DE102014004004A1 - Steuergerät in einem Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts - Google Patents

Steuergerät in einem Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts Download PDF

Info

Publication number
DE102014004004A1
DE102014004004A1 DE102014004004.6A DE102014004004A DE102014004004A1 DE 102014004004 A1 DE102014004004 A1 DE 102014004004A1 DE 102014004004 A DE102014004004 A DE 102014004004A DE 102014004004 A1 DE102014004004 A1 DE 102014004004A1
Authority
DE
Germany
Prior art keywords
processor core
processor
control unit
communication
motor vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102014004004.6A
Other languages
English (en)
Inventor
Niels-Stefan Langer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audi AG
Original Assignee
Audi AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi AG filed Critical Audi AG
Priority to DE102014004004.6A priority Critical patent/DE102014004004A1/de
Priority to CN201580014730.XA priority patent/CN106105144B/zh
Priority to EP15705196.2A priority patent/EP3120518A1/de
Priority to PCT/EP2015/000246 priority patent/WO2015139799A1/de
Priority to US15/127,314 priority patent/US9852093B2/en
Publication of DE102014004004A1 publication Critical patent/DE102014004004A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/20Handling requests for interconnection or transfer for access to input/output bus
    • G06F13/28Handling requests for interconnection or transfer for access to input/output bus using burst mode transfer, e.g. direct memory access DMA, cycle steal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/16Handling requests for interconnection or transfer for access to memory bus
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/16Handling requests for interconnection or transfer for access to memory bus
    • G06F13/1668Details of memory controller
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/42Bus transfer protocol, e.g. handshake; Synchronisation
    • G06F13/4282Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/167Interprocessor communication using a common memory, e.g. mailbox
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/544Buffers; Shared memory; Pipes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Small-Scale Networks (AREA)

Abstract

Steuergerät (1) in einem Kraftfahrzeug (20), aufweisend eine Kommunikationseinrichtung (9) zur drahtlosen Kommunikation in einem wenigstens eine kraftfahrzeugexterne Einrichtung aufweisenden Netzwerk (12), wobei eine Recheneinrichtung (5) des Steuergeräts (1) wenigstens zwei Prozessorkerne (7, 8) umfasst, wobei ein Datenaustausch zwischen der Kommunikationseinrichtung (9) und einem ersten Prozessorkern (7) ausschließlich über einen zweiten der Prozessorkerne (8) erfolgt.

