基于Trustzone的安全隔离方法、安全隔离装置及车载终端制造方法及图纸

本发明专利技术实施例公开了一种基于Trustzone的安全隔离方法，应用于车载终端，所述车载终端预先隔离出安全运行环境和普通运行环境；所述方法包括：在所述安全运行环境运行第一操作系统，所述第一操作系统用于访问与汽车控制相关的外部设备；在所述普通运行环境运行第二操作系统，所述第二操作系统用于访问与汽车控制无关的外部设备；其中，所述第一操作系统的安全性高于所述第二操作系统。本发明专利技术实施例中安全性较低的第二操作系统不能访问诸如汽车总线等与汽车控制相关的外设，可以提高车载终端的安全性。相应地，本发明专利技术实施例还公开了一种具有Trustzone架构的安全隔离装置及车载终端。

Safety isolation method, safety isolation device and vehicle terminal based on Trustzone

The embodiment of the present invention discloses a trustzone-based security isolation method for on-board terminals, which are pre-isolated from the safe operating environment and the normal operating environment; the method comprises: running a first operating system in the safe operating environment, the first operating system for access and vehicle control Relevant external devices; running a second operating system in the general operating environment for accessing external devices unrelated to vehicle control; wherein the first operating system is more secure than the second operating system. The second operating system with low security in the embodiment of the present invention can not access peripherals related to vehicle control such as automobile bus, and can improve the safety of on-board terminals. Accordingly, the embodiment of the present invention also discloses a safety isolation device with Trustzone architecture and a vehicle terminal.

【技术实现步骤摘要】
基于Trustzone的安全隔离方法、安全隔离装置及车载终端
本专利技术涉及汽车
，尤其涉及一种基于Trustzone的安全隔离方法、安全隔离装置及车载终端。
技术介绍
目前，控制器局域网络(ControllerAreaNetwork，CAN)总线在汽车领域得到了广泛的应用，很多世界知名的汽车制造厂商(如奔驰、宝马等)都采用了CAN总线来实现车载终端内部多个电子控制单元(ElectronicControlUnit，ECU)之间的数据通信。一般来讲，车载终端可以包括三类CAN总线，其中第一类CAN总线用于连接汽车驱动系统(或称为汽车控制系统)的各个ECU(包括发动机ECU、变速器ECU等)，第二类CAN总线用于连接车身控制系统的各个ECU(包括车门ECU、空调ECU)，第三类CAN总线用于连接汽车娱乐系统的各个ECU(包括音频ECU、远程通讯ECU等)。当车载终端具有远程控制功能时，由于需要通过第一类CAN总线对汽车驱动系统进行远程控制，其汽车娱乐系统的各个ECU也会直接连接到第一类CAN总线上。在这种情形下，有心人士只要攻破了汽车娱乐系统的任意一个部件，就能操作第一类CAN总线进而控制汽车驱动系统，使得车载终端的安全性大大降低。
技术实现思路
本专利技术实施例提供一种基于Trustzone的安全隔离方法、具有Trustzone架构的安全隔离装置及车载终端，可以提高车载终端的安全性。第一方面，本专利技术实施例提供了一种基于Trustzone的安全隔离方法，应用于车载终端，所述车载终端预先隔离出安全运行环境和普通运行环境，其中，所述安全运行环境的安全性高于所述普通运行环境；所述方法包括：在所述安全运行环境运行第一操作系统，所述第一操作系统用于访问与汽车控制相关的外部设备；在所述普通运行环境运行第二操作系统，所述第二操作系统用于访问与汽车控制无关的外部设备；其中，所述第一操作系统的安全性高于所述第二操作系统。可选地，所述车载终端的内存包括第一内存区域和第二内存区域，其中，所述第二内存区域的安全性高于所述第一内存区域；所述方法还包括：当处于所述普通运行环境时，若检测到第一切换事件，则进入监控模式，所述第一切换事件为接收到第一安全监控调用指令或接收到硬件异常机制的第一子集；在所述监控模式下将所述普通运行环境的第一状态信息存储至所述第一内存区域，并恢复所述安全运行环境的第二状态信息，所述第二状态信息存储在所述第二内存区域；在所述监控模式下将指定寄存器的模式标志位设置为0以进入所述安全运行环境。可选地，所述方法还包括：当处于所述安全运行环境时，若检测到第二切换事件，则进入所述监控模式，所述第二切换事件为接收到第二安全监控调用指令或接收到硬件异常机制的第二子集；在所述监控模式下将所述安全运行环境的第二状态信息存储至所述第二内存区域，并恢复所述普通运行环境的第一状态信息，所述第一状态信息存储在所述第一内存区域；在所述监控模式下将指定寄存器的模式标志位设置为1以进入所述普通运行环境。可选地，所述车载终端在所述普通运行环境下不能访问所述指定寄存器；所述方法还包括：当处于所述监控模式时，在所述安全运行环境运行所述第一操作系统。可选地，所述方法还包括：在接收到通电操作时，进入所述安全运行环境，并在所述安全运行环境运行第一引导程序；在所述第一引导程序运行结束后，运行第二引导程序；在所述第二引导程序运行结束后，启动所述第一操作系统；在所述第一操作系统启动结束后，进入所述普通运行环境，并在所述普通运行环境运行第三引导程序；在所述第三引导程序运行结束后，启动所述第二操作系统。可选地，在进入所述普通运行环境前，所述方法还包括：在所述安全运行环境配置所述第一操作系统以及所述第二操作系统的访问权限，以使所述第一操作系统用于访问与汽车控制相关的外部设备，所述第二操作系统用于访问与汽车控制无关的外部设备。第二方面，本专利技术实施例提供了一种具有Trustzone架构的安全隔离装置，所述装置预先隔离出安全运行环境和普通运行环境，其中，所述安全运行环境的安全性高于所述普通运行环境；所述装置包括：第一运行模块，用于在所述安全运行环境运行第一操作系统，所述第一操作系统用于访问与汽车控制相关的外部设备；第二运行模块，用于在所述普通运行环境运行第二操作系统，所述第二操作系统用于访问与汽车控制无关的外部设备；其中，所述第一操作系统的安全性高于所述第二操作系统。可选地，所述车载终端的内存包括第一内存区域和第二内存区域，其中，所述第二内存区域的安全性高于所述第一内存区域；所述装置还包括：第一切换模块，用于当处于所述普通运行环境时，若检测到第一切换事件，则进入监控模式，所述第一切换事件为接收到第一安全监控调用指令或接收到硬件异常机制的第一子集；第一存储模块，用于在所述监控模式下将所述普通运行环境的第一状态信息存储至所述第一内存区域；第一恢复模块，用于在所述监控模式下恢复所述安全运行环境的第二状态信息，所述第二状态信息存储在所述第二内存区域；第一设置模块，用于在所述监控模式下将指定寄存器的模式标志位设置为0以进入所述安全运行环境。可选地，所述装置还包括：第二切换模块，用于当处于所述安全运行环境时，若检测到第二切换事件，则进入所述监控模式，所述第二切换事件为接收到第二安全监控调用指令或接收到硬件异常机制的第二子集；第二存储模块，用于在所述监控模式下将所述安全运行环境的第二状态信息存储至所述第二内存区域；第二恢复模块，用于在所述监控模式下恢复所述普通运行环境的第一状态信息，所述第一状态信息存储在所述第一内存区域；第二设置模块，用于在所述监控模式下将所述指定寄存器的模式标志位设置为1以进入所述普通运行环境。可选地，所述装置在所述普通运行环境下不能访问所述指定寄存器；所述第二运行模块，还用于当处于所述监控模式时，在所述安全运行环境运行所述第一操作系统。可选地，所述装置还包括：第三运行模块，用于在接收到通电操作时，进入所述安全运行环境，并在所述安全运行环境运行第一引导程序；所述第三运行模块，还用于在所述第一引导程序运行结束后，运行第二引导程序；启动模块，用于在所述第二引导程序运行结束后，启动所述第一操作系统；第三运行模块，还用于在所述第一操作系统启动结束后，进入所述普通运行环境，并在所述普通运行环境运行第三引导程序；所述启动模块，还用于在所述第三引导程序运行结束后，启动所述第二操作系统。可选地，所述装置还包括：配置模块，用于在进入所述普通运行环境前，在所述安全运行环境配置所述第一操作系统以及所述第二操作系统的访问权限，以使所述第一操作系统用于访问与汽车控制相关的外部设备，所述第二操作系统用于访问与汽车控制无关的外部设备。第三方面，本专利技术实施例提供了一种车载终端，所述车载终端包括处理器和存储器，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行上述第一方面的方法。第四方面，本专利技术实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行上述第一方面的方法。本专利技术实施例通过在车载终端中隔离出安全运行环境和普通运行环境，并严格控制安全运行本文档来自技高网...

【技术保护点】
1.一种基于Trustzone的安全隔离方法，其特征在于，应用于车载终端，所述车载终端预先隔离出安全运行环境和普通运行环境，其中，所述安全运行环境的安全性高于所述普通运行环境；所述方法包括：在所述安全运行环境运行第一操作系统，所述第一操作系统用于访问与汽车控制相关的外部设备；在所述普通运行环境运行第二操作系统，所述第二操作系统用于访问与汽车控制无关的外部设备；其中，所述第一操作系统的安全性高于所述第二操作系统。

【技术特征摘要】
1.一种基于Trustzone的安全隔离方法，其特征在于，应用于车载终端，所述车载终端预先隔离出安全运行环境和普通运行环境，其中，所述安全运行环境的安全性高于所述普通运行环境；所述方法包括：在所述安全运行环境运行第一操作系统，所述第一操作系统用于访问与汽车控制相关的外部设备；在所述普通运行环境运行第二操作系统，所述第二操作系统用于访问与汽车控制无关的外部设备；其中，所述第一操作系统的安全性高于所述第二操作系统。2.根据权利要求1所述的方法，其特征在于，所述车载终端的内存包括第一内存区域和第二内存区域，其中，所述第二内存区域的安全性高于所述第一内存区域；所述方法还包括：当处于所述普通运行环境时，若检测到第一切换事件，则进入监控模式，所述第一切换事件为接收到第一安全监控调用指令或接收到硬件异常机制的第一子集；在所述监控模式下将所述普通运行环境的第一状态信息存储至所述第一内存区域，并恢复所述安全运行环境的第二状态信息，所述第二状态信息存储在所述第二内存区域；在所述监控模式下将指定寄存器的模式标志位设置为0以进入所述安全运行环境。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：当处于所述安全运行环境时，若检测到第二切换事件，则进入所述监控模式，所述第二切换事件为接收到第二安全监控调用指令或接收到硬件异常机制的第二子集；在所述监控模式下将所述安全运行环境的第二状态信息存储至所述第二内存区域，并恢复所述普通运行环境的第一状态信息，所述第一状态信息存储在所述第一内存区域；在所述监控模式下将所述指定寄存器的模式标志位设置为1以进入所述普通运行环境。4.根据权利要求2所述的方法，其特征在于，所述车载终端在所述普通运行环境下不能访问所述指定寄存器；所述方法还包括：当处于所述监控模式时，在所述安全运行环境运行所述第一操作系统。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：在接收到通电操作时，进入所述安全运行环境，并在所述安全运行环境运行第一引导程序；在所述第一引导程序运行结束后，运行第二引导程序；在所述第二引导程序运行结束后，启动所述第一操作系统；在所述第一操作系统启动结束后，进入所述普通运行环境，并在所述普通运行环境运行第三引导程序；在所述第三引导程序运行结束后，启动所述第二操作系统。6.根据权利要求5所述的方法，其特征在于，在进入所述普通运行环境前，所述方法还包括：在所述安全运行环境配置所述第一操作系统以及所述第二操作系统的访问权限，以使所述第一操作系统用于访问与汽车控制相关的外部设备，所述第二操作系统用于访问与汽车控制无关的外部设备。7.一种具有Trustzone架构的安全隔离装置，其特征在于，所述装置预先隔离出安全运行环境和普通运行环境，其中，所述安全运行环境的安全性高于所述普通运行环境；所述装置包括：第一运行模块，用于在所述安全运行环境运行第一操作系统，所述第一操作系统用于访...

【专利技术属性】
技术研发人员：刘均，龙德帆，刘新，
申请(专利权)人：深圳市元征科技股份有限公司，
类型：发明
国别省市：广东,44