CN110574343B - 用于保护车辆安全系统的操作系统的方法和半导体电路 - Google Patents
用于保护车辆安全系统的操作系统的方法和半导体电路 Download PDFInfo
- Publication number
- CN110574343B CN110574343B CN201880025581.0A CN201880025581A CN110574343B CN 110574343 B CN110574343 B CN 110574343B CN 201880025581 A CN201880025581 A CN 201880025581A CN 110574343 B CN110574343 B CN 110574343B
- Authority
- CN
- China
- Prior art keywords
- operating system
- memory
- working memory
- shadow
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Human Computer Interaction (AREA)
Abstract
本发明涉及一种用于防止安全系统的操作系统被非正常修改的方法,所述操作系统被存储在车辆的控制器的工作存储器中。
Description
技术领域
本发明涉及一种用于防止安全系统的操作系统被非正常修改的方法,该安全系统被存储在车辆的控制器的工作存储器中。
背景技术
车辆通常包括多个不同的功能系统,这些功能系统提高了车辆在道路交通中的安全性或车辆乘客的舒适性。例如,制动系统和发动机控制装置属于车辆的安全系统(safety),而信息娱乐系统和空调系统被算作车辆的舒适性系统。
每个功能系统通常均包括至少一个被布置在车辆中的装置以及一个与此装置相对应的操作系统(Operating System,OS),所述操作系统具有用于上述装置的控制逻辑并且被存储在车辆的控制器中且在其中运行。根据本发明的操作系统包括狭义上的操作系统(例如,Linux内核)和/或至少一个与相应装置相关的具体的应用程序。
与控制器通常间隔一定距离地布置在车辆中的至少一个相对应的装置通常通过专门的总线系统与这个控制器双向连接。控制数据或状态数据通过总线系统在存储在控制器中的操作系统和至少一个相对应的装置之间进行交换。
所述控制器和至少一个装置分别借助适合的接口与总线系统相连。总线系统和接口必须尤其是在车辆的安全系统中在任何时候都能够确保操作系统和至少一个相对应的装置之间的实时通信。
对此,文献DE 10 2005 048 595 A1公开了所谓的FlexRay-接口,借助该接口能够将FlexRay-用户、即车辆的控制器或装置与FlexRay-总线相连。FlexRay-接口包括用户侧的输入缓冲存储器和输出缓冲存储器,它们分别具有子缓冲存储器和与子缓冲存储器相对应的影子存储器。通过FlexRay-用户交替地对FlexRay-接口的输入缓冲存储器或输出缓冲存储器的子缓冲存储器和影子存储器进行读取或写入访问,能够加速FlexRay-用户和FlexRay-总线之间的数据传输。
除了通过总线迅速地交换数据以外,为了使功能系统正常地运行首先无论何时都必须确保其位于控制器中的操作系统的完好性。完好性是无故障地运行存储在控制器的工作存储器中的操作系统的必要前提。这能够通过相应的、用于操作系统的保护系统(security)来实现。
当操作系统例如在车辆的行驶过程中进行在线更新时,尤其是在存在大量操作系统且相应地具有很长的更新时间的情况下,位于控制器的工作存储器中的操作系统会出现未定义的中间状态,由此可能会影响操作系统的无故障运行。
为了防止在更新过程中出现这种功能干扰,文献US 2009 119 657 A1公开了一种对车辆控制器的工作存储器中的应用程序进行更新的方法。在该方法中,首先将应用程序的更新版本保存在控制器的被称为“影子存储器”的缓冲存储器中,以便能够在车辆的行驶过程中在全面更新的情况下避免车辆由于相关的应用程序的未定义的中间状态而出现故障运行。当车辆下次启动时,即在开始行驶之前,操作系统的保存在“影子存储器”中的更新版本被映射/镜像到工作存储器中以便生效。
在现今的车辆中,越来越多地将多个控制器联合成中央控制器(电子控制单元,ECU)。该中央控制器具有工作存储器,在该工作存储器中同时存储和并行地运行多个操作系统。对于这种星群式布置而言,命名虚拟化是常用的。操作系统在这种星群式布置中相应地被“虚拟化地”命名。
在此情况下,处在控制器的工作存储器中的操作系统的完好性还会受到存储在该控制器的工作存储器中的其他操作系统的影响。例如,一个操作系统可能会有意地、也就是说在有针对性的攻击的情况下或无意地、也就是说由于编程错误通过覆盖来修改其他操作系统的存储区。
这种危险在以下情况下还会进一步提高,即,车辆的不同的功能系统通常由不同的生产商提供并且由此使得不同生产商的多种操作系统同时存储在控制器的工作存储器中和在其中运行。对此,与车辆的各个功能系统无关且由以前并不熟悉的生产商提供的、例如用于网上自由冲浪的多种操作系统可能被存储在控制器的工作存储器中且在其中运行。能够以不同方式防止在工作存储器中存储和运行的即使是不同生产商的多种操作系统的相互修改。
DE 10 2006 054 705 A1公开了例如一种用于运行存储在车辆的控制器的工作存储器中的应用程序的方法,该应用程序包括多个来源不同的程序段。每个程序段被存储在各自的工作存储区中。为了防止存储在第一工作存储区中的程序段被存储在第二工作存储区中的程序段非正常地修改并且由此防止应用程序出现错误运行,在该方法中为应用程序的每个程序段都限定了针对工作存储区的访问权。当程序段在正常更新(升级)情况下需要修改时,为此可以刻意地将相应的工作存储区映射到影子存储器中。
现今的中央控制器还能够包括高集成化的半导体电路(片上系统,SoC),该高集成化的半导体电路将所有的为了并行运行多个虚拟的操作系统所需要的功能性集合在一个构件中,尤其还包括工作存储器和一个或多个对工作存储器进行操作的处理器。当在高集成化的半导体电路上同时存储且并行运行安全系统的操作系统和舒适性系统的操作系统时,一方面必须确保,尤其是安全系统的操作系统不会被非正常地修改,而另一方面还需要使得舒适性系统的常用功能不会被保护系统限制或阻止。
高集成化半导体电路中的常用措施是,使用所谓的管理程序(虚拟机监视器,VMM)作为工作存储器的保护系统。管理程序被配置成监控且在必要时禁止对工作存储器的访问。管理程序由此尤其适用于虚拟化的系统,以便将多个同时存储在工作存储器中且在其中并行地运行的操作系统彼此分开。但在监控情况下持续地要求的对管理程序的访问也会影响工作存储器,由此可能导致受管理的操作系统在运行时出现错误。
但这对于安全系统的操作系统而言是无法接受的。另外,管理程序本身也可能是一种非正常修改的目标或由于程序错误而非正常地修改被监控的存储区。因此,管理程序必须符合国际标准ISO 26262,这一点在首次运行之前以及随后在每次更新时都要定期地通过ASIL认证来确认。但考虑到管理程序通常高的更新频率,ASIL认证反而是实际上难以克服的阻碍,由此用于监控对于安全重要的操作系统的管理程序并不适用于高集成化的半导体电路。
发明内容
由此,本发明的目的在于提供一种改进的、用于防止安全系统被非正常修改的方法,该方法避免了上述缺陷。另外,本发明的目的还在于实现一种高集成化的半导体电路,该高集成化半导体电路适用于执行上述方法。
本发明的主题是一种用于防止安全系统被非正常修改的方法,该操作系统被存储在车辆的控制器的工作存储器中。
根据本发明,在所述方法中,影子存储器-管理器将至少一个工作存储区从工作存储器映射到影子存储器中,所述至少一个工作存储区存储着安全系统的操作系统的至少一个部分。该影子存储器-管理器指的是一种功能模块,该功能模块被构造成,在第一特定存储区和第二特定存储区之间建立同一性,也就是说将第一特定存储区映射到第二特定存储区中。基于映射使得影子存储器中出现影子存储区,该影子存储区显示出与被映射的工作存储区相同的映像。影子存储区由此同样也存储了安全系统的被映射的至少一个部分。该部分可以是例如对于安全重要的操作系统的单个应用程序。
另外,根据本发明,对与至少一个被映射的工作存储区相对应的影子存储区进行监控。当工作存储区具有非正常修改时,影子存储区基于工作存储区和影子存储区的内容上的同一性而具有相同的非正常修改。然而保护系统为了进行监控而对影子存储区的访问不会影响被映射的工作存储区。例如,保护系统可能由于程序错误而非正常地修改被监控的存储区。因此,当在被映射的工作存储区中存储有安全系统的操作系统的一部分时,不仅能够正确地运行安全系统,而且还能够监控对于安全重要的操作系统的被映射的部分。结果,能够在独立/分开的多个存储器中运行和保护对于安全重要的操作系统的被映射的部分并且由此将运行和保护彼此分开。
在一个优选的实施形式中,所述至少一个工作存储区被影子存储器-管理器自动和并行地映射到影子存储器中。通过这种方式可以确保,在所述至少一个工作存储区和相对应的影子存储区之间不存在差异,由此对影子存储区的监控就相当于对工作存储区的监控。
在另一个实施形式中,影子存储器-管理器将存储了舒适性系统的至少一个部分的至少一个工作存储区从工作存储器映射到影子存储器中。本方法自然能够被应用于工作存储器的任意的工作存储区,也就是说,在其中存储有舒适性程序的部分或管理程序的部分的那些工作存储区。
在多个有利的实施形式中,影子存储器-管理器被配置成具有配置表,该配置表限定出至少一个待被映射到影子存储器中的工作存储区。配置表是一种合适的用于确定影子存储器-管理器的作用的工具。配置表能够包括一个或多个由影子存储器-管理器映射到影子存储器中的工作存储区。
在一个优选的实施形式中,影子存储器-管理器被配置成,使得待被映射的工作存储区的加起来的存储容量小于工作存储器的总存储容量。换言之,在这种配置中不是所有的工作存储区都被映射。例如,未存储有对于安全重要的操作系统的部分的那些工作存储区就不进行映射。
在又一个实施形式中,影子存储器-管理器被配置成在控制器的启动过程或控制器的运行过程中是受保护的。通过这种方式能够阻止配置表在配置过程中受到攻击。
在一个优选的实施形式中,由管理程序来监控对存储了舒适性系统的至少一个部分的工作存储区的访问,和/或由安全监察器来监控对与存储了至少一个安全系统的至少一个部分的工作存储区相对应的影子存储区的访问。管理程序指的是一种合适的、对于安全不重要的操作系统的部分的保护系统,其可被存储在工作存储器中且在那里被直接监控。而针对对于安全重要的操作系统的部分,与管理程序不同的、专属的保护-监察器有利地作为专门的保护系统。保护-监察器仅监控影子存储器。由此,与管理程序不同,它不能够被操作系统的被存储在工作存储区中的部分非正常地修改。
在一个有利的实施形式中,安全系统或舒适性系统的至少一个被存储在工作存储器中的操作系统由仅被分配给该操作系统的至少一个专属的处理器来运行。通过这种方式在处理器侧也实现了安全系统的操作系统与舒适性系统的操作系统的隔离,这随之进一步改善对对于安全重要的操作系统的保护。
本发明的主题还包括一种用于防止安全系统被非正常修改的集成化半导体电路,该集成化半导体电路以集成的拓扑形式包括用于存储安全系统的至少一个操作系统和舒适性系统的至少一个操作系统的工作存储器、至少一个用于运行安全系统的至少一个操作系统和舒适性系统的至少一个操作系统的处理器、以及一个影子存储器-管理器,该影子存储器-管理器被配置成,尤其是以根据权利要求1至7中任意一项所述的方法,将存储了安全系统的操作系统的至少一个部分的至少一个工作存储区从工作存储器映射到影子存储器中。利用借助影子存储器-管理器能够间接地监控存储了对于安全重要的操作系统的一部分的工作存储区的高集成化的半导体电路,能够与舒适性系统的操作系统的部分分开地监控对于安全重要的操作系统的部分。有利地将影子存储器-管理器实施成硬件中的半导体电路的一部分,由此在映射工作存储区时达到最大可能的速度。
在一个优选的实施形式中,半导体电路包括影子存储器-管理器的配置表。在硬件中实现的配置表不能被操作系统修改。由此能够有效地防止配置表被修改、尤其是被攻击。
在另一个实施形式中,半导体电路包括影子存储器并且影子存储器的存储容量尤其是小于工作存储器的存储容量,或者,影子存储器-管理器被构造成将至少一个工作存储区映射到外部的影子存储器、尤其是DDR(双倍数据速率)内存模块中,该外部的影子存储器可由半导体电路控制或从外部控制并且尤其具有小于工作存储器的存储容量的存储容量。影子存储器相应地具有多种不同的实现形式。一种可能是,在SoC设计领域中将影子存储器设置成高集成化半导体电路的一部分。作为备选还能够通过外部的存储器实现影子存储器。出于经济性和功能性原因,影子存储器的尺寸不能过大,其尺寸仅须足以容纳对于安全重要的操作系统的特定部分。
附图说明
下面借助图中的实施形式示意性地展示本发明并且参照附图进一步阐述本发明,其中
图1示出的是不可行的半导体电路的实施形式的示意性框图;
图2示出的是本发明的半导体电路的实施形式的示意性框图;
图3示出的是图2所示的半导体连同相配设的处理器的示意性框图;
图4示出的是本发明的第一种配置表的作用方式的示意性细节图;
图5示出的是本发明的第二种配置表的作用方式的示意性细节图。
具体实施方式
图1示出了车辆的控制器的不可行的半导体电路10的实施形式的示意性框图。高集成化的SoC-半导体电路10包括物理的功能硬件11,该功能硬件存储和运行管理程序80、车辆的安全系统的操作系统50、以及车辆的舒适性系统的操作系统60。在半导体电路10运行期间,管理程序80监控对于安全重要的操作系统50的存储访问以及与舒适性相关的操作系统60的存储访问。然而管理程序80可能被操作系统50或60修改和损坏。此外,通过管理程序80来监控对于安全重要的操作系统50可能会阻碍对于安全重要的操作系统50的正确运行。另外,在这个实施形式中管理程序80在第一次投入运行之前以及在每次更新时可能要经历ASIL-认证,以便利用国际标准ISO 26262在对于安全重要的操作系统方面对管理程序80的一致性进行确认。
图2示出了本发明的半导体电路100的实施形式的示意性框图。与图1中所示的半导体电路10类似,高集成化的SoC-半导体电路100包括物理的功能硬件11,该功能硬件同时存储和并行地运行管理程序80、车辆的安全系统的操作程序50、以及车辆的舒适性系统的三个操作系统60。与图1中所示的半导体电路不同的是:半导体电路100额外包括独立的影子存储器70以及影子存储器-管理器40,该影子存储器-管理器被配置成将对于安全重要的操作系统50映射到影子存储器70中。另外,半导体电路100还包括安全监察器90作为影子存储器70的保护系统,该安全监察器被构造成独立于管理程序80。
在半导体电路100运行期间,影子存储器-管理器40将对于安全重要的操作系统50映射到影子存储器70中,该影子存储器受到安全监察器90的监控。三个与舒适性相关的操作系统60如图1中所示的那样受到管理程序80的监控。
图3示出了图2中所示的半导体电路100连同所配设的处理器的示意性框图。在这个实施形式中,对于安全重要的操作系统50、安全监察器90、一个与舒适性相关的操作系统60、以及两个与舒适性系统相关的操作系统60一起分别配设有一个处理器30。
图4示出了本发明的第一种配置表41的作用方式的示意性细节图。在工作存储器20中存储有一个对于安全重要的操作系统50以及两个与舒适性相关的操作系统60。对于安全重要的操作系统50通过隔离区21分别与两个与舒适性相关的操作系统60分开。对于安全重要的操作系统50包括多个部分App 1、App 2、App 3、…、App N、App N+1,这些部分分别代表各个应用程序并且被存储在工作存储区51中。影子存储器-管理器40具有配置表41,该配置表包括三个工作存储区51,在其中存储有对于安全重要的操作系统50的多个部分App 1、APP 3和APP N。
在运行期间,影子存储器-管理器40将在配置表41中限定的工作存储区51映射到影子存储器70中,在该影子存储器中,被映射的工作存储区51的拷贝被存储在相对应的影子存储区71中。
图5示出了本发明的第二种配置表41的作用方式的示意性细节图。与图4所不同的是:第一对于安全重要的操作系统50、第二对于安全重要的操作系统50、以及与舒适性相关的操作系统60被存储在工作存储器20中。第二对于安全重要的操作系统50包括被存储在工作存储区51中的部分APP M,而与舒适性相关的操作系统60包括被存储在工作存储区61中的部分APP X。
配置表41包括五个工作存储区51、61,在这些工作存储区中存储有第一对于安全重要的操作系统50的多个部分App 1、APP 3和APP N、第二对于安全重要的操作系统60的一个部分APP M以及与舒适性相关的操作系统60的一个部分APP X。
在运行期间,影子存储器-管理器40将配置表中所限定的工作存储器51、61映射到影子存储器70中,在该影子存储器中,被映射的工作存储区51、61的拷贝被存储到相对应的影子存储区71、72中。
本发明方法的主要优点在于:不是直接地在工作存储器20中而是以映射在影子存储器70中的方式监控对于安全重要的操作系统50。另一个优点在于:使用独立的安全监察器90来保护影子存储器70,该安全监察器与被设置用于保护与舒适性相关的操作系统的管理程序80不同。通过这种方式将对于安全重要的操作系统的保护和与舒适性相关的操作系统的保护清楚地分开。
附图标记列表:
10 半导体电路(现有技术)
100 半导体电路
11 物理的功能硬件
20 工作存储器
21 分隔区
30 处理器
40 影子存储器-管理器
41 配置表
50 安全系统的操作系统
51 在其中存储有对于安全重要的操作系统的部分的工作存储区
60 舒适性系统的操作系统
61 在其中存储有与舒适性相关的操作系统的部分的工作存储区
70 影子存储器
71 在其中存储有对于安全重要的操作系统的部分的影子存储区
72 在其中存储有与舒适性相关的操作系统的部分的影子存储区
80 管理程序
90 安全监察器
Claims (9)
1.一种用于防止安全系统的操作系统(50)被非正常修改的方法,所述操作系统被存储在车辆的控制器的工作存储器(20)中,在所述方法中,通过影子存储器-管理器(40)将存储有安全系统的操作系统(50)的至少一个部分的至少一个工作存储区(51)从工作存储器(20)映射到影子存储器(70)中,并对与被映射的所述至少一个工作存储区(51)相对应的影子存储区(71)进行监控,其中,由管理程序(80)来监控对存储有舒适性系统的操作系统(60)的至少一个部分的工作存储区(61)的访问,并且,由安全监察器(90)来监控对与存储有安全系统的操作系统(50)的至少一个部分的至少一个工作存储区(51)相对应的影子存储区(71)的访问。
2.根据权利要求1所述的方法,其中,所述至少一个工作存储区(51)被所述影子存储器-管理器(40)自动地且并行地映射到影子存储器(70)中。
3.根据权利要求1或2所述的方法,其中,通过影子存储器-管理器(40)将存储有舒适性系统的操作系统(60)的至少一个部分的至少一个工作存储区(61)从所述工作存储器(20)映射到所述影子存储器(70)中。
4.根据权利要求1或2所述的方法,其中,所述影子存储器-管理器(40)被配置成具有配置表(41),所述配置表限定了待被映射到影子存储器(70)中的至少一个工作存储区,和/或其中,所述影子存储器-管理器(40)被配置成,使得待被映射的工作存储区的合计的存储容量小于所述工作存储器(20)的总存储容量。
5.根据上述权利要求4所述的方法,其中,所述影子存储器-管理器被配置成在控制器的启动过程或控制器的运行过程中是受保护的。
6.根据权利要求1或2所述的方法,其中,安全系统或舒适性系统的被存储在所述工作存储器(20)中的至少一个操作系统由仅被分配给所述至少一个操作系统(50、60)的至少一个专属的处理器(30)来运行。
7.一种用于实施根据权利要求1所述的防止安全系统的操作系统(50)被非正常修改的方法的半导体电路(100),所述半导体电路以集成的拓扑结构包括用于存储安全系统的至少一个操作系统(50)和舒适性系统的至少一个操作系统(60)的工作存储器(20)、至少一个用于运行安全系统的至少一个操作系统(50)和舒适性系统的至少一个操作系统(60)的处理器(30)、影子存储器-管理器(40)、管理程序(80)以及安全监察器(90),所述影子存储器-管理器被配置成将存储有安全系统的操作系统(50)的至少一个部分的至少一个工作存储区(51)从所述工作存储器(20)映射到影子存储器(70)中。
8.根据权利要求7所述的半导体电路,所述半导体电路包括所述影子存储器-管理器(40)的配置表(41)。
9.根据权利要求7或8所述的半导体电路,所述半导体电路包括所述影子存储器(70),在所述半导体电路中,所述影子存储器(70)的存储容量小于所述工作存储器(20)的存储容量,或
所述半导体电路被构造成,将所述至少一个工作存储区(51)映射到外部的影子存储器中,所述外部的影子存储器能由所述半导体电路控制或能由外部控制并且具有小于所述工作存储器(20)的存储容量的存储容量。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102017219241.0A DE102017219241A1 (de) | 2017-10-26 | 2017-10-26 | Verfahren und Halbleiterschaltkreis zum Schützen eines Betriebssystems eines Sicherheitssystems eines Fahrzeugs |
| DE102017219241.0 | 2017-10-26 | ||
| PCT/EP2018/078427 WO2019081308A1 (de) | 2017-10-26 | 2018-10-17 | Verfahren und halbleiterschaltkreis zum schützen eines betriebssystems eines sicherheitssystems eines fahrzeugs |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110574343A CN110574343A (zh) | 2019-12-13 |
| CN110574343B true CN110574343B (zh) | 2021-07-30 |
Family
ID=63915261
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880025581.0A Active CN110574343B (zh) | 2017-10-26 | 2018-10-17 | 用于保护车辆安全系统的操作系统的方法和半导体电路 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10783242B2 (zh) |
| EP (1) | EP3566398B1 (zh) |
| CN (1) | CN110574343B (zh) |
| DE (1) | DE102017219241A1 (zh) |
| WO (1) | WO2019081308A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11654926B2 (en) * | 2019-03-18 | 2023-05-23 | Mobileye Vision Technologies Ltd. | Secure system that includes an open source operating system |
| DE102020210866A1 (de) * | 2020-08-28 | 2022-03-03 | Robert Bosch Gesellschaft mit beschränkter Haftung | Vorrichtung zur Erfassung und Verarbeitung einer Messgröße eines Sensors in einem Kraftfahrzeug |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5243322A (en) * | 1991-10-18 | 1993-09-07 | Thompson Stephen S | Automobile security system |
| US5382948A (en) * | 1993-06-03 | 1995-01-17 | Richmond; Henry | Vehicular security system with remote signalling for auto carjacking functions |
| US7146260B2 (en) * | 2001-04-24 | 2006-12-05 | Medius, Inc. | Method and apparatus for dynamic configuration of multiprocessor system |
| DE102005048595A1 (de) | 2005-10-06 | 2007-04-12 | Robert Bosch Gmbh | Verfahren zur Anbindung eines FlexRay-Teilnehmers mit einem Mikrocontroller an eine FlexRay-Kommunikationsverbindung über eine FlexRay-Kommunikationssteuereinrichtung, und FlexRay-Kommunikationssteuereinrichtung, FlexRay-Teilnehmer und FlexRay-Kommunikationssystem zur Realisierung dieses Verfahrens |
| DE102006054705A1 (de) | 2006-11-21 | 2008-05-29 | Robert Bosch Gmbh | Verfahren zum Betreiben einer Recheneinheit |
| US20090119657A1 (en) | 2007-10-24 | 2009-05-07 | Link Ii Charles M | Methods and systems for software upgrades |
| WO2010132860A2 (en) * | 2009-05-15 | 2010-11-18 | Lynxxit Inc. | Systems and methods for computer security employing virtual computer systems |
| CN101673332A (zh) | 2009-10-12 | 2010-03-17 | 湖南大学 | 一种基于哈佛体系结构的内核代码保护方法 |
| EP2348444B1 (en) | 2009-12-16 | 2014-03-19 | Nxp B.V. | Data processing apparatus |
| US9594881B2 (en) * | 2011-09-09 | 2017-03-14 | Mcafee, Inc. | System and method for passive threat detection using virtual memory inspection |
-
2017
- 2017-10-26 DE DE102017219241.0A patent/DE102017219241A1/de not_active Withdrawn
-
2018
- 2018-10-17 EP EP18789600.6A patent/EP3566398B1/de active Active
- 2018-10-17 CN CN201880025581.0A patent/CN110574343B/zh active Active
- 2018-10-17 US US16/609,104 patent/US10783242B2/en active Active
- 2018-10-17 WO PCT/EP2018/078427 patent/WO2019081308A1/de active Search and Examination
Also Published As
| Publication number | Publication date |
|---|---|
| EP3566398B1 (de) | 2020-02-26 |
| CN110574343A (zh) | 2019-12-13 |
| WO2019081308A1 (de) | 2019-05-02 |
| US20200250301A1 (en) | 2020-08-06 |
| EP3566398A1 (de) | 2019-11-13 |
| DE102017219241A1 (de) | 2019-05-02 |
| US10783242B2 (en) | 2020-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11599349B2 (en) | Gateway device, in-vehicle network system, and firmware update method | |
| US10489332B2 (en) | System and method for per-task memory protection for a non-programmable bus master | |
| US11842185B2 (en) | Gateway device, in-vehicle network system, and firmware update method | |
| US20150212952A1 (en) | Method for the coexistence of software having different safety levels in a multicore processor system | |
| US8640194B2 (en) | Information communication device and program execution environment control method | |
| US8312292B2 (en) | Input output access controller | |
| US8621463B2 (en) | Distributed computing architecture with dynamically reconfigurable hypervisor nodes | |
| CN107949847B (zh) | 车辆的电子控制单元 | |
| EP3835988A1 (en) | Communication method and apparatus, computer-readable storage medium, and chip | |
| US11562079B2 (en) | System-on-chip and method for operating a system-on-chip | |
| CN110574343B (zh) | 用于保护车辆安全系统的操作系统的方法和半导体电路 | |
| JP2001014220A (ja) | ソフトウェア制御される電子装置のパーティション分割および監視方法 | |
| WO2015045507A1 (ja) | 車両用制御装置 | |
| CN107430575B (zh) | 分布式系统中的接口的管理 | |
| US20170286324A1 (en) | Semiconductor device and access management method | |
| CN111213144B (zh) | 单芯片系统,用于运行单芯片系统的方法及机动车 | |
| CA2551045C (en) | Input-output control apparatus, input-output control method, process control apparatus and process control method | |
| US12050691B2 (en) | Security processing device | |
| CN107179980B (zh) | 用于监视计算系统的方法和相应的计算系统 | |
| EP3246821B1 (en) | Semiconductor device and its memory access control method | |
| DE102022209628A1 (de) | Verfahren zum Überprüfen von Daten in einer Recheneinheit | |
| JP2017204286A (ja) | 車両用制御装置 | |
| US20220318047A1 (en) | Device and method for managing communication via interfaces in a virtualized system | |
| Gandhi et al. | Techniques and measures for improving domain controller availability while maintaining functional safety in mixed criticality automotive safety systems | |
| JP2022174784A (ja) | 電子制御装置及び異常判定方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |