[发明专利]一种适用于嵌入式处理器的信息流安全监控方法

说明书

技术领域

本发明属于数字集成电路和嵌入式系统安全领域，具体涉及一种适用于嵌入式处理器的信息流安全监控方法，该方法的核心是利用污迹追踪的方法监控嵌入式处理器信息流的安全，是一种高性能，低功耗，误报率较低的有效防御嵌入式系统中恶意软件攻击的方法。由于在设计时就考虑了性能与开销等因素，该方法完全适用于嵌入式系统，也适用于计算机系统，能够为其提供可靠的信息流安全的保障。

背景技术

近些年来，嵌入式系统受到了来自恶意软件的严重威胁。2005年在芬兰赫尔辛基世界田径锦标赛上大规模爆发的手机病毒Cabir便是其中的典型代表。截至到2006年4月，全球仅针对智能手机的病毒就出现了近两百种，并且数量还在迅猛增加。恶意软件已经开始威胁嵌入式设备的正常使用。嵌入式系统之所以容易成为恶意软件攻击的对象是基于以下几点原因。

首先嵌入式系统的应用环境越来越开放，随着以Symbian、Windows CE、Linux为代表的嵌入式操作系统的推广，以及蓝牙、无线网络的兴起，导致恶意软件可以更方便的传播；其次嵌入式系统缺乏必要的安全防护措施；最后也是最关键的原因是作为嵌入式系统中核心部件的嵌入式处理器本身缺乏必要的安全机制。嵌入式处理器在嵌入式系统中从事着数据交换、处理等重要工作，但是嵌入式处理器不会检查所执行的程序是否安全。从处理器的角度来看，恶意软件与正常程序相同，这就造成了恶意软件在指令级层次是透明的，从而为恶意软件的攻击留下了潜在隐患。

如果嵌入式处理器在软件运行的过程中能及时发现具有安全威胁的程序并予以中止，就可以大大提高嵌入式系统在运行时的安全性，为嵌入式设备在不安全的环境下的应用提供可靠保障。与桌面计算机所不同的是嵌入式系统是一个相对封闭的系统环境，与前代产品的兼容性问题小，并且嵌入式处理器结构简单，在体系结构上具有较大的改进余地。因而本发明从指令级层次入手研究嵌入式处理器的细粒度安全运行机制，探索在恶意软件威胁下提高嵌入式系统安全性的方法。国外从2000年开始，就展开了针对处理器安全性的研究。如图1所示，我们列举了近年来，在处理器架构安全性研究方面的发展历程。

2000年，针对处理器的安全性问题，美国Stanford大学率先提出了XOM(eXecute-Only-Memory)架构。XOM主要思想是在存储器中保存只能执行的指令，不允许指令发生修改，并且通过对指令进行加密来保证指令的安全性。XOM可以抵御恶意篡改以及窃听，但是由于其对进出外部存储器的数据以及程序都要进行验证，因而工作效率很低，同时这种方法不能防御来自应用程序本身的攻击。

2003年麻省理工(MIT)人工智能实验室针对物理攻击提出的一种安全处理器架构AEGIS。AEGIS利用物理真随机数发生器(TRNG)产生一个唯一的身份标示，并作为签名添加到加密算法中，所有保存在外部存储器的数据都经过加密运算。AEGIS对物理攻击能做出很好的防范，但是AEGIS同样无法抵御来自内部的破坏，而且AEGIS的加密方式使其本身的性能受到了较大的影响。

从2004年开始，利用硬件提高处理器安全性的研究开始逐步升温，出现了以Mios为代表的控制流监控和以RIFLE为代表的信息跟踪两种主要方式。到了2006年出现了以Heapmon为代表的通过存储器访存追踪来进行安全性判断的方式。从追踪数据的角度上看，这种方法与信息追踪方式相似，都是依靠监控运行时的数据轨迹来完成工作的。这两种方法同时也都存在着运行效能不高的问题。

目前，控制流监控、信息追踪以及存储器追踪这三种安全处理方法已成为研究硬件架构安全性的主流方法。从2007年到2008年的研究中，不同方法之间的交叉研究成为新的趋势，例如FlexTaint。

以上的安全架构多是以桌面计算机中的通用处理器为假想应用环境。其中XOM与AEGIS不能应对来自应用软件本身的安全威胁，而RTM没有考虑嵌入式系统对来自系统外部程序的安全监控要求。因而这些模型不能解决嵌入式系统中存在的恶意软件威胁的问题。以嵌入式系统应用环境为参考点解决嵌入式处理器所面临的运行安全性问题将是我们的研究重点。