CN112860448A - 用于车辆的电子控制单元中的访问控制的系统和方法 - Google Patents
用于车辆的电子控制单元中的访问控制的系统和方法 Download PDFInfo
- Publication number
- CN112860448A CN112860448A CN202010597099.3A CN202010597099A CN112860448A CN 112860448 A CN112860448 A CN 112860448A CN 202010597099 A CN202010597099 A CN 202010597099A CN 112860448 A CN112860448 A CN 112860448A
- Authority
- CN
- China
- Prior art keywords
- operating system
- base component
- decision
- interaction
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 62
- 230000003993 interaction Effects 0.000 claims abstract description 78
- 230000002452 interceptive effect Effects 0.000 claims abstract description 25
- 230000008569 process Effects 0.000 claims description 10
- 230000003044 adaptive effect Effects 0.000 claims description 5
- 230000015654 memory Effects 0.000 description 23
- 230000006854 communication Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 9
- 238000013459 approach Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 230000002093 peripheral effect Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000011161 development Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000036541 health Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 208000035155 Mitochondrial DNA-associated Leigh syndrome Diseases 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000003990 capacitor Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000002542 deteriorative effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- RGNPBRKPHBKNKX-UHFFFAOYSA-N hexaflumuron Chemical compound C1=C(Cl)C(OC(F)(F)C(F)F)=C(Cl)C=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F RGNPBRKPHBKNKX-UHFFFAOYSA-N 0.000 description 1
- 208000003531 maternally-inherited Leigh syndrome Diseases 0.000 description 1
- 238000012067 mathematical method Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/545—Interprogram communication where tasks reside in different layers, e.g. user- and kernel-space
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
- B60R16/0231—Circuits relating to the driving or the functioning of the vehicle
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/48—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mechanical Engineering (AREA)
- Automation & Control Theory (AREA)
- Databases & Information Systems (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Stored Programmes (AREA)
- Control By Computers (AREA)
- Combined Controls Of Internal Combustion Engines (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了用于车辆的电子控制单元(ECU)中的访问控制的系统和方法。在一个方面中,示例性方法包括:通过车辆的电子控制单元的操作系统(OS)的内核拦截对控制应用通过交互接口与基本部件交互的至少一个请求,所述交互接口是由用于与应用交互的所述基本部件提供的;从所述操作系统的安全子系统请求关于是否能够提供针对所述控制应用通过所述交互接口与所述基本部件的交互的访问的判决;以及当从所述安全子系统接收到授权所述访问的判决时,根据接收到的所述判决,提供所述基本部件与所述控制应用之间通过所述交互接口的交互。
Description
技术领域
本发明涉及计算机安全领域,并且更具体地,涉及用于车辆的电子控制单元中的访问控制的系统和方法。
背景技术
目前,随着新技术的发展,汽车工业正在迅速发展。正在快速地引入更舒适地控制车辆的新系统。这些系统通常基于计算机技术。
车辆的各种系统通过电子控制单元进行控制,电子控制单元执行各种算法。因此,例如,为了符合欧洲环保标准(EURO-4,EURO-5),汽车制造商不仅需要优化发动机,而且还需要优化这些发动机的控制系统,以确保更环保的排气,而不会恶化功率特性。为了更适应驾驭,对变速箱的控制系统进行了优化。这种适应是针对多种状况的。例如,变速箱可以适应于驾驶风格、道路状况和天气状况,使得变速箱更平稳或急剧地变换、与后轮或前轮接合并改变轮轴之间的扭矩传递力。到处都引入了更复杂的系统,即所谓的高级驾驶员辅助系统(A dvanced Driver-Assistance System,ADAS),例如自动泊车系统(使用传感器记录从车辆到障碍物的距离)、驾驶辅助系统(例如,通过摄像头对汽车在其车道上以及整个道路上的位置进行识别)以及自动紧急制动系统(例如,借助于红外传感器检测到障碍物时)。此外,其行驶由位于车辆上的计算机系统控制的电动汽车正在变得越来越流行(例如,如在出版物https://www.google.com/selfdri vingcar/中所描述的)。随着信息技术的发展,无人驾驶车辆(轻型和重型)的问题也变得越来越严重。
针对控制单元在其上运行的平台存在传统标准。用于车辆关键部件(诸如转向或制动系统)的控制单元是根据符合更高安全性要求的标准实现的。此外,用于车辆关键部件的这种控制单元通常在资源有限的单核处理器上运行(例如,通常使用具有低性能的中央处理器和较小内存的专用微控制器来实现)。另一方面,多媒体系统不具有更高的安全性要求,因为多媒体系统的功能(例如,媒体文件的再现或地图上的地理位置的显示)不会直接影响车辆中的人员的安全。目前正在开发的驾驶员辅助系统构成了多媒体和安全单元之间的“中间层”。因此,对驾驶员辅助系统提出了更高的安全性要求。在一些控制单元中,使用了实时系统,这又限制了可以由这些控制单元执行的算法。
目前,汽车开放系统架构(Autosar)联盟正在开发一个新标准,该标准描述了用于车辆中的当代高性能电子控制单元(Electronic Control Unit,ECU)的软件平台-汽车开放系统架构自适应平台(Autosar Adaptive Platform,AAP)。该标准的主要特征之一是要求保证在此基础上构建的系统的IT安全性。
然而,AAP标准仅对安全子系统提出了高级别的要求,而没有解决与实现该子系统有关的问题。该标准考虑了实现子系统的各种方法。例如,在一种示例性方法中,可以使用多个策略决策点(Policy Decision Point,PDP),而这些决策点本身可以以在AAP平台的控制下运行的附加应用的形式实现。使用该方法不允许(或明显复杂化)创建具有指定属性(诸如安全策略规范的完整性、其相互一致性、复杂安全策略的规范)的安全子系统。此外,使用该方法不允许声明在标准中已经为其基本部件和服务指定的安全属性。
发明内容
因此,需要一种通过安全操作系统控制对电子控制单元的访问的更优化的方式。
本发明的各个方面涉及电子控制单元(例如,车辆的控制单元)中的访问控制。所公开的方法和系统使得能够在车辆(例如,在汽车、卡车中等)的电子控制单元中的进程之间进行交互,同时对电子控制单元提供安全性。
在一个示例性方面中,提供了一种用于电子控制单元(ECU)中的访问控制的方法,所述方法包括:通过所述电子控制单元的操作系统的内核拦截对控制应用通过交互接口与基本部件交互的至少一个请求,所述交互接口是由用于与应用交互的所述基本部件提供的;从所述操作系统的安全子系统请求关于是否能够提供针对所述控制应用通过所述交互接口与所述基本部件的交互的访问的判决;以及当从所述安全子系统接收到授权所述访问的判决时,根据接收到的所述判决,提供所述基本部件与所述控制应用之间通过所述交互接口的交互。
在一个方面中,通过所述操作系统的所述安全子系统,所述方法确定关于是否可以针对所述应用通过所述交互接口与所述基本部件交互授权所请求的访问的判决。
在一个方面中,所述操作系统包括安全操作系统。
在一个方面中,所述ECU包括车辆的控制单元。
在一个方面中,所述基本部件包括汽车开放系统架构自适应平台(AAP)的至少一个程序元件。
在一个方面中,所述基本部件提供至少一个用于与其它基本部件交互的接口。
在一个方面中,所述操作系统的所述安全子系统为用于确定关于是否提供针对所述交互的访问的判决的单个点。
在一个方面中,所述操作系统的所述安全子系统使用形式化的安全模型确定所述判决。
在一个方面中,当所述基本部件与所述控制应用之间的交互符合所述形式化的安全模型时,所述判决允许所述基本部件和所述控制应用之间的交互。
在一个方面中,所述方法还包括:通过所述操作系统的所述安全子系统确定所述判决。
在一个方面中,所述交互包括用于控制所述ECU的应用的进程与所述基本部件之间的交互。
根据本发明的一个方面,提供了一种用于电子控制单元(ECU)中的访问控制的系统,所述系统包括硬件处理器,所述硬件处理器被配置为:通过所述电子控制单元的操作系统的内核拦截对控制应用通过交互接口与基本部件交互的至少一个请求,所述交互接口是由用于与应用交互的所述基本部件提供的;从所述操作系统的安全子系统请求关于是否能够提供针对所述控制应用通过所述交互接口与所述基本部件的交互的访问的判决;以及当从所述安全子系统接收到授权所述访问的判决时,根据接收到的所述判决,提供所述基本部件与所述控制应用之间通过所述交互接口的交互。
在一个示例性方面中,提供了一种非暂时性计算机可读介质,所述非暂时性计算机可读介质上存储有用于电子控制单元(ECU)中的访问控制的指令集,其中,所述指令集包括用于以下操作的指令:通过所述电子控制单元的操作系统的内核,拦截对控制应用通过交互接口与基本部件交互的至少一个请求,所述交互接口是由用于与应用交互的所述基本部件提供的;从所述操作系统的安全子系统请求关于是否能够提供针对所述控制应用通过所述交互接口与所述基本部件交互的访问的判决;以及当从所述安全子系统接收到授权所述访问的判决时,根据接收到的所述判决,提供所述基本部件与所述控制应用之间通过所述交互接口的交互。
本发明的方法和系统旨在提供用于车辆(例如,汽车、卡车等)的电子控制单元中的进程之间的交互。
附图说明
并入本说明书中并构成本说明书的一部分的附图示出了本发明的一个或多个示例方面,以及连同具体实施方式一起用来阐述这些示例性方面的原理和实施方式。
图1示出了用于控制车辆的计算机系统。
图2为根据本发明的各方面的电子控制单元的操作系统。
图3示出了根据本发明的各方面的用于电子控制单元(ECU)中的访问控制的示例性方法。
图4示出了可以在其上实现本发明的各方面的通用计算机系统的示例。
图5示出了用于根据AAP标准的规范(没有中介者)提供访问的方案的变型。
图6示出了用于使用中介者根据AAP标准的规范提供访问的方案的变型。
具体实施方式
本文中在用于电子控制单元(例如,车辆的电子控制单元)中的访问控制的系统、方法和计算机程序的上下文中描述各示例性方面。本领域普通技术人员将意识到,以下的描述仅仅是示例性的,而不旨在以任何方式进行限制。其它方面将很容易将其自身暗示给了解本发明的优点的本领域技术人员。现在将详细地参考如附图中所示的示例性方面的实现方式。贯穿附图和以下描述将尽可能地使用相同的附图标记来指代相同或相似的项目。
在一个方面中,本发明描述了用于电子控制单元中的访问控制的系统,其中,该系统是在计算机系统(例如,车辆的计算机等)上实现的,该系统包括现实世界的设备、系统、部件、或者多个部件的组合,现实世界的设备、系统、部件、或者多个部件的组合是使用硬件来实现的,诸如通过集成微控制电路(专用集成电路,ASIC)或者现场可编程门阵列(FPGA)来实现的,或者例如以硬件和软件的组合形式来实现的,诸如通过微处理器系统和程序指令集合,以及还可以在神经突触芯片上实现。系统的这些部件的功能可以仅通过硬件来实现,并且也可以以组合的形式来实现,其中,系统的一些功能通过软件来实现,而一些功能通过硬件来实现。在某些方面中,部件、系统等中的一些或全部可在通用计算机(诸如在图4中示出的通用计算机)的处理器上执行。此外,系统部件可以在单个计算设备内实现,也可以在多个互连的计算设备之间扩展。
图1示出了用于控制车辆101(诸如汽车、卡车等)的计算机系统。该计算机系统包括安装在车辆101上的一个或多个电子控制单元(ECU)100。在一个方面中,ECU 100执行汽车开放系统架构自适应平台(AAP)标准。
根据AAP标准,ECU 100的功能由一组基本部件110定义。此外,提供应用120以实现控制车辆101所需的某些功能。
