Abschlussbericht

Weitere Magazine

Empfehlungen

Info

<strong>Abschlussbericht</strong> Trusted Sensor Node Drivers Services Task µKern Memory Manager Loader external Flash internal Flash Boot Loader Signatures Abbildung 6.5: Trusted Boot eines L4-basierten Systems mit Signatur-basierter Modulauthentifizierung den. Das Framework enthält den Initial Boot Loader (IBL) und das Module Verification Module (MVM). Beide sind Bestandteil der TCB, um sie gegen spätere nicht autorisierte Änderungen zu schützen. Initial Boot Loader (IBL) Der IBL enthält die ersten Instruktionen für den LEON2-Prozessor. Nach einem Reset springt der Prozessor zunächst an die Startadresse des IBL. Im Bootloader erfolgt das Initialisieren des Prozessor-Caches, des Systemspeichers und des AMBA-Buses. Anschließend können weitere Module für das System geladen werden. Da der IBL automatisch vom System gestartet wird und nicht geladen werden muss, kann dieser Programmcode nicht vor dem Ausführen authentifiziert werden. Aus diesem Grund ist der IBL zwingender Bestandteil der TCB, so dass schreibende Zugriffe kontrolliert werden können. Module Verification Module (MVM) Das MVM stellt ein Application Programming Interface (API) für die Authentifizierung und Verifizierung von Programmmodulen bereit. Es verwendet hierfür das in den LEON2-Prozessor integrierte Crypto-Modul und den K root aus dem OTP-Speicher. Durch die Verwendung des MVM wird sichergestellt, dass die Überprüfung der Module einheitlich und sicher durchgeführt wird. Das MVM ist als fester Bestandteil in die TCB integriert, um so den Schutz vor Manipulation des MVM zu gewährleisten. Abbildung 6.5 zeigt beispielhaft eine mögliche Trusted Boot Chain für ein L4-basiertes System. Das System startet zunächst den Initial Boot Loader aus der TCB. Dieser lädt anschließend den Mikrokern, den Speicher-Manager und den Loader-Thread aus dem externen Flash. Die Module werden durch den IBL mittels des MVM verifiziert. Hierzu wird die im internen Flash angelegte Signaturdatenbasis verwendet. Anschließend kann die Programmkontrolle vom IBL an den Mikrokern bzw. den Loader übergeben werden. Dieser kann danach weitere Module, z.B. Geräte-Treiber, Netzwerk-Stack und Applikationen 85
<strong>Abschlussbericht</strong> Trusted Sensor Node nachladen. Das Verifizieren der zu ladenden Module erfolgt durch Funktionen des MVM und kann für alle weiteren Module durch den zuvor authentifizierten Loader durchgeführt werden. Secure Update Der TSN ist für einen langjährigen Einsatz im Outdoor-Umfeld konzipiert und muss über eine Remote-Update-Fähigkeit verfügen. Hierzu können die für die Übertragung der Sensordaten zur Verfügung gestellten Kommunikationskanäle genutzt werden. Die Nutzung der von außen zugänglichen Schnittstellen bedingt jedoch eine umfangreiche Absicherung des Prozesses, um zu verhindern, dass dieser nicht ohne vorherige Autorisierung durchgeführt wird. Um einen möglichst flexiblen Einsatz des TSN zu ermöglichen, ist es notwendig, dass sowohl die Konfigurationsdaten als auch der Programmcode aktualisiert werden können. Im Folgenden werden Software-technische Mechanismen zur Bereitstellung eines sicheren Update-Dienstes beschrieben. Hierbei wird zwischen dem Update der Konfigurationsdaten und des Programmtextes des TSN unterschieden. Konfigurationsupdate Für einen flexiblen Einsatz des TSN ist es sinnvoll, die Konfigurationsdaten von dem Programmcode zu trennen. Dadurch kann der TSN durch Anpassen der Konfiguration in verschiedenen Anwendungsgebieten mit unterschiedlichen Umgebungsbedingungen eingesetzt werden. Außerdem ergibt sich hierdurch die Möglichkeit, die Konfigurationsdaten und den TSN erst beim Rollout 5 zusammenzuführen. In der aktuellen Architektur wird die Trennung von Programmtext und Konfiguration bereits durch die Einführung einer separaten Konfigurationskomponente realisiert. Allerdings sind die Daten aktuell noch fest in diese Komponente integriert. Eine Separierung innerhalb dieser Komponente ist noch vorzunehmen. Die Konfigurationsdaten des TSN umfassen aktuell die folgenden Informationen: • Kommunikationsschlüssel, • Tamper-Parameter und • Netzwerkparameter. Wie bereits einleitend erwähnt, bietet es sich an, die von außen zugänglichen Kommunikationsverbindungen für das Update nutzen. Zur Absicherung des Prozesses müssen die Daten kryptographisch gesichert werden. Hierfür können die Krypto-Module und der K root des TSN verwendet werden. 5 Rollout bezeichnet den Vorgang des Verteilens des Produktes beim Kunden bzw. der Inbetriebnahme im Einsatzszenario. 86
Seite 2 und 3:
BSI, Bonn IHP, Frankfurt (Oder) Abs
Seite 4 und 5:
Inhaltsverzeichnis 1 Einleitung 13
Seite 6:
Abschlussbericht Trusted Sensor Nod
Seite 10 und 11:
Abbildungsverzeichnis 1.1 Anwendung
Seite 12:
Listings 2.1 Beispielcode zum Anspr
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36: Abschlussbericht Trusted Sensor Nod
Seite 74 und 75: 5 Simulation und Messergebnisse 5.1
Seite 78 und 79: 6 Future Work In diesem Abschnitt w
Seite 116 und 117: Abkürzungsverzeichnis AES Advanced
Seite 118 und 119: Literaturverzeichnis [1] J. Abraham
Alle anzeigen

Abschlussbericht

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?