DE102018120328A1 - Sicherheitseinrichtung mit erweiterter Zuverlässigkeit - Google Patents

Sicherheitseinrichtung mit erweiterter Zuverlässigkeit Download PDF

Info

Publication number
DE102018120328A1
DE102018120328A1 DE102018120328.4A DE102018120328A DE102018120328A1 DE 102018120328 A1 DE102018120328 A1 DE 102018120328A1 DE 102018120328 A DE102018120328 A DE 102018120328A DE 102018120328 A1 DE102018120328 A1 DE 102018120328A1
Authority
DE
Germany
Prior art keywords
security
unit
safety
component
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018120328.4A
Other languages
English (en)
Inventor
Avni BILDHAIYA
Viola Rieger
Frank Hellwig
Alexander Zeh
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Infineon Technologies AG
Original Assignee
Infineon Technologies AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Infineon Technologies AG filed Critical Infineon Technologies AG
Priority to US16/108,505 priority Critical patent/US11227072B2/en
Publication of DE102018120328A1 publication Critical patent/DE102018120328A1/de
Priority to US17/403,075 priority patent/US20210374290A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Alarm Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die vorliegende Offenbarung betrifft eine Sicherheitseinrichtung (100), ein System und ein Verfahren zur Absicherung einer Steuervorrichtung (200), bevorzugt einer Steuervorrichtung (200) eines Fahrzeugs. Die Sicherheitseinrichtung (100) umfasst eine erste Sicherheitseinheit (10), welche zur Sicherung von Daten, Datenkommunikation und Informationen eingerichtet ist und eine erste Sicherheitskomponente (1) innerhalb der ersten Sicherheitseinheit (10) zum Betrieb in einem ersten Betriebsmodus umfasst, und mindestens eine erste Überwachungseinheit (2A) zum Betrieb in einem Hochverfügbarkeitsmodus, welche zum Detektieren eines in der ersten Sicherheitskomponente (1) vorhandenen Fehlers eingerichtet ist. Der Hochverfügbarkeitsmodus ist dabei von dem ersten Betriebsmodus verschieden. Bevorzugt umfasst die Sicherheitseinrichtung (100) weiterhin eine zum Betrieb in dem Hochverfügbarkeitsmodus eingerichtete zweite Sicherheitskomponente (2), welche dazu eingerichtet ist, bei einem durch die erste Überwachungseinheit (2A) detektierten Fehler ein erstes Antwortsignal (2B) auszugeben, wobei der Hochverfügbarkeitsmodus unabhängig von dem ersten Betriebsmodus verfügbar ist.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft eine Sicherheitseinrichtung, ein System und ein Verfahren zum Betreiben einer Sicherheitseinrichtung einer Steuervorrichtung, bevorzugt einer Steuervorrichtung eines Fahrzeugs. Insbesondere betrifft die Erfindung eine Sicherheitseinrichtung zum Sichern von Daten.
  • Stand der Technik
  • Datensicherung spielt eine immer größer werdende Rolle bei einer Vielfalt von Aktivitäten im täglichen Leben. Der Einfluss und die Reichweite von Social-Media sowie die stets zunehmende digitale Konnektivität zwischen verschieden Endgeräten und/oder Benutzern haben in den letzten Jahren dazu geführt, dass Benutzer einen hohen Wert auf die Verfügbarkeit von Daten und Applikationen legen und Ansprüche entsprechend zugenommen haben.
  • Gleichzeitig erfordert das Speichern von persönlichen digitalen Daten und die Kommunikation zwischen verschiedenen Endgeräten oder Einheiten eine erhöhte Sicherheit, insbesondere für sensible oder vertrauliche Daten. Im Automotivebereich bzw. in der Automobilindustrie hat die Konnektivität in den vergangenen Jahren zugenommen, sodass Benutzer nicht nur Navigationsdateien und GPS Positionen speichern, verwenden und übermitteln können, sondern auch über Kontaktdaten, Telefonnummern und Multimediadateien verfügen sowie über Social-Media Applikationen persönliche Vorlieben und Präferenzen abrufen und austauschen können. Folglich ist es wünschenswert, eine mögliche Angriffsfläche für Dritte oder externe Einheiten zu minimieren, um das Risiko gegenüber Cyberattacken oder DoS-Attacken zu reduzieren.
  • Allgemein wird zwischen funktioneller Sicherheit und Datensicherheit unterschieden. Die funktionelle Sicherheit - auch als funktionale Sicherheit bezeichnet - betrifft dabei grundsätzlich technische Kernkomponenten, welche für den normalen Betrieb eines Geräts erforderlich sind, beispielsweise eine Servolenkung eines Fahrzeugs. Während eine Vielzahl an Möglichkeiten für die Überwachung der funktionellen Sicherheit bekannt ist, sind die Datensicherungsmöglichkeiten und Sicherung der Funktionsfähigkeit, insbesondere in der Automobilindustrie, nur beschränkt vorhanden. Bei der Datensicherung handelt es sich dabei nicht lediglich um spontane Bitflips, sondern in der Regel um Angriffe, wie Cyberattacken. Dadurch, dass bisher die Datensicherung in der Automobilindustrie kaum eine Rolle gespielt hat, wurden die Datensicherungsmethoden nur in geringem Maße weiterentwickelt, sodass Daten heutzutage lediglich zentral in einer Datensicherheitsdomäne eines Mikrokontrollers verwertet werden.
  • Ein Problem hierbei ist, dass die Daten zwar in einem Normalbetrieb abrufbar sind, die Sicherheitsdomäne aber in einem Energiesparmodus oder Notstrombetrieb nicht verfügbar ist. Eine weitere Ausbildung der Datensicherheitsdomäne bietet aber keine wünschenswerte Lösung, zumal dies gleichzeitig zu einer vergrößerten Angriffsfläche führt. Die Kommunikation von Daten nach außen soll dabei grundsätzlich verhindert werden.
  • Weiterhin ist die Datensicherheitsdomäne im Fall eines Neustarts nicht in der Lage, Fehlerereignisse zu erkennen. Das heißt es besteht keine Möglichkeit zu prüfen, ob eine bestimmte Funktion wie gewünscht zur Verfügung steht oder nicht. Folglich kann ein dauerhafter Fehler dazu führen, dass sämtliche Datensicherung fehlt oder sich die Steuereinheit aufgrund des dauerhaften Fehlers funktional falsch verhält. Bei essentiellen Funktionen wie etwa einer Servolenkung ist ein falsches Verhalten nicht akzeptabel.
  • Darstellung der Erfindung
  • Ausgehend von dem bekannten Stand der Technik ist es eine Aufgabe der vorliegenden Offenbarung, eine verbesserte Sicherheitseinrichtung zum Betreiben einer Steuervorrichtung, sowie ein entsprechendes System und Verfahren bereitzustellen.
  • Die Aufgabe wird durch eine Sicherheitseinrichtung, ein System und ein Verfahren zur Absicherung einer Steuervorrichtung gemäß den unabhängigen Ansprüchen gelöst. Vorteilhafte Weiterbildungen ergeben sich aus den Unteransprüchen sowie der vorliegenden Beschreibung und den Figuren.
  • Entsprechend wird eine Sicherheitseinrichtung zur Absicherung einer Steuervorrichtung vorgeschlagen. Die Sicherheitseinrichtung umfasst eine erste Sicherheitseinheit, eine Datensicherheitseinheit, welche zur Sicherung von Daten, Datenkommunikation und Informationen eingerichtet ist und welche eine erste Sicherheitskomponente innerhalb der ersten Sicherheitseinheit zum Betrieb in einem ersten Betriebsmodus und mindestens eine erste Überwachungseinheit zum Betrieb in einem Hochverfügbarkeitsmodus umfasst, wobei die erste Überwachungseinheit zum Detektieren eines in der ersten Sicherheitskomponente vorhandenen Fehlers eingerichtet ist. Dabei ist der Hochverfügbarkeitsmodus von dem ersten Betriebsmodus verschieden Weiterhin kann vorgesehen sein, dass die erste Sicherheitseinheit eine zweite Sicherheitskomponente umfasst, wobei die erste Überwachsungseinheit in der zweiten Sicherheitskomponente angeordnet und mit dieser kommunikativ verbunden ist. Dabei ist die zweite Sicherheitskomponente dazu eingerichtet, bei einem durch die erste Überwachungseinheit detektierten Fehler ein erstes Antwortsignal auszugeben, wobei der Hochverfügbarkeitsmodus unabhängig von dem ersten Betriebsmodus verfügbar ist.
  • Dadurch, dass die erste Überwachungseinheit in der zweiten Sicherheitskomponente angeordnet ist, bildet die zweite Sicherheitskomponente eine von der ersten Sicherheitskomponente selbständige und autonome Einheit. Die zweite Sicherheitskomponente kann somit die erste Sicherheitskomponente bzw. einen Status der ersten Sicherheitskomponente überwachen und das Auftreten eines nur in der ersten Sicherheitskomponente vorhandenen Fehlers detektieren. Weiterhin kann beim Detektieren eines Fehlers durch die Ausgabe eines entsprechenden Antwortsignals die Integrität der Sicherheitseinrichtung und damit der Steuervorrichtung gewahrt werden. Beispielsweise kann das Antwortsignal einen Benutzer oder das System darauf aufmerksam machen, dass ein Fehler vorliegt, welcher die Sicherheit von Daten und Informationen betrifft. Weiterhin hat die selbständige Ausbildung der zweiten Sicherheitskomponente mit der Überwachungseinheit den Vorteil, dass diese nicht dauerhaft mit einer außerhalb der zweiten Sicherheitskomponente in Verbindung steht, sodass beispielsweise gespeicherte oder vorhandene Daten nicht beliebig von außen abgerufen werden können und gesichert sind und die Angreifbarkeit der Sicherheitseinheit mithin verringert wird.
  • Die zweite Sicherheitskomponente verfügt bevorzugt über eine eigene, separate Spannungsversorgung. Somit wird beim Detektieren eines Fehlers in der ersten Sicherheitskomponente sichergestellt, dass die zweite Sicherheitskomponente weiterhin Fehler detektieren und verarbeiten kann und diese entsprechend nicht in einem Energiesparmodus der ersten Sicherheitskomponente ausgeschaltet bzw. nicht funktionsfähig ist.
  • Die Steuervorrichtung kann als Mikrocontrollereinheit, auch „Micro Controller Unit“ oder MCU genannt, ausgebildet sein. Bevorzugt ist die Steuervorrichtung eine Steuervorrichtung eines Fahrzeugs. Folglich kann die Steuervorrichtung oder MCU auch als Knoten in einem Kommunikationsnetzwerk im Automobilbereich ausgebildet sein.
  • Die Sicherheitsfehler können eine Vielzahl von Sicherheitsfunktionen betreffen und sich sowohl auf Hardware- als auch Softwarekomponenten beziehen. Beispielsweise können Hardwarefehler in Beschleunigern, Sicherheitsspeichermedien, in einem hardwareunterstützten Einbruchserkennungssystem, in einem gesicherten Taktgeber, in gesicherter Fehlerereignisverarbeitung, in gesicherter Fehlerbehebung oder Debugging, und in gesichertem Testen, etc. detektiert werden. Ebenfalls können Softwarefehler, beispielsweise in einem gesicherten Betriebssystem, in gesicherter Software, in Einbruchsdetektionssoftware, etc. detektiert werden.
  • Weiterhin kann die Sicherheitseinrichtung mindestens eine zweite Überwachungseinheit zum Detektieren eines in der zweiten Sicherheitskomponente vorhandenen Fehlers umfassen. Die zweite Überwachungseinheit ist in der ersten Sicherheitskomponente angeordnet und mit der ersten Sicherheitskomponente kommunikativ verbunden, wobei die erste Sicherheitskomponente dazu eingerichtet ist, bei einem durch die zweite Überwachungseinheit detektierten Fehler ein zweites Antwortsignal auszugeben. Die erste Sicherheitskomponente und die zweite Sicherheitskomponente können jeweils dazu eingerichtet sein, das jeweils zugeordnete Antwortsignal an eine Einheit außerhalb der ersten Sicherheitseinheit zu übermitteln.
  • Mit der zweiten Überwachungseinheit wird somit die Überwachung der Sicherheitskomponenten gespiegelt, sodass auch beim Auftreten eines Fehlers in der zweiten Sicherheitskomponente ein entsprechendes Antwortsignal von der ersten Sicherheitskomponente ausgegeben werden kann, beispielsweise, um einen Benutzer darauf aufmerksam zu machen, dass die Überwachung der ersten Sicherheitskomponente eventuell fehlerhaft ist oder nicht vollständig gewährleistet wird. Mit anderen Worten können die Sicherheitskomponenten somit einander überwachen, beispielsweise als eine sogenannte „keep-alive“ Überwachung oder durch entsprechende Implementierung als sogenannter Watchdog, um die Richtigkeit der erforderlichen und/oder vorgegebenen Funktionalität zu überwachen. Das Spiegeln der Überwachungsfunktion hat somit unter anderem den Vorteil, dass die Sicherheitsfunktion der Sicherheitseinrichtung zuverlässiger und gleichzeitig die Verfügbarkeit erhöht ist.
  • Die jeweiligen Sicherheitskomponenten sind bevorzugt dazu eingerichtet, das Antwortsignal an eine Einheit außerhalb der Steuervorrichtung zu übermitteln, wobei das Übermitteln des Antwortsignals bevorzugt das Übersenden von Daten umfasst. Die Übermittlung kann weiterhin über ein Pad oder einen Pin erfolgen, bevorzugt ein bestimmtes und/oder eigenes Pad bzw. Pin in einer unterschiedlichen Spannungsdomäne. Die Sicherheitskomponenten können dadurch in Antwort bzw. als Reaktion auf interne Ereignisse oder Kommunikation in der jeweiligen Sicherheitskomponente mit einer Einheit außerhalb der Steuervorrichtung kommunizieren, beispielsweise mit einem Empfänger oder Sender der Steuervorrichtung oder MCU. Bevorzugt ist die Kommunikationsmöglichkeit für die jeweilige Sicherheitskomponente mittels eines Pads oder Pins in verschiedenen Betriebsmodi der Sicherheitseinheit vorgesehen, beispielsweise sowohl in einem Normalbetrieb als auch in einem Hochverfügbarkeitsbetrieb der Sicherheitseinheit. Dies hat unter anderem den Vorteil, dass die Sicherheitseinheit beim Vorliegen bzw. Detektieren eines Fehlers immer mit einer externen Einheit kommunizieren kann, sodass beispielsweise ein Benutzer zu jeder Zeit alarmiert oder benachrichtigt werden und die erste Sicherheitseinheit Sicherheitsereignisse immer verarbeiten kann, wenn ein Sicherheitsfehler vorliegt. Die Zuverlässigkeit und Überwachung der Sicherheitseinrichtung wird somit weiter erhöht.
  • Die zu übermittelnden Daten können weiterhin verschlüsselt werden. Dazu kann in der Sicherheitseinrichtung weiterhin für die Sicherheitskomponenten eine jeweilige in der Steuervorrichtung und innerhalb oder außerhalb der Sicherheitskomponenten angeordnete Verschlüsselungseinheit zum Verschlüsseln der Daten vorgesehen sein. Beispielsweise kann eine Verschlüsselungseinheit innerhalb der Sicherheitskomponente angeordnet sein, um die Selbständigkeit der Sicherheitskomponente zu erhöhen und die Angreifbarkeit der Verschlüsselung von externen Einheiten zu verringern. Die Kommunikations- und Datensicherheit zwischen der zweiten Sicherheitskomponente und einer außerhalb der zweiten Sicherheitskomponente angeordneten Einheit wird somit weiter verbessert.
  • Bevorzugt bilden die Sicherheitskomponenten die Kernsicherheitskomponenten. Die Sicherheitskomponenten können dabei symmetrisch oder asymmetrisch bezüglich ihrer jeweils bereitgestellten Funktionalität ausgebildet sein, wobei die Sicherheitskomponenten weiterhin bevorzugt konfigurierbar sind. Beispielsweise können die erste und zweite Sicherheitskomponente vollständig symmetrisch zueinander ausgebildet sein, sodass diese einen Redundanzblock bilden. Die Sicherheitskomponenten sind in diesem Fall bevorzugt in derselben Spannungsdomäne, in derselben Taktdomäne und nahe zueinander in derselben Floorplanning angeordnet, sodass kurze Verbindungs- und Signalwege bereitgestellt werden. Dies hat unter anderem den Vorteil, dass die Funktionen der ersten Sicherheitskomponente bei einem Ausfall oder bei einem detektierten Fehler in der ersten Sicherheitskomponente vollständig von der zweiten Sicherheitskomponente übernommen werden können und ein Benutzer somit nicht von dem Fehler beeinträchtigt wird.
  • Die Sicherheitskomponenten können jedoch auch asymmetrisch ausgebildet sein, wobei die zweite Sicherheitskomponente im Vergleich zur ersten Sicherheitskomponente beispielsweise weniger Funktionen erfüllen kann, die wichtigsten Funktionen jedoch bei einem Ausfall oder bei einem detektierten Fehler in der ersten Sicherheitskomponente von der zweiten Sicherheitskomponente erfüllt werden können. Die jeweiligen Funktionen in der ersten und zweiten Sicherheitskomponente sind bevorzugt konfigurierbar, sodass ein Benutzer entscheiden und vorgeben kann, welche Sicherheitsfunktionen in welcher Sicherheitskomponente und ggf. in einem entsprechenden Betriebsmodus vorhanden sein müssen.
  • Alternativ oder zusätzlich können eine Anordnung, eine Taktdomäne und/oder eine Spannungsdomäne der Sicherheitskomponenten jeweils voneinander getrennt sein. Mit anderen Worten können die erste und zweite Sicherheitskomponente innerhalb der Steuervorrichtung (200) angeordnet sein, eine Taktdomäne der ersten Sicherheitskomponente verschieden sein von einer zweiten Taktdomäne der zweiten Sicherheitskomponente, und/oder eine Spannungsdomäne der ersten Sicherheitskomponente von einer weiteren Spannungsdomäne der zweiten Sicherheitskomponente getrennt sein. Dies erhöht weiterhin die Selbständigkeit der Sicherheitskomponenten, sodass beim Vorliegen eines Fehlers in einer der Sicherheitskomponenten, die Funktionsfähigkeit der anderen Sicherheitskomponente nicht davon beeinträchtigt wird und somit das Ausgeben eines Antwortsignals unabhängig von der Funktionsfähigkeit der fehlerhaften Sicherheitskomponente erfolgen kann.
  • Die zweite Sicherheitskomponente ist bevorzugt dazu eingerichtet, bei einem in der ersten Sicherheitskomponente detektierten Fehler zumindest eine Auswahl einer Funktionalität der ersten Sicherheitskomponente in dem zweiten Betriebsmodus der zweiten Sicherheitskomponente bereitzustellen.
  • Dadurch wird ermöglicht, dass in einem fehlerlosen Betrieb oder bei einem Betrieb, indem ein vorhandener Fehler vernachlässigbar ist, die Sicherheitseinheit alle vorhandenen Funktionen erfüllen bzw. bereitstellen kann, während bei einem detektierten Fehler die Sicherheitseinheit in einem Hochverfügbarkeitsmodus betrieben wird, wobei die zweite Sicherheitskomponente Sicherheitsfunktionen übernimmt. Die erste Sicherheitskomponente ist dabei nicht mehr aktiv, sodass die zweite Sicherheitskomponente in dem Hochverfügbarkeitsmodus Kernsicherheitskomponenten bildet. Im Hochverfügbarkeitsmodus können dabei beispielsweise bei einer im Vergleich zur ersten Sicherheitskomponente symmetrischen Ausbildung der zweiten Sicherheitskomponente die gleichen Funktionen wie im Normalbetrieb bereitgestellt werden. Mit anderen Worten kann in einem Hochverfügbarkeitsmodus und wenn die zweite Sicherheitskomponente bezüglich ihrer bereitgestellten Funktionalität der ersten Sicherheitskomponente entspricht, eine von einem Normalbetrieb nicht unterscheidbare Funktionalität gegeben sein.
  • Bevorzugt ist die zweite Sicherheitskomponente jedoch asymmetrisch bezüglich ihrer bereitgestellten Funktionalität ausgebildet, sodass im Hochverfügbarkeitsmodus zwar weniger Funktionen vorgesehen sind, die wichtigsten Funktionen jedoch in der Sicherheitseinheit verfügbar sind. Dies hat unter anderem den Vorteil, dass sowohl Platz als auch Kosten gespart und die Zahl der fehleranfälligen Komponenten reduziert werden können. Durch den Hochverfügbarkeitsmodus und das entsprechende Bereitstellen von den wichtigsten Funktionen kann die Beeinträchtigung des Benutzers gering gehalten werden.
  • Die Sicherheitskomponenten sind weiterhin bevorzugt dazu eingerichtet, in dem ersten Betriebsmodus zwischen der ersten und/oder der zweiten Sicherheitskomponente und einer außerhalb der Steuervorrichtung angeordneten Einheit zu kommunizieren, und in dem zweiten Betriebsmodus nur zwischen der zweiten Sicherheitskomponente und der außerhalb der Steuervorrichtung angeordneten Einheit zu kommunizieren. Mit anderen Worten kann die Kommunikation zwischen den Sicherheitskomponenten und einer externen Einheit im Normalbetrieb vorwiegend ausgehendend von der ersten Sicherheitskomponente erfolgen, jedoch auch aufgeteilt werden, sodass die Kommunikation ebenfalls zumindest teilweise von der zweiten Sicherheitskomponente ausgeht. Im zweiten Betriebsmodus bzw. in dem Hochverfügbarkeitsmodus, geht die Kommunikation jedoch nur von der zweiten Sicherheitskomponente aus. Dies hat unter anderem den Vorteil, dass die Kommunikationsmöglichkeiten der ersten Sicherheitskomponente nach außen bei einem detektierten Fehler gesperrt werden, sodass keine Daten unerwünscht an eine externe Einheit übermittelt werden können. Die zweite Sicherheitskomponente, welche bevorzugt Kernsicherheitskomponenten aufweist, kann jedoch dadurch, dass diese vollständig selbständig ausgebildet und nicht von dem detektierten Fehler in der ersten Sicherheitskomponente betroffen ist, weiterhin sicher und bevorzugt mittels Verschlüsselung nach außen kommunizieren, beispielsweise für eine vertraute Kommunikation innerhalb eines Fahrzeugnetzwerks. Der Benutzer kann somit in jeder Situation benachrichtigt und auf einen vorliegenden Fehler aufmerksam gemacht werden.
  • Um den ersten Betriebsmodus bzw. einen Normalbetrieb nach dem Detektieren eines Fehlers wieder zu ermöglichen, kann die zweite Sicherheitskomponente in dem zweiten Betriebsmodus dazu eingerichtet sein, einen Neustart der ersten Sicherheitskomponente zu initiieren, wobei die erste Überwachsungseinheit dazu eingerichtet ist, den Neustart der ersten Sicherheitskomponente zu überwachen. Die erste Sicherheitskomponente ist mithin im zweiten Betriebsmodus bzw. im Hochverfügbarkeitsmodus nicht verfügbar und wird zurückgesetzt, wobei beispielsweise Protokolle und Listen geleert werden können und auf Werkseinstellungen zurückgesetzt werden, ein Betriebssystem neugestartet und/oder erneut installiert wird, Messinstrumente wie Sensoren erneut kalibriert werden, etc..
  • Die Sicherheitskomponenten können weiterhin eine Mehrzahl von Unterkomponenten umfassen, wobei für zumindest eine der Unterkomponenten der jeweiligen Sicherheitskomponente eine entsprechende Unterkomponente in der jeweils anderen Sicherheitskomponente angeordnet ist, welche symmetrisch oder asymmetrisch bezüglich der bereitgestellten Funktionalitäten ausgebildet ist. Alternativ oder zusätzlich kann zumindest eine der Unterkomponenten in ausschließlich einer der Sicherheitskomponenten ausgebildet sein. Bevorzugt umfasst zumindest eine der Unterkomponenten eine Überwachungseinheit. Folglich kann bei einer symmetrischen Ausbildung, wie oben beschrieben, die Sicherheitsfunktion gewährleistet werden, wobei eine gegenseitige Überwachung bevorzugt wird. Ebenfalls kann eine Überwachungsfunktion lediglich für individuelle Unterkomponenten vorgesehen sein.
  • Die Überwachungsfunktion entfällt grundsätzlich für Unterkomponenten, welche in ausschließlich einer der Sicherheitskomponenten ausgebildet sind. Hierdurch wird aber ermöglicht, dass bestimmte Funktionen, welche nicht überwacht werden müssen, lediglich beispielswiese in entweder einem Normalbetrieb oder in einem Hochverfügbarkeitsbetrieb vorhanden sind, sodass für den Hochverfügbarkeitsbetrieb der Sicherheitseinheit nicht notwendige Funktionen nur in der ersten Sicherheitskomponente angeordnet sind, beispielsweise um Platz und Kosten zu sparen und eine verbesserte Leistung zu ermöglichen. Ebenfalls können bestimmte Funktionen nur in der zweiten Sicherheitskomponente vorhanden sein. Dies hat unter anderem den Vorteil, dass beispielsweise bestimmte Sicherheitsfunktionen, welche im Normalbetrieb nicht erforderlich sind, beim Detektieren eines Fehlers angeschaltet werden, sodass einem Benutzer weitere Funktionsmöglichkeiten im Hochverfügbarkeitsmodus zur Verfügung stehen.
  • Es kann aber auch vorgesehen sein, dass zumindest eine der Sicherheitskomponenten mindestens ein Paar von Unterkomponenten aufweist, welche symmetrisch ausgebildet sind und wobei zumindest eine der zwei Unterkomponenten eine Überwachungseinheit zum Detektieren eines Fehlers in der jeweils anderen Unterkomponente umfasst. Bevorzugt haben beide Unterkomponenten eine entsprechende Überwachungseinheit. Somit bilden die Unterkomponenten einen Redundanzblock in der Sicherheitskomponente. Wenn diese in der ersten Sicherheitskomponente angeordnet sind, hat dies unter anderem den Vorteil, dass die Funktionen in dem ersten Betriebsmodus auch beim Ausfall einer der Unterkomponenten vorhanden sind, ohne dass die Sicherheitseinheit in einem Hochverfügbarkeitsmodus betrieben werden muss. Mit anderen Worten wird somit die Funktionsfähigkeit der ersten Sicherheitskomponente im Normalbetrieb verbessert.
  • Die erste Sicherheitseinheit ist bevorzugt als Sicherheitsmanagementeinheit eingerichtet, wobei die Sicherheitskomponenten, bevorzugt Unterkomponenten der Sicherheitskomponenten, dazu eingerichtet sind, mindestens ein Warnsignal von einer kommunikativ verbundenen Einheit zu empfangen und ein der jeweiligen Sicherheitskomponente zugeordnetes Antwortsignal basierend auf dem empfangenen Warnsignal auszugeben und an eine Einheit in der Sicherheitseinrichtung, in der Steuervorrichtung und/oder außerhalb der Steuervorrichtung zu übermitteln. Das der jeweiligen Sicherheitskomponente zugeordnete Antwortsignal ist bevorzugt ein vorgegebenes und/oder konfigurierbares Antwortsignal. Das Antwortsignal kann an eine Einheit innerhalb der Sicherheitseinrichtung übermittelt werden, um beispielsweise die Sicherheitseinheit oder eine Sicherheitsapplikation zurückzusetzen, kann aber auch an eine Einheit innerhalb oder außerhalb der Steuervorrichtung übermittelt werden, um die Steuervorrichtung zurückzusetzen bzw. ein Warnsignal an eine externe Einheit zu übermitteln.
  • Das Antwortsignal ist bevorzugt konfigurierbar, sodass ein Benutzer entscheiden und vorgeben kann, wie die Sicherheitseinrichtung, Sicherheitseinheit oder Steuervorrichtung beim Detektieren eines Fehlers reagieren soll bzw. welche Funktionen ein- und ausgeschaltet werden sollen und ob eine Benachrichtigung an externe Einheiten erfolgen soll. Obwohl die Sicherheitsmanagementeinheit bzw. Datensicherheitsmanagementeinheit als zusätzliche Hardware implementiert sein kann, beispielsweise als Untereinheit eines Mikrokontrollers oder Prozessors, kann ebenfalls vorgesehen sein, dass die Sicherheitsmanagementeinheit bzw. Datensicherheitsmanagementeinheit und die entsprechenden Sicherheitskomponenten zumindest teilweise durch Softwareteile implementiert werden, wie zum Beispiel durch die Belegung in entsprechenden Domänen.
  • Weiterhin sind die Sicherheitskomponenten bevorzugt dazu eingerichtet, empfangene Warnsignale zu klassifizieren und zu gruppieren. Somit kann nicht nur ein entsprechendes Antwortsignal ausgegeben werden, sondern auch die Größe und/oder die Verarbeitungszeit von Warnsignalen verringert werden.
  • Das Warnsignal ist bevorzugt ein Sicherheitsfehlerereignis bezüglich der Sicherung von Datenkommunikation und Informationen in der Steuervorrichtung oder ein funktionelles Fehlerereignis in der ersten Sicherheitseinheit. Beispielsweise kann das Warnsignal eine globale Funktionalität betreffen, wenn dies die Steuervorrichtung bzw. MCU betrifft. Das Warnsignal kann jedoch auch auf eine lokale Funktionalität deuten, beispielsweise, wenn dies ein funktionelles Fehlerereignis der Sicherheitseinrichtung betrifft. Folglich ermöglicht die Sicherheitsmanagementeinheit die Verarbeitung von entsprechenden Warnsignalen, sodass mit einem entsprechenden Antwortsignal eine entsprechende Reaktion ausgegeben werden kann.
  • Bevorzugt weist die zweite Sicherheitskomponente weiterhin einen Zähler auf, sodass die Zahl, Art, und/oder Reihenfolge der empfangenen Sicherheitsfehlerereignisse, beispielsweise während vorübergehenden fehlerhaften Funktionen im Normalbetrieb oder im Hochverfügbarkeitsmodus, gespeichert werden kann. Die zweite Sicherheitskomponente kann die Sicherheitsfehlerereignisse ebenfalls in einem gesicherten Speichermedium speichern bzw. loggen, wobei das Speichermedium nach einem Neustart in einem erneuten Normalbetrieb und/oder von einer alternativen externen Einheit ausgelesen werden kann. Ebenfalls kann vorgesehen sein, dass die Zahl und/oder Art des Neustarts geloggt wird. Somit kann die zweite Sicherheitskomponente eine Black-Box-Funktion aufweisen.
  • Sicherheitsfehlereignisse können jedoch auch an anderen Komponenten der Steuervorrichtung auftreten und/oder signalisiert werden. Entsprechend umfasst die Sicherheitseinrichtung bevorzugt weiterhin zumindest einen Monitor und/oder einen Funktionsblock, welcher außerhalb einer Sicherheitsdomäne von Datenkommunikation und Informationen der Sicherheitseinrichtung und innerhalb der Sicherheitsvorrichtung angeordnet ist, wobei der Monitor und/oder der Funktionsblock eingerichtet ist, ein Warnsignal, insbesondere ein Sicherheitsfehlerereignis zu detektieren und an eine Einheit außerhalb der Sicherheitsdomäne oder an die Sicherheitsmanagementeinheit zu übermitteln.
  • Beispielsweise kann ein Monitor mit Sicherheitsfunktionalität für den ersten und/oder zweiten Betriebsmodus vorgesehen sein, welche beispielsweise eine Spannung, eine Temperatur, eine Zeit, ein Altern, einen Druck, und/oder Licht etc. erfassen bzw. detektieren kann. Beim Detektieren von Fehlern oder Abweichungen von einem vorgegebenen Bereich, wird dies als Sicherheitsfehlerereignis erkannt, welches an die Sicherheitsmanagementeinheit übermittelt wird. Die Sicherheitsmanagementeinheit kann dann darauf durch Ausgabe eines entsprechenden Antwortsignals reagieren.
  • Weiterhin kann ein funktioneller Block dazu eingerichtet sein, als Angriffserkennungssystem oder als Firewall betrieben zu werden. Beim Detektieren eines Angriffs oder einer Sicherheitsdurchbrechung, wird dies als Sicherheitsfehlerereignis erkannt und als solches, wie oben für den Monitor beschrieben, an die Sicherheitsmanagementeinheit übermittelt.
  • Ein funktioneller Block kann jedoch auch als Kryptosatellit, zweite Verschlüsselungseinheit oder Satellitenverschlüsselungseinheit ausgebildet sein. Dabei ist die Satellitenverschlüsselungseinheit um einen Kommunikationsanschluss oder COM („communication port“) gebildet, welcher das Signieren, die Verschlüsselung, Entschlüsselung, Authentifizierung und/oder authentifizierte Verschlüsselung von assoziierten Daten mittels einem in einem Schlüsselspeicher gespeicherten Schlüssel und einem symmetrischen Beschleuniger ermöglicht. Dazu weist die Satellitenverschlüsselungseinheit weiter eine Datensenke oder Quelle auf, welche eine Schnittstelle mit dem COM bildet.
  • Die Datensenke kommuniziert weiterhin mit einer Entscheidungseinheit, wobei die Entscheidungseinheit dazu eingerichtet ist, die Satellitenverschlüsselungseinheit zu konfigurieren und einen Datenstrom innerhalb der Satellitenverschlüsselungseinheit zu kontrollieren. Die Entscheidungseinheit ist weiterhin dazu eingerichtet, Fehlerereignisse zu detektieren und zu sammeln. Die Fehlerereignisse werden dann als Sicherheitsfehlerereignisse erkannt und entsprechend an die Sicherheitsmanagementeinheit übermittelt, wie oben beschrieben. Somit kann mit Verschlüsselung sichergestellt werden, dass beispielsweise verschlüsselte bzw. signierte Nachrichten an einen Empfänger außerhalb der MCU übermittelt werden können, um die Authentizität und die Vertraulichkeit beim Signalisieren eines fehlerhaften MCU Verhaltens sicherzustellen.
  • Die Sicherheitseinrichtung kann weiterhin eine zweite Sicherheitseinheit, eine Funktionale-Sicherheit-Einheit, umfassen, welche zur Sicherung von funktionellen Einheiten eingerichtet ist. Dabei ist die erste Sicherheitseinheit dazu eingerichtet, Warnsignale der ersten Sicherheitseinheit als mindestens ein konfigurierbares Warnsignal selektiv an die zweite Sicherheitseinheit zu übermitteln, wobei die zweite Sicherheitseinheit dazu eingerichtet ist, in Antwort auf den Empfang des mindestens einen konfigurierbaren Warnsignals ein konfigurierbares Antwortsignal auszugeben. Folglich kann die erste Sicherheitseinheit selektiv mit der zweiten Sicherheitseinheit kommunizieren.
  • Grundsätzlich kann somit vorgesehen sein, dass die erste Sicherheitseinheit nicht mit der zweiten Sicherheitseinheit kommuniziert und eine Kommunikation der ersten Sicherheitseinheit mit anderen Einheiten somit weitestgehend vermieden wird. Die Ereignisse in der ersten Sicherheitseinheit oder in der ersten Sicherheitsdomäne sind somit nicht ersichtlich für die zweite Sicherheitseinheit oder für die restlichen Komponenten der Steuervorrichtung oder MCU. Dies hat gleichzeitig auch den Vorteil, dass alle Ereignisse, die die funktionelle Sicherheit betreffen, nur in der zweiten Sicherheitseinheit verarbeitet werden können.
  • Im Falle eines Sicherheitsfehlerereignisses kann die erste Sicherheitseinheit jedoch Sicherheitsfehlerereignisse an die zweite Sicherheitseinheit übermitteln, sodass die zweite Sicherheitseinheit entsprechend agieren kann. Dies kann selektiv erfolgen, sodass auch lediglich eine Untergruppe der Sicherheitsfehlerereignisse übermittelt werden kann. Beispielsweise können somit funktionelle Komponenten in einem Fahrzeug eingeschränkt werden, beispielsweise durch automatisches Anschalten der Warnblinkleuchte, durch limitieren der Geschwindigkeit des Fahrzeugs oder durch Vergrößern des einzuhaltenden Abstands zu einem anderen Fahrzeug, um die Sicherheit der Insassen zu erhöhen.
  • Bevorzugt kann das Antwortsignal von einem Hersteller oder Benutzer vorgegeben sein. Ebenfalls kann vorgesehen sein, dass die Kommunikation zwischen der ersten Sicherheitseinheit und der zweiten Sicherheitseinheit konfigurierbar ist, sodass die zu übermittelnde Sicherheitsfehlerereignisse ebenfalls von einem Hersteller oder Benutzer vorgegeben sein können.
  • Die zweite Sicherheitseinheit ist bevorzugt als Sicherheitsmanagementeinheit eingerichtet und weiterhin dazu eingerichtet, Sicherheitsfehlerereignisse der zweiten Sicherheitseinheit als konfigurierbares Warnsignal selektiv an die erste Sicherheitseinheit zu übermitteln, wobei die erste Sicherheitseinheit dazu eingerichtet ist, in Antwort auf den Empfang des Warnsignals ein konfigurierbares Antwortsignal auszugeben. Entsprechend kann auch die erste Sicherheitseinheit alarmiert werden, wenn ein Fehler in der zweiten Sicherheitseinheit vorliegt. Das Antwortsignal kann entsprechend dem Benutzer informieren, wobei das Antwortsignal gleichzeitig Komponenten in der ersten Sicherheitseinheit aktivieren und/oder frequentierter prüfen lassen kann. Ebenfalls kann in Antwort auf das empfangene Warnsignal die erste Sicherheitseinheit in einem zweiten Betriebsmodus betrieben werden, um eine generelle Überprüfung und/oder ein Zurücksetzen eines Teils des Systems zu bewirken.
  • Die erste und zweite Sicherheitseinheit bilden bevorzugt zusammen die Sicherheitseinrichtung. Die funktionelle Sicherheitsmanagementeinheit und die Datensicherheitsmanagementeinheit können dabei eine geteilte Hardwarekomponente in der zweiten Sicherheitskomponente aufweisen, wobei bevorzugt eine Datenkapselung implementiert sein kann, um die Integrität zu erhöhen. Die Sicherheitseinrichtung hat mithin die Möglichkeit zwischen Fehlerereignissen zu unterscheiden und diese innerhalb der relevanten Domäne, beispielsweise einer funktionellen Sicherheitsdomäne und einer Datensicherheitsdomäne, zu verarbeiten.
  • Beispielsweise kann die Sicherheitseinrichtung anhand von den Fehlerereignissen zwischen Fehlern unterscheiden, die nur die funktionelle Sicherheit betreffen, die sowohl die funktionelle Sicherheit als auch die Datensicherheit betreffen, und die nur die Datensicherheit betreffen. Basierend auf dieser Gruppierung bzw. Klassifizierung, kann die jeweilige Sicherheitseinheit ein entsprechendes Antwortsignal ausgeben, welches bevorzugt von einem Benutzer oder Hersteller konfigurierbar ist.
  • Die Sicherheitseinrichtung kann weiterhin als zusätzlicher Hardwareteil in der Steuervorrichtung angeordnet sein, welcher physisch und logisch mit einer externen, außerhalb der Steuervorrichtung angeordneten Einheit kommunikativ verbunden ist. Für den Benutzer wird somit ein höherer Freiheitsgrad bereitgestellt. Weiterhin kann die Sicherheitseinrichtung die Sicherheitsüberwachung während eines vorübergehenden Ausfalls der Kernsicherheitskomponenten der Steuervorrichtung sicherstellen.
  • Die zweite Sicherheitseinheit kann weiterhin ähnlich wie die erste Sicherheitseinheit eingeteilt sein. So kann die zweite Sicherheitseinheit eine dritte Sicherheitskomponente zum Betrieb in einem ersten Betriebsmodus und eine vierte Sicherheitskomponente eingerichtet zum Betrieb in einem Hochverfügbarkeitsmodus umfassen. Bevorzugt sind die dritte und vierte Sicherheitskomponente innerhalb der Steuervorrichtung angeordnet, ist eine Taktdomäne der dritten Sicherheitskomponente verschieden von einer zweiten Taktdomäne der zweiten Sicherheitskomponente, und/oder ist eine Spannungsdomäne der dritten Sicherheitskomponente von einer weiteren Spannungsdomäne der vierten Sicherheitskomponente getrennt. Die erste Sicherheitseinheit kann weiterhin bevorzugt dazu eingerichtet sein, das Warnsignal der ersten Sicherheitseinheit an die dem Betriebsmodus entsprechende Sicherheitskomponente der zweiten Sicherheitseinheit zu übermitteln, wobei die jeweilige Sicherheitskomponente der zweiten Sicherheitseinheit dazu eingerichtet ist, in Antwort auf den Empfang eines Warnsignals ein konfigurierbares Antwortsignal auszugeben. Somit ist vorgesehen, dass die entsprechenden Sicherheitskomponenten der ersten und zweiten Sicherheitseinheit in einem Betriebsmodus miteinander kommunizieren können.
  • Um die Verfügbarkeit und Zuverlässigkeit der Sicherheitseinheiten und Sicherheitseinrichtung weiter zu verbessern, kann die die zweite Sicherheitseinheit mit einer Überwachungseinheit der ersten Sicherheitseinheit kommunikativ verbunden sein, wobei die Überwachungseinheit der ersten Sicherheitseinheit dazu eingerichtet ist, Sicherheitsfehlerereignisse der ersten Sicherheitseinheit zu detektieren und an die zweite Sicherheitseinheit zu übermitteln und wobei die Überwachungseinheit der ersten Sicherheitseinheit in einer funktionalen Sicherheitsdomäne der Sicherheitseinrichtung angeordnet ist.
  • Die Überwachungseinheit der ersten Sicherheitseinheit ist somit von einer Datensicherheitsdomäne und jedenfalls von der ersten Sicherheitseinheit getrennt angeordnet, jedoch damit kommunikativ verbunden. Dies hat unter anderem den Vorteil, dass bei einem fehlerhaften oder sogar defekten Verhalten der Sicherheitseinrichtung, wobei die erste Sicherheitseinheit oder erste Sicherheitsmanagementeinheit versagt, dies entsprechend von der Überwachungseinheit der ersten Sicherheitseinheit in der funktionellen Sicherheitsdomäne erkannt wird und die Überwachungseinheit ein Warnsignal oder einen Alarm an die zweite Sicherheitseinheit übermittelt, um ein vollständiges Zurücksetzen und einen Neustart der ersten Sicherheitseinheit bzw. Sicherheitsmanagementeinheit zu bewirken. In diesem Fall kann die Überwachungseinheit dazu eingerichtet sein, die Neustartanfrage und Neustart der Sicherheitseinheit bzw. Sicherheitsmanagementeinheit zu überwachen.
  • Weiterhin kann in der Sicherheitsdomäne von Daten und Informationen eine entsprechende Überwachungseinheit vorgesehen sein. Die erste Sicherheitseinheit kann entsprechend mit einer Überwachungseinheit der zweiten Sicherheitseinheit kommunikativ verbunden sein, wobei die Überwachungseinheit zur Überwachung der zweiten Sicherheitseinheit dazu eingerichtet ist, Sicherheitsfehlerereignisse der zweiten Sicherheitseinheit zu detektieren und an die erste Sicherheitseinheit zu übermitteln. Die Überwachungseinheit der zweiten Sicherheitseinheit ist in einer Sicherheitsdomäne von Datenkommunikation und Informationen der Sicherheitseinrichtung angeordnet. Die Überwachungseinheit der zweiten Sicherheitseinheit kann somit die gleichen Funktionen erfüllen wie oben beschrieben für die Überwachungseinheit der ersten Sicherheitseinheit.
  • Die Sicherheitseinrichtung umfasst weiterhin bevorzugt mindestens eine dritte Überwachungseinheit zum Betrieb in einem Hochverfügbarkeitsmodus, wobei die dritte Überwachungseinheit zum Detektieren eines in der dritten Sicherheitskomponente vorhandenen Fehlers eingerichtet und in der vierten Sicherheitskomponente angeordnet und mit dieser kommunikativ verbunden ist. Die vierte Sicherheitskomponente ist dabei bevorzugt dazu eingerichtet, bei einem durch die dritte Überwachungseinheit detektierten Fehler ein drittes Antwortsignal auszugeben, wobei der Hochverfügbarkeitsmodus unabhängig von dem ersten Betriebsmodus verfügbar ist. Weiterhin kann die Sicherheitseinrichtung bevorzugt eine vierte Überwachungseinheit zum Detektieren eines in der vierten Sicherheitskomponente vorhandenen Fehlers umfassen, welche mit der dritten Sicherheitskomponente kommunikativ verbunden und darin angeordnet ist.
  • Bevorzugt kann die vierte Sicherheitskomponente weiterhin dazu eingerichtet sein, bei einem in der dritten Sicherheitskomponente detektierten Fehler ein Antwortsignal auszugeben. Ebenfalls kann die Sicherheitseinrichtung eine vierte Überwachungseinheit zum Detektieren eines in der vierten Sicherheitskomponente vorhandenen Fehlers umfassen, welche mit der dritten Sicherheitskomponente kommunikativ verbunden und darin angeordnet ist. Somit kann eine gegenseitige Überwachung der dritten und vierten Sicherheitskomponenten vorgesehen sein, ähnlich wie oben beschrieben für die erste und zweite Sicherheitskomponente.
  • Die zweite und/oder vierte Sicherheitskomponente können weiterhin dazu eingerichtet sein, bis zu einem durch die entsprechende Überwachungseinheit detektierten Fehler in einem Ruhemodus betrieben zu werden und erst beim Detektieren eines Fehlers durch die entsprechende Überwachungseinheit bzw. in einem Hochverfügbarkeitsmodus der Sicherheitseinheit und/oder Steuervorrichtung aktiviert zu werden. Somit ist eine grundsätzlich geringere Leistung erforderlich und die jeweiligen Komponenten können geschont und Strom gespart werden, während die Komponenten bei einem detektierten Fehler sofort angeschaltet werden. Auch kann die zweite Sicherheitskomponente und/oder die entsprechende Überwachungseinheit bei einem Ruhemodus von anderen Komponenten im Hintergrund aktiv sein, sodass der Sicherheitsstatus dauernd überwacht wird und andere Komponente beim Vorliegen eines Fehlers aktiviert werden können. Beispielsweise kann somit auf Weckereignisse oder „wake-up events“ reagiert werden, wie beispielsweise ein externes Wecksignal, Weckprotokolle oder Weckprotokollpakete über einem Kommunikationsnetzwerk im Automobilbereich, etc., um somit auf beispielsweise DoS-Attacken zu reagieren während eine Einheit, beispielsweise eine Einheit eines Fahrzeugs, nicht verwendet wird.
  • Weiterhin kann vorgesehen sein, dass der Ruhemodus nach einer vordefinierten Zahl von Fehlern oder Sicherheitsfehlerereignissen unterbrochen wird und die entsprechenden Sicherheitskomponenten aktiviert werden. So kann der Ruhemodus beispielsweise auch nach einer Mehrzahl von erkannten Weckereignissen, wofür grundsätzlich keine Reaktion vorgesehen ist, unterbrochen werden und die ganze Steuervorrichtung oder MCU angewiesen werden, auf einen Angriff zu reagieren, wobei beispielsweise ein Batteriestatus geprüft und Wartungsnachrichten bezüglich eines unerwarteten Systemverhaltens an eine externe Einheit übermittelt werden können.
  • Die Sicherheitseinrichtung kann weiterhin in einem System integriert sein. Entsprechend wird ein System vorgeschlagen, welches eine Steuervorrichtung zum Betreiben mindestens einer außerhalb der Steuervorrichtung angeordneten Einheit und eine Sicherheitseinrichtung, welche mit der Steuervorrichtung kommunikativ verbunden ist, umfasst. Die Sicherheitseinrichtung weist dabei eine oben beschriebene erfindungsgemäße Sicherheitseinrichtung auf, wobei die Sicherheitseinrichtung dazu eingerichtet ist, die Steuervorrichtung abzusichern.
  • Drüber hinaus kann die Sicherheitseinrichtung dazu eingerichtet sein, Warnsignale von einer Satellitenverschlüsselungseinheit zu empfangen, wobei die Satellitenverschlüsselungseinheit einen Schlüsselspeicher, einen symmetrischen Hardwarebeschleuniger, eine Datensenke oder Datenquelle, und eine Entscheidungseinheit umfasst, die konfiguriert ist zum Signieren, Verschlüsseln, Authentifizieren, und/oder authentifizierten Verschlüsseln von durch die Datenquelle bereitgestellten oder an der Datensenke empfangenen Daten jeweils unter Verwendung des Hardwarebeschleunigers und des Schlüsselspeichers. Die Entscheidungseinheit kann weiter dazu konfiguriert sein, einen Fehler beim Signieren, Verschlüsseln, Authentifizieren, und/oder authentifizierten Verschlüsseln zu erkennen und ein Warnsignal an die Sicherheitseinheit auszugeben.
  • Des Weiteren kann die Entscheidungseinheit dazu konfiguriert sein, ein Verhalten der Datensenke zu überwachen, und bei Abweichungen von einem erwarteten Verhalten ein Warnsignal an die Sicherheitseinheit auszugeben.
  • Die Steuervorrichtung und die Steuereinheit können weiterhin in einem gemeinsamen Gehäuse angeordnet sein. Weiterhin können die Steuervorrichtung und die Steuereinheit auf einem Chip implementiert sein, wobei die Steuervorrichtung und die Steuereinheit bevorzugt in einer gemeinsamen Verpackung implementiert sind. Die außerhalb der Steuervorrichtung angeordnete Einheit ist bevorzugt eine Einheit eines Fahrzeugs. Somit kann die Sicherheitseinrichtung beispielsweise auf einem Chip implementiert sein, welcher in der Automobilindustrie verwendet werden kann, um die Sicherheit von Daten und die Sicherheit von Insassen zu verbessern.
  • Gemäß einem Ausführungsbeispiel kann die Sicherheitseinrichtung ein Interface zu einer oder mehreren Sicherheitskomponenten in einer Funktionale-Sicherheit-Einheit aufweisen, wobei die Datensicherheitseinheit eingerichtet ist, ein oder mehrere Warnsignale der ein oder mehreren Sicherheitskomponenten in der Funktionale-Sicherheit- Einheit auf vorbestimmte Muster, die indikativ für einen Sicherheitsangriff sind, zu analysieren. Die Datensicherheitseinheit macht damit aktiven Nutzen der in der funktionalen Sicherheitsdomäne beobachteten Sicherheitshinweise, wobei bei zum Beispiel ein wiederkehrendes Fehler/Warnsignal und/oder gleichzeitig auftretende Fehler/Warnsignale, ein Indiz für einen gezielten Angriff auf Daten sein kann, da ein Hacker meistens mehrere Versuche braucht, um sich in Zugang zu Daten zu verschaffen.
  • Weiterhin wird ein Verfahren zum Betreiben einer Sicherheitseinrichtung zur Sicherung von Daten, Datenkommunikation, Informationen, und funktioneller Blöcke einer Steuereinheit vorgeschlagen. Das Verfahren umfasst zumindest das Betreiben einer ersten Sicherheitskomponente einer Sicherheitseinheit in einem ersten Betriebsmodus und das Überwachen der ersten Sicherheitskomponente mittels einer Überwachungseinheit zum Detektieren eines Fehlers in der ersten Sicherheitskomponente. Die Überwachungseinheit kommuniziert dabei mit einer zweiten Sicherheitskomponente der Sicherheitseinheit und ist in der zweiten Sicherheitskomponente angeordnet. Das Verfahren umfasst weiterhin das Ausgeben eines Antwortsignals, welches von der zweiten Sicherheitskomponente ausgeht, wenn ein Fehler in der ersten Sicherheitskomponente durch die Überwachungseinheit detektiert wird. Dies hat unter anderem den Vorteil, dass die Sicherheitseinheit mittels der zweiten Sicherheitskomponente dadurch, dass diese von der ersten Sicherheitskomponente getrennt ist, vollständig selbständig funktioniert, und somit immer einen Hinweis ausgeben kann, wenn ein Sicherheitsfehler vorliegt.
  • Weiterhin kann vorgesehen sein, dass die zweite Sicherheitskomponente in einem Hochverfügbarkeitsmodus betrieben wird und die erste Sicherheitskomponente erneut gestartet wird, wenn ein Fehler in der ersten Sicherheitskomponente durch die Überwachungseinheit detektiert wird. Die Überwachungseinheit kann dabei den Neustart der ersten Sicherheitskomponente überwachen und kann den Betrieb in dem ersten Betriebsmodus entsprechend nach dem Neustart erneut freigeben, sofern keine Fehler detektiert werden.
  • In dem Verfahren können weiterhin weitere Verfahrensschritte vorgesehen sein, welche den beschriebenen Funktionen der erfindungsgemäßen Sicherheitseinrichtung entsprechen.
  • Figurenliste
  • Bevorzugte weitere Ausführungsformen der Erfindung werden durch die nachfolgende Beschreibung der Figuren näher erläutert. Dabei wird in den Figuren Folgendes gezeigt:
    • 1 zeigt eine schematische Darstellung einer ersten Sicherheitseinheit mit einer Überwachungseinheit,
    • 2 zeigt eine schematische Darstellung einer ersten Sicherheitseinheit mit gespiegelten Überwachungseinheiten und einer asymmetrischen Ausbildung,
    • 3 zeigt eine schematische Darstellung einer ersten Sicherheitseinheit wie in 2, mit Verschlüsselungseinheiten und Pads oder Pins für ein Antwortsignal,
    • 4 zeigt eine schematische Darstellung einer ersten Sicherheitseinheit, wobei die Sicherheitskomponenten Unterkomponenten aufweisen,
    • 5A zeigt eine schematische Darstellung einer ersten Sicherheitseinheit, wobei die Sicherheitseinrichtung als Sicherheitsmanagementeinheit ausgebildet ist,
    • 5B zeigt eine schematische Darstellung eines funktionellen Blocks, welcher als Satellitenverschlüsselungseinheit ausgebildet ist, und
    • 6 zeigt eine schematische Darstellung einer ersten Sicherheitseinheit und einer zweiten Sicherheitseinheit, welche zusammen eine Sicherheitseinrichtung bilden.
  • Detaillierte Beschreibung bevorzugter Ausführungsbeispiele
  • Im Folgenden werden bevorzugte Ausführungsbeispiele anhand der Figuren beschrieben. Dabei werden gleiche, ähnliche oder gleichwirkende Elemente in den unterschiedlichen Figuren mit identischen Bezugszeichen versehen. Auf eine wiederholte Beschreibung dieser Elemente wird teilweise verzichtet, um Redundanzen zu vermeiden.
  • In 1 ist schematisch eine erste Sicherheitseinheit 10 dargestellt. Die Sicherheitseinheit 10 ist vorliegend in einer Sicherheitseinrichtung 100 angeordnet und umfasst eine erste Sicherheitskomponente 1 und eine zweite Sicherheitskomponente 2. Die Sicherheitseinheit 10 dient zur Sicherung von Daten und Informationen und ist entsprechend in einer Datensicherheitsdomäne der Sicherheitseinrichtung 100 angeordnet, wobei Sicherheitskomponenten 1, 2 zusammen die Kernsicherheitskomponenten bilden. Mit anderen Worten bilden die Sicherheitskomponenten 1, 2 einen sogenannten „root of trust“, sodass dies die Komponenten sind, welche von einer Steuervorrichtung grundsätzlich als vertrauenswürdig und zuverlässig angesehen werden. Die erste Sicherheitskomponente 1 ermöglicht die Sicherheitsfunktion der Sicherheitseinheit 10 in einem ersten Betriebsmodus, z. B. einem Normalbetrieb, während die zweite Sicherheitskomponente 2 die Sicherheitsfunktion der Sicherheitseinheit 10 in einem zweiten Betriebsmodus, z. B. einem Hochverfügbarkeitsmodus ermöglicht. Die Sicherheitseinrichtung 100 kann als Hardware implementiert sein, beispielsweise als Teil eines Mikroprozessors, eines Schaltkreises, einer elektronischen Kontrolleinheit, auch ECU („electronic control unit“) genannt, oder auch zumindest teilweise als Software implementiert sein, beispielsweise in einer vorgegebenen und definierten Domäne.
  • Die zweite Sicherheitskomponente 2 weist eine Überwachungseinheit 2A auf, welche in der zweiten Sicherheitskomponente 2 angeordnet ist und damit kommunikativ verbunden ist. Die Überwachungseinheit 2A ist dazu eingerichtet, die erste Sicherheitskomponente 1 auf das Vorliegen von Fehlern zu überwachen bzw. zu prüfen, was mit dem Pfeil schematisch dargestellt ist. Wird ein Fehler detektiert, so ist die zweite Sicherheitskomponente 2 dazu eingerichtet, ein Antwortsignal 2B auszugeben. Dieses Antwortsignal 2B ist bevorzugt außerhalb bzw. extern von der Sicherheitseinrichtung 100 und einer Steuervorrichtung (nicht gezeigt) angeordnet. Es ist aber auch möglich, dass das Antwortsignal 2B an eine Einheit innerhalb der Sicherheitseinrichtung 100 übermittelt wird. Das Antwortsignal kann beispielsweise einen Warnhinweis aufweisen, beispielsweise in der Form eines Spannungs- oder Stromsignals.
  • Die erste und zweite Sicherheitskomponente 1, 2 sind hier symmetrisch ausgebildet. Dies bedeutet, dass die zweite Sicherheitskomponente 2 alle Funktionen der ersten Sicherheitskomponente 1 erfüllen kann. Sollte ein Fehler in der ersten Sicherheitskomponente 1 detektiert werden, so kann die Sicherheitseinheit 10 von einem Normalbetriebsmodus in den Hochverfügbarkeitsmodus wechseln, wobei die zweite Sicherheitskomponente 2 die Sicherheitsfunktionen der Sicherheitskomponente 1 übernimmt. In dem Hochverfügbarkeitsmodus sind dabei alle Funktionen der ersten Sicherheitskomponente 1 im ersten Betriebsmodus verfügbar, sodass ein Benutzer grundsätzlich keine oder kaum eine Beeinträchtigung verspürt, da die Funktionalität der ersten Sicherheitskomponente 1 auch bei deren Ausfall noch verfügbar ist.
  • Alternativ können die Sicherheitskomponenten 1, 2 jedoch auch asymmetrisch ausgebildet sein, wie in 2 schematisch gezeigt. Die zweite Sicherheitskomponente 2 umfasst hier weniger und/oder andere Funktionen als die erste Sicherheitskomponente 1, sodass bei Betrieb in dem Hochverfügbarkeitsmodus weniger und/oder andere Funktionen verfügbar sind als bei Betrieb der ersten Sicherheitskomponente 1 im ersten Betriebsmodus.
  • Ebenfalls ist in dieser Ausführungsform eine zweite Überwachungseinheit 1A in der ersten Sicherheitskomponente 1 angeordnet. Die zweite Überwachungseinheit 1A hat die gleiche Wirkung wie die erste Überwachungseinheit 2A, sodass die Sicherheitskomponenten 1, 2 sich gegenseitig überwachen können, wie mit den beiden Pfeilen dargestellt. Sollte mithin ein Fehler in der zweiten Sicherheitskomponente 2 von der zweiten Überwachungseinheit 1A detektiert werden, so wird dies an die erste Sicherheitskomponente 1 übermittelt und ein Antwortsignal 1B ausgegeben. Folglich wird einer, der Sicherheitseinheit 100 übergeordneten Einheit, z.B. einer ECU (nicht gezeigt) signalisiert, dass ein Fehler aufgetreten ist. Mit der Signalisierung an die ECU hat diese Möglichkeiten zu reagieren. Eine solche Reaktion kann ein Abschalten oder Neustarten der ausgefallenen Sicherheitskomponente 1, 2 ebenso umfassen wie ein Betreiben in einem Safe mode mit reduziertem Funktionsumfang. Obwohl die gegenseitige Überwachung in 2 für Sicherheitskomponenten mit asymmetrischer Funktionalität gezeigt ist, kann diese Überwachung ebenfalls für die Sicherheitskomponenten 1, 2 vorgesehen sein, welche symmetrisch ausgebildet bzw. eine symmetrische Funktionalität aufweisen. Eine gegenseitige Überwachung mit symmetrischer Funktionalität ist beispielsweise in 4 gezeigt.
  • In 3 ist die Sicherheitseinheit 10 ähnlich wie in 2 ausgebildet und in einer Steuervorrichtung 200 angeordnet. Die Steuervorrichtung 200 ist vorliegend eine ECU. In dieser Ausführungsform kann das Antwortsignal 1B, 2B in einer Verschlüsselungseinheit 1B.1, 2B.1 der jeweiligen Sicherheitskomponenten 1, 2 verschlüsselt werden, bevor sie als verschlüsselte Antwortsignale 1BV, 2BV übermittelt werden. Vorzugsweise erfolgt die Übermittlung der verschlüsselten Antwortsignale 1BV, 2BV an eine außerhalb der Steuervorrichtung 200 angeordnete Einheit. In der vorliegenden Offenbarung umfasst der Begriff „verschlüsselte Antwortsignale“ sowohl signierte Signale, verschlüsselte Signale, als auch signierte und verschlüsselte Signale gleichermaßen. Die Verschlüsselungseinheit 1B.1, 2B.1 ist hier jeweils außerhalb der Sicherheitseinrichtung 100 und innerhalb der Steuervorrichtung 200 angeordnet. Es kann jedoch auch vorgesehen sein, dass die jeweilige Verschlüsselungseinheit 1B.1, 2B.1 in der Sicherheitseinrichtung 100 oder sogar in der jeweiligen Sicherheitskomponente 1, 2 angeordnet ist.
  • Nach erfolgreicher Verschlüsselung werden die Daten dann über ein Pad oder einen Pin 1B.2, 2B.2 an eine Einheit außerhalb der ECU 200übermittelt. Die Pads und Pins 1B.2, 2B.2 bilden eine sichere und bestimmte Kommunikationsverbindung, wodurch die Sicherheit und auch die Zuverlässigkeit der Sicherheitskomponenten 1, 2 und der ECU 200 weiter verbessert werden.
  • Obwohl die Verschlüsselung hier mit den Verschlüsselungseinheiten 1B.1, 2B.1 dargestellt ist, ist dies nicht zwingend erforderlich. Folglich ist es auch möglich, das Antwortsignal 1B, 2B direkt an eine externe Einheit über die Pads oder Pins 1B.2, 2B.2 zu übermitteln, ohne dass Verschlüsselungseinheiten 1B.1, 2B.1 vorgesehen sind. Mit anderen Worten, können die Pads oder Pins 1B.2, 2B.2 auch in Verbindung mit den in 1 und 2 gezeigten Ausführungsformen Verwendung finden.
  • Ein Fachmann wird verstehen, dass wenngleich in 3 einzelne Pads oder Pins 1B.2, 2B.2 der jeweiligen Sicherheitskomponente 1, 2 zugeordnet sind, dies nur beispielhaft zu verstehen ist. Selbstverständlich können auch mehr als ein Pin oder Pad 1B.2, 2B.2 einer der Sicherheitskomponenten 1, 2 zugeordnet sein. Eine derartige Zuordnung wäre z.B. von Interesse wenn die Antwortsignale 1B, 2B als differentielle Signale übertragen werden sollen.
  • In 4 sind weitere Ausführungsformen der Sicherheitskomponenten 1, 2 dargestellt, welche alternativ oder zusätzlich zueinander innerhalb einer Sicherheitseinrichtung 100 vorgesehen sein können. Vorliegend weisen die Sicherheitskomponenten 1, 2 Unterkomponenten auf. So können die entsprechenden Unterkomponenten der Sicherheitskomponenten 1, 2 bezüglich ihrer jeweils bereitgestellten Funktionalität symmetrisch zueinander ausgebildet sein, wie mit den Unterkomponenten 1.1 und 2.1 dargestellt und durch deren identische Dimensionierung in 4 angedeutet. Die symmetrischen Unterkomponenten 1.1 und 2.1 weisen jeweils eine bereits vorstehend ausführlich beschriebene Überwachungseinheit 1.1A, 2.1A auf. Durch die symmetrische Funktionalität der Unterkomponenten 1.1, 2.1 bilden die Unterkomponenten 1.1 und 2.1 funktionell einen Redundanzblock. Denn sowohl im ersten Betriebsmodus als auch in dem Hochverfügbarkeitsmodus steht die volle Funktionalität der Unterkomponenten 1.1 und 2.1 bereit
  • Es ist jedoch auch möglich, dass die Unterkomponenten asymmetrisch ausgebildet sind, wie mit den Unterkomponenten 1.2, 2.2 anhand der unterschiedlichen Größe dargestellt in 4. Weiterhin kann, wie für diese Unterkomponenten 1.2, 2.2 dargestellt, die Überwachung asymmetrisch sein, sodass die Überwachungseinheit 2.2A der Unterkomponente 2.2 die Unterkomponente 1.2 vollständig überwachen kann, die Überwachungseinheit 1.2A der Unterkomponente 1.2 jedoch nur einen funktionellen Teilabschnitt der Unterkomponente 2.2 überwachen kann. Mit anderen Worten, die Überwachungseinheit 1.2A der Unterkomponente 1.2 kann nur eine Auswahl der Funktionalität der Unterkomponente 2.2 bereitstellen.
  • Eine Überwachung durch die asymmetrischen Überwachungseinheiten 1.2A, 2.2A kann zum Beispiel von Interesse sein, um durch die Überwachungseinheit 2.2a im Hochverfügbarkeitsmodus nur solche Funktionen der ersten Unterkomponente 1.2 zu überwachen, die auch im Hochverfügbarkeitsmodus durch die zweite Unterkomponente 2.2 zur Verfügung gestellt werden. Aufgrund höherer Kosten oder anderer Beschränkungen für Funktionalität im Hochverfügbarkeitsmodus der zweiten Unterkomponente 2.2 kann es günstig sein, die zweite Unterkomponente 2.2 und auch die Überwachungseinheit 2.2 im Hochverfügbarkeitsmodus hinsichtlich ihrer Funktionalität zu beschränken. Durch die asymmetrische Auslegung der Überwachungseinheit 1.2A, 2.2A bilden erste und zweite Unterkomponente 1.1, 2.2 einen Redundanzblock bezogen auf die im Hochverfügbarkeitsmodus bereitgestellte Funktionalität der Unterkomponente 2.2, wie im Zusammenhang mit Fig .3 erläutert.
  • Alternativ zu einer symmetrischen Ausbildung der Unterkomponenten 1.1, 2.1 oder einer asymmetrischen Ausbildung der Unterkomponenten 1.2, 2.2, können jedoch auch getrennte Unterkomponenten vorgesehen sein. Dies ist mit den Unterkomponenten 1.3, 2.4 in 4 dargestellt. Die Unterkomponente 1.3 ist nur in der ersten Sicherheitskomponente 1 vorgesehen, während die Unterkomponente 2.4 nur in der zweiten Sicherheitskomponente 2 vorgesehen ist. Eine gegenseitige Überwachung ist hier nicht vorgesehen, zumal verschiedene Funktionen überwacht werden müssten. Dies ist jedoch ebenfalls möglich (nicht gezeigt). Folglich sind hier in einem Normalbetrieb und einem Hochverfügbarkeitsbetrieb unterschiedliche Sicherheitsfunktionen vorhanden, die abhängig vom Sicherheitsbedarf einer Anwendung gewählt werden können.
  • Ebenfalls kann der vorstehend beschriebene Redundanzblock auch innerhalb nur einer Sicherheitskomponente vorgesehen sein. Dies ist in 4 in der ersten Sicherheitskomponente 1 für Unterkomponenten 1.5, 2.6 mit den entsprechenden Überwachungseinheiten 1.5A, 2.6A dargestellt. Die Unterkomponenten 1.5, 2.6 können vorliegend unterschiedlichen Spannungsdomänen oder Taktdomänen zugeordnet sein, sodass auch hier eine selbständige oder semi-autonome Sicherheitsfunktion vorgesehen ist. Durch Bereitstellung der Unterkomponenten 1.5, 2.6 in verschiedenen Spannungs- oder Taktdomänen kann ein Redundanzblock in Bezug auf eine Spannungsversorgung oder eine Taktfrequenz gegeben werden. Allerdings steht dieser „horizontale“ Redundanzblock der Unterkomponenten 1.5, 2.6 nur innerhalb eines Betriebsmodus zur Verfügung.
  • In 5A ist die Sicherheitseinheit 10 in der Sicherheitseinrichtung 100 angeordnet, wobei die Sicherheitseinrichtung 100 als Sicherheitsmanagementeinheit konfiguriert bzw. ausgebildet ist. Die Sicherheitsmanagementeinheit 100 wird dabei bevorzugt von einer Unterkomponente, wie in 4 gezeigt, gebildet, sodass die Sicherheitsmanagementeinheit 100 eine Hardwarekomponente in der Steuervorrichtung (nicht gezeigt) bildet. Die Sicherheitskomponenten 1, 2 und die Überwachungseinheiten 1A, 2A der Sicherheitskomponenten 1, 2 sind dabei ähnlich wie in den 2 bis 4 konfiguriert bzw. ausgebildet.
  • Durch die zusätzliche Managementfunktion sind die Sicherheitskomponenten 1, 2 dazu eingerichtet, Warnsignale 1D, 1E, 2D, 2E zu empfangen. Die Warnsignale 1D, 1E, 2D, 2E können solche Warnungen, Fehlerereignisse oder Sicherheitsfehlerereignisse umfassen, die sich auf fehlerhafte Daten, fehlerhafte oder korrumpierte Datenkommunikation, und/oder korrumpierte oder fehlerhafte Informationen beziehen. Dabei ist weiter zu beachten, dass solche Warnsignale auch verwendet werden können, um zu signalisieren, dass ein funktioneller Block nicht mehr zuverlässig arbeitet, was andeutet, dass dessen funktionelle Zuverlässigkeit - auch als funktionelle Sicherheit bezeichnet - beeinträchtigt oder nicht mehr gegeben ist.
  • Die Sicherheitskomponenten 1,2 in 5A sind dazu eingerichtet Sicherheitsfehlerereignisse 1D, 1E, 1F, 2D, 2E, 2F zu empfangen, wie mit den entsprechenden Pfeilen dargestellt.
  • Es kann in einer Ausführungsform gemäß 5A vorgesehen sein, dass Warnsignale sowohl von der Sicherheitseinrichtung 100 oder Steuervorrichtung ECU - jedoch außerhalb der Sicherheitseinheit 10 - empfangen werden können als auch von innerhalb der Sicherheitseinrichtung 100 oder Steuervorrichtung ECU empfangen werden können, wie in 5A dargestellt und im Folgenden erläutert wird.
  • So kann das Warnsignal 1E von der Sicherheitseinrichtung 100 empfangen und an die erste Sicherheitseinheit 10 weitergeleitet und dort an die erste Sicherheitskomponente 1 weitergereicht werden. Das Warnsignal 2E wird von der Sicherheitseinrichtung 100 empfangen und an die erste Sicherheitseinheit 10 weitergeleitet und dort an die zweite Sicherheitskomponente 2 weitergereicht. Ein Empfang des Warnsignals 1E ist im Normalbetrieb möglich, während ein Empfang des Warnsignals 2E auch im Hochverfügbarkeitsmodus noch möglich ist.
  • Die Warnsignale 1D, 1F werden hingegen innerhalb der Sicherheitseinrichtung 100 oder Steuervorrichtung ECU (nicht gezeigt) - jedoch außerhalb der ersten Sicherheitseinheit 10 - erzeugt, an die erste Sicherheitseinheit 10 übergeben und dort an die erste Sicherheitskomponente 1 weitergereicht. Die Warnsignale 1D, 1F können im Normalbetrieb erzeugt und empfangen werden, nicht jedoch im Hochverfügbarkeitsmodus. Die Warnsignale 1D, 1F können sich auf Hinweise zur funktionellen Sicherheit einzelner Funktionen in der Domäne des Normalbetriebs beziehen. Die durch Hinweise zur funktionalen Sicherheit 1D, 1F geschützten Funktionen werden typischerweise nicht mehr innerhalb der Sicherheitseinheit 10 bereitgestellt.
  • Ebenso werden die Warnsignale 2D, 2F innerhalb der Sicherheitseinrichtung 100 - jedoch außerhalb der ersten Sicherheitseinheit 10 - erzeugt, an die erste Sicherheitseinheit 10 übergeben und dort an die zweite Sicherheitskomponente 2 weitergereicht. Die Warnsignale 2D, 2F können im Hochverfügbarkeitsbetrieb empfangen werden, nicht jedoch im Normalbetrieb. Die Warnsignale 2D, 2F können sich auf Hinweise zur funktionellen Sicherheit einzelner Funktionen in der Domäne des Hochverfügbarkeitsmodus beziehen. Die durch Warnsignale zur funktionalen Sicherheit 2D, 2F geschützten Funktionen werden typischerweise nicht mehr innerhalb der Sicherheitseinheit 10 bereitgestellt. Somit können die Warnsignale sowohl interne als auch globale bzw. externe Hinweise umfassen.
  • Die Sicherheitsmanagementeinheit 100 ist weiterhin dazu eingerichtet, die Warnsignale 1D, 1E, 1F, 2D, 2E, 2F zu verarbeiten und mittels der jeweiligen Sicherheitskomponente 1, 2 ein entsprechendes Antwortsignal 1B, 1C, 2B, 2C auszugeben. Das Antwortsignal 1B, 1C, 2B, 2C kann von einem Benutzer konfigurierbar und kann an eine Einheit in der Sicherheitseinrichtung 100, wie mit den Pfeilen 1C, 2C gezeigt, in der Steuervorrichtung und/oder an eine Einheit außerhalb der Steuervorrichtung, wie mit den Pfeilen 1B, 2B gezeigt, übermittelt werden. Obwohl hier nicht weiter im Detail gezeigt, kann das Antwortsignal weiterhin über eine Verschlüsselungseinheit und/oder einen Pin, wie beschrieben und gezeigt in 3, an eine entsprechende Einheit in der Sicherheitseinrichtung 100, in der Steuervorrichtung und/oder außerhalb der Steuervorrichtung übermittelt werden.
  • Auch für die in 5A gezeigten Sicherheitskomponenten 1, 2 ist eine gegenseitige Überwachung möglich, wie bereits im Zusammenhang mit 1-4 erläutert. So kann die Überwachung der Sicherheitskomponenten 1, 2 durch Überwachungseinheiten 1A, 2A erfolgen, wobei jeder der Sicherheitskomponenten 1, 2 eine der Überwachungseinheiten 1A, 2A zugeordnet ist. Wenngleich die in 5A gezeigten Überwachungseinheiten 1A, 2A als asymmetrisch gezeigt sind, könnten sie - je nach Bedarf - auch symmetrisch ausgebildet sein.
  • Wie mit den Pfeilen 1E, 2E dargestellt, können die Sicherheitsfehlerereignisse auch globale Sicherheitsfehlerereignisse bezüglich der Datensicherheit und Cybersicherheit umfassen. Beispielsweise kann ein Monitor oder ein funktioneller Block vorgesehen sein, welcher außerhalb der Sicherheitseinrichtung oder Datensicherheitsdomäne und innerhalb der Steuervorrichtung angeordnet ist. Ein solcher funktioneller Block ist gesondert in 5B detailliert dargestellt. Der funktionelle Block ist vorliegend als Satellitenverschlüsselungseinheit 30 ausgebildet. Dabei ist die Satellitenverschlüsselungseinheit 30 um einen Kommunikationsanschluss 32 oder COM („communication port“) gebildet, welcher das Signieren, die Verschlüsselung, Entschlüsselung, Authentifizierung und/oder authentifizierte Verschlüsselung von assoziierten Daten mittels einem in einem Schlüsselspeicher 35 gespeicherten Schlüssel und einem symmetrischen Beschleuniger 34 ermöglicht. Dazu weist die Satellitenverschlüsselungseinheit weiter eine Datensenke oder Quelle 31 auf, welche eine Schnittstelle mit dem COM 32 bildet.
  • Der COM 32 kann mittels eines Pins 36 nach außen kommunizieren, Daten empfangen und/oder mit einer externen Einheit (nicht gezeigt) verbunden sein. Die Datensenke 31 kommuniziert weiterhin mit einer Entscheidungseinheit 33, wobei die Entscheidungseinheit 33 dazu eingerichtet ist, die Satellitenverschlüsselungseinheit 30 zu konfigurieren und einen Datenstrom innerhalb der Satellitenverschlüsselungseinheit 30 zu kontrollieren. Wie bereits im Zusammenhang mit der Ausführungsform von 3 diskutiert könnte der Pin 36 auch in Form von zwei Pins oder Kontaktpunkten ausgelegt sein, was bei der Übertragung der (verschlüsselten) Antwortsignale in differentieller Form von Interesse sein kann.
  • Die Entscheidungseinheit 33 ist weiterhin dazu eingerichtet, Fehlerereignisse beim Signieren, Verschlüsseln, signierten Verschlüsseln unter Verwendung eines Schlüsselspeichers 35 und eines Hardwarebeschleunigers 34 zu detektieren. Die Fehlererkennung durch die Entscheidungseinheit 33 ist gleichermaßen für von der Datenquelle 31 erzeugte Daten als auch für durch die Datensenke 31 empfangene Daten möglich.
  • Insbesondere ist die Entscheidungseinheit 33 in der Lage das Verhalten der Datensenke 31 zu überwachen. Durch diese Überwachung kann erkannt werden, wenn über eine mit der Datensenke 31 verbundene Schnittstelle 32 mehr Daten als erwartet empfangen werden. Für eine solche Abweichung kann die Entscheidungseinheit 33 ein Warnsignal 1E, 2E an die erste Sicherheitseinheit 10 übermitteln. Daraufhin könnte die erste Sicherheitseinheit 10 entscheiden, die Schnittstelle 32 abzuschalten, um einem vermuteten Angreifer nicht weiter diese Angriffsfläche zu bieten.
  • In 6 ist neben der ersten Sicherheitseinheit 10 eine zweite Sicherheitseinheit 20 vorgesehen, welche zusammen eine Sicherheitseinrichtung 100 bilden. Die zweite Sicherheitseinheit 20 ist in einer Domäne angeordnet, welche die funktionelle Sicherheit der Steuervorrichtung 200 betrifft, während die erste Sicherheitseinheit 10 in der oben beschriebenen Datensicherheitsdomäne angeordnet ist. Die Sicherheitseinrichtung 100 ist in der Ausführungsform gemäß 6 als Sicherheitsmanagementeinheit eingerichtet, sodass die zweite Sicherheitseinheit 20 eine funktionelle Sicherheitsmanagementeinheit, auch bekannt als „safety management unit“ oder SMU, und die erste Sicherheitseinheit 10 eine Datensicherheitsmanagementeinheit, nachfolgend auch „security management unit“ oder SECMU, bilden. Mit anderen Worten ist die erste Sicherheitseinheit 10 für ein Absichern von Daten vor unberechtigtem Zugriff in einer Sicherheitsdomäne verantwortlich, wie bereits im Zusammenhang mit 5A erläutert.
  • Die zweite Sicherheitseinheit 20 ist im Gegensatz dazu dafür verantwortlich, einzelne funktionelle Blöcke, deren Operation im Rahmen einer funktionellen Sicherheit zu gewährleisten ist, abzusichern. Die erste Sicherheitseinheit 10 kann die gleichen Funktionen aufweisen wie die in 5A gezeigte Sicherheitseinheit 10, sodass unterschiedliche Warnsignale bzw. Sicherheitsfehlerereignisse 1D, 1E, 1F, 2D, 2E, 2F von den jeweiligen Sicherheitskomponenten 1, 2 empfangen werden können. Im Unterschied zur Darstellung in 5A sind jedoch die Sicherheitsfehlerereignisse 1E, 2E nicht außerhalb der Sicherheitseinrichtung 100 erzeugt worden, sondern außerhalb der ersten Sicherheitseinheit 10 und innerhalb der zweiten Sicherheitseinheit 20. Damit kann die zweite Sicherheitseinheit 20 zur Quelle von Sicherheitsfehlerereignissen 1E, 2E werden, die dadurch Bedeutung für die erste Sicherheitseinheit 10 erlangen.
  • Zum einen ist eine erste Sicherheitseinheit 10 mit Sicherheitskomponenten 1, 2 vorgesehen, um die Datensicherheitsfunktion in einem ersten bzw. zweiten Betriebsmodus zu gewährleisten. Wie in den bisherigen Ausführungsbeispielen auch, ist die erste Sicherheitskomponente 1 ausgelegt für einen Betrieb im Normalbetriebsmodus und steht daher bei alleiniger Verfügbarkeit des Hochverfügbarkeitsbetriebsmodus nicht mehr zur Verfügung. Die erste Sicherheitskomponente 1 kann die Sicherheitsfehlerereignisse 1D, 1E, 1F des Normalbetriebsmodus empfangen.
  • Die zweite Sicherheitskomponente 2 ist hingegen ausgelegt auf einen Betrieb im Hochverfügbarkeitsmodus, der auch dann noch zur Verfügung steht, wenn der Normalbetriebsmodus nicht mehr möglich ist. Die zweite Sicherheitskomponente 2 kann die Sicherheitsfehlerereignisse 2D, 2E, 2F des Hochverfügbarkeitsmodus empfangen.
  • Demgegenüber ist die zweite Sicherheitseinheit 20 mit einer dritten Sicherheitskomponente 3 und einer vierten Sicherheitskomponente 4 vorgesehen, um eine funktionelle Sicherheit und Funktionsfähigkeit von funktionellen Einheiten sicherzustellen. Wie in den bisherigen Ausführungsbeispielen auch, ist die dritte Sicherheitskomponente 3 ausgelegt für einen Betrieb im Normalbetriebsmodus und steht daher bei alleiniger Verfügbarkeit des Hochverfügbarkeitsbetriebsmodus nicht mehr zur Verfügung. Die dritte Sicherheitskomponente 3 kann das Warnsignal 3D des Normalbetriebsmodus empfangen. Dieses ist in 6 als in der zweiten Sicherheitseinheit 20 erzeugt gezeigt. Ohne Einschränkung könnte es jedoch seinen Ursprung auch außerhalb der zweiten Sicherheitseinheit 20, außerhalb der Sicherheitseinrichtung 100, oder sogar außerhalb der ECU haben.
  • Die vierte Sicherheitskomponente 4 ist hingegen ausgelegt auf einen Betrieb im Hochverfügbarkeitsmodus, der auch dann noch zur Verfügung steht, wenn der Normalbetriebsmodus nicht mehr möglich ist. Die vierte Sicherheitskomponente 4 kann das Warnsignal 4D des Hochverfügbarkeitsmodus empfangen. Das Warnsignal 4D ist in 6 als in der zweiten Sicherheitseinheit 20 erzeugt gezeigt. Ohne Einschränkung könnte es jedoch seinen Ursprung auch außerhalb der zweiten Sicherheitseinheit 20, außerhalb der Sicherheitseinrichtung 100, oder sogar außerhalb der ECU haben.
  • Weiterhin können die Warnsignale 3D, 4D, welche funktionelle Sicherheitsaspekte betreffen, von den jeweiligen Sicherheitskomponenten 3, 4 empfangen und verarbeitet werden, sodass die Sicherheitskomponenten 3, 4, ein entsprechendes Antwortsignal ausgeben und an eine andere Einheit übermitteln können, entweder innerhalb der zweiten Sicherheitseinheit 20, wie mit den Pfeilen 3C, 4C gezeigt, oder an eine externe Einheit, welche außerhalb der Sicherheitseinrichtung 100 oder Steuervorrichtung angeordnet ist, wie durch die Pfeile 3B, 4B angedeutet.
  • Weiterhin ist eine Verbindung zwischen den jeweiligen Sicherheitskomponenten 1, 2, 3, 4 vorgesehen. So können Warnhinweise von der ersten Sicherheitskomponente 1 über eine entsprechende Verbindung 10B an die dritte Sicherheitskomponente 3 und von der zweiten Sicherheitskomponente 2 über eine entsprechende Verbindung 10C an die vierte Sicherheitskomponente 4 übermittelt werden. Somit kann beim Vorliegen eines Datensicherheitsfehlers die SMU benachrichtigt werden und der Benutzer entsprechend auf ein Sicherheitsproblem aufmerksam gemacht werden. Weiterhin kann die SMU anordnen, dass die funktionellen Komponenten beschränkt werden. Wenn die Steuervorrichtung eine Einheit in einem Fahrzeug steuert bzw. regelt, kann somit beispielsweise die Geschwindigkeit des Fahrzeugs oder ein zu einem anderen Fahrzeug einzuhaltender Abstand des Fahrzeugs entsprechend geregelt werden.
  • Obwohl dies nicht in der 6 dargestellt wird, kann weiterhin vorgesehen sein, dass die Sicherheitskomponenten 3, 4 der SMU Warnhinweise über eine entsprechende Verbindung an die Sicherheitskomponenten 1, 2 übermittelt werden, um beispielsweise eine erneute oder umfangreichere Datensicherheitsüberwachung bei einem funktionellen Fehler anzuordnen oder die zweite Sicherheitseinheit in einem Hochverfügbarkeitsmodus zu betreiben.
  • Die von den Sicherheitskomponenten 3 und 4 empfangenen Warnhinweise über funktionelle Fehler können auf vordefinierte Muster, das auf eine Sicherheitsattacke hinweist, überprüft werden. So kann zum Beispiel das wiederkehrende Auftreten eines Warnhinweises ein Indikator für einen unberechtigten, externen Zugriff auf in einem Fahrzeug verwendete, z.B. gespeicherte oder kommunizierte, Daten. In einer Ausführungsform können die verschiedenen Warnhinweise der Sicherheitskomponenten zeitlich und/oder über die Sicherheitskomponenten hinweg gebündelt analysiert werden. Eine Analyseeinheit kann z.B. Warnhinweise der Sicherheitskomponente 3 auf eine zeitliche Reihenfolge und/oder ein simultanes Auftreten von Warnhinweisen der Sicherheitskomponenten 3 und 4 untersuchen. Eine analoge Analyse von Warnhinweisen der Sicherheitskomponenten 1, 2 ist ebenfalls möglich, da auch ein Muster der Warnhinweise in der Datensicherheitsdomäne Hinweise auf eine entsprechende Sicherheitsattacke liefern kann. Die Analyseeinheit kann als Teil der Sicherheitseinheit 20 implementiert sein und sowohl die Ausgabe eines Steuersignals, z.B. zur Geschwindigkeitsdrosselung, zur Folge haben, als auch nach Übermittelung an die Sicherheitseinheit 10, zur Ausgabe eines entsprechenden Sicherheitswamhinweises führen. Die Analyseeinheit kann alternativ oder zusätzlich als Teil der Sicherheitseinheit 10 implementiert sein. Die Analyseergebnisse bzw. die resultierenden Warnhinweise können in einem flüchtigen oder nicht-flüchtigen Speicher gespeichert werden und somit weiteren Sicherheitssystemen oder externen Analysen zur Verfügung gestellt werden. Die Analyseeinheit kann im ersten Betriebsmodus als auch im Hochverfügbarkeitsmodus betrieben werden.
  • Gemäß einer Ausführungsform der vorliegenden Anmeldung umfasst eine Sicherheitseinrichtung zur Absicherung einer Steuervorrichtung, bevorzugt einer Steuervorrichtung eines Fahrzeugs eine Datensicherheitseinheit, die eingerichtet ist, einen Warnhinweis auszugeben, wenn sie einen Fehler im Bereich der Datensicherheitsdomäne detektiert; eine Funktionale-Sicherheit-Einheit, die eingerichtet ist ein Warnsignal auszugeben, wenn sie einen Fehler im Bereich der funktionalen Sicherheit detektiert; eine Analyseeinheit, die ausgebildet ist, Warnsignale der Funktionale-Sicherheit-Einheit auf vorbestimmte Muster, die indikativ für einen Sicherheitsangriff im Bereich der Datensicherheitsdomäne sind, zu analysieren.
  • In einer Ausführungsform kann die Analyseeinheit ausgebildet sein, Warnsignale der Funktionale-Sicherheit-Einheit über eine vorbestimmte Zeitspanne zu analysieren.
  • In einer Ausführungsform kann die Funktionale-Sicherheit- Einheit erste und zweite Sicherheitskomponenten aufweisen und die Analyseeinheit ausgebildet sein, Warnsignale der ersten und zweiten Sicherheitskomponenten der Funktionale-Sicherheitseinheit in Kombination auf vorbestimmte Muster, die indikativ für einen Sicherheitsangriff im Bereich der Datensicherheitsdomäne sind, zu analysieren.
  • Ebenfalls kann vorgesehen sein, dass die auszugebenden Antwortsignale bzw. die Übermittlung von Daten an interne oder externe Einheiten über eine Verschlüsselungseinheit und/oder einen Pin verläuft, wie ausführlich zu 3 beschrieben.
  • Weiterhin sind in der Ausführungsform gemäß 6 eine Überwachungseinheit 10A zum Überwachen der ersten Sicherheitseinheit 10 und eine Überwachungseinheit 20A zum Überwachen der zweiten Sicherheitseinheit 20 vorgesehen. Die Überwachungseinheiten 10A, 20A ermöglichen, dass bei einem Ausfall oder gravierenden Fehler oder Defekt in den zu überwachenden Sicherheitseinheiten 10, 20 ein entsprechender Hinweis ausgegeben werden kann. So ist die Überwachungseinheit 10A kommunikativ mit der zweiten - als SMU konfigurierten - Sicherheitseinheit 20 verbunden, sodass die SMU bei einem Defekt oder Ausfall der - als SECMU konfigurierten - ersten Sicherheitseinheit 10 durch die erste Überwachungseinheit 10A darüber informiert wird und die SMU den Benutzer informieren kann und ein vollständiges Zurücksetzen oder Neustarten der SECMU anordnen kann. Der Vorteil einer solchen Überwachungseinheit 10A, 20A ist somit unter anderem, dass zuverlässig signalisiert werden kann und die Verfügbarkeit und Zuverlässigkeit der Steuervorrichtung 200 und gleichzeitig die Sicherheit des Benutzers verbessert werden.
  • Obwohl 6 eine zweite Überwachungseinheit 20A vorsieht, ist diese nicht zwingend erforderlich. Die zweite Überwachungseinheit 20A kann die gleichen Funktionen erfüllen wie die erste Überwachungseinheit 10A und ist kommunikativ mit der SECMU verbunden. Folglich kann auch bei einem gravierenden funktionellen bzw. technischen Fehler signalisiert werden. Die Überwachungseinheit 20A kann beispielsweise die SECMU dazu anweisen, ein Antwortsignal 1B, 2B an eine externe Einheit auszugeben.
  • Merkmale der vorliegenden Offenbarung, insbesondere Sicherheitseinrichtungen 100, Sicherheitseinheiten 10, 20, Überwachungseinheiten 1A, 2A, Sicherheitskomponenten 1, 2, Warnsignale 1D, 1E, 1F, 2D, 2E, 2F und Antwortsignale 1B, 1C, 2B, 2C, ebenso wie verschlüsselte Antwortsignale, eine Entscheidungseinheit 30, ein symmetrischer Beschleuniger 34, ein Schlüsselspeicher 35 können ganz oder teilweise als Hardware oder als Software implementiert werden.
  • Soweit anwendbar, können alle einzelnen Merkmale, die in den Ausführungsbeispielen dargestellt sind, miteinander kombiniert und/oder ausgetauscht werden, ohne den Bereich der Erfindung zu verlassen.
  • Bezugszeichenliste
    • 1
    Erste Sicherheitskomponente
    1A
    Zweite Überwachungseinheit
    1B
    Antwortsignal
    1B.1
    Verschlüsselungseinheit
    1B.2
    Pad oder Pin
    1C
    Antwortsignal
    1D
    Funktionelles Sicherheitsfehlerereignis
    1E
    Sicherheitsfehlerereignis
    1F
    Sicherheitsfehlerereignis
    1.1
    Unterkomponente
    1.1A
    Überwachungseinheit
    1.2
    Unterkomponente
    1.2A
    Überwachungseinheit
    1.3
    Unterkomponente
    1.5
    Unterkomponente
    1.5A
    Überwachungseinheit
    2
    Zweite Sicherheitskomponente
    2A
    Erste Überwachungseinheit
    2B
    Antwortsignal
    2B.1
    Verschlüsselungseinheit
    2B.2
    Pad oder Pin
    2C
    Antwortsignal
    2D
    Funktionelles Sicherheitsfehlerereignis
    2E
    Sicherheitsfehlerereignis
    2F
    Sicherheitsfehlerereignis
    2.1
    Unterkomponente
    2.1A
    Überwachungseinheit
    2.2
    Unterkomponente
    2.2A
    Überwachungseinheit
    2.4
    Unterkomponente
    2.6
    Unterkomponente
    2.6A
    Überwachungseinheit
    3
    Dritte Sicherheitskomponente
    3B
    Antwortsignal
    3C
    Antwortsignal
    3D
    Funktionelles Sicherheitsfehlerereignis
    4
    Vierte Sicherheitskomponente
    4B
    Antwortsignal
    4C
    Antwortsignal
    4D
    Funktionelles Sicherheitsfehlerereignis
    10
    Erste Sicherheitseinheit (Datensicherheitseinheit, auch Data-Secutity-Einheit)
    10A
    Überwachungseinheit der ersten Sicherheitseinheit
    10B
    Warnsignal der ersten Sicherheitseinheit
    10C
    Warnsignal der ersten Sicherheitseinheit
    20
    Zweite Sicherheitseinheit (Funktonale-Sicherheit-Einheit, auch Functional-Safety-Einheit)
    20A
    Überwachungseinheit der zweiten Sicherheitseinheit
    30
    Satellitenverschlüsselungseinheit
    30A
    Daten und Steuerung
    31
    Datensenke oder Quelle
    32
    Kommunikationsanschluss
    33
    Entscheidungseinheit
    34
    Symmetrischer Beschleuniger
    35
    Schlüsselspeicher mit Schlüssel
    36
    Pin
    100
    Sicherheitseinrichtung
    200
    Steuervorrichtung

Claims (21)

  1. Sicherheitseinrichtung (100) zur Absicherung einer Steuervorrichtung (200), bevorzugt einer Steuervorrichtung (200) eines Fahrzeugs, wobei die Sicherheitseinrichtung (100) umfasst: - eine Datensicherheitseinheit (10)mit einer ersten Sicherheitskomponente (1) innerhalb der Datensicherheitseinheit (10) zum Betrieb in einem ersten Betriebsmodus; und - mindestens eine erste Überwachungseinheit (2A) zum Betrieb in einem Hochverfügbarkeitsmodus, welche zum Detektieren eines in der ersten Sicherheitskomponente (1) vorhandenen Fehlers eingerichtet ist; wobei der Hochverfügbarkeitsmodus von dem ersten Betriebsmodus verschieden ist.
  2. Sicherheitseinrichtung (100) gemäß Anspruch 1, wobei die Datensicherheitseinheit (10) weiterhin eine zweite Sicherheitskomponente (2) eingerichtet zum Betrieb in dem Hochverfügbarkeitsmodus umfasst, wobei die erste Überwachsungseinheit (2A) in der zweiten Sicherheitskomponente (2) angeordnet und mit dieser kommunikativ verbunden ist, wobei die zweite Sicherheitskomponente (2) dazu eingerichtet ist, bei einem durch die erste Überwachungseinheit (2A) detektierten Fehler ein erstes Antwortsignal (2B) auszugeben, wobei der Hochverfügbarkeitsmodus unabhängig von dem ersten Betriebsmodus verfügbar ist.
  3. Sicherheitseinrichtung (100) gemäß Anspruch 2, wobei die Sicherheitseinrichtung (100) mindestens eine zweite Überwachungseinheit (1A) zum Detektieren eines in der zweiten Sicherheitskomponente (2) vorhandenen Fehlers umfasst, wobei die zweite Überwachungseinheit (1A) in der ersten Sicherheitskomponente (1) angeordnet ist, und mit der zweiten Sicherheitskomponente (2) kommunikativ verbunden ist, wobei die erste Sicherheitskomponente (1) dazu eingerichtet ist, bei einem durch die zweite Überwachungseinheit (1A) detektierten Fehler ein zweites Antwortsignal (1B) auszugeben.
  4. Sicherheitseinrichtung (100) gemäß Anspruch 2 oder 3, wobei die erste Sicherheitskomponente (1) und die zweite Sicherheitskomponente (2) jeweils dazu eingerichtet sind, das jeweils zugeordnete Antwortsignal (1B, 2B) an eine Einheit außerhalb der Datensicherheitseinheit (10) zu übermitteln.
  5. Sicherheitseinrichtung (100) gemäß einem der Ansprüche 2 bis 4, wobei die Sicherheitskomponenten (1, 2) Kernsicherheitskomponenten bilden und wobei die Sicherheitskomponenten (1, 2) bezüglich ihrer jeweils bereitgestellten Funktionalität symmetrisch oder asymmetrisch ausgebildet sind, wobei die Sicherheitskomponenten (1, 2) bevorzugt konfigurierbar sind, wobei bevorzugt - die erste und zweite Sicherheitskomponente (1, 2) innerhalb der Steuervorrichtung (200) angeordnet sind, - eine Taktdomäne der ersten Sicherheitskomponente (1) verschieden ist von einer zweiten Taktdomäne der zweiten Sicherheitskomponente (2), und/oder - eine Spannungsdomäne der ersten Sicherheitskomponente (1) von einer weiteren Spannungsdomäne der zweiten Sicherheitskomponente (2) getrennt ist.
  6. Sicherheitseinrichtung (100) gemäß einem der Ansprüche 2 bis 5, wobei die zweite Sicherheitskomponente (2) dazu eingerichtet ist, bei einem in der ersten Sicherheitskomponente (1) detektierten Fehler zumindest eine Auswahl einer Funktionalität der ersten Sicherheitskomponente (1) in dem zweiten Betriebsmodus der zweiten Sicherheitskomponente (2) bereitstellen.
  7. Sicherheitseinrichtung (100) gemäß einem der Ansprüche 2 bis 6, wobei die zweite Sicherheitskomponente (2) dazu eingerichtet ist, einen Neustart der ersten Sicherheitskomponente (1) zu initiieren und wobei die erste Überwachsungseinheit (2A) dazu eingerichtet ist, den Neustart der ersten Sicherheitskomponente (1) zu überwachen.
  8. Sicherheitseinrichtung (100) gemäß einem der Ansprüche 2 bis 7, wobei die Datensicherheitseinheit (10) als Sicherheitsmanagementeinheit implementiert ist, wobei die Sicherheitskomponenten (1, 2) dazu eingerichtet sind, mindestens ein Warnsignal (1D, 1E, 1F, 2D, 2E, 2F) von einer kommunikativ verbundenen Einheit zu empfangen, und ein der jeweiligen Sicherheitskomponente (1, 2) zugeordnetes Antwortsignal (1B, 1C, 2B, 2C) basierend auf dem empfangenen Warnsignal (1D, 1E, 1F, 2D, 2E, 2F) auszugeben, und an eine Einheit in der Sicherheitseinrichtung (100), in der Steuervorrichtung (200), und/oder außerhalb der Steuervorrichtung (200) zu übermitteln, wobei das der jeweiligen Sicherheitskomponente (1, 2) zugeordnete Antwortsignal (1B, 1C, 2B, 2C) bevorzugt ein vorgegebenes und/oder konfigurierbares Antwortsignal ist und wobei die Sicherheitskomponenten (1, 2) bevorzugt weiterhin dazu eingerichtet sind, empfangene Warnsignale (1D, 1E, 1F, 2D, 2E, 2F) zu klassifizieren und zu gruppieren.
  9. Sicherheitseinrichtung (100) gemäß Anspruch 8, wobei das mindestens eine Warnsignal (1D, 1E, 1F, 2D, 2E, 2F) ein Sicherheitsfehlerereignis (1E, 1F, 2E, 2F) bezüglich der Sicherung von Datenkommunikation und Informationen in der Steuervorrichtung (200) oder ein funktionelles Fehlerereignis (1D, 2D) in der ersten Sicherheitseinheit (10) ist.
  10. Sicherheitseinrichtung (100) gemäß Anspruch 8 oder 9, wobei die Sicherheitseinrichtung (100) weiterhin zumindest einen Monitor und/oder einen Funktionsblock umfasst, welcher außerhalb einer Sicherheitsdomäne von Datenkommunikation und Informationen der Sicherheitseinrichtung (100) und innerhalb der Sicherheitsvorrichtung (200) angeordnet ist, wobei der Monitor und/oder der Funktionsblock eingerichtet ist, ein Warnsignal (1E, 1F, 2E, 2F) insbesondere ein Sicherheitsfehlerereignis (1E, 1F, 2E, 2F) zu detektieren und an eine Einheit außerhalb der Sicherheitsdomäne zu übermitteln.
  11. Sicherheitseinrichtung (100) gemäß einem der Ansprüche 8 bis 10, wobei die Sicherheitseinrichtung (100) weiterhin eine Funktionale-Sicherheit-Einheit (20), , wobei die Datensicherheitseinheit (10) dazu eingerichtet ist, Warnsignale (1E, 1F, 2E, 2F) der Datensicherheitseinheit (10) als mindestens ein konfigurierbares Warnsignal (10B, 10C) selektiv an die Funktionale-Sicherheit- Einheit (20) zu übermitteln, wobei die Funktionale-Sicherheit-Einheit (20) dazu eingerichtet ist, in Antwort auf den Empfang des mindestens einen konfigurierbaren Warnsignals (10B, 10C) ein konfigurierbares Antwortsignal (3B, 3C, 4B, 4C) auszugeben, und wobei bevorzugt die Funktionale-Sicherheit- Einheit (20) als Sicherheitsmanagementeinheit eingerichtet ist und dazu eingerichtet ist, Sicherheitsfehlerereignisse der Funktionale-Sicherheit-Einheit (20) als konfigurierbares Warnsignal selektiv an die Datensicherheitseinheit (10) zu übermitteln, wobei die Datensicherheitseinheit (10) dazu eingerichtet ist, in Antwort auf den Empfang eines Warnsignals ein konfigurierbares Antwortsignal (1B, 1C, 2B, 2C) auszugeben.
  12. Sicherheitseinrichtung (100) gemäß Anspruch 11, wobei die Funktional-Sicherheit-Einheit (20) eine dritte Sicherheitskomponente (3) zum Betrieb in einem ersten Betriebsmodus und eine vierte Sicherheitskomponente (4) eingerichtet zum Betrieb in einem Hochverfügbarkeitsmodus umfasst, wobei bevorzugt - die dritte und vierte Sicherheitskomponente (3, 4) innerhalb der Steuervorrichtung (200) angeordnet sind, - eine Taktdomäne der dritten Sicherheitskomponente (3) verschieden ist von einer zweiten Taktdomäne der zweiten Sicherheitskomponente (4), und/oder - eine Spannungsdomäne der dritten Sicherheitskomponente (3) von einer weiteren Spannungsdomäne der vierten Sicherheitskomponente (4) getrennt ist, und wobei die Datensicherheitseinheit (10) bevorzugt dazu eingerichtet ist, das Warnsignal (10B, 10C) der Datensicherheitseinheit (10) an die dem Betriebsmodus entsprechende Sicherheitskomponente (3, 4) der Funktionale-Sicherheit- Einheit (20) zu übermitteln, wobei die jeweilige Sicherheitskomponente (3, 4) der Funktionale-Sicherheit-Einheit (20) dazu eingerichtet ist, in Antwort auf den Empfang eines Warnsignals (10B, 10C) ein konfigurierbares Antwortsignal auszugeben (3B, 3C, 4B, 4C).
  13. Sicherheitseinrichtung (100) gemäß Anspruch 11 oder 12, wobei die zweite Sicherheitseinheit (20) mit einer Überwachungseinheit (10A) der Datensicherheitseinheit (10) kommunikativ verbunden ist, wobei die Überwachungseinheit (10A) der Datensicherheitseinheit (10) dazu eingerichtet ist, Sicherheitsfehlerereignisse der Datensicherheitseinheit (10) zu detektieren und an die Funktionale-Sicherheit-Einheit (20) zu übermitteln und wobei die Überwachungseinheit (10A) der Datensicherheitseinheit (10) in einer funktionalen Sicherheitsdomäne der Sicherheitseinrichtung (100) angeordnet ist.
  14. Sicherheitseinrichtung (100) gemäß einem der Ansprüche 11 bis 13, wobei die Datensicherheitseinheit (10) mit einer Überwachungseinheit (20A) der Funktionale-Sicherheit-Einheit (20) kommunikativ verbunden ist, wobei die Überwachungseinheit (20A) zur Überwachung der Funktionale-Sicherheit-Einheit (20) dazu eingerichtet ist, Sicherheitsfehlerereignisse der Funktionale-Sicherheit-Einheit (20) zu detektieren und an die Datensicherheitseinheit (10) zu übermitteln und wobei die Überwachungseinheit (20A) der Funktionale-Sicherheit-Einheit (20) in einer Sicherheitsdomäne von Datenkommunikation und Informationen der Sicherheitseinrichtung (100) angeordnet ist.
  15. Sicherheitseinrichtung (100) gemäß einem der Ansprüche 11 bis 14, wobei die Sicherheitseinrichtung (100) eine dritte Überwachungseinheit zum Betrieb in einem Hochverfügbarkeitsmodus umfasst, wobei die dritte Überwachungseinheit zum Detektieren eines in der dritten Sicherheitskomponente (3) vorhandenen Fehlers eingerichtet und in der vierten Sicherheitskomponente (4) angeordnet und mit dieser kommunikativ verbunden ist, und wobei die vierte Sicherheitskomponente (4) bevorzugt dazu eingerichtet ist, bei einem durch die dritte Überwachungseinheit detektierten Fehler ein drittes Antwortsignal auszugeben, wobei der Hochverfügbarkeitsmodus unabhängig von dem ersten Betriebsmodus verfügbar ist, und wobei die Sicherheitseinrichtung (100) bevorzugt eine vierte Überwachungseinheit zum Detektieren eines in der vierten Sicherheitskomponente (4) vorhandenen Fehlers umfasst, welche mit der dritten Sicherheitskomponente (3) kommunikativ verbunden und darin angeordnet ist.
  16. System, das Folgendes umfasst: - eine Steuervorrichtung (200) zum Betreiben mindestens einer außerhalb der Steuervorrichtung (200) angeordneten Einheit, bevorzugt einer Einheit eines Fahrzeugs; und - eine Sicherheitseinrichtung (100), welche mit der Steuervorrichtung (200) kommunikativ verbunden ist, wobei die Sicherheitseinrichtung (100) eine Sicherheitseinrichtung (100) gemäß einem der Ansprüche 1 bis 15 ist, wobei die Sicherheitseinrichtung (100) dazu eingerichtet ist, die Steuervorrichtung (200) abzusichern.
  17. System gemäß Anspruch 16, wobei die Sicherheitseinrichtung (100) dazu eingerichtet ist, Warnsignale (1E, 2E) von einer Satellitenverschlüsselungseinheit (30) zu empfangen, wobei die Satellitenverschlüsselungseinheit (30) umfasst: - einen Schlüsselspeicher (35), - einen symmetrischen Hardwarebeschleuniger (34), - eine Datensenke oder Datenquelle (31), und - eine Entscheidungseinheit (33), die konfiguriert ist zum Signieren, Verschlüsseln, Authentifizieren, und/oder authentifizierten Verschlüsseln von durch die Datenquelle bereitgestellten oder an der Datensenke (31) empfangenen Daten jeweils unter Verwendung des Hardwarebeschleunigers (34) und des Schlüsselspeichers (35); wobei die Entscheidungseinheit (33) weiter konfiguriert ist, einen Fehler beim Signieren, Verschlüsseln, Authentifizieren, und/oder authentifizierten Verschlüsseln zu erkennen; und ein Warnsignal (1E, 2E) an die Sicherheitseinheit (100) auszugeben.
  18. System gemäß Anspruch 17, wobei die Entscheidungseinheit (33) weiter konfiguriert ist, ein Verhalten der Datensenke zu überwachen, und bei Abweichungen von einem erwarteten Verhalten ein Warnsignal (1E, 2E) an die Sicherheitseinheit (100) auszugeben.
  19. Verfahren zum Betreiben einer Sicherheitseinrichtung (100) zur Sicherung von Daten, Datenkommunikation, Informationen, und funktioneller Blöcke einer Steuereinheit (200), wobei das Verfahren umfasst: - Betreiben einer ersten Sicherheitskomponente (1) einer Sicherheitseinheit (10) in einem ersten Betriebsmodus; - Überwachen der ersten Sicherheitskomponente (1) mittels einer Überwachungseinheit (2A) zum Detektieren eines Fehlers in der ersten Sicherheitskomponente (1), wobei die Überwachungseinheit (2A) mit einer zweiten Sicherheitskomponente (2) der Sicherheitseinheit (10) kommuniziert und in der zweiten Sicherheitskomponente (2) angeordnet ist; - Ausgeben eines Antwortsignals (2B), welches von der zweiten Sicherheitskomponente (2) ausgeht, wenn ein Fehler in der ersten Sicherheitskomponente (1) durch die Überwachungseinheit (2A) detektiert wird.
  20. Verfahren gemäß Anspruch 18, wobei die zweite Sicherheitskomponente (2) in einem Hochverfügbarkeitsmodus betrieben wird und die erste Sicherheitskomponente (1) erneut gestartet wird, wenn ein Fehler in der ersten Sicherheitskomponente (1) durch die Überwachungseinheit (2A) detektiert wird.
  21. Sicherheitseinrichtung (100) gemäß Anspruch 1, ferner aufweisend ein Interface zu einer oder mehreren Sicherheitskomponenten (3, 4) in einer Funktionale-Sicherheit-Einheit (20), wobei die Datensicherheitseinheit (10) eingerichtet ist, ein oder mehrere Warnsignale der ein oder mehreren Sicherheitskomponenten (3, 4) in der Funktionale-Sicherheit-Einheit (20) auf vorbestimmte Muster, die indikativ für einen Sicherheitsangriff sind, zu analysieren.
DE102018120328.4A 2017-08-24 2018-08-21 Sicherheitseinrichtung mit erweiterter Zuverlässigkeit Pending DE102018120328A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US16/108,505 US11227072B2 (en) 2017-08-24 2018-08-22 Security device with extended reliability
US17/403,075 US20210374290A1 (en) 2017-08-24 2021-08-16 Security device with extended reliability

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017119417 2017-08-24
DE102017119417.7 2017-08-24

Publications (1)

Publication Number Publication Date
DE102018120328A1 true DE102018120328A1 (de) 2019-02-28

Family

ID=65321294

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018120328.4A Pending DE102018120328A1 (de) 2017-08-24 2018-08-21 Sicherheitseinrichtung mit erweiterter Zuverlässigkeit

Country Status (2)

Country Link
US (2) US11227072B2 (de)
DE (1) DE102018120328A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111144606A (zh) * 2019-05-17 2020-05-12 深圳市德塔防爆电动汽车有限公司 一种电动车辆的安全失效风险预测方法以及电动车辆

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018100627B4 (de) * 2018-01-12 2019-10-10 Krohne Messtechnik Gmbh Elektrisches Gerät mit einer abgesicherten und einer ungesicherten Funktionseinrichtung
US11023591B2 (en) * 2019-01-14 2021-06-01 Nxp B.V. Data processing system having distributed security controller with local control and method for securing the data processing system
US11502832B2 (en) * 2020-06-04 2022-11-15 PUFsecurity Corporation Electronic device capable of protecting confidential data

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9218236B2 (en) * 2012-10-29 2015-12-22 Infineon Technologies Ag Error signal handling unit, device and method for outputting an error condition signal
US8943303B2 (en) * 2012-07-05 2015-01-27 Infineon Technologies Ag Monitoring circuit with a window watchdog

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111144606A (zh) * 2019-05-17 2020-05-12 深圳市德塔防爆电动汽车有限公司 一种电动车辆的安全失效风险预测方法以及电动车辆

Also Published As

Publication number Publication date
US20190065787A1 (en) 2019-02-28
US20210374290A1 (en) 2021-12-02
US11227072B2 (en) 2022-01-18

Similar Documents

Publication Publication Date Title
DE102018120328A1 (de) Sicherheitseinrichtung mit erweiterter Zuverlässigkeit
EP3501154B1 (de) Bereitstellen einer gesicherten kommunikation innerhalb eines echtzeitfähigen kommunikationsnetzwerkes
EP3001884B1 (de) Verfahren, vorrichtung und system zur überwachung einer sicherheits-netzübergangseinheit
EP3207683B1 (de) Verfahren und vorrichtung zum rückwirkungsfreien erfassen von daten
EP3625950B1 (de) Datenverarbeitungseinrichtung, gesamtvorrichtung und verfahren zum betrieb einer datenverarbeitungseinrichtung oder gesamtvorrichtung
WO2009010277A1 (de) Verfahren und vorrichtung zur administration von computern
EP2847707A1 (de) Verwenden einer (digitalen) puf zum realisieren einer physikalischen degradations-/tampererkennung eines digitalen ics
EP2668607A1 (de) Verfahren zur überwachung eines tamperschutzes sowie überwachungssystem für ein feldgerät mit tamperschutz
EP1742135A1 (de) Schutzsystem für eine Datenverarbeitungsanlage
DE102010043102A1 (de) Verfahren zur manipulationsgesicherten Schlüsselverwaltung
DE102018114739A1 (de) Betriebsprotokoll und -verfahren des Fahrzeugnetzwerks
DE102020114099A1 (de) Funktionale sicherheit über verfolgung-und-fehlerbeseitigung
DE112021000448T5 (de) Elektrische und logische isolierung für systeme auf einem chip
DE102020114133A1 (de) Ips-soc-pll-überwachung und fehlerberichterstattung
DE112017005360T5 (de) Produktherstellungssystem, malware-erkennungssystem, produktherstellungsverfahren und malware-erkennungsverfahren
WO2017167490A1 (de) Reduzieren einer angriffsmöglichkeit auf eine schwachstelle eines gerätes über eine netzwerkzugangsstelle
DE102015202215A1 (de) Vorrichtung und Verfahren zum sicheren Betreiben der Vorrichtung
DE102017103147A1 (de) Alarmabwicklungs-Schaltungsanordnung und Verfahren zur Abwicklung eines Alarms
DE102013108006B4 (de) Kommunikationsanordnung
WO2012126611A1 (de) Detektieren von angriffen auf einen portablen datenträger
EP1675342B1 (de) Vorrichtung und Verfahren zur sicheren Fehlerbehandlung in geschützten Kommunikationsnetzen
DE102013108073B4 (de) Datenverarbeitungsanordnung und verfahren zur datenverarbeitung
EP3813314A1 (de) Sicherungssystem und verfahren zur filterung eines datenverkehrs
DE102004033263A1 (de) Steuer-und Regeleinheit
DE102018102386A1 (de) Verfahren zum Senden von Daten, Verfahren zum Empfangen von Daten, Master-, Slave-, und Master-Slave-System

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication