1安全隔离机制
如图1所示,在AUTOSAR OS中每个Application由一个或者多个任务/操作系统中断,零个或多个定时器、调度表、时钟或者资源以及零个或一个启动、错误和关闭钩子程序构成。
图1 OS-Application的UML模型示意图
1.1 AUTOSAR OS-Application
AUTOSAR OS支持两类OS-Application,可信OS-Application和非可信OS-Application。可信OS-Application可以在运行时当监控或保护特征没有开启的时候还行继续运行。他们对存储,OS API的访问不受限制,不需要运行时的时间保护。如果处理器支持,可以运行在超级权限模式。可信OS-Application提供可信服务。非可信OS-Application在运行时如果监控或保护特征没有开启的时候不能继续运行。他们受限访问存储,OS API等,在运行时受到时间行为限制。如果处理器支持,他们不能运行于超级权限模式。我们假定OS本身是可信的。
之所以能够支持组件划分,是因为在OS-Application之间,同一个OS-Application之间的OS对象之间可以互相访问,但是不同OS-Application之间的OS对象之间的访问是受限于配置时期的授权的。
1.2 安全隔离的划分
图2是一个基于OS-Application 做安全划分的样例,其中OS-Application 0是一个非可信的分区,位于CPU用户模式&#