Abschlussbericht
Abschlussbericht
Abschlussbericht
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Abschlussbericht</strong><br />
Trusted Sensor Node<br />
Drivers Services Task<br />
µKern<br />
Memory<br />
Manager<br />
Loader<br />
external Flash<br />
internal Flash<br />
Boot Loader<br />
Signatures<br />
Abbildung 6.5: Trusted Boot eines L4-basierten Systems mit Signatur-basierter<br />
Modulauthentifizierung<br />
den. Das Framework enthält den Initial Boot Loader (IBL) und das Module Verification<br />
Module (MVM). Beide sind Bestandteil der TCB, um sie gegen spätere nicht autorisierte<br />
Änderungen zu schützen.<br />
Initial Boot Loader (IBL) Der IBL enthält die ersten Instruktionen für den LEON2-Prozessor.<br />
Nach einem Reset springt der Prozessor zunächst an die Startadresse des IBL. Im<br />
Bootloader erfolgt das Initialisieren des Prozessor-Caches, des Systemspeichers und des<br />
AMBA-Buses. Anschließend können weitere Module für das System geladen werden. Da<br />
der IBL automatisch vom System gestartet wird und nicht geladen werden muss, kann dieser<br />
Programmcode nicht vor dem Ausführen authentifiziert werden. Aus diesem Grund ist<br />
der IBL zwingender Bestandteil der TCB, so dass schreibende Zugriffe kontrolliert werden<br />
können.<br />
Module Verification Module (MVM) Das MVM stellt ein Application Programming Interface<br />
(API) für die Authentifizierung und Verifizierung von Programmmodulen bereit. Es<br />
verwendet hierfür das in den LEON2-Prozessor integrierte Crypto-Modul und den K root<br />
aus dem OTP-Speicher. Durch die Verwendung des MVM wird sichergestellt, dass die<br />
Überprüfung der Module einheitlich und sicher durchgeführt wird. Das MVM ist als fester<br />
Bestandteil in die TCB integriert, um so den Schutz vor Manipulation des MVM zu gewährleisten.<br />
Abbildung 6.5 zeigt beispielhaft eine mögliche Trusted Boot Chain für ein L4-basiertes<br />
System. Das System startet zunächst den Initial Boot Loader aus der TCB. Dieser lädt<br />
anschließend den Mikrokern, den Speicher-Manager und den Loader-Thread aus dem externen<br />
Flash. Die Module werden durch den IBL mittels des MVM verifiziert. Hierzu wird<br />
die im internen Flash angelegte Signaturdatenbasis verwendet. Anschließend kann die<br />
Programmkontrolle vom IBL an den Mikrokern bzw. den Loader übergeben werden. Dieser<br />
kann danach weitere Module, z.B. Geräte-Treiber, Netzwerk-Stack und Applikationen<br />
85