CN117473481A - 一种通信方法、装置、域控制器及可读存储介质 - Google Patents

Abstract

本申请实施例公开了一种通信方法、装置、域控制器及可读存储介质，该方法包括：接收软件系统发送的身份权限信息，软件系统包括：车载信息娱乐系统、汽车厂商预留系统、仪表系统和自动驾驶系统；在身份权限信息满足预设身份条件的情况下，接收软件系统发送的请求信息，请求信息用于获取目标数据，请求信息包括访问权限信息和目标数据的目标标识信息；在访问权限信息和目标标识信息相匹配的情况下，允许软件系统获取目标数据。

Description

一种通信方法、装置、域控制器及可读存储介质

技术领域

本申请属于信息处理技术领域，尤其涉及一种通信方法、装置、域控制器及可读存储介质。

背景技术

随着车载终端技术的不断升级，以及汽车电子技术及芯片技术的发展，以及人们对汽车的要求也越来越高，目前新一代硬件芯片方案可以通过一块硬件芯片，使得之前分布在不同车载电控单元上的系统存在部署在同一块芯片上的可能，以能够减少车辆成本。

但由于舱驾融合系统将不同系统的软件与硬件集成到一个电子控制单元(Electronic Control Unit，ECU)中，对系统的通信安全提出更高的要求。

目前的舱驾融合系统的通信安全需求无法得到满足。

发明内容

本申请实施例提供一种通信方法、装置、域控制器及可读存储介质，能够解决舱驾融合系统的通信安全需求无法得到满足的问题。

第一方面，本申请实施例提供一种通信方法，应用于基于HPC系统的域控制器，该方法包括：

接收软件系统发送的身份权限信息，软件系统包括：车载信息娱乐系统、汽车厂商预留系统、仪表系统和自动驾驶系统；

在身份权限信息满足预设身份条件的情况下，接收软件系统发送的请求信息，请求信息用于获取目标数据，请求信息包括访问权限信息和目标数据的目标标识信息；

在访问权限信息和目标标识信息相匹配的情况下，允许软件系统获取目标数据。

第二方面，本申请实施例提供一种通信装置，应用于基于HPC系统的域控制器，该装置包括：

第一接收模块，用于接收软件系统发送的身份权限信息，软件系统包括：车载信息娱乐系统、汽车厂商预留系统、仪表系统和自动驾驶系统；

第二接收模块，用于在身份权限信息满足预设身份条件的情况下，接收软件系统发送的请求信息，请求信息用于获取目标数据，请求信息包括访问权限信息和目标数据的目标标识信息；

获取模块，用于在访问权限信息和目标标识信息相匹配的情况下，获取软件系统获取目标数据。

第三方面，本申请实施例提供了一种基于HPC系统的域控制器，该域控制器包括：处理器以及存储有计算机程序指令的存储器；处理器执行计算机程序指令时，实现如第一方面或者第一方面的任一可能实现方式中的方法。

第四方面，本申请实施例提供了一种可读存储介质，该计算机可读存储介质上存储有计算机程序指令，计算机程序指令被处理器执行时实现如第一方面或者第一方面的任一可能实现方式中的方法。

本申请实施例中，通过接收软件系统发送的身份权限信息，软件系统包括：车载信息娱乐系统、汽车厂商预留系统、仪表系统和自动驾驶系统；在身份权限信息满足预设身份条件的情况下，接收软件系统发送的请求信息，请求信息用于获取目标数据，请求信息包括访问权限信息和目标数据的目标标识信息；这里，在身份权限信息满足预设身份条件的情况下，允许软件系统和存储目标数据的对象之间建立通信，即接收软件系统发送的请求信息，能够保障目标数据的安全；在访问权限信息和目标标识信息相匹配的情况下，允许软件系统获取目标数据，由此，在确定软件系统具有访问目标标识信息对应的目标数据的访问权限的情况下，允许软件系统获取目标数据，进一步保证目标数据的安全。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单的介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例提供的一种通信方法的流程图；

图2是本申请实施例提供的一种软件运行环境的结构示意图；

图3是本申请实施例提供的一种QNX主环境的结构示意图；

图4是本申请实施例提供的一种通信装置结构示意图；

图5是本申请实施例提供的一种域控制器的硬件结构示意图。

具体实施方式

下面将详细描述本申请的各个方面的特征和示例性实施例，为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及具体实施例，对本申请进行进一步详细描述。应理解，此处所描述的具体实施例仅被配置为解释本申请，并不被配置为限定本申请。对于本领域技术人员来说，本申请可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本申请的示例来提供对本申请更好的理解。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。

首先，对于本申请实施例涉及的技术术语进行介绍。

QNX，QNX是一种类Unix实时操作系统，目标市场主要是面向嵌入式系统。

舱驾融合，指以降低硬件成本为目的，将原车载智能座舱(娱乐、导航系统及仪表)与自动驾驶功能的软件部分(分属于不同的硬件)，部署到同一个硬件系统中，以节约使用的芯片、电路板及物理总线的数量。

功能安全，通过软件、硬件方案及严格的过程管理，避免车载电子电气系统存在可能导致人身伤害的不合理的风险。

网络安全，通过软件、硬件方案及严格的过程管理，避免车载电子电气系统资产由于外部威胁导致的人身伤害、隐私、财产及品牌形象损失。

分布式实时通信(DDS)，新一代分布式实时通信中间件协议，采用发布/订阅体系架构，强调以数据为中心，提供丰富的QoS服务质量策略，以保障数据进行实时、高效、灵活地分发。

主题(Topic)，是数据的抽象概念，DDS服务架构中的参与者通过主题进行数据通信。

发布者(Publisher)，DDS服务架构中的一个角色，发布主题数据。

订阅者(Subscriber)，DDS服务架构中的一个角色，订阅主题数据。

令牌(Token)，DDS中的主题访问权限证明。

系统级芯片(System on Chip，SoC)，意指它是一个产品，是一个有专用目标的集成电路，其中包含完整系统并有嵌入软件的全部内容。

高级驾驶辅助系统(Advanced Driving Assistance System，ADAS)是利用安装在车上的各式各样传感器(毫米波雷达、激光雷达、单\双目摄像头以及卫星导航)，在汽车行驶过程中随时来感应周围的环境，收集数据，进行静态、动态物体的辨识、侦测与追踪，并结合导航地图数据，进行系统的运算与分析，从而预先让驾驶者察觉到可能发生的危险，有效增加汽车驾驶的舒适性和安全性。

车载信息娱乐系统(In-Vehicle Infotainment，IVI)，是采用车载专用中央处理器，基于车身总线系统和互联网服务，形成的车载综合信息处理系统。

数据分发服务(Data Distribution Service，DDS)，是新一代分布式实时通信中间件协议，采用发布/订阅体系架构，强调以数据为中心，提供丰富的QoS服务质量策略，以保障数据进行实时、高效、灵活地分发，可满足各种分布式实时通信应用需求。

本申请实施例提供的通信方法至少可以应用于下述应用场景中，下面进行说明。

随着汽车电子技术及芯片技术的发展，以及人们对汽车的要求也越来越高，近几年出现了大量的技术创新及跨界应用，如功能丰富及炫酷的全液晶仪表，可与多种便携设备互联的车载信息娱乐系统，高清导航应用(Navi)以及未来车辆的核心应用自动驾驶系统等。这些系统在提高汽车的动力性、安全性、环保性、舒适性、通过性等方面，提供了大量的支持。

但汽车作为一个消费品，仍然面临的严格的成本控制要求，这就要求汽车厂商要在丰富的功能及驾驶体验，与产品成本间做出平衡。而这种平衡往往随着软件技术的进步，硬件(特别是芯片技术)的迭代，处在打破平衡再重新建立平衡的循环之中。目前新一代硬件芯片方案已经出现，即通过一块硬件芯片，通过提供高性能的AI引擎与CPU计算能力，使得之前分布在不同车载电控单元上的系统，如座舱(包括仪表系统与IVI，Navi系统)和自动驾驶系统(ADAS)，存在部署在同一块芯片上的可能。可以预见的是，通过减少硬件芯片的使用，未来部署这样一款舱驾融合的系统到车辆上，必然能够减少车辆成本。

但从软件角度考虑，将多个系统部署在同一块芯片内部，必然极大的增加了系统的复杂程度，特别是汽车安全相关的标准，对汽车电子电控单元的功能安全与网络安全提出了严格的要求。对于融合后的软件系统，如何能够保障不同的系统间有足够的隔离性，如何保障系统关键数据资产的私密性、完整性与可用性，对于融合后的系统软件开发，提出的极大的挑战。

基于上述应用场景，下面对本申请实施例提供的通信方法进行详细说明。

图1为本申请实施例提供的一种通信方法的流程图。

如图1所示，该通信方法可以包括步骤110-步骤130，应用于基于高性能计算(HighPerformance Computing，HPC)系统的域控制器，域控制器运行有移动操作系统和实时操作系统，其中，HPC系统是利用超级计算机实现并行计算的理论、方法、技术以及应用的一种软件系统。

车载域控制器(In-vehicle Domain Controller，IVDC)是指安装在汽车中的一种电子控制单元。它负责集成和管理车辆内各个子系统的功能和数据，如发动机控制、车身电控、座舱电控等。车载域控制器的作用是实现车辆内部的各种功能的协调和控制，并提供车辆内部系统之间的通信和数据交换。IVDC也可简称为域控制器。

具体如下所示：

步骤110，接收软件系统发送的身份权限信息，软件系统包括：车载信息娱乐系统、汽车厂商预留系统、仪表系统和自动驾驶系统；

步骤120，在身份权限信息满足预设身份条件的情况下，接收软件系统发送的请求信息，请求信息用于获取目标数据，请求信息包括访问权限信息和目标数据的目标标识信息；

步骤130，在访问权限信息和目标标识信息相匹配的情况下，允许软件系统获取目标数据。

本申请实施例提供的通信方法中，通过接收软件系统发送的身份权限信息，软件系统包括：车载信息娱乐系统、汽车厂商预留系统、仪表系统和自动驾驶系统；在身份权限信息满足预设身份条件的情况下，接收软件系统发送的请求信息，请求信息用于获取目标数据，请求信息包括访问权限信息和目标数据的目标标识信息；这里，在身份权限信息满足预设身份条件的情况下，允许软件系统和存储目标数据的对象之间建立通信，即接收软件系统发送的请求信息，能够保障目标数据的安全；在访问权限信息和目标标识信息相匹配的情况下，允许软件系统获取目标数据，由此，在确定软件系统具有访问目标标识信息对应的目标数据的访问权限的情况下，允许软件系统获取目标数据，进一步保证目标数据的安全。

涉及步骤110。

接收软件系统发送的身份权限信息，软件系统包括：车载信息娱乐系统、汽车厂商预留系统、仪表系统和自动驾驶系统；

自动驾驶系统，需要接收摄像头数据，毫米波雷达数据，超声波传感器数据等，这些数据有如下的特点：数据量大，如摄像头数据；数据的接收频率高，如毫米波雷达与超声波传感器数据；数据完整性与可用性要求高，如果出现持续的数据破坏或者丢失，会造成ADAS系统失效，导致人身伤害。

仪表系统，需要接收从CAN总线与ADAS系统的报警信号。从功能安全的角度，仪表作为安全机制的一种，要能够在指定的时间之内，给出车辆存在故障的警报，否则存在导致人身伤害的风险。对于数据的完整性与可用性要求较高

车载信息娱乐系统，需要接收触摸屏数据，摄像头数据，无线数据、蓝牙数据，以及USB外设通信等等。IVI系统对于功能安全方面的要求不高，但IVI系统中可能保存了用户的隐私信息，包括驾驶员身份信息，付款信息等，可能造成财产损失。

汽车厂商预留系统，汽车厂商可能根据剩余的计算能力及带宽，部署其它的涉及安全的子系统，如电子后视镜等，也存在数据完整性与可用性的风险。也称原始设备制造商(Original Equipment Manufacturer，OEM)系统。

这4个软件系统对于数据的类型及安全性不同的要求，其中，自动驾驶系统，对于安全性要求高；仪表系统，对于安全性要求高；车载信息娱乐系统，对于安全性要求一般；及汽车厂商预留系统，对于安全性要求一般。

在一种可能的实施例中，步骤110之前，还可以包括以下步骤：

向使用分布式实时通信DDS的软件系统发送身份权限信息和访问权限信息。

其中，向使用分布式实时通信DDS的软件系统发送身份权限信息和访问权限信息，包括：

向使用分布式实时通信DDS的车载信息娱乐系统、汽车厂商预留系统、仪表系统和自动驾驶系统的数据接收进程或服务发送身份权限信息和访问权限信息。

即向使用DDS的通信的数据发送者与接收者分配身份权限信息和访问权限信息。其中，身份权限信息可以为身份认证令牌(Identify Token)；访问权限信息可以为访问控制令牌(Access Control Token)。

在本申请的实施例中，数据的发送者与接收者指车载信息娱乐系统、汽车厂商预留系统、仪表系统和自动驾驶系统的数据接收进程或服务。

本申请的实施例中，采用分布式实时通信服务(DDS)传递传感器及系统内部通信数据。DDS在系统内传递消息以主题(Topic)为单位，对于主题的访问可以分为读与写操作：

数据的发布者操作主题，将需要传递的消息写入主题；

数据的接收者监听主题，在主题中有数据更新时，读取更新的数据。目前，由于DDS中默认的读写操作并不进行权限控制，因此可能引入以下的风险：仪表系统读取了应发送给自动驾驶系统的数据；自动驾驶系统读取了应发给仪表系统的数据；恶意的第三方程序读取本应发送给两个系统的数据，或向两个系统的主题写入非法的数据，导致仪表系统或自动驾驶系统工作异常。

因此，为应对这些可能的风险，需要对DDS系统进行扩展，即通过增加网络安全相关插件的形式，使得基于DDS服务的通信需要进行权限认证与访问控制。

加入的DDS安全插件之后，基于以下过程建立支持认证与访问控制的安全通信：在数据发送者与接收者建立与主题之间的通信时，证明这些进程或服务的身份信息，即身份权限信息。

涉及步骤120。

在身份权限信息满足预设身份条件的情况下，接收软件系统发送的请求信息，请求信息用于获取目标数据，请求信息包括访问权限信息和目标数据的目标标识信息；

对于通信部分，提供通信服务(Communication Service)中间件，基于DDS服务并增加安全机制来达成数据隔离的目的。在驱动层(QNX BSP)，同样要对数据的数据源进行管理，避免高安全等级的数据源被低安全等级的子系统访问，或者被恶意的第三方程序控制，避免安全性风险。

系统的权限控制通过(QNX Host Service)来实现，包括在操作系统层面及硬件的支持，来实现数据加密、完整性验证及权限控制。

在身份权限信息满足预设身份条件的情况下，允许软件系统和主题之间进行通信，即允许接收软件系统发送的请求信息。

涉及步骤130。

在访问权限信息和目标标识信息相匹配的情况下，允许软件系统获取目标数据。

在身份权限信息满足预设身份条件的情况下，在其后与主题的通信过程中，需要提供访问权限信息(访问控制令牌)，确保各进程或服务具备正确的访问权限，能够通过主题进行数据的发送和接收，即允许软件系统获取目标数据。

在一种可能的实施例中，域控制器运行有舱驾融合系统，舱驾融合系统包括主计算单元，还可以包括以下步骤：

通过实时操作系统QNX虚拟化技术，将主计算单元对应的软件运行环境划分为：QNX主环境与客户虚拟机；

基于QNX主环境运行仪表系统和自动驾驶系统；

基于客户虚拟机运行车载信息娱乐系统和汽车厂商预留系统；

基于QNX虚拟化技术配置客户虚拟机的访问权限信息。

首先，由于车载信息娱乐系统与具有功能安全需求的软硬件系统集成在同一平台上，需要进行隔离，避免娱乐信息系统的故障影响到其它系统，从而导致人身伤害的风险。

因此需要将SoC内的主计算单元的软件运行环境分为两个部分：QNX主环境与客户虚拟机。如图2所示，在QNX主环境中，运行高功能安全等级要求的仪表系统和自动驾驶系统；在客户虚拟机中，运行低功能安全等级的车载信息娱乐系统和汽车厂商预留系统。

软件运行环境可以为虚拟化环境，虚拟化环境就是将单一物理计算机系统划分成多个独立的、可管理的虚拟环境的一种技术。它可以使多个完全不同的操作系统，显示装置和软件能在一台物理机上同时运行。

虚拟环境技术能把一台物理计算机分解成多个虚拟计算机，每个都能够以不同的环境运行自己的操作系统或应用程序。虚拟环境允许用户对计算机系统进行资源分发、功能分类和系统实现，因此有助于改善性能、节约空间和降低运维成本。

其次，基于QNX虚拟化技术配置客户虚拟机的访问权限信息，即配允许客户虚拟机访问的信息的名称。客户虚拟机的访问权限信息包括：允许客户虚拟机访问的信息的名称。由于仪表系统与自动驾驶系统，由于安全性要求接近，性能要求较高，且使用过多的虚拟机，同样会消耗有限的系统资源。

因此，在本申请的实施例中，仪表系统与自动驾驶系统部署在QNX虚拟化主环境中，如图中3中虚线所示。但客观上仪表系统与自动驾驶系统仍属于两类不同的业务，由于融合也存在相互影响的可能，因此这两个系统的隔离需要采用下面的服务隔离技术方案。

在一种可能的实施例中，还可以包括以下步骤：

通过自适应分区技术，将QNX主环境划分为第一软件分区和第二软件分区；

基于第一软件分区用于运行仪表系统；

基于第二软件分区，运行自动驾驶系统；

基于自适应分区技术，为仪表系统和自动驾驶系统分配系统资源，系统资源包括处理资源和存储资源。

其中，自适应分区技术，是QNX嵌入式操作系统的一个特色功能，应从两方面理解：自适应和分区。

分区是指操作系统采用“虚拟墙”将共享资源，以一定的比例划分，以确保每个分区都有一组经过工程设计的资源。每个分区内可以运行一个或多个线程/进程。共享资源例如：CPU执行时间、内存和存储空间等。

自适应是指操作系统内核可以根据各分区的实际资源使用情况，对每个分区的资源进行动态调整，优化CPU资源和共享资源的利用率。自适应分区可以保护一个或一组应用程序不被其他有缺陷的或恶意的应用程序破坏而造成系统崩溃。

本申请实施例中，对于功能安全等级要求相同的仪表系统和自动驾驶系统，采用部署到SoC的QNX主环境中的方案，由于仪表系统与自动驾驶系统业务逻辑完全不同，部署在同一个QNX主环境的系统内，仍需要进行合理的隔离，因此QNX主环境基于自适应分区技术，被划分为第一软件分区和第二软件分区。

仪表系统与自动驾驶系统部署在QNX虚拟化主环境中，运行于QNX操作系统之上。为应对两个系统相互干扰的可能，本申请实施例中采用以下两种机制：

将仪表系统与自动驾驶系统的数据接收服务设计为两个独立的进程，仪表画面显示(含数据处理)与自动驾驶的数据处理(含感知、规划、控制等)也设计为独立的进程，并与各自的数据接收服务通信；

如图3所示，仪表系统通过仪表系统对应的进程，实现仪表画面显示和仪表数据接收；自动驾驶系统通过自动驾驶系统对应的进程实现自驾数据处理和自驾数据接收。仪表系统对应的进程和自动驾驶系统对应的进程是相互独立的。

由此，第一软件分区用于运行仪表系统，第二软件分区用于运行自动驾驶系统，可以避免不同的业务逻辑相互影响。

为第一软件分区和第二软件分区分配系统资源。示例性地，仪表系统可以使用25％的CPU资源和内存资源，用以解决QNX主环境中的隔离问题。

基于自适应分区技术，为仪表系统和自动驾驶系统分配系统资源，系统资源包括处理资源和存储资源，即将仪表系统与自动驾驶业务逻辑划分为不同的逻辑域，利用QNX操作系统提供的自适应分区技术，分配仪表业务域与自动驾驶业务域可用的CPU及内存资源上限，保障两个域能使用的最小资源。

在一种可能的实施例中，还可以包括以下步骤：

将仪表系统和自动驾驶系统的服务质量QoS参数的参数值设置为可靠值；

将仪表系统和自动驾驶系统的数据传递优先级设置为最高优先级。

由于舱驾融合系统中各个子系统的通信都需要经过数据通信服务，因此数据通信服务转发数据时可能存在由于系统资源的不足，出现延时过大的情况。对于功能安全相关数据，如仪表的警告信息，或者自动驾驶系统的传感器信号，如果产生了过高的延时，可能会导致人身伤害的风险。因此，对数据通信服务的服务质量(QoS)做如下的配置：

对于仪表与自动驾驶系统的可靠性(Reliability)QoS，配置为可靠值，即“可靠的(RELIABLE)”，这样数据通信服务会尝试将各服务相关的信号可靠的传递给数据接收服务，如果存在信号丢失的情况，数据通信服务会尝试重传；可靠性策略通过其各自QoS结构的可靠性成员而适用于主题、数据读取器和数据写入器实体。

其中，服务质量QoS参数的测策略，用于控制数据读取器和写入器如何处理他们处理的数据样本，与可靠性QoS策略相关的参数值包括：

“尽力而为”值(BEST_EFFORT_RELIABILITY_QOS)对样本的可靠性没有任何保证，在某些情况下可能会丢弃样本。“可靠”值(RELIABLE_RELIABILITY_QOS)表示该服务最终应将所有值传递给合格的数据读取器。

对于仪表系统与自动驾驶系统的数据传递优先级(Transport-Priority)，设置为高于其它系统的数据传递优先级，即将仪表系统和自动驾驶系统的数据传递优先级设置为最高优先级，这样在系统负载过高时，数据通信服务仍能保障功能安全相关数据的优先发送。

在一种可能的实施例中，还可以包括以下步骤：

将采集到的图像数据存储于预先设置的共享内存空间中，以用于各个软件系统从共享内存空间中读取图像数据。

在舱驾融合方案中，图像数据由于其数据尺寸较大。其中，域控制器对应多个摄像头，图像数据最大可以达到800万像素，而且图像数据的采集频率较高(比如：30～60FPS)。

因此本申请实施例设计了独立的共享内存机制，划分独立的共享内存空间，配置为共享内存空间，并提供读写接口；从摄像头驱动接收到的图像数据，缓存到共享内存空间中；以及，通过数据通信服务，发送图像数据准备完毕的通知到软件系统；以用于各个软件系统从共享内存空间中读取图像数据，在检测到软件系统读取图像数据完毕的情况下，或者在检测到超时的图像数据的情况下，从共享内存空间中删除，以回收共享内存空间的存储资源。

由此，基于大数据高效传输的共享内存机制，本申请实施例通过将采集到的图像数据存储于预先设置的共享内存空间中，用于视频数据的高效缓存和传输，以实现硬件资源的高效利用。

在一种可能的实施例中，还可以包括以下步骤：

接收进程或者服务发送的驱动文件请求信息，驱动文件请求信息用于请求访问驱动文件，驱动文件请求信息包括：驱动文件的名称；

根据驱动文件的名称，从预设配置文件中获取与驱动文件的名称匹配的软件系统的名称；

在软件系统的名称中包括进程或者服务对应的系统的名称的情况下，允许进程或者服务访问驱动文件。

舱驾融合系统中，所有的数据均来自于驱动设备，在QNX系统中，驱动设备产生的数据以驱动文件的形式表达。

由于驱动文件对于所有进程可见，如果任意进程均可访问驱动文件，则会导致安全相关数据完整性与可用性被破坏的风险，因此本申请实施例采用QNX的Security Policy机制，对驱动文件进行强制权限保护，只有在白名单之内的进程或服务才可以访问对应的驱动文件。其中，白名单是指与驱动文件的名称匹配的软件系统的名称。

其中，驱动文件，包括：摄像头驱动文件(GMSL总线)，毫米波雷达驱动(CANFD总线)，超声波雷达驱动(SPI总线)，以太网通信接口，IVI系统的触摸屏驱动。

根据驱动文件的名称，从预设配置文件中获取与驱动文件的名称匹配的软件系统的名称；在软件系统的名称中包括进程或者服务对应的系统的名称的情况下，允许进程或者服务访问驱动文件，由此，能够应用QNX的安全策略，对驱动文件进行访问控制，从源头上控制数据的安全获取。

综上，在本申请实施例中，通过接收软件系统发送的身份权限信息，软件系统包括：车载信息娱乐系统、汽车厂商预留系统、仪表系统和自动驾驶系统；在身份权限信息满足预设身份条件的情况下，接收软件系统发送的请求信息，请求信息用于获取目标数据，请求信息包括访问权限信息和目标数据的目标标识信息；这里，在身份权限信息满足预设身份条件的情况下，允许软件系统和存储目标数据的对象之间建立通信，即接收软件系统发送的请求信息，能够保障目标数据的安全；在访问权限信息和目标标识信息相匹配的情况下，允许软件系统获取目标数据，由此，在确定软件系统具有访问目标标识信息对应的目标数据的访问权限的情况下，允许软件系统获取目标数据，进一步保证目标数据的安全。

基于上述图1所示的通信方法，本申请实施例还提供一种舱驾融合系统，其特征在于，应用于基于HPC系统的域控制器，所述舱驾融合系统至少包括：

应用层，包括QNX主环境与客户虚拟机；所述QNX主环境，用于运行仪表系统和自动驾驶系统；

所述客户虚拟机，用于运行车载信息娱乐系统和汽车厂商预留系统；

服务层，包括第一软件分区和第二软件分区；所述第一软件分区用于运行所述仪表系统，所述第二软件分区用于运行所述自动驾驶系统。

基于上述图1所示的通信方法，本申请实施例还提供一种通信装置，如图4所示，该装置400可以包括：

第一接收模块410，用于接收软件系统发送的身份权限信息，软件系统包括：车载信息娱乐系统、汽车厂商预留系统、仪表系统和自动驾驶系统；

第二接收模块420，用于在身份权限信息满足预设身份条件的情况下，接收软件系统发送的请求信息，请求信息用于获取目标数据，请求信息包括访问权限信息和目标数据的目标标识信息；

获取模块430，用于在访问权限信息和目标标识信息相匹配的情况下，获取软件系统获取目标数据。

在一种可能的实现方式中，该装置400还可以包括：

发送模块，用于向使用分布式实时通信DDS的所述软件系统发送所述身份权限信息和所述访问权限信息。

在一种可能的实现方式中，域控制器运行有舱驾融合系统，所述舱驾融合系统包括主计算单元，该装置400还可以包括：

第一划分模块，用于通过实时操作系统QNX虚拟化技术，将所述主计算单元对应的软件运行环境划分为：QNX主环境与客户虚拟机；

第一运行模块，用于基于所述QNX主环境运行所述仪表系统和所述自动驾驶系统；

基于所述客户虚拟机运行所述车载信息娱乐系统和所述汽车厂商预留系统；

配置模块，用于基于所述QNX虚拟化技术配置所述客户虚拟机的访问权限信息。

在一种可能的实现方式中，该装置400还可以包括：

第二划分模块，用于通过自适应分区技术，将所述QNX主环境划分为第一软件分区和第二软件分区；

第二运行模块，用于基于所述第一软件分区用于运行所述仪表系统；

基于所述第二软件分区，运行所述自动驾驶系统；

分配模块，用于基于所述自适应分区技术，为所述仪表系统和所述自动驾驶系统分配系统资源，所述系统资源包括处理资源和存储资源。

在一种可能的实现方式中，该装置400还可以包括：

设置模块，用于将所述仪表系统和所述自动驾驶系统的服务质量QoS参数的参数值设置为可靠值；

设置模块，还用于将所述仪表系统和所述自动驾驶系统的数据传递优先级设置为最高优先级。

在一种可能的实现方式中，该装置400还可以包括：

存储模块，用于将采集到的图像数据存储于预先设置的共享内存空间中，以用于各个所述软件系统从所述共享内存空间中读取所述图像数据。

在一种可能的实现方式中，该装置400还可以包括：

第三接收模块，用于接收进程或者服务发送的驱动文件请求信息，所述驱动文件请求信息用于请求访问驱动文件，所述驱动文件请求信息包括：所述驱动文件的名称；

获取模块，用于根据所述驱动文件的名称，从预设配置文件中获取与所述驱动文件的名称匹配的软件系统的名称；

访问模块，用于在所述软件系统的名称中包括所述进程或者服务对应的系统的名称的情况下，允许所述进程或者服务访问所述驱动文件。

综上，在本申请实施例中，通过接收软件系统发送的身份权限信息，软件系统包括：车载信息娱乐系统、汽车厂商预留系统、仪表系统和自动驾驶系统；在身份权限信息满足预设身份条件的情况下，接收软件系统发送的请求信息，请求信息用于获取目标数据，请求信息包括访问权限信息和目标数据的目标标识信息；这里，在身份权限信息满足预设身份条件的情况下，允许软件系统和存储目标数据的对象之间建立通信，即接收软件系统发送的请求信息，能够保障目标数据的安全；在访问权限信息和目标标识信息相匹配的情况下，允许软件系统获取目标数据，由此，在确定软件系统具有访问目标标识信息对应的目标数据的访问权限的情况下，允许软件系统获取目标数据，进一步保证目标数据的安全。

图5示出了本申请实施例提供的一种域控制器的硬件结构示意图。

在域控制器可以包括处理器501以及存储有计算机程序指令的存储器502。

具体地，上述处理器501可以包括中央处理器(CPU)，或者特定集成电路(Application Specific Integrated Circuit，ASIC)，或者可以被配置成实施本申请实施例的一个或多个集成电路。

存储器502可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器502可包括硬盘驱动器(Hard Disk Drive，HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus，USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器502可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器502可在综合网关容灾设备的内部或外部。在特定实施例中，存储器502是非易失性固态存储器。在特定实施例中，存储器502包括只读存储器(ROM)。在合适的情况下，该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。

处理器501通过读取并执行存储器502中存储的计算机程序指令，以实现图所示实施例中的任意一种通信方法。

在一个示例中，域控制器还可包括通信接口503和总线510。其中，如图5所示，处理器501、存储器502、通信接口503通过总线510连接并完成相互间的通信。

通信接口503，主要用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。

总线510包括硬件、软件或两者，将域控制器的部件彼此耦接在一起。举例来说而非限制，总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线510可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线，但本申请考虑任何合适的总线或互连。

该域控制器可以执行本申请实施例中的通信方法，从而实现结合图1至图3描述的通信方法。

另外，结合上述实施例中的通信方法，本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现图1至图3中的通信方法。

需要明确的是，本申请并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见，这里省略了对已知方法的详细描述。在上述实施例中，描述和示出了若干具体的步骤作为示例。但是，本申请的方法过程并不限于所描述和示出的具体步骤，本领域的技术人员可以在领会本申请的精神后，作出各种改变、修改和添加，或者改变步骤之间的顺序。

以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时，其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时，本申请的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路，等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。

还需要说明的是，本申请中提及的示例性实施例，基于一系列的步骤或者装置描述一些方法或系统。但是，本申请不局限于上述步骤的顺序，也就是说，可以按照实施例中提及的顺序执行步骤，也可以不同于实施例中的顺序，或者若干步骤同时执行。

以上所述，仅为本申请的具体实施方式，所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、模块和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。应理解，本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本申请的保护范围之内。

Claims (10)

1.一种通信方法，其特征在于，应用于基于高性能计算HPC系统的域控制器，所述方法包括：

接收软件系统发送的身份权限信息，所述软件系统包括：车载信息娱乐系统、汽车厂商预留系统、仪表系统和自动驾驶系统；

在所述身份权限信息满足预设身份条件的情况下，接收所述软件系统发送的请求信息，所述请求信息用于获取目标数据，所述请求信息包括访问权限信息和所述目标数据的目标标识信息；

在所述访问权限信息和所述目标标识信息相匹配的情况下，允许所述软件系统获取所述目标数据。

2.根据权利要求1所述的方法，其特征在于，所述接收软件系统发送的身份权限信息之前，所述方法还包括：

向使用分布式实时通信DDS的所述软件系统发送所述身份权限信息和所述访问权限信息。

3.根据权利要求1所述的方法，其特征在于，所述域控制器运行有舱驾融合系统，所述舱驾融合系统包括主计算单元，所述方法还包括：

通过实时操作系统QNX虚拟化技术，将所述主计算单元对应的软件运行环境划分为：QNX主环境与客户虚拟机；

基于所述QNX主环境运行所述仪表系统和所述自动驾驶系统；

基于所述客户虚拟机运行所述车载信息娱乐系统和所述汽车厂商预留系统；

基于所述QNX虚拟化技术配置所述客户虚拟机的访问权限信息。

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：

通过自适应分区技术，将所述QNX主环境划分为第一软件分区和第二软件分区；

基于所述第一软件分区用于运行所述仪表系统；

基于所述第二软件分区，运行所述自动驾驶系统；

基于所述自适应分区技术，为所述仪表系统和所述自动驾驶系统分配系统资源，所述系统资源包括处理资源和存储资源。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

将所述仪表系统和所述自动驾驶系统的服务质量QoS参数的参数值设置为可靠值；

将所述仪表系统和所述自动驾驶系统的数据传递优先级设置为最高优先级。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

将采集到的图像数据存储于预先设置的共享内存空间中，以用于各个所述软件系统从所述共享内存空间中读取所述图像数据。

7.根据权利要求1所述的方法，其特征在于，所述方法还包括：

接收进程或者服务发送的驱动文件请求信息，所述驱动文件请求信息用于请求访问驱动文件，所述驱动文件请求信息包括：所述驱动文件的名称；

根据所述驱动文件的名称，从预设配置文件中获取与所述驱动文件的名称匹配的软件系统的名称；

在所述软件系统的名称中包括所述进程或者服务对应的系统的名称的情况下，允许所述进程或者服务访问所述驱动文件。

8.一种通信装置，其特征在于，应用于基于HPC系统的域控制器，所述域控制器运行有移动操作系统和实时操作系统，所述装置包括：

第一接收模块，用于接收软件系统发送的身份权限信息，所述软件系统包括：车载信息娱乐系统、汽车厂商预留系统、仪表系统和自动驾驶系统；

第二接收模块，用于在所述身份权限信息满足预设身份条件的情况下，接收所述软件系统发送的请求信息，所述请求信息用于获取目标数据，所述请求信息包括访问权限信息和所述目标数据的目标标识信息；

获取模块，用于在所述访问权限信息和所述目标标识信息相匹配的情况下，获取所述软件系统获取所述目标数据。

9.一种基于HPC系统的域控制器，其特征在于，所述域控制器包括：处理器以及存储有计算机程序指令的存储器；所述处理器执行所述计算机程序指令时实现如权利要求1-7任意一项所述的通信方法。

10.一种可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现如权利要求1-7任意一项所述的通信方法。