一文读懂AutoSAR内存保护和Mpu

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

MPU的功能

MPU功能简述

MPU保护与当前执行的代码“不相关“的所有数据。

“不相关”是相关内存地址的权限受限制，或者是程序访问内存地址的范围于其无关，阻止关键数据被破坏，使嵌入式系统更加健壮与安全。  

MPU作用主要有两个方面:

为两个保护，一个检测。

1）MPU的保护作用

指访问区域的保护和读写区域的保护。

① 访问区域的保护。

可以将内存区域划为特权区域和普通区域，特权区域只有特权用户才能访问，普通用户被禁止访问，以此来保护特定的数据。

常见的应用场景：

1> 对带系统的来说，可以设置数据，以防止用户应用程序破坏操作系统使用过程中的数据。

2> 隔离任务,以防止一个任务访问其他任务的数据。

3> 将SRAM或者RAM空间定义为不可执行，防止代码注入。

② 读写区域的保护。

设置指定的区域为只读，可以有效的防止比较关键的数据被错误修改。

2）MPU的检测功能

指可以检测堆和栈的溢出情况及数组有没有越界。

功能安全中对内存分区MPU的相关描述

汽车ECU软件是高度模块化的嵌入式软件，其功能实现是可以为非功能安全，和功能安全的SWC组合，它们分别拥有不同的ASIL安全等级。

根据ISO26262，如果嵌入式软件包含不同ASIL等级的SWC，要么整个软件工程都需要基于最高安全等级的要求进行开发，需要保证拥有更高安全等级的SWC的操作不会受到其他SWC的干扰，也即需要做到FFI(Freedom from interference)的设计。

基于更低安全等级要求开发的SWC，可能会出现错误地访问到更高安全等级SWC的内存区域，产生干扰。

为此，SWC需要运行在不同的内存区域，或者不同的内存分区，来防止类似的内存访问违例。

ISO26262中，以下内存相关的故障影响被视为SWC之间产生干扰的原因：

• 内容损坏

• 读写区域属于另一个SWC

• 数据不一致

• 栈溢出或栈下溢

要满足上述定义，是MPU内存保护的目标，也可以通过限制对于内存以及内存对应的硬件的访问。

这里的内存分区意味着:

各OS Application运行在相互保护（不干涉）的内存区域，在某一个分区上运行的代码，无法修改另一个分区的内存。

内存分区也可以保护只读内存段（例如代码执行）以及内存对应的硬件。

内存分区和用户/特权模式可以保证SWC之前互不干扰——即使某一个SWC出现了内存相关的故障，也不会对其他软件模块有影响。

如果一个SWC运行在用户模式，那么它对CPU资源/指令的访问也是受限制的。

MPU的微控制器有专用的硬件

即内存保护单元（MPU），来支持内存分区。

若想深入理解上述的MPU描述，得先来看下，内存分区和MPU的基础知识。

计算机程序执行的基础简介

内存

计算机的主要作用是对输入数据进行处理和运算后输出，CPU处理器主要完成数据的处理运算，但输入输出数据包括处理过程中的临时数据需要有一个空间去存放，这个临时存放数据供处理器和外设使用的地方就是内存。

如上图，为了提高效率把存放程序（也即控制指令）和数据（也即操作数）的空间分开，同时把访问指令与访问数据的总线分开，使取指令和执行指令能够重叠（处理器的流水线）。

内存寻址

处理器与内存之间有地址总线用于寻址，有数据总线用于传输数据，当然也有相应的控制线来读写操作。

存储器地址的映射简介

存储器本身不具有地址信息，它的地址是由芯片厂商或用户分配，如图所示，给存储器分配地址的过程称为存储器映射。

如果内核整体可以寻址的 0 到 2^32 -1 共计 4GB 的寻址空间。功能部件RAM, Flash,外设等共同排列在一个4GB的地址空间内。

地址分配

程序C语言通过这些地址可以访 问 RAM、Flash、外设等，进行读写操作。

C编译的程序占用的内存分为以下几个部分：

栈区（stack）— 由编译器自动分配释放 ，存放函数的参数值，局部变量的值等。其操作方式类似于数据结构中的栈。

堆区（heap） — 一般由程序员分配释放， 若程序员不释放，程序结束时可能由OS回收 。注意它与数据结构中的堆是两回事，分配方式倒是类似于链表。

全局区（静态区）（static）— 全局变量和静态变量的存储是放在一块的，初始化的全局变量和静态变量在一块区域， 未初始化的全局变量和未初始化的静态变量在相邻的另一块区域。

文字常量区（.const）—常量字符串就是放在这里的。

程序代码区(.text)—存放函数体的二进制代码。

栈：只要栈的剩余空间大于所申请空间，系统将为程序提供内存，否则将报异常提示栈溢出。MPU也支持堆栈溢出检测，简单如下图。

代码例子

MPU内存保护单元

Memory Protection Unit

上文描述的内存区，堆栈区，数据区，代码区都可以被MPU保护，安全相关的微处理器通常都在硬件级别上支持内存分区保护，MPU主要是通过内存映射的地址范围限制，和监控非受信区域的内存访问来实现的。

MPU可以保护的区域为内存映射区memory map，可以设置不同存储区域的存储器访问特性（如只支持特权访问或全访问）和存储器属性（如可缓存、可缓冲、可共享），对存储器（主要是内存和外设）提供保护，保护可执行程序的（data、code和stack）区域。

MPU 的Region区域

是可编程保护区域(需要控制器硬件支持)，如下图

MPU的配置是通过设置多个MPU寄存器，定义多个MPU region，每个MPU region的可配置选项包括: 被保护的起始地址，大小size,访问权限，所属硬件MPU分类，Region Owner 以及有效ID等。

MPU在执行其功能时，也是以“region区域”为单位的。

通过上述的MPU配置，各个软件模块将具备对不同memory区域的不同访问权限。

如图，一个region上述配置的一段连续的地址，它们的位置和范围都要满足一些限制。

MPU是可以管理所有的存储空间(如图 4G)，可以划分不同的Region内存区域，并为每个Region设置访问权限与规则，不同的Region允许相互重叠，重叠区域受多重访问规则的限制。

Link命令对于内存的设置

编译器关联的，可参考下面TI的解释

https://software-dl.ti.com/ccs/esd/documents/sdto_cgt_Linker-Command-File-Primer.html

特权模式与用户模式

是内核的执行模式。

当代码运行在特权模式下，代码拥有所有的访问许可；

而代码运行在用户模式，则访问权限受限制。

也是MPU中所定义的内存访问规则。

AUTOSAR中的定义

内存分区的定义

如上图，一般来说

• BSW模块运行在授信模式/监控者模式内存分区当中。

• 部分SWC分组并放置到非授信/用户模式内存分区当中。

• 个别SWC也运行在授信/监控者模式内存分区当中。

项目中可以有多个非授信/用户分区，每个分区都可以包含一个或多个SWC。

上图中，分区是以应用软件OS-Application为对象定义的，OS-Application和内存分区（Partition）之间，是一对一的关系。

如何理解OS-Application？

下文简述

如下图中，应用程序内的 AUTOSAR SWC

在AUTOSAR架构中，应用程序位于RTE之上的，基于应用功能逻辑定义，内部包含一组存在信息交换的软件组件（SWC）。

软件组件SWC是实现一系列的原子功能（最小单元不可拆分），SWC包含一系列的功能实现和变量定义，这些功能实现和变量定义对于外部是不可见的，仅能通过公布的RTE接口使用。

SWC以周期性执行或者以外部触发的runnable中执行。

从分配的角度来看，一个SWC可以由多个Runnable构成，一个OS-Task可以触发多个Runnable（同一个SWC内的Runnable可以在不同的OS-Task上执行），一个OS-Application可以管理多个OS-Task。

AUTOSAR OS-Application

AUTOSAR的OS-Application是操作系统对象的集合体，其中包括任务(Tasks)，中断服务程序 (ISRs)，调度表 (Schedule Tables)，计数器 (Counters)和警报 (Alarms)，这些对象构成一个内聚的功能单元。

OS-Application可以分为2类：

受信任 (Trusted)的OS-Application

可以不受那些运行时的监控 (Monitoring)或者保护 (Protection)特性的限制执行。

这类应用可以不受限的访问内存和操作系统API。受信任的应用对于执行时间上也不受限制，同时也可以在任何支持的处理器上以特权模式执行。

不受信任 (Non-trusted)的OS-Application

不可以在运行时监控及保护机制关闭的时候执行。这类应用在访问内存、操作系统API时都有限制，同时也不允许以特权模式执行。

AUTOSAT Memory Mapping

AUTOSAR有memory mapping的特性可支持上述内存分区Memory

Partitioning，从而提供MPU需要的Non-trusted 和Trusted的内存分配区域设置。

MPU的限制规则

内存分区Memory Partitioning的限制

在同一个OS-Application内的对象相互访问，提供了不受限的通信支持。

在一个OS-Application内的各个对象可以互相访问，可以分属于不同的SWC。

MPU工作的过程

操作系统要事先根据功能，和软件架构，定义软件分区，进行MPU region配置,任务运行时，操作系统根据MPU的配置，检测和阻止不正确的内存访问，若出现了在非受信区域的内存访问或者执行了不合法的CPU指令，这些访问首先会被阻止，然后处理器硬件会产生一个异常 (Exception)，记录故障码DTC。

操作系统和RTE会处理这些异常:执行内存分区的关闭 (Shutdown)，或重启分区内的所有SWC的动作。

总结语

AUTOSAR中提供的内存分区机制，通过SWC,RTE,Mem映射实现，限制访问内存，支持内存保护。而内存分区的定义(trust/un trust)和限制规则由控制器的系统设计决定。

来源：车端软件开发

更多文章

不要错过哦，这可能是汽车网络安全产业最大的专属社区！

关于涉嫌仿冒AutoSec会议品牌的律师声明

一文带你了解智能汽车车载网络通信安全架构

网络安全：TARA方法、工具与案例

汽车数据安全合规重点分析

浅析汽车芯片信息安全之安全启动

域集中式架构的汽车车载通信安全方案探究

系统安全架构之车辆网络安全架构

车联网中的隐私保护问题

智能网联汽车网络安全技术研究

AUTOSAR 信息安全框架和关键技术分析

AUTOSAR 信息安全机制有哪些？

信息安全的底层机制

汽车网络安全

Autosar硬件安全模块HSM的使用

首发!小米雷军两会上就汽车数据安全问题建言：关于构建完善汽车数据安全管理体系的建议