【編者的話】2023年8月在北航杭州創(chuàng)新研究院舉辦了“第五屆國產(chǎn)嵌入式操作系統(tǒng)技術與產(chǎn)業(yè)發(fā)展論壇暨嵌入式系統(tǒng)聯(lián)誼會主題討論會(總第29次)，會議主題是“面向異構(gòu)多核智能芯片的混合關鍵系統(tǒng)研究與應用”，《單片機與嵌入式系統(tǒng)應用》雜志社邀請報告人北京航空航天大學牛建偉教授團隊和復旦大學蔣金虎教授團隊撰寫了兩篇論文。

“基于多內(nèi)核的操作系統(tǒng)內(nèi)生安全技術”一文，針對萬物互聯(lián)時代設備的智能化、網(wǎng)絡化的功能安全與網(wǎng)絡安全的各種問題和隱患，提出了一套基于多內(nèi)核的操作系統(tǒng)內(nèi)生安全技術方案?！盎诨旌详P鍵系統(tǒng)的工業(yè)機器人操作系統(tǒng)”一文，提出了基于混合關鍵系統(tǒng)的新型機器人架構(gòu)設計，可以提高機器人操作系統(tǒng)的實時性、安全性和智能化水平。會議演講報告公開版本已經(jīng)發(fā)布在嵌入式系統(tǒng)聯(lián)誼會的官方網(wǎng)站上，閱讀原文可以獲得。

多核芯片混合關鍵系統(tǒng)的研究體現(xiàn)了嵌入式系統(tǒng)多學科合作攻關的特點，是大模型和生成式AI風起云涌時代，工業(yè)智能系統(tǒng)面臨的機遇和挑戰(zhàn)，2024年嵌入式系統(tǒng)產(chǎn)業(yè)界將會繼續(xù)努力攻堅克難，期待我們再聚!

0 引言

萬物互聯(lián),設備越來越多,且智能化、網(wǎng)絡化趨勢日益明顯,成為未來發(fā)展的一個必然方向,但同時也為系統(tǒng)安全帶來了新的挑戰(zhàn)與機遇,功能安全與網(wǎng)絡安全的各種問題和隱患也隨之而來。操作系統(tǒng)是軟件架構(gòu)的基石,肩負著抽象硬件資源和溝通上層用戶應用與下層硬件資源的職能,面臨著巨大的安全挑戰(zhàn)。因此,操作系統(tǒng)安全的理論和實踐至關重要。

傳統(tǒng)的網(wǎng)絡安全以安全事件驅(qū)動的靜態(tài)被動式安全為主,功能安全則以冗余為主[1]。傳統(tǒng)的網(wǎng)絡安全包括以下3個發(fā)展階段:以阻止入侵為目的的系統(tǒng)加固階段、以限制破壞為目的的監(jiān)測響應階段、以系統(tǒng)頑存為目的的網(wǎng)絡容侵階段[2]。3個階段針對不同時代下的網(wǎng)絡功能安全問題,但均存在缺陷。系統(tǒng)加固階段通過明確劃分網(wǎng)絡邊界,利用用戶認證、訪問控制、網(wǎng)絡隔離等手段來加固系統(tǒng),在保證網(wǎng)絡系統(tǒng)正常工作基礎上保證信息安全,但這一階段的技術無法應對系統(tǒng)漏洞等后門攻擊手段。監(jiān)測響應階段則是通過特征掃描、模式匹配等技術來檢測入侵,但此階段的技術高度依賴檢測能力,且無法檢測新出現(xiàn)的入侵技術。網(wǎng)絡容侵階段則是通過信息生存技術將入侵影響降到最低,但目前尚無規(guī)?；褂冒咐?且模型的建立依賴大量先驗知識,無法應對先驗知識中未出現(xiàn)的攻擊。

隨著數(shù)字基礎設施逐漸智能化和網(wǎng)絡化,網(wǎng)絡安全和功能安全日益交織、疊加,演變?yōu)閮?nèi)生安全問題。內(nèi)生安全于2013年由鄔江興院士提出。內(nèi)生安全是以網(wǎng)絡中各類網(wǎng)元設備自身的安全能力為基礎,利用系統(tǒng)架構(gòu)、算法、機制或場景等內(nèi)部因素獲得安全功能或?qū)傩?協(xié)同配合構(gòu)建的綜合安全體系。內(nèi)生安全具備先天構(gòu)建和后天成長兩大基本特征[3]。先天構(gòu)建表明安全需要與系統(tǒng)的設計與建設同步進行,后天成長則要求系統(tǒng)能與自身所處環(huán)境交互,其安全能力隨環(huán)境變化而動態(tài)提升[4]。因此,內(nèi)生安全已被應用于蜜罐[5]、防火墻[6]、交換機[7]、路由器[8]、處理機[9]、Web服務器[10-11]、DNS服務器[12]、云平臺[13-14]和網(wǎng)絡操作系統(tǒng)[15]等領域,其衍生出的相關技術越發(fā)重要,其先天構(gòu)建和后天成長的特性也為計算機系統(tǒng)提出了新的挑戰(zhàn)。

綜上,本文從內(nèi)生安全的角度對操作系統(tǒng)進行分析,討論操作系統(tǒng)內(nèi)生安全面臨的挑戰(zhàn)和機遇。

1 研究現(xiàn)狀

操作系統(tǒng)內(nèi)生安全技術包括兩類。一類是面向功能安全的基于冗余容錯方法,例如 SpaceX衛(wèi)星上的三冗余系統(tǒng)、博世公司開發(fā)的冗余自動駕駛系統(tǒng)等。另一類是面向網(wǎng)絡安全的以移動目標防御(MTD)[16]和擬態(tài)架構(gòu)為基礎的內(nèi)生安全防御技術。目前工業(yè)界已在嵌入式系統(tǒng)中大量使用 MTD,如 Morphisec公司已在50多家企業(yè)部署了基于 MTD驅(qū)動的安全方案。學術界也有大量有關 MTD理論、策略、評估的論文,ACM每年舉辦專題研討會。

國內(nèi)主流的內(nèi)生安全技術為鄔江興院士提出的基于擬態(tài)防御的內(nèi)生安全[17]。擬態(tài)防御假定帶來安全問題的漏洞和后門未知且不可避免,擬態(tài)防御通過動態(tài)異構(gòu)冗余架構(gòu)來綜合考慮功能安全和網(wǎng)絡安全,以條件規(guī)避的方法讓攻擊者無法形成有效攻擊[18]。擬態(tài)防御已被用于賦能網(wǎng)絡彈性工程、典型領域工程應用(如路由交換設備、網(wǎng)絡控制系統(tǒng)、工業(yè)控制系統(tǒng)、云計算和車聯(lián)網(wǎng)系統(tǒng)等)、無線系統(tǒng)安全、人工智能系統(tǒng)應用和智能芯片等場景,并在部分系統(tǒng)中進行大規(guī)模工業(yè)應用[19]。因此,基于擬態(tài)架構(gòu)的內(nèi)生安全是一種可以從根本上提升操作系統(tǒng)安全防護能力的重要手段。

2 面臨的挑戰(zhàn)和機遇

操作系統(tǒng)為系統(tǒng)核心軟件。一方面,操作系統(tǒng)肩負抽象硬件資源和為應用提供服務的功能,承擔溝通上層用戶應用與下層硬件資源的服務職能,隱藏硬件的繁瑣細節(jié)并為用戶程序提供易用的標準化接口,是應用程序執(zhí)行的公共基礎,因此有義務構(gòu)建穩(wěn)定、安全的執(zhí)行環(huán)境。另一方面,操作系統(tǒng)還承擔對硬件資源和應用程序二者的管理職能,既將異構(gòu)的、復雜的硬件資源納入統(tǒng)一管理,又負責應用的生命周期和資源分配的管理,是計算機系統(tǒng)的唯一協(xié)調(diào)者、管理者,因此有義務維護穩(wěn)定、安全的系統(tǒng)狀態(tài)。其中安全為操作系統(tǒng)的關鍵職能之一。

傳統(tǒng)操作系統(tǒng)網(wǎng)絡安全依賴于對現(xiàn)有攻擊和漏洞的經(jīng)驗知識進行被動防御,無法應對未知攻擊和漏洞。基于擬態(tài)安全機理的動態(tài)異構(gòu)冗余的內(nèi)生安全機制是當前主要的主動安全防護方法,但如何在操作系統(tǒng)層實現(xiàn)內(nèi)生安全機制,則面臨如下難題:

