Uma arquitetura de segurança para sistemas embarcados virtualizados

Abstract

Historicamente os sistemas embarcados (SE) eram desenvolvidos para realizar uma única tarefa em toda a sua vida. Entretanto, esta visão mudou com o novo paradigma da computação chamado Internet das Coisas ou IoT. Um ambiente onde a IoT pode ser aplicada são as cidades inteligentes por meio da criação de produtos como, por exemplo, os postes inteligentes. Assim, os postes inteligentes podem ser responsáveis não só pela iluminação da cidade, mas encarregados também pelo controle de câmeras de segurança, além de sensores de temperatura e ruído. Neste cenário, a técnica de virtualização em SE surge para contribuir no desenvolvimento de dispositivos IoT, pois permite uma melhor utilização dos recursos disponíveis nos SE além de auxiliar para o aumento da segurança. A segurança dos SE tem sido negligenciada e os SE voltados para IoT têm atraído ataques maliciosos, visto que, desempenham um papel central no funcionamento de serviços essenciais para as pessoas e empresas. O objetivo deste trabalho é identificar um conjunto de mecanismos de segurança que utilizam técnicas de criptografia que, combinados com a técnica de virtualização, possam estabelecer uma arquitetura de segurança para os SE virtualizados (SEV) voltados para IoT. Assim, estabelecendo um nível de confiança mínimo entre os usuários e os SEV.Além disso, foram implementados dois mecanismos de segurança no prplHypervisor: a verificação de integridade e a introspecção das hypercalls do sistema convidado. Os resultados mostram que para um sistema convidado com tamanho de 256kB o mecanismo de verificação de integridade impôs um tempo de atraso na inicialização de 150,33ms enquanto o mecanismo de introspecção impôs 10,57ms de atraso na inicialização. Foram adicionados 2.029 linhas de código ao prplHypervisor para realizar a verificação de integridade e 120 linhas de código para implementar o mecanismo de introspecção. O tamanho final do prplHypervisor possui 32kB o que representa um aumento de 53% em relação ao código original. Todavia, o crescimento não inviabiliza o uso dos mecanismos de segurança, dado que, a capacidade de armazenamento disponível na plataforma utilizada é de 2MB.

Historically embedded systems (ES) were designed to perform a single task throughout their lifetime. However, this view has changed with the new paradigm of computing called the Internet of Things or IoT. An example of environment where IoT can be applied are smart cities by creating products such as smart poles. Thus, smart poles can be responsible not only for city lighting, but also for the control of security cameras, in addition to temperature and noise sensors. In this scenario, the virtualization technique in ES appears to contribute to the development of IoT devices since it allows a better use of the available resources in the ES besides contributing to the increase of the security. ES security has been neglected and IoT oriented ES have attracted malicious attacks as they play a central role in the operation of essential services for individuals and enterprises. Therefore, the objective of this work is to identify a set of security mechanisms that use cryptography techniques that, combined with the virtualization technique, can establish a security architecture for IoT oriented virtualized ES (VES). Thus, establishing a minimum level of confidence between the users and the SEV. Two security mechanisms have been implemented in prplHypervisor: integrity checking and introspection of guest system hypercalls. The results show that for a guest system with a size of 256kB the integrity check mechanism imposed a 150.33ms initialization delay time while the introspection engine imposed 10.57ms of initialization delay. 2,029 lines of code have been added to the prplHypervisor to perform the integrity check and 120 lines of code to implement the introspection engine. The final size of the prplHypervisor has 32kB which represents a 53% increase over the original code. However, growth does not prevent the use of security mechanisms since the storage capacity available on the platform is 2MB.