软件密集嵌入式系统安全验证：抽象解释法的新突破

196 浏览量更新于2024-06-18 收藏 14.03MB PDF 举报

本文档标题"HAL：存储和传播软件密集型嵌入式系统的安全性证明"聚焦于一个重要的IT领域——嵌入式系统的安全性保障。嵌入式系统，尤其是软件密集型的，由于其在日常生活和工业中的广泛应用，如物联网设备、自动驾驶等，其安全性至关重要。作者Marc Chevalier在巴黎科学与文学大学完成的研究工作，通过抽象解释的方法来探讨如何确保这些系统的安全性。抽象解释是一种形式化的技术，它将复杂的软件行为简化为可理解的模型，便于分析和验证。在这个研究中，Chevalier的目标是设计一套方法论，以证明操作系统——作为嵌入式系统的核心，其底层代码的安全性，比如防止崩溃、保持程序间的隔离，以防止恶意程序对信任级别的程序造成干扰。论文的焦点在于，通过抽象解释，研究人员能够对操作系统进行深入的静态分析，发现潜在的安全漏洞并提供数学上的保证。这不仅涉及到传统的编程错误检测，还包括对恶意代码行为的预防和抵御能力的评估。评审委员会由多位国际知名学者组成，包括来自不同国家的教授和研究员，他们代表了计算机科学领域的顶尖水平，他们的参与意味着这项工作的严谨性和权威性。评审委员会成员的阵容体现了跨学科的合作，涵盖了美国、意大利、瑞士、法国和韩国的专家，他们共同审议了Chevalier的研究成果，确保了这一安全证明方法的科学性和实用性。提交日期为2022年4月27日，表明这项工作已经通过了严格的学术审查流程，并被收录到HAL多学科开放存档，这进一步证实了其在学术界的认可和价值。这篇论文在嵌入式系统安全研究领域具有重要意义，它提供了一种创新的、基于抽象解释的手段来提升软件密集型嵌入式系统的安全性，为未来的系统设计和安全性评估提供了新的理论支持和技术指导。

第1章

引言

软件系统无处不在。但我们能相信它们吗？确实，一些软件负责重要的任务，失败可能非常严重

，这些程序被称为关键程序。有一些著名的例子，具有各种后果，例如：

-隐私：OpenSSL的Heartbleed漏洞（2014年）†；-金钱：Ariane

5运载火箭的首飞（1996年；仅载荷费用为3.7亿美元[Dow97]）；

死亡和伤亡：丰田电子油门控制系统故障（2005年；至少89人死亡）；地对空（SAM）导

弹爱国者MIM-104故障（1991年；其自己的军队中有28人死亡，不包括爱国者未拦截的导

弹造成的死亡）[GAO92]；Therac-25放射治疗机（1985-1987年；6起事故）[LT93]。

2002年，NIST估计软件错误每年给美国经济造成的损失在222亿美元至599亿美元之间[NIST02

]；可以想象在2020年全球范围内错误有多么昂贵。测试和文档在关键软件开发中占据了绝大部

分的成本和工作量，并且仍然占据了大部分常规程序开发的时间。分析程序以检测错误是一个关

键的问题，因为它可以避免关键软件可能带来的灾难性后果，并降低软件开发的成本，同时生产

出更可靠的应用程序。

程序分析面临各种挑战，这取决于我们研究的软件类型、编程语言以及我们感兴趣的属性。这些

问题决定了可以使用的方法和方式。

CVE-2014-0160†https://heartbleed.com/‡

国家标准与技术研究所

第2章引言

1.1背景

为了生成更安全的代码，我们可以使用一些方法来限制开发人员以更正确的方式编写程序，或者

我们可以在源代码中查找错误。第一类方法通过编程指南（如MISRA，通过促使程序员避免隐

式行为）或提供更多保证给开发人员的高级语言（例如，检测错误并引发异常的语言，而不仅仅

是进入未定义的行为，或具有更丰富的库或特性的语言，假设库和编译器实现是可靠的）来实现

。一旦代码编写完成，我们可以对其进行处理。静态分析是在不运行程序的情况下对程序的源代

码进行处理的艺术，与运行程序并将结果与预期输出进行比较的测试不同。有各种各样的静态分

析可以产生各种各样的结果。最基本的分析是词法分析：它们关心源代码的格式，没有进一步的

考虑。这个类别中的一个经典例子是缩进检查：即使在不显著的语言（如C）中，错误的缩进也

可能对开发人员产生误导，或者可能是开发人员误解程序正在做什么的迹象。我们还可以检查变

量名是否遵循给定的准则，或者拼写是否正确。我们可能对更复杂的属性感兴趣，特别是句法属

性：它们查看程序的结构，但忽略格式，并且对程序的行为没有考虑。这种分析包括检测代码重

复或限制函数中的执行路径数量。词法和句法分析非常普遍，许多编译器和集成开发环境执行此

类分析，因为它们帮助开发人员编写更好的源代码，并避免风险习惯用法。一些语言要求编译器

执行静态分析，如类型检查或类型推断。这些分析更为高级，因为它们必须关心程序的行为：它

们不是句法的。这些属性对于安全问题和使编译器能够选择适当的数据表示非常有用。此外，编

译器通常运行其他复杂的优化分析，例如指针别名分析或死代码消除。我们可以注意到，尝试编

译程序已经是一种静态分析，因为只有在它在语法上正确并且类型与语言要求匹配（如果有的话

）时才能成功。另一方面，这种分析提供的保证很少：大多数编程语言允许编写始终崩溃的程序

，例如，其第一条指令是未保护的除以0。一个值得注意的例外是Coq

[Coq20]，它要求开发人员提供证明程序正确性的证明，并且如果编译器无法检查证明，则拒绝

该程序。如今，我们在软件开发中每天都在使用这些分析，甚至不知道它们的存在；多亏了它们

，开发人员可以快速发现可能的错误。但对于某些应用程序来说，这还不够。对于关键软件，故

障可能是灾难性的，常规方法不够可靠。例如，涉及Ariane4坠毁的软件

§https://www.misra.org.uk/

1.2.动机3

用高级语言（Ada）编写，遵循非常严格的准则，并进行了广泛的测试；尽管如此，Ariane

5还是坠毁了。对于这种类型的软件，我们需要更强的保证：我们不仅需要检测可能的错误，还

希望证明错误是不可能的。对于“错误”的定义取决于上下文：我们可能希望保证没有崩溃，没

有私人信息泄漏，或者结果根据某些规范是正确的。这些属性涉及程序的行为，它们是语义属性

。众所周知，有趣的语义问题无法使用算法解决，对于有一个良好定义的有趣问题来说，这是

Rice

定理。然而，非自动方法不能用于大型代码库，或者需要花费很长时间的专家工作。即使自动方

法不能百分之百可靠，我们可以努力使它们在典型的源代码上成功。我们还可以开发半自动方法

，在大部分工作自动完成的情况下，当它失败时可以由人工（最好是非专家）进行辅助。

1.2动机

我们工作的主要动机是证明工业合作伙伴的嵌入式操作系统（OS）上的安全属性。这个操作系

统托管了几个程序，其中一些由制造商提供并受信任，其他由客户安装并不受信任。除了在操作

系统中不存在运行时错误（RTEs）这个简单的安全属性之外，我们还希望证明更复杂的属性，

例如从私有源到公共内存的信息流不存在，以便不受信任的程序无法访问受信任应用程序的数据

。同样，我们希望证明公共变量不会干扰受信任的软件，这样受信任程序的行为不会依赖于不受

信任程序的行为。一般来说，这些属性很难证明，甚至很难表达：它们不能被形式化为跟踪集合

，而只能被形式化为跟踪集合的集合，有些人称之为超属性。不干扰的缺失不一定要求不受信任

的程序永远不写入受信任的内存，而只要无论它写入什么，受信任的程序都以相同的方式运行。

我们不能直接使用这个属性，因为我们不知道在我们的主机平台上运行的程序。第一步是说受信

任的内存可以被不受信任的程序修改，但在受信任的程序读取之前最终会恢复到初始值。我们只

比较两个跟踪：一个是实际发生交互的真实跟踪，另一个是在交互被抑制时伪造的跟踪。如果在

受信任的程序读取内存之前两个跟踪都匹配，那么从它的角度来看，就好像交互从未发生过。这

种方法已经可以在我们需要的操作系统的某些部分中使用。

¶Ada是静态类型的，具有明确的语法，并通过异常处理错误（而不是像C那样的未定义行为）。

实际上，除了在开发过程中进行的测试外，这个软件还在Ariane4的113次成功飞行中使用。††这可能会招致Patrick

Cousot的愤怒。

第4章引言

一个内存在某些时候保持其值，但对于用户级程序来说仍然过于灵活，因为我们仍然需要知道它

们的源代码。最终的简化是简单地禁止程序读取或写入其他进程所属的内存。尽管这似乎非常自

然，但实际上它是对实际所需属性的强烈近似。这个属性很有趣，因为它是一个安全属性，并且

它确实由现代处理器的内存管理功能强制执行。我们仍然需要证明处理器正确使用这些保护功能

。它们远远超出了C的范围：这些功能不能使用纯C来控制，因为它们非常依赖于体系结构，并

且关于这些功能的属性无法在C的内存模型中表示。我们需要从更低的层面来看：我们需要分析

汇编源代码。在我们的案例中，我们使用的是x86架构的处理器。当然，大多数操作系统（包括

我们的操作系统）并不完全是用汇编语言编写的。大部分是用C语言编写的，只有与硬件相关的

部分才用汇编语言编写。这隐藏了两个问题。首先，我们需要分析混合的C和汇编源代码，尽管

它们是非常不同的语言：它们具有非常不同的内存模型，而C是良好结构化的，汇编控制流是基

于跳转的。另一个问题是低级软件所需的操作类型，在标准C中通常是不常见的，甚至是非法的

。由于我们想要在软件上证明属性，抽象解释是一个方便的框架。它允许构建能够找到所有可能

错误的可靠分析（有可能找到更多错误的风险）。理论背景的选择主要是由应用程序引导的：这

项工作的很大一部分是在Astrée静态分析器的开发版本中实现的。Astrée

是一种基于抽象解释的静态分析器，自2001年以来一直在开发，成功地证明了大型工业嵌入式

软件中不存在RTEs[Bla+03;Cou+01;Cou+20;

Cou+06a]。由于应用程序的原因，我们不仅需要找到解决上述问题的方法：这个解决方案还必

须足够高效，以便在包含数十万到数百万行代码的实际程序上使用。

1.3概述

首先考虑分析混合C和汇编代码的问题。第一部分致力于定义混合C和汇编的语义。当然，我们

不使用C（非常复杂）或整个汇编语言，而是使用C的简化模型和x86指令的片段。首先，我们从

语法到语义介绍了这种类似C的语言。这种语言不是C的子集，因为我们需要额外的假设，这些

假设在C中是未定义的、未指定的或实现定义的行为。我们试图突出这些差异。然后，我们介绍

了汇编的内存模型和两种语义。第一种语义非常具体，非常接近计算机的工作原理；第二种语义

稍微更加符号化，以使其与C的交互更容易，但它禁止了一些不希望的行为。我们解释了如何编

写混合C和汇编代码，并给出了一些复杂情况的示例，这些情况证明了为什么我们不能

1.3.概述5

不要过多限制语义。我们通过查看每种语句的语义来解释混合代码的语义，但我们不会给出完整

的形式化定义，因为这非常繁重且不利于理解。最后一章是关于我们为Astrée开发的一个库，

该库负责处理与汇编相关的问题，主要是决定汇编指令的长度以解决动态跳转。第二部分提供了

一些后续所需的背景知识。我们简要介绍了抽象解释，特别是域的乘积。这并不打算作为一堂课

的详尽介绍。我们还介绍了Astrée，并解释了一些实现细节。这些细节有助于理解后续的实现

选择。第三部分是关于混合C和汇编代码的抽象。我们将工作分为指令类别。对于每个类别，我

们介绍了我们的抽象以及它们对Astrée的影响。我们提到低级源代码执行奇怪的操作。这个问

题在第四部分中讨论。这些情况可以通过添加幽灵变量来解决：它们是程序中没有直接出现但有

助于表示状态的量。我们在其他领域找到了类似的概念；例如，在物理学中，能量守恒定律可以

用来解决许多问题，但需要明确系统的总能量，这是一个在现实生活中不存在的人为值，就像系

统的极限是任意的和人为的一样。同样，在给定问题的情况下，任何使用变量变换的解决方案都

可以用幽灵变量来重新表述，例如积分计算中的变量变换或几何问题中的坐标重写。在静态分析

中，幽灵变量也非常有用，但在多个抽象域中以分散的方式使用它们很困难。在第四部分中，我

们构建了一个抽象域的乘积，使得域能够共享幽灵变量，并以完全分布的方式管理它们，同时允

许域合作改进其抽象值。这使得复合域能够表示更复杂的属性。第五部分提供了一些展望和见解

。我们提出了许多对前面部分所述工作的扩展和改进。特别是，我们提出了一些需要汇编支持的

高级属性证明。我们还提到了第四部分讨论的抽象域乘积的许多优化，以及一些扩展，以允许更

复杂的域，并使乘积更加通用，以便在许多情境中使用。

剩余404页未读，继续阅读

cpongm

粉丝: 5
资源: 2万+

软件密集嵌入式系统安全验证：抽象解释法的新突破

ftd2xx-embedded-hal:实现FTDI设备的锈蚀嵌入式特性

eg_stm_hal:新手笔记-使用嵌入式Rust HAL的示例

stm32f1xx-hal：基于japarics stm32f103xx-hal的STM32F1系列的Rust嵌入式Hal HAL impl

lmosem:支持ARM，x86平台的嵌入式操作系统内核

Chandra-HAL:一个C ++ 14，仅标头的库，旨在用于针对机器人技术，信号处理，控制系统和其他相关（深度嵌入式）系统的微控制器项目中

bl602-hal:嵌入式Rust中BL602 RISC-V WiFi + BLE SoC的硬件抽象层

tm4c-hal:对TM4C123LM4F120的嵌入式HAL和通用芯片支持。 替换旧的lm4f120条板箱

嵌入式系统软件开发实例 嵌入式系统软件开发实例

嵌入式系统安全分析：HAL编号tel-03413371

ChibiOS/HAL：嵌入式RTOS硬件抽象层详解

最新资源

tm4c-hal:对TM4C123LM4F120的嵌入式HAL和通用芯片支持。替换旧的lm4f120条板箱

嵌入式系统软件开发实例嵌入式系统软件开发实例