作者：Paul Pazandak，F(xiàn)abrizio Bertocci

通用計算、操作系統(tǒng) （OS）、固有的語言功能（如 C 內(nèi)存分配）和軟件質(zhì)量問題導致整個行業(yè)的系統(tǒng)缺乏固有的安全性和彈性。這導致了許多安全漏洞，對國家安全產(chǎn)生了可怕的后果。有必要通過應用合理的安全和工程原則，基于適當?shù)募夹g(shù)和工具設計有保證的系統(tǒng)。

一般來說，構(gòu)建一個有保證的系統(tǒng)需要對問題領(lǐng)域有透徹的了解，對特定于領(lǐng)域的工作流程和要求進行深入分析，仔細的架構(gòu)考慮和設計權(quán)衡，經(jīng)過審查的開發(fā)，正確的配置以及最終產(chǎn)品的托管部署。在整個產(chǎn)品生命周期中也需要這種程度的護理。

具體而言，與系統(tǒng)體系結(jié)構(gòu)相關(guān)，利用硬件和軟件技術(shù)及工具增強安全性歸結(jié)為將合理的安全原則應用于合適的目標，例如內(nèi)存訪問（例如，開放設計原則、最小特權(quán)原則、特權(quán)分離原則和完全中介原則）。其他研究和開發(fā)工作可能會將這些原則的不同應用應用于其特定環(huán)境和設計目標。

構(gòu)建可信賴和高保證系統(tǒng)的過程是復雜、昂貴的，并且需要大量的專業(yè)知識。最終目標是創(chuàng)建一個完整的軟件 - 硬件解決方案，其組件（單獨或集體）滿足客戶對安全和安保所需的保證級別。這將根據(jù)所需的標準而有所不同。

例如，用于飛行安全適航性的RTCA DO-178C和用于自動駕駛汽車的ISO 26262都包含與組件的關(guān)鍵級別（角色）相對應的多個級別的認證。例如，在DO-178C中，有五個級別：

A級（災難性）：阻止持續(xù)安全飛行或降落，許多致命傷害

B級（危險/嚴重）：對少數(shù)乘員造成潛在致命傷害

C 級（主要）：影響機組人員的工作效率、不適或可能對乘員造成傷害

D級（次要）：飛機安全裕度降低，但完全在機組人員能力范圍內(nèi)

E級（無影響）：完全不影響飛機安全

就資金和時間而言，從上到下建立一個高保證的系統(tǒng)的成本太高了。相反，目標應該是開發(fā)盡可能少的代碼。人們可以獲取或許可的經(jīng)過驗證的/可認證代碼越多，設計，開發(fā)，維護和認證所需的代碼就越少。這將加快開發(fā)工作并顯著降低成本。高確定性軟件堆棧提供了此功能。

此堆棧的作用是提供經(jīng)過驗證的基礎。它由經(jīng)過驗證或認證的實時操作系統(tǒng)（RTOS）和分布式通信中間件組成。

高確定性軟件堆棧的基礎

在過去的六年中，在DARPA研究資助下，RTI一直在為嵌入式系統(tǒng)開發(fā)經(jīng)過驗證的堆棧，以加速安全/安保認證。在此堆棧中，我們使用 RTI 的可認證連接軟件框架。RTI 支持對象管理組數(shù)據(jù)分發(fā)服務標準 （OMG DDS）。如今，Connext 正在近 2，000 個關(guān)鍵系統(tǒng)中運行，涵蓋航空電子/國防、自主系統(tǒng)、醫(yī)療機器人、能源和工業(yè)系統(tǒng)。利用OMG DDS開放標準，能夠快速將松散耦合（分布式）的軟件組件組裝到工作系統(tǒng)中。

對于安全實時操作系統(tǒng)，我們選擇了開源 seL4 分離內(nèi)核（sel4.系統(tǒng)）。它是一個數(shù)學上可證明的正確微內(nèi)核，它將在運行過程之間提供時間和空間分離。它保證進程之間不會出現(xiàn)意外的數(shù)據(jù)泄漏，并且一個進程不會影響另一個進程的操作。這提供了更高的系統(tǒng)彈性和安全性，這也是多獨立安全級別 （MILS） 解決方案的屬性。

如今，seL4的衍生產(chǎn)品正被幾家大型科技公司使用。

對安全微內(nèi)核的需求

要了解對像 seL4 這樣的安全微內(nèi)核的需求，從仔細研究內(nèi)核設計原則開始是很有幫助的。

如圖 2 所示，有兩種主要的內(nèi)核設計方法 - 單片內(nèi)核和微內(nèi)核。在前者中，提供典型操作系統(tǒng)服務所需的所有代碼都直接在內(nèi)核本身中實現(xiàn)。內(nèi)核以硬件的特權(quán)模式執(zhí)行，這意味著所有代碼都被授予對所有系統(tǒng)資源的無限制訪問和控制。

［圖2 |如果設計正確，微內(nèi)核操作系統(tǒng)（OS）包含的代碼遠遠少于整體架構(gòu)，從而減少了攻擊面，簡化了合規(guī)性等等。

這種類型的實現(xiàn)可能有益于整體系統(tǒng)性能，但如果任何內(nèi)核組件具有某種類型的故障（攻擊者可以利用這種狀態(tài)），則可能導致危險情況。Linux內(nèi)核提供了一個突出的例子，它包含超過2000萬行代碼，預計包含一定數(shù)量的錯誤，提供潛在的攻擊渠道。

相比之下，微內(nèi)核設計通過大幅減少可信計算庫（TCB）來應對這一缺點，TCB意味著整個系統(tǒng)中必須可信才能正常運行的代碼子集。微內(nèi)核遵循內(nèi)核僅包含最基本機制（例如，進程間通信和調(diào)度）的設計原則。所有剩余的操作系統(tǒng)功能必須轉(zhuǎn)移到非特權(quán)用戶模式，從而在隔離的沙箱中封裝運行。

這種方法可以保護內(nèi)核進程免受來自外部的任何干擾，只允許明確需要的通信。對于像 seL4 這樣設計良好的微內(nèi)核，這意味著代碼庫可以減少到一萬行代碼的數(shù)量級。這大大縮小了攻擊面。

seL4 和 DDS：可靠的組合

seL4 的目的是為需要它的應用程序提供可靠、安全和可靠的基礎。例如，這包括軍事系統(tǒng)、醫(yī)療設備、機器人、自動駕駛汽車和能源系統(tǒng)。無一例外，這些高保證的應用程序需要可靠和強大的分布式通信功能，這是 seL4 無法提供的。

OMG DDS用于實時系統(tǒng)是一個實時，安全，松散耦合，發(fā)布/訂閱軟件連接框架，適用于分布式系統(tǒng)，非常適合作為高保證系統(tǒng)的通信層，包括任何安全RTOS，如seL4。雖然還有其他開源和商業(yè)現(xiàn)成的通信框架技術(shù)，但這些框架缺乏高保證認證，充其量只能提供基本的全有或全無的安全性。

對于DDS，seL4創(chuàng)建了一個豐富，低成本，更小的占地面積，高保證的基礎。對于 seL4，DDS 提供了一個基于開放標準的通信協(xié)議。

DDS 大大簡化了 seL4 組件間/應用程序開發(fā)，降低了相關(guān)成本，并促進了 seL4 開發(fā)社區(qū)中的組件互操作性。DDS 是一種解決方案，它將以更一致、更安全、更高效的方式標準化數(shù)據(jù)分發(fā)。它提供了一個發(fā)布-訂閱模型，使分布式系統(tǒng)開發(fā)更簡單、更快速、更安全。應用程序開發(fā)人員可以減輕創(chuàng)建自己的零碎的，也許是專有的，一次性解決方案的負擔，用于基于消息的通信和破譯消息序列，使他們能夠?qū)Ｗ⒂谔囟ㄓ谟虻慕M件，并依靠DDS提供與系統(tǒng)中其他（本地和遠程）實體的標準化，安全的交互。

降低高保障軟件的進入壁壘

DDS 將顯著降低決定使用 seL4/CAmkES 的公司和開發(fā)人員的進入門檻，因為它提供了一個抽象層，隱藏了與在 seL4 之上開發(fā)應用程序相關(guān)的大部分復雜性。DDS將大大減少內(nèi)部開發(fā)時間和對seL4主題專業(yè)知識的需求。

審核編輯：郭婷