嵌入式系統移動(dòng)視頻監控終端平臺安全性

4 嵌入式平臺安全方案
由于移動(dòng)視頻監控終端是移動(dòng)網(wǎng)絡(luò )終端，它同樣不可避免地會(huì )遭受病毒攻擊。在此提出采用可信計算模塊與強制訪(fǎng)問(wèn)控制相結合的平臺安全方案，保護移動(dòng)視頻監控終端平臺免受病毒侵害。操作系統對硬件平臺的管理實(shí)際上就是對平臺各種資源的分配和調用，要想保證系統的安全，實(shí)際上就是要求對平臺上的各種資源的分配和調用是合法的。所以，訪(fǎng)問(wèn)控制就成為了操作系統安全的一個(gè)重要組成部分。一般來(lái)說(shuō)，強制類(lèi)型控制(mandatory access control，MAC)可以提供較強的安全保護。它通過(guò)標記系統中的主客體，強制性的限制信息的共享和流動(dòng)，以確保系統的安全，如圖3所示。MAC根據系統訪(fǎng)問(wèn)的主體(進(jìn)程)、客體(系統資源)，以及訪(fǎng)問(wèn)類(lèi)型在安全規則中進(jìn)行查找和比對，以決定訪(fǎng)問(wèn)控制的決策。這就是MAC的基本原理。TPM是由TCG所提出的一種確保系統可信的模塊，它通常由一個(gè)物理芯片實(shí)現。在TCG的標準中，TPM提供至少3種基本特性：保護功能、完整性測量、完整性報告?？梢岳眠@幾個(gè)特性，使其與MAC相結合，給平臺提供更高的安全性。

TPM保證可信的基本原理是在一個(gè)實(shí)體可以執行之前首先檢測它的完整性，這也就是所謂的信任鏈的傳遞。但是，在操作系統的運行過(guò)程中，由于應用層軟件的多樣性，根本無(wú)法對每一個(gè)在平臺上運行的軟件進(jìn)行完整性校驗。但是，結合MAC的實(shí)現原理，它是對每一種操作進(jìn)行控制，所以，TPM也可以把對整個(gè)軟件的完整性校驗分解為對每種操作的完整性校驗。事實(shí)上，軟件可以使多種多樣的，但是可以進(jìn)行的操作確實(shí)有限的，那么就可以通過(guò)對這有限的操作進(jìn)行控制以達到控制絕大部分軟件的目的。同時(shí)，操作系統的存在使得所有對系統資源的訪(fǎng)問(wèn)都在內核空間發(fā)生，這也就意味著(zhù)，只要我們能保證操作系統內核是可信的，那么就可以利用內核來(lái)驗證下一個(gè)實(shí)體是否是可信的。這實(shí)際
上還是一個(gè)可信鏈的傳遞：由可信的內核傳遞給某一種操作。由于這種可信鏈傳遞的方式類(lèi)似于MAC，所以它的實(shí)現框圖如圖4所示。
與前面的MAC的框圖基本一樣，只不過(guò)現在的TPM充當了安全規則的角色。這種實(shí)現方式可以更好地利用TPM芯片的安全性來(lái)給系統提供更好的安全性。具體的實(shí)現方式可以是多樣的。比如可以?xún)H利用TPM的保護功能將MAC的安全規則加密保存，也可以利用完整性測量和完整性報告來(lái)對訪(fǎng)問(wèn)主體(進(jìn)程)、客體(系統資源)和訪(fǎng)問(wèn)類(lèi)型進(jìn)行校驗來(lái)決定控制決策。另外，還有2個(gè)需要注意到的方面：首先，移動(dòng)通信終端一般都由運營(yíng)商管理，所有的終端都與一個(gè)中心服務(wù)器相連；其次，TPM提供的密鑰管理功能可以方便的認證遠端服務(wù)器。結合這兩點(diǎn)可以利用中心服務(wù)器定期的、安全的對移動(dòng)通信終端的安全規則進(jìn)行更新，以保證用戶(hù)可以使用更多的軟件，在不損壞安全性的同時(shí)，保證了系統的靈活性。因此，由上分析可知，有可能利用TPM+MAC的方法改善嵌入式系統的安全性。顯然，該機制的核心是必須配置高性能的TPM硬件模塊。

5 結語(yǔ)
本文設計完成了一種基于IXP425平臺的移動(dòng)視頻監控終端MVST，包括具體的硬件和軟件，其中的關(guān)鍵點(diǎn)是如何實(shí)現多個(gè)移動(dòng)無(wú)線(xiàn)路由的捆綁來(lái)提高上行傳輸速度。在此進(jìn)一步討論了采用可信計算平臺模塊與強制訪(fǎng)問(wèn)控制相結合的(TPM+MAC)的方案來(lái)增強嵌入式系統平臺安全性的方案。