CN115762122A - 用于监控作用链的组件的方法 - Google Patents
用于监控作用链的组件的方法 Download PDFInfo
- Publication number
- CN115762122A CN115762122A CN202211072528.0A CN202211072528A CN115762122A CN 115762122 A CN115762122 A CN 115762122A CN 202211072528 A CN202211072528 A CN 202211072528A CN 115762122 A CN115762122 A CN 115762122A
- Authority
- CN
- China
- Prior art keywords
- certificate
- enclave
- output data
- watchdog
- component
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000009471 action Effects 0.000 title claims abstract description 57
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000012544 monitoring process Methods 0.000 title claims abstract description 12
- 230000006870 function Effects 0.000 claims abstract description 26
- 230000001960 triggered effect Effects 0.000 claims abstract description 14
- 238000004590 computer program Methods 0.000 claims abstract description 11
- 238000004891 communication Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims description 2
- 230000004927 fusion Effects 0.000 description 8
- 238000004364 calculation method Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 4
- 230000015654 memory Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 239000012634 fragment Substances 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000009897 systematic effect Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 239000002655 kraft paper Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0796—Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1633—Error detection by comparing the output of redundant processing systems using mutual exchange of the output between the redundant processing components
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/0098—Details of control systems ensuring comfort, safety or stability not otherwise provided for
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及一种使用看门狗监控用于机动车辆的至少部分自动化的驾驶功能的作用链的组件的方法,在看门狗中实现飞地,所述方法包括以下步骤:借助第一飞地为作用链的组件生成第一证书;借助看门狗向所述组件输出所述第一证书;借助看门狗接收通过所述组件输出的输出数据;借助第一飞地基于第一证书检查所述输出数据,以输出第一检查结果;基于第一检查结果,借助看门狗触发安全动作。本发明还涉及一种设备、计算机程序和机器可读存储介质。
Description
技术领域
本发明涉及一种用于监控用于机动车辆的至少部分自动化的驾驶功能的作用链(Wirkkette)的组件的方法,设备,计算机程序和机器可读的存储介质。
背景技术
申请文件DE 10 2015 119 031 A1公开了一种用于将至少一个传输值从第一程序传输到第二程序的方法。
申请文件DE 11 2016 006 867 T5,其国际申请公开号为WO 2017/198291,公开了一种对等网络(Peer-to-Peer-Netzwerk)。
申请文件DE 11 2017 001 853 T5,其国际申请公开号为WO 2017/210145,公开了一种用于在安全飞地(Enklaven)中提供确认密钥的方法。
发明内容
本发明所基于的目的是提供一种用于有效地监控用于机动车辆的至少部分自动化的驾驶功能的作用链的组件的方案。
该目的通过根据本发明的构型方案来解决。本发明的有利的构型方案是根据本发明的可选实施例。
根据第一方面,提供了一种用于使用看门狗(Watchdog)监控用于机动车辆的至少部分自动化的驾驶功能的作用链的组件的方法,在所述看门狗中实现飞地,所述方法包括以下步骤:
借助第一飞地为作用链的组件生成第一证书;
借助看门狗向所述组件输出(ausgeben)所述第一证书;
借助看门狗接收通过所述组件输出的输出数据;
借助第一飞地基于第一证书检查所述输出数据,以输出第一检查结果;
基于第一检查结果,借助看门狗触发安全动作。
根据第二方面,提供了一种设备,该设备设置用于执行根据第一方面的方法的步骤。
根据第三方面,提供了一种计算机程序,其包括指令,所述指令在计算机程序由计算机、例如根据第二方面的设备执行时促使其执行根据第一方面的方法。
根据第四方面,提供一种机器可读的存储介质,在其上存储有根据第三方面的计算机程序。
本发明基于并且包括这样的知识:可以借助使用看门狗监控作用链的组件来实现上述目的,在所述看门狗中实现飞地。在飞地内——即借助飞地——执行的步骤是特别值得信赖的。这意味着可以信任相应的结果。因此,相应的结果显示出高度的可信度。这尤其是因为飞地是进程的地址空间内的一个区域,其中,该区域受到CPU(即处理器)的特殊保护,其中,通过CPU控制和/或阻止对于该区域的所有直接访问权限,包括特权进程。该区域的这种特殊保护包括例如特别是具有完整性保护的透明的内存加密。除了飞地的经典任务之外,根据这里描述的方案,尤其还可以以可验证的方式确保功能、进程和/或序列顺序(sequenziellen Abfolge)和/或时间顺序的正确性。例如,如果这不再通过飞地确定,则飞地例如不再触发看门狗,这导致通过看门狗触发安全动作。
这意味着,通过飞地生成的证书通常不能被恶意软件操作。由此可以例如基于第一证书有效地加密保护组件要执行和/或提供的功能。因此,例如可以借助看门狗在输出数据中确定所述输出数据是否被操作过,从而当是这种情况时例如可以借助看门狗触发安全动作。
因此,例如可以有效地探测对组件和/或输出数据的操作,从而最终可以有效地监控用于至少部分自动化的驾驶功能的作用链的组件。
在一个实施方式中,在基础设施中实现作用链。由此例如实现如下技术上的优点:可以有效地实现作用链。
在一种实施方式中设置如下:在机动车辆中实现作用链。由此例如实现如下技术上的优点:可以有效地实现作用链。
在一个实施方式中,作用链部分地在基础设施中实现并且部分地在机动车辆中实现。由此例如实现如下技术上的优点:可以有效地实现作用链。
在一个实施方式中,在说明书的意义中,组件是自动车辆专用的组件或者是基础设施专用的组件。这意味着,组件可以是机动车辆的一部分或基础设施的一部分。也就是说,特别是该组件可以由机动车辆或由基础设施包括。
因为在说明书的意义中飞地尤其可以执行安全动作,所以飞地也可以被称为安全飞地。
在一个实施方式中,以硬件和/或软件实现看门狗。在一个实施方式中,以软件和/或硬件实现飞地。
由此例如实现如下技术上的优点:可以有效地实现看门狗和/或飞地。
例如基于编程标准英特尔软件保护扩展(Software-Guard Extension,SGX)或ARM信任区域(Trust Zone)实现飞地。
在一个实施方式中,根据第一方面的方法包括在看门狗中实现第一飞地。
在说明书的意义中,看门狗表示用于故障识别和/或用于识别和/或探测功能性故障。
在一个实施方式中设置,所述检查包括输出数据是否包括第一证书和/或使用第一证书生成的组件证书,使得第一检查结果指示输出数据包含什么证书。
由此例如实现如下技术上的优点:可以有效地检查输出数据。
根据一个实施方式设置,检查包括是否在输出第一证书后的预先确定的时间间隔内接收到输出数据,使得第一检查结果指示是否在输出第一证书后的预先确定的时间间隔内接收到输出数据。
由此例如实现如下技术上的优点:可以有效地执行检查。
例如设置,如果第一检查结果指示输出数据包括第一证书和/或使用第一证书生成的组件证书,则不触发安全动作,即没有安全动作被触发。否则例如预先设置:触发安全动作。
例如设置,如果第一检查结果指示在输出第一证书后的预先确定的时间间隔内接收到输出数据,则不触发安全动作。否则例如预先设置:触发安全动作。
在一个实施方式中设置,将第一证书借助看门狗与时间数据(Zeitangabe)相关联,以便加密保护时间数据,从而将相应经加密保护的时间数据输出到组件。
由此例如实现如下技术上的优点:组件可以使用经加密保护的时间数据。
根据一个实施方式设置,在看门狗中实现第二飞地,其中,将第一证书和输出数据输出到第二飞地,从而借助第二飞地基于第一证书检查输出数据,以便输出第二检查结果,其中,基于第二检查结果触发安全动作。
由此例如实现如下技术上的优点:可以通过第二飞地有效地实现冗余。因此,可以有效地监控第一飞地。
与第一飞地相关的实施方案类似地适用于第二飞地,反之亦然。
例如设置,第二飞地借助第二飞地为作用链的组件生成第二证书。借助看门狗例如向组件输出第二证书。例如将第二证书输出给第一飞地,从而基于第二证书借助第一飞地检查所述输出数据,以输出第一检查结果。因此,两个飞地可以有效地相互监控,从而例如可以操控系统误差和/或随机误差。
根据一个实施方式设置,安全动作是从以下组的安全动作中选择的元素:丢弃(Verwerfen)输出数据,丢弃组件的输出数据流,丢弃包括输出数据的数据包,丢弃作为信息源的组件。
由此例如实现如下技术上的优点:可以设置特别合适的安全动作。
如果对于安全动作使用单数词,则应始终一并理解为复数,反之亦然。这尤其意味着,例如可以触发多个安全动作。
根据一个实施方式,组件是从以下组的组件中选择的元素:传感器、RSU、ICU、VCU、致动器、周围环境传感器、主控制设备、致动器控制设备、处理器、通信接口、致动器传感器、存储介质、传输介质、数据处理器。
由此例如实现如下技术上的优点:可以监控作用链的特别重要的组件。
缩写“ICU”代表英文术语“Instruction Cache Unit(指令缓存单元)”。指令缓存单元可以翻译成德语为“Befehlscache-Einheit(指令缓存单元)”。指令缓存是例如用于缓冲存储指令的特殊缓存器。
缩写“VCU”代表英文术语“Vehicle Control Unit(车辆控制单元)”。车辆控制单元可以翻译成德语为“Kraftfahrzeug-
(机动车控制设备)”。
缩写“RSU”代表“Road Side Unit(路边单元)”。术语“路边单元”可以翻译成德语为“straβenseitige Einheit(路侧单元)”或“straβenseitige Infrastruktureinheit(路侧基础设施单元)”。除了路边单元,还可以同义地使用以下术语:路侧单元、路侧基础设施单元、通信模块、路侧通信模块、路侧无线电单元、路侧发射站。
根据一个实施方式,根据第一方面的方法是计算机实施的方法。
机动车辆可以至少部分自动化地实现至少部分自动化的驾驶功能。
术语“至少部分自动化的驾驶”包括以下一种或多种情况:辅助驾驶、部分自动化的驾驶、高度自动化的驾驶、全自动化的驾驶。因此,术语“至少部分自动化”包括以下一个或多个术语:辅助、部分自动化、高度自动化、全自动化。
辅助驾驶是指机动车辆的驾驶员持续地进行机动车辆的横向或纵向引导。自动地执行相应的其他驾驶任务(即控制机动车辆的纵向或横向引导)。这意味着,在机动车辆的辅助驾驶时自动地控制要么横向引导、要么纵向引导。
部分自动化的驾驶是指在特定情况下(例如在高速公路上行驶、在停车场内行驶、对对象的超车、在由车道标记定义的行车道内行驶)和/或对于特定时间段自动控制机动车辆的纵向和横向引导。机动车辆的驾驶员不必自己手动控制机动车辆的纵向和横向引导。然而,驾驶员必须持续地监控纵向和横向引导的自动控制,以便在必要时能够手动干预。驾驶员必须随时准备完全接管机动车驾驶。
高度自动化的驾驶是指在一定时间段内在特定情况下(例如在高速公路上行驶、在停车场内行驶、对对象的超车、在由车道标记定义的行车道内行驶)自动地控制车辆的纵向和横向引导。机动车辆的驾驶员不必自己手动地控制机动车辆的纵向和横向引导。驾驶员不必持续地监控纵向和横向引导的自动控制,以便能够在必要时进行手动干预。在必要时,特别是以足够的时间余量(Zeitreserve)自动地向驾驶员输出接管请求,以接管对纵向和横向引导的控制。因此,驾驶员必须潜在地能够接管纵向和横向引导。自动识别横向和纵向引导的自动控制的极限。在高度自动化的驾驶的情况下,不能够在任何初始情况下自动引导至风险最小状态。
全自动化的驾驶是指在特定情况下(例如在高速公路上行驶、在停车场内行驶、对对象的超车、在由车道标记定义的行车道内行驶)自动地控制机动车辆的纵向和横向引导。机动车辆的驾驶员不必自己手动地控制机动车辆的纵向和横向引导。驾驶员不必监控纵向和横向引导的自动控制,以便能够在必要时进行手动干预。在横向和纵向引导的自动控制结束之前,特别是以足够的时间余量自动要求驾驶员接管驾驶任务(控制机动车辆的横向和纵向引导)。如果驾驶员不接管驾驶任务,则系统会自动返回风险最小状态。自动识别横向和纵向引导的自动控制极限。在所有情况下都能够实现自动返回到风险最小的系统状态。
根据一个实施方式设置,根据第一方面的方法通过根据第二方面的设备来实施或执行。
设备特征尤其由相应的方法特征得出,反之亦然。也就是说,特别是根据第二方面的设备的技术上的功能性类似于根据第一方面的方法的相应技术上的功能性得出,反之亦然。
根据一个实施方式,至少部分自动化的驾驶功能是选自以下组的至少部分自动化的驾驶功能的元素:交通堵塞辅助功能、停车辅助功能、车道保持辅助功能、超车辅助功能、纵向引导功能、横向引导功能、纵向和横向引导功能。
由此例如实现如下技术上的优点:可以选择特别合适的至少部分自动化的驾驶功能。
根据一个实施方式,在说明书的意义中,周围环境传感器是以下周围环境传感器之一:雷达传感器、激光雷达传感器、超声波传感器、视频传感器、磁场传感器、电容式传感器、温度传感器、湿度传感器、空气湿度传感器、音频传感器和红外传感器。
根据一个实施方式设置,由组件执行的应用接收对应飞地的第一证书和/或第二证书,其中,对一个或多个证书在应用中的冗余位置处补充例如应用特定的信息和/或时间戳。该数据作为输出数据例如在定义的时间窗口中提供给一个或多个飞地以供检查。
根据一种实施方式,输出数据包括表示机动车辆的周围环境的周围环境数据。根据一个实施方式,输出数据包括对象列表,该对象列表指示机动车辆的周围环境中的对象。
说明书中描述的具体实施例和示例性实施例可以分别以任何形式相互组合,即使当这没有明确描述时。
附图说明
本发明的实施例在附图中示出并且在以下说明书中更详细地解释。附图示下:
图1示出一种用于监控用于机动车辆的至少部分自动化的驾驶功能的作用链的组件的方法的流程图;
图2示出一种设备;
图3示出一种机器可读的存储介质;和
图4示出一种框图。
具体实施方式
以下对于相同的特征可以使用相同的附图标记。
图1示出了一种用于使用看门狗监控用于机动车辆的至少部分自动化的驾驶功能的作用链的组件的方法的流程图,在所述看门狗中实现飞地,所述方法包括以下步骤:
借助第一飞地为作用链的组件生成101第一证书;
借助看门狗向组件输出103所述第一证书;
借助看门狗接收105通过所述组件输出的输出数据;
借助第一飞地基于第一证书检查107所述输出数据,以输出第一检查结果;
基于第一检查结果,借助看门狗触发109安全动作。
图2示出了一种设置用于执行根据第一方面的方法的所有步骤的设备201。
图3示出了一种机器可读的存储介质301,在其上存储有计算机程序303。计算机程序303包括指令,其在由计算机执行计算机程序303时促使计算机执行根据第一方面的方法。
图4示出了一种框图401,其示例性地阐述在此描述的方案。
根据框图401,设置第一周围环境传感器403和第二周围环境传感器405,其分别检测机动车辆的周围环境。对于传感器融合单元407提供与所述检测相对应的周围环境传感器数据。这意味着,传感器融合单元407执行周围环境传感器403、405的周围环境传感器数据的传感器融合。该传感器融合的结果可以提供给RSU 409,即传输给该RSU。
因此,形成一种用于机动车辆的至少部分自动化的驾驶功能的作用链410。
作用链410包括第一周围环境传感器403、第二周围环境传感器405、传感器融合单元407和RSU 409作为组件。
设置看门狗411用于监控周围环境传感器403、405和传感器融合单元407。所述看门狗既接收周围环境传感器数据作为周围环境传感器403、405的输出数据,又接收传感器融合单元407的结果作为其他的输出数据。
看门狗411包括第一计算单元413和第二计算单元415,其处理作用链410的组件的接收到的输出数据。看门狗411还包括机动车辆的周围环境的数字地图417。作用链的组件例如根据飞地的预先规定产生应用特定的信息,所述信息必须在正确的时间窗口中报告回飞地。
数字地图417是例如通过对机动车辆和/或基础设施的周围环境传感器的可信度检验可以精确地比较机动车辆的周围环境的示例。一个或多个飞地在正确的时间窗口中检查两个计算单元413、415对周围环境传感器数据的相应分析的两个结果的相等性。相应分析的结果表明,例如在机动车辆的周围环境中分别探测到一个对象。然而,第一计算单元413探测到第一对象423,以“x”符号表示,并且第二处理器探测到第二对象425,以“O”符号表示。两个计算单元413、415因此在相同的时间窗口中探测到不同的对象。飞地因此得出两个计算单元413、415的相应结果不相等的结论,然后这指示第一检查结果,从而看门狗411触发安全动作。
此外,看门狗411包括第一飞地419和第二飞地421。因此,有利地存在关于飞地419、421的冗余。这些飞地可以例如互相监控。
例如设置,如上文和/或下文所述的两个飞地419、421为作用链410的组件生成第一和第二证书。例如产生对于第一周围环境传感器403、第二周围环境传感器405和传感器融合单元407以及例如RSU 409的对应证书。看门狗411将这些生成的证书输出给作用链410的相应组件。
作用链410的组件接收相应的证书并将所述证书结合到其名义上的(nominal)功能中,即特别是基本功能,从而组件的相应输出数据例如包括对应的接收到的证书和/或组件证书,该组件证书使用一个或多个对应的接收到的证书生成。例如,只有当飞地的证书已被接收到并且由(外部)组件通过具有时间戳等的已知标准产生时,才能够通过组件生成正确的证书。例如飞地检查自己的证书的正确性并检查及时性。
因此,通过借助看门狗411由作用链410的各个组件接收到的输出数据可以通过第一飞地419和第二飞地421有效地检查。如果在此例如输出数据中包含的证书不对应于第一飞地419和第二飞地421所期望的格式,和/或未在预先确定的时间间隔内接收到输出数据,所述时间间隔例如可以特定于作用链410的相应组件,则例如借助看门狗411例如借助飞地419、421中的一个或两个触发一个或多个安全动作。安全动作是例如从以下组的安全动作中选择的元素:丢弃输出数据、丢弃相应组件的输出数据流、丢弃包括输出数据的数据包以及丢弃作为信息源的相应组件。
在未示出的实施方式中设置,看门狗411仅包括第一飞地419。
在两个冗余飞地419、421的情况下,两个飞地419、421在一个实施方式中可以相互监控并且因此还以特别有利的方式控制计算单元413、415中的系统误差和随机误差。此外,可以通过冗余比较(Redundanz-Vergleich)有利地保护所有存储器。
冗余的飞地——即第二飞地421——提高了可用性并且还能够实现监控通过第一飞地411的监控,因此可以良好地论证根据ASIL D ISO 26262要求的双重故障保护。ASIL表示“Automotive Safety Integrity Level”,其可以翻译为“汽车安全完整性等级”。
根据一个实施方式,在说明书的意义中的飞地中可以实现例如在ARINC 653中描述的MMU(英语Memory Management Unit,德语Speicherverwaltungseinheit,内存管理单元)以实现功能安全性。ARINC 653在航空电子领域中表示由ARINC创建的标准航空电子应用软件标准接口。ARINC是公司Aeronautical Radio Incorporated的缩写。
由飞地可以将检查密钥或测试向量输出到所有外部相关的EE(电气电子)系统,其指示是否通过对于输入信号的错误或主动威胁来识别或监测内容数据。飞地也可以周期性地激活和停用,例如为外部EE系统生成验证密钥,并在其他周期中检查分配的密钥。例如,第一证书是密钥的片段(Fragment),其由来自例如至少两个源的组件补充应用特定的信息,用于例如补充密钥,也称为总和密钥(Summenschlüssel)。飞地检查该总和密钥。
通过飞地中可执行的程序代码的加密保护和所选的数据点的加密保护来保证安全方面,这些数据点可以静态地定义或在运行时间动态地确定。这些数据点例如是作用链中生成对飞地证书(密钥)的响应的位置。
在此,必须确保所选择的数据的信任链(Trust-chain)在任何时间点都不会中断,并且所述数据无需修改即可加载到飞地中。为此,使用加密方法来保护相应的数据(例如HMAC)。在此,数据在安全的周围环境中生成,并在那里提供加密安全机制。
如果必须在处理过程中通过所需的过程操作所述数据,则所述数据操作将在安全飞地中进行,并且在被移交给后续的处理步骤之前在安全飞地中再次施加加密保护。
如果加密保护被破坏,则需要假定数据将被未经授权地操作。通过这种方式,可以使用安全措施直接对安全违规行为做出反应。
通过这种方式,可以在不安全的周围环境(例如路侧或在云端)中安全地执行与安全相关的功能。
根据这里描述的方案的飞地对输出数据特别是关于功能和/或时间点等的正确性尤其进行检查,这在经典飞地中不会发生。
Claims (10)
1.一种用于使用看门狗监控作用链(410)的组件(403,405,407,409)的方法,所述作用链用于机动车辆的至少部分自动化的驾驶功能,在所述看门狗中实现飞地(419,421),所述方法包括以下步骤:
借助第一飞地(419)为所述作用链(410)的组件(403,405,407,409)生成(101)第一证书;
借助所述看门狗向所述组件(403,405,407,409)输出(103)所述第一证书;
借助所述看门狗接收(105)通过所述组件(403,405,407,409)输出的输出数据;
借助所述第一飞地(419)基于所述第一证书检查(107)所述输出数据,用以输出第一检查结果;
基于所述第一检查结果借助所述看门狗触发(109)安全动作。
2.根据权利要求1所述的方法,其中,所述检查包括,所述输出数据是否包括所述第一证书和/或使用所述第一证书生成的组件证书,使得所述第一检查结果指示所述输出数据包含什么证书。
3.根据权利要求1或2所述的方法,其中,所述检查包括是否在输出所述第一证书之后的预先确定的时间间隔内接收到所述输出数据,使得所述第一检查结果指示是否在输出所述第一证书之后的预先确定的时间间隔内接收到所述输出数据。
4.根据前述权利要求中任一项所述的方法,其中,借助所述看门狗将所述第一证书与时间数据相关联,用以对所述时间数据进行加密保护,从而将相应经加密保护的时间数据输出到所述组件。
5.根据前述权利要求中任一项所述的方法,其中,在所述看门狗中实现第二飞地(421),其中,将所述第一证书和所述输出数据输出到所述第二飞地(421),使得基于所述第一证书借助所述第二飞地(421)检查所述输出数据,用以输出第二检查结果,其中,基于所述第二检查结果触发所述安全动作。
6.根据前述权利要求中任一项所述的方法,其中,所述安全动作是从以下组的安全动作中选择的元素:丢弃所述输出数据,丢弃所述组件(403,405,407,409)的输出数据流,丢弃包括所述输出数据的数据包,丢弃作为信息源的组件(403,405,407,409)。
7.根据前述权利要求中任一项所述的方法,其中,所述组件(403,405,407,409)是从以下组的组件中选择的元素:传感器、RSU(409)、ICU、VCU、致动器、周围环境传感器(403,405)、主控制设备、执行器控制设备、处理器、通信接口、执行器传感器、存储介质、传输介质、数据处理器。
8.一种设备(201),其设置为用于执行根据前述权利要求中任一项所述的方法的所有步骤。
9.一种计算机程序(303),其包含指令,所述指令在所述计算机程序(303)由计算机执行时促使所述计算机执行根据权利要求1至7中任一项所述的方法。
10.一种机器可读的存储介质(301),在其上存储有根据权利要求9所述的计算机程序(303)。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102021209691.3 | 2021-09-03 | ||
| DE102021209691.3A DE102021209691B3 (de) | 2021-09-03 | 2021-09-03 | Verfahren zum Überwachen einer Komponente einer Wirkkette |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115762122A true CN115762122A (zh) | 2023-03-07 |
Family
ID=83361912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211072528.0A Pending CN115762122A (zh) | 2021-09-03 | 2022-09-02 | 用于监控作用链的组件的方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230071630A1 (zh) |
| CN (1) | CN115762122A (zh) |
| DE (1) | DE102021209691B3 (zh) |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7350228B2 (en) | 2001-01-23 | 2008-03-25 | Portauthority Technologies Inc. | Method for securing digital content |
| US10122747B2 (en) | 2013-12-06 | 2018-11-06 | Lookout, Inc. | Response generation after distributed monitoring and evaluation of multiple devices |
| DE102015119031A1 (de) | 2015-11-05 | 2017-05-11 | Technische Universität Dresden | Verfahren zur Übergabe von zumindest einem Übergabewert, Verfahren zur Übergabe zumindest eines Übergabewerts von einem ersten Programm an ein zweites Programm, Verfahren zur Überprüfung der Funktionstüchtigkeit eines Programms und Überprüfungseinheiten für diese Verfahren |
| WO2017198291A1 (en) | 2016-05-18 | 2017-11-23 | Rwe International Se | Peer-to-peer network and node of a peer-to-peer network |
| US10135622B2 (en) | 2016-06-03 | 2018-11-20 | Intel Corporation | Flexible provisioning of attestation keys in secure enclaves |
| US11360784B2 (en) | 2019-09-10 | 2022-06-14 | Hewlett Packard Enterprise Development Lp | Integrity manifest certificate |
| DE102019214413A1 (de) | 2019-09-23 | 2021-03-25 | Robert Bosch Gmbh | Verfahren zum zumindest teilautomatisierten Führen eines Kraftfahrzeugs |
-
2021
- 2021-09-03 DE DE102021209691.3A patent/DE102021209691B3/de active Active
-
2022
- 2022-08-30 US US17/823,328 patent/US20230071630A1/en active Pending
- 2022-09-02 CN CN202211072528.0A patent/CN115762122A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| DE102021209691B3 (de) | 2022-10-13 |
| US20230071630A1 (en) | 2023-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102310252B1 (ko) | 자동차 운전자 보조 시스템에 관련된 방법 | |
| CN109644153B (zh) | 具有被配置为实现安全锁定的相关设备的特别编程的计算系统及其使用方法 | |
| CN103661378B (zh) | 具有图形微处理器的车辆的主动安全系统 | |
| US10824765B2 (en) | Electronic control units for vehicles | |
| US20220299992A1 (en) | Method for the at least assisted crossing of a junction by a motor vehicle | |
| CN112537318A (zh) | 用于远程控制机动车的方法 | |
| GB2590133A (en) | Method for assisting a motor vehicle | |
| US11994855B2 (en) | Method for controlling a motor vehicle remotely | |
| US20210089018A1 (en) | Method for controlling a motor vehicle remotely | |
| US20210086788A1 (en) | Method for safely ascertaining infrastructure data | |
| US20210086765A1 (en) | Method for driving a motor vehicle safely in at least partially automated fashion | |
| US20220289201A1 (en) | Method for the at least assisted merging of a motor vehicle into a traffic lane | |
| US20210086790A1 (en) | Method for driving a motor vehicle in at least partially automated fashion | |
| CN115762122A (zh) | 用于监控作用链的组件的方法 | |
| US20230052852A1 (en) | Method for Authentic Data Transmission Between Control Devices of a Vehicle, Arrangement with Control Devices, Computer Program, and Vehicle | |
| WO2022173486A1 (en) | Method and system for protecting proprietary information used to determine a misbehavior condition for vehicle-to-everything (v2x) reporting | |
| US20230072587A1 (en) | Method for monitoring a component of an effect chain | |
| Leibinger | Software architectures for advanced driver assistance systems (ADAS) | |
| US11809180B2 (en) | Method for controlling a motor vehicle remotely | |
| JP2021061516A (ja) | 車両遠隔操作装置 | |
| GB2592830A (en) | Electronic control units for vehicles | |
| US20210089044A1 (en) | Method for controlling a motor vehicle remotely | |
| CN116830622A (zh) | 用于保护用来确定违规行为状况的专有信息以用于车联网(v2x)报告的方法和系统 | |
| CN116639140A (zh) | 减轻对车辆软件的操纵 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |