CN111213144A - 单芯片系统,用于运行单芯片系统的方法及机动车 - Google Patents
单芯片系统,用于运行单芯片系统的方法及机动车 Download PDFInfo
- Publication number
- CN111213144A CN111213144A CN201880066552.9A CN201880066552A CN111213144A CN 111213144 A CN111213144 A CN 111213144A CN 201880066552 A CN201880066552 A CN 201880066552A CN 111213144 A CN111213144 A CN 111213144A
- Authority
- CN
- China
- Prior art keywords
- unit
- chip
- attack
- attack detection
- computing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 13
- 238000001514 detection method Methods 0.000 claims abstract description 132
- 238000004891 communication Methods 0.000 claims abstract description 7
- 230000015654 memory Effects 0.000 claims description 86
- 238000012544 monitoring process Methods 0.000 claims description 10
- 230000002265 prevention Effects 0.000 claims description 10
- 230000001681 protective effect Effects 0.000 claims description 10
- 238000011156 evaluation Methods 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000001914 filtration Methods 0.000 claims description 3
- 238000013459 approach Methods 0.000 claims 1
- 230000006870 function Effects 0.000 description 18
- 238000013461 design Methods 0.000 description 6
- 238000000926 separation method Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000001010 compromised effect Effects 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000036961 partial effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000005184 irreversible process Methods 0.000 description 1
- 230000003446 memory effect Effects 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/76—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in application-specific integrated circuits [ASIC] or field-programmable devices, e.g. field-programmable gate arrays [FPGA] or programmable logic devices [PLD]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/14—Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Mathematical Physics (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
Abstract
一种单芯片系统(1),单芯片系统具有多个计算单元(2),尤其是计算核和/或CPU、至少一个输入/输出单元(9)、存储单元(3)和输入/输出控制单元(10),输入/输出控制单元协调在计算单元(2)和至少一个输入/输出单元(9)之间的通讯,其中,单芯片系统(1)还具有实现为硬件的攻击检测单元(14、14a、14b),攻击检测单元通过硬件信号连接(16)至少与作为单芯片系统(1)的组件的输入/输出控制单元(10)相连接,并且在待记录的和/或待通过至少一个措施应答的、对攻击检测规则组(15)的规则违反情况方面评估由输入/输出控制单元(10)接收的输入信号。
Description
技术领域
本发明涉及一种单芯片系统,该单芯片系统具有多个计算单元,尤其是计算核和/或CPU、至少一个输入/输出单元、存储单元和输入/输出控制单元,输入/输出控制单元协调在计算单元和至少一个输入/输出单元之间的通讯。此外,本发明涉及一种用于运行这种单芯片系统的方法以及一种机动车。
背景技术
在现有技术中已经提出单芯片系统,常常也作为“片上系统”SoC已知。通常,通过这种单芯片系统实现多个可并行运行的计算单元,尤其是计算核,其中,单芯片系统的其它组件提供存储空间以及输入/输出方案(I/O),并且实现在所述组件之间的数据交换。用于这种协调在单芯片系统的组件之间的数据交换的单芯片系统的组件的示例是输入/输出控制单元,输入输出控制单元协调在计算单元和至少一个输入/输出单元之间的通讯。最终,这种输入/输出控制单元协调通过单芯片系统的不同接头向内和向外到计算单元层上或者同样虚拟的计算组件的层上的数据流。在此,例如可将不同计算单元的计算能力或计算能力份额组合。对于这种类型的输入/输出控制单元,在现有技术中已知不同的概念,例如三星公司的SMMU(系统记忆体管理单元)。
由于这种单芯片系统的灵活性,计算速度和低的结构空间要求,其应用领域越来越大。例如可设想,在单芯片系统上提供不同的运行系统,这些运行系统能够并行地执行不同的应用;此外可设想,通过不同的运行系统或计算单元或计算组件形成不同的安全级/安全要求,从而例如可通过这种单芯片系统实施不同的功能。因此,也已经提出单芯片系统在机动车的控制单元中的应用,在此处,例如可通过至少一个这种单芯片系统实施所谓的“中央驾驶员辅助系统”的方案,于是,在单芯片系统上不仅可执行安全关键性低的功能,例如多媒体功能,而且可执行安全关键性高的功能,例如与车辆引导相关的功能。为这些功能中的不同功能确定通过标准ISO26262定义的安全要求。相应地,为其分配安全要求、例如ASIL级的安全关键的功能,必须通过根据该标准认证的组件执行,这显然也适用于单芯片系统的部分组件。
在以软件为基础的系统中,已经提出了所谓的“入侵侦测系统”(IDS)。IDS用于识别被危及的系统,并且提供对已经被攻击的、被危及的系统做出反应的可能性(IPS-入侵预防系统)。IDS为总系统补充更多软件,并且因此当进行风险分析时,提供同样在安全性方面必须考虑的附加的攻击路径。附加地,这种类型的IDS伴随着能力损耗,因为相应的、实现IDS的软件元件需要计算能力。
在现代的具有多个计算单元的单芯片系统中,尤其是在多种安全要求组合时,常常通过在不同安全要求的子系统之间的强制分离实施安全措施。通过引入以硬件为基础的机制,例如由在存储单元中的监控页(Guard pages)提供这种分离。另一示例是以硬件为基础的对存储区域的存取分离(“记忆体存取控制”)。
在单芯片系统方面大多不使用IDS,因为不应通过附加的软件开启附加的攻击路径,并且应尽可能避免能力损失。此外,应尽可能避免与已经存在的安全机制相互作用。
专利文献US 2009/0 113 141 A1涉及一种存储器保护系统以及一种对应的方法。在此,提供用于分离的存储器的存储器存取控制单元,其中,也提供权限表,该权限表定义了对多个计算单元的读写权限。具有用于接收存储器访问请求的输入部的存储器故障探测器被连接,其中,通过逻辑检查由此写入的存储访问是否与权限表矛盾。
发明内容
本发明的目的是,给出一种用于单芯片系统的“入侵侦测系统”(IDS)的实现方案,该实现方案在尽可能安全的且尽可能几乎不影响单芯片系统的有效功率/能力的实施方案中允许全面的探测可能性。
为了实现该目的,在开头所述类型的单芯片系统中,根据本发明规定,单芯片系统还具有实现为硬件的攻击检测单元,攻击检测单元通过硬件信号连接至少与作为单芯片系统的组件的输入/输出控制单元相连接,并且评估由输入/输出控制单元接收的输入信号,以确定是否存在待记录的和/或待通过至少一个措施应答的、对攻击检测规则组的规则违反。
由此,攻击检测单元形成IDS或甚至IDPS(入侵侦测和预防系统)的一部分。使用包括至少一个输入/输出控制单元的单芯片系统的优选多个组件的信号,并且在可能的攻击方面进行评估,理想地与单芯片系统的其余的运行无关地进行,这尤其是实现,为进攻者给出其动作还尚未被确定的错觉。因此,在单芯片系统之内补充附加的硬件,该硬件包括单芯片系统的各个以硬件为基础的组件与分离的IDS的至少一个硬件信号连接。使用如此分离的IDS避免了使用单纯的、可攻击的软件,因此不增加新的攻击点,因为IDS通过附加的、其它未被使用的硬件信号连接工作,并且理想地不以接收或能攻击的方式与其它计算单元相互作用。由此,对现有的安全机制带来的影响最小,并且保证,IDS自身设置在单芯片系统的安全的区域中。对单芯片系统的攻击或缺陷的探测不能隐藏在单芯片系统的被感染的、尤其是已经被接管的部分之后;使用分离的、优选附加的硬件还使得能够在不损失计算单元的计算能力的情况下实施IDS。
攻击检测规则组可以,但是不必强制实现为攻击检测单元的一部分。也可设想的是,不同地、即分散地优选作为硬件例如在将输入数据提供给攻击检测单元的组件上设置攻击探测组。攻击检测规则组的分散的设计方案可进一步减小必须为攻击检测单元设置的计算能力。
因此,本发明的一种尤其有利的设计方案规定,攻击检测单元实现为单芯片系统本身的硬件组件,例如实现为ASIC和/或自己的、附加的计算单元(CPU/计算核)。由此,攻击检测单元形成计算单元不可见的硬件组件,该硬件组件在幕后,以不受在单芯片系统之内的其它过程影响的方式,根据攻击检测规则组对攻击进行监控。在该变型方案中,既不实现附加的攻击点,对于攻击者来说也了解不到其攻击是否已经被发现。此外,在该优选的设计方案中,在单芯片系统的计算能力方面绝对没有损失,因为对定义计算能力的计算单元不产生影响,如果不是,如还将详细解释的那样,这要求采取措施。此时,硬件信号连接优选地构造成特别地为待传输的信号设计的、仅仅可在一个方向上使用的信号线路。
当攻击检测单元实现为检查单元的一部分时,给出同样可靠的、优选的变型方案,检查单元设计成用于监控单芯片系统的组件、尤其是计算单元和/或虚拟计算组件,并且实现为附加计算单元,且尤其是分析影子存储器。因此,如果无论如何存在计算单元“不可见的”、效率极高的且因此大多实现为附加计算单元的附加硬件(该附加硬件监控计算单元和/或使用多个计算单元的计算能力的虚拟计算组件,并且可理解成检查单元或检查系统的一部分),则这种类型的隐藏的、不可通过计算单元存取的检查单元也可用于,在此处附加地实现IDS的攻击检测单元。这种检查单元尤其是可针对计算单元和/或虚拟计算组件的不允许的状态和/或故障功能检查影子存储器(shadow memory),并且自身作为单芯片系统的其它组件将输入信号提供给攻击检测单元。
本发明的备选的不太优选的设计方案规定,攻击探测组件包括计算单元中的至少一个,尤其是最高安全级的计算单元,其具有相应的软件元件,从而例如仅仅为IDS或其攻击探测组件实现计算单元。然而因此,在这种情况中,尽可能在没有其它计算单元的存取的情况下,将计算能力分支,这可带来单芯片系统的计算能力减小,但是尤其是也与单芯片系统的总结构相关地,在多种情况中,开启攻击路径,因此优选地,选择最高安全级的计算单元、因此满足最高安全要求的计算单元(和/或同样虚拟计算组件),因为假设,在攻击的情况中,最后一个危及该计算单元(或计算组件)。在另一更不优选的备选方案中也可设想,通过使用多个、尤其是所有具有相应的软件元件的计算单元实现多个攻击探测组件。基于的想法是,通常不同时危及所有计算单元,从而无论如何还能实现对攻击的探测。显然相似地也适用的是,可使用单芯片系统的多个、尤其是所有虚拟计算组件。总地还应注意的是,例如可通过所谓的管理程序实现或定义这种虚拟计算组件,然而其中,在多个在其中也大多不能实现应根据安全标准满足安全要求的安全关键的应用的单芯片系统中,获得认证的管理程序单元,从而常常给出进一步的系统分离。
在这点上总地还应注意的是,在攻击检测单元中储存的或者可通过该攻击检测单元存取的攻击检测规则组也可理解成“IDS-策略”。根据何种程度地已经在单芯片系统的发送的组件方面预评估输入信号,攻击检测规则组可仅仅包含用于记录事件、因此用于信息过滤、和/或用于措施选择的规则;然而也可设想的是,攻击检测规则组可提供将事件归类成攻击的基础,因此可描述例如必要时作为在其它方面储存的存取表的附加被允许的和不被允许的事件,或为其分配攻击类型。
此外,总地来说还应指出的是,优选攻击检测单元获得单芯片系统的所有重要组件,尤其是所有协调组件的输入信号,然而通过中心地接收输入/输出控制单元的信号监控输入/输出运行证实为有效的,因为一方面攻击必须从外部作用到单芯片系统中,但是另一方面,在基本上所有情况中,该攻击引起向单芯片系统外部的通讯,从而输入/输出部(Input/Output,I/O)是无论如何利用根据本发明的设计方案截取的重要的待监控的点。
如所描述的那样,优选的是,搜索或接收单芯片系统的多个组件的输入信号,并且根据攻击检测规则组分析,为此,本发明的一种尤其优选的设计方案规定,存在攻击检测单元到单芯片系统的至少一个另外的组件的另一硬件信号连接,其中,评估由该另一组件接收的输入信号,以判断是否存在待记录的和/或待通过至少一个措施应答的、对攻击检测规则组的规则违反情况。尤其是,通过特殊的附加的硬件信号连接从单芯片系统的、所有提供关于攻击的重要信息的组件接收输入信号。
因此,本发明的尤其优选的设计方案规定,至少一个另外的组件是存储器存取控制单元和/或存储单元。存储器相关的组件代表另一极为重要的点,在该点上可确定攻击/渗入,因为为了操纵在计算单元或虚拟计算组件上实施的应用的功能,也需要操纵存储器存取,其中,例如也可在未被分配的存储区域上进行存取。在此尤其有利的是,存储器存取控制单元包括存储器存取寄存器,和/或在存储单元方面获得的输入信号描述在尤其是在定义物理层的存储单元的监控页上的存取。存储器存取寄存器应定义,哪个计算单元/虚拟计算组件可存取哪个存储区域。这种类型的存储器存取寄存器也被称为“Memory AccessRegister”-MAR。相应的具有存储器存取寄存器或MAR的存储器存取控制单元尤其适合作为来源,以根据对不允许的存储区域的存取识别有害的意图。在现有技术中,监控页(“guardpages”)原则上已经公知并且优选地表示在物理层上定义的计算单元/虚拟计算组件中的任一个都不能存取的存储区域,并且使通常为计算单元和/或虚拟的计算单元分配的存储区域相互分离,以使得例如目的为溢出的攻击失败,因为通过尝试对监控页存取通常得到功能中断。现在,在本发明的范围中提出,当尝试存取监控页,即在此处进行写或读时,在存储单元方面,产生硬件中断作为用于攻击检测单元的输入信号。因此,这种信号也指示出不允许的对存储器的存取。在此尤其优选的是,通过硬件信号连接不仅由存储单元而且由存储器存取控制单元获得输入信号,因为于是产生双层的安全系统,其中,存储器存取控制单元的输入信号示出有害意图,监控页的输入信号示出成功的访问。在此,对不同探测的相应的响应显然可为不同的。
就此而言,还应指出的是,作为例如存储器存取寄存器或存储器存取控制单元,攻击检测规则组通常可包含在存储单元方面进一步的限制,其中,除了附加地在攻击检测规则组中定义的存取限制,也可分析存取的方式,例如待写入或读取的数据对象的大小的限制,内容的限制,等。应指出的是,攻击检测规则组的相似的攻击探测标准显然也可用于除了存储单元和/或存储器存取控制单元之外的其它组件,尤其是也在输入/输出控制单元方面。
在本发明的改进方案中可规定,由存储器存取控制单元获得的输入信号描述在将计算单元和存储单元相连接的存储器总线上的负荷。优选地,尤其是可由具有存储器存取寄存器(MAR)的存储器存取控制单元获得相应的描述存储器总线的性能的负荷(“load”)。例如,如果存在如下计算单元或虚拟计算组件,即,在其上实施在其中准确的时间进程或尽可能快速的响应非常重要的应用,例如在机动车中的安全应用,则这些应用通常也需要对存储单元,即,MAR进行存取。必须保证,对存储单元的相应的存储区域的访问始终可用。在一个或多个另外的计算单元或虚拟计算单元上的有害的攻击应用可能尝试,通过DoS攻击(“Denial of Service”)、欺骗等防止认证的应用存取存储区域,其中,例如利用访问大量涌入存储器总线。
现在,可如此设计存储器存取控制单元和/或攻击检测单元,即,可探测这种类型的攻击。在探测的情况中,在“入侵预防”的思想中可执行不同的措施,作为并不激进的响应,例如重置执行攻击应用的计算单元和/或虚拟计算组件,和/或减小时钟发生器速度。在单芯片系统的范围中,在存储器存取控制单元(MAR单元)之外,利用通过攻击检测单元实现的IDS或在此尤其是IPS(入侵预防系统)实施在此示例性地描述的措施。
在这方面,还应指出的是,尤其有利的是,在部分地实现攻击探测时,通过在存储器存取控制单元之内为攻击检测单元产生相应的输入信号,优选地选择如下设计方案,即,在其中,为相应的信号发生进行硬件编码并且以不可变的方式确定,该信号发生用于给到硬件信号连接上的、用于攻击检测单元的输入信号,这显著提高了安全性。然而优选的是,大部分通过攻击检测单元以及储存在其中的攻击检测规则组实现这种实施,因为如以下还将详细讨论的那样,尤其是也可由于IDS与计算单元/虚拟计算组件的明显分离,可如此完成实施,即,实现动态的改变,例如攻击检测规则组的改变。
本发明的一种有利的改进方案规定,至少一个另外的组件中的至少一个是设计成用于监控影子存储器的检查单元。如果如以上已经描述的那样将攻击检测单元集成到这种类型的检查单元中,通过硬件信号连接也还可使另一检查单元与攻击检测单元通讯。这种类型的检查单元用于,如已经阐述的那样,尤其是通过监控影子存储器探测尤其是安全关键的应用的功能故障。通过例如连接到在至少一个设计用于满足安全要求的计算单元或虚拟计算组件上的安全运行系统上的影子存储器控制单元(shadow memory manager–SMM)产生影子存储器-存储器映像,由该计算单元/虚拟计算组件完成的独立的检查单元存取该影子存储器-存储器映像。这实现,检查影子存储器以及进而在至少一个计算单元或虚拟计算组件的安全运行系统中的处理,并且确定可将相应的输入信号引导到攻击检测单元处的不一致性。具有这种类型的检查单元的IDS的联接是尤其有利的,因为其表示用于关于攻击的信息的重要来源。
至少一个另外的组件中的至少一个还可为计算单元-时钟发生器(CPU-Clock)和/或功率管理单元(Power Management Unit)和/或中断控制单元(Interrupt Controller),其中,在单芯片系统的负荷方面评估来自上述组件的输入信号。以这种方式,也尤其是以特别的优点实现,当例如出现对计算单元中的至少一个和/或至少一个虚拟计算组件的尤其多的计算操作/搜索时,探测到DoS攻击。在CPU时钟中,也可通过观察确定,是否应通过攻击进行所谓的“调制”,例如提高时钟速度。在功率管理单元上可检查,多少呼叫来自不同的计算单元/虚拟计算组件,中断控制装置提供存在多少中断的信息,这对于所述DoS攻击来说尤其重要。
此外,一种适宜的设计方案规定,至少一个另外的组件中的至少一个是用于计算单元中的至少一部分的配置寄存器,针对根据攻击检测规则组不允许的配置方案,检查配置寄存器的输入信号。例如,可将计算单元/虚拟计算组件的确定的配置方案标记成不允许的,并且相应地进行探测。如果单芯片系统也具有运行时间检查单元,该运行时间检查单元也可表示另一有用的组件。在此,运行时间检查单元(“Runtime Checker”)检查存储器内容,例如形成校验和/散列函数,并且进行状态比较,由此同样可导出用于攻击检测单元的合适的输入信号。在单芯片系统中,这种类型的运行时间检查单元常常实施成硬件并且也表示可靠的来源。
优选地,至少一个组件中的至少一个可为或者包括单芯片系统的调试接口。单芯片系统常常具有调试接口,通过该调试接口,通过单芯片系统的多个、尤其是所有组件可最终获得存取和控制权限。虽然完全可规定,在单芯片系统完成之后,因此在稍后的使用中取消激活这种类型的调试接口,然而完全可通过在攻击者方面的硬件干预再次制造该调试接口。在这种情况中或者当调试接口未被取消激活时,调试接口表示用于攻击的目标,该目标有利地通过IDS、在此具体为攻击检测单元监控。
在也具有所谓的安全位的单芯片系统中,此外也可通过硬件信号连接获得包括安全位的组件的输入信号,因为攻击事件也可导致安全位“被转换”。然而,这通常是单次出现的、不可逆的过程(该过程也可通过非攻击过程激活),从而优选地与其它输入信号共同地评估包括安全位的组件的输入信号,以将至少一个事件归类成攻击。
在一种设计方案中,至少一个借助于硬件信号连接与攻击检测单元相连接的组件中的至少一个设计用于预评估和/或过滤待传输给攻击检测单元的输入信号。这意味着,通过例如仅仅将已经被预过滤的和/或预评估的结果的特殊的信号继续传输给攻击检测单元,IDS的智能的部件已经可实现在提供输入信号的组件之内。优选地,在组件侧的信号处理的区段以不能改变地以在硬件中被编码的方式确定,为此,在现有技术中已经已知相应的用于避免在该部位上的操纵式攻击的相应的方法。以这种方式,至少如果没有进行硬件攻击,可保证继续传输给攻击检测单元的输入信号的真实性/完整性。
为了提高安全性,此外可规定,攻击检测规则组,即所述的IDS策略不能改变地确定成硬件,或者在受保护的方法中,尤其是在使用在单芯片系统中作为硬件不能改变地编码的秘密的信息的情况下能改变。在此优选地,允许在受保护的方法中可变性,因为如已经阐述的那样,攻击检测单元优选地无论如何构造成,算单元/虚拟计算组件或其它可能操纵的组件完全不能以操纵的方式存取攻击检测单元。通过为攻击检测单元储存秘密的、尤其是也分布的信息以及优选地分离的配置接头,存在的可能性是,在受保护的方法中,例如在使用秘钥作为保密信息时,更新或者通常地说匹配攻击检测规则组。保密信息在此可部分地或者特殊地与攻击检测单元相结合地被编码,然而其中也可设想的是,毫无疑问设置的、确定的且不可变的保密信息使用在单芯片系统中。在一种备选设计方案中,也可规定,例如在生产单芯片系统时和/或通过单次的可编程性在稍后的时刻,例如在制造应包含单芯片系统的总装置、尤其是机动车时,单次确定攻击检测规则组。例如,在确定攻击检测规则组之后,单芯片系统可通过技术例如“熔接(fusing)”等封装单芯片系统。
为了记录,可设想不同的方案,这些方案也可相互组合。因此可规定,尤其是根据攻击检测规则组,攻击检测单元设计用于记录在内部的和/或外部的存储装置中归类成攻击的事件,和/或用于将归类成攻击的事件继续传输给相对于单芯片系统外部的计算装置。因此,一方面可设想例如可在稍后的时刻读取的在内部存储装置中的内部记录,以能够分析可能的发生的攻击,并且获得用于改善单芯片系统或在单芯片系统上使用的软件元件的数据。然而,可设想的且根据本发明优选的是,借助于外部存储装置和/或外部计算装置进行外部的记录。就此而言,虽然原则上可设想,但是不太优选的是,为攻击检测单元设置自己的输入/输出单元,因为这种类型的特殊地设置的输入/输出单元必须以消耗空间的且提高单芯片系统的复杂性的方式实现。因此,根据本发明优选的是,使用至少一个也可被用计算单元使用的输入/输出单元中的至少一个。为此,例如可实现攻击检测单元与计算单元和/或输入/输出单元和/或输入/输出控制单元的硬件输出线路,该硬件输出线路优选地是单向的,以避免通过硬件输出线路对攻击检测单元的存取。例如,可通过计算单元中的至少一个进行通过输入/输出单元与外部存储装置/计算装置的通讯,其中,优选地,在数量少的或数量多的计算单元中,使用多个或一个最安全的计算单元。换句话说,为了向外传输,提到推测在稍晚的时刻干预时(如果有的话)接管的计算单元。也可为适宜的是,将相应的用于继续传输/记录归类成攻击的事件的输出信号继续传输给单芯片系统的所有计算单元,因为不可能所有这些计算单元都已经被危及,从而通过输入/输出单元基本上可保证输出信号的继续传输。
适宜地,为了继续传输给外部的计算装置和/或外部的存储装置,将可由芯片ID识别单元读取的芯片ID标识补充到描述归类为攻击事件的事件数据、即尤其是输出信号中。以这种方式,在外部的存储装置/外部的计算装置中也可确定,事件数据涉及哪个单芯片系统。
在评估输入信号时,通常优选的是,在评估输入信号时,攻击检测单元设计用于获得归类成攻击的事件的原因和/或描述事件类型的事件数据,其中,尤其是也获得描述事件时刻的事件数据。因此,对于事件适宜的是,了解在进行的评估方面记录的事件和/或采取的措施,单芯片系统的哪些组件做了哪些归类成至少潜在的攻击的事情。如果例如已经在输入信号中时间戳是可用的,推荐的是,也可将时间戳补充到事件数据中。在此适宜的是,攻击检测单元自身未设有时钟,因为必须使该计时器与单芯片系统的剩余的时钟同步,这可代表对攻击检测单元的可能的攻击点。
如果必须至少通过计算单元的一部分执行安全关键的应用,由此可设置对单芯片系统的组件或组件的一部分的安全要求,例如在其中单芯片系统应实现安全功能和/或自动的车辆引导功能的机动车中。这种类型的安全要求大多通过与标准的一致性表明,其中,在机动车作为总装置(在其中根据本发明的单芯片系统尤其是应用在控制装置中)的示例中,以ISO26262标准给出这种类型的标准,该标准确定作为所谓的ASIL类型不同的安全要求。现在,如果单芯片系统的组件的一部分设计成用于满足安全要求,尤其是在也对被归类为攻击的事件的响应采取措施的情况中,安全要求也至少部分地传递到IDS,即尤其是攻击检测单元上。然而,就此而言,由于为了满足该安全要求花费的消耗,不太优选的是,根据(最高的)安全要求设计整个攻击检测单元,因此同样涉及非安全关键的应用/功能的区段。因此可设想,当存在用于单芯片系统的组件的至少一部分的安全要求时,设置满足该安全要求的攻击检测单元。
然而,在一种优选的设计方案中规定,使用至少两个攻击检测单元,其中至少一个满足进行对输入信号的评估的攻击检测单元的涉及安全要求的区段满足安全要求。因此,可“切开”IDS、尤其是IDPS的评估输入信号的攻击检测单元,以便以同样满足安全要求的方式以更复杂的方式实施实际上涉及安全要求的区段。在此,例如可以认证的方式实施满足安全要求的攻击检测单元。
如已经所述的那样,尤其是当为单芯片系统的满足安全要求的部分设置响应,因此措施,例如结束和/或改变被危及的应用时,给出满足安全要求的必要性。因为同样以满足安全要求的方式实现IDS的相应的区段,在进行所述措施时,整体也实现满足安全要求,而不必在IDS的其它区段方面给出过多消耗。
如已经所述的那样,在进行保护措施时,作为措施,在归类成攻击的事件的至少一部分中,除了实现IDS(入侵侦测系统)之外,也实现IPS(入侵预防系统),即,IDPS(入侵侦测和预防系统)。因此,在这种情况中,可以说,攻击检测单元附加地构造成激活在归类成攻击的事件的至少一部分中的至少一个保护措施的攻击预防单元。
就此而言,尤其有利的是,描述保护措施的措施信号通过硬件措施连接传输给与该措施相关的单芯片系统的组件和/或所有计算单元和/或虚拟计算组件。硬件措施连接优选地构造成单向地从攻击检测单元到单芯片系统的相应组件,以避免组件对攻击检测单元进行存取。在此,保护措施例如可包括切断和/或重置计算单元和/或单芯片系统的其它组件和/或运行参数、例如时钟频率和/或访问权限的变化。也可设想结束或重新启动特定的应用。
除了单芯片系统之外,本发明也涉及一种用于运行根据本发明的单芯片系统的方法,在其中,在使用攻击检测规则组的情况下评估由攻击检测单元获得的输入信号以用于将与攻击相应的事件归类。在根据本发明的单芯片系统方面的所有实施方案可相似地转移到根据本发明的方法上,因此,通过该方法同样可获得已经所述的优点。
最终,本发明也涉及一种机动车,机动车具有至少一个具有根据本发明的单芯片系统的控制装置。尤其是,这种类型的单芯片系统可简单地移装到机动车上,例如,在中央的驾驶员辅助系统方案的范围中,其中,尤其是也符合同样不同的安全要求的不同驾驶员辅助系统的驾驶员辅助功能共同地在控制装置中,并且由此至少部分地在单芯片系统中执行。刚好在机动车之内,在能实现驾驶员辅助功能的安全关键的应用方面,极其适宜的是,实现IDS或尤其是IDPS。本发明可使用的另一变型方案是具有应满足安全要求、例如ASIL标准的区段的信息娱乐系统。这种类型的区段例如涉及来自应满足安全要求的控制装置的并且应被显示的信息。在单芯片系统方面的所有实施方案可相似地转用到根据本发明的机动车上。
附图说明
从以下描述的实施例中并且根据附图得到本发明的其它优点和细节。
其中:
图1示出了根据本发明的单芯片系统的第一实施例的原理图,
图2示出了单芯片系统的第二实施例的结构的抽象图,
图3示出了单芯片系统的第三实施例的结构的示意图,以及
图4示出了根据本发明的机动车的原理图。
具体实施方式
图1示出了根据本发明的单芯片系统1(片上系统-SoC)的原理图。在此,单芯片系统1例如具有四个构造成计算核的计算单元2,在计算单元2上可运行不同的运行系统和/或应用(应用程序),其中,完全可将多个计算单元2分配给一个运行系统/应用,和/或也可实现部分分配,即,总地来说,例如通过管理程序可定义虚拟的计算组件。
为了为计算单元2提供RAM,单芯片系统1还包括存储单元3,存储单元具有分配在多个用于计算单元2的存储区域4中存储空间5,其中,存储区域4分别通过监控页6(guardpages)分离。通过存储器存取控制单元7协调计算单元2对存储单元3的存取,存储器存取控制单元可包括相应的存取寄存器8(Memory Access Register–MAR)。单芯片系统1包括多个可建立与外部环境的连接的输入/输出单元9,例如PCI快速接口和/或UART接口和/或I2C接口和/或SPI接口和/或其它接口和相应的驱动器。
在输入/输出部(I/O)方面,也设置在此通过输入/输出控制单元10的协调,在输入/输出控制单元中同样可存在存取寄存器。单芯片系统的其它组件包括调试接口11,中断控制单元12以及作为其它出于可见性原因未详细示出的组件的计算单元时钟(CPU-Clock),功率管理单元(Power Management Unit),用于计算单元2的至少一部分的配置寄存器,加密位和芯片ID识别单元。
以硬件方面集成的方式,单芯片系统1具有攻击探测系统,确切的说IDS 13,攻击探测系统尤其是具有在该实施例中实现为分离的硬件的攻击检测单元14,在攻击检测单元14中储存攻击检测规则组15,根据该攻击检测规则组,将通过输入信号描述的事件归类成攻击或者不是攻击,其中,显然也可实现对不同攻击及其危险程度的准确归类。攻击检测单元14通过单向的硬件信号连接16获得单芯片系统的不同组件的输入信号。在此,攻击检测单元14通过硬件信号连接16至少从存储单元3、存储器存取控制单元7、输入/输出控制单元10、调试接口11和中断控制单元12中获得输入信号。用于输入信号的其它来源可为计算单元时钟,功率管理单元,配置寄存器,实现为硬件的运行时间检查器和/或加密位。
可作为硬件中断等直接产生输入信号,并且以未被过滤/未预先评估的方式将输入信号继续传输给攻击检测单元14,以提供尽可能少的攻击可能性。然而也可设想的设计方案是,在其中,通过提供输入信号的组件中的一个进行预评估和/或过滤。以这种方式,减小了用于攻击检测单元14的数据负荷,并且可结构更小地/更简单地实现攻击检测单元。
攻击检测规则组可以不可变的方式在硬件中编码,即,一次性确定,储存在攻击检测单元14中,其中,也可设想原则上可变的设计方案,于是其中,将保密的、不能改变地存储在单芯片系统1中的信息,例如秘钥,用于在改变时进行授权。
通过攻击检测规则组描述尤其是计算单元2和/或由计算单元2形成的虚拟计算组件具有怎样的权利,攻击检测规则组15可确定类型,例如何时存在攻击以及攻击的严重程度。此外,攻击检测规则组15可描述,应如何避开探测到的攻击,即,当将至少一个事件归类成攻击时,应发生什么。在此,不同记录操作的措施达成可能设置的保护措施,其中,在后者的情况中,攻击检测单元14也构造成攻击预防单元,从而总体得到IDPS 13(攻击侦测和预防系统)。在此,可借助于内部的存储装置17进行记录,相应的硬件输出线路18引导到内部的存储装置17。然而也可设想,向单芯片系统1的外部传达描述作为攻击通讯事件的事件数据,为此,作为不太优选的设计方案,附加地可为攻击检测单元14设置自己的输入/输出单元,然而,在实施方面这成本高,尤其是当由于可能存在时间苛刻性应使用快速连接,尤其是以太网连接时。
优选的是,使用输入/输出单元9中的至少一个,为此,通过单向实现的硬件措施连接19将相应的输出信号(措施信号或日志信号)发送给所有计算单元2(因为不可能所有计算单元2同时被危及),和/或输入/输出控制单元10。由此实现,将事件数据继续传输给外部的存储装置和/或计算装置20以用于记录和/或继续处理,尤其是也在保护措施方面。优选地描述被归类成攻击的事件的责任者、事件类型和事件时刻的事件数据通过可在芯片ID识别单元中读取的芯片ID标识进行补充,从而外部的存储装置和/或计算装置20可进行相应的分配。
就对计算单元2的存储活动评价而言,攻击检测单元14可从存储器存取控制单元7中例如获得通常的存取信息,可根据攻击检测规则组15检查该存取信息是否是被允许的存取访问。附加地尤其有利地,通过硬件中断监控对监控页6的存取,从而最终进行双重的安全性检查。
因此,如果攻击检测单元14也构造成攻击预防单元,设置保护措施,该保护措施同样可通过硬件措施线路19继续传输给应执行该保护措施的相应的组件,尤其是计算单元2。例如,当推测到DoS攻击时,可调整计算单元2的内部时钟,和/或重置和/或取消激活计算单元和/或虚拟计算组件。因此,根据探测到的攻击,可设想多种多样的保护措施。
图2根据所示出的局部21在结构方面解释了根据本发明的单芯片系统的第二实施例。在该实施例中,再次作为自己的硬件实现的攻击检测单元14也通过硬件信号连接16从根据第一实施例所述的单芯片系统1的组件中获得输入信号。
在该实施例中,从物理组件(以22表示)出发,通过管理程序23在使用一个或多个计算单元2的情况下示例性地定义三个虚拟计算组件24,此时,这些虚拟计算组件执行符合低安全要求的运行系统和应用。因为未根据安全标准认证管理程序23,在使用其它计算单元2的情况下形成另一虚拟计算组件25,以执行符合更高的安全要求的、安全关键的应用,例如安全功能和/或在机动车中的车辆引导功能。在虚拟计算组件25运行时,通过影子存储器控制单元26写入影子存储器27,为影子存储器分配影子存储器检查单元28,影子存储器检查单元监控并检查实现为自己的硬件的尤其是自己的附加的计算单元的影子存储器27的内容,以能够确定故障,攻击损失等,因此,探测攻击本身,但是或者至少实现用于攻击探测的基础。检查单元28也通过硬件信号连接16与攻击检测单元14相连接,以继续传输相应的输入信号,该输入信号显示进行的攻击和/或可被评估以探测这种攻击。
在此应指出的是,在根据图2的实施例中,硬件措施连接19不被引导到虚拟计算组件25的计算单元2,因为在此检查单元28和攻击检测单元14没有构造成被认证用于虚拟计算组件25的安全要求。当检查单元28和攻击检测单元14满足安全要求,因此已经认证时,这种情况能改变,在本发明的范围中,这原则上是可设想的,正如原则上可实现集成检查单元28和攻击检测单元14的硬件,例如使用共同的且附加的计算单元那样。
然而,在安全要求方面,实现了具有更低成本的改进的设计方案,例如根据图3,这在根据本发明的单芯片系统1的第三实施例的相应于局部21的局部29中示出。可看出,在此不仅检查单元28而且攻击检测单元14被分割成满足安全标准和不必满足安全标准的区段,从而存在检查单元28a和28b以及攻击检测单元14a和14b。检查单元28a通过硬件信号连接16与检查单元14a相连接,其中,这两者都满足安全标准。检查单元28b通过硬件信号线路16与攻击检测单元14b相连接,其中,这两者都不满足安全要求,因此可更简单地且更低复杂度地实现。换句话说,将IDS 13或IDPS的在安全方面重要的区段分离,尤其是由于现在被认证的攻击检测单元14a,这也允许,通过硬件措施连接19在虚拟计算组件25上采取预防措施。应注意的是,显然也可存在可满足相同的或不同的安全要求的多个虚拟计算单元25。
最后,图4示出了根据本发明的机动车30的原理图,机动车具有至少一个控制装置31,控制装置包括根据本发明的单芯片系统1。已表明,在此描述的技术尤其是可用于在控制装置31之内可能也常常存在不同安全要求/安全标准的机动车。
Claims (19)
1.一种单芯片系统(1),该单芯片系统具有多个计算单元(2),尤其是计算核和/或CPU、至少一个输入/输出单元(9)、存储单元(3)和输入/输出控制单元(10),所述输入/输出控制单元协调在计算单元(2)和至少一个输入/输出单元(9)之间的通讯,其特征在于,所述的单芯片系统(1)还具有实现为硬件的攻击检测单元(14、14a、14b),该攻击检测单元通过硬件信号连接(16)至少与作为单芯片系统(1)的组件的输入/输出控制单元(10)相连接,并且对于输入/输出控制单元(10)接收的输入信号进行评估以确定是否存在对攻击检测规则组(15)的违规情况,该违规情况将被记录和/或通过至少一个措施来应答。
2.根据权利要求1所述的单芯片系统,其特征在于,所述攻击检测单元(14、14a、14b)实现为单芯片系统(1)本身的硬件组件和/或设计成用于监控单芯片系统(1)的组件、尤其是计算单元(2)和/或虚拟计算组件(24、25)的、实现为附加计算单元的、尤其是分析影子存储器(27)的检查单元(28、28a、28b)的一部分。
3.根据权利要求1或2所述的单芯片系统,其特征在于,存在攻击检测单元(14、14a、14b)与单芯片系统(1)的至少一个另外的组件的另一硬件信号连接(16),其中,同样评估从该另一硬件信号连接接收的输入信号以确定是否存在对攻击检测规则组(15)的违规情况,该违规情况将被记录和/或通过至少一个措施来应答。
4.根据权利要求3所述的单芯片系统,其特征在于,所述至少一个另外的组件是存储器存取控制单元(7)和/或存储单元(3)。
5.根据权利要求4所述的单芯片系统,其特征在于,所述存储器存取控制单元(7)包括存储器存取寄存器(8),和/或在存储单元(3)方面获得的输入信号描述对存储单元(3)的、尤其是在物理层上定义的监控页(3)的存取。
6.根据权利要求4或5所述的单芯片系统,其特征在于,由所述存储器存取控制单元(7)获得的输入信号描述将计算单元(2)和存储单元(3)相连接的存储器总线的负荷。
7.根据权利要求3至6中任一项所述的单芯片系统,其特征在于,所述至少一个另外的组件中的至少一个是设计成用于监控影子存储器(7)的检查单元(28、28a、28b)。
8.根据权利要求3至7中任一项所述的单芯片系统,其特征在于,所述至少一个另外的组件中的至少一个是计算单元(2)-时钟发生器和/或功率管理单元和/或中断控制单元(12),其中,在单芯片系统(1)的负荷方面评估来自所述至少一个另外的组件的输入信号,和/或所述至少一个另外的组件中的至少一个是用于计算单元(2)中的至少一部分的配置寄存器,对该配置寄存器的输入信号进行检查以确定其是否属于根据攻击检测规则组(15)而不被允许的配置方案。
9.根据权利要求3至8中任一项所述的单芯片系统,其特征在于,所述至少一个组件中的至少一个是单芯片系统(1)的调试接口(11)或者包括单芯片系统的调试接口。
10.根据上述权利要求中任一项所述的单芯片系统,其特征在于,借助于硬件信号连接部(16)与攻击检测单元(14、14a、14b)相连接的至少一个组件中的至少一个设计用于预评估和/或过滤待传输给攻击检测单元(14、14a、14b)的输入信号。
11.根据上述权利要求中任一项所述的单芯片系统,其特征在于,攻击检测规则组(15)作为硬件不能改变地被固定,或者在受保护的方法中,尤其是在使用在单芯片系统(1)中作为硬件不能改变地编码的秘密信息的情况下,能改变。
12.根据上述权利要求中任一项所述的单芯片系统,其特征在于,尤其是根据攻击检测规则组(15),所述攻击检测单元(14、14a、14b)设计用于记录在内部的和/或外部的存储装置(17、20)中归类成攻击的事件,和/或用于将归类成攻击的事件继续传输给单芯片系统(1)外部的计算装置(20)。
13.根据权利要求12所述的单芯片系统,其特征在于,为了继续传输给外部的计算装置,将能由芯片ID识别单元读取的芯片ID标识补充到描述归类为攻击的事件的事件数据中,和/或使用至少一个也能通过计算单元(2)使用的输入/输出单元(9)中的至少一个。
14.根据上述权利要求中任一项所述的单芯片系统,其特征在于,在评估输入信号时,攻击检测单元(14、14a、14b)设计用于获得归类成攻击的事件的原因和/或描述事件类型的事件数据,尤其是也获得描述事件时刻的事件数据。
15.根据上述权利要求中任一项所述的单芯片系统,其特征在于,当存在对单芯片系统(1)的组件的至少一部分的安全要求时,设置满足安全要求的攻击检测单元(14、14a、14b)和/或使用至少两个攻击检测单元(14、14a、14b),其中,执行输入信号评估的、与安全要求相关的部分的至少一个攻击检测单元(14、14a、14b)满足安全要求。
16.根据上述权利要求中任一项所述的单芯片系统,其特征在于,所述攻击检测单元(14、14a、14b)附加地构造成在至少一部分归类成攻击的事件中激活至少一个保护措施的攻击预防单元。
17.根据权利要求16所述的单芯片系统,其特征在于,描述保护措施的措施信号通过硬件措施连接(19)传输给与所述措施相关的单芯片系统(1)组件和/或所有计算单元(2)和/或虚拟计算组件(24、25)。
18.一种用于运行根据上述权利要求中任一项所述的单芯片系统(1)的方法,其特征在于,在使用攻击检测规则组(15)的情况下评估由攻击检测单元(14、14a、14b)获得的输入信号以用于将与攻击相应的事件归类。
19.一种机动车(30),所述机动车具有至少一个包括根据权利要求1至17中任一项所述的单芯片系统(1)的控制装置(31)。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311291465.2A CN117290841A (zh) | 2017-10-26 | 2018-10-16 | 单芯片系统,用于运行单芯片系统的方法及机动车 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102017219242.9A DE102017219242A1 (de) | 2017-10-26 | 2017-10-26 | Ein-Chip-System, Verfahren zum Betrieb eines Ein-Chip-Systems und Kraftfahrzeug |
| DE102017219242.9 | 2017-10-26 | ||
| PCT/EP2018/078215 WO2019081270A1 (de) | 2017-10-26 | 2018-10-16 | Ein-chip-system, verfahren zum betrieb eines ein-chip-systems und kraftfahrzeug |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311291465.2A Division CN117290841A (zh) | 2017-10-26 | 2018-10-16 | 单芯片系统,用于运行单芯片系统的方法及机动车 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111213144A true CN111213144A (zh) | 2020-05-29 |
| CN111213144B CN111213144B (zh) | 2023-10-24 |
Family
ID=63915021
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311291465.2A Pending CN117290841A (zh) | 2017-10-26 | 2018-10-16 | 单芯片系统,用于运行单芯片系统的方法及机动车 |
| CN201880066552.9A Active CN111213144B (zh) | 2017-10-26 | 2018-10-16 | 单芯片系统,用于运行单芯片系统的方法及机动车 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311291465.2A Pending CN117290841A (zh) | 2017-10-26 | 2018-10-16 | 单芯片系统,用于运行单芯片系统的方法及机动车 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US11783093B2 (zh) |
| EP (1) | EP3655876B1 (zh) |
| CN (2) | CN117290841A (zh) |
| DE (1) | DE102017219242A1 (zh) |
| WO (1) | WO2019081270A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102017221889B4 (de) | 2017-12-05 | 2022-03-17 | Audi Ag | Datenverarbeitungseinrichtung, Gesamtvorrichtung und Verfahren zum Betrieb einer Datenverarbeitungseinrichtung oder Gesamtvorrichtung |
| EP3570197A1 (en) * | 2018-05-16 | 2019-11-20 | Gemalto Sa | Electronic system and method for preventing malicious actions on a processing system of the electronic system |
| DE102020120277A1 (de) | 2020-07-31 | 2022-02-03 | Audi Aktiengesellschaft | Steuergerät für ein Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102724176A (zh) * | 2012-02-23 | 2012-10-10 | 北京市计算中心 | 一种面向云计算环境的入侵检测系统 |
| CN106254318A (zh) * | 2016-07-21 | 2016-12-21 | 柳州龙辉科技有限公司 | 一种网络攻击分析方法 |
| CN106548099A (zh) * | 2016-09-28 | 2017-03-29 | 深圳市华曦达科技股份有限公司 | 一种电路系统安全保护的芯片 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1811415A1 (en) * | 2005-12-23 | 2007-07-25 | Nagracard S.A. | Secure system-on-chip |
| US8127203B2 (en) * | 2007-09-17 | 2012-02-28 | Infineon Technologies Ag | Method, data processing apparatus and wireless device |
| US7725663B2 (en) | 2007-10-31 | 2010-05-25 | Agere Systems Inc. | Memory protection system and method |
| US7895404B2 (en) | 2008-02-14 | 2011-02-22 | Atmel Rousset S.A.S. | Access rights on a memory map |
| KR101058301B1 (ko) * | 2009-04-09 | 2011-08-22 | 삼성에스디에스 주식회사 | 휴대단말기에서의 시스템온칩 기반의 악성코드 검출 장치 |
| US8713294B2 (en) * | 2009-11-13 | 2014-04-29 | International Business Machines Corporation | Heap/stack guard pages using a wakeup unit |
| CN101989242B (zh) * | 2010-11-12 | 2013-06-12 | 深圳国微技术有限公司 | 一种提高soc系统安全的总线监视器及其实现方法 |
| DE102013227184A1 (de) | 2013-12-27 | 2015-07-02 | Robert Bosch Gmbh | Verfahren zur Absicherung eines Systems-on-a-Chip |
| US20160026824A1 (en) * | 2014-07-24 | 2016-01-28 | The Boeing Company | Security against memory replay attacks in computing systems |
| US10148761B2 (en) | 2015-04-09 | 2018-12-04 | Web Sensing, Llc | System-on-chip data security appliance and methods of operating the same |
| US9824243B2 (en) * | 2015-09-11 | 2017-11-21 | Nxp Usa, Inc. | Model-based runtime detection of insecure behavior for system on chip with security requirements |
| WO2017053806A1 (en) * | 2015-09-25 | 2017-03-30 | Acalvio Technologies, Inc. | Dynamic security mechanisms |
| KR20170077943A (ko) | 2015-12-28 | 2017-07-07 | 삼성전자주식회사 | 접근 제어 유닛을 포함하는 시스템 온 칩 및 시스템 온 칩을 포함하는 모바일 장치 |
| US10664413B2 (en) * | 2017-01-27 | 2020-05-26 | Lear Corporation | Hardware security for an electronic control unit |
-
2017
- 2017-10-26 DE DE102017219242.9A patent/DE102017219242A1/de active Pending
-
2018
- 2018-10-16 CN CN202311291465.2A patent/CN117290841A/zh active Pending
- 2018-10-16 EP EP18789370.6A patent/EP3655876B1/de active Active
- 2018-10-16 CN CN201880066552.9A patent/CN111213144B/zh active Active
- 2018-10-16 US US16/652,553 patent/US11783093B2/en active Active
- 2018-10-16 WO PCT/EP2018/078215 patent/WO2019081270A1/de unknown
-
2023
- 2023-09-19 US US18/470,176 patent/US20240028773A1/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102724176A (zh) * | 2012-02-23 | 2012-10-10 | 北京市计算中心 | 一种面向云计算环境的入侵检测系统 |
| CN106254318A (zh) * | 2016-07-21 | 2016-12-21 | 柳州龙辉科技有限公司 | 一种网络攻击分析方法 |
| CN106548099A (zh) * | 2016-09-28 | 2017-03-29 | 深圳市华曦达科技股份有限公司 | 一种电路系统安全保护的芯片 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200242276A1 (en) | 2020-07-30 |
| CN111213144B (zh) | 2023-10-24 |
| CN117290841A (zh) | 2023-12-26 |
| US11783093B2 (en) | 2023-10-10 |
| EP3655876A1 (de) | 2020-05-27 |
| DE102017219242A1 (de) | 2019-05-02 |
| US20240028773A1 (en) | 2024-01-25 |
| EP3655876B1 (de) | 2020-12-16 |
| WO2019081270A1 (de) | 2019-05-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9489332B2 (en) | System and method for virtual hardware memory protection | |
| US20240028773A1 (en) | Single-chip system, method for operating a single-chip system, and motor vehicle | |
| US8458791B2 (en) | Hardware-implemented hypervisor for root-of-trust monitoring and control of computer system | |
| CN107066311B (zh) | 一种内核数据访问控制方法与系统 | |
| US20170177854A1 (en) | Method and Apparatus for On-Demand Isolated I/O Channels for Secure Applications | |
| Sang et al. | Exploiting an I/OMMU vulnerability | |
| EP4155949A1 (en) | Method and apparatus for isolating kernel from task | |
| CN112528345A (zh) | 通信方法、装置、计算机可读存储介质和芯片 | |
| US20090172663A1 (en) | Method and apparatus for tamper resistant communication in a virtualization enabled platform | |
| CN110276214B (zh) | 一种基于从机访问保护的双核可信soc架构及方法 | |
| Kornaros et al. | Hardware support for cost-effective system-level protection in multi-core socs | |
| CN102929802B (zh) | 一种存储资源的保护方法及系统 | |
| US8782367B2 (en) | Memory area protection circuit | |
| US7676608B1 (en) | System for extending Multiple Independent Levels of Security (MILS) partitioning to input/output (I/O) devices | |
| CN112463288A (zh) | 基于插桩的行为监控方法及系统 | |
| US7555627B2 (en) | Input-output control apparatus, input-output control method, process control apparatus and process control method | |
| US11461490B1 (en) | Systems, methods, and devices for conditionally allowing processes to alter data on a storage device | |
| US11288404B2 (en) | Resource protection | |
| CN114616566A (zh) | 安全的硬件可编程体系架构 | |
| US20230342187A1 (en) | Processing of interrupts | |
| JP7183841B2 (ja) | 電子制御装置 | |
| EP3314516B1 (en) | System management mode privilege architecture | |
| US20220109680A1 (en) | Intercepting devices | |
| Biglari-Abhari et al. | Towards Secure Cyber-Physical Systems for Autonomous Vehicles | |
| WO2023283004A1 (en) | Debug in system on a chip with securely partitioned memory space |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |