嵌入式系统安全性(中) 对攻击状况和防卫策略的概述和分析

借助虚拟化实现安全性

　　虚拟技术已从企业计算空间转向嵌入式世界。虚拟技术包括在虚拟计算机监控器的控制下提取系统资源，有时称为系统管理程序。系统管理程序使运行同时执行环境具有可能性，每个环境孤立存在，分别运行在基础硬件平台的一个虚拟代表上。

　　从器件整合和资源最优化的角度来说，虚拟计算机有很多优点。它们可以采用不同设计方法，从“纯粹”的或“完全”的虚拟到“部分虚拟(Paravirtualization)”，部分虚拟是嵌入式应用中最常用的方法。在部分虚拟中，进行进一步的细分，包括微内核、微调度程序和轻薄的产品，这种轻薄产品实际上扩大了硬件抽象层，使之包括了虚拟特性。

　　从安全的角度来看，虚拟技术的使用，允许设计者通过执行特权分离和最小权限原则7，8，来减轻计算机安全攻击的潜在危害。

　　特权分离要求应用程序被分为有特权部分和无特权部分，有特权的部分应保存得越小越好，来减小攻击的表面。因此，一个成功的、针对对更大的、不安全的组件的攻击，只会获得对敏感数据的极低的访问能力。

　　最小权限要求，每个软件模块仅能获得合理用途所需的信息和资源。

　　各种各样不同的虚拟技术的一个共同点就是整齐。对于纯粹虚拟和完全虚拟，VMM负责捕捉和处理所有由客户操作系统执行的指令。这种方法的好处是客户操作系统可以不更改地运行。另外，由于操作系统是与硬件完全脱钩的，才有可能创造更高的便携式应用，其应用平台多样化且在应用程序中。这种方法的缺点是在系统功耗方面是一个重大的支出，特别是当硬件平台没有配置软件虚拟支持的情况下。

　　纯粹虚拟技术依靠具有重要硬件支持的底层硬件平台来实现，如Intel公司的VT体系机构和AMD的Pacifica。在这些系统中，虚拟计算机资源的状态在硬件中维持，而且VMM的性能消耗大幅度减小。这种技术的优点是它类似于全虚拟，表现在客户操作系统可以无修改地运行。缺点是那些运用这一技术的产品占用的裸片面积稍大一些，而且现有可用的嵌入式装置中纳入这种水平的支持能力者并不多。

　　部分虚拟技术(Paravirtualization)是这样一种技术，其特定操作系统的指示，一般具有“特权”和内核模式指示，被“hypercalls”或API对管理程序的调用所代替。这减轻了处理所有客户指示的负担，降低了系统的开销，明显地提高了执行绩效。缺点是客户操作系统必须被“触及”，但是，实际上这种影响是很小的。

　　例如，分析Linux时，发现/dev/arch中具有优先权的指令仅存在15个文件中。

　　在普通的部分虚拟技术种类中，存在一些系统管理程序的子程序。

　　微调度器(如图2)，正如其名称所暗示的那样，是按照一个固定的进度表来分配系统资源的程序。商业上典型的具体实施方法是在内核模式下运行微调度程序，并且作为主控来控制一个客户操作系统，该OS也在类似的内核模式下进行操作。从安全的角度来说，这意味着客户操作系统一定得是一个“良好的市民”，因为客户完全可能绕过微调度程序。这使得整个空闲的存储器易受攻击。为了消除这个弱点，微调度程序的开发者增加了一个可供选择的安全引擎，以监测和控制硬件的访问。

图2 使用微调度器的虚拟化

　　微内核(图3)本质上是一个操作系统，这个系统移去了大量的典型操作系统服务，并代之以可以在用户级别执行服务的机制。从安全的角度来看，它的优点是，用户模式实体访问底层硬件时不具有危险性，因为内核模式指令调用已被移去。其缺点主要是多重处理域的维护，当执行从微核的本地处理区运行到客户操作系统及其应用程序处理区时，这些处理域需要具体实现复杂的进程间通信(IPS)机制和额外的环境转换。

图3 基于微内核的虚拟化方法

　　虚拟的另一个途径是产生一个硬件抽象层(HAL)，并增加额外的服务，以照顾多重执行环境(图4)的需求。HAL是一个硬件微薄转换层，它可以使得软件具有更好的可移植性。为增加对多重执行环境的支持，开发者创造了超微内核，尽管这种表述不是很准确。在实践中，这种途径和微核型解决方案的不同之处是，虽然微核在设计时已经考虑到要运行某种客户操作系统，而HAL更趋向于以硬件为中心，而且并不了解操作系统的具体情况。

图4 利用HAL或者超微内核性管理程序实现的虚拟化

　　从安全的角度来说，最关键的因素是所有商业管理程序控制对硬件资源(如MMU系统)访问的能力。例如，如果一个客户端应用程序(比如web浏览器)被一个流氓HTML站点所破坏，并试图侵入存储器禁区，那么系统管理程序就会向存储器强加边界，并适当地保护敏感数据。通过使用安全的系统管理员，根据驻留在特定的执行环境中的应用程序的已知边界检查可疑的重填数据，就可以实现由软件填充的TBL不受侵扰，由此保证程序的执行处于“界限内”。在路由器或其他客户端装置中，系统管理程序可以用来提供一定程度的DoS保护，这可以通过使用多重VM来控制对任何特定资源的访问或是要求提供适当的通行证来实现的，这样做可以避免VM使用“界限外”的资源。

 　　在虚拟化架构的设计过程中，虚拟计算机之间的默认通信途径要尽可能减少，理想的情况是，如果从VM到VM没有公开昭示的授权的话，最好没有任何通信。

　　由于增加一个VM的开销是很低的，用VM自己已经完成引导的、处于挂起状态的“候补”操作系统来生成”候补”VM是可能的。那么，当一个处理域被DoS所危及时，一直在自己的执行环境中运行的系统健康度监督程序，可以将被危及的VM的执行挂起，将激活的程序转移到候补的VM，并继续执行。这种方法在受到攻击的情况下维持更长的计算机正常运行时间。

　　由于VM一般来说必须从CPU时间和可用内存的角度来公开地界定，VM所需要的资源在DoS面前仅呈现一个很小的“攻击面”，在一些情况下，可以通过限制收到的消息数量来进一步限制弱点的发展，从而避免饱和攻击。

　　将认证机制扩展到虚拟计算机上可以使安全导入机制变得更健全。硬件引导完成后，安全引导机制标记第一个VM。第一个虚拟机可以执行第二个层次的安全引导，通过额外标记和经过验证的VMs来扩展“信任链”，直到系统饱和以及所有物理、虚拟计算机序列导入完成。

　　就所有系统的基础部分而言，需要分析其优点和缺点。系统管理程序提供了一个高水平的安全性和执行环境之间的隔离。但是，当数据必须在环境之间共享时，会发生什么情况呢？很多系统管理程序通过生成通信渠道或是共用执行环境中的存储器区域来处理这个问题。这随之又造成了第二个层次上的弱点，所以应该确定这些通道不会被恶意软件利用来将数据从安全的/可信任的区域转移到不安全/不可信任的区域。在这些种类的环境中，可以运用分层的方法。例如，可以纳入一个激励/响应机制，来实现数据通过共用存储器在各执行环境之间的转移。当这种机制就位时，不可信区域的安全就会到危胁，危险就会侵入共用存储器区域，但它仍不能从可信区获得数据。举对Web浏览器的例子来说，攻击者可能会获得进入存储器共享区的许可，但它们不能侵入激励/响应机制，因此，敏感数据就不会从安全区转移到共用存储器区。

　　另一个系统级问题会影响虚拟化的运用的地方，是系统管理程序的响应时间。如果响应时间使实时操作系统(RTOS)不能在系统管理程序层次适当地运行，那么RTOS一般就会在微核模式下运行，并通过优先指令直接接触系统硬件。这就形成了，或更准确地说，遗留了一个可通过对RTOS的破坏来击破的弱点。

　　与设计的许多其他方面一样，少就是多。系统管理程序所占用的区域越小，需要去防范的的攻击面积就越小，而且对超级调用(hypercall)的服务响应时间就越短。一个小的覆盖区允许系统管理程序根映像被保存在芯片上，从而减小外界对存储器总线的探测和代码细节的暴露。(下集预告：将批露ARM、MIPS、PowerPC处理器的安全策略与系统加固。)