WebServer的粮仓温湿度监测系统设计

在分析了目前国内粮仓监测系统中存在一些缺陷的基础上,提出了用ARM+μCLinux+Web服务器作为开发粮仓温湿度监测系统的软硬件平台的设计方案.在嵌入式系统中集成嵌入式Web服务器用户通过Internet网络可以实现远程监测嵌入式设备采集数据和工作状态,从而提高了监测效率,减低了监测成本.给出了在μCLinux操作系统下构建Boa服务器的具体步骤.该系统能够提供粮仓温湿度等相关环境参数的变化,为有关部门采取相应措施提供决策依据.     

操作系统安全机制复合行为模型掘取技术研究*

以信息安全理论和软件逆向工程技术为依托,研究了操作系统安全机制复合行为模型掘取技术及其实现方法和技术路线。通过结合操作系统的多尺度软件逆向理解技术,对操作系统安全机制的相关程序进行逆向分析、模型掘取和形式化描述,从而发现潜在漏洞、后门、隐通道等操作系统高层安全机制存在的安全问题,为实施修补、反制及利用等相应安全措施提供有力依据。在该技术基础上实现了一套原型系统,实验验证该系统的程序理解和模型掘取结果满足要求。     

基于双空间审计迹的Linux安全审计技术

在研究Linux安全审计技术的基础上,提出一种基于双空间审计迹的安全审计方法,融合操作系统内核空间的系统调用和用户空间的库函数调用,提高对操作系统内核层攻击和恶意用户行为的识别能力。对LSM框架进行审计扩展,用于设计审计模型的数据获取模块,增强了模型的审计粒度、安全性和灵活性。为了提高安全审计的实时性,引入典型集方法压缩正常行为特征库。     

基于嵌入式μCLinux设备驱动程序的实现

文中通过在嵌入式μCLinux上实现字符型设备驱动程序的添加的实例,介绍了嵌入式Linux系统的设备管理、设备驱动程序的框架和实现设备驱动程序的添加的方法,以能够提供给大家一个开发μCLinux下设备驱动程序的向导。使之在开发各种设备的驱动程序中得到很好的应用。     

MiniGUI在ARM嵌入式广告系统上的使用和改进

提出一种在嵌入式广告系统上建立图形界面的方式。该嵌入式系统采用ARM芯片和μCLinux操作系统,并采用基于MiniGUI的图形界面。详细描述该图形界面应用体系的建立流程和要点。对于嵌入式广告系统的特殊需求,提出并实现了对MiniGUI系统的两大改进,一是对于高分辨率图像显示的双缓冲技术,二是对于高级文字特效的支持。     

嵌入式μCLinux中DM9000设备驱动研究与实现

DM9000是目前在嵌入式系统中广泛应用的以太网芯片。本文首先简要介绍μCLinux中网络驱动的基本框架,然后研究并实现μCLinux内核中DM9000驱动各个模块的功能,并根据实际需要进行优化。实际使用效果表明,该驱动程序运行稳定,传输速度能很好地满足实际应用需要,达到了预期效果。     

系统调用层的操作系统安全增强

在操作系统安全内核的实现方式上，一种主流的做法是直接改造原有系统的实现代码，加入安全机制。其中较为常见的是以LINUX开放源代码为基础进行开发，直接对内核进行修改。在发现这种做法优点的同时，我们也必须意识到它也存在一定的缺点，比如兼容性和移植性的问题。本文提出了安全虚拟机(SVM)这一概念，阐述了从系统调用层对操作系统安全实施增强的技术，并根据此策略设计了一个能够达到C2级安全保护的模型，重点突出了设计思想和实现考虑。     

基于μCLinux的操作系统实时性扩展和应用

本文提出一种基于实时硬件抽象层RTHAL的方法增强μCLinux实时性能以便应用于实时视频编码系统。具有硬实时性能的RTHAL运行于硬件层和μCLinux之间,通过尽可能少地修改μCLinux内核而获得完全的硬实时性能,平均任务调度延迟仅为3～4μs左右。本文还提出了如何计算和设置RTHAL和μCLinux之间FIFO缓冲区的大小以便实现实时数据稳定传输的方法。通过实时视频编码实例测试表明,该方法能够简单高效地提高μCLinux的实时性能。