Towards multi-OS support on TrustZone-M MCUs

Abstract

The technological developments are helping to spread and strengthen embedded and IoT markets. As a consequence, more and more portable devices have become part of our daily routines, having access to private and personal information. Naturally, security has become one of the most important requirements of these systems. Other requirements include, for instance, portability and energy efficiency. These devices normally perform more than one function/action, and usually, for each of those functions, a full operating system is responsible for its data processing. So, to fulfil all the mentioned requirements, operating systems (Operating System (OS)es) are deployed on arm low-end platforms, with Armv8-M pushing towards the, de facto, microprocessors architecture. The processor features the TrustZone technology that divides the execution into two states; a secure (almighty), and a non-secure (with no privileges) state. The OSes have their execution supervised by a monitor software, the hypervisor, that also manages the memory used by each OS. Modern low-end hypervisors only allow executing two OSes, where the priorities and permissions to each can be configured, sometimes giving to some OS the same permissions as the software monitors. The security of the system can be compromised if this privileged OS is attacked and starts to corrupt the data from the other OS. For addressing this problem, this MSc thesis proposes a multi-OS hypervisor in which every OS is executed from the less privileged (non-secure) state while the inactive ones have their information secured. This security by separation (i.e. time and space partitioning) is assured by the TrustZone security extension that prevents the executing OS to access unauthorized third-party information. The hypervisor, with the TrustZone features, is responsible to perform the scheduler and change memory proprieties. The results presented a highly secure hypervisor, where the OSes are completely isolated from each other.

Os desenvolvimentos tecnológicos estão na base da difusão e fortalecimento dos mercados de sistemas embebidos e de IoT. Como consequência, cada vez mais dispositivos móveis passaram a fazer parte das nossas rotinas diárias, tendo acesso a informações pessoais e privadas. Naturalmente, a segurança tornou-se num dos requisitos mais importantes destes sistemas. Outros requisitos incluem, por exemplo, a portabilidade e a eficiência energética. Estes dispositivos normalmente executam mais do que uma função/ação e, geralmente, para a cada uma dessas funções, está associado um sistema operativo (SO) responsável pelo processamento dos dados. Portanto, para atender a todos os requisitos mencionados, os SOs são implantados numa plataforma de baixa gama da ARM (com a inovadora arquitetura para micropocessadores, ARMv8-M). O processador possui a tecnologia TrustZone que divide a sua execução em dois estados; um estado seguro (privilégios completos) e um não seguro (sem privilégios). Os SOs têm normalmente a execução supervisionada por um software de monitorização (hypervisor) que também gere a memória de cada SO. Os hipervisores low-end modernos permitem apenas a execução de dois SOs, nos quais as suas prioridades e permissões podem ser configuradas, por vezes, concedendo a alguns SOs as mesmas permissões que o software monitor. A segurança do sistema pode ser comprometida se este SO privilegiado for atacado e corromper os dados de terceiros. Esta dissertação propõe um hipervisor multi-OS no qual todos os SOs são executados no estado menos privilegiado (não seguro) enquanto que os inativos têm a sua informação protegida. Esta segurança por separação (partição espacial e temporal) é garantida através da TrustZone, que impede o SO em execução de aceder a informações privadas de terceiros. O hipervisor, utilizando os recursos da TrustZone, é responsável por executar o escalonador e alterar as propriedades da memória. Os resultados apresentaram um hipervisor altamente seguro, onde os SOs estão totalmente isolados entre si.