LynxSecure ist sowohl ein Separation Kernel als auch ein Hypervisor (SKH-Separation Kernel Hypervisor). Die Hypervisor-Funktion wahrt eine Abstraktionsschicht zwischen der Hardware des Zielsystems und den gehosteten Betriebssystemen samt dazugehöriger Sof

LynxSecure ist sowohl ein Separation Kernel als auch ein Hypervisor (SKH-Separation Kernel Hypervisor). Die Hypervisor-Funktion wahrt eine Abstraktionsschicht zwischen der Hardware des Zielsystems und den gehosteten Betriebssystemen samt dazugehöriger SofLynuxWorks

Ein RTOS, das offene Standards nutzt und Schnittstellen zu offenen Systemen (Open Systems Interfaces) unterstützt, erlaubt eine maximale Portierbarkeit von Open-Source-, Linux- und Solaris-Anwendungen auf das RTOS und vereinigt damit die besten Eigenschaften beider Welten.

Der Markt der COTS-Produkte wächst. Ein weiteres Wachstumsfeld sind Mehrkern-Prozessoren. Multicore-Processing hat enorme Auswirkungen auf die Entwicklung von Embedded-Systemen. Mit der Einführung von Multicore-Prozessoren in einem einzigen Chip können Betriebssysteme und Anwendungen höhere Rechenleistung nutzen und auf zusätzliche Computing-Ressourcen zugreifen, ohne Größe und Gewicht eines Systems merkbar zu erhöhen. Allerdings müssen während des Design-Prozesses zusätzliche Randbedingungen beachtet werden. Im Multicore-Computing werden die OS-Funktionen in unterschiedlichen Arbeitsebenen und mit komplexerer Struktur ausgeführt. Diese komplexen Parallelaufgaben sollte das Betriebssystem bewältigen können. Neben Interruptverarbeitung, Kernelscheduling und Locking müssen bei einem Echtzeitbetriebssystem auch Schlüsselfaktoren wie Prioritätssteuerung, Determinismus und Interruptlatenzzeit in Multicore-Architekturen beibehalten werden.

Bei sicherheitskritischen Anwendungen, die zunehmend an Bedeutung gewinnen, handelt es sich um zeit- und raumpartitionierte ARINC 653/DO-178B-Echtzeitbetriebssysteme. Diese gewährleisten die Trennung zwischen unterschiedlichen Partitionierungsanwendungen. Diese Partitionierung unterliegt ausführlichen Tests und Nachweisanforderungen als Teil des Zertifizierungsprozesses. Zertifizierungen sind kostspielige Projekte. Unternehmen können sich Fehler in einem späten Entwicklungsstadium oder während der Zertifizierung nicht leisten. Es ist eine große Herausforderung, den Zertifizierungsprozess reproduzierbar, effizienter und kostengünstiger zu gestalten.

Reproduzierbarer Zertifizierungsprozess

Zusätzlich zur Betriebssicherheit (Safety) verlangt der Markt zunehmend nach Angriffssicherheit (Security) – für SCADA-Systeme bis zu Endpoint-Sicherheitslösungen. In sicherheitskritischen Anwendungen kann es von entscheidender Bedeutung sein, dass eine Komponente vom Zugriff auf die Ressourcen einer anderen Komponente abgehalten wird. Separate Computer bieten eine sehr gute Isolation, zugunsten von Platzbedarf, Gewicht, Kostenfaktor, Leistung, Komplexität und Flexibilität.

Das RTOS LynxOS hat einen vollständig präemptiven, reentranten, multi threaded Kernel mit Funktionen wie Prioritätsvererbung, die sich sehr gut für den Einsatz in komplexen Echtzeit-Umgebungen eignen.

Das RTOS LynxOS hat einen vollständig präemptiven, reentranten, multi threaded Kernel mit Funktionen wie Prioritätsvererbung, die sich sehr gut für den Einsatz in komplexen Echtzeit-Umgebungen eignen.LynuxWorks

Die Embedded-Betriebssysteme von LynuxWorks basieren auf offenen Standards. Zur Betriebssystem-Familie gehört das POSIX-konforme hart-echtzeitfähige LynxOS, das nach DO-178B zertifizierte LynxOS-178 für sicherheitskritische Umgebungen und der Separation Kernel LynxSecure für High-Assurance-Computing-Umgebungen. Durch die Bereitstellung individueller COTS-Produkte, die für die jeweilige Spezifikation entworfen wurden, werden die spezifischen Anforderungen verschiedener Märkte adressiert. Im Gegensatz zu einem Produkt, das verschiedene konkurrierende Anforderungen zu erfüllen versucht und dabei auch versagt. Bei Bedarf können durch die Kooperation mit Partnern, die ergänzende Produkte anbieten, komplette Lösungen erstellt werden.

Das RTOS LynxOS hat einen vollständig präemptiven, reentranten, multi threaded Kernel mit Funktionen wie Prioritätsvererbung, die sich sehr gut für den Einsatz in komplexen Echtzeit-Umgebungen eignen. Das Betriebssystem nutzt ein UNIX-Prozessmodell, das auf offenen Standards beruht, POSIX-konform ist und POSIX-, Unix- und Linux-Systemschnittstellen unterstützt. Es bietet individuellen Adressraum-Schutz für Anwendung und Kernel, kritische Prüfungen von Grenz- und Systemaufrufparametern, RAS-Funktionalität (Zuverlässigkeit, Verfügbarkeit und Betriebsfähigkeit) einschließlich Ausfallsicherung auf Board-Ebene und Hot-Swap-Support (Austauschbarkeit im Betrieb) für missionskritische Anwendungen. Die Unterstützung all dieser Open-Systems-Interfaces erlaubt eine maximale Portabilität von Open-Source-, Linux- und Solaris-Anwendungen. Wichtig ist weiterhin eine Binärschnittstelle für Linux-Anwendungen, um diese unmodifiziert auf dem RTOS ausführen zu können. Unterstützt wird auch Multiprocessor- und Multicore-Betrieb mit Symmetric Multiprocessing (SMP).

Einsatz in komplexen Echtzeit-Umgebungen

Das nach DO-178B Level A zertifizierte sicherheitskritische LynxOS-178 bietet eine harte Partitionierung von Zeit, Speicher und Ressourcen. Es führt einen Zeitscheiben-Planungsalgorithmus aus, der jeder Partition zur Nutzung einer Ressource einen Zeitabschnitt von fester Länge zur Verfügung stellt, so dass das System deterministisch sicher ist. Außerdem können mehrere unterschiedlich kritische Anwendungen, innerhalb ihrer Partition, vollständig isoliert auf derselben Hardware laufen. Jede Aufgabe wird geschützt in ihrem eigenen Raum ausgeführt, innerhalb einer hart partitionierten Virtual-Machine, was zu einer einfacheren Anwendungszertifizierung beiträgt.

Separation Kernel als auch ein Hypervisor

LynxSecure ist sowohl ein Separation Kernel als auch ein Hypervisor (SKH – Separation Kernel Hypervisor). Die Hypervisor-Funktion wahrt eine Abstraktionsschicht zwischen der Hardware des Zielsystems und den gehosteten Betriebssystemen samt dazugehöriger Software. Die Separation-Kernel-Funktion partitioniert und isoliert die Hard- und Softwareressourcen voneinander. Ein Betriebssystem, das vom SKH gehostet werden soll, gilt als Subjekt nur in Kombination mit bestimmten Ressourcen, die ausreichen müssen, um vom SKH ausgeführt zu werden.

Mit LynxSecure können mehrere Subjekte auf derselben Hardware gleichzeitig ausgeführt werden, bei strikter Einhaltung von Richtlinien hinsichtlich Isolierung und Kontrolle des Informationsflusses. Das Betriebssystem erzwingt einen direkten Informationsfluss, was auch als Datendiode bezeichnet wird. Für die Erschaffung sicherer Anwendungen einschließlich domänenübergreifender Systeme, MILS- und MLS-Anwendungen, bildet dieses System eine sehr gute Grundlage.

Der LynxSecure SKH ist ein Typ-1-Hypervisor, der ohne weitere Software direkt auf der Hardware läuft. Ein Typ-1-Hypervisor benötigt kein Gast-OS und hat somit die komplette Kontrolle über alle Gastbetriebssysteme innerhalb separater virtueller Maschinen. Kundenspezifische Gerätetreiber sind nicht nötig, da der Hypervisor den Gastbetriebssystemen den Zugriff auf Hardware in genau der Weise ermöglicht, als würden sie im Standalone-Betrieb ausgeführt. Lediglich vorkonfigurierte Zugriffskontrollmaßnahmen werden ausgeführt.

Viele Virtualisierungstechnologien wirken sich bedeutsam auf das Preis-/Leistungsverhältnis aus. LynxSecure enthält Mechanismen, die die Leistungsbeeinträchtigung minimieren. Durch die geringere Anzahl erforderlicher Hardwaresysteme wird die Menge potenzieller Fehlerquellen reduziert. Einige der durch Hardwarekonsolidierung eingesparten Ressourcen könnten für redundante Systeme verwendet werden, um so die Zuverlässigkeit zu erhöhen. Das System unterstützt sowohl para- als auch voll-virtualisierte Subjekte. Als Para-Virtualisierung bezeichnet man die Modifizierung eines Subjekts, um es auf LynxSecure auszuführen. Unterstützt wird Symmetric Multi Processing (SMP) das als Multicore Separation Kernel Hypervisor betrieben wird. Die verwendeten Kerne sind über XML konfigurierbar. Die Subjekte können ebenfalls über XML konfiguriert werden für einen direkten Zugriff auf einen gegebenen Satz an Geräten und Host-Controllern.

LynxSecure unterstützt weiterhin eine schichtweise Konfigurierung. Mit dem Layered Configuration Tool kann die Konfigurierung in einem zweistufigen Prozess erfolgen. Dies ist nützlich, wenn dieselbe Hardwarekonfigurierung von unterschiedlichen Installationen genutzt wird und der Unterschied darin besteht, wie viele Subjekte eines bestimmten Typs benötigt und welche Geräte jedem Subjekt zugeordnet werden.

Aufbau eines Notebook-Laufwerks mit Eigenverschlüsselung für zum Beispiel sichere Unternehmensanwendungen.

Aufbau eines Notebook-Laufwerks mit Eigenverschlüsselung für zum Beispiel sichere Unternehmensanwendungen.LynuxWorks

LynuxWorks arbeitet mit einer Anzahl von Partnern zusammen, um eine möglichst umfassende Lösung zur Verfügung zu stellen. Dort wo es Sinn machte und genügend Synergien vorhanden waren, wurde Technologie dazugekauft, wie beispielsweise die Lösung ValidEdge MIS 1300 zur Automatisierung von Malware-Analysen und zum Verständnis der Anatomie eines Schadcodes. Mit den zur Verfügung gestellten Informationen über Malware kann schnell und wirkungsvoll auf einen Malware-Angriff reagiert werden.

MIS bildet den ursprünglichen Malware-Quellcode nach und analysiert ihn vollständig, statisch und dynamisch, damit der Anwender volle Kenntnis über das Schadprogramm erhält. Das ValidEdge-System erstellt einen Klassifizierungsbericht, der auf Vergleichen von realem Code basiert, nicht nur auf Verhaltensähnlichkeiten mit anderen bekannten Malware-Typen. Angeboten wird außerdem eine Reparaturlösung, um die Schäden rückgängig zu machen und den versteckten Code zu beseitigen.

Betriebssysteme für verschiedene Märkte

Die Embedded-Betriebssysteme von LynuxWorks basieren auf offenen Standards. Zur Betriebssystem-Familie gehört das POSIX-konforme hart-echtzeitfähige LynxOS, das nach DO-178B zertifizierte LynxOS-178 für sicherheitskritische Umgebungen und der Separation Kernel LynxSecure für High-Assurance-Computing-Umgebungen. Durch die Bereitstellung individueller COTS-Produkte, die für die jeweilige Spezifikation entworfen wurden, werden die spezifischen Anforderungen verschiedener Märkte adressiert.

Dr. Hamid Mirab

ist Managing Director EMEA bei LynuxWorks.

(ah)

Sie möchten gerne weiterlesen?