CN113868636B 内核和任务隔离的方法和装置 （深圳引望智能技术有限公司）

道万科城社区华为公司华为总部办公本申请实施例提供一种内核和任务隔离的存保护装置进行配置可以将内存访问边界从内2所述可信基从内存中查找所述第一任务的第一内存切换配置信息，根所述可信基比较寄存器上存储的所述第一内存切换配置信息和所述内存中存储的所若所述寄存器上存储的所述第一内存切换配置信息和所述内存中存储的所述第一内若所述寄存器上存储的所述第一内存切换配置信息和所述内存中存储的所述第一内在所述第一内存切换配置信息不合法的情况下，所述内核关闭所述OS和/或终止所述所述可信基根据所述中断向量表进入所述可信基的中3在所述自动驾驶系统启动过程中，所述可信基对所述内核的所述可信基根据扫描结果，将非特权任务、部分特权任务以及在第二任务需要调用系统服务应用程序接口API时，所述可信基保存所述第二任务的所述可信基从内存中查找所述第二任务的第二内存切换配置信息，根在所述系统服务完成后，所述可信基取出所述第二任务的任所述内核调用所述第二任务获取所述系统服务的返所述可信基比较寄存器上存储的所述第二内存切换配置信息和所述内存中存储的所若所述寄存器上存储的所述第二内存切换配置信息和所述内存中存储的所述第二内4若所述寄存器上存储的所述第二内存切换配置信息和所述内存中存储的所述第二内在所述第二内存切换配置信息不合法的情况下，所述内核关闭所述OS和/或终止所述所述可信基从内存中查找所述第二任务的第三内存切换配置信息，根所述可信基根据所述第三内存切换配置信息对所述内存保护装置所述可信基比较寄存器上存储的所述第三内存切换配置信息和所述内存中存储的所若所述寄存器上存储的所述第三内存切换配置信息和所述内存中存储的所述第三内在所述第三内存切换配置信息合法的情况下，所述内核调用所述第若所述寄存器上存储的所述第三内存切换配置信息和所述内存中存储的所述第三内在所述第三内存切换配置信息不合法的情况下，所述内核关闭所述OS和/或终止所述所述可信基根据所述中断向量表进入所述可信基的中5在所述自动驾驶系统启动过程中，所述可信基对所述OS代码段所述可信基根据扫描结果，将非特权任务、部分特权任务以及所述可信基，用于从内存中查找所述第一任务的第一内存切换比较寄存器上存储的所述第一内存切换配置信息和所述内存中存储的所述第一内存若所述寄存器上存储的所述第一内存切换配置信息和所述内存中存储的所述第一内若所述寄存器上存储的所述第一内存切换配置信息和所述内存中存储的所述第一内6当所述中断的返回地址不属于所述预设地址范围时，确定所述当前中断为合法中断，在所述自动驾驶系统启动过程中，对所述内核的代码段以及任务的代码段进行输入/根据扫描结果，将非特权任务、部分特权任务以及特权任务中的所述可信基，还用于从内存中查找所述第二任务的第二内存切换7边界从所述内核的内存切换到所述第二任务比较寄存器上存储的所述第二内存切换配置信息和所述内存中存储的所述第二内存若所述寄存器上存储的所述第二内存切换配置信息和所述内存中存储的所述第二内若所述寄存器上存储的所述第二内存切换配置信息和所述内存中存储的所述第二内从内存中查找所述第二任务的第三内存切换配置信息，根据所述第比较寄存器上存储的所述第三内存切换配置信息和所述内存中存储的所述第三内存若所述寄存器上存储的所述第三内存切换配置信息和所述内存中存储的所述第三内所述内核还用于：在所述第三内存切换配置信息合法的情况下，调用所若所述寄存器上存储的所述第三内存切换配置信息和所述内存中存储的所述第三内8根据扫描结果，将非特权任务、部分特权任务以及特权任务中的9用而生。汽车工业界相继提出了汽车电子类开放系统和对应接口标准/汽车分布式执行标准(opensystemsandthecorrespondinginterfacesforautomotiveelectronics/vehicledistributedexecutive，OSEK/VDX)、汽车开放系统架构(automotiveopen[0003]OSEK/VDX没有考虑汽车电子应用的安全性和可靠性，AUTOSAR在OSEK/VDX的基础被分为可信应用与普通应用，普通应用被划分至不可信的、非特权模式(Non-privilege[0006]本申请第一方面提供一种内核和任务隔离的方法，所述务的第一内存切换配置信息，根据所述第一内存切换配置信息对内存保护装置进行配置，的内存的操作权限为无权限；配置后所述内核对所述第一任务的内存的操作权限为可读；[0008]该第一内存切换配置信息用于将内存访问边界从内核的内存切换到第一任务的对可信基的内存的操作权限例如包括：内核或第一任务对可信基的数据段的权限为无权[0019]可选的，所述可信基从内存中查找所述第一任务的第一可信基确定所述第一内存切换配置信息合法，在所述第一内存切换配置信息合法的情况配置信息的修改，还能够避免JOP或者ROP对通用寄存器中的第一内存切换配置信息的修所述第一内存切换配置信息不相同，则所述可信基确定所述第一内存切换配置信息不合[0037]本申请第二方面提供一种内核和任务隔离的方法，所述[0038]在第二任务需要调用系统服务应用程序接口API时，所述可信基保存所述第二任行系统调用，系统调用完成之后需要将内存访问边界从内核的内存切换到第二任务的内[0045]该第二内存切换配置信息用于将内存访问边界从第二任务的内存切换到内核的[0047]可选的，配置前和配置后内核和第二任务对可信基的内[0049]当通用寄存器中的第二内存切换配置信息被修改可能导致任务和内核的内存中寄存器上存储的所述第二内存切换配置信息和所述内存中存储的所述第二内存切换配置器上存储的所述第二内存切换配置信息和所述内存中存储的所述第二内存切换配置信息所述第二内存切换配置信息不相同，则所述可信基确定所述第二内存切换配置信息不合述第二任务的内存操作权限，配置后所述第二任务对所述内核的内存操作权限为无权限，配置后所述内核对所述第二任务的内存的操[0056]该第三内存切换配置信息用于将内存访问边界从内核的内存切换到第二任务的[0059]可选的，所述可信基从内存中查找所述第二任务的第三信基比较寄存器上存储的所述第三内存切换配置信息和所述内存中存储的所述第三内存可信基确定所述第三内存切换配置信息合法；在所述第三内存切换配置信息合法的情况[0063]若所述寄存器上存储的所述第三内存切换配置信息和所述内存中存储的所述第[0064]在所述第三内存切换配置信息不合法的情况下，所述内核关闭所述OS和/或终止[0075]所述部分特权任务的特定操作包括：系统寄存器操作和内存保护装置寄存器操[0108]当所述中断的返回地址不属于所述预设地址范围时，确[0113]所述部分特权任务的特定操作包括：系统寄存器操作和内存保护装置寄存器操[0117]各计算机系统对应的技术效果参照第一方面和第二方面提供的方法对应的技术[0137]其中，处理器101可以是任何传统处理器，包括精简指令集计算(reducedinstructionsetcomputing,RISC)处理器、复杂computing,CISC)处理器或上述的组合。可选地，处理器可以是诸如专用集成电路是神经网络处理器或者是神经网络处理器和上述连接。系统内存117和系统总线102耦合。运行在系统内存117的数据可以包括计算机系统[0141]操作系统118包括壳(Shell)120和内核(kernel)121。Shell120是介于使用者和路上其他自动驾驶汽车交互的程序。应用程序122也存在于软件部署服务器(deploying[0144]传感器124和计算机系统100关联。传感器124用于探测计算机系统100周围的环信应用处于特权模式(或称为特权层)，普通应用(或称为非可信应用(non-trusted[0149]特权模式可以自由的切换处理器的工作模式，ARM内部寄存器和一些片内外设在[0150]如图2所示，内核的数据包括数据(data，也称为数据段(datasegment)常是指用来存放程序执行代码的一块内存区域堆栈段通常是指采用堆栈方式工作的一段[0152]MPU是嵌入式系统中常用的用于内存保护的硬件资源，嵌入式系统使用多任务的[0153]MPU使用域(region)或者保护域(protectedregion)对内存的地址空间进行管和起始地址可以保存在协处理器CP15的寄存器c6中，域的大小可以是4KB～4GB的任何2的[0154]操作系统可以为MPU的域配置访问权限，操作系统可以基于处理器当前的工作模[0155]当处理器访问内存的一个域时，MPU比较该域的访问权限属性和处理器当前的工[0157]大多数使用MMU的机器都采用分页机制，操作系统可以在页表中设置每个页表访[0159]在正常情况下处理器在用户模式下执行用户程序(如图1的不可信应用)，在中断[0161]系统调用(systemcall)：操作系统的主要功能是管理硬件资源和为应用程序开从用户任务到内核的上下文切换，接下来syscallhandler会调用系统服务的应用程序接动过程中对I/O的特权控制进行初始化，包括I/O特权扫描(privilegescanner)与指令消除。该API网关具有以下功能：内存访问边界的切换、过后验证与异常处理(exception切换内存访问边界去访问资源或服务时，API网关会通过配置MPU或者配置MMU进行内存访[0181]图5为本申请实施例一提供的内核和任务隔离的方法的流程图，本实施例的方法[0186]本实施例中，该内存保护装置是用于对计算机系统的内[0187]其中，该第一内存切换配置信息包括内核的内存地址信息和内核的内存操作权[0189]配置后第一任务对内核的内存的操作权限为无权限，即第一任务对内核的数据对可信基的内存的操作权限例如包括：内核或第一任务对可信基的数据段的权限为无权址(Task_etext)和权限，第2行表示可信基的代码段的起始地址(PEKM_stext)、结束地址据段的起始地址，(Kernel/Task/PEKM_edata)表示内核/任务/可信基的数据段的结束地PEKM_ero)表示内核/任务/可信基的只读段[0210]图7为本申请实施例二提供的内核和任务隔离的方法的流程图，本实施例在实施(Jump-orientedProgramming，JOP)或者面向返回的编程攻击(Return-Oriented一内存切换配置信息进行修改，如果通用寄存器中的存储的第一内存切换配置信息被修[0215]第一内存切换配置信息包括内核、第一任务以及可信基的内存保护装置配置信任务的内存保护装置配置信息包括第一任务的内存地址信息和第一任务的内存操作权限，可信基的内存保护装置配置信息包括可信基的内存地址信息和过如下方式表示：region[0]＝r0，region[1]＝r1，region[2]＝r2，其中，region[0]、[0223]当通用寄存器上存储的第一内存切换配置信息和内存中存储的第一内存切换配内存中存储的第一内存切换配置信息不相同时，说明第一内存切换配置信息合法不合法，[0230]图8为本申请实施例三提供的内核和任务隔离的方法的流程图，本实施例的方法二任务将服务ID(serviceID)作为系统服务请求的系统服务号[0235]该内存保护装置是用于对计算机系统的内存进行保护的硬件组件，可以为MMU或[0239]可选的，配置前和配置后内核和第二任务对可信基的内[0250]该第三内存切换配置信息用于将内存访问边界从内核的内存切换到第二任务的[0251]配置后第二任务对内核的内存的操作权限为无权限，即第二任务对内核的数据[0255]第三内存切换配置信息的作用和实施例一中第一内存切[0258]图9为本申请实施例四提供的内核和任务隔离的方法的流程图，本实施例在实施[0261]第二内存切换配置信息包括内核、第二任务以及可信基的内存保护装置配置信加载到通用寄存器r0，r1和r2，r0＝table[kenel]，r1＝table[task2ID]，r2＝table过如下方式表示：region[0]＝r0，region[1]＝r1，region[2]＝r2，其中，region[0]、[0265]当寄存器上存储的第二内存切换配置信息和内存中存储的第二内存切换配置信[0270]当寄存器上存储的第三内存切换配置信息和内存中存储的第三内存切换配置信[0274]本实施例中，可信基在根据内存切换配置信息(包括第二内存切换配置信息和第中存储的内存切换配置信息与寄存器中存储的内存切换配置信息是否相同，可以防止ROP或JOP等攻击对寄存器中的内存切换配置信息进行修改。从而能够防止由于寄存器中的内[0278]中断向量表存储在可信基的只读段中，从而能够避免对中断向量表的非法修击者修改中断向量表并在可信基对MPU或者MMU配置之后进入中断，从而能够绕过过后验[0302]本申请实施例七以AUTOSAR气囊系统为例，在气囊系统中由碰撞传感器检测冲撞间通信，因此需要使用调用系统服务GetResource()或ReleaseResource()去保证数据一致性，也需要调用系统服务SetEvent(),Wa