DE112018007217B4 - Sicherheitseinrichtung mit einer Angriffs-Detektionseinrichtung und einer Sicherheitsrisikozustand-Bestimmungseinrichtung und eingebettete Einrichtung hierfür - Google Patents

Sicherheitseinrichtung mit einer Angriffs-Detektionseinrichtung und einer Sicherheitsrisikozustand-Bestimmungseinrichtung und eingebettete Einrichtung hierfür Download PDF

Info

Publication number
DE112018007217B4
DE112018007217B4 DE112018007217.7T DE112018007217T DE112018007217B4 DE 112018007217 B4 DE112018007217 B4 DE 112018007217B4 DE 112018007217 T DE112018007217 T DE 112018007217T DE 112018007217 B4 DE112018007217 B4 DE 112018007217B4
Authority
DE
Germany
Prior art keywords
security
function
main function
execution environment
embedded
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE112018007217.7T
Other languages
English (en)
Other versions
DE112018007217T5 (de
Inventor
Tomohiko Higashiyama
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE112018007217T5 publication Critical patent/DE112018007217T5/de
Application granted granted Critical
Publication of DE112018007217B4 publication Critical patent/DE112018007217B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

Sicherheitseinrichtung (1110), die Folgendes aufweist:
- eine Angriffs-Detektionseinrichtung (1220), die einen Cyber-Angriff auf eine eingebettete Einrichtung (1000) detektiert, die von einer eingebetteten Steuerungseinrichtung (1020) gesteuert wird;
- eine Sicherheitsrisikozustand-Bestimmungseinrichtung (1260), die einen Sicherheitsrisikozustand bestimmt, der zumindest einen von einem Typ und einem Grad des Risikos der Bedrohung der Sicherheit angibt, das von einem Cyber-Angriff ausgeht, und zwar auf der Basis des Ergebnisses der Detektion; und
- eine Ausführungsumgebungs-Steuerung (1320), die in der eingebetteten Steuerungseinrichtung (1020) enthalten ist, eine Sicherheitsfunktion gegen einen Cyber-Angriff gemäß dem Sicherheitsrisikozustand bestimmt und eine Ausführungsumgebung der Sicherheitsfunktion in der eingebetteten Steuerungseinrichtung (1020) bildet, so dass die eingebettete Steuerungseinrichtung (1020) die Sicherheitsfunktion ausführen kann.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft eine Sicherheitseinrichtung gegen einen Cyber-Angriff auf eine eingebettete Einrichtung, die von einer eingebetteten Steuerungseinrichtung gesteuert wird, sowie eine eingebettete Einrichtung, die die Sicherheitseinrichtung aufweist.
  • Stand der Technik
  • Eine eingebettete Einrichtung ist an einer Einrichtung eines bewegten Körpers montiert, wie z. B. einem Automobil, einem Haushaltsgerät und einer Fabrikautomationsvorrichtung (FA). Die eingebettete Einrichtung wird von der eingebetteten Steuerungseinrichtung gesteuert. Beispielsweise ist eine Einrichtung im Fahrzeug an einem Automobil montiert. Die Einrichtung im Fahrzeug wird von einer Fahrzeugmotor-Steuerungseinheit (ECU) gesteuert.
  • Herkömmlicherweise hat man eine eingebettete Einrichtung im selbständiger Form bzw. im Inselbetrieb verwendet. In jüngster Zeit wird die eingebettete Einrichtung jedoch zunehmend in einem Zustand verwendet, in welchem sie mit einem externen Netzwerk verbunden ist, und zwar im Hinblick auf den Trend zum Internet der Dinge (IoT).
  • Eine eingebettete Einrichtung, die in dem Zustand verwendet wird, in welchem sie mit dem externen Netzwerk verbunden ist, weist die Möglichkeit auf, dass sie einem Cyber-Angriff ausgesetzt ist. In jüngster Zeit ist es demzufolge nötig, dass eine Sicherheitsfunktion zum Schützen der eingebetteten Einrichtung vor einem Cyber-Angriff in der eingebetteten Steuerungseinrichtung implementiert ist.
  • Ein Beispiel ist ein Authentifizierungssystem, bei welchem eine Informations-Verarbeitungseinrichtung, die nicht an einem Fahrzeug montiert ist, durch Tauschen bzw. gemeinsames Verwenden eines gemeinsam verwendeten Schlüssels zwischen einer eingebetteten Steuerungseinrichtung, die am Fahrzeug montiert ist, und der Informations-Verarbeitungseinrichtung authentifiziert wird, und bei welchem eine Authentifizierungscode für eine codierte Nachricht und ein Antwortcode zwischen diesen durch Kommunikation ausgetauscht wird. Die in Patentdokument 1 beschriebene Technik ist ein Beispiel dafür.
  • Das Patentdokument 2 beschreibt ein Computersystem zur Verifizierung der Konfiguration von Fahrzeugsoftware. Das Computersystem enthält einen Prozessor und ein nichttransitorisches, computerlesbares Speichermedium mit darauf gespeicherten Anweisungen, die als Reaktion auf die Ausführung durch den Prozessor den Prozessor veranlassen, eine Authentifizierungsanforderung mit einer Hash-Algorithmus-Spezifikation an ein Fahrzeug-Computersystem zu senden und von dem Fahrzeug-Computersystem eine Hash-Algorithmus-Spezifikation zu empfangen. Ferner wird eine Authentifizierungsanforderung, die eine Hash-Algorithmus-Spezifikation enthält, an ein Fahrzeug-Computersystem übertragen; aktuelle Konfigurations-Hash-Werte und eine Fahrzeugkennung werden von dem Fahrzeug-Computersystem empfangen; ein vertrauenswürdiger Datenblock aus einem Speicher wird auf der Grundlage der Fahrzeugkennung abgerufen, wobei der vertrauenswürdige Datenblock einen gespeicherten Konfigurations-Hash-Wert und ein Smart-Contract-Code-Segment enthält, wobei das Smart-Contract-Code-Segment ein Failsafe-Code-Segment enthält.
  • Das Patentdokument 3 beschreibt eine sichere Hardware-Erweiterung, wobei ein Anfangsschlüssel auf einen KEY N Schlüssel gesetzt wird, der in einem Verifizierungsprozess und einem Generierungsprozess für einen Nachrichten-Authentifizierungscode verwendet wird. In einer SHE-A wird ein Hauptschlüssel auf einen KEY N Schlüssel gesetzt, der in dem Verifizierungsprozess und dem Generierungsprozess für den Nachrichtenauthentifizierungscode verwendbar ist, wobei der Hauptschlüssel zusammen mit einer Kennung einer authentifizierten elektronischen Steuereinheit zum Generieren des Nachrichtenauthentifizierungscodes verwendet wird, der als Anfangsschlüssel zu verwenden ist. Eine zentrale Verarbeitungseinheit veranlasst, dass der Nachrichtenauthentifizierungscode für die Kennung des authentifizierten Steuergeräts unter Verwendung des Hauptschlüssels durch die SHE-A erzeugt wird, und führt einen Prozess der Authentifizierung der Gültigkeit des authentifizierten Steuergeräts unter Verwendung des erzeugten Nachrichtenauthentifizierungscodes aus.
  • Das Patentdokument 4 beschreibt eine Informationsverarbeitungsvorrichtung mit einer Sicherheitsfunktion zur Informationssicherheit und einer Informationsverarbeitungsfunktion zur vorbestimmten Informationsverarbeitung, und eine Steuereinheit, die eine Steuerverarbeitung durchführt, um die Sicherheitsfunktion und die Informationsverarbeitungsfunktion zu realisieren, und eine Speichereinheit, die Informationen über die Sicherheitsfunktion und die Informationsverarbeitungsfunktion speichert. Wenn die Steuereinheit dabei das Auftreten eines vorbestimmten Ereignisses im Zusammenhang mit der Sicherheitsfunktion oder der Informationsverarbeitungsfunktion feststellt, bestimmt die Informationsverarbeitungseinheit den Betriebsinhalt der Sicherheitsfunktion auf der Grundlage der in der Speichereinheit gespeicherten Informationen.
  • Das Patentdokument 5 beschreibt eine Relaisvorrichtung , die Folgendes aufweist: eine Empfangseinheit, die Befehle empfängt; eine Fuzzing-Erfassungseinheit, die einen ungültigen Befehl unter den von der Empfangseinheit empfangenen Befehlen erfasst; eine Fake-Aktions-Bestimmungseinheit, die eine Fake-Aktion bestimmt, die dem von der Fuzzing-Erfassungseinheit erfassten ungültigen Befehl entspricht; und eine Befehlserzeugungseinheit, die einen Befehl erzeugt, der der von der Fake-Aktions-Bestimmungseinheit bestimmten Fake-Aktion entspricht.
  • Das Patentdokument 6 beschreibt ein fahrzeuginternes Informationskommunikationssystem, das Folgendes aufweist: ein fahrzeuginternes Kommunikationsgerät, ein fahrzeuginternes elektronisches Steuergerät und ein nicht fahrzeuginterne Informationsverarbeitungsgerät. Die elektronische Steuervorrichtung ist mit einer Speichereinheit für die elektronische Steuervorrichtung, einer Nachrichtenerzeugungseinheit, einer MAC-Erzeugungseinheit und einer Kommunikationseinheit für die elektronische Steuervorrichtung ausgestattet, die Nachrichten und MAC über die fahrzeuginterne Kommunikationsvorrichtung an die Informationsverarbeitungsvorrichtung überträgt. Die Informationsverarbeitungsvorrichtung ist mit einer Speichereinheit für die Informationsverarbeitungsvorrichtung, einer Einheit zur Überprüfung des Nachrichtenauthentifizierungscodes, einer Einheit zur Erzeugung eines Antwortcodes und einer Kommunikationseinheit für die Informationsverarbeitungsvorrichtung ausgestattet, die einen Antwortcode über die fahrzeuginterne Kommunikationsvorrichtung an die elektronische Steuervorrichtung überträgt. Das elektronische Steuergerät ist ferner mit einer Antwortcode-Verifizierungseinheit ausgestattet.
  • Das Patentdokument 7 beschreibt ein System mit einer Datenverarbeitungseinrichtung, die eine Vielzahl von Datenverarbeitungsressourcen einschließlich einer Datenverarbeitungshardware und eines auf der Datenverarbeitungshardware ausgeführten Betriebssystems und eine Vielzahl von Programmen umfasst, die eine Schnittstelle mit den Datenverarbeitungsressourcen bilden und als Prozesse ausführbar sind, die einen oder mehrere Threads aufweisen, wobei die Datenverarbeitungshardware dafür ausgelegt ist, einen Satz von Anweisungen auszuführen, ihn in einem nichtflüchtigen Speichermedium zu speichern, und die Datenverarbeitungshardware zu veranlassen, einen Satz von Modulen zu implementieren, wobei unter den Modulen ein Prozessüberwachungsmodul dafür ausgelegt ist, auf der Datenverarbeitungshardware ausgeführte aktive Prozesse zu detektieren, wobei ein Prozessauswahlmodul dafür ausgelegt ist, aus den durch das Prozessüberwachungsmodul überwachten Prozessen nur diejenigen Prozesse auszuwählen, die empfängliche Prozesse sind, wobei das Prozessauswahlmodul dafür ausgelegt ist, die empfänglichen Prozesse, basierend auf vordefinierten Prozessauswahlkriterien, auszuwählen, wobei ein Funktionsaufrufverfolgungsmodul dafür ausgelegt ist, Funktionsaufrufe zu verfolgen, die durch Threads von jedem der durch das Prozessauswahlmodul ausgewählten empfänglichen Prozesse vorgenommen wurden, wobei ein Modul zum Abfangen von Aufrufen kritischer Funktionen dafür ausgelegt ist, aus den verfolgten Funktionsaufrufen nur diejenigen Funktionsaufrufe zu identifizieren, die Aufrufe kritischer Funktionen sind, wobei das Modul zum Abfangen von Aufrufen kritischer Funktionen dafür ausgelegt ist, die Aufrufe kritischer Funktionen basierend auf Kriterien zur Bestimmung kritischer Funktionen zu identifizieren, und wobei ein Analysemodul dafür ausgelegt ist, für jeden identifizierten Aufruf einer kritischen Funktion Programmanweisungen zu identifizieren, die diesen Aufruf einer kritischen Funktion verursacht haben, und die Schädlichkeit der Programmanweisungen basierend auf einem vorherbestimmten Satz von Analysekriterien einzuschätzen.
  • Stand-der-Technik-Dokumente
  • Patentdokumente
    • Patentdokument 1: WO 2017/002405 A1
    • Patentdokument 2: US 10 826 706 B1
    • Patentdokument 3: US 10 855 460 B2
    • Patentdokument 4: JP 2016-207 037 A
    • Patentdokument 5: WO 2017/183 099 A1
    • Patentdokument 6: DE 20 2013 103 358 U1
  • Zusammenfassung
  • Mit der Erfindung zu lösendes Problem
  • Wenn eine Sicherheitsfunktion gegen einen Cyber-Angriff in einer eingebetteten Steuerungseinrichtung implementiert ist, besteht jedoch das Problem, dass die Computerressourcen der eingebetteten Steuerungseinrichtung beschränkt sind. Das heißt, es besteht das Problem, dass die Computerressourcen, wie z. B. zentrale Verarbeitungseinheit (CPU), Nur-Lese-Speicher (ROM) und Speicher mit wahlweisem Zugriff (RAM), die in der eingebetteten Steuerungseinrichtung montiert sind, beschränkt sind, und zwar verglichen mit einem Personal Computer (PC), in welchem die Einführung einer Informationssicherheitstechnik gefördert wird.
  • Wenn also eine Hochsicherheitsfunktion, wie z. B. eine Verschlüsselungs-verarbeitung gegen einen Cyber-Angriff in der eingebetteten Steuerungseinrichtung implementiert ist, muss eine Hauptfunktion, die in der eingebetteten Steuerungseinrichtung implementiert ist, in manchen Fällen verringert werden. Dieses Problem wird sicher gelöst, indem die Computerressourcen erweitert werden, die in der eingebetteten Steuerungseinrichtung montiert sind. Die Erweiterung der Computerressourcen, die in der eingebetteten Steuerungseinrichtung montiert sind, verursacht jedoch eine Kostensteigerung der eingebetteten Steuerungseinrichtung.
  • Die vorliegende Erfindung wurde angesichts dieser Probleme konzipiert. Die der Erfindung zugrundeliegende Aufgabe besteht darin, eine Sicherheitseinrichtung in geeigneter Weise auszubilden, während der Einfluss auf die Ausführung einer Hauptfunktion unterbunden wird, und zwar in einer eingebetteten Steuerungseinrichtung.
  • Wege zum Lösen des Problems
  • Die Aufgabe wird mit den Merkmalen der unabhängigen Ansprüche 1 und 7 gelöst. Vorteilhafte Weiterbildungen der erfindungsgemäßen Sicherheitseinrichtung bzw. der eingebetteten Einrichtung sind in den Ansprüche 2 bis 6 angegeben.
  • Eine Sicherheitseinrichtung gemäß Anspruch 1 der Erfindung weist eine Angriffs-Detektions-einrichtung, eine Sicherheitsrisikozustand-Bestimmungseinrichtung und eine Ausführungsumgebungs-Steuerung auf.
  • Die Angriffs-Detektionseinrichtung detektiert einen Cyber-Angriff auf eine eingebettete Einrichtung, die von der eingebetteten Steuerungseinrichtung gesteuert wird.
  • Die Sicherheitsrisikozustand-Bestimmungseinrichtung bestimmt einen Sicherheitsrisikozustand, der zumindest einen von einem Typ und einem Grad des Risikos der Bedrohung der Sicherheit angibt, das von einem Cyber-Angriff ausgeht, und zwar auf der Basis des Ergebnisses der Detektion.
  • Die Ausführungsumgebungs-Steuerung ist in der eingebetteten Steuerungseinrichtung enthalten. Sie bestimmt eine Sicherheitsfunktion gegen einen Cyber-Angriff gemäß dem Sicherheitsrisikozustand und bildet eine Ausführungsumgebung der Sicherheitsfunktion in der eingebetteten Steuerungseinrichtung, so dass die eingebettete Steuerungseinrichtung die Sicherheitsfunktion ausführen kann.
  • Ein weiterer Aspekt der vorliegenden Erfindung ist auf eine eingebettete Einrichtung gerichtet, die die oben beschriebene Sicherheitseinrichtung aufweist.
  • Wirkungen der Erfindung
  • Bei der vorliegenden Erfindung wird die Ausführungsumgebung der Sicherheitsfunktion in der eingebetteten Steuerungseinrichtung gebildet, so dass die eingebettete Steuerungseinrichtung die Sicherheitsfunktion gegen einen Cyber-Angriff gemäß zumindest einem von dem Typ und dem Grad des Risikos der Bedrohung der Sicherheit ausführen kann, die vom Cyber-Angriff ausgeht. Demzufolge kann die Sicherheitsfunktion geeignet ausgeführt werden, während der Einfluss auf die Ausführung der Hauptfunktion in der eingebetteten Steuerungseinrichtung unterbunden wird.
  • Diese und weitere Ziele, Merkmale, Aspekte und Vorteile der vorliegenden Erfindung werden noch besser ersichtlich aus der folgenden detaillierten Beschreibung der vorliegenden Erfindung, wenn diese zusammen mit den beigefügten Zeichnungen betrachtet wird.
  • Figurenliste
    • 1 zeigt ein Blockdiagramm, das schematisch eine eingebettete Einrichtung darstellt, die eine Sicherheitseinrichtung aufweist, gemäß den beiden Ausführungsformen 1 und 2.
    • 2 zeigt ein Blockdiagramm, das schematisch eine Funktionskonfiguration eines Gateways (GW) darstellt, das die Sicherheitseinrichtung bildet, gemäß den Ausführungsformen 1 und 2.
    • 3 zeigt ein Blockdiagramm, das schematisch eine Funktionskonfiguration der eingebetteten Steuerungseinrichtung darstellt, die die Sicherheitseinrichtung bildet, gemäß Ausführungsform 1.
    • 4 zeigt eine Zeichnung, die schematisch eine Sicherheitsfunktionstabelle darstellt, die in einer eingebetteten Steuerungseinrichtung gespeichert ist, die die Sicherheitseinrichtung bildet, gemäß Ausführungsform 1 und 2.
    • 5 zeigt ein Ablaufdiagramm, das den Betrieb des Gateways in einem Fall darstellt, in welchem die eingebettete Einrichtung einen Cyber-Angriff erhält, in der Sicherheitseinrichtung gemäß Ausführungsform 1 und 2.
    • 6 zeigt ein Ablaufdiagramm, das den Betrieb der eingebetteten Steuerungseinrichtung in einem Fall zeigt, in welchem die eingebettete Einrichtung einen Cyber-Angriff erhält, in der Sicherheitseinrichtung gemäß den Ausführungsformen 1 und 2.
    • 7 zeigt eine Zeichnung, die schematisch ein Beispiel zum Wechseln einer Ausführungsumgebung darstellt, in der eingebetteten Einrichtung, die die Sicherheitseinrichtung enthält, gemäß den Ausführungsformen 1 und 2.
    • 8 zeigt eine Zeichnung, die schematisch ein Beispiel zum Wechseln einer Ausführungsumgebung darstellt, in der eingebetteten Einrichtung, die die Sicherheitseinrichtung enthält, gemäß den Ausführungsformen 1 und 2.
    • 9 zeigt ein Blockdiagramm, das schematisch die eingebettete Steuerungseinrichtung darstellt, die die Sicherheitseinrichtung bildet, gemäß Ausführungsform 2.
    • 10 zeigt eine Zeichnung, die schematisch eine Hauptfunktions-Betriebsmodustabelle darstellt, die in der eingebetteten Steuerungseinrichtung gespeichert ist, die die Sicherheitseinrichtung bildet, gemäß Ausführungsform 2.
    • 11 zeigt ein Ablaufdiagramm, das den Betrieb des Gateways in einem Fall darstellt, in welchem die eingebettete Einrichtung einen Cyber-Angriff erhält, in der Sicherheitseinrichtung gemäß Ausführungsform 2.
    • 12 zeigt ein Ablaufdiagramm, das den Betrieb der eingebetteten Steuerungseinrichtung in einem Fall zeigt, in welchem die eingebettete Einrichtung einen Cyber-Angriff erhält, in der Sicherheitseinrichtung gemäß Ausführungsform 2.
    • 13 zeigt ein Ablaufdiagramm, das den Betrieb der eingebetteten Steuerungseinrichtung in einem Fall zeigt, in welchem die eingebettete Steuerungseinrichtung eine Hauptfunktion ausführt, in der Sicherheitseinrichtung gemäß Ausführungsform 2.
  • Beschreibung der Ausführungsformen
  • 1 Ausführungsform 1
  • 1.1 Konzept der eingebetteten Einrichtung
  • 1 zeigt ein Blockdiagramm, das schematisch eine eingebettete Einrichtung darstellt, die eine Sicherheitseinrichtung aufweist, gemäß Ausführungsform 1.
  • Die eingebettete Einrichtung 1000, die in 1 darstellt ist, weist Folgendes auf: eine eingebettete Steuerungseinrichtung 1020, eine eingebettete Steuerungseinrichtung 1021, eine eingebettete Steuerungseinrichtung 1022, eine eingebettete Steuerungseinrichtung 1023, ein Steuerungssystem-Netzwerk 1040, ein externes Verbindungssystem-Netzwerk 1060, ein externes Verbindungssystem-Netzwerk 1061, ein externes Verbindungssystem-Netzwerk 1062, ein Gateway (GW) 1080, eine Kommunikationsschnittstelle 1100, eine Kommunikationsschnittstelle 1101 und eine Kommunikationsschnittstelle 1102. Die eingebettete Einrichtung 1000 kann auch ein Element aufweisen, das von diesen Elementen verschieden ist.
  • Die eingebettete Einrichtung 1000 ist an einer Einrichtung eines bewegten Körpers montiert, wie z. B. einem Automobil, einem Haushaltsgerät und einer Fabrikautomationsvorrichtung (FA). In der nachfolgenden Beschreibung ist die eingebettete Einrichtung 1000 eine Einrichtung im Fahrzeug, die an einem Automobil montiert ist, und die eingebetteten Steuerungseinrichtungen 1020, 1021, 1022 und 1023 sind Fahrzeugmotor-Steuerungseinheiten (ECU), die die Fahrt des Automobils steuern.
  • Das Gateway 1080 und die eingebettete Steuerungseinrichtung 1020 bilden eine Sicherheitseinrichtung 1110 gegen einen Cyber-Angriff auf die eingebettete Einrichtung 1000. Das Gateway 1080 bildet in manchen Fällen nicht die Sicherheitseinrichtung 1110. Jede der eingebetteten Steuerungseinrichtungen 1021, 1022 oder 1023 bildet in manchen Fällen die Sicherheitseinrichtung 1110.
  • Die eingebettete Steuerungseinrichtung 1020 führt eine Hauptfunktion zum Steuern der eingebetteten Einrichtung 1000 aus, und sie führt eine Sicherheitsfunktion gegen einen Cyber-Angriff auf die eingebettete Einrichtung 1000 aus. Die eingebetteten Steuerungseinrichtungen 1021, 1022 und 1023 führen eine Hauptfunktion zum Steuern der eingebetteten Einrichtung 1000 aus, aber sie führen nicht eine Sicherheitsfunktion gegen einen Cyber-Angriff auf die eingebettete Einrichtung 1000 aus. Die vorliegende Konfiguration ist jedoch nur ein Beispiel, und die Sicherheitsfunktion, die aus dem Gateway 1080 gebildet ist, kann in der eingebetteten Steuerungseinrichtung 1021, 1022 oder 1023 implementiert sein, wie oben beschrieben.
  • Die eingebetteten Steuerungseinrichtungen 1020, 1021, 1022 und 1023 sind mit dem Steuerungssystem-Netzwerk 1040 kommunikationsmäßig verbunden. Steuerungsdaten, die zwischen Einrichtungen, wie z. B. den eingebetteten Steuerungseinrichtungen 1020, 1021, 1022 und 1023 ausgetauscht werden, die in der eingebetteten Einrichtung 1000 enthalten sind, fließen im Steuerungssystem-Netzwerk 1040.
  • Die externen Verbindungssystem-Netzwerke 1060, 1061 und 1062 sind mit den Kommunikationsschnittstellen 1100, 1101 bzw. 1102 kommunikationsmäßig verbunden. Die externen Verbindungssystem-Netzwerke 1060, 1061, und 1062 sind mit einer Informations-Kommunikationseinrichtung kommunikationsmäßig verbunden, die sich außerhalb der eingebetteten Einrichtung 1000 befindet, und zwar über die Kommunikationsschnittstellen 1100, 1101 bzw. 1102.
  • Kommunikationsdaten, die zwischen einer Einrichtung, wie z. B. den eingebetteten Steuerungseinrichtungen 1020, 1021, 1022 und 1023, die in der eingebetteten Einrichtung 1000 enthalten sind, und der Informations-Kommunikationseinrichtung ausgetauscht werden, die sich außerhalb der eingebetteten Einrichtung 1000 befindet, fließen in den externen Verbindungssystem-Netzwerken 1060, 1061 und 1062.
  • Die externen Verbindungssystem-Netzwerke 1060, 1061 und 1062 sind mit dem Steuerungssystem-Netzwerk 1040 über das Gateway 1080 kommunikationsmäßig verbunden.
  • Eine eingebettete Steuerungseinrichtungsgruppe, die aus den eingebetteten Steuerungseinrichtungen 1020, 1021, 1022 und 1023 gebildet ist, kann durch eine andere eingebettete Steuerungseinrichtungsgruppe oder eine einzelne eingebettete Steuerungseinrichtung ersetzt werden. Das Netzwerk, das aus dem Steuerungssystem-Netzwerk 1040, dem externen Verbindungssystem-Netzwerk 1060, dem externen Verbindungssystem-Netzwerk 1061, dem externen Verbindungssystem-Netzwerk 1062 und dem Gateway 1080 gebildet ist, kann durch das andere Netzwerk ersetzt werden. Die eingebettete Steuerungseinrichtung, die die Sicherheitsfunktion ausführt, kann von der eingebetteten Steuerungseinrichtung 1020 zur eingebetteten Steuerungseinrichtung 1021, 1022 oder 1023 wechseln.
  • Die eingebettete Steuerungseinrichtung 1020 weist Folgendes auf: einen zentralen Verarbeitungseinheits-Kern (CPU-Kern) 1120, einen CPU-Kern 1121, einen CPU-Kern 1122, einen CPU-Kern 1123, einen zwischen den Kernen gemeinsam verwendeten Cache-Speicher 1140, einen zwischen den Kernen gemeinsam verwendeten Speicher 1160 und einen Nur-Lese-Speicher (ROM) 1180. Die eingebettete Steuerungseinrichtung 1020 kann auch Elemente aufweisen, die von diesen Elementen verschieden sind.
  • 1.2 Sicherheitseinrichtung
  • 2 ist ein Blockdiagramm, das schematisch eine Funktionskonfiguration eines Gateways darstellt, das die Sicherheitseinrichtung bildet, gemäß Ausführungsform 1.
  • Das Gateway 1080 weist Folgendes auf: eine Routing-Einrichtung 1200, eine Angriffs-Detektionseinrichtung 1220, eine Filterungs-Einrichtung 1240 und eine Sicherheitsrisikozustand-Bestimmungseinrichtung 1260, wie in 2 gezeigt. Diese Elemente werden erhalten, wenn das Gateway ein installiertes Programm ausführt. Sämtliche oder einige dieser Elemente können durch Hardware verwirklicht sein, die kein Programm ausführt. Das Gateway 1080 kann auch ein Element aufweisen, das von diesen Elementen verschieden ist. Die Angriffs-Detektionseinrichtung 1220 und die Sicherheitsrisikozustand-Bestimmungseinrichtung 1260 können an der eingebetteten Steuerungseinrichtung 1020, 1021, 1022 oder 1023 angebracht sein.
  • Wenn die Routing-Einrichtung 1200 Pakete, die über ein Netzwerk empfangen worden sind, über das andere Netzwerk überträgt, führt die Routing-Einrichtung 1200 ein Routing durch, so dass das andere Netzwerk geeignet ausgewählt wird. Das Routing ist eine Funktion, die ursprünglich im Gateway 1080 enthalten ist.
  • Die Angriffs-Detektionseinrichtung 1220 detektiert einen Cyber-Angriff auf die eingebettete Einrichtung 1000. Beispiele für einen Cyber-Angriff, für welchen die Detektion durchgeführt wird, schließen Folgendes ein: einen Cyber-Angriff auf die eingebettete Einrichtung 1000 von außerhalb der eingebetteten Einrichtung 1000, wie z. B. von außerhalb des Automobils, und einen Cyber-Angriff auf die eingebettete Einrichtung 1000 von einer Einrichtung, die missbräuchlich an der eingebetteten Einrichtung 1000 angebracht ist. Die Angriffs-Detektionseinrichtung 1220 detektiert Angriffsdaten, die beispielsweise über ein externes Netzwerk übertragen werden. Dadurch detektiert sie einen Cyber-Angriff auf die eingebettete Einrichtung 1000.
  • Die Filterungs-Einrichtung 1240 führt eine Filterung von Daten durch, so dass sie verhindert, dass die Angriffsdaten, die vom Cyber-Angriff übertragen werden, vom externen Verbindungssystem-Netzwerk 1060, 1061 oder 1062 in das Steuerungssystem-Netzwerk 1040 fließen, und so dass sie verhindert, dass geheime Daten vom Steuerungssystem-Netzwerk 1040 in das externe Verbindungssystem-Netzwerks 1060, 1061 oder 1062 herausfließen.
  • Die Sicherheitsrisikozustand-Bestimmungseinrichtung 1260 bestimmt einen Sicherheitsrisikozustand, der zumindest einen von einem Typ und einem Grad des Risikos der Bedrohung der Sicherheit angibt, das von einem Cyber-Angriff ausgeht, und zwar auf der Basis des Ergebnisses der Detektion eines Cyber-Angriffs auf die eingebettete Einrichtung 1000. Eine Benachrichtigung des bestimmten Sicherheitsrisikozustands wird vom Gateway 1080 an die eingebettete Steuerungseinrichtung 1020 über das Steuerungssystem-Netzwerk 1040 übertragen.
  • 3 zeigt ein Blockdiagramm, das schematisch eine Funktionskonfiguration der eingebetteten Steuerungseinrichtung darstellt, die die Sicherheitseinrichtung bildet, gemäß Ausführungsform 1.
  • Die eingebettete Steuerungseinrichtung 1020 weist Folgendes auf: eine Hauptfunktions-Ausführungseinrichtung 1280, eine Sicherheitsfunktions-Ausführungseinrichtung 1300 und eine Ausführungsumgebungs-Steuerung 1320, wie in 3 gezeigt. Diese Elemente werden erhalten, wenn das Gateway ein installiertes Programm ausführt. Sämtliche oder einige dieser Elemente können durch Hardware verwirklicht sein, die kein Programm ausführt. Ein Speichermedium, wie z. B. das ROM 1180 speichert eine Sicherheitsfunktionstabelle 1340 in der eingebetteten Steuerungseinrichtung 1020. Die eingebettete Steuerungseinrichtung 1020 kann auch Elemente aufweisen, die von diesen Elementen verschieden sind.
  • Die Hauptfunktions-Ausführungseinrichtung 1280 führt eine Hauptfunktion zum Steuern der eingebetteten Einrichtung 1000 aus.
  • Die Sicherheitsfunktions-Ausführungseinrichtung 1300 führt eine Sicherheitsfunktion gegen einen Cyber-Angriff auf die eingebettete Einrichtung 1000 aus. Ein Schutz gegen einen Cyber-Angriff wird der eingebetteten Einrichtung 1000 durch die Sicherheitsfunktion verliehen.
  • Die Ausführungsumgebungs-Steuerung 1320 bestimmt die Sicherheitsfunktion, die von der eingebetteten Steuerungseinrichtung 1020 ausgeführt wird, gemäß dem Sicherheitsrisikozustand, der von der Sicherheitsrisikozustand-Bestimmungseinrichtung 1260 bestimmt wird. Die Ausführungsumgebungs-Steuerung 1320 bildet eine Ausführungsumgebung der Sicherheitsfunktion in der eingebetteten Steuerungseinrichtung, so dass die eingebettete Steuerungseinrichtung 1020 die bestimmte Sicherheitsfunktion gemäß dem Sicherheitsrisikozustand ausführen kann, der von der Sicherheitsrisikozustand-Bestimmungseinrichtung 1260 bestimmt wird.
  • Die Ausführungsumgebungs-Steuerung 1320 bildet eine Ausführungsumgebung der Hauptfunktion in der eingebetteten Steuerungseinrichtung 1020 gemäß dem Sicherheitsrisikozustand, der von der Sicherheitsrisikozustand-Bestimmungseinrichtung 1260 bestimmt wird.
  • Die Ausführungsumgebung jeder Funktion der Sicherheitsfunktion und der Hauptfunktion ist eine Betriebsumgebung der eingebetteten Steuerungseinrichtung 1020, die zum Ausführen jeder Funktion notwendig ist. Die Ausführungsumgebung jeder Funktion wird beispielsweise durch eine Computerressource definiert, die jeder Funktion zugewiesen ist, sowie dem Betriebsmodus eines CPU-Kerns. Die Computerressource gibt beispielsweise Folgendes an: die Anzahl von CPU-Kernen, eine Obergrenze für die Nutzungsrate von CPU-Kernen 1020, 1021, 1022 und 1023, eine Obergrenze für die genutzte Menge des zwischen den Kernen gemeinsam verwendeten Cache-Speichers 1140 und eine Obergrenze für die genutzte Menge des zwischen den Kernen gemeinsam verwendeten Speichers 1160.
  • Die Ausführungsumgebung jeder Funktion kann durch eine Vorgabe, die von der Computerressource verschieden ist, die jeder Funktion zugewiesen ist, sowie dem Betriebsmodus des CPU-Kerns definiert werden, und zwar anstelle oder zusätzlich zu der Computerressource, die jeder Funktion zugewiesen ist, und dem Betriebsmodus des CPU-Kerns. Die Vorgabe gibt beispielsweise Folgendes an: eine Obergrenze des genutzten Werts der Netzwerkbandbreite, einen zugänglichen bzw. ansprechbaren Eingabe-Ausgabe-Port (I/O-Port), einen zugänglichen bzw. ansprechbaren dedizierten Beschleuniger, eine Zuweisung des CPU-Kerns, der von einer Unterbrechung (Interrupt) benachrichtigt worden ist.
  • Wenn die eingebettete Steuerungseinrichtung 1020 ein System zum Durchführen einer prioritätsbasierten Rechenzeitvergabe (scheduling) aufweist, kann die Ausführungsumgebung jeder Funktion beispielsweise durch einen Prioritätsgrad und einen Zyklus einer Aufgabe (Task) definiert werden, der jede Funktion ausführt, und zwar anstelle der Nutzungsrate der CPU-Kerne 1020, 1021, 1022 und 1023.
  • 4 ist eine Zeichnung, die schematisch eine Sicherheitsfunktionstabelle darstellt, die in einer eingebetteten Steuerungseinrichtung gespeichert ist, die die Sicherheitseinrichtung bildet, gemäß Ausführungsform 1.
  • Die Ausführungsumgebungs-Steuerung 1320 bezieht sich auf die Sicherheitsfunktionstabelle 1340, die in 4 dargestellt ist, und zwar beim Bestimmen der Sicherheitsfunktion, der Konfigurationsinhalte der Ausführungsumgebung der Sicherheitsfunktion und der Konfigurationsinhalte der Ausführungsumgebung der Hauptfunktion.
  • Die Sicherheitsfunktionstabelle 1340 enthält eine Mehrzahl von Sicherheitsrisikozuständen 1361, 1362, 1363, 1364 und 1365. Die Sicherheitsfunktionstabelle 1340 weist Folgendes auf: eine Mehrzahl von Sicherheitsfunktionen 1381, 1382, 1383, 1384 und 1385, die einer Mehrzahl von Sicherheitsrisikozuständen 1361, 1362, 1363, 1364 bzw. 1365 entsprechen, Konfigurationsinhalte 1401, 1402, 1403, 1404 und 1405 von Ausführungsumgebungen der Mehrzahl von Sicherheitsfunktionen entsprechend der Mehrzahl von Sicherheitsrisikozuständen 1361, 1362, 1363, 1364 bzw. 1365, und Konfigurationsinhalte 1421, 1422, 1423, 1424, und 1425 von Ausführungsumgebungen einer Mehrzahl von Hauptfunktionen entsprechend der Mehrzahl von Sicherheitsrisikozuständen 1361, 1362, 1363, 1364, bzw. 1365.
  • Die Sicherheitsfunktionstabelle 1340 weist eine Mehrzahl von Identifizierern (ID) 1441, 1442, 1443, 1444 und 1445 auf, entsprechend der Mehrzahl von Sicherheitsrisikozuständen 1361, 1362, 1363, 1364 bzw. 1365. Jede ID der Mehrzahl von IDs 1441, 1442, 1443, 1444 und 1445 wird einer Menge zugewiesen aus dem Sicherheitsrisikozustand entsprechend jeder ID, der Sicherheitsfunktion entsprechend dem Sicherheitsrisikozustand, dem Konfigurationsinhalt der Ausführungsumgebung der Sicherheitsfunktion entsprechend dem Sicherheitsrisikozustand und dem Konfigurationsinhalt der Ausführungsumgebung der Hauptfunktion entsprechend dem Sicherheitsrisikozustand.
  • Der Konfigurationsinhalt der Ausführungsumgebung der Sicherheitsfunktion, entsprechend jedem Sicherheitsrisikozustand der Mehrzahl von Sicherheitsrisikozuständen 1361, 1362, 1363, 1364 und 1365, wird auf der Basis einer Schätzung von Computerressourcen bestimmt, die notwendig sind, um die Sicherheitsfunktion entsprechend jedem Sicherheitsrisikozustand in einem vorgegebenen Zeitraum abzuschließen, und deren Ergebnis.
  • Der Konfigurationsinhalt der Ausführungsumgebung der Hauptfunktion entsprechend jedem Sicherheitsrisikozustand der Mehrzahl von Sicherheitsrisikozuständen 1361, 1362, 1363, 1364 und 1365 wird bestimmt, in dem eine Computerressource erhalten wird, die der Hauptfunktion zugewiesen werden kann, und zwar aus einer Computerressource, die an der eingebetteten Steuerungseinrichtung 1020 montiert ist, und einer Computerressource, die im Konfigurationsinhalt der Ausführungsumgebung der Sicherheitsfunktion entsprechend jedem Sicherheitsrisikozustand benötigt wird.
  • Die Ausführungsumgebungs-Steuerung 1320 bezieht sich auf die Sicherheitsfunktionstabelle 1340 und wählt den Sicherheitsrisikozustand aus, der mit dem Sicherheitsrisikozustand zusammenfällt, der von der Sicherheitsrisikozustand-Bestimmungseinrichtung 1260 bestimmt wird, und zwar aus der Mehrzahl von Sicherheitsrisikozuständen 1361, 1362, 1363, 1364 und 1365, die in der Sicherheitsfunktionstabelle 1340 enthalten sind. Die Ausführungsumgebungs-Steuerung 1320 wählt die Sicherheitsfunktion entsprechend dem ausgewählten Sicherheitsrisikozustand aus der Mehrzahl von Sicherheitsfunktionen 1381, 1382, 1383, 1384 und 1385 aus, die in der Sicherheitsfunktionstabelle 1340 enthalten sind.
  • Die Ausführungsumgebungs-Steuerung 1320 wählt den Konfigurationsinhalt der Ausführungsumgebung der Sicherheitsfunktion entsprechend dem ausgewählten Sicherheitsrisikozustand aus den Konfigurationsinhalten 1401, 1402, 1403, 1404 und 1405 der Ausführungsumgebung der Mehrzahl von Sicherheitsfunktionen aus, die in der Sicherheitsfunktionstabelle 1340 enthalten sind. Die Ausführungsumgebungs-Steuerung 1320 wählt den Konfigurationsinhalt der Ausführungsumgebung der Hauptfunktion entsprechend dem ausgewählten Sicherheitsrisikozustand aus den Konfigurationsinhalten 1421, 1422, 1423, 1424 und 1425 der Ausführungsumgebung der Mehrzahl von Hauptfunktionen aus, die in der Sicherheitsfunktionstabelle 1340 enthalten sind.
  • Die Ausführungsumgebungs-Steuerung 1320 gibt die ausgewählte Sicherheitsfunktion als eine Sicherheitsfunktion vor, die von der eingebetteten Steuerungseinrichtung 1020 ausgeführt wird. Die Ausführungsumgebungs-Steuerung 1320 veranlasst, dass die Ausführungsumgebung der gebildeten Sicherheitsfunktion den Konfigurationsinhalt der Ausführungsumgebung der ausgewählten Sicherheitsfunktion enthält. Die Ausführungsumgebungs-Steuerung 1320 veranlasst, dass die Ausführungsumgebung der gebildeten Hauptfunktion den Konfigurationsinhalt der Ausführungsumgebung der ausgewählten Hauptfunktion enthält.
  • Gemäß den obigen Prozessen wird die Sicherheitsfunktion, die von der eingebetteten Steuerungseinrichtung 1020 ausgeführt wird, gemäß dem Sicherheitsrisikozustand bestimmt, der von der Sicherheitsrisikozustand-Bestimmungseinrichtung 1260 bestimmt wird, und die Ausführungsumgebung der Sicherheitsfunktion und die Ausführungsumgebung der Hauptfunktion in der eingebetteten Steuerungseinrichtung 1020 werden gebildet.
  • Es ist auch denkbar, dass die Ausführungsumgebungs-Steuerung 1320 die Sicherheitsfunktion bestimmt, die von der eingebetteten Steuerungseinrichtung 1020 ausgeführt wird, ohne dass sie sich auf die Sicherheitsfunktionstabelle 1340 bezieht, um die Ausführungsumgebung der Sicherheitsfunktion und die Ausführungsumgebung der Hauptfunktion in der eingebetteten Steuerungseinrichtung 1020 zu bilden. Beispielsweise kann die Ausführungsumgebungs-Steuerung 1320 diese Prozesse unter Verwendung eines Programms durchführen, das eine Zustandsbestimmung durchführt, oder sie kann diese Prozesse unter Verwendung eines Lernprogramms durchführen, das ein Maschinenlemen durchführt.
  • 1.3 Sicherheitsfunktionstabelle
  • Der Sicherheitsrisikozustand 1361, der in 4 gezeigt ist, gibt an, dass eine unauthentifizierte Nachricht mit hoher Empfangsfrequenz empfangen wird. Der Sicherheitsrisikozustand 1361 nimmt eine Bedrohung an, wie z. B. eine Übertragung von unauthentifizierten Daten zum Zwecke der unauthentifizierten Steuerung eines Automobils, einen Dienstverweigerungsangriff (denial of service) und ein unauthentifiziertes Beziehen von Daten zum Zwecke des Diebstahls geheimer Daten.
  • Die Sicherheitsfunktion 1381 entsprechend dem Sicherheitsrisikozustand 1361 schließt eine Nachricht-Authentifizierungsfunktion, eine Paketüberwachung und eine Datenverschlüsselung ein. Gemäß der Nachricht-Authentifizierungsfunktion kann die Vollständigkeit einer Nachricht und die Gültigkeit (Authentizität) der Quelle einer Nachricht gewährleistet werden, und es ist möglich, der Übertragung der unauthentifizierten Daten entgegenzuwirken.
  • Gemäß der Paketüberwachung kann ein Kommunikationsvolumen im Steuerungssystem-Netzwerk 1040 überwacht werden, und ein spezifisches Paket kann blockiert werden, wenn anormaler Verkehr detektiert wird. Folglich ist es möglich, einem DoS-Angriff entgegenzuwirken. Gemäß der Datenverschlüsselung kann die Überwachung bzw. das Mitschneiden von übertragenen und empfangenen Daten verhindert werden. Folglich ist es möglich, dem unauthentifizierten Beziehen von Daten entgegenzuwirken.
  • Der Konfigurationsinhalt 1401 der Ausführungsumgebung der Sicherheitsfunktion entsprechend dem Sicherheitsrisikozustand 1361 enthält die Obergrenze der Nutzungsrate der CPU-Kerne 1020, 1021, 1022 und 1023, den Betriebsmodus des CPU-Kerns, die Obergrenze der verwendeten Menge des zwischen den Kernen gemeinsam verwendeten Cache-Speichers 1140 und die Obergrenze der verwendeten Menge des zwischen den Kernen gemeinsam verwendeten Speichers 1160. Der Konfigurationsinhalt 1401 der Ausführungsumgebung der Sicherheitsfunktion definiert die Ausführungsumgebung der Sicherheitsfunktion, die notwendig ist, um die Sicherheitsfunktion 1381 auszuführen.
  • Die Obergrenze der Nutzungsrate der CPU-Kerne 1020, 1021, 1022 und 1023, die Obergrenze der verwendeten Menge des zwischen den Kernen gemeinsam verwendeten Cache-Speichers 1140 und die Obergrenze der verwendeten Menge des zwischen den Kernen gemeinsam verwendeten Speichers 1160, die im Konfigurationsinhalt 1401 der Ausführungsumgebung der Sicherheitsfunktion enthalten sind, sind größer als die Obergrenze der Nutzungsrate der CPU-Kerne 1020, 1021, 1022 und 1023, die Obergrenze der verwendeten Menge des zwischen den Kernen gemeinsam verwendeten Cache-Speichers 1040 und die Obergrenze der verwendeten Menge des zwischen den Kernen gemeinsam verwendeten Speichers 1160, die in den Konfigurationsinhalten 1402, 1403, 1404 und 1405 der Ausführungsumgebung der Sicherheitsfunktion enthalten sind. Demzufolge kann die Datenverschlüsselung erzielt werden, die eine komplizierte Berechnung benötigt.
  • Der Betriebsmodus des CPU-Kerns, der im Konfigurationsinhalt 1401 der Ausführungsumgebung der Sicherheitsfunktion enthalten ist, ist ein sicherer Modus. Demzufolge kann der Zugriff auf einen Schlüssel erreicht werden, der zum Ausführen der Nachricht-Authentifizierungsfunktion und der Datenverschlüsselung notwendig ist.
  • Der Sicherheitsrisikozustand 1362 gibt an, dass eine unauthentifizierte Nachricht mit niedriger Empfangsfrequenz empfangen wird. Die Empfangsfrequenz der unauthentifizierten Nachricht im Sicherheitsrisikozustand 1362 ist niedriger als die Empfangsfrequenz der unauthentifizierten Nachricht im Sicherheitsrisikozustand 1361. Beim Sicherheitsrisikozustand 1362 wird die Übertragung der unauthentifizierten Daten angenommen.
  • Die Sicherheitsfunktion 1382 entsprechend dem Sicherheitsrisikozustand 1362 schließt eine Datenformat-Überwachung ein. Die Datenformat-Überwachung gibt einen Prozess zum Überwachen an, ob oder ob nicht Daten außerhalb eines Wertebereichs sind, wenn der Wertebereich, den die Daten annehmen, in den Spezifikationen definiert ist, und der annimmt, dass die Daten gefälschte unauthentifizierte Daten sind, wenn die Daten außerhalb des Wertebereichs liegen.
  • Wenn beispielsweise ein Wertebereich gleich groß wie oder größer als 0 km/h und gleich groß wie oder kleiner als 200 km/h als Geschwindigkeitsdaten in den Spezifikationen definiert ist, werden Daten von -10 km/h, was außerhalb des Wertebereichs gleich groß wie oder größer als 0 km/h und gleich groß wie oder kleiner als 200 km/h liegt, als gefälschte unauthentifizierte Geschwindigkeitsdaten angenommen.
  • Die Verarbeitungslast, die die Datenformat-Überwachung der eingebetteten Steuerungseinrichtung 1020 aufbürdet, ist kleiner als die Verarbeitungslast, die die Nachricht-Authentifizierungsfunktion, die Paketüberwachung und die Datenverschlüsselung der eingebetteten Steuerungseinrichtung 1020 aufbürden.
  • Es ist möglich, der Übertragung der unauthentifizierten Daten mittels Datenformat-Überwachung entgegenzuwirken. Es wird der Prozess durchgeführt, bei welchem der Übertragung der unauthentifizierten Daten durch die Datenformat-Überwachung entgegengewirkt wird, die nur eine kleine Verarbeitungslast bedeutet, da der Risikograd der Sicherheit relativ klein ist, wenn eine unauthentifizierte Nachricht mit einer niedrigen Empfangsfrequenz empfangen wird.
  • Der Konfigurationsinhalt 1402 der Ausführungsumgebung der Sicherheitsfunktion entsprechend dem Sicherheitsrisikozustand 1362 enthält die Obergrenze der Nutzungsrate der CPU-Kerne 1020, 1021, 1022 und 1023, den Betriebsmodus des CPU-Kerns, die Obergrenze der verwendeten Menge des zwischen den Kernen gemeinsam verwendeten Cache-Speichers 1140 und die Obergrenze der verwendeten Menge des zwischen den Kernen gemeinsam verwendeten Speichers 1160. Der Konfigurationsinhalt 1402 der Ausführungsumgebung der Sicherheitsfunktion definiert die Ausführungsumgebung der Sicherheitsfunktion, die notwendig ist, um die Sicherheitsfunktion 1382 auszuführen.
  • Der Betriebsmodus des CPU-Kerns, der im Konfigurationsinhalt 1402 der Ausführungsumgebung der Sicherheitsfunktion enthalten ist, ist ein normaler Modus. Der Grund dafür ist, dass ein Zugriff auf Daten mit hohem Geheimhaltungsgrad, wie z. B. auf einen Schlüssel, nicht notwendig ist.
  • Der Sicherheitsrisikozustand 1363 gibt an, dass ein Angriffsszenario detektiert wird, das zu einem Hackerangriff in eine spezifische eingebettete Steuerungseinrichtung oder eine Impersonation bzw. einem betrügerischen Zueigenmachen einer spezifischen eingebetteten Steuerungseinrichtung führt. Der Sicherheitsrisikozustand 1363 nimmt eine Bedrohung an, wie z. B. eine Übertragung von unauthentifizierten Daten zum Zwecke der unauthentifizierten Steuerung eines Automobils und ein unauthentifiziertes Beziehen von Daten zum Zwecke des Diebstahls geheimer Daten.
  • Wenn ein Programm versucht, sich in die eingebettete Steuerungseinrichtung zu hacken oder sich die eingebettete Steuerungseinrichtung zu eigen zu machen, und zwar über ein externes Netzwerk, besteht ein Angriffsszenario, und das Programm zeigt ein Verhalten, das mit dem Angriffsszenario übereinstimmt. Beispielsweise zeigt das Programm, das versucht, sich in die eingebettete Steuerungseinrichtung zu hacken, ein Verhalten, das mit den Angriffsszenarien (1), (2), (3) und (4) übereinstimmt, die nachfolgend beschrieben sind.
    • (1) Das Programm bezieht eine IP-Adresse unter Verwendung eines Netzwerk-Inspektionsbefehls.
    • (2) Das Programm führt einen Port-Scan durch, um einen Dienst zu spezifizieren, der von jedem Port bereitgestellt wird.
    • (3) Das Programm überträgt eine Mehrzahl von Paketen an jeden Port und spezifiziert einen Typ und eine Versionsnummer der Software unter Verwendung jedes Ports gemäß einer Antwort auf die übertragene Mehrzahl von Paketen.
    • (4) Wenn der Typ und die Versionsnummer der spezifizierten Software eine Anfälligkeit bzw. Schwachstelle aufweisen, hackt das Programm die eingebettete Steuerungseinrichtung unter Verwendung der in ihr bestehenden Schwachstelle.
  • Demzufolge können das Angriffsszenario, das zum Hacken in die spezifische eingebettete Steuerungseinrichtung und zum Zueigenmachen der spezifischen eingebetteten Steuerungseinrichtung führt, detektiert werden, indem das Verhalten überwacht wird, das vom Programm angegeben wird, und das Verhalten detektiert wird, das mit dem Angriffsszenario zusammenfällt.
  • Die Sicherheitsfunktion 1383 entsprechend dem Sicherheitsrisikozustand 1363 schließt eine Nachricht-Authentifizierungsfunktion und eine Datenverschlüsselung ein. Wie oben beschrieben, kann gemäß der Nachricht-Authentifizierungsfunktion die Vollständigkeit der Nachricht und die Gültigkeit (Authentizität) der Quelle der Nachricht gewährleistet werden, und es ist möglich, der Übertragung der unauthentifizierten Daten entgegenzuwirken. Wie oben beschrieben, kann gemäß der Datenverschlüsselung die Überwachung bzw. das Mitschneiden von übertragenen und empfangenen Daten verhindert werden. Folglich ist es möglich, dem unauthentifizierten Beziehen von Daten entgegenzuwirken.
  • Der Konfigurationsinhalt 1403 der Ausführungsumgebung der Sicherheitsfunktion entsprechend dem Sicherheitsrisikozustand 1363 enthält die Obergrenze der Nutzungsrate der CPU-Kerne 1020, 1021, 1022 und 1023, den Betriebsmodus des CPU-Kerns, die Obergrenze der verwendeten Menge des zwischen den Kernen gemeinsam verwendeten Cache-Speichers 1140 und die Obergrenze der verwendeten Menge des zwischen den Kernen gemeinsam verwendeten Speichers 1160. Der Konfigurationsinhalt 1403 der Ausführungsumgebung der Sicherheitsfunktion definiert die Ausführungsumgebung der Sicherheitsfunktion, die notwendig ist, um die Sicherheitsfunktion 1383 auszuführen.
  • Der Betriebsmodus des CPU-Kerns, der im Konfigurationsinhalt 1403 der Ausführungsumgebung der Sicherheitsfunktion enthalten ist, ist ein sicherer Modus. Demzufolge kann der Zugriff auf einen Schlüssel erreicht werden, der zum Ausführen der Nachricht-Authentifizierungsfunktion und der Datenverschlüsselung notwendig ist.
  • Der Sicherheitsrisikozustand 1364, der in der Sicherheitsfunktionstabelle 1340 enthalten ist, gibt an, dass das Angriffsszenario detektiert wird, das zu dem unauthentifizierten Beziehen von Daten führt. Der Sicherheitsrisikozustand 1364 nimmt eine Bedrohung an, wie z. B. dass das unauthentifizierte Beziehen von Daten dem Zweck dient, geheime Daten zu stehlen.
  • Die Sicherheitsfunktion 1384 entsprechend dem Sicherheitsrisikozustand 1364 schließt die Datenverschlüsselung ein. Wie oben beschrieben, kann gemäß der Datenverschlüsselung die Überwachung bzw. das Mitschneiden von übertragenen und empfangenen Daten verhindert werden. Folglich ist es möglich, dem unauthentifizierten Beziehen von Daten entgegenzuwirken.
  • Der Konfigurationsinhalt 1404 der Ausführungsumgebung der Sicherheitsfunktion entsprechend dem Sicherheitsrisikozustand 1364 enthält die Obergrenze der Nutzungsrate der CPU-Kerne 1020, 1021, 1022 und 1023, den Betriebsmodus des CPU-Kerns, die Obergrenze der verwendeten Menge des zwischen den Kernen gemeinsam verwendeten Cache-Speichers 1140 und die Obergrenze der verwendeten Menge des zwischen den Kernen gemeinsam verwendeten Speichers 1160. Der Konfigurationsinhalt 1404 der Ausführungsumgebung der Sicherheitsfunktion definiert die Ausführungsumgebung der Sicherheitsfunktion, die notwendig ist, um die Sicherheitsfunktion 1384 auszuführen.
  • Der Betriebsmodus des CPU-Kerns, der im Konfigurationsinhalt 1404 der Ausführungsumgebung der Sicherheitsfunktion enthalten ist, ist ein sicherer Modus. Demzufolge kann der Zugriff auf einen Schlüssel erreicht werden, der zur Datenverschlüsselung notwendig ist.
  • Der Sicherheitsrisikozustand 1365 gibt an, dass eine unauthentifizierte Verbindung durchgeführt wird, bei der direkt eine unauthentifizierte Einrichtung mit dem Steuerungssystem-Netzwerk 1040 verbunden wird. Der Sicherheitsrisikozustand 1365 nimmt eine Bedrohung an, wie z. B. die Übertragung von unauthentifizierten Daten, das unauthentifizierte Beziehen von Daten und die unauthentifizierte Ausführung des unauthentifizierten Programms auf der eingebetteten Steuerungseinrichtung 1020. Bezüglich der Ausführung des unauthentifizierten Programms wird angenommen, dass das unauthentifizierte Programm in der eingebetteten Steuerungseinrichtung 1020 installiert ist und das installierte unauthentifizierte Programm ausgeführt wird.
  • Die Sicherheitsfunktion 1385 entsprechend dem Sicherheitsrisikozustand 1365 schließt die Nachricht-Authentifizierungsfunktion, eine Ressourcenüberwachung und die Datenverschlüsselung ein. Wie oben beschrieben, kann gemäß der Nachricht-Authentifizierungsfunktion die Vollständigkeit der Nachricht und die Gültigkeit (Authentizität) der Quelle der Nachricht gewährleistet werden, und es ist möglich, der Übertragung der unauthentifizierten Daten entgegenzuwirken. Gemäß der Ressourcenüberwachung wird ein Ausführungsprofil des Programms überwacht, und die Ausführung des Programms kann beschränkt werden, wenn das überwachte Ausführungsprofil das anormale Verhalten zeigt.
  • Folglich ist es möglich, der Ausführung eines unauthentifizierten Programms entgegenzuwirken. Das überwachte Ausführungsprofil ist beispielsweise die Nutzungsrate der CPU-Kerne 1020, 1021, 1022 und 1023 und die verwendete Menge des zwischen den Kernen gemeinsam verwendeten Speichers 1160. Wie oben beschrieben, kann gemäß der Datenverschlüsselung die Überwachung bzw. das Mitschneiden von übertragenen und empfangenen Daten verhindert werden. Folglich ist es möglich, dem unauthentifizierten Beziehen von Daten entgegenzuwirken.
  • Der Konfigurationsinhalt 1405 der Ausführungsumgebung der Sicherheitsfunktion entsprechend dem Sicherheitsrisikozustand 1365 enthält die Obergrenze der Nutzungsrate der CPU-Kerne 1020, 1021, 1022 und 1023, den Betriebsmodus des CPU-Kerns, die Obergrenze der verwendeten Menge des zwischen den Kernen gemeinsam verwendeten Cache-Speichers 1140 und die Obergrenze der verwendeten Menge des zwischen den Kernen gemeinsam verwendeten Speichers 1160. Der Konfigurationsinhalt 1405 der Ausführungsumgebung der Sicherheitsfunktion definiert die Ausführungsumgebung der Sicherheitsfunktion, die notwendig ist, um die Sicherheitsfunktion 1385 auszuführen.
  • Der Betriebsmodus des CPU-Kerns, der im Konfigurationsinhalt 1405 der Ausführungsumgebung der Sicherheitsfunktion enthalten ist, ist ein privilegierter Modus. Es ist daher ein Zugriff auf eine Performanz-Überwachungseinheit (PMU) möglich, die in eine CPU eingebaut ist, die zum Ausführen der Ressourcenüberwachung erforderlich ist.
  • 1.4 Betrieb
  • 5 ist ein Ablaufdiagramm, das den Betrieb des Gateways in einem Fall darstellt, in welchem die eingebettete Einrichtung einen Cyber-Angriff erhält, in der Sicherheitseinrichtung gemäß Ausführungsform 1. 6 ist ein Ablaufdiagramm, das den Betrieb der eingebetteten Steuerungseinrichtung in einem Fall zeigt, in welchem die eingebettete Einrichtung einen Cyber-Angriff erhält, in der Sicherheitseinrichtung gemäß Ausführungsform 1.
  • Im Schritt S101, der in 5 dargestellt ist, führt die Angriffs-Detektionseinrichtung 1220 eine Angriffs-Detektionsverarbeitung aus. Bei der Angriffs-Detektionsverarbeitung wird ein Cyber-Angriff auf die eingebettete Einrichtung 1000 detektiert.
  • Im Schritt S102, der auf den Schritt S101 folgt, wird das Vorhandensein oder Nichtvorhandensein des Angriffs bestimmt. Wenn im Schritt S102 bestimmt wird, dass ein Cyber-Angriff auf die eingebettete Einrichtung 1000 durchgeführt wird, fährt der Prozess mit Schritt S103 fort. Wenn indessen im Schritt S102 bestimmt wird, dass ein Cyber-Angriff nicht auf die eingebettete Einrichtung 1000 durchgeführt wird, fährt der Prozess mit Schritt S105 fort.
  • Wenn bestimmt wird, dass ein Cyber-Angriff durchgeführt wird, führt die Filterungs-Einrichtung 1240 die Paketfilterung im Schritt S103 aus, und die Sicherheitsrisikozustand-Bestimmungseinrichtung 1260 bestimmt den Sicherheitsrisikozustand im Schritt S104, der auf den Schritt S103 folgt. Ein unauthentifiziertes Paket wird von der Paketfilterung blockiert. Der Sicherheitsrisikozustand wird aus Informationen bestimmt, die die Inhalte eines Cyber-Angriffs angeben.
  • Im Schritt S105, der auf den Schritt S102 oder den Schritt S104 folgt, überträgt die Sicherheitsrisikozustand-Bestimmungseinrichtung 1260 eine Benachrichtigung über den Sicherheitsrisikozustand an die eingebettete Steuerungseinrichtung 1020. Wenn im Schritt S102 bestimmt wird, dass ein Cyber-Angriff auf die eingebettete Einrichtung 1000 erfolgt, und der Sicherheitsrisikozustand im Schritt S104 bestimmt wird, ist der Sicherheitsrisikozustand, der zur Benachrichtigung übertragen wird, der im Schritt S104 bestimmte Sicherheitsrisikozustand.
  • Wenn im Schritt S102 bestimmt wird, dass ein Cyber-Angriff auf die eingebettete Einrichtung 1000 nicht erfolgt, ist der Sicherheitsrisikozustand, der zur Benachrichtigung übertragen wird, der Sicherheitsrisikozustand, der angibt, dass ein Cyber-Angriff auf die eingebettete Einrichtung 1000 nicht erfolgt.
  • Die Routing-Einrichtung 1200 führt ein normales Paket-Routing im Schritt S106 aus, der auf den Schritt S105 folgt. Beim normalen Paket-Routing werden normale Daten, die einem Cyber-Angriff nicht ausgesetzt sind, an das geeignete Netzwerk geroutet.
  • Die Ausführungsumgebungs-Steuerung 1320 startet die Ausführungsumgebungs-Steuerungsverarbeitung, die die Schritte S 107 bis S 110 einschließt, wie in 6 gezeigt, synchron mit dem Empfang des Sicherheitsrisikozustands. Eine asynchrone Verarbeitung kann anstelle der synchronen Verarbeitung ausgeführt werden, bei welcher die Ausführungsumgebungs-Steuerungsverarbeitung synchron mit dem Empfang des Sicherheitsrisikozustands gestartet wird.
  • Beispielsweise kann eine asynchrone Verarbeitung ausgeführt werden, bei welcher die Ausführungsumgebungs-Steuerung 1320 die Ausführungsumgebungs-Steuerungsverarbeitung startet, wenn die Hauptfunktions-Ausführungseinrichtung 1280 die Ausführung der Hauptfunktion startet.
  • Im Schritt S107 bezieht sich die Ausführungsumgebungs-Steuerung 1320 auf die Sicherheitsfunktionstabelle 1340. Die Ausführungsumgebungs-Steuerung 1320 erfasst den Konfigurationsinhalt der Ausführungsumgebung der Sicherheitsfunktion entsprechend dem Sicherheitsrisikozustand, der zur Benachrichtigung übertragen wird, und den Konfigurationsinhalt der Ausführungsumgebung der Hauptfunktion.
  • Im Schritt S 108 der auf den Schritt S107 folgt, bildet die Ausführungsumgebungs-Steuerung 1320 die Ausführungsumgebung der Hauptfunktion gemäß dem Konfigurationsinhalt der Ausführungsumgebung der erhaltenen Hauptfunktion. Wenn es keine Notwendigkeit gibt, die Ausführungsumgebung der Hauptfunktion zu bilden, wird Schritt S108 jedoch nicht ausgeführt. Wenn beispielsweise die Ausführungsumgebung der Hauptfunktion automatisch von Systemsoftware, wie z. B. einem Betriebssystem gemäß einem Prioritätsgrad des CPU-Kerns gesteuert wird, der der Sicherheitsfunktion zugewiesen ist, und einem Task, der die Sicherheitsfunktion ausführt, dann wird Schritt S108 nicht ausgeführt.
  • Der Prozess, in welchem die Ausführungsumgebung der Hauptfunktion gebildet wird, schließt zumindest eines von Folgendem ein: eine Kernmigration der Hauptfunktion auf den CPU-Kern, der nicht die Sicherheitsfunktion ausführt, eine Beschränkung der verwendeten Speichermenge, eine Beschränkung der CPU-Nutzungsrate, eine Wiederzuweisung des CPU-Kerns für einen Interrupt, eine Wiederzuweisung eines CPU-Kerns zur Eingabe/Ausgabe, eine Cache-Wartungsverarbeitung und ein Zurücksetzen einer Speicherverwaltungseinheit (MMU).
  • Im Schritt S 109 der auf den Schritt S108 folgt, bildet die Ausführungsumgebungs-Steuerung 1320 die Ausführungsumgebung der Sicherheitsfunktion gemäß dem Konfigurationsinhalt der Ausführungsumgebung der erhaltenen Sicherheitsfunktion. Der Prozess, in welchem die Ausführungsumgebung der Sicherheitsfunktion gebildet wird, schließt zumindest eines von Folgendem ein: eine Zuweisung des CPU-Kerns, der die Sicherheitsfunktion ausführt, ein Vorgeben des Betriebsmodus der CPU, eine Zuweisung des CPU-Kerns für einen Interrupt, eine Wiederzuweisung eines CPU-Kerns zur Eingabe/Ausgabe und eine Vorgabe eines Cache-Lockdowns.
  • Im Schritt S 110, der auf den Schritt S 109 folgt, wird die Sicherheitsfunktion aktiviert.
  • 1.5 Beispiel zum Wechseln der Ausführungsumgebung
  • 7 und 8 sind Zeichnungen, die jeweils schematisch ein Beispiel zum Wechseln der Ausführungsumgebung darstellen, in der eingebetteten Einrichtung, die die Sicherheitseinrichtung enthält, gemäß Ausführungsform 1.
  • 7 veranschaulicht einen Zustand, in welchem der bestimmte Sicherheitsrisikozustand ein niedriger Sicherheitsrisikozustand ist, der angibt, dass ein Cyber-Angriff nicht auf die eingebettete Einrichtung 1000 erfolgt. 7 veranschaulicht einen Zustand, in welchem sämtliche Computerressourcen, die in die eingebettete Steuerungseinrichtung 1020 eingebaut sind, zum Ausführen der Hauptfunktion 1460 in einem solchen normalen Betriebszustand verwendet werden.
  • 8 veranschaulicht einen Zustand, in welchem der bestimmte Sicherheitsrisikozustand der Sicherheitsrisikozustand 1365 ist. 8 veranschaulicht einen Zustand, in welchem ein CPU-Kern 1123, ein Teil des zwischen den Kernen gemeinsam verwendeten Cache-Speichers 1140 und ein Teil des zwischen den Kernen gemeinsam verwendeten Speichers 1160, die in der Computerressource enthalten sind, die in der eingebetteten Steuerungseinrichtung 1020 eingebaut sind, zum Ausführen der Sicherheitsfunktion 1461 verwendet werden, und bei welchem die verbleibenden Elemente, die in der Computerressource enthalten sind, die in der eingebetteten Steuerungseinrichtung 1020 eingebaut sind, zum Ausführen der Hauptfunktion 1460 in einem solchen Sicherheits-Erweiterungsbetrieb verwendet werden.
  • 1.6 Wirkung der Ausführungsform 1
  • Bei der Ausführungsform 1 wird die Ausführungsumgebung der Sicherheitsfunktion in der eingebetteten Steuerungseinrichtung 1020 gebildet, so dass die eingebettete Steuerungseinrichtung 1020 die Sicherheitsfunktion gegen einen Cyber-Angriff gemäß zumindest einem von dem Typ und dem Grad des Risikos der Bedrohung der Sicherheit ausführen kann, die vom Cyber-Angriff ausgeht. Demzufolge kann die Sicherheitsfunktion geeignet ausgeführt werden, während der Einfluss auf die Ausführung der Hauptfunktion in der eingebetteten Steuerungseinrichtung 1020 unterbunden wird. Insbesondere kann ein hoher Grad der Sicherheitsfunktion ausgeführt werden, wenn es ein hohes Sicherheitsrisiko gibt.
  • 2 Ausführungsform 2
  • Bei der Ausführungsform 1 wird die Ausführungsumgebung der Hauptfunktion gemäß dem Sicherheitsrisikozustand gebildet. Der Inhalt der Hauptfunktion wird jedoch vom Sicherheitsrisikozustand nicht beeinflusst. Im Gegensatz dazu wird bei der Ausführungsform 2 der Inhalt der Hauptfunktion gemäß dem Inhalt der Sicherheitsfunktion geändert, und zwar zusätzlich zu dem Prozess, dass die Ausführungsumgebung der Hauptfunktion gemäß dem Sicherheitsrisikozustand gebildet wird.
  • Nachfolgend wird die Konfiguration der Ausführungsform 2 beschrieben, die sich auf den oben beschriebenen Unterschied bezieht. Hinsichtlich der Konfiguration, bei der die Beschreibung fehlt, wird die Konfiguration, die bei der Ausführungsform 1 angenommen wird, auch bei der Ausführungsform 2 angenommen, und zwar so, wie sie ist, oder nach einer Modifikation.
  • 9 ist ein Blockdiagramm, das schematisch die eingebettete Steuerungseinrichtung darstellt, die die Sicherheitseinrichtung bildet, gemäß Ausführungsform 2.
  • Die eingebettete Steuerungseinrichtung 1020, die in 9 veranschaulicht ist, weist Folgendes auf: die Hauptfunktions-Ausführungseinrichtung 1280, die Sicherheitsfunktions-Ausführungseinrichtung 1300 und die Ausführungsumgebungs-Steuerung 1320, und zwar auf eine Weise ähnlich wie bei der Ausführungsform 1. Ein Speichermedium, wie z. B. das ROM 1180 speichert eine Sicherheitsfunktionstabelle 1340 in der eingebetteten Steuerungseinrichtung 1020, und zwar auf eine Weise ähnlich wie bei der Ausführungsform 1. Außerdem speichert ein Speichermedium, wie z. B. das ROM 1180 eine Hauptfunktions-Betriebsmodustabelle 1480 in der eingebetteten Steuerungseinrichtung 1020.
  • Die Ausführungsumgebungs-Steuerung 1320 bestimmt den Betriebsmodus der Hauptfunktion, so dass die Funktion von einer Computerressource der eingebetteten Steuerungseinrichtung 1020 ausgeführt werden kann, die der Hauptfunktion zugewiesen werden kann, wenn die Ausführungsumgebung der Sicherheitsfunktion gebildet wird. Die Ausführungsumgebungs-Steuerung 1320 bildet die Ausführungsumgebung der Hauptfunktion in der eingebetteten Steuerungseinrichtung 1020, so dass die Hauptfunktion in dem bestimmten Betriebsmodus der Hauptfunktion ausgeführt werden kann.
  • 10 ist eine Zeichnung, die schematisch eine Hauptfunktions-Betriebsmodustabelle darstellt, die in der eingebetteten Steuerungseinrichtung gespeichert ist, die die Sicherheitseinrichtung bildet, gemäß Ausführungsform 2.
  • Die Ausführungsumgebungs-Steuerung 1320 bezieht sich auf die Hauptfunktions-Betriebsmodustabelle 1480, die in 10 dargestellt ist, beim Bestimmen des Betriebsmodus der Hauptfunktion.
  • Die Hauptfunktions-Betriebsmodustabelle 1480 weist eine Mehrzahl von Sicherheitsrisikozuständen 1361, 1362, 1363, 1364 und 1365 auf. Die Hauptfunktions-Betriebsmodustabelle 1480 weist eine Mehrzahl von Betriebsmodi 1501, 1502, 1503, 1504 und 1505 der Hauptfunktion entsprechend der Mehrzahl von Sicherheitsrisikozuständen 1361, 1362, 1363, 1364 bzw. 1365 auf.
  • Der Betriebsmodus der Hauptfunktion entsprechend jedem Sicherheitsrisikozustand der Mehrzahl von Sicherheitsrisikozuständen 1361, 1362, 1363, 1364 und 1365 wird so bestimmt, dass der Betriebsmodus von der Computerressource ausgeführt werden kann, die nicht der Sicherheitsfunktion entsprechend jedem Sicherheitsrisikozustand zugewiesen ist, sondern der Hauptfunktion zugewiesen werden kann.
  • Die Ausführungsumgebungs-Steuerung 1320 bezieht sich auf die Hauptfunktions-Betriebsmodustabelle 1480 und wählt den Sicherheitsrisikozustand aus, der mit dem Sicherheitsrisikozustand zusammenfällt, der von der Sicherheitsrisikozustand-Bestimmungseinrichtung 1260 bestimmt wird, und zwar aus der Mehrzahl von Sicherheitsrisikozuständen 1361, 1362, 1363, 1364 und 1365 die in der Hauptfunktions-Betriebsmodustabelle 1480 enthalten sind.
  • Die Ausführungsumgebungs-Steuerung 1320 wählt den Betriebsmodus der Hauptfunktion entsprechend dem ausgewählten Sicherheitsrisikozustand aus der Mehrzahl von Betriebsmodi 1501, 1502, 1503, 1504 und 1505 der Hauptfunktion aus, die in der Hauptfunktions-Betriebsmodustabelle 1480 enthalten sind.
  • Die Hauptfunktions-Ausführungseinrichtung 1280 führt eine Hauptfunktion im ausgewählten Betriebsmodus der Hauptfunktion aus.
  • Gemäß der obigen Konfiguration wird der Betriebsmodus der Hauptfunktion gemäß dem Sicherheitsrisikozustand bestimmt, der von der Sicherheitsrisikozustand-Bestimmungseinrichtung 1260 bestimmt wird. Wie bei der Ausführungsform 1 beschrieben, wird die Ausführungsumgebung der Hauptfunktion gemäß dem Sicherheitsrisikozustand gebildet, der von der Sicherheitsrisikozustand-Bestimmungseinrichtung 1260 bestimmt wird. Folglich kann in der Ausführungsumgebung der Hauptfunktion die Hauptfunktion in dem Betriebsmodus der bestimmten Hauptfunktion ausgeführt werden.
  • Die Ausführungsumgebungs-Steuerung 1320 bestimmt vorzugsweise den Betriebsmodus der Hauptfunktion, so dass die Anforderung der Sicherheit im Sicherheitsrisikozustand, der von der Sicherheitsrisikozustand-Bestimmungseinrichtung 1260 bestimmt wird, erfüllt werden kann, wenn die Ausführungsumgebung der Sicherheitsfunktion gebildet wird. Selbst wenn es einen Betriebsmodus der Hauptfunktion gibt, der von der Computerressource ausgeführt werden kann, gilt demzufolge Folgendes.
  • Wenn der eine Betriebsmodus der Hauptfunktion nicht die Anforderung an die Sicherheit in dem Sicherheitsrisikozustand erfüllt, der von der Sicherheitsrisikozustand-Bestimmungseinrichtung 1260 bestimmt wird, wird der Betriebsmodus der Hauptfunktion nicht angenommen, sondern es wird der andere Betriebsmodus der Hauptfunktion angenommen, der eine geringere Funktion als diejenige des Betriebsmodus der Hauptfunktion aufweist und die Anforderung an die Sicherheit im Sicherheitsrisikozustand erfüllt.
  • 2.1 Hauptfunktions-Betriebsmodustabelle
  • Der Betriebsmodus 1501 der Hauptfunktion entsprechend dem Sicherheitsrisikoustand 1361, der in 10 dargestellt ist, ist ein ausfallsicherer Modus (fail-safe). Im ausfallsicheren Modus wird die Ausführung der Hauptfunktion nicht plötzlich angehalten, sondern sie wird in Schritten angehalten. Der ausfallsichere Modus wird angenommen, wenn die Ausführungsumgebung der Hauptfunktion eine Kapazität zum Ausführen der Hauptfunktion hat, aber Schwierigkeiten damit hat, die Ausführung der Hauptfunktion für eine längere Zeit fortzusetzen.
  • Jeder der Betriebsmodi 1503 und 1505 der Hauptfunktion entsprechend den Sicherheitsrisikozuständen 1363 bzw. 1365 ist ein Degenerations-Betriebsfortsetzungsmodus. Im Degenerations-Betriebsfortsetzungsmodus wird die Hauptfunktion degeneriert bzw. zurückgebildet, und ein Teil der Ausführung der Hauptfunktion wird fortgesetzt. Der Degenerations-Betriebsfortsetzungsmodus wird angenommen, wenn die Ausführungsumgebung der Hauptfunktion die Hauptfunktion ausführen kann, aber Schwierigkeiten hat, die gesamte Hauptfunktion auszuführen, und zwar infolge der Beschränkung der Computerressource, und demzufolge nur einen Teil der Hauptfunktion ausführen muss.
  • Jeder der Betriebsmodi 1502 und 1504 der Hauptfunktion entsprechend den Sicherheitsrisikozuständen 1362 bzw. 1364 ist ein Betriebs-Fortsetzungsmodus für den ursprünglichen Betrieb, der eine Obergrenze für die Betriebszeit bzw. Ausführungszeit aufweist. Im Betriebs-Fortsetzungsmodus für den ursprünglichen Betrieb wird die gesamte Ausführung der Hauptfunktion fortgesetzt.
  • Der Betriebs-Fortsetzungsmodus für den ursprünglichen Betrieb, der eine Obergrenze für die Betriebszeit aufweist, wird angenommen, wenn die Ausführungsumgebung der Hauptfunktion die Hauptfunktion ausführen kann und die Computerressourcen ausreichend der Hauptfunktion zugewiesen sind, jedoch erwartet wird, dass die Computerressourcen in einem Fall unzureichend werden, in welchem die Ausführung der Hauptfunktion für eine längere Zeit fortgesetzt wird und die Stabilität der eingebetteten Steuerungseinrichtung 1020 verringert wird.
  • Wenn die Sicherheitsrisikozustand-Bestimmungseinrichtung 1260 nicht bestimmt, dass das Sicherheitsrisiko aufgelöst ist und der Sicherheitsrisikozustand, der von der Sicherheitsrisikozustand-Bestimmungseinrichtung 1260 bestimmt wird, nicht zum Sicherheitsrisikozustand in einem Fall wechselt, in welchem ein Cyber-Angriff nicht auf die eingebettete Einrichtung 1000 durchgeführt wird, und zwar obwohl die Zeit für die Fortsetzung der Ausführung der Hauptfunktion im Betriebs-Fortsetzungsmodus für den ursprünglichen Betrieb die Obergrenze der Betriebszeit überschreitet, dann wechselt der Betriebsmodus der Hauptfunktion aus dem Betriebs-Fortsetzungsmodus für den ursprünglichen Betrieb, der die Obergrenze für die Betriebszeit aufweist, in den Degenerations-Betriebsfortsetzungsmodus oder den ausfallsicheren Modus.
  • 2.2 Betrieb
  • 11 ist ein Ablaufdiagramm, das den Betrieb des Gateways in einem Fall darstellt, in welchem die eingebettete Einrichtung einen Cyber-Angriff erhält, in der Sicherheitseinrichtung gemäß Ausführungsform 2. 12 ist ein Ablaufdiagramm, das den Betrieb der eingebetteten Steuerungseinrichtung in einem Fall zeigt, in welchem die eingebettete Einrichtung einen Cyber-Angriff erhält, in der Sicherheitseinrichtung gemäß Ausführungsform 2.
  • Die Schritte S201 bis S206, die in 11 gezeigt sind, sind ähnlich wie bei den Schritten S 101 bis S 106, die jeweils in 5 gezeigt sind.
  • Die Ausführungsumgebungs-Steuerung 1320 startet die Ausführungsumgebungs-Steuerungsverarbeitung, die die Schritte S207 bis S213 einschließt, wie in 12 gezeigt, synchron mit dem Empfang des Sicherheitsrisikozustands.
  • Im Schritt S207 bezieht sich die Ausführungsumgebungs-Steuerung 1320 auf die Sicherheitsfunktionstabelle 1340. Die Ausführungsumgebungs-Steuerung 1320 erfasst den Konfigurationsinhalt der Ausführungsumgebung der Sicherheitsfunktion entsprechend dem Sicherheitsrisikozustand, der zur Benachrichtigung übertragen wird, und den Konfigurationsinhalt der Ausführungsumgebung der Hauptfunktion.
  • Im Schritt S208, der auf den Schritt S207 folgt, bezieht sich die Ausführungsumgebungs-Steuerung 1320 auf die Hauptfunktions-Betriebsmodustabelle 1480. Die Ausführungsumgebungs-Steuerung 1320 erfasst den Betriebsmodus der Hauptfunktion entsprechend dem Sicherheitsrisikozustand, der zur Benachrichtigung übertragen wird.
  • Im Schritt S209, der auf den Schritt S208 folgt, bildet die Ausführungsumgebungs-Steuerung 1320 die Ausführungsumgebung der Hauptfunktion gemäß dem Konfigurationsinhalt der Ausführungsumgebung der erhaltenen Hauptfunktion.
  • Im Schritt S210, der auf den Schritt S209 folgt, bildet die Ausführungsumgebungs-Steuerung 1320 die Ausführungsumgebung der Sicherheitsfunktion gemäß dem Konfigurationsinhalt der Ausführungsumgebung der erhaltenen Sicherheitsfunktion.
  • Im Schritt S211, der auf den Schritt S210 folgt, wird ein Vorhandensein oder ein Nichtvorhandensein des Wechsels bzw. der Änderung des Betriebsmodus der Hauptfunktion bestimmt. Wenn im Schritt S211 bestimmt wird, dass der Betriebsmodus der Hauptfunktion gewechselt hat, fährt der Prozess mit Schritt S212 fort. Wenn im Schritt S211 bestimmt wird, dass der Betriebsmodus der Hauptfunktion nicht gewechselt hat, fährt der Prozess mit Schritt S213 fort.
  • Wenn bestimmt wird, dass der Betriebsmodus der Hauptfunktion gewechselt hat, wird die Hauptfunktion im geänderten Betriebsmodus der Hauptfunktion aktiviert, und zwar im Schritt S212.
  • Im Schritt S213, der auf den Schritt S211 oder S212 folgt, wird die Sicherheitsfunktion aktiviert.
  • 13 ist ein Ablaufdiagramm, das den Betrieb der eingebetteten Steuerungseinrichtung in einem Fall zeigt, in welchem die eingebettete Steuerungseinrichtung eine Hauptfunktion ausführt, in der Sicherheitseinrichtung gemäß Ausführungsform 2.
  • Im Schritt S301 bestimmt die Hauptfunktions-Ausführungseinrichtung 1280, ob oder ob nicht der gegenwärtige Betriebsmodus der Hauptfunktion ein zeitbegrenzter Betriebsmodus ist, nachdem die Hauptfunktion aktiviert worden ist. In dem oben beschriebenen Beispiel fällt der Betriebs-Fortsetzungsmodus für den ursprünglichen Betrieb, der die Obergrenze für die Betriebszeit aufweist, unter den zeitbegrenzten Betriebsmodus. Wenn im Schritt S301 bestimmt wird, dass der gegenwärtige Betriebsmodus der Hauptfunktion der zeitbegrenzte Betriebsmodus ist, fährt der Prozess mit Schritt S302 fort. Wenn im Schritt S301 bestimmt wird, dass der gegenwärtige Betriebsmodus der Hauptfunktion nicht der zeitbegrenzte Betriebsmodus ist, fährt der Prozess mit Schritt S304 fort.
  • Im Schritt S302 bestimmt die Hauptfunktions-Ausführungseinrichtung 1280, ob oder ob nicht eine Ausführungs-Fortsetzungszeit zur Fortsetzung der Ausführung der Hauptfunktion im gegenwärtigen Betriebsmodus der Hauptfunktion einen vorgegebenen Schwellenwert überschreitet. Wenn im Schritt S302 bestimmt wird, dass die Zeit zur Fortsetzung der Ausführung der Hauptfunktion im gegenwärtigen Betriebsmodus der Hauptfunktion den Schwellenwert überschreitet, fährt der Prozess mit Schritt S303 fort. Wenn im Schritt S302 bestimmt wird, dass die Zeit zur Fortsetzung der Ausführung der Hauptfunktion im gegenwärtigen Betriebsmodus der Hauptfunktion den Schwellenwert nicht überschreitet, fährt der Prozess mit dem Schritt S304 fort.
  • Wenn bestimmt wird, dass der gegenwärtige Betriebsmodus der Hauptfunktion der zeitbegrenzte Betriebsmodus ist und die Zeit zur Fortsetzung der Ausführung der Hauptfunktion im gegenwärtigen Betriebsmodus der Hauptfunktion den Schwellenwert überschreitet, ändert im Schritt S303 die Hauptfunktions-Ausführungseinrichtung 1280 den Betriebsmodus der Hauptfunktion vom zeitbegrenzte Betriebsmodus in den anderen Betriebsmodus, der eine geringere Funktion als der zeitbegrenzte Betriebsmodus hat und ein niedrigeres Sicherheitsrisiko als der zeitbegrenzte Betriebsmodus aufweist.In dem oben beschriebenen Beispiel fallen der ausfallsichere Modus und der Degenerations-Betriebsfortsetzungsmodus unter den anderen Betriebsmodus.
  • Die Hauptfunktions-Ausführungseinrichtung 1280 führt die Hauptfunktion im Schritt S304 aus. Wenn der gegenwärtige Betriebsmodus der Hauptfunktion nicht der zeitbegrenzte Betriebsmodus ist, oder wenn der gegenwärtige Betriebsmodus der Hauptfunktion der zeitbegrenzte Betriebsmodus ist, aber die Ausführungs-Fortsetzungszeit den Schwellenwert nicht überschreitet, wird die Hauptfunktion im gegenwärtigen Betriebsmodus der Hauptfunktion ausgeführt. Wenn der gegenwärtige Betriebsmodus der Hauptfunktion der zeitbegrenzte Betriebsmodus ist und wenn die Ausführungs-Fortsetzungszeit den Schwellenwert überschreitet, wird die Hauptfunktion in dem anderen Betriebsmodus ausgeführt.
  • Demzufolge kann die Hauptfunktions-Ausführungseinrichtung 1280 die Hauptfunktion im zeitbegrenzten Betriebsmodus und im anderen Betriebsmodus ausführen, der die geringere Funktion als der zeitbegrenzte Betriebsmodus aufweist und das niedrigere Sicherheitsrisiko als der zeitbegrenzte Betriebsmodus aufweist. Wenn die Zeit zur Fortsetzung der Ausführung der Hauptfunktion im zeitbegrenzten Betriebsmodus den Schwellenwert ohne die Änderung des Sicherheitsrisikozustands überschreitet, nachdem der Betriebsmodus der Hauptfunktion in den zeitbegrenzten Betriebsmodus hinein gewechselt hat, wird der Betriebsmodus der Hauptfunktion vom zeitbegrenzten Betriebsmodus in den anderen Betriebsmodus geändert.
  • 2.3 Wirkung der Ausführungsform 2
  • Auch bei der Ausführungsform 2 wird die Ausführungsumgebung der Sicherheitsfunktion in der eingebetteten Steuerungseinrichtung 1020 gebildet, so dass die eingebettete Steuerungseinrichtung 1020 die Sicherheitsfunktion gegen einen Cyber-Angriff gemäß zumindest einem von dem Typ und dem Grad des Risikos der Bedrohung der Sicherheit ausführen kann, die vom Cyber-Angriff ausgeht, auf ähnliche Weise wie bei der Ausführungsform 1. Demzufolge kann die Sicherheitsfunktion geeignet ausgeführt werden, während der Einfluss auf die eingebettete Steuerungseinrichtung 1020 beim Ausführen der Hauptfunktion unterbunden wird. Insbesondere kann ein hoher Grad der Sicherheitsfunktion ausgeführt werden, wenn es ein hohes Sicherheitsrisiko gibt.
  • Außerdem wird bei der Ausführungsform 2 der Betriebsmodus der Hauptfunktion geändert. Demzufolge wird ein unerwarteter unauthentifizierter Betrieb unterbunden, der von einer Verknappung der Computerressourcen zu der Zeit hervorgerufen wird, zu welcher die Hauptfunktion ausgeführt wird, und die Zuverlässigkeit der eingebetteten Steuerungseinrichtung 1020 kann verbessert werden.
  • Bezugszeichenliste
  • 1000
    eingebettete Einrichtung
    1020
    eingebettete Steuerungseinrichtung
    1080
    Gateway (GW)
    1110
    Sicherheitseinrichtung
    1220
    Angriffs-Detektionseinrichtung
    1260
    Sicherheitsrisikozustand-Bestimmungseinrichtung
    1280
    Hauptfunktions-Ausführungseinrichtung
    1300
    Sicherheitsfunktions-Ausführungseinrichtung
    1320
    Ausführungsumgebungs-Steuerung
    1340
    Sicherheitsfunktionstabelle
    1480
    Hauptfunktions-Betriebsmodustabelle.

Claims (7)

  1. Sicherheitseinrichtung (1110), die Folgendes aufweist: - eine Angriffs-Detektionseinrichtung (1220), die einen Cyber-Angriff auf eine eingebettete Einrichtung (1000) detektiert, die von einer eingebetteten Steuerungseinrichtung (1020) gesteuert wird; - eine Sicherheitsrisikozustand-Bestimmungseinrichtung (1260), die einen Sicherheitsrisikozustand bestimmt, der zumindest einen von einem Typ und einem Grad des Risikos der Bedrohung der Sicherheit angibt, das von einem Cyber-Angriff ausgeht, und zwar auf der Basis des Ergebnisses der Detektion; und - eine Ausführungsumgebungs-Steuerung (1320), die in der eingebetteten Steuerungseinrichtung (1020) enthalten ist, eine Sicherheitsfunktion gegen einen Cyber-Angriff gemäß dem Sicherheitsrisikozustand bestimmt und eine Ausführungsumgebung der Sicherheitsfunktion in der eingebetteten Steuerungseinrichtung (1020) bildet, so dass die eingebettete Steuerungseinrichtung (1020) die Sicherheitsfunktion ausführen kann.
  2. Sicherheitseinrichtung (1110) nach Anspruch 1, wobei die Ausführungsumgebungs-Steuerung (1320) den Betriebsmodus der Hauptfunktion bestimmt, so dass die Funktion von einer Computerressource der eingebetteten Steuerungseinrichtung (1020) ausgeführt werden kann, die der Hauptfunktion zugewiesen werden kann, die die eingebettete Einrichtung (1000) steuert, wenn die Ausführungsumgebung der Sicherheitsfunktion gebildet wird, und die Ausführungsumgebung der Hauptfunktion in der eingebetteten Steuerungseinrichtung (1020) bildet, so dass die Hauptfunktion in dem Betriebsmodus der Hauptfunktion ausgeführt werden kann.
  3. Sicherheitseinrichtung (1110) nach Anspruch 2, wobei die Ausführungsumgebungs-Steuerung (1320) den Betriebsmodus der Hauptfunktion bestimmt, so dass eine Anforderung an die Sicherheit im Sicherheitsrisikozustand erfüllt ist, wenn die Ausführungsumgebung der Sicherheitsfunktion gebildet wird.
  4. Sicherheitseinrichtung (1110) nach Anspruch 2 oder 3, die ferner Folgendes aufweist: - eine Hauptfunktions-Ausführungseinrichtung (1280), die die Hauptfunktion ausführt, wobei die Hauptfunktions-Ausführungseinrichtung (1280) die Hauptfunktion in einem zeitbegrenzten Betriebsmodus und in einem anderen Betriebsmodus ausführen kann, der eine geringere Funktion als der zeitbegrenzte Betriebsmodus aufweist und ein niedrigeres Sicherheitsrisiko als der zeitbegrenzte Betriebsmodus aufweist, und den Betriebsmodus der Hauptfunktion vom zeitbegrenzten Betriebsmodus in den anderen Betriebsmodus ändert, wenn die Zeit zur Fortsetzung der Ausführung der Hauptfunktion im zeitbegrenzten Betriebsmodus einen Schwellenwert ohne eine Änderung des Sicherheitsrisikozustand überschreitet, nachdem der Betriebsmodus der Hauptfunktion in den zeitbegrenzten Betriebsmodus hineinwechselt.
  5. Sicherheitseinrichtung (1110) nach einem der Ansprüche 1 bis 4, wobei das Bilden der Ausführungsumgebung der Sicherheitsfunktion zumindest eines von Folgendem einschließt: Zuweisen des CPU-Kerns, der die Sicherheitsfunktion ausführt, Vorgeben des Betriebsmodus der CPU, Zuweisen des CPU-Kerns für einen Interrupt, ein Wiederzuweisen eines CPU-Kerns zur Eingabe/Ausgabe und ein Vorgeben eines Cache-Lockdowns.
  6. Sicherheitseinrichtung (1110) nach einem der Ansprüche 1 bis 5, wobei die Ausführungsumgebungs-Steuerung (1320) eine Ausführungsumgebung einer Hauptfunktion bildet, die die eingebettete Einrichtung (1000) steuert, gemäß dem Sicherheitsrisikozustand, und die Ausführungsumgebung der Hauptfunktion zumindest eines von Folgendem einschließt: eine Kernmigration der Hauptfunktion auf den CPU-Kern, der nicht die Sicherheitsfunktion ausführt, eine Beschränkung der verwendeten Speichermenge, eine Beschränkung der CPU-Nutzungsrate, eine Wiederzuweisung des CPU-Kerns für einen Interrupt, eine Wiederzuweisung eines CPU-Kerns zur Eingabe/Ausgabe, eine Cache-Wartungsverarbeitung und ein Zurücksetzen einer Speicherverwaltungseinheit.
  7. Eingebettete Einrichtung (1000), die Folgendes aufweist: - eine Sicherheitseinrichtung (1110) nach einem der Ansprüche 1 bis 6.
DE112018007217.7T 2018-04-10 2018-04-10 Sicherheitseinrichtung mit einer Angriffs-Detektionseinrichtung und einer Sicherheitsrisikozustand-Bestimmungseinrichtung und eingebettete Einrichtung hierfür Active DE112018007217B4 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/014982 WO2019198137A1 (ja) 2018-04-10 2018-04-10 セキュリティ装置及び組込み機器

Publications (2)

Publication Number Publication Date
DE112018007217T5 DE112018007217T5 (de) 2020-11-19
DE112018007217B4 true DE112018007217B4 (de) 2022-03-17

Family

ID=68163157

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112018007217.7T Active DE112018007217B4 (de) 2018-04-10 2018-04-10 Sicherheitseinrichtung mit einer Angriffs-Detektionseinrichtung und einer Sicherheitsrisikozustand-Bestimmungseinrichtung und eingebettete Einrichtung hierfür

Country Status (5)

Country Link
US (1) US11599640B2 (de)
JP (1) JP6735952B2 (de)
CN (1) CN111936991B (de)
DE (1) DE112018007217B4 (de)
WO (1) WO2019198137A1 (de)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7344009B2 (ja) * 2018-10-17 2023-09-13 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 情報処理装置、情報処理方法及びプログラム
JP7243326B2 (ja) * 2019-03-15 2023-03-22 オムロン株式会社 コントローラシステム
CN115023701A (zh) 2020-01-28 2022-09-06 三菱电机株式会社 认证符管理装置、认证符管理程序和认证符管理方法
WO2021172451A1 (ja) * 2020-02-27 2021-09-02 パナソニックIpマネジメント株式会社 制御方法、プログラム、制御システム
JP7409247B2 (ja) * 2020-07-14 2024-01-09 株式会社デンソー 不正侵入防止装置、不正侵入防止方法、及び不正侵入防止用プログラム
JP7354074B2 (ja) * 2020-09-18 2023-10-02 株式会社東芝 情報処理装置、情報処理方法およびプログラム
TWI756974B (zh) 2020-12-09 2022-03-01 財團法人工業技術研究院 機器學習系統及其資源配置方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE202013103358U1 (de) 2013-07-25 2013-09-19 Kaspersky Lab, Zao Selektive Einschätzung der Schädlichkeit von im Adressraum eines vertrauenswürdigen Prozesses ausgeführtem Software-Code
JP2016207037A (ja) 2015-04-24 2016-12-08 クラリオン株式会社 情報処理装置、情報処理方法
WO2017002405A1 (ja) 2015-06-29 2017-01-05 クラリオン株式会社 車載情報通信システム及び認証方法
WO2017183099A1 (ja) 2016-04-19 2017-10-26 三菱電機株式会社 中継装置
US10826706B1 (en) 2018-01-30 2020-11-03 State Farm Mutual Automobile Insurance Company Systems and methods for vehicle configuration verification with failsafe code
US10855460B2 (en) 2016-01-18 2020-12-01 Kddi Corporation In-vehicle computer system, vehicle, key generation device, management method, key generation method, and computer program

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1820262A (zh) * 2003-06-09 2006-08-16 范拉诺公司 事件监控及管理
JP2005100220A (ja) * 2003-09-26 2005-04-14 Konica Minolta Business Technologies Inc サーバ装置及びその制御方法
US7526806B2 (en) * 2003-11-05 2009-04-28 Cisco Technology, Inc. Method and system for addressing intrusion attacks on a computer system
CN100429101C (zh) * 2005-09-09 2008-10-29 中国科学院自动化研究所 汽车行驶安全监控系统及监控方法
WO2008062647A1 (en) 2006-11-02 2008-05-29 Nec Corporation Multiprocessor system, system configuration method in multiprocessor system, and program thereof
US20080126766A1 (en) * 2006-11-03 2008-05-29 Saurabh Chheda Securing microprocessors against information leakage and physical tampering
US8788570B2 (en) * 2009-06-22 2014-07-22 Citrix Systems, Inc. Systems and methods for retaining source IP in a load balancing multi-core environment
JP5395036B2 (ja) 2010-11-12 2014-01-22 日立オートモティブシステムズ株式会社 車載ネットワークシステム
CN105580023B (zh) * 2013-10-24 2019-08-16 迈克菲股份有限公司 网络环境中的代理辅助的恶意应用阻止
EP3358800B1 (de) * 2014-01-06 2021-10-20 Argus Cyber Security Ltd Bus-wächter
CN103856371A (zh) * 2014-02-28 2014-06-11 中国人民解放军91655部队 一种用于信息系统的安全防护方法
CN103905450B (zh) * 2014-04-03 2017-05-31 国网河南省电力公司电力科学研究院 智能电网嵌入式设备网络检测评估系统与检测评估方法
JP6369341B2 (ja) 2015-01-30 2018-08-08 株式会社デンソー 車載通信システム
DK3292471T3 (da) * 2015-05-04 2022-02-21 Syed Kamran Hasan Metode og enhed til styring af sikkerhed i et computernetværk
JP6759572B2 (ja) * 2015-12-15 2020-09-23 横河電機株式会社 統合生産システム
US11030310B2 (en) * 2017-08-17 2021-06-08 Red Bend Ltd. Systems and methods for disabling a malicious ECU in a controller area network (CAN) bus

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE202013103358U1 (de) 2013-07-25 2013-09-19 Kaspersky Lab, Zao Selektive Einschätzung der Schädlichkeit von im Adressraum eines vertrauenswürdigen Prozesses ausgeführtem Software-Code
JP2016207037A (ja) 2015-04-24 2016-12-08 クラリオン株式会社 情報処理装置、情報処理方法
WO2017002405A1 (ja) 2015-06-29 2017-01-05 クラリオン株式会社 車載情報通信システム及び認証方法
US10855460B2 (en) 2016-01-18 2020-12-01 Kddi Corporation In-vehicle computer system, vehicle, key generation device, management method, key generation method, and computer program
WO2017183099A1 (ja) 2016-04-19 2017-10-26 三菱電機株式会社 中継装置
US10826706B1 (en) 2018-01-30 2020-11-03 State Farm Mutual Automobile Insurance Company Systems and methods for vehicle configuration verification with failsafe code

Also Published As

Publication number Publication date
CN111936991B (zh) 2024-07-09
JPWO2019198137A1 (ja) 2020-07-02
US11599640B2 (en) 2023-03-07
JP6735952B2 (ja) 2020-08-05
US20210049275A1 (en) 2021-02-18
DE112018007217T5 (de) 2020-11-19
CN111936991A (zh) 2020-11-13
WO2019198137A1 (ja) 2019-10-17

Similar Documents

Publication Publication Date Title
DE112018007217B4 (de) Sicherheitseinrichtung mit einer Angriffs-Detektionseinrichtung und einer Sicherheitsrisikozustand-Bestimmungseinrichtung und eingebettete Einrichtung hierfür
DE102016102381A1 (de) Sicherheitsereigniserkennung durch virtuelle Maschinenintrospektion
DE202012013609U1 (de) System zur Verteilung der Verarbeitung von Computer-Sicherheitsaufgaben
EP2680529A1 (de) Netzwerkeinrichtung und Verfahren zum Betreiben einer Netzwerkeinrichtung für ein Automatisierungsnetzwerk
EP3430558B1 (de) Erkennen einer abweichung eines sicherheitszustandes einer recheneinrichtung von einem sollsicherheitszustand
DE102020110034A1 (de) Überwachungssystem mit mehrstufiger Anfrageprüfung
DE102018127330A1 (de) System-on-Chip und Verfahren zum Betreiben eines System-on-Chip
WO2021122734A1 (de) Verfahren und vorrichtung zum betreiben einer recheneinrichtung
DE102021117437A1 (de) Sichere und geschützte Kommunikationsnetzwerknachrichtenverarbeitung
DE102023110645A1 (de) Sicherheitsverfahren und Sicherheitsvorrichtung
DE102017113147A1 (de) Sicheres Zahlungsschutzverfahren und entsprechendes elektronisches Gerät
EP3655876B1 (de) Ein-chip-system, verfahren zum betrieb eines ein-chip-systems und kraftfahrzeug
WO2024056443A1 (de) Verfahren zum überprüfen von daten in einer recheneinheit
EP3417589A1 (de) Reduzieren einer angriffsmöglichkeit auf eine schwachstelle eines gerätes über eine netzwerkzugangsstelle
DE102013214218A1 (de) Verfahren und system zum überprüfen von software
DE102019201515A1 (de) Fahrzeugkommunikationsnetzwerk und -verfahren
DE102021123370A1 (de) Informationsverarbeitungsvorrichtung, informationsverarbeitungsverfahren, und programm
US20220224672A1 (en) Gateway device
DE102023102565B4 (de) Verfahren zur Intrusions-Überwachung in einem Computernetzwerk sowie Kraftfahrzeug und Cloud Computing-Infrastruktur
LU500837B1 (de) Verfahren und zugehörige Computersysteme zur Sicherung der Integrität von Daten
EP3690690B1 (de) Verfahren zum prüfen einer validität von daten und computerimplementierte vorrichtung zum verarbeiten von daten
EP4187418A1 (de) Verfahren und vorrichtung zur autorisierung einer einen zugang anfragenden applikation
CN112069473A (zh) 一种用户授权方法及系统
DE102021129026A1 (de) Verfahren und zugehörige Computersysteme zur Sicherung der Integrität von Daten
EP4395234A1 (de) Verfahren zum betrieb eines automatisierungsgeräts, system und steuerungsprogramm

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R084 Declaration of willingness to licence
R020 Patent grant now final