建议:什么是可控性?如何做到严格的逻辑验证?在这个问题上不妨借鉴一下成功的案例:美国导弹核潜艇上对导弹发射按钮的管
理。核武器的威力是强大的,发射按钮的管理权掌握在单个人的手里是可怕的。为了避免如此危险的武器被滥用,在导弹核
潜艇上,导弹的发射按钮是由三个人共同管理的。艇长、副艇长各有一把钥匙,武控官掌握着口令。发射导弹时,必须由武
控官输入口令,然后艇长、副艇长同时用各自的钥匙操纵各自的按钮,导弹才得以发射。考虑特殊的情况,如果某个人通过
特别的手段同时掌握了两把钥匙和口令,能否发射导弹?答案是不能。因为艇长、副艇长和武控官各自的作业位置相距很远,
而且有时间限制,一个人是无法完成这三项作业的。如果艇长、副艇长和武控官合谋叛乱又如何呢?还是发射不了导弹。因
为发射导弹的另一半口令和导弹的瞄准参数根本不在潜艇上,只有在下达核攻击命令时才通过密文发给潜艇。甚至,在导弹
发射之后,艇上人员也无从知到它将飞往何处,也控制不了。这样,强大的武器最终掌握在中央指挥机关的手里。回到
STM32 的问题,如表(一)、表(二)所示的函数,谈不上逻辑验证,一旦被调用会好不犹豫的执行下去,而不在乎调用是
合法的还是非法的。为了避免 Flash 被误擦、误写, STM32 在硬件设计上是有所考虑的,就是在擦除或写入之前,必须验证
口令,如果口令不对 Flash 控制器拒绝相应的操作。然而,表(一)、表(二)所示的函数中,口令的验证形同虚设,没有
起到应有的作用。因为,在这两段程序中,口令的验证是无条件通过的。犹如锁上门后,却把钥匙留在锁眼里,是不能防盗
的。仿照核潜艇的管理思路给出一个一般性的流程,如表(三)所示,供参考。
|
楼主
