Robustesse du logiciel embarqué multicouche par une approche réflexive: application à l'automobile

Lu, Caroline

14 December 2009

Les mécanismes de détection et de recouvrement d'erreur doivent être soigneusement sélectionnés pour les applications embarquées automobiles, principalement à cause de ressources limitées et de contraintes économiques. Cependant, des exigences de sûreté importantes, aggravées par la complexité croissante du logiciel, motive l'industrie automobile à chercher des solutions techniques pour améliorer la robustesse à l'exécution. Le défi est de concevoir une solution de tolérance aux fautes portable, flexible, à forte contraintes économique, en examinant différemment les techniques classiques de redondance et de diversification. Le principe directeur est de contrôler rigoureusement quelle information et quand elle est essentielle à récupérer; quelle instrumentation est nécessaire pour réaliser de la tolérance aux fautes et où il faut la placer dans le programme. La thèse propose une approche pour développer un logiciel de défense, tel un composant externe configurable, reposant sur l'observabilité et la contrôlabilité de mécanismes fournis par un standard d'architecture logicielle automobile émergent AUTOSAR.

[INFO] Computer Science

[INFO] Informatique

Tolérance aux fautes

Logiciel embarqué automobile

Réflexivité

Sécurités (immunité et innocuité) des architectures ouvertes à niveaux de criticité multiples : application en avionique

Laarouchi, Youssef

30 November 2009

La conception et le développement des applications critiques en avionique sont soumis à des contraintes strictes visant à assurer un niveau de confiance compatible avec les exigences de sécurité-innocuité (au sens safety) des tâches mises en Suvre. Ces contraintes induisent un accroissement considérable des coûts de production et de maintenance, ce qui rend le prix de revient de tels systèmes prohibitif. D'un autre côté, les composants sur étagère (Commercial Off-The-Shelf, COTS), matériels et logiciels, sont maintenant d'usage courant et offrent des services étendus pour un coût faible. Cependant, les COTS ne répondent pas aux contraintes d'innocuité exigées pour les tâches critiques ; de plus, ils présentent des vulnérabilités facilement exploitables par des attaques, les rendant incompatibles avec des exigences élevées de sécurité-immunité (au sens security). Il serait toutefois intéressant de profiter de tels composants dans un contexte avionique, mais en faisant en sorte qu'ils ne puissent affecter de façon préjudiciable les tâches critiques. Intégrer de tels composants dans les systèmes avioniques conduit donc à prendre en considération l'hétérogénéité des niveaux de confiance entre d'une part les applications critiques classiques, et d'autre part de nouvelles applications utilisant des composants sur étagère. Dans le cadre de cette thèse, nous proposons une architecture autorisant de telles interactions tout en préservant les propriétés de safety et security. La définition de cette architecture s'appuie sur le modèle Totel, et elle utilise la virtualisation afin de faciliter la mise en Suvre des mécanismes de tolérance aux fautes destinés à augmenter la crédibilité d'une application exécutée de façon répliquée sur des plateformes d'exécution COTS de niveau de confiance faible. Afin de valider notre approche, nous avons réalisé un prototype en nous appuyant sur deux cas d'étude identifiés avec Airbus et concernant tous deux des ordinateurs portables : un dédié à la maintenance et un au calcul du profil de décollage d'un avion.

[INFO] Computer Science

[INFO] Informatique

Systèmes critiques

Avionique

Multiniveaux d'intégrité

Tolérance aux fautes

Virtualisation

Test et Diagnostic de Fautes Dynamiques dans les Mémoires SRAM

Ney, Alexandre

29 September 2008

De nos jours, les mémoires sont présentes dans de nombreux circuits intégrés conçus pour des applications électroniques embarquées et occupent une majeure partie de la surface des systèmes sur puce (SoC). Ces mémoires deviennent donc les acteurs principaux du rendement de production. Or, une forte densité d'intégration associée à une complexité élevée des procédés de fabrications rendent ces mémoires toujours plus sensibles aux défauts de fabrications. Afin de mettre en évidence les défaillances survenant dans les mémoires, plusieurs méthodes de test existent. Ces solutions de test couramment utilisées pour les mémoires SRAM sont basées sur la détection de fautes statiques telles que les fautes de collage ou de couplage. Des algorithmes spécifiques, appelés algorithmes March, sont utilisés afin de mettre en évidence ce type de fautes. Cependant, ces solutions de test ne sont pas adaptées à la détection d'un nouveau type de faute apparaissant dans les technologies submicroniques. Ces fautes, appelées fautes dynamiques, sont principalement dues à des défauts de type " ouverts-résistif " et ne se manifestent que dans des configurations très spécifiques. En effet, une séquence d'opérations est nécessaire à la mise en évidence de ces fautes. Le premier objectif de cette thèse a été de proposer des solutions de test permettant la détection de fautes dynamiques dues à des défauts " ouverts-résistifs " dans le driver d'écriture et l'amplificateur de lecture. Une extension sur l'étude des comportements dynamiques face à des variations de procédés de fabrication dans le point mémoire a été proposée. Enfin, la seconde partie de cette thèse fournit de nouvelles solutions de diagnostic, capables de prendre en compte les fautes dynamiques d'une part, et proposant une détection précise des sites fautifs. Ces travaux ont été réalisés en collaboration avec la société Infineon basée à Sophia Antipolis spécialisée dans la conception de mémoires SRAM.

[SPI] Engineering Sciences

[SPI] Sciences de l'ingénieur

Mémoires SRAM

Test

Diagnostic

Conception en vue du diagnostic

Fautes Dynamiques

Test et évalutation de la robustesse de la couche fonctionnelle d'un robot autonome.

Chu, Hoang-Nam

01 September 2011

La mise en oeuvre de systèmes autonomes nécessite le développement et l'utilisation d'architectures logicielles multi-couches qui soient adaptées. Typiquement, une couche fonctionnelle renferme des modules en charge de commander les éléments matériels du système et de fournir des services élémentaires. Pour être robuste, la couche fonctionnelle doit être dotée de mécanismes de protection vis-à-vis de requêtes erronées ou inopportunes issues de la couche supérieure. Nous présentons une méthodologie pour tester la robustesse de ces mécanismes. Nous définissons un cadre général pour évaluer la robustesse d'une couche fonctionnelle par la caractérisation de son comportement vis-à-vis de requêtes inopportunes. Nous proposons également un environnement de validation basé sur l'injection de fautes dans le logiciel de commande d'un robot simulé. Un grand nombre de cas de tests est généré automatiquement par la mutation d'une séquence de requêtes valides. Les statistiques descriptives des comportements en présence de requêtes inopportunes sont analysées afin d'évaluer la robustesse du système sous test.

[INFO] Computer Science

[INFO] Informatique

NOUVELLES METHODES D'IMAGERIE HAUTE RESOLUTION POUR L'ANALYSE DES COMPOSANTS NANOELECTRONIQUES

Shao, Kai

02 October 2012

Ce travail de thèse a contribué au développement de la techniques de test par faisceau laser en mode d'absorption deux photons (TPA). Cette technique a plus spécifiquement été utilisée pour la détection de défauts et l'injection de fautes dans les circuits intégrés.

Technique laser TPA

détection de défauts

injection de fautes

Développement et étude d'un système d'exploitation tolérant aux défaillances pour système un multiprocesseur /

Gagnon, Nicolas,

January 1997

Mémoire (M.Eng.)--Université du Québec à Chicoutimi, 1997. / Document électronique également accessible en format PDF. CaQCU

Architecture pour la reconfiguration en temps réel des systèmes complexes / An architecture for real time reconfiguration of complex systems

Guadri, Ahmed

15 December 2009

Nous proposons une méthodologie de conception pour les systèmes de commande tolérants aux fautes en partant d’un modèle de base exhaustif pour le système complexe à superviser. En pratique, la modélisation exhaustive est réalisée grâce à un automate hybride enrichi par des paramètres quantifiant les défaillances possibles. Ceci permet de modéliser les défaillances partielles. Dans la phase hors ligne, ce système complexe est transformé en un système discret abstrait et exploitable selon des techniques dédiées. Un superviseur est alors construit selon les objectifs de fonctionnement.Lors du fonctionnement du système, l’occurrence d’une défaillance se traduit par l’invalidation de plusieurs comportements dans le modèle abstrait et l’introduction d’incertitudes. Par la suite, les modules de diagnostic et d’identification (qui ne rentrent pas dans l’objet de notre thèse) réduisent de façon progressive le modèle hybride au cours du temps. Afin de pouvoir mettre à jour le modèle discret abstrait, on a développé des algorithmes de calcul d’atteignabilité, de vérification et de génération de régions stabilisées.Pour pouvoir superviser un tel système, l’utilisation de méthodologies d’abstraction est nécessaire afin de transformer le modèle bas niveau exhaustif en un modèle discret approprié. Nous réalisons cette abstraction en proposant des algorithmes qui tiennent compte du contexte d’utilisation (objectifs, contraintes…). Lorsqu’une défaillance est détectée, la reconfiguration est déclenchée en essayant, au fur et à mesure de l’enrichissement du modèle abstrait, de réduire le fonctionnement du système défaillant dans un des schémas prédéfinis / We propose a methodology for the design of fault tolerant control systems for the supervision of complex systems. First, the system is exhaustively described through a hybrid automaton which is enriched with parameters that quantifies the possible complete or partial faults. In the offline stage, the complex system is abstracted into a useful discrete event system with dedicated approaches. After, a supervisor is designed according to the standard objectives.In the online stage, fault detection can be interpreted by prohibiting some behaviours and introducing uncertainties. Thereafter, the diagnosis and identification modules (that are not treated in this work) reduce progressively the hybrid system. In order to update the abstract model, we developed some algorithms for reachability calculus, verification and generation of stabilized regions.In order to supervise the faulty system, the use of abstraction methodologies is necessary in order to transform the low level exhaustive model into an abstract and appropriate model. This abstraction is realized through algorithms that takes into account the abstraction context (objectives, constraints…). When a fault is detected, the reconfiguration is triggered by trying, as the abstract model is enriched, to reduce the behaviour of the faulty system into a preconceived model

Tolérance aux fautes

Reconfiguration

Sûreté de fonctionnement

Abstraction

Systèmes hybrides

Fault tolerance

Reconfiguration

Safety

Abstraction

Hybrid systems

Etude de la migration de tâches dans une architecture multi-tuile. Génération automatique d'une solution basée sur des agents / Study of task migration in a multi-tiled architecture. Automatic generation of an agent based solution

Elantably, Ashraf

16 December 2015

Les systèmes multiprocesseurs sur puce (MPSoC) mis en oeuvre dans les architecturesmulti-tuiles fournissent des solutions prometteuses pour exécuter des applicationssophistiquées et modernes. Une tuile contient au moins un processeur, unemémoire principale privée et des périphériques nécessaires associés à un dispositifchargé de la communication inter-tuile. Cependant, la fiabilité de ces systèmesest toujours un problème. Une réponse possible à ce problème est la migrationde tâches. Le transfert de l’exécution d’une tâche d’une tuile à l’autre permet degarder une fiabilité acceptable de ces systèmes. Nous proposons dans ce travail unetechnique de migration de tâches basée sur des agents. Cette technique vise lesapplications de flot de données en cours d’exécution sur des architectures multituiles.Une couche logicielle “middleware” est conçue pour supporter les agentsde migration. Cette couche rend la solution transparente pour les programmeursd’applications et facilite sa portabilité sur architectures multi-tuiles différentes. Afinque cette solution soit évolutive, une chaîne d’outils de génération automatique estconçue pour générer les agents de migration. Grâce à ces outils, ces informationssont extraites automatiquement des graphes de tâches et du placement optimisésur les tuiles du système. L’algorithme de migration est aussi détaillé, en montrantles phases successives et les transferts d’information nécessaires. La chaîne d’outilsest capable de générer du code pour les architectures ARM et x86. Cette techniquede migration de tâche peut être déployée sur les systèmes d’exploitation quine supportent ni chargement dynamique ni unité de gestion mémoire MMU. Lesrésultats expérimentaux sur une plateforme x86 matérielle et une plateforme ARMde simulation montrent peu de surcoût en terme de mémoire et de performance, cequi rend cette solution efficace. / Fully distributed memory multi-processors (MPSoC) implemented in multi-tiled architectures are promising solutions to support modern sophisticated applications, however, reliability of such systems is always an issue. As a result, a system-level solution like task migration keeps its importance. Transferring the execution of a task from one tile to another helps keep acceptable reliability of such systems. A tile contains at least one processor, private main memory and associated peripherals with a communication device responsible for inter-tile communications. We propose in this work an agent based task migration technique that targets data-flow applications running on multi-tiled architectures. This technique uses a middleware layer that makes it transparent to application programmers and eases its portability over different multi-tiled architectures. In order for this solution to be scalable to systems with more tiles, an automatic generation tool-chain is designed to generate migration agents and provide them with necessary information enabling them to execute migration processes properly. Such information is extracted automatically from application(s) task graphs and mapping on the system tiles. We show how agents are placed with applications and how such necessary information is generated and linked with them. The tool-chain is capable of generating code for ARM and x86 architectures. This task migration technique can be deployed on small operating systems that support neither MMU nor dynamic loading for task code. We show that this technique is operational on x86 based real hardware platform as well as on an ARM based simulation platform. Experimental results show low overhead both in memory and performance. Performance overhead due to migration of a task in a typical small application where it has one predecessor and one successor is 18.25%.

Migration de tâches

Architectures de mémoire distribuées

La tolérance aux fautes

Task migration

Distributed architectures

Fault tolerance

620

Performance et fiabilité des protocoles de tolérance aux fautes / Towards Performance and Dependability Benchmarking of Distributed Fault Tolerance Protocols

Gupta, Divya

18 March 2016

A l'ère de l’informatique omniprésente et à la demande, où les applications et les services sont déployés sur des infrastructures bien gérées et approvisionnées par des grands groupes de fournisseurs d’informatique en nuage (Cloud Computing), tels Amazon,Google,Microsoft,Oracle, etc, la performance et la fiabilité de ces systèmes sont devenues des objectifs primordiaux. Cette informatique a rendu particulièrement nécessaire la prise en compte des facteurs de la Qualité de Service (QoS), telles que la disponibilité, la fiabilité, la vivacité, la sureté et la sécurité,dans la définition complète d’un système. En effet, les systèmes informatiques doivent être résistants aussi bien aux défaillances qu’aux attaques et ce, afin d'éviter qu'ils ne deviennent inaccessibles, entrainent des couts de maintenance importants et la perte de parts de marché. L'augmentation de la taille et la complexité des systèmes en nuage rend de plus en plus commun les défauts, augmentant la fréquence des pannes, et n’offrant donc plus la Garantie de Service visée. Les fournisseurs d’informatique en nuage font ainsi face épisodiquement à des fautes arbitraires, dites Byzantines, durant lesquelles les systèmes ont des comportements imprévisibles.Ce constat a amené les chercheurs à s’intéresser de plus en plus à la tolérance aux fautes byzantines (BFT) et à proposer de nombreux prototypes de protocoles et logiciels. Ces solutions de BFT visent non seulement à fournir des services cohérents et continus malgré des défaillances arbitraires, mais cherchent aussi à réduire le coût et l’impact sur les performances des systèmes sous-jacents. Néanmoins les prototypes BFT ont été évalués le plus souvent dans des contextes ad hoc, soit dans des conditions idéales, soit en limitant les scénarios de fautes. C’est pourquoi ces protocoles de BFT n’ont pas réussi à convaincre les professionnels des systèmes distribués de les adopter. Cette thèse entend répondre à ce problème en proposant un environnement complet de banc d’essai dont le but est de faciliter la création de scénarios d'exécution utilisables pour aussi bien analyser que comparer l'efficacité et la robustesse des propositions BFT existantes. Les contributions de cette thèse sont les suivantes :Nous introduisons une architecture générique pour analyser des protocoles distribués. Cette architecture comprend des composants réutilisables permettant la mise en œuvre d’outils de mesure des performances et d’analyse de la fiabilité des protocoles distribués. Cette architecture permet de définir la charge de travail, de défaillance, et l’injection de ces dernières. Elle fournit aussi des statistiques de performance, de fiabilité du système de bas niveau et du réseau. En outre, cette thèse présente les bénéfices d’une architecture générale.Nous présentons BFT-Bench, le premier système de banc d’essai de la BFT, pour l'analyse et la comparaison d’un panel de protocoles BFT utilisés dans des situations identiques. BFT-Bench permet aux utilisateurs d'évaluer des implémentations différentes pour lesquels ils définissent des comportements défaillants avec différentes charges de travail.Il permet de déployer automatiquement les protocoles BFT étudiés dans un environnement distribué et offre la possibilité de suivre et de rendre compte des aspects performance et fiabilité. Parmi nos résultats, nous présentons une comparaison de certains protocoles BFT actuels, réalisée avec BFT-Bench, en définissant différentes charges de travail et différents scénarii de fautes. Cette réelle application de BFT-Bench en démontre l’efficacité.Le logiciel BFT-Bench a été conçu en ce sens pour aider les utilisateurs à comparer efficacement différentes implémentations de BFT et apporter des solutions effectives aux lacunes identifiées des prototypes BFT. De plus, cette thèse défend l’idée que les techniques BFT sont nécessaires pour assurer un fonctionnement continu et correct des systèmes distribués confrontés à des situations critiques. / In the modern era of on-demand ubiquitous computing, where applications and services are deployed in well-provisioned, well-managed infrastructures, administered by large groups of cloud providers such as Amazon, Google, Microsoft, Oracle, etc., performance and dependability of the systems have become primary objectives.Cloud computing has evolved from questioning the Quality-of-Service (QoS) making factors such as availability, reliability, liveness, safety and security, extremely necessary in the complete definition of a system. Indeed, computing systems must be resilient in the presence of failures and attacks to prevent their inaccessibility which can lead to expensive maintenance costs and loss of business. With the growing components in cloud systems, faults occur more commonly resulting in frequent cloud outages and failing to guarantee the QoS. Cloud providers have seen episodic incidents of arbitrary (i.e., Byzantine) faults where systems demonstrate unpredictable conducts, which includes incorrect response of a client's request, sending corrupt messages, intentional delaying of messages, disobeying the ordering of the requests, etc.This has led researchers to extensively study Byzantine Fault Tolerance (BFT) and propose numerous protocols and software prototypes. These BFT solutions not only provide consistent and available services despite arbitrary failures, they also intend to reduce the cost and performance overhead incurred by the underlying systems. However, BFT prototypes have been evaluated in ad-hoc settings, considering either ideal conditions or very limited faulty scenarios. This fails to convince the practitioners for the adoption of BFT protocols in a distributed system. Some argue on the applicability of expensive and complex BFT to tolerate arbitrary faults while others are skeptical on the adeptness of BFT techniques. This thesis precisely addresses this problem and presents a comprehensive benchmarking environment which eases the setup of execution scenarios to analyze and compare the effectiveness and robustness of these existing BFT proposals.Specifically, contributions of this dissertation are as follows.First, we introduce a generic architecture for benchmarking distributed protocols. This architecture, comprises reusable components for building a benchmark for performance and dependability analysis of distributed protocols. The architecture allows defining workload and faultload, and their injection. It also produces performance, dependability, and low-level system and network statistics. Furthermore, the thesis presents the benefits of a general architecture.Second, we present BFT-Bench, the first BFT benchmark, for analyzing and comparing representative BFT protocols under identical scenarios. BFT-Bench allows end-users evaluate different BFT implementations under user-defined faulty behaviors and varying workloads. It allows automatic deploying these BFT protocols in a distributed setting with ability to perform monitoring and reporting of performance and dependability aspects. In our results, we empirically compare some existing state-of-the-art BFT protocols, in various workloads and fault scenarios with BFT-Bench, demonstrating its effectiveness in practice.Overall, this thesis aims to make BFT benchmarking easy to adopt by developers and end-users of BFT protocols.BFT-Bench framework intends to help users to perform efficient comparisons of competing BFT implementations, and incorporating effective solutions to the detected loopholes in the BFT prototypes. Furthermore, this dissertation strengthens the belief in the need of BFT techniques for ensuring correct and continued progress of distributed systems during critical fault occurrence.

Fiabilité

Performance

Protocoles de tolérance

Fautes

Dependability

Performance

Fault tolerance protocols

Fault

004

Etude et implémentation de contre-mesures matérielles pour la protection de dispositifs de cryptographie ECDSA / Studies and implementation of hardware countermeasures for ECDSA cryptosystems

Dubeuf, Jérémy

03 May 2018

La sécurité de l'information repose étroitement sur les circuits intégrés (CI). Malheureusement, les CIs sont soumis à de nombreuses menaces telles que les attaques par canaux auxiliaires ou par injection de fautes. Ce travail se concentre sur les petites vulnérabilités et les contremesures liées à l’algorithme ECDSA. La motivation est qu’une source de vulnérabilité peut être utilisée dans différent scénario d’attaque. En corrigeant la vulnérabilité, les attaques existantes sont évitées mais également les attaques non découvertes ou non publiées utilisant la vulnérabilité en question. De plus, bien que le scalaire sur courbe elliptique soit au cœur de la sécurité de tous les schémas cryptographiques à base de courbe elliptique, l’ensemble du système a besoin d’être sécurisé. Une vulnérabilité concernant simplement quelques bits de secret peut suffire à récupérer la clef privée et donc doit être évité.L’ECDSA peut être implémenté de différentes façons, en logiciel ou via du matériel dédié ou un mix des deux. De nombreuses architectures différentes sont donc possibles pour implémenter un système à base d’ECDSA. Pour cette raison, ces travaux se concentrent principalement sur les contremesures algorithmiques. / Information security heavily relies on integrated circuits (ICs). Unfortunately, ICs face a lot of threats such as side channel or fault attacks. This work focuses on small vulnerabilities and countermeasures for the Elliptic Curve Digital Signature Algorithm (ECDSA). The motivation is that leakage sources may be used in different attack scenarios. By fixing the leakage, existing attacks are prevented but also undiscovered or non-disclosed attacks based on the leakage. Moreover, while the elliptic curve scalar algorithm is at the heart of the security of all elliptic curve related cryptographic schemes, all the ECDSA system needs security. A small leakage of few secret bits may conduct to fully disclose the private key and thus should be avoided.The ECDSA can be implemented in different flavors such as in a software that runs on a microcontroller or as a hardware self-contained block or also as a mix between software and hardware accelerator. Thus, a wide range of architectures is possible to implement an ECDSA system. For this reason, this work mainly focuses on algorithmic countermeasures as they allow being compliant with different kinds of implementations.

Cryptosystèmes

Attaques

Contremesures

Matériel

Laser

Fautes

Cryptosystems

Attacks

Countermeasures

Hardware

Laser

Faults

620