基于分区架构的机载网络安保研究

2015-04-16 14:30孙志强
计算机与网络 2015年14期
关键词:信息流中间件内核

孙志强

(中国商飞上海飞机设计研究院综合航电系统设计研究部,上海201210)

基于分区架构的机载网络安保研究

孙志强

(中国商飞上海飞机设计研究院综合航电系统设计研究部,上海201210)

由于机载网络通信和数据共享的要求,物理隔离不是理想的安保手段,因此,接入公共网络将会引入了诸如旁路、篡改、病毒、颠覆等网络威胁。本文首先分析了为防护网络威胁所建立的分区安保,包括其中的四种安保策略、安保架构与微型内核功能。其次就分区内核的底层安保、中间件安保和应用层安保的特点进行了分析。最后分析了分区通信系统的安保策略与应具备的功能,并讨论了与实时公共对象请求代理体系结构合的实时分区安保的特点。

威胁机载网络安保分区内核

1 引言

随着电子信息技术和航空制造业的迅速发展,飞机已经不再是孤立的个体,日益成为整个地空信息网络的节点与终端。这需要采用宽带网络连接机载设备与地面支持系统。这使得新一代航空电子设备在具有高度灵活的语音和通信数据的能力的同时,但同时也为机载系统引入了威胁,因此需要提高通信的安全性。

2 物理隔离不是理想的选择

在传统的飞机上,使用物理方式解决安保问题。但是,这极大的阻碍了数据分发和共享,飞机不能灵活和高效的与地面或公共开放网络进行通信和数据共享,不符合当今社会信息化的要求。因此,物理隔离不再是理想的安保手段。

但是直接接入灵活和高效的与地面或公共开放网络进行通信和数据共享,面临外部网络的各种网络威胁。

3 网络威胁

系统和程序需要建立在良好的安保措施之上,否则如果恶意软件可以成功地攻击系统或网络,将导致系统和程序的故障甚至瘫痪。

网络威胁包括:

旁路——恶意软件绕过系统的保护。如果关键的安全软件被绕过,将不能保证使用安保服务的应用程序是安全的。

篡改——恶意软件修改程序的敏感数据。如果篡改成为可能,那么没有程序会对病毒、蠕虫等免疫。

级联——恶意软件引起故障从一个系统组件传到另一个。如果一个程序的故障能引起另一个程序的故障,可能会导致更大系统故障。

病毒——恶意软件运行在特权级别,因此它可以感染所在系统和其他系统部分。所需要的防护机制是建立一种架构,可以执行和管理的最低权限,当入侵发生时,它的伤害是本地,它的伤害可以被检测到,并且可以恢复。对付电脑病毒问题在很大程度上是将设备驱动程序和应用程序踢出权限模式。

颠覆——一个被用户认为合法的恶意软件被加载到系统。对付这种威胁,需要采用全部代码需要签名否则不能加载,所有软件的源代码必须是可追溯至源头的防护方式。

4 分区安保

为防护上述的网络威胁,可以建立一种基于分区安保的架构,以数学验证为核心系统软件,将安保功能定位到四个关键安保策略。

信息流——分区之间内部的实时操作系统和端到端分区之间有不同的计算平台,为端到端提供认证和完整性保护。

数据隔离——专用数据保持专用,为端到端提供加密。

周期处理——微处理器本身将不会有一个隐蔽通道在分区之间泄露机密数据,关闭通信链路上的隐蔽通道内可能需要全周期加密。

损坏限制——一个局部故障不会导致其他部分故障,故障会被检测,遏制和位置恢复。

分区安保分割核心和中间服务的信任组件,因此安保有以下特征:

没有旁路性——安保功能不能绕行;

可评估——安保功能可以用于数学验证和评估;

永远调用——安保功能可在任何时间调用;

