CN109446847B - 双系统外设资源的配置方法、终端设备及存储介质 - Google Patents

Abstract

本发明公开一种双系统外设资源的配置方法，包括如下步骤，S0：外设资源配置文件加密，S1：安全操作系统对外设资源配置文件解密，S2：将外设资源配置文件存储到安全存储专区，S3：解析外设资源配置文件，获取安全外设资源列表和非安全外设资源列表，S4：非安全外设资源列表存储到内存共享区，安全外设资源列表存储到安全存储专区，S5：安全操作系统访问安全存储专区，读取安全外设资源列表，根据其配置信息设置外设资源为安全状态，并加载其设备驱动，S6：安全操作系统切换到非安全操作系统，S7：非安全操作系统读取非安全外设资源列表，S8：根据非安全外设资源列表中的配置信息对外设资源进行设备驱动的加载或不加载。

Description

双系统外设资源的配置方法、终端设备及存储介质

技术领域

本发明涉及系统安全技术领域，具体是一种双系统外设资源的配置方法、终端设备及存储介质。

背景技术

随着汽车智能网联技术的不断发展，汽车变为由近百种ECU通过内部车载网络进行全面的监测和控制，虽然这大大提升了用户体验，但却成为黑客攻击的新目标，使汽车存在安全隐患。此外，汽车内部系统先天缺失的安全防范会引发一系列的汽车攻击，如汽车远程劫持、通过云端侵入汽车控制系统等，导致汽车上的设备产生错误的数据，对驾驶员产生误导和干扰，从而造成交通事故，汽车被盗等严重的后果。

因此，汽车上急需安全双系统的终端产品。使用ARM TrustZone安全构架技术，开发了安全双系统以构建终端设备上的安全防御体系。为避免MCU的外设资源遭受外部黑客的攻击，导致严重的后果，需要在安全操作系统启动的时候把外设资源配置为对非安全操作系统不可访问，只有安全双系统通过安全监控模块SMC切换到安全操作系统下才能访问该外设资源，这样就可以对产生敏感数据的设备，进行安全隔离，从硬件上实现外设资源对普通操作系统的隔离，从而有效的抵御攻击，减少安全隐患，达到安全防御的目的。然而，目前对外设资源的安全隔离设置，需要分别修改非安全系统和安全系统的代码，这不利于代码的维护和管理，也不利于研发人员检查缺陷，扩大了问题的定位范围，影响工作效率，同时存在一定的安全漏洞。

发明内容

为了解决上述问题，本发明提供一种双系统外设资源的配置方法、终端设备及存储介质，采用双系统共享的一个加密的MCU外设资源安全与非安全状态的配置文件，即可实现安全操作系统与非安全操作系统对外设资源访问权限的设置，达到外设资源隔离的目的，并且该过程，始终保证解密秘钥和安全外设配置列表只允许安全操作系统访问，对于非安全端只提供非安全外设配置列表的读操作，防止了非安全端的恶意篡改配置文件。这样不但有效解决外设资源的隔离设置所产生的不利缺陷，而且保证了配置列表的安全性，有效提升了系统的安全性。

本发明一种双系统外设资源的配置方法，包括如下步骤：

S0：外设资源配置文件加密，进入S1步骤；

S1：双系统中的安全操作系统启动，对外设资源配置文件进行解密，进入S2步骤；

S2：分配一块内存空间作为安全存储专区，并设置该安全存储专区为安全操作系统能够访问，非安全操作系统无法访问，将S1中解密后的外设资源配置文件存储到该安全存储专区，进入S3步骤；

S3：对S2中的外设资源配置文件进行解析，获取安全外设资源列表和非安全外设资源列表，进入S4步骤；

S4：分配一块内存空间作为内存共享区，内存共享区设置为安全操作系统和非安全操作系统均能够访问，将S3中获取的非安全外设资源列表以只读模式存储到该内存共享区中，而安全外设资源列表则存储到S2中分配的安全存储专区中，进入S5步骤；

S5：安全操作系统访问安全存储专区，读取安全外设资源列表，根据安全外设资源列表中的配置信息设置相应的外设资源为安全状态，并加载安全状态的外设资源的设备驱动，此时安全状态的外设资源只能被安全操作系统访问，进入S6步骤；

S6：双系统进入Monitor模式，由安全操作系统切换到非安全操作系统，进入S7步骤；

S7：非安全操作系统访问内存共享区，读取非安全外设资源列表，进入S8步骤；

S8：非安全操作系统根据非安全外设资源列表中的配置信息进行外设资源的设备树节点的过滤，根据设备树节点的过滤结果对相应的外设资源进行设备驱动的加载或不加载，此时非安全操作系统只能访问加载设备驱动的外设资源，不能访问未加载设备驱动的外设资源。

进一步的，S0中，加密的外设资源配置文件存储于非易失存储器，而解密密钥烧录到安全操作系统才能访问的片上系统。

更进一步的，S1中，安全操作系统启动后，使用片上系统的解密密钥对外设资源配置文件进行解密。

进一步的，S3中，对S2中的外设资源配置文件进行解析，获取安全外设资源列表和非安全外设资源列表，具体为：安全操作系统根据读取的外设资源配置文件的信息，提取出各外设资源的状态属性，根据各外设资源的状态属性值，将安全状态属性的外设资源存储到安全外设资源列表中，非安全状态属性的外设资源存储到非安全外设资源列表中。

进一步的，S5中，根据安全外设资源列表中的配置信息设置相应的外设资源为安全状态，具体为：根据安全外设资源列表中的外设名称，安全操作系统对外设名称所对应的外设资源的寄存器进行设置，将寄存器的安全读写访问位置设置为1，非安全读写访问位置设置为0。

进一步的，S8中，设备树节点的过滤和根据设备树节点的过滤结果对相应的外设资源进行设备驱动的加载或不加载，具体为：

非安全操作系统解析设备树；

从设备树提取设备树节点名称；

从非安全外设资源列表中提取外设资源名称；

对比设备树节点名称和外设资源名称是否相同，若相同，则不过滤该设备树节点，并加载该设备树节点对应的设备驱动，若不同，则过滤该设备树节点，不加载该设备树节点对应的设备驱动。

本发明一种双系统外设资源的配置终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现双系统外设资源的配置方法的步骤。

本发明一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现双系统外设资源的配置方法的步骤。本发明的有益效果：

一方面，通过使用双系统安全端的一个MCU外设资源安全与非安全状态的配置文件，即可实现非安全操作系统和安全操作系统对MCU外设资源的访问权限的设置，为双系统提供了外设资源分配的统一接口；另一方面，对配置资源文件进行了加密，并且解密秘钥和安全外设配置列表只允许安全操作系统访问，对于非安全端只提供非安全外设配置列表的读操作，防止了非安全端的恶意篡改配置文件。这样，既解决了外设资源配置的安全性，又保证了程序开发的便捷性。

附图说明

图1为本发明实施例一的方法流程图；

图2为本发明实施例一的外设资源配置文件的解析过程示意图；

图3为本发明实施例一的设备树节点的过滤过程示意图。

具体实施方式

为进一步说明各实施例，本发明提供有附图。这些附图为本发明揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。图中的组件并未按比例绘制，而类似的组件符号通常用来表示类似的组件。

现结合附图和具体实施方式对本发明进一步说明。

使用TrustZone技术的安全双系统，其支持的ARM平台上运行着两个操作系统，一个是普通操作系统(即非安全操作系统)，另一个是安全操作系统，并采用安全监控模块SMC，使ARM处于监控(Monitor)模式下，进行双系统的切换；其支持把平台上的外设设备资源划分成安全外设资源和非安全外设资源，安全的操作系统可以访问安全和非安全的所有外设资源，而非安全操作系统只能访问处于非安全状态的外设资源。

双系统外设资源的安全配置方法就是要实现对硬件平台外设资源的安全与非安全状态的设置，实现SMC将系统切换到安全操作系统下才能访问安全外设资源，切换到普通操作系统只能访问非安全外设资源。具体方法如图示1所示。

实施例一：

请参阅图1-图3所示，本发明提供了一种双系统外设资源的配置方法。

本发明所阐述的方法具体过程如下：

(1)双系统启动之前，将配置MCU外设资源安全与非安全状态的外设资源配置文件，经过加密之后，将密文下载到非易失性存储器，并将解密密钥烧录到安全操作系统才能访问的片上系统SOC上。

