Diese Arbeit behandelt die sichere Verteilung von Informationen in einem System mit verschiedenen Kritikalitätsstufen. Eine Möglichkeit, diese Security- und Safetyanforderungen zu erfüllen, ist die Einführung von strengen Regeln für die Kommunikation zwischen den einzelnen Anwendungen in den verschiedenen Stufen. Diese Regeln formen eine sogenannte "integrity policy". In vielen Anwendungsfällen ist es erforderlich unzuverlässige Daten einer niedrigen Stufe in einer höheren verwendet zu können. Ein Informationsfluss in dieser Richtung ist bei Verwendung einiger bekannter "integrity policies" nicht zulässig. Um dies zu ermöglichen, wird ein spezieller Mechanismus, genannt "Validation Middleware" benutzt, welcher die Zuverlässigkeit von Daten aufwertet, indem diese von diversen redundanter Datenquellen bezogen werden. Damit dies garantiert werden kann, wurden mehrere Voting-Algorithmen realisiert, die ein Kriterium für die Gültigkeit der Daten erzeugen. Die Eingangsdaten müssen nicht unbedingt gleich sein und können voneinander abweichen. Diese Algorithmen wurden unter Verwendung der "Time-Triggered System-on-Chip" Architektur entwickelt und evaluiert. Diese Architektur erzeugt eine räumliche und zeitliche Firewall zwischen den einzelnen Teilsystemen des System-on-Chip, indem sie das System in einzelne autonome Subsysteme, sogenannte "micro components", partitioniert. Diese Subsysteme sind über ein deterministisches Network-on-Chip verbunden, welches sogenannte "encapsulated communication channels" benutzt, um die Beeinträchtigung der Kanäle untereinander zu verhindern. Diese "encapsulated communication channels" senden Nachrichten zu einem vordefinierten Zeitpunkt von einem Sender an einen oder mehrere Empfänger. In dieser Arbeit werden die fehlertoleranten Mechanismen der "Validation Middleware" anhand eines Fallbeispiels getestet. Dieses Beispiel beschäftigt sich mit den Subsystemen ABS und Kilometerzähler eines Automobils.<br />Unsere Resultate zeigen, dass das deterministische Verhalten des Network-on-Chip und die räumliche und zeitliche Partitionierung der "encapsulated communication channels", kombiniert mit dem Benutzen von "Totel's integrity policy", eine geeignete Umgebung für eine Anwendung mit verschiedenen Kritikalitätsstufen erzeugt. Zusätzlich zeigen wir die Existenz einer Middleware im Time-Triggered System-on-Chip, welches einen aufwärts erfolgenden Informationsfluss ermöglicht.<br />
de
This thesis investigates on the secure sharing of information in a mixed-criticality system. Our approach to fulfil these safety and security requirements in such a system is to establish a set of strict rules for the communication between the tasks of the different integrity levels. These rules implement an integrity model and have to guarantee that the information flow between the criticality levels happens appropriately. In many applications it also might be required to use a piece of unreliable information from a low criticality level in a higher one. Communication in this direction is considered as illegal in many integrity models. Therefore a special mechanism is needed to upgrade the integrity of the data. This thesis introduces a mechanism called "Validation Middleware" which upgrades the reliability of data from diverse redundant sources. To achieve this goal, inexact voting techniques are realised which produce a trusted output and define a criteria for determining correct and incorrect from data which is not necessarily identical. These mechanisms were developed and studied in context of the Time-Triggered System-On-Chip architecture. This architecture provides a spatial and temporal firewall between each task by partitioning the system into single autonomous subsystems called the micro components. These subsystems are connected through a deterministic Network-on-Chip which uses so-called encapsulated communication channels to prevent the messages from interfering with each other. These encapsulated communication channels transport messages at a predefined point in time from a single source to one or more destinations. We tested the fault tolerance mechanisms inside the "Validation Middleware" by creating an application from the automotive context which compasses ABS and odometer subsystems.<br />Our results show that the deterministic behaviour of the Network-on-Chip and the temporal and spatial partitioning of the encapsulated communication channels, combined with the use of Totel's integrity policies, provides a suitable environment for the use in a mixed-criticality application. In addition, we point out the existence of a middleware in the Time-Triggered System-on-Chip architecture which enables upstream communication flows.
