CN111417947B - 用于车辆的单芯片系统 - Google Patents
用于车辆的单芯片系统 Download PDFInfo
- Publication number
- CN111417947B CN111417947B CN201880074960.9A CN201880074960A CN111417947B CN 111417947 B CN111417947 B CN 111417947B CN 201880074960 A CN201880074960 A CN 201880074960A CN 111417947 B CN111417947 B CN 111417947B
- Authority
- CN
- China
- Prior art keywords
- bus
- control unit
- chip
- access
- processor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R25/00—Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
- B60R25/20—Means to switch the anti-theft system on or off
- B60R25/24—Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user
- B60R25/241—Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user whereby access privileges are related to the identifiers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Abstract
本发明涉及一种用于车辆的控制装置的单芯片系统(片上系统、SoC),该单芯片系统包括:至少一个总线;与该至少一个总线连接的至少一个控制单元(控制器、Ctrlr),其用于控制分配给至少一个控制单元的外围设备;以及多个与至少一个总线连接的处理器(中央处理单元、CPU)。
Description
技术领域
本发明涉及一种用于车辆的控制装置的单芯片系统(片上系统、SoC),包括:至少一个总线;与该至少一个总线连接的至少一个控制单元(控制器、Ctrlr),该至少一个控制单元用于控制分配给至少一个控制单元的外围设备;以及多个与至少一个总线连接的处理器(中央处理单元、CPU)。
背景技术
单芯片系统将计算机的多个构件集成在一个组件中且越来越多地用于现代车辆中,例如中央控制装置(电子控制单元、ECU)中,中央控制装置用于控制车辆的不同功能系统。车辆的功能系统一方面包括安全系统,安全系统涉及车辆的行驶安全、例如发动机控制装置或制动系统;而另一方面涉及舒适系统,舒适系统提高车辆的驾驶员或车辆的其他乘客的舒适度,例如信息娱乐系统或空调设备。
每个功能系统包括一个或多个布置在车辆中的功能单元和分配给功能单元的操作系统(操作系统、OS),该操作系统在中央控制装置中存储和执行。相应地,在中央控制装置中通常存储有多个安全关键的操作系统和多个其他的例如涉及舒适度的操作系统,且这些操作系统由控制装置并行地执行。
经常地,安全系统和/或其他功能系统、如例如舒适系统不是由车辆制造方制造,而是由不同的第三方提供方供应。这可能导致:各自配置的操作系统相互间影响。操作系统这样的相互间影响可以不仅归因于无意的编程错误,而且也可以归因于:操作系统包括恶意软件,例如计算机病毒。接着可能导致受影响的操作系统的故障,这在安全关键的操作系统的情况下增加了车辆发生事故的危险性。
在该背景下,车辆制造方首先致力于:用于车辆的控制装置的单芯片系统设有有效的保护,以免多个在控制装置中存储的且并行执行的操作系统的相互间影响。
用于有效保护控制装置免于恶意软件的可能的出发点可以由恶意软件自身提供。每个恶意软件一般具有特征性的字节串(签名),在此可以以高概率准确地识别到该字节串。
例如文献US 2012/0036572 A1公开一种用于识别恶意软件的移动终端装置的单芯片系统。单芯片系统包括:总线、与总线连接的网络接口、与总线连接的处理器和与总线连接的恶意软件识别模块。恶意软件识别模块将通过总线传输的数据借助于模式识别方法(Pattern Recognition)与已知恶意软件的签名比较,该签名存储在布置在终端装置中的数据库中且被定期更新。
然而这样的方法的缺点在于,原则上始终无法对系统进行完全的保护。因为在新的未知的恶意软件的情况下,还没有签名可用于比较。再者,提供用于比较的签名数据库可以例如由于错过更新而是不完整的,由此受保护的装置被恶意软件侵害的风险进一步提高。除此之外,功能系统的操作系统的单纯的编程错误几乎不能根据特征性的字节串识别。
为了保护车辆的控制器,文献DE 10 2015 002 191 A1公开了一种处理器,该处理器使用存储在系统存储器中的安全代码,以用于特许地访问控制器的存储器。而文献DE 102016 123 744 A1公开了一种用于移动无线电网络的移动终端设备的单芯片系统,该单芯片系统具有保护系统,该保护系统控制处理器对于主存储器和外部的存储器设备的地址范围的访问,该处理器连接在单芯片系统上。
用于识别恶意软件的另一可能在于,分析外围设备的性能。由文献WO 2016/105832 A1已知用于识别在外围设备上的恶意软件的装置,该外围设备与该装置连接。该装置可以包括单芯片系统且配置为,检测外围设备的身份、监控与外围设备的通信、以及如果监控的通信与检测到的外围设备的身份不一致,那么阻止与外围设备的连接。一般出于安全原因不考虑阻止车辆的功能单元。
计算机网络——其中通常多个计算机经由一个或多个网络设备相互连接——可以备选或附加地借助于所谓的防火墙保护。防火墙用于监控计算机相互间的通信且配置为,准许许可的通信而禁止不许可的通信。在此防火墙至少设定为软件,该软件在计算机或网络装置中、例如路由器或交换机上存储且执行。
文献EP 1 260 910 A2描述一种这种带有多个网络接口的网络设备,网络设备可以利用相应的软件也配置为防火墙,以便保护连接到网络接口上的网络使用者免于未经许可的访问。网络设备包括一个或多个单芯片系统,所述一个或多个单芯片系统各自具有用于使网络使用者与多个标准接口相连接的多个网络接口、一个总线和多个处理器,所述多个处理器经由至少一个总线与多个接口连接,从而每个处理器访问每个接口。然而这样的防火墙自身可以是通过恶意软件攻击的目标,且其功能受到恶意软件影响,由此降低或消除对计算机网络的有效保护。
发明内容
本发明基于的目的在于,提供一种单芯片系统,其避免所述缺点且实现有效的保护。此外,本发明的目的在于,提出一种简单的用于实现单芯片系统的有效保护的方法。
本发明的主题是一种用于车辆的控制装置的单芯片系统(片上系统、SoC)。单芯片系统包括:至少一个总线;至少一个与至少一个总线连接的控制单元(控制器、Ctrlr),其用于控制分配给该至少一个控制单元的外围设备;多个与该至少一个总线连接的处理器(中央处理单元、CPU)。在这样的单芯片系统中,原则上每个处理器都可以访问每个控制单元并由此可以访问分配给控制单元的外围设备。为了访问确定的外围设备,处理器向分配给确定的外围设备的控制单元传送相应的访问请求。例如,数据存储器可以作为外围设备与单芯片系统的相应的控制单元连接。
按照本发明,单芯片系统包括保护系统(输入输出防火墙、IOFW),该保护系统配置为,准许确定的处理器对确定的控制单元进行许可的访问或准许确定的控制单元对确定的处理器进行许可的访问;以及阻止确定的处理器对确定的控制单元进行禁止的访问或阻止确定的控制单元对确定的处理器进行禁止的访问。保护系统以硬件构成且因此自身被保护免于有害的影响。借助于保护系统可以准确限定每个处理器的作用范围。换言之,可以有效保护外围设备、例如外部数据存储器免于处理器的访问。相反地,保护系统也可以保护每个处理器免于受到外围设备的中断(Interrupt(打断))。
在一个优选实施形式中,保护系统包括授权列表,该授权列表包括至少一个条目,该条目对应于该许可的访问或禁止的访问。授权列表因此不仅可以包括肯定条目、亦即授权条目,而且也可以包括否定条目、亦即排除条目。这允许规则和例外的简单的限定。
在一个实施形式中,每个条目都具有元组,元组包括处理器的ID、控制单元的ID、分配给控制单元的外围设备的地址范围以及特别是许可的访问的最大频率。通过说明地址范围,可以对于唯一的外围设备有差别地分配访问许可和访问禁止。这能实现通过多个处理器公共地且同时彼此单独地使用外围设备。许可的访问的最大频率应理解为每单位时间的最大数量的许可的访问。通过这样的说明可以防止由于由外围设备引起的中断(拒绝服务、DoS)而导致的处理器的阻塞的过载。
在另外的实施形式中,仅设有只读数据存储器(ROM),授权列表存储或可存储在其中。在只读数据存储器中有效保护授权列表免于不受控制的覆盖。
在另外的实施形式中,设有第一总线和与第一总线分开的第二总线,且多个处理器经由第一总线与保护系统连接,且保护系统经由第二总线与至少一个控制单元连接。在该配置的情况下,在处理器与外围设备之间的任意通信必须通过保护系统。
