DE102014208838A1 - Verfahren zum Betreiben eines Steuergeräts - Google Patents
Verfahren zum Betreiben eines Steuergeräts Download PDFInfo
- Publication number
- DE102014208838A1 DE102014208838A1 DE102014208838.0A DE102014208838A DE102014208838A1 DE 102014208838 A1 DE102014208838 A1 DE 102014208838A1 DE 102014208838 A DE102014208838 A DE 102014208838A DE 102014208838 A1 DE102014208838 A1 DE 102014208838A1
- Authority
- DE
- Germany
- Prior art keywords
- hsm
- reprogramming
- security module
- hardware security
- electronic hardware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
- G06F8/654—Updates using techniques specially adapted for alterable solid state memories, e.g. for EEPROM or flash memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
- G06F8/66—Updates of program code stored in read-only memory [ROM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
Abstract
Es werden ein Verfahren zum Betreiben eines Steuergeräts (202, 204), ein solches Steuergerät (202, 204) und ein elektronisches Hardware-Sicherheitsmodul (214, 234) vorgestellt. Dabei wird eine Manipulation einer Hauptrecheneinheit (210, 230) durch das elektronische Hardware-Sicherheitsmodul (214, 234) erkannt und es wird überprüft, ob eine Reprogrammierung möglich ist.
Description
- Die Erfindung betrifft ein Verfahren zum Betreiben eines Steuergeräts, ein solches Steuergerät sowie ein elektronisches Hardware-Sicherheitsmodul, das in einem Steuergerät verwendet wird. Das Steuergerät kommt insbesondere in einem Kraftfahrzeug zum Einsatz.
- Stand der Technik
- Steuergeräte sind elektronische Module, die bspw. in Kraftfahrzeugen eingesetzt werden, um Abläufe zu steuern und zu regeln. Hierzu sind die Steuergeräte Komponenten des Kraftfahrzeugs zugeordnet, deren Betrieb mit dem zugeordneten Steuergerät kontrolliert wird. Hierzu liest das Steuergerät von Sensoren erfasste Daten ein und wirkt durch die Ansteuerung von Aktoren auf den Betrieb ein.
- Das beschriebene Verfahren kommt in Verbindung mit einem elektronischen Sicherheitsmodul zur Anwendung, das in einem Steuergerät, insbesondere im Automotive-Bereich, in sicherheitsrelevanten Bereichen eingesetzt wird. Bei den meisten Anwendungen in den sicherheitsrelevanten Bereichen ist das unmanipulierbare oder nicht einsehbare Speichern von Daten eine wesentliche Anforderung. Hierbei werden kryptographische Schlüssel eingesetzt, die in symmetrischen oder asymmetrischen Verschlüsselungsverfahren zur Anwendung kommen.
- Die verwendeten Schlüssel und Verschlüsselungsverfahren stellen Geheimnisse dar, die vor Angreifern geheim gehalten werden müssen. Andere Anwendungen in sicherheitsrelevanten Bereichen betreffen bspw. den Schutz vor unerlaubten Veränderung, bspw. das Speichern von geänderten Seriennummern oder Kilometerständen, das Unterbinden von nicht genehmigten Tuning-Maßnahmen usw.
