-
Die Erfindung betrifft ein Computerprogrammprodukt mit modularer Struktur, ein Computersystem mit einer solchen modularen Struktur sowie ein modular strukturiertes Steuerungsmodul.
-
Es ist bekannt, dass beispielsweise die in Flugkörpern verwendeten Digitalprozessoren etwa alle zwei Jahre obsolet werden. Als Ersatz wird in der Regel handelsübliche Rechnerhardware verwendet, die einen sehr hohen Aufwand für Qualifizierung und Zertifizierung erfordern.
-
Aus der deutschen Patentanmeldung
DE 10 2004 061 344 A1 ist beispielsweise ein Verfahren zur sicheren Auslegung eines Systems, die zugehörige Systemkomponente und die Software bekannt. Aufgabe dieser Erfindung war es ebenfalls das Sicherheitsniveau eines Systems auf nachvollziehbare Weise transparent zu machen. Als Lösung wurde vorgeschlagen, jede Systemkomponente mit einem Merkmal auszustatten, das über die Sicherheitsklasse der Systemkomponente aus einer Mehrzahl von Sicherheitsklassen informiert. Die Sicherheitsklassen werden bevorzugt durch Normung festgelegt und erlauben eine quantifizierbare Bestimmung des Sicherheitsniveaus des Systems. Darauf aufbauend wird die Sicherheitsklasse des Systems bestimmt, und zwar bevorzugt während des Produktivbetriebs mittels eines Computerprogramms.
-
Weiter ist aus der Gebrauchsmusterschrift
DE 20 2014 011 088 U1 ein System zur Beurteilung von Ressourcen in einem Computernetzwerk auf Übereinstimmung mit Anforderungen an ein Computersystem offenbart. Das System umfasst einen Prozessor, der für Folgendes konfiguriert ist: Beurteilen einer Übereinstimmung einer Hardware- oder Software-Ressource des Computersystems mit Anforderungen an das Computersystem; Beurteilen einer Übereinstimmung eines oder mehrerer Objekte des Interesses, die mit der Hardware- oder Software-Ressource in Verbindung stehen, mit Anforderungen an die Objekte des Interesses, wobei das eine oder die mehreren Objekte des Interesses Inhalte der Hardware- oder Software-Ressource umfassen, die die Übereinstimmung der Hardware- oder Software-Ressource beeinflussen; und Beurteilen einer Gesamt-Übereinstimmung der Hardware- oder Software-Ressource auf der Grundlage der Übereinstimmung der Hardware- oder Software-Ressource mit den Anforderungen an das Computersystem und der Übereinstimmung des einen oder der mehreren Objekte des Interesses, die mit der Hardware- oder Software-Ressource in Verbindung stehen, mit den Anforderungen an die Objekte des Interesses, wobei das Beurteilen der Gesamt-Übereinstimmung der Hardware- oder Software-Ressource umfasst: Berechnen eines Produkts aus einem Wert der Übereinstimmung der Hardware- oder Software-Ressource mit jeder der Vielzahl von Anforderungen an das Computersystem und einer Summenfunktion von Werten der Übereinstimmung des einen oder der mehreren Objekte des Interesses, die mit der Hardware- oder Software-Ressource in Verbindung stehen, mit jeder der Vielzahl von Anforderungen an die Objekte des Interesses.
-
Abschließend ist aus der europäischen Patentschrift
EP 2 706 478 B1 ein Rechensystem, bekannt, welches eine erste Zentraleinheit (CPU) und eine zweite CPU (104), die mit der ersten CPU und einem Hostprozessor gekoppelt ist, umfasst wobei, in Antwort auf eine Anforderung durch den Hostprozessor, die zweite CPU hochzufahren, die erste CPU dafür konfiguriert ist, ein sicheres Hochfahren der zweiten CPU durchzuführen, das ein Entschlüsseln eines verschlüsselten Codes umfasst, um einen entschlüsselten Code zu generieren, der durch die zweite CPU ausführbar ist, auf den der Hostprozessor aber nicht zugreifen kann, dadurch gekennzeichnet, dass der Hostprozessor den verschlüsselten Code aus einem Flash-Speicher in einen dynamischen Direktzugriffsspeicher (DRAM/Dynamic Random Access Memory) schreibt, wobei der verschlüsselte Code einen erststufigen Code und einen zweitstufigen Code zum Durchführen eines zweistufigen Hochfahrvorgangs umfasst, wobei die erste CPU ferner dafür konfiguriert ist: den entschlüsselten erststufigen Code zur Ausführung durch die zweite CPU zu authentifizieren, und die zweite CPU zu autorisieren, den entschlüsselten erststufigen Code aus einem in der zweiten CPU enthaltenen privaten lokalen Speicher auszuführen.
-
Der Nachteil dieser Systeme und Verfahren liegt darin, dass für den Fall einer Obsoleszenz einer Komponente keine Vorkehrungen getroffen sind diese einfach austauschen zu können ohne eine vollständige Zertifizierung und Qualifizierung des gesamten Systems durchführen zu müssen. Das Problem verstärkt sich, wenn beispielsweise eingeführte Waffensysteme über Jahrzehnte betrieben werden, die Verfügbarkeit der Hard- und Softwarekomponenten, aufgrund immer schneller aufeinander folgender Entwicklungszyklen, jedoch immer kürzer ist.
-
Aufgabe der Erfindung war es daher, ein zertifizierbares und qualifizierbares Computersystem, insbesondere ein Führungs- und Waffeneinsatzsystem, bestehend aus modularer Software und modularer Hardware, herzustellen, welches die zukünftigen Anforderungen an Performance, IT-Sicherheit und funktionaler Sicherheit, sowie günstigen wirtschaftlichen Aspekten in Bezug auf Pflege, Erweiterbarkeit und Obsoleszenz-Bereinigung, erfüllt.
-
Diese Aufgabe wird gelöst durch die kennzeichnenden Merkmale des Hauptanspruchs. Vorteilhafte Ausgestaltungen sind in den Unteransprüchen beschrieben.
-
Der Vorteil der Erfindung liegt darin, dass die Prozessoren eines Computersystems derart angeordnet sind, dass allgemein, erhöht und hoch sicherheitsrelevante Daten den Prozessoren zugeordnet sind. Sofern die Prozessoren oder weitere Bauteile eines Computersystems aufgrund eines Defektes oder aufgrund von Obsoleszenz ausgetauscht werden müssen, wird aufgrund der Architektur einerseits der Validationsaufwand und anderseits die Qualitätsanforderungen festgelegt. Beide Faktoren beeinflussen die Kosten.
-
Sicherheitsrelevante Daten sind zunächst notwendig für einfache Steuerungs- oder Verwaltungsaufgaben eines Systems. Im Allgemeinen nicht mit Rückkopplungen zur Regelung ausgestattet verarbeiten sie Informationen in eine Richtung. Aus diesem Grund können sicherheitsrelevante Daten auch Sensordaten sein, die aufgenommen und zur Auswertung weitergeleitet werden.
-
Erhöht sicherheitsrelevante Daten können beispielsweise Daten eines Regelungssystems sein. Die sicherheitsrelevanten Daten müssen zumindest einer ersten Überprüfung bzw. Plausibilitätsprüfung unterlegen sein. Gleichzeitig können erhöht sicherheitsrelevante Daten auch Daten zur Regelung sein oder Steuerungsdaten zur Weitergabe an Blöcke mit lediglich sicherheitsrelevanten Daten.
-
Zuletzt sind hochsicherheitsrelevante Daten plausibilitätsgeprüfte Daten., die zur Steuerung und Regelung eines Systems notwendig sind. Oder Daten die zur Generierung von erhöht sicherheitsrelevanten Daten bzw. sicherheitsrelevanten Daten genutzt werden. Höchstsicherheitsrelevante Daten werden von Algorithmen der untergeordneten Blöcke verarbeitet.
-
Als Block wird erfindungsgemäß eine in sich geschlossene Einheit von elektronischen Bauelementen verstanden. Dabei kann es sich beispielsweise um Platinen handeln, die über eine Steckverbindung, also eine definierte Schnittstelle verbindbar oder austauschbar sind. Selbstverständlich können Blöcke auch aus mehreren beispielsweise Platinen bestehen, die zunächst untereinander verbunden sind und eine gemeinsame Schnittstelle zur Computerstruktur aufweisen.
-
Ausgeführte Schnittstellen sind z.B. Steckverbindungen mit definierten Pin-Belegungen aber auch Softwareprotokolle, die Daten nach einem definierten Protokoll übertragen.
-
Als handelsübliche Komponenten werden erfindungsgemäß beispielsweise Betriebssysteme bezeichnet, die einfach marktverfügbar sind.
-
Gehärtete Komponenten sind bereinigte und damit speziell auf den Zweck angepasste Hardware, die aber noch allgemeinverfügbare Bauteile verwendet.
-
Einzelgefertigte Komponenten sind für den Zweck zusammengestellte und nur mit den notwendigsten Merkmalen ausgestatte Hardware.
-
Eine vorteilhafte Ausgestaltung ist in Unteranspruch 5 beschrieben. Die Hardware der Blöcke ist als Komponenten unterschiedlicher Güteklassen wie beispielsweise handelsübliche, gehärtete oder einzelgefertigte Komponenten hergestellt. Korrespondierend werden die Blöcke mit Algorithmen zur Verarbeitung von sicherheitsrelevanten, erhöht sicherheitsrelevanten und hochsicherheitsrelevanten Daten versehen. Es entsteht eine qualitative Rangordnung. Dabei sind sowohl Hardwarekomponenten als auch die darauf gespeicherten Algorithmen mit lediglich sicherheitsrelevanten Daten günstig und schnell austauchbar, weil die Validierung der neunen Blöcke nur auf niedriger Ebene erfolgt.
-
Gehärtete Hardwarekomponenten werden für Algorithmen mit erhöhter Sicherheitsrelevanz verwendet. Ein Austausch ist aufgrund der exklusiveren Komponenten teurer und die Validierung erfordert mehr Aufwand, da die Anzahl der Verknüpfungen zu weiteren Hardwarekomponenten umfangreicher ist.
-
Der teuerste und umfangreichste Aufwand zum Austausch von Hardwarekomponenten betrifft die einzelgefertigten Komponenten, auf welchen Algorithmen mit höchster Sicherheitsrelevanz gespeichert sind. Die Algorithmen sind verknüpft mit nahezu allen Hardwarekomponenten des Systems und die Bauteile sind aufgrund ihrer Exklusivität sehr teuer.
-
Anspruch 6 betrifft ein modular strukturiertes Steuerungsmodul, dessen Hardware in unterschiedliche Module geordnet ist. Die Module einer ersten Klasse weisen Komponenten und Algorithmen mit allgemeinerer Sicherheitsrelevanz, die Module der zweiten Klasse Komponenten und Algorithmen mit erhöhter Sicherheitsrelevanz und die Module der dritten Klasse Komponenten und Algorithmen mit hoher Sicherheitsrelevanz auf. Die Klassifizierung erlaubt es Kosten zu sparen, da beim Austausch der Module sowohl die Hardwarekosten als auch die Verifizierung der neuen Module mit ansteigender Klasse zunimmt und durch die strikte Trennung lediglich notwendiger Aufwand betrieben werden muss.
-
Es beschreibt 1 ein erfindungsgemäßes Computersystem in schematischer Darstellung.
-
Es beschreibt Figur ein Computersystem 1 welches in einer ersten Klasse11 erste Hardwaremodule 12 mit gespeicherten Algorithmen niedriger Sicherheitsrelevanz aufweist. Die Hardwaremodule 12 der ersten Klasse 11 weisen eine hohe Anzahl für einfache Systemfunktionen auf. Die zweite Klasse 21 weist zweite Hardwaremodule 22 aus gehärteten Komponenten mit Algorithmen erhöhter Sicherheitsrelevanz auf. Die Komponenten der zweiten Klasse übernehmen Überwachungs- und Steuerungsaufgaben eines höheren Niveaus bzw. einer gehobenen Klasse. Die Hardwaremodule 32 der dritten Klasse 31 übernehmen systemrelevante steuerungs- und regelungsaufgaben mit höchster Sicherheitsrelevanz und sind daher auf den hochwertigsten Bauteilen des Systems gespeichert. Ihre Anzahl ist gering, jedoch ist die Anzahl der Verknüpfung und damit der Komplexität der Schnittstellen mit den Hardwarekomponenten (12. 22) der unteren Klassen (11, 21) am höchsten.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102004061344 A1 [0003]
- DE 202014011088 U1 [0004]
- EP 2706478 B1 [0005]