基于RT-Linux防危保障机制的实验模型

　　摘要：随着嵌入式实时系统在安全关键系统中日益广泛的应用，其软件不但要保护嵌放式实时系统的功能性和时间限制，对其安全性、稳定性和可靠性的要求也大大提高。软件错误的比例大大高于硬件错误，软件错误可能引起硬件误操作，进而直接威胁系统安全。使用防危核可有效防止关键设备误操作。本文以RT-Linux实时操作系统为平台，对十字路口交通灯控制建立安全实验模型，硬件防危核实现技术，为防危保障探索新的实现途径。

　　关键词：防危核 安全核 实时系统 防危策略

　　早在19世纪70年代，为保证系统中的敏感信息不被非法用户恶意破坏和非法访问，Roger Schell和Mitre等人提出了安全核（security kernel）的概念。安全核将系统中的软件隔离为可信的和不可信的两部分，由可信赖信号负责对不可信部分进行审核，以保证不可信部分不会对敏感数据进行非法和错误的访问。安全核的技术在信息安全领域中取得了成功并得到广泛的应用。在安全核基础上，Rushby等人又进一步提出了防危核（safety kernel）的概念，用于防止软件对安全关键设备的非法访问，从而保障系统安全。防危核由一组防危策略和隔离组成，因此，防危策略的完备性和低开销是防隐核可靠和高效的关键。现在，对防危核的研究还处于初级阶段，本文介绍我们基于RT-Linux实现的队危核。实验结果表明了该方案的有效性和可行性。

　　1 防危核技术

　　防危核关心的是如何保护设备不被非法访问，以避免因对设备的误操作引起的重大生命财产损失和环境破坏。防危核把受保护设备与系统中的其它部分隔离，通过实施防危策略（safety policy）对这些设备的访问进行特殊控制。凡是对受保护设备的访问，都必须经过危核的审查，合法者予以支持；反之，则采取相应的出错处理措施，维护系统的防危特性，这样就能很好地避免软件故障造成的灾难后果。从应用软件的角度来看，防危核的原理如图1所示。在工程应用中，要保证危核的有效性，必须遵循下列3项规则。