在一个实施形式中,保护系统配置为,将由第一总线或由第二总线接收的许可的访问请求各自输出给第二总线或第一总线,且阻止由第一总线或由第二总线接收的禁止的访问请求。该配置因此可以被称为总线阻塞的,这是因为该配置可以禁止、亦即阻止处理器访问外围设备的地址范围或者外围设备访问处理器,例如DoS攻击。不仅处理器而且分配给外围设备的控制单元因此都不需要得知保护系统的授权列表。
在一个备选实施形式中,设有正好一个总线,且保护系统与总线连接。在该配置下,在处理器与外围设备之间的任意通信可以由保护系统监控。不需要第二总线。
在一个实施形式中,保护系统配置为,监控总线,且在禁止的访问请求的情况下通知参与的处理器和/或参与的控制单元。在此,禁止的访问请求虽然到达参与的处理器或参与的控制单元,但是,参与的处理器或参与的控制单元仍然基于该通知而阻止实施所请求的访问。通常,参与的外围设备触发所谓的中断,以便获得参与的处理器对在外围设备中发生的事件的反应。在禁止的中断或在本身被许可的中断的过高频率的情况下可以由保护系统生成特定的中断,参与的处理器可以相应地对该特定的中断做出反应。
在一个实施形式中,保护系统经由单独的消息线路与处理器和/或控制单元连接。因此,保护系统可以通过经由消息线路发送信号来为处理器或控制单元指示禁止的访问请求。
在一个备选的实施形式中,总线具有附加的消息位,且保护系统配置为,在禁止的访问请求的情况下设定附加的消息位。相应地,保护系统可以通过设定消息位来为处理器或控制单元指示禁止的访问请求。
在另一实施形式中,保护系统配置为,改变分配给禁止的访问请求的数据,特别是将其设置为确定的值并且优选设置为零,在禁止的访问请求之后通过总线传输该数据。属于禁止的访问请求的数据通过保护系统的附加的改变可以进一步提高保护的有效性,特别是如果控制单元和/或连接到控制单元上的外围设备配置为:丢弃、亦即不处理由保护系统通过特定的方式、例如通过置零而改变的数据。
本发明的主题是一种用于控制单芯片系统(片上系统、SoC)、特别是按照本发明的单芯片系统的处理器(中央处理单元、CPU)与单芯片系统的用于对分配给控制单元的外围设备进行控制的控制单元(控制器、Ctrlr)相互间访问的方法,其中,由单芯片系统的保护系统(输入输出防火墙、IOFW)准许处理器许可地访问控制单元或准许控制单元许可地访问处理器以及阻止处理器未经许可地访问控制单元或阻止控制单元未经许可地访问处理器。保护系统可以通过这种方式准确地限定每个处理器的作用范围。由不同的处理器执行的不同操作系统可以相应精准地相互分开。反之,可以保护处理器免于受到外围设备的中断。
在一个优选实施形式中,将具有对应于许可的访问或禁止的访问的至少一个条目的授权列表在单芯片系统的启动顺序期间从只读存储器(只读存储器、ROM)加载到保护系统中,和/或将确定的处理器对确定的控制单元的每个访问请求与授权列表相比较。换言之,在单芯片系统的运行的非常早的时刻初始化保护系统,在此在实践中排除了由车辆的功能系统的操作系统进行初始化的不利的影响。
在单芯片系统的运行期间,可以通过简单地将相应的访问请求与授权列表相比较来区分许可的访问与禁止的访问。
附图说明
根据附图中的实施形式示意地示出本发明,且参照附图对本发明进行进一步描述。其中:
图1以示意图示出按照本发明的单芯片系统的一个实施形式的在只读数据存储器中存储的授权列表;
图2以示意图示出按照本发明的单芯片系统的一个实施形式的方框图;
图3以示意图示出在外围设备中发生事件的情况下在图2中示出的单芯片系统的方框图;
图4以示意图示出按照本发明的单芯片系统的另一实施形式的方框图;
图5以示意图示出在外围设备中发生事件的情况下在图4中示出的单芯片系统的方框图。
具体实施方式
图1示出按照本发明的单芯片系统10的一个实施形式的在只读数据存储器26中存储的授权列表21的示意图。授权列表21包括作为保护系统20(参见图2至5)的组分的多个条目22,这些条目各自对应于许可的访问。
每个条目22具有元组,元组包括单芯片系统10的处理器11、12的ID 23、单芯片系统10的控制单元15、16、17的ID 24以及分配给控制单元15、16、17的外围设备40、50的地址范围25。元组此外包括由以ID 24表示的控制单元15、16、17对以ID 23表示的处理器11、12进行许可的访问(未示出)的最大频率。
仅仅示例性地在此示出四个条目22,其中第一条目22定义了由全部处理器11、12共享的针对控制单元15、16、17的地址范围25,而其余三个条目22各自将控制单元15、16、17的地址范围25单独地分配给处理器11、12。授权列表21但是也可以包括如下条目22,该条目各自对应于禁止的访问,以便可以通过简单的方式确定在许可的地址范围25内的禁止区域。
只读数据存储器26设定为DRAM(动态随机存取存储器)且集成在单芯片系统10中,但是也可以构成为外部构件。单芯片系统10的处理器11、12各自包括保护系统寄存器27。
在单芯片系统10的启动顺序/引导顺序中,首先在只读数据存储器26中确定授权列表21的地址。随后,授权列表21从只读数据存储器26经由特定的保护系统寄存器27加载到保护系统20中。在单芯片系统的运行期间,随后由保护系统20应用授权列表21,以便将处理器11、12的访问请求30(参见图3)与许可的访问或禁止的访问相比较。
图2以示意图示出按照本发明的单芯片系统10的一个实施形式的方框图。单芯片系统10包括第一总线13和多个与第一总线13连接的处理器11、12。出于安全原因,处理器11设定为用于运行安全关键的操作系统,而处理器12设定为用于运行其他操作系统。
此外,单芯片系统10包括与第一总线13分开的第二总线14以及用于外部数据存储器的控制单元15、用于一般性目的的控制单元16以及其他控制单元17。控制单元15、16、17与第二总线14连接。
控制单元15分配给外围设备40,该外围设备构成为外部数据存储器。在外围设备40中,在不同的地址范围25中存储有安全关键的数据41和其他数据42。控制单元16和/或控制单元17被分配了另外的外围设备50,该另外的外围设备构成为接口(例如UART、l2C、SPI)。
单芯片系统10还包括保护系统20,该保护系统不仅与第一总线13而且与第二总线14连接。保护系统20配置为,将处理器11、12对控制单元15、16、17的每个访问请求30与授权列表21相比较,且准许确定的处理器11、12对确定的控制单元15、16、17进行许可的访问且阻止确定的处理器11、12对确定的控制单元15、16、17进行禁止的访问。
保护系统20的配置是总线堵塞的,从而由第一总线13或由第二总线14接收的许可的访问请求30各自输出给第二总线14或第一总线13,而由第一总线13或由第二总线14接收的禁止的访问请求30被阻止,亦即不输出给相应其他总线13、14。
图3以示意图示出在外围设备50中发生事件51的情况下在图2中示出的单芯片系统10的方框图。通过事件51在单芯片系统10的特定的中断发生器18中或一般的中断发生器19(通用中断控制器、GIC)中产生用于处理器11、12的中断,且经由第二总线14、保护系统20和第一总线13传送给许可的参与的处理器11、12。如果在外围设备50中发生事件51的频率并继而产生的中断的频率超过在授权列表21的对应的条目22中规定的最大频率,那么保护系统20阻止向条目22中记录的处理器11、12传送产生的中断。
图4以示意图示出按照本发明的单芯片系统10的另一实施形式的方框图。该单芯片系统10与上述单芯片系统的区别在于,设有正好一个总线13,且处理器11、12、控制单元15、16、17和保护系统20都与总线13连接。保护系统20的配置是总线监控的,从而使得总线13被监控,且在处理器11、12的禁止的访问请求30的情况下通过单独的消息线路28通知参与的控制单元15、16、17。此外,保护系统20配置为,将分配给禁止的访问请求30的数据——在禁止的访问请求30之后通过总线13传输该数据——设置到确定的值、例如设置为零。每个访问请求30包括保护系统标识符31、处理器ID 32、控制单元ID 33和地址范围34。保护系统标识符31被控制单元15、16、17忽略。
在一个未示出的备选的实施形式中,总线具有附加的消息位。相应地,保护系统20配置为,在禁止的访问请求30的情况下设置附加的消息位。
在单芯片系统10的运行期间,保护系统20将每个在总线13上传输的和设有保护系统标识符31的访问请求30与授权列表21的每个条目22检验和比较。在访问请求30的检验中,将访问请求30的处理器ID 32、控制单元ID 33和地址范围34各自与授权列表的每个条目22的处理器ID 23、控制单元ID 24和地址范围34相比较。如果该访问请求与授权列表的条目22一致,则保护系统20许可由访问请求30确定的访问。否则,保护系统20经由消息线路28通知参与的处理器11、12和/或控制单元15、16、17,且将分配给禁止的访问请求30的数据——该数据在禁止的访问请求30之后通过总线13传输——设置到确定的值,例如置零。
图5以示意图示出在外围设备50(参见图2)中发生事件51的情况下在图4中示出的单芯片系统10的方框图。通过事件51在单芯片系统10的特定的中断发生器18中或一般的中断发生器19中产生用于处理器11、12的中断。保护系统20经由单独的线路通知可能参与的处理器11、12。
按照本发明的单芯片系统20具有如下优点,以按照地址范围25以及由外围设备40、50对处理器11、12的中断进行区分的方式,许可或禁止处理器11、12对分配给控制单元15、16、17的外围设备40、50的访问。通过相应的保护系统20以硬件的方式实现为单芯片系统20的组件,该保护系统本身不会受到恶意软件的影响。安全相关的授权列表21通过只读数据存储器21保护免于损坏且在单芯片系统10的启动顺序期间初始化保护系统20。通过这种方式可以特别有效地保护车辆的功能系统的系统关键的操作系统免遭由于编程错误或恶意软件的损坏。
附图标记列表:
10单芯片系统
11处理器
12处理器
13(第一)总线
14第二总线
15用于外部数据存储器的控制单元
16用于一般性目的的控制单元
17其他控制单元
18特定的中断发生器
19一般的中断发生器
20保护系统
21授权列表
22条目
23处理器ID
24控制单元ID
25地址范围
26只读数据存储器
27保护系统寄存器
28消息线路
30访问请求
31保护系统标识符
32处理器ID
33控制单元ID
34地址范围
40外围设备
41安全关键的数据
42其他数据
50外围设备
51事件
Claims (15)
1.一种用于车辆的控制装置的单芯片系统(10),该单芯片系统包括:至少一个总线(13、14);与所述至少一个总线(13、14)连接的至少一个控制单元(15、16、17),其用于控制分配给所述至少一个控制单元(15、16、17)的外围设备(40、50);多个与所述至少一个总线(13)连接的处理器(11、12);和保护系统(20),该保护系统配置为,准许确定的处理器(11、12)对确定的控制单元(15、16、17)进行许可的访问或准许确定的控制单元(15、16、17)对确定的处理器(11、12)进行许可的访问,以及阻止确定的处理器(11、12)对确定的控制单元(15、16、17)进行禁止的访问或阻止确定的控制单元(15、16、17)对确定的处理器(11、12)进行禁止的访问。
2.根据权利要求1所述的单芯片系统,其中,保护系统(20)包括授权列表(21),所述授权列表包括至少一个条目(22),所述至少一个条目对应于许可的访问或禁止的访问。
3.根据权利要求2所述的单芯片系统,其中,每个条目(22)具有元组,所述元组包括处理器(11、12)的ID(23)、控制单元(15、16、17)的ID(24)、分配给控制单元(15、16、17)的外围设备(40、50)的地址范围(25)。
4.根据权利要求3所述的单芯片系统,其中,所述元组还包括许可的访问的最大频率。
5.根据权利要求1至4之一所述的单芯片系统,其中,设有只读数据存储器(18),授权列表(21)存储或能存储在所述只读存储器中。
6.根据权利要求1至4之一所述的单芯片系统,其中,设有第一总线(13)和独立于第一总线(13)的第二总线(14),多个处理器(11、12)经由第一总线(13)与保护系统(20)连接,保护系统(20)经由第二总线(14)与所述至少一个控制单元(15、16、17)连接。
7.根据权利要求6所述的单芯片系统,其中,保护系统(20)配置为,将由第一总线(13)或由第二总线(14)接收的许可的访问请求(30)各自输出给第二总线(14)或第一总线(13),而阻止由第一总线(13)或由第二总线(14)接收的禁止的访问请求(30)。
8.根据权利要求1至4之一所述的单芯片系统,其中,设有正好一个总线(13),保护系统(20)与该总线(13)连接。
9.根据权利要求8所述的单芯片系统,其中,所述保护系统(20)被配置为,对总线(13)进行监控,且在禁止的访问请求(30)的情况下通知参与的处理器(11、12)和/或参与的控制单元(15、16、17)。
10.根据权利要求8所述的单芯片系统,其中,保护系统(20)经由专门的消息线路(28)与处理器(11、12)和/或参与的控制单元(15、16、17)连接,或者,总线(13)具有附加的消息位,保护系统(20)配置为,在禁止的访问请求(30)的情况下设定附加的消息位。
11.根据权利要求10所述的单芯片系统,其中,保护系统(20)配置为,改变分配给禁止的访问请求(30)的数据,在禁止的访问请求(30)之后通过总线(13)传输该数据。
12.根据权利要求11所述的单芯片系统,其中,保护系统(20)配置为,将分配给禁止的访问请求(30)的数据设定为确定的值。
13.根据权利要求12所述的单芯片系统,其中,保护系统(20)配置为,将分配给禁止的访问请求(30)的数据设定为零。
14.一种用于控制根据权利要求1至13之一所述的单芯片系统(10)的处理器(11、12)与单芯片系统的用于对分配给控制单元(15、16、17)的外围设备(40、50)进行控制的控制单元(15、16、17)相互间访问的方法,其中,由单芯片系统的保护系统(20)准许处理器(11、12)对控制单元(15、16、17)的许可的访问或准许控制单元(15、16、17)对处理器(11、12)的许可的访问,以及阻止处理器(11、12)对控制单元(15、16、17)的未经许可的访问或阻止控制单元(15、16、17)对处理器(11、12)的未经许可的访问。
15.根据权利要求14所述的方法,其中,将保护系统(20)的、包括至少一个对应于许可的访问或禁止的访问的条目(22)的授权列表(21)在单芯片系统的启动顺序期间从只读数据存储器(18)加载到保护系统(20)中,和/或将确定的处理器(11、12)对确定的控制器(15、16、17)的每个访问请求(30)与保护系统(20)的授权列表(21)相比较。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102017220764.7A DE102017220764A1 (de) | 2017-11-21 | 2017-11-21 | Ein-Chip-System für ein Fahrzeug |
| DE102017220764.7 | 2017-11-21 | ||
| PCT/EP2018/081704 WO2019101671A1 (de) | 2017-11-21 | 2018-11-19 | Ein-chip-system für ein fahrzeug |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111417947A CN111417947A (zh) | 2020-07-14 |
| CN111417947B true CN111417947B (zh) | 2021-03-02 |
Family
ID=64402205
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880074960.9A Active CN111417947B (zh) | 2017-11-21 | 2018-11-19 | 用于车辆的单芯片系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11244082B2 (zh) |
| EP (1) | EP3679509B1 (zh) |
| CN (1) | CN111417947B (zh) |
| DE (1) | DE102017220764A1 (zh) |
| WO (1) | WO2019101671A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11144486B2 (en) * | 2020-02-27 | 2021-10-12 | Dell Products L.P. | System and method for overcoming in-band interrupt starvation with dynamic address remapping |
| US20230061577A1 (en) * | 2021-08-31 | 2023-03-02 | Micron Technology, Inc. | Vehicle-based safety processor |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006338385A (ja) * | 2005-06-02 | 2006-12-14 | Denso Corp | プロセッサシステム |
| CN101000583A (zh) * | 2007-01-08 | 2007-07-18 | 中国信息安全产品测评认证中心 | 一种智能卡与u盘复合设备及其非法访问企图超过阀值时自销毁的方法 |
| CN105656884A (zh) * | 2015-12-28 | 2016-06-08 | 延锋伟世通电子科技(上海)有限公司 | 基于安全元素的汽车总线安全控制装置及其控制方法 |
| CN105765541A (zh) * | 2013-12-03 | 2016-07-13 | 罗伯特·博世有限公司 | 用于机动车的控制器 |
| CN106919521A (zh) * | 2015-12-28 | 2017-07-04 | 三星电子株式会社 | 片上系统及包括片上系统的系统及移动装置 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6766389B2 (en) | 2001-05-18 | 2004-07-20 | Broadcom Corporation | System on a chip for networking |
| US7832009B2 (en) * | 2005-12-28 | 2010-11-09 | Foundry Networks, Llc | Techniques for preventing attacks on computer systems and networks |
| JP2007334432A (ja) * | 2006-06-12 | 2007-12-27 | Nec Electronics Corp | 情報処理装置及びそのアクセス制御方法 |
| KR101042733B1 (ko) | 2009-04-09 | 2011-06-20 | 삼성에스디에스 주식회사 | 휴대단말기에서의 시스템온칩 기반의 악성코드 검출 장치 |
| JP5815717B2 (ja) * | 2010-10-15 | 2015-11-17 | コーヒレント・ロジックス・インコーポレーテッド | マルチプロセッサシステムにおける通信の無効化 |
| US8527675B2 (en) * | 2011-07-27 | 2013-09-03 | Raytheon Company | System and method for implementing a secure processor data bus |
| DE102013203365A1 (de) * | 2013-02-28 | 2014-08-28 | Siemens Aktiengesellschaft | Verfahren und Schaltungsanordnung für kontrollierte Zugriffe auf Slave-Einheiten in einem Ein-Chip-System |
| US9836318B2 (en) * | 2014-02-21 | 2017-12-05 | Infineon Technologies Ag | Safety hypervisor function |
| US9268970B2 (en) * | 2014-03-20 | 2016-02-23 | Analog Devices, Inc. | System and method for security-aware master |
| US9712545B2 (en) | 2014-12-23 | 2017-07-18 | Mcafee, Inc. | Detection of a malicious peripheral |
| US10146963B2 (en) * | 2016-08-04 | 2018-12-04 | Dell Products L.P. | Systems and methods for dynamic external input/output port screening |
| JP6726088B2 (ja) * | 2016-12-15 | 2020-07-22 | ルネサスエレクトロニクス株式会社 | データ処理装置、及びアクセス制御方法 |
-
2017
- 2017-11-21 DE DE102017220764.7A patent/DE102017220764A1/de not_active Withdrawn
-
2018
- 2018-11-19 US US16/762,732 patent/US11244082B2/en active Active
- 2018-11-19 WO PCT/EP2018/081704 patent/WO2019101671A1/de unknown
- 2018-11-19 CN CN201880074960.9A patent/CN111417947B/zh active Active
- 2018-11-19 EP EP18807047.8A patent/EP3679509B1/de active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006338385A (ja) * | 2005-06-02 | 2006-12-14 | Denso Corp | プロセッサシステム |
| CN101000583A (zh) * | 2007-01-08 | 2007-07-18 | 中国信息安全产品测评认证中心 | 一种智能卡与u盘复合设备及其非法访问企图超过阀值时自销毁的方法 |
| CN105765541A (zh) * | 2013-12-03 | 2016-07-13 | 罗伯特·博世有限公司 | 用于机动车的控制器 |
| CN105656884A (zh) * | 2015-12-28 | 2016-06-08 | 延锋伟世通电子科技(上海)有限公司 | 基于安全元素的汽车总线安全控制装置及其控制方法 |
| CN106919521A (zh) * | 2015-12-28 | 2017-07-04 | 三星电子株式会社 | 片上系统及包括片上系统的系统及移动装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3679509B1 (de) | 2021-01-06 |
| US20200380175A1 (en) | 2020-12-03 |
| DE102017220764A1 (de) | 2019-05-23 |
| WO2019101671A1 (de) | 2019-05-31 |
| EP3679509A1 (de) | 2020-07-15 |
| CN111417947A (zh) | 2020-07-14 |
| US11244082B2 (en) | 2022-02-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10176326B2 (en) | Secure controller operation and malware prevention | |
| EP3274846B1 (en) | Dynamic configuration and peripheral access in a processor | |
| US10489332B2 (en) | System and method for per-task memory protection for a non-programmable bus master | |
| US20160373408A1 (en) | Usb firewall devices | |
| KR100901465B1 (ko) | Usb장치의 입출력 패킷 보호 방법 | |
| EP2973175B1 (en) | Managing device driver cross ring accesses | |
| CN111417947B (zh) | 用于车辆的单芯片系统 | |
| EP3462361B1 (en) | Method for securing runtime execution flow | |
| CN110276214B (zh) | 一种基于从机访问保护的双核可信soc架构及方法 | |
| EP3702947A1 (en) | Method for verifying at runtime of a hardware-application component a current configuration setting of an execution environment provided by a configurable hardware module | |
| US20230365162A1 (en) | Computer system for providing a plurality of functions for a device, in particular for a vehicle, by separation of a plurality of zones | |
| US11546367B2 (en) | Systems and methods for protecting automated systems using a gateway | |
| EP3693873B1 (en) | Systems and methods for configuring a gateway for protection of automated systems | |
| CN112219186B (zh) | 用于将程序代码包安装到设备中的方法以及设备和机动车 | |
| WO2024070044A1 (ja) | 検証システム、検証方法、及び、プログラム | |
| EP3694174B1 (en) | Systems and methods for protecting automated systems using a gateway | |
| US20230342187A1 (en) | Processing of interrupts | |
| US20220080989A1 (en) | Information processing apparatus, information processing method, and recording medium | |
| US20170374026A1 (en) | Electronic control device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |