CN116880265A - 辅助驾驶系统的安全监控装置、方法、计算机设备及介质 - Google Patents

Abstract

本发明涉及计算机技术领域，公开了辅助驾驶系统的安全监控装置、方法、计算机设备及介质，装置包括：监控模块用于判断辅助驾驶系统中的系统数据是否存在异常，如果存在则将异常数据发送给第一处理器；第一处理器用于判断异常数据的异常等级；如果异常等级小于或者等于预设等级，则根据预先配置的应急策略表中的处理策略，对异常数据进行修复；如果异常等级大于预设等级，则将异常数据上报给第二处理器；第二处理器的安全等级大于第一处理器的安全等级；第二处理器用于重启系统或者调取与异常数据对应的备份数据。本发明能够使智能辅助驾驶系统的系统安全得到保障。

Description

辅助驾驶系统的安全监控装置、方法、计算机设备及介质

技术领域

本发明涉及计算机技术领域，具体涉及辅助驾驶系统的安全监控装置、方法、计算机设备及介质。

背景技术

智能辅助驾驶系统作为新能源汽车的关键产品，安全性、异常响应实时性是其最为重要的基础属性。智能辅助驾驶系统的安全监控囊括硬件、软件、工具、算法等各个方面。对于智能辅助驾驶系统的安全检测，现有技术中仅能通过单一检测手段来检测某种系统数据是否出现异常，无法对其系统内的所有系统数据分别进行异常检测；并且也无法对其检测到的异常进行有效且及时地处理，进而造成智能辅助驾驶系统的系统安全得不到保障的问题。

因此，亟需一种安全监控装置，可以对智能辅助驾驶系统进行实时安全检测，并且能够对检测到的异常进行及时处理，从而使智能辅助驾驶系统的系统安全得到保障。

发明内容

有鉴于此，本发明提供了一种辅助驾驶系统的安全监控装置、方法、计算机设备及介质，以解决现有技术中辅助驾驶系统的系统安全得不到保障的问题。

第一方面，本发明提供了一种辅助驾驶系统的安全监控装置，包括监控模块、与监控模块连接的第一处理器，与第一处理器连接的第二处理器；监控模块，用于判断辅助驾驶系统中的系统数据是否存在异常，如果存在则将异常数据发送给第一处理器；第一处理器，用于判断异常数据的异常等级；如果异常等级小于或者等于预设等级，则根据预先配置的应急策略表中的处理策略，对异常数据进行修复；如果异常等级大于预设等级，则将异常数据上报给第二处理器；第二处理器的安全等级大于第一处理器的安全等级；第二处理器，用于重启系统或者调取与异常数据对应的备份数据。

本发明提供的辅助驾驶系统的安全监控装置，通过监控模块检测系统数据是否出现异常，如果出现异常则根据第一处理器判断其异常等级，如果异常等级小于或者等于预设等级，则根据预先配置的应急策略表中的处理策略，对异常数据进行修复；如果异常等级大于预设等级，则通过第二处理器重启系统或者调取与异常数据对应的备份数据。通过上述技术方案，本发明通过多级安全部署，能够对辅助驾驶系统的系统数据进行全方位、多维度的系统安全保障，保证了智能辅助驾驶系统的实时安全性。

在一种可选的实施方式中，系统数据包括动态数据，动态数据为操作系统运行过程中的数据；

监控模块，还用于判断文件系统中的动态数据是否存在异常。

在一种可选的实施方式中，系统数据包括静态数据，静态数据为操作系统的镜像文件；

监控模块，还用于对镜像文件进行完整性校验和签名验证。

本发明提供的辅助驾驶系统的安全监控装置，通过分别对系统中的动态数据和静态数据进行安全监控，能够从多个维度保障辅助驾驶系统的系统安全，达到对系统安全性实时监控的目的。

