CN117056932A - 借助于分离多个区来为设备、尤其是为运输工具提供多个功能的计算机系统 - Google Patents

借助于分离多个区来为设备、尤其是为运输工具提供多个功能的计算机系统 Download PDF

Info

Publication number
CN117056932A
CN117056932A CN202310538034.5A CN202310538034A CN117056932A CN 117056932 A CN117056932 A CN 117056932A CN 202310538034 A CN202310538034 A CN 202310538034A CN 117056932 A CN117056932 A CN 117056932A
Authority
CN
China
Prior art keywords
zone
computer
zones
sub
computer system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310538034.5A
Other languages
English (en)
Inventor
F·哈拉切克
A·考彻
M·尧斯
M·科内布
N·贝内克
R·F·阿古里丹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of CN117056932A publication Critical patent/CN117056932A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0015Planning or execution of driving tasks specially adapted for safety
    • B60W60/0018Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions
    • B60W60/00188Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions related to detected security violation of control systems, e.g. hacking of moving vehicle
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • Human Computer Interaction (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Hardware Redundancy (AREA)

Abstract

借助于分离多个区来为设备、尤其是为运输工具提供多个功能的计算机系统。本公开的第一一般方面涉及借助于分离多个区为设备、尤其是为运输工具提供多个功能的计算机系统,其中计算机系统具有多个系统模块,并且多个系统模块被配置用于提供对于设备的运行安全性不同地关键的功能,其中区是计算机系统中的在逻辑上和/或物理上可界定的单元,并且其中多个区中的第一区比多个区中的不太可信的第二区更可信,其中更可信的区的操纵的风险低于不太可信的区的操纵的风险,以及其中给第一区分派第一数量的保护机制并且给第二区分派第二数量的保护机制,其中第一数量的保护机制在与第二数量的保护机制保护第二区相比更强的程度上保护第一区免受操纵。

