DE102014004004A1 - Steuergerät in einem Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts - Google Patents
Steuergerät in einem Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts Download PDFInfo
- Publication number
- DE102014004004A1 DE102014004004A1 DE102014004004.6A DE102014004004A DE102014004004A1 DE 102014004004 A1 DE102014004004 A1 DE 102014004004A1 DE 102014004004 A DE102014004004 A DE 102014004004A DE 102014004004 A1 DE102014004004 A1 DE 102014004004A1
- Authority
- DE
- Germany
- Prior art keywords
- processor core
- processor
- control unit
- communication
- motor vehicle
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/14—Handling requests for interconnection or transfer
- G06F13/20—Handling requests for interconnection or transfer for access to input/output bus
- G06F13/28—Handling requests for interconnection or transfer for access to input/output bus using burst mode transfer, e.g. direct memory access DMA, cycle steal
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/14—Handling requests for interconnection or transfer
- G06F13/16—Handling requests for interconnection or transfer for access to memory bus
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/14—Handling requests for interconnection or transfer
- G06F13/16—Handling requests for interconnection or transfer for access to memory bus
- G06F13/1668—Details of memory controller
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/42—Bus transfer protocol, e.g. handshake; Synchronisation
- G06F13/4282—Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
- G06F15/163—Interprocessor communication
- G06F15/167—Interprocessor communication using a common memory, e.g. mailbox
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/544—Buffers; Shared memory; Pipes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Small-Scale Networks (AREA)
Abstract
Steuergerät (1) in einem Kraftfahrzeug (20), aufweisend eine Kommunikationseinrichtung (9) zur drahtlosen Kommunikation in einem wenigstens eine kraftfahrzeugexterne Einrichtung aufweisenden Netzwerk (12), wobei eine Recheneinrichtung (5) des Steuergeräts (1) wenigstens zwei Prozessorkerne (7, 8) umfasst, wobei ein Datenaustausch zwischen der Kommunikationseinrichtung (9) und einem ersten Prozessorkern (7) ausschließlich über einen zweiten der Prozessorkerne (8) erfolgt.
Description
- Die Erfindung betrifft ein Steuergerät in einem Kraftahrzeug, aufweisend eine Kommunikationseinrichtung zur drahtlosen Kommunikation in einem wenigstens eine kraftfahrzeugexterne Einrichtung aufweisenden Netzwerk, ein Kraftfahrzeug sowie ein Verfahren zum Betrieb eines Steuergeräts in einem Kraftfahrzeug.
- Bei modernen Kraftfahrzeugen wird es immer üblicher, diese auch an externe Netze anzubinden, insbesondere an das Internet. Auf diese Weise können nicht nur Komfortfunktionen realisiert werden, sondern auch mit der Führung des Kraftfahrzeugs in unmittelbarer Verbindung stehende, aktuelle Informationen abgerufen werden, beispielsweise was den Straßenzustand, Wetterverhältnisse und dergleichen angeht. Dabei wird die Verbindung in das Internet meist über ein Mobilfunknetz hergestellt.
- Um eine solche „Onlineverbindung” zu einem externen Netzwerk zu realisieren, ist es bekannt, ein spezielles Steuergerät vorzusehen, das beispielsweise als „Online Connectivity Unit” (OCU) bezeichnet werden kann. In einem solchen Steuergerät oder an dieses angeschlossen kann auch eine Kommunikationseinrichtung vorliegen, welche beispielsweise als ein Telefonmodul mit einer Antenne und entsprechender Elektronik realisiert sein kann. Derartige Kommunikationsmodule werden häufig auch als „Network Access Device” (NAD) bezeichnet. Eine Verbindung zu anderen Fahrzeugsystemen ausgehend von dem Steuergerät wird über ein Bussystem des Kraftfahrzeugs realisiert, wobei moderne Kraftfahrzeuge häufig mehrere Fahrzeugbusse (Bussysteme) aufweisen. Das Steuergerät weist üblicherweise mithin eine Verbindung zu einem dieser Bussysteme auf, um aus dem Netzwerk empfangene Daten an andere Fahrzeugsysteme übermitteln zu können oder von diesen an das Netzwerk gerichtete Daten zu empfangen und an die Kommunikationseinrichtung weiterzuleiten.
- Immer dann, wenn eine Verbindung zu externen Netzwerken, insbesondere dem Internet, besteht, existiert auch ein Risiko für Angriffe auf der Elektronik- und Softwareebene, beispielsweise für Hacking- und/oder Jammingangriffe. Durch die Anbindung an das Netzwerk über das Steuergerät und den Fahrzeugbus steht bereits eine Hürde für potentielle Angreifer zur Verfügung, wobei dennoch eine Erhöhung der Sicherheit immer gewünscht ist.
