本发明专利技术涉及用于运行控制设备(202,204)的方法、这样的控制设备(202,204)和电子硬件安全模块(214,234)。在此,主计算单元(210,230)的操纵通过电子硬件安全模块(214,234)识别并且检验:重编程序是否是可能的。
【技术实现步骤摘要】
本专利技术涉及用于运行控制设备的方法、这样的控制设备以及电子硬件安全模块,所述电子硬件安全模块被使用在控制设备中。控制设备尤其是应用在机动车中。
技术介绍
控制设备是电子模块,其例如被用在机动车中以便控制和调节流程。为此,将控制设备分配给机动车的组件,所述组件的运行利用所分配的控制设备监督(kontrollieren)。为此,控制设备读入由传感器检测的数据并且通过操控执行器来作用于所述运行。所描述的方法结合电子安全模块来应用,该电子安全模块在安全性相关的领域中被使用在控制设备中、尤其是在汽车领域中。在安全性相关的领域中的大多数应用情况下,不可操纵或者不可查阅的数据存储是基本要求。在此情况下,使用密码密钥,所述密码密钥应用在对称或非对称的加密方法中。所使用的密钥和加密方法是机密,其必须对攻击者保持是秘密的。在安全性相关的领域中的其他应用例如涉及防止未经允许的改变、例如存储改变的序列号或者公里读数、禁止未授权的调整措施(Tuning-Maßnahmen)等等。因此需要在控制设备中提供安全的环境,在所述安全的环境中可以实施必须查阅和/或改变所述机密的功能。这些环境经常具有安全的计算单元或CPU(其也可以称为安全CPU(secure CPU))以及存储模块。这样的环境这里也被称为硬件安全模块(HSM:硬件安全模块(Hardware Security Module))。该模块是具有硬件和软件组件的有效率的模块,该有效率的模块改善嵌入式系统的可信度和保护。尤其是,HSM在此支持保护安全性关键的应用和数据。利用HSM同样可以降低安全成本,而同时可以提供防攻击者的有效保护。关于HSM的基本构造参考图3。在第三方攻击控制设备的情况下,这些第三方试图对设置在控制设备中的主计算机的运行和/或控制设备软件的流程进行操纵。在识别到操纵的情况下,在嵌入式系统的范围中或在嵌入件(Embedded)范围中要么仅仅探测该操纵要么触发紧急运行操作(Notlaufbetrieb)。该系统、也即控制设备以及在其上运行的软件的治疗(Heilung)仅仅在客户车间中利用明确的重编程序而发生。在消费电子(Consumer-Electronic)领域中,例如在TV接收机、智能电话等等中,从外部、例如由使用者、服务器等等触发自我治疗。
技术实现思路
以此为背景,介绍具有权利要求1的特征的方法、根据权利要求9的电子硬件安全模块和根据权利要求11的控制设备。扩展方案从从属权利要求和说明书中得知。按照所介绍的方法,在识别到操纵的情况下,在检验了重编程序是否是可能的之后,HSM在扩展方案中自动地开始重编程序用于系统或控制设备的自我治疗。因此,通过集成安全看门狗(或SecurityWatchdog(安全看门狗))类型、即电子硬件安全模块(HSM)在破坏的(korrupt)系统或控制设备中进行自主的识别和自我治疗。从而使安全性风险和舒适性损失最小化。HSM识别在控制设备或ECU中的主计算机或者主核的操纵并且开始自我治疗。自我治疗通过重编程序来执行。用于重编程序的可信任的软件或者-处于涉及的ECU的HSM闪速存储器(Flash-Speicher)中,-处于与涉及的ECU联网的未涉及的ECU的闪速存储器中,-处于与涉及的ECU联网的未涉及的ECU的HSM闪速存储器中,-处于与涉及的ECU联网的可信云(TrustedCloud)的受保护的存储器中,-处于与未涉及的ECU联网的可信云的受保护的存储器中,所述未涉及的ECU与涉及的ECU联网。可以使用传统的总线系统或受保护的总线系统用于传输。因此,例如可以使用HSM安全总线。本专利技术的另外的优点和扩展方案从说明书和附图中得到。可以理解:前面所述的以及后面还要阐述的特征不仅可以以分别所说明的组合、而且可以以其他组合或者单独地被使用,而不离开本专利技术的范畴。附图说明图1示出信任金字塔。图2以示意图示出HSM的功能。图3以示意图示出HSM的实施的构造。图4示出控制设备复合体。图5示出所介绍的方法的可能的流程。具体实施方式本专利技术借助实施方式在附图中被示意性示出并且下面参照附图被详细描述。然而为了信任IT系统:它总是如所预期的那样行动,需要相继地信任所有层,这些层被相互连接,以便产生可信任的IT系统。图1示出用于典型的IT系统的信任金字塔,其被称为Trust Pyramid(信任金字塔)。该信任金字塔总体上用参考数字10表示并且包括用于组织安全性的层12、用于系统安全性的层14、用于硬件安全性的层16、用于软件安全性的层18和用于信任或Trust(信任)的最上层20。为了能够信任整个IT系统,需要每个层能够信任处于其下的层的有效的安全性,而不能直接对此进行验证。这例如意味着:完美的软件和硬件安全性解决方案可能由于处于其下的弱的安全系统设计而证实为是无用的。此外,可能存在:可能的弱点在系统设计(Systemgestaltung)中不被检测或者通过上面的硬件和软件层被防止。与典型的背式系统(Back-Systemen)和IT系统相比,嵌入式系统的硬件层经常遭受物理攻击,这些物理攻击通过物理装置影响硬件或软件功能,例如操纵闪速存储器或者去激活报警功能。使这样的物理攻击变得困难的方案在于:尤其是使用防操纵的硬件安全模块(HSM),如其例如在图2中所示。这样的HSM例如通过强物理屏蔽保护重要的信息、例如个人识别码(PIN)、安全密钥和关键操作、例如PIN验证、数据加密。在下面描述可以如何构造HSM以及对于功能可以由该HSM执行什么来改善嵌入式系统的安全性。图2示出典型的硬件安全模块的核心功能。该图示示出了软件层30和硬件层32,其被保护免遭未经许可的访问。软件层30包括一系列应用程序34,这里示出其中三个。此外,设置运行系统36。硬件层32包括嵌入式标准硬件38和硬件安全模块(HSM)40。在该HSM 40中,设置用于接口和控制的第一块42、用于安全加密功能的第二块44、用于安全功能的第三块46和安全存储器48。安全存储器48是在防操纵的HSM 40内的小的、非易失性数据存储器,例如具有几千字节的容量,以便防止未被授权地读出、操纵或删除关键信息、诸如密码密钥、密码证书或鉴权数据、例如PIN或口令。HSM 40的安全存储器48此外包含所有HSM配置信息、例如关于HSM 40的所有者或对受保护的内部单元的访问授权的信息。在用于安全加密功能的第二块44中包含密码算法,所述密码算法用于数据加密和数据解密(例如AES或3DES)、数据完整性增强(诸如MAC或HMAC)、或者例如通过使用数字签名算法的数据起源验证(诸如RSA或ECC)以及所有所属的密码活动、诸如密钥产生、密钥验证。在第三块46中的安全功能包括所有受保护的功能,所述功能不直接被分配给密码方法,其中HSM40用作物理上受保护的“信任锚(Trust Anchor)”。这例如可以是物理上受保护的时钟信号、内部随机数发生器、载入程序保护机制或任何例如用于实现安全软件狗(Dongle)的关键的(kritisch)应用功能。用于接口和控制的第一块42包括内部HSM逻辑,其实现与外部世界的HSM通信并且管理如前面所提及的所有内部基础组件的运行。硬件安全模块40的所有功能基础组件(如前面描述的那样本文档来自技高网...
【技术保护点】
用于运行控制设备(202,204)的方法,该控制设备具有主计算单元(210,230)和电子硬件安全模块(40,70,214,234),其中主计算单元(210,230)的操纵通过电子硬件安全模块(40,70,214,234)来识别并且检验:重编程序是否是可能的。
【技术特征摘要】
2014.05.12 DE 102014208838.01.用于运行控制设备(202,204)的方法,该控制设备具有主计算单元(210,230)和电子硬件安全模块(40,70,214,234),其中主计算单元(210,230)的操纵通过电子硬件安全模块(40,70,214,234)来识别并且检验:重编程序是否是可能的。2.根据权利要求1所述的方法,其中,当重编程序是可能的时,执行所述重编程序。3.根据权利要求1所述的方法,其中,当重编程序是不可能的时,触发备用反应。4.根据权利要求1至3之一所述的方法,其中,为重编程序所需的软件存放在控制设备(202,204)的电子硬件安全模块(40,70,214,234)的非易失性存储器中。5.根据权利要求1至3之一所述的方法,其中,为重编程序所需的软件存放在另外的控制设备(202,204)的电子硬件安全模块(40,70,214,234)的非易失性存储器中。6....
【专利技术属性】
技术研发人员:M埃梅勒,T凯勒,A森肯斯,S施奈德,
申请(专利权)人:罗伯特·博世有限公司,
类型:发明
国别省市:德国;DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。