要確保嵌入式設(shè)備的安全性，需要采取多層次的防護(hù)措施，每一項(xiàng)安全措施都要建立在前一項(xiàng)的基礎(chǔ)之上。嵌入式系統(tǒng)安全性的強(qiáng)弱取決于其最薄弱的環(huán)節(jié)，這意味著每一個(gè)組件，無論是硬件還是軟件，都必須得到精心保護(hù)。主要的安全問題包括保護(hù)敏感數(shù)據(jù)、防止未經(jīng)授權(quán)的控制、減輕拒絕服務(wù)攻擊（DoS）以及保護(hù)知識產(chǎn)權(quán)。這些保護(hù)措施的核心是信任根，它通過數(shù)字簽名來確保設(shè)備及其軟件的完整性和真實(shí)性。

信任根的重要組成部分是實(shí)時(shí)操作系統(tǒng)（RTOS），它為應(yīng)用程序的運(yùn)行提供了一個(gè)安全的平臺。嵌入式系統(tǒng)的具體安全要求取決于其架構(gòu)以及所面臨的威脅。在本博客中，我們將探討RTOS的安全性，以SAFERTOS及其增強(qiáng)安全模塊（ESM）作為保護(hù)嵌入式系統(tǒng)的最佳實(shí)踐的一個(gè)范例。

攻擊面

嵌入式設(shè)備的安全性取決于其軟件架構(gòu)、潛在威脅以及攻擊面。攻擊面指的是不良行為者能夠獲取系統(tǒng)訪問權(quán)限或提取數(shù)據(jù)的所有可能途徑的總和，減少攻擊面是實(shí)現(xiàn)安全的關(guān)鍵。

在較為簡單的系統(tǒng)中，比如僅通過單一網(wǎng)絡(luò)連接的遠(yuǎn)程傳感器，其攻擊面僅限于網(wǎng)絡(luò)通道。在此類系統(tǒng)中，加密和密鑰認(rèn)證能夠降低風(fēng)險(xiǎn)。

在更為復(fù)雜的系統(tǒng)中，比如具有多個(gè)處理器的嵌入式醫(yī)療設(shè)備，其攻擊面會(huì)不斷擴(kuò)大。例如，負(fù)責(zé)管理敏感數(shù)據(jù)的安全處理器和負(fù)責(zé)處理第三方軟件的應(yīng)用處理器可能會(huì)通過通信渠道引入風(fēng)險(xiǎn)，保護(hù)接口或通信鏈路能夠有助于抵御攻擊。

在諸如自動(dòng)駕駛汽車這樣的復(fù)雜系統(tǒng)中，由于存在多個(gè)處理器和外部接口，攻擊面會(huì)更大。因此，必須從多個(gè)層面來解決安全問題，比如使用實(shí)時(shí)操作系統(tǒng)來限制對特定內(nèi)存區(qū)域和資源的訪問，隔離任何受到攻擊的任務(wù)，并防止進(jìn)一步的系統(tǒng)入侵。

SAFERTOS及安全概述

SAFERTOS是一款專為汽車、醫(yī)療和工業(yè)等行業(yè)設(shè)計(jì)的安全關(guān)鍵型實(shí)時(shí)操作系統(tǒng)。它利用處理器的內(nèi)存保護(hù)單元（MPU）或內(nèi)存管理單元（MMU）來實(shí)現(xiàn)任務(wù)之間的空間隔離，防止一個(gè)任務(wù)覆蓋另一個(gè)任務(wù)的內(nèi)存，從而降低系統(tǒng)故障的風(fēng)險(xiǎn)。系統(tǒng)為每個(gè)任務(wù)的內(nèi)存區(qū)域分配特定的訪問權(quán)限（只讀、寫、執(zhí)行），而特權(quán)內(nèi)存則保護(hù)SAFERTOS內(nèi)核數(shù)據(jù)。

為了進(jìn)一步加強(qiáng)安全性，SAFERTOS強(qiáng)化安全模塊（ESM）強(qiáng)化了任務(wù)之間的空間隔離，確保受攻擊的任務(wù)無法訪問其他系統(tǒng)區(qū)域，并將拒絕服務(wù)攻擊的風(fēng)險(xiǎn)降至最低。該模塊包含一個(gè)滲透檢測監(jiān)控器，能夠識別異常的系統(tǒng)行為，并保護(hù)系統(tǒng)免受安全威脅。ESM通過限制每個(gè)任務(wù)僅訪問必要的資源，從而最大限度地減少了攻擊面。

SAFERTOS和ESM還包含訪問控制策略（ACP），該策略會(huì)限制每個(gè)任務(wù)可使用的SAFERTOS API，從而降低漏洞風(fēng)險(xiǎn)并防止受攻擊的任務(wù)影響其他系統(tǒng)區(qū)域。此外，對象訪問控制策略（OACP）會(huì)限制任務(wù)對特定RTOS對象（如隊(duì)列和信號量）的訪問，從而封閉可能接觸到敏感數(shù)據(jù)的潛在入口點(diǎn)。

為了提高安全性，ESM將傳統(tǒng)的任務(wù)/對象標(biāo)識符替換為間接對象標(biāo)識，從而防止任務(wù)能夠發(fā)現(xiàn)并訪問對象或任務(wù)控制塊（TCB）等關(guān)鍵系統(tǒng)組件的內(nèi)存位置。這種做法通過限制受攻擊任務(wù)所能獲取的信息，增強(qiáng)了系統(tǒng)的安全性。

SAFERTOS及其ESM必須存放在特權(quán)內(nèi)存中，以確保用戶模式任務(wù)無法訪問敏感的系統(tǒng)數(shù)據(jù)。任務(wù)應(yīng)被限制在盡可能小的內(nèi)存區(qū)域，以減少攻擊面。該系統(tǒng)還包含一個(gè)具有安全意識的移植層，確保特權(quán)內(nèi)存和用戶模式內(nèi)存之間有更堅(jiān)固的邊界，防止用戶任務(wù)提升其權(quán)限。

ESM內(nèi)部的滲透檢測監(jiān)控器會(huì)持續(xù)監(jiān)測違反ACP、OACP或API失敗的情況，并將違規(guī)行為報(bào)告給應(yīng)用程序，以便能夠迅速做出響應(yīng)。SAFERTOS和ESM在“信任根”啟動(dòng)序列中被初始化，對任務(wù)優(yōu)先級、MPU配置和系統(tǒng)資源訪問的正確管理對于維護(hù)系統(tǒng)安全至關(guān)重要。任務(wù)應(yīng)在用戶模式下運(yùn)行，中斷應(yīng)在特權(quán)模式下操作，并且必須仔細(xì)關(guān)注任務(wù)與系統(tǒng)資源的交互方式。

總結(jié)

總之，要保障嵌入式系統(tǒng)的安全，僅靠單一的解決方案是不夠的，需要采取多層次的策略。ESM在最小化用戶模式任務(wù)的攻擊面方面發(fā)揮著關(guān)鍵作用，有助于將不良行為者限制在單個(gè)任務(wù)中，并防止其在整個(gè)系統(tǒng)中擴(kuò)散。這篇文章展示了SAFERTOS及其ESM如何提供強(qiáng)大的保護(hù)機(jī)制，以檢測、減緩并阻止未經(jīng)授權(quán)的訪問，從而確保敏感數(shù)據(jù)的安全，并使系統(tǒng)保持在受控狀態(tài)。

麥克泰技術(shù)是安全預(yù)認(rèn)證操作系統(tǒng)SAFERTOS在中國的代理商，具有30年嵌入式實(shí)時(shí)操作系統(tǒng)和功能安全軟件服務(wù)的市場、服務(wù)和培訓(xùn)經(jīng)驗(yàn)，聯(lián)系info@bmrtech.com。

麥克泰技術(shù)走過了30年發(fā)展歷程（1995-2025），秉承“讓嵌入式軟件開發(fā)更容易”的理念，致力于推廣嵌入式軟件開發(fā)工具、測試軟件和嵌入式操作系統(tǒng)。麥克泰技術(shù)通過舉辦嵌入式軟件和操作系統(tǒng)研討會(huì)、開設(shè)培訓(xùn)課程、出版圖書，撰寫博客文章，倡導(dǎo)和宣傳開放和開源的嵌入式軟件、操作系統(tǒng)以及開發(fā)技術(shù)，包括VRTX（90年代）、μC/OS（2000年），Montavista Linux（2010年）和FreeRTOS（2010年）以及IAR/BDI/J-Link等知名的產(chǎn)品和技術(shù)。

麥克泰技術(shù)具有豐富嵌入式軟件項(xiàng)目開發(fā)、行業(yè)應(yīng)用與服務(wù)經(jīng)驗(yàn)。今天，我們依托歐美嵌入式軟件商業(yè)團(tuán)隊(duì)支持，提供嵌入式軟件商業(yè)授權(quán)和服務(wù)。包括（不限于）SEGGER嵌入式軟件開發(fā)和編程工具（J-Link/Flasher），OS分析工具Tracealyzer，WITTENSTEIN公司的SafeRTOS（FreeRTOS）、Flexible Safety RTOS（μC/OS-II MPU）以及新一代PX5 RTOS。麥克泰技術(shù)專注預(yù)認(rèn)證功能安全操作系統(tǒng)在汽車、軌交、醫(yī)療和工業(yè)領(lǐng)域的應(yīng)用以及RISC-V處理器嵌入式開發(fā)生態(tài)建設(shè)。