一是現(xiàn)有的操作系統(tǒng) (如 Linux、macOS等單內(nèi)核操作系統(tǒng))在架構(gòu)上具有脆弱性、單調(diào)性和機械性等特性,導致系統(tǒng)不支持內(nèi)生安全所需的異構(gòu)冗余屬性。具有脆弱性是因為操作系統(tǒng)安全防護脆弱單薄,微小的錯誤也可能導致關鍵功能部件失靈,進而導致系統(tǒng)級的崩潰。通過冗余可以緩解因脆弱性導致的功能安全問題,但目前操作系統(tǒng)缺乏單機級冗余,系統(tǒng)部件幾乎均位于系統(tǒng)關鍵路徑之上,任何核心模塊被入侵均可能導致系統(tǒng)級的崩潰。當前操作系統(tǒng)缺乏差異化而表現(xiàn)出的單調(diào)性特征導致特定系統(tǒng)的差分問題突出,系統(tǒng)安全維護工作無法根除操作系統(tǒng)自身的固有設計缺陷?，F(xiàn)有操作系統(tǒng)在時態(tài)上表現(xiàn)出高度靜態(tài)的機械性,這為網(wǎng)絡攻擊提供了透明的一致視圖。當前大量的網(wǎng)絡攻擊依賴于運行時窺探系統(tǒng)的關鍵數(shù)據(jù),而系統(tǒng)時態(tài)的動態(tài)變化將有效降低系統(tǒng)被攻擊成功的概率。此外,當前功能安全和網(wǎng)絡防御手段無法應對攻擊逃逸后的場景。因此,需要一種新的操作系統(tǒng)架構(gòu)來保證系統(tǒng)的異構(gòu)冗余性。

二是如何在操作系統(tǒng)層構(gòu)建內(nèi)生安全的動態(tài)異構(gòu)冗余機制。異構(gòu)冗余機制要求操作系統(tǒng)具備冗余性、異構(gòu)性和動態(tài)性。冗余性要求操作系統(tǒng)提供應用透明的多個執(zhí)行環(huán)境,操作系統(tǒng)需基于應用程序的單一鏡像構(gòu)建多個執(zhí)行環(huán)境,并在多個執(zhí)行環(huán)境中執(zhí)行相同程序的實例副本。異構(gòu)性要求操作系統(tǒng)提供功能等價的異構(gòu)執(zhí)行環(huán)境,操作系統(tǒng)需支持多個執(zhí)行環(huán)境并存的架構(gòu),保證應用程序在異構(gòu)環(huán)境下得到等價的預期輸出。動態(tài)性則要求操作系統(tǒng)支持執(zhí)行環(huán)境集合的動態(tài)迭代。

三是如何在操作系統(tǒng)層設計高效共識機制。異構(gòu)環(huán)境中的同一應用可能會產(chǎn)生不一致的輸出,系統(tǒng)需辨析響應差異化的根源。差異化可能來源于外部攻擊、異構(gòu)特性或是冗余執(zhí)行環(huán)境的非一致性,需由操作系統(tǒng)做具體裁決。操作系統(tǒng)需監(jiān)控收集異構(gòu)環(huán)境的不同關鍵信息,并基于這些運行時信息和裁決策略 ,藉由表決得到異構(gòu)間共識。

3 操作系統(tǒng)內(nèi)生安全設計

操作系統(tǒng)作為核心基礎軟件 ,處于硬件和應用層之間,負責硬件資源的管理并服務于應用 ,其內(nèi)生安全的架構(gòu)直接決定系統(tǒng)層動態(tài)異構(gòu)冗余過程中各模塊之間的有效協(xié)同。多內(nèi)核操作系統(tǒng)能同時運行多個異構(gòu)內(nèi)核 ,其結(jié)構(gòu)天然符合操作系統(tǒng)內(nèi)生安全需求 ,多內(nèi)核操作系統(tǒng)架構(gòu)如圖1所示。

圖1 多內(nèi)核操作系統(tǒng)架構(gòu)

Fig.1 Multi kernel operating system architecture

由圖 1可知 ,多內(nèi)核操作系統(tǒng)同時運行多個內(nèi)核 ,各內(nèi)核可具備同構(gòu)屬性或異構(gòu)屬性 ,內(nèi)核間通過高效通信機制協(xié)同工作。多內(nèi)核操作系統(tǒng)以內(nèi)核為處理場景元素 ,可通過構(gòu)建動態(tài)異構(gòu)冗余的內(nèi)核來提供差異化的執(zhí)行環(huán)境 ,是操作系統(tǒng)內(nèi)生安全的良好載體。

3.1 操作系統(tǒng)內(nèi)生安全架構(gòu)

基于多內(nèi)核操作系統(tǒng)引入內(nèi)生安全機制后的操作系統(tǒng)內(nèi)生安全架構(gòu)如圖 2所示。

圖2 操作系統(tǒng)內(nèi)生安全架構(gòu)

Fig.2Internal security architecture of the operating system

架構(gòu)的難點是如何保持各個部分運行過程中的高效協(xié)同以及使用過程中的易用。因此 ,需要定義高效好用的服務接口層、內(nèi)核交互接口層和資源管理層以提供對上易用服務、對內(nèi)高效協(xié)同和對下高效利用的目標。服務接口層研究如何在內(nèi)核和文件系統(tǒng)進行異構(gòu)冗余變換后為應用提供簡潔易用的接口 ,從而實現(xiàn)應用與系統(tǒng)層的交互和協(xié)同。內(nèi)核間交互層研究為了實現(xiàn)各異構(gòu)內(nèi)核間高效的通信 ,需要交互的基本信息及交互接口主要包括通信機制和共識接口。資源管理層研究硬件資源的劃分和管理 ,多個內(nèi)核間的資源相對獨立且隔離 ,包括計算、內(nèi)存和設備資源 ,通過虛擬化技術等將資源在內(nèi)核間進行劃分 ,并支持資源的訪問限制定義和管理。

3.2 異構(gòu)冗余機制

內(nèi)核是整個軟件?？刂坡窂胶吞貦嗉壍暮诵墓芸啬K,因此內(nèi)核級異構(gòu)冗余是內(nèi)生安全的核心 ,除了可以保證基礎核心模塊的安全 ,也可以為頂層應用提供更好的支撐。因此 ,需要通過多維度的控制和數(shù)據(jù)變換來實現(xiàn)內(nèi)核異構(gòu)性 ,結(jié)合內(nèi)核的特點 ,研究各種可變換的維度以及與之特性適配的變換方法、潛在的異構(gòu)性、開銷和易用性。同時 ,也需要結(jié)合應用端的內(nèi)存布局、執(zhí)行路徑等需求進行設計。其系統(tǒng)架構(gòu)如圖 3所示。

圖3 內(nèi)核異構(gòu)冗余架構(gòu)

Fig.3Heterogeneous redundant architecture of kernel

冗余性設計包括多路徑執(zhí)行和內(nèi)核間隔離。應用需分派到不同內(nèi)核上多路徑執(zhí)行 ,執(zhí)行集合中的所有內(nèi)核承接執(zhí)行任務并為之提供語義一致的執(zhí)行環(huán)境。外部輸入、環(huán)境變量、系統(tǒng)配置等信息也被同步復制分派到多個內(nèi)核上。內(nèi)核分別獨立執(zhí)行 ,并監(jiān)控檢查各自的用戶程序 ,最終多個內(nèi)核產(chǎn)生與期望一致的輸出。此外 ,多個內(nèi)核間應彼此隔離。以往的系統(tǒng)中 ,應用程序運行在低特權級 ,內(nèi)核則獨占高特權級 ,并統(tǒng)轄系統(tǒng)所有權限。系統(tǒng)通過內(nèi)核實現(xiàn)應用間的隔離和應用與內(nèi)核的隔離 ,但未知網(wǎng)絡攻擊可能以應用為載體對內(nèi)核發(fā)動攻擊。為提供內(nèi)生安全的冗余性要求 ,某個內(nèi)核的崩潰不應該引起全系統(tǒng)的瓦解 ,即操作系統(tǒng)應具備內(nèi)核級容錯能力。而作為處理場景元素的內(nèi)核可能具有未知漏洞或后門 ,具備轉(zhuǎn)化為惡意內(nèi)核的風險。因此 ,系統(tǒng)應限制內(nèi)核的特權能力 ,防止惡意內(nèi)核蓄意窺探或攻擊其他內(nèi)核 ,從而影響整個系統(tǒng)的穩(wěn)定 ,即多內(nèi)核操作系統(tǒng)應具備內(nèi)核級保護能力。

異構(gòu)性設計可從操作系統(tǒng)控制平面和數(shù)據(jù)平面兩個方面展開。操作系統(tǒng)內(nèi)核控制平面包括系統(tǒng)調(diào)用、執(zhí)行路徑和指令異構(gòu) ,因此操作系統(tǒng)內(nèi)核的異構(gòu)性也將圍繞這 3個方面展開。系統(tǒng)調(diào)用是內(nèi)核為應用提供服務的交互接口,直接決定應用可使用的系統(tǒng)服務 ,因此其動態(tài)異構(gòu)對系統(tǒng)安全至關重要。可通過系統(tǒng)調(diào)用接口的運行時隨機化變換 ,以及對接口語義實現(xiàn)模塊的功能變換等設計實現(xiàn)不同內(nèi)核系統(tǒng)接口的異構(gòu)性。對于執(zhí)行路徑異構(gòu)性則可通過應用執(zhí)行路徑進行運行時隨機化變換來實現(xiàn) ,如全局調(diào)度順序、鎖獲取釋放順序、隨機數(shù)序列產(chǎn)生結(jié)果等。但系統(tǒng)函數(shù)隨機化面臨實現(xiàn)困難、可擴展性差等問題。實現(xiàn)系統(tǒng)函數(shù)隨機化需要對多內(nèi)核中每一個內(nèi)核提供的系統(tǒng)調(diào)用進行隨機化實現(xiàn) ,這對在架構(gòu)中新增或刪減內(nèi)核時均帶來不便。其次 ,對于異構(gòu)內(nèi)核提供的相似功能 ,其執(zhí)行路徑和執(zhí)行結(jié)果也不一定完全相同 ,因此需要對不同內(nèi)核的系統(tǒng)調(diào)用進行抽象 ,這導致工程量和難度隨內(nèi)核數(shù)量增加成指數(shù)上升。最后 ,部分內(nèi)核間存在相似或相同的系統(tǒng)調(diào)用 ,如 macOS內(nèi)核和 Linux內(nèi)核存在相似系統(tǒng)調(diào)用。因此 ,攻擊可以針對異構(gòu)內(nèi)核間的耦合部分 ,從而導致多內(nèi)核操作系統(tǒng)無法有效識別入侵。執(zhí)行路徑異構(gòu)則面臨共識困難、實現(xiàn)困難等挑戰(zhàn)。識別應用在不同內(nèi)核間的執(zhí)行路徑來實現(xiàn)內(nèi)生安全需要高效的共識機制來保證 ,但異構(gòu)內(nèi)核本身復雜性和執(zhí)行路徑不一致性會導致共識機制的實現(xiàn)困難。綜上 ,內(nèi)核系統(tǒng)控制平面僅從系統(tǒng)調(diào)用和執(zhí)行路徑來實現(xiàn)異構(gòu)冗余并不能完全滿足內(nèi)生安全需求。因此 ,本文提出指令隨機化方案來彌補系統(tǒng)函數(shù)隨機化、執(zhí)行路徑異構(gòu)等異構(gòu)方案設計的缺陷。

實現(xiàn)指令級異構(gòu)的主要技術為指令隨機化 ,在編譯時對可執(zhí)行程序的機器碼進行加密操作 ,在執(zhí)行前再對每條加密過的指令進行解密 ,以此阻止惡意代碼的攻擊。因此,指令隨機化具有天然的異構(gòu)性 ,符合內(nèi)生安全對操作系統(tǒng)異構(gòu)性的需求。此外 ,相比于系統(tǒng)調(diào)用的隨機化 ,指令隨機化能保證在對應用和硬件的透明性基礎上 ,在更底層、更細粒度的層面上實現(xiàn)異構(gòu)性。

圖4 指令異構(gòu)冗余架構(gòu)圖

Fig.4Instruction heterogeneous redundancy architecture diagram

指令異構(gòu)冗余架構(gòu)圖如圖 4所示 ,從圖中可知 ,本文在多內(nèi)核操作系統(tǒng)的基礎上 ,通過動態(tài)選取異構(gòu)內(nèi)核的指令子集并對子集中的指令進行動態(tài)隨機化來加密指令 ,最后在執(zhí)行時通過解析器來解密指令 ,以此實現(xiàn)指令級的異構(gòu)。

對于內(nèi)核的數(shù)據(jù)平面 ,主要包括內(nèi)存布局以及加載的可執(zhí)行文件格式。因此 ,對于內(nèi)核的數(shù)據(jù)平面的異構(gòu)性 ,也將主要圍繞這兩個方面展開。對于內(nèi)存布局 ,應用的所有運行時數(shù)據(jù)都維護在程序的地址空間中 ,可對內(nèi)存地址空間的多目標多粒度隨機化 ,例如可執(zhí)行程序及其共享庫的加載基址、用戶棧及內(nèi)核棧偏移、代碼段的順序結(jié)構(gòu)、數(shù)據(jù)段的棧中順序、代碼和數(shù)據(jù)在棧中的加密形式等 ,從而通過內(nèi)核的異構(gòu)執(zhí)行機制實現(xiàn)應用執(zhí)行期間的異構(gòu)特性。對于可執(zhí)行文件格式 ,每種操作系統(tǒng)均僅能執(zhí)行特定的可執(zhí)行文件格式 ,因而可以通過研究可執(zhí)行文件格式變換及與之適配的加載器實現(xiàn)對可執(zhí)行文件異構(gòu)性的支持。通過上述兩點實現(xiàn)內(nèi)核數(shù)據(jù)平面的異構(gòu)特性。綜上 ,多內(nèi)核操作系統(tǒng)的異構(gòu)冗余機制可從指令異構(gòu)、內(nèi)存異構(gòu)和加載方式異構(gòu) 3點來實現(xiàn)。

3.3 高效通信和共識機制

內(nèi)核間通信及共識機制是內(nèi)生安全防護系統(tǒng)中內(nèi)核間高效交互和協(xié)同的基礎。其中 ,內(nèi)核間通信效率是直接關系到內(nèi)核間協(xié)同效率的根本 ,在單個內(nèi)核操作系統(tǒng)中 ,進程之間的通信模式和方法豐富 ,是操作系統(tǒng)內(nèi)核層極為重要的部分。對于跨內(nèi)核間的進程或模塊的通信 ,數(shù)據(jù)的傳輸和消息通知需要新的設計以支持上層的通信需求。基于高效內(nèi)核間通信之上構(gòu)建的共識機制的效率則是系統(tǒng)高效安全共識的關鍵 ,內(nèi)核執(zhí)行量大導致行為和結(jié)果信息量大 ,怎樣快速共識是必須解決的問題。內(nèi)核間通信及共識機制系統(tǒng)架構(gòu)如圖5所示。

圖5 內(nèi)核間通信和共識機制系統(tǒng)架構(gòu) Fig.5Inter kernel communication and consensus architecture

內(nèi)核間高效通信旨在探究如何在單主機上實現(xiàn)兼顧安全與效率的通信機制。既往的進程間通信或遠程過程調(diào)用需要高特權級的參與以保證安全隔離 ,故由內(nèi)核實現(xiàn)并監(jiān)督管理通信過程。而在多內(nèi)核架構(gòu)中 ,內(nèi)核由通信過程的中介變?yōu)橹黧w ,且均運行在特權模式 ,因此需要實現(xiàn)高特權下的新型通信方式。而現(xiàn)有的遠程過程調(diào)用手段包括網(wǎng)絡通信等方式,不適用于單主機上的通信,應發(fā)掘基于內(nèi)存等片上及片間的高效通信方式。因此,內(nèi)核間通信既要求充分利用單主機通信的高效,又要求內(nèi)核間隱私保護,即兼顧共享和隔離。

共識機制研究高效準確的共識機制,以及共識所依賴的請求分發(fā)、代理合并以及表決協(xié)同等關鍵技術。由于異構(gòu)內(nèi)核迥異的運行邏輯,執(zhí)行應用時所呈現(xiàn)的特征也各不相同,可能展示差異化的執(zhí)行結(jié)果,如不同的系統(tǒng)調(diào)用類型與次數(shù)、不同的進程間通信次數(shù)等。因此,系統(tǒng)需實現(xiàn)異構(gòu)的監(jiān)控組件以收集異構(gòu)內(nèi)核特定的運行時信息,同時綜合所有內(nèi)核的響應經(jīng)由表決得到共識。因此,基于內(nèi)生安全需求,要求操作系統(tǒng)能容許欺詐的類拜占庭共識算法,通過預設的裁決算法和策略對是否發(fā)生隨機錯誤或蓄意攻擊達成共識。

4 相關工作

目前工業(yè)界的操作系統(tǒng)內(nèi)生安全工作包括 SpaceX公司的三冗余系統(tǒng)、博世公司的冗余自動駕駛系統(tǒng)等,學術界則集中在移動目標防御 MTD和擬態(tài)防御。移動目標防御通過動態(tài)或靜態(tài)排列組合、變形、變換或混淆來轉(zhuǎn)移攻擊者攻擊。Thompson等人[20]提出在多內(nèi)核環(huán)境下實現(xiàn)移動目標防御。移動目標防御雖然能通過隨機性、多樣性和動態(tài)性技術來為攻擊者提供隨機且變化的底層系統(tǒng)視圖,以放大網(wǎng)絡攻擊開銷,但這些特性不能改變漏洞或后門的邏輯性質(zhì),攻擊依然可能通過短路或協(xié)同等方式來攻破防御措施。操作系統(tǒng)級的擬態(tài)防御則是通過動態(tài)異構(gòu)冗余綜合考慮功能安全和網(wǎng)絡安全。復旦大學[21]于 2023年提出在多內(nèi)核操作系統(tǒng)上實現(xiàn)動態(tài)異構(gòu)冗余架構(gòu),為內(nèi)生安全的操作系統(tǒng)方案提供了思路。

5 結(jié)語

本文針對日益突出的內(nèi)生安全問題,從操作系統(tǒng)級提出內(nèi)生安全解決方案。針對目前單內(nèi)核操作在架構(gòu)上不支持內(nèi)生安全異構(gòu)性、操作系統(tǒng)層構(gòu)建內(nèi)生安全的動態(tài)異構(gòu)冗余機制不成熟和操作系統(tǒng)共識機制設計困難等問題,設計了基于多內(nèi)核的操作系統(tǒng)內(nèi)生安全架構(gòu),并從異構(gòu)冗余機制、高效通信和共識機制上展開設計方案。隨著擬態(tài)技術與 AI[22]、IoT、Cloud、Data與 SDN等新型技術深度融合,將逐漸形成“擬態(tài) +”AICDS共生生態(tài)。例如,CNN[23]、RNN[24]、GNN[25]、GRU[26]等神經(jīng)網(wǎng)絡算法驅(qū)動的人工智能技術,可用于優(yōu)化擬態(tài)多模裁決、態(tài)勢感知、數(shù)據(jù)計算等性能,因此,可將 AI用于分析操作系統(tǒng)架構(gòu)的安全態(tài)勢不足;操作系統(tǒng)內(nèi)生安全可用于IoT中的智能駕駛輔助系統(tǒng)(ADAS)、車聯(lián)網(wǎng)防御系統(tǒng)[27],彌補因物聯(lián)網(wǎng)[28]連接泛在、數(shù)據(jù)聚合、平臺各異、設備復雜和可靠性存在較大隱患等缺陷[29]。但目前操作系統(tǒng)內(nèi)生安全的事實性安全性能有待提高,部署成本有待降低,且面臨在非協(xié)同多模決策下存在攻擊逃逸空間、異構(gòu)度增益與執(zhí)行體同步互相掣肘、安全與功能難以平衡和現(xiàn)有內(nèi)生安全組件擬態(tài)熵有限等多重挑戰(zhàn)[30],與各類技術結(jié)合的諸多研究點有待突破。

審核編輯：湯梓紅