在车辆的电子控制单元中实现进程间通信的系统和方法技术方案

本发明专利技术涉及在车辆的电子控制单元中实现进程间通信的系统和方法。提供了一种用于在具有限定内核空间的操作系统的电子控制单元中提供进程间交互的方法，其中，该方法包括以下步骤：操作系统的内核拦截对进行电子控制单元的第一应用程序和第二应用程序之间的进程间通信的请求；从操作系统的访问控制组件请求关于以下的判决：授予对进行所请求的电子控制单元的第一应用程序和第二应用程序之间的进程间通信的访问权限；访问控制组件基于安全策略生成所请求的进程间通信的所述判决；操作系统的内核基于所生成的所述判决，选择性地允许进行所请求的第一应用程序和第二应用程序之间的进程间通信。的进程间通信。的进程间通信。

【技术实现步骤摘要】
在车辆的电子控制单元中实现进程间通信的系统和方法


[0001]本专利技术涉及计算机操作系统领域，并且更具体地，涉及用于在车辆的电子控制单元中实现进程间通信的系统和方法。

技术介绍

[0002]当前，随着各种技术的发展，汽车工业正在快速发展。供应商可以实施新的信息和控制系统，这些系统允许车辆软件系统更舒适地控制汽车。汽车的各种信息和控制系统由控制单元控制，控制单元又执行各种算法。因此，例如，为了符合欧洲生态标准(EURO
‑
4、EURO
‑
5)的规定，汽车制造商不仅需要优化发动机，而且还需要优化用于这些发动机的控制系统，以确保法规规定的生态排气，同时还确保功率特性不会变差。为更加适应性的驾驶而设计的变速箱控制系统正在被优化，以能够适应驾驶方式、道路和天气状况、变速器换挡的各种方式、以及轮轴之间的扭矩传递。当前，正在采用更复杂的高级驾驶员辅助系统(Advanced Driver
‑
Assistance System，ADAS)，例如自动停车系统、驾驶辅助系统、或自动紧急制动系统。车辆中的自动停车系统使用传感器来确定从车辆到障碍物的距离。车辆中的驾驶辅助系统通常使用摄像机来识别车辆在车道上和在公路上的位置。自动紧急制动系统被配置为在车辆的红外传感器检测到障碍物时帮助驾驶员制动。此外，电动车辆和/或混合动力电动车辆得到普及，其移动由位于这些车辆上的控制系统控制。随着信息技术的快速发展，交通工具(汽车和卡车两者)的自动驾驶的问题也变得越来越重要。
[0003]当前，存在用于控制单元在其上操作的平台的传统标准。用于关键组件(例如转向系统或制动系统)的汽车控制单元是根据面临更高安全要求的标准来实现的。此外，这种用于关键组件的控制单元通常在资源有限的单核处理器上运行。例如，可以使用具有低CPU性能和有限存储容量的专用微控制器来实现这种控制单元。另一方面，多媒体系统可能缺乏更高的安全要求，因为它们的操作(媒体文件的回放或地图上地理位置的显示)通常不会直接影响车内驾驶人员的安全。前面提到的驾驶员辅助和控制方法表示多媒体和安全单元之间的“中间层”。驾驶员辅助系统面临更高安全要求。在特定控制单元中，使用实时系统，这又限制了这些单元可以支持的算法。
[0004]汽车开放系统架构(AUTomotive Open System Architecture，AUTOSAR)是成立于2003年的汽车相关各方的全球发展合作伙伴关系。AUTOSAR的目标是为汽车电子控制单元(automotive electronic control unit，ECU)创建和建立开放的且标准化的软件架构
‑
Autosar自适应平台(Autosar Adaptive Platform，AAP)。该标准的主要特征之一是对确保基于AAP构建的系统的信息安全性的要求。
[0005]已知的AAP标准对安全子系统提出了高层次的要求。AAP标准设想了用于设计安全子系统的各种方法。例如，安全子系统的一种实现方式可以使用多个决策点来提供应用程序的接口之间的访问。这些决策点可以以在AAP平台的控制下工作的其他应用程序的形式实现。这些技术会阻止创建具有指定属性的访问控制安全子系统，指定属性例如安全策略的完整说明、它们的相互兼容性以及指定复杂且全面的安全策略的能力。因此，应该注意的
是，用于授予访问权限的多个决策点的存在可能无法允许明确预料到在一个或多个决策点受到黑客的威胁的情况下系统作为一个整体将如何表现。
[0006]这也意味着在当今条件下可能威胁上述控制单元。驾驶员经常未注意对汽车内部的访问(例如，在清洗时、季节性更换轮胎期间或由除官方经销商以外的各种供应商进行的非计划维护期间)。黑客可能能够(通过电缆或通过使用数据交换端口的恶意存储介质，例如USB)连接到控制单元。因此，控制单元中的至少一者和至少一个决策点可能会受到威胁。
[0007]因此，需要解决上述问题。

技术实现思路

[0008]公开了存在单个决策点的系统和方法，并且软件平台在安全操作系统的控制下运行。
[0009]在一方面，提出了一种用于在具有限定内核空间的操作系统的电子控制单元中提供进程间交互的方法，其中，该方法涉及以下步骤：操作系统的内核拦截对进行电子控制单元的第一应用程序和第二应用程序之间的进程间通信的请求。从操作系统的访问控制组件请求关于以下的判决：授予对进行所请求的电子控制单元的第一应用程序和第二应用程序之间的进程间通信的访问权限。访问控制组件基于安全策略为所请求的进程间通信生成判决。操作系统的内核基于生成的判决，选择性地允许进行所请求的第一应用程序和第二应用程序之间的进程间通信。
[0010]在一方面，访问控制组件具有做出关于所述进程间通信的访问权限授予决策的专有权。
[0011]在一方面，安全策略包括包含多个数据元素的列表。该多个数据元素中的每一者至少指示客户端应用程序的标识符、服务应用程序的标识符和该服务应用程序允许执行的服务的标识符。
[0012]在一方面，内核向访问控制组件发送第一应用程序的标识符、第二应用程序的标识符以及将由第二应用程序执行的服务的标识符。访问控制组件响应于在列表中找到与第一应用程序的标识符、第二应用程序的标识符和将由第二应用程序执行的服务的标识符匹配的数据元素而生成肯定判决。访问控制组件响应于在列表中未找到与第一应用程序的标识符、第二应用程序的标识符和将由第二应用程序执行的服务的标识符匹配的数据元素而生成否定判决。
[0013]在一方面，内核基于由访问控制组件生成的肯定判决而允许进行所请求的进程间通信。内核基于访问控制组件生成的否定判决而阻止进行所请求的进程间通信。
[0014]在一方面，所述列表是基于规范创建的，所述规范限定相应应用程序对不同应用程序的一个或多个服务的访问权限。
[0015]在一方面，该规范至少包括相应应用程序所需的一个或多个计算资源、相应应用程序所需的运行时环境条件、相应应用程序提供的一个或多个接口。
附图说明
[0016]并入本说明书中并构成本说明书的一部分的附图示出了本专利技术的一个或多个示例性方面，以及连同详细的描述一起用来阐述这些示例性方面的原理和实现方式。
[0017]图1A示出了Autosar自适应平台标准的传统系统的结构的框图。
[0018]图1B示出了根据Autosar自适应平台标准的规范的用于提供访问权限的方案的实现方式的框图。
[0019]图1C示出了使用中介器根据Autosar自适应平台标准的规范提供访问权限的方案的实现方式的框图。
[0020]图2A示出了根据本专利技术的各方面的用于在电子控制单元中提供进程间通信的系统。
[0021]图2B示出了根据本专利技术的各方面的Flux高级安全内核(Flux Advanced Security Kernel，FLASK)架构。
