要確保嵌入式設備的安全性，需要采取多層次的防護措施，每一項安全措施都要建立在前一項的基礎之上。嵌入式系統(tǒng)安全性的強弱取決于其最薄弱的環(huán)節(jié)，這意味著每一個組件，無論是硬件還是軟件，都必須得到精心保護。主要的安全問題包括保護敏感數據、防止未經授權的控制、減輕拒絕服務攻擊（DoS）以及保護知識產權。這些保護措施的核心是信任根，它通過數字簽名來確保設備及其軟件的完整性和真實性。

信任根的重要組成部分是實時操作系統(tǒng)（RTOS），它為應用程序的運行提供了一個安全的平臺。嵌入式系統(tǒng)的具體安全要求取決于其架構以及所面臨的威脅。在本博客中，我們將探討RTOS的安全性，以SAFERTOS及其增強安全模塊（ESM）作為保護嵌入式系統(tǒng)的最佳實踐的一個范例。

攻擊面

嵌入式設備的安全性取決于其軟件架構、潛在威脅以及攻擊面。攻擊面指的是不良行為者能夠獲取系統(tǒng)訪問權限或提取數據的所有可能途徑的總和，減少攻擊面是實現安全的關鍵。

在較為簡單的系統(tǒng)中，比如僅通過單一網絡連接的遠程傳感器，其攻擊面僅限于網絡通道。在此類系統(tǒng)中，加密和密鑰認證能夠降低風險。

在更為復雜的系統(tǒng)中，比如具有多個處理器的嵌入式醫(yī)療設備，其攻擊面會不斷擴大。例如，負責管理敏感數據的安全處理器和負責處理第三方軟件的應用處理器可能會通過通信渠道引入風險，保護接口或通信鏈路能夠有助于抵御攻擊。

在諸如自動駕駛汽車這樣的復雜系統(tǒng)中，由于存在多個處理器和外部接口，攻擊面會更大。因此，必須從多個層面來解決安全問題，比如使用實時操作系統(tǒng)來限制對特定內存區(qū)域和資源的訪問，隔離任何受到攻擊的任務，并防止進一步的系統(tǒng)入侵。

SAFERTOS及安全概述

SAFERTOS是一款專為汽車、醫(yī)療和工業(yè)等行業(yè)設計的安全關鍵型實時操作系統(tǒng)。它利用處理器的內存保護單元（MPU）或內存管理單元（MMU）來實現任務之間的空間隔離，防止一個任務覆蓋另一個任務的內存，從而降低系統(tǒng)故障的風險。系統(tǒng)為每個任務的內存區(qū)域分配特定的訪問權限（只讀、寫、執(zhí)行），而特權內存則保護SAFERTOS內核數據。

為了進一步加強安全性，SAFERTOS強化安全模塊（ESM）強化了任務之間的空間隔離，確保受攻擊的任務無法訪問其他系統(tǒng)區(qū)域，并將拒絕服務攻擊的風險降至最低。該模塊包含一個滲透檢測監(jiān)控器，能夠識別異常的系統(tǒng)行為，并保護系統(tǒng)免受安全威脅。ESM通過限制每個任務僅訪問必要的資源，從而最大限度地減少了攻擊面。

SAFERTOS和ESM還包含訪問控制策略（ACP），該策略會限制每個任務可使用的SAFERTOS API，從而降低漏洞風險并防止受攻擊的任務影響其他系統(tǒng)區(qū)域。此外，對象訪問控制策略（OACP）會限制任務對特定RTOS對象（如隊列和信號量）的訪問，從而封閉可能接觸到敏感數據的潛在入口點。

為了提高安全性，ESM將傳統(tǒng)的任務/對象標識符替換為間接對象標識，從而防止任務能夠發(fā)現并訪問對象或任務控制塊（TCB）等關鍵系統(tǒng)組件的內存位置。這種做法通過限制受攻擊任務所能獲取的信息，增強了系統(tǒng)的安全性。

SAFERTOS及其ESM必須存放在特權內存中，以確保用戶模式任務無法訪問敏感的系統(tǒng)數據。任務應被限制在盡可能小的內存區(qū)域，以減少攻擊面。該系統(tǒng)還包含一個具有安全意識的移植層，確保特權內存和用戶模式內存之間有更堅固的邊界，防止用戶任務提升其權限。

ESM內部的滲透檢測監(jiān)控器會持續(xù)監(jiān)測違反ACP、OACP或API失敗的情況，并將違規(guī)行為報告給應用程序，以便能夠迅速做出響應。SAFERTOS和ESM在“信任根”啟動序列中被初始化，對任務優(yōu)先級、MPU配置和系統(tǒng)資源訪問的正確管理對于維護系統(tǒng)安全至關重要。任務應在用戶模式下運行，中斷應在特權模式下操作，并且必須仔細關注任務與系統(tǒng)資源的交互方式。

總結

總之，要保障嵌入式系統(tǒng)的安全，僅靠單一的解決方案是不夠的，需要采取多層次的策略。ESM在最小化用戶模式任務的攻擊面方面發(fā)揮著關鍵作用，有助于將不良行為者限制在單個任務中，并防止其在整個系統(tǒng)中擴散。這篇文章展示了SAFERTOS及其ESM如何提供強大的保護機制，以檢測、減緩并阻止未經授權的訪問，從而確保敏感數據的安全，并使系統(tǒng)保持在受控狀態(tài)。

麥克泰技術是安全預認證操作系統(tǒng)SAFERTOS在中國的代理商，具有30年嵌入式實時操作系統(tǒng)和功能安全軟件服務的市場、服務和培訓經驗，聯系info@bmrtech.com。

麥克泰技術走過了30年發(fā)展歷程（1995-2025），秉承“讓嵌入式軟件開發(fā)更容易”的理念，致力于推廣嵌入式軟件開發(fā)工具、測試軟件和嵌入式操作系統(tǒng)。麥克泰技術通過舉辦嵌入式軟件和操作系統(tǒng)研討會、開設培訓課程、出版圖書，撰寫博客文章，倡導和宣傳開放和開源的嵌入式軟件、操作系統(tǒng)以及開發(fā)技術，包括VRTX（90年代）、μC/OS（2000年），Montavista Linux（2010年）和FreeRTOS（2010年）以及IAR/BDI/J-Link等知名的產品和技術。

麥克泰技術具有豐富嵌入式軟件項目開發(fā)、行業(yè)應用與服務經驗。今天，我們依托歐美嵌入式軟件商業(yè)團隊支持，提供嵌入式軟件商業(yè)授權和服務。包括（不限于）SEGGER嵌入式軟件開發(fā)和編程工具（J-Link/Flasher），OS分析工具Tracealyzer，WITTENSTEIN公司的SafeRTOS（FreeRTOS）、Flexible Safety RTOS（μC/OS-II MPU）以及新一代PX5 RTOS。麥克泰技術專注預認證功能安全操作系統(tǒng)在汽車、軌交、醫(yī)療和工業(yè)領域的應用以及RISC-V處理器嵌入式開發(fā)生態(tài)建設。