嵌入式系統的VxWorks安全性問(wèn)題研究

安全上下文是表示安全屬性的變長(cháng)字符串，是安全服務(wù)器私有的數據類(lèi)型，由安全服務(wù)器依據一定的策略邏輯負責解釋。安全上下文不直接與主客體綁定，而是在運行時(shí)由安全服務(wù)器依據標簽規則進(jìn)行其與安全標識符SID的映射。多策略驗證器是安全服務(wù)器的核心模塊，它包含系統設定的所有安全策略的判定邏輯。本安全核對多安全策略的支持由這一模塊實(shí)現。按照不同的策略，對訪(fǎng)問(wèn)有不同的判定結果，安全服務(wù)器依據這些判定結果的交集做出最終的判定結論。
策略數據庫是策略數據的存儲結構，通過(guò)主機端配置工具配置其中相關(guān)信息。
本安全核的實(shí)現采用了一種結合類(lèi)型實(shí)施(TE)、基于角色的訪(fǎng)問(wèn)控制(RBAC)和多級安全(MLS)的多安全策略。安全服務(wù)器定義的安全性上下文由用戶(hù)身份、角色、類(lèi)型及可選的安全級別和范圍組成，其中角色只與任務(wù)(task)相關(guān)。只有合法的用戶(hù)、角色、類(lèi)別及安全級別或范圍的組合才會(huì )被安全服務(wù)器賦予SID。
2．3 客體管理器及強制訪(fǎng)問(wèn)控制
客體管理器是負責安全策略實(shí)施的部分。Wind內核中任務(wù)、信號量、共享內存、消息隊列、管道、信號、文件等的管理系統是不同的對象管理器。本系統實(shí)行強制訪(fǎng)問(wèn)控制，系統中每個(gè)任務(wù)、信號量、文件等都被賦予一定的安全屬性，這些屬性由客體管理器負責維護。
強制訪(fǎng)問(wèn)控制的具體過(guò)程為：監控器截獲訪(fǎng)問(wèn)請求格式為主體SID、客體SID以及許可權限三元組，即SID，SID，Perms>。監控器將三元組交與AVC進(jìn)行匹配，如果有相應條目，則允許該訪(fǎng)問(wèn)請求；如果沒(méi)有相應條目，則將該三元組交由安全服務(wù)器進(jìn)行判定。安全服務(wù)器首先進(jìn)行SID與安全上下文的映射，依據策略邏輯將映射后的該條訪(fǎng)問(wèn)信息交與策略驗證器進(jìn)行驗證。如果驗證通過(guò)則將該三元組寫(xiě)入AVC，同時(shí)運行此次訪(fǎng)問(wèn)，反之則不允許訪(fǎng)問(wèn)。

3 系統實(shí)現及測試
3．1 安全系統的實(shí)現方式
在分析VxWorks系統內核Wind結構的基礎上，結合上述提出的安全核設計，本系統實(shí)現了安全標記和強制訪(fǎng)問(wèn)控制，即實(shí)現了對Wind任務(wù)、信號量(二進(jìn)制／互斥／計數信號量)、消息隊列、管道、事件等的安全標記和強制訪(fǎng)問(wèn)控制。實(shí)現了監控器部分來(lái)支持對系統調用的控制；實(shí)現了策略服務(wù)器使之初步支持MLS、TE、RBAC策略判定；實(shí)現了策略緩存部分以提高系統性能。監控器的實(shí)現：監控器對系統調用實(shí)施攔截，實(shí)質(zhì)上是作為一個(gè)轉向器將正常的系統調用轉入強制訪(fǎng)問(wèn)控制階段。系統通過(guò)調用全局安全鉤子函數securi_hooks()調用各子系統安全鉤子函數，如sec_task_hooks()、see_semB_hooks()、sec_semM_hooks()等。在系統調用級，定義了需要進(jìn)行安全判定的接口函數，如sec_taskSpawn()、sec_taskDelete()、sec_emBCreate()等。