[0022]图2C示出了根据本专利技术的各方面的示例性安全操作系统中的进程间通信本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于在具有限定内核空间的操作系统的电子控制单元中提供进程间交互的方法，所述方法包括：由所述操作系统的内核拦截对进行所述电子控制单元的第一应用程序和第二应用程序之间的进程间通信的请求；从所述操作系统的访问控制组件请求关于以下的判决：授予对进行所请求的所述电子控制单元的所述第一应用程序和所述第二应用程序之间的所述进程间通信的访问权限；由所述访问控制组件基于安全策略为所请求的所述进程间通信生成所述判决；以及由所述操作系统的所述内核基于所生成的所述判决，选择性地允许进行所请求的所述第一应用程序和所述第二应用程序之间的所述进程间通信。2.如权利要求1所述的方法，其中，所述访问控制组件具有做出关于所述进程间通信的访问权限授予决策的专有权。3.如权利要求1所述的方法，其中，所述安全策略包括包含多个数据元素的列表，并且，所述多个数据元素中的每一者至少指示客户端应用程序的标识符、服务应用程序的标识符和所述服务应用程序允许执行的服务的标识符。4.如权利要求3所述的方法，其中，所述内核向所述访问控制组件发送所述第一应用程序的标识符、所述第二应用程序的标识符以及将由所述第二应用程序执行的服务的标识符，其中，所述访问控制组件响应于在所述列表中找到与所述第一应用程序的标识符、所述第二应用程序的标识符和将由所述第二应用程序执行的所述服务的标识符匹配的数据元素而生成肯定判决，以及，所述访问控制组件响应于在所述列表中未找到与所述第一应用程序的标识符、所述第二应用程序的标识符和将由所述第二应用程序执行的所述服务的标识符匹配的数据元素而生成否定判决。5.如权利要求4所述的方法，其中，所述内核基于由所述访问控制组件生成的所述肯定判决而允许进行所请求的所述进程间通信，以及，所述内核基于由所述访问控制组件生成的所述否定判决而阻止进行所请求的所述进程间通信。6.如权利要求3所述的方法，其中，所述列表是基于规范创建的，所述规范限定相应应用程序对不同应用程序的一个或多个服务的访问权限。7.如权利要求6所述的方法，其中，所述规范至少包括：所述相应应用程序所需的一个或多个计算资源；所述相应应用程序所需的运行时环境条件；所述相应应用程序提供的一个或多个接口。8.一种用于在具有限定内核空间的操作系统的电子控制单元中提供进程间交互的系统，所述系统包括：硬件处理器，所述硬件处理器被配置为：由所述操作系统的内核拦截对进行所述电子控制单元的第一应用程序和第二应用程序之间的进程间通信的请求；从所述操作系统的访问控制组件请求关于以下的判决：授予对进行所请求的所述电子控制单元的所述第一应用程序和所述第二应用程序之间的所述进程间通信的访问权限；由所述访问控制组件基于安全策略为所请求的所述进程间通信生成所述判决；以及由所述操作系统的所述内核基于所生成的所述判决，选择性地允许进行所请求的所述第一应用程序和所述第二应用程序之间的所述进程间通信。
9.如权利要求8所述的系统，其中，所述访问控制组件具有做出关于所述进程间通信的访问权限授予决策的专有权。10.如权利要求8所述的系统，其中，所述安全策略包括包含多个数据元素的列表，并且，所述多个数据元素中的每一者至少指示客户端应用程序的标识符、服务应用程序的标识符和所述服务应用程序允许执行的服务的标识符。11.如权利要求10所述的系统，其中，所述内核向所述访问控制组件发送所述第一应用程序的标识符、所...

【专利技术属性】
技术研发人员：亚历山大，
申请(专利权)人：卡巴斯基实验室股份制公司，
类型：发明
国别省市：