1 53 Table of Contents 55 68

EMB_79

EMBEDDED FEBBRAIO 54 SOFTWARE | SECURE GATEWAY importante per garantire la protezione e la sicu- ' = À 9 componenti software di un SG. L’ambiente applicativo è composto da applica- zioni non critiche che non richiedono necessaria- mente caratteristiche di sicurezza e protezione. I servizi di sicurezza sono utilizzati per garantire la riservatezza e l’integrità dei messaggi scam- biati tra i componenti interni dei SG o tra le ECU À &' Infatti, i SG sono sistemi a criticità mista, in cui le operazioni vengono eseguite con diversi requi- siti di sicurezza e protezione. I SG andrebbero progettati in modo da garantire che l’esecuzione di applicazioni non attendibili non comprometta l’esecuzione delle altre. Ciò può essere ottenuto grazie alle proprietà di separazione offerte dai kernel a separazione. Kernel a separazione I kernel a separazione offrono funzionalità avan- zate agli sviluppatori software di sistemi em- bedded che devono: garantire che i componenti software eterogenei siano privi di interferenze; Á ‘ sistema di comunicazione dell’automobile in con- formità ai requisiti di sicurezza e protezione. Un kernel a separazione ben progettato deve garan- tire che gli errori all’interno di un processo non si propaghino nell’intero sistema: ciò è fattibile con- À À '  è costituito da compartimen- ti denominati “partizioni”, in ciascuno dei quali è in esecu- zione un processo. Un pro- cesso in esecuzione in una partizione può essere compo- ~ Á - &' = non è garantita all’interno di una partizione, ma lo è tra partizioni diverse. I prin- cipali vantaggi del kernel a separazione sono i seguenti: agisce come contenitore di errori; consente l’esecuzione senza interferenze di diversi processi critici su un’unica piattaforma hardware; ga- rantisce la riservatezza dei dati sensibili; integra 2 À - ro sistema. I sistemi operativi, che non utilizzano la separa- ) ! À ! À Á - cuzione non deterministici. Ciò può avere gravi conseguenze sui sistemi di controllo elettronico, in particolare se parliamo di un autoveicolo. Un kernel a separazione progettato per essere uti- lizzato in sistemi critici, come i SG, deve sempre garantire che le risorse di calcolo e di memoria siano disponibili per ogni processo in esecuzione in una partizione. Un’altra importante proprietà dei sistemi operativi orientati alla sicurezza è la prevenzione degli attacchi DoS (Denial of Ser- ! À &' + ! vengono evitati assegnando a ciascun processo 1 2 À e memoria. Inoltre, l’allocazione statica delle ri- sorse in termini di tempo garantisce che ogni pro- 2 À temporale. Ciò preserva l’integrità dei processi, evitandone l’esecuzione al di fuori della rispetti- À ' I requisiti principali dei SG sono: tempo reale, ! ! À ) 2 ' L’architettura a microkernel, introdotta in alcu- ni kernel a separazione come il sistema real-time INTEGRITY [3] di Green Hills Software , ga- rantisce che il kernel sia facile da collaudare e ve- À ! ) ' Fig. 3 – Architettura a microkernel di separazione

RkJQdWJsaXNoZXIy MTg0NzE=