專利名稱:保護(hù)安全關(guān)鍵變量的制作方法
技術(shù)領(lǐng)域:
本公開涉及保護(hù)(secure)安全關(guān)鍵變量�,并且更具體地涉及保護(hù) 車輛存儲(chǔ)器中的安全關(guān)鍵變量。
背景技術(shù):
在此提供的背景技術(shù)描述用來(lái)總體介紹本公開的背景����。在本背景技 術(shù)部分中所描述的目前指定的發(fā)明人的工作以及在申請(qǐng)時(shí)不能作為現(xiàn)
有技術(shù)的該描述的各個(gè)方面既不明確也不暗示地認(rèn)為是對(duì)本公開不利 的現(xiàn)有技術(shù)。
現(xiàn)在參考圖1A,給出了根據(jù)現(xiàn)有技術(shù)的處理器系統(tǒng)的功能框圖�����。處 理器100執(zhí)行指令并且讀取和存儲(chǔ)數(shù)據(jù)。該數(shù)據(jù)可存儲(chǔ)在存儲(chǔ)器1G4中����。 在各個(gè)實(shí)施方式中,處理器100可執(zhí)行來(lái)自存儲(chǔ)器104或來(lái)自另 一存儲(chǔ)器 (未示出)的指令����,所述存儲(chǔ)器可包括閃速存儲(chǔ)器或只讀存儲(chǔ)器。
當(dāng)處理器100將安全關(guān)鍵變量寫到存儲(chǔ)器104時(shí)�,處理器100使用對(duì) 偶存儲(chǔ)才莫塊(dual store module) 108。安全關(guān)鍵變量例如可包括節(jié)氣 門位置��。如果希望的節(jié)氣門位置的存儲(chǔ)值被錯(cuò)誤地增大��,那么就可能出 現(xiàn)駕駛員不期望的扭矩增大�����。對(duì)偶存儲(chǔ)模塊10 8因此將來(lái)自處理器10 0的 安全關(guān)鍵變量的兩個(gè)拷貝存儲(chǔ)在存儲(chǔ)器104中��?���?梢员容^這些拷貝以檢 測(cè)所述拷貝中的 一個(gè)或另 一個(gè)的意外變化���。
直接存儲(chǔ)器存取(DMA)模塊112與存儲(chǔ)器104通信。在各個(gè)實(shí)施方 式中�����,DMA模塊112可位于對(duì)偶存儲(chǔ)模塊1 08和存儲(chǔ)器1 04之間的總線上����。 DMA模塊112代表外圍設(shè)備116傳送數(shù)據(jù)給存儲(chǔ)器104以及從存儲(chǔ)器1 04傳 送數(shù)據(jù)。DMA模塊112允許存儲(chǔ)器轉(zhuǎn)儲(chǔ)而不增加處理器10 0的負(fù)擔(dān)�����。
現(xiàn)在參考圖1B�����,示出了存儲(chǔ)器104的功能框圖�����。對(duì)偶存儲(chǔ)模塊108可 將安全關(guān)鍵變量的若干拷貝存入兩個(gè)存儲(chǔ)塊中����。例如,第一變量可存儲(chǔ)在120-1和120-2處�。對(duì)變量2、變量3等也可執(zhí)行這一對(duì)偶存儲(chǔ)�����。
當(dāng)處理器100請(qǐng)求讀取安全關(guān)鍵變量之一時(shí)�,對(duì)偶存儲(chǔ)模塊108比較 從存儲(chǔ)器104讀取的這兩個(gè)值。這兩個(gè)值之間的差將發(fā)出通知錯(cuò)誤狀態(tài) 的信號(hào)�。例如,希望的節(jié)氣門位置的值之間的差異可使處理器100選擇
這兩個(gè)節(jié)氣門位置中的較低者����。
發(fā)明內(nèi)容
一種系統(tǒng)包括通用存儲(chǔ)器、可鎖定存儲(chǔ)器��、存儲(chǔ)器管理單元和處理 器�。該通用存儲(chǔ)器包含用于第一組地址的數(shù)據(jù)?�?涉i定存儲(chǔ)器包含用于 第二組地址的數(shù)據(jù)�����。存儲(chǔ)器管理單元選擇性地將數(shù)據(jù)寫到通用存儲(chǔ)器和 可鎖定存儲(chǔ)器之一并且通過阻止對(duì)可鎖定存儲(chǔ)器的寫入而選擇性地鎖 定該可鎖定存儲(chǔ)器�����。處理器在請(qǐng)求對(duì)第二組地址的其中之一的寫入之前 指示存儲(chǔ)器管理單元解鎖可鎖定存儲(chǔ)器。
從下文提供的詳細(xì)描述將顯而易見本公開的進(jìn)一步應(yīng)用領(lǐng)域�����。應(yīng)當(dāng) 理解����,詳細(xì)描述和具體示例雖然說明的是本公開的優(yōu)選實(shí)施例,但是僅 用于舉例說明的目的而不是要限制本公開的范圍�����。
從詳細(xì)描述和附圖將更充分地理解本發(fā)明����,在附圖中
圖1 A是根據(jù)現(xiàn)有技術(shù)的處理器系統(tǒng)的功能框圖1B是根據(jù)現(xiàn)有技術(shù)的圖1A的存儲(chǔ)器的功能框圖2 A是根據(jù)本公開原理的示范性處理器系統(tǒng)的功能框圖����;圖2B是根據(jù)本公開原理的圖2 A的可鎖定存儲(chǔ)器的示范性布局;
圖3A-3B是根據(jù)本公開原理的其它示范性處理器系統(tǒng)的功能框以及
圖4是描述根據(jù)本公開原理的圖2A的處理器系統(tǒng)的示范性操作的流程圖��。
具體實(shí)施例方式
下面的描述本質(zhì)上僅僅是示范性的并且決不打算用來(lái)限制本公開 及其應(yīng)用或用途����。為了清楚起見����,在附圖中將使用相同的附圖標(biāo)記標(biāo)識(shí) 同樣的元件�。如本文使用的,短語(yǔ)"A�、 B和C中的至少一個(gè)"應(yīng)使用非排他性邏輯"或"解釋為邏輯(A或B或C)。應(yīng)理解在不改變本公開原理
的情況下可以按不同順序執(zhí)行方法中的步驟�。
如本文使用的,術(shù)語(yǔ)模塊指的是專用集成電路(ASIC)�����、電子電路��、 執(zhí)行一個(gè)或多個(gè)軟件或固件程序的處理器(共享����、專用或群組)和存儲(chǔ) 器、組合邏輯電路����、和/或提供所述功能性的其它合適部件。
現(xiàn)在參考圖2A,給出了根據(jù)本公開原理的示范性處理器系統(tǒng)的功能 框圖。處理器200將數(shù)據(jù)存儲(chǔ)在存儲(chǔ)器模塊206的可鎖定存儲(chǔ)器202和通 用存儲(chǔ)器204內(nèi)����。可鎖定存儲(chǔ)器202和通用存儲(chǔ)器204由存儲(chǔ)器管理單元 (MMU) 208訪問�����?��?勺柚箤?duì)可鎖定存^f渚器202內(nèi)的地址的訪問�,直到特 殊事件發(fā)生為止����,所述特殊事件例如解鎖命令被畫U 208接收。
在各個(gè)實(shí)施方式中�,可鎖定存儲(chǔ)器202和通用存儲(chǔ)器204可實(shí)現(xiàn)為單 一的公共存儲(chǔ)器。M固208可定義該公共存儲(chǔ)器的區(qū)段(例如地址范圍) 用作可鎖定存儲(chǔ)器202�����。然后該公共存儲(chǔ)器的剩余部分可用作通用存儲(chǔ) 器204��。
直接存儲(chǔ)器存取(DMA)模塊212與可鎖定存儲(chǔ)器202及通用存儲(chǔ)器 204通信�。DMA;f莫塊212允許與外圍設(shè)備214之間的雙向數(shù)據(jù)傳送而不需要 處理器200的操作。因?yàn)镈MA模塊212直接與可鎖定存儲(chǔ)器202和通用存儲(chǔ) 器204交互����,所以可鎖定存儲(chǔ)器202可能不能被保護(hù)以避免DMA模塊212的 寫入。
為了減輕這種弱點(diǎn)�,DMA診斷才莫塊220可由處理器200驅(qū)動(dòng)。DMA診斷 模塊220驗(yàn)證DMA模塊212的正確操作�。例如,DMA診斷模塊220可指示DMA 模塊212在特定位置將數(shù)據(jù)寫入可鎖定存儲(chǔ)器202和/或通用存儲(chǔ)器204 中����。然后該特定位置可^皮處理器200讀取以一驗(yàn)證DMA沖莫塊212正在向正確 的地址進(jìn)行寫入。例如���,DMA診斷模塊220的操作可在加電時(shí)�����、以周期性 的間隔或在處理器2 0 0指定的任何其它時(shí)間被啟動(dòng)�����。
由處理器200寫到可鎖定存儲(chǔ)器202和通用存儲(chǔ)器204的數(shù)據(jù)可由糾 錯(cuò)碼(ECC)模塊230來(lái)保護(hù)��。ECC模塊23G可將ECC碼(例如校驗(yàn)和或奇 偶校驗(yàn)位)添加到從處理器200接收的數(shù)據(jù)�����。另外�����,ECC模塊230可使用 ECC過程(例如里德-所羅門編碼(Reed-Solomon encoding))對(duì)來(lái)自 處理器200的數(shù)據(jù)進(jìn)行編碼�����。當(dāng)數(shù)據(jù)被讀回時(shí)�,ECC模塊230可以檢查沒 有引入錯(cuò)誤,并且能夠校正 一 些或所有檢測(cè)到的錯(cuò)誤�����。
ECC模塊230可對(duì)處理器200寫入的所有值或者對(duì)選定值(例如安全關(guān)鍵變量)操作���。由ECC模塊230確定的校驗(yàn)和或其它值可被寫入可鎖定 哭9 n�����, A >;系田哭����?由 Ws*'始a各"^《tt亡/吉A 3蟲笛入可4iK宗
存儲(chǔ)器202中的情況下由畫U 208保護(hù)。通過將所述校驗(yàn)和或其它值寫入 通用存儲(chǔ)器中��,可鎖定存儲(chǔ)器202在校驗(yàn)和仍被計(jì)算時(shí)可被重新鎖定�。 這使可鎖定存儲(chǔ)器202保持解鎖的時(shí)間長(zhǎng)度最小化��。
例如安全關(guān)鍵變量這樣的變量也可由換位(transposing)對(duì)偶存 儲(chǔ)模塊24 0保護(hù)�。換位對(duì)偶存儲(chǔ)模塊2 4 0可將每個(gè)變量的兩個(gè)拷貝寫到可 鎖定存儲(chǔ)器202和/或通用存儲(chǔ)器204。僅舉例來(lái)說����,換位對(duì)偶存儲(chǔ)模塊 240可將變量的一個(gè)拷貝寫到可鎖定存儲(chǔ)器202而將另 一個(gè)拷貝寫到通 用存儲(chǔ)器204。
對(duì)可鎖定存儲(chǔ)器202的寫入可首先要求將解鎖命令發(fā)送到薩U 208���。 在可鎖定存儲(chǔ)器202被解鎖時(shí)可以禁用中斷以防止其它例程在可鎖定存 儲(chǔ)器2 0 2解鎖時(shí)訪問可鎖定存儲(chǔ)器2 0 2 ���。
換位對(duì)偶存儲(chǔ)模塊240可將變量的一個(gè)拷貝寫到一個(gè)存儲(chǔ)塊的開始 處,并將該同 一變量的另 一拷貝寫到另 一存儲(chǔ)塊的結(jié)尾處��。僅舉例來(lái)說�, 變量的這些拷貝可以相同或者可以是彼此的變體。僅舉例來(lái)說���,這兩個(gè) 拷貝可以是4皮jt匕的一的才卜石馬(ones' complement)或二的才卜石馬(two's complement)����。這些拷貝可稱作彼此的對(duì)偶值(dual value)或?qū)ε?(dual )。
現(xiàn)在參考圖2B,示出了可鎖定存儲(chǔ)器202的示范性布局�。對(duì)第一變 量所寫的數(shù)據(jù)值可被寫到位置25 0-l ,而該值的對(duì)偶可被寫到位置 250-2。例如�����,該對(duì)偶可以是一的補(bǔ)碼或二的補(bǔ)碼����。變量2可被寫到位置 250-3,與變量l相鄰,而變量2的對(duì)偶可被寫到位置250-4,與變量l的 對(duì)偶相鄰��。
在讀期間����,換位對(duì)偶存儲(chǔ)模塊240驗(yàn)證存儲(chǔ)的值及其存儲(chǔ)的對(duì)偶是 相等的。如果不相等����,那么處理器200可采取補(bǔ)救措施。也可在ECC模塊 230識(shí)別出錯(cuò)誤時(shí)采取補(bǔ)救措施����,即使該錯(cuò)誤已被ECC模塊230校正��。
例如���,補(bǔ)救措施可包括使用似乎已被破壞的變量的默認(rèn)值。另外�����, 補(bǔ)救措施可包括設(shè)定發(fā)動(dòng)機(jī)碼或故障碼并且點(diǎn)亮故障指示燈�,例如發(fā)動(dòng) 機(jī)檢查燈���。補(bǔ)救措施也可包括嘗試重新計(jì)算所述變量�。
更為限制性的補(bǔ)救措施可包括使發(fā)動(dòng)機(jī)斷電(power down)或者禁 用節(jié)氣門控制���,這可允許節(jié)氣閥返回默認(rèn)位置���,例如高怠速(idle)位置。補(bǔ)救措施也可包括將節(jié)氣閥設(shè)定到小于高怠速的預(yù)定怠速位置��。補(bǔ) 救措施也可包括設(shè)定節(jié)氣閥開度的最大限度��。補(bǔ)救措施也可包括限制發(fā) 動(dòng)機(jī)產(chǎn)生的加速度和/或功率�,例如通過將扭矩請(qǐng)求限制為最大值來(lái)進(jìn)
行限制��。如果錯(cuò)誤持續(xù)或者重新出現(xiàn)�����,那么處理器100可從不太嚴(yán)重的
補(bǔ)救措施升級(jí)到更嚴(yán)重的補(bǔ)救措施�。
現(xiàn)在參照?qǐng)D3A-3B��,給出了根據(jù)本公開原理的其它示范性處理器系 統(tǒng)的功能框圖�����。在圖3A中�����,M而2 08被省去���,并且因此在存儲(chǔ)器模塊300 內(nèi)沒有定義可鎖定存儲(chǔ)器���。安全關(guān)鍵變量仍然在通用存儲(chǔ)器302內(nèi)被ECC 模塊230和換位對(duì)偶存儲(chǔ)模塊240保護(hù)。另外����,通過采用DMA診斷模塊220 來(lái)證實(shí)DMA模塊212的操作�。
在圖3B中�,存儲(chǔ)器管理單元(薩U) 304位于可鎖定存儲(chǔ)器202及通 用存儲(chǔ)器204與DMA模塊212之間。于是畫U 304可保護(hù)可鎖定存儲(chǔ)器202 不受到DMA才莫塊212的錯(cuò)誤寫入����。在各個(gè)實(shí)施方式中,從DMA才莫塊212向可 鎖定存儲(chǔ)器202的嘗試寫入可被M麗304完全禁用�����?�?蛇x地����,在可鎖定存 儲(chǔ)器202被解鎖時(shí)可允許對(duì)可鎖定存儲(chǔ)器202的寫入�����。
可選地�,M固304可在允許對(duì)可鎖定存儲(chǔ)器202的寫入之前要求來(lái)自 DMA模塊212的解鎖命令。在各個(gè)實(shí)施方式中��,保留地址可用作到M麗304 的希望對(duì)可鎖定存儲(chǔ)器202的合法寫入的信號(hào)���。例如�����,具有對(duì)可鎖定存 儲(chǔ)器202寫入的合法需要的其中一個(gè)外圍設(shè)備214可首先對(duì)所述保留地 址進(jìn)行虛擬(dummy)訪問����。MMU 304然后可允許對(duì)可鎖定存儲(chǔ)器202的 隨后寫入。
現(xiàn)在參考圖4,流程圖描述了如圖2A所示的處理器系統(tǒng)的示范性操 作�。控制開始于步驟402,在該步驟鎖定存儲(chǔ)器的可鎖定區(qū)域��。在各個(gè) 實(shí)施方式中����,可默認(rèn)地鎖定存儲(chǔ)器的可鎖定區(qū)域??刂圃诓襟E404繼續(xù), 在此執(zhí)行DMA診斷��。
DMA診斷可在每汽車運(yùn)轉(zhuǎn)循環(huán)(key cycle)中扭J亍一次�。例如,可 通過命令將已知值DMA傳送到存儲(chǔ)器的預(yù)定位置來(lái)執(zhí)行DMA診斷�����。所述預(yù)
定位置可在存儲(chǔ)器的可鎖定區(qū)域或者通用區(qū)域內(nèi)?�?蛇x地���,可以對(duì)可鎖 定部分和通用部分均啟動(dòng)傳送�����。
然后����,所述預(yù)定位置可被讀取并與已知值比較以驗(yàn)證DMA過程的完 整性����。DMA傳送期間的故障或讀取值與已知值的比較中的錯(cuò)誤可導(dǎo)致故 障碼被設(shè)定�,例如P0606碼。在故障碼被設(shè)定后���,可以執(zhí)行進(jìn)一步的補(bǔ)救措施���。
控制在步驟4G6繼續(xù),在此,控制確定是否在沒有適當(dāng)權(quán)限的情況
下已對(duì)可鎖定區(qū)域請(qǐng)求了寫入�。如果是,那么控制轉(zhuǎn)到步驟408;否貝'j, 控制轉(zhuǎn)到步驟410�。所述適當(dāng)權(quán)限可通過所述寫入是由標(biāo)準(zhǔn)寫例程啟動(dòng) 還是由可鎖定寫例程啟動(dòng)來(lái)確定。標(biāo)準(zhǔn)寫例程將不具有修改可鎖定存儲(chǔ) 器的權(quán)限��。
在步驟408,該寫入的目標(biāo)地址可^皮記錄以用于i貪斷目的��。因?yàn)樵?寫入未被授權(quán)��,所以沒有數(shù)據(jù)被寫到目標(biāo)地址���?����?刂圃诓襟E412繼續(xù)���, 在此使計(jì)數(shù)器遞增。計(jì)數(shù)器可在發(fā)動(dòng)機(jī)起動(dòng)時(shí)復(fù)位到零�。然后控制在步 驟414繼續(xù),在此����,控制確定計(jì)數(shù)器是否大于閾值�。如果是���,控制轉(zhuǎn)到 步驟"6;否則�����,控制返回步驟406��。
在步驟416����,設(shè)定故障碼�����。例如�,可以設(shè)定P0604碼。當(dāng)設(shè)定故障碼 時(shí)���,故障指示燈可被點(diǎn)亮。另外�����,可以執(zhí)行其它補(bǔ)救措施。在各個(gè)實(shí)施 方式中���,可以根據(jù)計(jì)數(shù)器的值來(lái)執(zhí)行補(bǔ)救措施���。隨著計(jì)數(shù)器值的增加, 補(bǔ)救措施的嚴(yán)重性可以增大���。
在步驟410���,控制確定是否希望對(duì)可鎖定區(qū)域的授權(quán)寫入。如果是�����, 控制轉(zhuǎn)到步驟418;否則�����,控制轉(zhuǎn)到步驟420�。在步驟418,控制從存儲(chǔ) 器的可鎖定區(qū)域讀取變量?����?刂圃诓襟E422繼續(xù),在此��,控制用對(duì)偶存 儲(chǔ)變量和/或校驗(yàn)和來(lái)驗(yàn)證鎖定變量���。在各個(gè)實(shí)施方式中���,可以省略對(duì) 偶存儲(chǔ)變量或校驗(yàn)和。單個(gè)校驗(yàn)和可覆蓋鎖定變量和對(duì)偶存儲(chǔ)變量?jī)?者����。可選地�����,鎖定變量和對(duì)偶存儲(chǔ)變量可被不同的校驗(yàn)和覆蓋����。
對(duì)偶存儲(chǔ)變量和/或校驗(yàn)和可位于存儲(chǔ)器的可鎖定區(qū)域中?���?蛇x地�, 對(duì)偶存儲(chǔ)變量和校驗(yàn)和之一或兩者可位于通用存儲(chǔ)器中�。校驗(yàn)和可覆蓋 包含鎖定變量和其它鎖定變量的可鎖定存儲(chǔ)器的區(qū)段����。校驗(yàn)和值可被計(jì) 算并與存儲(chǔ)的校驗(yàn)和比較。
計(jì)算的校驗(yàn)和與存儲(chǔ)的校驗(yàn)和之間的差異可表示鎖定變量����、校驗(yàn)和 或由校驗(yàn)和覆蓋的另一變量已被破壞。另外�,校驗(yàn)和計(jì)算可能是錯(cuò)誤的。 如果鎖定變量與對(duì)偶存儲(chǔ)變量不一致或者校驗(yàn)和比較失敗����,那么寫入失 敗,控制轉(zhuǎn)到步驟424��?�?蛇x地(未示出)���,仍然可以扭J亍寫入�,其后 控制轉(zhuǎn)到步驟424�。
如果鎖定變量與對(duì)偶存儲(chǔ)變量一致并且校驗(yàn)和正確,那么控制轉(zhuǎn)到 步驟426����。在步驟426����,可對(duì)待寫到鎖定變量的值進(jìn)行速率限制和/或幅度限制�����。例如��,可以對(duì)鎖定變量的值的每一變化施加上限��。另外�����,可以 々����、'/ A"々沐厶人旦丄/士
&入觀&又主H\)取入'|旦。
控制在步驟428繼續(xù)����,在此,控制禁用中斷并且解鎖存儲(chǔ)器的可鎖 定區(qū)域。中斷被禁用���,使得在可鎖定存儲(chǔ)器被解鎖從而使解鎖的存儲(chǔ)器 暴露于其它函數(shù)的時(shí)候不能發(fā)出中斷?��?刂圃诓襟E430繼續(xù)���,在此,可 能在步驟426中已被限制的寫入值被存入鎖定變量中�����。
如果對(duì)偶存儲(chǔ)變量存儲(chǔ)在可鎖定存儲(chǔ)器中�����,那么對(duì)偶存儲(chǔ)變量也可 被更新�。在各個(gè)實(shí)施方式中,對(duì)偶存儲(chǔ)變量可以是鎖定變量的一的補(bǔ)碼���。 控制在步驟432繼續(xù)����,在此����,控制鎖定可鎖定存儲(chǔ)器并且重新啟用中斷���。
控制在步驟434繼續(xù),在此�����,控制更新校驗(yàn)和���。在各個(gè)實(shí)施方式中�, 可通過根據(jù)存儲(chǔ)的寫入值遞增先前的校驗(yàn)和來(lái)更新所述校驗(yàn)和���?���?蛇x 地�����,可以根據(jù)校驗(yàn)和覆蓋的存儲(chǔ)器區(qū)段內(nèi)的所有變量來(lái)重新計(jì)算校驗(yàn) 和����。然后控制返回步驟406�����。如果校驗(yàn)和位于可鎖定存儲(chǔ)器內(nèi)��,那么在 可鎖定存儲(chǔ)器被解鎖時(shí),可以在步驟428和步驟432之間執(zhí)行校驗(yàn)和更 新���。
在步驟420,控制確定從可鎖定存儲(chǔ)器區(qū)域的合格讀取是否被請(qǐng)求��。 如果是��,那么控制轉(zhuǎn)到步驟450;否則���,控制轉(zhuǎn)到步驟452。在各個(gè)實(shí)施 方式中�����,從鎖定存儲(chǔ)器的讀取可通過與對(duì)存儲(chǔ)器的任何其它區(qū)域的讀取 一樣的例程來(lái)啟動(dòng)�����。此外,可允許任何進(jìn)程從存儲(chǔ)器的可鎖定區(qū)域讀取 數(shù)值�。
在步驟450,由讀請(qǐng)求識(shí)別的鎖定變量被讀取?����?刂圃诓襟E454繼續(xù)�����, 在此��,控制驗(yàn)證鎖定變量與對(duì)偶存儲(chǔ)變量和/或校驗(yàn)和的一致性����。如果 是一致的,控制轉(zhuǎn)到步驟456;否則����,控制轉(zhuǎn)到步驟458。在步驟456, 控制返回來(lái)自鎖定變量的值并且在步驟452繼續(xù)�。
在步驟458,控制返回默認(rèn)值。該默認(rèn)值可存儲(chǔ)在可鎖定存儲(chǔ)器或 通用存儲(chǔ)器中��?����?蛇x地,默認(rèn)值可由請(qǐng)求從可鎖定區(qū)域讀取的函數(shù)來(lái)提 供�。這樣,如果讀取失敗����,那么該函數(shù)指定其將要使用的值。
然后控制在步驟424繼續(xù)����。在步驟424,如果讀取失敗或?qū)懭胧∈?校驗(yàn)和錯(cuò)誤的結(jié)果�,那么控制轉(zhuǎn)到步驟470;否則,控制轉(zhuǎn)到步驟472�����。 在步驟47Q,控制重新計(jì)算4交-瞼和并且在步驟474繼續(xù)��。在步驟474����,控 制比較重新計(jì)算的校驗(yàn)和與存儲(chǔ)的校驗(yàn)和。如果上述校驗(yàn)和相等����,那么 控制轉(zhuǎn)到步驟472;否則���,控制轉(zhuǎn)到步驟476。如果新校驗(yàn)和等于存儲(chǔ)的校驗(yàn)和�,那么在步驟422或454計(jì)算的校驗(yàn)和顯然是計(jì)算錯(cuò)誤的。
在步驟476,重新計(jì)算的校驗(yàn)和以及從步驟422或454計(jì)算的校驗(yàn)和 都與存儲(chǔ)的校驗(yàn)和不一致���。該存儲(chǔ)的校驗(yàn)和可因此被替換�����。在各個(gè)實(shí)施 方式中�����,校驗(yàn)和可以在重新計(jì)算的校驗(yàn)和匹配計(jì)算的校-驗(yàn)和時(shí)被替換�。 如果這些校驗(yàn)和不相等�����,那么可以執(zhí)行補(bǔ)救措施�����。然后控制在步驟472 繼續(xù)。
在步驟472,控制增大倒計(jì)時(shí)器的值�。倒計(jì)時(shí)器可周期性地減小。 因此����,如果倒計(jì)時(shí)器在一段時(shí)間內(nèi)沒有被增大,那么倒計(jì)時(shí)器就會(huì)達(dá)到 零���。然而����,如果倒計(jì)時(shí)器被較頻繁地增大���,那么倒計(jì)時(shí)器的值將升高���。 控制在步驟478繼續(xù)�����,在此��,控制確定倒計(jì)時(shí)器的值是否大于閾值��。如 果是,控制轉(zhuǎn)到步驟480;否則��,控制返回步驟406�����。在步驟480,控制 執(zhí)行補(bǔ)救措施����。在各個(gè)實(shí)施方式中,補(bǔ)救措施可以是將發(fā)動(dòng)機(jī)關(guān)閉�����,其 后控制結(jié)束��。
在步驟452,控制確定是否應(yīng)當(dāng)進(jìn)行可鎖定區(qū)域測(cè)試��。如果是��,控 制轉(zhuǎn)到步驟482;否則�,控制返回步驟406。僅舉例來(lái)說�����,可以以周期性 間隔執(zhí)行測(cè)試。在步驟482,控制嘗試對(duì)可鎖定存儲(chǔ)器中的區(qū)域進(jìn)行寫 入��?����?刂圃诓襟E484繼續(xù)�����,在此����,控制確定所嘗試的寫入是否被檢測(cè)為 未授權(quán)的。如果是�,控制返回步驟406;否則,控制轉(zhuǎn)到步驟486���。在步 驟486,故障碼可被設(shè)定���。另外����,可以執(zhí)行其它補(bǔ)救措施�����。然后控制返 回步驟406�。
本領(lǐng)域技術(shù)人員現(xiàn)在可從前文描述了解到本公開的寬泛教導(dǎo)可以 按多種形式來(lái)實(shí)施�����。因此����,雖然本公開包括具體示例,但是本公開的真 實(shí)范圍不應(yīng)受限于此�,因?yàn)楸绢I(lǐng)域技術(shù)人員在研究附圖、說明書和所附 權(quán)利要求書后將顯而易見其它的改進(jìn)�。
權(quán)利要求
1. 一種系統(tǒng),包括包含用于第一組地址的數(shù)據(jù)的通用存儲(chǔ)器�����;包含用于第二組地址的數(shù)據(jù)的可鎖定存儲(chǔ)器���;存儲(chǔ)器管理單元����,所述存儲(chǔ)器管理單元選擇性地將數(shù)據(jù)寫到通用存儲(chǔ)器和可鎖定存儲(chǔ)器之一,并且通過阻止對(duì)可鎖定存儲(chǔ)器的寫入而選擇性地鎖定可鎖定存儲(chǔ)器���;以及處理器����,所述處理器在請(qǐng)求對(duì)所述第二組地址之一的寫入之前指示存儲(chǔ)器管理單元解鎖可鎖定存儲(chǔ)器��。
2. 根據(jù)權(quán)利要求l所述的系統(tǒng)���,其中��,在檢測(cè)到對(duì)可鎖定存儲(chǔ)器的 寫請(qǐng)求而可鎖定存儲(chǔ)器被鎖定時(shí)�,處理器選擇性地執(zhí)行補(bǔ)救措施�。
3. 根據(jù)權(quán)利要求2所述的系統(tǒng),其中��,補(bǔ)救措施包括啟動(dòng)發(fā)動(dòng)機(jī)關(guān) 閉��、限制發(fā)動(dòng)機(jī)的扭矩���、限制車輛的加速度�����、限制發(fā)動(dòng)機(jī)的節(jié)氣門位置 和設(shè)定故障碼中的至少 一 種�。
4. 根據(jù)權(quán)利要求2所述的系統(tǒng)��,其中�����,處理器通過在可鎖定存儲(chǔ)器 被鎖定時(shí)請(qǐng)求對(duì)可鎖定存儲(chǔ)器的試驗(yàn)寫入來(lái)測(cè)試存儲(chǔ)器管理單元�����,并且 如果沒有檢測(cè)到該試驗(yàn)寫入�,則執(zhí)行補(bǔ)救措施。
5. 根據(jù)權(quán)利要求l所述的系統(tǒng)���,還包括錯(cuò)誤控制模塊���,所述錯(cuò)誤控 制模塊選擇性地對(duì)來(lái)自處理器的數(shù)據(jù)進(jìn)行編碼、將編碼數(shù)據(jù)傳輸?shù)酱鎯?chǔ) 器管理單元����、并且在從存儲(chǔ)器管理單元接收到編碼數(shù)據(jù)時(shí)檢查錯(cuò)誤。
6. 根據(jù)權(quán)利要求l所述的系統(tǒng),還包括對(duì)偶存儲(chǔ)控制器����,所述對(duì)偶 存儲(chǔ)控制器接收來(lái)自處理器的值、將所述值的第一版本存儲(chǔ)在可鎖定存 儲(chǔ)器的第一存儲(chǔ)區(qū)的第一端�,并且將所述值的第二版本存儲(chǔ)在可鎖定存 儲(chǔ)器的第二存儲(chǔ)區(qū)的第一端。
7. 根據(jù)權(quán)利要求6所述的系統(tǒng)��,其中�,第一版本和第二版本是彼此 的拷貝、彼此的一的補(bǔ)碼�、以及彼此的二的補(bǔ)碼中的一種。
8. 根據(jù)權(quán)利要求6所述的系統(tǒng)�,其沖,第一存儲(chǔ)區(qū)和第二存儲(chǔ)區(qū)是 相鄰的��,并且第一存儲(chǔ)區(qū)和第二存儲(chǔ)區(qū)的第一端處在遠(yuǎn)端�����。
9. 根據(jù)權(quán)利要求l所述的系統(tǒng)�����,還包括直接存儲(chǔ)器存取(DMA)模塊���,所述直接存儲(chǔ)器存取模塊直接訪問 通用存儲(chǔ)器和可鎖定存儲(chǔ)器���;以及DMA診斷模塊�����,所述DMA診斷模塊通過指示將預(yù)定值寫到第一組地址預(yù)定值,來(lái)選擇性地測(cè)試函A模塊的操作����。
10. 根據(jù)權(quán)利要求l所述的系統(tǒng),其中處理器在可鎖定存儲(chǔ)器被解鎖時(shí)禁用中斷���,并且在請(qǐng)求所述寫入后指示存儲(chǔ)器管理單元鎖定可鎖定 存儲(chǔ)器���。
11. 一種方法,包括 存儲(chǔ)用于第 一組地址的數(shù)據(jù)�; 存儲(chǔ)用于第二組地址的數(shù)據(jù);通過阻止對(duì)所述第二組地址的寫入來(lái)選擇性地鎖定所述第二組地 址���;以及在請(qǐng)求對(duì)第二組地址之一的寫入之前解鎖所述第二組地址�����。
12. 根據(jù)權(quán)利要求ll所述的方法�,還包括在檢測(cè)到對(duì)可鎖定存儲(chǔ)器 的嘗試寫入而第二組地址被鎖定時(shí)選擇性地纟丸行補(bǔ)救措施。
13. 根據(jù)權(quán)利要求12所述的方法���,其中���,補(bǔ)救措施包括啟動(dòng)發(fā)動(dòng)機(jī) 關(guān)閉、限制發(fā)動(dòng)機(jī)的扭矩����、限制車輛的加速度、限制發(fā)動(dòng)機(jī)的節(jié)氣門位 置和設(shè)定故障碼中的至少 一種����。
14. 根據(jù)權(quán)利要求12所述的方法,還包括在第二組地址:故鎖定時(shí)請(qǐng)求對(duì)第二組地址的試-瞼寫入��;以及 如果沒有檢測(cè)到該試-瞼寫入��,則4丸行補(bǔ)救措施����。
15. 根據(jù)權(quán)利要求ll所述的方法,還包括 選擇性地將待寫入數(shù)據(jù)進(jìn)行編碼����; 寫入編碼數(shù)據(jù)����;讀取編碼數(shù)據(jù)��;以及對(duì)所讀取的編碼數(shù)據(jù)檢查錯(cuò)誤����。
16. 根據(jù)權(quán)利要求ll所述的方法���,還包括將值的第 一版本存儲(chǔ)在第二組地址的第 一存儲(chǔ)區(qū)的第 一端��;以及 將所述值的第二版本存儲(chǔ)在第二組地址的第二存儲(chǔ)區(qū)的第 一端����。
17. 根據(jù)權(quán)利要求16所述的方法��,其中�����,第一版本和第二版本是彼 此的拷貝�����、彼此的一的補(bǔ)碼、以及彼此的二的補(bǔ)碼中的一種����。
18. 根據(jù)權(quán)利要求16所述的方法,其中���,第一存儲(chǔ)區(qū)和第二存儲(chǔ)區(qū) 是相鄰的��,并且第 一存儲(chǔ)區(qū)和第二存儲(chǔ)區(qū)的第 一端處在遠(yuǎn)端�。
19. 根據(jù)權(quán)利要求ll所述的方法�,還包括通過直接存儲(chǔ)器存取(DMA)直接訪問第一組地址和第二組地址;指示將預(yù)定值傳送到第一組地址和第二組地址之一的選定地址;讀取所述選定值�;以及比較所讀取的值與所述預(yù)定值。
20.根據(jù)權(quán)利要求ll所述的方法��,還包括在第二組地址被解鎖時(shí)禁用中斷���;以及在請(qǐng)求所述寫入后鎖定第二組地址����。
全文摘要
本發(fā)明涉及保護(hù)安全關(guān)鍵變量���。一種系統(tǒng)包括通用存儲(chǔ)器���、可鎖定存儲(chǔ)器���、存儲(chǔ)器管理單元和處理器。通用存儲(chǔ)器包含用于第一組地址的數(shù)據(jù)���?���?涉i定存儲(chǔ)器包含用于第二組地址的數(shù)據(jù)����。存儲(chǔ)器管理單元選擇性地將數(shù)據(jù)寫到通用存儲(chǔ)器和可鎖定存儲(chǔ)器之一����,并且通過阻止對(duì)可鎖定存儲(chǔ)器的寫入而選擇性地鎖定可鎖定存儲(chǔ)器。處理器在請(qǐng)求對(duì)第二組地址之一的寫入之前指示存儲(chǔ)器管理單元解鎖可鎖定存儲(chǔ)器��。
文檔編號(hào)G06F13/28GK101533376SQ20091012860
公開日2009年9月16日 申請(qǐng)日期2009年3月12日 優(yōu)先權(quán)日2008年3月12日
發(fā)明者J·T·庫(kù)爾尼克, M·H·科斯丁, M·于, P·A·鮑爾勒, T·W·海恩斯 申請(qǐng)人:通用汽車環(huán)球科技運(yùn)作公司