防篡改——资源枯竭型颠覆性的代码不能改变功能的安全功能,缓冲区或其他使安保软件失效的格式。

分区安保架构允许用户创建应用程序代码。虽然大多数基于分区安保的应用代码被释放,但是它是受保护的,并且限制损坏其他需要更高级别保护的应用程序。

通过安保隔离原理和考虑易控组件,分区安保架构开发用来解决高安全等级系统的认证问题。分区安保系统进入分区时进行隔离处理,定义收集数据目标,代码和系统资源。如果分区安保架构应用适当,这些独立分区能对隔离进行评估。如果得到正确实施,这种分而治之的方法将成倍减少安全系统证明工作。为了支持这些分区的分区安保架构分为三层:

分区内核——十分小的数字验证软件块,保证时间和空间分区的隔离。

中间服务——多数传统操作系统功能包括设备驱动,分区通信系统,属于分区内核到内部系统通信延伸隔离的范围。

应用程序——执行应用层安保策略。

分区安保架构微型内核具有以下功能:

分割计算机到隔离的地址空间和时间表间隔;

保证分区隔离;

支持通信控制。

因为这些内核很小,只有数千行的代码。这使得它适合于形式分析方法,以及详尽的测试认证。分区内核的设计也非常有利于在DO-l78B下的取证。

5 分区内核

如果我们在应用程序运行一个安保受信应用代码隔离的地址空间,为了没有旁路,必须是由应用发布请求任意输入或输出服务,自然的解决方式是将其放置在操作系统中。但是这将导致操作系统中有特权内核的地址空间与其他混合在一起,这对安保而言不是好的选择,原因有:

安保功能通常是应用程序特定的。许多实时操作系统的设计,可以让用户自定义的,但是最好不要更改系统中最敏感的部分。

由于相同的地址空间中的任何代码安保功能可能会干扰整个内核的安全执行,因此必须分析弱点和针对恶意代码的防护。

任何操作系统支持多个地址空间和分区的概念,并为分区和操作系统之间提供一定程度的隔离。分区的内核,执行一个特殊的指令,产生一个中断请求服务,这使电脑在内核模式下,允许操作系统做它需要做的,包括读、写、输入、输出、控制寄存器或修改存储器映射。操作系统提供服务的最有效的方法是在内核模式中执行所有的服务代码,才能节省切换开销。

显然,建立一个系统分区中的内核将遭受比出现在更传统的设计更多的上下切换的开销。通过细致设计内部分区通信服务,可以使之变得这可以接收。

5.1底层安保

ARINC-653标准是专门为航空电子计算设备而设的。它允许两个或多个程序共享一台计算机,同时保证他们不能互相干扰。在ARINC-653系统中,内存和处理时间是静态分配到分区使用配置表的,分区之间的通信在底层建立了一个静态的网络。除了几个内核服务,所有的输入和输出通过静态网络。

ARINC-653指定了一个通用的基于底层的通信安保框架,为了防止篡改,必须驻留信息流控制安全策略。分区内核在静态配置表中保证数据从一个分区流向另一个分区。

5.2中间件安保

基于隔离概念的中间件安保为分区内核提供了一个扩展,关注端到端的数据处理,而不是单一的分区内核的微处理器的数据处理。在中间件,系统中的每个分区的地址空间,不管它是驻留在哪个微处理器,都具有一个唯一的安全标签分类,这些标签用来定义授权组件之间的通信。分区和沟通渠道的标签是用来满足安全策略的。中间件是通过以下负责确保端至端的安全性:

标签——中间件安保必须确保单个分区之间发送的消息带有发送者的安全分类正确标记。

过滤——中间件安保负责筛选出没有适当标记的任何消息。

维护信息流的控制——中间服务执行特定的授权信息流限制。

在中间件,我们引入授权信息流的概念。系统可以通过分区之间的信息流被授权实现与两个分区通信。一个系统可以被设计成隔离的分区的集合,其中分区为一个单一信息的聚集地,分区安保架构将在系统和这些“物理隔离分区”之间使用计算机安保措施,并达到同样的保障水平。

分区安保架构的所有操作系统代码在特权模式下没有必要进行分区内核功能的移动。因此,在默认情况下,操作系统服务代码(例如,设备驱动程序,文件系统)移动到中间件,这样做是为了防止从一个进程权限提升到未经授权的软件和网络攻击。每个分区可以根据安保级别被配置为利用一套单一的操作系统的服务代码。

5.3应用层安保

分区安保授权应用层来保护自己。应用层负责执行应用程序安全策略。正是在这层,该系统提供适合于应用程序的安全政策。

6 分区通信系统

分区通信系统是分区安保一个部分,中间服务负责为分区安保节点内通信,换句话说,所有的通信在分区之间进行。分区通信系统的目的是扩展到多个节点受保护分区的安保内核。

分区通信系统采用4个的分区安保政策:端到端信息流,端到端数据隔离,端到端周期处理,端和端损坏限制。

因此,通信系统分区利用分区安保分区内核,使应用层实体执行,管理和控制自己的应用程序级别的安全策略,以这样的方式,应用程序级别的安全政策不被旁路,可评估的,永远调用,防篡改。

分区通信系统必须提供以下功能:

分区内节点身份验证;

加密隔离等级;

带宽配置和分区;

分区中的所有节点的安全配置,分为分散式和集中式;安保应用实例;安保时钟同步;签署分区镜像;抑制隐蔽通道。

7 实时分区安保

分区安保与实时公共对象请求代理体系结构合成产生一个意想不到的好处。实时公共对象请求代理体系结构的灵活性,更容易实现分区安保保护。

分区安保架构是所有关于位置的认识。正确设计的安全系统的分区安保具备独立的要求,适当的功能和集成到单独分区的保护优势。实时公共对象请求代理体系结构使位置透明。

分布式系统中的实时公共对象请求代理体系结构内置的应用程序代码位于系统的不同位置,这极大的灵活性,可以用来重新安排分区,每个系统对象执行,以优化性能。在开发周期的后期,系统布局可以纠正错误。

分区安保与实时公共对象请求代理体系结构的结合,使设计人员可以重新安排位置的系统功能,以更好地利用的分区安保分区保护。

8 结束语

分区安保是一个基于ARINC-653的安全架构,支持深度隔离。分区安保是值得底层信任,提供智能推/拉的分区次信息保护,独立控制端到端的信息流和数据分离的安全策略。因为分区内核和通信系统的分区被设计为评估和认证的通用标准EAL 7级下的应用系统,在只有一个信息安全等级的应用系统不需要进行高水平的认证。而对于多重安全级别提供了高安全性的安保,适用多个信息安全等级系统,帮助程序开发人员设计和构建高安全性的系统。

[1]ARINC653-1 Avionics Application Software Standard Interface Published:October 16,2003:11,168

[2]Vanfleet,W.M.An Architecture for Deeply Embedded,Provable High Assurance Applications.May 2003:4-5.

[3]Sandro Geric.Zeljko Huntinski.Information System Security Threats Classifications[J].Journal of Information and Organizational Sciences.Jun 2007:3-4

[4]郭乐深,苏森,杨放春,刘锦德.基于CORBA技术的策略安全信息系统的研究[A].小型微型计算机系统,2002,(3):305-309

The Research of Onboard Network Security based on Partition Architecture

Sun Zhiqiang

(COMAC Shanghai Aircraft Design and Research Institute Avionics System Department,Shanghai 201210,China)

Because of the requirements of airborne network communications and data sharing,Physical isolation is not ideal security tool,Access to the public network will introduce the network threats,such as bypass,tampering,viruses,subversion.At first,this paper analyzed the threats to protect the network established by the district security.Secondly,analyzed the underlying security,the intermediate layer security and application layer characteristics of the partition core security.Finally,analyzed the security strategy and function of partition communication systems,and discuss the features of real-time partition security combined with common object request broker architecture.

threats,onboard,network security,partition,kernel

TP393.08

A

1008-1739(2015)14-66-4

定稿日期:2015-06-26

猜你喜欢
信息流中间件内核
强化『高新』内核 打造农业『硅谷』
基于信息流的作战体系网络效能仿真与优化
基于信息流的RBC系统外部通信网络故障分析
基于嵌入式Linux内核的自恢复设计
Linux内核mmap保护机制研究
战区联合作战指挥信息流评价模型
RFID中间件技术及其应用研究
基于VanConnect中间件的设计与开发
微生物内核 生态型农资
基于任务空间的体系作战信息流图构建方法