在一种可选的实施方式中，对静态数据进行完整性校验，包括：

利用哈希算法生成每个镜像文件的第一哈希值；

将第一哈希值与第二哈希值进行比对；第二哈希值是预先基于对应镜像文件生成的；

如果比对结果一致，则确定镜像文件未被篡改；

如果比对结果不一致，则确定镜像文件被篡改。

在一种可选的实施方式中，对静态数据进行签名验证，包括：

通过公钥对待验证镜像文件的第一签名信息进行解密，得到第一摘要信息；

利用哈希算法生成待验证镜像文件的第二摘要信息；

如果第一摘要信息与第二摘要信息一致，则签名验证成功；如果第一摘要信息与第二摘要信息不一致，则签名验证失败。

本发明提供的辅助驾驶系统的安全监控装置，通过完整性校验步骤，能够确保静态数据的安全可靠性；通过签名验证步骤，能够保证静态数据的来源可信性，从而通过以上技术手段，能够确保静态数据的安全性。

在一种可选的实施方式中，系统数据包括容器数据；

监控模块，还用于对容器数据进行监控，如果容器数据中存在异常，并且异常可能导致应用程序崩溃，则将异常发送给第一处理器；

第一处理器，还用于从日志中选择与当前时间节点最近的目标节点的快照，快照用于恢复与异常对应的容器数据。

本发明提供的辅助驾驶系统的安全监控装置，通过在容器数据中存在异常，并且其异常可能导致应用程序崩溃时，启动对容器数据的快照恢复处理，能够保证容器数据的安全性和实时性，从而使辅助驾驶系统的系统安全得到保障。

在一种可选的实施方式中，装置还包括：

冗余备份模块，用于对存储设备进行空间划分，得到多个存储空间；其中，每个存储空间存在一个镜像文件以及其对应的备份镜像文件。

本发明提供的辅助驾驶系统的安全监控装置，通过为镜像文件提供冗余备份，能够对镜像文件提供进一步安全保护，即在镜像文件无法修复时可以使用其对应的备份镜像文件，使系统的安全运行得到保障。

第二方面，本发明提供了一种辅助驾驶系统的安全监控方法，包括：

判断辅助驾驶系统中的系统数据是否存在异常，如果存在则判断异常数据的异常等级；

如果异常等级小于或者等于预设等级，则根据预先配置的应急策略表中的处理策略，对异常数据进行修复；

如果异常等级大于预设等级，则将异常数据上报给第二处理器；

其中，第二处理器的安全等级大于第一处理器的安全等级；第二处理器用于重启系统或者调取与异常数据对应的备份数据。

第三方面，本发明提供了一种计算机设备，包括：存储器和处理器，存储器和处理器之间互相通信连接，存储器中存储有计算机指令，处理器通过执行计算机指令，从而执行上述第一方面或其对应的任一实施方式的辅助驾驶系统的安全监控方法。

第四方面，本发明提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机指令，计算机指令用于使计算机执行上述第一方面或其对应的任一实施方式的辅助驾驶系统的安全监控方法。

本发明的技术效果：

本发明提供的辅助驾驶系统的安全监控装置，通过监控模块检测系统数据是否出现异常，如果出现异常则根据第一处理器判断其异常等级，如果异常等级小于或者等于预设等级，则根据预先配置的应急策略表中的处理策略，对异常数据进行修复；如果异常等级大于预设等级，则通过第二处理器重启系统或者调取与异常数据对应的备份数据。通过上述技术方案，本发明通过多级安全部署，能够对辅助驾驶系统的系统数据进行全方位、多维度的系统安全保障，保证了智能辅助驾驶系统的实时安全性。

另外，本发明从操作系统软件及系统级芯片(SOC系统)层面综合考虑了从下至上的底层内核、驱动、容器、业务应用程序的多层次、多角度监控，并使用域内分析模块对采集的从下至上的异常信息对异常进行严重性分析，做出正确的快速响应。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例的辅助驾驶系统的安全监控装置的结构示意图；

图2是根据本发明实施例中关于对存储设备进行空间划分的示意图；

图3是根据本发明实施例中关于系统启动安全检验的具体实施例的示意图；

图4是根据本发明实施例的辅助驾驶系统的操作系统的结构示意图；

图5是根据本发明实施例的辅助驾驶系统的安全监控方法的流程示意图；

图6是本发明实施例的计算机设备的硬件结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

另外还需要说明的是，为了便于描述，附图中仅示出了与有关发明相关的部分。在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互组合。

