?

　　本文以RT-Linux實時操作系統為平臺，對十字路口交通燈控制建立安全實驗模型，硬件防危核實現技術，為防危保障探索新的實現途徑。

　　早在19世紀70年代，為保證系統中的敏感信息不被非法用戶惡意破壞和非法訪問，Roger Schell和Mitre等人提出了安全核(security kernel)的概念。安全核將系統中的軟件隔離為可信的和不可信的兩部分，由可信賴信號負責對不可信部分進行審核，以保證不可信部分不會對敏感數據進行非法和錯誤的訪問。

　　安全核的技術在信息安全領域中取得了成功并得到廣泛的應用。在安全核基礎上，Rushby等人又進一步提出了防危核(safety kernel)的概念，用于防止軟件對安全關鍵設備的非法訪問，從而保障系統安全。防危核由一組防危策略和隔離組成，因此，防危策略的完備性和低開銷是防隱核可靠和高效的關鍵。現在，對防危核的研究還處于初級階段，本文介紹我們基于RT-Linux實現的隊危核。實驗結果表明了該方案的有效性和可行性。

　　1 防危核技術

　　防危核關心的是如何保護設備不被非法訪問，以避免因對設備的誤操作引起的重大生命財產損失和環境破壞。防危核把受保護設備與系統中的其它部分隔離，通過實施防危策略(safety policy)對這些設備的訪問進行特殊控制。凡是對受保護設備的訪問，都必須經過危核的審查，合法者予以支持;反之，則采取相應的出錯處理措施，維護系統的防危特性，這樣就能很好地避免軟件故障造成的災難后果。從應用軟件的角度來看，防危核的原理如圖1所示。在工程應用中，要保證危核的有效性，必須遵循下列3項規則。

?

　　(1)短小精練

　　為了不影響系統的性能，防危核應盡可能小，為此系統所有的防危核策略均由防危核為實施是不現實的。采用將防危策略放在防危核外部的防危策略庫中的方法，縮小防危核的大小主，防危核在防危處理時訪問防危策略庫，以獲取相應防危策略。

　　(2)完備性

　　完備性要求，不通過防危核主體就不能對客體進行任何訪問操作。它表明對設備的任何訪問請求都必須通過防危核的驗證。如果系統中存在其它組件可以繞開防危核訪問設備，顯然安全將無法得到保障。所以采用了防危核技術的系統必須要保證防危核對設備的專一控制。

　　(3)通用性

　　通用性指防危核模塊的基本結構不依賴于任何特定的操作系統和設備，只需要操作系統和設備滿足防危核的接口要求，并修改策略庫，就可以將防危核軟件應用到任何操作系統和設備中。

　　2 開發平臺RT-Linux OS構架與特征

　　通常，安全關鍵系統對實時性有嚴格要求，我們選擇RT-Linux操作系統為安全實驗模型的開發平臺。

　　RT-Linux是美國NMT大學對標準Linux的一個實時擴展版本，其結構如圖2所示。它實際上是給原Linux內核打了實時補丁，打了補丁的Linux內核由兩部分組成：RT-Linux和Linux。在RT-Linux內核實時應用(任務)則是一種可加載的內核模塊，具有高的優先級。另外，所有的中斷都先由RT-Linux來處理，之后才由標準的內核來處理。非實時任務通過RT-Linux提供的FIFO(一種透明的管道)與實時任務通信。

?

　　RT-Linux可以提供應用程序的硬實時保證。所謂“硬實時”是區別“軟實時”而言的。硬實時對滿足時限的要求比軟實時嚴格，通常硬實時的系統響應時間在ms或μs級，而軟實時對其響應時間的要求沒有那么嚴格。硬實時工作通常指超過時限要求就會造成嚴重損害的工作，而軟實時即使超過時限也不會帶來嚴重后果。以核能電廠和看VCD為例，用在核能電廠的實時操作系統，如果超出時限可能會導致嚴重的損害，然而VCD播放器超出時限只不過讓使用者感覺不舒服而已。所以前者是硬實時，后者是軟實時。

　　這樣一種Linux實時化方案，對原Linux改動最小，又能充分利用標準Linux的全部特性，從而能滿足實時系統防危核控制模型研究的諸多要求，因此，NMT RT-Linux是本安全模型研究的最佳實驗平臺。

　　3 Linux平臺的其它使用資源

　　通常，基于RT-Linux的應用程序由兩部分組成：一部分運行在Real-Time下，另一部分運行在標準的Linux下。運行在Real-Time下的任務是實時任務，它作為Linux的內核模塊(Module)被加載到Linux內核中，也就是它運行于Linux內核態，因此需要使用Linux內核態資源。本控制模型系統中的防危核正是作為實時任務運行于Linux內核態，而十字路口交通燈控制設備運行于標準Linux下。控制設備任務采用Linux的TCL/TK圖形編程語言編程，以友好、形象、直觀的界面模擬防危核對十字路口交通燈的控制。下面將分別介紹上述資源。

　　3.1 內核模塊加載機制

　　Linux提供的可加載內核模塊(Module)是Linux內核支持的動態可加載模塊，它們是核心的一部分;但是并沒有編譯到核心里面去，只是一個目標文件，可根據需要在系統啟動后動態地加載或卸載，Linux中大多數設備驅動程序或文件系統都做成這樣的模塊。超級用戶可以通過insmod和rmmod命令分別載入和卸載模塊。核心也可在需要時，請求守護進程(kerneld)載入和卸載模塊。這種方式可以減小核心代碼的規模，使核心配置更為靈活，并且用戶不必每次修改后都重新編譯核心代碼和啟動系統。

　　一旦Linux模塊載入核心后，就成為核心代碼的一部分。它與其它核心代碼的地位是相同的。當模塊載入系統核心時，系統修改核心中的符號表，將新裁入模塊提供的資源和符號加載核心符號表中，新載入的模塊可以訪問已載入的模塊提供的資源為自己服務。

　　3.2 TCL/TK圖形編程語言

　　本系統中的圖形用戶界面采用TCL/TK圖形編程語言，使界面友好、形象、直觀。TCL是Tool Control Language(工具控制語言)的縮寫。TK是TCL“圖形工具箱”的擴展，它提供各種標準的GUL接口，以利于迅速進行高級應用程序開發。

　　TCL/TK是一種解釋執行的腳本語言，應用中通常將嵌入到C程序中。“小巧、易學、高效、跨平臺執行”是TCL語言特點的集中體現。實際上，TCL不僅僅在開發小的應用程序上有其快速、可維護性強等優勢，在大型應用系統方面，如操作系統及網絡管理、測試系統、自控、仿真、可視化應用及計算機輔助設計等方面都有豐富的應用成果。

　　4 防危核實驗原型的設計與實現

　　圖3為以交通燈控制為模型的防危核系統體系結構。

?

　　由圖3可以看出，整個系統由四個部分組成：防危核、模擬設備、設備控制器、命令文件。防危核作為RT-Linux的實時任務，與模擬設備、設備控制器間的通信采用RT-Linux提供的實時FIFO;而模擬設備和設備控制器間的通信使用Linux提供的非實時命名管道。下面仔細分析各模擬所提供的功能。2⑤⑥⑦sΔδΛΔωω·αγ∈βθθθ→→→→ττ 防危核模塊的設計和實現

　　系統在運行時先通過命令insmod將防危核動態加載到Linux內核中，于是它便一直運行內核態。當不需要時再用命令rmmod手動卸載。這種方式下會對操作系統內核的基本功能產生任何影響，同時又可以保證demo系統的實時性。

　　防危核分為主模塊和命令檢測模塊。主模塊負責接收設備控制器傳來的設備命令和模擬設備發送的設備狀態，然后根據命令參數的不同情況進行相應的處理。

　　如果用戶要求命令不需要通過防危核驗證，則直接將命令發送到模擬設備;如果用戶要求命令通過防危核驗證，則主模塊將調用命令檢測模塊進行命令的合法性檢測，命令檢測模塊以函數形式存在并且按照交通燈的防危策略而設計。函數名為int SafetyDetect(DevState CurrentState,SourceCmdNewCom)，函數返回值為命令判斷結果。如果驗證設備命令合法，則主模塊將設備命令及返回值一起發送到模擬設備，模擬設備據此改變設備狀態;如果驗證設備操作命令非法，則主模塊向設備控制器返回命令檢測模塊的返回值，設備當前的狀態不改變。

　　為使防危核盡可能小并具有通用性和擴展性，將含有防危策略的命令檢測模塊以函數的形式存在于防危策略庫中，當防危核需要防危處理時，便到訪問策略庫中調用此相關函數。若設備改變，則只需向策略庫中添加或修改相應設備的防危策略。另外，防危核作為內核模塊，采用內核模塊的編寫方式編寫，模塊中只能使用系統調用函數。

　　下面定義以交通燈為模型的防危系統的防危策略。

　　返回值=0;

　　/*表明經防危核驗證為正確命令*/

　　返回值=1;

　　/*命令經防危核直接傳送到模擬設備而未經過安全檢測模塊驗證，模擬設備狀態根據此值改變*/

　　返回值=2;

　　/*當前設備狀態驗證失敗，失敗原因不明。

　　措施：模擬設備保持當前狀態不變*/

　　返回值=3;

　　/*同一個方向有多個信號燈同時開啟。

　　措施：所有交通燈都關閉，然后在收到新的命令前設備執行缺省命令序列，此處由模擬設備接到“3”時直接處理*/

　　返回值=4;

　　/*四個方向同時為黃燈或綠燈。

　　措施：系統恢復到初始狀態。在收到新的命令前設備執行缺省狀態*/

　　反回值=5;

　　/*命令驗證失敗，失敗原因不明，

　　措施：模擬設備保持當前狀態不變*/

　　返回值=6;

　　/*信號燈保持當前狀態的時間短于最短時間(<2s)，

　　措施：模擬設備自動延遲(Sleep(Time))顯示此命令*/

　　返回值=7;

　　/*使同一個方向有多個信號燈同時開啟的信號燈命令錯誤。

　　措施：不執行此命令，保持當前信號燈狀態*/

　　返回值=8;

　　/*命令的執行將會使信號燈變化的順序不正確。

　　措施：不執行此命令，保持當前信號燈狀態*/

　　返回值=9;

　　/*四個方面同時為黃燈或綠燈的命令。

　　措施：不執行此命令，保持不前信號燈狀態*/

　　4.2 模擬設備模塊

　　防危核系統中以十字路口交通燈模擬外部設備。當經防危驗證設備命令合法時，此模擬接受防危核傳入的真實設備命令int RealCmd，并向防危核返回設備當前最新狀態。用圖形方式形象、直觀地顯示設備本身的實時狀態(交通燈顏色的變化)、模擬設備當前接收的命令和命令驗證結果(合法或非法命令，對非法命令顯示出錯原因)。

　　該進程中設有三個線程，其中第一個線程專門用于讀管道FIFO6(實時管道)獲取防危核發送的控制命令，第二個線程讀管道myfifo(非實時管道)獲取命令控制器發送的設備控制命令，第三個線程用TCL/TK腳本語言實現模擬設備形象、美觀的圖形顯示功能。當模擬設備啟動后，自動進行初始化并調用缺省的交通燈控制命令序列完成基本操作，直以有來自設備控制和防危核的設備控制命令為止。若交通燈的顯示時間超過一定時間，則強制設備執行缺省的設備狀態。

　　4.3 設備控制器模塊

　　模擬設備控制器作為一個進程獨立運行，控制器先從命令文件中獲取命令參數，然后根據命令的防危等級分別向模擬設備和防危核發送設備操作命令(包括正常的和不正常的操作命令)。命令中設置了時間控制參數，控制器按此時間間隔值發送設備命令。

　　4.4 設備命令文件

　　設備命令文件中存放了各種對交通燈的操作命令，包括正常和不正確命令。命令執行有三種防危等級可供選擇：第一種，不通過防危核的命令，操作命令直接由設備控制器發送到模擬設備;第二種，通過防危核并驗證其正確性的命令，此時防危核將調用防危策略庫的相應防危策略驗證命令，然后將驗證結果發送到模擬設備;第三種，通過防危核但不驗證設備操作的命令，命令被防危核直接送到模擬設備。設計三種等級命令的目的在于，比較是否使用防危核或是否進行命令驗證在系統性能和防危性上的差異。

　　設備的命令格式為：char SourceCmd="Cmd east-light,Cmd north-light,Cmd west-light,Cmd south-light,int Time,bool Verifiedl,bool Verfied2"。操作命令要對十字路口的12盞交通燈進行操作控制。參數Time指本命令相對于前一條命令延遲多長時間發送。參數Verified1=0表示不經過防危核驗證直接傳送到設備的命令;Verified1=1表示要經過防危核驗證。Verified2=0表示該命令直接發送到模擬設備不經過防危核的任何處理;Verified2=1表示該命令要通過防危核。

　　Struct Cmd

　　{

　　char first-light-color;

　　char second-light-color;

　　char third-light-color;

　　}

　　first-light-color,second-light-color,third-light-color表示每個方向三盞燈的顏色插入相應的顏色的圖片。整個圖形界面形象、美觀。

　　5 實驗系統的測試評價

　　根據防危核設計要求，從防危核的大小、對系統實時性的影響以及完備性三方面對本實驗系統進行測試。

　　①防危核大小：防危核所編譯后的目標文件為5KB，相對于RT-Linux內核源碼是非常小的。

　　②時間開銷：將防危核對控制命令驗證所需時間進行了200次測試，得出其平均時間僅10μs左右，說明防危核對系統實時性影響非常小。

　　③完備性：將防危核對第二種控制命令各種情況的防危處理結果表明，防危核的驗證結果完全正確。說明滿足防危核完備性要求。

　　以上對防危核的測試結果表明，本控制模型完全滿足防危核設計要求，防危核機制完全可以在實時操作系統中使用。

　　結語

　　根據防危核等相關理論并結合RT-Linux操作系統本身的特色，本文先從理論上分析了在RT-Linux中實現防危核的可行性，然后通過實際例子實現了基于RT-Linux的防危核，為防危核探索了一種新的實現途徑。最后，通過對實驗系統的測試進一步證明防危保障機制在實時操作系統中完全可行。