安全隔離的需求
功能安全開(kāi)發(fā)中,軟件階段由軟件V模型左邊的軟件安全需求SSR開(kāi)始。SSR是從技術(shù)安全需求TSR中提取出軟件的功能安全需求,大多數情況下具有不同的ASIL等級。
圖1功能安全軟件開(kāi)發(fā)V模型
隨后,軟件安全需求會(huì )被分配到軟件架構中的軟件組件中。不同ASIL等級的軟件安全需求被分配到軟件組件過(guò)后,帶來(lái)了級聯(lián)失效的問(wèn)題。若放任不同ASIL等級軟件組件在一個(gè)系統中運行,可能會(huì )存在低ASIL等級軟件組件失效從而引發(fā)高ASIL等級軟件組件失效的風(fēng)險。
ISO26262對軟件組件之間的交互進(jìn)行了分析并提出了免于干擾(Freedom from Interference)的需求,安全隔離則旨在隔離軟件系統中安全相關(guān)與安全無(wú)關(guān)的軟件組件,以及不同ASIL等級的軟件組件。
軟件內存基礎
首先讓我們來(lái)了解內存的基本知識。RAM與ROM是ECU中常見(jiàn)的存儲器類(lèi)型,它們在數據存儲和訪(fǎng)問(wèn)方面扮演著(zhù)重要的角色。
RAM(Random Access Memory)是一種臨時(shí)存儲器,用于存儲計算機正在運行的程序和數據。它具有快速的讀寫(xiě)速度和隨機訪(fǎng)問(wèn)的特點(diǎn)。
ROM(Read-Only Memory)是一種只讀存儲器,用于存儲固定的程序指令和數據。ROM中的數據在計算機斷電時(shí)不會(huì )丟失,因此被稱(chēng)為非易失性存儲器。
然而在軟件視角中,軟件被編譯后會(huì )被分為不同的段進(jìn)行存放。具體分段方式可能根據架構有細微區別在,以Tc3xx系列芯片為例,包含以下幾段:
(1)已初始化的數據段
(2)未初始化的數據段
(3)只讀數據段
(4)代碼段
(5)task棧區
(6)啟動(dòng)棧區
(7)CSA區
這些段被編譯器分配到物理內存中,可能由不同的存儲器來(lái)存放。每當程序需要使用某處數據或者加載某處的指令時(shí),會(huì )根據地址來(lái)取出所需的數據或是指令進(jìn)行運算,再將運算結果寫(xiě)入某處物理內存中。
在這個(gè)過(guò)程中,安全隔離的目標是阻止安全無(wú)關(guān)的軟件組件寫(xiě)入安全相關(guān)的軟件組件使用的內存區域;低ASIL等級的軟件組件寫(xiě)入高ASIL等級的軟件組件所使用的內存區域。
MCU上的安全隔離模塊
MCU上的安全隔離通常借助內存分區機制和內存保護單元MPU完成。經(jīng)典AUTOSAR架構中,允許對軟件進(jìn)行內存分區(Partition),借助內存映射(memory map)將軟件組件的代碼和數據劃分到指定的區域內。這種方式雖然能有效地將不同ASIL等級的變量和代碼分布到不同的地址范圍中,但無(wú)法杜絕指針越界、數組越界導致跨區域訪(fǎng)問(wèn)的風(fēng)險。
MPU(memory protection unit)內存保護單元是一種按內存區域提供保護和隔離的硬件原件,與內存分區配合使用可以阻止不同軟件分區的軟件組件之間相互訪(fǎng)問(wèn),從而達到內存隔離的效果。
以Tc3xx系列芯片為例,MPU可以按照保護范圍分為兩種,一種為系統級的SMPU(System Memory Protection Unit),另一種為核心級的CMPU(Core Memory Protection Unit)。
· 系統級的SMPU
SMPU有時(shí)候也被稱(chēng)為Bus MPU,表示其工作在芯片總線(xiàn)上。其保護原理如圖2所示,總線(xiàn)上所有主機對于內存的訪(fǎng)問(wèn)都會(huì )經(jīng)過(guò)SMPU,當主機擁有所請求內存地址的對應訪(fǎng)問(wèn)權限(讀/寫(xiě))時(shí),才能允許訪(fǎng)問(wèn)。
Tc3xx中的Bus MPU可以維護8個(gè)地址保護區域(每個(gè)保護區域范圍由兩個(gè)寄存器控制),每個(gè)保護區域都記錄了64個(gè)總線(xiàn)主機的權限。當主機訪(fǎng)問(wèn)內存區域時(shí),首先尋找對應的區域,再根據主機TAG ID檢查主機是否擁有對應的權限,檢查通過(guò)后才能進(jìn)行讀寫(xiě)訪(fǎng)問(wèn),否則會(huì )觸發(fā)系統定義的故障。
SMPU通常用于多核系統和使用DMA設備的系統,其保護范圍有限,且不能覆蓋所有的內存區域。
圖2 SMPU保護原理
- · 核心級的CMPU
核心級的CMPU則是每個(gè)CPU核心獨有的,提供應用級別的隔離。經(jīng)典AUTOSAR中,軟件組件被組織成OSA(OS Application)。OSA內部存在共享資源,OSA之間則需要考慮內存隔離。
CMPU保護原理如圖3所示,CMPU隔離對象為CPU中運行的軟件。CMPU也會(huì )預先劃分保護區域,這通常也是內存分區的結果。對于這些內存區域,每一個(gè)在核心中運行的OSA可能都具有不同的權限。當上下文切換時(shí),MPU的保護范圍也會(huì )動(dòng)態(tài)切換,以適配不同的OSA。
同CMPU一樣,只有擁有對應內存區域訪(fǎng)問(wèn)權限的OSA,才能成功完成訪(fǎng)問(wèn),否則會(huì )觸發(fā)系統定義的故障。CMPU通常擁有更多的保護區域,且能覆蓋所有的內存空間。在這基礎上,CMPU還支持保護集的預設,使CPU進(jìn)行上下文切換時(shí),更快地切換地址空間地MPU保護權限。一般來(lái)說(shuō),CMPU的應用更為廣泛,在一些不那么復雜的系統中甚至只用CMPU就足以完成內存隔離的需求。
圖3 CMPU隔離原理
SOC上的安全隔離
相比MCU,SOC擁有更強大的性能,可以運行一些復雜操作系統(比如linux)。這種情況下,基于地址范圍進(jìn)行保護的MPU就顯得“力不從心”了。進(jìn)程是操作系統進(jìn)行資源分配的基本單位,一些應用程序可能由多個(gè)進(jìn)程組成,在某些場(chǎng)景中(比如座艙域)還需要虛擬機來(lái)運行不同的操作系統。
因此,我們把SOC上的內存隔離場(chǎng)景劃分為兩個(gè)層級:進(jìn)程級隔離、應用程序級隔離和操作系統級隔離。本文主要介紹進(jìn)程級隔離。
MMU(Memory Management Unit)是SOC中常見(jiàn)的硬件,用于提供進(jìn)程級別的內存分配和隔離。進(jìn)程在運行時(shí),操作系統會(huì )使進(jìn)程認為自己獨占整個(gè)尋址空間(32位機器尋址空間為4GB),并使用連續的物理地址進(jìn)行操作。但實(shí)際上,這個(gè)內存空間要么尚未分配,要么部分存在于磁盤(pán)中。并且其使用的虛擬地址會(huì )由MMU進(jìn)行翻譯,對應到分散的物理地址中。
MMU的工作原理如圖4所示。內存空間被劃分為若干頁(yè)面(Page),每個(gè)頁(yè)面占用4KB內存。進(jìn)程使用的連續虛擬頁(yè)面被MMU翻譯到具體的分散的物理頁(yè)面中。
MMU最主要的功能其實(shí)是將虛擬頁(yè)翻譯到物理頁(yè)。那為什么MMU可以實(shí)現進(jìn)程級隔離呢?
因為MMU的翻譯是基于頁(yè)表進(jìn)行的,頁(yè)表記錄了進(jìn)程虛擬頁(yè)到物理頁(yè)的映射。操作系統為不同的進(jìn)程分配的不同的頁(yè)表起始地址,存儲在對應寄存器中。當MMU翻譯地址時(shí),根據頁(yè)表起始地址加偏移量定位到具體的頁(yè)表項,進(jìn)而完成地址翻譯。不難看出,這種機制使得進(jìn)程擁有天然隔離的零散的地址空間
圖4 MMU工作原理
安全隔離小結
安全隔離的底層原理是避免軟件對內存的不合理訪(fǎng)問(wèn),以滿(mǎn)足功能安全要求。硬件層面上,有MPU、MMU這樣的硬件進(jìn)行程序內存空間的保護和約束;軟件層面上,容器化技術(shù)和虛擬化技術(shù)也能幫助用戶(hù)制定更靈活的隔離策略。但并不是說(shuō)實(shí)現了這些安全隔離機制就等于完全滿(mǎn)足了安全隔離需求,還需要結合軟件和系統的正確設計來(lái)共同達成目標。
經(jīng)緯恒潤功能安全團隊成立于2008年,系國內較早從事功能安全技術(shù)研究的團隊。作為功能安全、預期功能安全國家標準委員會(huì )成員,經(jīng)緯恒潤的研發(fā)流程、生產(chǎn)流程已通過(guò)功能安全開(kāi)發(fā)過(guò)程認證,功能安全開(kāi)發(fā)過(guò)程達到ASIL-D,相關(guān)產(chǎn)品已成功服務(wù)于近百家國內外整車(chē)及零部件企業(yè)。
經(jīng)緯恒潤功能安全軟件團隊可提供功能安全軟件開(kāi)發(fā)技術(shù)咨詢(xún)服務(wù),包括功能安全軟件階段流程/產(chǎn)品咨詢(xún)、L2監控算法開(kāi)發(fā)集成和L3安全機制(安全通信、隔離、監控、執行和芯片AOU)的開(kāi)發(fā)集成,控制器覆蓋動(dòng)力域、底盤(pán)域、智駕域和車(chē)身域等。
未來(lái),經(jīng)緯恒潤將緊跟行業(yè)發(fā)展趨勢和市場(chǎng)需求,結合自身汽車(chē)電子產(chǎn)品研發(fā)和國內外咨詢(xún)實(shí)踐,一如既往地堅持自主創(chuàng )新道路,為智能汽車(chē)安全保駕護航。
-
mcu
+關(guān)注
關(guān)注
146文章
16157瀏覽量
345151 -
汽車(chē)功能安全
+關(guān)注
關(guān)注
0文章
19瀏覽量
1364
發(fā)布評論請先 登錄
相關(guān)推薦
評論