专利名称:用于可编程数据处理设备的保护单元的制作方法
技术领域:
本发明涉及用于(可编程)数据处理设备的保护单元,该数据处理设备包 括至少一个^ft,器,其中,数据净皮^^或可以被/f^t在该,員器中, 用于数据处理设备的操作。可编考llit据处理设备尤其表示机动车、飞机、轮船、
生产线中的机器、或者i^呈管理设备的控制单;Ul控制器。这种数据处理设备, 诸如可编程控制器,目前被大量地和多种类的整合到l^戈汽车中。^/f门^W 多地被交XM^到它们的环竟,尤其是自从"信息娱乐(infotainment)"领g 者交通检测系统日益变得重要以来。
背景技术:
众所周知,通过防病毒软件或其它考1^保护数据处理设备,诸如连接到例 如因特网的计算机网络的个人电脑,,使其不受病毒感染或攻击。这种;^对例
如机动车中的数据处理设备的^^或可靠'i^i^殳有^^r影响。
发明内容
因此,本发明的目的在于提供用于(可编程)数据处理设备、诸如机动车 控制器的(可编程)保护单元,它确保数据处理设备的可靠和^的操怍。
为了iiJ'j这一目标,本发明提供了用于(可编程)数据处理设备、诸如机 动车等的控制器的保护单元,其中数据处理设备包括至少一个辦賴器,其 中辦数据被^*在或可以被^^在该辦絲器中,用于数据处理设备的操 作,
其中旨单;^目对于未授权的访问受到保护的扭行环嫂中具有至少一个
保护逻辑和至少一个监^!4£辑,
其中监^!iE辑访问^t^^器,用于监^W于M于,^^器中的, 数据的未被授权的修改、访问、或类似的保护侵害(protection violation),并在 m洲呆护侵害的情况下通知W逻辑,和
其中保护逻辑在保护侵害的情况下提供未损坏的替^^:据,用于数据处理 设备的#^*怍。数据(一方面是^数据,另一方那个面是#^^据)# 发明范围内表示确定或影响这种数据处理设备的^ft的数据、禾聘、*器区 域等。在本发明范围内,保护侵害尤其表示对#^^器或,数据的未被授 4又的"i方问,以;Sj^,lt据的未净皮4^^的^"改。
在本发明范围内,用于可编程数据处理设备、诸如机动车控制器的^M^单
未^^t权的《务改。对数据的未被授权的改变和因jtb t数据处理设备的保护侵害 可以通过保护单元的监^L^辑而被持续地或者周期'性地确定。相应的测试禾I^ (监^Lil辑)以防墓改的方A^皮^^在保护单元中,并且以防墓改的方i^皮执
行。特别地,保护单it/^助于这些^^;jM皮保护而防ii^t数梧的未被授权的读
或写。如果监^!iEW^则到保护侵害,则它舰知保护逻辑,保护逻辑于h
^R^据辦因此形成"应急辦指4^,。、組存丄,本发明基于如下的认::
即不^f5U^测对,务賭器的to或者未被授权的访问很重要,而JL^管存M 样的保护侵害,也必须确保数据处理设备的无差错操作或至少"应急运^^" 或"^^^怍"。例如^4几动车中,这就确保了在存在未被授权的IW的情况下 提供至少一个应急逸^##絲急辦。这种考虑特别考虑到以下事实,即(电 传线控技术)的机动车中^iW高的电气化(progressive electrification)或主驱 动功能(primary driving functions)的自动4树安全的要4^不断增长。始终 必须确保所涉及的控制 照规范工作,并iL^故障保护的情况下,应急运行 指令能够以'f链的方i^皮'ltt。因此,才娥本发明的^i更备形成可靠的信任 锚(safe trust anchor),它为相应的保护^i^予完全的功效,并能以一种及时 的方式十;fei^Wff呆护^t,以便^iL由錄制器的^i^斤引起的机动车的危 险行为。
接下i)^^释本发明的B有利实施例。安"4^殳备具有至少一个J&^^器, 用^#关于被检测到一个或多^<狱侵害的信息。进一步,^^a^f言息 接口,通过它食^M錄单元中棘关于脾侵害的信息和/或其它状^言息。关 于由监^L^辑所检测到的保护侵害和应急逸行指令或^^Jt据的开始可以通过 该信息漆口以经授权的方i^皮^J^控,器读出,并被提供给相关设备iMt知用户。为了进^^^^斤需要的授权信息被^#于#^亍环嫂中。为了这个目的, 不同的授权信息可被絲于^^f亍环嫂中,使得可以^^提供雜息蕃口的授权
信息读取不同^ft器区域。因此,作用模块(role model: Rollenmodule)可
被提供用于对监^L4^器的访问。
^^才財居本发明的更进一步的建议,保护单元具有管理接口。扭行环嫂的 授权信息可以借助于管理接口而被交换。为了这个目的,扭行环^收至少一 条初始授权信息。以这种方式,在夕MP授城功后,新的授权信息械的监视 逻辑和/或^^逻辑能够^^合到^W亍环嫂中。
用于保护单元的扭/ff^辑的扭行环^^^i^l硬件,或者;l》更^f牛形式的。该 ^/f亍环嫂形成用于上面描述的逻辑和員器的运行时环境,并被保护而防止未 经授权的写稀访问。扭/f亍减包^t权信息,以便能够安4^^Wt应急逸行 指令或^R^,即^t^U功后才批阡。扭/f亍环^i一步包^^;K信息,以 便能够以经授权的方式重新加栽修改后的保护逻辑和/或监^Lit辑到保护单元 中。例如,它们可以是育^r查逻辑的签名或在可能的情况下解码逻辑的密钥。
本发明的范围进一步包括,监^J ^辑可以是^W亍环嫂的""^分,并且因此 A^&硬件的^p分。在这种情况下,监^it辑因j^皮构建或絲到硬件中。 然而,监浮J iE^^为软件。本发明范围中的软件^^示用于可编禾1^:,诸 如FPGA的可"^f刊W马。被实现为软件的这种监浮J^E^to直到执行时间时才 被加载到扭行环嫂中。在保护单元中或在数据处理设备的务賭器区域中进行存
储。在监^L^^f皮^f亍之前,^f亍环^^:借助于所■的监控逻#miE■监^l辑 是否被授权^lfr。扭行时,监^£辑与数据处理设备构錄口,其中借助于 这个接口 ,相应的数据(或禾誘/賴器区域)能^ff助于各自的逻解元而被"不 Wk;,IHiL^正确性。例如,这可以通过经由密石射几制^^该数悟(或禾1^/*
器区域)的电子签名来实现,或者通it^视^^被I^S呈序都不可偏离的,
器阈值来实现。例如,病毒对4 的恶意修改、特刷尹木马、緩冲溢出等等能 够以这种方i^皮识别。
保护逻丰桃可以是i^亍环境的一部分,并因此A^^硬件的一部分,并且 因此它也可以是硬件。然而,> ^, ^^逻辑ii^软件。这种情况下,软件
也包括用于可编禾劲莫块、诸如FPGA的可"^f亍代码。因此,保护逻^^可以直
到批f亍时间时才净w。载到Wt环嫂中。^f^在保护单元中或在数据处理设备的
,器区域中实现。
本发明的范围还包括,监一J14^器、信息漆口、管理接口、和/或辦数据、
或,員器以软件实现,或被实现为用于可编^^: (FPGA)的代码。
本发明的另一个目的也是数据处理设备,诸如机动车等的控制器,具有至 少一个上述描述的类型的保护单元。因此,本发明在4錄范围中也包括数据处 理设备与^^单元的结合,即其中^有至少一^f^单元的数据处理设备。
本发明进一步的目的^I于借助于上述描述的类型的至少一个保护单元来 监一 :据处理设备的方法,其中监*^辑访问#^务賭器并确定可能的保护侵 害,其中M在保护侵害的情况下,监^!^辑通知保护逻辑,并且其中保护逻 #^供用于数据处理设备的操作、或用于^P^怍的^^Jt据。关于所^r测的 保护侵害的信息被^f监^L4^器中。为了这一目的,监^U1辑可以以预定 时钟频轉续絲她为周斯lt^ (例如准连续地)访问#^,器。为了验 证^^可保护侵害,例如,^fr^t数据的电子签名的鋭。
因此,数据处理设备的,器被"不断地",iL^发明范围内的监^L^^^验。
这能够^A,例^it过借助于密码机制lHE^据的电子签名,或者通itlfc^皮 ^f^fl^不可偏离的^器阈a^实现。通过病毒、特^^VM;、緩冲区溢出
等所导致的对"码的任何恶意修^p能够以此方i^皮识别。监^£^查数据 正确性的采样率、即频率可以通过管理接口而净颠己置。如果监-J^E辑已经识别
出保护侵害,则它向保:护逻辑通^i刻^侵害的类型。在^^逻^f皮"^f亍之前,
1^亍环^^借助于^^在那里的授权信息a勤呆护逻辑是否被授权M。保护
逻辑只接受来自已经被1^亍环>*^权的监^4£辑的数据。^il行时,^M^逻辑
形^Jt据处理设备的接口,通iiit个接口,防止数据处理设备^H皮受到保护侵
害影响的彩:据的访问。
特别重要的是,才^f錄侵害的类型,可以提供不同^^^:据。因此,保 护逻辑以故障妙方式激活一组被务賭的替^^据或应急逸行指令。为了这一 目的,合适的应急运行指4^t助于^ft在^f亍环嫂中的授权信息而被验汪,并 ^Hi成功的情况下被^^f于。如果授权5U&,则初始应急运行指令被^##在随 后被^^亍的保护逻辑本身中。才Wf呆护逻辑的特性,保护单元^^f应急逸 行指令。如果保护逻辑不处理应急逸行指令的^W亍,则应急逸行指令被转发给 数据处理设^^用于^f亍,并且^f亍在数据处理设备的运行时环嫂中通过^^逻
辑的接口而开始。监^!Jl辑监^f皮^f亍的应急运行指令,而不是保护侵 害所监视的数据。
因此,本发明范围内所描述的^RJt据、^U皮称为"应急逸行指4^,to 是这样的一个或多个逻辑,即其在^^单元内、并因此作为用于数据处理设备 中可用的,数据的脊氏而被执行,或者也借助于保护逻辑在数悟处理设备中 的保护单元外部被^i^亍。在每种情况下,^-组应急逸行指令接Jlidt权信息, 诸如电子签名,其使得能够由扭行环嫂内的保护逻辑iMt应急逸行指令的授权 进行^^IHit。应急逸行指令总^K在成功授M被^f亍。应急逸行指令的存 储或^^Jt据的M由保护单元处理。作为替M案,^^Jt据i^急逸行 指令也可以被^^在数据处理设备的絲器区域中,并且随后由保护逻#^ ^口栽。借助于^^亍环嫂中的授权信息,相应的替^lt据^急逸行指令可以 以授^^ri^皮重新加载到^^单;^数据处理设备中。
以下^ft助于唯一表示实施例的附图iMe—步详细iik^释本发明。 图l以非常简单的示奮I"生说明,显示了才娥本发明的包括絲的保护单元 的数据处理设备。
M实施方式
数据处理设备DE在图中示出。它可以是机动车的控制器,iH^^^Jt
控制器、发动才;^制器、传输控制器等。该数据处理设备或控制器de具有操
作务賭器BS,其中旨数据BD,皮^ft在该,員器中,用于该控制器的操
作。该,数据BD也可以^R^"^t禾踏等。
附图表示,按照本发明,才鹏本发明的^M^单元PU被絲到这个数据处 理设备或控制器DE中。该^^单it^^i^亍环嫂AU,其中该^ff■环^*^錄 以防止^^4t权的访问,该^W亍环嫂AU例如由硬件^:形成。
监^Lit辑UL和保护逻辑SL被絲到^^单元中。例如,它们各自由可编 禾I^块(FPGS)或者这样的FPGA的相应代码形成。还提供监^W^器US。 #^单元PU的通4言通i^f言息蕃口 IS、以^Jfit管理接口 AS iM^行。
條本发明的W单it/te^工作如下
对于相应控制器DE的##,、诸如^气嚢控制所需要的#^数据BD、 或#^考1^辨皮#^在##,器BS中,。为了确^it样的控制器DE的# ,借助于才M^本发明的保护单元,不断^J^W这样的,数据的^^ 权的访问或未经授权的修改,并且因此,验^EiUfc^^t权的^^侵害。
如果监^3£辑UL确定出这才羊的保护4曼害,则关于该^4/M曼害的类型的信 息以及其它信息、诸:i^^信息的时间被^^在监^^賭器US中。进一步, 监^^辑UL向〗錄逻辑SL通知保护侵害的类型。才^f錄侵害的类型,j錄 逻辑SLJ脉可以提供^^Jt据ED,用于控制器DE的^P^ft。这样的^f义 数据ED因此形^]于控制器DE的应急运^^iU急嫌怍的应急运行指令。 附图显示了保护逻辑SL可以才娥所确定的^H曼害的类型,提供不同的^^lt 据ED或不同的应急逸行指令。因此,^^发明范围中,对于^H曼害的类型、 或禾1^1可以提供灵活的响应,其中在每种各自的情况下激活所准备的合适的应 急逸行指令ED。
关于由监^£辑UL所确定的〗錄侵害的信息和关i^f^ft (絲急逸 行指令)的开始的信息可以从监^1#^器US中以授权的方i^皮棘,#4皮提 供给与通知用户相关的设备。在逸存、上,对于读^i斤需要的授权信息4皮^f^在 拟亍环嫂AU中。
如附图中也示出的那样,^f亍环嫂的特定授权信息也可以通过管理接口 AS 而被交换。因此,在成功的夕h^授权^ (例i魂过管理员),新的授权信息可 以被引入,并JUfe^L^辑UL和/或保护逻辑SL可以通过管理接口 AS被重新加 载到^U亍环嫂中,只^f^逻辑SL本身不是硬件,而是例:H皮实现为FPGA 铜。
所指出的扭/f亍3^ AU只表示受保护而防止^^授权的写g访问的运行 时环嫂,其用于上述狄的逻辑和絲器。^Lf亍环挽AU包^t权信息,并因 此,包括可以用于to^斤iii^辑的相应签名或者在可能的情况下可以解密该逻 辑的密钥。
总之,#^械明的#^单;^保例^^^车中的控制器等的^##,。尽 管这^+;i^车通常不^会绔^jfeM"的,^!这也可以实IL例如防^4^件的機 ^^新不A^、^1。通i^喊车内控制器的交X^, ^^pft^^访问的i^m
^f^ft别关键,因为iW^^4^键的功能的^^又你方问,可能产i^^J^!
特絲险。考虑刮逸泉,械明通it^^车中创建^^I信^^而彬'J"^^隞 ,其中汽车例如可以在汽车制造厂商的#^^制下,并且因此为^^t^f 完4^^7。 #^#^^^ ^亍,并JLSJt^^kJ^止由于控制器的^^斤产生的 才喊车的危险行为。
权利要求
1.一种用于(可编程)数据处理设备(DE)、诸如机动车、飞机、轮船等的控制器的保护单元(PU),其中,所述数据处理设备(DE)包括至少一个操作存储器(BS),其中操作数据(BD)被存储或者能够被存储在所述操作存储器中,用于所述数据处理设备的操作,其中,所述保护单元(PU)在相对于未授权访问被保护的执行环境(AU)中具有至少一个监视逻辑(UL)和至少一个保护逻辑(SL),其中,所述监视逻辑(UL)访问所述操作存储器(BS)以监视对存储于所述操作存储器中的操作数据的未经授权的修改、访问、或类似的保护侵害,并且在发生任何这样的保护侵害的情况下通知所述保护逻辑(SL),和其中,所述保护逻辑(SL)在保护侵害的情况下提供用于所述操作或用于所述数据处理设备(DE)的替代操作的替代数据(ED)。
2、 才娥权利要求1所述的保护单元,进一步包括至少一个监^1##教US ), 其中关于一个或多个被识别的^H旻害的信息被^^在所i4i^ ^器中。
3、 才N^U'J要求1或2所述的^^单元,进一步包括至少一^H言息凑口 (IS),其中通过它負^J斤述保护单元(PU)中棘关于保护侵害的信息、和/或其它状态信息。
4、 才Nt权利要求l至3其中任一个所述的^^单元,进一步包括至少一个 管理接口 (AS),其中通过它能向所述保护单元(PU)写AiU^斤述保护单元(PU)读出授权信息、配置、监牙J iE辑、保#逻辑、或其它教:据/程序。
5、 ^^M'决求1至4其中任一个所述的旨单元,其中所述^^亍环嫂 (AU)是硬件。
6、 才M^5U'J要求1至5其中^-"个所述的保护单元,其中所述监^!^辑 (UL)、所述保护逻辑(SL)、所i4S^i ^器(US)、所ii信息蕃口 (IS)、所述管理接口 (AS)、和/或所述^R^据(ED)是软件,诸如可编禾I^:的代 码。
7、 一种数据处理设备,讀S^几动车等的控制器,具有至少一个才^^U'J要 求1至6中^f—个所述的^^单元(PU )。
8、 一种用于监^ygt据处理设备的方法,其中所述数据处理设备具有至少一个才N^5U'J要求1至6中^-"个所述的#^单元,其中,所iij^ ^辑访问^^数据并检测^^侵害,其中,在^A^f可保护侵害的情况下,所^^^*!£辑通知所述保护逻辑,和其中,在^JK封可保护侵害的情况下,所述保护逻#^供用于所述数据处 理设备的所述鰣組急辦的锏谈据。
9、 才M^5^J要求8的方法,其中关于^M/M曼害的信息4^Wf所iiJ^絲 储器中。
10、 才N^U'J要求8或9所述的方法,其中所iiJ^^^W续地、或周期 小生地、或准持续地以预定时钟频率访问所述,数据或所述,存储器。
11、 才N^权利要求10所述的方法,其中所述时钟频率通it^斤述管理接口来 指定。
12、 ^^权利要求8至11中任一个所述的方法,其中为了验证保护侵害, ^W亍所述,数据的至少一个电子签名的验汪。
13、 才N^U'J要求8至12中任一个所述的方法,其中^j^^]1錄侵害 的情况下,所述保护逻辑PiUi^所述数据处理设备的所述,务賭器中的, lt据的i方问。
14、 才M^5U"要求8至13中任一个所述的方法,其中才^f^侵害的类型, ^^供不同的^Rigt据。
15、 才M^U'J要求8至14中任一个所述的方法,其中借助于^f^所述执 行环嫂中的授权信息iMHi^斤述^^l!t据。
16、 ^L^权利要求8至15中^""个所述的方法,其中用于所述数据处理设
17、 才Nt权利要求8至16中^f—个所述-的方法,其中在^^侵害U,借 助于所iiJ&^Lit辑(UL)检验所提供的^a^据,以确定^f^T能的保护侵害。
全文摘要
一个用于(可编程)数据处理设备(DE)的保护单元(PU),例如,一个机动车,飞机,轮船,或类似物的控制器,数据处理设备包括至少一个操作存储器(BS),在该操作存储器中操作数据(BD)能够被存储或者被存储用于数据处理设备的操作,该保护单元(PU)在一个执行环境(AU)中具有至少一个监控逻辑(UL)以及至少一个保护逻辑(SL)而受到保护防止未经授权的访问。为了监控未经授权的修改,访问,或类似存储于操作存储器中的操作数据的保护侵害,监控逻辑(UL)访问操作存储器并在一旦发生任何保护侵害的情况下通知保护逻辑(SL),并且保护逻辑为操作提供替代数据,或者为在一旦发生任何保护侵害的情况下数据处理设备的替换操作提供替换数据。
文档编号G05B19/048GK101369141SQ200810168688
公开日2009年2月18日 申请日期2008年3月12日 优先权日2007年3月12日
发明者G·黑特施泰特, H·克内希特尔, M·林德鲍尔, M·霍夫曼 申请人:Secunet安全网络股份公司