專利名稱:在硬件平臺(tái)上執(zhí)行安全相關(guān)和非安全相關(guān)軟件構(gòu)件的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種在硬件平臺(tái)上執(zhí)行安全相關(guān)和非安全相關(guān)軟件構(gòu)件的方法,其中該硬件平臺(tái)包含計(jì)算機(jī)單元和至少一個(gè)內(nèi)存�����,而其中該至少一個(gè)非安全相關(guān)軟件構(gòu)件和該至少一個(gè)安全相關(guān)軟件構(gòu)件兩者均在這一個(gè)計(jì)算機(jī)單元上執(zhí)行�����,且其中該硬件平臺(tái)包含監(jiān)測(cè)構(gòu)件或連接至監(jiān)測(cè)構(gòu)件��,而其中這監(jiān)測(cè)構(gòu)件的操作是獨(dú)立于該硬件平臺(tái)的該至少一個(gè)處理器���。此外���,本發(fā)明亦涉及一種硬件平臺(tái)��,而上述方法就是在這種硬件平臺(tái)上實(shí)施的����。
背景技術(shù):
計(jì)算機(jī)系統(tǒng)越來越多被用來處理任務(wù)�����,而這些任務(wù)在計(jì)算機(jī)系統(tǒng)出現(xiàn)故障或反應(yīng) 緩慢時(shí)便可能會(huì)危害人類的生命或財(cái)產(chǎn)(“安全相關(guān)系統(tǒng)”)����。這些系統(tǒng)必須按照標(biāo)準(zhǔn)的指引(IEC61508、IS026262)來進(jìn)行開發(fā)和測(cè)試�,以大大地排除錯(cuò)誤����。因此,這些系統(tǒng)相應(yīng)的開發(fā)是非常復(fù)雜�����、繁瑣和昂貴的����。另一方面����,越來越多領(lǐng)域都使用了以計(jì)算機(jī)輔助的功能����。經(jīng)常會(huì)有需求想透過添力口“安全相關(guān)功能”來擴(kuò)充對(duì)“標(biāo)準(zhǔn)功能”的控制。=Acc功能(自適應(yīng)巡航控制��,其按照前車的行駛速度����,調(diào)節(jié)自身車輛的速度,是一種非關(guān)鍵(舒適性)功能)且應(yīng)擴(kuò)充至自動(dòng)緊急剎車(安全相關(guān)功能)���。安全相關(guān)和非關(guān)鍵功能同時(shí)在單個(gè)控制單元中進(jìn)行會(huì)有成本優(yōu)勢(shì)(較少控制單元��、減少布線���、較簡單的維護(hù)……)。然而�,有需要確保非關(guān)鍵功能中的錯(cuò)誤不會(huì)妨害到安全相關(guān)功能。為此目的��,現(xiàn)有技術(shù)提供了特別的操作系統(tǒng)(ARINC 653、DEC0S)�����,其透過多項(xiàng)措施來防止非關(guān)鍵功能“延伸”至安全相關(guān)功能�����。這些操作系統(tǒng)的壞處是其對(duì)控制單元硬件以及功能的編程有非常特定的要求����,所以要在這些系統(tǒng)中整合非關(guān)鍵功能同樣是復(fù)雜和昂貴的。
發(fā)明內(nèi)容
本發(fā)明的一個(gè)目的是透過添加“安全功能”�����,使到能夠以便宜但有效的方式��,高效率地?cái)U(kuò)充現(xiàn)有的控制單元和現(xiàn)有的“標(biāo)準(zhǔn)功能”����,從而節(jié)省開發(fā)成本和物料成本�。本目的是以引言所述的方法和/或引言所述的硬件平臺(tái)來實(shí)現(xiàn)的,這是由于事實(shí)上�����,按照本發(fā)明所述的硬件平臺(tái)對(duì)該至少一個(gè)內(nèi)存的至少一部分有寫入保護(hù)(writeprotection)機(jī)制,而該安全相關(guān)軟件構(gòu)件對(duì)某些區(qū)域或?qū)φ麄€(gè)內(nèi)存有完全的寫入存取權(quán)限,或者該安全相關(guān)軟件構(gòu)件對(duì)該內(nèi)存的某區(qū)域有存取權(quán)限��,而該區(qū)域與被提供予非安全相關(guān)功能的內(nèi)存區(qū)域是分開的�,而其中該安全相關(guān)軟件構(gòu)件架設(shè)內(nèi)存保護(hù)以防非安全相關(guān)功能對(duì)該安全相關(guān)功能的內(nèi)存的至少一個(gè)區(qū)域進(jìn)行存取,并且這是在該非安全相關(guān)軟件構(gòu)件執(zhí)行前已架設(shè)好��,使得該非安全相關(guān)軟件構(gòu)件通過寫入存取權(quán)限僅可存取該內(nèi)存的有限區(qū)域���,并特別是無法存取用于安全相關(guān)構(gòu)件的內(nèi)存的分開的區(qū)域�����,而其中在從該非安全相關(guān)構(gòu)件返回后�,該內(nèi)存保護(hù)會(huì)再次關(guān)閉����,且其中該監(jiān)測(cè)構(gòu)件會(huì)監(jiān)測(cè)該安全相關(guān)功能以確定其是否運(yùn)作正常。在此��,從該非安全相關(guān)構(gòu)件“返回”指該安全相關(guān)構(gòu)件“初始化”該非安全相關(guān)構(gòu)件�����,然后“僅”該非安全相關(guān)構(gòu)件會(huì)運(yùn)行,而當(dāng)其停止時(shí)����,該安全相關(guān)構(gòu)件便會(huì)再次運(yùn)行。在此�����,本發(fā)明提供了比上文所述者較便宜的方案���。本發(fā)明的核心是使用了 “樂觀法”�����。換言之���,正面地假設(shè)了非關(guān)鍵功能不會(huì)致使任何錯(cuò)誤。此假設(shè)會(huì)被可靠地和非?��?焖俚貦z查是否正確����。因此��,雖然不會(huì)防止入侵(encroachment)(=非關(guān)鍵功能的錯(cuò)誤,其可影響該安全相關(guān)功能)��,但這入侵會(huì)被檢測(cè)出來�����,使得安全相關(guān)功能可被帶到安全狀態(tài)(或以另一合適方式對(duì)干擾作出反應(yīng))��。正常來說��,該安全 狀態(tài)指“關(guān)閉(shutdown) ”一安全狀態(tài)的另一類型可能是有故障的功能在入侵執(zhí)行前被停止(如改寫該安全相關(guān)功能所需要的工作內(nèi)存的某區(qū)域)——而這對(duì)該安全相關(guān)功能并無任何負(fù)面影響�。這可通過異常處理例程來達(dá)成。對(duì)大多數(shù)系統(tǒng)來說�,這程序已相當(dāng)適當(dāng),這是由于通常會(huì)有其他不可靠的部件���,而即使發(fā)生單項(xiàng)故障��,安全相關(guān)系統(tǒng)亦永不應(yīng)被允許進(jìn)入不安全狀態(tài)��。在本發(fā)明的一個(gè)變體中���,其中操作系統(tǒng)在該計(jì)算機(jī)單元(=CPU)上運(yùn)行,這操作系統(tǒng)的分派程序(dispatcher)確保該內(nèi)存保護(hù)在作出非安全相關(guān)的排程決定前會(huì)一直生效,而對(duì)與該非安全相關(guān)區(qū)域分開的內(nèi)存區(qū)域的內(nèi)存保護(hù)�,僅會(huì)(當(dāng)且僅當(dāng))在作出了啟動(dòng)安全相關(guān)構(gòu)件的排程決定時(shí)被解開。若在從該安全相關(guān)功能檢索(retrieve)出非安全相關(guān)軟件構(gòu)件之后,存在信號(hào)(alive signal)會(huì)被發(fā)送至監(jiān)測(cè)模塊,則是從根本上有利的���。此外���,若在檢索出非關(guān)鍵軟件構(gòu)件之前和之后,時(shí)間戳記會(huì)被發(fā)送至監(jiān)測(cè)模塊�����,則可能是有利的��。若存在信號(hào)會(huì)被發(fā)送至分布在該些安全相關(guān)軟件構(gòu)件的幾個(gè)位置(“中央”位置)的監(jiān)測(cè)模塊(這對(duì)該安全相關(guān)功能的執(zhí)行來說是重要的)���,使得該監(jiān)測(cè)模塊亦可檢查該些安全相關(guān)軟件構(gòu)件的功能執(zhí)行�����,則是特別有利的�。在此情況下,亦會(huì)通過檢查和(checksums)或類似方式,而非使用簡單的存在信號(hào)���,來對(duì)多個(gè)檢查點(diǎn)的執(zhí)行進(jìn)行監(jiān)測(cè)���。因此�����,不僅可見到該安全相關(guān)功能正在運(yùn)行,亦可見到在該功能中某些關(guān)鍵點(diǎn)曾經(jīng)被接近的次序��。最后�����,若在缺少存在信號(hào)和/或時(shí)間戳記后��,該監(jiān)測(cè)模塊會(huì)將該(子)系統(tǒng)轉(zhuǎn)換至安全狀態(tài)��,則是特別有利的��。
下文以附圖為基礎(chǔ)�����,對(duì)本發(fā)明作出更詳細(xì)的說明����,其中圖I顯示了計(jì)算機(jī)單元(CPU)的工作內(nèi)存的分段(segmentation),而非關(guān)鍵功能和安全相關(guān)功能在這計(jì)算機(jī)單元上執(zhí)行���,圖2顯示了檢查/保護(hù)功能的偽代碼,圖3顯示了該些安全相關(guān)功能的獨(dú)立檢查的執(zhí)行�,以及圖4顯示了在操作系統(tǒng)的分派程序中啟動(dòng)內(nèi)存保護(hù)的偽代碼。
具體實(shí)施方式
本發(fā)明以幾項(xiàng)特征和幾個(gè)方法的組合為基礎(chǔ)I.對(duì)該CPU的內(nèi)存實(shí)施內(nèi)存保護(hù)���,以阻斷來自非關(guān)鍵功能的指錯(cuò)方向(misdirected)的內(nèi)存存取(檢測(cè))���。2.在功用為監(jiān)測(cè)模塊的獨(dú)立單元中使用檢查構(gòu)件(checking component),以檢測(cè)出安全相關(guān)功能的有故障的執(zhí)行。此方法利用這兩項(xiàng)技術(shù)����,來實(shí)現(xiàn)對(duì)安全相關(guān)功能進(jìn)行的可靠監(jiān)測(cè)。該控制單元的CPU的工作內(nèi)存SPE是按照?qǐng)DI的一些區(qū)段(segments)��。該些安全相關(guān)功能SAFET可對(duì)該整個(gè)工作內(nèi)存SPE (或該內(nèi)存SPE的主要區(qū)域SPE1-SPE4)進(jìn)行讀取和寫入��,而該些非關(guān)鍵功能STANT則僅可對(duì)該工作內(nèi)存SPE的某部分SPE3-SPE5進(jìn)行讀取和寫入�����。該內(nèi)存SPE的部分SPE3����,其被指派予非關(guān)鍵區(qū)域�,被界定為交換區(qū)域�。如有需要,安全相關(guān)功能和非關(guān)鍵功能可在此交換數(shù)據(jù)�。 該內(nèi)存SPE的分段必須以該些安全相關(guān)功能擁有其自己的棧(stack)和堆(heap)區(qū)域SPEl的方式進(jìn)行。因此��,在這些區(qū)域之間直接檢索出功能是不可能的���。安全相關(guān)功能或有可能對(duì)標(biāo)準(zhǔn)功能(未顯示)的棧/堆區(qū)域SPE5有存取權(quán)限;照例來說���,肯定標(biāo)準(zhǔn)功能無法存取該些安全相關(guān)功能的棧/堆SPEl (或該些變量)是較少有需要但是重要的�����。光是內(nèi)存區(qū)段是不足以保護(hù)該些安全相關(guān)功能�。亦須確保該些非關(guān)鍵功能不會(huì)因錯(cuò)誤而阻斷該CPU并從而防止該些安全相關(guān)功能可迅速作出反應(yīng)���。按照本發(fā)明所述的方法不會(huì)防止阻斷�,但可將其檢測(cè)出來��。每次在安全相關(guān)功能和非關(guān)鍵(標(biāo)準(zhǔn))功能之間有所切換時(shí)�����,就會(huì)通過軟件檢查點(diǎn)(SW檢查點(diǎn))來檢查。圖2中的偽代碼(在此描述了透過安全相關(guān)功能來檢索出標(biāo)準(zhǔn)功能的例子)展現(xiàn)了按照本發(fā)明所述的方法的核心���,即檢查/保護(hù)功能����,以其檢查工作內(nèi)存的存取以及該些非關(guān)鍵功能的運(yùn)行期性能�����。該CPU總是由安全相關(guān)功能進(jìn)行初始化�����,然后安全相關(guān)功能就會(huì)從一開始便對(duì)該CPU有控制權(quán)����。每次當(dāng)非關(guān)鍵功能應(yīng)該運(yùn)行時(shí),對(duì)該(些)安全相關(guān)功能的保護(hù)就會(huì)在兩方面有所提高(I)該內(nèi)存保護(hù)重組�����,實(shí)現(xiàn)對(duì)該安全相關(guān)功能的數(shù)據(jù)的保護(hù)��。在該CPU的特殊模塊作出設(shè)定,使得僅允許對(duì)該工作內(nèi)存的限制區(qū)域進(jìn)行存取�����。必須進(jìn)行交換的參數(shù)會(huì)先被復(fù)制到交換區(qū)域���。若該標(biāo)準(zhǔn)功能亦會(huì)提供返回?cái)?shù)據(jù)���,則將會(huì)以另一方向(從非關(guān)鍵功能到安全相關(guān)功能)進(jìn)行類似機(jī)制(在偽代碼中未顯示)。(2)該SW檢查點(diǎn)(在偽代碼中稱為“check_point” )確保該標(biāo)準(zhǔn)功能的任何當(dāng)機(jī)情況均會(huì)被檢測(cè)出來�����。存在信號(hào)會(huì)被發(fā)送����,并會(huì)在該CPU之外被監(jiān)測(cè)(見下文)����。每次在安全相關(guān)環(huán)境中檢索出標(biāo)準(zhǔn)功能時(shí),都必須生成如圖2所示的偽代碼����?��?梢跃痛四康氖褂靡阎暮曛噶钌杉夹g(shù)和/或代碼生成技術(shù),使得無需手動(dòng)寫入這代碼�。為了檢測(cè)出非關(guān)鍵功能因故障而占用該CPU超過所允許的時(shí)間(即將其阻斷)的情況,必須獨(dú)立監(jiān)測(cè)發(fā)送該檢查/保護(hù)功能的安全相關(guān)功能的存在信號(hào)����。舉例來說,可使用該CPU之外的監(jiān)測(cè)模塊來做到這種監(jiān)測(cè)����。圖3顯示了這樣的一種設(shè)計(jì)。該些存在信號(hào)會(huì)被收集(見圖3中的SafeCrossCheck模塊)并在I/O線上傳送至監(jiān)測(cè)模塊MOD����。該監(jiān)測(cè)模塊MOD “獨(dú)立于”該CPU (該些安全相關(guān)功能在該CPU上運(yùn)行)而“存在”,這樣其就不會(huì)受在該CPU中的錯(cuò)誤或阻斷所影響���,并可在安全相關(guān)功能不再正確地運(yùn)行時(shí)以此方式檢測(cè)出來��。若該監(jiān)測(cè)功能未能及時(shí)接收到該存在信號(hào)�����,其可采取一些措施來將該系統(tǒng)轉(zhuǎn)換至安全狀態(tài)�。舉例來說,可關(guān)閉如電動(dòng)機(jī)或控制單元的子系統(tǒng)��,或啟動(dòng)機(jī)械鎖/機(jī)械式“后備系統(tǒng)”(如以在方向盤和車輪之間實(shí)現(xiàn)剛性連接)�。綜上所述,本文所述的方法與按照現(xiàn)有技術(shù)的做法有以下不同之處〇該方法是“樂觀”的����。其不會(huì)試圖逼使安全相關(guān)功能和非關(guān)鍵功能強(qiáng)行分開。然而����,該些非關(guān)鍵功能對(duì)該安全相關(guān)區(qū)域的入侵會(huì)被可靠地檢測(cè)出來。〇其簡單并幾乎不使用任何資源�����。〇無須經(jīng)認(rèn)證的操作系統(tǒng)�。此方法可在并無操作系統(tǒng)的系統(tǒng)中使用����,與在有標(biāo)準(zhǔn)操作系統(tǒng)的系統(tǒng)中使用相約,其會(huì)被當(dāng)作非關(guān)鍵功能般對(duì)待��。 〇無須為本方法對(duì)非關(guān)鍵功能作出調(diào)整。該非關(guān)鍵軟件無須作出改變便可被整合����。可保留該些非關(guān)鍵功能的API ( “應(yīng)用編程界面”)�����。本發(fā)明的變體(I)該些非關(guān)鍵功能的時(shí)間監(jiān)測(cè)該檢查/保護(hù)功能亦可被用于記錄該些非關(guān)鍵功能的持續(xù)時(shí)間����。為了這樣做,在檢索出該非關(guān)鍵功能前先儲(chǔ)存時(shí)間戳記�����。在檢索到后�,就可因而測(cè)量出該非關(guān)鍵功能的運(yùn)行時(shí)間。這運(yùn)行時(shí)間會(huì)被傳送至該監(jiān)測(cè)模塊�����。該些非關(guān)鍵功能所花的運(yùn)行時(shí)間超出某一限度時(shí)就會(huì)被解讀為錯(cuò)誤���。(2)對(duì)該些安全相關(guān)功能進(jìn)行更全面的檢查可擴(kuò)展本文所述的方法���,以對(duì)該些安全相關(guān)功能進(jìn)行復(fù)雜的檢查�����。因此��,可在該安全相關(guān)功能中獨(dú)立地循某一路徑�,從中在該檢查/支援功能中記載所檢索的某序列����。(3)與操作系統(tǒng)使用若果標(biāo)準(zhǔn)操作系統(tǒng)本身不符合所需的安全標(biāo)準(zhǔn),則按照本發(fā)明所述的方法亦可在該系統(tǒng)上執(zhí)行安全相關(guān)功能�。以下安全相關(guān)功能必須被整合到該操作系統(tǒng)中,使得就算環(huán)境有任何變化�,本方法的規(guī)則仍會(huì)被遵守。〇應(yīng)在該CPU上要執(zhí)行的任務(wù)初始化前���,啟動(dòng)該內(nèi)存保護(hù)(在該軟件初始化的早期階段啟動(dòng)該內(nèi)存保護(hù))O每次切換任務(wù)時(shí)都對(duì)該內(nèi)存保護(hù)作出正確修改〇透過打斷來對(duì)該內(nèi)存保護(hù)作出可靠的修改圖4中的偽代碼顯示了該分派程序所需的擴(kuò)充���。該分派程序以一中斷作開始,該中斷服務(wù)例程中含有在圖4中所示的代碼�。在變體(I)中描述過可隨著時(shí)間推移來監(jiān)測(cè)非關(guān)鍵功能����,而這對(duì)該操作系統(tǒng)亦是可行的�����。這樣的話���,就必須在上文所述的所有環(huán)境變化中額外包括計(jì)時(shí)器。(4)內(nèi)存區(qū)段的多種類別為簡便起見����,在本方法的描述中一直僅提述兩種內(nèi)存保護(hù)的類別 為安全相關(guān)功能而全面開放的內(nèi)存 受到全面保護(hù)的安全相關(guān)內(nèi)存區(qū)域。然而���,此方法亦可用于有更多內(nèi)存保護(hù)類別的系統(tǒng)�����?��?晒芾矶囗?xiàng)安全相關(guān)功能,但各功能僅可存取其自身的內(nèi)存區(qū)域而非其他安全相關(guān)功能的區(qū)域����。亦可在該些非關(guān)鍵功能內(nèi)限定不同的內(nèi)存區(qū)域����。此方法必須滿足一項(xiàng)條件安全相關(guān)功能的專用內(nèi)存區(qū)域(RAM�、ROM、棧�����、堆)必須受到保護(hù)��,以防非關(guān)鍵功能進(jìn)行存取���。按照本發(fā)明所述的方法使到安全相關(guān)軟件功能有可能連同標(biāo)準(zhǔn)功能和/或操作系統(tǒng)在計(jì)算機(jī)中運(yùn)行�����。安全相關(guān)和非關(guān)鍵功能在不同的環(huán)境下(以其各自的棧/堆和其各自的內(nèi)存區(qū)段)運(yùn)行�。在安全相關(guān)功能和非關(guān)鍵功能之間的切換不僅是用來啟動(dòng)(或停用)該內(nèi)存保護(hù)����。存在信號(hào)也存放在相同的位置,讓監(jiān)測(cè)模塊可獨(dú)立地觀察該控制單元���,并在有錯(cuò)誤時(shí)將其關(guān)閉�����。此方法的特征在于其簡單而具有廣泛的應(yīng)用可能性����。其僅需受硬體支援的內(nèi)存保護(hù)和獨(dú)立運(yùn)行的監(jiān)測(cè)模塊�����。對(duì)所使用的標(biāo)準(zhǔn)軟件并無要求�����,因此使用其時(shí)可無須作出大的變動(dòng)��。當(dāng)環(huán)境出現(xiàn)變化時(shí)��,僅須在靠近該操作系統(tǒng)的功能的少數(shù)幾個(gè)關(guān)鍵位置作出修改��。 按照本發(fā)明所述的方法特別適合用于在安全關(guān)鍵領(lǐng)域中的計(jì)算機(jī)(無論是嵌入式或作為主機(jī))��。
權(quán)利要求
1.一種在硬件平臺(tái)上執(zhí)行安全相關(guān)和非安全相關(guān)軟件構(gòu)件(SAFET�����、STANT)的方法,其中該硬件平臺(tái)為計(jì)算機(jī)単元(CPU)并包含至少ー個(gè)內(nèi)存(SPE)�����,而其中該至少ー個(gè)非安全相關(guān)軟件構(gòu)件(STANT)連同該至少ー個(gè)安全相關(guān)軟件構(gòu)件(SAFET)在這計(jì)算機(jī)単元(CPU)上執(zhí)行��,且其中該硬件平臺(tái)包含監(jiān)測(cè)構(gòu)件(監(jiān)測(cè)模塊)(MOD)或連接至監(jiān)測(cè)構(gòu)件����,而這監(jiān)測(cè)構(gòu)件(MOD)的操作是獨(dú)立于該硬件平臺(tái)的該計(jì)算機(jī)単元(CPU), 其特征在于 該硬件平臺(tái)對(duì)該至少ー個(gè)內(nèi)存(SPE)的至少一部分(SPE1����、SPE2)有寫入保護(hù)機(jī)制,而其中 該安全相關(guān)軟件構(gòu)件(SAFET)對(duì)某些區(qū)域(SPE1-SPE4)或?qū)υ撜麄€(gè)內(nèi)存(SPE)有完全的寫入存取權(quán)限���,或 該安全相關(guān)軟件構(gòu)件(SAFET)對(duì)該內(nèi)存的某區(qū)域有存取權(quán)限����,而該區(qū)域與被提供予非安全相關(guān)功能的內(nèi)存區(qū)域是分開的���,而其中 該安全相關(guān)軟件構(gòu)件(SAFET)在該非安全相關(guān)軟件構(gòu)件(STANT)執(zhí)行前架設(shè)內(nèi)存保護(hù)���, 以防非安全相關(guān)功能(STANT)對(duì)該安全相關(guān)功能(SAFET)的內(nèi)存的至少ー個(gè)區(qū)域(SPEUSPE2)進(jìn)行存取����, 使得該非安全相關(guān)軟件構(gòu)件(STANT)僅在該內(nèi)存(SPE)的限制區(qū)域(SPE3�、SPE4、SPE5)中有寫入存取權(quán)限�,并特別是無法存取任何用于安全相關(guān)構(gòu)件的內(nèi)存(SPE)的分開的區(qū)域(SPEUSPE2), 而其中��,在從該非安全相關(guān)構(gòu)件(STANT)返回后�����,該內(nèi)存保護(hù)會(huì)再次關(guān)閉��, 且其中該監(jiān)測(cè)構(gòu)件(MOD)會(huì)監(jiān)測(cè)該安全相關(guān)功能以確定其是否運(yùn)作正常�����。
2.按照權(quán)利要求I所述的方法��,其特征在于操作系統(tǒng)在該計(jì)算機(jī)単元(CPU)上運(yùn)行��,而這操作系統(tǒng)的分派程序確保該內(nèi)存保護(hù)在作出非安全相關(guān)的排程前會(huì)一直處于啟動(dòng)狀態(tài)�����,而對(duì)與該非安全相關(guān)區(qū)域分開的內(nèi)存區(qū)域的內(nèi)存保護(hù),僅會(huì)在作出了啟動(dòng)該安全相關(guān)構(gòu)件的排程決定后啟用��。
3.按照權(quán)利要求I或2所述的方法�,其特征在于在檢索出非安全相關(guān)軟件構(gòu)件(STANT)之后,該安全相關(guān)功能會(huì)發(fā)送存在信號(hào)至該監(jiān)測(cè)構(gòu)件(MOD)���。
4.按照權(quán)利要求I至3中任一項(xiàng)所述的方法�����,其特征在于在檢索出非關(guān)鍵軟件構(gòu)件(STANT)之前和之后����,時(shí)間戳記會(huì)被發(fā)送至該監(jiān)測(cè)構(gòu)件(MOD)�����。
5.按照權(quán)利要求I至4中任一項(xiàng)所述的方法�,其特征在于存在信號(hào)會(huì)被發(fā)送至在該些安全相關(guān)軟件構(gòu)件的中央位置的監(jiān)測(cè)構(gòu)件(MOD),使得該監(jiān)測(cè)構(gòu)件(MOD)亦可檢查該安全相關(guān)軟件構(gòu)件的功能執(zhí)行����。
6.按照權(quán)利要求I至5中任一項(xiàng)所述的方法,其特征在于在缺少存在信號(hào)和/或時(shí)間戳記后,該監(jiān)測(cè)構(gòu)件(MOD)會(huì)將該(子)系統(tǒng)轉(zhuǎn)換至安全狀態(tài)��。
7.—種硬件平臺(tái)��,其用于進(jìn)行按照權(quán)利要求I至6中任一項(xiàng)所述的方法�����。
全文摘要
本發(fā)明涉及一種在硬件平臺(tái)上執(zhí)行安全相關(guān)和非安全相關(guān)軟件構(gòu)件(SAFET���、STANT)的方法,其中該硬件平臺(tái)包含至少一個(gè)中央處理單元(CPU)和至少一個(gè)內(nèi)存(SPE)��,而其中該至少一個(gè)非安全相關(guān)軟件構(gòu)件(STANT)連同該至少一個(gè)安全相關(guān)軟件構(gòu)件(SAFET)在該同一中央處理單元(CPU)上執(zhí)行��,且其中該硬件平臺(tái)包含監(jiān)測(cè)構(gòu)件(MOD)或連接至所述監(jiān)測(cè)構(gòu)件���,而其中所述監(jiān)測(cè)構(gòu)件(MOD)的操作是獨(dú)立于該硬件平臺(tái)的該至少一個(gè)處理器(CPU)����。按照本發(fā)明�,該硬件平臺(tái)對(duì)該至少一個(gè)內(nèi)存(SPE)的至少一部分(SPE、SPE2)有寫入保護(hù)機(jī)制��,其中該安全相關(guān)軟件構(gòu)件(SAFET)對(duì)某些區(qū)域(SPE1-SPE4)或?qū)φ麄€(gè)內(nèi)存(SPE)有完全的寫入存取權(quán)限,或者該安全相關(guān)軟件構(gòu)件(SAFET)對(duì)該內(nèi)存的某區(qū)域有存取權(quán)限�����,而該區(qū)域與擬用于非安全相關(guān)功能的內(nèi)存區(qū)域是分開的����。在該非安全相關(guān)軟件構(gòu)件(STANT)執(zhí)行前,該安全相關(guān)軟件構(gòu)件(SAFET)會(huì)架設(shè)內(nèi)存保護(hù)�����,以防非安全相關(guān)功能(STANT)對(duì)該安全相關(guān)功能(SAFET)的內(nèi)存的至少一個(gè)區(qū)域(SPE1�����、SPE2)進(jìn)行存取�,使得該非安全相關(guān)軟件構(gòu)件(STANT)僅在該內(nèi)存(SPE)的有限區(qū)域(SPE3、SPE4����、SPE5)中有寫入存取權(quán)限,并特別是無法存取任何為安全相關(guān)構(gòu)件而分隔開的該內(nèi)存(SPE)的區(qū)域(SPE�、SPE2),而其中在從該非安全相關(guān)構(gòu)件(STANT)返回后�����,該內(nèi)存保護(hù)會(huì)再次關(guān)閉,且其中該監(jiān)測(cè)構(gòu)件(MOD)會(huì)監(jiān)測(cè)該安全相關(guān)功能以確定其是否運(yùn)作正常����。
文檔編號(hào)G06F21/00GK102696037SQ201080057464
公開日2012年9月26日 申請(qǐng)日期2010年10月12日 優(yōu)先權(quán)日2009年10月15日
發(fā)明者卡斯滕·維奇, 埃里克·施密特, 斯蒂芬·波勒德納 申請(qǐng)人:Fts電腦技術(shù)有限公司