在一个示例性方面中,基本部件是如AAP规范中定义的AAP平台的程序元件(例如,以应用、系统应用或服务的形式实现的),并且对于平台的完整操作(包括在平台控制下运行的应用的正常工作)是必需的。
如上所述,应用120实现车辆101的控制所需的某些功能。应用120包括二进制形式的应用的可执行代码和描述应用的基本属性的规范(清单),该规范以汽车开放系统架构可扩展标记语言(Autosar Extensible Markup Language,ARXML)表示。ARXML是基于XML语言的。该规范至少包括:
-应用120所需要的资源(诸如内存容量、与ECU处理器的某些核的链接);
-给定应用120需要在其中工作的系统状态(例如,当发动机关闭时,驾驶员辅助系统的应用120无法工作);以及
-由应用120向其它应用120提供的接口。
通过从应用120之间的进程间通信(Inter-Process Communication,IPC)的具体实现中抽象出来,应用120的规范(清单)用于获得对其它应用120的服务的访问。
应用120可以访问(与之交互)AAP标准的任一给定的基本部件110,并且通过利用基本部件100的接口所提供的服务来实现其功能。此外,应用120可以经由各个应用提供的接口来访问其他应用120。
通常,应用120安装在哪个ECU 100中并不重要。AAP标准提供了用于使得以对于应用120透明的方式连接到安装并运行在其它ECU 100中的其它应用120的机制。
下面给出本发明的基本部件110的示例。例如,基本部件110可以包括以下至少之一:执行管理器、通信管理器、平台健康管理器、时间同步管理器、身份和访问控制管理器等。
执行管理器(execution manager)是用于执行应用的部件。根据系统的状态,该基本部件110基于系统的当前状态启动或停止某些应用120。例如,如果汽车在发动机关闭的状态下停车,则这是一种状态,并且系统提供对一组应用的访问;如果汽车在行驶,则这是另一种状态,并且系统提供对另一组应用(可能还包括来自第一组的应用)的访问。
通信管理器(communication manager)是用于交互监控的部件。借助于交互管理器,对由应用120提供的服务执行注册。检测由应用120提供的服务,并启用与这些服务的信息交互。
平台健康管理器(platform health manager)用于可操作性监控。该部件使得能够确定系统中的检查点,并可以监控部件110和应用120的正常工作。
时间同步管理器(time synchronization manager)是在车辆101的所有系统中提供统一时间的部件。由于可以在车辆101内的不同ECU 100中执行应用120,因此可以通过时间同步管理器提供时间同步。
身份和访问管理器(identity and access manager,IAM)用作访问控制部件,并负责标识和保存应用120的所有允许的交互。在图1中,IAM 111标识并保存应用120(包括应用#1,应用#2,...,应用#M)的所有允许的交互。例如,假设有两个应用A和B。还假设应用B向应用A提供某些服务,而应用B的服务接口包含应用B的清单中描述的一组方法。IAM 111具有指定应用A可以访问应用B的服务的哪些方法的能力。利用相同的方案来确定哪些应用120可以获得访问平台的基本部件。IAM 111分析应用120的清单并授予执行一个交互或另一交互的许可。
对于根据AAP标准工作的平台,这些基本部件110的组合可以用于创建应用。
AAP规范包括针对解决安全性的部件的提议。在基于AAP规范设计的系统中,可以指定负责制定安全性决策(策略决策点,PDP)的任一数量的部件。此外,可以指定用于实施这些决策(策略执行点(Policy Enforcement Point),PEP)的部件。同时,没有给出关于这些部件的功能的细节。此外,该规范声明可以在AAP的每个实现中单独定义这些细节,包括例如将PDP和PEP作为附加应用120或中介者执行的可能性。
为了便于理解,图5和图6中示出了根据AAP标准的规范提供访问的变型方案。具体地,图5示出了用于根据AAP标准的规范(没有中介者)提供访问的方案的变型。图6示出了用于使用中介者根据AAP标准的规范提供访问的方案的变型。为了更清楚起见,对用于交互许可的请求用虚线表示,而交互本身用实线(标记为IPC)表示。
如上所述,在AAP标准中,需要交互许可的应用120或部件110将访问IAM 111并从IAM 111接收许可。图5示出了这样的示例,应用A从IAM 111请求与应用B交互且用于与基本部件交互的许可。
在AAP标准的另一示例性方面中,决策点可以安装在IAM 111内,或者可以在与IAM111一起工作的特定应用121(如图6所示)中实现,甚至如果需要复杂的安全性测量,则可以在多个应用121中实现。应当注意,在给定的实现中,进程间通信也可以通过应用121实现。
图5和图6中所指示的方法具有相当多的缺陷,包括:
-不同的AAP实现方式之间缺乏兼容性;
-难以指定所需的安全策略并监控其属性(诸如完全覆盖、一致性、用于计算关于允许交互的决策的时间等);以及
-对通过AAP标准设计的系统的受信任代码库的增加缺乏控制。
为了消除这些缺陷,本发明提供了示例性IAM 111部件。下面结合图2描述本发明的IAM 111。
图2示出了根据本发明的各方面的车辆101的电子控制单元(ECU)100的操作系统200。在一个方面中,操作系统200是安全操作系统(通常也称为受保护的OS或强化的OS)。在一个方面中,安全操作系统包括卡巴斯基(Kaspersky)操作系统(KOS 200,如图2所示)。
如上所述,AAP标准提出了基于该标准确保系统和平台的IT安全的要求。然而,该标准仅提供了对安全子系统的高级别要求,而没有解决关于该子系统的实现的问题。为了解决上述缺陷,在一个方面中,本发明提供了用于在ECU 100中提供访问的安全操作系统。
注意,AAP标准的文本描述了实现的各种方法,例如,一变型可以使用多个PDP点和PEP点,而如上所述,这些PDP点和PEP点本身可以以在基于AAP标准的平台的控制下工作的附加应用120的形式实现。使用该方法不允许(或在任何情况下都会显著复杂化)创建具有指定属性(诸如安全策略的完整说明、这些策略的相互一致性、对PDP和PEP代码的确定的信任、复杂安全策略的规范)的安全子系统。此外,该方法也不允许实现在AAP标准中已针对其基本部件110描述的安全属性。
基于AAP标准建立的系统的可信代码库的发行对于车辆101的控制系统极其重要。基于AAP标准构建的系统的可信代码库包括确保系统安全的一组部件,从而这些部件(甚至只有部件之一)的折中或不当操作将导致整个系统的安全属性受到侵犯。从这个角度来看,PDP和PEP的代码都必须包含在基于AAP标准构建的系统的可信代码库中。然而,在这种情况下,当需要指定基于AAP标准构建的复杂系统的安全属性时,除非采取额外的步骤,否则要保证PDP和PEP的正常工作是极其困难的。作为这些步骤的一示例,可以考虑对PDP和PEP的实现进行形式化验证(例如,通过形式化数学方法进行的验证),或者根据可以保证其正常工作的规则来生成PDP和PEP代码。
如上所述,原始的AAP标准提供访问控制部件或IAM 111,该访问控制部件或IAM111是根据AAP标准在系统中进行的通信进程的检查点。在一个方面中,本发明描述了如下对IAM 111的功能的更改。在保留IAM 111的程序接口的同时实现该更改。
首先,本发明提供了基于安全操作系统(即,安全操作系统200)的AAP程序平台。图2示出了安全操作系统(OS)的一个示例(诸如Kaspersky OS 200)。安全操作系统(例如,Kaspersky OS 200)的关键属性是它能够实现与MILS(Multiple Independent Levels ofSecurity,多个独立的安全级别)架构对应的用于AAP的安全子系统。
