Architecture de sécurité dynamique pour systèmes
Architecture de s´ecurit´e dynamique pour syst`emes
multiprocesseurs int´egr´es sur puce
Jo¨el Porquet
To cite this version:
Jo¨el Porquet. Architecture de s´ecurit´e dynamique pour syst`emes multiprocesseurs int´egr´es sur
puce. Informatique [cs]. Universit´e Pierre et Marie Curie - Paris VI, 2010. Fran¸cais. <tel-
00574088>
HAL Id: tel-00574088
https://tel.archives-ouvertes.fr/tel-00574088
Submitted on 7 Mar 2011
HAL is a multi-disciplinary open access
archive for the deposit and dissemination of sci-
entific research documents, whether they are pub-
lished or not. The documents may come from
teaching and research institutions in France or
abroad, or from public or private research centers.
L’archive ouverte pluridisciplinaire HAL, est
destin´ee au d´epˆot et `a la diffusion de documents
scientifiques de niveau recherche, publi´es ou non,
´emanant des ´etablissements d’enseignement et de
recherche fran¸cais ou ´etrangers, des laboratoires
publics ou priv´es.
Thèse de doctorat de l’université
Pierre et Marie Curie - Paris VI
Spécialité Informatique
(École Doctorale Informatique, Télécommunication et Électronique)
Présentée par Joël Porquet
Pour obtenir le grade de
Docteur de l’université Pierre et Marie Curie
Architecture de sécurité dynamique
pour systèmes multiprocesseurs
intégrés sur puce
Soutenue le 13 décembre 2010, devant le jury composé de
M. Albert Cohen INRIA Rapporteur
M. Tanguy Risset INSA-Lyon Rapporteur
M. Jean-Claude Bajard Paris VI Examinateur
M. Renaud Pacalet Télécom ParisTech Examinateur
M. Bernard Kasser STMicroelectronics Examinateur
M. Christian Schwarz Nagravision Examinateur
M. Alain Greiner Paris VI Directeur de thèse
ii
iii
Résumé
Cette thèse présente l’approche multi-compartiment, qui autorise un co-hébergement
sécurisé et flexible de plusieurs piles logicielles autonomes au sein d’un même système
multiprocesseur intégré sur puce.
Dans le marché des appareils orientés multimédia, ces piles logicielles autonomes repré-
sentent généralement les intérêts des différentes parties prenantes. Ces parties prenantes
sont multiples (fabricants, fournisseurs d’accès, fournisseurs de contenu, utilisateurs, etc.)
et ne se font pas forcément confiance entre elles, d’où la nécessité de trouver une manière
de les exécuter ensemble mais avec une certaine garantie d’isolation. Les puces multimédia
étant matériellement fortement hétérogènes – peu de processeurs généralistes sont assistés
par une multitude de processeurs ou coprocesseurs spécialisés – et à mémoire partagée, il
est difficile voire impossible de résoudre cette problématique uniquement avec les récentes
techniques de co-hébergement (virtualisation).
L’approche multi-compartiment consiste en un nouveau modèle de confiance, plus
flexible et générique que l’existant, qui permet à des piles logicielles variées de s’exécu-
ter simultanément et de façon sécurisée sur des plateformes matérielles hétérogènes. Le
cœur de l’approche est notamment composé d’un mécanisme global de protection, respon-
sable du partage sécurisé de l’unique espace d’adressage et logiquement placé dans le réseau
d’interconnexion afin de garantir le meilleur contrôle. Cette approche présente également
des solutions pour le partage des périphériques, notamment des périphériques ayant une
capacité DMA, entre ces piles logicielles. Enfin, l’approche propose des solutions pour le
problème de redirection des interruptions matérielles, un aspect collatéral au partage des
périphériques.
Les principaux composants des solutions matérielles et logicielles proposées sont mis
en œuvre lors de la conception d’une plateforme d’expérimentation, sous la forme d’un
prototype virtuel. Outre la validation de l’approche, cette plateforme permet d’en mesurer
le coût, en termes de performance et de surface de silicium. Concernant ces deux aspects,
les résultats obtenus montrent que le coût est négligeable.
Mots-clés : sécurité, système multiprocesseur intégré sur puce, réseau sur puce, co-
hébergement logiciel, virtualisation, conception matérielle-logicielle, prototypage virtuel.
iv
Abstract
This thesis presents the multi-compartment approach. This approach enables a secure
and flexible co-hosting of multiple autonomous software stacks within a same multiproces-
sor system-on-a-chip.
In the field of multimedia oriented consumer devices, such autonomous software stacks
generally represent the assets of the different stakeholders. These stakeholders, chips and
set-top boxes manufacturers, network operators, content providers and customers, do not
necessarily trust each other. Hence, the requirement to find a means to execute those
software stacks together, while enforcing a certain degree of isolation. Multimedia chips
are heavily heterogeneous – a few general purpose processors are assisted by numerous
specialized processors or coprocessors – and follow a shared memory policy. These hardware
specificities make it difficult, and even impossible, to solve this problematic with recent co-
hosting techniques only (e.g. virtualization).
The multi-compartment approach consists in a new trust model, more flexible and
generic than the current ones. It allows various software stacks to run securely and simul-
taneously on heterogeneous hardware platforms. In particular, the core of the proposed
approach is composed of a global mechanism for protection. Such a mechanism is responsi-
ble for the secure sharing of the single address space and is placed within the interconnect to
ensure the best control. The multi-compartment approach also presents solutions for shar-
ing peripheral devices, and more precisely DMA capable devices, among software stacks.
Finally, the approach introduces solutions for the hardware interrupts redirection problem,
a collateral aspect to the peripheral devices sharing.
The main building blocks of the proposed hardware and software solutions are imple-
mented along with the conception of an experimental platform, under the form of a virtual
prototype. In addition to validating the approach, the platform is measured in terms of
cost, performance and hardware surface. Considering both aspects, the obtained results
show the cost is negligible.
Keywords: security, multiprocessor system-on-a-chip, network-on-chip, software co-hosting,
virtualization, hardware-software co-design, virtual prototyping.
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
1
/
124
100%
