如何采用SAFERTOS和ESM保护嵌入式系统安全

要确保嵌入式设备的安全性，需要采取多层次的防护措施，每一项安全措施都要建立在前一项的基础之上。嵌入式系统安全性的强弱取决于其最薄弱的环节，这意味着每一个组件，无论是硬件还是软件，都必须得到精心保护。主要的安全问题包括保护敏感数据、防止未经授权的控制、减轻拒绝服务攻击（DoS）以及保护知识产权。这些保护措施的核心是信任根，它通过数字签名来确保设备及其软件的完整性和真实性。

信任根的重要组成部分是实时操作系统（RTOS），它为应用程序的运行提供了一个安全的平台。嵌入式系统的具体安全要求取决于其架构以及所面临的威胁。在本博客中，我们将探讨RTOS的安全性，以SAFERTOS及其增强安全模块（ESM）作为保护嵌入式系统的最佳实践的一个范例。

攻击面

嵌入式设备的安全性取决于其软件架构、潜在威胁以及攻击面。攻击面指的是不良行为者能够获取系统访问权限或提取数据的所有可能途径的总和，减少攻击面是实现安全的关键。

在较为简单的系统中，比如仅通过单一网络连接的远程传感器，其攻击面仅限于网络通道。在此类系统中，加密和密钥认证能够降低风险。

在更为复杂的系统中，比如具有多个处理器的嵌入式医疗设备，其攻击面会不断扩大。例如，负责管理敏感数据的安全处理器和负责处理第三方软件的应用处理器可能会通过通信渠道引入风险，保护接口或通信链路能够有助于抵御攻击。

在诸如自动驾驶汽车这样的复杂系统中，由于存在多个处理器和外部接口，攻击面会更大。因此，必须从多个层面来解决安全问题，比如使用实时操作系统来限制对特定内存区域和资源的访问，隔离任何受到攻击的任务，并防止进一步的系统入侵。

SAFERTOS及安全概述

SAFERTOS是一款专为汽车、医疗和工业等行业设计的安全关键型实时操作系统。它利用处理器的内存保护单元（MPU）或内存管理单元（MMU）来实现任务之间的空间隔离，防止一个任务覆盖另一个任务的内存，从而降低系统故障的风险。系统为每个任务的内存区域分配特定的访问权限（只读、写、执行），而特权内存则保护SAFERTOS内核数据。

为了进一步加强安全性，SAFERTOS强化安全模块（ESM）强化了任务之间的空间隔离，确保受攻击的任务无法访问其他系统区域，并将拒绝服务攻击的风险降至最低。该模块包含一个渗透检测监控器，能够识别异常的系统行为，并保护系统免受安全威胁。ESM通过限制每个任务仅访问必要的资源，从而最大限度地减少了攻击面。

SAFERTOS和ESM还包含访问控制策略（ACP），该策略会限制每个任务可使用的SAFERTOS API，从而降低漏洞风险并防止受攻击的任务影响其他系统区域。此外，对象访问控制策略（OACP）会限制任务对特定RTOS对象（如队列和信号量）的访问，从而封闭可能接触到敏感数据的潜在入口点。

为了提高安全性，ESM将传统的任务/对象标识符替换为间接对象标识，从而防止任务能够发现并访问对象或任务控制块（TCB）等关键系统组件的内存位置。这种做法通过限制受攻击任务所能获取的信息，增强了系统的安全性。

SAFERTOS及其ESM必须存放在特权内存中，以确保用户模式任务无法访问敏感的系统数据。任务应被限制在尽可能小的内存区域，以减少攻击面。该系统还包含一个具有安全意识的移植层，确保特权内存和用户模式内存之间有更坚固的边界，防止用户任务提升其权限。

ESM内部的渗透检测监控器会持续监测违反ACP、OACP或API失败的情况，并将违规行为报告给应用程序，以便能够迅速做出响应。SAFERTOS和ESM在“信任根”启动序列中被初始化，对任务优先级、MPU配置和系统资源访问的正确管理对于维护系统安全至关重要。任务应在用户模式下运行，中断应在特权模式下操作，并且必须仔细关注任务与系统资源的交互方式。

总结

总之，要保障嵌入式系统的安全，仅靠单一的解决方案是不够的，需要采取多层次的策略。ESM在最小化用户模式任务的攻击面方面发挥着关键作用，有助于将不良行为者限制在单个任务中，并防止其在整个系统中扩散。这篇文章展示了SAFERTOS及其ESM如何提供强大的保护机制，以检测、减缓并阻止未经授权的访问，从而确保敏感数据的安全，并使系统保持在受控状态。

麦克泰技术是安全预认证操作系统SAFERTOS在中国的代理商，具有30年嵌入式实时操作系统和功能安全软件服务的市场、服务和培训经验，联系info@bmrtech.com。

麦克泰技术走过了30年发展历程（1995-2025），秉承“让嵌入式软件开发更容易”的理念，致力于推广嵌入式软件开发工具、测试软件和嵌入式操作系统。麦克泰技术通过举办嵌入式软件和操作系统研讨会、开设培训课程、出版图书，撰写博客文章，倡导和宣传开放和开源的嵌入式软件、操作系统以及开发技术，包括VRTX（90年代）、µC/OS（2000年），Montavista Linux（2010年）和FreeRTOS（2010年）以及IAR/BDI/J-Link等知名的产品和技术。

麦克泰技术具有丰富嵌入式软件项目开发、行业应用与服务经验。今天，我们依托欧美嵌入式软件商业团队支持，提供嵌入式软件商业授权和服务。包括（不限于）SEGGER嵌入式软件开发和编程工具（J-Link/Flasher），OS分析工具Tracealyzer，WITTENSTEIN公司的SafeRTOS（FreeRTOS）、Flexible Safety RTOS（µC/OS-II MPU）以及新一代PX5 RTOS。麦克泰技术专注预认证功能安全操作系统在汽车、轨交、医疗和工业领域的应用以及RISC-V处理器嵌入式开发生态建设。