盧從娟

【摘要】 本文針對汽車電子嵌入式操作系統(tǒng)的隔離保護機制進行了簡要探討。

【關(guān)鍵詞】 汽車電子 嵌入式操作系統(tǒng) 隔離 分區(qū) 保護

本要做好汽車電子嵌入式操作系統(tǒng)的隔離保護，就需要根據(jù)實際中的有限的硬件條件與軟件資源，以符合汽車電子嵌入式操作系統(tǒng)操作系統(tǒng)與其應用，還有對應的工作和中斷服務流程等方面的隔離保護要求。汽車電子嵌入式操作系統(tǒng)的隔離保護機制可以高效地降低分頁數(shù)量，并增強汽車操作系統(tǒng)的性能與其內(nèi)部存儲空間的利用程度。應用了相應的隔離保護機制的汽車電子嵌入式操作系統(tǒng)可以在單獨的ECU系統(tǒng)中集成來源不同與安全級別不同的各類軟件。

一、汽車電子嵌入式操作系統(tǒng)的隔離保護機制的目標

為了符合汽車電子與其操作系統(tǒng)的實時性的特定要求，本文針對這一特定的應用領(lǐng)域的規(guī)范標準提出了一種將硬件平臺與軟件資源相結(jié)合的隔離保護機制，以分層的形式做到隔離保護。并且，這樣可充分發(fā)揮硬件平臺本身所具備的保護作用，減少隔離保護對于硬件資源的需求。同時，基于汽車電子嵌入式操作系統(tǒng)的軟件平臺，可以針對操作系統(tǒng)系統(tǒng)的安全性進行加強，滿足細粒度的隔離保護要求。

二、隔離保護機制的整體架構(gòu)

2.1 整體架構(gòu)

根據(jù)一般汽車電子嵌入式操作系統(tǒng)所采用的硬件設備，其隔離保護機制中的隔離保護一般包含了如下幾個層級：

1）第一級保護

第一級保護主要指的是對于汽車操作系統(tǒng)的保護，一般是以汽車所使用的處理器的運行模式為基礎，對于各類應用的訪問內(nèi)存的行為進行權(quán)限審核與控制，以將操作系統(tǒng)分區(qū)跟應用分區(qū)進行隔離，加強對于汽車操作系統(tǒng)的保護。

2）第二級保護

第二級保護主要指的是應用隔離，在實際中主要是針對各類應用的非操作系統(tǒng)訪問進行控制，并檢查其頁編號匹配與否，這樣可以做到將不同的應用分區(qū)進行隔離。

3）第三級保護

第三級保護主要指的是執(zhí)行體隔離，要實現(xiàn)應用分區(qū)的內(nèi)部隔離，就需要分離應用中的任務、中斷服務程序等不同執(zhí)行體所需要的棧空間為基礎進行隔離。

2.2 第一級保護與第二級保護

第一級保護與第二級保護是以MPU、MMU等硬件所支持的分頁方式為基礎的[1]。目前，各類處理器一般所使用的分頁地址轉(zhuǎn)換方式為如下過程：有效地址會在指令的執(zhí)行時生成，并與地址空間標識以及用來維護系統(tǒng)即時的應用分區(qū)號的PID寄存器相結(jié)合，然后將其生成的虛擬地址與TLB中的頁表項進行匹配、比較。每個TLB中的頁表項中含有實際頁地址、訪問權(quán)限數(shù)據(jù)與相應的物理分頁的TID號碼的記錄。當根據(jù)有效地址、地址空間標識、PID寄存器所生成的虛擬地址與TLB中的頁表項相匹配時，放可正常地進行地址轉(zhuǎn)換，最終產(chǎn)生實際物理地址。在汽車電子嵌入式操作系統(tǒng)的實際工作中，有可能產(chǎn)生不匹配的狀態(tài)有以下兩種：

1）在TLB中無法找到與之相匹配的有效頁地址

這種狀態(tài)通常會出現(xiàn)TLB未命中異常的情況。此時需要在該異常處理程序中進行TLB表項替換，即頁面置換。若在進行TLB表項替換后仍無法與找到該有效頁地址相匹配的頁表項，就表示被訪問的頁不存在。此時應當進入保護錯誤處理。

2）有效頁地址與TLB相匹配，但TLB中的TID無法與PID相匹配

這種狀態(tài)通常會出現(xiàn)TLB未命中異常的情況，也就是權(quán)限違例。此異常被用于實現(xiàn)不同應用分區(qū)之間的隔離，意味著出現(xiàn)了一個應用訪問其他應用私有頁面的情況。

對于以上情況，為做到第一級保護與第二級保護，可以把單獨的不可信的應用分區(qū)進行劃分，分成1個數(shù)據(jù)段以及1個代碼段。同時，將可信的應用與操作系統(tǒng)分區(qū)進行劃分，分成1個數(shù)據(jù)段與系統(tǒng)調(diào)用接口段、核心代碼段。最后將每個段都分配至分離的內(nèi)存頁面中去，以做到以MMU硬件所擁有的分頁機制為基礎的隔離保護。

2.3 第三級保護的分離棧策略

若在對于應用內(nèi)部的任務、中斷服務程序等不同執(zhí)行體之間的數(shù)據(jù)訪問的隔離中應用分頁，就必須劃分出獨立的內(nèi)存頁，以供不同執(zhí)行體的數(shù)據(jù)使用。如此一來，就會使得系統(tǒng)的資源消耗大大增加，并對系統(tǒng)的整體性能產(chǎn)生影響。所以，為了達到隔離保護分區(qū)內(nèi)部細粒度的要求，應當使用分離棧策略，也就是為不同的用戶、任務以及操作系統(tǒng)等提供獨立的棧以供使用。不過，這類獨立的棧并不需要獨立的內(nèi)存頁。在這些獨立的棧所屬的應用的數(shù)據(jù)頁面，只需要進行分配操作，而維護管理則通過操作系統(tǒng)來進行[2]。最終完成第三級的隔離保護。

三、結(jié)束語

在汽車電子嵌入式操作系統(tǒng)中應用相應的隔離保護機制，可以將不同來源、不同安全完整性的應用、軟件集合在一個ECU系統(tǒng)當中。這樣有助于實現(xiàn)整個系統(tǒng)符合高安全等級的要求，最終到達汽車電子控制系統(tǒng)對于安全性的要求。

參 考 文 獻

[1]James Stegen.數(shù)字隔離器：解決汽車xEV應用中的設計難題[J].世界電子元器件，2013，（5）

[2]曹銀波，張志永，沈康等.離子電流檢測系統(tǒng)的抗干擾設計[J].同濟大學學報（自然科學版），2012，40（9）