DE102021201236A1 - Verfahren zum Authentifizieren einer Nachricht einer Recheneinheit, Recheneinheit, Computerprogramm und Fahrzeug - Google Patents

Verfahren zum Authentifizieren einer Nachricht einer Recheneinheit, Recheneinheit, Computerprogramm und Fahrzeug Download PDF

Info

Publication number
DE102021201236A1
DE102021201236A1 DE102021201236.1A DE102021201236A DE102021201236A1 DE 102021201236 A1 DE102021201236 A1 DE 102021201236A1 DE 102021201236 A DE102021201236 A DE 102021201236A DE 102021201236 A1 DE102021201236 A1 DE 102021201236A1
Authority
DE
Germany
Prior art keywords
partition
message
subset
assigned
memory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021201236.1A
Other languages
English (en)
Inventor
Timo Lothspeich
Friedrich Wiemer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102021201236.1A priority Critical patent/DE102021201236A1/de
Priority to CN202210125046.0A priority patent/CN114911607A/zh
Publication of DE102021201236A1 publication Critical patent/DE102021201236A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5061Partitioning or combining of resources
    • G06F9/5077Logical partitioning of resources; Management or configuration of virtualized resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0638Organizing or formatting or addressing of data
    • G06F3/0644Management of space entities, e.g. partitions, extents, pools
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/48Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Human Computer Interaction (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Authentifizieren einer Nachricht einer Recheneinheit, wobei die Recheneinheit mehrere Partitionen, einen Speicher und ein Security-Modul umfasst, wobei in dem Security-Modul kryptographische Schlüssel zum Authentifizieren von Nachrichten abgelegt sind, wobei eine Nachrichten-Authentifizierungs-Routine von einer aktiven Partition gestartet wird, um die Nachricht zu authentifizieren, wobei die Nachrichten-Authentifizierungs-Routine eine für die Authentifizierung zu verwendende Teilmenge der kryptographischen Schlüssel definiert, wobei ein Ergebnis einer unter Verwendung der Teilmenge der kryptographischen Schlüssel durchgeführten Authentifizierung in einem Teilbereich des Speichers abgelegt wird, der der aktiven Partition zugeordnet ist. Die Erfindung betrifft ferner eine Recheneinheit, ein Computerprogramm und ein Kraftfahrzeug.

Description

  • Stand der Technik
  • Kraftfahrzeuge umfassen oftmals eine Vielzahl an Recheneinheiten, wobei üblicherweise für unterschiedliche Domänen, wie z.B. Powertrain (z.B. Motorsteuergerät), Chassis (z.B. ESP, ABS), Fahrerassistenzsysteme (z.B. Abstandfolgetempomat, Spurhalteassistent, ...), Bodycomputer (z.B. Steuerung von Beleuchtung, Scheibenwischer, ...) und Infotainment, mindestens je eine eigene Steuereinheit verwendet wird. Zusätzlich zu dieser je mindestens einen Steuereinheit umfasst eine Domäne oftmals noch weitere untergeordnete Steuereinheiten, Sensoren und Aktuatoren. Die Trennung der einzelnen Domänen bietet unter anderem Sicherheitsvorteile, da ein korrumpiertes Steuergerät einer gewissen Domäne nicht ohne weiteres in die Wirkweisen der anderen Steuergeräte eingreifen kann. So kann beispielsweise erschwert werden, dass das Infotainmentsystem eine Ansteuerung der Bremsen vornimmt, da über geeignete Mechanismen sichergestellt werden kann, dass das Infotainmentsystem sich nicht als Domänencomputer für Chassisfunktionalitäten ausgibt. Die Trennung der einzelnen kraftfahrzeugtypischen Domänen auf unterschiedliche Recheneinheiten leistet also einen wichtigen Beitrag zur Sicherheit von Kraftfahrzeugen.
  • Um die Nachteile der Domänensteuergeräte, insbesondere den hierdurch verursachten hohen Verkabelungsaufwand, zu überwinden, sind Fahrzeuge mit so genannten Zonensteuergeräten angedacht. Hierbei werden Recheneinheiten nach geometrischen Gesichtspunkten auf das Fahrzeug verteilt und die einzelnen Aktuatoren vom jeweils nächstgelegenen Zonensteuergerät angesteuert. So kann beispielsweise vorgesehen sein, ein Zonensteuergerät für die Fahrzeugfront, eines für die Fahrzeugmitte und eines für das Fahrzeugheck vorzusehen. Ebenfalls denkbar sind Architekturen, die für jede Fahrzeugecke (vorne links, vorne rechts, hinten links und hinten rechts) je ein Zonensteuergerät vorsehen. Für Koordinierungsaufgaben kann zusätzlich ein zentraler Fahrzeugrechner vorgesehen sein, der beispielsweise auch die Kommunikation mit fahrzeugexternen Recheneinheiten übernimmt, wie sie im Fall von Updates over the Air (OTA, FOTA, SOTA) auftreten kann.
  • Um die Vorteile dieser Zonenkonzepte vollständig nutzen zu können, werden die Programme, die in klassischen domänenorientierten Architekturen auf je einem Steuergerät laufen, auf die einzelnen Zonensteuergeräte verteilt. Um Wechselwirkungen zwischen den einzelnen Softwareblöcken auf einem Zonensteuergerät zu vermeiden, werden Virtualisierungstechniken verwendet. Auf einem Zonensteuergerät befindet sich dann üblicherweise ein Hypervisor (oder ein Kernel), der eine Schnittstelle zu virtuellen Softwareblöcken, so genannten Partitionen, bereitstellt. Die einzelnen Partitionen auf einem Zonensteuergerät interagieren unmittelbar nur mit dem Hypervisor und nicht untereinander. Der Hypervisor stellt außerdem eine einheitliche Hardwareschnittstelle bereit, sodass die Partitionen nicht direkt auf Hardware, wie z.B. Speicher, zugreifen, sondern solche Zugriffe durch den Hypervisor vornehmen. Ein Zugriff auf ein Security-Modul des Zonensteuergeräts, beispielsweise ein Hardware-Security-Modul (HSM), erfolgt ebenfalls über den Hypervisor.
  • Bei Security-Modulen handelt es sich um dezidierte, üblicherweise in Hardware realisierte Module, in denen kryptographische Operationen in besonders gesicherter Umgebung ausgeführt werden können. Die hierfür benötigten kryptographischen Schlüssel sind in sicheren Speicherbereichen des Security-Moduls abgelegt. Eine Partition, die eine nach extern gerichtete Nachricht authentifizieren möchte, kann eine Nachrichten-Authentifizierungs-Routine starten, mittels derer eine Authentifizierung durch das Security-Modul initiiert wird. Das Ergebnis der zur Authentifizierung durchgeführten Berechnungen wird dann vom Security-Modul über den Hypervisor an die anfragende Partition zurückgegeben, sodass die Nachricht nach extern zusammen mit der Authentifizierungsinformation von der Partition versendet werden kann. Allerdings besteht bei Zonensteuergeräten, die Virtualisierungstechniken zur Trennung der einzelnen Fahrzeugdomänen verwenden, das Problem, dass eine andere Partition die gleiche Nachrichten-Authentifizierungs-Routine starten kann, sodass fälschlicherweise authentifizierte Nachrichten versendet werden können.
  • Zonenkonzepte bieten also den Vorteil, den Verkabelungsaufwand zu minimieren, haben aber den Nachteil, dass trotz Verwendung bekannter Virtualisierungstechniken nicht das Sicherheitsniveau von domänenorientierten E/E-Architekturen in Kraftfahrzeugen erreicht wird.
  • Offenbarung der Erfindung
  • Das erfindungsgemäße Verfahren zum Authentifizieren einer Nachricht einer Recheneinheit, wobei die Recheneinheit mehrere Partitionen, einen Speicher und ein Security-Modul umfasst, wobei in dem Security-Modul kryptographische Schlüssel zum Authentifizieren von Nachrichten abgelegt sind, wobei eine Nachrichten-Authentifizierungs-Routine von einer aktiven Partition gestartet wird, um die Nachricht zu authentifizieren, wobei die Nachrichten-Authentifizierungs-Routine eine für die Authentifizierung zu verwendende Teilmenge der kryptographischen Schlüssel definiert, hat demgegenüber den Vorteil, dass ein Ergebnis einer unter Verwendung der Teilmenge der kryptographischen Schlüssel durchgeführten Authentifizierung in einem Teilbereich des Speichers abgelegt wird, der der aktiven Partition zugeordnet ist.
  • Vorteilhafterweise handelt es sich bei der Nachricht um eine Nachricht, die von der aktiven Partition an einen Empfänger außerhalb der Recheneinheit versendet wird. Der Empfänger kann sich beispielsweise im gleichen Kraftfahrzeug befinden, wie die Recheneinheit. Alternativ kann es sich bei der Nachricht auch um eine Nachricht handeln, die an eine weitere Partition innerhalb der Recheneinheit versendet wird, wobei diese weitere Partition hierbei als Empfängerpartition fungiert. Unter einer aktiven Partition ist dabei diejenige Partition zu verstehen, die eine Nachricht an einen - üblicherweise recheneinheitsexternen - Empfänger versenden möchte und deswegen die Nachrichten-Authentifizierungs-Routine aufruft. Der Begriff aktive Partition beschreibt im Folgenden also lediglich eine Perspektive und soll nicht implizieren, dass durch die andere oder die anderen Partitionen der Recheneinheit keine Rechenoperationen ausgeführt werden.
  • Eine Teilmenge der kryptographischen Schlüssel des Security-Moduls kann einen oder mehrere kryptographische Schlüssel umfassen.
  • Der Aufruf der Nachrichten-Authentifizierungs-Routine erfolgt vorteilhafterweise über einen Hypervisor in der Art, dass mittels der Nachrichten-Authentifizierungs-Routine die Teilmenge der für die Authentifizierung zu verwendenden kryptographischen Schlüssel definiert wird. Beispielsweise kann über die Nachrichten-Authentifizierungs-Routine ein kryptographischer Schlüssel aus einem Slot des Security-Moduls angefordert werden, wobei jedem Slot eine Vielzahl von kryptographischen Schlüsseln zugeordnet ist. Vorteilhafterweise ist jedem Slot die Vielzahl von kryptographischen Schlüsseln exklusiv zugeordnet. Alternativ zu dem Hypervisor können auch andere Betriebssystembestandteile, wie z.B. ein Kernel, verwendet werden, die ebenfalls eine Virtualisierung unterstützen.
  • Vorteilhafterweise ist die zu verwendende Teilmenge der kryptographischen Schlüssel der aktiven Partition exklusiv zugeordnet. D.h. nur die aktive Partition kann zur Authentifizierung die ihr exklusiv zugeordneten Schlüssel verwenden. Vorteilhaft ist, dass jeder Partition eine Teilmenge der kryptographischen Schlüssel exklusiv zugeordnet ist. Vorteilhafterweise ist dem Security-Modul bekannt, welche Teilmenge der kryptographischen Schlüssel welcher Partition zugeordnet sind. Alternativ kann eine Teilmenge der kryptographischen Schlüssel mehreren Partitionen zugeordnet sein. Falls mehrere Partitionen derselben Sicherheitsstufe zugeordnet sind, können diese vorteilhafterweise die gleiche Teilmenge der kryptographischen Schlüssel verwenden. Eine Kombination einer Partition, der eine Teilmenge der kryptographischen Schlüssel exklusiv zugeordnet ist und weiterer Partitionen, denen gemeinsam eine weitere Teilmenge der kryptographischen Schlüssel zugeordnet ist, ist auch möglich.
  • Vorteilhaft ist, dass der Teilbereich des Speichers, der der aktiven Partition zugeordnet ist, nur mittels des Hypervisors ausgelesen werden kann und der Hypervisor ein Auslesen nur der aktiven Partition gestattet. Mit anderen Worten wird die Information, die in dem der aktiven Partition zugeordneten Teilbereich des Speichers vorhanden ist, über den Hypervisor nur der aktiven Partition zugänglich gemacht. Besonders vorteilhaft ist, dass jeder Partition ein Teilbereich des Speichers exklusiv zugeordnet ist, sodass jede Partition auf den jeweils exklusiv zugeordneten Speicherbereich mittels des Hypervisors exklusiv zugreift. Zur Wahrung der Exklusivität werden vorteilhafterweise Speicherseparationstechniken verwendet, die beispielsweise durch so genannte Memory Management Units (MMU) oder Memory Protection Units (MPU) bereitgestellt werden.
  • Vorteilhafterweise handelt es sich bei dem Security-Modul um ein Hardware-Security-Modul. Vorteilhafterweise handelt es sich bei der Recheneinheit um ein zentrales Fahrzeugsteuergerät, insbesondere ein Zonensteuergerät oder einen Zentralrechner eines Kraftfahrzeugs. Vehicle Computer, Vehicle Control Units (VCU) oder zentrale Gatewaycomputer sind weitere Beispiele für zentrale Fahrzeugsteuergeräte.
  • Besonders vorteilhaft lässt sich das erfindungsgemäße Verfahren anwenden, wenn jede Partition einer Fahrzeugdomäne zugeordnet ist. Bei den Fahrzeugdomänen handelt es sich beispielsweise um eine Antriebsstrangdomäne, eine Chassisdomäne, eine Infotainmentdomäne, eine Body-Domäne und eine Domäne für Fahrerassistenzsysteme (ADAS). Alternativ können die Partitionen auch vorteilhafterweise einzelnen Sicherheitsstufen zugeordnet sein, was u.a. eine deutlich vereinfachte Integration von Softwarefunktionen verschiedener Hersteller auf der Recheneinheit ermöglicht.
  • Vorteilhaft sind außerdem eine Recheneinheit, die zur Durchführung des erfindungsgemäßen Verfahrens eingerichtet ist, sowie ein Computerprogramm, dass die Recheneinheit veranlasst, jeden Schritt des erfindungsgemäßen Verfahren durchzuführen, wenn das Computerprogramm auf der Recheneinheit ausgeführt wird.
  • Vorteilhaft ist auch ein Kraftfahrzeug, umfassend mehrere Zonensteuergeräte, wobei jedes Zonensteuergerät zur Durchführung des erfindungsgemäßen Verfahrens eingerichtet ist. Vorteilhaft ist auch ein Kraftfahrzeug, das eine zentrale Recheneinheit umfasst, wobei die zentrale Recheneinheit zur Durchführung des erfindungsgemäßen Verfahrens eingerichtet ist.
  • Nachfolgend wird ein Ausführungsbeispiel der Erfindung vorgestellt. Dabei zeigen:
  • Figurenliste
    • 1 Eine schematische Darstellung einer Recheneinheit, die zur Durchführung eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens eingerichtet ist;
    • 2 eine schematische Darstellung eines Ablaufs eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens.
  • 1 zeigt eine schematische Darstellung einer Recheneinheit (8), die zur Durchführung eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens eingerichtet ist. Die Recheneinheit (8) umfasst einen Hardwareteil (20) und einen Softwareteil (10). Der Softwareteil (10) umfasst einen Hypervisor (16) sowie eine erste Partition (12) und eine zweite Partition (14). Der Hardwareteil (20) umfasst ein Security-Modul (22), bei dem es sich insbesondere um ein Hardware-Security-Modul (HSM) handeln kann, sowie einen Speicher (26). Der Speicher (26) umfasst einen ersten Speicherbereich (27), der exklusiv der ersten Partition (12) zugeordnet ist, sowie einen zweiten Speicherbereich (28), der exklusiv der zweiten Partition (14) zugeordnet ist. Der Speicher (26) ist beschreibbar eingerichtet. Das Security-Modul (22) umfasst einen internen Speicher, in dem kryptographische Schlüssel abgelegt sind. Eine erste Teilmenge der kryptographischen Schlüssel (23) ist exklusiv der ersten Partition (12) zugeordnet. Eine zweite Teilmenge der kryptographischen Schlüssel (24) ist exklusiv der zweiten Partition (14) zugeordnet.
  • Die erste Partition (12) und die zweite Partition (14) stehen in kommunikativer Verbindung mit dem Hypervisor (16). Der Hypervisor (16) stellt u.a. eine Hardwareschnittstelle dar, sodass die erste (12) und die zweite Partition (14) mittels des Hypervisors (16) Anfragen an das Security-Modul (22) senden können. Über den Hypervisor (16) ist es außerdem möglich, dass die erste (12) und die zweite Partition (14) auf den Speicher (26) zugreifen können. Hierbei ist der erste Speicherbereich (27) derart eingerichtet, dass nur die erste Partition (12) über den Hypervisor (16) lesend auf den ersten Speicherbereich (27) zugreifen kann. Der zweite Speicherbereich (28) ist derart eingerichtet, dass nur die zweite Partition (14) über den Hypervisor (16) lesend auf den zweiten Speicherbereich (28) zugreifen kann. Der erste (27) und der zweite Speicherbereich (28) können vom Security-Modul (22) beschrieben werden.
  • 2 eine schematische Darstellung eines Ablaufs eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens. In Schritt 100 wird eine Nachrichten-Authentifizierungs-Routine von der ersten Partition (12) gestartet, da eine authentifizierte Nachricht von der ersten Partition (12) an einen Empfänger außerhalb der Recheneinheit (8) versendet werden soll. Durch den Aufruf der Nachrichten-Authentifizierungs-Routine wird die erste Partition (12) zur aktiven Partition im Sinne der vorliegenden Erfindung. Der Aufruf der Nachrichten-Authentifizierungs-Routine umfasst eine Initiierung einer Authentifizierungsberechnung, beispielsweise einer kryptographischen Berechnung, durch das Security-Modul. Hierfür kann z.B. ein Prüfwert unter Verwendung eines kryptographischen Schlüssels und der zu versendenden Nachricht gebildet werden. Die Nachrichten-Authentifizierungs-Routine legt die für die Authentifizierung zu verwendenden kryptographischen Schlüssel fest, beispielsweise indem ein entsprechender Slot, der eine Teilmenge der kryptographischen Schlüssel des Security-Moduls (22) repräsentiert, aufgerufen wird. Die durch die erste Partition (12) aufgerufene Nachrichten-Authentifizierungs-Routine initiiert eine Verwendung eines oder mehrerer kryptographischer Schlüssel aus der erste Teilmenge der kryptographischen Schlüssel (23), da diese der ersten Partition (12) zugeordnet ist. Im Anschluss an Schritt 100 folgt Schritt 110.
  • In Schritt 110 erfolgt die Authentifizierung der Nachricht der aktiven, also der ersten Partition (12) durch kryptographische Berechnung unter Verwendung eines oder mehrerer kryptographischer Schlüssel aus der erste Teilmenge der kryptographischen Schlüssel (23). Im Anschluss an Schritt 110 wird Schritt 120 durchgeführt.
  • In Schritt 120 wird das Ergebnis der in Schritt 110 durchgeführten kryptographischen Rechnung in den ersten Speicherbereich (27), der exklusiv der ersten Partition (12) zugeordnet ist, geschrieben. Im Anschluss folgt Schritt 130.
  • In Schritt 130 liest die erste Partition (12) das Ergebnis der im ersten Speicherbereich (27) gespeicherten kryptographischen Rechnung mittels des Hypervisors (16) aus. Anschließend folgt Schritt 140.
  • In Schritt 140 wird die zu versendende Nachricht durch die erste Partition (12) an einen Empfänger außerhalb der Recheneinheit (8) zusammen mit dem Ergebnis der kryptographischen Rechnung versendet. Somit erfolgt ein Versandt einer authentifizierten Nachricht.
  • Durch die feste und exklusive Zuordnung der aktiven Partition zu einer Teilmenge an kryptographischen Schlüsseln und einem Teilbereich des Speichers (26) ist ein Zugriff einer anderen Partition auf den entsprechenden Teilbereich des Speichers (26) ausgeschlossen. Somit ist sichergestellt, dass eine andere Partition durch Aufruf der gleichen Nachrichten-Authentifizierungs-Routine nicht fälschlicherweise eine Nachricht versenden kann, die von der aktiven Partition zu kommen scheint. Die sicherheitsbezogenen Vorteile einer domänenorientierten E/E-Architektur eines Kraftfahrzeugs lassen sich so mit den Vorteilen einer zonenorientierten E/E-Architektur verbinden, wenn das vorgestellte Verfahren auf allen Recheneinheiten zur Anwendung kommt, auf denen Virtualisierungskonzepte umgesetzt werden.

Claims (13)

  1. Verfahren zum Authentifizieren einer Nachricht einer Recheneinheit (8), wobei die Recheneinheit (8) mehrere Partitionen (12, 14), einen Speicher (26) und ein Security-Modul (22) umfasst, wobei in dem Security-Modul (22) kryptographische Schlüssel (23, 25) zum Authentifizieren von Nachrichten abgelegt sind, wobei eine Nachrichten-Authentifizierungs-Routine von einer aktiven Partition (12) gestartet wird, um die Nachricht zu authentifizieren, wobei die Nachrichten-Authentifizierungs-Routine eine für die Authentifizierung zu verwendende Teilmenge (23) der kryptographischen Schlüssel definiert, dadurch gekennzeichnet, dass ein Ergebnis einer unter Verwendung der Teilmenge (23) der kryptographischen Schlüssel durchgeführten Authentifizierung in einem Teilbereich (27) des Speichers (26) abgelegt wird, der der aktiven Partition (12) zugeordnet ist.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Recheneinheit (8) weiterhin einen Hypervisor (16) umfasst, der mittels der Nachrichten-Authentifizierungs-Routine die zu verwendenden Teilmenge (23) der kryptographischen Schlüssel definiert.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die zu verwendenden Teilmenge (23) der kryptographischen Schlüssel der aktiven Partition (12) exklusiv zugeordnet ist.
  4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass jeder Partition (12, 14) eine Teilmenge (23, 25) der kryptographischen Schlüssel exklusiv zugeordnet ist.
  5. Verfahren nach einem der Ansprüche 2 bis 4, dadurch gekennzeichnet, dass der Teilbereich (27) des Speichers (26), der der aktiven Partition (12) zugeordnet ist, nur mittels des Hypervisors (16) ausgelesen werden kann und der Hypervisor (16) ein Auslesen nur der aktiven Partition (12) gestattet.
  6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass jeder Partition (12, 14) ein Teilbereich (27, 28) des Speichers (26) exklusiv zugeordnet ist, sodass jede Partition (12, 14) auf den jeweils exklusiv zugeordneten Teilbereich (27,28) des Speichers (26) mittels des Hypervisors (16) exklusiv zugreift.
  7. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass es sich bei dem Security-Modul (22) um ein Hardware-Security-Modul handelt.
  8. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass es sich bei der Recheneinheit (8) um ein zentrales Fahrzeugsteuergerät, insbesondere ein Zonensteuergerät oder einen Zentralrechner eines Kraftfahrzeugs, handelt.
  9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass die Partitionen (12, 14) jeweils eine Fahrzeugdomäne repräsentieren.
  10. Verfahren nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass den Partitionen (12, 14) unterschiedlichen Sicherheitsstufen zugeordnet sind.
  11. Recheneinheit, die zur Ausführung des Verfahrens nach einem der Ansprüche 1 bis 10 eingerichtet ist.
  12. Computerprogramm, dass eine Recheneinheit veranlasst, jeden Schritt des Verfahren nach einem der Ansprüche 1 bis 10 durchzuführen, wenn das Computerprogramm auf der Recheneinheit ausgeführt wird.
  13. Kraftfahrzeug, umfassend mehrere Zonensteuergeräte, dadurch gekennzeichnet, dass jedes Zonensteuergerät zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis 10 eingerichtet ist.
DE102021201236.1A 2021-02-10 2021-02-10 Verfahren zum Authentifizieren einer Nachricht einer Recheneinheit, Recheneinheit, Computerprogramm und Fahrzeug Pending DE102021201236A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102021201236.1A DE102021201236A1 (de) 2021-02-10 2021-02-10 Verfahren zum Authentifizieren einer Nachricht einer Recheneinheit, Recheneinheit, Computerprogramm und Fahrzeug
CN202210125046.0A CN114911607A (zh) 2021-02-10 2022-02-10 计算单元及用于验证其消息的方法、计算机程序和车辆

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021201236.1A DE102021201236A1 (de) 2021-02-10 2021-02-10 Verfahren zum Authentifizieren einer Nachricht einer Recheneinheit, Recheneinheit, Computerprogramm und Fahrzeug

Publications (1)

Publication Number Publication Date
DE102021201236A1 true DE102021201236A1 (de) 2022-08-11

Family

ID=82493221

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021201236.1A Pending DE102021201236A1 (de) 2021-02-10 2021-02-10 Verfahren zum Authentifizieren einer Nachricht einer Recheneinheit, Recheneinheit, Computerprogramm und Fahrzeug

Country Status (2)

Country Link
CN (1) CN114911607A (de)
DE (1) DE102021201236A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022208322A1 (de) 2022-08-10 2024-02-15 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Authentifizieren einer Nachricht einer Recheneinheit, Recheneinheit, Computerprogramm und Fahrzeug

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1276033B1 (de) 2001-07-10 2012-03-14 Trident Microsystems (Far East) Ltd. Speichereinrichtung mit Datenschutz in einem Prozessor
US9823851B2 (en) 2014-06-30 2017-11-21 Unisys Corporation Secure migratable architecture having security features
EP3336732A1 (de) 2016-12-16 2018-06-20 Bundesdruckerei GmbH Nutzerauthentifizierung mit einer mehrzahl von merkmalen
US20190379683A1 (en) 2018-06-08 2019-12-12 Nvidia Corporation Virtualized intrusion detection and prevention in autonomous vehicles
US20200127980A1 (en) 2019-09-28 2020-04-23 Ned M. Smith Dynamic sharing in secure memory environments using edge service sidecars

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1276033B1 (de) 2001-07-10 2012-03-14 Trident Microsystems (Far East) Ltd. Speichereinrichtung mit Datenschutz in einem Prozessor
US9823851B2 (en) 2014-06-30 2017-11-21 Unisys Corporation Secure migratable architecture having security features
EP3336732A1 (de) 2016-12-16 2018-06-20 Bundesdruckerei GmbH Nutzerauthentifizierung mit einer mehrzahl von merkmalen
US20190379683A1 (en) 2018-06-08 2019-12-12 Nvidia Corporation Virtualized intrusion detection and prevention in autonomous vehicles
US20200127980A1 (en) 2019-09-28 2020-04-23 Ned M. Smith Dynamic sharing in secure memory environments using edge service sidecars

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022208322A1 (de) 2022-08-10 2024-02-15 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Authentifizieren einer Nachricht einer Recheneinheit, Recheneinheit, Computerprogramm und Fahrzeug

Also Published As

Publication number Publication date
CN114911607A (zh) 2022-08-16

Similar Documents

Publication Publication Date Title
DE102020124163A1 (de) Verifizierung von fahrzeugdaten
DE102017117355A1 (de) Onboard-Fahrzeugkommunikationssystem
EP2698678B1 (de) Konfigurationstechnik für ein Steuergerät mit miteinander kommunizierenden Anwendungen
DE112020005949T5 (de) Informationsverarbeitungsvorrichtung, Anomalieerfassungsverfahren und Computerprogramm
DE102020122489A1 (de) Zugriffsautorisierung für verteiltes fahrzeugnetzwerk
DE102021201236A1 (de) Verfahren zum Authentifizieren einer Nachricht einer Recheneinheit, Recheneinheit, Computerprogramm und Fahrzeug
DE102012105093A1 (de) Sicherer Datenspeicher für Fahrzeugnetzwerke
DE102021113956A1 (de) Gateway für fahrzeug mit cache-zwischenspeicher für verteiltes speichersystem
DE102021100155A1 (de) System und verfahren für dynamisches softwaremanagement
DE10208866A1 (de) Einrichtung und Verfahren zur Beurteilung und Erzielung von Sicherheit bei Systemen sowie entsprechendes Computerprogramm
DE102021201231A1 (de) Verfahren zum Authentifizieren einer Nachricht einer Recheneinheit, Recheneinheit, Computerprogramm und Fahrzeug
EP3281106A1 (de) Verwaltung von schnittstellen in einem verteilten system
DE102021208459B4 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
DE102022208322A1 (de) Verfahren zum Authentifizieren einer Nachricht einer Recheneinheit, Recheneinheit, Computerprogramm und Fahrzeug
DE102022105476A1 (de) System und Verfahren zum Aufbauen eines fahrzeugintegrierten Kryptografiemanagers
DE102022110251A1 (de) Ota-master, center, system, verfahren, nicht-transitorisches speichermedium und fahrzeug
DE102020126909A1 (de) Sitzungsspezifischer zugriffstoken
DE102016106515A1 (de) Richtungssteuerung eines Fahrzeugs über aerodynamische Kräfte
DE102022211577A1 (de) Verfahren zum Zuweisen von Software-Paketen
DE102019219667B3 (de) Computerprogrammprodukt für ein Peer-to-Peer Computernetzwerk
WO2018046345A1 (de) Steuergeräteverbund
WO2017089101A1 (de) Verfahren zum betreiben eines mikrocontrollers
DE102015223757A1 (de) Verfahren zum Betreiben eines Mikrocontrollers
DE102021127872A1 (de) Informationsverarbeitungsvorrichtung, steuerverfahren, nicht-transitorisches speichermedium und fahrzeug
WO2017102655A1 (de) Mikrocontrollersystem und verfahren zur kontrolle von speicherzugriffen in einem mikrocontrollersystem

Legal Events

Date Code Title Description
R163 Identified publications notified