- Daher ist es erforderlich, in Steuergeräten sichere Umgebungen bereitzustellen, in denen Funktionen ausgeführt werden können, die diese Geheimnisse einsehen und/oder verändern müssen. Diese Umgebungen weisen regelmäßig eine sichere Recheneinheit bzw. CPU, die auch als secure CPU bezeichnet wird, sowie ein Speichermodul auf. Eine solche Umgebung wird hierin als Hardware-Sicherheitsmodul (HSM: Hardware Security Module) bezeichnet. Dieses stellt ein leistungsfähiges Modul mit Hardware- und Software-Komponenten dar, welches den Schutz und die Vertrauenswürdigkeit von eingebetteten Systemen verbessert. Insbesondere unterstützt das HSM dabei, sicherheitskritische Anwendungen und Daten zu schützen. Mit einem HSM können ebenfalls die Sicherheitskosten reduziert werden, während zugleich ein wirksamer Schutz vor Angreifern geboten werden kann. Bezüglich des grundlegenden Aufbaus eines HSM wird auf
3 verwiesen. - Bei Angriffen Dritter auf ein Steuergerät versuchen diese, den Betrieb des im Steuergerät vorgesehenen Hauptrechners und/oder den Ablauf der Steuergeräte-Software zu manipulieren. Bei einer erkannten Manipulation wird im Bereich eingebetteter Systeme bzw. im Embedded-Bereich entweder nur die Manipulation detektiert oder ein Notlaufbetrieb ausgelöst. Eine Heilung des Systems, d. h. des Steuergeräts und der darauf ablaufenden Software, findet nur mit expliziter Reprogrammierung in der Kundenwerkstatt statt. Im Consumer-Electronic-Bereich, z. B. bei TV-Receivern, Smartphones usw., wird die Selbstheilung von außen getriggert, bspw. von einem Anwender, Server usw.
- Offenbarung der Erfindung
- Vor diesem Hintergrund werden ein Verfahren mit den Merkmalen des Anspruchs 1, ein elektronisches Hardware-Sicherheitsmodul nach Anspruch 9 und ein Steuergerät gemäß Anspruch 11 vorgestellt. Ausgestaltungen gehen aus den abhängigen Ansprüchen und der Beschreibung hervor.
- Gemäß dem vorgestellten Verfahren startet bei einer erkannten Manipulation das HSM in Ausgestaltung automatisch, nachdem überprüft wurde, ob eine Reprogrammierung möglich ist, eine Reprogrammierung zur Selbstheilung des Systems bzw. des Steuergeräts. Es erfolgt somit eine eigenständige Erkennung und Selbstheilung durch eine Art integrierten Sicherheits- bzw. Security Watchdog, dem elektronischen Hardware-Sicherheitsmodul (HSM), im korrupten System bzw. Steuergerät. So werden Sicherheitsrisiken und Komforteinbußen minimiert.
- Das HSM erkennt die Manipulation des Hauptrechners bzw. Maincores in dem Steuergerät bzw. der ECU und startet die Selbstheilung. Die Selbstheilung wird durch Reprogrammierung durchgeführt. Die vertrauenswürdige Software zur Reprogrammierung liegt entweder
- – im HSM-Flash-Speicher der betroffenen ECU,
- – in einem Flash-Speicher einer nicht betroffenen ECU, vernetzt mit der betroffenen ECU,
- – im HSM-Flash-Speicher einer nicht betroffenen ECU, vernetzt mit der betroffenen ECU,
- – im abgesicherten Speicher einer Trusted Cloud, vernetzt mit der betroffenen ECU,
- – im abgesicherten Speicher einer Trusted Cloud, vernetzt mit einer nicht betroffenen ECU, die vernetzt mit der betroffenen ECU ist.
- Für die Übertragung können ein klassisches Bussystem oder ein abgesichertes Bussystem verwendet werden. So kann bspw. der HSM-Security-Bus verwendet werden.
- Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und den beiliegenden Zeichnungen.
- Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
- Kurze Beschreibung der Zeichnungen
-
1 zeigt eine Vertrauenspyramide. -
2 zeigt in einer schematischen Darstellung Funktionen eines HSM. -
3 zeigt in einer schematischen Darstellung den Aufbau einer Ausführung des HSM. -
4 zeigt einen Steuergeräteverbund. -
5 zeigt einen möglichen Ablauf des vorgestellten Verfahrens. - Ausführungsformen der Erfindung
- Die Erfindung ist anhand von Ausführungsformen in den Zeichnungen schematisch dargestellt und wird nachfolgend unter Bezugnahme auf die Zeichnungen ausführlich beschrieben.
- Um einem IT-System dahingegen zu vertrauen, dass es immer so agiert, wie dies erwartet ist, erfordert es, aufeinanderfolgend allen Schichten zu vertrauen, die eingebunden sind, um ein vertrauenswürdiges IT-System zu erzeugen.
-
1 zeigt eine Pyramide des Vertrauens, die als Trust Pyramid bezeichnet wird, für ein typisches IT-System. Diese ist insgesamt mit der Bezugsziffer10 bezeichnet und umfasst eine Schicht für eine organisatorische Sicherheit12 , eine Schicht für eine Systemsicherheit14 , eine Schicht für eine Hardware-Sicherheit16 , eine Schicht für eine Software-Sicherheit18 und eine oberste Schicht für Vertrauen20 bzw. Trust. - Um dem gesamten IT-System vertrauen zu können, ist es erforderlich, dass jede Schicht auf die wirksame Sicherheit der darunterliegenden Schicht vertrauen kann, ohne in der Lage zu sein, dies direkt zu verifizieren. Dies bedeutet bspw., dass sich eine perfekte Software- und Hardware-Sicherheitslösung durch eine schwache darunterliegende Sicherheitssystemgestaltung als nutzlos erweisen kann. Darüber hinaus kann gegeben sein, dass eine mögliche Schwäche in der Systemgestaltung nicht erfasst oder durch die oberen Hard- und Software-Schichten verhindert wird.
- Im Gegensatz zu typischen Back- und IT-Systemen ist die Hardware-Schicht von eingebetteten Systemen oftmals physischen Angriffen ausgesetzt, die Hardware- oder Software-Funktionen durch physische Mittel beeinflussen, bspw. einen Flash-Speicher manipulieren oder Alarmfunktionen deaktivieren. Ein Ansatz, solche physischen Attacken zu erschweren, besteht darin, insbesondere manipuliergeschützte Hardware-Sicherheitsmodule (HSM) einzusetzen, wie diese bspw. in
2 gezeigt sind. Ein solches HSM schützt wichtige Informationen, bspw. Personen-Identifikationsnummern (PIN), sichere Schlüssel und kritische Operationen, bspw. eine PIN-Verifikation, eine Datenverschlüsselung, bspw. durch starke physische Abschirmung. - Wie ein HSM ausgebildet sein kann und was für Funktionen von diesem durchgeführt werden können, um die Sicherheit eines eingebetteten Systems zu verbessern, wird im Folgenden dargestellt.
-
2 zeigt die Kernfunktionen eines typischen Hardware-Sicherheitsmoduls. Die Darstellung zeigt eine Software-Schicht30 und eine Hardware-Schicht32 , die vor unberechtigten Zugriffen geschützt ist. - Die Software-Schicht
30 umfasst eine Reihe von Anwendungen34 , von denen hier drei dargestellt sind. Weiterhin ist ein Betriebssystem36 vorgesehen. Die Hardware-Schicht32 umfasst eingebettete Standard-Hardware38 und ein Hardware-Sicherheitsmodul (HSM)40 . In diesem HSM40 ist ein erster Block42 für Schnittstellen und Steuerung, ein zweiter Block44 für sichere Verschlüsselungsfunktionen, ein dritter Block46 für sichere Funktionen und ein sicherer Speicher48 vorgesehen. - Der sichere Speicher
48 ist ein kleiner, nicht flüchtiger Datenspeicher, bspw. mit einer Kapazität von einigen Kilobyte, innerhalb des manipuliergeschützten HSM40 , um ein nicht autorisiertes Auslesen, eine Manipulation oder ein Löschen von kritischen Informationen, wie bspw. von kryptographischen Schlüsseln, kryptographischen Zertifikaten oder Authentifizierungsdaten, bspw. PINs oder Passwörter zu verhindern. Der sichere Speicher48 des HSM40 enthält weiterhin alle HSM-Konfigurationsinformationen, bspw. Informationen zum Eigentümer des HSM40 oder Zugriffautorisierungen zu gesicherten internen Einheiten. - Im zweiten Block
44 für sichere Verschlüsselungsfunktionen sind kryptographische Algorithmen, die für eine Datenverschlüsselung und -entschlüsselung verwendet werden, bspw. AES oder 3DES, eine Datenintegritätsverstärkung, bspw. MAC oder HMAC, oder eine Datenursprungsverifikation, bspw. durch Verwenden von digitalen Signatur-Algorithmen, wie bspw. RSA oder ECC, und alle zugehörigen kryptographischen Aktivitäten, wie bspw. Schlüsselerzeugung, Schlüsselverifikation, enthalten. - Sichere Funktionen im dritten Block
46 umfassen alle geschützten Funktionen, die nicht direkt einem kryptographischen Verfahren zugeordnet sind, wobei das HSM40 als physisch geschützter "Trust Anchor" dient. Dies kann bspw. ein physisch geschütztes Taktsignal, ein interner Zufallszahlengenerator, ein Ladeprogramm-Schutzmechanismus oder irgendeine kritische Anwendungsfunktion sein, bspw. um einen sicheren Dongle zu realisieren. - Der erste Block
42 für Schnittstellen und Steuerung umfasst die interne HSM-Logik, welche die HSM-Kommunikation mit der Außenwelt implementiert und die den Betrieb aller internen Basiskomponenten, wie diese vorstehend erwähnt sind, verwaltet. - Alle funktionalen Basiskomponenten des Hardware-Sicherheitsmoduls
40 , wie dies vorstehend beschrieben ist, sind von einer kontinuierlichen physischen Grenze umgeben, was verhindert, dass interne Daten und Prozesse abgehört, kopiert bzw. nachgebildet oder manipuliert werden können. Dies könnte dazu führen, dass ein nicht autorisierter Nutzer interne Geheimnisse verwenden oder kompromittieren kann. Die kryptographische Grenze wird üblicherweise mit algorithmischen und physischen Zeitkanal-Gegenmaßnahmen mit dedizierten Zugriffsschutzmitteln implementiert, bspw. eine spezielle Abschirmung oder Beschichtungen, um einen Seitenkanalwiderstand, einen Zugriffshinweis, einen Zugriffswiderstand oder eine Zugriffsantwort zu ermöglichen. - Wie das HSM
40 die Sicherheit einer eingebetteten Produktlösung verbessern kann, wird nachstehend dargelegt:
Das HSM40 schützt kritische Informationen, bspw. Identitäten, Signierschlüssel oder Schlüssel, durch die physische Abschirmung, die nicht durch eine Software-Anfälligkeit umgangen werden kann. - Das HSM
40 kann dabei helfen, mächtige POI-Angreifer (POI: Point of Interest) zu erfassen, abzuschwächen oder abzuhalten, indem wirksame Seitenkanal-Widerstand- und Zugriffsschutz-Barrieren implementiert werden, die u. a. starke Zugriffsrestriktionen haben, selbst für autorisierte Nutzer. Es werden bspw. einige Informationen immer exklusiv innerhalb des HSM40 gehalten. - Das HSM
40 kann Sicherheitsmechanismen beschleunigen, bei denen bestimmte Beschleunigungsschaltkreise angewendet werden. - Mit dem HSM
40 können Sicherheitskosten reduziert werden, indem hoch optimierte Spezialschaltkreise hinzugefügt werden, bspw. für eine standardisierte Kryptographie. - Ein möglicher Aufbau des HSM ist in
3 dargestellt. Diese zeigt das HSM70 , das in eine Umgebung eingebettet ist. Die Darstellung zeigt eine Hauptrecheneinheit72 , einen Systembus74 , einen RAM-Baustein76 mit einem gemeinsam zu nutzenden Bereich und ein Testprogramm78 bzw. Debugger mit zugeordneter Hardware80 und Schnittstelle82 , die wiederum ein Register84 umfasst. Die Darstellung zeigt weiterhin einen Speicherbaustein86 für Flash-Code mit einem Datenbereich88 und einem sicheren Bereich90 , in dem sichere Kerndaten enthalten sind. - In dem HSM
70 sind eine Schnittstelle100 zum Testprogram78 , ein sicherer Rechenkern102 , ein sicherer RAM-Baustein104 , ein Zufallsgenerator106 , bspw. ein TRNG oder PRNG, und Schlüssel108 , bspw. AES, vorgesehen. -
4 zeigt einen Steuergeräteverbund, der insgesamt mit der Bezugsziffer200 bezeichnet ist. Dieser Steuergeräteverbund200 umfasst ein erstes Steuergerät202 und ein zweites Steuergerät204 . Weiterhin zeigt die Darstellung eine Cloud206 , in diesem Fall eine vertrauenswürdige Cloud bzw. Trusted Cloud. - Das erste Steuergerät
202 weist eine erste Hauptrecheneinheit210 , eine erste Kommunikationsschnittstelle212 und ein erstes elektronisches Hardware-Sicherheitsmodul (HSM)214 auf, dem wiederum eine Schnittstelle216 , ein Flash-Speicher218 als nicht flüchtiger Speicher und als flüchtiger Speicher ein RAM-Baustein220 zugeordnet sind. - Das zweite Steuergerät
204 weist eine zweite Hauptrecheneinheit230 , eine zweite Kommunikationsschnittstelle232 und ein zweites elektronisches Hardware-Sicherheitsmodul (HSM)234 auf, dem wiederum eine Schnittstelle236 , ein Flash-Speicher238 als nicht flüchtiger Speicher und als flüchtiger Speicher ein RAM-Baustein240 zugeordnet sind. Weiterhin ist eine zusätzliche Kommunikationsschnittstelle242 vorgesehen. - Die Cloud
206 weist einen abgesicherten Speicher246 auf, in dem Daten bzw. eine Software für eine Reprogrammierung abgelegt sein können bzw. kann. Alternativ oder ergänzend kann die Software im ersten Flash-Speicher218 und/oder dem zweiten Flash-Speicher238 abgelegt sein. Im Falle einer Manipulation des ersten Steuergeräts202 bzw. der ersten Hauptrecheneinheit210 des ersten Steuergeräts202 wird dies durch das erste HSM214 erkannt. Dieses startet dann auch die Reprogrammierung, wobei die für die Reprogrammierung erforderliche Software im ersten Flash-Speicher218 , im zweiten Flash-Speicher238 und/oder im abgesicherten Speicher246 der Cloud206 abgelegt sein kann. - In
5 ist in einem Flussdiagramm ein möglicher Ablauf des beschriebenen Verfahrens dargestellt. In einem ersten Schritt250 wird überprüft, ob ein Fehler im Betrieb des Steuergeräts vorliegt. Ist dies der Fall, erfolgt in einem nächsten Schritt252 die Überprüfung, ob eine Reprogrammierung möglich ist. Dies kann bspw. vom Betriebszustand des Kraftfahrzeugs abhängen. Es kann bspw. erforderlich sein, dass das Kraftfahrzeug steht. Dies kann weiterhin davon abhängen, ob ein vertrauenswürdiger Code für eine Reprogrammierung überhaupt zur Verfügung steht. Ist eine Reprogrammierung nicht möglich, erfolgt in einem Schritt254 eine Ersatzreaktion, bspw. die Einleitung eines Notlaufs. - Ergibt die Überprüfung in Schritt
252 , dass eine Reprogrammierung möglich ist, so wird diese in einem abschließenden Schritt256 durchgeführt. Dabei kann die Steuergeräte-Software, einschließlich Code und Daten, wieder hergestellt werden.
Claims (11)
- Verfahren zum Betreiben eines Steuergeräts (
202 ,204 ), das eine Hauptrecheneinheit (210 ,230 ) und ein elektronisches Hardware-Sicherheitsmodul (40 ,70 ,214 ,234 ) aufweist, wobei eine Manipulation der Hauptrecheneinheit (210 ,230 ) durch das elektronische Hardware-Sicherheitsmodul (40 ,70 ,214 ,234 ) erkannt wird und überprüft wird, ob eine Reprogrammierung möglich ist. - Verfahren nach Anspruch 1, bei dem, wenn eine Reprogrammierung möglich ist, diese durchgeführt wird.
- Verfahren nach Anspruch 1, bei dem, wenn eine Reprogrammierung nicht möglich ist, eine Ersatzreaktion ausgelöst wird.
- Verfahren nach einem der Ansprüche 1 bis 3, bei dem die zur Reprogrammierung erforderliche Software in einem nicht flüchtigen Speicher des elektronischen Hardware-Sicherheitsmoduls (
40 ,70 ,214 ,234 ) des Steuergeräts (202 ,204 ) abgelegt ist. - Verfahren nach einem der Ansprüche 1 bis 3, bei dem die zur Reprogrammierung erforderliche Software in einem nicht flüchtigen Speicher eines elektronischen Hardware-Sicherheitsmoduls (
40 ,70 ,214 ,234 ) eines weiteren Steuergeräts (202 ,204 ) abgelegt ist. - Verfahren nach einem der Ansprüche 1 bis 5, bei dem die zur Reprogrammierung erforderliche Software in einem Speicher (
246 ) einer Cloud (206 ) abgelegt ist. - Verfahren nach Anspruch 6, bei dem die Cloud (
206 ) mit dem Steuergerät (202 ,204 ) verbunden ist. - Verfahren nach Anspruch 6 oder 7, bei dem die Cloud (
206 ) mit einem weiteren Steuergerät (202 ,204 ), das mit dem Steuergerät (202 ,204 ) vernetzt ist, verbunden ist. - Elektronisches Hardware-Sicherheitsmodul, insbesondere zur Durchführung eines Verfahrens nach einem der Ansprüche 1 bis 8, das in einem Steuergerät (
202 ,204 ) mit einer Hauptrecheneinheit (210 ,230 ) zum Einsatz kommt, wobei das elektronische Hardware-Sicherheitsmodul dazu eingerichtet ist, eine Manipulation der Hauptrecheneinheit (210 ,230 ) zu erkennen und zu überprüfen, ob eine Reprogrammierung möglich ist. - Elektronisches Hardware-Sicherheitsmodul nach Anspruch 9 mit einem Flash-Speicher (
218 ,238 ), in dem eine zur Reprogrammierung erforderliche Software abgelegt ist. - Steuergerät mit einer Hauptrecheneinheit (
210 ,230 ) und einem elektronischen Hardware-Sicherheitsmodul (40 ,70 ,214 ,234 ) nach Anspruch 9 oder 10.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102014208838.0A DE102014208838A1 (de) | 2014-05-12 | 2014-05-12 | Verfahren zum Betreiben eines Steuergeräts |
US14/705,308 US10025954B2 (en) | 2014-05-12 | 2015-05-06 | Method for operating a control unit |
CN201510235957.9A CN105892348B (zh) | 2014-05-12 | 2015-05-11 | 用于运行控制设备的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102014208838.0A DE102014208838A1 (de) | 2014-05-12 | 2014-05-12 | Verfahren zum Betreiben eines Steuergeräts |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102014208838A1 true DE102014208838A1 (de) | 2015-11-12 |
Family
ID=54336604
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102014208838.0A Pending DE102014208838A1 (de) | 2014-05-12 | 2014-05-12 | Verfahren zum Betreiben eines Steuergeräts |
Country Status (3)
Country | Link |
---|---|
US (1) | US10025954B2 (de) |
CN (1) | CN105892348B (de) |
DE (1) | DE102014208838A1 (de) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102017118164A1 (de) * | 2017-08-09 | 2019-02-14 | Infineon Technologies Ag | Kryptographische schaltung und datenverarbeitung |
DE102018127330A1 (de) * | 2018-11-01 | 2020-05-07 | Infineon Technologies Ag | System-on-Chip und Verfahren zum Betreiben eines System-on-Chip |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102014208853A1 (de) * | 2014-05-12 | 2015-11-12 | Robert Bosch Gmbh | Verfahren zum Betreiben eines Steuergeräts |
EP3291119B1 (de) * | 2016-08-31 | 2020-05-06 | Bayerische Motoren Werke Aktiengesellschaft | Automotives überwachungs- und sicherheitssystem |
FR3076920B1 (fr) | 2018-01-16 | 2019-12-13 | Continental Automotive France | Procede de reprogrammation des donnees d'une fonction logicielle executee par au moins un calculateur muni d'au moins un cœur d'execution, d'au moins un cœur de securite et d'au moins une memoire non volatile |
DE102018208066A1 (de) * | 2018-05-23 | 2019-11-28 | Robert Bosch Gmbh | Datenverarbeitungseinrichtung und Betriebsverfahren hierfür |
DE102018213616A1 (de) * | 2018-06-20 | 2019-12-24 | Robert Bosch Gmbh | Kryptografiemodul und Betriebsverfahren hierfür |
JP7400744B2 (ja) * | 2021-01-14 | 2023-12-19 | トヨタ自動車株式会社 | 車両制御システム |
Family Cites Families (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5422632A (en) * | 1992-10-28 | 1995-06-06 | Intellitouch 2000, Inc. | Electronic security system |
SE515611C2 (sv) * | 1995-12-18 | 2001-09-10 | Combitech Traffic Syst Ab | Anordning för dataöverföring medelst radiokommunikation |
US5787367A (en) * | 1996-07-03 | 1998-07-28 | Chrysler Corporation | Flash reprogramming security for vehicle computer |
DE19963208B4 (de) * | 1999-12-28 | 2018-07-05 | Robert Bosch Gmbh | Verfahren zum Manipulationsnachweis einer programmierbaren Speichereinrichtung eines digitalen Steuergeräts |
US20070185624A1 (en) * | 2006-02-07 | 2007-08-09 | General Motors Corporation | Method for remote reprogramming of vehicle flash memory |
CN101234601A (zh) * | 2007-01-30 | 2008-08-06 | 南京理工大学 | 基于单目视觉的汽车巡航控制方法及其实现系统 |
US9122260B2 (en) * | 2008-03-03 | 2015-09-01 | Alstom Technology Ltd | Integrated controls design optimization |
DE102009058754B4 (de) * | 2009-12-17 | 2018-06-07 | Continental Automotive Gmbh | Verfahren zur Reprogrammierung eines oder mehrerer Steuergeräte eines Fahrzeugs und Steuergerät |
EP2354993A1 (de) * | 2009-12-30 | 2011-08-10 | Gemalto SA | JCVM-Bytecode-Ausführungsschutz vor Fehlerangriffen |
US9819498B2 (en) * | 2010-02-04 | 2017-11-14 | Gentex Corporation | System and method for wireless re-programming of memory in a communication system |
CN201974884U (zh) * | 2010-06-24 | 2011-09-14 | 深圳市证通电子股份有限公司 | 车载系统 |
EP2484564B1 (de) * | 2011-02-08 | 2014-01-15 | Delphi Technologies Holding S.à.r.l. | Verfahren und Vorrichtung für Fahrzeugsicherheit |
WO2012122994A1 (en) * | 2011-03-11 | 2012-09-20 | Kreft Heinz | Off-line transfer of electronic tokens between peer-devices |
CN102135922B (zh) * | 2011-03-18 | 2015-08-19 | 北京经纬恒润科技有限公司 | 应用程序的刷新方法和系统 |
CN202353818U (zh) * | 2011-09-21 | 2012-07-25 | 上海科世达-华阳汽车电器有限公司 | 一种车载通信设备与无线终端安全通信的系统 |
CN102662692B (zh) * | 2012-03-16 | 2015-05-27 | 北京经纬恒润科技有限公司 | 一种电子控制单元中应用程序的更新方法及系统 |
US9264301B1 (en) * | 2012-09-20 | 2016-02-16 | Wiretap Ventures, LLC | High availability for software defined networks |
US9313602B2 (en) * | 2012-10-24 | 2016-04-12 | Beta Brain, Inc. | Remotely accessing a computer system |
JP6070355B2 (ja) * | 2013-03-28 | 2017-02-01 | 富士通株式会社 | 仮想マシン制御プログラム,仮想マシン制御方法,仮想マシン制御装置及びクラウドシステム |
CN203399145U (zh) * | 2013-07-11 | 2014-01-15 | 弗徕威智能机器人科技(上海)有限公司 | 一种基于云计算的智能交互服务机器人 |
CN103458050A (zh) * | 2013-09-16 | 2013-12-18 | 浪潮电子信息产业股份有限公司 | 一种基于云计算的电子阅览室搭建方法 |
CN103645934A (zh) * | 2013-12-11 | 2014-03-19 | 天津湖蓝科技有限公司 | 基于云计算的远程虚拟化终端应用系统及应用 |
CN103713932B (zh) * | 2014-01-21 | 2017-03-08 | 北京经纬恒润科技有限公司 | 一种电子控制单元中应用程序的更新方法及装置 |
-
2014
- 2014-05-12 DE DE102014208838.0A patent/DE102014208838A1/de active Pending
-
2015
- 2015-05-06 US US14/705,308 patent/US10025954B2/en active Active
- 2015-05-11 CN CN201510235957.9A patent/CN105892348B/zh active Active
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102017118164A1 (de) * | 2017-08-09 | 2019-02-14 | Infineon Technologies Ag | Kryptographische schaltung und datenverarbeitung |
DE102018127330A1 (de) * | 2018-11-01 | 2020-05-07 | Infineon Technologies Ag | System-on-Chip und Verfahren zum Betreiben eines System-on-Chip |
Also Published As
Publication number | Publication date |
---|---|
CN105892348A (zh) | 2016-08-24 |
US20150324583A1 (en) | 2015-11-12 |
CN105892348B (zh) | 2020-03-31 |
US10025954B2 (en) | 2018-07-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102014208838A1 (de) | Verfahren zum Betreiben eines Steuergeräts | |
DE102014208855A1 (de) | Verfahren zum Durchführen einer Kommunikation zwischen Steuergeräten | |
DE60129967T2 (de) | Auf biometrie basierende beglaubigung in einer nichtflüchtigen speichervorrichtung | |
EP2899714B1 (de) | Gesichertes Bereitstellen eines Schlüssels | |
DE102014208851A1 (de) | Verfahren zum Verhindern eines unbefugten Betriebs eines Kraftfahrzeugs | |
DE102013227184A1 (de) | Verfahren zur Absicherung eines Systems-on-a-Chip | |
DE102009013384A1 (de) | System und Verfahren zur Bereitstellung einer sicheren Anwendungsfragmentierungsumgebung | |
DE102016210788B4 (de) | Komponente zur Verarbeitung eines schützenswerten Datums und Verfahren zur Umsetzung einer Sicherheitsfunktion zum Schutz eines schützenswerten Datums in einer solchen Komponente | |
DE102018127330A1 (de) | System-on-Chip und Verfahren zum Betreiben eines System-on-Chip | |
DE102015201298A1 (de) | Verfahren zum kryptographischen Bearbeiten von Daten | |
EP2111586B1 (de) | Ein-chip-computer und tachograph | |
EP0280035B1 (de) | Verfahren zum Sichern von Programmen und zur Integritätskontrolle gesicherter Programme | |
EP1760623A2 (de) | Sicherheitseinrichtung für elektronische Geräte | |
DE102012224194A1 (de) | Steuersystem für ein Kraftfahrzeug | |
DE102009054753A1 (de) | Verfahren zum Betreiben einer Sicherheitseinrichtung | |
DE102014208848A1 (de) | Verfahren zum Überwachen eines elektronischen Sicherheitsmoduls | |
DE112014004611T5 (de) | Steuersystem und Authentifikationsvorrichtung | |
DE602004011965T2 (de) | Verfahren und schaltung zum identifizieren und/oder verifizieren von hardware und/oder software eines geräts und eines mit dem gerät arbeitenden datenträgers | |
EP3819804A1 (de) | Integritätsüberprüfung eines registerinhalts | |
DE102014208853A1 (de) | Verfahren zum Betreiben eines Steuergeräts | |
DE102014208840A1 (de) | Verfahren zum Behandeln von Software-Funktionen in einem Steuergerät | |
EP3286872B1 (de) | Bereitstellen eines gerätespezifischen kryptographischen schlüssels aus einem systemübergreifenden schlüssel für ein gerät | |
EP3248136B1 (de) | Verfahren zum betreiben einer computereinheit mit einer sicheren laufzeitumgebung sowie eine solche computereinheit | |
EP3667529B1 (de) | Verfahren und vorrichtung zum authentisieren einer fpga-konfiguration | |
DE102014208844A1 (de) | Verfahren zum Durchführen von sicherheitskritischen Vorgängen in einem Steuergerät |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed |