DE102020003101A1 - Data processing device - Google Patents

Data processing device Download PDF

Info

Publication number
DE102020003101A1
DE102020003101A1 DE102020003101.3A DE102020003101A DE102020003101A1 DE 102020003101 A1 DE102020003101 A1 DE 102020003101A1 DE 102020003101 A DE102020003101 A DE 102020003101A DE 102020003101 A1 DE102020003101 A1 DE 102020003101A1
Authority
DE
Germany
Prior art keywords
data
security proxy
unsafe
secure
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102020003101.3A
Other languages
German (de)
Inventor
Christian Gruenler
Raffaela Frank
Andreas Haug
Claus Wonnemann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mercedes Benz Group AG
Original Assignee
Daimler AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Daimler AG filed Critical Daimler AG
Priority to DE102020003101.3A priority Critical patent/DE102020003101A1/en
Publication of DE102020003101A1 publication Critical patent/DE102020003101A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6236Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft eine Datenverarbeitungseinrichtung (1) für ein Kraftfahrzeug, welche eine Datenverarbeitungseinheit (2) mit mehreren Partitionen (3, 4, 5) umfasst. Dabei ist ein sicheres System (7) der Datenverarbeitungseinrichtung (1) auf einer ersten Partition (3), ein unsicheres System (11) der Datenverarbeitungseinrichtung (1) auf einer zweiten Partition (4) und ein Sicherheits-Proxy (15) der Daten-verarbeitungseinrichtung (1) auf einer dritten Partition der Datenverarbeitungs-einheit (2) realisiert. Der Sicherheits-Proxy (15) trennt das sichere von dem unsicheren System (7, 11) unter Ausbildung einer internen Daten-Schnittstelle (16), sodass eine Datenübertragung zwischen dem unsicheren und dem sicheren System (7, 11) ausschließlich indirekt über den Sicherheits-Proxy (15) möglich ist.The invention relates to a data processing device (1) for a motor vehicle, which comprises a data processing unit (2) with several partitions (3, 4, 5). There is a secure system (7) of the data processing device (1) on a first partition (3), an insecure system (11) of the data processing device (1) on a second partition (4) and a security proxy (15) of the data processing device (1) realized on a third partition of the data processing unit (2). The security proxy (15) separates the secure from the insecure system (7, 11) by forming an internal data interface (16), so that data transmission between the insecure and the secure system (7, 11) is only indirectly via the security -Proxy (15) is possible.

Description

Die Erfindung betrifft eine Datenverarbeitungseinrichtung für ein Kraftfahrzeug. Außerdem betrifft die Erfindung ein Verfahren zum sicheren Betreiben einer derartigen Datenverarbeitungseinrichtung. Ferner betrifft die Erfindung ein automatisierbares Verfahren zum Erzeugen eines Sicherheits-Proxys für eine solche Datenverarbeitungs-einrichtung.The invention relates to a data processing device for a motor vehicle. The invention also relates to a method for safely operating such a data processing device. The invention further relates to an automatable method for generating a security proxy for such a data processing device.

Seit geraumer Zeit werden Kraftfahrzeuge mit Datenverarbeitungseinrichtungen ausgestattet, wobei typischerweise sicherheitsrelevante Funktionen und weniger - oder gar nicht - sicherheitsrelevante Funktionen auf unterschiedlichen Datenverarbeitungseinheiten der Datenverarbeitungseinrichtungen umgesetzt werden. So werden traditionell fahrrelevante - also sicherheitsrelevante - Daten auf einem eine Datenverarbeitungseinheit bildenden Kombiinstrument-Steuergerät umgesetzt und auf einer mit diesem Kombiinstrument-Steuergerät datenübertragend verbundenen Wiedergabeeinrichtung angezeigt. Demgegenüber werden Entertainment-Funktionen, die weniger sicherheitsrelevant sind, üblicherweise mittels einer gesonderten Datenverarbeitungseinheit realisiert. Dabei bilden das Kombiinstrument-Steuergerät und die zugehörige Wiedergabeeinrichtung ein sicheres System und das Entertainment-Steuergerät samt zugehöriger Wiedergabeeinrichtung ein unsicheres System.For some time now, motor vehicles have been equipped with data processing devices, typically security-related functions and less - or not at all - security-related functions being implemented on different data processing units of the data processing devices. Traditionally driving-relevant - that is, safety-relevant - data are thus converted on a combination instrument control unit forming a data processing unit and displayed on a playback device connected to this combination instrument control unit for data transmission. In contrast, entertainment functions that are less security-relevant are usually implemented by means of a separate data processing unit. The instrument cluster control unit and the associated playback device form a safe system and the entertainment control unit together with the associated playback device form an unsafe system.

Sicherheitsrelevante Daten sind typischerweise sichere, also von bekannten und/oder als zuverlässig beurteilten Quellen stammende, Daten. Weniger sicherheitsrelevante Daten sind üblicherweise unsichere, also von als unzuverlässig beurteilten und/oder von außen über potentiell unsichere Fremdquellen speisbaren Quellen stammende Daten. Eine solche Fremdquelle kann ein mobiles Endgerät sein, das zum speisen des die Quelle bildenden unsicheren Systems wenigstens vorübergehend datenübertragend an das unsichere System angebunden ist.Security-relevant data is typically secure, that is, data that comes from known sources and / or sources that have been assessed as reliable. Less security-relevant data are usually insecure, that is to say data which are judged to be unreliable and / or can be fed from outside via potentially unsafe external sources. Such an external source can be a mobile terminal device, which is connected to the insecure system at least temporarily in order to feed the insecure system forming the source.

Da es wünschenswert ist, dass auch unsichere Daten auf der Wiedergabeeinrichtung des sicheren Systems angezeigt werden können - so beispielsweise eine mittels des unsicheren Systems generierte Navigationskarte auf der an das Kombiinstrument-Steuergerät angebundenen Wiedergabeeinrichtung -, muss zwischen dem unsicheren System und dem sicheren System eine Übertragung der unsicheren Daten vom unsicheren System zum sicheren System ermöglicht sein. Eine solche datenübertragende Kommunikationsverbindung des unsicheren Systems mit dem sicheren System bedingt aber potenziell die Gefahr, dass über diesen Kommunikationsweg das entsprechend den hohen Sicherheits-anforderungen ausgelegte sichere System zum Halten oder Absturz gebracht werden kann, falls die wiederzugebenden unsicheren Daten schadhaft sind.Since it is desirable that unsafe data can also be displayed on the playback device of the secure system - for example a navigation map generated by means of the unsafe system on the playback device connected to the instrument cluster control unit - there must be a transmission between the unsafe system and the secure system the insecure data from the insecure system to the secure system. However, such a data-transmitting communication link between the insecure system and the secure system potentially creates the risk that the secure system designed in accordance with the high security requirements can be brought to a halt or crash via this communication path if the unsafe data to be reproduced is damaged.

Es ist daher eine Aufgabe der vorliegenden Erfindung, eine Datenverarbeitungseinrichtung für ein Kraftfahrzeug sowie ein Verfahren zum sicheren Betreiben einer solchen Datenverarbeitungseinrichtung und ein automatisierbares Verfahren zum Erzeugen eines Sicherheits-Proxys für eine solche Datenverarbeitungseinrichtung anzugeben, mittels welcher/m die voranstehend aufgezeigte Gefahr besser beherrscht oder sogar beseitigt werden soll.It is therefore an object of the present invention to provide a data processing device for a motor vehicle and a method for the safe operation of such a data processing device and an automatable method for generating a security proxy for such a data processing device, by means of which the risk shown above is better controlled or even to be eliminated.

Diese Aufgabe wird durch die Datenverarbeitungseinrichtung gemäß dem unabhängigen Patentanspruch 1 sowie durch das Verfahren zum sicheren Betreiben einer solchen Datenverarbeitungseinrichtung gemäß dem nebengeordneten Patentanspruch 2 und durch das automatisierbare Verfahren zum Erzeugen eines Sicherheits-Proxys für eine solche Datenverarbeitungseinrichtung gemäß dem nebengeordneten Patentanspruch 3 gelöst.This object is achieved by the data processing device according to independent claim 1 and by the method for safely operating such a data processing device according to independent claim 2 and by the automatable method for generating a security proxy for such a data processing device according to independent claim 3.

Grundidee der Erfindung ist demnach, sowohl ein sicheres System als auch ein unsicheres System einer Datenverarbeitungseinrichtung auf separaten Partitionen einer einzigen Datenverarbeitungseinheit der Datenverarbeitungseinrichtung zu realisieren, wobei auf einer weiteren gesonderten Partition derselben Datenverarbeitungseinheit ein Sicherheits-Proxy ausgeführt wird, der unter Ausbildung einer internen Daten-Schnittstelle das sichere vom unsicheren System trennt, sodass eine Datenübertragung zwischen dem unsicheren und dem sicheren System ausschließlich indirekt über den Sicherheits-Proxy möglich ist. Solche Partitionen können von einer Hardware unterstützt oder mittels eines Computerprogrammprodukts ausgeführt sein.The basic idea of the invention is therefore to implement both a secure system and an insecure system of a data processing device on separate partitions of a single data processing unit of the data processing device, a security proxy being executed on a further separate partition of the same data processing unit, which proxy forms an internal data processing unit. Interface separates the secure from the unsafe system, so that data transmission between the unsafe and the secure system is only possible indirectly via the security proxy. Such partitions can be supported by hardware or implemented by means of a computer program product.

Vorteilhaft können so sowohl das sichere als auch das unsichere System auf einer gemeinsamen Datenverarbeitungseinheit realisiert werden, was Kostenvorteile bedingt. Both the secure and the insecure system can advantageously be realized on a common data processing unit, which results in cost advantages.

Zugleich wird vorteilhaft mittels des ebenfalls auf der gemeinsamen Datenverarbeitungseinheit realisierten Sicherheits-Proxys das sichere System von dem unsicheren System derart wirksam abgeschottet, dass eine Datenübertragung zwischen dem unsicheren und dem sicheren System ausschließlich indirekt über den Sicherheits-Proxy möglich ist. Dabei bildet der Sicherheits-Proxy vorteilhaft einen Schutzschirm, der das sichere System vor ggf. die Funktion des sicheren Systems bedrohenden schadhaften unsicheren Daten schützt.At the same time, the secure system is also effectively isolated from the insecure system by means of the security proxy, which is also implemented on the common data processing unit, such that data transmission between the insecure and the secure system is only possible indirectly via the security proxy. The security proxy advantageously forms a protective screen which protects the secure system from possibly unsafe data which could threaten the function of the secure system.

Eine erfindungsgemäße Datenverarbeitungseinrichtung für ein Kraftfahrzeug umfasst eine Datenverarbeitungseinheit, die mehrere Partitionen umfasst. Die mehreren Partitionen der Datenverarbeitungseinheit sind zweckmäßig mittels eines Hypervisors voneinander abgetrennt. Die Datenverarbeitungseinrichtung umfasst außerdem ein sicheres System, welches ein auf einer ersten Partition der Datenverarbeitungseinheit ausgeführtes sicheres Computerprogrammprodukt zum Verarbeiten sicherer Daten sowie eine erste Wiedergabeeinrichtung zur Wiedergabe von mittels des sicheren Computerprogrammprodukts an die erste Wiedergabeeinrichtung übermittelten wiederzugebenden sicheren Daten umfasst. Darüber hinaus weist die Datenverarbeitungseinrichtung ein von dem sicheren System abgeschottetes unsicheres System auf. Das unsichere System umfasst ein auf einer zweiten Partition der Datenverarbeitungseinheit ausgeführtes unsicheres Computerprogrammprodukt zum Verarbeiten unsicherer Daten sowie eine zweite Wiedergabeeinrichtung zur Wiedergabe von mittels des unsicheren Computerprogrammprodukts an die zweite Wiedergabeeinrichtung übermittelten wiederzugebenden unsicheren Daten. Ferner umfasst die Datenverarbeitungseinrichtung ein Sicherheits-Proxy, der auf einer dritten Partition der Datenverarbeitungseinheit ausgeführt ist. Der Sicherheits-Proxy trennt das sichere von dem unsicheren System unter Ausbildung einer internen Daten-Schnittstelle, sodass eine Datenübertragung zwischen dem unsicheren und dem sicheren System ausschließlich indirekt über den Sicherheits-Proxy möglich ist. Dabei ist der Sicherheits-Proxy einerseits mit dem sicheren System und andererseits mit dem unsicheren System datenübertragend verbunden, sodass unsichere Daten von dem unsicheren System an den Sicherheits-Proxy übertragbar und nach Sicherheitsprüfungen und -freigabe im Sicherheits-Proxy mittels des Sicherheits-Proxys zur Wiedergabe auf der ersten Wiedergabeeinrichtung an das sichere System übertragbar sind. Außerdem ist der Sicherheits-Proxy derart mit dem sicheren System und dem unsicheren System datenübertragend verbunden, dass mittels des sicheren Computerprogrammprodukts eine Funktionalität des Sicherheits-Proxys überprüfbar und der Sicherheits-Proxy mittels des sicheren Computerprogrammprodukts zurücksetzbar ist, falls die Funktionalität des Sicherheits-Proxys beeinträchtigt ist. Wie oben bereits angeführt, ergibt sich hieraus der Vorteil, dass sowohl das unsichere als auch das sichere System auf einer gemeinsamen Datenverarbeitungseinheit realisiert werden können, was Kosten und Bauraum spart. Außerdem kann mittels des Sicherheits-Proxys besonders wirksam vermieden werden, dass dem sicheren System schadhafte unsichere Daten zugeführt werden, welche schlimmstenfalls zu einer Beeinträchtigung der Funktion oder sogar zu einem Kollaps des sicheren Systems führen können.A data processing device according to the invention for a motor vehicle comprises a data processing unit which comprises several partitions. The multiple partitions of the data processing unit are expediently separated from one another by means of a hypervisor. The data processing device also includes a Secure system, which comprises a secure computer program product for processing secure data, which is executed on a first partition of the data processing unit, and a first playback device for playback of secure data to be played back, which is transmitted to the first playback device by means of the secure computer program product. In addition, the data processing device has an insecure system that is isolated from the secure system. The insecure system comprises an insecure computer program product, which is executed on a second partition of the data processing unit, for processing insecure data, and a second reproduction device for reproduction of unsafe data to be reproduced, which is transmitted to the second reproduction device by means of the insecure computer program product. Furthermore, the data processing device comprises a security proxy, which is executed on a third partition of the data processing unit. The security proxy separates the secure from the unsafe system by forming an internal data interface, so that data transmission between the insecure and the secure system is only possible indirectly via the security proxy. The security proxy is connected on the one hand to the secure system and on the other hand to the unsafe system for data transmission, so that unsafe data can be transferred from the unsafe system to the security proxy and, after security checks and release in the security proxy, by means of the security proxy for playback are transferable to the secure system on the first playback device. In addition, the security proxy is connected to the secure system and the insecure system in such a way that the functionality of the security proxy can be checked by means of the secure computer program product and the security proxy can be reset by means of the secure computer program product if the functionality of the security proxy is impaired is. As already mentioned above, this has the advantage that both the insecure and the secure system can be implemented on a common data processing unit, which saves costs and installation space. In addition, the security proxy can be used in a particularly effective manner to prevent the secure system from being supplied with damaged, unsafe data which, in the worst case, can impair the function or even collapse the secure system.

Die Erfindung betrifft außerdem ein Verfahren zum sicheren Betreiben einer erfindungsgemäßen Datenverarbeitungseinrichtung gemäß der voranstehenden Beschreibung. Dieses Verfahren sieht vor, dass mittels des Sicherheits-Proxys unsichere Daten, die dem Sicherheits-Proxy von dem unsicheren System zugeführt werden, auf Sicherheit geprüft werden. Bei dieser Prüfung der unsicheren Daten auf Sicherheit mittels des Sicherheits-Proxys werden Wertebereiche von Argumenten sowie - alternativ oder zusätzlich - Rückgabewerte auf Wertebereiche geprüft. Außerdem wird - alternativ oder zusätzlich - eine Struktur der unsicheren Daten auf eine erwartete Struktur geprüft. Alternativ oder zusätzlich werden die unsicheren Daten außerdem auf erlaubte Zeichen und/oder auf eine erlaubte Zeichenfolgenlänge der unsicheren Daten geprüft. Das Verfahren sieht außerdem vor, dass für den Fall, dass es sich bei den unsicheren Daten um Bilddaten handelt, zur Überprüfung der unsicheren Daten auf Sicherheit im Sicherheits-Proxy eine Prüfung einer Integrität eines Datenformats der unsicheren Daten erfolgt. Dabei werden die unsicheren Daten mittels des Sicherheits-Proxys entpackt und die entpackten unsicheren Daten in ein neutrales Datenformat verpackt, bevor sie dem sicheren System mittels des Sicherheits-Proxys zugeführt werden. Für den Fall, dass die Prüfung der unsicheren Daten auf Sicherheit ergibt, dass die unsicheren Daten sicher sind, werden die als sicher bewerteten unsicheren Daten zur Wiedergabe auf der ersten Wiedergabeeinrichtung an das sichere System übertragen. Für den Fall, dass die Prüfung der unsicheren Daten auf Sicherheit ergibt, dass die unsicheren Daten unsicher sind, wird eine Übertragung der als unsicher bewerteten unsicheren Daten an das sichere System verhindert. Ferner wird gemäß dem Verfahren eine zeitbezogene Aufrufhäufigkeit des Sicherheits-Proxys, mit welcher das unsichere Computerprogrammprodukt den Sicherheits-Proxy zur Übertragung unsicherer Daten an den Sicherheits-Proxy aufruft, mittels des Sicherheits-Proxys überprüft. Für den Fall, dass die zeitbezogene Aufrufhäufigkeit eine vorbestimmte Grenz-Aufrufhäufigkeit überschreitet, wird der Sicherheits-Proxy zurückgesetzt. Ein solches Zurücksetzen des Sicherheits-Proxys kann vorzugsweise mittels eines Beendens und eines Neustartens des Sicherheits-Proxys realisiert werden. Außerdem wird gemäß dem Verfahren eine Funktionalität des Sicherheits-Proxys mittels des sicheren Computerprogrammprodukts regelmäßig von dem Sicherheits-Proxy abgefragt. Dieses Prinzip wird auch als Watchdog-Prinzip bezeichnet. Für den Fall, dass der Sicherheits-Proxy bei der Abfrage seiner Funktionalität mittels des sicheren Computerprogrammprodukts dem sicheren Computerprogrammprodukt nicht korrekt oder verspätet antwortet, wird der Sicherheits-Proxy zurückgesetzt, also vorzugsweise beendet und neu gestartet. Mittels dieses Verfahrens wird vorteilhaft eine besonders wirksame Abschottung des sicheren Systems gegenüber schadhaften unsicheren Daten erreicht. Darüber hinaus übertragen sich die oben bereits aufgezeigten Vorteile der erfindungsgemäßen Datenverarbeitungseinrichtung auch auf das erfindungsgemäße Verfahren zum Betreiben einer solchen Datenverarbeitungseinrichtung.The invention also relates to a method for the safe operation of a data processing device according to the invention as described above. This method provides that the security proxy is used to check unsafe data that are fed to the security proxy by the insecure system for security. When checking the unsafe data for security using the security proxy, value ranges of arguments and - alternatively or additionally - return values for value ranges are checked. In addition or alternatively, a structure of the uncertain data is checked for an expected structure. Alternatively or additionally, the insecure data is also checked for permitted characters and / or for an allowed string length of the insecure data. The method also provides that in the event that the unsafe data is image data, an integrity of a data format of the unsafe data is checked in the security proxy to check the unsafe data for security. The unsafe data is unpacked using the security proxy and the unpacked unsafe data is packed in a neutral data format before it is sent to the secure system using the security proxy. In the event that the examination of the unsafe data for security reveals that the unsafe data is secure, the unsafe data rated as secure is transmitted to the secure system for playback on the first playback device. In the event that the examination of the insecure data for security reveals that the insecure data is insecure, transmission of the unsafe data assessed as unsafe to the secure system is prevented. Furthermore, according to the method, a time-related call frequency of the security proxy, with which the unsafe computer program product calls the security proxy for the transmission of unsafe data to the security proxy, is checked by means of the security proxy. In the event that the time-related call frequency exceeds a predetermined limit call frequency, the security proxy is reset. Such a reset of the security proxy can preferably be implemented by terminating and restarting the security proxy. In addition, according to the method, a functionality of the security proxy is regularly queried by the security proxy by means of the secure computer program product. This principle is also called the watchdog principle. In the event that the security proxy does not respond correctly or belatedly to the secure computer program product when querying its functionality by means of the secure computer program product, the security proxy is reset, that is, preferably terminated and restarted. This method advantageously achieves a particularly effective partitioning of the secure system against defective unsafe data. In addition, the advantages of the data processing device according to the invention which have already been mentioned above are also transferred to the method according to the invention for operating such a data processing device.

Die Erfindung betrifft außerdem ein automatisierbares Verfahren zum Erzeugen eines Sicherheits-Proxys für eine erfindungsgemäße Datenverarbeitungseinrichtung, wie voranstehend beschrieben. Diese Datenverarbeitungseinrichtung ist vorzugsweise zur Durchführung des erfindungsgemäßen Verfahrens gemäß der voranstehenden Beschreibung eingerichtet. Das automatisierbare Verfahren zum Erzeugen des Sicherheits-Proxys umfasst acht Maßnahmen a) bis g). Gemäß Maßnahme a) erfolgt ein Festlegen einer Schnittstellencharakteristik einer internen Daten-Schnittstelle des zu erzeugenden Sicherheits-Proxys, über welche Daten-Schnittstelle der zu erzeugende Sicherheits-Proxy datenübertragend mit dem unsicheren System der Datenverarbeitungseinrichtung verbindbar ist. Zweckmäßig wird die Schnittstellencharakteristik mittels einer API-Definition festgelegt. Das automatisierbare Verfahren umfasst außerdem eine Maßnahme b), gemäß welcher Prüfregeln festgelegt werden, auf welche dem zu erzeugenden Sicherheits-Proxy über die Daten-Schnittstelle zugeführte unsichere Daten mittels des zu erzeugenden Sicherheits-Proxys überprüfbar sind. Darüber hinaus umfasst das automatisierbare Verfahren eine Maßnahme c), bei welcher die in Maßnahme a) festgelegte Schnittstellencharakteristik und die in Maßnahme b) festgelegten Prüfregeln in einem Generator-Computerprogrammprodukt zusammengeführt werden. Gemäß einer Maßnahme d) des automatisierbaren Verfahrens wird eine Sicherheits-Proxy-Konfiguration mittels des Generator-Computerprogrammprodukts erzeugt. Bei einer weiteren Maßnahme e) erfolgt ein Einspeisen der Sicherheits-Proxy-Konfiguration in einen Prüfcodegenerator. Das automatisierbare Verfahren umfasst außerdem eine Maßnahme f), gemäß welcher ein Quellcode des Sicherheits-Proxys mittels des Prüfcodegenerators erzeugt wird. Darüber hinaus umfasst das automatisierbare Verfahren eine Maßnahme g), welche vorsieht, dass der Sicherheits-Proxy mittels eines den Quellcode übersetzenden Compilers erzeugt wird. Dies bietet eine besonders gute Möglichkeit, den Sicherheits-Proxy für die erfindungsgemäße Datenverarbeitungseinrichtung einzurichten. Darüber hinaus übertragen sich die oben genannten Vorteile der erfindungsgemäßen Datenverarbeitungseinrichtung auch auf das erfindungsgemäße automatisierbare Verfahren zum Erzeugen eines Sicherheits-Proxys für eine solche Datenverarbeitungseinrichtung. The invention also relates to an automatable method for generating a security proxy for a data processing device according to the invention, as described above. This data processing device is preferably set up to carry out the method according to the invention as described above. The automatable method for generating the security proxy comprises eight measures a) to g). According to measure a), an interface characteristic of an internal data interface of the security proxy to be generated is established, via which data interface the security proxy to be generated can be connected to the insecure system of the data processing device for data transmission. The interface characteristic is expediently defined by means of an API definition. The automatable method also includes a measure b), according to which test rules are established, for which unsafe data supplied to the security proxy to be generated via the data interface can be checked by means of the security proxy to be generated. In addition, the automatable method comprises a measure c) in which the interface characteristics defined in measure a) and the test rules defined in measure b) are combined in a generator computer program product. According to a measure d) of the automatable method, a security proxy configuration is generated by means of the generator computer program product. In a further measure e), the security proxy configuration is fed into a test code generator. The automatable method also includes a measure f), according to which a source code of the security proxy is generated by means of the check code generator. In addition, the automatable method comprises a measure g) which provides that the security proxy is generated by means of a compiler that translates the source code. This offers a particularly good possibility of setting up the security proxy for the data processing device according to the invention. In addition, the above-mentioned advantages of the data processing device according to the invention are also transferred to the automatable method according to the invention for generating a security proxy for such a data processing device.

Weitere wichtige Merkmale und Vorteile der Erfindung ergeben sich aus den Unteransprüchen, aus den Zeichnungen und aus der zugehörigen Figurenbeschreibung anhand der Zeichnungen.Further important features and advantages of the invention emerge from the subclaims, from the drawings and from the associated description of the figures with reference to the drawings.

Es versteht sich, dass die vorstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.It goes without saying that the features mentioned above and those yet to be explained below can be used not only in the combination specified in each case, but also in other combinations or on their own without departing from the scope of the present invention.

Bevorzugte Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und werden in der nachfolgenden Beschreibung näher erläutert, wobei sich gleiche Bezugszeichen auf gleiche oder ähnliche oder funktional gleiche Bauteile beziehen.Preferred exemplary embodiments of the invention are shown in the drawings and are explained in more detail in the following description, the same reference numerals referring to identical or similar or functionally identical components.

Es zeigen, jeweils schematisch:

  • 1 Beispielhaft ein Aufbauschema einer erfindungsgemäßen Datenverarbeitungseinrichtung für ein Kraftfahrzeug,
  • 2 beispielhaft einen Ablauf eines erfindungsgemäßen automatisierbaren Verfahrens zum Erzeugen eines Sicherheits-Proxys für die Datenverarbeitungseinrichtung der 1.
Each shows schematically:
  • 1 An example of a construction diagram of a data processing device according to the invention for a motor vehicle,
  • 2nd an example of a sequence of an automatable method according to the invention for generating a security proxy for the data processing device of the 1 .

In der 1 ist in einem Aufbauschaubild eine erfindungsgemäße Datenverarbeitungseinrichtung 1 für ein Kraftfahrzeug gezeigt. Die Datenverarbeitungseinrichtung 1 umfasst eine Datenverarbeitungseinheit 2, die mehrere Partitionen 3, 4, 5 umfasst. Die mehreren Partitionen 3, 4, 5 der Datenverarbeitungseinheit 2 sind im gezeigten Beispiel mittels eines Hypervisors 6 voneinander getrennt.In the 1 is an assembly diagram of a data processing device according to the invention 1 shown for a motor vehicle. The data processing device 1 comprises a data processing unit 2nd that have multiple partitions 3rd , 4th , 5 includes. The multiple partitions 3rd , 4th , 5 the data processing unit 2nd are in the example shown using a hypervisor 6 separated from each other.

Die Datenverarbeitungseinrichtung 1 umfasst ein sicheres System 7, das ein auf einer ersten Partition 3 der Datenverarbeitungseinheit 2 ausgeführtes, sicheres Computerprogrammprodukt 8 umfasst. Das sichere Computerprogrammprodukt 8 ist zum Verarbeiten sicherer Daten 9 eingerichtet bzw. programmiert. Das sichere System 7 umfasst außerdem eine erste Wiedergabeeinrichtung 10 zur Wiedergabe von sicheren Daten 9, die mittels des sicheren Computerprogramm-produkts 8 an die ersten Wiedergabe-einrichtung 10 übermittelt werden können. Außerdem umfasst die Datenverarbeitungs-einrichtung 1 ein unsicheres System 11, das von dem sicheren System 7 getrennt arbeitet, also gegenüber diesem abgeschottet ist. Das unsichere System 11 weist ein auf einer zweiten Partition 4 der Datenverarbeitungseinheit 2 ausgeführtes, „unsicheres“ Computerprogrammprodukt 12 auf. Das unsichere Computerprogrammprodukt ist zum Verarbeiten unsicherer Daten 13 eingerichtet bzw. programmiert. Das unsichere System 11 umfasst außerdem eine zweite Wiedergabeeinrichtung 14 zur Wiedergabe von mittels des unsicheren Computerprogrammprodukts 12 an die zweite Wiedergabeeinrichtung 14 übermittelten, wiederzugebenden unsicheren Daten 13.The data processing device 1 includes a secure system 7 that one on a first partition 3rd the data processing unit 2nd executed, secure computer program product 8th includes. The safe computer program product 8th is for processing secure data 9 set up or programmed. The safe system 7 also includes a first playback device 10th to play back safe data 9 which can be transmitted to the first playback device 10 by means of the secure computer program product 8. In addition, the data processing device 1 comprises an insecure system 11 that of the secure system 7 works separately, i.e. is isolated from it. The unsafe system 11 assigns one to a second partition 4th the data processing unit 2nd executed, "unsafe" computer program product 12th on. The insecure computer program product is for processing insecure data 13 set up or programmed. The unsafe system 11 also includes a second playback device 14 for rendering by means of the unsafe computer program product 12th to the second playback device 14 transmitted, to be reproduced insecure data 13 .

Darüber hinaus weist die Datenverarbeitungseinrichtung 1 einen Sicherheits-Proxy 15 auf, der auf einer dritten Partition 5 der Datenverarbeitungseinheit 2 ausgeführt wird. Der Sicherheits-Proxy 15 trennt das sichere von dem unsicheren System 7, 11 unter Ausbildung einer internen Schnittstelle 16. Dabei trennt der Sicherheits-Proxy 15 das sichere vom unsicheren System 7, 11 derart, dass eine Datenübertragung zwischen dem unsicheren und dem sicheren System 7, 11 ausschließlich indirekt über den Sicherheits-Proxy 15 möglich ist. Hierzu steht der Sicherheits-Proxy 15 einerseits mit dem sicheren System 7 und andererseits mit dem unsicheren System 11 zur Datenübertragung jeweils in Kommunikationsverbindung. Dabei ist der Sicherheits-Proxy 15 derart mit dem sicheren System 7 und dem unsicheren System 11 datenübertragend verbunden, dass unsichere Daten 13 von dem unsicheren System 11 an den Sicherheits-Proxy 15 übertragbar und nach Sicherheitsprüfungen und -freigabe im Sicherheits-Proxy 15 mittels des Sicherheits-Proxys 15 zur Wiedergabe auf der ersten Wiedergabeeinrichtung 10 an das sichere System 7 übertragen werden können.In addition, the data processing device 1 a security proxy 15 on that on a third partition 5 the data processing unit 2nd is performed. The security proxy 15 separates the safe from the unsafe system 7 , 11 with the formation of an internal interface 16 . The security proxy disconnects 15 the safe of the unsafe system 7 , 11 such that data transmission between the insecure and the secure system 7 , 11 only indirectly via the security proxy 15 is possible. The security proxy stands for this 15 on the one hand with the secure system 7 and on the other hand with the unsafe system 11 for data transmission in a communication connection. Here is the security proxy 15 like this with the secure system 7 and the insecure system 11 data transmission connected that insecure data 13 from the insecure system 11 to the security proxy 15 transferable and after security checks and approval in the security proxy 15 using the security proxy 15 for playback on the first playback device 10th to the secure system 7 can be transferred.

Außerdem ist der Sicherheits-Proxy 15 derart mit dem sicheren System 7 und dem unsicheren System 11 datenübertragend verbunden, das mittels des sicheren Computerprogrammprodukts 8 eine Funktionalität des Sicherheits-Proxys 5 überprüfbar und der Sicherheits-Proxy 15 mittels des sicheren Computerprogrammprodukts 8 zurücksetzbar ist, falls die Funktionalität des Sicherheits-Proxys 15 beeinträchtigt ist.It is also the security proxy 15 like this with the secure system 7 and the insecure system 11 data transmission connected, that by means of the secure computer program product 8th a functionality of the security proxy 5 verifiable and the security proxy 15 by means of the secure computer program product 8th can be reset if the functionality of the security proxy 15 is impaired.

1 zeigt außerdem, dass das unsichere System 4, welches beispielsweise ein Entertainment-System sein kann, mit einem externen mobilen Endgerät 25 datenübertragend verbunden sein kann. Dieses mobile Endgerät 25 kann eine Fremdquelle der unsicheren Daten 13 sein. 1 also shows that the unsafe system 4th , which can be an entertainment system, for example, with an external mobile terminal 25th can be connected to transmit data. This mobile device 25th can be a foreign source of unsafe data 13 be.

Die beispielhaft in der 1 illustrierte erfindungsgemäße Datenverarbeitungseinrichtung 1 wird mittels eines nachfolgend beispielhaft beschriebenen erfindungsgemäßen Verfahrens zum sicheren Betreiben der Datenverarbeitungseinrichtung 1 betrieben. Gemäß diesem Verfahren werden unsichere Daten 13, die vom unsicheren System 11 an den Sicherheits-Proxy 15 übertragen werden, mittels des Sicherheits-Proxys 15 auf Sicherheit geprüft. Bei der Prüfung der unsicheren Daten 13 auf Sicherheit mittels des Sicherheits-Proxys 15 werden Wertebereiche von Argumenten der unsicheren Daten 13 geprüft. Alternativ oder zusätzlich werden Rückgabewerte auf Wertebereiche der unsicheren Daten 13 geprüft. Alternativ oder zusätzlich wird eine Struktur der unsicheren Daten 13 auf eine erwartete Struktur geprüft. Alternativ oder zusätzlich werden die unsicheren Daten 13 auf erlaubte Zeichen geprüft. Alternativ oder zusätzlich werden die unsicheren Daten 13 auf eine erlaubte Zeichenfolgenlänge der unsicheren Daten 13 geprüft. Das Verfahren zum sicheren Betreiben der Datenverarbeitungseinrichtung 1 sieht außerdem vor, dass - falls es sich bei den unsicheren Daten 13 um Bilddaten handelt - zur Überprüfung der unsicheren Daten 13 auf Sicherheit im Sicherheit-Proxy 15 eine Prüfung einer Integrität eines Datenformats der unsicheren Daten 13 erfolgt. Außerdem werden die unsicheren Daten 13 mittels des Sicherheits-Proxys 15 entpackt und die entpackten unsicheren Daten in ein neutrales Datenformat verpackt, bevor sie dem sicheren System 7 mittels des Sicherheits-Proxys 15 zugeführt werden.The exemplary in the 1 illustrated data processing device according to the invention 1 is by means of a method according to the invention described below by way of example for the safe operation of the data processing device 1 operated. According to this procedure, unsafe data 13 by the insecure system 11 to the security proxy 15 are transmitted using the security proxy 15 checked for security. When checking the unsafe data 13 for security using the security proxy 15 become ranges of values of arguments of uncertain data 13 checked. Alternatively or additionally, return values are added to value ranges of the uncertain data 13 checked. Alternatively or additionally, a structure of the insecure data 13 checked for an expected structure. Alternatively or additionally, the insecure data 13 checked for permitted characters. Alternatively or additionally, the insecure data 13 to an allowed string length of the insecure data 13 checked. The method for the safe operation of the data processing device 1 also provides that - if it is the insecure data 13 is image data - for checking the unsafe data 13 for security in the security proxy 15 an integrity check of a data format of the insecure data 13 he follows. It also insecure data 13 using the security proxy 15 unpacked and the unpacked unsafe data packed in a neutral data format before entering the secure system 7 using the security proxy 15 are fed.

Gemäß dem Verfahren zum sicheren Betreiben der Datenverarbeitungseinrichtung 1 werden - für den Fall, dass die Prüfung der unsicheren Daten 13 auf Sicherheit ergibt, dass die unsicheren Daten 13 als sicher eingestuft werden können- diese als sicher bewerteten unsicheren Daten 13 zur Wiedergabe auf der ersten Wiedergabeeinrichtung 10 an das sichere System 7 übertragen. Anderenfalls - also falls die Prüfung der unsicheren Daten 13 auf Sicherheit ergibt, dass die unsicheren Daten 13 tatsächlich unsicher sind - wird eine Übertragung der als unsicher bewerteten unsicheren Daten 13 an das sichere System 7 verhindert.According to the method for safely operating the data processing device 1 will be - in case the examination of the insecure data 13 security reveals that the insecure data 13 can be classified as safe - this unsafe data rated as safe 13 for playback on the first playback device 10th to the secure system 7 transfer. Otherwise - that is, if the verification of the unsafe data 13 security reveals that the insecure data 13 are actually unsafe - will be a transfer of the unsafe data assessed as unsafe 13 to the secure system 7 prevented.

Das Verfahren zum sicheren Betreiben der Datenverarbeitungseinrichtung 1 sieht außerdem vor, dass eine zeitbezogene Aufrufhäufigkeit des Sicherheits-Proxys 15, mit welcher das unsichere Computerprogrammprodukt 12 den Sicherheits-Proxy 15 zur Übertragung unsicherer Daten 13 an den Sicherheits-Proxy 15 aufruft, mittels des Sicherheits-Proxys 15 überprüft wird. Für den Fall, dass die zeitbezogene Aufrufhäufigkeit eine vorbestimmte Grenz-Aufrufhäufigkeit überschreitet, wird der Sicherheits-Proxy 15 zurückgesetzt. Um den Sicherheits-Proxy 15 zurückzusetzen, wird dieser beispielsweise beendet und danach neu gestartet.The method for the safe operation of the data processing device 1 also provides for a time-related frequency of calls of the security proxy 15 with which the unsafe computer program product 12th the security proxy 15 for transferring unsafe data 13 to the security proxy 15 calls, using the security proxy 15 is checked. In the event that the time-related call frequency exceeds a predetermined limit call frequency, the security proxy 15 reset. To the security proxy 15 reset, for example, it is ended and then restarted.

Ferner wird gemäß dem Verfahren zum sicheren Betreiben der Datenverarbeitungseinrichtung 1 eine Funktionalität des Sicherheits-Proxys 15 mittels des sicheren Computerprogrammprodukts 8 regelmäßig von dem Sicherheits-Proxy 15 abgefragt. Für den Fall, dass der Sicherheits-Proxy 15 bei der Abfrage seiner Funktionalität mittels des sicheren Computerprogrammprodukts 8 dem sicheren Computerprogrammprodukt 8 nicht korrekt oder verspätet antwortet, wird der Sicherheits-Proxy 15 zurückgesetzt bzw. beendet und neu gestartet.Furthermore, according to the method for the safe operation of the data processing device 1 a functionality of the security proxy 15 by means of the secure computer program product 8th regularly from the security proxy 15 queried. In the event that the security proxy 15 when querying its functionality using the secure computer program product 8th the safe computer program product 8th the security proxy fails to respond correctly or late 15 reset or ended and restarted.

In der 2 ist mittels eines Ablaufdiagramms beispielhaft ein erfindungsgemäßes automatisierbares Verfahren 17 zum Erzeugen eines Sicherheits-Proxys 15 für die beispielhaft in 1 gezeigte erfindungsgemäße Datenverarbeitungseinrichtung 1 gezeigt. Demnach weist das automatisierbare Verfahren 17 zum Erzeugen des Sicherheits-Proxys 15 mehrere Maßnahmen a) bis g) auf. Gemäß Maßnahme a) erfolgt ein Festlegen einer Schnittstellencharakteristik 18 einer internen Daten-Schnittstelle 16 des zu erzeugenden Sicherheits-Proxys 15, über welche Daten-Schnittstelle 16 der zu erzeugende Sicherheits-Proxy 15 datenübertragend mit dem unsicheren System 11 der Datenverarbeitungseinrichtung 1 verbindbar ist. Beispielsweise erfolgt das Festlegen der Schnittstellencharakteristik 18 mittels einer API-Definition.In the 2nd is an example of an automatable method according to the invention by means of a flow chart 17th to create a security proxy 15 for the example in 1 shown data processing device according to the invention 1 shown. Accordingly, the automatable process 17th to create the security proxy 15 several measures a) to g). According to measure a), an interface characteristic is defined 18th an internal data interface 16 of the security proxy to be created 15 about which data interface 16 the security proxy to be created 15 data transfer with the insecure system 11 the data processing device 1 is connectable. For example, the interface characteristics are defined 18th using an API definition.

Das automatisierbare Verfahren 17 umfasst außerdem eine weitere Maßnahme b), gemäß welcher Prüfregeln festgelegt werden, auf welche dem zu erzeugenden Sicherheits-Proxy 15 über die Daten-Schnittstelle 16 zugeführte unsichere Daten 13 mittels des zu erzeugenden Sicherheits-Proxys 15 überprüfbar sind. Eine weitere Maßnahme c) des automatisierbaren Verfahrens 17 sieht vor, dass die in Maßnahme a) festgelegte Schnittstellencharakteristik 18 und die in Maßnahme b) festgelegten Prüfregeln 19 in einem Generator-Computerprogrammprodukt 20 zusammengeführt werden. Gemäß einer Maßnahme d) des automatisierbaren Verfahrens 17 wird mittels des Generator-Computerprogrammprodukts 20 eine Sicherheits-Proxy-Konfiguration 21 erzeugt. Diese Sicherheits-Proxy-Konfiguration 21 wird gemäß einer weiteren Maßnahme e) des automatisierbaren Verfahrens 17 in einen Prüfcodegenerator 22 eingespeist.The automatable process 17th also includes a further measure b), according to which test rules are determined, to which of the security proxy to be generated 15 via the data interface 16 supplied insecure data 13 using the security proxy to be created 15 are verifiable. Another measure c) of the automatable method 17th provides that the interface characteristic defined in measure a) 18th and the test rules specified in measure b) 19th in a generator computer program product 20 be brought together. According to a measure d) of the automatable method 17th is generated using the generator computer program product 20 a security proxy configuration 21 generated. This security proxy configuration 21 according to a further measure e) of the automatable method 17th into a check code generator 22 fed.

Gemäß einer weiteren Maßnahme f) des automatisierbaren Verfahrens 17 wird ein Quellcode 23 des Sicherheits-Proxys 15 mittels des Prüfcodegenerators 22 erzeugt. Gemäß einer weiteren Maßnahme g) des automatisierbaren Verfahrens 17 erfolgt ein Erzeugen des Sicherheits-Proxys 15 mittels eines dem Quellcode 23 übersetzenden Compilers 24.According to a further measure f) of the automatable method 17th becomes a source code 23 of the security proxy 15 by means of the test code generator 22 generated. According to a further measure g) of the automatable method 17th the security proxy is generated 15 using a source code 23 translating compilers 24th .

Claims (3)

Datenverarbeitungseinrichtung (1) für ein Kraftfahrzeug, - mit einer Datenverarbeitungseinheit (2), welche mehrere Partitionen (3, 4, 5) umfasst, die vorzugsweise mittels eines Hypervisors (6) voneinander abgetrennt sind, - mit einem sicheren System (7), welches ein auf einer ersten Partition (3) der Datenverarbeitungseinheit (2) ausgeführtes sicheres Computerprogrammprodukt (8) zum Verarbeiten sicherer Daten (9) und eine erste Wiedergabeeinrichtung (10) zur Wiedergabe von mittels des sicheren Computerprogrammprodukts (8) an die erste Wiedergabeeinrichtung (10) übermittelten wiederzugebenden sicheren Daten (9) umfasst, - mit einem von dem sicheren System (7) abgeschotteten unsicheren System (11), welches ein auf einer zweiten Partition (4) der Datenverarbeitungseinheit (2) ausgeführtes unsicheres Computerprogrammprodukt (12) zum Verarbeiten unsicherer Daten (13) und eine zweite Wiedergabeeinrichtung (14) zur Wiedergabe von mittels des unsicheren Computerprogrammprodukts (12) an die zweite Wiedergabeeinrichtung (14) übermittelten wiederzugebenden unsicheren Daten (13) umfasst, - mit einem auf einer dritten Partition (5) der Datenverarbeitungseinheit (2) ausgeführten Sicherheits-Proxy (15), welcher das sichere von dem unsicheren System (7, 11) unter Ausbildung einer internen Datenschnittstelle (16) trennt, so dass eine Datenübertragung zwischen dem unsicheren und dem sicheren System (7, 11) ausschließlich indirekt über den Sicherheits-Proxy (15) möglich ist, - wobei der Sicherheits-Proxy (15) einerseits mit dem sicheren System (7) und anderseits mit dem unsicheren System (11) datenübertragend verbunden ist, sodass unsichere Daten (13) von dem unsicheren System (11) an den Sicherheits-Proxy (15) übertragbar und nach Sicherheitsprüfung und-freigabe im Sicherheits-Proxy (15) mittels des Sicherheits-Proxys (15) zur Wiedergabe auf der ersten Wiedergabeeinrichtung (10) an das sichere System (7) übertragbar sind und sodass mittels des sicheren Computerprogrammprodukts (8) eine Funktionalität des Sicherheits-Proxys (15) überprüfbar und der Sicherheits-Proxy (15) mittels des sicheren Computerprogrammprodukts (8) zurücksetzbar ist, falls die Funktionalität des Sicherheits-Proxys (15) beeinträchtigt ist.Data processing device (1) for a motor vehicle, with a data processing unit (2) which comprises a plurality of partitions (3, 4, 5) which are preferably separated from one another by means of a hypervisor (6), - With a secure system (7), which runs on a first partition (3) of the data processing unit (2) secure computer program product (8) for processing secure data (9) and a first playback device (10) for playback by means of the secure computer program product (8) includes secure data (9) to be reproduced transmitted to the first playback device (10), - With an insecure system (11) which is insulated from the secure system (7) and which has an insecure computer program product (12) for processing insecure data (13) and a second playback device (14) that is executed on a second partition (4) of the data processing unit (2) ) for reproducing unsafe data (13) to be reproduced, which is to be reproduced by means of the insecure computer program product (12), - With a on a third partition (5) of the data processing unit (2) executed security proxy (15), which separates the secure from the insecure system (7, 11) with the formation of an internal data interface (16), so that data transmission between the insecure and the secure system (7, 11) is only possible indirectly via the security proxy (15), - Wherein the security proxy (15) is connected on the one hand to the secure system (7) and on the other hand to the insecure system (11) so that unsafe data (13) from the insecure system (11) to the security proxy (15 ) transferable and after security check and release in the security proxy (15) by means of the security proxy (15) for playback on the first playback device (10) can be transferred to the secure system (7) and thus by means of the secure computer program product (8) a functionality of the security proxy (15) can be checked and the security proxy (15) can be reset by means of the secure computer program product (8) if the functionality of the security proxy (15) is impaired. Verfahren zum sicheren Betreiben einer Datenverarbeitungseinrichtung (1) nach Anspruch 1, gemäß welchem - mittels des Sicherheits-Proxys (15) an diesen von dem unsicheren System (11) übertragene unsichere Daten (13) auf Sicherheit geprüft werden, - bei der Prüfung der unsicheren Daten (13) auf Sicherheit mittels des Sicherheits-Proxys (15) Wertebereiche von Argumenten und/oder Rückgabewerte auf Wertebereiche und/oder eine Struktur der unsicheren Daten (13) auf eine erwartete Struktur und/oder auf erlaubte Zeichen und/oder auf eine erlaubte Zeichenfolgenlänge der unsicheren Daten (13) geprüft werden, - für den Fall, dass es sich bei den unsicheren Daten (13) um Bilddaten handelt, zur Überprüfung der unsicheren Daten (13) auf Sicherheit im Sicherheits-Proxy (15) eine Prüfung einer Integrität eines Datenformats der unsicheren Daten (13) erfolgt und die unsicheren Daten (13) mittels des Sicherheits-Proxys (15) entpackt und die entpackten unsicheren Daten (13) in ein neutrales Datenformat verpackt werden, bevor sie dem sicheren System (7) mittels des Sicherheits-Proxys (15) zugeführt werden, - falls die Prüfung der unsicheren Daten (13) auf Sicherheit ergibt, dass die unsicheren Daten (13) sicher sind, die als sicher bewerteten unsicheren Daten (13) zur Wiedergabe auf der ersten Wiedergabeeinrichtung (10) an das sichere System (7) übertragen werden, - falls die Prüfung der unsicheren Daten (13) auf Sicherheit ergibt, dass die unsicheren Daten (13) unsicher sind, eine Übertragung der als unsicher bewerteten unsicheren Daten (13) an das sichere System (7) verhindert wird, - eine zeitbezogene Aufrufhäufigkeit des Sicherheits-Proxys (15), mit welcher das unsichere Computerprogrammprodukt (12) den Sicherheits-Proxy (15) zur Übertragung unsicherer Daten (13) an den Sicherheits-Proxy (15) aufruft, mittels des Sicherheits-Proxys (15) überprüft wird, - falls die zeitbezogene Aufrufhäufigkeit eine vorbestimmte Grenz-Aufrufhäufigkeit überschreitet, der Sicherheits-Proxy (15) zurückgesetzt, insbesondere beendet und neu gestartet, wird, - eine Funktionalität des Sicherheits-Proxys (15) mittels des sicheren Computerprogrammprodukts (8) regelmäßig von dem Sicherheits-Proxy (15) abgefragt wird, - für den Fall, dass der Sicherheits-Proxy (15) bei der Abfrage seiner Funktionalität mittels des sicheren Computerprogrammprodukts (8) dem sicheren Computerprogrammprodukt (8) nicht korrekt oder verspätet antwortet, der Sicherheits-Proxy (15) zurückgesetzt, insbesondere beendet und neu gestartet, wird.Method for the safe operation of a data processing device (1) according to Claim 1 , according to which - by means of the security proxy (15) the unsafe data (13) transmitted to it by the insecure system (11) are checked for security, - when checking the unsafe data (13) for security by means of the security proxy ( 15) value ranges of arguments and / or return values for value ranges and / or a structure of the uncertain data (13) are checked for an expected structure and / or for allowed characters and / or for an allowed string length of the uncertain data (13), - for in the event that the unsafe data (13) is image data, to check the unsafe data (13) for security in the security proxy (15), an integrity check of a data format of the unsafe data (13) is carried out and the unsafe data Data (13) are unpacked by means of the security proxy (15) and the unpacked unsafe data (13) are packed in a neutral data format before they are sent to the secure system (7) by means of the security proxy (15) - If the check of the unsafe data (13) for security reveals that the unsafe data (13) is secure, the unsafe data (13) rated as secure for playback on the first playback device (10) to the secure system ( 7) are transmitted, - if the examination of the unsafe data (13) shows that the unsafe data (13) are unsafe, a transmission of the unsafe evaluated unsafe data (13) to the secure system (7) is prevented, - a time-related frequency of calling the security proxy (15) with which the unsafe computer program product (12) uses the security proxy (15) to transmit unsafe data (13) calls to the security proxy (15), is checked by means of the security proxy (15), - if the time-related calling frequency exceeds a predetermined limit calling frequency, the security proxy (15) is reset, in particular terminated and restarted, - a functionality of the security proxy (15) is regularly queried by the security proxy (15) by means of the secure computer program product (8), - in the event that the security proxy (15) when querying its functionality by means of the secure Computer program product (8) does not respond correctly or belatedly to the secure computer program product (8), the security proxy (15) is reset, in particular terminated and restarted . Automatisierbares Verfahren (17) zum Erzeugen eines Sicherheits-Proxys (15) für eine Datenverarbeitungseinrichtung (1) nach Anspruch 1, welche vorzugsweise zur Durchführung des Verfahrens nach Anspruch 2 eingerichtet ist, umfassend folgende Maßnahmen: a) Festlegen einer Schnittstellencharakteristik (18) einer internen Daten-Schnittstelle (16) des zu erzeugenden Sicherheits-Proxys (15), insbesondere mittels einer API-Definition, über welche Daten-Schnittstelle (16) der zu erzeugende Sicherheits-Proxy (15) datenübertragend mit dem unsicheren System (11) der Datenverarbeitungseinrichtung (1) verbindbar ist; b) Festlegen von Prüfregeln (19), auf welche dem zu erzeugenden Sicherheits-Proxy (15) über die Daten-Schnittstelle (16) zugeführte unsichere Daten (13) mittels des zu erzeugenden Sicherheits-Proxys (15) überprüfbar sind; c) Zusammenführen der in Maßnahme a) festgelegte Schnittstellencharakteristik (18) und den in Maßnahme b) festgelegten Prüfregeln (19) in einem Generator-Computerprogrammprodukt (20); d) Erzeugung einer Sicherheits-Proxy-Konfiguration (21) mittels des Generator-Computerprogrammprodukts (20); e) Einspeisen des Sicherheits-Proxy-Konfiguration (21) in einen Prüfcodegenerator (22); f) Erzeugen eines Quellcodes (23) des Sicherheits-Proxys (15) mittels des Prüfcodegenerators (22); g) Erzeugen des Sicherheits-Proxys (15) mittels eines den Quellcode (23) übersetzenden Compilers (24).Automated method (17) for generating a security proxy (15) for a data processing device (1) according to Claim 1 , which preferably to carry out the method according to Claim 2 is set up, comprising the following measures: a) determining an interface characteristic (18) of an internal data interface (16) of the security proxy (15) to be generated, in particular by means of an API definition, via which data interface (16) the generating security proxy (15) can be connected to the insecure system (11) of the data processing device (1) for data transmission; b) establishing test rules (19) against which the unsafe data (13) supplied to the security proxy (15) to be generated via the data interface (16) can be checked by means of the security proxy (15) to be generated; c) combining the interface characteristic (18) defined in measure a) and the test rules (19) defined in measure b) in a generator computer program product (20); d) generating a security proxy configuration (21) using the generator computer program product (20); e) feeding the security proxy configuration (21) into a check code generator (22); f) generating a source code (23) of the security proxy (15) by means of the check code generator (22); g) generating the security proxy (15) by means of a compiler (24) that translates the source code (23).
DE102020003101.3A 2020-05-22 2020-05-22 Data processing device Withdrawn DE102020003101A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102020003101.3A DE102020003101A1 (en) 2020-05-22 2020-05-22 Data processing device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020003101.3A DE102020003101A1 (en) 2020-05-22 2020-05-22 Data processing device

Publications (1)

Publication Number Publication Date
DE102020003101A1 true DE102020003101A1 (en) 2020-07-30

Family

ID=71524271

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020003101.3A Withdrawn DE102020003101A1 (en) 2020-05-22 2020-05-22 Data processing device

Country Status (1)

Country Link
DE (1) DE102020003101A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021106282A1 (en) 2021-03-15 2022-09-15 Bayerische Motoren Werke Aktiengesellschaft Method and device for monitoring the interaction between a software application and a vehicle component

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021106282A1 (en) 2021-03-15 2022-09-15 Bayerische Motoren Werke Aktiengesellschaft Method and device for monitoring the interaction between a software application and a vehicle component

Similar Documents

Publication Publication Date Title
DE19933086B4 (en) Method and device for mutual monitoring of control units
DE102018214999A1 (en) Device for securing diagnostic commands to a control unit and corresponding motor vehicle
DE102016206630A1 (en) Method and device for avoiding manipulation of a data transmission
WO2020249366A1 (en) Method for establishing a wireless data connection between a vehicle and an external unit, connection establishment unit and vehicle
DE102017117297A1 (en) Control system for a motor vehicle, motor vehicle, method for controlling a motor vehicle, computer program product and computer-readable medium
DE102020003101A1 (en) Data processing device
DE102019004612A1 (en) Method for operating a vehicle with a control device
DE102005000653A1 (en) Script-based software installation via broadcast transport media
WO1993000758A1 (en) Process for detecting the nature of data-falsifying interference
DE102019208939A1 (en) Vehicle electric control device
EP2279480B1 (en) Method and system for monitoring a security-related system
DE102014222479A1 (en) Verification device for data processing device
DE10121061B4 (en) Monitoring device and monitoring method
DE102018218837A1 (en) Wheel speed sensor system, a vehicle including the wheel speed sensor system, and method for processing wheel speed signals
DE102017216577A1 (en) Method for providing a secure telegram
EP1186902A2 (en) Testmodule
EP1317838A1 (en) Method for checking the compliance of a bluetooth device for testing
DE102021127310B4 (en) System and method for data transmission
DE112016006679T5 (en) Control device and recovery processing method for control device
DE102023002199A1 (en) Method, testing device and program product for testing a vehicle data recording system
DE102019106410A1 (en) Device and method for data transmission
DE10252109B4 (en) Method for parameterization
DE102017216849A1 (en) Software distribution method and software distribution system for a tracked vehicle, configuration server unit and tracked vehicle
DE102017001787A1 (en) Communication device for a vehicle and method of communication
DE102016208869A1 (en) Method for operating a data processing device for a vehicle

Legal Events

Date Code Title Description
R230 Request for early publication
R081 Change of applicant/patentee

Owner name: DAIMLER AG, DE

Free format text: FORMER OWNER: DAIMLER AG, 70372 STUTTGART, DE

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee