用于為專門提供給虛擬機(jī)的主操作系統(tǒng)內(nèi)核提供大容量存儲介質(zhì)的多個限定區(qū)域作為獨(dú) ...的制作方法
【專利摘要】本發(fā)明涉及一種計(jì)算機(jī)系統(tǒng)(100),包括至少一個處理器(CPU)���、第一大容量存儲器(MS1)和第二大容量存儲器(MS2)��,計(jì)算機(jī)系統(tǒng)(100)設(shè)置為����,在處理器(CPU)上執(zhí)行主操作系統(tǒng)內(nèi)核(MBS)以及在主操作系統(tǒng)內(nèi)核(MBS)控制下的第一和至少一個第二操作系統(tǒng)(BS1���,BS2)�����。內(nèi)存控制器(CTL)設(shè)置為����,大容量存儲介質(zhì)(FLSH)的限定的區(qū)域作為第一和至少一個第二大容量存儲器供主操作系統(tǒng)內(nèi)核(MBS)使用��,它們分別是相互獨(dú)立的��,以便控制大容量存儲介質(zhì)(FLSH)的限定的區(qū)域上的第一和至少一個第二大容量存儲器的映射。主操作系統(tǒng)內(nèi)核(MBS)設(shè)置為���,實(shí)現(xiàn)第一和至少一個第二操作系統(tǒng)內(nèi)核(BS1���,BS2)分別對供使用的大容量存儲器中的至少一個的專有訪問。
【專利說明】用于為專門提供給虛擬機(jī)的主操作系統(tǒng)內(nèi)核提供大容量存儲介質(zhì)的多個限定區(qū)域作為獨(dú)立的大容量存儲器的內(nèi)存控制器
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種計(jì)算機(jī)系統(tǒng)�����,該計(jì)算機(jī)系統(tǒng)例如可以用于汽車或者作為嵌入式系統(tǒng)而使用��。
【背景技術(shù)】
[0002]在現(xiàn)代計(jì)算機(jī)系統(tǒng)中���,越來越多地利用操作系統(tǒng)的虛擬化工作���,以便放棄例如附加的處理器或者微控制器的使用�。為了安全起見在這里嘗試,互相防止虛擬化操作系統(tǒng)的相互訪問�����。此外應(yīng)該特別阻止惡意程序?qū)Σ煌奶摂M化操作系統(tǒng)的訪問��。當(dāng)在多個虛擬化操作系統(tǒng)中,相應(yīng)的大容量存儲器存儲在同一個物理的大容量存儲介質(zhì)上時�����,在傳統(tǒng)的計(jì)算機(jī)系統(tǒng)中基本上存在這一危險�,即例如通過利用安全漏洞,進(jìn)行在外部大容量存儲器上的不受歡迎的訪問�����。這在傳統(tǒng)的計(jì)算機(jī)系統(tǒng)中這樣規(guī)避���,即對于每個虛擬操作系統(tǒng)使用單個的物理的存儲介質(zhì)��。
【發(fā)明內(nèi)容】
[0003]要解決的目的在于�,提供一種用于虛擬化操作系統(tǒng)的安全性的改進(jìn)的設(shè)計(jì)�����。
[0004]該目的通過獨(dú)立權(quán)利要求的內(nèi)容來解決����。本發(fā)明的改進(jìn)和設(shè)計(jì)是從屬權(quán)利要求的內(nèi)容。
[0005]所提出的設(shè)計(jì)基于這樣一種構(gòu)想���,即對于計(jì)算機(jī)系統(tǒng)使用特殊的���、用于非易失性的大容量存儲介質(zhì)的內(nèi)存控制器�����,其實(shí)現(xiàn)在大容量存儲介質(zhì)中的限定的區(qū)域分別作為獨(dú)立的大容量存儲器上的訪問����,從而使得獨(dú)立的大容量存儲器中的至少一個分別供每個虛擬化操作系統(tǒng)使用����。內(nèi)存控制器優(yōu)選地作為硬件組件而實(shí)現(xiàn),硬件組件獨(dú)立于計(jì)算機(jī)系統(tǒng)的處理器����,虛擬化操作系統(tǒng)在該處理器上運(yùn)行。因此可以確保�,虛擬化操作系統(tǒng)只可以分別訪問分配給它的那個大容量存儲器。
[0006]在一個設(shè)計(jì)方式中����,計(jì)算機(jī)系統(tǒng)包括至少一個處理器和用于非易失性的大容量存儲介質(zhì)的內(nèi)存控制器�。計(jì)算機(jī)系統(tǒng)設(shè)置為,在該處理器上執(zhí)行主操作系統(tǒng)內(nèi)核以及在主操作系統(tǒng)內(nèi)核控制下的第一和至少一個第二操作系統(tǒng)。內(nèi)存控制器設(shè)置為�,大容量存儲介質(zhì)的限定的區(qū)域也就是第一和至少一個第二大容量存儲器供主操作系統(tǒng)內(nèi)核使用,它們分別是相互獨(dú)立的��,以便控制大容量存儲介質(zhì)的限定的區(qū)域上的第一和至少一個第二大容量存儲器的映射��。主操作系統(tǒng)內(nèi)核設(shè)置為���,實(shí)現(xiàn)第一和至少一個第二操作系統(tǒng)內(nèi)核分別對供使用的大容量存儲器中的至少一個的專有訪問�����。
[0007]大容量存儲介質(zhì)例如是所謂的閃存�����,如多媒體卡��,MMC�,或者安全數(shù)碼卡��,SD卡或者類似的���。非易失性的大容量存儲介質(zhì)例如是NAND存儲器���,NOR存儲器或者被管理的NAND存儲器���,存儲器可以分別固定地焊接在計(jì)算機(jī)系統(tǒng)的主板上。
[0008]在其他設(shè)計(jì)方式中���,大容量存儲介質(zhì)也可以是硬盤或者固態(tài)硬盤���,英語:solidstate drive, SSD。在不同的設(shè)計(jì)方式中����,大容量存儲介質(zhì)由計(jì)算機(jī)系統(tǒng)所包括,并且例如固定地集成到計(jì)算機(jī)系統(tǒng)中。
[0009]內(nèi)存控制器因此為主操作系統(tǒng)內(nèi)核提供多個大容量存儲器�,大容量存儲器在主操作系統(tǒng)內(nèi)核的控制下作為相應(yīng)的、用于第一和至少一個第二操作系統(tǒng)內(nèi)核大容量存儲器使用�����。因此�,可以分別實(shí)現(xiàn)對大容量存儲介質(zhì)的限定的區(qū)域的受保護(hù)的訪問。
[0010]在一個設(shè)計(jì)方式中����,內(nèi)存控制器具有映射表,它為了各個可供使用的大容量存儲器�,使映射規(guī)則存儲在相應(yīng)的大容量存儲介質(zhì)的限定的區(qū)域上。因此�,操作系統(tǒng)內(nèi)核可以使用各個可供使用的大容量存儲器,例如傳統(tǒng)的大容量存儲器�,其中在使用映射表、確切說是映射規(guī)則情況下實(shí)現(xiàn)操作系統(tǒng)內(nèi)核的訪問要求的轉(zhuǎn)換或者映射�����。
[0011]例如�,大容量存儲介質(zhì)的限定的區(qū)域通過在大容量存儲介質(zhì)上分區(qū)來形成,其中所存儲的映射規(guī)則包括關(guān)于分區(qū)的位置和大小的信息�����。
[0012]因此可能的是��,操作系統(tǒng)內(nèi)核在相應(yīng)的大容量存儲器上通過各個虛擬塊編號訪問限定的區(qū)域���,其中這樣限定了的虛擬塊編號(Blocknummern)通過映射規(guī)則在大容量存儲介質(zhì)的物理塊編號上映射���。通過在映射表中分區(qū)的大小信息還可以確保,通過操作系統(tǒng)內(nèi)核分別只對限定的區(qū)域確切說是分區(qū)進(jìn)行訪問����。例如防止�,在過大的虛擬塊編號的情況下�,對大容量存儲介質(zhì)的不由被限定的區(qū)域所包括的物理區(qū)域進(jìn)行訪問。
[0013]內(nèi)存控制器優(yōu)選地具有主控制器��,設(shè)置該主控制器����,控制對限定的區(qū)域的硬件訪問。特別的是�����,主控制器例如設(shè)置為���,測試在限定的區(qū)域的相應(yīng)的訪問權(quán)限�。這種訪問權(quán)限此外可以通過存儲在映射表內(nèi)的信息���、例如位置和大小信息來實(shí)現(xiàn)���。
[0014]在不同的設(shè)計(jì)方式中,所存儲的映射規(guī)則還包括關(guān)于各個大容量存儲器的硬件標(biāo)識號的信息���。該硬件標(biāo)識號可以例如由操作系統(tǒng)內(nèi)核或者它們的驅(qū)動器來使用�,用于大容量存儲器的控制。
[0015]在不同的設(shè)計(jì)方式中�,內(nèi)存控制器具有第一和至少一個第二虛擬控制器����,它們分別提供大容量存儲器的其中一個并且分別具有寄存器,該寄存器映射到主操作系統(tǒng)內(nèi)核的存儲區(qū)域�����。因此���,至少有一個虛擬控制器供由主操作系統(tǒng)內(nèi)核所控制的各個操作系統(tǒng)內(nèi)核使用�,虛擬控制器可以在操作系統(tǒng)內(nèi)核的地址范圍內(nèi)被直接驅(qū)控���。特別的是�����,用于所控制的操作系統(tǒng)內(nèi)核的大容量存儲器的驅(qū)控完全透明地實(shí)現(xiàn)�,無需關(guān)于各個其他虛擬控制器確切說是大容量存儲器的知識�����。
[0016]內(nèi)存控制器優(yōu)選地作為硬件設(shè)備而實(shí)現(xiàn),例如作為專用集成電路����,ASIC,或者通過帶有相應(yīng)的編程的微控制器�����。用于這種微控制器的程序數(shù)據(jù)可以例如存儲在大容量存儲介質(zhì)的區(qū)域內(nèi)�。
[0017]通過內(nèi)存控制器作為硬件設(shè)備的實(shí)現(xiàn),減輕了計(jì)算機(jī)系統(tǒng)的處理器的計(jì)算負(fù)荷�����。此外�����,通過劃分為不同的硬件設(shè)備�����,在處理器和內(nèi)存控制器之間給出相對于由于在處理器上運(yùn)行的惡意程序的內(nèi)存控制器的操作的提高的安全性。
[0018]虛擬控制器將它對限定的區(qū)域的訪問例如傳遞到主控制器上����,主控制器控制對大容量存儲介質(zhì)的物理訪問。優(yōu)選的是��,該控制以存儲在映射表內(nèi)的信息為基礎(chǔ)而發(fā)生���。主控制器的初始化和控制可以通過例如主操作系統(tǒng)內(nèi)核而實(shí)現(xiàn)����。
[0019]在其他的設(shè)計(jì)方式中���,內(nèi)存控制器還設(shè)置為,借助預(yù)定的優(yōu)先級來控制對大容量存儲介質(zhì)的限定的區(qū)域的訪問��。這種控制例如再次通過主控制器實(shí)現(xiàn)���,其中預(yù)定的優(yōu)先級例如同樣存儲在映射表內(nèi)����。
[0020]在另一個設(shè)計(jì)方式中�,內(nèi)存控制器確切說是主控制器設(shè)置為,控制大容量內(nèi)存控制器的使用分配。在這里使用所謂的磨損均衡機(jī)制��,它確保存大容量存儲介質(zhì)的存儲區(qū)域確切說是存儲單元的均勻的使用或磨損�����。因此����,可以進(jìn)一步降低計(jì)算機(jī)系統(tǒng)的程序的計(jì)算負(fù)荷。
【專利附圖】
【附圖說明】
[0021 ] 接下來在幾個實(shí)施例中借助附圖進(jìn)一步解釋本發(fā)明��。相同的附圖標(biāo)記在這里表示相同功能的元件或者部件�����。元件或者部件在它們的功能方面相符�����,不在下面的附圖的每一個附圖中重復(fù)它們的描述��。附圖示出:
[0022]圖1為計(jì)算機(jī)系統(tǒng)的示意圖���,
[0023]圖2為大容量存儲介質(zhì)的劃分的示意圖����,以及
[0024]圖3為計(jì)算機(jī)系統(tǒng)的另一個實(shí)施例的示意圖。
【具體實(shí)施方式】
[0025]圖1示出了計(jì)算機(jī)系統(tǒng)100的設(shè)計(jì)方式的示意圖�,帶有處理器CPU和內(nèi)存控制器CTL,在它的上面連接有大容量存儲介質(zhì)FLSH����。大容量存儲介質(zhì)FLSH例如是所謂的閃存,如多媒體卡���,MMC�,或者安全數(shù)碼卡���,SD卡或者類似的。非易失性的大容量存儲介質(zhì)FLSH例如是NAND存儲器�,Nor存儲器或者被管理的NAND存儲器,存儲器可以分別固定地焊接在計(jì)算機(jī)系統(tǒng)100的主板上或者位于計(jì)算機(jī)系統(tǒng)100的外部�。大容量存儲介質(zhì)FLSH也可以是一個固態(tài)硬盤,英語:solid state drive, SSD��。
[0026]處理器CPU在所示出的設(shè)計(jì)方式中用作主操作系統(tǒng)內(nèi)核MBS作為所謂的主機(jī)操作系統(tǒng)或者主機(jī)操作系統(tǒng)H-OS的執(zhí)行���。在主操作系統(tǒng)內(nèi)核MBS的控制下����,在本設(shè)計(jì)方式中執(zhí)行第一、第二和第三操作系統(tǒng)內(nèi)核BSI����,BS2,BS3���,示出所謂的客機(jī)操作系統(tǒng)G-OS����。例如第一操作系統(tǒng)內(nèi)核BSl設(shè)計(jì)用于根據(jù)汽車開放系統(tǒng)架構(gòu)�,AUT0SAR的操作系統(tǒng),而在第二和第三操作系統(tǒng)內(nèi)核BS2�����,BS3上運(yùn)行不同的Linux操作系統(tǒng)��。例如�,第二操作系統(tǒng)內(nèi)核BS2是傳統(tǒng)的Linux操作系統(tǒng),該操作系統(tǒng)也允許安全關(guān)鍵的應(yīng)用或者程序的執(zhí)行�����,這樣特別是不能基本上阻止惡意程序的執(zhí)行。第三操作系統(tǒng)內(nèi)核BS3包括例如安全的確切說是在安全性上非常強(qiáng)大(gehartetes)的Linux系統(tǒng)���,系統(tǒng)例如以安全策略運(yùn)行,禁止執(zhí)行與安全相關(guān)的應(yīng)用���。例如通過該安全的Linux系統(tǒng)實(shí)現(xiàn)第一和/或者第二操作系統(tǒng)內(nèi)核BS1、BS2確切說是它們的系統(tǒng)程序的管理����。主操作系統(tǒng)內(nèi)核MBS例如實(shí)施為微內(nèi)核或者分離內(nèi)核。
[0027]內(nèi)存控制器CTL包括主控制器MCTRL以及多個虛擬控制器VCl��、VC2��、VC3�����、VC4���,…VCn,它們與主控制器MCTRL連接。此外��,大容量存儲介質(zhì)FLSH連接在主控制器MCTRL上���。內(nèi)存控制器CTL還包括映射表MTBL��,在該映射表內(nèi)為了各個虛擬控制器VCl至VCn在大容量存儲介質(zhì)FLSH的限定的區(qū)域和相關(guān)聯(lián)的虛擬控制器之間存儲映射規(guī)則��。例如���,為了第一虛擬控制器VCl����,存儲帶有控制器CBl的標(biāo)識的輸入位(Eintrag)��,在大容量存儲介質(zhì)FLSH上的起始塊SBl�,在大容量存儲介質(zhì)FLSH上的結(jié)束塊EBl以及硬件標(biāo)識號DEVl,上述存儲的內(nèi)容由虛擬控制器VCl提供給所連接的處理器CPU使用����。以相應(yīng)的方式,為了其他虛擬控制器保存帶有控制器信息CB2至CBn的輸入位����,起始塊SB2至SBn,結(jié)束塊EB2至EBn和硬件標(biāo)識號DEV2至DEVn��。
[0028]主控制器MCTRL還通過特殊的控制線與處理器CPU連接�,控制線只使得主控制系統(tǒng)內(nèi)核MBS通過初始化命令I(lǐng)NIT和控制命令CTRL實(shí)現(xiàn)主控制器MCTRL的控制和配置�。
[0029]內(nèi)存控制器CTL提供給主操作系統(tǒng)內(nèi)核多個虛擬控制器VCl至VCn��,該虛擬控制器再次作為相應(yīng)的大容量內(nèi)存控制器供非獨(dú)立控制的操作系統(tǒng)內(nèi)核BS1���,BS2, BS3使用����。因此�����,每個操作系統(tǒng)內(nèi)核BS1����,BS2, BS3包含至少一個單獨(dú)的虛擬控制器,通過該虛擬控制器可以訪問附屬于操作系統(tǒng)內(nèi)核的大容量存儲器�。優(yōu)選的是,內(nèi)存控制器CTL作為獨(dú)立的硬件部件實(shí)現(xiàn)�,這樣不需要使用處理器CPU的附加的處理性能。
[0030]虛擬控制器VCl至VCn具有至少用于控制操作系統(tǒng)內(nèi)核BS1����,BS2����,BS3的常規(guī)內(nèi)存控制器的功能���,其中通過映射表,虛擬控制器VCl至VCn的虛擬塊編號映射到所連接的大容量存儲介質(zhì)FLSH的物理塊上��。例如����,映射,英語:mapping�����,由此實(shí)現(xiàn)��,虛擬塊編號映射到用作偏移量的起始塊SB1�����,SB2, SBn0除了純粹的塊編號外還希望���,芯片選擇線路也映射到虛擬控制器VCl至VCn��。
[0031]在所示出的方式中����,在映射表內(nèi)存儲物理的起始和結(jié)束塊,還可能的是���,除了起始塊SBl�����,SB2�,SBn以外還在映射表內(nèi)在大容量存儲介質(zhì)FLSH上存儲分區(qū)大小����,以便限定用于虛擬控制器的各個允許的大小或者允許的訪問區(qū)域。在兩種情況內(nèi)設(shè)置��,主控制器MCTRL在虛擬控制器VCl至VCn的訪問需求情況下在大容量存儲介質(zhì)FLSH的方向檢測�����,所需要的塊是否位于大容量存儲介質(zhì)上的通過輸入位限定的區(qū)域的內(nèi)部�����。在由主控制器MCTRL檢測到區(qū)域故障情況下,例如可以在處理器CPU的方向發(fā)送異常消息�����,英語:exc印tion���。這種異常消息例如是軟件中斷,它由主操作系統(tǒng)內(nèi)核MBS來處理�����。
[0032]另一個值得希望的信息是關(guān)于所連接的大容量存儲介質(zhì)的信息�。主控制器MCTRL可以由此了解,物理的存儲器是否例如通過SDIO�����、MMC或者作為純粹的NAND儀器連接��。這一設(shè)備信息還通知主控制器MCTRL�����,應(yīng)該使用哪些芯片選擇線路��,以便訪問大容量存儲介質(zhì)以及通過哪種方式實(shí)現(xiàn)所連接的大容量存儲器設(shè)備的定址。
[0033]在不同的設(shè)計(jì)方式中�,還可以連接多個大容量存儲介質(zhì),其中在這種情況下優(yōu)選地設(shè)置多個主控制器����,它們分別實(shí)現(xiàn)對所連接的大容量存儲介質(zhì)的物理訪問。關(guān)于各個大容量存儲介質(zhì)的設(shè)備類型的信息可能例如對于多個SD卡之間的區(qū)分是很有意義的���,它們連接在專用SD卡控制器上��。用于操作系統(tǒng)內(nèi)核BS1����,BS2, BS3的不同限定區(qū)域因此可以保存在不同的大容量存儲介質(zhì)上�����。然而優(yōu)選的是不用設(shè)置�,一個限定的區(qū)域在多個大容量存儲介質(zhì)上延伸。
[0034]大容量存儲介質(zhì)FLSH的配置通過主控制器MCTRL實(shí)現(xiàn)�,例如通過之前描述的主控制器MCTRL和主操作系統(tǒng)內(nèi)核MBS之間的連接。這種配置優(yōu)選地在主操作系統(tǒng)內(nèi)核啟動時進(jìn)行����,其中配置數(shù)據(jù)也直接地保存在大容量存儲介質(zhì)FLSH上����,例如在大容量存儲介質(zhì)FLSH的初始區(qū)域或者第一塊內(nèi)�����。對此主控制器MCTRL優(yōu)選地設(shè)置����,將例如由于過度重疊的塊區(qū)域造成的不正確的配置����,報告給主操作系統(tǒng)內(nèi)核MBS或者主機(jī)操作系統(tǒng)H-0S。
[0035]各個虛擬控制器VCl至VCn優(yōu)選的是帶有各自的寄存器的實(shí)際硬件層���,它們在處理器CPU的物理地址區(qū)域的單獨(dú)的存儲器頁內(nèi)��。因此�����,各個虛擬控制器分配給用于客機(jī)操作系統(tǒng)的單獨(dú)的分區(qū)����,其中使用計(jì)算機(jī)系統(tǒng)的標(biāo)準(zhǔn)機(jī)制,例如存儲器映射單元�,英語:memory mapping unit, MMU。附加的是,各個虛擬控制器VCl至VCn可以具有所有的寄存器���,它們是對虛擬設(shè)備的讀取和寫入訪問的執(zhí)行所必需的��,這樣各個虛擬控制器采取如傳統(tǒng)的內(nèi)存控制器的行為���。此外與傳統(tǒng)的內(nèi)存控制器的區(qū)別在于這一事實(shí),即實(shí)際的數(shù)據(jù)傳輸在物理意義上通過主控制器MCTL執(zhí)行���,它檢測配置和映射表對比傳輸�����、確切說是訪問參數(shù)�,在實(shí)際執(zhí)行傳輸之前���。
[0036]傳輸確切說是訪問參數(shù)包括例如塊編號����,塊的數(shù)量應(yīng)該能被讀取和寫入����,或者訪問權(quán)限����。因此����,虛擬控制器采取如獨(dú)立實(shí)體一樣的行為,實(shí)體在訪問故障情況下產(chǎn)生異常通報�����。在主控制器檢測訪問參數(shù)之后���,因此訪問在所限定的和允許的范圍的內(nèi)部,虛擬控制器的虛擬地址轉(zhuǎn)換為物理地址��,地址在大容量存儲介質(zhì)FLSH內(nèi)使用�。
[0037]圖2示例性地示出了將大容量存儲介質(zhì)FLSH劃分為多個限定的區(qū)域,在這些區(qū)域內(nèi)可以訪問虛擬控制器���。在這里在所示出的實(shí)施例中���,大容量存儲介質(zhì)FLSH劃分為四個限定的區(qū)域�����,區(qū)域通過物理塊編號PBN限定��。例如��,第一區(qū)域從物理塊O到物理塊1023����,第二區(qū)域從物理塊1024到物理塊33791��,第三區(qū)域從物理塊33792到物理塊66559�,第四區(qū)域從物理塊66560到物理塊1048575。第一區(qū)域是例如整個計(jì)算機(jī)系統(tǒng)啟動時用于啟動加載(Bootloader)的分區(qū)�����。第二區(qū)域是第一操作系統(tǒng)分區(qū)��,該分區(qū)為了相關(guān)聯(lián)的操作系統(tǒng)劃分為內(nèi)部的系統(tǒng)分區(qū)和內(nèi)部的數(shù)據(jù)分區(qū)�����。帶有內(nèi)部的數(shù)據(jù)分區(qū)的行由INTP來表示��。第三區(qū)域用作用于第二操作系統(tǒng)分區(qū)的系統(tǒng)分區(qū),而第四區(qū)域再次劃分為系統(tǒng)分區(qū)��,而數(shù)據(jù)分區(qū)作為內(nèi)部的數(shù)據(jù)分區(qū)劃分為再次劃分為系統(tǒng)分區(qū)和數(shù)據(jù)分區(qū)作為第三操作系統(tǒng)分區(qū)的內(nèi)部的數(shù)據(jù)分區(qū)��。給出各個區(qū)域的邏輯塊編號LBN���,它們分別從O開始����,第一區(qū)域是塊1023���,第二區(qū)域是塊32767����,第三區(qū)域是塊32767��,第四區(qū)域是塊982015���。
[0038]各個區(qū)域還可以稱為超級分區(qū)。因此��,用于各個操作系統(tǒng)內(nèi)核����,相關(guān)聯(lián)的超級分區(qū)像完整的大容量存儲器����。在超級分區(qū)的范圍內(nèi)例如再次使用第一塊如所謂的主引導(dǎo)記錄����,這以相似的方式在傳統(tǒng)的PC系統(tǒng)中是普遍的。例如在主引導(dǎo)記錄中存儲分區(qū)表��,該表承載關(guān)于內(nèi)部的分區(qū)INTP的信息�����。
[0039]各個操作系統(tǒng)內(nèi)核具有對它的相關(guān)聯(lián)的超級分區(qū)的訪問��,可以管理對內(nèi)部的分區(qū)INTP的訪問權(quán)限�。對于非獨(dú)立執(zhí)行的操作系統(tǒng)內(nèi)核BS1,BS2, BS3��,對內(nèi)部的分區(qū)的訪問只通過該權(quán)限是可能的���,權(quán)限由主操作系統(tǒng)內(nèi)核MBS分配���。因此���,只對OS分區(qū)2讀取訪問的操作系統(tǒng)內(nèi)核只是讀取地對分區(qū)的存儲器訪問。該操作系統(tǒng)內(nèi)核可以因此沒有產(chǎn)生任何單個的分區(qū)���,或者在大容量存儲介質(zhì)上寫入或者允許寫入內(nèi)容�����。以相應(yīng)的方式還可能的是���,另一個操作系統(tǒng)內(nèi)核只對OS分區(qū)3的系統(tǒng)分區(qū)讀取地訪問,而對OS分區(qū)3的內(nèi)部數(shù)據(jù)分區(qū)讀取和寫入訪問是可能的���。優(yōu)選的是����,各個超級分區(qū)在虛擬控制器中被管理�。在不同的設(shè)計(jì)方式中還可能的是�,多個虛擬控制器對相同的物理區(qū)域訪問,以便使物理區(qū)域以安全的方式也可供多個操作系統(tǒng)內(nèi)核使用��。例如,在這里對于虛擬控制器�,實(shí)現(xiàn)對相關(guān)聯(lián)的超級分區(qū)的寫入和讀取訪問,而在該區(qū)域只對這個或者其他虛擬控制器讀取地訪問�����。
[0040]對計(jì)算機(jī)系統(tǒng)的啟動優(yōu)選地始終由所連接的大容量存儲介質(zhì)的第一塊來執(zhí)行���。在接通之后值得希望的是�����,映射表填充為零����,這樣所有的虛擬控制器看見大容量存儲介質(zhì)FLSH的整個所連接的存儲器區(qū)域�����。這基本上是沒有問題的����,因?yàn)樘幚砥魍ǔS伤^的引導(dǎo)程序或者主操作系統(tǒng)內(nèi)核以所謂的引導(dǎo)裝載程序啟動。引導(dǎo)程序優(yōu)選地在非獨(dú)立控制的操作系統(tǒng)內(nèi)核BS1�,BS2, BS3之前啟動映射表MTBL。
[0041]在這里設(shè)置不同的可能性。例如可能的是�,在映射表NTBL中明確地寫入起始和結(jié)束塊的初始化密碼。還可能的是�,映射表通過專用的塊在大容量存儲介質(zhì)FLSH內(nèi)初始化。初始化密碼還優(yōu)選地負(fù)責(zé)����,在主操作系統(tǒng)內(nèi)核MBS上限制對主控制器MCTRL的訪問。附加的是����,初始化密碼優(yōu)選地初始化基本MMU表,這樣虛擬控制器可以分配到相應(yīng)的主操作系統(tǒng)內(nèi)核中或者客機(jī)操作系統(tǒng)內(nèi)核BS1�,BS2, BS3中。
[0042]在不同的設(shè)計(jì)方式中還可以設(shè)置輸入/輸出MMU的互操作�,這樣在虛擬控制器的寄存器中寫入附加的存儲器區(qū)域標(biāo)識、翻譯緩沖器或者對MMU轉(zhuǎn)換緩沖器的指示��。在使用輸入/輸出MMU時應(yīng)該能夠映射和截獲虛擬控制器的中斷請求���。主控制器在這里優(yōu)選地推動虛擬控制器的中斷請求�,對此執(zhí)行基本的傳輸��。輸入/輸出MMU對此需要帶有存儲器區(qū)域的配位��,例如客機(jī)分區(qū)或者主操作系統(tǒng)內(nèi)核����,所述存儲器區(qū)域通過虛擬控制器的配置而產(chǎn)生,以便測試DMA傳輸和映射中斷請求��。因此值得期望的是��,輸入/輸出MMU在沒有截獲主控制器的中斷請求情況下傳到虛擬控制器����。即使當(dāng)大容量存儲介質(zhì)只用作分區(qū)時,輸入/輸出MMU只借助虛擬控制器工作是足夠的����。在這種情況下值得希望的是,它是第一控制器���,它設(shè)置用于對大容量存儲介質(zhì)的所有存儲器區(qū)域的訪問�。
[0043]此外還可以值得期望的是���,計(jì)算機(jī)系統(tǒng)設(shè)置訪問優(yōu)先級���。訪問優(yōu)先級不是復(fù)雜的系統(tǒng)的微不足道的特征��,例如在汽車中的娛樂系統(tǒng)中�����。這是有根據(jù)的��,通常提出要求���,即最后一個用戶設(shè)置在例如I或者2毫秒的短時間內(nèi)被存儲,當(dāng)面臨或者準(zhǔn)備進(jìn)行電壓下降和關(guān)閉計(jì)算機(jī)系統(tǒng)時�。在此期間應(yīng)該確保,保存和物理地存儲大容量存儲介質(zhì)上的現(xiàn)有數(shù)據(jù)��。為了實(shí)現(xiàn)這一點(diǎn)�����,計(jì)算機(jī)系統(tǒng)應(yīng)該能夠短時間地在大容量存儲介質(zhì)上寫入一個或者多個塊����,并且因此超過或者甚至中斷其他虛擬控制器的其他請求。這可以例如這樣來實(shí)現(xiàn)����,即為各個虛擬控制器分配優(yōu)先級�。作為標(biāo)準(zhǔn)�,可以例如使用虛擬控制器的標(biāo)識作為初始優(yōu)先級。
[0044]在一個改進(jìn)中例如可能的是���,在初始化過程中為虛擬控制器分配各個優(yōu)先級。附加可能的是�,調(diào)整內(nèi)存控制器CTL在循環(huán)方法(英語:round robin)中以相同的優(yōu)先級對虛擬控制器訪問。優(yōu)選的是�,主控制器具有列表,在該列表中保存做完的傳輸��,即在大容量存儲介質(zhì)上的存儲或者讀取程序���,并且排序�����。對此可能有意義的是�����,現(xiàn)有的存儲器中的專用的存儲器或者存儲器區(qū)域供主控制器使用�����。
[0045]計(jì)算機(jī)系統(tǒng)的另一個可能的特征是異常消息���、所謂的異常的處理�����。優(yōu)選的是�����,所有的異常消息轉(zhuǎn)達(dá)到特權(quán)模式中��。主操作系統(tǒng)內(nèi)核MBS應(yīng)該始終以完全的特權(quán)啟動���,而客機(jī)操作系統(tǒng)BS1,BS2, BS3以較低的特權(quán)工作����。在嵌入式系統(tǒng)中支持虛擬化的處理器例如是ARM Cortex A15和Intel Atom處理器。優(yōu)選的是中斷請求直接轉(zhuǎn)達(dá)到主操作系統(tǒng)內(nèi)核MBS上����,通過該中斷請求報告異常消息如訪問故障,同樣為了輸入/輸出MMU�。主操作系統(tǒng)內(nèi)核MBS可以選擇相應(yīng)的防御機(jī)制��,它可以從事件的不問延伸至客機(jī)操作系統(tǒng)的停止或者重啟���。優(yōu)選的是,這種異常消息通過主控制器MCTRL轉(zhuǎn)達(dá)到主操作系統(tǒng)內(nèi)核上��。
[0046]在不同的設(shè)計(jì)方式中可能的是�����,內(nèi)存控制器CTL的配置即使在計(jì)算機(jī)系統(tǒng)運(yùn)行時由于主操作系統(tǒng)內(nèi)核或者客機(jī)操作系統(tǒng)H-OS是可能的����。因此簡化軟件更新過程��。因此例如可能的是����,大容量存儲介質(zhì)的特權(quán)分區(qū)更新客機(jī)操作系統(tǒng)H-OS或者主操作系統(tǒng)內(nèi)核MBS和客機(jī)操作系統(tǒng)內(nèi)核BS1,BS2����,BS3的安裝程序。在更新過程期間����,客機(jī)操作系統(tǒng)內(nèi)核BS1����,BS2, BS3例如停止或者停止調(diào)度���,以便避免在對數(shù)據(jù)系統(tǒng)訪問時的競爭狀況���,英語:raceconditions。
[0047]根據(jù)所使用的技術(shù)必需的是,執(zhí)行使用分布,英語:wear leveling,要么作為軟件實(shí)現(xiàn)�,要么直接在所連接的大容量存儲介質(zhì)內(nèi)執(zhí)行。對于這種情況�����,即使用分布直接通過大容量存儲介質(zhì)執(zhí)行時�����,主機(jī)操作系統(tǒng)H-OS和客機(jī)操作系統(tǒng)BSl����,BS2,BS3可以放棄應(yīng)用使用分布,因而沒有直接通過物理塊在大容量存儲介質(zhì)���、特別是閃存上工作��。相反���,之前稱為物理塊的塊再次用作邏輯或者虛擬塊是足夠的,塊直接由大容量存儲介質(zhì)轉(zhuǎn)換為實(shí)際的物理塊�。換言之,在內(nèi)存控制器CTL和大容量存儲介質(zhì)FLSH之間執(zhí)行附加的邏輯塊的層����。
[0048]因?yàn)樵谑褂梅植记闆r下��,塊物理劃分地布置在大容量存儲介質(zhì)上���,必需的是�,確保塊在它被分配到一個新的虛擬塊之前被刪除���,以便避免可能的安全漏洞���。當(dāng)大容量存儲介質(zhì)FLSH不具有用于執(zhí)行使用分布的單個的控制器時,適當(dāng)?shù)氖侵鞑僮飨到y(tǒng)內(nèi)核MBS和控制執(zhí)行的操作系統(tǒng)內(nèi)核BS1,BS2, BS3分別執(zhí)行使用分布算法��,這在圖1中通過標(biāo)記為WL和NAND塊來示出����。特別的是,聯(lián)系之前描述的訪問優(yōu)先級的使用��,對于使用分布的要求額外提高���。這是因?yàn)?����,例如在被管理的NAND存儲器中��,相應(yīng)的控制器借助使用分布工作����,而計(jì)算機(jī)系統(tǒng)的虛擬控制器發(fā)送帶有較高優(yōu)先級的塊的寫入的要求����。為了在這種情況下確保,例如可以寫入最后一個用戶模式數(shù)據(jù)�����,可能必需的是,第二大容量存儲器與不同的芯片選擇連接����,這樣在被控制的NAND存儲器內(nèi)可以獨(dú)立于內(nèi)部的運(yùn)行地做完具有較高優(yōu)先級的交易。
[0049]另一方面是對大容量存儲介質(zhì)的優(yōu)化訪問���。對閃存的訪問的輸入/輸出帶寬主要取決于閃存的芯片的內(nèi)部組織����。
[0050]例如一個制造者這樣執(zhí)行有效率的訪問�,即交替地使用偶數(shù)和奇數(shù)的塊編號,而另一個制造者交替地使用塊編號的第一半部和第二半部����。這分別主要取決于���,使用哪些地址用于邏輯單元的選擇���。
[0051]例如刪除(auslassender)的訪問可以這樣來編程,即讀取�����、寫入或者刪除命令排序。通過以一定方式對要求排序��,該方式對于所使用的硬件設(shè)備是最有利的����,可以使定址時間最小化,從而可以實(shí)現(xiàn)明顯提高的流量比率�。
[0052]對于系統(tǒng)的良好的運(yùn)行時間性能有利的是,當(dāng)可能地保持這種訪問的優(yōu)化時�。對于完整的流量比率可能必需的是,每個虛擬控制器具有一個以上地址區(qū)域����,特別是因?yàn)橹八枋龅脑L問刪除示意圖。為了實(shí)現(xiàn)這一點(diǎn)有利的是���,設(shè)置一個單獨(dú)的���、可編程的程序作為內(nèi)存控制器,以便實(shí)現(xiàn)地址檢測����、轉(zhuǎn)換�����、使用分布和優(yōu)化訪問��。這種用于內(nèi)存控制器的程序也可以作為DMA主機(jī)實(shí)現(xiàn)從存儲器到所分配的操作系統(tǒng)內(nèi)核MBS����,BSl, BS2, BS3的存儲器塊的傳輸���?����?刂破鞒绦蚩梢岳缭俅螁为?dú)地由所連接的大容量存儲介質(zhì)���,特別是閃存來初始化。
[0053]安全的閃存分區(qū)的創(chuàng)建不僅取決于虛擬控制器的轉(zhuǎn)換��。因?yàn)閷﹂W存的存儲器訪問由DMA操作優(yōu)化�,還可能必需的是���,確保DMA傳輸�����。例如通過輸入/輸出MMU實(shí)現(xiàn)����,當(dāng)存在足夠的訪問權(quán)限時,所述MMU確?����?蜋C(jī)操作系統(tǒng)BS1���,BS2, BS3或者虛擬控制器只執(zhí)行實(shí)際的存儲器傳輸���。在訪問故障情況下,輸入/輸出MMU在主操作系統(tǒng)內(nèi)核MBS上觸發(fā)異常消息����,例如中斷請求,這樣主操作系統(tǒng)內(nèi)核MBS通過禁用或者消除錯誤的重啟客機(jī)操作系統(tǒng)內(nèi)核來消除這個錯誤��。
[0054]圖3示出了對于之前描述的原理的可能的應(yīng)用�,借助計(jì)算機(jī)系統(tǒng)100的示范性的示意圖。在所示出的實(shí)施例中����,在大容量存儲介質(zhì)FLSH上示范性地設(shè)置三個分區(qū)確切說是大容量存儲器MSl�����,MS2����,MS3��。在處理器CPU上運(yùn)行主操作系統(tǒng)內(nèi)核MBS����,它控制兩個可單獨(dú)運(yùn)行的操作系統(tǒng)內(nèi)核BSl,BS2���。
[0055]左側(cè)的操作系統(tǒng)內(nèi)核BS2用于傳統(tǒng)的操作系統(tǒng)的執(zhí)行����,操作系統(tǒng)實(shí)現(xiàn)Web瀏覽器�、可下載的應(yīng)用程序和多媒體功能的互聯(lián)網(wǎng)應(yīng)用的使用。操作系統(tǒng)內(nèi)核BS2優(yōu)選地確保����,其中這不是必需的,提供提高了的可靠性��。通過第二大容量存儲MS2保存用于第二操作系統(tǒng)內(nèi)核的BS2的操作系統(tǒng)文件�����、應(yīng)用程序�、庫文件和配置文件。對此���,第二大容量存儲器MS2例如具有用于系統(tǒng)文件BIN�����、可執(zhí)行的文件EXE和配置文件CNF的存儲空間���。通過這操作系統(tǒng)內(nèi)核MBS或者在這里沒有示出的內(nèi)存控制器CTL確保,第二操作系統(tǒng)內(nèi)核BS2在第二大容量存儲器MS2上只具有讀取訪問�����,而沒有寫入訪問����,通過RO(只讀)來表示��。用戶數(shù)據(jù)�����,例如音樂文件MP3�、圖像文件JPG或者其他的互聯(lián)網(wǎng)格式HTML保存在第三大容量存儲器MS3上��,在該存儲器上具有第二操作系統(tǒng)內(nèi)核BS2以及讀取和寫入訪問���。這通過標(biāo)示RW(讀寫)來表示�。
[0056]右側(cè)的操作系統(tǒng)內(nèi)核BSl用于安全的操作系統(tǒng)的執(zhí)行��,在該系統(tǒng)下運(yùn)行軟件管理程序�����。此外��,在第一操作系統(tǒng)內(nèi)核BSl下還可以執(zhí)行病毒掃描和/或者特定的安全策略�����。對第一操作系統(tǒng)內(nèi)核的訪問優(yōu)選地僅出于維護(hù)目的而設(shè)置,這樣特別的是不可以執(zhí)行不安全的多媒體應(yīng)用或者類似的應(yīng)用����。第一操作系統(tǒng)內(nèi)核BSl在第一和第二大容量存儲器MS1、MS2上具有寫入訪問和讀取訪問�����。在第一大容量存儲器MSl上存儲用于軟件管理的數(shù)據(jù)庫SW-DB���,安全證書ZERT和病毒掃描程序VS。用于第一操作系統(tǒng)內(nèi)核BSl的操作系統(tǒng)文件�、應(yīng)用程序、庫文件和配置文件要么同樣保存在第二大容量存儲器MS2上要么優(yōu)選地保存在第一大容量存儲器MSl上�。第二操作系統(tǒng)內(nèi)核BS2沒有對第一大容量存儲器MSl的訪問,優(yōu)選地也不知道該大容量存儲器MSl的存在��。對大容量存儲介質(zhì)FLSH或者大容量存儲器MSI, MS2��,MS3的訪問通過主操作系統(tǒng)內(nèi)核MBS或者內(nèi)存控制器CTL來控制�����。
[0057]因此第一操作系統(tǒng)內(nèi)核BSl用于第二操作系統(tǒng)內(nèi)核的軟件更新�,所述操作系統(tǒng)內(nèi)核在用于軟件管理的數(shù)據(jù)庫基礎(chǔ)上在使用第二大容量存儲器MS2情況下執(zhí)行系統(tǒng)文件的更新。對此,第一操作系統(tǒng)內(nèi)核BSl通過單獨(dú)的虛擬控制器對第二大容量操作系統(tǒng)MS2訪問�����。特別的是�����,兩個單獨(dú)的虛擬控制器同時集中在第二大容量存儲器MS2上�����,而虛擬控制器只允許讀取訪問第二操作系統(tǒng)內(nèi)核BS2��,而用于第一操作系統(tǒng)內(nèi)核BSl的虛擬控制器還實(shí)現(xiàn)寫入訪問����。但是阻止對在第一操作系統(tǒng)內(nèi)核BSl的大容量存儲器上的第二操作系統(tǒng)內(nèi)核BS2的訪問。
[0058]計(jì)算機(jī)系統(tǒng)所示出的設(shè)計(jì)方式使得有可能��,第二操作系統(tǒng)內(nèi)核BS2由于有害程序受損的情況下����,可以阻止系統(tǒng)文件的改變以及由此引起的來自第二操作系統(tǒng)內(nèi)核BS2的其他安全漏洞的有針對性的開放。通過互聯(lián)網(wǎng)能力和第二操作系統(tǒng)內(nèi)核的多媒體能力基本上存在這一風(fēng)險��,即由于系統(tǒng)內(nèi)未知的或者新出現(xiàn)的安全漏洞,會將惡意程序帶到第二操作系統(tǒng)內(nèi)核的范圍內(nèi)���,然而它由于缺乏寫入權(quán)限不會導(dǎo)致在第二操作系統(tǒng)內(nèi)核BS2下的操作系統(tǒng)的持續(xù)改變���。這導(dǎo)致,惡意程序不會停留在計(jì)算機(jī)系統(tǒng)內(nèi)����,當(dāng)系統(tǒng)被關(guān)閉和再次打開時����。
[0059]計(jì)算機(jī)系統(tǒng)100特別是設(shè)置用于汽車內(nèi)的操作。例如計(jì)算機(jī)系統(tǒng)100作為嵌入式系統(tǒng)而執(zhí)行��。然而計(jì)算機(jī)系統(tǒng)100也可以用于其他環(huán)境中�����,例如用于例如以安卓操作系統(tǒng)運(yùn)行的移動電話中���。
【權(quán)利要求】
1.一種計(jì)算機(jī)系統(tǒng)(100)��,帶有至少一個處理器(CPU)和用于非易失性的大容量存儲介質(zhì)(FLSH)的內(nèi)存控制器(CTL)�����,其中 -所述計(jì)算機(jī)系統(tǒng)設(shè)置為�����,在所述處理器(CPU)上執(zhí)行主操作系統(tǒng)內(nèi)核(MBS)和在所述主操作系統(tǒng)內(nèi)核(MBS)控制下的第一操作系統(tǒng)內(nèi)核和至少一個第二操作系統(tǒng)內(nèi)核(BS1����,BS2); -所述內(nèi)存控制器(CTL)設(shè)置為�����,所述大容量存儲介質(zhì)(FLSH)的限定的區(qū)域作為第一大容量存儲器和至少一個第二大容量存儲器供所述主操作系統(tǒng)內(nèi)核(MBS)使用����,所述第一大容量存儲器和所述至少一個第二大容量存儲器分別是相互獨(dú)立的,以便控制所述第一大容量存儲器和所述至少一個第二大容量存儲器在所述大容量存儲介質(zhì)(FLSH)的所述限定的區(qū)域上的映射����,以及 -所述主操作系統(tǒng)內(nèi)核(MBS)設(shè)置為,實(shí)現(xiàn)所述第一操作系統(tǒng)內(nèi)核和所述至少一個第二操作系統(tǒng)內(nèi)核(BS1��,BS2)分別在供使用的所述大容量存儲器中的至少一個上的專有訪問�����。
2.根據(jù)權(quán)利要求1所述的計(jì)算機(jī)系統(tǒng)(100),其中所述內(nèi)存控制器(CTL)具有映射表(MTBL)����,其中為了每個供使用的所述大容量存儲器,使映射規(guī)則存儲在相應(yīng)的�、所述大容量存儲介質(zhì)(FLSH)的所述限定的區(qū)域上。
3.根據(jù)權(quán)利要求2所述的計(jì)算機(jī)系統(tǒng)(100)���,其中所述大容量存儲介質(zhì)(FLSH)的所述限定的區(qū)域通過在所述大容量存儲介質(zhì)(FLSH)上分區(qū)來形成��,并且其中存儲的所述映射規(guī)則包括關(guān)于分區(qū)的位置和大小的信息�����。
4.根據(jù)權(quán)利要求2或3所述的計(jì)算機(jī)系統(tǒng)(100),其中存儲的所述映射規(guī)則包括關(guān)于所述大容量存儲器的硬件標(biāo)識號的信息���。
5.根據(jù)權(quán)利要求1至4中任一項(xiàng)所述的計(jì)算機(jī)系統(tǒng)(100)���,其中所述內(nèi)存控制器(CTL)具有主控制器(MCTRL),所述主控制器設(shè)置為����,控制在所述限定的區(qū)域上的硬件訪問�。
6.根據(jù)權(quán)利要求5所述的計(jì)算機(jī)系統(tǒng)(100)���,其中所述主控制器(MCTRL)設(shè)置為����,測試在所述限定的區(qū)域上的相應(yīng)的訪問權(quán)限����。
7.根據(jù)權(quán)利要求1至6中任一項(xiàng)所述的計(jì)算機(jī)系統(tǒng)(100),其中所述內(nèi)存控制器(CTL)具有第一虛擬控制器和至少一個第二虛擬控制器(VC1���,VC2, VCn)����,所述第一虛擬控制器和所述至少一個第二虛擬控制器分別提供所述大容量存儲器的其中一個并且分別具有寄存器��,所述寄存器映射到所述主操作系統(tǒng)內(nèi)核(MBS)的存儲區(qū)域�。
8.根據(jù)權(quán)利要求1至7中任一項(xiàng)所述的計(jì)算機(jī)系統(tǒng)(100),其中所述內(nèi)存控制器(CTL)設(shè)置為�,借助預(yù)定的優(yōu)先級控制在所述大容量存儲介質(zhì)(FLSH)的所述限定的區(qū)域上的訪問。
9.根據(jù)權(quán)利要求1至8中任一項(xiàng)所述的計(jì)算機(jī)系統(tǒng)(100)�����,其中所述內(nèi)存控制器(CTL)設(shè)置為,控制所述大容量存儲介質(zhì)(FLSH)的使用分布��。
10.根據(jù)權(quán)利要求1至9中任一項(xiàng)所述的計(jì)算機(jī)系統(tǒng)(100)�,還包括所述大容量存儲介質(zhì)(FLSH)。
【文檔編號】G06F3/06GK104081349SQ201380006822
【公開日】2014年10月1日 申請日期:2013年1月25日 優(yōu)先權(quán)日:2012年1月27日
【發(fā)明者】貝恩德·貝克爾, 托爾斯滕·芬克 申請人:大陸汽車有限責(zé)任公司