- Der Erfindung liegt daher die Aufgabe zugrunde, eine Ausgestaltung eines Steuergeräts anzugeben, bei der eine erhöhte Sicherheit gegenüber Angriffen aus einem externen Netzwerk, insbesondere dem Internet, gegeben ist.
- Zur Lösung dieser Aufgabe ist bei einem Steuergerät der eingangs genannten Art erfindungsgemäß vorgesehen, dass eine Recheneinrichtung des Steuergeräts wenigstens zwei Prozessorkerne umfasst, wobei ein Datenaustausch zwischen der Kommunikationseinrichtung und einem ersten Prozessorkern ausschließlich über einen zweiten der Prozessorkerne erfolgt.
- Das bedeutet, innerhalb des Steuergeräts wird ein Prozessorkern vorgesehen, der sich ausschließlich dem Datenaustausch zwischen wenigstens einem weiteren Prozessorkern und der Kommunikationseinrichtung widmet. Auf diese Weise ist ein mehrstufiges Sicherheitskonzept realisiert, das drei Domänen definiert, nämlich zum einen die fahrzeugunabhängige „backend-Domäne”, die durch die Kommunikationseinrichtung realisiert ist, eine „Adaptions-Domäne”, die durch den zweiten Prozessorkern gegeben ist, und schließlich die „Fahrzeug-Domäne”, die durch den wenigstens einen ersten Prozessorkern gegeben ist und die fahrzeugseitigen Funktionen des Steuergeräts zur Verfügung stellt. Insbesondere kann der erste Prozessorkern mithin den Datenaustausch mit wenigstens einem Bussystem des Kraftfahrzeugs und/oder wenigstens eine weitere durch das Steuergerät zu erfüllende Funktion steuern. Regelt der erste Prozessorkern lediglich den Datenaustausch mit dem Bussystem des Kraftfahrzeugs, ist ein dediziertes Steuergerät für die Anbindung an das Netzwerk realisiert, beispielsweise als eine der bereits genannten „Online Connectivity Units”. Relevanter wird der Sicherheitsaspekt, wenn das Steuergerät auch weitere Funktionen im Kraftfahrzeug erfüllen soll, auf die ein unberechtigter Zugriff von außen, also durch das externe Netzwerk, möglichst vermieden werden soll.
- In diesem Zusammenhang sieht eine besonders vorteilhafte Ausgestaltung der vorliegenden Erfindung vor, dass das Steuergerät ein Vernetzungssteuergerät mit einer Anschlusseinrichtung an mehrere, insbesondere alle, zur Kommunikation zwischen unterschiedlichen Fahrzeugsystemen vorgesehenen Bussysteme ist und der erste Prozessorkern zur Steuerung des Austauschs von Daten zwischen den Bussystemen und zwischen den Bussystemen und dem Netzwerk ausgebildet ist. Derartige Vernetzungssteuergeräte, die häufig auch als „Gateway” bezeichnet werden, sind bereits bekannt, nachdem Kraftfahrzeuge häufig mehrere Bussysteme aufweisen und bestimmte Daten in mehreren dieser Bussysteme vorliegen müssen. Ein Vernetzungssteuergerät betreibt also prinzipiell Routing, wobei die beschriebene besonders vorteilhafte Ausgestaltung der vorliegenden Erfindung nun auch vorsieht, den Zugang zu dem externen Netzwerk mit in das Vernetzungssteuergerät zu integrieren, so dass jeglicher Datenaustausch an einem einzigen Ort geregelt werden kann. Dabei sind jedoch auch höhere Anforderungen an die Sicherheit denkbar, nachdem das Vernetzungssteuergerät ja zu bevorzugt allen Bussystemen des Kraftfahrzeugs Zugang hat, mithin eine zentrale Position einnimmt, die nicht korrumpiert werden sollte. Hier erweist sich das Vorsehen des speziell zur Anbindung an das externe Netzwerk gedachten zweiten Prozessorkerns als besonders zweckmäßig, da ein hervorragendes Sicherheitskonzept gegeben ist. Denn selbst ein Kompromittieren des zweiten Prozessorkerns führt noch zu keiner Beeinflussung des eigentlichen Gateway-Prozessorkerns, also des wenigstens einen ersten Prozessorkerns, nachdem zweckmäßigerweise stark angreifbare Teile der Software, beispielsweise ein TCP/IP-Stack, auf dem zweiten Prozessorkern gekapselt sind.
- Hierzu kommen die Vorteile einer Integration von dem Vernetzungssteuergerät und der Anbindung an das externe Netzwerk, beispielsweise, dass eine Anbindung an bevorzugt alle Fahrzeugbusse vorliegt und mithin Daten aus dem Netzwerk unmittelbar auf das Ziel-Bussystem gegeben werden können. Es ist mithin eine breitbandige Anbindung gegeben. Würde ein spezielles, nur an ein einziges Bussystem, beispielsweise einen CAN-Bus, angeschlossenes Steuergerät verwendet, müsste der gesamte Verkehr zu dem und von dem externen Netzwerk über dieses eine Bussystem laufen, welches zu stark ausgelastet würde, nachdem die meisten Bussysteme in ihrer Bandbreite begrenzt sind. Besteht Kommunikationsbedarf zwischen dem externen Netzwerk und einem anderen Bussystem, wären bei einem nur an ein Bussystem angeschlossenen Steuergerät zwei Fahrzeugbusse „wach” zu halten, so dass ein höherer Ruhestrom gegeben wäre. Bei der hier vorgestellten integrierten Lösung ist mithin ein besseres Ruhestromverhalten zu erreichen. Die Integration bietet zudem ein monetäres Einsparpotential, nachdem bestimmte Hardwarebestandteile nicht mehr benötigt werden.
- Vorteilhaft ist es ferner, wenn die Prozessorkerne Teil eines Mehrkernprozessors sind. Derartige Mehrkernprozessoren sind im Stand der Technik bereits bekannt und bieten die grundsätzliche Hardwarestruktur, die es erlaubt, einzelnen Prozessorkernen bestimmte auf die Sicherheit bezogene Funktionen zuzuordnen und diese weitgehend abzuschotten. Beispielsweise kann ein sogenannter Dual Core-Prozessor eingesetzt werden.
- Insbesondere kann also durch den zweiten Prozessorkern eine demilitarisierte Zone geschaffen sein. Die demilitarisierten Zonen sind im Stand der Technik bereits bekannt und stellen eine Art aus Sicherheitsgründen vorgesehene Pufferregion dar, deren Korruption von außen unkritisch ist, da nur klar definierte Zugänge zum eigentlichen System, realisiert durch den wenigstens einen ersten Prozessorkern, gegeben sind, auf deren Realisierung im Folgenden noch näher eingegangen wird. Anders ausgedrückt kann man sich im übertragenen Sinne den zweiten Prozessorkern auch als eine Art „Firewall” vorstellen, die die eigentlichen Fahrzeugsysteme gegenüber dem externen Netzwerk, insbesondere dem Internet, schützt.
- Eine konkrete, besonders bevorzugte Ausgestaltung der vorliegenden Erfindung sieht vor, dass die Recheneinrichtung eine Speichereinrichtung aufweist, wobei ein von dem zweiten Prozessorkern ausschließlich adressierbarer Speicherbereich zur Kommunikation zwischen dem ersten und dem zweiten Prozessorkern vorgesehen ist. Es wird also ein geteilter Speicher („shared memory”) eingesetzt, um die Kommunikation zwischen dem ersten und dem zweiten Prozessorkern zu ermöglichen. Der Einsatz von Mehrkernprozessoren in der Recheneinrichtung ist dabei besonders vorteilhaft, da die Grundlagen für die entsprechende Funktionalität dort bereits gegeben sind. Mehrkernprozessoren weisen meist eine Speichereinrichtung (RAM) auf, die von allen Prozessorkernen des Mehrkernprozessors grundsätzlich verwendet werden kann und durch eine Steuereinheit verwaltet wird. Mithin ist es realisierbar, dass ein bestimmter Speicherbereich der Speichereinrichtung nur durch den zweiten Prozessorkern angesprochen werden kann, wobei zudem der zweite Prozessorkern auch keinerlei Zugriff auf andere Speicherbereiche der Speichereinrichtung als den geteilten Speicherbereich erhält. Auf diese Weise kann der Datenaustausch zwischen den Prozessorkernen auf eine definierte Art und Weise erfolgen.
- Die Recheneinrichtung kann mithin insbesondere als Teil eines Mehrkernprozessors eine zur Steuerung des Zugriffs auf die Speichereinrichtung ausgebildete Steuereinheit umfassen, die insbesondere ausschließlich über den ersten Prozessorkern konfigurierbar ist. Derartige Steuereinheiten sind auch unter dem Namen „Memory Protection Unit” (MPU) bekannt. Vorliegend ist eine Konfiguration bevorzugt nur über den ersten Prozessorkern erlaubt, so dass auch bei kompromittiertem zweiten Prozessorkern dessen Zugriffsrechte nicht erweiterbar sind.
- Eine zweckmäßige Weiterbildung sieht vor, dass die Prozessorkerne zur Kommunikation durch den geteilten Speicherbereich über Ein-/Ausgabepuffer ausgebildet sind. Die entsprechenden Datenobjekte/Datenpakete, die in dem Ein-/Ausgabepuffer abgelegt werden, sind dabei zweckmäßigerweise von einem bestimmten, der Sicherheit zuträglichen Format und können seitens des ersten Prozessorkerns bzw. also eines speziellen dort vorgesehenen Softwaremoduls gegebenenfalls noch überprüft werden. Der Ein-/Ausgabepuffer stellt mithin die einzige, klar definierte Schnittstelle dar, über die die idealerweise bereits aufbereiteten Daten aus dem externen Netzwerk empfangen bzw. an dieses weitergegeben werden können, so dass eine äußerst hohe Sicherheit gegeben ist.
- Vorzugsweise ist der zweite Prozessorkern zur Durchführung wenigstens einer Sicherheitsüberprüfung und/oder zu einer die Sicherheit erhöhenden Formatumwandlung der von der Kommunikationseinrichtung empfangenen Daten ausgebildet. Insbesondere kann dann, wenn Daten mit dem TCP/IP-Protokoll empfangen werden, eine Überprüfung und Formatumwandlung innerhalb des zweiten Prozessorkerns erfolgen, was die Gesamtsicherheit des Systems weiter erhöht und die Möglichkeiten des zweiten Prozessorkerns weiter ausnutzt.
- Allgemein sind die Kommunikationseinrichtung und die Recheneinrichtung selbstverständlich über eine Kommunikationsverbindung verbunden, die beispielsweise als eine SPI-Verbindung oder eine USB-Verbindung zwischen dem zweiten Prozessorkern und der Kommunikationseinrichtung realisiert werden kann.
- Schließlich sei noch angemerkt, dass die Kommunikationseinrichtung zweckmäßigerweise eine WLAN-Schnittstelle und/oder eine Schnittstelle zu einem Mobilfunknetz sein kann, insbesondere mit der Absicht, eine Verbindung zum Internet herzustellen.
- Neben dem Steuergerät betrifft die Erfindung auch ein Kraftfahrzeug, das ein erfindungsgemäßes Steuergerät aufweist. Sämtliche Ausführungen bezüglich des erfindungsgemäßen Steuergeräts lassen sich analog auf das erfindungsgemäße Kraftfahrzeug übertragen, mit welchem mithin dieselben Vorteile erhalten werden können.
- Schließlich betrifft die Erfindung auch ein Verfahren zum Betrieb eines Steuergeräts in einem Kraftfahrzeug, aufweisend eine Kommunikationseinrichtung zur drahtlosen Kommunikation in einem wenigstens eine kraftfahrzeugexterne Einrichtung aufweisenden Netzwerk und eine Recheneinrichtung mit wenigstens zwei Prozessorkernen, wobei zum Datenaustausch zwischen der Kommunikationseinrichtung und einem ersten Prozessorkern ausschließlich ein zweiter der Prozessorkerne verwendet wird. Auch bezüglich des erfindungsgemäßen Verfahrens gilt, dass sich die Ausführungen bezüglich des Steuergeräts sinngemäß übertragen lassen, so dass auch das erfindungsgemäße Verfahren Zugang zu den genannten Vorteilen erlaubt. Insbesondere kann es sich also um ein Verfahren zum Betrieb eines erfindungsgemäßen Steuergeräts handeln.
- Weitere Vorteile und Einzelheiten der vorliegenden Erfindung ergeben sich aus den im Folgenden beschriebenen Ausführungsbeispielen sowie anhand der Zeichnungen. Dabei zeigen:
-
1 eine Prinzipskizze eines erfindungsgemäßen Steuergeräts, und -
2 ein erfindungsgemäßes Kraftfahrzeug. -
1 zeigt eine Prinzipskizze eines erfindungsgemäßen Steuergeräts1 . Dabei handelt es sich vorliegend um ein Vernetzungssteuergerät (Gateway), welches mithin am Gehäuse2 eine Anschlusseinrichtung3 an verschiedene Bussysteme4 des Kraftfahrzeugs, in dem das Steuergerät1 verbaut ist, aufweist. Das Steuergerät1 weist als Recheneinrichtung5 einen Mehrkernprozessor6 auf, hier einen Dual-Core-Prozessor mit zwei Prozessorkernen7 ,8 . - In dem Steuergerät
1 verbaut, konkret im selben Gehäuse2 wie die Recheneinrichtung5 , ist vorliegend auch eine Kommunikationseinrichtung9 vorgesehen, konkret ein Telefonmodul10 (häufig auch als NAD-Network Access Device bezeichnet). Auf diese Weise kann mittels einer geeigneten Antenne11 , die innerhalb oder außerhalb des Steuergeräts1 vorgesehen sein kann, über ein Mobilfunknetz eine Verbindung in ein externes Netzwerk12 , hier das Internet, aufgebaut werden. - Das als Vernetzungssteuergerät ausgebildete Steuergerät
1 kann mithin als „Connected Gateway” bezeichnet werden. - Um die Sicherheit im Hinblick auf Bedrohungen aus dem Netzwerk
12 zu verbessern, wird vorliegend ein zweiter Prozessorkern8 des Mehrkernprozessors6 ausschließlich zum Transport von Daten von der Kommunikationseinrichtung9 zu dem ersten Prozessorkern7 und umgekehrt genutzt. Der erste Prozessorkern ist dabei nicht nur zur Steuerung des Austauschs von Daten zwischen dem Bussystem ausgebildet, sondern auch zur Steuerung des Austauschs von Daten zwischen den Bussystemen4 und dem Netzwerk12 . - Der zweite Prozessorkern
8 bildet somit eine Art Schutzwall, wobei konkret durch den zweiten Prozessorkern8 eine demilitarisierte Zone (DMZ) geschaffen wird. Im zweiten Prozessorkern8 werden, wie durch das Kästchen13 angedeutet, Sicherheitsüberprüfungen und sicherheitserhöhende Formatumwandlungen der von der Kommunikationseinrichtung9 empfangenen Daten durchgeführt. Die Sicherheit wird ferner dadurch erhöht, dass in einer Speichereinrichtung14 des Mehrkernprozessors6 ein klar definierter Speicherbereich15 zum Datenaustausch zwischen dem ersten Prozessorkern7 und dem zweiten Prozessorkern8 genutzt wird. Der zweite Prozessorkern8 hat dabei lediglich Zugriff auf den Speicherbereich15 , nicht auf den restlichen Adressbereich der Speichereinrichtung14 . Hierfür sorgt eine Steuereinheit16 , die als MPU-Memory Protection Unit wirkt. Die Steuereinheit16 ist so konfiguriert, dass sie nur durch den ersten Prozessorkern7 angesteuert werden kann, es damit nicht möglich ist, seitens des zweiten Prozessorkerns8 diese Speicherzuordnung zu verändern. - Der Datenaustausch über den Speicherbereich
15 erfolgt dabei über Ein-/Ausgabepuffer, wobei ein klar vorgegebenes, sicherheitserhöhendes Austauschformat gegeben ist, welches sich beispielsweise durch bestimmte Paketgrößen und dergleichen auszeichnet. - Zwischen der Kommunikationseinrichtung
9 und der Recheneinrichtung5 , konkret dem zweiten Prozessorkern8 , besteht eine Kommunikationsverbindung, die vorliegend als SPI-Verbindung22 realisiert ist, aber auch eine USB-Verbindung sein kann. - Damit ist letztlich eine Aufteilung und klare Trennung von Funktionalitäten innerhalb des Steuergeräts
1 gegeben, mithin ein Drei-Domänen-Prinzip. Eine erste Domäne ist die Fahrzeug-Domäne17 , die vorliegend für das Routing zwischen den Bussystemen4 und von und zu dem Netzwerk12 ausgebildet ist, wobei hinsichtlich letzterem der Datentransport klar definiert über den geteilten Speicherbereich15 , den zweiten Prozessorkern8 und die Kommunikationseinrichtung9 verläuft. Der zweite Prozessorkern8 bildet die Adaptions-Domäne18 , in der Daten zwischen unterschiedlichen Formaten umgewandelt und Sicherheitsüberprüfungen vorgenommen werden können. Hier ist eine demilitarisierte Zone geschaffen, das bedeutet, selbst bei Korrumpierung des zweiten Prozessorkerns8 erlangt ein Angreifer keinen Zugriff auf für das Fahrzeug relevante Funktionen, die im ersten Prozessorkern7 durchgeführt würden, der nur über den geteilten Speicherbereich15 eine klar definierte und gegebenenfalls weiteren Sicherheitsüberprüfungen unterworfene Kommunikation durchführt. - Die Kommunikationseinrichtung
9 bildet die fahrzeugunabhängige Backend-Domäne19 . -
2 zeigt ein erfindungsgemäßes Kraftfahrzeug20 in einer Prinzipskizze. Dieses umfasst das Steuergerät1 als Vernetzungssteuergerät, welches an sämtliche Fahrzeugbusse4 zur Kommunikation mit weiteren, hier nur angedeuteten Fahrzeugsystemen21 angeschlossen ist. Bei den Bussystemen4 kann es sich dabei um Bussysteme unterschiedlicher Art handeln, beispielsweise umfassend CAN-Busse, Flexray-Busse und Ethernet-Busse. Über die Antenne11 und die Kommunikationseinrichtung9 sowie die im Prozessorkern8 gebildete demilitarisierte Zone ist zudem eine sichere Verbindung zum Internet möglich, so dass von extern ankommende Daten gleich am Knotenpunkt für die Fahrzeugbusse4 vorliegen.
Claims (12)
- Steuergerät (
1 ) in einem Kraftfahrzeug (20 ), aufweisend eine Kommunikationseinrichtung (9 ) zur drahtlosen Kommunikation in einem wenigstens eine kraftfahrzeugexterne Einrichtung aufweisenden Netzwerk (12 ), dadurch gekennzeichnet, dass eine Recheneinrichtung (5 ) des Steuergeräts (1 ) wenigstens zwei Prozessorkerne (7 ,8 ) umfasst, wobei ein Datenaustausch zwischen der Kommunikationseinrichtung (9 ) und einem ersten Prozessorkern (7 ) ausschließlich über einen zweiten der Prozessorkerne (8 ) erfolgt. - Steuergerät nach Anspruch 1, dadurch gekennzeichnet, dass der erste Prozessorkern (
7 ) den Datenaustausch mit wenigstens einem Bussystem (4 ) des Kraftfahrzeugs (20 ) und/oder wenigstens eine weitere durch das Steuergerät (1 ) zu erfüllende Funktion steuert. - Steuergerät nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Steuergerät (
1 ) ein Vernetzungssteuergerät mit einer Anschlusseinrichtung (3 ) an mehrere, insbesondere alle, zur Kommunikation zwischen unterschiedlichen Fahrzeugsystemen (21 ) vorgesehenen Bussysteme (4 ) ist und der erste Prozessorkern (7 ) zur Steuerung des Austauschs von Daten zwischen den Bussystemen (4 ) und zwischen den Bussystemen (4 ) und dem Netzwerk (12 ) ausgebildet ist. - Steuergerät nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Prozessorkerne (
7 ,8 ) Teil eines Mehrkernprozessors (6 ) sind. - Steuergerät nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Recheneinrichtung (
5 ) eine Speichereinrichtung (14 ) aufweist, wobei ein von dem zweiten Prozessorkern (8 ) ausschließlich adressierbarer Speicherbereich (15 ) zur Kommunikation zwischen dem ersten und dem zweiten Prozessorkern (7 ,8 ) vorgesehen ist. - Steuergerät nach Anspruch 5, dadurch gekennzeichnet, dass die Recheneinrichtung (
9 ) insbesondere als Teil eines Mehrkernprozessors (6 ) eine zur Steuerung des Zugriffs auf die Speichereinrichtung (14 ) ausgebildete Steuereinheit (16 ) umfasst, die insbesondere ausschließlich über den ersten Prozessorkern (7 ) konfigurierbar ist. - Steuergerät nach Anspruch 5 oder 6, dadurch gekennzeichnet, dass die Prozessorkerne (
7 ,8 ) zur Kommunikation durch den geteilten Speicherbereich (15 ) über Ein-/Ausgabepuffer ausgebildet sind. - Steuergerät nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass der zweite Prozessorkern (
8 ) zur Durchführung wenigstens einer Sicherheitsüberprüfung und/oder zu einer sicherheitserhöhenden Formatumwandlung der von der Kommunikationseinrichtung (9 ) empfangenen Daten ausgebildet ist. - Steuergerät nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass durch den zweiten Prozessorkern (
8 ) eine demilitarisierte Zone geschaffen ist. - Steuergerät nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Kommunikationseinrichtung (
9 ) und die Recheneinrichtung (6 ), insbesondere der zweite Prozessorkern (8 ), über eine SPI-Verbindung (22 ) oder eine USB-Verbindung verbunden sind. - Kraftfahrzeug (
20 ), umfassend ein Steuergerät (1 ) nach einem der vorangehenden Ansprüche. - Verfahren zum Betrieb eines Steuergeräts (
1 ) in einem Kraftfahrzeug (20 ), aufweisend eine Kommunikationseinrichtung (9 ) zur drahtlosen Kommunikation in einem wenigstens eine kraftfahrzeugexterne Einrichtung aufweisenden Netzwerk (12 ) und eine Recheneinrichtung (5 ) mit wenigstens zwei Prozessorkernen (7 ,8 ), wobei zum Datenaustausch zwischen der Kommunikationseinrichtung (9 ) und einem ersten Prozessorkern (7 ) ausschließlich ein zweiter der Prozessorkerne (8 ) verwendet wird.
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102014004004.6A DE102014004004A1 (de) | 2014-03-20 | 2014-03-20 | Steuergerät in einem Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts |
CN201580014730.XA CN106105144B (zh) | 2014-03-20 | 2015-02-06 | 机动车中的控制器、机动车 |
EP15705196.2A EP3120518A1 (de) | 2014-03-20 | 2015-02-06 | Steuergerät in einem kraftfahrzeug, kraftfahrzeug und verfahren zum betrieb eines steuergeräts |
PCT/EP2015/000246 WO2015139799A1 (de) | 2014-03-20 | 2015-02-06 | Steuergerät in einem kraftfahrzeug, kraftfahrzeug und verfahren zum betrieb eines steuergeräts |
US15/127,314 US9852093B2 (en) | 2014-03-20 | 2015-02-06 | Control device in a motor vehicle, a motor vehicle, and a method for operating a control device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102014004004.6A DE102014004004A1 (de) | 2014-03-20 | 2014-03-20 | Steuergerät in einem Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102014004004A1 true DE102014004004A1 (de) | 2015-09-24 |
Family
ID=52484426
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102014004004.6A Withdrawn DE102014004004A1 (de) | 2014-03-20 | 2014-03-20 | Steuergerät in einem Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts |
Country Status (5)
Country | Link |
---|---|
US (1) | US9852093B2 (de) |
EP (1) | EP3120518A1 (de) |
CN (1) | CN106105144B (de) |
DE (1) | DE102014004004A1 (de) |
WO (1) | WO2015139799A1 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9852093B2 (en) | 2014-03-20 | 2017-12-26 | Audi Ag | Control device in a motor vehicle, a motor vehicle, and a method for operating a control device |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102014003949A1 (de) * | 2014-03-20 | 2015-09-24 | Audi Ag | Vernetzungssteuergerät für ein Kraftfahrzeug und Kraftfahrzeug |
US10055909B2 (en) | 2016-07-08 | 2018-08-21 | Calamp Corp. | Systems and methods for crash determination |
DE102017202022A1 (de) * | 2017-02-09 | 2018-08-09 | Audi Ag | Kraftfahrzeug mit einem fahrzeuginternen Datennetzwerk sowie Verfahren zum Betreiben des Kraftfahrzeugs |
US20190141156A1 (en) | 2017-11-06 | 2019-05-09 | Calamp Corp. | Systems and Methods for Dynamic Telematics Messaging |
US11206171B2 (en) | 2017-11-07 | 2021-12-21 | Calamp Corp. | Systems and methods for dynamic device programming |
DE102017220371A1 (de) * | 2017-11-15 | 2019-05-16 | Siemens Mobility GmbH | System und Verfahren zum Senden und zum Empfangen von Daten |
JP7042138B2 (ja) | 2018-03-30 | 2022-03-25 | 日立Astemo株式会社 | 処理装置 |
CN113110407B (zh) * | 2021-06-16 | 2021-09-10 | 奥特酷智能科技(南京)有限公司 | 基于区块网关电控单元的汽车控制器 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102012105068A1 (de) * | 2012-06-12 | 2013-12-12 | Eads Deutschland Gmbh | Beschleunigungseinrichtung mit Unterstützung für virtuelle Maschinen |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6732141B2 (en) * | 1996-11-29 | 2004-05-04 | Frampton Erroll Ellis | Commercial distributed processing by personal computers over the internet |
US7093006B2 (en) | 2001-07-31 | 2006-08-15 | Motorola, Inc. | Method of dynamically configuring access to services |
US7490350B1 (en) | 2004-03-12 | 2009-02-10 | Sca Technica, Inc. | Achieving high assurance connectivity on computing devices and defeating blended hacking attacks |
DE102007045398A1 (de) | 2007-09-21 | 2009-04-02 | Continental Teves Ag & Co. Ohg | Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen |
JP5275673B2 (ja) * | 2008-04-23 | 2013-08-28 | トヨタ自動車株式会社 | マルチコアシステム、車両用ゲートウェイ装置 |
US9098462B1 (en) * | 2010-09-14 | 2015-08-04 | The Boeing Company | Communications via shared memory |
EP2461251B1 (de) * | 2010-12-03 | 2017-06-21 | Robert Bosch GmbH | Speicherschutzeinheit und Verfahren zur Steuerung eines Zugangs zu einer Speichervorrichtung |
US20130179528A1 (en) * | 2012-01-11 | 2013-07-11 | Bae Systems Controls, Inc. | Use of multicore processors for network communication in control systems |
DE102013101508A1 (de) * | 2012-02-20 | 2013-08-22 | Denso Corporation | Datenkommunikationsauthentifizierungssystem für ein Fahrzeug, Netzkopplungsvorrichtung für ein Fahrzeug, Datenkommunikationssystem für ein Fahrzeug und Datenkommunikationsvorrichtung für ein Fahrzeug |
FR2989801B1 (fr) * | 2012-04-18 | 2014-11-21 | Schneider Electric Ind Sas | Procede de gestion securisee d'un espace memoire pour microcontroleur |
DE102012207215A1 (de) | 2012-04-30 | 2013-10-31 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Überwachung von Funktionen eines Rechnersystems, vorzugsweise eines Motorsteuersystems eines Kraftfahrzeuges |
DE102014004004A1 (de) | 2014-03-20 | 2015-09-24 | Audi Ag | Steuergerät in einem Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts |
-
2014
- 2014-03-20 DE DE102014004004.6A patent/DE102014004004A1/de not_active Withdrawn
-
2015
- 2015-02-06 WO PCT/EP2015/000246 patent/WO2015139799A1/de active Application Filing
- 2015-02-06 US US15/127,314 patent/US9852093B2/en active Active
- 2015-02-06 EP EP15705196.2A patent/EP3120518A1/de not_active Withdrawn
- 2015-02-06 CN CN201580014730.XA patent/CN106105144B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102012105068A1 (de) * | 2012-06-12 | 2013-12-12 | Eads Deutschland Gmbh | Beschleunigungseinrichtung mit Unterstützung für virtuelle Maschinen |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9852093B2 (en) | 2014-03-20 | 2017-12-26 | Audi Ag | Control device in a motor vehicle, a motor vehicle, and a method for operating a control device |
Also Published As
Publication number | Publication date |
---|---|
CN106105144A (zh) | 2016-11-09 |
US20170075835A1 (en) | 2017-03-16 |
WO2015139799A1 (de) | 2015-09-24 |
CN106105144B (zh) | 2018-07-13 |
EP3120518A1 (de) | 2017-01-25 |
US9852093B2 (en) | 2017-12-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102014004004A1 (de) | Steuergerät in einem Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betrieb eines Steuergeräts | |
EP3523930B1 (de) | Kraftfahrzeug mit einem fahrzeuginternen datennetzwerk sowie verfahren zum betreiben des kraftfahrzeugs | |
EP3365202B1 (de) | Kraftfahrzeug-dachantennenmodul, kraftfahrzeug und verfahren zum betreiben des dachantennenmoduls | |
DE102007024434A1 (de) | Relaisverbindungseinheit und Sammelverbinder | |
DE102019212959B3 (de) | Verfahren zur geschützten Kommunikation eines Fahrzeugs mit einem externen Server, Vorrichtung zur Durchführung der Schlüsselableitung bei dem Verfahren sowie Fahrzeug | |
DE102018127702A1 (de) | VIN-ESN-signierte Befehle und lokales Vertrauensnetz auf Fahrzeugebene | |
DE102016002945B4 (de) | Kraftfahrzeug und Verfahren zum Bereitstellen mehrerer Online-Fahrzeugfunktionalitäten | |
EP3496975B1 (de) | Kraftfahrzeug mit einem in mehrere getrennte domänen eingeteilten datennetzwerk sowie verfahren zum betreiben des datennetzwerks | |
DE102018219960A1 (de) | Fahrzeug-zu-X-Kommunikationsanordnung und Verfahren zum Empfangen von Fahrzeug-zu-X-Nachrichten | |
EP2448182B1 (de) | Verfahren zur Kommunikation in einem Automatisierungssystem | |
DE102015202242A1 (de) | Teilnehmerstation für ein Bussystem und Verfahren zum Betrieb eines Bussystems mit Teilnehmerstationen für unterschiedliche Datenübertragungsstandards | |
DE102018215706A1 (de) | Fahrzeug-Netzwerk-Vorrichtung | |
DE102010052486B4 (de) | Steuerungsanordnung zur Steuerung des Betriebs eines spurgebundenen Fahrzeugs sowie Verfahren zum Herstellen der Steuerungsanordnung | |
DE102014003949A1 (de) | Vernetzungssteuergerät für ein Kraftfahrzeug und Kraftfahrzeug | |
DE102017202239A1 (de) | Verfahren und Vorrichtung zum Vereinbaren eines gemeinsamen Schlüssels zwischen einem ersten Knoten und einem zweiten Knoten eines Rechnernetzes | |
EP3619091B1 (de) | Verfahren und vorrichtung zum übertragen von daten zwischen einem ersten kommunikationsnetz einer ersten spurgebundenen fahrzeugeinheit und einem zweiten kommunikationsnetz einer zweiten spurgebundenen fahrzeugeinheit | |
DE102017130447B4 (de) | Netzwerkmodul und Netzwerkanordnung | |
EP2564576A2 (de) | Verfahren zur bereitstellung einer kommunikation für mindestens ein gerät | |
DE102022107431B3 (de) | Verfahren zum Nachrüsten einer Socks-Kompatibilität für zumindest eine Anwendung in einem Kraftfahrzeug sowie entsprechend eingerichtetes Kraftfahrzeug | |
DE102021119952A1 (de) | Telematikeinheit | |
DE102016219932A1 (de) | Fahrzeug-zu-X-Kommunikationssystem | |
DE102017002089A1 (de) | Vorrichtung zur Datenverarbeitung in einer Fahrerassistenzvorrichtung eines Fahrzeugs | |
DE102021104423A1 (de) | Verfahren zum Betreiben eines Kommunikationsnetzwerkes, Kommunikations-netzwerk und Teilnehmer hierfür | |
DE102022202389A1 (de) | Verfahren zum Weiterleiten von Daten in einem Kommunikationssystem eines Fahrzeugs | |
DE102022129992A1 (de) | Signalverarbeitungsvorrichtung, CAN-Kommunikationssystem und Anhänger |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication | ||
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: H04L0012240000 Ipc: H04L0041000000 |
|
R082 | Change of representative |
Representative=s name: LINDNER BLAUMEIER, PATENT- UND RECHTSANWAELTE,, DE |
|
R120 | Application withdrawn or ip right abandoned |