用于为虚拟化系统(106)中的安全相关的特定于域的应用程序(112
【技术实现步骤摘要】
为安全相关应用程序提供安全执行环境的方法、系统和域
[0001]本专利技术涉及一种用于为安全相关的应用程序提供安全执行环境的方法、系统和域。
技术介绍
[0002]从现有技术公知安全扩展,例如基于POSIX的系统的安全扩展,这些安全扩展通常基于特殊的TEE,即可信执行环境(Trusted Execution Environment)。例如,TEE基于片上系统、即Sytem on Chip、即SoC或者微处理器内核的硬件扩展。TEE在内核层面作为最高特权执行模式来被提供,该最高特权执行模式甚至高于操作系统或管理程序层面。
[0003]现有的TEE软件实现并未确保功能安全。这对于消费类设备、诸如智能电话来说是可接受的,原因在于在这些消费类设备的情况下防操纵是首要任务。这些设备不必满足关于功能安全的高要求。在关于功能安全方面必须满足高要求的系统中,这种以最高特权级别来运行并控制HW(硬件)资源的非功能安全的安全环境违反了这些目标。存在一些扩展,这些扩展将一些操作系统/调度机制引入该TEE域(以便能够实现第三方提供商等等的集成,例如基于ARM信任区(ARM
‑
Trust
‑
Zone)),但是这里的重点也在于安全和隔离问题而不是在于Safety。主要因为用于这些系统的主TEE框架(包括OS(操作系统)隔离能力在内)也不符合安全要求。
[0004]对于具有对功能安全的高要求的多域系统来说,当前的TEE系统的应用范围非常有限。这些TEE系统要么完全控制SoC,但是不支持任何安全目标,要么在单个域内运行并且不向其它域提供安全接口。
技术实现思路
[0005]实施方式涉及一种用于为虚拟化系统中的安全相关的特定于域的应用程序提供安全执行环境的方法,在该虚拟化系统中,至少两个虚拟机共享借助于管理程序来虚拟化的硬件层,其中在硬件层与应用层之间设置中间件层,其中该中间件层被设立用于提供用来执行安全域的至少一个安全相关的特定于域的应用程序的安全执行环境和用来执行另一域的至少一个其它特定于域的应用程序的至少一个其它执行环境,其中该安全域被设立为满足Safety要求和Security要求。
[0006]域是指由该虚拟化系统来提供的整体功能的特定范围。该范围包括该系统的对于执行特定于域的应用程序来说所需的部分。例如,域可包括一个或多个控制设备和将所述一个或多个控制设备连接的数据线。
[0007]安全域包括安全相关的特定于域的应用程序。其它域例如是质量相关域、即QM域、通信域,等等。
[0008]Security尤其是指操纵安全,例如防止来自外部的攻击,尤其是密码攻击和边信道攻击。
[0009]Safety是指功能安全。对于汽车领域中的应用程序来说,功能安全例如依据风险
分类方案ASIL来被规定,该风险分类方案在ISO 26262标准——用于道路车辆的功能安全(Safety)——下被限定。该标准限定了四个ASIL级别A至D。ASIL D规定了对产品的最高完整性要求,ASIL A规定了对产品的最低完整性要求。
[0010]提出:建立单独的安全域,该安全域不仅满足Safety要求而且满足Security要求。因此,安全相关的应用程序不再需要被集成到具有最高特权的TEE中,其中该TEE尤其是只满足Security要求但是不满足Safety要求。
[0011]相比于从现有技术中已知的硬件/软件TEE,该单独的安全域具有如下优点:在该安全域的情况下,不依赖于开源软件(Open
‑
Source
‑
Software)、诸如ARM可信固件,并且因此不存在OSS维护花费。该安全域独立于底层操作系统和管理程序支持。因此,移植花费低并且在操作系统和/或管理程序提供商的选择方面的灵活性更高。无论如何,密钥存储都是在硬件平台上的特定的安全硬件元素的一部分。因此,使用TEE来在那里存储密钥没有任何益处。
[0012]有利地,安全域的安全相关的进程和所属的POSIX进程与在该域中的任何其它进程一样地被计划。尤其不需要切换到特殊的硬件TEE层面上。因此,可以减少性能开销和时延并且满足安全和实时要求。
[0013]所描述的系统被设计为:在底层硬件的不同组合上托管各种类型的执行环境。该系统例如可以被用作车载计算机(Vehicle Computer)、车辆计算机、(跨)域ECU、区域ECU、车辆网关ECU或者充当车辆网关ECU的从机的域控制器的基础。
[0014]按照一个实施方式,规定:尤其是借助于调度(Scheduling),计划安全域的进程和/或任务的随时间的执行。这例如借助于调度器、尤其是灵活的、资源感知的调度器来实现,该调度器用于计划用来由安全域执行的进程和/或任务(“Tasks”)。有利地,这样例如也可以给出运行时保证,并且可以满足安全和实时规范、尤其是关于功能安全的安全和实时规范。进程和任务包括安全相关的特定于域的应用程序的进程和任务以及安全域的所属的操作系统相关的进程、尤其是Posix OS进程。
[0015]按照一个实施方式,规定:基于任务和/或进程地来计划安全域的安全相关的任务和/或安全相关的进程的随时间的执行。有利地,进行该调度,使得能够实现对安全相关的任务和/或安全相关的进程的异步执行。由此,可以改善实时响应能力并且借此可以改善对Safety和/或Security要求的满足。在安全执行环境的进程和/或任务层面的调度能够实现关于Safety和Security要求方面的灵活使用。
[0016]该安全域实现了可被用于支持整个中间件层的手段。这些手段例如包括:访问安全域的中央安全机制。该访问例如可以由其它域来控制。这些安全机制例如包括密钥、证书以及跨域的、尤其是安全的通信和通知方式。
[0017]此外,安全域可以被集成到平台的整个安全环境中,并且例如可以提供安全启动,也公知为信任根(Root of Trust),和/或可以提供安全更新选项。
[0018]按照一个实施方式,规定:安全域不仅访问硬件层的安全相关的硬件资源而且访问硬件层的非安全相关的、尤其是性能相关的硬件资源。
[0019]安全相关的硬件资源包括特权硬件资源,这些特权硬件资源尤其包括不同的特权级别,尤其是至少一个最高特权级别。特权硬件资源例如是密钥存储器、随机数生成器和其它密码元素。
[0020]非安全相关的、尤其是性能相关的硬件资源包括如下硬件资源,这些硬件资源被设立用于满足非安全关键的实时要求和/或非安全关键的确定性要求。非安全相关的、尤其是性能相关的硬件资源例如是CPU定时器、看门狗定时器(Watchdog Timer)。
[0021]通过访问安全相关的和非安全相关的硬件资源、但是尤其是还有计算资源和存储资源的共享的且协调的使用,安全域不仅满足关于Security方面的要求而且满足关于Safety方面的要求。
[0022]通过安全域对安全相关的硬件资源和非安全相关的、尤其是性能相关的硬件资源的访问,尤本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于为虚拟化系统(106)中的安全相关的特定于域的应用程序(112
‑
1)提供安全执行环境(116
‑
1)的方法,在所述虚拟化系统中,至少两个虚拟机(110)共享借助于管理程序(108)来虚拟化的硬件层(102),其中在所述硬件层(102)与应用层(112)之间设置中间件层(114),其中所述中间件层(114)被设立用于提供用来执行安全域(118
‑
1)的至少一个安全相关的特定于域的应用程序(112
‑
1)的安全执行环境(116
‑
1)和用来执行另一域(118)的至少一个其它特定于域的应用程序(112)的至少一个其它执行环境(116),其中所述安全域(118
‑
1)被设立为满足Safety要求和Security要求。2.根据权利要求1所述的方法,其中尤其是借助于调度,计划所述安全域(118
‑
1)的进程和/或任务的随时间的执行。3.根据上述权利要求中至少任一项所述的方法,其中基于任务和/或进程地来计划所述安全域(118
‑
1)的安全相关的任务和/或安全相关的进程的随时间的执行。4.根据上述权利要求中至少任一项所述的方法,其中所述安全域(118
‑
1)不仅访问所述硬件层(102)的安全相关的硬件资源(102
‑
1),而且访问所述硬件层的非安全相关的、尤其是性能相关的硬件资源(102
‑
2)。5.根据上述权利要求中至少任一项所述的方法,其中所述安全域(118
‑
1)在所述硬件层(102)的单独的硬件平台(102a、102b)、尤其是单独的硬件芯片上运行。6.根据权利要求1至5中至少任一项所述的方法,其中所述安全域在所述硬件层(102)的硬件平台(102a)的单独的硬件单元(104
‑
1)上运行,其中另一域(118)在所述硬件平台(102a)的另一硬件单元(104)上运行。7.根据权利要求1至5中至少任一项所述的方法,其中所述安全域在所述硬件层(1...
【专利技术属性】
技术研发人员:B,
申请(专利权)人:罗伯特,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。