Description

借助于分离多个区来为设备、尤其是为运输工具提供多个功 能的计算机系统
技术领域
本发明涉及借助于分离多个区来为设备、尤其是为运输工具提供多个功能的计算机系统。
背景技术
需要“更智能的移动性”暗示运输工具(Fahrzeug)到数字世界中的集成。经扩展的安全功能和完全自主系统的实现需要比迄今为止的系统中多得多的计算效率。娱乐电子设备继续与经典运输工具融合。通过将运输工具彼此联网和/或与位于云中的后端联网,必要接口的数量以及因此对运输工具的IT系统的外部攻击的攻击面增加。因此,网络安全(Cyber-Security)在当今运输工具的软件和硬件开发中发挥着越来越大的作用。随着运输工具的联网增加,损坏潜力增加,因为整个运输工具队可能同时并且与地点无关地遭受网络攻击。
迄今为止的E/E架构基于容易地可集成和模块化地可制造的思想。所述E/E架构在扁平层次结构中构建,并且由功能特定的控制设备(英语:Electronic Control Unit(电子控制单元)(ECU))组成,所述控制设备直接或经由网关相互连接。在此,网关可以确保在不同的接口之间的通信,并且监控数据流量。在过去几年中,必要控制设备的数量增高,使得导致大量功能交叉。新式功能增加多个控制设备的相互作用的复杂性和要求。恰好后者导致在通过不同的制造商开发控制设备方面的问题。因此,趋势朝向集中式E/E架构,其中应用领域(例如多媒体/座舱、传动系......)相互融合。在此目标是具有中央运输工具计算机的运输工具统一E/E架构,其中中央运输工具计算机在内部在逻辑上和物理上被划分为区,这以基于区的E/E架构而公知。
通过在一个或几个计算单元中联合分别具有自身的安全要求的不同区域,功能不再按硬件彼此分离(例如如迄今那样在用于控制制动功能的控制设备进行物理分开时)。一旦例如向外具有高度连接性的区域受外部干预(操纵)损害,就存在对甚至其他功能的操纵的风险,这例如可能对运行安全性产生影响并且引起风险情形。因此,存在对在具有中央运输工具计算机的架构中提高运行安全性的需求。
发明内容
本公开的第一一般方面涉及一种借助于分离多个区为设备、尤其是为运输工具提供多个功能的计算机系统,其中所述计算机系统具有多个系统模块,并且所述多个系统模块被配置用于提供对于所述设备的运行安全性不同地关键的功能,其中区是所述计算机系统中的在逻辑上和/或物理上可界定的单元,并且其中所述多个区中的第一区比所述多个区中的不太可信的第二区更可信,其中更可信的区的操纵的风险低于不太可信的区的操纵的风险,并且其中给第一区分派第一数量的保护机制并且给第二区分派第二数量的保护机制,其中第一数量的保护机制在与第二数量的保护机制保护第二区相比更强的程度上保护第一区免受操纵。
此外公开一种计算机系统,所述计算机系统被设计用于在计算机系统中借助于分离多个区来实施区分离的计算机实现的方法。
此外公开一种计算机程序,所述计算机程序被设计用于执行用于在计算机系统中实施区分离的计算机实现的方法。
此外公开一种存储和/或包含计算机程序的计算机可读介质或信号。
根据第一一般方面(或其实施方式)的在本公开中提出的计算机系统使得能够在计算机系统中、例如在运输工具计算机中合并具有安全性和安全分类的不同域。由于集中化,这可以减小可能的攻击面。通过在逻辑上和/或物理上将计算机系统(例如运输工具计算机)划分成区并且对其分离,可以实现针对各自区的安全要求的更强区分。例如,可以将与运行安全性具有高度相关性的区与虽然与运行安全性不太相关但是更易受外部干预或操纵(例如在网络攻击的范围内)的功能分开。通过对区进行分离,可以进一步降低一个区中的成功操纵蔓延到其他区的概率。可以通过在计算机系统(例如运输工具计算机)对功能进行集中化以及进行区分离与保护其免受有害操纵完全一样地简化对系统资源的存取权限的分派以及根据最小特权原则对其的实施。在保持所需要的安全要求的情况下实现基于区的中央E/E架构,可以通过运输工具中的计算单元的减少的数量来实现复杂性降低,这可导致在成本、重量和能源方面的节省。
在本公开中以以下方式使用一些术语:
“区”可以是系统中的逻辑上(功能上)和/或物理上(空间上)可界定的单元。区可以包括一个或多个系统模块和/或一个系统模块或多个系统模块的一部分和/或部分。区可以由其组成部分定义、即确定。分配给区的所有系统模块或系统模块的部分可以构成该区。区可以包括各种计算单元、计算核、控制器、控制单元、存储单元、外围设备、通信接口、网络组件、软件应用程序、软件架构等和/或所有其他软件/和/或硬件组件或上述的部分。多个区可以构成整体系统。
“子区”可以是区的逻辑上(功能上)和/或物理上(空间上)可界定的子单元。区可以被细分成至少两个子区。子区可以包括分配给相应的区的系统模块的部分。在此,子区可以包括各种计算单元、计算核、控制器、控制单元、存储单元、外围设备、通信接口、网络组件、软件应用程序和/或软件架构等和/或所有其他软件和/或硬件组件或包含在经细分的区中的上述的部分。一个区的所有子区可以构成该区。
“系统模块”可以包括提供多个功能的硬件和/或软件单元。系统模块可以包括一个或多个处理器、控制器、控制单元、(通信)接口、网络组件、软件应用程序、软件架构等和/或所有其他软件/和/或硬件组件或上述的部分。系统模块可以布置在区中或子区中。
“系统资源”可以是为系统模块提供服务的软件和/或硬件组件。例如,系统资源可以包括一个或多个存储器和/或一个或多个外围设备。可以借助于存取权限允许系统模块存取系统资源。
“存储器”可以是其上/其中存放(存储)数据的数据存储器或数据载体。存储器可以由计算机或任何类型的外围设备读出或写入。存储器可以是半导体存储器和/或磁存储器或基于在这里未提到的技术的存储器。存储器可以是易失性存储器和/或非易失性存储器。存储器可以包括其上/其中存储数据的DRAM、RAM、ROM、EPROM、HDD、SDD......之一。
“外围设备”可以是可以被连接到(中央)计算单元的组件。这样的组件可能需要通过计算单元的控制并且必要时需要初始化。外围设备可以包括计算机或电脑的一部分,其提供不能由计算核本身提供而是可以由附加的硬件提供的功能性。例如,外围设备可以包括模数转换器(英语:Analog-to-Digital-Converter(ADC))、定时器(Timer)或诸如SPI接口(英语:Serial Peripheral Interface(串行外围设备接口))。
“域控制器”可以包括扩展资源域控制器(XRDC)。域控制器可以包括以硬件实施的外围设备并且管理例如用于存储和/或外部外围设备的存取权限。域控制器可以隔离不同的外围设备和/或保护系统的存储器,其中域控制器的域可以是具有对外围设备和/或存储器的相同的存取权限的连贯区域。
“计算核”是指微处理器的中央部分,其中多个计算核也可以存在于微处理器中。计算核可以对输入的数据和/或信息在算术上和/或逻辑上实施运算。
“存储器保护单元”(英语:Memory Protection Unit))可以是硬件和/或软件单元。存储器保护单元可以具有寄存器,其中寄存器包含存储区域或描写所述存储区域。存储器保护单元可以具有自身的存储器、预配置的硬件逻辑和内部数据连接。存储器保护单元可以具有向外例如到计算核或通信连接的接口。存储器保护单元可以是处理器(英语:Central Processing Unit(中央计算单元),(CPU))的一部分。
“运输工具”可以是运输乘客和/或货物的任何设备。运输工具可以是机动车辆(例如载客汽车或载重汽车),但是也可以是轨道车辆。运输工具也可以是机动的、非机动的和/或人力运行的两轮或三轮车。然而,漂浮和飞行的设备也可以是运输工具。运输工具可以至少部分地自主地运行或得到辅助。
“功能”可以是在设备的运行中执行的任何子任务。功能可以涉及设备或设备的一部分(例如设备的组件)的控制、调节或监控。附加地或可替代地,功能可以涉及设备中的数据或信号处理(例如通信功能)。
附图说明
图1a-1b图解借助于分离多个区来为设备提供多个功能的计算机系统的示例性实施方式。
图2示意性地图解用于在计算机系统中实施区分离的示例性方法步骤。
图3图解用于为设备提供多个功能的计算机系统的示例性实施方式,其中计算机系统具有域控制器。
具体实施方式
公开一种用于借助于分离多个区51、52、53为设备、尤其是为运输工具提供多个功能的计算机系统100,其中计算机系统具有多个系统模块,并且多个系统模块被配置用于提供对于设备的运行安全性不同地关键的功能。区51、52、53是计算机系统100中的逻辑上和/或物理上可界定的单元,并且多个区中的第一区51、52比多个区中的不太可信的第二区53更可信,其中更可信的区51的操纵的风险低于不太可信的区53的操纵的风险。操纵可以是降低运行安全性的外部干预。计算机系统100可以具有多个系统资源。图1a示出计算机系统100的示例性实施方式,所述计算机系统具有第一计算单元21和第二计算单元22,具有三个区51、52、53。例如,可以在计算机系统100中分离>=1、>=2、>=3、>=4、>=5、>=6、=>10、>=20或更多个区51。计算机系统100例如可以包括(中央)运输工具计算机(例如运输工具计算机可以构成计算机系统100)。在其他示例中,计算机系统100包括嵌入式系统(英语:Embedded System)(例如,嵌入式系统可以构成计算机系统100)。嵌入式系统是容纳到技术情境中的电子计算机或电脑。在此,嵌入式系统可以实施调节、控制、监控功能或用于进行数据处理的任务。在进一步其他示例中(或附加地),计算机系统100可以包括一个或多个控制设备(英语:ECU)(例如,一个或多个控制设备可以构成计算机系统100)。
区在何种程度上更可信或不太可信、也即可信度,可以基于根据安全级别(“Security-Level(安全级别)”)对区51、52、53的划分。本公开的计算机系统可以具有至少两个安全级别,但也可以具有多于两个的安全级别(例如多于五个)。可信度或安全级别可以由相应区(例如包含在其中的系统模块)的配置来确定。例如,保护区51、52、53的系统模块例如免受例如在外部干预的范围中的操纵所利用的防护程度或防护措施的范围可以确定:区51、52、53是更可信的还是不太可信的或者所述区具有哪个安全级别(例如在区的系统模块中特定的基于硬件和/或软件的防护措施的存在)。此外,例如布置在相应的区中的系统模块与外部系统(诸如后端)的通信的程度可以确定:区具有哪个可信度或所述区具有哪个安全级别。例如,主要或仅仅在计算机系统内通信的区可能比至少部分与外部系统(例如后端、其他设备、诸如运输工具或基础设施组件)通信的区更可信。在一些示例中,区关于其可信性被划分为不可信区和可信区。例如,如本文中所述的更可信的区51、52可以是可信的,而如本文中所述的不太可信的区53可以是不可信的。计算机系统100、例如运输工具的计算机系统可以例如是网络攻击的目标,由此可能使得安全关键功能、例如运输工具中的制动功能不起作用或操纵为使得可能出现风险情形。
