汽车电子嵌入式操作系统的隔离保护机制研究

汽车电子嵌入式操作系统的隔离保护机制研究

ID:11704535

大小:27.00 KB

页数:5页

时间:2018-07-13

汽车电子嵌入式操作系统的隔离保护机制研究_第1页
汽车电子嵌入式操作系统的隔离保护机制研究_第2页
汽车电子嵌入式操作系统的隔离保护机制研究_第3页
汽车电子嵌入式操作系统的隔离保护机制研究_第4页
汽车电子嵌入式操作系统的隔离保护机制研究_第5页
资源描述:

《汽车电子嵌入式操作系统的隔离保护机制研究》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、汽车电子嵌入式操作系统的隔离保护机制研究  受到经济发展和科技进步的推动,当前汽车电子操作系统的功能越来越多,也变得越来越复杂,一辆轿车中大约会装备八十个ECU,ECU即电子控制单元,它们之间会利用五中各种各样的总线系统进行通信和交互。隔离保护在确保汽车电子嵌入式操作系统可靠性和安全性方面发挥着重要的作用。近些年来,随着隔离保护机制的作用愈发明显,人们对它在汽车电子嵌入式操作系统中的研究也愈发深入。  一、汽车电子嵌入式操作系统的隔离保护机制的研究背景  软件分区分成两个部分,一部分是操作系统分区;另一部分是应用分区。操作系统的内核、负责进行存储的软件、进行通信诊断的软件、I/O控制、外设等

2、各种不同的基础软件模块它们存在于一个值得信赖的并且运行模式是特权模式的系统分区当中[1]。在逻辑上,应用层的软件部件被划分至各种不同的应用当中,某些应用属于不值得信赖的、运行模式不是特权模式的系统分区当中,而另外一些应用和操作系统同样,也是位于值得信赖的并且运行模式为特权模式的系统分区当中。AUTOSAR规定实现各个不同的软件间的隔离保护和基础软件和应用软件这两种软件间的隔离保护,此外,为达到一些安全限制的目的,AUTOSAR规定还根据程序数据、代码以及栈等不同的分段规定了对应用和操作系统以及执行体这三个级别的隔离保护规范。  二、汽车电子嵌入式操作系统的隔离保护机制的总体架构  总体架构 

3、 依据汽车电子嵌入式操作系统配置的硬件设备,它的隔离保护机制当中包含的隔离保护通常包含下面几个层级:首先,第一级的隔离保护,这一级保护指保护汽车的操作系统,通常而言,它的基础是汽车运用的处理器,审核和控制各种应用访问内存其行为进行的权限,隔离开操作系统与应用分区,保护汽车操作系统。其次,第二级的隔离保护,这一级保护指应用隔离,它主要控制各种应用非操作系统的访问,同时检查它的页编号是否匹配,从而隔离各种不同应用分区。最后,第三级的隔离保护,这一级保护指执行体隔离,达到对应用分区进行内部隔离的目的,需要分离应用当中各个不同的执行体会用到的栈空间,从而实现内部隔离应用分区的目标[2]。  这三个不

4、同保护级别的运行,始终贯穿于操作系统几大功能模块之中,这几个功能模块包括系统的初始化、管理和维护、异常处理。  第一级隔离保护和第二级隔离保护  第一级隔离保护和第二级隔离保护的基础是MPU与MMU等支持的分页方法。当前,各种处理器运用的分页地址的转化方式的过程为:指令执行的时候,有效地址会生成,同时跟地址的空间标识和PID寄存器进行结合,PID寄存器的功能是危害系统的实时分区号,然后把它形成的虚拟地址跟TLB当中包含的页表项来相互比较与匹配。各个TLB页表项当中都有访问权限的相关数据、实际页的地址、对应物理分页TID号码的相应记录。如果参照有效地址以及地址空间标识与PID寄存器等形成的虚拟

5、地址跟TLB当中包含的页表项两者是匹配的,那么就可以顺利的转换地址,从生成实际的物理地址[3]。  实际运用汽车电子嵌入式操作系统的时候,并非每次都是匹配的情况,还可能会有不匹配的情况,这种情况又可以分成两种:一是在TLB中找不到有效页的地址与它匹配,这种情况一般会发生在TLB没有命中出现异常的状况。这个时候要在这个异常处理的程序当中对TLB进行替换,也就是对页面进行置换。假如对TLB表项替换之后依旧找不到能够与这个有效页的地址匹配的相关的页表项,那么说明被访问的页是不存在的,这种条件下下要处理保护错误;二是TLB和有效页地址互相匹配,不过,TLB当中的TID不能跟PID匹配。这种情况一般会

6、发生在TLB没有命中的异常状况,即发生权限违例。这种异常状况会用在隔离不同应用的分区工作中,说明发生了某个应用访问另一些应用的私有页面的状况。当TID是0的时候,PID是任何一个值都不会出现TLB没有命中的异常,这个特性用在达到操作系统分区的目的,从而便于操作系统提供给应用共享的服务。为了避免处在使用者模式之下的应用代码非凡访问操作系统的代码和数据空间,应当充分利用处于TLB表项之中的权限为,同时结合处理器当前的工作模式和即将需要访问空间的数据、代码、属性来进行控制。有六个权限信息位:一是特权模式下可读即SR;二是可写即SW;三是可执行即SX;四是用户模式下可读即UR,五是可写即UW;六是可

7、执行即UX。如果地址在转换的过程中出现权限不匹配的情况,就会发生TLB权限违例的异常[4]。  对于上面提到的状况,为了实现第一级隔离保护和第二级隔离保护,可以划分独立的不可信赖的应用分区,具体来说分成两部分,一部分是一个数据段,另一部分是一个代码段。与此同时,划分把可信赖的应用和系统的分区,同样是分成两部分,一部分是一个数据段,另一部分是核心代码段以及系统调用接口段。最后把每个段分配到已经分离了的内存页面中

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。