需要注意，本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分，并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。

需要注意，本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的，本领域技术人员应当理解，除非在上下文另有明确指出，否则应该理解为“一个或多个”。

本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的，而并不是用于对这些消息或信息的范围进行限制。

下面将参考附图并结合实施例来详细说明本公开。

本实施例中提供了一种辅助驾驶系统的安全监控装置，图1是根据本发明实施例的辅助驾驶系统的安全监控装置的结构示意图，如图1所示，该装置包括：监控模块101、与监控模块101连接的第一处理器102，与第一处理器102连接的第二处理器103；

监控模块101，用于判断辅助驾驶系统中的系统数据是否存在异常，如果存在则将异常数据发送给第一处理器。

具体地，系统数据可以包括系统静态数据和系统动态数据；

其中，系统静态数据包括镜像文件，镜像文件可以为辅助驾驶系统的操作系统(Operating System，OS)镜像、容器镜像、系统级芯片(System on Chip，SoC)中的A核RT-linux镜像、R核RTOS镜像、M核监控程序镜像及安全启动涉及的各级镜像。系统动态数据是指业务程序运行时的依赖数据或者结果产物数据，例如运行时的配置数据和运行记录。

更具体地，在对系统数据(即动态数据或静态数据)进行异常检测时，可以根据系统数据的类型采取不同的检测方式，例如当系统数据为动态数据时，可以通过对文件系统状态的检测来达到对动态数据进行异常检测的目的；当系统数据为静态数据时，可以通过完整校验和签名验证方式对静态数据进行异常检测。

第一处理器，用于判断异常数据的异常等级；如果异常等级小于或者等于预设等级，则根据预先配置的应急策略表中的处理策略，对异常数据进行修复；如果异常等级大于预设等级，则将异常数据上报给第二处理器；第二处理器的安全等级大于第一处理器的安全等级。

具体地，本发明种智能驾驶系统的操作系统为多核异构架构，可以理解为处理器部分包含第一处理器，例如高性能CORTEX-A核、第二处理器，例如锁步核CORTEX-R核或CORTEX-M核，其中第二处理器为引入实时内核补丁的宏内核，运行于计算能力较高的第一处理器之上，承担主要的业务运行环境角色，第二处理器为锁步核，拥有实时、安全等特性，在系统级芯片中第二处理器的安全级别高于第一处理器，拥有高于第一处理器的决策权，当第一处理器中的关键程序故障或系统自身程序出现故障时，可选择性重启之上的宏内核系统。

更具体地，当第一处理器接收到异常数据后，可以对其异常数据的异常等级进行判断；其异常等级的判断方式可以根据具体应用场景进行设置，在此不做具体限定；当判断出异常等级后，可以判断其异常等级与预设等级的大小关系，如果其异常等级小于或者等于预设等级时，表明可以利用第一处理器对该异常数据进行修复，即根据预先配置的应急策略表中的处理策略，对异常数据进行修复；如果其异常等级大于预设等级时，则表明当前检测的异常数据无法呗第一处理器所修复，则需要将异常上报给高一级的第二处理器，以使第二处理器对异常数据进行异常处理。其中，应急策略表是预先配置，主要包括可能检测到的异常数据以及用于应对相关异常数据的处理策略，对于其应急策略表的具体配置方法在此不做具体限定。

第二处理器，用于重启系统或者调取与异常数据对应的备份数据。

具体地，当第二处理器接收到由第一处理器上报的异常数据后，可以根据其异常数据判断是需要启动与异常数据对应的备份数据，还是重启系统。

在一些可选的实施方式中，系统数据包括动态数据，动态数据为操作系统运行过程中的数据；

监控模块，还用于判断文件系统中的动态数据是否存在异常。

具体地，动态数据可以为底层OS(Operating System，操作系统)动态数据、驱动动态数据、应用程序动态数据、容器动态数据以及容器业务动态数据；

其中，底层OS动态数据可以通过系统运行过程中的异常监控，基于文件系统状态的监控，当出现告警异常时将异常刷写进入日志文件，当出现较为严重异常，系统考虑重启或切换备用分区启动；

驱动动态数据可以依赖第一处理器(即内核)结合第二处理器(即R核或M核)进行监控，以保障基本驱动功能；

容器动态数据可以通过第一处理器(即内核)结合第二处理器(即R核或M核)进行监控，依靠容器系统快照从日志中快速选择与当前时间节点最靠近的正常节点快照快速热恢复容器系统；

容器业务动态数据可以采用内核安全沙箱、能力机制(capability)等进行限制，内核提供沙箱功能提供环境隔离使得应用程序在运行时有独立的运行环境，通过capability能够细化用户权限达到细粒度的权限访问控制，通过白名单以capability的方式开放用户权限；还可以通过外部功能安全监控程序进行实时监控。

其中，容器的动态数据采用capability进行限制，这句话可以理解为容器技术中对动态数据的管理采用了capability的限制机制。在容器中，动态数据是指在运行时产生的数据，例如用户的输入、程序的输出等。而capability是一种权限管理机制，用于限制容器对系统资源的访问和操作。通过使用capability，可以对容器中的动态数据进行精细化的控制和保护，确保容器只能访问和操作被授权的资源，提高容器的安全性和隔离性。这种限制机制可以防止容器越权访问系统资源，同时也可以防止恶意容器对系统造成损害。因此，容器的动态数据采用capability进行限制是一种有效的安全措施。

在一些可选的实施方式中，系统数据包括静态数据，静态数据为操作系统的镜像文件；

监控模块，还用于对镜像文件进行完整性校验和签名验证。

具体地，智能辅助驾驶系统的镜像文件包含内核、文件系统、引导加载程序(bootloader)以及容器等多个镜像分区文件。

其中，对于镜像文件的安全措施可以通过完整性校验和签名验证，还可以通过镜像备份的方式。

更具体地，当静态数据为驱动静态数据时，可以通过内核模块程序的签名校验对驱动静态数据进行保障，即运行于智能驾驶安全系统之上的内核模块程序均要来源安全可靠，所以引入内核模块签名功能，当加载内核模块时检查内核模块尾部的mark字段是否为”～MODULE_SIG_STRING～\n”，如果mark字段存在则进行解密模块中摘要信息并做认证检查，否则返回ERR_NOSIG关键字并输出到内核日志；

当静态数据为应用程序静态数据可以采用内核安全系统进行类型强制访问限制(即SELINUX等基于策略的安全访问控制)，能够保证启动应用在系统白名单之中，最小化开放资源访问权限，使得系统足够安全；

当静态数据为容器静态数据时，可以通过容器镜像校验以及镜像备份来保证容器静态数据的安全性；

当静态数据为容器业务静态数据时，可以采用容器支持SELINUX基于策略的安全访问控制保障容器的运行权限。

在一些可选的实施方式中，对静态数据进行完整性校验，包括：

利用哈希算法生成每个镜像文件的第一哈希值；将第一哈希值与第二哈希值进行比对；第二哈希值是预先基于对应镜像文件生成的；如果比对结果一致，则确定镜像文件未被篡改；如果比对结果不一致，则确定镜像文件被篡改。

具体地，哈希算法可以为SHA-1、SHA-224、SHA-256、SHA-384，和SHA-512中的任意一个；第二哈希值可以是在服务器环境下编译打包或者刷机镜像时通过哈希算法生成每个镜像文件的哈希值并保存在vbmeta数据结构中；第一哈希值可以是系统启动或者重启时，前一阶段镜像文件中的校验程序对下一阶段启动镜像文件进行哈希值计算得到的；如果两者比对结果一致，则说明该镜像文件完整可信、未被篡改或损坏。

在一些可选的实施方式中，对静态数据进行签名验证，包括：

通过公钥对待验证镜像文件的第一签名信息进行解密，得到第一摘要信息；利用哈希算法生成待验证镜像文件的第二摘要信息；如果第一摘要信息与第二摘要信息一致，则签名验证成功；如果第一摘要信息与第二摘要信息不一致，则签名验证失败。

具体地，第一签名信息是预先生成的，即预先使用哈希摘要算法对待验证镜像文件进行运算，生成第一摘要信息；然后利用密钥对中的私钥对第一摘要信息进行加密，得到第一签名信息。在实际场景中，可以在打包阶段利用私钥对镜像文件的摘要进行加密得到签名信息，然后在启动或重启过程中上一级镜像文件中的验证模块可以通过公钥解密下一阶段镜像文件得到签名信息，最后将解密的签名信息和打包中的摘要信息进行对比，完成验签信息过程，如果数据一致则可保证该镜像文件的来源可信。

在一些优选的实施例中，系统数据包括容器数据；

监控模块，还用于对容器数据进行监控，如果容器数据中存在异常，并且异常可能导致应用程序崩溃，则将异常发送给第一处理器；

第一处理器，还用于从日志中选择与当前时间节点最近的目标节点的快照，快照用于恢复与异常对应的容器数据。

具体地，容器数据可以为单独的数据卷，针对容器中运行的程序多为视觉等算法应用程序，有大量数据需要实时落盘，为保证算法应用程序功能正常，需要在发现异常时能快速恢复程序，因此在借鉴快照恢复技术的轻便实时，即在容器正常运行中定时创建应用快照，当监控到数据卷异常可能导致应用程序崩溃时通知系统选定合适的回滚快照节点，通过轻量级容器快照功能实现系统重启。

在一些优选的实施例中，装置还包括：

冗余备份模块，用于对存储设备进行空间划分，得到多个存储空间；其中，每个存储空间存在一个镜像文件以及其对应的备份镜像文件。

具体地，如图2所示，存储设备以MMC为例，将存储设备进行空间划分，得到多个存储空间，据地址将镜像文件写入对应的存储空间，以及在每个模块镜像文件均在其连续的后续地址留存一个备份镜像，例如在镜像文件Boot A后的地址留存备份镜像文件Boot B，在镜像文件System A后的地址留存备份镜像文件System B，在镜像文件App A后的地址留存备份镜像文件App B，在镜像文件Sign A后的地址留存备份镜像文件Sign B。

本实施例提供的辅助驾驶系统的安全监控装置，以系统、业务的动态数据安全和静态数据安全保障为目标，以文件、文件系统监控及程序业务监控为策略进行全方位、多维度的系统安全保障。最终目的能达到系统安全运行，且异常出现时从系统、容器、应用三个层面快速恢复，保证了智能驾驶系统的实时安全性。

在一些可选的实施例中，还包括系统启动安全检验，如图3所示：

在系统升级或者刷机时进行镜像完整性校验；在系统启动或者重启时进行系统启动校验；当系统启动校验完毕后可以对容器环境进行容器镜像校验；当容器镜像校验完毕后可以系统安全模块对业务数据进行约束。

其中，在系统升级或者刷机时进行镜像完整性校验中，安全启动程序中avb校验模块代码包含对下一级启动镜像的哈希值校验，如在安全可信的服务器环境下编译打包升级/刷机镜像时会通过哈希算法生成每个镜像文件的哈希值并保存在vbmeta中，单板启动或重启时，前一阶段镜像中的校验程序会对下一阶段启动镜像进行哈希值计算并将该值与vbmeta中保存的数值进行对比，如果数值一致则说明该镜像完整可信、未被篡改或损坏；验证镜像完整性同时会进行签名验证，签名验证能进一步认证数据来源，具体流程包括根据镜像生成摘要及描述信息，在打包阶段是固体部分私钥进行加密生成“签名”，在启动或重启过程中上一级镜像中的验证模块通过公钥解密下一阶段镜像得到签名，对比解密的签名和打包中的摘要信息对比完成验签过程，如果数据一致则可保证该镜像的来源可信；

在系统启动流程中遵循安全启动策略，一级缓存(BL1)、二级缓存(BL2)、三级缓存(BL3)及内核采用分级安全启动的校验，确保镜像安全，无植入替换可能；

当系统启动校验完毕后，可以对容器环境进行容器镜像校验，包括：容器镜像存放于文件系统中，启动容器前也会进行完整性检验以及验签工作，容器镜像中一般存放算法程序及其附属的相关应用，使用安全签名程序对镜像文件添加.sign节区，容器镜像摘要进行签名，存入新增.sign节区，在容器加载镜像流程中解析镜像获取.sign节区内容并与发布镜像中的签名数据进行对比，确保容器来自厂商内部可信镜像；

当容器镜像校验完毕后，可以系统安全模块对业务数据进行约束，即：系统之上或容器内部应用程序的启动均受到包括强制访问控制(Mandatory Access Control，MAC)、自主访问控制(Discretionary Access Control，DAC)，安全访问控制(Linux SecurityModules，LSM)的安全约束，遵循安全运行规范。

在一些可选的实施例中，本发明还提供了一种辅助驾驶系统(ADAS)的操作系统，如图4所示：

其中，安全操作系统320(Safety Linux)运行A核(即图4中的Safety Linux内核)；包括基础linux系统，功能安全模块，业务容器，日志系统，文件系统监控服务等等，是辅助驾驶系统的操作系统的基础；

安全岛300(Safety Linux)，为独立的R核或M核，实现功能安全监控及系统控制功能的独立安全系统；

文件系统监控程序360，主要用于对文件系统进行监控，例如ubifs、ext3、ext4文件系统异常处理流程中增加异常检查和处理代码，出现异常会将按照异常的严重程度将异常记录在日志中或者通过功能安全/诊断模块330同步到M/R核310确定是否需要重启系统；

功能安全/诊断模块330主要用于对业务程序、驱动程序进行监控，其中包括操作系统自身的驱动故障、容器业务故障等，如容器业务故障可能主动记录下日志并输出日志到日志仲裁模块进行日志信息处理，最终进行归类并通知系统重启容器内部业务，内核驱动或其他内核模块异常如果导致内核错误则进入错误处理流程，该流程中包含对异常现场的转储以及系统的恢复，如果非错误则根据仲裁模块的信息处理结果按照等级上报安全岛300中的M/R核310为致命\普通异常，由安全岛决定告警还是重启系统；

功能安全/诊断模块330还可以用于对容器中的容器数据进行监控(例如图4中的容器1和容器2)，容器数据为单独的数据卷，针对容器中运行的程序多为视觉等算法应用程序，有大量数据需要实时落盘，为保证算法应用程序功能正常，需要在发现异常时能快速恢复程序，借鉴快照恢复技术的轻便实时，在容器正常运行中定时创建应用快照，当文件系统监控程序360监控到数据卷异常可能导致应用程序崩溃时通知系统选定合适的回滚快照节点，通过轻量级容器快照功能实现系统重启。

性能开销监控程序370用于对应用程序的性能指标进行监控，其中性能指标可以包括响应时间、吞吐量以及延迟；当应用程序表现不佳时,性能监控软件可以帮助发现性能问题的所在,并迅速调整以提高程序的性能。

转储程序380用于在系统崩溃时将内存中的数据转储保存在转储文件中，供给有关人员进行排错分析；日志程序390用于存储监控到的异常信息。

通过上述辅助驾驶系统(ADAS)的操作系统，本发明达到了动、静态数据从镜像校验，数据备份，模型监控，文件系统监控，容器快照与热恢复技术等多层级多技术层面实现功能安全要求的一种安全系统保障及安全业务部署。多方位地保障了智能驾驶系统的数据安全，环境安全，业务安全，高效实时。

根据本发明实施例，提供了一种辅助驾驶系统的安全监控方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

在本实施例中提供了一种辅助驾驶系统的安全监控方法，可用于上述的辅助驾驶系统的安全监控装置，图5是根据本发明实施例的辅助驾驶系统的安全监控方法的流程图，如图5所示，该流程包括如下步骤：

步骤S101，判断辅助驾驶系统中的系统数据是否存在异常，如果存在则判断异常数据的异常等级。

步骤S102，如果异常等级小于或者等于预设等级，则根据预先配置的应急策略表中的处理策略，对异常数据进行修复。

步骤S103，如果异常等级大于预设等级，则将异常数据上报给第二处理器；其中，第二处理器的安全等级大于第一处理器的安全等级；第二处理器用于重启系统或者调取与异常数据对应的备份数据。

在一些可选的实施方式中，系统数据包括动态数据，动态数据为操作系统运行过程中的数据；上述步骤S101包括：判断文件系统中的动态数据是否存在异常。

在一些可选的实施方式中，系统数据包括静态数据，静态数据为操作系统的镜像文件；上述步骤S101包括：对镜像文件进行完整性校验和签名验证。

在一些可选的实施方式中，对静态数据进行完整性校验，包括：

利用哈希算法生成每个镜像文件的第一哈希值；

将第一哈希值与第二哈希值进行比对；第二哈希值是预先基于对应镜像文件生成的；

如果比对结果一致，则确定镜像文件未被篡改；

如果比对结果不一致，则确定镜像文件被篡改。

在一些可选的实施方式中，对静态数据进行签名验证，包括：

通过公钥对待验证镜像文件的第一签名信息进行解密，得到第一摘要信息；

利用哈希算法生成待验证镜像文件的第二摘要信息；

如果第一摘要信息与第二摘要信息一致，则签名验证成功；如果第一摘要信息与第二摘要信息不一致，则签名验证失败。

在一些可选的实施方式中，系统数据包括容器数据；方法还包括：

对容器数据进行监控，如果容器数据中存在异常，并且异常可能导致应用程序崩溃，则将异常发送给第一处理器，以使第一处理器从日志中选择与当前时间节点最近的目标节点的快照，快照用于恢复与异常对应的容器数据。

在一些可选的实施方式中，方法还包括：对存储设备进行空间划分，得到多个存储空间；其中，每个存储空间存在一个镜像文件以及其对应的备份镜像文件。

本发明实施例还提供一种计算机设备，具有上述图6所示的辅助驾驶系统的安全监控装置。

请参阅图6，图6是本发明可选实施例提供的一种计算机设备的结构示意图，如图6所示，该计算机设备包括：一个或多个处理器10、存储器20，以及用于连接各部件的接口，包括高速接口和低速接口。各个部件利用不同的总线互相通信连接，并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在计算机设备内执行的指令进行处理，包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如，耦合至接口的显示设备)上显示GUI的图形信息的指令。在一些可选的实施方式中，若需要，可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样，可以连接多个计算机设备，各个设备提供部分必要的操作(例如，作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图6中以一个处理器10为例。

处理器10可以是中央处理器，网络处理器或其组合。其中，处理器10还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路，可编程逻辑器件或其组合。上述可编程逻辑器件可以是复杂可编程逻辑器件，现场可编程逻辑门阵列，通用阵列逻辑或其任意组合。

其中，存储器20存储有可由至少一个处理器10执行的指令，以使至少一个处理器10执行实现上述实施例示出的方法。

存储器20可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据计算机设备的使用所创建的数据等。此外，存储器20可以包括高速随机存取存储器，还可以包括非瞬时存储器，例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些可选的实施方式中，存储器20可选包括相对于处理器10远程设置的存储器，这些远程存储器可以通过网络连接至该计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

存储器20可以包括易失性存储器，例如，随机存取存储器；存储器也可以包括非易失性存储器，例如，快闪存储器，硬盘或固态硬盘；存储器20还可以包括上述种类的存储器的组合。

该计算机设备还包括通信接口30，用于该计算机设备与其他设备或通信网络通信。

本发明实施例还提供了一种计算机可读存储介质，上述根据本发明实施例的方法可在硬件、固件中实现，或者被实现为可记录在存储介质，或者被实现通过网络下载的原始存储在远程存储介质或非暂时机器可读存储介质中并将被存储在本地存储介质中的计算机代码，从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件的存储介质上的这样的软件处理。其中，存储介质可为磁碟、光盘、只读存储记忆体、随机存储记忆体、快闪存储器、硬盘或固态硬盘等；进一步地，存储介质还可以包括上述种类的存储器的组合。可以理解，计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件，当软件或计算机代码被计算机、处理器或硬件访问且执行时，实现上述实施例示出的方法。

虽然结合附图描述了本发明的实施例，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。

Claims (10)

1.一种辅助驾驶系统的安全监控装置，其特征在于，包括：监控模块、与所述监控模块连接的第一处理器，与所述第一处理器连接的第二处理器；

所述监控模块，用于判断辅助驾驶系统中的系统数据是否存在异常，如果存在则将异常数据发送给所述第一处理器；

所述第一处理器，用于判断所述异常数据的异常等级；如果所述异常等级小于或者等于预设等级，则根据预先配置的应急策略表中的处理策略，对所述异常数据进行修复；如果所述异常等级大于预设等级，则将所述异常数据上报给第二处理器；所述第二处理器的安全等级大于第一处理器的安全等级；

所述第二处理器，用于重启系统或者调取与所述异常数据对应的备份数据。

2.根据权利要求1所述的装置，其特征在于，所述系统数据包括动态数据，所述动态数据为操作系统运行过程中的数据；

所述监控模块，还用于判断文件系统中的动态数据是否存在异常。

3.根据权利要求1所述的装置，其特征在于，所述系统数据包括静态数据，所述静态数据为操作系统的镜像文件；

所述监控模块，还用于对所述镜像文件进行完整性校验和签名验证。

4.根据权利要求3所述的装置，其特征在于，对所述静态数据进行完整性校验，包括：

利用哈希算法生成每个镜像文件的第一哈希值；

将所述第一哈希值与第二哈希值进行比对；所述第二哈希值是预先基于对应镜像文件生成的；

如果比对结果一致，则确定所述镜像文件未被篡改；

如果比对结果不一致，则确定所述镜像文件被篡改。

5.根据权利要求3或4所述的装置，其特征在于，对所述静态数据进行签名验证，包括：

通过公钥对待验证镜像文件的第一签名信息进行解密，得到第一摘要信息；

利用哈希算法生成待验证镜像文件的第二摘要信息；

如果所述第一摘要信息与所述第二摘要信息一致，则签名验证成功；如果所述第一摘要信息与所述第二摘要信息不一致，则签名验证失败。

6.根据权利要求1所述的装置，其特征在于，所述系统数据包括容器数据；

所述监控模块，还用于对所述容器数据进行监控，如果所述容器数据中存在异常，并且所述异常可能导致应用程序崩溃，则将所述异常发送给所述第一处理器；

所述第一处理器，还用于从日志中选择与当前时间节点最近的目标节点的快照，所述快照用于恢复与所述异常对应的容器数据。

7.根据权利要求3所述的装置，其特征在于，所述装置还包括：

冗余备份模块，用于对存储设备进行空间划分，得到多个存储空间；其中，每个存储空间存在一个镜像文件以及其对应的备份镜像文件。

8.一种辅助驾驶系统的安全监控方法，其特征在于，包括：

判断辅助驾驶系统中的系统数据是否存在异常，如果存在则判断异常数据的异常等级；

如果所述异常等级小于或者等于预设等级，则根据预先配置的应急策略表中的处理策略，对所述异常数据进行修复；

如果所述异常等级大于预设等级，则将所述异常数据上报给第二处理器；

其中，所述第二处理器的安全等级大于第一处理器的安全等级；所述第二处理器用于重启系统或者调取与所述异常数据对应的备份数据。

9.一种计算机设备，其特征在于，包括：

存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器中存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行权利要求8所述的辅助驾驶系统的安全监控方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机指令，所述计算机指令用于使计算机执行权利要求8所述的辅助驾驶系统的安全监控方法。