在此,更可信的区是与不太可信的区53相比其操纵不太可能的区51。例如,包括多媒体功能并且具有许多用于与后端通信的接口的区53可能是不太可信的区53,因为对通向后端的通信通道的外部干预的概率比在主要包括仅需要来自运输工具之内的信息和/或仅在运输工具内执行过程的功能的区51的情况下更高。此外,给更可信的第一区51、52分派第一数量的保护机制,并且给不太可信的第二区53分派第二数量的保护机制。第一数量的保护机制在与第二数量的保护机制保护第二区53相比更强的程度上保护第一区51、52免受操纵。
第一数量的保护机制可以包括>=1、>=2、>=3、>=、>=10或更多个保护机制。第二数量的保护机制可以包括>=1、>=2、>=3、>=、>=10或更多个保护机制。在一个示例中,第一数量的保护机制可以在与第二数量的保护机制保护第二区53相比更强的程度上保护第一区51、52,其方式是第一数量的保护机制在与第二数量的保护机制减小第二区53的操纵的风险或概率相比更强的程度上减小第一区51、52的操纵的风险或概率。在一个示例中,第一数量的保护机制可以包括更复杂或更难以破坏的保护机制,或者换言之,提供比由第二数量的保护机制包括的保护机制更高程度的安全性。在一个示例中,破坏第一数量的保护机制中的保护机制所需要的计算效率和/或持续时间可以高于破坏第二数量的保护机制中的保护机制所需要的计算效率和/或持续时间。在另一示例中,第一数量的保护机制可以包括比第二数量的保护机制中的保护机制需要更多计算效率和/或更长运行时间来执行的保护机制。例如,第一和第二数量的保护机制可以包括防止一定类型的(网络)攻击的保护机制。例如,保护机制可以包括防火墙。在一个示例中,第一数量的保护机制可以在与第二数量的保护机制保护第二区53相比更强的程度上保护第一区,其方式是第一数量的保护机制可以在与第二数量的保护机制提高发现第二区的操纵的概率更强的程度上提高发现第一区的操纵的概率。在一个示例中,通过第一数量或第二数量的保护机制实现的发现操纵的概率可以由操纵的总数量中的已发现的操纵的所分摊的数量来确定。例如,提高发现操纵的概率的第一或第二数量的保护机制可以包括用于监控的机制,例如IDPS(英语:Intrusion Detection and Prevention System(入侵检测防御系统))。
在一个示例中,第一数量的保护机制和/或第二数量的保护机制可以包括RTMD(Runtime Manipulation Detection(运行时操纵检测))。在一个示例中,第一数量的保护机制可以包括用于计算机系统100或其部分的第一更新(刷新)机制和/或第二数量的保护机制可以包括用于计算机系统100或其部分的第二更新(刷新)机制。例如,第一更新(刷新)机制可能需要比第二更新(刷新)机制更高的计算效率和/或更高的持续时间用于执行,但是提供比第二更新(刷新)机制更高程度的安全性。
第一数目的保护机制可以包括第一开动进程和/或用于通信保障的第一机制和/或第二数目的保护机制可以包括第二开动进程和/或用于通信保障的第二机制。在此,开动进程用于开动(引导)计算机系统100。例如,可以存在多个开动进程,所述开动进程可能在其性能(直到系统的(大约)完全开动为止的时长)方面和/或在其安全性方面不同,其中安全性可以针对开动进程可以在何种程度上减小通过外部干预对计算机系统100的操纵的概率和/或开动进程可以在何种程度上增加发现通过外部干预对计算机系统100的操纵的概率。在一些示例中,直至借助于第一开动进程完全开动计算机系统100为止的时间可以长于直至借助于第二开动进程完全开动计算机系统100为止的时间。例如,第二开动进程可以包括较少地减小操纵的概率和/或较少地增加发现操纵的概率、但是可以比在第一开动进程中的算法更快地被执行的算法,所述第一开动进程中的算法在更强的程度上减小操纵的概率和/或在更强的程度上增加发现操纵的概率,但是仅能较慢地被执行。例如,多个开动进程可以包括不同的密码算法。
例如,用于通信保障的第一机制可以包括第一(密码)加密方法。例如,第一加密方法可以包括使用RSA4k签名(Rivest-Shamir-Adleman,RSA)。用于通信保障的第二机制例如可以包括第二(密码)加密方法。例如,第二加密方法可以包括使用RSA3k签名。
此外公开一种用于在计算机系统100中实施区分离的计算机实现的方法200。该方法可以包括通过安全装置实施对开动进程的后续步骤的验证,以便确定开动进程的后续步骤的操纵。例如,安全装置可以包括硬件安全引擎(HSE)。例如,安全装置可以鉴于操纵检查开动进程的后续步骤,以便确定后续步骤未被破坏。例如,验证的范围可以被变动。例如,可以基于必要的性能实施验证。例如,密集的(即准确的)验证可能比不太密集的(即不太准确的)验证持续更长时间(即更小的性能)。例如,可以给更可信的第一区51、52分派第一开动进程,所述第一开动进程的步骤比分派给不太可信的区53的第二开动进程更准确地被验证。
在一些示例中,方法200可以包括将一个系统模块、多个系统模块或多个系统模块中的一个系统模块的一部分分派210给多个区中的相应的区。在一些示例中,系统模块可以包括处理器、接口和/或网络组件或其部分。图2示例性地示出方法200的步骤。例如,可以给区分派210>=1、>=2、>=3、>=4、>=5、>=6、>=10、>=20或更多个系统模块(例如处理器)或其部分(例如计算核)。如图1b中所示,可以给第一区51分派210处理器11的多个计算核(例如四个计算核)的一部分(例如两个计算核),并且可以给第二区52分派210处理器11的多个计算核的另一部分(例如两个剩余的计算核)。在一些示例中,系统模块可以包括接口、总线系统或其部分。在图1a中,示例性地示出第一接口31和第二接口32所分派给的第一区51以及第三接口33所分派给的第三区53。例如,接口可以包括CAN总线接口、CAN-FD总线接口和/或GMAC端口。例如,分派给第一区51的系统模块可以包括第一软件架构,并且分派给第二区52的另一系统模块可以包括第二软件架构。例如,分派给第一区51的系统模块的一部分可以包括第一软件架构,并且分派给第二区52的系统模块的另一部分可以包括第二软件架构。在一些示例中,计算机系统100可以包括域控制器70,例如扩展资源域控制器(Extended Resource Domain Controller,XRDC)。例如,可以通过域控制器70执行一个系统模块、多个系统模块或多个系统模块中的一个系统模块的一部分向多个区中的相应的区的分派210。
