微控制器的存儲(chǔ)器空間的安全管理的方法
【專(zhuān)利摘要】一種本發(fā)明由一種管理電子微控制器系統(tǒng)的方法構(gòu)成，所述微控制器系統(tǒng)包括兩個(gè)處理器(CPU1,CPU2)，第一處理器(CPU1)意欲用于不安全應(yīng)用（Applil)的執(zhí)行，顯示出未被保證水平的功能安全性和完整性，第二處理器（CPU2)專(zhuān)用于安全應(yīng)用（APPli2)的執(zhí)行，實(shí)現(xiàn)代碼和數(shù)據(jù)，并且涉及被保證水平的功能安全性和完整性，所述安全應(yīng)用（Appli2)能夠?qū)崿F(xiàn)安全功能；訪問(wèn)（CT)共享存儲(chǔ)器空間（MEM)的部件。根據(jù)本發(fā)明，第一處理器（CPU1)包括用于管理以下述方式配置的存儲(chǔ)器（MMU1)的單元，其實(shí)現(xiàn)寫(xiě)入訪問(wèn)控制，以便管理當(dāng)安全應(yīng)用（Appli2)實(shí)現(xiàn)其安全功能時(shí)不可修改的對(duì)于共享存儲(chǔ)器空間（MEU)的寫(xiě)入訪問(wèn)。
【專(zhuān)利說(shuō)明】微控制器的存儲(chǔ)器空間的安全管理的方法

【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種用于在同一個(gè)微控制器系統(tǒng)上管理顯示出高水平的完整性和功 能安全性的應(yīng)用以及不顯示任何特定關(guān)鍵性的應(yīng)用的方法。
[0002] 因此，本發(fā)明涉及關(guān)鍵應(yīng)用和非關(guān)鍵應(yīng)用的在同一個(gè)微控制器系統(tǒng)上的同時(shí)操作 的框架內(nèi)的、從可編程電子設(shè)備的功能安全性的視點(diǎn)看和從完整性的視點(diǎn)看關(guān)鍵的系統(tǒng)的 管理，該關(guān)鍵應(yīng)用被稱(chēng)為"安全"，并且因此顯示出高的被保證水平的完整性和功能安全性， 該非關(guān)鍵應(yīng)用被稱(chēng)為"不安全"，并且顯示出未被保證水平的完整性和功能安全性。

【背景技術(shù)】
[0003] 在本發(fā)明中涉及的系統(tǒng)是顯示出具有幾個(gè)處理器的架構(gòu)的微控制器，并且根據(jù)本 發(fā)明的方法處理它們?cè)趯?duì)于與從功能安全性和完整性的視點(diǎn)看的微控制器系統(tǒng)的認(rèn)證的 一般棘手問(wèn)題相關(guān)聯(lián)的、功能安全性和完整性的棘手問(wèn)題敏感的環(huán)境中的使用。這樣的認(rèn) 證例如被稱(chēng)為用于安全完整性水平的SIL。存在在"歐洲功能安全標(biāo)準(zhǔn)"中定義的、范圍從 1至4的、從最小安全至最大安全的SIL的各種值。
[0004] 當(dāng)前，為了考慮處理安全應(yīng)用和不安全應(yīng)用的共存的棘手問(wèn)題，已知技術(shù)實(shí)質(zhì)上 涉及虛擬化和管理程序的概念，其中，安全應(yīng)用被稱(chēng)為"安全"，即，涉及高水平的完整性和 功能安全性，不安全應(yīng)用被稱(chēng)為"不安全"，即，不涉及高水平的完整性和功能安全性。
[0005] 本領(lǐng)域內(nèi)的技術(shù)人員在他的一般知識(shí)中具有這些技術(shù)的主要特性。簡(jiǎn)而言之，可 以回想起，虛擬化技術(shù)由功能安全軟件機(jī)制構(gòu)成，其中，顯示出很高水平的可靠性的、被例 如管理程序占用的管理層包括用于分離在同一個(gè)處理器上運(yùn)行的獨(dú)立軟件平臺(tái)的部件。為 了如此進(jìn)行，所述管理程序包括存儲(chǔ)器管理單元，其通常被稱(chēng)為MMU，使得有可能在各個(gè)共 享應(yīng)用之間劃分資源的使用，特別是存儲(chǔ)器空間的使用。
[0006] 這樣的管理程序可以顯示獨(dú)立地管理各個(gè)處理器的能力；例如，所述管理程序可 以具有重啟與操作系統(tǒng)相關(guān)聯(lián)的處理器而不重啟其他處理器的能力。
[0007] 通過(guò)用于實(shí)現(xiàn)以上所述的虛擬化技術(shù)的技術(shù)的說(shuō)明，有可能參見(jiàn)文件 EP1067461A1。而且，文件US2007118880A1和EP1331539A2描述了在包括安全問(wèn)題的環(huán)境 中的具有幾個(gè)處理器的系統(tǒng)。
[0008] 然而，雖然它處理管理在同一個(gè)處理器上的安全和不安全應(yīng)用的共存的一般棘手 問(wèn)題，但是管理程序的實(shí)現(xiàn)方式顯示特定的缺點(diǎn)。首先，管理程序的使用使得系統(tǒng)的性能變 差，因?yàn)樵摴ぞ呦馁Y源并且先天地導(dǎo)致系統(tǒng)的變慢。這也可能對(duì)于與特定應(yīng)用相關(guān)聯(lián)的 "實(shí)時(shí)"約束的方面有害，不論該應(yīng)用是安全或不安全。而且，今天，該類(lèi)型的文件顯示出很 高的獲取成本。
[0009] 因此，由本發(fā)明針對(duì)的技術(shù)問(wèn)題可以被認(rèn)為是對(duì)于下述部件的搜索，該部件使得 有可能以降低的成本，因此在規(guī)避涉及虛擬化和管理程序的已知的但昂貴的技術(shù)的同時(shí)來(lái) 管理在同一個(gè)微控制器系統(tǒng)上的安全和不安全應(yīng)用的共存。而且，本發(fā)明對(duì)于該系統(tǒng)的性 能具有有限的影響。


【發(fā)明內(nèi)容】

[0010] 為了這個(gè)目的，本發(fā)明的主題是一種電子微控制器系統(tǒng)的管理的方法，所述微控 制器系統(tǒng)包括：
[0011]-兩個(gè)處理器，第一處理器意欲用于不安全應(yīng)用的執(zhí)行，顯示出未被保證水平的功 能安全性和完整性，第二處理器專(zhuān)用于安全應(yīng)用的執(zhí)行，實(shí)現(xiàn)代碼和數(shù)據(jù)，并且涉及被保證 水平的功能安全性和完整性，所述安全應(yīng)用能夠?qū)崿F(xiàn)安全功能；
[0012] -訪問(wèn)共享存儲(chǔ)器空間的部件。
[0013] 根據(jù)本發(fā)明，所述第一處理器包括存儲(chǔ)器管理單元，其被以它實(shí)現(xiàn)寫(xiě)入訪問(wèn)檢查 的方式被配置，用于管理當(dāng)所述安全應(yīng)用實(shí)現(xiàn)其安全功能時(shí)不可修改的、向所述共享存儲(chǔ) 器空間的寫(xiě)入訪問(wèn)。
[0014] 有益地，通過(guò)下面的步驟的實(shí)現(xiàn)來(lái)使得所述寫(xiě)入訪問(wèn)檢查不可修改：
[0015] -在被分配到所述安全應(yīng)用的存儲(chǔ)器區(qū)域和被分配到所述不安全應(yīng)用的存儲(chǔ)器區(qū) 域之間分配所述共享存儲(chǔ)器空間；
[0016] -預(yù)期地址的轉(zhuǎn)換的緩沖器的實(shí)現(xiàn)；
[0017] -向所述預(yù)期地址的轉(zhuǎn)換的緩沖器內(nèi)裝載訪問(wèn)所述共享存儲(chǔ)器的一組規(guī)則，包括 禁止所述不安全應(yīng)用在向所述安全應(yīng)用分配的存儲(chǔ)器區(qū)域的保留區(qū)域中寫(xiě)入的規(guī)則；
[0018] -向所述共享存儲(chǔ)器空間內(nèi)復(fù)制所述預(yù)期地址的轉(zhuǎn)換的緩沖器的圖像；
[0019] -向所述預(yù)期地址的轉(zhuǎn)換的緩沖器的所述圖像內(nèi)裝載用于禁止所述圖像在所述預(yù) 期轉(zhuǎn)換的緩沖器中的寫(xiě)入的規(guī)則；
[0020] -通過(guò)所述存儲(chǔ)器管理單元來(lái)實(shí)現(xiàn)在所述預(yù)期地址的轉(zhuǎn)換的緩沖器的所述圖像中 包含的訪問(wèn)規(guī)則。
[0021] 表達(dá)"預(yù)期地址的轉(zhuǎn)換的緩沖器"或更簡(jiǎn)單的"地址轉(zhuǎn)換緩沖器"對(duì)應(yīng)于代表"轉(zhuǎn) 換后備緩沖器"的已知的通常縮寫(xiě)TLB，它是可以被存儲(chǔ)器管理單元特別用于將虛擬地址轉(zhuǎn) 換為物理地址的微處理器的存儲(chǔ)器。
[0022] 有益地，根據(jù)本發(fā)明的方法而且可以在先前的步驟之后包括由下述構(gòu)成的步驟： 驗(yàn)證預(yù)期地址的轉(zhuǎn)換的緩沖器的完整性和與所述安全應(yīng)用對(duì)應(yīng)的代碼和數(shù)據(jù)的完整性。
[0023] 有益地，根據(jù)本發(fā)明的方法而且可以包括下述步驟：構(gòu)造安全CRC，CRC代表循環(huán) 冗余校驗(yàn)，旨在檢測(cè)傳輸或傳送的錯(cuò)誤，所述CRC與所述預(yù)期地址的轉(zhuǎn)換的緩沖器相關(guān)聯(lián)。
[0024] 有益地，根據(jù)本發(fā)明的方法而且可以在每一個(gè)步驟之后包括驗(yàn)證前一個(gè)行為步驟 的正確的進(jìn)展的步驟。

【專(zhuān)利附圖】

【附圖說(shuō)明】
[0025] 其他特性和優(yōu)點(diǎn)在參考附圖提供的隨后的詳細(xì)說(shuō)明中將變得清楚，附圖表示：
[0026] 圖1 :必須管理分別被稱(chēng)為"安全"和"不安全"的安全和不安全應(yīng)用的電子微控制 器系統(tǒng)的功能圖；
[0027] 圖2 :根據(jù)本發(fā)明的方法的示例性實(shí)施例，用于實(shí)現(xiàn)用于不安全應(yīng)用的存儲(chǔ)器管 理單元，其保證與安全應(yīng)用相關(guān)的存儲(chǔ)器隔離。

【具體實(shí)施方式】
[0028] 基于在圖1中示意地表示的微控制器系統(tǒng)，根據(jù)本發(fā)明的方法涉及在微控制器系 統(tǒng)中同時(shí)管理安全應(yīng)用和不安全應(yīng)用，該安全應(yīng)用即顯示出被保證和高的在同一時(shí)間的功 能安全性和完整性的水平，該不安全應(yīng)用即顯示出未被保證的安全水平。
[0029] 圖1表示具有三個(gè)微處理器CPU1、CPU2、CPU3的電子微控制器系統(tǒng)。在這個(gè)系統(tǒng) 中，每一個(gè)處理器包括通過(guò)存儲(chǔ)器管理單元MMU來(lái)訪問(wèn)共享存儲(chǔ)器的部件。
[0030] 微控制器系統(tǒng)而且通過(guò)存儲(chǔ)器控制器CT與共享存儲(chǔ)器空間MEM交互，并且檢查由 從外圍裝置SI、S2、S3實(shí)現(xiàn)的功能，該外圍裝置SI、S2、S3例如是串行鏈接接口、SDCARD存 儲(chǔ)器板或CompactFlash接口，不具有任何主動(dòng)角色，S卩，不主動(dòng)使用微控制器系統(tǒng)。
[0031] 最后，微控制器系統(tǒng)被鏈接到它的用戶主外圍裝置通過(guò)專(zhuān)用接口調(diào)用；這些IXD、 USB、PCIe、MAC主外圍裝置可以主動(dòng)使用微控制器的資源。具體地說(shuō)，所述用戶主外圍裝置 可以是與標(biāo)準(zhǔn)對(duì)應(yīng)的外圍裝置，例如：IXD(液晶顯示器）屏幕、USB(通用串行總線）外圍裝 置，它們來(lái)自與串行傳輸計(jì)算機(jī)總線相關(guān)的公知標(biāo)準(zhǔn)的名稱(chēng)；PCIe或PCI Express快速外 圍組件互連）擴(kuò)展板，其來(lái)自允許擴(kuò)展板連接到母板的已知標(biāo)準(zhǔn)的名稱(chēng)；或者，用于連接到 網(wǎng)絡(luò)的MAC以太網(wǎng)板。
[0032] 互連矩陣Μ實(shí)現(xiàn)在所述處理器CPU1、CPU2、CPU3、經(jīng)由存儲(chǔ)器控制器CT的共享存 儲(chǔ)器空間MEM、經(jīng)由專(zhuān)用接口的IXD、USB、PCIe、MAC用戶主外圍裝置、以及從外圍裝置S1、 S2、S3之間進(jìn)行互連。
[0033] 根據(jù)本發(fā)明的方法提供了用于特別通過(guò)被綁定到每個(gè)處理器CPU1、CPU2、CPU3的 存儲(chǔ)器管理單元MMU的特定使用來(lái)使得安全應(yīng)用和不安全應(yīng)用在圖1中提供的類(lèi)型的同一 個(gè)微控制器系統(tǒng)上在同一個(gè)時(shí)間運(yùn)行。存儲(chǔ)器管理單元MMU的特定使用保證沒(méi)有不安全應(yīng) 用可以破壞在安全功能的執(zhí)行期間由安全應(yīng)用使用的共享存儲(chǔ)器空間MEM的區(qū)域的完整 性。
[0034] 而且，當(dāng)通過(guò)存儲(chǔ)器管理單元MMU的該特定使用來(lái)保證由安全應(yīng)用使用的共享存 儲(chǔ)器空間MEM的區(qū)域的完整性時(shí)，可以將該系統(tǒng)看作整體在被稱(chēng)為"安全"的安全模式中運(yùn) 行。在相反的情況下，一旦由安全應(yīng)用使用的共享存儲(chǔ)器MEM的區(qū)域的完整性未被保證，則 該系統(tǒng)將被看作整體在不安全維護(hù)模式中運(yùn)行。
[0035] 在圖2中提供了這樣的存儲(chǔ)器管理單元MMU的示例性使用。
[0036] 因此，圖2描述了在共享存儲(chǔ)器MEM中的兩個(gè)應(yīng)用Applil和Appli2的分配。不 安全應(yīng)用Applil被第一處理器CPU1執(zhí)行，它圍繞諸如VxWorks Linux的在業(yè)內(nèi)通常使用 的標(biāo)準(zhǔn)操作系統(tǒng)被開(kāi)發(fā)，在應(yīng)用Applil上提供了實(shí)時(shí)執(zhí)行特性，而未提供用于接收相對(duì)于 實(shí)現(xiàn)它的工業(yè)設(shè)備的功能安全性的認(rèn)證的任何能力。根據(jù)被設(shè)計(jì)來(lái)使得能夠獲得功能安全 性認(rèn)證的定義、生產(chǎn)和測(cè)試的過(guò)程來(lái)整體開(kāi)發(fā)由第二處理器CPU2執(zhí)行的安全應(yīng)用Appli2。
[0037] 微控制器系統(tǒng)當(dāng)然可以包括其他處理器，特別是第三處理器，其負(fù)責(zé)執(zhí)行不安全 類(lèi)型的第三應(yīng)用，以例如執(zhí)行通信功能，但是在圖2中未圖示這一點(diǎn)。也可以提供專(zhuān)用于其 他安全應(yīng)用的執(zhí)行的其他處理器。
[0038] 附接到第一處理器CPU1的第一存儲(chǔ)器管理單元MMU1實(shí)現(xiàn)執(zhí)行特定方法步驟的驅(qū) 動(dòng)器，以便保證在應(yīng)用之間共享的存儲(chǔ)器空間的隔離，因?yàn)椴话踩珣?yīng)用必然不可能破壞與 安全應(yīng)用相關(guān)聯(lián)的數(shù)據(jù)的完整性。
[0039] 保護(hù)原理旨在保護(hù)綁定到執(zhí)行不安全應(yīng)用Applil的第一處理器CPU1的第一存儲(chǔ) 器管理單元MMU1的過(guò)濾的功能，以便保證在被分配到安全應(yīng)用Appli2的共享存儲(chǔ)器MEM 的區(qū)域中的寫(xiě)入的禁止。綁定到第二處理器CPU2的存儲(chǔ)器管理單元MMU2是可選的；其使 用不被綁定到如上所述的保護(hù)原理。
[0040] 在傳統(tǒng)使用中，屬于不安全應(yīng)用Applil的第一存儲(chǔ)器管理單元MMU1的驅(qū)動(dòng)器實(shí) 現(xiàn)地址轉(zhuǎn)換緩沖器TLB1，用于將第一處理器CPU1尋求訪問(wèn)的地址轉(zhuǎn)換為共享存儲(chǔ)器MEM的 地址。該地址轉(zhuǎn)換緩沖器TLB1規(guī)定第一處理器CPU1通過(guò)第一存儲(chǔ)器管理單元MMU1來(lái)訪 問(wèn)共享存儲(chǔ)器MEM的規(guī)則。在這個(gè)傳統(tǒng)使用中，在執(zhí)行第一存儲(chǔ)器管理單元MMU1的驅(qū)動(dòng)器 后，通過(guò)不安全應(yīng)用App 1 i 1來(lái)構(gòu)造地址轉(zhuǎn)換緩沖器TLB 1 ;前者因此不能保證用于在專(zhuān)用于 安全應(yīng)用Appli2的共享存儲(chǔ)器MEM的區(qū)域中的寫(xiě)入的訪問(wèn)的過(guò)濾。第一存儲(chǔ)器管理單元 MMU1的傳統(tǒng)使用不滿足在諸如在圖1中限定的同一個(gè)微控制器系統(tǒng)上的安全和"不安全" 應(yīng)用的執(zhí)行。
[0041] 通過(guò)本發(fā)明描述利用第一存儲(chǔ)器管理單元MMU1的特定方法。該特定使用在于：使 得地址轉(zhuǎn)換緩沖器TBL1的內(nèi)容被安全應(yīng)用Appli2檢查并且然后鎖存，以便保證由第一存 儲(chǔ)器管理單元MMU1執(zhí)行的寫(xiě)入的過(guò)濾。如果滿足關(guān)于地址轉(zhuǎn)換緩沖器TLB1的內(nèi)容的檢查， 則安全應(yīng)用Appli2可以然后保證安全功能。整合所考慮的微控制器系統(tǒng)的設(shè)備的項(xiàng)目因 此能夠被看作整體在被稱(chēng)為"安全"的安全模式中運(yùn)行。
[0042] 地址轉(zhuǎn)換緩沖器TLB1的鎖存的原理依賴(lài)于下述行為：阻擋對(duì)于包含地址轉(zhuǎn)換緩 沖器TLB1的圖像TLBCPU1的共享存儲(chǔ)器區(qū)域MEM的寫(xiě)入訪問(wèn)。第一存儲(chǔ)器管理單元MMU1 以下述方式運(yùn)行：它總是使用在地址轉(zhuǎn)換緩沖器TLB1的圖像TLBCPU1中包含的訪問(wèn)規(guī)則。
[0043] 以下描述第一處理器CPU1對(duì)于共享存儲(chǔ)器MEM的訪問(wèn)的規(guī)則的構(gòu)造、檢查并且然 后鎖存的可能序列。在不偏離本發(fā)明的范圍的情況下，導(dǎo)致同一結(jié)果的其他序列是可能的。
[0044] 步驟1是限定共享存儲(chǔ)器MEM的組織的步驟。地址轉(zhuǎn)換緩沖器TLB1的圖像 TLBCPU1的位置被不安全應(yīng)用Applil和安全應(yīng)用Appli2限定和已知。共享存儲(chǔ)器MEM 的區(qū)域被保留以包含源自安全應(yīng)用Appli2的可執(zhí)行代碼；該區(qū)域在圖21中被稱(chēng)為"代碼 CPU2"。共享存儲(chǔ)器MEM的區(qū)域被保留以包含安全應(yīng)用Appli2的專(zhuān)用數(shù)據(jù)；該區(qū)域在圖2 中被稱(chēng)為"專(zhuān)用數(shù)據(jù)"。被安全應(yīng)用Appli2共享以用于被不安全應(yīng)用Applil的讀取訪問(wèn)的 數(shù)據(jù)具有兩個(gè)應(yīng)用不安全Applil和安全Appli2已知的位置；這些被共享的數(shù)據(jù)在圖2中 被稱(chēng)為"共享數(shù)據(jù)"。
[0045] 共享存儲(chǔ)器MEM的區(qū)域而且被分配到不安全應(yīng)用Applil，其包括用于可執(zhí)行代碼 的區(qū)域"代碼CPU1"和用于相關(guān)聯(lián)的數(shù)據(jù)的區(qū)域"數(shù)據(jù)"。
[0046] 步驟2對(duì)應(yīng)于設(shè)備的項(xiàng)目的開(kāi)始或設(shè)備的項(xiàng)目的初始化，該設(shè)備包括負(fù)責(zé)實(shí)現(xiàn)不 安全應(yīng)用Applil和安全應(yīng)用Appli2的微控制器系統(tǒng)。不安全應(yīng)用Applil通過(guò)執(zhí)行用于 初始化第一存儲(chǔ)器管理單元MMU1的驅(qū)動(dòng)器而構(gòu)造地址轉(zhuǎn)換緩沖器TLB1。在此結(jié)合點(diǎn)，安 全應(yīng)用Appli2還未保證任何安全功能，等待不安全應(yīng)用Applil結(jié)束構(gòu)造地址轉(zhuǎn)換緩沖器 TLB1?？梢栽诓襟E2的過(guò)程中提供安全CRC的構(gòu)造，CRC代表被不安全應(yīng)用Applil校驗(yàn)的 循環(huán)冗余校驗(yàn)，用于檢測(cè)地址轉(zhuǎn)換緩沖器TLB1的構(gòu)造和初始化的結(jié)束，并且去往步驟3。
[0047] 步驟3對(duì)應(yīng)于地址轉(zhuǎn)換緩沖器TLB1的鎖存。用于實(shí)現(xiàn)該步驟3的優(yōu)選的手段是 啟動(dòng)第一存儲(chǔ)器管理單元MMU1的功能，在于配置相對(duì)于在與地址轉(zhuǎn)換緩沖器TLB1的圖像 TLBCPU1對(duì)應(yīng)的共享存儲(chǔ)器MEM中的地址的寫(xiě)入禁止。
[0048] 步驟4對(duì)應(yīng)于地址轉(zhuǎn)換緩沖器TLB1的內(nèi)容的驗(yàn)證。該步驟4專(zhuān)用于安全應(yīng)用 Appli2。因此，安全應(yīng)用Appli2驗(yàn)證在地址轉(zhuǎn)換緩沖器TLB1的圖像TLBCPU1中包含的規(guī) 則對(duì)應(yīng)于在步驟1中針對(duì)的定義。
[0049] 步驟5對(duì)應(yīng)于微控制器系統(tǒng)和它所整合于的設(shè)備的項(xiàng)目的"安全"模式中的操作。 安全應(yīng)用Appli2然后完成其安全功能，并且不安全應(yīng)用Applil不能破壞安全應(yīng)用Appli2 的代碼和數(shù)據(jù)的完整性。安全應(yīng)用Appli2而且必須優(yōu)選地周期地執(zhí)行與其相關(guān)聯(lián)的代碼 和數(shù)據(jù)的完整性的驗(yàn)證。
[0050] 總之，根據(jù)本發(fā)明的方法包括下述手段：該手段用于特別通過(guò)用于管理安全存儲(chǔ) 器的單元的特定實(shí)現(xiàn)來(lái)保證在同一個(gè)微控制器系統(tǒng)上的安全和不安全應(yīng)用的安全管理，該 安全存儲(chǔ)器位于在執(zhí)行所述不安全應(yīng)用的處理器的操作系統(tǒng)的層上。
[0051] 有益地，為了獲得整合這樣的微控制器系統(tǒng)的設(shè)備的工業(yè)項(xiàng)目的功能安全認(rèn)證， 實(shí)現(xiàn)根據(jù)本發(fā)明的方法的第一存儲(chǔ)器管理單元MMU1的認(rèn)證可以證明是要相對(duì)于在安全和 不安全應(yīng)用之間的存儲(chǔ)器隔離的標(biāo)準(zhǔn)要完成的充分條件。
【權(quán)利要求】
1. 一種電子微控制器系統(tǒng)的管理的方法，所述微控制器系統(tǒng)包括： -兩個(gè)處理器（CPU1，CPU2)，第一處理器（CPU1)意欲用于不安全應(yīng)用（Applil)的 執(zhí)行，顯示出未被保證水平的功能安全性和完整性，第二處理器（CPU2)專(zhuān)用于安全應(yīng)用 (Appli2)的執(zhí)行，實(shí)現(xiàn)代碼和數(shù)據(jù)，并且涉及被保證水平的功能安全性和完整性，所述安全 應(yīng)用（Appli2)能夠?qū)崿F(xiàn)安全功能； -訪問(wèn)（CT)共享存儲(chǔ)器空間（MEM)的部件； -所述第一處理器（CPU1)包括能夠?qū)崿F(xiàn)寫(xiě)入訪問(wèn)檢查的存儲(chǔ)器管理單元（MMU1)，用于 管理對(duì)于所述共享存儲(chǔ)器空間（MEM)的寫(xiě)入訪問(wèn)，所述對(duì)于所述共享存儲(chǔ)器空間（MEM)的 寫(xiě)入訪問(wèn)意欲當(dāng)所述安全應(yīng)用（Appli2)實(shí)現(xiàn)其安全功能時(shí)是不可修改的，通過(guò)下面的步 驟的實(shí)現(xiàn)來(lái)使得所述寫(xiě)入訪問(wèn)檢查是不可修改的： -在被分配到所述安全應(yīng)用的存儲(chǔ)器區(qū)域和被分配到所述不安全應(yīng)用的存儲(chǔ)器區(qū)域之 間分配所述共享存儲(chǔ)器空間（MEM); -實(shí)現(xiàn)預(yù)期地址的轉(zhuǎn)換的緩沖器（TLB1); -向所述預(yù)期地址的轉(zhuǎn)換的緩沖器（TLB1)內(nèi)裝載訪問(wèn)所述共享存儲(chǔ)器空間（MEM)的一 組規(guī)則，包括禁止所述不安全應(yīng)用在向所述安全應(yīng)用分配的存儲(chǔ)器區(qū)域的保留區(qū)域中寫(xiě)入 的規(guī)則； -向所述共享存儲(chǔ)器空間內(nèi)復(fù)制所述預(yù)期地址的轉(zhuǎn)換的緩沖器的圖像（TLBCPU1); -向所述預(yù)期地址的轉(zhuǎn)換的緩沖器的所述圖像（TLBCPU1)內(nèi)裝載用于禁止所述圖像在 所述預(yù)期轉(zhuǎn)換的緩沖器中的寫(xiě)入的規(guī)則； -通過(guò)所述存儲(chǔ)器管理單元（MMU1)來(lái)實(shí)現(xiàn)在所述預(yù)期地址的轉(zhuǎn)換的緩沖器的所述圖 像（TLBCPU1)中包含的訪問(wèn)規(guī)則。
2. 根據(jù)權(quán)利要求1所述的方法，而且在先前的步驟之后包括由下述構(gòu)成的步驟：驗(yàn)證 預(yù)期地址的轉(zhuǎn)換的緩沖器的完整性和與所述安全應(yīng)用（Appli2)對(duì)應(yīng)的代碼和數(shù)據(jù)的完整 性。
3. 根據(jù)權(quán)利要求1至2之一所述的方法，而且包括下述步驟：構(gòu)造安全CRC，CRC代表 循環(huán)冗余校驗(yàn)，旨在檢測(cè)傳輸或傳送的錯(cuò)誤，所述CRC與所述預(yù)期地址的轉(zhuǎn)換的緩沖器相 關(guān)聯(lián)。
4. 根據(jù)權(quán)利要求1至3之一所述的方法，而且在每一個(gè)步驟之后包括驗(yàn)證前一個(gè)行為 步驟的正確的進(jìn)展的步驟。
【文檔編號(hào)】G06F12/10GK104221028SQ201380016201
【公開(kāi)日】2014年12月17日 申請(qǐng)日期:2013年4月4日 優(yōu)先權(quán)日:2012年4月18日
【發(fā)明者】P.查皮爾, P.賈勞迪亞斯 申請(qǐng)人:施耐德電器工業(yè)公司