DE102014208838A1 - Verfahren zum Betreiben eines Steuergeräts - Google Patents

Verfahren zum Betreiben eines Steuergeräts Download PDF

Info

Publication number
DE102014208838A1
DE102014208838A1 DE102014208838.0A DE102014208838A DE102014208838A1 DE 102014208838 A1 DE102014208838 A1 DE 102014208838A1 DE 102014208838 A DE102014208838 A DE 102014208838A DE 102014208838 A1 DE102014208838 A1 DE 102014208838A1
Authority
DE
Germany
Prior art keywords
hsm
reprogramming
security module
hardware security
electronic hardware
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102014208838.0A
Other languages
English (en)
Inventor
Stefan Schneider
Andreas SOENKENS
Thomas Keller
Martin Emele
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102014208838.0A priority Critical patent/DE102014208838A1/de
Priority to US14/705,308 priority patent/US10025954B2/en
Priority to CN201510235957.9A priority patent/CN105892348B/zh
Publication of DE102014208838A1 publication Critical patent/DE102014208838A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • G06F8/654Updates using techniques specially adapted for alterable solid state memories, e.g. for EEPROM or flash memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • G06F8/66Updates of program code stored in read-only memory [ROM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect

Abstract

Es werden ein Verfahren zum Betreiben eines Steuergeräts (202, 204), ein solches Steuergerät (202, 204) und ein elektronisches Hardware-Sicherheitsmodul (214, 234) vorgestellt. Dabei wird eine Manipulation einer Hauptrecheneinheit (210, 230) durch das elektronische Hardware-Sicherheitsmodul (214, 234) erkannt und es wird überprüft, ob eine Reprogrammierung möglich ist.

Description

  • Die Erfindung betrifft ein Verfahren zum Betreiben eines Steuergeräts, ein solches Steuergerät sowie ein elektronisches Hardware-Sicherheitsmodul, das in einem Steuergerät verwendet wird. Das Steuergerät kommt insbesondere in einem Kraftfahrzeug zum Einsatz.
  • Stand der Technik
  • Steuergeräte sind elektronische Module, die bspw. in Kraftfahrzeugen eingesetzt werden, um Abläufe zu steuern und zu regeln. Hierzu sind die Steuergeräte Komponenten des Kraftfahrzeugs zugeordnet, deren Betrieb mit dem zugeordneten Steuergerät kontrolliert wird. Hierzu liest das Steuergerät von Sensoren erfasste Daten ein und wirkt durch die Ansteuerung von Aktoren auf den Betrieb ein.
  • Das beschriebene Verfahren kommt in Verbindung mit einem elektronischen Sicherheitsmodul zur Anwendung, das in einem Steuergerät, insbesondere im Automotive-Bereich, in sicherheitsrelevanten Bereichen eingesetzt wird. Bei den meisten Anwendungen in den sicherheitsrelevanten Bereichen ist das unmanipulierbare oder nicht einsehbare Speichern von Daten eine wesentliche Anforderung. Hierbei werden kryptographische Schlüssel eingesetzt, die in symmetrischen oder asymmetrischen Verschlüsselungsverfahren zur Anwendung kommen.
  • Die verwendeten Schlüssel und Verschlüsselungsverfahren stellen Geheimnisse dar, die vor Angreifern geheim gehalten werden müssen. Andere Anwendungen in sicherheitsrelevanten Bereichen betreffen bspw. den Schutz vor unerlaubten Veränderung, bspw. das Speichern von geänderten Seriennummern oder Kilometerständen, das Unterbinden von nicht genehmigten Tuning-Maßnahmen usw.
  • Daher ist es erforderlich, in Steuergeräten sichere Umgebungen bereitzustellen, in denen Funktionen ausgeführt werden können, die diese Geheimnisse einsehen und/oder verändern müssen. Diese Umgebungen weisen regelmäßig eine sichere Recheneinheit bzw. CPU, die auch als secure CPU bezeichnet wird, sowie ein Speichermodul auf. Eine solche Umgebung wird hierin als Hardware-Sicherheitsmodul (HSM: Hardware Security Module) bezeichnet. Dieses stellt ein leistungsfähiges Modul mit Hardware- und Software-Komponenten dar, welches den Schutz und die Vertrauenswürdigkeit von eingebetteten Systemen verbessert. Insbesondere unterstützt das HSM dabei, sicherheitskritische Anwendungen und Daten zu schützen. Mit einem HSM können ebenfalls die Sicherheitskosten reduziert werden, während zugleich ein wirksamer Schutz vor Angreifern geboten werden kann. Bezüglich des grundlegenden Aufbaus eines HSM wird auf 3 verwiesen.
  • Bei Angriffen Dritter auf ein Steuergerät versuchen diese, den Betrieb des im Steuergerät vorgesehenen Hauptrechners und/oder den Ablauf der Steuergeräte-Software zu manipulieren. Bei einer erkannten Manipulation wird im Bereich eingebetteter Systeme bzw. im Embedded-Bereich entweder nur die Manipulation detektiert oder ein Notlaufbetrieb ausgelöst. Eine Heilung des Systems, d. h. des Steuergeräts und der darauf ablaufenden Software, findet nur mit expliziter Reprogrammierung in der Kundenwerkstatt statt. Im Consumer-Electronic-Bereich, z. B. bei TV-Receivern, Smartphones usw., wird die Selbstheilung von außen getriggert, bspw. von einem Anwender, Server usw.
  • Offenbarung der Erfindung
  • Vor diesem Hintergrund werden ein Verfahren mit den Merkmalen des Anspruchs 1, ein elektronisches Hardware-Sicherheitsmodul nach Anspruch 9 und ein Steuergerät gemäß Anspruch 11 vorgestellt. Ausgestaltungen gehen aus den abhängigen Ansprüchen und der Beschreibung hervor.
  • Gemäß dem vorgestellten Verfahren startet bei einer erkannten Manipulation das HSM in Ausgestaltung automatisch, nachdem überprüft wurde, ob eine Reprogrammierung möglich ist, eine Reprogrammierung zur Selbstheilung des Systems bzw. des Steuergeräts. Es erfolgt somit eine eigenständige Erkennung und Selbstheilung durch eine Art integrierten Sicherheits- bzw. Security Watchdog, dem elektronischen Hardware-Sicherheitsmodul (HSM), im korrupten System bzw. Steuergerät. So werden Sicherheitsrisiken und Komforteinbußen minimiert.
  • Das HSM erkennt die Manipulation des Hauptrechners bzw. Maincores in dem Steuergerät bzw. der ECU und startet die Selbstheilung. Die Selbstheilung wird durch Reprogrammierung durchgeführt. Die vertrauenswürdige Software zur Reprogrammierung liegt entweder
    • – im HSM-Flash-Speicher der betroffenen ECU,
    • – in einem Flash-Speicher einer nicht betroffenen ECU, vernetzt mit der betroffenen ECU,
    • – im HSM-Flash-Speicher einer nicht betroffenen ECU, vernetzt mit der betroffenen ECU,
    • – im abgesicherten Speicher einer Trusted Cloud, vernetzt mit der betroffenen ECU,
    • – im abgesicherten Speicher einer Trusted Cloud, vernetzt mit einer nicht betroffenen ECU, die vernetzt mit der betroffenen ECU ist.
  • Für die Übertragung können ein klassisches Bussystem oder ein abgesichertes Bussystem verwendet werden. So kann bspw. der HSM-Security-Bus verwendet werden.
  • Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und den beiliegenden Zeichnungen.
  • Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
  • Kurze Beschreibung der Zeichnungen
  • 1 zeigt eine Vertrauenspyramide.
  • 2 zeigt in einer schematischen Darstellung Funktionen eines HSM.
  • 3 zeigt in einer schematischen Darstellung den Aufbau einer Ausführung des HSM.
  • 4 zeigt einen Steuergeräteverbund.
  • 5 zeigt einen möglichen Ablauf des vorgestellten Verfahrens.
  • Ausführungsformen der Erfindung
  • Die Erfindung ist anhand von Ausführungsformen in den Zeichnungen schematisch dargestellt und wird nachfolgend unter Bezugnahme auf die Zeichnungen ausführlich beschrieben.
  • Um einem IT-System dahingegen zu vertrauen, dass es immer so agiert, wie dies erwartet ist, erfordert es, aufeinanderfolgend allen Schichten zu vertrauen, die eingebunden sind, um ein vertrauenswürdiges IT-System zu erzeugen.
  • 1 zeigt eine Pyramide des Vertrauens, die als Trust Pyramid bezeichnet wird, für ein typisches IT-System. Diese ist insgesamt mit der Bezugsziffer 10 bezeichnet und umfasst eine Schicht für eine organisatorische Sicherheit 12, eine Schicht für eine Systemsicherheit 14, eine Schicht für eine Hardware-Sicherheit 16, eine Schicht für eine Software-Sicherheit 18 und eine oberste Schicht für Vertrauen 20 bzw. Trust.
  • Um dem gesamten IT-System vertrauen zu können, ist es erforderlich, dass jede Schicht auf die wirksame Sicherheit der darunterliegenden Schicht vertrauen kann, ohne in der Lage zu sein, dies direkt zu verifizieren. Dies bedeutet bspw., dass sich eine perfekte Software- und Hardware-Sicherheitslösung durch eine schwache darunterliegende Sicherheitssystemgestaltung als nutzlos erweisen kann. Darüber hinaus kann gegeben sein, dass eine mögliche Schwäche in der Systemgestaltung nicht erfasst oder durch die oberen Hard- und Software-Schichten verhindert wird.
  • Im Gegensatz zu typischen Back- und IT-Systemen ist die Hardware-Schicht von eingebetteten Systemen oftmals physischen Angriffen ausgesetzt, die Hardware- oder Software-Funktionen durch physische Mittel beeinflussen, bspw. einen Flash-Speicher manipulieren oder Alarmfunktionen deaktivieren. Ein Ansatz, solche physischen Attacken zu erschweren, besteht darin, insbesondere manipuliergeschützte Hardware-Sicherheitsmodule (HSM) einzusetzen, wie diese bspw. in 2 gezeigt sind. Ein solches HSM schützt wichtige Informationen, bspw. Personen-Identifikationsnummern (PIN), sichere Schlüssel und kritische Operationen, bspw. eine PIN-Verifikation, eine Datenverschlüsselung, bspw. durch starke physische Abschirmung.
  • Wie ein HSM ausgebildet sein kann und was für Funktionen von diesem durchgeführt werden können, um die Sicherheit eines eingebetteten Systems zu verbessern, wird im Folgenden dargestellt.
  • 2 zeigt die Kernfunktionen eines typischen Hardware-Sicherheitsmoduls. Die Darstellung zeigt eine Software-Schicht 30 und eine Hardware-Schicht 32, die vor unberechtigten Zugriffen geschützt ist.
  • Die Software-Schicht 30 umfasst eine Reihe von Anwendungen 34, von denen hier drei dargestellt sind. Weiterhin ist ein Betriebssystem 36 vorgesehen. Die Hardware-Schicht 32 umfasst eingebettete Standard-Hardware 38 und ein Hardware-Sicherheitsmodul (HSM) 40. In diesem HSM 40 ist ein erster Block 42 für Schnittstellen und Steuerung, ein zweiter Block 44 für sichere Verschlüsselungsfunktionen, ein dritter Block 46 für sichere Funktionen und ein sicherer Speicher 48 vorgesehen.
  • Der sichere Speicher 48 ist ein kleiner, nicht flüchtiger Datenspeicher, bspw. mit einer Kapazität von einigen Kilobyte, innerhalb des manipuliergeschützten HSM 40, um ein nicht autorisiertes Auslesen, eine Manipulation oder ein Löschen von kritischen Informationen, wie bspw. von kryptographischen Schlüsseln, kryptographischen Zertifikaten oder Authentifizierungsdaten, bspw. PINs oder Passwörter zu verhindern. Der sichere Speicher 48 des HSM 40 enthält weiterhin alle HSM-Konfigurationsinformationen, bspw. Informationen zum Eigentümer des HSM 40 oder Zugriffautorisierungen zu gesicherten internen Einheiten.
  • Im zweiten Block 44 für sichere Verschlüsselungsfunktionen sind kryptographische Algorithmen, die für eine Datenverschlüsselung und -entschlüsselung verwendet werden, bspw. AES oder 3DES, eine Datenintegritätsverstärkung, bspw. MAC oder HMAC, oder eine Datenursprungsverifikation, bspw. durch Verwenden von digitalen Signatur-Algorithmen, wie bspw. RSA oder ECC, und alle zugehörigen kryptographischen Aktivitäten, wie bspw. Schlüsselerzeugung, Schlüsselverifikation, enthalten.
  • Sichere Funktionen im dritten Block 46 umfassen alle geschützten Funktionen, die nicht direkt einem kryptographischen Verfahren zugeordnet sind, wobei das HSM 40 als physisch geschützter "Trust Anchor" dient. Dies kann bspw. ein physisch geschütztes Taktsignal, ein interner Zufallszahlengenerator, ein Ladeprogramm-Schutzmechanismus oder irgendeine kritische Anwendungsfunktion sein, bspw. um einen sicheren Dongle zu realisieren.
  • Der erste Block 42 für Schnittstellen und Steuerung umfasst die interne HSM-Logik, welche die HSM-Kommunikation mit der Außenwelt implementiert und die den Betrieb aller internen Basiskomponenten, wie diese vorstehend erwähnt sind, verwaltet.
  • Alle funktionalen Basiskomponenten des Hardware-Sicherheitsmoduls 40, wie dies vorstehend beschrieben ist, sind von einer kontinuierlichen physischen Grenze umgeben, was verhindert, dass interne Daten und Prozesse abgehört, kopiert bzw. nachgebildet oder manipuliert werden können. Dies könnte dazu führen, dass ein nicht autorisierter Nutzer interne Geheimnisse verwenden oder kompromittieren kann. Die kryptographische Grenze wird üblicherweise mit algorithmischen und physischen Zeitkanal-Gegenmaßnahmen mit dedizierten Zugriffsschutzmitteln implementiert, bspw. eine spezielle Abschirmung oder Beschichtungen, um einen Seitenkanalwiderstand, einen Zugriffshinweis, einen Zugriffswiderstand oder eine Zugriffsantwort zu ermöglichen.
  • Wie das HSM 40 die Sicherheit einer eingebetteten Produktlösung verbessern kann, wird nachstehend dargelegt:
    Das HSM 40 schützt kritische Informationen, bspw. Identitäten, Signierschlüssel oder Schlüssel, durch die physische Abschirmung, die nicht durch eine Software-Anfälligkeit umgangen werden kann.
  • Das HSM 40 kann dabei helfen, mächtige POI-Angreifer (POI: Point of Interest) zu erfassen, abzuschwächen oder abzuhalten, indem wirksame Seitenkanal-Widerstand- und Zugriffsschutz-Barrieren implementiert werden, die u. a. starke Zugriffsrestriktionen haben, selbst für autorisierte Nutzer. Es werden bspw. einige Informationen immer exklusiv innerhalb des HSM 40 gehalten.
  • Das HSM 40 kann Sicherheitsmechanismen beschleunigen, bei denen bestimmte Beschleunigungsschaltkreise angewendet werden.
  • Mit dem HSM 40 können Sicherheitskosten reduziert werden, indem hoch optimierte Spezialschaltkreise hinzugefügt werden, bspw. für eine standardisierte Kryptographie.
  • Ein möglicher Aufbau des HSM ist in 3 dargestellt. Diese zeigt das HSM 70, das in eine Umgebung eingebettet ist. Die Darstellung zeigt eine Hauptrecheneinheit 72, einen Systembus 74, einen RAM-Baustein 76 mit einem gemeinsam zu nutzenden Bereich und ein Testprogramm 78 bzw. Debugger mit zugeordneter Hardware 80 und Schnittstelle 82, die wiederum ein Register 84 umfasst. Die Darstellung zeigt weiterhin einen Speicherbaustein 86 für Flash-Code mit einem Datenbereich 88 und einem sicheren Bereich 90, in dem sichere Kerndaten enthalten sind.
  • In dem HSM 70 sind eine Schnittstelle 100 zum Testprogram 78, ein sicherer Rechenkern 102, ein sicherer RAM-Baustein 104, ein Zufallsgenerator 106, bspw. ein TRNG oder PRNG, und Schlüssel 108, bspw. AES, vorgesehen.
  • 4 zeigt einen Steuergeräteverbund, der insgesamt mit der Bezugsziffer 200 bezeichnet ist. Dieser Steuergeräteverbund 200 umfasst ein erstes Steuergerät 202 und ein zweites Steuergerät 204. Weiterhin zeigt die Darstellung eine Cloud 206, in diesem Fall eine vertrauenswürdige Cloud bzw. Trusted Cloud.
  • Das erste Steuergerät 202 weist eine erste Hauptrecheneinheit 210, eine erste Kommunikationsschnittstelle 212 und ein erstes elektronisches Hardware-Sicherheitsmodul (HSM) 214 auf, dem wiederum eine Schnittstelle 216, ein Flash-Speicher 218 als nicht flüchtiger Speicher und als flüchtiger Speicher ein RAM-Baustein 220 zugeordnet sind.
  • Das zweite Steuergerät 204 weist eine zweite Hauptrecheneinheit 230, eine zweite Kommunikationsschnittstelle 232 und ein zweites elektronisches Hardware-Sicherheitsmodul (HSM) 234 auf, dem wiederum eine Schnittstelle 236, ein Flash-Speicher 238 als nicht flüchtiger Speicher und als flüchtiger Speicher ein RAM-Baustein 240 zugeordnet sind. Weiterhin ist eine zusätzliche Kommunikationsschnittstelle 242 vorgesehen.
  • Die Cloud 206 weist einen abgesicherten Speicher 246 auf, in dem Daten bzw. eine Software für eine Reprogrammierung abgelegt sein können bzw. kann. Alternativ oder ergänzend kann die Software im ersten Flash-Speicher 218 und/oder dem zweiten Flash-Speicher 238 abgelegt sein. Im Falle einer Manipulation des ersten Steuergeräts 202 bzw. der ersten Hauptrecheneinheit 210 des ersten Steuergeräts 202 wird dies durch das erste HSM 214 erkannt. Dieses startet dann auch die Reprogrammierung, wobei die für die Reprogrammierung erforderliche Software im ersten Flash-Speicher 218, im zweiten Flash-Speicher 238 und/oder im abgesicherten Speicher 246 der Cloud 206 abgelegt sein kann.
  • In 5 ist in einem Flussdiagramm ein möglicher Ablauf des beschriebenen Verfahrens dargestellt. In einem ersten Schritt 250 wird überprüft, ob ein Fehler im Betrieb des Steuergeräts vorliegt. Ist dies der Fall, erfolgt in einem nächsten Schritt 252 die Überprüfung, ob eine Reprogrammierung möglich ist. Dies kann bspw. vom Betriebszustand des Kraftfahrzeugs abhängen. Es kann bspw. erforderlich sein, dass das Kraftfahrzeug steht. Dies kann weiterhin davon abhängen, ob ein vertrauenswürdiger Code für eine Reprogrammierung überhaupt zur Verfügung steht. Ist eine Reprogrammierung nicht möglich, erfolgt in einem Schritt 254 eine Ersatzreaktion, bspw. die Einleitung eines Notlaufs.
  • Ergibt die Überprüfung in Schritt 252, dass eine Reprogrammierung möglich ist, so wird diese in einem abschließenden Schritt 256 durchgeführt. Dabei kann die Steuergeräte-Software, einschließlich Code und Daten, wieder hergestellt werden.

Claims (11)

  1. Verfahren zum Betreiben eines Steuergeräts (202, 204), das eine Hauptrecheneinheit (210, 230) und ein elektronisches Hardware-Sicherheitsmodul (40, 70, 214, 234) aufweist, wobei eine Manipulation der Hauptrecheneinheit (210, 230) durch das elektronische Hardware-Sicherheitsmodul (40, 70, 214, 234) erkannt wird und überprüft wird, ob eine Reprogrammierung möglich ist.
  2. Verfahren nach Anspruch 1, bei dem, wenn eine Reprogrammierung möglich ist, diese durchgeführt wird.
  3. Verfahren nach Anspruch 1, bei dem, wenn eine Reprogrammierung nicht möglich ist, eine Ersatzreaktion ausgelöst wird.
  4. Verfahren nach einem der Ansprüche 1 bis 3, bei dem die zur Reprogrammierung erforderliche Software in einem nicht flüchtigen Speicher des elektronischen Hardware-Sicherheitsmoduls (40, 70, 214, 234) des Steuergeräts (202, 204) abgelegt ist.
  5. Verfahren nach einem der Ansprüche 1 bis 3, bei dem die zur Reprogrammierung erforderliche Software in einem nicht flüchtigen Speicher eines elektronischen Hardware-Sicherheitsmoduls (40, 70, 214, 234) eines weiteren Steuergeräts (202, 204) abgelegt ist.
  6. Verfahren nach einem der Ansprüche 1 bis 5, bei dem die zur Reprogrammierung erforderliche Software in einem Speicher (246) einer Cloud (206) abgelegt ist.
  7. Verfahren nach Anspruch 6, bei dem die Cloud (206) mit dem Steuergerät (202, 204) verbunden ist.
  8. Verfahren nach Anspruch 6 oder 7, bei dem die Cloud (206) mit einem weiteren Steuergerät (202, 204), das mit dem Steuergerät (202, 204) vernetzt ist, verbunden ist.
  9. Elektronisches Hardware-Sicherheitsmodul, insbesondere zur Durchführung eines Verfahrens nach einem der Ansprüche 1 bis 8, das in einem Steuergerät (202, 204) mit einer Hauptrecheneinheit (210, 230) zum Einsatz kommt, wobei das elektronische Hardware-Sicherheitsmodul dazu eingerichtet ist, eine Manipulation der Hauptrecheneinheit (210, 230) zu erkennen und zu überprüfen, ob eine Reprogrammierung möglich ist.
  10. Elektronisches Hardware-Sicherheitsmodul nach Anspruch 9 mit einem Flash-Speicher (218, 238), in dem eine zur Reprogrammierung erforderliche Software abgelegt ist.
  11. Steuergerät mit einer Hauptrecheneinheit (210, 230) und einem elektronischen Hardware-Sicherheitsmodul (40, 70, 214, 234) nach Anspruch 9 oder 10.
DE102014208838.0A 2014-05-12 2014-05-12 Verfahren zum Betreiben eines Steuergeräts Pending DE102014208838A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102014208838.0A DE102014208838A1 (de) 2014-05-12 2014-05-12 Verfahren zum Betreiben eines Steuergeräts
US14/705,308 US10025954B2 (en) 2014-05-12 2015-05-06 Method for operating a control unit
CN201510235957.9A CN105892348B (zh) 2014-05-12 2015-05-11 用于运行控制设备的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102014208838.0A DE102014208838A1 (de) 2014-05-12 2014-05-12 Verfahren zum Betreiben eines Steuergeräts

Publications (1)

Publication Number Publication Date
DE102014208838A1 true DE102014208838A1 (de) 2015-11-12

Family

ID=54336604

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102014208838.0A Pending DE102014208838A1 (de) 2014-05-12 2014-05-12 Verfahren zum Betreiben eines Steuergeräts

Country Status (3)

Country Link
US (1) US10025954B2 (de)
CN (1) CN105892348B (de)
DE (1) DE102014208838A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017118164A1 (de) * 2017-08-09 2019-02-14 Infineon Technologies Ag Kryptographische schaltung und datenverarbeitung
DE102018127330A1 (de) * 2018-11-01 2020-05-07 Infineon Technologies Ag System-on-Chip und Verfahren zum Betreiben eines System-on-Chip

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014208853A1 (de) * 2014-05-12 2015-11-12 Robert Bosch Gmbh Verfahren zum Betreiben eines Steuergeräts
EP3291119B1 (de) * 2016-08-31 2020-05-06 Bayerische Motoren Werke Aktiengesellschaft Automotives überwachungs- und sicherheitssystem
FR3076920B1 (fr) 2018-01-16 2019-12-13 Continental Automotive France Procede de reprogrammation des donnees d'une fonction logicielle executee par au moins un calculateur muni d'au moins un cœur d'execution, d'au moins un cœur de securite et d'au moins une memoire non volatile
DE102018208066A1 (de) * 2018-05-23 2019-11-28 Robert Bosch Gmbh Datenverarbeitungseinrichtung und Betriebsverfahren hierfür
DE102018213616A1 (de) * 2018-06-20 2019-12-24 Robert Bosch Gmbh Kryptografiemodul und Betriebsverfahren hierfür
JP7400744B2 (ja) * 2021-01-14 2023-12-19 トヨタ自動車株式会社 車両制御システム

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5422632A (en) * 1992-10-28 1995-06-06 Intellitouch 2000, Inc. Electronic security system
SE515611C2 (sv) * 1995-12-18 2001-09-10 Combitech Traffic Syst Ab Anordning för dataöverföring medelst radiokommunikation
US5787367A (en) * 1996-07-03 1998-07-28 Chrysler Corporation Flash reprogramming security for vehicle computer
DE19963208B4 (de) * 1999-12-28 2018-07-05 Robert Bosch Gmbh Verfahren zum Manipulationsnachweis einer programmierbaren Speichereinrichtung eines digitalen Steuergeräts
US20070185624A1 (en) * 2006-02-07 2007-08-09 General Motors Corporation Method for remote reprogramming of vehicle flash memory
CN101234601A (zh) * 2007-01-30 2008-08-06 南京理工大学 基于单目视觉的汽车巡航控制方法及其实现系统
US9122260B2 (en) * 2008-03-03 2015-09-01 Alstom Technology Ltd Integrated controls design optimization
DE102009058754B4 (de) * 2009-12-17 2018-06-07 Continental Automotive Gmbh Verfahren zur Reprogrammierung eines oder mehrerer Steuergeräte eines Fahrzeugs und Steuergerät
EP2354993A1 (de) * 2009-12-30 2011-08-10 Gemalto SA JCVM-Bytecode-Ausführungsschutz vor Fehlerangriffen
US9819498B2 (en) * 2010-02-04 2017-11-14 Gentex Corporation System and method for wireless re-programming of memory in a communication system
CN201974884U (zh) * 2010-06-24 2011-09-14 深圳市证通电子股份有限公司 车载系统
EP2484564B1 (de) * 2011-02-08 2014-01-15 Delphi Technologies Holding S.à.r.l. Verfahren und Vorrichtung für Fahrzeugsicherheit
WO2012122994A1 (en) * 2011-03-11 2012-09-20 Kreft Heinz Off-line transfer of electronic tokens between peer-devices
CN102135922B (zh) * 2011-03-18 2015-08-19 北京经纬恒润科技有限公司 应用程序的刷新方法和系统
CN202353818U (zh) * 2011-09-21 2012-07-25 上海科世达-华阳汽车电器有限公司 一种车载通信设备与无线终端安全通信的系统
CN102662692B (zh) * 2012-03-16 2015-05-27 北京经纬恒润科技有限公司 一种电子控制单元中应用程序的更新方法及系统
US9264301B1 (en) * 2012-09-20 2016-02-16 Wiretap Ventures, LLC High availability for software defined networks
US9313602B2 (en) * 2012-10-24 2016-04-12 Beta Brain, Inc. Remotely accessing a computer system
JP6070355B2 (ja) * 2013-03-28 2017-02-01 富士通株式会社 仮想マシン制御プログラム,仮想マシン制御方法,仮想マシン制御装置及びクラウドシステム
CN203399145U (zh) * 2013-07-11 2014-01-15 弗徕威智能机器人科技(上海)有限公司 一种基于云计算的智能交互服务机器人
CN103458050A (zh) * 2013-09-16 2013-12-18 浪潮电子信息产业股份有限公司 一种基于云计算的电子阅览室搭建方法
CN103645934A (zh) * 2013-12-11 2014-03-19 天津湖蓝科技有限公司 基于云计算的远程虚拟化终端应用系统及应用
CN103713932B (zh) * 2014-01-21 2017-03-08 北京经纬恒润科技有限公司 一种电子控制单元中应用程序的更新方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017118164A1 (de) * 2017-08-09 2019-02-14 Infineon Technologies Ag Kryptographische schaltung und datenverarbeitung
DE102018127330A1 (de) * 2018-11-01 2020-05-07 Infineon Technologies Ag System-on-Chip und Verfahren zum Betreiben eines System-on-Chip

Also Published As

Publication number Publication date
CN105892348A (zh) 2016-08-24
US20150324583A1 (en) 2015-11-12
CN105892348B (zh) 2020-03-31
US10025954B2 (en) 2018-07-17

Similar Documents

Publication Publication Date Title
DE102014208838A1 (de) Verfahren zum Betreiben eines Steuergeräts
DE102014208855A1 (de) Verfahren zum Durchführen einer Kommunikation zwischen Steuergeräten
DE60129967T2 (de) Auf biometrie basierende beglaubigung in einer nichtflüchtigen speichervorrichtung
EP2899714B1 (de) Gesichertes Bereitstellen eines Schlüssels
DE102014208851A1 (de) Verfahren zum Verhindern eines unbefugten Betriebs eines Kraftfahrzeugs
DE102013227184A1 (de) Verfahren zur Absicherung eines Systems-on-a-Chip
DE102009013384A1 (de) System und Verfahren zur Bereitstellung einer sicheren Anwendungsfragmentierungsumgebung
DE102016210788B4 (de) Komponente zur Verarbeitung eines schützenswerten Datums und Verfahren zur Umsetzung einer Sicherheitsfunktion zum Schutz eines schützenswerten Datums in einer solchen Komponente
DE102018127330A1 (de) System-on-Chip und Verfahren zum Betreiben eines System-on-Chip
DE102015201298A1 (de) Verfahren zum kryptographischen Bearbeiten von Daten
EP2111586B1 (de) Ein-chip-computer und tachograph
EP0280035B1 (de) Verfahren zum Sichern von Programmen und zur Integritätskontrolle gesicherter Programme
EP1760623A2 (de) Sicherheitseinrichtung für elektronische Geräte
DE102012224194A1 (de) Steuersystem für ein Kraftfahrzeug
DE102009054753A1 (de) Verfahren zum Betreiben einer Sicherheitseinrichtung
DE102014208848A1 (de) Verfahren zum Überwachen eines elektronischen Sicherheitsmoduls
DE112014004611T5 (de) Steuersystem und Authentifikationsvorrichtung
DE602004011965T2 (de) Verfahren und schaltung zum identifizieren und/oder verifizieren von hardware und/oder software eines geräts und eines mit dem gerät arbeitenden datenträgers
EP3819804A1 (de) Integritätsüberprüfung eines registerinhalts
DE102014208853A1 (de) Verfahren zum Betreiben eines Steuergeräts
DE102014208840A1 (de) Verfahren zum Behandeln von Software-Funktionen in einem Steuergerät
EP3286872B1 (de) Bereitstellen eines gerätespezifischen kryptographischen schlüssels aus einem systemübergreifenden schlüssel für ein gerät
EP3248136B1 (de) Verfahren zum betreiben einer computereinheit mit einer sicheren laufzeitumgebung sowie eine solche computereinheit
EP3667529B1 (de) Verfahren und vorrichtung zum authentisieren einer fpga-konfiguration
DE102014208844A1 (de) Verfahren zum Durchführen von sicherheitskritischen Vorgängen in einem Steuergerät

Legal Events

Date Code Title Description
R012 Request for examination validly filed