本發(fā)明屬于嵌入式系統(tǒng)技術(shù)領(lǐng)域,特別涉及嵌入式系統(tǒng)的安全存儲管理系統(tǒng)及方法。
背景技術(shù):
隨著嵌入式系統(tǒng)應(yīng)用技術(shù)的發(fā)展,對于現(xiàn)有嵌入式系統(tǒng)設(shè)備提出了更高的資源要求,同時隨著物聯(lián)網(wǎng)的發(fā)展導(dǎo)致設(shè)備的容易受到惡意攻擊,尤其在工業(yè)控制嵌入式設(shè)備、金融機具設(shè)備等對于系統(tǒng)可靠性、安全性要求較高的嵌入式設(shè)備,提出了系統(tǒng)性能、可靠性、安全性等方面的要求。
現(xiàn)有的嵌入式設(shè)備由于硬件系統(tǒng)性能、存儲資源的限制,往往忽略在性能優(yōu)化、可靠性設(shè)計、安全性設(shè)計的要求。同時嵌入式系統(tǒng)設(shè)備繁雜,存在不同的cpu架構(gòu)、不同的存儲架構(gòu)(寄存器、系統(tǒng)緩存、隨機存儲ram、閃存flash、電可編程存儲eeprom、只讀存儲rom、多次可編程存儲mtp),導(dǎo)致嵌入式系統(tǒng)設(shè)備從研發(fā)、生產(chǎn)的繁雜,不能形成統(tǒng)一的存儲資源優(yōu)化方案。
如專利申請201610118357.9公開了一種嵌入式系統(tǒng)內(nèi)存安全訪問控制的技術(shù)實現(xiàn)方法,包括以下步驟:1)內(nèi)存安全訪問機制的系統(tǒng)初始化設(shè)計:引入mpu內(nèi)存保護單元,分配不同等級的區(qū)域?qū)傩?,設(shè)定訪問屬性,設(shè)置系統(tǒng)初始化流程;2)嵌入式操作系統(tǒng)進程上下文切換的內(nèi)存安全訪問設(shè)計:設(shè)置區(qū)域控制模塊,設(shè)置系統(tǒng)進程上下文,并在區(qū)域控制模塊內(nèi)進行系統(tǒng)進程上下文的切換。本發(fā)明實現(xiàn)了通過處理器mpu硬件機制來檢測和限制系統(tǒng)各地址空間資源的非法訪問;實現(xiàn)了嵌入式實時多任務(wù)操作系統(tǒng)任何一個任務(wù)非法訪問其他任務(wù)資源的邊界控制及上下文切換;實現(xiàn)了系統(tǒng)中不同存儲空間cache、寫緩沖及mpu屬性的分配和設(shè)計,確保內(nèi)存各背景區(qū)域安全訪問控制。該申請只是從內(nèi)存的一個方面實現(xiàn)安全訪問的控制,只是根據(jù)一種情況實現(xiàn)安全控制,仍然存在上述的不能形成統(tǒng)一的存儲資源優(yōu)化方案的問題。
技術(shù)實現(xiàn)要素:
針對上述問題,本發(fā)明的目的在于提供一種嵌入式設(shè)備安全存儲管理系統(tǒng)及方法,該系統(tǒng)及方法針對資源匱乏的嵌入式小系統(tǒng)的存儲資源管理方案,充分發(fā)掘系統(tǒng)的資源利用率,同時增加安全校驗機制,可應(yīng)用在各種嵌入式系統(tǒng)設(shè)備中,可以通過對系統(tǒng)存儲資源的靜態(tài)和動態(tài)管理,提升系統(tǒng)存儲資源的使用效率,并由于獨特的安全性管理設(shè)計,提升嵌入式設(shè)備的系統(tǒng)的可靠性、安全性。
本發(fā)明的另一個目的在于提供一種嵌入式設(shè)備安全存儲管理系統(tǒng)及方法,該系統(tǒng)及方法可廣泛的應(yīng)用在嵌入式系統(tǒng)設(shè)備存儲資源匱乏,系統(tǒng)可靠性、穩(wěn)定性要求較高,如工業(yè)控制用嵌入式設(shè)備;及對系統(tǒng)安全性要求較高的場景中,如金融應(yīng)用設(shè)備pos機、金融應(yīng)用密碼鍵盤等。通過集成本發(fā)明提供的安全存儲方案,可以充分發(fā)揮現(xiàn)有系統(tǒng)的存儲資源使用率,并可降低同等性能條件下對于嵌入式系統(tǒng)設(shè)備硬件資源的要求。
為實現(xiàn)上述目的,本發(fā)明的技術(shù)方案為:
一種嵌入式設(shè)備安全存儲管理系統(tǒng),其特征在于該系統(tǒng)至少包括有:系統(tǒng)架構(gòu)及存儲資源描述子系統(tǒng)、存儲資源分配子系統(tǒng)、存儲資源回收子系統(tǒng)、存儲資源安全管理子系統(tǒng);其中,系統(tǒng)架構(gòu)及存儲資源描述子系統(tǒng)用于提供緊湊型嵌入式系統(tǒng)cpu系統(tǒng)架構(gòu)和存儲資源描述,如cpu架構(gòu)體系、寄存器、隨機讀寫存儲器ram、緩存cache、只讀存儲器rom、可編程存儲器eeprom、閃存flash、多次可編程存儲mtp等存儲資源的大小、存儲資源起始結(jié)束地址、存儲資源特殊使用限制等信息;存儲器資源分配子系統(tǒng)通過系統(tǒng)架構(gòu)及存儲資源描述子系統(tǒng)提供的信息建立存儲資源池,并根據(jù)嵌入式系統(tǒng)的應(yīng)用要求,高效的進行靜態(tài)、動態(tài)對存儲資源池中存儲資源的分配;存儲器資源回收子系統(tǒng),根據(jù)嵌入式系統(tǒng)應(yīng)用的情況,對系統(tǒng)釋放的存儲資源進行回收管理,對應(yīng)用暫不使用未來要使用的數(shù)據(jù)進行壓縮和解壓縮,動態(tài)高效利用存儲資源;存儲資源安全管理子系統(tǒng),對存儲器資源分配子系統(tǒng)分配給應(yīng)用使用的存儲資源進行監(jiān)控,可及時發(fā)現(xiàn)存儲資源非法訪問、棧溢出、存儲資源物理損壞等影響系統(tǒng)安全、可靠運行的異常情況。
本發(fā)明提供的嵌入式設(shè)備安全存儲管理系統(tǒng)以源代碼形式、庫代碼、應(yīng)用程序調(diào)用接口api(applicationprogramminginterface)、應(yīng)用程序二進制接口abi(applicationbinaryinterface)等形式集成在嵌入式系統(tǒng)應(yīng)用代碼中,達到對嵌入式系統(tǒng)存儲資源的高效、安全、便捷利用。
所述系統(tǒng)架構(gòu)及存儲資源描述子系統(tǒng)至少包括系統(tǒng)架構(gòu)描述單元和系統(tǒng)存儲資源描述單元。
進一步地,系統(tǒng)架構(gòu)描述單元至少包含嵌入式mcu的cpu架構(gòu)、mcu總線架構(gòu)。
進一步地,系統(tǒng)存儲資源描述單元至少包含對嵌入式mcu的存儲器大小、地址、使用限制等描述。
所述存儲器資源分配子系統(tǒng)至少包括存儲資源池、系統(tǒng)存儲資源分配。
進一步地,所述系統(tǒng)資源池,完成對系統(tǒng)架構(gòu)及存儲描述子系統(tǒng)所描述的嵌入式系統(tǒng)所能提供存儲資源的系統(tǒng)資源池的建立。所述系統(tǒng)存儲資源子系統(tǒng)分配根據(jù)嵌入式系統(tǒng)的應(yīng)用要求,高效的進行靜態(tài)或動態(tài)對存儲資源池中存儲資源的分配。
所述存儲資源回收子系統(tǒng)至少具有對已釋放存儲資源回收、暫不使用存儲資源所對應(yīng)數(shù)據(jù)的壓縮和解壓縮功能;同時,根據(jù)已釋放存儲資源回收可根據(jù)嵌入式系統(tǒng)應(yīng)用的情況,對系統(tǒng)釋放的存儲資源進行回收管理。
所述存儲資源回收子系統(tǒng)對暫不使用存儲資源所對應(yīng)數(shù)據(jù)的壓縮和解壓縮,特別是暫不使用而未來要使用的數(shù)據(jù)進行壓縮和解壓縮,以動態(tài)高效利用存儲資源。
所述存儲資源安全管理子系統(tǒng)至少具有存儲器資源數(shù)據(jù)的安全散列hash標(biāo)記和存儲器資源數(shù)據(jù)監(jiān)控檢查功能。
進一步地,存儲器資源數(shù)據(jù)的安全散列hash標(biāo)記至少完成對關(guān)鍵數(shù)據(jù)的安全散列hash計算,并將該段數(shù)據(jù)塊的安全散列hash值存儲在數(shù)據(jù)塊間隙中。
進一步地,所述存儲器資源數(shù)據(jù)監(jiān)控檢查是完成對存儲在存儲器數(shù)據(jù)塊間隙中的安全散列hash值的監(jiān)控和檢查。
一種嵌入式設(shè)備安全存儲管理方法,其流程如下;
101、系統(tǒng)啟動;
102、系統(tǒng)架構(gòu)及存儲資源描述子系統(tǒng)提供信息流;
103、存儲資源分配子系統(tǒng)根據(jù)上述信息建立存儲器資源池;
104、運行嵌入式應(yīng)用程序;
105、存儲資源安全管理子系統(tǒng)對于已分配存儲器資源池的存儲器所存儲的資源進行監(jiān)控;
106、根據(jù)已釋放存儲資源回收可根據(jù)嵌入式系統(tǒng)應(yīng)用的情況,存儲資源回收子系統(tǒng)對已釋放存儲資源回收,對暫不使用存儲資源所對應(yīng)數(shù)據(jù)的壓縮和解壓縮;
107、結(jié)束。
所述步驟103中,存儲器資源分配子系統(tǒng)通過系統(tǒng)架構(gòu)及存儲資源描述子系統(tǒng)提供的信息建立存儲資源池,并根據(jù)嵌入式系統(tǒng)的應(yīng)用要求,高效的進行靜態(tài)、動態(tài)對存儲資源池中存儲資源的分配。
所述步驟105中,所述所存儲資源安全管理子系統(tǒng)對存儲器資源數(shù)據(jù)的安全散列hash標(biāo)記和存儲器資源數(shù)據(jù)監(jiān)控檢查功能。
進一步地,存儲資源安全管理子系統(tǒng)對存儲器資源數(shù)據(jù)的安全散列hash標(biāo)記至少完成對關(guān)鍵數(shù)據(jù)的安全散列hash計算,并將該段數(shù)據(jù)塊的安全散列hash值存儲在數(shù)據(jù)塊間隙中。
本發(fā)明所實現(xiàn)的嵌入式設(shè)備安全存儲管理系統(tǒng),其有益效果是:
1,本發(fā)明的嵌入式安全存儲管理系統(tǒng)可集成在現(xiàn)有嵌入式系統(tǒng)中,尤其對于資源緊湊型嵌入式系統(tǒng)應(yīng)用。
2,本發(fā)明的嵌入式安全存儲管理系統(tǒng)通過特殊的存儲資源分配、回收管理機制,可提升系統(tǒng)存儲資源的可靠性。
3,本發(fā)明的嵌入式安全存儲管理系統(tǒng)通過特殊的存儲資源校驗機制,可提升系統(tǒng)的可靠性、安全性;
附圖說明
圖1為本發(fā)明所實施的結(jié)構(gòu)框圖。
圖2為本發(fā)明所實施的控制流程圖。
具體實施方式
為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白,以下結(jié)合附圖及實施例,對本發(fā)明進行進一步詳細說明。應(yīng)當(dāng)理解,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
圖1所示,為本發(fā)明所實現(xiàn)的嵌入式設(shè)備安全存儲管理系統(tǒng)。圖中所示,嵌入式安全存儲管理系統(tǒng)10包括系統(tǒng)架構(gòu)及存儲資源描述子系統(tǒng)101、存儲資源分配子系統(tǒng)102、存儲資源回收子系統(tǒng)103、存儲資源安全管理子系統(tǒng)104。其中系統(tǒng)架構(gòu)及存儲資源描述子系統(tǒng)101與存儲資源分配子系統(tǒng)102連接,為存儲資源分配子系統(tǒng)102提供完整的嵌入式系統(tǒng)架構(gòu)和存儲資源信息。存儲資源分配子系統(tǒng)102根據(jù)系統(tǒng)架構(gòu)及存儲資源描述子系統(tǒng)101提供的信息建立存儲器資源池,并為嵌入式系統(tǒng)應(yīng)用提供存儲器資源對應(yīng)的已分批存儲器資源池。存儲資源分配子系統(tǒng)102與存儲資源安全管理子系統(tǒng)104共享相關(guān)存儲器資源分配信息,并根據(jù)存儲資源安全管理子系統(tǒng)104需求分配安全存儲管理系統(tǒng)所需的存儲器資源。存儲資源回收子系統(tǒng)103與存儲資源安全管理子系統(tǒng)104連接,根據(jù)需求回收系統(tǒng)存儲器資源,將系統(tǒng)已釋放的已分配存儲器資源池的存儲器資源回收到系統(tǒng)的存儲器資源池。存儲資源安全管理子系統(tǒng)104對于已分配存儲器資源池的存儲器所存儲的資源進行監(jiān)控。
嵌入式系統(tǒng)的應(yīng)用處理能力主要取決于cpu計算資源、存儲器資源等,嵌入式操作系統(tǒng)是一種可以高效的管理嵌入式系統(tǒng)的cpu計算和存儲器資源的方案,但嵌入式操作系統(tǒng)本身運行又需要消耗大量的cpu計算資源和存儲器資源,同時由于大量的嵌入式系統(tǒng)的cpu計算資源、存儲器資源本身不足以運行操作系統(tǒng),因此存在大量的嵌入式應(yīng)用系統(tǒng)無法利用嵌入式操作系統(tǒng)來管理和高效利于嵌入式系統(tǒng)資源。針對此類資源緊湊型系統(tǒng),在嵌入式系統(tǒng)開發(fā)應(yīng)用中,cpu資源利用主要受到嵌入式系統(tǒng)應(yīng)用需求決定,存儲器資源的使用依賴于所使用的嵌入式cpu的系統(tǒng)架構(gòu),并極大的受到所研發(fā)嵌入式系統(tǒng)人員編程能力的制約和影響,導(dǎo)致完成相同的嵌入式應(yīng)用需求,不同研發(fā)人員所需要的系統(tǒng)資源存在極大的差異,造成嵌入式系統(tǒng)資源浪費。因此如何管理和使用緊湊型嵌入式系統(tǒng)寶貴的cpu計算資源和存儲器資源,成為亟待解決的問題,本發(fā)明提供嵌入式設(shè)備安全存儲管理系統(tǒng),不需要消耗較多cpu計算資源和存儲資源,可以充分提高緊湊型嵌入式系統(tǒng)存儲資源的利用效率,同時提升系統(tǒng)存儲資源的安全性和可靠性,應(yīng)用該系統(tǒng)可以有效改善不同能力等級嵌入式系統(tǒng)研發(fā)人員相同應(yīng)用需求條件下對嵌入式系統(tǒng)資源的差異,達到高效、安全、便捷利用緊湊型嵌入式系統(tǒng)存儲資源的目的。
進一步,系統(tǒng)架構(gòu)及存儲資源描述子系統(tǒng)至少包括系統(tǒng)架構(gòu)描述單元和系統(tǒng)存儲資源描述單元。系統(tǒng)架構(gòu)描述單元至少包含嵌入式mcu的cpu架構(gòu)、mcu總線架構(gòu),系統(tǒng)存儲資源描述單元至少包含對嵌入式mcu的存儲器大小、地址、使用限制等描述。
所述存儲器資源分配子系統(tǒng)至少包括存儲資源池、系統(tǒng)存儲資源分配;系統(tǒng)資源池,完成對系統(tǒng)架構(gòu)及存儲描述子系統(tǒng)所描述的嵌入式系統(tǒng)所能提供存儲資源的系統(tǒng)資源池的建立。所述系統(tǒng)存儲資源子系統(tǒng)分配根據(jù)嵌入式系統(tǒng)的應(yīng)用要求,高效的進行靜態(tài)或動態(tài)對存儲資源池中存儲資源的分配。
存儲資源回收子系統(tǒng)會對暫不使用存儲資源所對應(yīng)數(shù)據(jù)的壓縮和解壓縮,特別是暫不使用而未來要使用的數(shù)據(jù)進行壓縮和解壓縮,以動態(tài)高效利用存儲資源。
存儲資源安全管理子系統(tǒng)至少具有存儲器資源數(shù)據(jù)的安全散列hash標(biāo)記和存儲器資源數(shù)據(jù)監(jiān)控檢查功能,具體地說,存儲器資源數(shù)據(jù)的安全散列hash標(biāo)記至少完成對關(guān)鍵數(shù)據(jù)的安全散列hash計算,并將該段數(shù)據(jù)塊的安全散列hash值存儲在數(shù)據(jù)塊間隙中;存儲器資源數(shù)據(jù)監(jiān)控檢查是完成對存儲在存儲器數(shù)據(jù)塊間隙中的安全散列hash值的監(jiān)控和檢查。
圖2為圖1所示嵌入式設(shè)備安全存儲管理系統(tǒng)的使用流程示意圖。嵌入式系統(tǒng)應(yīng)用開發(fā)者將安全存儲管理系統(tǒng)集成在其應(yīng)用系統(tǒng)中,通過系統(tǒng)架構(gòu)及存儲描述子系統(tǒng)提供所使用的嵌入式mcu的架構(gòu)、總線、存儲器資源等信息,通過存儲資源分配子系統(tǒng)獲得應(yīng)用需要的存儲器資源,并通過存儲器資源回收子系統(tǒng)回收已釋放的存儲器資源,在存儲器資源的使用過程中,所對應(yīng)的數(shù)據(jù)均被安全存儲管理子系統(tǒng)進行監(jiān)控保護。
具體流程如下所示;
101、系統(tǒng)啟動;
102、系統(tǒng)架構(gòu)及存儲資源描述子系統(tǒng)提供信息流;
103、存儲資源分配子系統(tǒng)根據(jù)上述信息建立存儲器資源池;存儲器資源分配子系統(tǒng)通過系統(tǒng)架構(gòu)及存儲資源描述子系統(tǒng)提供的信息建立存儲資源池,并根據(jù)嵌入式系統(tǒng)的應(yīng)用要求,高效的進行靜態(tài)、動態(tài)對存儲資源池中存儲資源的分配。
104、運行嵌入式應(yīng)用程序;
105、存儲資源安全管理子系統(tǒng)對于已分配存儲器資源池的存儲器所存儲的資源進行監(jiān)控;
所述所存儲資源安全管理子系統(tǒng)對存儲器資源數(shù)據(jù)的安全散列hash標(biāo)記和存儲器資源數(shù)據(jù)監(jiān)控檢查功能。
具體地說,存儲資源安全管理子系統(tǒng)對存儲器資源數(shù)據(jù)的安全散列hash標(biāo)記至少完成對關(guān)鍵數(shù)據(jù)的安全散列hash計算,并將該段數(shù)據(jù)塊的安全散列hash值存儲在數(shù)據(jù)塊間隙中。
106、根據(jù)已釋放存儲資源回收可根據(jù)嵌入式系統(tǒng)應(yīng)用的情況,存儲資源回收子系統(tǒng)對已釋放存儲資源回收,對暫不使用存儲資源所對應(yīng)數(shù)據(jù)的壓縮和解壓縮;
107、結(jié)束。
本發(fā)明與現(xiàn)有嵌入式存儲資源管理方案相比,除了可以滿足嵌入式對于存儲資源的不同應(yīng)用需求,通過獨特的存儲管理分配校驗方案,可以提升系統(tǒng)存儲資源的利用效率;通過應(yīng)用本發(fā)明的存儲管理方案檢測并發(fā)現(xiàn)外界干擾、攻擊,有效保證工業(yè)控制嵌入式系統(tǒng)、金融級嵌入式設(shè)備的可靠性、安全性。
本發(fā)明可廣泛應(yīng)用于工業(yè)控制嵌入式設(shè)備、金融應(yīng)用嵌入式設(shè)備等嵌入式應(yīng)用場合。
以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。