在一个现有的较成熟的嵌入式操作系统基础上增加安全核来增强现有系统安全性,是一个很好的开发安全嵌入式系统的思路。安全内核负责实现整个操作系统的安全机制,在硬件、操作系统、计算系统的其他部分之间提供安全接口,将安全功能隔离在安全核内。
2 VxWorks安全核框架
2.1 安全核体系结构
本文提出一种如图1所示的VxWorks安全核框架结构。基本思想是:应用程序对Wind内核的访问都是受控的,即应用程序(主体)对任务、信号量、共享内存、消息队列、管道、信号和文件等(客体)的访问及操作都受到强制的控制,安全核依据一定的策略判定是否允许主题对客体访问。应用程序对Wind内核的所有调用都被监控器拦截。首先通过查询策略缓存判定该调用的合法性,如果合法则允许进行该调用;如果没有找到相关策略则将该请求交由安全服务器进行判定,合法则允许进行该调用并将该策略写入策略缓存以便下次调用时直接判定,非法则拒绝此次调用。每次调用及结果反馈给审计模块以备查询。监视器、安全服务器、审计模块的配置工作由主机端配置工具进行。
该安全核的强制访问控制模块主要由监控器、策略缓存和安全服务器三大组件组成。其中,监控器负责拦截主体对客体的所有访问,将拦截到的访问交由判定机构判定,并负责依据接收到的判定结果对访问进行控制;策略缓存(Access Vector Cache,AVC)组件缓存安全服务器提供的访问控制决策供监控器使用,以减少检查对象访问权限耗时,从而提高整体性能;安全服务器是内核的一个子系统,将安全策略与通用接口封装在一起的一个组件,通用接口用于获取安全策略决策。针对不同对象的管理器负责向安全服务器申请SID标签以及向监控器提供服务。
2.2 安全服务器
安全服务器是本系统的核心组件,是访问合法性的判定部分。其结构如图2所示。
安全上下文是表示安全属性的变长字符串,是安全服务器私有的数据类型,由安全服务器依据一定的策略逻辑负责解释。安全上下文不直接与主客体绑定,而是在运行时由安全服务器依据标签规则进行其与安全标识符SID的映射。多策略验证器是安全服务器的核心模块,它包含系统设定的所有安全策略的判定逻辑。本安全核对多安全策略的支持由这一模块实现。按照不同的策略,对访问有不同的判定结果,安全服务器依据这些判定结果的交集做出好终的判定结论。
PCM-11
3TK2820-2CB30
ABB CI590 3BHT340092R1
6ES7350-1AH03-0AE0
6ES5467-8EF11
0.650.847-56.1 032 0.525.612 030653-1017
XPSAM3440
KD221K75
6MB I25L-120
ABB 3HAA 3563-AUA/1
46952544
46945944
PTK1.23V02
6ES5430-4UA13
ZT8101 A75387-003
KL3022
09900762
TVA-080-U0
920005
LUT1-530 1005933
AP-FT2 45719
33D 0863012 -1
REDIN480-24/3AC
6ES5095-8MA02
