Abschlussbericht

Weitere Magazine

Empfehlungen

Info

<strong>Abschlussbericht</strong> Trusted Sensor Node Task Task Task Network Stack, Filesystem Memory Manager, Scheduler Device Drivers, ISR, ... User- Mode SuperVisor- Mode Task Device Driver Network Stack File System IPC, Memory Management Hardware Hardware Abbildung 6.3: Aufteilung von Diensten und Services in monolithischen und µKern-Betriebssystemen L4-basierter Trusted Sensor Node L4 ist eine Mikrokern-Architektur entworfen und erstmals implementiert von Jochen Liedtke [52]. Aktuell existieren verschiedene Implementierungen (L4Ka::Pistachio [26], Fiasco [18], OKL4 [38]), die für den jeweiligen Einsatz- und Forschungszweck optimiert wurden. Ursprünglich für die x86-Architektur IA32 von Intel entwickelt, sind aktuell Portierungen für weitere Hardware-Plattformen (z.B. MIPS64, PPC, AMD64, Alpha, ARM) frei verfügbar. Der TSN verfügt über wenige Dienste, die bereits in der aktuellen Implementierung in Module ausgelagert wurden. Da eCos jedoch das Konzept der Security Compartments nicht unterstützt, werden diese Dienste in einem Adressraum zusammengefasst, so dass Fehler in einem Modul alle anderen Module beeinflussen bzw. sensitive Daten nicht wirksam geschützt werden können. Durch den Einsatz eines Mikrokerns, können die Module des TSN auf verschiedene Adressräume verteilt werden. Damit kann ein wirksamer Schutz zwischen den Diensten installiert werden, so dass eine sichere Speicherung von sensitiven Daten möglich wird. Darüber hinaus ermöglicht die Mikrokern-Technologie durch den Einsatz von Watchdog-Technologien die Überwachung und das Wiederherstellen von Systemdiensten. L4 ist aktuell nicht für die SPARC-Architektur verfügbar. Es gibt erste Ansätze für eine Portierung auf diese Plattform, die weitergeführt werden müssten. Die Auslagerung von Diensten in verschiedene Adressräume muss ebenfalls für den TSN umgesetzt werden. Es existieren bereits Frameworks wie z.B. L4Env[56], die viele Dienste eines Betriebssystems als L4-Tasks bereitstellen. Allerdings müssen die TSN-spezifischen Dienste, wie z.B. die Implementierung von HARPS, SPI oder die Tamper Detection auf die Plattform portiert werden. 81
<strong>Abschlussbericht</strong> Trusted Sensor Node TSN-MMU Die LEON2-CPU des TSN verfügt über keine Memory Management Unit (MMU), so dass eine Implementierung von Security Compartments auf dieser Hardware nicht möglich ist. Eine MMU ist für die Übersetzung von virtuellen Adressen in physikalische Adressen verantwortlich und ermöglicht die Bereitstellung von virtuellen Adressräumen. Damit kann jedem Prozess ein einheitlicher virtueller Adressraum bereitgestellt werden. Es existiert jedoch ein Referenzdesign in VHDL für eine MMU der SPARC-V8-Architektur [49], die unter anderem über einen User- und einen SuperVisor-Modus sowie über Zugriffsflags für Speicherseiten verfügt. Es ist somit ohne größeren Implementierungsaufwand möglich den TSN um eine MMU zu erweitern. Es bleibt zu prüfen, in wieweit die Integration der MMU Auswirkungen auf den Platz- und den Energiebedarf des Chips hat. Beides kann bereits durch die Integration in die Simulationsumgebung des TSN bzw. in einen Field programmable Gate Array (FPGA) evaluiert werden. 6.1.2 Trusted Computing Trusted Computing (TC) ist eine Technologie, die von der Trusted Computing Group (TCG) entwickelt und beworben wird [53]. TC bedeutet, dass die im Computersystem verwendete Hard- und Software sicher kontrolliert werden kann. Hierzu werden die Systeme mit einem zusätzlichen Sicherheitsmodul ausgestattet, welches mittels kryptographischer Verfahren die Authentizität, Integrität und die Vertrauenswürdigkeit der Hard- und der Software nachprüfbar macht. Für die Umsetzung ist ein sicheres Betriebssystem zwingend erforderlich, da die Überprüfung des Systems nicht vom Sicherheitsmodul sondern vom Betriebssystem initiiert werden muss. Sicherheitsmodul des TSN Das Sicherheitsmodul bietet mittels eines One Time Programmable (OTP)-Speicher einen sicheren Anker (Root Key) für eine vertrauenswürdige Authentifizierung, Identifizierung und Überprüfbarkeit des Systems. Es befindet sich zwischen dem AMBA-Bus und dem internen Flash und überwacht alle Zugriffe auf den Flashspeicher und hat Zugriff auf den Programmzähler des LEON2-Kerns. Damit besteht die Möglichkeit festzustellen, von welchem Programmmodul aus auf den Flashspeicher zugegriffen wird. Unerlaubte Zugriffe auf den Flash und den OTP können blockiert werden. Durch die Sicherung des internen Flashspeichers mittels des Sicherheitsmoduls kann dieser als Trusted Code Base verwendet werden. Der OTP-Speicher wird für die Speicherung von eindeutigen Identifikatoren verwendet. Eine genauere Beschreibung hierzu erfolgt in den nächsten Abschnitten. 82
Seite 2 und 3:
BSI, Bonn IHP, Frankfurt (Oder) Abs
Seite 4 und 5:
Inhaltsverzeichnis 1 Einleitung 13
Seite 6:
Abschlussbericht Trusted Sensor Nod
Seite 10 und 11:
Abbildungsverzeichnis 1.1 Anwendung
Seite 12:
Listings 2.1 Beispielcode zum Anspr
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32: Abschlussbericht Trusted Sensor Nod
Seite 74 und 75: 5 Simulation und Messergebnisse 5.1
Seite 78 und 79: 6 Future Work In diesem Abschnitt w
Seite 116 und 117: Abkürzungsverzeichnis AES Advanced
Seite 118 und 119: Literaturverzeichnis [1] J. Abraham
Alle anzeigen

Abschlussbericht

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?