(2)双系统启动，安全操作系统先启动，使用soc的解密密钥解密外设资源配置文件的密文。

(3)分配一块安全操作系统使用的内存空间，即安全存储专区，这块内存空间是非安全操作系统无法访问的，然后将过程(2)中解密后的外设资源配置文件存储到该安全存储专区。

(4)对安全存储专区中的外设资源配置文件进行解析，得到安全外设资源列表和非安全外设资源列表。

(5)分配一块安全操作系统和非安全操作系统都可以使用的内存共享区，将过程(4)中获取的非安全外设资源列表以只读模式存储到该内存共享区中，而安全外设资源列表则存储到过程(3)中分配的安全存储专区中。

(6)然后，安全操作系统访问过程(2)中分配的安全存储专区，读取安全外设资源列表，根据外设资源配置文件中的配置信息设置对应外设资源为安全状态，并加载安全状态的外设资源的设备驱动。此时安全状态的外设资源只能被安全操作系统访问。

(7)通过执行SMC指令，使ARM陷入到Monitor模式下，将系统由安全操作系统切换到非安全操作系统。

(8)非安全操作系统访问过程(5)中分配的内存共享区，读取非安全外设资源列表的配置信息。

(9)非安全操作系统内核根据过程(8)中获取的配置信息进行设备树节点的过滤，根据过滤设备树节点的结果进行MCU外设资源的设备驱动的加载或不加载。此时非安全操作系统只可以访问加载设备驱动的外设资源，不可以访问未加载设备驱动的外设资源。

至此实现了安全和非安全外设资源的设置。

外设资源配置文件的解析过程具体如图2所示，安全操作系统根据读取的外设资源配置文件信息，提取出各外设资源的状态属性，根据各外设资源的状态属性值，将安全状态属性的外设资源存储到安全外设资源列表中，非安全状态属性的外设资源存储到非安全外设资源列表中。

外设资源的安全状态设置具体过程为：根据安全外设资源列表中的外设名称，安全操作系统设置外设资源对应的CSU_CSL寄存器，将寄存器的安全读写访问位置设置为1，非安全读写访问位置设置为0。

设备树节点的过滤过程如图3所示，提取非安全外设资源的配置列表中的外设资源名称，同时提取经过非安全操作系统内核解析过的设备树节点名称，然后对比这两者是否相同。如果相同，则不过滤该节点，并加载对应的设备驱动，反之则忽略该节点，不加载对应的设备驱动。

实施例二：

本发明还提供一种双系统外设资源的配置终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现本发明实施例上述方法实施例中的步骤，例如图1-图3所示的步骤的方法步骤。

进一步地，作为一个可执行方案，所述双系统外设资源的配置终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述双系统外设资源的配置终端设备可包括，但不仅限于，处理器、存储器。本领域技术人员可以理解，上述双系统外设资源的配置终端设备的组成结构仅仅是双系统外设资源的配置终端设备的示例，并不构成对双系统外设资源的配置终端设备的限定，可以包括比上述更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述双系统外设资源的配置终端设备还可以包括输入输出设备、网络接入设备、总线等，本发明实施例对此不做限定。

进一步地，作为一个可执行方案，所称处理器可以是中央处理单元(CentralProcessing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital SignalProcessor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，所述处理器是所述双系统外设资源的配置终端设备的控制中心，利用各种接口和线路连接整个双系统外设资源的配置终端设备的各个部分。

所述存储器可用于存储所述计算机程序和/或模块，所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块，以及调用存储在存储器内的数据，实现所述双系统外设资源的配置终端设备的各种功能。所述存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据手机的使用所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

本发明还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现本发明实施例上述方法的步骤。

所述双系统外设资源的配置终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

本发明一种双系统外设资源的配置方法，一方面，通过使用双系统安全端的一个MCU外设资源安全与非安全状态的配置文件，即可实现非安全操作系统和安全操作系统对MCU外设资源的访问权限的设置，为双系统提供了外设资源分配的统一接口；另一方面，对配置资源文件进行了加密，并且解密秘钥和安全外设配置列表只允许安全操作系统访问，对于非安全端只提供非安全外设配置列表的读操作，防止了非安全端的恶意篡改配置文件。这样，既解决了外设资源配置的安全性，又保证了程序开发的便捷性。

尽管结合优选实施方案具体展示和介绍了本发明，但所属领域的技术人员应该明白，在不脱离所附权利要求书所限定的本发明的精神和范围内，在形式上和细节上可以对本发明做出各种变化，均为本发明的保护范围。

Claims (8)

1.一种双系统外设资源的配置方法，其特征在于：包括如下步骤：

S0：将配置MCU外设资源安全与非安全状态的外设资源配置文件，经过加密之后，将密文下载到非易失性存储器，并将解密密钥烧录到安全操作系统才能访问的片上系统SOC上，进入S1步骤；

S1：双系统中的安全操作系统启动，对外设资源配置文件进行解密，进入S2步骤；

S2：分配一块内存空间作为安全存储专区，并设置该安全存储专区为安全操作系统能够访问，非安全操作系统无法访问，将S1中解密后的外设资源配置文件存储到该安全存储专区，进入S3步骤；

S3：对S2中的外设资源配置文件进行解析，获取安全外设资源列表和非安全外设资源列表，进入S4步骤；

S4：分配一块内存空间作为内存共享区，内存共享区设置为安全操作系统和非安全操作系统均能够访问，将S3中获取的非安全外设资源列表以只读模式存储到该内存共享区中，而安全外设资源列表则存储到S2中分配的安全存储专区中，进入S5步骤；

S5：安全操作系统访问安全存储专区，读取安全外设资源列表，根据安全外设资源列表中的配置信息设置相应的外设资源为安全状态，并加载安全状态的外设资源的设备驱动，此时安全状态的外设资源只能被安全操作系统访问，进入S6步骤；

S6：双系统进入监控(Monitor)模式，由安全操作系统切换到非安全操作系统，进入S7步骤；

S7：非安全操作系统访问内存共享区，读取非安全外设资源列表，进入S8步骤；

S8：非安全操作系统根据非安全外设资源列表中的配置信息进行外设资源的设备树节点的过滤，根据设备树节点的过滤结果对相应的外设资源进行设备驱动的加载或不加载，此时非安全操作系统只能访问加载设备驱动的外设资源，不能访问未加载设备驱动的外设资源。

2.如权利要求1所述的双系统外设资源的配置方法，其特征在于：S0中，加密的外设资源配置文件存储于非易失存储器，而解密密钥烧录到安全操作系统才能访问的片上系统。

3.如权利要求2所述的双系统外设资源的配置方法，其特征在于：S1中，安全操作系统启动后，使用片上系统的解密密钥对外设资源配置文件进行解密。

4.如权利要求1所述的双系统外设资源的配置方法，其特征在于：S3中，对S2中的外设资源配置文件进行解析，获取安全外设资源列表和非安全外设资源列表，具体为：安全操作系统根据读取的外设资源配置文件的信息，提取出各外设资源的状态属性，根据各外设资源的状态属性值，将安全状态属性的外设资源存储到安全外设资源列表中，非安全状态属性的外设资源存储到非安全外设资源列表中。

5.如权利要求1所述的双系统外设资源的配置方法，其特征在于：S5中，根据安全外设资源列表中的配置信息设置相应的外设资源为安全状态具体为：根据安全外设资源列表中的外设名称，安全操作系统对外设名称所对应的外设资源的寄存器进行设置，将寄存器的安全读写访问位置设置为1，非安全读写访问位置设置为0。

6.如权利要求1所述的双系统外设资源的配置方法，其特征在于：S8中，设备树节点的过滤和根据设备树节点的过滤结果对相应的外设资源进行设备驱动的加载或不加载具体为：

非安全操作系统解析设备树；

从设备树提取设备树节点名称；

从非安全外设资源列表中提取外设资源名称；

对比设备树节点名称和外设资源名称是否相同，若相同，则不过滤该设备树节点，并加载该设备树节点对应的设备驱动，若不同，则过滤该设备树节点，不加载该设备树节点对应的设备驱动。

7.一种双系统外设资源的配置终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于：所述处理器执行所述计算机程序时实现如权利要求1-6任一所述方法的步骤。

8.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于：所述计算机程序被处理器执行时实现如权利要求1-6任一所述方法的步骤。

Images