Description

  • Die Erfindung betrifft ein Steuergerät in einem Kraftahrzeug, aufweisend eine Kommunikationseinrichtung zur drahtlosen Kommunikation in einem wenigstens eine kraftfahrzeugexterne Einrichtung aufweisenden Netzwerk, ein Kraftfahrzeug sowie ein Verfahren zum Betrieb eines Steuergeräts in einem Kraftfahrzeug.
  • Bei modernen Kraftfahrzeugen wird es immer üblicher, diese auch an externe Netze anzubinden, insbesondere an das Internet. Auf diese Weise können nicht nur Komfortfunktionen realisiert werden, sondern auch mit der Führung des Kraftfahrzeugs in unmittelbarer Verbindung stehende, aktuelle Informationen abgerufen werden, beispielsweise was den Straßenzustand, Wetterverhältnisse und dergleichen angeht. Dabei wird die Verbindung in das Internet meist über ein Mobilfunknetz hergestellt.
  • Um eine solche „Onlineverbindung” zu einem externen Netzwerk zu realisieren, ist es bekannt, ein spezielles Steuergerät vorzusehen, das beispielsweise als „Online Connectivity Unit” (OCU) bezeichnet werden kann. In einem solchen Steuergerät oder an dieses angeschlossen kann auch eine Kommunikationseinrichtung vorliegen, welche beispielsweise als ein Telefonmodul mit einer Antenne und entsprechender Elektronik realisiert sein kann. Derartige Kommunikationsmodule werden häufig auch als „Network Access Device” (NAD) bezeichnet. Eine Verbindung zu anderen Fahrzeugsystemen ausgehend von dem Steuergerät wird über ein Bussystem des Kraftfahrzeugs realisiert, wobei moderne Kraftfahrzeuge häufig mehrere Fahrzeugbusse (Bussysteme) aufweisen. Das Steuergerät weist üblicherweise mithin eine Verbindung zu einem dieser Bussysteme auf, um aus dem Netzwerk empfangene Daten an andere Fahrzeugsysteme übermitteln zu können oder von diesen an das Netzwerk gerichtete Daten zu empfangen und an die Kommunikationseinrichtung weiterzuleiten.
  • Immer dann, wenn eine Verbindung zu externen Netzwerken, insbesondere dem Internet, besteht, existiert auch ein Risiko für Angriffe auf der Elektronik- und Softwareebene, beispielsweise für Hacking- und/oder Jammingangriffe. Durch die Anbindung an das Netzwerk über das Steuergerät und den Fahrzeugbus steht bereits eine Hürde für potentielle Angreifer zur Verfügung, wobei dennoch eine Erhöhung der Sicherheit immer gewünscht ist.
  • Der Erfindung liegt daher die Aufgabe zugrunde, eine Ausgestaltung eines Steuergeräts anzugeben, bei der eine erhöhte Sicherheit gegenüber Angriffen aus einem externen Netzwerk, insbesondere dem Internet, gegeben ist.
  • Zur Lösung dieser Aufgabe ist bei einem Steuergerät der eingangs genannten Art erfindungsgemäß vorgesehen, dass eine Recheneinrichtung des Steuergeräts wenigstens zwei Prozessorkerne umfasst, wobei ein Datenaustausch zwischen der Kommunikationseinrichtung und einem ersten Prozessorkern ausschließlich über einen zweiten der Prozessorkerne erfolgt.
  • Das bedeutet, innerhalb des Steuergeräts wird ein Prozessorkern vorgesehen, der sich ausschließlich dem Datenaustausch zwischen wenigstens einem weiteren Prozessorkern und der Kommunikationseinrichtung widmet. Auf diese Weise ist ein mehrstufiges Sicherheitskonzept realisiert, das drei Domänen definiert, nämlich zum einen die fahrzeugunabhängige „backend-Domäne”, die durch die Kommunikationseinrichtung realisiert ist, eine „Adaptions-Domäne”, die durch den zweiten Prozessorkern gegeben ist, und schließlich die „Fahrzeug-Domäne”, die durch den wenigstens einen ersten Prozessorkern gegeben ist und die fahrzeugseitigen Funktionen des Steuergeräts zur Verfügung stellt. Insbesondere kann der erste Prozessorkern mithin den Datenaustausch mit wenigstens einem Bussystem des Kraftfahrzeugs und/oder wenigstens eine weitere durch das Steuergerät zu erfüllende Funktion steuern. Regelt der erste Prozessorkern lediglich den Datenaustausch mit dem Bussystem des Kraftfahrzeugs, ist ein dediziertes Steuergerät für die Anbindung an das Netzwerk realisiert, beispielsweise als eine der bereits genannten „Online Connectivity Units”. Relevanter wird der Sicherheitsaspekt, wenn das Steuergerät auch weitere Funktionen im Kraftfahrzeug erfüllen soll, auf die ein unberechtigter Zugriff von außen, also durch das externe Netzwerk, möglichst vermieden werden soll.
  • In diesem Zusammenhang sieht eine besonders vorteilhafte Ausgestaltung der vorliegenden Erfindung vor, dass das Steuergerät ein Vernetzungssteuergerät mit einer Anschlusseinrichtung an mehrere, insbesondere alle, zur Kommunikation zwischen unterschiedlichen Fahrzeugsystemen vorgesehenen Bussysteme ist und der erste Prozessorkern zur Steuerung des Austauschs von Daten zwischen den Bussystemen und zwischen den Bussystemen und dem Netzwerk ausgebildet ist. Derartige Vernetzungssteuergeräte, die häufig auch als „Gateway” bezeichnet werden, sind bereits bekannt, nachdem Kraftfahrzeuge häufig mehrere Bussysteme aufweisen und bestimmte Daten in mehreren dieser Bussysteme vorliegen müssen. Ein Vernetzungssteuergerät betreibt also prinzipiell Routing, wobei die beschriebene besonders vorteilhafte Ausgestaltung der vorliegenden Erfindung nun auch vorsieht, den Zugang zu dem externen Netzwerk mit in das Vernetzungssteuergerät zu integrieren, so dass jeglicher Datenaustausch an einem einzigen Ort geregelt werden kann. Dabei sind jedoch auch höhere Anforderungen an die Sicherheit denkbar, nachdem das Vernetzungssteuergerät ja zu bevorzugt allen Bussystemen des Kraftfahrzeugs Zugang hat, mithin eine zentrale Position einnimmt, die nicht korrumpiert werden sollte. Hier erweist sich das Vorsehen des speziell zur Anbindung an das externe Netzwerk gedachten zweiten Prozessorkerns als besonders zweckmäßig, da ein hervorragendes Sicherheitskonzept gegeben ist. Denn selbst ein Kompromittieren des zweiten Prozessorkerns führt noch zu keiner Beeinflussung des eigentlichen Gateway-Prozessorkerns, also des wenigstens einen ersten Prozessorkerns, nachdem zweckmäßigerweise stark angreifbare Teile der Software, beispielsweise ein TCP/IP-Stack, auf dem zweiten Prozessorkern gekapselt sind.
  • Hierzu kommen die Vorteile einer Integration von dem Vernetzungssteuergerät und der Anbindung an das externe Netzwerk, beispielsweise, dass eine Anbindung an bevorzugt alle Fahrzeugbusse vorliegt und mithin Daten aus dem Netzwerk unmittelbar auf das Ziel-Bussystem gegeben werden können. Es ist mithin eine breitbandige Anbindung gegeben. Würde ein spezielles, nur an ein einziges Bussystem, beispielsweise einen CAN-Bus, angeschlossenes Steuergerät verwendet, müsste der gesamte Verkehr zu dem und von dem externen Netzwerk über dieses eine Bussystem laufen, welches zu stark ausgelastet würde, nachdem die meisten Bussysteme in ihrer Bandbreite begrenzt sind. Besteht Kommunikationsbedarf zwischen dem externen Netzwerk und einem anderen Bussystem, wären bei einem nur an ein Bussystem angeschlossenen Steuergerät zwei Fahrzeugbusse „wach” zu halten, so dass ein höherer Ruhestrom gegeben wäre. Bei der hier vorgestellten integrierten Lösung ist mithin ein besseres Ruhestromverhalten zu erreichen. Die Integration bietet zudem ein monetäres Einsparpotential, nachdem bestimmte Hardwarebestandteile nicht mehr benötigt werden.
  • Vorteilhaft ist es ferner, wenn die Prozessorkerne Teil eines Mehrkernprozessors sind. Derartige Mehrkernprozessoren sind im Stand der Technik bereits bekannt und bieten die grundsätzliche Hardwarestruktur, die es erlaubt, einzelnen Prozessorkernen bestimmte auf die Sicherheit bezogene Funktionen zuzuordnen und diese weitgehend abzuschotten. Beispielsweise kann ein sogenannter Dual Core-Prozessor eingesetzt werden.
  • Insbesondere kann also durch den zweiten Prozessorkern eine demilitarisierte Zone geschaffen sein. Die demilitarisierten Zonen sind im Stand der Technik bereits bekannt und stellen eine Art aus Sicherheitsgründen vorgesehene Pufferregion dar, deren Korruption von außen unkritisch ist, da nur klar definierte Zugänge zum eigentlichen System, realisiert durch den wenigstens einen ersten Prozessorkern, gegeben sind, auf deren Realisierung im Folgenden noch näher eingegangen wird. Anders ausgedrückt kann man sich im übertragenen Sinne den zweiten Prozessorkern auch als eine Art „Firewall” vorstellen, die die eigentlichen Fahrzeugsysteme gegenüber dem externen Netzwerk, insbesondere dem Internet, schützt.
  • Eine konkrete, besonders bevorzugte Ausgestaltung der vorliegenden Erfindung sieht vor, dass die Recheneinrichtung eine Speichereinrichtung aufweist, wobei ein von dem zweiten Prozessorkern ausschließlich adressierbarer Speicherbereich zur Kommunikation zwischen dem ersten und dem zweiten Prozessorkern vorgesehen ist. Es wird also ein geteilter Speicher („shared memory”) eingesetzt, um die Kommunikation zwischen dem ersten und dem zweiten Prozessorkern zu ermöglichen. Der Einsatz von Mehrkernprozessoren in der Recheneinrichtung ist dabei besonders vorteilhaft, da die Grundlagen für die entsprechende Funktionalität dort bereits gegeben sind. Mehrkernprozessoren weisen meist eine Speichereinrichtung (RAM) auf, die von allen Prozessorkernen des Mehrkernprozessors grundsätzlich verwendet werden kann und durch eine Steuereinheit verwaltet wird. Mithin ist es realisierbar, dass ein bestimmter Speicherbereich der Speichereinrichtung nur durch den zweiten Prozessorkern angesprochen werden kann, wobei zudem der zweite Prozessorkern auch keinerlei Zugriff auf andere Speicherbereiche der Speichereinrichtung als den geteilten Speicherbereich erhält. Auf diese Weise kann der Datenaustausch zwischen den Prozessorkernen auf eine definierte Art und Weise erfolgen.
  • Die Recheneinrichtung kann mithin insbesondere als Teil eines Mehrkernprozessors eine zur Steuerung des Zugriffs auf die Speichereinrichtung ausgebildete Steuereinheit umfassen, die insbesondere ausschließlich über den ersten Prozessorkern konfigurierbar ist. Derartige Steuereinheiten sind auch unter dem Namen „Memory Protection Unit” (MPU) bekannt. Vorliegend ist eine Konfiguration bevorzugt nur über den ersten Prozessorkern erlaubt, so dass auch bei kompromittiertem zweiten Prozessorkern dessen Zugriffsrechte nicht erweiterbar sind.
  • Eine zweckmäßige Weiterbildung sieht vor, dass die Prozessorkerne zur Kommunikation durch den geteilten Speicherbereich über Ein-/Ausgabepuffer ausgebildet sind. Die entsprechenden Datenobjekte/Datenpakete, die in dem Ein-/Ausgabepuffer abgelegt werden, sind dabei zweckmäßigerweise von einem bestimmten, der Sicherheit zuträglichen Format und können seitens des ersten Prozessorkerns bzw. also eines speziellen dort vorgesehenen Softwaremoduls gegebenenfalls noch überprüft werden. Der Ein-/Ausgabepuffer stellt mithin die einzige, klar definierte Schnittstelle dar, über die die idealerweise bereits aufbereiteten Daten aus dem externen Netzwerk empfangen bzw. an dieses weitergegeben werden können, so dass eine äußerst hohe Sicherheit gegeben ist.
  • Vorzugsweise ist der zweite Prozessorkern zur Durchführung wenigstens einer Sicherheitsüberprüfung und/oder zu einer die Sicherheit erhöhenden Formatumwandlung der von der Kommunikationseinrichtung empfangenen Daten ausgebildet. Insbesondere kann dann, wenn Daten mit dem TCP/IP-Protokoll empfangen werden, eine Überprüfung und Formatumwandlung innerhalb des zweiten Prozessorkerns erfolgen, was die Gesamtsicherheit des Systems weiter erhöht und die Möglichkeiten des zweiten Prozessorkerns weiter ausnutzt.
  • Allgemein sind die Kommunikationseinrichtung und die Recheneinrichtung selbstverständlich über eine Kommunikationsverbindung verbunden, die beispielsweise als eine SPI-Verbindung oder eine USB-Verbindung zwischen dem zweiten Prozessorkern und der Kommunikationseinrichtung realisiert werden kann.
  • Schließlich sei noch angemerkt, dass die Kommunikationseinrichtung zweckmäßigerweise eine WLAN-Schnittstelle und/oder eine Schnittstelle zu einem Mobilfunknetz sein kann, insbesondere mit der Absicht, eine Verbindung zum Internet herzustellen.
  • Neben dem Steuergerät betrifft die Erfindung auch ein Kraftfahrzeug, das ein erfindungsgemäßes Steuergerät aufweist. Sämtliche Ausführungen bezüglich des erfindungsgemäßen Steuergeräts lassen sich analog auf das erfindungsgemäße Kraftfahrzeug übertragen, mit welchem mithin dieselben Vorteile erhalten werden können.
  • Schließlich betrifft die Erfindung auch ein Verfahren zum Betrieb eines Steuergeräts in einem Kraftfahrzeug, aufweisend eine Kommunikationseinrichtung zur drahtlosen Kommunikation in einem wenigstens eine kraftfahrzeugexterne Einrichtung aufweisenden Netzwerk und eine Recheneinrichtung mit wenigstens zwei Prozessorkernen, wobei zum Datenaustausch zwischen der Kommunikationseinrichtung und einem ersten Prozessorkern ausschließlich ein zweiter der Prozessorkerne verwendet wird. Auch bezüglich des erfindungsgemäßen Verfahrens gilt, dass sich die Ausführungen bezüglich des Steuergeräts sinngemäß übertragen lassen, so dass auch das erfindungsgemäße Verfahren Zugang zu den genannten Vorteilen erlaubt. Insbesondere kann es sich also um ein Verfahren zum Betrieb eines erfindungsgemäßen Steuergeräts handeln.
  • Weitere Vorteile und Einzelheiten der vorliegenden Erfindung ergeben sich aus den im Folgenden beschriebenen Ausführungsbeispielen sowie anhand der Zeichnungen. Dabei zeigen:
  • 1 eine Prinzipskizze eines erfindungsgemäßen Steuergeräts, und
  • 2 ein erfindungsgemäßes Kraftfahrzeug.
  • 1 zeigt eine Prinzipskizze eines erfindungsgemäßen Steuergeräts 1. Dabei handelt es sich vorliegend um ein Vernetzungssteuergerät (Gateway), welches mithin am Gehäuse 2 eine Anschlusseinrichtung 3 an verschiedene Bussysteme 4 des Kraftfahrzeugs, in dem das Steuergerät 1 verbaut ist, aufweist. Das Steuergerät 1 weist als Recheneinrichtung 5 einen Mehrkernprozessor 6 auf, hier einen Dual-Core-Prozessor mit zwei Prozessorkernen 7, 8.
  • In dem Steuergerät 1 verbaut, konkret im selben Gehäuse 2 wie die Recheneinrichtung 5, ist vorliegend auch eine Kommunikationseinrichtung 9 vorgesehen, konkret ein Telefonmodul 10 (häufig auch als NAD-Network Access Device bezeichnet). Auf diese Weise kann mittels einer geeigneten Antenne 11, die innerhalb oder außerhalb des Steuergeräts 1 vorgesehen sein kann, über ein Mobilfunknetz eine Verbindung in ein externes Netzwerk 12, hier das Internet, aufgebaut werden.
  • Das als Vernetzungssteuergerät ausgebildete Steuergerät 1 kann mithin als „Connected Gateway” bezeichnet werden.
  • Um die Sicherheit im Hinblick auf Bedrohungen aus dem Netzwerk 12 zu verbessern, wird vorliegend ein zweiter Prozessorkern 8 des Mehrkernprozessors 6 ausschließlich zum Transport von Daten von der Kommunikationseinrichtung 9 zu dem ersten Prozessorkern 7 und umgekehrt genutzt. Der erste Prozessorkern ist dabei nicht nur zur Steuerung des Austauschs von Daten zwischen dem Bussystem ausgebildet, sondern auch zur Steuerung des Austauschs von Daten zwischen den Bussystemen 4 und dem Netzwerk 12.
  • Der zweite Prozessorkern 8 bildet somit eine Art Schutzwall, wobei konkret durch den zweiten Prozessorkern 8 eine demilitarisierte Zone (DMZ) geschaffen wird. Im zweiten Prozessorkern 8 werden, wie durch das Kästchen 13 angedeutet, Sicherheitsüberprüfungen und sicherheitserhöhende Formatumwandlungen der von der Kommunikationseinrichtung 9 empfangenen Daten durchgeführt. Die Sicherheit wird ferner dadurch erhöht, dass in einer Speichereinrichtung 14 des Mehrkernprozessors 6 ein klar definierter Speicherbereich 15 zum Datenaustausch zwischen dem ersten Prozessorkern 7 und dem zweiten Prozessorkern 8 genutzt wird. Der zweite Prozessorkern 8 hat dabei lediglich Zugriff auf den Speicherbereich 15, nicht auf den restlichen Adressbereich der Speichereinrichtung 14. Hierfür sorgt eine Steuereinheit 16, die als MPU-Memory Protection Unit wirkt. Die Steuereinheit 16 ist so konfiguriert, dass sie nur durch den ersten Prozessorkern 7 angesteuert werden kann, es damit nicht möglich ist, seitens des zweiten Prozessorkerns 8 diese Speicherzuordnung zu verändern.
  • Der Datenaustausch über den Speicherbereich 15 erfolgt dabei über Ein-/Ausgabepuffer, wobei ein klar vorgegebenes, sicherheitserhöhendes Austauschformat gegeben ist, welches sich beispielsweise durch bestimmte Paketgrößen und dergleichen auszeichnet.
  • Zwischen der Kommunikationseinrichtung 9 und der Recheneinrichtung 5, konkret dem zweiten Prozessorkern 8, besteht eine Kommunikationsverbindung, die vorliegend als SPI-Verbindung 22 realisiert ist, aber auch eine USB-Verbindung sein kann.
  • Damit ist letztlich eine Aufteilung und klare Trennung von Funktionalitäten innerhalb des Steuergeräts 1 gegeben, mithin ein Drei-Domänen-Prinzip. Eine erste Domäne ist die Fahrzeug-Domäne 17, die vorliegend für das Routing zwischen den Bussystemen 4 und von und zu dem Netzwerk 12 ausgebildet ist, wobei hinsichtlich letzterem der Datentransport klar definiert über den geteilten Speicherbereich 15, den zweiten Prozessorkern 8 und die Kommunikationseinrichtung 9 verläuft. Der zweite Prozessorkern 8 bildet die Adaptions-Domäne 18, in der Daten zwischen unterschiedlichen Formaten umgewandelt und Sicherheitsüberprüfungen vorgenommen werden können. Hier ist eine demilitarisierte Zone geschaffen, das bedeutet, selbst bei Korrumpierung des zweiten Prozessorkerns 8 erlangt ein Angreifer keinen Zugriff auf für das Fahrzeug relevante Funktionen, die im ersten Prozessorkern 7 durchgeführt würden, der nur über den geteilten Speicherbereich 15 eine klar definierte und gegebenenfalls weiteren Sicherheitsüberprüfungen unterworfene Kommunikation durchführt.
  • Die Kommunikationseinrichtung 9 bildet die fahrzeugunabhängige Backend-Domäne 19.
  • 2 zeigt ein erfindungsgemäßes Kraftfahrzeug 20 in einer Prinzipskizze. Dieses umfasst das Steuergerät 1 als Vernetzungssteuergerät, welches an sämtliche Fahrzeugbusse 4 zur Kommunikation mit weiteren, hier nur angedeuteten Fahrzeugsystemen 21 angeschlossen ist. Bei den Bussystemen 4 kann es sich dabei um Bussysteme unterschiedlicher Art handeln, beispielsweise umfassend CAN-Busse, Flexray-Busse und Ethernet-Busse. Über die Antenne 11 und die Kommunikationseinrichtung 9 sowie die im Prozessorkern 8 gebildete demilitarisierte Zone ist zudem eine sichere Verbindung zum Internet möglich, so dass von extern ankommende Daten gleich am Knotenpunkt für die Fahrzeugbusse 4 vorliegen.

Claims (12)

  1. Steuergerät (1) in einem Kraftfahrzeug (20), aufweisend eine Kommunikationseinrichtung (9) zur drahtlosen Kommunikation in einem wenigstens eine kraftfahrzeugexterne Einrichtung aufweisenden Netzwerk (12), dadurch gekennzeichnet, dass eine Recheneinrichtung (5) des Steuergeräts (1) wenigstens zwei Prozessorkerne (7, 8) umfasst, wobei ein Datenaustausch zwischen der Kommunikationseinrichtung (9) und einem ersten Prozessorkern (7) ausschließlich über einen zweiten der Prozessorkerne (8) erfolgt.
  2. Steuergerät nach Anspruch 1, dadurch gekennzeichnet, dass der erste Prozessorkern (7) den Datenaustausch mit wenigstens einem Bussystem (4) des Kraftfahrzeugs (20) und/oder wenigstens eine weitere durch das Steuergerät (1) zu erfüllende Funktion steuert.
  3. Steuergerät nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Steuergerät (1) ein Vernetzungssteuergerät mit einer Anschlusseinrichtung (3) an mehrere, insbesondere alle, zur Kommunikation zwischen unterschiedlichen Fahrzeugsystemen (21) vorgesehenen Bussysteme (4) ist und der erste Prozessorkern (7) zur Steuerung des Austauschs von Daten zwischen den Bussystemen (4) und zwischen den Bussystemen (4) und dem Netzwerk (12) ausgebildet ist.
  4. Steuergerät nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Prozessorkerne (7, 8) Teil eines Mehrkernprozessors (6) sind.
  5. Steuergerät nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Recheneinrichtung (5) eine Speichereinrichtung (14) aufweist, wobei ein von dem zweiten Prozessorkern (8) ausschließlich adressierbarer Speicherbereich (15) zur Kommunikation zwischen dem ersten und dem zweiten Prozessorkern (7, 8) vorgesehen ist.
  6. Steuergerät nach Anspruch 5, dadurch gekennzeichnet, dass die Recheneinrichtung (9) insbesondere als Teil eines Mehrkernprozessors (6) eine zur Steuerung des Zugriffs auf die Speichereinrichtung (14) ausgebildete Steuereinheit (16) umfasst, die insbesondere ausschließlich über den ersten Prozessorkern (7) konfigurierbar ist.
  7. Steuergerät nach Anspruch 5 oder 6, dadurch gekennzeichnet, dass die Prozessorkerne (7, 8) zur Kommunikation durch den geteilten Speicherbereich (15) über Ein-/Ausgabepuffer ausgebildet sind.
  8. Steuergerät nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass der zweite Prozessorkern (8) zur Durchführung wenigstens einer Sicherheitsüberprüfung und/oder zu einer sicherheitserhöhenden Formatumwandlung der von der Kommunikationseinrichtung (9) empfangenen Daten ausgebildet ist.
  9. Steuergerät nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass durch den zweiten Prozessorkern (8) eine demilitarisierte Zone geschaffen ist.
  10. Steuergerät nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Kommunikationseinrichtung (9) und die Recheneinrichtung (6), insbesondere der zweite Prozessorkern (8), über eine SPI-Verbindung (22) oder eine USB-Verbindung verbunden sind.
  11. Kraftfahrzeug (20), umfassend ein Steuergerät (1) nach einem der vorangehenden Ansprüche.
  12. Verfahren zum Betrieb eines Steuergeräts (1) in einem Kraftfahrzeug (20), aufweisend eine Kommunikationseinrichtung (9) zur drahtlosen Kommunikation in einem wenigstens eine kraftfahrzeugexterne Einrichtung aufweisenden Netzwerk (12) und eine Recheneinrichtung (5) mit wenigstens zwei Prozessorkernen (7, 8), wobei zum Datenaustausch zwischen der Kommunikationseinrichtung (9) und einem ersten Prozessorkern (7) ausschließlich ein zweiter der Prozessorkerne (8) verwendet wird.
DE102014004004.6A 2014-03-20 2014-03-20 Steuergerät in einem Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts Withdrawn DE102014004004A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102014004004.6A DE102014004004A1 (de) 2014-03-20 2014-03-20 Steuergerät in einem Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts
CN201580014730.XA CN106105144B (zh) 2014-03-20 2015-02-06 机动车中的控制器、机动车
EP15705196.2A EP3120518A1 (de) 2014-03-20 2015-02-06 Steuergerät in einem kraftfahrzeug, kraftfahrzeug und verfahren zum betrieb eines steuergeräts
PCT/EP2015/000246 WO2015139799A1 (de) 2014-03-20 2015-02-06 Steuergerät in einem kraftfahrzeug, kraftfahrzeug und verfahren zum betrieb eines steuergeräts
US15/127,314 US9852093B2 (en) 2014-03-20 2015-02-06 Control device in a motor vehicle, a motor vehicle, and a method for operating a control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102014004004.6A DE102014004004A1 (de) 2014-03-20 2014-03-20 Steuergerät in einem Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts

Publications (1)

Publication Number Publication Date
DE102014004004A1 true DE102014004004A1 (de) 2015-09-24

Family

ID=52484426

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102014004004.6A Withdrawn DE102014004004A1 (de) 2014-03-20 2014-03-20 Steuergerät in einem Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts

Country Status (5)

Country Link
US (1) US9852093B2 (de)
EP (1) EP3120518A1 (de)
CN (1) CN106105144B (de)
DE (1) DE102014004004A1 (de)
WO (1) WO2015139799A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9852093B2 (en) 2014-03-20 2017-12-26 Audi Ag Control device in a motor vehicle, a motor vehicle, and a method for operating a control device

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014003949A1 (de) * 2014-03-20 2015-09-24 Audi Ag Vernetzungssteuergerät für ein Kraftfahrzeug und Kraftfahrzeug
US10055909B2 (en) 2016-07-08 2018-08-21 Calamp Corp. Systems and methods for crash determination
DE102017202022A1 (de) * 2017-02-09 2018-08-09 Audi Ag Kraftfahrzeug mit einem fahrzeuginternen Datennetzwerk sowie Verfahren zum Betreiben des Kraftfahrzeugs
US20190141156A1 (en) 2017-11-06 2019-05-09 Calamp Corp. Systems and Methods for Dynamic Telematics Messaging
US11206171B2 (en) 2017-11-07 2021-12-21 Calamp Corp. Systems and methods for dynamic device programming
DE102017220371A1 (de) * 2017-11-15 2019-05-16 Siemens Mobility GmbH System und Verfahren zum Senden und zum Empfangen von Daten
JP7042138B2 (ja) 2018-03-30 2022-03-25 日立Astemo株式会社 処理装置
CN113110407B (zh) * 2021-06-16 2021-09-10 奥特酷智能科技(南京)有限公司 基于区块网关电控单元的汽车控制器

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012105068A1 (de) * 2012-06-12 2013-12-12 Eads Deutschland Gmbh Beschleunigungseinrichtung mit Unterstützung für virtuelle Maschinen

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6732141B2 (en) * 1996-11-29 2004-05-04 Frampton Erroll Ellis Commercial distributed processing by personal computers over the internet
US7093006B2 (en) 2001-07-31 2006-08-15 Motorola, Inc. Method of dynamically configuring access to services
US7490350B1 (en) 2004-03-12 2009-02-10 Sca Technica, Inc. Achieving high assurance connectivity on computing devices and defeating blended hacking attacks
DE102007045398A1 (de) 2007-09-21 2009-04-02 Continental Teves Ag & Co. Ohg Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen
JP5275673B2 (ja) * 2008-04-23 2013-08-28 トヨタ自動車株式会社 マルチコアシステム、車両用ゲートウェイ装置
US9098462B1 (en) * 2010-09-14 2015-08-04 The Boeing Company Communications via shared memory
EP2461251B1 (de) * 2010-12-03 2017-06-21 Robert Bosch GmbH Speicherschutzeinheit und Verfahren zur Steuerung eines Zugangs zu einer Speichervorrichtung
US20130179528A1 (en) * 2012-01-11 2013-07-11 Bae Systems Controls, Inc. Use of multicore processors for network communication in control systems
DE102013101508A1 (de) * 2012-02-20 2013-08-22 Denso Corporation Datenkommunikationsauthentifizierungssystem für ein Fahrzeug, Netzkopplungsvorrichtung für ein Fahrzeug, Datenkommunikationssystem für ein Fahrzeug und Datenkommunikationsvorrichtung für ein Fahrzeug
FR2989801B1 (fr) * 2012-04-18 2014-11-21 Schneider Electric Ind Sas Procede de gestion securisee d'un espace memoire pour microcontroleur
DE102012207215A1 (de) 2012-04-30 2013-10-31 Robert Bosch Gmbh Verfahren und Vorrichtung zur Überwachung von Funktionen eines Rechnersystems, vorzugsweise eines Motorsteuersystems eines Kraftfahrzeuges
DE102014004004A1 (de) 2014-03-20 2015-09-24 Audi Ag Steuergerät in einem Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012105068A1 (de) * 2012-06-12 2013-12-12 Eads Deutschland Gmbh Beschleunigungseinrichtung mit Unterstützung für virtuelle Maschinen

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9852093B2 (en) 2014-03-20 2017-12-26 Audi Ag Control device in a motor vehicle, a motor vehicle, and a method for operating a control device

Also Published As

Publication number Publication date
CN106105144A (zh) 2016-11-09
US20170075835A1 (en) 2017-03-16
WO2015139799A1 (de) 2015-09-24
CN106105144B (zh) 2018-07-13
EP3120518A1 (de) 2017-01-25
US9852093B2 (en) 2017-12-26

Similar Documents

Publication Publication Date Title
DE102014004004A1 (de) Steuergerät in einem Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts
EP3523930B1 (de) Kraftfahrzeug mit einem fahrzeuginternen datennetzwerk sowie verfahren zum betreiben des kraftfahrzeugs
EP3365202B1 (de) Kraftfahrzeug-dachantennenmodul, kraftfahrzeug und verfahren zum betreiben des dachantennenmoduls
DE102007024434A1 (de) Relaisverbindungseinheit und Sammelverbinder
DE102019212959B3 (de) Verfahren zur geschützten Kommunikation eines Fahrzeugs mit einem externen Server, Vorrichtung zur Durchführung der Schlüsselableitung bei dem Verfahren sowie Fahrzeug
DE102018127702A1 (de) VIN-ESN-signierte Befehle und lokales Vertrauensnetz auf Fahrzeugebene
DE102016002945B4 (de) Kraftfahrzeug und Verfahren zum Bereitstellen mehrerer Online-Fahrzeugfunktionalitäten
EP3496975B1 (de) Kraftfahrzeug mit einem in mehrere getrennte domänen eingeteilten datennetzwerk sowie verfahren zum betreiben des datennetzwerks
DE102018219960A1 (de) Fahrzeug-zu-X-Kommunikationsanordnung und Verfahren zum Empfangen von Fahrzeug-zu-X-Nachrichten
EP2448182B1 (de) Verfahren zur Kommunikation in einem Automatisierungssystem
DE102015202242A1 (de) Teilnehmerstation für ein Bussystem und Verfahren zum Betrieb eines Bussystems mit Teilnehmerstationen für unterschiedliche Datenübertragungsstandards
DE102018215706A1 (de) Fahrzeug-Netzwerk-Vorrichtung
DE102010052486B4 (de) Steuerungsanordnung zur Steuerung des Betriebs eines spurgebundenen Fahrzeugs sowie Verfahren zum Herstellen der Steuerungsanordnung
DE102014003949A1 (de) Vernetzungssteuergerät für ein Kraftfahrzeug und Kraftfahrzeug
DE102017202239A1 (de) Verfahren und Vorrichtung zum Vereinbaren eines gemeinsamen Schlüssels zwischen einem ersten Knoten und einem zweiten Knoten eines Rechnernetzes
EP3619091B1 (de) Verfahren und vorrichtung zum übertragen von daten zwischen einem ersten kommunikationsnetz einer ersten spurgebundenen fahrzeugeinheit und einem zweiten kommunikationsnetz einer zweiten spurgebundenen fahrzeugeinheit
DE102017130447B4 (de) Netzwerkmodul und Netzwerkanordnung
EP2564576A2 (de) Verfahren zur bereitstellung einer kommunikation für mindestens ein gerät
DE102022107431B3 (de) Verfahren zum Nachrüsten einer Socks-Kompatibilität für zumindest eine Anwendung in einem Kraftfahrzeug sowie entsprechend eingerichtetes Kraftfahrzeug
DE102021119952A1 (de) Telematikeinheit
DE102016219932A1 (de) Fahrzeug-zu-X-Kommunikationssystem
DE102017002089A1 (de) Vorrichtung zur Datenverarbeitung in einer Fahrerassistenzvorrichtung eines Fahrzeugs
DE102021104423A1 (de) Verfahren zum Betreiben eines Kommunikationsnetzwerkes, Kommunikations-netzwerk und Teilnehmer hierfür
DE102022202389A1 (de) Verfahren zum Weiterleiten von Daten in einem Kommunikationssystem eines Fahrzeugs
DE102022129992A1 (de) Signalverarbeitungsvorrichtung, CAN-Kommunikationssystem und Anhänger

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012240000

Ipc: H04L0041000000

R082 Change of representative

Representative=s name: LINDNER BLAUMEIER, PATENT- UND RECHTSANWAELTE,, DE

R120 Application withdrawn or ip right abandoned