（6）設備管理器

在計算機系統(tǒng)當中，輸入輸出設備非常易于泄漏信息，包括打印機、終端、文件卷等。例如，黑客可以利用模擬登陸終端設備來取得用戶密碼。這個模塊負責對這些設備進行單獨的管理，保證這些設備始終處于有效和正確的狀態(tài)下。

3 系統(tǒng)的安全特性

本質安全型操作系統(tǒng)是在嵌入式系統(tǒng)背景下設計的一種安全操作系統(tǒng)。相對于其它嵌入式系統(tǒng)，它提供了一種根本意義上的信息安全保證；擴展了安全操作系統(tǒng)的內涵，引入了操作系統(tǒng)的生命周期、系統(tǒng)生成態(tài)、運營態(tài)、消亡態(tài)概念。在不同的時間段，安全應該有不同的考慮，而智能卡作為安全控制的基點，保證操作系統(tǒng)可在各種狀態(tài)之下轉換。智能卡健全的發(fā)生和管理機制，是安全的重要保證。下面介紹本質安全型集中式控制操作系統(tǒng)提供的安全特性。

（1）身份標識

在wolf-Linux系統(tǒng)當中，身份標識包括系統(tǒng)身份標識和用戶身份標識。

系統(tǒng)身份標識是指在系統(tǒng)啟動過程當中，對運行的平臺和運行系統(tǒng)進行身份驗證。智能卡中和操作系統(tǒng)中，在系統(tǒng)生成態(tài)時均被賦予了的特定數(shù)字ID，系統(tǒng)啟動時操作系統(tǒng)讀取智能卡中的ID號，進行驗證。如果不合法，則轉入USSPEND態(tài)，不能正常啟動。通過智能卡可以有效地對系統(tǒng)的生命周期進行監(jiān)控。

用戶身份標識是指通常的用戶身份標識與鑒定。系統(tǒng)采用智能卡保存用戶的關鍵信息，防止被非法篡改或竊取。

（2）進程受控運行

在一般的嵌入式系統(tǒng)當中，不可能對系統(tǒng)運行的進程進行有效監(jiān)控，wof-Linux提出了一種以進程控制為中心的管理方法。系統(tǒng)中運行的程序必須取得合法性驗證才可以運行，對于一些違法的攻擊程序可以有效進行限制。系統(tǒng)控制粒度可以以進程為單位，結合強制存取控制可以有效保證數(shù)據(jù)的安全性。

（3）集中式管理和強制訪問控制

不同于現(xiàn)有的系統(tǒng)安全代碼分散到系統(tǒng)的各個部分，wolf-Linux實現(xiàn)了集中式管理的策略。安全執(zhí)行部分抽象存取操作的主體和客體，提交給進程控制器進行判定，集中式控制保證系統(tǒng)的所有存取操作不可能繞過系統(tǒng)的安全機制。強制存取控制是集中式控制的一種具體實現(xiàn)的存取控制機制。

圖2給出了系統(tǒng)中安全存取控制的層次。

從上面分析可知，本質安全型操作系統(tǒng)是指建立在特殊的硬件設備基礎之上，可以對系統(tǒng)運營平臺，對系統(tǒng)進程合法性和運行權利進行有效保證的安全系統(tǒng)。

4 系統(tǒng)驗證分析

由上述可知，本質安全型操作系統(tǒng)是建立在智能卡技術之上的。傳統(tǒng)的研究方法最終將系統(tǒng)的安全建立在密碼技術之上，而隨著密碼破解技術和開源操作系統(tǒng)的發(fā)展，密碼機制已經(jīng)不能有效地保證系統(tǒng)的安全。安全操作系統(tǒng)和智能卡的結合，使系統(tǒng)的安全控制點建立在軟硬件結合的技術之上，從而可對系統(tǒng)的各種狀態(tài)和環(huán)節(jié)進行有效的控制。在翰林電子書中采用這種結合智能卡的安全控制方式，取得了良好的效果。表1提供了一般嵌入式安全操作和本質安全型操作系統(tǒng)的安全特性對比。

表1 系統(tǒng)安全特性對比

結語

后PC時代，嵌入式系統(tǒng)成為發(fā)展主流，它的安全性是將來整個信息系統(tǒng)安全的基礎。由于嵌入式應用環(huán)境的多樣性，單純地使用軟件來實現(xiàn)安全操作系統(tǒng)已經(jīng)不太現(xiàn)實，軟硬件結合是一種重要的方法。本文分析了嵌入式系統(tǒng)面臨的安全問題的特點，提供了一個全新的安全概念，豐富了操作系統(tǒng)安全研究的內涵。目前由于系統(tǒng)攻擊方法的多樣性，多策略支持已經(jīng)成為主要發(fā)展方向。Linux社區(qū)已經(jīng)實現(xiàn)lsm多策略支持安全控制框架，可以支持se-linux的flask的安全體系結構和capability的權能控制機制。在研究安全操作系統(tǒng)時，安全機制對系統(tǒng)性能的影響是一個需要嚴肅考慮的問題。在一般的安全控制機制中，系統(tǒng)的性能大概會下降10%～20%，因此需要衡量控制范圍和性能影響，同時要提供完善的緩存機制。