CN107038391B - 用于通过嵌入式系统保护数据完整性的方法和设备 - Google Patents
用于通过嵌入式系统保护数据完整性的方法和设备 Download PDFInfo
- Publication number
- CN107038391B CN107038391B CN201610966549.5A CN201610966549A CN107038391B CN 107038391 B CN107038391 B CN 107038391B CN 201610966549 A CN201610966549 A CN 201610966549A CN 107038391 B CN107038391 B CN 107038391B
- Authority
- CN
- China
- Prior art keywords
- authentication code
- message authentication
- received message
- processor core
- main processor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/34—Bits, or blocks of bits, of the telegraphic message being interchanged in time
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1416—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Slot Machines And Peripheral Devices (AREA)
Abstract
本发明涉及用于通过具有主处理器核心和安全硬件组件的嵌入式系统保护数据完整性的方法和设备。用于通过嵌入式系统来保护数据完整性的方法(10、30),所述嵌入式系统具有主处理器核心(11)和安全硬件组件(12),其特征在于以下特征:所述主处理器核心(11)产生(13)发送数据(14),所述安全硬件组件(12)从发送数据(14)中计算(15)发送消息认证码(16),所述主处理器核心(11)将发送数据(14)与发送消息认证码(16)结合成发送消息(18),以及所述主处理器核心(11)将所述发送消息(18)发送(19)给接收器。
Description
技术领域
本发明涉及用于通过嵌入式系统来保护数据完整性的方法,所述嵌入式系统具有主处理器核心和安全硬件组件。此外本发明涉及相应的设备、相应的计算机程序以及相应的存储介质。
背景技术
如果系统与预期的功能性相比是符合的,那么在IT安全性领域上,所谓的功能安全性(safety)被看作已存在。而信息安全性(security)涉及对信息技术处理的保护。在该字义中信息安全性措施用于防止未经授权的数据操纵或者信息泄露。
就此而言使用消息认证码(message authentication code),以便获得关于数据或者消息的起源的证实,并且检验所述数据或者消息的完整性。首先,发送器和接收器为此约定秘密密钥。发送器为所述密钥和其消息计算消息认证码,并且然后将消息以及消息认证码发送给接收器。所述接收器利用密钥对所接收的消息计算消息认证码,并且将所计算的消息认证码与所接收的消息认证码比较。接收器将两个值的一致性解释为成功的完整性测试:消息是由知道秘密密钥的一方(Partei)发出的,并且所述消息在传输期间未被改变。
DE 10 2009 002 396 A1公开一种用于保护传感器和传感器的传感器数据免受操纵的方法以及用于此的传感器,其中在认证的范围内,随机数从控制设备被发送给传感器,其中为了识别对传感器数据的操纵,给从传感器到控制设备的传感器数据配备密码完整性保护,并且其中为了防止重放攻击(Replay-Attacken),给传感器数据添加附加的时变参数,其将把具有完整性保护和所添加的时变参数的传感器数据从传感器发送给控制设备。在此,对于时变参数在对传感器认证之后考虑随机数或者随机数的一部分或者通过函数由随机数获得的数。
发明内容
本发明提供按照独立权利要求所述的用于通过嵌入式系统来保护数据完整性的方法、相应的设备、相应的计算机程序以及相应的存储介质,所述嵌入式系统具有主处理器核心和安全硬件组件。
通过使用消息认证码,所建议的实施同样地满足功能安全性和信息安全性的安全性要求,而直至该时间点为止,通常有针对地对信息安全性机制和功能安全性机制进行了实施,以便满足相应的要求(经常利用不同的专门研制的硬件)。
在假设消息认证码的误差检测特性在可接受的程度上也保证功能安全性的情况下,按照本发明可以在功能安全性机制的范围内使用消息认证码。对检验和MAC产生的为此所建议的实施不仅满足功能安全性要求而且满足信息安全性要求。
出于更好地保护的目的,在此使用安全硬件组件。尤其考虑如由罗伯特博世有限公司(Robert Bosch Gmbh)指定的硬件安全模块(hardware security module,HSM)或者按照制造商倡议软件(Herstellerinitiative Software, HIS)的规范的安全硬件扩展(secure hardware extension,SHE)。
这里支持的解决方案的优点在于:降低通过使用消息认证码而强加给硬件模块的需求的影响。为此,单独的处理步骤有针对性地被分派给主处理器核心或者安全硬件组件。
通过在从属权利要求中所举出的措施,在独立权利要求中所说明的基本思想的有利的改进和改善是可能的。
附图说明
在附图中示出并且在随后的描述中进一步阐述本发明的实施例。其中:
图1示出按照本发明第一实施方式的发送方法的流程图。
图2示出在标明新的功能安全性相关的故障情况下图1的流程图。
图3示出按照本发明第二实施方式的接收方法的流程图。
图4示出在标明新的功能安全性相关的故障情况下图3的流程图。
图5示意性地示出按照本发明第三实施方式的控制设备。
具体实施方式
本发明的实施方式包括用于实施MAC处理的两个主原理(10、30)。
第一原理(10)是通过主处理器核心(11)布设数据路径,使得数据自身不会被安全硬件组件(12)损坏。所述主处理器核心(11)可以使用数据的副本用于处理,但是对于传输,主处理器核心(11)应当使用不能被安全硬件组件(12)改变或者操纵的数据。由此,主处理器核心(11)的功能安全特性可以保持维持。
图1在发送器情况下示出这一点:主处理器核心(11)首先产生(13)发送数据(14)。安全硬件组件(12)从所述发送数据(14)中计算(15)发送消息认证码(16)。主处理器核心(11)将发送数据(14)与发送消息认证码(16)结合(17)成发送消息(18),并且最终将所述发送消息(18)发送(19)给所设置的接收器。
图2也示出剩余的潜在故障:如果发送消息认证码(16)有错误地(21)被计算(15),那么接收器仍然根据发送消息(18)识别到(20)这一点。如果发送消息认证码(16)有错误地(22)从安全硬件组件(12)被传输给主处理器核心(11),相应的情况适用。
第二原理(30)涉及以下情况:即主处理器核心(11)接收(31)具有接收数据(33)和第一接收消息认证码(35)的接收消息(32)。这里,第一接收消息认证码(35)的检验包括两个基本步骤,所述步骤通常在函数调用verifyMAC中得以联合:第一,基于包含第一接收消息认证码(35)的接收消息(32)以及预安装的密钥产生(34)第二接收消息认证码(36)。第二,将所计算的第二接收消息认证码(36)与所接收的第一接收消息认证码(35)比较(42)。因为所述比较是功能安全性相关的过程,所以这应当在主处理器核心(11)上被执行,如在图3中和图4中与剩余的相关故障共同地被示出:如果第二接收消息认证码(36)有错误地(45)被计算(34),那么主处理器核心(11)或者安全硬件组件(12)轻而易举地识别到这一点。如果第二接收消息认证码(36)有错误地(47)从安全硬件组件(12)被传输给主处理器核心(11),那么主处理器核心(11)同样地识别到(46)。通过安全硬件组件(12)对接收消息认证码以冗余方式进行分析(39)在该情况下也保证信息安全性。
能够指出,MAC验证的两个子步骤的这种分离(30)可能与信息安全性的一定的设计原理处于矛盾中。因为接收器需要仅验证第一接收消息认证码(35)而不需要产生第一接收消息认证码(35),所以最低权限(least privilege)的基本安全性范例将会要求:把对接收器侧的功能访问限制于第一接收消息认证码(35)的检验,而不是允许产生(34)第二接收消息认证码(36)。后者功能性(34)可能被攻击者利用,以便使用折衷的接收器节点用以假装为发送器。因此合适的是,按系统优先级选择实施变型方案(30)。
所述方法(10、30)例如可以以软件或者硬件或者以由软件和硬件组成的混合形式例如在控制设备(50)中来实施,如图5的示意图阐明的那样。
Claims (8)
1.用于通过嵌入式系统(50)来保护数据完整性的方法(10、30),所述嵌入式系统(50)具有主处理器核心(11)和安全硬件组件(12),其特征在于以下特征:
-所述主处理器核心(11)产生(13)发送数据(14),
-所述安全硬件组件(12)从发送数据(14)中计算(15)发送消息认证码(16),其中所述主处理器核心(11)与所述安全硬件组件(12)是分离的,
-所述主处理器核心(11)将所述发送数据(14)与所述发送消息认证码(16)结合(17)成发送消息(18),和
-所述主处理器核心(11)将所述发送消息(18)发送(19)给接收器,
其中如果所述安全硬件组件(12)有错误地(21)计算(15)所述发送消息认证码(16),那么所述接收器根据所述发送消息(18)进行识别(20),或者
如果所述发送消息认证码(16)有错误地(22)从所述安全硬件组件(12)传输给所述主处理器核心(11),那么所述接收器根据所述发送消息(18)进行识别。
2.按照权利要求1所述的方法(10、30),其特征在于以下特征:
-所述主处理器核心(11)接收(31)具有接收数据(33)和第一接收消息认证码(35)的接收消息(32),
-所述安全硬件组件(12)从所述接收消息(32)中计算(34)第二接收消息认证码(36),
-所述安全硬件组件(12)根据所述第一接收消息认证码(35)和所述第二接收消息认证码(36)执行信息安全性检验(37),和
-所述主处理器核心(11)根据所述第一接收消息认证码(35)和所述第二接收消息认证码(36)执行功能安全性检验(38)。
3.按照权利要求2所述的方法(10、30),其特征在于以下特征:
-在所述信息安全性检验(37)时,将所述第一接收消息认证码(35)与所述第二接收消息认证码(36)比较(39),
-如果所述第一接收消息认证码(35)与所述第二接收消息认证码(36)不同,那么所述信息安全性检验(37)失败(40),和
-如果所述第一接收消息认证码(35)与所述第二接收消息认证码(36)一致,那么所述信息安全性检验(37)成功地结束(41)。
4.按照权利要求2或3所述的方法(10、30),其特征在于以下特征:
-在所述功能安全性检验(38)时,将所述第一接收消息认证码(35)与所述第二接收消息认证码(36)比较(42),
-如果所述第一接收消息认证码(35)与所述第二接收消息认证码(36)不同,那么所述功能安全性检验(38)失败(40),和
-如果所述第一接收消息认证码(35)与所述第二接收消息认证码(36)一致,那么所述主处理器核心(11)使用所述接收数据(33)。
5.按照权利要求2至3之一所述的方法(10、30),其特征在于以下特征:
-如果所述第二接收消息认证码(36)有错误地(45)被计算(34),那么所述主处理器核心(11)或者所述安全硬件组件(12)进行识别(44)。
6.按照权利要求2至3之一所述的方法(10、30),其特征在于以下特征:
-如果所述第二接收消息认证码(36)有错误地(47)从所述安全硬件组件(12)被传输给所述主处理器核心(11),那么所述主处理器核心(11)进行识别(46)。
7.机器可读存储介质,其上存储有计算机程序,所述计算机程序被设立用于实施根据权利要求1至6之一所述的方法(10、30)。
8.设备(50),所述设备(50)被设立用于实施按照权利要求1至6之一所述的方法(10、30)。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102015221239.4 | 2015-10-30 | ||
DE102015221239.4A DE102015221239A1 (de) | 2015-10-30 | 2015-10-30 | Verfahren und Vorrichtung zum Schützen von Datenintegrität durch ein eingebettetes System mit einem Hauptprozessorkern und einem Sicherheitshardwarebaustein |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107038391A CN107038391A (zh) | 2017-08-11 |
CN107038391B true CN107038391B (zh) | 2022-11-08 |
Family
ID=58546027
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610966549.5A Active CN107038391B (zh) | 2015-10-30 | 2016-10-28 | 用于通过嵌入式系统保护数据完整性的方法和设备 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10404717B2 (zh) |
CN (1) | CN107038391B (zh) |
DE (1) | DE102015221239A1 (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3056706A1 (en) | 2015-02-16 | 2016-08-17 | Honeywell International Inc. | An approach for aftertreatment system modeling and model identification |
EP3125052B1 (en) | 2015-07-31 | 2020-09-02 | Garrett Transportation I Inc. | Quadratic program solver for mpc using variable ordering |
US10272779B2 (en) | 2015-08-05 | 2019-04-30 | Garrett Transportation I Inc. | System and approach for dynamic vehicle speed optimization |
US10728249B2 (en) | 2016-04-26 | 2020-07-28 | Garrett Transporation I Inc. | Approach for securing a vehicle access port |
US10124750B2 (en) | 2016-04-26 | 2018-11-13 | Honeywell International Inc. | Vehicle security module system |
US10036338B2 (en) | 2016-04-26 | 2018-07-31 | Honeywell International Inc. | Condition-based powertrain control system |
WO2018101918A1 (en) | 2016-11-29 | 2018-06-07 | Honeywell International Inc. | An inferential flow sensor |
US11057213B2 (en) | 2017-10-13 | 2021-07-06 | Garrett Transportation I, Inc. | Authentication system for electronic control unit on a bus |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6665420B1 (en) * | 1999-12-02 | 2003-12-16 | Verizon Laboratories Inc. | Message authentication code with improved error tolerance |
CN102841998A (zh) * | 2012-07-11 | 2012-12-26 | 哈尔滨工程大学 | 内存附加校验器的内存数据完整性保护方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040117318A1 (en) * | 2002-12-16 | 2004-06-17 | Grawrock David W. | Portable token controlling trusted environment launch |
US8583809B2 (en) * | 2006-09-07 | 2013-11-12 | Blackberry Limited | Destroying a secure session maintained by a server on behalf of a connection owner |
US8090098B2 (en) * | 2006-11-13 | 2012-01-03 | Electronics And Telecommunications Research Institute | Method of generating message authentication code using stream cipher and authentication/encryption and authentication/decryption methods using stream cipher |
KR101301775B1 (ko) * | 2007-01-31 | 2013-09-02 | 삼성전자주식회사 | 센서 네트워크의 측정 데이터에 대한 분산 검증을 수행하는방법 및 상기 방법을 수행하는 시스템 |
DE102009002396A1 (de) | 2009-04-15 | 2010-10-21 | Robert Bosch Gmbh | Verfahren zum Manipulationsschutz eines Sensors und von Sensordaten des Sensors und einen Sensor hierzu |
US20130086385A1 (en) * | 2011-09-30 | 2013-04-04 | Yuri Poeluev | System and Method for Providing Hardware-Based Security |
-
2015
- 2015-10-30 DE DE102015221239.4A patent/DE102015221239A1/de active Pending
-
2016
- 2016-10-25 US US15/333,771 patent/US10404717B2/en active Active
- 2016-10-28 CN CN201610966549.5A patent/CN107038391B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6665420B1 (en) * | 1999-12-02 | 2003-12-16 | Verizon Laboratories Inc. | Message authentication code with improved error tolerance |
CN102841998A (zh) * | 2012-07-11 | 2012-12-26 | 哈尔滨工程大学 | 内存附加校验器的内存数据完整性保护方法 |
Also Published As
Publication number | Publication date |
---|---|
DE102015221239A1 (de) | 2017-05-04 |
US20170126701A1 (en) | 2017-05-04 |
CN107038391A (zh) | 2017-08-11 |
US10404717B2 (en) | 2019-09-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107038391B (zh) | 用于通过嵌入式系统保护数据完整性的方法和设备 | |
US8898475B2 (en) | Method, controller and system for detecting infringements of the authenticity of system components | |
Ueda et al. | Security authentication system for in-vehicle network | |
US9252945B2 (en) | Method for recognizing a manipulation of a sensor and/or sensor data of the sensor | |
US10560286B2 (en) | Gateway device and control method for the same | |
US20180270052A1 (en) | Cryptographic key distribution | |
CN107306185B (zh) | 用于避免对数据传输的操纵的方法和装置 | |
US10425231B2 (en) | Information processing apparatus and method for authenticating message | |
US20150324583A1 (en) | Method for operating a control unit | |
KR101572935B1 (ko) | 메시지 인증 코드 혼합을 통한 can 패킷 인증 방법 및 그 장치 | |
US10862675B2 (en) | Method for exchanging messages between security-relevant devices | |
US9699184B2 (en) | Method and device for processing data | |
CN113226858A (zh) | 信息处理装置 | |
JP6468133B2 (ja) | 車載ネットワークシステム | |
CN108229193B (zh) | 一种穿戴设备终端信息加密方法、加密数据预警器及穿戴设备终端 | |
CN104247326B (zh) | 现场总线数据传输 | |
CN107493262B (zh) | 用于传输数据的方法和装置 | |
Iclodean et al. | Safety and cybersecurity | |
CN115462035A (zh) | 用于发送和接收数据包的发送单元和接收单元 | |
CN107409076B (zh) | 监视网络部件的方法以及具有网络部件和监视装置的设备 | |
KR102572300B1 (ko) | 보안 접속 기능을 가지는 디버깅 장치 및 그 방법 | |
JP2001350652A (ja) | 動作ログ蓄積装置および動作ログ蓄積管理方法 | |
CN105959303B (zh) | 一种信息安全系统和信息安全方法 | |
CN105117659A (zh) | 用于数据存储装置的防复制监控方法 | |
JP5940013B2 (ja) | 車載通信システム及び通信装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |