摘要：Windows CE是一個(gè)應(yīng)用非常廣泛的嵌入式操作系統(tǒng)，其安全機(jī)制對于它在各個(gè)領(lǐng)域中的應(yīng)用起著非常重要的作用，文章著重在建立信任環(huán)境、密碼技術(shù)和USB KEY認(rèn)證手段等方面對Windows CE的安全服務(wù)體系和架構(gòu)進(jìn)行了充分的論述。

關(guān)鍵詞：WinCE操作系統(tǒng)；信任環(huán)境；安全；密碼技術(shù)；認(rèn)證

中圖分類號：TP316文獻(xiàn)標(biāo)識(shí)碼：A文章編號：1009-3044(2008)16-21208-02

Synthetically Treatise of Security Mechanism of Embedded Operating System Windows CE

WU Xiao-chun

(Graduate School of Navy Compute Technique Peking，Beijing 100841，China)

Abstract:Windows CE is an application extremely widespread embedded operating system， its safety mechanism regarding it in each domain application extremely vital role， the article emphatically in the establishment trust environment， the password technology and USB aspects and so on KEY authentication method has carried on the full elaboration to the Windows CE safe service system and the construction.

Key words:Windows CE Embedded Systems;dependable environment;security;technology of cryptogram;attestation

1 前言

目前，嵌入式設(shè)備在很多領(lǐng)域得到非常廣泛的應(yīng)用，但是在高端嵌入式應(yīng)用中，微軟的Windows CE系統(tǒng)一直占據(jù)領(lǐng)先地位。而隨著嵌入式網(wǎng)絡(luò)的的迅猛發(fā)展，嵌入式系統(tǒng)的安全性問題日漸突顯。Windows CE是一個(gè)面向嵌入式應(yīng)用的通用操作系統(tǒng)平臺(tái)，由于Windows CE的通用性和易開發(fā)性，在應(yīng)用安全方面的問題就顯得尤其重要。本文闡述了Windows CE的安全機(jī)制，并對其服務(wù)體系結(jié)構(gòu)加以描述。

2 安全需求

從嵌入式設(shè)備安全角度考慮，信息的發(fā)送、接收、處理各個(gè)環(huán)節(jié)都要進(jìn)行保護(hù)，提供有效的安全認(rèn)證和密碼體制，避免不安全應(yīng)用程序的加載，確保信息的隱密性，過濾和限制來自外界的存取、創(chuàng)建一個(gè)被普遍信任的安全環(huán)境是操作系統(tǒng)要考慮的重要因素。能夠提供安全服務(wù)是一個(gè)完善的操作系統(tǒng)的核心，從網(wǎng)絡(luò)架構(gòu)、系統(tǒng)管理以及用戶終端的服務(wù)都要有靈活、強(qiáng)大的安全系統(tǒng)作保障。Windows CE正是這樣一個(gè)擁有一套完整的安全服務(wù)功能的操作系統(tǒng)，它可保護(hù)使用者在網(wǎng)絡(luò)世界中安全地交流和開展業(yè)務(wù)。Windows CE內(nèi)部建立了一整套安全機(jī)制，包括網(wǎng)絡(luò)通信安全機(jī)制、數(shù)據(jù)存儲(chǔ)安全和認(rèn)證機(jī)制。概況起來，使用了信任管理器、局部認(rèn)證子系統(tǒng)、密碼技術(shù)和證書機(jī)制、存儲(chǔ)保護(hù)、安全套接字層、安全支持提供接口、智能卡以及可信環(huán)境模式等機(jī)制來增強(qiáng)對設(shè)備和應(yīng)用的安全性支持。

3 Windows CE的安全服務(wù)體系及架構(gòu)

Windows CE擁有自己的安全服務(wù)體系及架構(gòu)，通過安全支持提供者接口（SSPI），提供了對用戶授權(quán)、信任等級管理和消息保護(hù)等的支持。通過OEM（Original Equipment Manufacture）可以定制自己的安全包，使用自己特定的加密與解密算法或授權(quán)與認(rèn)證方法，將它加入系統(tǒng)注冊表，然后通過應(yīng)用程序去調(diào)用。比較新的Windows CE版本還為用戶提供了對VPN和防火墻的支持。

3.1 通過OEM層創(chuàng)建信任環(huán)境

通過OEM（Oriqinal Equipment Manufacture）層創(chuàng)建一個(gè)信任環(huán)境，防止加載未知模塊、限制對系統(tǒng) API 的訪問、并禁止對系統(tǒng)注冊表的某些部分執(zhí)行寫入操作。在內(nèi)核加載之前通過OEM CertifyModule和OEM CertifyModuleInit函數(shù)可以對將要加載的模塊進(jìn)行檢查。它驗(yàn)證應(yīng)用程序是否包含有效的簽名，且僅當(dāng)應(yīng)用程序包含有數(shù)字簽名時(shí)Windows CE平臺(tái)才予以加載。OEM必須對所有第三方驅(qū)動(dòng)程序進(jìn)行數(shù)字簽名， 否則加載驅(qū)動(dòng)程序時(shí)將失敗。

OEMCertifyModule函數(shù)對加載模塊進(jìn)行驗(yàn)證，返回值為：OEM_CERTIFY_TRUST，表示該模塊可信任，可以加載；OEM_CERTIFY_RUN，表示該模塊可以信任，可以加載，但不能調(diào)用特權(quán)函數(shù)；OEM_CERTIFY_FALSE，表示該模塊不可信任，不允許加載。

Windows CE中的安全注冊表體系結(jié)構(gòu)只允許已經(jīng)識(shí)別的”可信任應(yīng)用程序”修改注冊表中的鍵和值，對于”不信任的應(yīng)用程序”，將予以拒絕，從而避免了不安全應(yīng)用程序的加載。

3.2 通過SSPI提供安全保護(hù)

在 Secur32.dll 模塊中提供的安全性支持提供者接口 (SSPI) 是一個(gè)嚴(yán)格定義的通用 API，用于獲取進(jìn)行身份驗(yàn)證、消息的完整性檢查和消息加密的集成安全服務(wù)。它在應(yīng)用程序?qū)訁f(xié)議和安全性協(xié)議之間提供了一個(gè)抽象層。因?yàn)椴煌膽?yīng)用程序在網(wǎng)絡(luò)上傳輸數(shù)據(jù)時(shí)所采用的識(shí)別或驗(yàn)證用戶身份的方法，以及加密數(shù)據(jù)的方法各不相同，因此 Windows CE SSPI 提供了訪問包含各種身份驗(yàn)證和數(shù)據(jù)加密方案的動(dòng)態(tài)連接庫（DLL）。這些被DLL引導(dǎo)的、提供安全服務(wù)的數(shù)據(jù)包被稱作安全性支持提供者 (SSP)。SSP可以有一種或多種安全機(jī)制對應(yīng)用程序提供支持，應(yīng)用程序并不需要了解這些安全機(jī)制的細(xì)節(jié)。

SSPI 包括以下的API 功能組： a.信任管理API。提供對信任數(shù)據(jù)（如口令等）的調(diào)用；b.信任關(guān)系管理API，提供用于建立和使用信任關(guān)系的支持；c.消息支持API，提供通信的完整性和保密性服務(wù)；d.數(shù)據(jù)包管理API，提供為不同格式的數(shù)據(jù)打包安全封裝服務(wù)。

3.3 Windows CE中的密碼技術(shù)

密碼技術(shù)可以使實(shí)體間的通信更加安全可靠。在Windows CE中，通過 CryptoAPI 提供的服務(wù)，應(yīng)用程序開發(fā)人員可以添加定制數(shù)據(jù)加解密方案、使用數(shù)字證書進(jìn)行身份驗(yàn)證、為基于 Win32 的應(yīng)用程序進(jìn)行 ASN.1 的編碼或解碼操作。應(yīng)用程序開發(fā)人員可以使用 CryptoAPI 中的函數(shù)而無需了解內(nèi)部的實(shí)現(xiàn)細(xì)節(jié)。

Windows CE密碼系統(tǒng)由應(yīng)用程序、操作系統(tǒng)(OS)和密碼服務(wù)提供者(CSP)這三層組件組成(如圖2). 應(yīng)用程序通過CAPI與操作系統(tǒng)交換信息， 操作系統(tǒng)通過密碼服務(wù)提供者接口(CSPI)與CSP通信。

圖1 SSPI Secur32.dll、Winsock、WinInet 之間的關(guān)系圖2 應(yīng)用程序、操作系統(tǒng)和CSP的關(guān)系圖

CSP 是實(shí)現(xiàn)加密操作的獨(dú)立模塊，通常是一個(gè)DLL。它可以使用預(yù)定義的CSP，也可以由開發(fā)人員自行定制。OEM 可以編寫自己的CSP 包并將其添加到注冊表中。

使用CryptoAPI函數(shù)提供的服務(wù)可以完成下列操作：

(1)密鑰的生成和密鑰的交換；(2)數(shù)據(jù)的加密和解密；(3)編碼和解碼證書；(4)管理和保證證書的安全性；(5)創(chuàng)建和驗(yàn)證數(shù)字簽名，并計(jì)算散列。

3.4 安全套接層實(shí)現(xiàn)安全網(wǎng)絡(luò)通信

SSL(Secure Sockets Layer安全套接層) 協(xié)議是一種安全通信協(xié)議， 它提供三種基本服務(wù)：信息保密、信息完整性、相互認(rèn)證。它的優(yōu)勢在于：它與應(yīng)用層協(xié)議獨(dú)立無關(guān)， 高層的應(yīng)用協(xié)議(HTTP、FTP、TELNET等)能透明地建立于SSL之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證工作。在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會(huì)被加密， 從而保證通信的機(jī)密性和加密算法的獨(dú)立性。

SSL安全協(xié)議可以通過WinInet或WinSock直接或間接地訪問。Windows CE擁有一個(gè)CA數(shù)據(jù)庫， 它與CryptoAPI2.0 證書存儲(chǔ)彼此獨(dú)立。當(dāng)應(yīng)用程序試圖建立安全連接時(shí)，Windows CE 從證書鏈中提取根證書，并根據(jù) CA 數(shù)據(jù)庫進(jìn)行檢查。它通過一個(gè)證書確認(rèn)調(diào)用函數(shù)， 把待連接的目標(biāo)實(shí)體的認(rèn)證隨同比較的結(jié)果一起發(fā)送給這個(gè)應(yīng)用程序，由應(yīng)用程序最終來決定證書是否能被接收， 應(yīng)用程序可以接收或拒絕任何一種證書。證書至少要滿足兩個(gè)條件：證書是當(dāng)前使用的；證書代表的身份與正在建立連接的目標(biāo)實(shí)體的身份相匹配。注意，這些根證書頒發(fā)機(jī)構(gòu)是有一定期限的，可能需要定期更新。也可以通過編輯注冊表來更新數(shù)據(jù)庫，以添加更多的CA。

3.5 USB KEY認(rèn)證

通過使用智能卡存儲(chǔ)身份驗(yàn)證信息或數(shù)字簽名機(jī)制，可以向 Windows CE 設(shè)備添加安全層?？梢跃帉懚ㄖ频?CryptoAPI 提供者，可以使用智能卡功能實(shí)現(xiàn)安全信息存儲(chǔ)。Windows CE 智能卡子系統(tǒng)通過智能卡服務(wù)提供者 (SCSP) 支持 CrytoAPI，SCSP 是允許訪問特定服務(wù)的 DLL。該子系統(tǒng)在智能卡讀卡器硬件和應(yīng)用程序之間提供鏈接。典型的智能卡系統(tǒng)包括應(yīng)用程序、處理智能卡讀卡器、應(yīng)用程序之間的通信的子系統(tǒng)以及加密算法。見圖3。

在一個(gè)獨(dú)立的硬件中實(shí)現(xiàn)智能卡CryptoAPI服務(wù)提供者的部分功能將保證密鑰和操作的安全性，這是因?yàn)椋?A)禁止對存儲(chǔ)區(qū)的任意修改，用來保護(hù)個(gè)人信息、私人密鑰和其他信息。B)隔離注重安全性的計(jì)算，這些計(jì)算涉及系統(tǒng)其他部分的身份驗(yàn)證、數(shù)字簽名和密鑰交換以及加密算法。C)使各種認(rèn)證憑據(jù)和其他私人信息具備便攜性。

在使用智能卡的組織中，用戶實(shí)際不必記住任何密碼（只有一個(gè)個(gè)人識(shí)別號），并且出于其他安全性目的（例如電子簽名的電子郵件），他們可以使用相同的證書。

4 結(jié)束語

安全服務(wù)是現(xiàn)代操作系統(tǒng)的核心部分。網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)、系統(tǒng)管理策略和最終用戶的感受都取決于安全服務(wù)的管理功能、靈活性和實(shí)施。目前，網(wǎng)絡(luò)正影響著世界的每一個(gè)角落， 從有線網(wǎng)絡(luò)到無線網(wǎng)絡(luò)技術(shù)越來越成熟.。嵌入式操作系統(tǒng)的應(yīng)用和網(wǎng)絡(luò)安全將會(huì)被賦予更多的意義。本文較完善的描述了Windows CE系統(tǒng)安全和密碼技術(shù)， 下一步將繼續(xù)對安全機(jī)制的具體實(shí)施加以闡述。

參考文獻(xiàn)：

[1] 何宗鍵.Windows CE嵌入式系統(tǒng)[M].北京航空航天大學(xué)出版社，2006.

[2] [美]Douglas Boling.博彥科技公司，譯.Windows CE程序設(shè)計(jì)[M].北京大學(xué)出版社，2000.

[3] [美]Keith Brown.劉清，李一舟，譯.Windows CE安全性編程[M].中國電力出版社，2004.

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。