目录
5、微内核的安全技术要求(针对ISO 26262而言)(只提供机制,不提供完整的功能)
给学习做个总结,写的不对处希望大家指出。
1、广义OS和狭义OS定义
①广义OS:在应用软件与底层之间的桥梁;
②狭义OS:提供软件的运行环境(如C库,网络协议栈、驱动等)和硬件的抽象管理,如Windows,QNX,RTOS,Linux,hypervisor;
---------------------------------
以下是对狭义OS的概况
2、OS的基本要求
①实时性:微妙级响应,关键事件及时处理;
②功能安全:ASIL-B(感知)/ASIL-D(决策控制);
③信息安全:数据安全保障,预防攻击和泄露;
④可靠性:业务确定可靠,处理时长可控可期;
3、中兴的3种OS适用场景
①微内核ZEOS:适用于智驾/网关,POSIX兼容,ASIL-D认证,实时调度产品;
②hypervisor:适用于座舱,多域安全隔离,主流SOC芯片支持,高效跨域通信,多形态设备虚拟化,通常是基于同一套硬件,利用hypervisor虚拟出仪表的Linux或Qnx(因为Linux是开源的,一般仪表都是Linux)+大屏的Android;如果一芯多屏显示都是同一个系统,例如Android,那么可以不用hypervisor,直接屏运行自己的APP或者底层软件做成同屏异显;
③嵌入式OS之Linux:适用于座舱、ASIL等级低或有其他功能辅助下的智驾,实时性增强,主流SOC芯片支持,安全性增强;
4、微内核OS介绍
①概念
为实现一个OS所需最少机制的软件叫微内核microkernel,用微内核作为系统内核的OS叫微内核OS;
②机制
内存管理;线程管理;IPC机制;
③微内核与宏内核区别
宏内核的功能调用路径在内核中1次调用,可独立完成无需上下文切换,系统有Linux,Unix,宏内核适用于大吞吐量的场景,如娱乐/游戏/电影等;微内核需要经过IPC调用不同服务来共同完成1个功能;
④微内核特性
Ⅰ安全:代码规模小,复杂度低,核心代码在5w行以下,攻击面小,基于服务架构,稳定性可靠性高(单服务崩溃不会影响全局,单服务可自行重启),能获得ASIL认证;
Ⅱ实时:内核简单,执行路径短,耗时短,任务切换开销小;
Ⅲ挑战:生态:因为面向服务,所以生态上需要支持;性能:多服务调用,吞吐量下降;
5、微内核的安全技术要求(针对ISO 26262而言)(只提供机制,不提供完整的功能)
①微内核基本功能
调度器、线程管理、内存管理(物理内存、虚拟内存)、IPC机制、同步互斥机制、中断管理、异常管理、定时器、系统调用、共享存储型多处理机SMP;
②调度安全
实时性(调度延迟、中断延迟、调度策略、优先级、抢占)、确定性(优先级继承、CPU资源管理、高精度定时器、线程亲和性)、快速IPC;
③内存安全
栈、栈管理、及时映射、页/段保护机制、内存回收;
④接口隔离
内存隔离、CPU资源隔离、通信资源隔离;
⑤其他
无。
6、Linux
①功能安全的挑战
Linux还未达到ASIL-B,代码是开源的,从需求到设计到验证没有相关的文档和流程来保证它的安全性;
②ELISA组织
由Linux基金会发起的帮公司基于Linux系统通过功能安全认证的组织,目前主要成员有:ARM、BMW、KUKA、Toyota、Linux基金会,主要是开发一套方法论和使用案例,并不会提供满足功能安全的Linux的开发板;
7、safety Linux定义
①:针对Linux的管理覆盖产品整个生命周期;
②:研发流程、支持过程满足功能安全;
③:明确的产品需求、安全需求分配到Linux;
④:实时性、安全性、FFI增强;
⑤:安全分析覆盖产品可能失效模式;
⑥:验证方法足够充分,足以验证Linux的正确性和安全性;
⑦:有独立的audit审核和assessment评估;
8、safety Linux安全功能
①Linux基本功能
调度器、线程管理、内存管理(物理内存、虚拟内存)、IPC机制、同步互斥机制、中断管理、异常管理、定时器、系统调用、SMP、网络协议栈、设备驱动、基于安全分析的失效监控和安全机制;
②调度安全
实时性增强(RT-patch、域隔离)、确定性(优先级集成、CPU资源管理、高精度定时器、亲和性)、超时检测、异常挂起检测、死锁检测;
③内存安全
栈、栈管理、及时映射、页/段保护机制、内存回收;
④接口隔离
内存隔离、资源隔离、Cgroup+Namespace、Secomp
⑤其他
中断风暴、文件系统失败、异常工作队列检测、watchdog、文件系统和设备驱动失效检测。
9、多级监控机制
①应用级监控
提供应用保活、失效拉起、资源配额管理的机制;
②内核级监控
提供多种内核功能模块失效监控,驱动失效监控,及时发现系统内核失效;
③系统级监控
基于hypervisor,提供基于VMM(虚拟机监视器)的健康监控、挂起探测、失效拉起等机制;
④芯片级监控
外置硬件安全模块HSM,对SOC进行硬件芯片监控,及时探测芯片失效并快速拉起。
10、hypervisor
①分类
Ⅰ:基于OS虚拟化:process、thread、swc;
Ⅱ:基于更高特权级隔离的hypervisor:vitual machine(虚拟机);
Ⅲ:基于容器、系统调用捕获、API捕获等轻量级虚拟化:container、process;
Ⅳ:基于hypervisor+libkerne的baremetal方式:virtual machine
②隔离与共享
资源隔离(免于干扰,应用开发、部署优势,高可靠性、确定性):
Ⅰ:空间隔离:内存空间、设备、IO空间隔离;
Ⅱ:时间隔离:CPU运行隔离(多个OS运行不影响);
Ⅲ:隔离方式:基于虚拟化的软隔离(如单核CPU支持多OS)、静态配置(硬件隔离)、透传;
资源共享(算力共享、资源复用、弹性部署、成本优势):
Ⅰ:设备共享:基于设备虚拟化的CPU、内存、IO共享;
Ⅱ:共享方式:基于VT分时复用、分区分片、Virtio、Emulation。
原视频链接:
https://xnz.h5.xeknow.com/s/O2IUE