保障系統安全的密鑰解決方案

保證節點安全

安全啟動是起點，而安全通信可以從通過CA認證的密鑰開始實現。對于嵌入式微控制器而言，下一步也許直接是應用程序，但對大多數應用來說，兩者之間至少還有一個操作系統。在最簡單的情況下，還有存儲器保護，更進一步還包括虛擬存儲器支持。理論上講，一個安全的操作系統可以使應用程序完全隔離于這種存儲器保護支持。當然，操作系統架構和規模可能為那些尋求繞過這種安全機制的攻擊者提供大量漏洞。

另一個可能的步驟是虛擬機支持。這種虛擬機支持使用額外的硬件，可提供與存儲器保護或虛擬存儲器支持相同類型的保護，但它更詳細，因為它模擬了所有的硬件。

管理程序本質上是一種管理虛擬機環境的操作系統，這種方法用于管理多個系統，但也能提供額外的安全性。其方法是隔離操作系統，并進一步隔離應用程序。一個“瘦”的管理程序通常比傳統的操作系統或實時操作系統(RTOS)簡單得多，因此缺陷較少，在應用正式方法時也更容易驗證。

一些虛擬機系統使用主機操作系統，如Linux，使得這類驗證非常困難。另外一種方法是建立一個虛擬機，用它來處理到虛擬機系統的用戶接口。虛擬機通過與管理程序通信來控制基礎系統。理論上講這種方法可以提供更好的隔離性能。

制定安全策略

管理程序為系統提供獨立多層次安全性(MILS)或域分離功能。MILS可以是多層安全(MLS)系統的一個組件，然而，MLS的實現不需要虛擬機支持，前提是系統(包括安全啟動過程)可以得到安全保護。

像SELinux等操作系統使用MLS安全模型，這種模型可以提供比單獨Linux更細顆粒的訪問控制。一般來說，Linux使用Linux安全模塊(LSM)框架。LSM可以支持包括SELinux在內的多種安全模型，另外一個是Smack(簡化的強制訪問控制內核)。

基本的Linux安全模塊提供基于用戶/組模型的認證和訪問控制，并且它是圍繞文件系統搭建而成的。文件可以從組、用戶或匿名的角度進行操作，并且讀、寫和執行屬性是單獨可控的。訪問控制繼承了目錄樹的概念。

SELinux更像是一種面向功能的系統，其策略可以變得相當復雜。這種強制訪問控制系統將策略和執行分開來，不僅控制對文件和目錄的訪問，而且控制對網絡接口和消息的訪問。

訪問可以關聯到應用程序，而不僅是用戶。例如，文件服務器可以只提供對那些正確標示為共享的文件或目錄進行訪問。它能跟蹤應用程序以及由這些應用程序之一產生的任何子程序。這樣，策略可以防止信息從較高安全層次流向較低安全層次。沒有正確的允許，更高層次的應用程序不能簡單地提供對較低層次的訪問。

這種復雜性帶來的一個問題是如何正確地使用。較差的策略可能開啟漏洞，允許數據或控制移動到不應被允許的地方。這正是大多數系統開始時使用一種或多種基本策略定義、然后逐步修改以滿足系統要求的原因。

顯示系統的安全

安全操作系統的安全啟動對某些環境來說是足夠的，但與用戶的交互帶來了對識別以及用戶相關I/O的需求。安全顯示器是軍用安全系統中常見的一個特色功能(圖3)。顯示系統的安全性可以用軟件或硬件實現。例如，可以設置安全設備驅動程序只在顯示器底部顯示來自安全應用程序的顯示信息。采用全屏顯示的應用軟件不會覆蓋這個安全區域，其它技巧包括用顯示硬件執行相同的操作。

圖3：在屏幕上留出安全區域非常重要，這種方法通常與其它形式的安全基礎架構組合在一起。

人們經常使用的ctrl-alt-delete也是一個相關接口項。理論上，這個組合鍵應該只是調用系統應用程序。在使用Windows操作系統時，按下這個組合鍵將彈出一個對話框，其中有任務管理器等啟動選項。使用安全顯示器后，反饋信息可以通過安全顯示區顯示，使得任何應用程序無法模擬響應。