在一些示例中,方法200可以包括将多个区中的至少一个区51、52、53划分220成至少两个子区。此外,分离200可以包括分别将相应的区的一个或多个系统模块的一部分分派230给子区。此外,方法200可以包括将对系统资源的存取权限分派240给区域和/或子区域,其中系统资源包括系统的外围设备和/或存储器。例如,区51可以被划分220成>=2、>=3、>=4、>=5、>=6、>=10、>=20或更多个子区51a、51b。在图3中示例性地区51被分成两个子区51a和51b。例如,可以给区51分派230具有多个计算核(例如四个计算核)的处理器。例如,计算核的第一部分(例如两个计算核)可以被分派230给第一子区51a,并且剩余的计算核(例如两个计算核)可以被分派230给第二子区51b。例如,第一软件应用程序可以在分派给第一子区51a的计算核上被执行,并且第二软件应用程序可以在分派给第二子区51b的至少一个计算核上被执行。例如,可以给子区51a分派240对系统的存储器和/或外围设备的相同的存取权限,也就是说可以给分派公共子区51a的系统模块(例如处理器)或其部分(例如计算核)分派240对例如包括存储器63和/或外围设备61、62的系统资源的相同的存取权限。例如,可以给分派给公共区51的系统模块或其部分分派对系统资源的相同的存取权限。在一些示例中,可以基于最小特权原则(英语:“Principle ofLeast Privilege(PoLP)”)来实施对系统资源的存取权限的分派。也就是说,区和/或子区分别仅对所述区和/或子区对于其任务履行所需要的系统资源得以分派存取权限。也就是说,给分派给区和/或子区的系统模块分别仅分派对所述区和/或子区用于提供设备的各自功能所需要的系统资源的存取权限。例如,将区划分220成至少两个子区域,分别将相应的区的一个或多个系统模块的一部分分派230给子区域和/或分派240对系统资源的存取权限可以通过域控制器70实施。在一些示例中,域控制器70可以基于针对外围设备61、62和/或存储器63的存取权限来监控区和/或子区的存取。
在一些示例中,方法200可以包括将到安全装置的逻辑和/或物理连接分别分派250给一个或多个区51、52、53和/或子区51a、51b。例如,安全装置可以为相应的区51、52、53或子区51a、51b提供密码密钥,并且可以允许每个区51、52、53或子区51a、51b仅存取为那个区51、52、53或子区51a、51b确定的密钥。例如,逻辑和/或物理连接可以包括消息传送单元(英语:Messaging Unit(MU)),所述消息传送单元被分派250给区51、52、53或子区51a、51b,以便与安全装置交换消息和/或数据。例如,可以借助于域控制器70执行逻辑和/或物理连接向一个或多个区51、52、53和/或子区51a、51b的分派250。例如,安全装置可以提供密码密钥,可以由区和/或子区使用所述密码密钥例如用于在与外部单元(也就是说在系统、例如云之外)和/或系统内部单元通信的范围内解密和/或加密数据。为了保证或实现区51、52、53和/或子区51a、51b的分离,例如可以允许区51、52、53或子区51a、51b仅存取针对相应的区51、52、53或子区51a、51b确定以便从而例如防止由另一区或子区操纵区51、52、53或子区51a、51b的密钥。在一些示例中,安全装置可以例如为区51、52、53和/或子区51a、51b提供签名验证。例如可以借助于签名验证保证或实现:区51、52、53或子区51a、51b只能存取针对相应的区51、52、53或子区51a、51b确定的密钥。
在一些示例中,安全装置可以用作信任锚(Trust Anchor,Root-of-Trust(信任锚,信任根))。信任锚可以包括机密性的基本源。例如,在计算机系统100开动时,信任链(英语:Chain of Trust(CoT))可以在信任锚处被启动。在开动时,信任锚构成第一阶段,所述第一阶段检查开动进程的后续步骤,以便确定开动进程的后续步骤未被破坏。例如,可以为信任锚假定信任而不是推导信任。例如,信任可以包括假设信任锚未通过操纵以破坏或有害的方式被改变。例如,可以从信任锚出发推导用于计算机系统100的后续阶段的信任。
在一些示例中,方法200可以包括将针对通过安全装置提供的多个功能的存取权限分派260给至少一个区51、52、53和/或子区51a、51b。例如,通过安全装置提供的功能可以包括例如用于传输数据的安全功能,诸如加密功能。此外,通过安全装置提供的功能可以包括用于改变生命周期状态(英语:Life Cycle)的功能。例如,针对用于改变生命周期状态(英语:Life Cycle)的功能的存取权限可以仅被分派260给负责该改变的区或子区。例如,存取权限向区和/或子区的分派260可以由域控制器70和/或安全装置(HSE)执行。
在一些示例中,由更可信的区和/或更可信的子区对通过安全装置提供的密钥和/或功能的存取可以相对于不太可信的区和/或不太可信的子区被优先化。例如,在存取密钥和/或功能(例如安全功能)时,可以相对于不太可信的区53和/或不太可信的子区同意给予更可信的区51和/或更可信的子区51a优先。例如,可以由安全装置和/或域控制器70执行优先化。
在一些示例中,如先前提及的,计算机系统100可以包括域控制器70。例如,域控制器70可以包含多个域。此外,该方法200可以包括将至少一个区51和/或子区51a分派270给至少一个域。在一些示例中,域可以具有对系统资源的相同的存取权限。域可以包括具有对存储器和/或外围设备的相同的存取权限的逻辑/物理区域。域控制器70可以包含>=1、>=2、>=3、>=4、>=5、>=6、>=7、>=8或更多个域。在一些示例中,可以将可信性/安全级别(“Security-Level”)分派给域。例如,可以给多个域(例如八个域)中的第一域(例如域0)分派比第八域(例如域7)更低的可信性。在一些示例中,具有对系统资源(例如存储器63、外围设备61、62)的相同的存取权限的区51、52、53和/或子区51a可以被分派给域。例如,域控制器70可以执行方法200或执行方法200的各个步骤。
在一些示例中,方法200可以静态地和真实地被实施。例如,分派210、230、240、250、260、270和划分220可以静态和不变地被实施。例如,方法200在开动进程中在初始化和/或配置的范围中被实施。例如,用于初始化和/或配置的权限可以在初始化和/或配置完成之后被移除,以便防止初始化和/或配置在完成之后再次变化。例如,在移除用于初始化和/或配置的权限之后,组件不能具有用于初始化和/或配置的权限,以保证或确保方法200静态和真实地被实施,以防止事后操纵。
在一些示例中,在怀疑时或在操纵的情况下,可以对方法200进行适配,以便避免风险情形。例如分派210、230、240、250、260、270和划分220可以在怀疑时或在操纵的情况下被适配,以便避免风险情形。例如,方法200可以在开动进程中在第一初始化和/或第一配置的范围中被实施。例如,第一初始化和/或第一配置可以基于事件通过多个配置(例如>=2、>=3、>=4、>=5、>=6、=>10个配置)中的后续配置代替。例如,分别后续的配置可以由其他后续的配置代替。例如,后续配置可以用于防止操纵、降低危害的概率和/或防止或减少可能的损害。例如,事件可能包括怀疑操纵或出现操纵或企图的操纵或网络攻击。例如,IDPS(英语:Intrusion Detection and Prevention System(入侵检测和防御系统))可以确定例如降低系统(运行)安全性的事件。例如,分别后续的配置可以由其他后续配置代替。例如,基于特定类型的事件,可以选择多个配置中的一个配置来代替先前的配置。例如,可以将更可信的区的损坏的系统模块分派给不太可信的区。例如,损坏的区或子区域可能被剥夺对系统资源的存取权限。
在一些示例中,除了域控制器(70)之外,计算机系统还可以具有存储器保护单元(MPU)(71),所述存储器保护单元用于保障用于实施区分离的方法的各个步骤。例如,除了域控制器70之外,通过存储器保护单元71还可以检查对存储器63和/或外围设备61、62的存取权限。在一些示例中,存储器保护单元71可以防止区51、52、53和/或子区51a、51b对存取权限未分派给相应的区51、52、53或子区51a、51b所针对的系统资源的不允许的存取。存储器保护单元71可以用于实施方法200的步骤。例如,在域控制器70的故障的情况下,存储器保护单元71可以用于提高系统的可靠性和故障安全性。例如,存储器保护单元71的附加使用可以是交错防御策略或纵深防御策略的一部分。
此外公开一种计算机系统,所述计算机系统被设计用于借助于分离多个区来在计算机系统100中实施区分离的计算机实现的方法。计算机系统可以包括至少一个处理器和/或至少一个工作存储器。计算机系统还可以包括(非易失性)存储器。此外,计算机系统100可以包括电脑系统。计算机系统100可以包括至少一个处理器和/或工作存储器。计算机系统100还可以包括(非易失性)存储器。
在一些示例中,设备可以是运输工具,通过计算机系统100为所述设备提供多个功能。在一些示例中,计算机系统100可以布置在运输工具中(例如以运输工具计算机的形式)。附加地或可替代地,多个功能中的一个或多个功能可以包括用于运行运输工具或其组件之一的功能(例如控制功能、调节功能、监控功能和/或数据或信号处理的功能)。例如,多个功能中的一个或多个功能可以是用于自主和/或辅助驾驶的功能。可替代地或附加地,功能可以是发动机控制、变速器控制、传动系的控制功能、制动控制、用于电池管理的功能、人机接口的控制、用于运输工具内部空间的系统的功能(例如空调功能或座椅控制)或通信功能。
在其他示例中,设备可以是机器人,通过计算机系统100为所述设备提供多个功能。在进一步其他示例中,设备可以是工业机器或工业设施,通过计算机系统100为所述设备提供多个功能。在进一步其他示例中,设备可以是建筑技术系统,通过计算机系统100为所述设备提供多个功能。
此外公开一种计算机程序,所述计算机程序被设计用于执行借助于分离多个区来在计算机系统100中实施区分离的计算机实现的方法200。例如,计算机程序可以以可解释形式或编译形式存在。所述计算机程序可以(也可以部分地)被加载到电脑的RAM中用于例如作为位或字节序列来执行。计算机程序可以包括多个部分,一部分可以在计算单元21、22和/或域控制器70上被执行。
此外公开了一种存储和/或包含计算机程序或其至少一部分的计算机可读介质或信号。例如,介质可以包括其上/其中存储信号的RAM、ROM、EPROM、HDD、SDD......之一。

Claims (16)

1.一种借助于分离多个区(51、52、53)来为设备、尤其是为运输工具提供多个功能的计算机系统(100),
其中所述计算机系统具有多个系统模块,并且所述多个系统模块被配置来提供对于所述设备的运行安全性不同地关键的功能,
其中区(51、52、53)是所述计算机系统(100)中的在逻辑上和/或物理上可界定的单元,
其中所述多个区中的第一区(51、52)比所述多个区中的不太可信的第二区(53)更可信,其中更可信的区(51)的操纵的风险低于不太可信的区(53)的操纵的风险,以及
其中给所述第一区(51、52)分派第一数量的保护机制并且给所述第二区(53)分派第二数量的保护机制,
其中所述第一数量的保护机制在与所述第二数量的保护机制保护所述第二区(53)相比更强的程度上保护所述第一区(51、52)免受操纵。
2.根据权利要求1所述的计算机系统(100),其中所述第一数目的保护机制包括第一开动进程和/或用于通信保障的第一机制和/或第二数目的保护机制包括第二开动进程和/或用于通信保障的第二机制。
3.一种用于在根据权利要求2所述的计算机系统(100)中实施区分离的计算机实现的方法(200),所述方法包括
通过安全装置对开动进程的后续步骤实施验证,以便确定对所述开动进程的后续步骤的操纵。
4.根据权利要求3所述的计算机实现的方法(200),此外包括
将一个或多个系统模块或多个系统模块的一个系统模块的一部分分派(210)给多个区中的分别一个区。
5.根据权利要求3或4所述的计算机实现的方法(200),此外包括
将所述多个区中的至少一个区(51)划分(220)成至少两个子区(51a、51b),以及
分别将相应的区(51)的一个或多个系统模块的一部分分派(230)给所述子区(51a,51b),以及
将对系统资源的存取权限分派(240)给所述区(51)和/或子区(51a、51b),其中系统资源包括系统的外围设备(61、62)和/或存储器。
6.根据权利要求3至5中任一项所述的计算机实现的方法(200),此外包括
分别将到安全装置的逻辑和/或物理连接分派(250)给一个或多个区(51)和/或子区(51a,51b),其中所述安全装置提供用于相应的区(51)或子区(51a)的密码密钥并且允许每个区或子区仅存取针对那个区或子区确定的密钥。
7.根据权利要求3至6中任一项所述的计算机实现的方法(200),其中所述安全装置用作信任锚。
8.根据权利要求3至7中任一项所述的计算机实现的方法(200),此外包括
将针对通过安全装置提供的多个功能的存取权限分派(260)给至少一个区和/或子区。
9.根据权利要求3至8中任一项所述的计算机实现的方法(200),其中由更可信的区(51)和/或更可信的子区通过所述安全装置提供的密钥和/或功能的存取相对于不太可信的区(53)和/或不太可信的子区被优先化。
10.根据权利要求3至9中任一项所述的计算机实现的方法(200),其中所述计算机系统(100)具有域控制器(70),所述域控制器包含多个域,所述方法此外包括
将至少一个区(51、52、53)和/或子区(51a、51b)分派(270)给至少一个域,其中域具有对系统资源的相同的存取权限。
11.根据权利要求3至10中任一项所述的计算机实现的方法(200),其中静态地和真实地实施所述方法。
12.根据权利要求3至11中任一项所述的计算机实施的方法(200),其中在怀疑时或在操纵的情况下适配所述方法以便避免风险情形。
13.根据权利要求10所述的计算机实现的方法(200),其中除了所述域控制器(70)之外,所述计算机系统具有存储器保护单元MPU(71),所述存储器保护单元用于保障用于实施区分离的方法的各个步骤。
14.一种计算机系统,所述计算机系统被设计用于执行根据前述权利要求3至13中任一项所述的借助于分离多个区来在计算机系统(100)中实施区分离的计算机实现的方法。
15.一种计算机程序,所述计算机程序被设计用于执行根据权利要求3至13中任一项所述的借助于分离多个区(51)来在计算机系统(100)中实施区分离的计算机实现的方法。
16.一种存储和/或包含根据权利要求15所述的计算机程序的计算机可读介质或信号。
CN202310538034.5A 2022-05-13 2023-05-12 借助于分离多个区来为设备、尤其是为运输工具提供多个功能的计算机系统 Pending CN117056932A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102022204716.8A DE102022204716A1 (de) 2022-05-13 2022-05-13 Rechnersystem zur bereitstellung einer mehrzahl von funktionen für eine vorrichtung, insbesondere für ein fahrzeug, mittels separation einer mehrzahl von zonen
DE102022204716.8 2022-05-13

Publications (1)

Publication Number Publication Date
CN117056932A true CN117056932A (zh) 2023-11-14

Family

ID=88510497

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310538034.5A Pending CN117056932A (zh) 2022-05-13 2023-05-12 借助于分离多个区来为设备、尤其是为运输工具提供多个功能的计算机系统

Country Status (3)

Country Link
US (1) US20230365162A1 (zh)
CN (1) CN117056932A (zh)
DE (1) DE102022204716A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019220461A1 (de) * 2019-12-20 2021-06-24 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Betreiben einer Recheneinrichtung

Also Published As

Publication number Publication date
DE102022204716A1 (de) 2023-11-16
US20230365162A1 (en) 2023-11-16

Similar Documents

Publication Publication Date Title
CN109644153B (zh) 具有被配置为实现安全锁定的相关设备的特别编程的计算系统及其使用方法
US8640194B2 (en) Information communication device and program execution environment control method
US7607175B2 (en) Techniques for permitting access across a context barrier on a small footprint device using an entry point object
US7930539B2 (en) Computer system resource access control
JP4925422B2 (ja) データ処理装置内コンテンツへのアクセス管理
CN111651778A (zh) 基于risc-v指令架构的物理内存隔离方法
US20050102679A1 (en) Techniques for permitting access across a context barrier in a small footprint device using global data structures
US8627069B2 (en) System and method for securing a computer comprising a microkernel
US6922835B1 (en) Techniques for permitting access across a context barrier on a small footprint device using run time environment privileges
US20190012483A1 (en) Electronic Control Units for Vehicles
US20230021594A1 (en) Method and device for operating a computing device
CN117056932A (zh) 借助于分离多个区来为设备、尤其是为运输工具提供多个功能的计算机系统
CN113868636A (zh) 内核和任务隔离的方法和装置
WO2021111692A1 (ja) 情報処理装置、異常検知方法およびコンピュータプログラム
CN113728319A (zh) 用于监测硬件-应用的方法和可配置硬件模块
CN108090376A (zh) 基于TrustZone的CAN总线数据防护方法及系统
Yu et al. An I/O separation model for formal verification of kernel implementations
Prehofer et al. Towards Trusted Apps platforms for open CPS
US20230367910A1 (en) System for providing a plurality of functions for a device, in particular for a vehicle
CN114911607A (zh) 计算单元及用于验证其消息的方法、计算机程序和车辆
EP3617927B1 (en) Control unit and method for operating a control unit
Thekkumbadan et al. Mechanism for Runtime Kernel Integrity Check without Additional IP and without TEE for Low/Mid Automotive Segments
Tsantekidis et al. Security for heterogeneous systems
CN116639139A (zh) 减轻对车辆软件的操纵
CN116639140A (zh) 减轻对车辆软件的操纵

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication