kernkonzept L4Re ISOLATION UND SCHUTZ IN MIKROKERNBASIERTEN SYSTEMEN kernkonzept 1

Transkript

1 kernkonzept L4Re ISOLATION UND SCHUTZ IN MIKROKERNBASIERTEN SYSTEMEN kernkonzept 1

2 kernkonzept Systeme mit höchsten Sicherheitsanforderungen trotzdem flexibel und nutzerfreundlich dank Mikrokernen der 3. Generation L4Re kernkonzept 2

3 INHALT MIKROKERNE Ursprung Historie MIKROKERNE, VIRTUELLE MASCHINEN, STATIC ISOLATION L4RE-SYSTEM ANWENDUNGEN kernkonzept 3

4 MONOLITHISCHES BETRIEBSSYSTEM Applications Applications Applications User Mode File Systems Network Stacks Privileged Mode Memory Management Processes Drivers Monolithic Operating System Hardware kernkonzept 4

5 MICROKERNEL-BASIERTES BETRIEBSSYSTEM Applications Applications Applications File Systems Network Stacks microkernel Memory Management Drivers Tasks Threads IPC User Mode Privileged Mode Hardware kernkonzept 5

6 MIKROKERNE HISTORIE 1. GENERATION ZIELE Strukturierung, Portabilität, Wartbarkeit OS Personalities: Kompatibilität zu älteren Systemen WEG Refactoring ERGEBNIS: ZU TEUER, ZU LANGSAM, ZU GROSS Mach, Workplace OS, OSF/1 WORKAROUND: COLOCATION kernkonzept 6

7 MIKROKERNE HISTORIE 2. GENERATION ZIELE Performance, Minimalismus WEG Neukonstruktion, Pfadminimierung ERGEBNISSE: SCHNELL, KLEIN, GUTE ISOLATION L3, L4, Fiasco, L4KA L4Linux, L4Env kernkonzept 7

8 UNTERDESSEN IN MONOLITHIA UND VIRTUALIA AUFGEHOLT IN HISTORISCHEN MIKROKERN-STÄRKEN Kompatibel: Multi-personality, virtuelle Maschinen Module Portabel Aber: immer größer WAS BLEIBT ÜBRIG? Isolation: Vertrauen in zeitliche / räumliche Trennung Minimalismus: Kleine TCB kernkonzept 8

9 MIKROKERNE HISTORIE 3. GENERATION ZIELE Isolation, Sicherheit Virtuelle Maschinen WEG Capabilities Kern-Resourcen-Verwaltung ERGEBNISSE: CAPABILITY SYSTEMS, MICROHYPERVISOR Eros, L4/Fiasco.OC, L4/Nova, sel4 L4Re, Genode OS kernkonzept 9

10 STATIC ISOLATION KERNELS VS. MIKROKERNE VS. HYPERVISOR DREI PUNKTE EINES SPEKTRUMS Isolation Flexibilität Kompatibilität MICROKERNEL Unterstützt sichere Kommunikation zwischen Partitionen HYPERVISOR Unterstützt unveränderte Gastsysteme, z.b. Windows NEUE MIKROKERNE / MICROHYPERVISOR KÖNNEN ALLES kernkonzept 10

11 WARUM KOMMUNIKATION / FLEXIBILITÄT? ERHÖHTE FLEXIBILITÄT GEGENÜBER STATISCHER ISOLATION Feld-Upgradefähigkeit Konfigurationsänderungen zur Boot-Zeit oder danach Nicht vertrauenswürdige dynamische Anwendungen unterstützt Nachgenutzte Treiber / Netzwerkstacks / Anwendungen Nutzer-installierbare Apps kernkonzept 11

12 L4Re: Capability-System auf Mikrokernbasis WEITERENTWICKELTE MIKROKERNSCHNITTSTELLE L4/Fiasco.OC ANPASSBARE UMGEBUNG FÜR SICHERE (NATIVE) ANWENDUNGEN L4Re UMFASSENDE HARDWAREUNTERSTÜTZUNG LINUX- UND ANDROID-UNTERSTÜTZUNG L4Linux für herkömmliche Anwendungen / Treiber kernkonzept 12

13 L4/FIASCO.OC MIKROKERN DER 3. GENERATION L4 MIT SICHERHEITSVERBESSERUNGEN Capability-System schützt alle Systemressourcen Namensraum und Zugriffsschutz für Kern- und Nutzerobjekte Schutz vor Kommunikation / Denial of Service durch Ressourcen-Erschöpfung Quota-System UMFASSENDE HARDWARE-UNTERSTÜTZUNG Virtualisierung, 64 bit, Multicore, ARM, x86 kernkonzept 13

14 L4Re L4 RUNTIME ENVIRONMENT FÜR NATIVE L4-ANWENDUNGEN Klein, vertrauenwürdig UMFASSENDE PROGRAMMIERUMGEBUNG C/C++, pthreads, Speicherverwaltung, Lader, Shared Libraries, Geräteverwaltung Vertrauenswürdige Fenstersystem-Komponente Scriptbare Initialisierungskomponente kernkonzept 14

15 L4LINUX LEGACY-UNTERSTÜTZUNG Wiederverwendung / Kapselung herkömmlicher Anwendungen Weniger vertrauenswürdiger Code kleinere TCB Linux, Android Gerätetreiber ( driver donor ) BINÄRKOMPATIBEL ZU BESTEHENDEN ANWENDUNGEN x86, ARM SMP-Unterstützung kernkonzept 15

16 ANWENDUNGEN VPN-SYSTEM SICHERES SMARTPHONE SMART METER kernkonzept 16

17 SICHERES SMARTPHONE kernkonzept 17

18 SMART METER kernkonzept 18

19 L4Re ZUSAMMENFASSUNG UND AUSBLICK AUSGEREIFTES MIKROKERNBASIERTES CAPABILITY- SYSTEM Vertrauenswürdige Systemplattform für sichere und Echtzeit-Systeme Heute verfügbar Kommerziell unterstützt und weiterentwickelt Open Source kernkonzept 19