探析汽車電子嵌入式操作系統(tǒng)的隔離保護(hù)機(jī)制

摘要：在機(jī)動(dòng)車的電子嵌入式操作系統(tǒng)中，隔離保護(hù)機(jī)制可以將來(lái)源以及完整性不一樣的應(yīng)用軟件整合到一致的ECU系統(tǒng)中以確保整合和軟件系統(tǒng)能夠達(dá)到標(biāo)準(zhǔn)的安全等級(jí)，以保障其次電子操作系統(tǒng)對(duì)于安全性的需求。當(dāng)然對(duì)于部分硬件設(shè)施不足而且對(duì)時(shí)間需求較高的其次電子嵌入式操作系統(tǒng)來(lái)說(shuō)，隔離保護(hù)機(jī)制的應(yīng)用的確存在一定的難度，因此為了確保加強(qiáng)隔離保護(hù)機(jī)制的性能，在開(kāi)發(fā)過(guò)程中一定要充分整合汽車的軟硬件資源，以提升隔離保護(hù)機(jī)制和汽車硬件系統(tǒng)的兼容性。

關(guān)鍵詞：汽車;電子嵌入式操作系統(tǒng);隔離保護(hù)機(jī)制

隨著我國(guó)科技和經(jīng)濟(jì)的飛速發(fā)展，機(jī)動(dòng)車的電子操作系統(tǒng)越來(lái)越完善，功能越來(lái)越多，同時(shí)也越來(lái)越復(fù)雜。而電子控制單元作為實(shí)現(xiàn)各系統(tǒng)之間通信和交互的重要設(shè)備，一輛汽車中會(huì)裝備八十個(gè)左右，這也是現(xiàn)代汽車的主要發(fā)展趨勢(shì)之一。而電子隔離保護(hù)機(jī)制作為保障汽車電子嵌入式操作系統(tǒng)安全性和可靠性的重要機(jī)制，近幾年隨著汽車電子操作系統(tǒng)的發(fā)展也變得愈發(fā)重要，人們對(duì)于電子隔離保護(hù)機(jī)制的需求和研究也在逐漸深入。

一、汽車電子嵌入式操作系統(tǒng)隔離保護(hù)機(jī)制的研究?jī)r(jià)值

汽車軟件系統(tǒng)可以被劃分為兩個(gè)部分，分別為操作系統(tǒng)和應(yīng)用系統(tǒng)。其中操作系統(tǒng)的作用是將系統(tǒng)內(nèi)核、存儲(chǔ)軟件、通信診斷軟件、輸入輸出控制以及外部設(shè)備的基礎(chǔ)模塊整合在依靠可靠的系統(tǒng)分區(qū)中。而在邏輯上，應(yīng)用層的軟件會(huì)劃分到不同的應(yīng)用中，部分應(yīng)用屬于非信賴、運(yùn)行模式為非特權(quán)模式的系統(tǒng)分區(qū)，而另一部分應(yīng)用則和操作系統(tǒng)一直，屬于可信賴而且在特權(quán)運(yùn)行模式的系統(tǒng)中。AUTOSAR規(guī)定了每個(gè)不同軟件之間的隔離保護(hù)以及基礎(chǔ)軟件和操作軟件之間的隔離保護(hù)機(jī)制，而且為了達(dá)成一定的安全限制，AUTOSAR也規(guī)定了根據(jù)程序數(shù)據(jù)、代碼以及棧不同的分段來(lái)分別對(duì)應(yīng)用、操作系統(tǒng)和執(zhí)行體這三個(gè)基本的隔離保護(hù)措施以及規(guī)范。

二、汽車電子嵌入式操作系統(tǒng)隔離保護(hù)機(jī)制的總體架構(gòu)

1、整體架構(gòu)。在根據(jù)其次電子嵌入式操作系統(tǒng)所配置的硬件設(shè)備中，其隔離保護(hù)機(jī)制中應(yīng)當(dāng)采用以下一個(gè)層級(jí)的隔離保護(hù)機(jī)制：首先是第一級(jí)別的隔離保護(hù)，主要是對(duì)汽車操作系統(tǒng)進(jìn)行保護(hù)，通常來(lái)說(shuō)，這一保護(hù)機(jī)制的基礎(chǔ)是汽車的處理器，并且對(duì)各種應(yīng)用訪問(wèn)內(nèi)存時(shí)所產(chǎn)生的權(quán)限進(jìn)行審核以及控制，對(duì)操作系統(tǒng)和應(yīng)用的分區(qū)進(jìn)行隔離，以確保汽車的操作系統(tǒng)能夠得到有效保護(hù)。其次是二級(jí)隔離保護(hù)，二極保護(hù)主要是應(yīng)用層的隔離，目標(biāo)是對(duì)各種應(yīng)用分區(qū)進(jìn)行隔離。最后則是三級(jí)隔離保護(hù)，也就是針對(duì)執(zhí)行體的隔離，以確保能夠?qū)?yīng)用分區(qū)進(jìn)行內(nèi)部隔離，需要對(duì)應(yīng)用中不同的執(zhí)行體所用到的?？臻g進(jìn)行隔離，其中包括了任務(wù)以及中斷服務(wù)程序，進(jìn)而確保實(shí)現(xiàn)從內(nèi)部隔離應(yīng)用分區(qū)這一目標(biāo)。這三類保護(hù)級(jí)別始終存在于操作系統(tǒng)的幾個(gè)大模塊中，這幾個(gè)功能模塊包括了系統(tǒng)的初始化、系統(tǒng)的管理和維護(hù)以及系統(tǒng)的異常處理。

2、一級(jí)和二級(jí)隔離保護(hù)。一級(jí)和二級(jí)隔離保護(hù)在MPU和MMU等支持的分頁(yè)方法為基礎(chǔ)展開(kāi)保護(hù)。如今大部分處理器所應(yīng)有的分頁(yè)地址轉(zhuǎn)化的過(guò)程如下：在指令執(zhí)行的過(guò)程中會(huì)生成一個(gè)有效地址，并且跟地址的空間標(biāo)識(shí)以及PID寄存器相融合，而PID寄存器主要是實(shí)現(xiàn)系統(tǒng)的實(shí)時(shí)分區(qū)號(hào)，進(jìn)而將實(shí)時(shí)分區(qū)號(hào)所形成的虛擬地址與TLB中所含有的頁(yè)表項(xiàng)也進(jìn)行匹配和比較，在各個(gè)TLB頁(yè)表項(xiàng)中會(huì)包含有訪問(wèn)權(quán)限的相關(guān)數(shù)據(jù)，實(shí)際頁(yè)的地址、對(duì)應(yīng)物理分頁(yè)的TID號(hào)碼等記錄。若是根據(jù)有效地址以及地址空間標(biāo)識(shí)和PID寄存器等所產(chǎn)生的虛擬地址和TLB中含有的頁(yè)表項(xiàng)能夠相匹配，那邊可以將地址有效轉(zhuǎn)換從而形成一個(gè)實(shí)際的物理地址。

在應(yīng)用到汽車電子嵌入式操作系統(tǒng)中時(shí)，很難出現(xiàn)每次都能正常匹配的情況，甚至?xí)霈F(xiàn)無(wú)法匹配的情況，這種情況幾乎可以分為兩種：首先是在TLB中無(wú)法找到有效頁(yè)的地址與之相匹配，這種情況通常會(huì)在TLB無(wú)法命中從而出現(xiàn)異常的情況，這時(shí)需要在異常處理程序中對(duì)TLB進(jìn)行轉(zhuǎn)換，也就是置換其頁(yè)面，若是TLB表項(xiàng)在被替換后依然出現(xiàn)找不到與之匹配的有效頁(yè)地址有關(guān)的頁(yè)表項(xiàng)，那說(shuō)明目標(biāo)訪問(wèn)頁(yè)是不存在的。而在這種條件下容易出現(xiàn)錯(cuò)誤保護(hù)的情況。其次則是TLB以及有效頁(yè)的地址能夠相互匹配，不過(guò)在TLB中的TID 無(wú)法和PID進(jìn)行匹配，這種情況通常發(fā)生在TLB出現(xiàn)無(wú)法命中的異常情況，也就是出現(xiàn)權(quán)限違反相關(guān)條例的情況，這種異常通常會(huì)用于隔離不同應(yīng)用的分區(qū)工作中，也就是說(shuō)發(fā)生了某應(yīng)用在訪問(wèn)別的應(yīng)用私有頁(yè)面的情況，如果TID是0的話，PID可能出現(xiàn)任何值都不會(huì)出現(xiàn)TLB沒(méi)有命中的異常情況，而這個(gè)特點(diǎn)應(yīng)用到操作系統(tǒng)分區(qū)的主要原因是方便操作系統(tǒng)能夠提供應(yīng)用的共享服務(wù)，因此為了不會(huì)出現(xiàn)處于使用者模式下應(yīng)用代碼非法訪問(wèn)操作系統(tǒng)的代碼以及數(shù)據(jù)空間，需要對(duì)TLB表項(xiàng)中的權(quán)限進(jìn)行充分的應(yīng)用，并且結(jié)合處理器的工作模式以及即將需要訪問(wèn)空間的數(shù)據(jù)、代碼以及屬性等等進(jìn)行控制，其中有六個(gè)權(quán)限信息位：第一個(gè)是特權(quán)模式下的可讀也就是SR;第二個(gè)是可寫也就是SW;第三個(gè)是可執(zhí)行也就是SX;第四個(gè)是用戶模式下的可讀也就是UR;第五個(gè)則是用戶模式下的可寫也就是UW;第六感則是用戶模式下的可執(zhí)行也就是UX。若是地址在轉(zhuǎn)換出現(xiàn)權(quán)限不匹配的話則會(huì)發(fā)生TLB權(quán)限違反相關(guān)條例的異常狀況。

而上述可能發(fā)生的狀況主要是為了對(duì)一級(jí)和二級(jí)隔離保護(hù)能夠有效實(shí)現(xiàn)，并且能夠劃分出獨(dú)立且不能信賴的應(yīng)用分區(qū)，具體可以分成兩個(gè)主要的部分，首先是數(shù)據(jù)段，而另一個(gè)則是代碼段。而且將應(yīng)用以及系統(tǒng)劃分成可信賴的分區(qū)也會(huì)分成兩個(gè)部分，第一個(gè)部分同樣是數(shù)據(jù)段，而第二個(gè)部分則是核心代碼段以及系統(tǒng)調(diào)用接口段。最后則是把每段分配到已經(jīng)進(jìn)行分離的內(nèi)存頁(yè)面進(jìn)而實(shí)現(xiàn)隔離保護(hù)機(jī)制的應(yīng)用，而該隔離保護(hù)機(jī)制的基礎(chǔ)便是MMU必須要具備的分頁(yè)機(jī)制。

3、三級(jí)隔離保護(hù)的分離棧措施。第三季隔離保護(hù)是以分頁(yè)機(jī)制以及處理器模式作為基礎(chǔ)，不過(guò)只能夠隔離開(kāi)操作系統(tǒng)以及應(yīng)用分區(qū)，或者對(duì)不同的應(yīng)用分區(qū)進(jìn)行隔離。若是將分機(jī)制頁(yè)應(yīng)用在隔離應(yīng)用內(nèi)部的不同執(zhí)行體之間的數(shù)據(jù)訪問(wèn)，就必須要給各個(gè)執(zhí)行體數(shù)據(jù)或者棧來(lái)提供完全不需要依存于任何系統(tǒng)的內(nèi)存頁(yè)，而這種樣的話也可能會(huì)出現(xiàn)造成系統(tǒng)負(fù)擔(dān)過(guò)大的情況，對(duì)于整個(gè)系統(tǒng)的正常運(yùn)轉(zhuǎn)和維持正常性能是非常不利的。因此利用分離棧的措施以達(dá)成對(duì)系統(tǒng)進(jìn)行保護(hù)的用途 ，也就是給操作系統(tǒng)，各個(gè)應(yīng)用的運(yùn)行任務(wù)以及各個(gè)用戶ISR以獨(dú)立的棧，不過(guò)所提供的這些棧并不會(huì)占據(jù)內(nèi)存頁(yè)，所分配的位置也是他們所屬應(yīng)用或者其內(nèi)核的數(shù)據(jù)，而且可以將整個(gè)操作系統(tǒng)進(jìn)行維護(hù)以達(dá)到三級(jí)隔離保護(hù)的目的。

與此同時(shí)，隔離保護(hù)也可能會(huì)出現(xiàn)潛在的錯(cuò)誤問(wèn)題，主要是在TLB未命中異常處理中發(fā)現(xiàn)應(yīng)用方法訪問(wèn);或者應(yīng)用非法訪問(wèn)操作系統(tǒng)產(chǎn)生權(quán)限違規(guī)的異常情況。其中OS調(diào)用保護(hù)HOOK函數(shù)會(huì)傳遞出錯(cuò)誤類型，因此需要根據(jù)錯(cuò)誤類型來(lái)選擇合理的解決措施。

三、結(jié)語(yǔ)

總的來(lái)說(shuō)，只有根據(jù)實(shí)際情況以及使用需求來(lái)利用好有限的汽車軟硬件資源，才能對(duì)汽車的電子嵌入式操作系統(tǒng)展開(kāi)有效的保護(hù)工作，進(jìn)而能夠充分滿足汽車操作系統(tǒng)所需求的安全性和穩(wěn)定性。汽車電子嵌入式操作系統(tǒng)的隔離保護(hù)機(jī)制能夠?qū)Ψ猪?yè)的數(shù)量起到充分降低和控制的效果，而且對(duì)于汽車整個(gè)操作系統(tǒng)性能的提高也是非常有幫助的，還能夠讓系統(tǒng)內(nèi)部的存儲(chǔ)空間得到最高效的利用，因此這樣的隔離保護(hù)機(jī)制有著非常廣闊的研究以及發(fā)展前景，必然也會(huì)對(duì)汽車行業(yè)的發(fā)展起到一定的促進(jìn)性作用，因此我們一定要加強(qiáng)對(duì)隔離保護(hù)機(jī)制的研發(fā)力度，大力扶持隔離保護(hù)機(jī)制的創(chuàng)新，確保我國(guó)的汽車行業(yè)水平能夠得到進(jìn)一步提升。

參考文獻(xiàn)：

[1]陳麗蓉，燕立明，羅蕾.汽車電子嵌入式操作系統(tǒng)的隔離保護(hù)機(jī)制[J].電子科技大學(xué)學(xué)報(bào)，2014，43（03）：450-456.

[2]盧從娟.探析汽車電子嵌入式操作系統(tǒng)的隔離保護(hù)機(jī)制[J].中國(guó)新通信，2015，17（15）：100.

[3]李偉. 高可靠嵌入式操作系統(tǒng)的構(gòu)建與配置研究[D].南京航空航天大學(xué)，2010.

作者簡(jiǎn)介：朱全勝（1994.10.25-）男，漢族，籍貫河北省滄州市，研究生學(xué)歷，研究方向——linux設(shè)備驅(qū)動(dòng)開(kāi)發(fā) 嵌入式軟件開(kāi)發(fā)