DE102014208848A1 - Verfahren zum Überwachen eines elektronischen Sicherheitsmoduls - Google Patents

Verfahren zum Überwachen eines elektronischen Sicherheitsmoduls Download PDF

Info

Publication number
DE102014208848A1
DE102014208848A1 DE102014208848.8A DE102014208848A DE102014208848A1 DE 102014208848 A1 DE102014208848 A1 DE 102014208848A1 DE 102014208848 A DE102014208848 A DE 102014208848A DE 102014208848 A1 DE102014208848 A1 DE 102014208848A1
Authority
DE
Germany
Prior art keywords
hsm
hypervisor
security module
security
hardware
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102014208848.8A
Other languages
English (en)
Inventor
Ingo Opferkuch
Thomas Keller
Martin Emele
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102014208848.8A priority Critical patent/DE102014208848A1/de
Priority to US14/705,661 priority patent/US9483665B2/en
Publication of DE102014208848A1 publication Critical patent/DE102014208848A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/48Program initiating; Program switching, e.g. by interrupt
    • G06F9/4806Task transfer initiation or dispatching
    • G06F9/4843Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45583Memory management, e.g. access or allocation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances

Abstract

Es werden ein Verfahren und ein Computerprogramm zum Durchführen von Speicherzugriffen vorgestellt. Hierzu wird ein Hypervisor (210) verwendet, über den die Speicherzugriffe erfolgen.

Description

  • Die Erfindung betrifft ein Verfahren zum Überwachen eines elektronischen Sicherheitsmoduls und ein Computerprogramm zur Durchführung des Verfahrens, das auch als Hypervisor bezeichnet wird.
  • Stand der Technik
  • Steuergeräte sind elektronische Module, die bspw. in Kraftfahrzeugen eingesetzt werden, um Abläufe zu steuern und zu regeln. Hierzu sind die Steuergeräte Komponenten des Kraftfahrzeugs zugeordnet, deren Betrieb mit dem zugeordneten Steuergerät kontrolliert wird. Hierzu liest das Steuergerät von Sensoren erfasste Daten ein und wirkt durch die Ansteuerung von Aktoren auf den Betrieb ein.
  • Das beschriebene Verfahren kommt in Verbindung mit einem elektronischen Sicherheitsmodul zur Anwendung, das in einem Steuergerät, insbesondere im Automotive-Bereich, in sicherheitsrelevanten Bereichen eingesetzt wird. Bei den meisten Anwendungen in den sicherheitsrelevanten Bereichen ist das unmanipulierbare oder nicht einsehbare Speichern von Daten eine wesentliche Anforderung. Hierbei werden kryptographische Schlüssel eingesetzt, die in symmetrischen oder asymmetrischen Verschlüsselungsverfahren zur Anwendung kommen.
  • Die verwendeten Schlüssel und Verschlüsselungsverfahren stellen Geheimnisse dar, die vor Angreifern geheim gehalten werden müssen. Andere Anwendungen in sicherheitsrelevanten Bereichen betreffen bspw. den Schutz vor unerlaubten Veränderung, bspw. das Speichern von geänderten Seriennummern oder Kilometerständen, das Unterbinden von nicht genehmigten Tuningmaßnahmen usw.
  • Daher ist es erforderlich, in Steuergeräten sichere Umgebungen bereitzustellen, in denen Funktionen ausgeführt werden können, die diese Geheimnisse einsehen und/oder verändern müssen. Diese Umgebungen weisen regelmäßig eine sichere Recheneinheit bzw. CPU, die auch als secure CPU bezeichnet wird, sowie ein Speichermodul auf. Eine solche Umgebung wird hierin als Hardware-Sicherheitsmodul (HSM: Hardware Security Module) bezeichnet. Dieses stellt ein leistungsfähiges Modul mit Hardware- und Software-Komponenten dar, welches den Schutz und die Vertrauenswürdigkeit von eingebetteten Systemen verbessert. Insbesondere unterstützt das HSM dabei, sicherheitskritische Anwendungen und Daten zu schützen. Mit einem HSM können ebenfalls die Sicherheitskosten reduziert werden, während zugleich ein wirksamer Schutz vor Angreifern geboten werden kann. Bezüglich des grundlegenden Aufbaus eines HSM wird auf 3 verwiesen.
  • Offenbarung der Erfindung
  • Vor diesem Hintergrund werden ein Verfahren und ein Computerprogramm mit den Merkmalen der unabhängigen Patentansprüche vorgestellt. Ausgestaltungen des Verfahrens und des Computerprogramms gehen aus den abhängigen Ansprüchen und der Beschreibung hervor.
  • Gemäß dem vorgestellten Verfahren erfolgt eine strikte Trennung von Applikationen einschließlich zugehöriger Schlüssel oder Daten von den Systemressourcen, einschließlich der Software-Basisfunktionen, innerhalb des HSM, der Hauptrechenkerne bzw. Maincores oder in Kombination beider.
  • Das vorgestellte Computerprogramm, das auch als Hypervisor hierin bezeichnet wird, kommt auf einer Recheneinheit, insbesondere auf einer Recheneinheit in einem elektronischen Hardware-Sicherheitsmodul (HSM), zur Ausführung.
  • Bei dem Verfahren wird somit ein Hypervisor eingesetzt. Dieser Hypervisor, der auch als Virtual Machine Monitor bezeichnet wird, ist ein Computerprogramm, das eine virtuelle Maschine bereitstellt. Dieser Hypervisor stellt eine übergeordnete Instanz dar, die Anwendungen steuern und ggf. unterbinden kann. Insbesondere regelt der Hypervisor Ressourcen- und Speicherzugriffe und die Ausführung von Software hinsichtlich Dauer, Zeitpunkt und Wiederholrate.
  • Alle Hardware-Ressourcen im HSM werden exklusiv von einem Hypervisor verwaltet. Dadurch ist eine klare Trennung unterschiedlicher Applikationen, die im HSM ausgeführt werden, möglich. Gegenseitige Beeinflussung, gezielt oder zufällig, wird ausgeschlossen, u. a. bspw. durch Verwendung der MPU (Memory Protection Unit).
  • Die Hypervisorfunktionalität basiert auf der MPU-Einheit im HSM und der Unterscheidung des System-Usermodes. Konkret bedeutet dies, dass alle Applikationen im Usermode ausgeführt werden und Zugriffe auf System- und Hardware-Ressourcen nur über definierte APIs zugänglich sind. Unter Usermode versteht man einen eingeschränkten Betriebsmode für die Applikationen, z. B. kann die Applikation nur einen zugeordneten Speicher, Timeslots sowie APIs verwenden. Weiterer Vorteil ist, dass die in der Software implementierten Krypto- oder Sicherheitsfunktionen von der restlichen Applikation strikt getrennt bzw. geschützt wird und nur über eine definierte API aufgerufen werden kann.
  • Der Hypervisor im Hauptrechner bzw. Maincore bzw. in Maincores arbeitet unabhängig von der Verwendung im HSM. Dies stellt einen Mechanismus zum Schutz des Betriebssytems dar.
  • Die wesentlichen Merkmale des Hypervisor im HSM treffen auch hier zu. Zusätzlich kann die Hypervisorsoftware über das Feature Secure Boot im Steuergeräte-Hochlauf abgesichert werden, damit die Applikationssoftware im laufenden Betrieb nicht mehr manipulierbar ist. Die Code-Basis des Hypervisors ist eher klein und kann daher komplett zertifiziert werden. Alternativ kann der Hypervisorcode auch im HSM gespeichert und beim Steuergeräte-Hochlauf in das Maincore-RAM geladen und ausgeführt werden.
  • Eine weitere Möglichkeit besteht darin, den Hypervisor-Code zu verschlüsseln und beim Steuergeräte-Hochlauf über HSM zu entschlüsseln und aus dem RAM ausführbar zu machen.
  • Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und den beiliegenden Zeichnungen.
  • Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
  • Kurze Beschreibung der Zeichnungen
  • 1 zeigt eine Vertrauenspyramide.
  • 2 zeigt in einer schematischen Darstellung Funktionen eines HSM.
  • 3 zeigt in einer schematischen Darstellung den Aufbau einer Ausführung des HSM.
  • 4 zeigt eine Ausführung des HSM.
  • Ausführungsformen der Erfindung
  • Die Erfindung ist anhand von Ausführungsformen in den Zeichnungen schematisch dargestellt und wird nachfolgend unter Bezugnahme auf die Zeichnungen ausführlich beschrieben.
  • Um einem IT-System dahingegen zu vertrauen, dass es immer so agiert, wie dies erwartet ist, erfordert es, aufeinanderfolgend allen Schichten zu vertrauen, die eingebunden sind, um ein vertrauenswürdiges IT-System zu erzeugen.
  • 1 zeigt eine Pyramide des Vertrauens, die als Trust Pyramid bezeichnet wird, für ein typisches IT-System. Diese ist insgesamt mit der Bezugsziffer 10 bezeichnet und umfasst eine Schicht für eine organisatorische Sicherheit 12, eine Schicht für eine Systemsicherheit 14, eine Schicht für eine Hardware-Sicherheit 16, eine Schicht für eine Software-Sicherheit 18 und eine oberste Schicht für Vertrauen 20 bzw. Trust.
  • Um dem gesamten IT-System vertrauen zu können, ist es erforderlich, dass jede Schicht auf die wirksame Sicherheit der darunterliegenden Schicht vertrauen kann, ohne in der Lage zu sein, dies direkt zu verifizieren. Dies bedeutet bspw., dass sich eine perfekte Software- und Hardware-Sicherheitslösung durch eine schwache darunterliegende Sicherheitssystemgestaltung als nutzlos erweisen kann. Darüber hinaus kann gegeben sein, dass eine mögliche Schwäche in der Systemgestaltung nicht erfasst oder durch die oberen Hard- und Software-Schichten verhindert wird.
  • Im Gegensatz zu typischen Back- und IT-Systemen ist die Hardware-Schicht von eingebetteten Systemen oftmals physischen Angriffen ausgesetzt, die Hardware- oder Software-Funktionen durch physische Mittel beeinflussen, bspw. einen Flash-Speicher manipulieren oder Alarmfunktionen deaktivieren. Ein Ansatz, solche physischen Attacken zu erschweren, besteht darin, insbesondere manipuliergeschützte Hardware-Sicherheitsmodule (HSM) einzusetzen, wie diese bspw. in 2 gezeigt sind. Ein solches HSM schützt wichtige Informationen, bspw. Personen-Identifikationsnummern (PIN), sichere Schlüssel und kritische Operationen, bspw. eine PIN-Verifikation, eine Datenverschlüsselung, bspw. durch starke physische Abschirmung.
  • Wie ein HSM ausgebildet sein kann und was für Funktionen von diesem durchgeführt werden können, um die Sicherheit eines eingebetteten Systems zu verbessern, wird im Folgenden dargestellt.
  • 2 zeigt die Kernfunktionen eines typischen Hardware-Sicherheitsmoduls. Die Darstellung zeigt eine Software-Schicht 30 und eine Hardware-Schicht 32, die vor unberechtigten Zugriffen geschützt ist.
  • Die Software-Schicht 30 umfasst eine Reihe von Anwendungen 34, von denen hier drei dargestellt sind. Weiterhin ist ein Betriebssystem 36 vorgesehen. Die Hardware-Schicht 32 umfasst eingebettete Standard-Hardware 38 und ein Hardware-Sicherheitsmodul (HSM) 40. In diesem HSM 40 ist ein erster Block 42 für Schnittstellen und Steuerung, ein zweiter Block 44 für sichere Verschlüsselungsfunktionen, ein dritter Block 46 für sichere Funktionen und ein sicherer Speicher 48 vorgesehen.
  • Der sichere Speicher 48 ist ein kleiner, nicht flüchtiger Datenspeicher, bspw. mit einer Kapazität von einige kB, innerhalb des manipuliergeschützten HSM 40, um ein nichtautorisiertes Auslesen, eine Manipulation oder ein Löschen von kritischen Informationen, wie bspw. von kryptographischen Schlüsseln, kryptographischen Zertifikaten oder Authentifizierungsdaten, bspw. PINs oder Passwörter zu verhindern. Der sichere Speicher 48 des HSM 40 enthält weiterhin alle HSM-Konfigurationsinformationen, bspw. Informationen zum Eigentümer des HSM 40 oder Zugriffautorisierungen zu gesicherten internen Einheiten.
  • Im zweiten Block 44 für sichere Verschlüsselungsfunktionen sind kryptographische Algorithmen, die für eine Datenverschlüsselung und -entschlüsselung verwendet werden, bspw. AES oder 3DES, eine Datenintegritätsverstärkung, bspw. MAC oder HMAC, oder eine Datenursprungsverifikation, bspw. durch Verwenden von digitalen Signatur-Algorithmen, wie bspw. RSA oder ECC, und alle zugehörigen kryptographischen Aktivitäten, wie bspw. Schlüsselerzeugung, Schlüsselverifikation, enthalten.
  • Sichere Funktionen im dritten Block 46 umfassen alle geschützten Funktionen, die nicht direkt einem kryptographischen Verfahren zugeordnet sind, wobei das HSM 40 als physisch geschützter "Trust Anchor" dient. Dies kann bspw. ein physisch geschütztes Taktsignal, ein interner Zufallszahlengenerator, ein Ladeprogramm-Schutzmechanismus oder irgendeine kritische Anwendungsfunktion sein, bspw. um einen sicheren Dongle zu realisieren.
  • Der erste Block 42 für Schnittstellen und Steuerung umfasst die interne HSM-Logik, welche die HSM-Kommunikation mit der Außenwelt implementiert und die den Betrieb aller internen Basiskomponenten, wie diese vorstehend erwähnt sind, verwaltet.
  • Alle funktionalen Basiskomponenten des Hardware-Sicherheitsmoduls 40, wie dies vorstehend beschrieben ist, sind von einer kontinuierlichen physischen Grenze umgeben, was verhindert, dass interne Daten und Prozesse abgehört, kopiert bzw. nachgebildet oder manipuliert werden können. Dies könnte dazu führen, dass ein nichtautorisierter Nutzer interne Geheimnisse verwenden oder kompromittieren kann. Die kryptographische Grenze wird üblicherweise mit algorithmischen und physischen Zeitkanal-Gegenmaßnahmen mit dedizierten Zugriffsschutzmitteln implementiert, bspw. eine spezielle Abschirmung oder Beschichtungen, um einen Seitenkanal-Widerstand, einen Zugriffshinweis, einen Zugriffswiderstand oder eine Zugriffsantwort zu ermöglichen.
  • Wie das HSM 40 die Sicherheit einer eingebetteten Produktlösung verbessern kann, wird nachstehend dargelegt:
  • Das HSM 40 schützt kritische Informationen, bspw. Identitäten, Signierschlüssel oder Schlüssel, durch die physische Abschirmung, die nicht durch eine Software-Anfälligkeit umgangen werden kann.
  • Das HSM 40 kann dabei helfen, mächtige POI-Angreifer (POI: Point of Interest) zu erfassen, abzuschwächen oder abzuhalten, indem wirksame Seitenkanal-Widerstand- und Zugriffsschutz-Barrieren implementiert werden, die u. a. starke Zugriffsrestriktionen haben, selbst für autorisierte Nutzer. Es werden bspw. einige Informationen immer exklusiv innerhalb des HSM 40 gehalten.
  • Das HSM 40 kann Sicherheitsmechanismen beschleunigen, bei denen bestimmte Beschleunigungsschaltkreise angewendet werden.
  • Mit dem HSM 40 können Sicherheitskosten reduziert werden, indem hoch optimierte Spezialschaltkreise hinzugefügt werden, bspw. für eine standardisierte Kryptographie.
  • Ein möglicher Aufbau des HSM ist in 3 dargestellt. Diese zeigt das HSM 70, das in eine Umgebung eingebettet ist. Die Darstellung zeigt eine Hauptrecheneinheit 72, einen Systembus 74, einen RAM-Baustein 76 mit einem gemeinsam zu nutzenden Bereich und ein Testprogramm 78 bzw. Debugger mit zugeordneter Hardware 80 und Schnittstelle 82, die wiederum ein Register 84 umfasst. Die Darstellung zeigt weiterhin einen Speicherbaustein 86 für Flash-Code mit einem Datenbereich 88 und einem sicheren Bereich 90, in dem sichere Kerndaten enthalten sind.
  • In dem HSM 70 sind eine Schnittstelle 100 zum Testprogram 78, ein sicherer Rechenkern 102, ein sicherer RAM-Baustein 104, ein Zufallsgenerator 106, bspw. ein TRNG oder PRNG, und Schlüssel 108, bspw. AES, vorgesehen.
  • Der Hypervisor umfasst sowohl die Standardfunktionalität des Betriebssystems, das sogenannte Scheduling, Speicherzugriffe und Zugriff auf die Hardware oder Basis-Software-Funktionen über definierte Programmierschnittstellen bzw. APIs (application programming interface). Der Hypervisor kann dabei mit der bereits vorhandenen Memory Protection Unit (MPU) realisiert werden, die es erlaubt, Zugriffe entweder im System oder Usermode auf definierte Speicherbereiche für Applikationen festzulegen.
  • Die Konfiguration erfolgt derart, dass alle System- und Hardware-Ressourcen entsprechend lokatiert und nur über den Hypervisor "erreichbar" sind. Die Applikationen selbst werden in unterschiedliche Adressbereiche konfiguriert und nur im Usermode mit eingeschränkten Zugriffsrechten ausgeführt. In Software realisierte zu schützende Systemfunktionen wie sichere Bibliotheken bzw. SecuLibs etc. werden gleich wie die Hardware-Ressourcen an den Hypervisor angebunden und im Systemmode betrieben. Die Trennung der Ressourcen der einzelnen Applikationen umfasst sowohl den Programmbereich als auch der zugehörigen Daten der jeweiligen Applikation. Zugriffe auf Daten der benachbarten Applikation sind nicht möglich. Dies betrifft insbesondere auch die Schlüssel. Durch diese Struktur ist es möglich, auch neue Applikationen mit wenig Aufwand in das System zu integrieren.
  • Bei der Nutzung des Hypervisors auch im Hauptrechner bzw. Hauptrechenkern wird der bisherige Sicherheitsanker auf die Hauptrechner ausgeweitet. Mit Hilfe des Secureboot-Features zusammen mit dem Hypervisor im HSM wird der Hypervisorcode im Hauptrechner beim Steuergeräte-Hochlauf abgesichert.
  • 4 zeigt eine Ausführung eines HSM zur Verdeutlichung des Verfahrens. Die Darstellung zeigt ein HSM 200, mit Bereichen 202 für Anwendungsprogramme und einem weiteren Bereich 204 für sichere Bibliotheken. Weiterhin ist ein Bereich 206 für Schlüssel und ein zusätzlicher Bereich 208 für Zufallsgeneratoren, TRNG oder PRNG, vorgesehen. Weiterhin ist ein Hypervisor 210 mit MPU 240 (MPU: Memory Protection Unit) und eine Mikrocontroller-Abstraktionsschicht MCAL 212 vorgesehen. Der Zugriff der Anwendungsprogramme auf die sicheren Bibliotheken erfolgt über den Hypervisor 210, wie mit einem Pfeil 230 verdeutlicht ist. Ein Zugriff auf Software-Funktionen erfolgt somit über den Hypervisor 210. Aber auch ggf. auf Hardware-Ressourcen und sichere Bibliotheken kann bei dieser Ausführung neu über den Hypervisor 210 zugegriffen werden.
  • Weiterhin zeigt die Darstellung einen Systembus 220, mit dem das HSM 200 mit einem Hauptrechner 222 verbunden ist. In diesem ist ein erster Bereich 224 für Anwendungsprogramme, ein zweiter Bereich 226 für die Kommunikation und ein dritter Bereich 228 für einen Speicherzugriff vorgesehen. Weiterhin ist ein Bereich 230 als Schnittstelle zu dem HSM 200 vorgesehen.

Claims (10)

  1. Verfahren zum Überwachen eines elektronischen Hardware-Sicherheitsmoduls (40, 70, 200), das in einem Steuergerät vorgesehen ist, wobei ein Hypervisor (210) verwendet wird, mit dem Speicherzugriffe durchzuführen sind.
  2. Verfahren nach Anspruch 1, bei dem der Hypervisor (210) in Verbindung mit einer MPU (240) eingesetzt wird, die Speicherzugriffe festlegt.
  3. Verfahren nach Anspruch 1 oder 2, bei dem auf Hardware-Ressourcen zugegriffen wird.
  4. Verfahren nach einem der Ansprüche 1 bis 3, bei dem auf Software-Funktionen zugegriffen wird.
  5. Verfahren nach Anspruch 4, bei dem auf sichere Bibliotheken zugegriffen wird.
  6. Verfahren nach einem der Ansprüche 1 bis 5, bei dem der Hypervisor (210) auch im Hauptrechner (222) des Steuergeräts verwendet wird.
  7. Verfahren nach Anspruch 6, bei dem der Hypervisor (210) beim Hochlauf des Steuergeräts im Hauptrechner (222) abgesichert wird.
  8. Computerprogramm mit Programmcodemitteln zum Überwachen eines elektronischen Hardware-Sicherheitsmoduls (40, 70, 200), insbesondere zur Durchführung eines Verfahrens nach einem der Ansprüche 1 bis 7, wobei das Computerprogramm in einem elektronischen Hardware-Sicherheitsmodul (40, 70, 200) abgelegt ist und dazu ausgelegt ist, Speicherzugriffe durchzuführen.
  9. Computerprogramm nach Anspruch 8, das dazu ausgelegt ist, auf Hardware-Ressourcen zuzugreifen.
  10. Computerprogramm nach Anspruch 8 oder 9, das dazu ausgelegt ist, auf Software-Funktionen zuzugreifen.
DE102014208848.8A 2014-05-12 2014-05-12 Verfahren zum Überwachen eines elektronischen Sicherheitsmoduls Pending DE102014208848A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102014208848.8A DE102014208848A1 (de) 2014-05-12 2014-05-12 Verfahren zum Überwachen eines elektronischen Sicherheitsmoduls
US14/705,661 US9483665B2 (en) 2014-05-12 2015-05-06 Method for monitoring an electronic security module

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102014208848.8A DE102014208848A1 (de) 2014-05-12 2014-05-12 Verfahren zum Überwachen eines elektronischen Sicherheitsmoduls

Publications (1)

Publication Number Publication Date
DE102014208848A1 true DE102014208848A1 (de) 2015-11-12

Family

ID=54336613

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102014208848.8A Pending DE102014208848A1 (de) 2014-05-12 2014-05-12 Verfahren zum Überwachen eines elektronischen Sicherheitsmoduls

Country Status (2)

Country Link
US (1) US9483665B2 (de)
DE (1) DE102014208848A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016219202A1 (de) 2016-10-04 2018-04-05 Robert Bosch Gmbh Verfahren und Vorrichtung zum Schützen eines Arbeitsspeichers
CN112740123A (zh) * 2018-08-21 2021-04-30 皮尔茨公司 用于监视安全关键过程的自动化系统

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014204835A1 (de) * 2014-03-14 2015-09-17 Robert Bosch Gmbh Verfahren zur Überwachung einer Recheneinheit

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8619971B2 (en) * 2005-04-01 2013-12-31 Microsoft Corporation Local secure service partitions for operating system security
US8156298B1 (en) * 2007-10-24 2012-04-10 Adam Stubblefield Virtualization-based security apparatuses, methods, and systems
US7743107B2 (en) * 2007-12-07 2010-06-22 International Business Machines Corporation System and method for using remote module on VIOS to manage backups to remote backup servers
US8656190B2 (en) * 2008-01-31 2014-02-18 Microsoft Corporation One time settable tamper resistant software repository
US8621202B2 (en) * 2010-02-11 2013-12-31 Cisco Technology, Inc. Externally managed security and validation processing device
US8589657B2 (en) * 2011-01-04 2013-11-19 International Business Machines Corporation Operating system management of address-translation-related data structures and hardware lookasides
JP5914145B2 (ja) * 2012-05-01 2016-05-11 ルネサスエレクトロニクス株式会社 メモリ保護回路、処理装置、およびメモリ保護方法
US9384153B2 (en) * 2012-08-31 2016-07-05 Freescale Semiconductor, Inc. Virtualized local storage
KR101907486B1 (ko) * 2012-09-14 2018-10-12 한국전자통신연구원 보안성이 우수한 실행환경을 제공하는 이동 컴퓨팅 시스템
US9747052B2 (en) * 2013-02-05 2017-08-29 Arm Limited Virtualisation supporting guest operating systems using memory protection units to determine permission of a memory access operation for a physical address
US9280372B2 (en) * 2013-08-12 2016-03-08 Amazon Technologies, Inc. Request processing techniques
US9571279B2 (en) * 2014-06-05 2017-02-14 Cavium, Inc. Systems and methods for secured backup of hardware security modules for cloud-based web services

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016219202A1 (de) 2016-10-04 2018-04-05 Robert Bosch Gmbh Verfahren und Vorrichtung zum Schützen eines Arbeitsspeichers
WO2018065213A1 (de) 2016-10-04 2018-04-12 Robert Bosch Gmbh Verfahren und vorrichtung zum schützen eines arbeitsspeichers
CN112740123A (zh) * 2018-08-21 2021-04-30 皮尔茨公司 用于监视安全关键过程的自动化系统
CN112740123B (zh) * 2018-08-21 2024-03-19 皮尔茨公司 用于监视安全关键过程的自动化系统

Also Published As

Publication number Publication date
US20150324218A1 (en) 2015-11-12
US9483665B2 (en) 2016-11-01

Similar Documents

Publication Publication Date Title
DE102014208855A1 (de) Verfahren zum Durchführen einer Kommunikation zwischen Steuergeräten
DE102014208851A1 (de) Verfahren zum Verhindern eines unbefugten Betriebs eines Kraftfahrzeugs
EP2899714B1 (de) Gesichertes Bereitstellen eines Schlüssels
EP2742643B1 (de) Vorrichtung und verfahren zum entschlüsseln von daten
EP0932867B1 (de) Elektronische datenverarbeitungsschaltung
DE102014208838A1 (de) Verfahren zum Betreiben eines Steuergeräts
DE102008006759B4 (de) Prozessor-Anordnung und Verfahren zum Betreiben der Prozessor-Anordnung ohne Verringerung der Gesamtsicherheit
EP2727277B1 (de) System zur sicheren übertragung von daten und verfahren
DE112009002502T5 (de) Multilayer inhalte-schützender Mikrocontoller
DE102013227184A1 (de) Verfahren zur Absicherung eines Systems-on-a-Chip
DE102009013384A1 (de) System und Verfahren zur Bereitstellung einer sicheren Anwendungsfragmentierungsumgebung
DE102015201298A1 (de) Verfahren zum kryptographischen Bearbeiten von Daten
DE102016210788B4 (de) Komponente zur Verarbeitung eines schützenswerten Datums und Verfahren zur Umsetzung einer Sicherheitsfunktion zum Schutz eines schützenswerten Datums in einer solchen Komponente
DE112015007220T5 (de) Techniken zum Koordinieren von Vorrichtungshochfahrsicherheit
DE102018127330A1 (de) System-on-Chip und Verfahren zum Betreiben eines System-on-Chip
DE102014208848A1 (de) Verfahren zum Überwachen eines elektronischen Sicherheitsmoduls
EP2434424B1 (de) Verfahren zur Erhöhung der Sicherheit von sicherheitsrelevanten Online-Diensten
EP3819804A1 (de) Integritätsüberprüfung eines registerinhalts
DE102014208853A1 (de) Verfahren zum Betreiben eines Steuergeräts
DE102014208840A1 (de) Verfahren zum Behandeln von Software-Funktionen in einem Steuergerät
EP3286872B1 (de) Bereitstellen eines gerätespezifischen kryptographischen schlüssels aus einem systemübergreifenden schlüssel für ein gerät
DE102009048756B4 (de) Verfahren und Schlüsselgerät zur Verbesserung der Sicherheit eines verschlüsselten Datenspeichers, von dem ein Computer bootet
EP3191902B1 (de) Verfahren zum zugreifen auf funktionen eines embedded-geräts
DE102014208844A1 (de) Verfahren zum Durchführen von sicherheitskritischen Vorgängen in einem Steuergerät
DE102021110768B3 (de) Forensik-Modul und eingebettetes System

Legal Events

Date Code Title Description
R012 Request for examination validly filed