安全操作系统(例如,Kaspersky OS 200)的一个特征是可以监控系统中的进程间通信。KOS 200可以用于使得能够指定与同时使用的大量形式化安全模型进行交互的最大量的详细安全策略。
在一个方面中,该功能可以由安全OS的单独的子系统提供。例如,单独的子系统可以为卡巴斯基安全系统(Kaspersky Security System,KSS)220,如图2所示。
应当注意,在标题为“System and method for selecting a synchronous orasynchronous inter-process communication mechanism”的美国专利US 9,201,712中描述了在卡巴斯基OS 200中实现的进程间通信的方法。在标题为“Computer securityarchitecture and related computing method”的美国专利US 9,774,568中描述了子系统KSS 220。
在一个方面中,OS的安全子系统是用于确定关于是否要提供针对交互的访问的判决的单个点。例如,在卡巴斯基OS的控制下工作的程序部件之间进行交互的单一机制是由操作系统200的内核(微内核)210提供的IPC。在管理IPC的进程中,内核210从KSS 220请求关于是否允许执行IPC的判决(关于授予或拒绝针对交互的访问的判决)。KSS 200有权访问在IPC进程中正在传输的数据,并且KSS 200会根据针对许可指定的安全策略对该通信进行分析,然后确定(计算)是否要授权针对所述交互的访问的判决。然后,将确定的判决提供给内核210。然后,该判决被内核210所应用。
此外,KSS 200可以提供到程序部件的接口(KSS安全接口),该接口允许指定安全策略的参数以及从KSS 200获取关于是否可以执行这些或那些动作的判决。
为了说明,参照图2,考虑用于授权从应用A访问应用B的服务的进程。首先,在系统启动后,应用A和应用B之间的所有交互都被禁止。这意味着,当试图执行这样的交互时,内核210将从KSS 220请求许可以执行这种交互,并且将接收到答复,使得不可以进行交互。因此,将阻止执行这种交互的尝试。
然而,如果应用A的清单包含可以与应用B的服务进行交互的声明,则IAM 111在收到该清单后将对清单进行分析,以确定清单的完整性和真实性,并从清单中获取描述可允许的交互的信息。接下来,具有修改解决方案的安全配置参数的专有权的部件IAM 111将通过安全接口KSS 220指定安全配置的参数,该参数指示是否可以执行交互。然后,在该参数指示可以执行交互的情况下,当试图从应用A获得对应用B的服务的访问时,KSS 200将作出肯定的判决,并且可以执行交互。
让我们考虑可以用于实现上述行为的安全策略的示例。
假设应用A具有标识符ID_A,该标识符ID_A可以由OS的内核210独立于该应用进行定义。类似地,应用B具有标识符ID_B。该标识符可以是例如与给定应用相关联的进程的ID。此外,应用B具有一组服务(诸如接口方法),每个服务都有其自己的标识符,这些标识符的值在应用B的清单中被指定。例如,应用A的清单可以包含关于获得访问应用B的服务(具有标识符ID_SERVICE_B_1)的可能性的声明。
在信息交换的过程中,OS的内核210可以访问所有这些参数,并且内核210可以将这些参数发送到KSS 220,以便KSS 2200对是否可以发生交互作出判决。
在一个方面中,KSS 220实现如下设计的安全策略。首先,维护包含多个三元组的列表,每个三元组包括:客户端应用的标识符、服务应用的标识符以及服务应用内的服务的标识符。在一个方面中,“列表(list)”-类型的容器可以用来简化描述。在其它方面中,可以使用其它容器。例如,可以使用诸如“字典(dictionary)”之类的容器来减少计算判决的时间。为了做出决定,对于每个交互,KSS 220获取组成三元组的标识符的列表并在该列表中执行搜索。如果在该列表中找到给定的三元组,则允许交互。否则,禁止交互。
注意,该列表仅在ECU 100启动之后为空。然而,IAM 111可以访问KSS 220的安全接口,并且可以通过该接口将新的三元组添加到列表中。
在一个方面中,IAM 111通过分析应用的清单来发现允许的交互。然后,IAM 111获取所允许的交互的相应标识符,并使用安全接口将该标识符(如上所述)添加到KSS 220的安全策略列表中。同时,禁止其它交互,如前所述。
在一个方面中,本发明提供了以下列举的属性。
1)在系统(例如,在OS的内核210)中发生所有交互的点处提供检查-从而防止未经过检查的交互的执行。
2)系统具有使用形式化的安全模型进行操作的单个决策点(PDP)。PDP的使用能够使得系统:保证完整且一致性的安全策略、在可预测的时间内计算用于授权针对交互的访问的判决、以及使用形式化机制来评估安全模型的质量(例如,决策时间)。在上述的MILS体系架构中,建议在运行最低级别的操作系统的系统(即,在上述内核210)中具有一个(单个)PDP。本发明提供使用该方法的实现方式。因此,在一个方面中,使用形式化的安全模型来确定判决。在一个方面中,当基本部件与控制应用之间的交互符合形式化的安全模型时,该判决允许交互。
3)本发明的安全操作系统保证了在安全子系统(例如,KSS 220)的监控下执行所有的交互。交互的规则以高级语言描述。计算判决的代码是生成的代码,从而确保对要在KSS 200中计算判决的部件(即应用120)的高等级信任。例如,规则声明部件A无法访问部件B。然而,该规则还可以声明部件A可以访问部件C,并且部件C可以访问部件B。通过使用完整性模型,KSS 200将发现规则不正确,并且在分析安全配置的步骤期间将出现错误。
本发明描述了确保满足AAP标准的要求、同时利用安全OS(例如,Kaspersky OS)提供的安全范例的优点的方法。
本发明的方法与其它方法之间的主要区别在于以下事实:IAM 111既不是实现安全策略的部件,也不是提供判决执行的部件。在本发明的系统中,IAM 111仅是用于配置全局安全策略的装置。因此,本方法使得能够显著简化IAM 111,从而进行可能的详细的分析,以便识别潜在的漏洞和错误。使用KSS 220在OS的内核210中独立实现实际的安全策略、计算判决的机制及其执行。
因此,车辆101的ECU 100在操作系统(例如,安全操作系统200)的控制下运行,ECU100被设计为实现用于控制车辆101和基本部件110的应用120。安全操作系统200包含内核210和安全子系统220。基本部件110实施在安全操作系统200中,并提供用于与应用120和其它基本部件110交互的接口。用于控制车辆101的应用120也被实施在安全操作系统200中,并且通过交互接口与基本部件110交互。在通常情况下,所述交互接口是用于进程间通信的接口。
安全操作系统的内核210通过接口在基本部件110和应用120之间提供进程间通信,以用于控制车辆101。为此,内核210通过提供的交互接口拦截应用120与基本部件110的交互的请求。然后,基于从安全操作系统200的安全子系统220接收到的判决,进行交互的提供。
安全操作系统200的安全子系统220是用于授权访问的单个决策点。在通常情况下,通过使用形式化的安全模型,安全操作系统200的安全子系统220确定/提供关于授权通过交互接口对基本部件100的访问的判决。如果车辆101的基本部件110和控制应用120之间的交互符合形式化的安全模型,则通过安全操作系统200的安全子系统220授权访问。
图3示出了根据本发明的各方面的用于电子控制单元(ECU)中的访问控制的示例性方法300。
在步骤310中,方法300通过ECU的操作系统(OS)的内核拦截对控制应用通过交互接口与基本部件交互的至少一个请求,所述交互接口是由用于与应用交互的基本部件提供的。在一个优选方面中,操作系统(OS)为安全操作系统(诸如Kaspersky操作系统)。基本部件110是在AAP规范中定义的平台的程序元件。此外,基本部件110提供了用于与应用120交互的接口。
在步骤320中,方法300通过OS的内核210从操作系统200的安全子系统220请求关于是否可以提供针对控制应用通过交互接口与基本部件的交互的访问的判决。在一个方面中,操作系统200的安全子系统为单个决策点,即用于计算关于提供针对交互的访问的判决的单个点。
在可选步骤330中,方法300通过操作系统200的安全子系统220确定(即,计算或作出判决)关于是否可以提供针对应用120通过交互接口与基本部件110的交互的访问的判决。在一个方面中,操作系统200的安全子系统220使用形式化的安全模型计算判决。如果基本部件110和应用120之间的交互符合形式化的安全模型,则计算出的判决允许车辆101的基本部件110和控制应用120之间的交互。
在步骤335中,方法300确定是否授权针对交互的访问。当授权访问时,所述方法前进到步骤340。否则,所述方法返回至步骤310。
在步骤340中,当从安全子系统接收到授权访问的判决时,方法300由OS的内核根据接收到的判决提供基本部件和控制应用之间通过交互接口的交互。然后,方法300返回到步骤310。
图4是示出了计算机系统20的框图,在计算机系统20上可以实施用于车辆的电子控制单元(ECU)中的访问控制的系统和方法的各方面。计算机系统20可以是以多个计算设备的形式或者以单个计算设备的形式,例如:台式电脑、笔记本电脑、手提电脑、移动计算设备、智能手机、平板电脑、服务器、主机、嵌入式设备和其它形式的计算设备。
如图所示,计算机系统20包括中央处理单元(Central Processing Unit,CPU)21、系统存储器22和连接各种系统部件的系统总线23,各种系统部件包括与中央处理单元21相关联的存储器。系统总线23可以包括总线存储器或总线存储器控制器、外围总线、以及能够与任何其它的总线架构交互的本地总线。总线的示例可以包括PCI、ISA、串行总线(PCI-Express)、超传输TM(HyperTransport TM)、无限带宽TM(InfiniBand TM)、串行ATA、I2C、和其它合适的互连。中央处理单元21(也称为处理器)可以包括单组或多组具有单核或多核的处理器。处理器21可以执行实现本发明的技术的一种或多种计算机可执行代码。系统存储器22可以为用于存储本文中所使用的数据和/或由处理器21可执行的计算机程序的任何存储器。系统存储器22可以包括易失性存储器(诸如随机存取存储器(Random Access Memory,RAM)25)和非易失性存储器(诸如只读存储器(Read-Only Memory,ROM)24、闪存等)或其任一组合。基本输入/输出系统(Basic Input/Output System,BIOS)26可以存储用于在计算机系统20的元件之间传输信息的基本程序,例如在使用ROM 24加载操作系统时的那些基本程序。
计算机系统20可以包括一个或多个存储设备,诸如一个或多个可移除的存储设备27、一个或多个不可移除的存储设备28、或其组合。所述一个或多个可移除的存储设备27和一个或多个不可移除的存储设备28借助存储器接口32连接到系统总线23。在一个方面中,存储设备和相应的计算机可读存储介质为用于存储计算机指令、数据结构、程序模块、和计算机系统20的其它数据的电源独立的模块。系统存储器22、可移除的存储设备27和不可移除的存储设备28可以使用各种各样的计算机可读存储介质。计算机可读存储介质的示例包括:机器存储器,诸如缓存、SRAM、DRAM、零电容RAM、双晶体管RAM、eDRAM、EDO RAM、DDR RAM、EEPROM、NRAM、RRAM、SONOS、PRAM;闪存或其它存储技术,诸如在固态驱动器(Solid StateDrive,SSD)或闪存驱动器中;磁带盒、磁带、和磁盘存储器,诸如在硬盘驱动器或软盘驱动器中;光学存储器,诸如在光盘(CD-ROM)或数字通用光盘(Digital Versatile Disk,DVD)中;以及可用于存储期望数据且可被计算机系统20访问的任何其它介质。
计算机系统20的系统存储器22、可移除的存储设备27和不可移除的存储设备28可以用于存储操作系统35、附加应用程序37、其它程序模块38和程序数据39。计算机系统20可以包括用于传送来自输入设备40的数据的外围接口46,诸如键盘、鼠标、触针、游戏控制器、语音输入设备、触点输入设备、或其它外围设备,诸如借助一个或多个I/O端口的打印机或扫描仪,该一个或多个I/O端口诸如串行端口、并行端口、通用串行总线(Universal SerialBus,USB)、或其它外围接口。显示设备47(诸如一个或多个监控器、投影仪或集成显示器)也可以通过输出接口48(诸如视频适配器)连接到系统总线23。除了显示设备47之外,计算机系统20还可以装配有其它外围输出设备(未示出),诸如扬声器和其它视听设备。
计算机系统20可以使用与一个或多个远程计算机49的网络连接而在网络环境中工作。所述一个或多个远程计算机49可以为本地计算机工作站或服务器,其包括前面在描述计算机系统20的性质时所述的元件中的大多数元件或全部元件。其它设备也可以存在于计算机网络中,诸如但不限于路由器、网站、对等设备或其它的网络节点。计算机系统20可以包括用于借助一个或多个网络而与远程计算机49通信的一个或多个网络接口51或网络适配器,该一个或多个网络诸如局域计算机网络(Local-Area computer Network,LAN)50、广域计算机网络(Wide-Area computer Network,WAN)、内联网、和因特网。网络接口51的示例可以包括以太网接口、帧中继接口、SONET接口、和无线接口。
本发明的各个方面可以为系统、方法和/或计算机程序产品。计算机程序产品可以包括一种或多种计算机可读存储介质,该计算机可读存储介质上具有用于使处理器执行本发明的方面的计算机可读程序指令。
计算机可读存储介质可以为有形设备,该有形设备可以保持且存储指令或数据结构的形式的程序代码,该程序代码可以被计算设备(诸如计算系统20)的处理器访问。计算机可读存储介质可以为电子存储设备、磁性存储设备、光学存储设备、电磁存储设备、半导体存储设备、或其任何合适组合。作为示例,这类计算机可读存储介质可以包括随机存取存储器(RAM)、只读存储器(ROM)、电可擦可编程只读存储器(EEPROM)、便携式光盘只读存储器(CD-ROM)、数字通用光盘(DVD)、闪存、硬盘、便携式电脑磁盘、记忆棒、软盘、或甚至机械编码设备,诸如在其上记录有指令的凹槽中的打孔卡或凸起结构。如在本文中所使用的,计算机可读存储介质不应被视为暂时性信号本身,暂时性信号诸如无线电波或其它自由传播的电磁波、通过波导或传输介质传播的电磁波、或通过电线传输的电信号。
可以将本文中所描述的计算机可读程序指令从计算机可读存储介质下载到相应的计算设备、或借助网络(例如,因特网、局域网、广域网和/或无线网络)下载到外部计算机或外部存储设备。该网络可以包括铜传输电缆、光学传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。在每个计算设备中的网络接口从网络接收计算机可读程序指令并转发该计算机可读程序指令,用以存储在相应的计算设备内的计算机可读存储介质中。
用于执行本发明的操作的计算机可读程序指令可以为汇编指令、指令集架构(Instruction-Set-Architecture,ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或以一种或多种编程语言(包括面向对象的编程语言和传统程序化编程语言)的任一组合编写的源代码或目标代码。计算机可读程序指令(作为独立的软件包)可以完全地在用户的计算机上、部分地在用户的计算机上、部分地在用户的计算机上且部分地在远程计算机上、或完全地在远程计算机或服务器上执行。在后一种场景中,远程计算机可以通过任何类型的网络(包括LAN或WAN)连接到用户的计算机,或可以进行与外部计算机的连接(例如通过因特网)。在一些方面中,电子电路(包括例如可编程逻辑电路、现场可编程门阵列(FPGA)、或可编程逻辑阵列(Programmable Logic Array,PLA))可以通过利用计算机可读程序指令的状态信息而执行计算机可读程序指令,以使该电子电路个性化,从而执行本发明的各方面。
在各个方面,本发明所描述的系统和方法可通过模块来论述。本文中所使用的术语“模块”指使用硬件来实施的现实世界的设备、部件、或者多个部件的排列,诸如通过专用集成电路(ASIC)或者现场可编程门阵列(FPGA),或者作为硬件和软件的组合,诸如通过微处理器系统和用以实施模块的功能的指令集合,该功能(在执行时)将微处理器系统转变成专用设备。模块还可实现为如下两种功能的组合,一些功能单独通过硬件实现、以及其它功能通过硬件和软件的组合实现。在某些实施方式中,至少一部分模块,在一些情况下,全部的模块可在通用计算机(诸如在上文图4中更详细描述的通用计算机)的处理器上执行。相应地,各个模块可以各种各样的合适的配置来实现,且不应局限于文中所示例的任何特定的实施方式。
为了清楚起见,本文中没有公开各个方面的所有例程特征。应当领会的是,在本发明的任何实际的实现方式的开发中,必须做出许多特定实现方式的决定,以便实现开发者的特定目标,并且这些特定目标将对于不同的实现方式和不同的开发者变化。应当理解的是,这种开发努力会是复杂的且费时的,但对于了解本发明的优点的本领域的普通技术人员来说仍然是工程的例行任务。
此外,应当理解的是,本文中所使用的措辞或术语出于描述而非限制的目的,从而本说明书的术语或措辞应当由本领域技术人员根据本文中所提出的教导和指导结合相关领域技术人员的知识来解释。此外,不旨在将本说明书或权利要求中的任何术语归于不常见的或特定的含义,除非明确如此阐述。
本文中所公开的各个方面包括本文中以说明性方式所引用的已知模块的现在和未来已知的等同物。此外,尽管已经示出并描述了各个方面和应用,但是对于了解本发明的优点的本领域技术人员将明显的是,在不脱离本文中所公开的发明构思的前提下,相比于上文所提及的内容而言的更多修改是可行的。
Claims (20)
1.一种用于电子控制单元中的访问控制的方法,所述方法包括:
通过所述电子控制单元的操作系统的内核,拦截对控制应用通过交互接口与基本部件交互的至少一个请求,所述交互接口是由用于与应用交互的所述基本部件提供的;
通过所述操作系统的内核,从所述操作系统的安全子系统请求关于是否能够提供针对所述控制应用通过所述交互接口与所述基本部件的交互的访问的判决;以及
当从所述安全子系统接收到授权所述访问的判决时,由所述操作系统的内核根据接收到的所述判决,提供所述基本部件与所述控制应用之间通过所述交互接口的交互。
2.根据权利要求1所述的方法,其中,所述操作系统包括安全操作系统。
3.根据权利要求1所述的方法,其中,所述电子控制单元包括车辆的控制单元。
4.根据权利要求1所述的方法,其中,所述基本部件包括汽车开放系统架构自适应平台的至少一个程序元件。
5.根据权利要求1所述的方法,其中,所述基本部件提供至少一个用于与其它基本部件交互的接口。
6.根据权利要求1所述的方法,其中,所述操作系统的所述安全子系统为用于确定关于是否提供针对所述交互的访问的判决的单个点。
7.根据权利要求1所述的方法,其中,所述操作系统的所述安全子系统使用形式化的安全模型确定所述判决。
8.根据权利要求7所述的方法,其中,当所述基本部件与所述控制应用之间的交互符合所述形式化的安全模型时,所述判决允许所述基本部件和所述控制应用之间的交互。
9.根据权利要求1所述的方法,还包括:
通过所述操作系统的所述安全子系统确定所述判决。
10.根据权利要求1所述的方法,其中,所述交互包括用于控制所述电子控制单元的应用的进程与所述基本部件之间的交互。
11.一种用于电子控制单元中的访问控制的系统,包括:
计算设备的至少一个处理器,所述至少一个处理器被配置为:
通过所述电子控制单元的操作系统的内核,拦截对控制应用通过交互接口与基本部件交互的至少一个请求,所述交互接口是由用于与应用交互的所述基本部件提供的;
通过所述操作系统的内核,从所述操作系统的安全子系统请求关于是否能够提供针对所述控制应用通过所述交互接口与所述基本部件的交互的访问的判决;以及
当从所述安全子系统接收到授权所述访问的判决时,由所述操作系统的内核根据接收到的所述判决,提供所述基本部件与所述控制应用之间通过所述交互接口的交互。
12.根据权利要求11所述的系统,其中,所述操作系统包括安全操作系统。
13.根据权利要求11所述的系统,其中,所述电子控制单元包括车辆的控制单元。
14.根据权利要求11所述的系统,其中,所述基本部件包括汽车开放系统架构自适应平台的至少一个程序元件。
15.根据权利要求11所述的系统,其中,所述基本部件提供至少一个用于与其它基本部件交互的接口。
16.根据权利要求11所述的系统,其中,所述操作系统的所述安全子系统为用于确定关于是否提供针对所述交互的访问的判决的单个点。
17.根据权利要求11所述的系统,其中,所述操作系统的所述安全子系统使用形式化的安全模型确定所述判决。
18.根据权利要求11所述的系统,所述处理器还被配置为:
通过所述操作系统的所述安全子系统确定所述判决。
19.一种非暂时性计算机可读介质,所述非暂时性计算机可读介质上存储有用于电子控制单元中的访问控制的计算可执行指令,所述计算机可执行指令包括用于以下操作的指令:
通过所述电子控制单元的操作系统的内核,拦截对控制应用通过交互接口与基本部件交互的至少一个请求,所述交互接口是由用于与应用交互的所述基本部件提供的;
通过所述操作系统的内核,从所述操作系统的安全子系统请求关于是否能够提供针对所述控制应用通过所述交互接口与所述基本部件交互的访问的判决;以及
当从所述安全子系统接收到授权所述访问的判决时,由所述操作系统的内核根据接收到的所述判决,提供所述基本部件与所述控制应用之间通过所述交互接口的交互。
20.根据权利要求19所述的非暂时性计算机可读介质,其中,所述操作系统包括安全操作系统,所述电子控制单元包括车辆的控制单元,以及所述基本部件包括汽车开放系统架构自适应平台的至少一个程序元件。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2019138370 | 2019-11-27 | ||
RU2019138370A RU2750626C2 (ru) | 2019-11-27 | 2019-11-27 | Система и способ управления доступом в электронных блоках управления транспортными средствами |
US16/874,948 US11347892B2 (en) | 2019-11-27 | 2020-05-15 | System and method for access control in electronic control units of vehicles |
US16/874,948 | 2020-05-15 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112860448A true CN112860448A (zh) | 2021-05-28 |
Family
ID=75974025
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010597099.3A Pending CN112860448A (zh) | 2019-11-27 | 2020-06-28 | 用于车辆的电子控制单元中的访问控制的系统和方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11347892B2 (zh) |
CN (1) | CN112860448A (zh) |
RU (1) | RU2750626C2 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115102772A (zh) * | 2022-06-28 | 2022-09-23 | 广东为辰信息科技有限公司 | 基于汽车soa的安全访问控制方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3099019A1 (en) * | 2015-05-27 | 2016-11-30 | OpenSynergy GmbH | Method, computer program product, and control unit for an automotive vehicle |
CN108399330A (zh) * | 2017-02-08 | 2018-08-14 | 卡巴斯基实验室股份制公司 | 监控可编程逻辑控制器的执行系统的系统和方法 |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20010056422A1 (en) * | 2000-02-16 | 2001-12-27 | Benedict Charles C. | Database access system |
US7530103B2 (en) * | 2003-08-07 | 2009-05-05 | Microsoft Corporation | Projection of trustworthiness from a trusted environment to an untrusted environment |
DE102006054705A1 (de) * | 2006-11-21 | 2008-05-29 | Robert Bosch Gmbh | Verfahren zum Betreiben einer Recheneinheit |
DE102007062114A1 (de) * | 2007-12-21 | 2009-07-23 | Opensynergy Gmbh | Kraftfahrzeug-Steuervorrichtung |
EP2469407A1 (en) * | 2010-12-21 | 2012-06-27 | Robert Bosch GmbH | Method of bypassing an AUTOSAR software component of an AUTOSAR software system |
US9317690B2 (en) | 2011-03-28 | 2016-04-19 | Mcafee, Inc. | System and method for firmware based anti-malware security |
DE102012024818A1 (de) * | 2012-03-06 | 2013-09-12 | Conti Temic Microelectronic Gmbh | Verfahren zur Verbesserung der funktionalen Sicherheit und Steigerung der Verfügbarkeit eines elektronischen Regelungssystems sowie ein elektronisches Regelungssystem |
CN103631695B (zh) * | 2013-12-19 | 2017-02-08 | 北京经纬恒润科技有限公司 | 时间监测方法及装置 |
US10169061B2 (en) * | 2015-05-06 | 2019-01-01 | Ford Global Technologies, Llc | Scalable and flexible operating system platform |
RU2714726C2 (ru) * | 2015-06-30 | 2020-02-20 | Закрытое акционерное общество "Лаборатория Касперского" | Архитектура безопасности автоматизированных систем |
JP6504065B2 (ja) * | 2016-01-22 | 2019-04-24 | 株式会社デンソー | 車両用制御システム |
DE102016008957B4 (de) * | 2016-07-13 | 2018-01-25 | Audi Ag | Direkter Zugriff auf Bussignale in einem Kraftfahrzeug |
JP7316609B2 (ja) | 2017-01-05 | 2023-07-28 | ガードノックス・サイバー・テクノロジーズ・リミテッド | サービス指向アーキテクチャに基づく集中化サービスecuおよびその使用方法 |
US10915102B2 (en) * | 2017-07-20 | 2021-02-09 | Panasonic Intellectual Property Management Co., Ltd. | Vehicle |
RU2666645C1 (ru) * | 2017-08-10 | 2018-09-11 | Акционерное общество "Лаборатория Касперского" | Система и способ обеспечения безопасного изменения конфигурации систем |
EP3729766A1 (en) * | 2017-12-24 | 2020-10-28 | Arilou Information Security Technologies Ltd. | System and method for tunnel-based malware detection |
DE102018202446A1 (de) | 2018-02-19 | 2019-08-22 | Continental Automotive Gmbh | Verfahren zum Modularisieren einer Softwarearchitektur |
CN109035117B (zh) * | 2018-09-01 | 2023-06-09 | 李善伯 | 一种自动化地面道路交通系统实现方法 |
AT521713B1 (de) * | 2018-10-11 | 2023-07-15 | Avl List Gmbh | Verfahren zur Detektion sicherheitsrelevanter Datenflüsse |
CN109246137B (zh) * | 2018-10-23 | 2020-08-04 | 北京航空航天大学 | 基于区块链的海上作战数据的安全防护方法及装置 |
EP3828748A1 (en) * | 2019-11-27 | 2021-06-02 | AO Kaspersky Lab | System and method for access control in electronic control units of vehicles |
-
2019
- 2019-11-27 RU RU2019138370A patent/RU2750626C2/ru active
-
2020
- 2020-05-15 US US16/874,948 patent/US11347892B2/en active Active
- 2020-06-28 CN CN202010597099.3A patent/CN112860448A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3099019A1 (en) * | 2015-05-27 | 2016-11-30 | OpenSynergy GmbH | Method, computer program product, and control unit for an automotive vehicle |
CN108399330A (zh) * | 2017-02-08 | 2018-08-14 | 卡巴斯基实验室股份制公司 | 监控可编程逻辑控制器的执行系统的系统和方法 |
Non-Patent Citations (2)
Title |
---|
MD SWAWIBE UL ALAM 等, 《IEEE》, pages 1 - 6 * |
MD SWAWIBE UL ALAM 等: "Securing Vehicle ECU Communications and Stored Data", 《IEEE》, pages 1 - 6 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115102772A (zh) * | 2022-06-28 | 2022-09-23 | 广东为辰信息科技有限公司 | 基于汽车soa的安全访问控制方法 |
CN115102772B (zh) * | 2022-06-28 | 2023-07-04 | 广东为辰信息科技有限公司 | 基于汽车soa的安全访问控制方法 |
Also Published As
Publication number | Publication date |
---|---|
RU2019138370A (ru) | 2021-05-27 |
RU2750626C2 (ru) | 2021-06-30 |
RU2019138370A3 (zh) | 2021-05-27 |
US11347892B2 (en) | 2022-05-31 |
US20210157941A1 (en) | 2021-05-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2021184253A (ja) | セキュアロックダウンを実装するように構成された関連装置を有する特別にプログラムされたコンピューティングシステムおよびその使用方法 | |
US8639814B2 (en) | Electronic apparatus, virtual machine providing apparatus, and method of using virtual machine service | |
US11640481B2 (en) | System and method for providing a security policy | |
US9419963B2 (en) | System and method for controlling access | |
EP3963914B1 (en) | Controlling access to resources of edge devices | |
KR102527949B1 (ko) | 보안 실행 게스트 소유자 환경 컨트롤 | |
US9734311B1 (en) | Secure authentication of firmware configuration updates | |
EP2924947B1 (en) | Method and apparatus for controlling access | |
CN105518698A (zh) | 用于评估访问外围设备的应用请求的代理器 | |
US20180239929A1 (en) | Securely defining operating system composition without multiple authoring | |
KR20220088306A (ko) | 트러스트 크리덴셜의 자동 에스컬레이션 | |
CN114254336A (zh) | 用于通过使用边界标签来实施数据边界的方法、装置和系统 | |
CN106980800B (zh) | 一种加密固态硬盘认证分区的度量方法和系统 | |
CN112860448A (zh) | 用于车辆的电子控制单元中的访问控制的系统和方法 | |
CN108573153B (zh) | 一种车载操作系统及其使用方法 | |
EP3926919A1 (en) | System and method for enabling an interprocess communication in electronic control units of vehicles | |
US10366224B2 (en) | System and method for securing secure memory allocations in an information handling system | |
CN115244535A (zh) | 用于保护文件夹免受未授权文件修改的系统和方法 | |
US11068614B2 (en) | System-level data security based on environmental properties | |
US11361090B2 (en) | System and method for enabling an interprocess communication in electronic control units of vehicles | |
CN109784073A (zh) | 数据访问方法及装置、存储介质、计算机设备 | |
US10321317B1 (en) | NFC-enhanced firmware security | |
CN116521306A (zh) | 一种容器使能selinux的方法和计算机设备 | |
CN106095495B (zh) | SELinux策略的动态生成方法、装置及终端设备 | |
US20240048563A1 (en) | Service access method and apparatus |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |