JP2008276749A - プログラミング可能なデータ処理装置用の保護ユニット - Google Patents
プログラミング可能なデータ処理装置用の保護ユニット Download PDFInfo
- Publication number
- JP2008276749A JP2008276749A JP2008060360A JP2008060360A JP2008276749A JP 2008276749 A JP2008276749 A JP 2008276749A JP 2008060360 A JP2008060360 A JP 2008060360A JP 2008060360 A JP2008060360 A JP 2008060360A JP 2008276749 A JP2008276749 A JP 2008276749A
- Authority
- JP
- Japan
- Prior art keywords
- protection
- data
- logic
- unit
- data processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 claims abstract description 59
- 238000012545 processing Methods 0.000 claims description 56
- 238000000034 method Methods 0.000 claims description 12
- 238000013475 authorization Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 2
- 238000006467 substitution reaction Methods 0.000 abstract 1
- 241000700605 Viruses Species 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000001681 protective effect Effects 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 101710161408 Folylpolyglutamate synthase Proteins 0.000 description 1
- 101710200122 Folylpolyglutamate synthase, mitochondrial Proteins 0.000 description 1
- 102100035067 Folylpolyglutamate synthase, mitochondrial Human genes 0.000 description 1
- 101710155795 Probable folylpolyglutamate synthase Proteins 0.000 description 1
- 101710151871 Putative folylpolyglutamate synthase Proteins 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0423—Input/output
- G05B19/0425—Safety, monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/23—Pc programming
- G05B2219/23215—Check data validity in ram, keep correct validity, compare rom ram
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/23—Pc programming
- G05B2219/23464—Use signatures to know module is not corrupt, cfc, control flow checking
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24155—Load, enter program if device acknowledges received password, security signal
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24211—Override normal program, execute urgency program so machine operates safe
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/26—Pc applications
- G05B2219/2637—Vehicle, car, auto, wheelchair
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Automation & Control Theory (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Storage Device Security (AREA)
- Emergency Protection Circuit Devices (AREA)
Abstract
【課題】自動車,航空機,船舶等の制御装置のようなプログラミング可能なデータ処理装置の信頼性及び安全な動作を保証できるようにする。
【解決手段】データ処理装置は、少なくとも1つの動作メモリ(BS)を有し、このデータ処理装置を動作するため、動作データ(BD)が、この動作メモリ内に記憶され得るか又は記憶されている。保護ユニット(PU)は、無許可のアクセスから保護された実行環境内に少なくとも1つの監視論理部(UeL)及び少なくとも1つの保護論理部(SL)を有する。動作メモリ内に記憶された動作データの無許可の変更,アクセス又は類似の保護違反を監視するため、監視論理部(UeL)は、動作メモリにアクセスし、任意の保護違反の場合に保護論理部(SL)に通知する。保護違反の場合のデータ処理装置の動作つまり代替動作に対して、保護論理部は、置換データを出力する。
【選択図】図1
【解決手段】データ処理装置は、少なくとも1つの動作メモリ(BS)を有し、このデータ処理装置を動作するため、動作データ(BD)が、この動作メモリ内に記憶され得るか又は記憶されている。保護ユニット(PU)は、無許可のアクセスから保護された実行環境内に少なくとも1つの監視論理部(UeL)及び少なくとも1つの保護論理部(SL)を有する。動作メモリ内に記憶された動作データの無許可の変更,アクセス又は類似の保護違反を監視するため、監視論理部(UeL)は、動作メモリにアクセスし、任意の保護違反の場合に保護論理部(SL)に通知する。保護違反の場合のデータ処理装置の動作つまり代替動作に対して、保護論理部は、置換データを出力する。
【選択図】図1
Description
本発明は、(プログラミング可能な)データ処理装置用の保護ユニットに関する。このデータ処理装置は、少なくとも1つの動作メモリを有する。このデータ処理装置を動作するため、動作データが、この動作メモリ内に記憶され得るか又は記憶されている。プログラミング可能なデータ処理装置は、自動車,航空機,船舶,組立ラインの機械又は遠隔管理される工場内の特に制御ユニット又は制御装置を意味する。プログラミング可能な制御装置のようなこれらのデータ処理装置は、現在では最新の車両内に多くかつ多様に組み込まれている。特に「インフォテインメント」つまり交通探知システムの分野が益々より重要になりつつあるので、これらのデータ処理装置は、これらのデータ処理装置の環境に対して益々相互リンクされる。
コンピュータネットワーク、例えばインターネットに接続されているパーソナルコンピュータのようなデータ処理装置をアンチウィルスソフトウェア又はその他のプログラムによってウィルス又は攻撃から保護することが一般に知られている。このような進展は、例えば自動車内のデータ処理装置の信頼性又は安全性に関しては全く影響を及ぼしていない。
米国特許第6 571 191号明細書
ヨーロッパ特許出願公開第1 441 264号明細書
国際特許出願公開第2004/109411号明細書
ヨーロッパ特許出願公開第1 521 148号明細書
ドイツ連邦共和国特許出願公開第102 05 809号明細書
それ故に本発明の課題は、データ処理装置の信頼できかつ安全な動作を保証する、自動車の制御装置のような(プログラミング可能な)データ処理装置用の(プログラミング可能な)保護ユニットを提供することにある。
この課題を達成するため、本発明は、自動車等の制御装置のような(プログラミング可能な)データ処理装置用の保護ユニットを提供する。この場合、データ処理装置は、少なくとも1つの動作メモリを有する。データ処理装置を動作するため、動作データが、この動作メモリ内に記憶され得るか又は記憶されている。
この場合、この保護ユニットは、無許可のアクセスに対して保護された実行環境内に少なくとも1つの監視論理部及び少なくとも1つの保護論理部を有する。
この場合、動作メモリ内に記憶された動作データの無許可の変更,アクセス又は類似の保護違反を監視するため、監視論理部は、動作メモリにアクセスし、任意の保護違反の場合に保護論理部に通知する。
この場合、保護違反の場合のデータ処理装置の代替動作に対して、この保護論理部は、未感染の置換データを出力する。データ(一方では動作データ及び他方では置換データ)は、本発明の範囲内ではこのようなデータ処理装置の動作を決定し又はこの動作に影響するデータ,プログラム,メモリ領域等を意味する。保護違反は、本発明の範囲内では特に動作メモリつまり動作データに対する無許可のアクセス及び動作データに対する無許可の変更を意味する。
したがって本発明の範囲内では、自動車の制御装置のようなプログラミング可能なデータ処理装置用の保護ユニットが設けられている。この保護ユニットは、データ処理装置を動作データの無許可のアクセス又は無許可の変更に対して保護する。データの無許可の変更つまりデータ処理装置の保護違反が、保護ユニットの監視論理部によって連続的又は周期的に確定され得る。対応するテストプログラム(監視論理部)が、保護ユニット内に改竄できない方法で記憶されていて、改竄できない方法で実行される。特に保護ユニットが、これらのプログラムによって無許可の読み取り又は書き込みに対して保護される。監視論理部が、保護違反を検出した場合、この監視論理部は、保護論理部に通知する。次いでこの保護論理部は、データ処理装置の動作つまり代替動作に対して未感染の置換データを出力する。したがってこの置換データつまり置換データ動作は、「緊急実効命令」を生成する。これに関しては、本発明は、改竄つまり動作メモリに対する無許可のアクセスを検出することだけが重要ではなくて、このような保護違反にもかかわらずデータ処理装置のエラーのない動作つまり少なくとも「緊急実行動作」つまり「代替動作」を保証する必要があるという認識に基づいている。このことは、例えば自動車では、少なくとも1つの緊急実行動作つまり緊急動作が無許可の改竄操作の場合に提供されることを保証する。その結果、自動車の主要な運転機能の革新的な電子化つまり自動化(ドライブバイワイヤ技術)が安全性に対して高まる要求を満たすことを特に可能にする。関与する制御装置が、仕様書にしたがって作動すること、及び、緊急実行命令が、フェイルセイフ時に迅速に復帰され得ることを常に保証する必要がある。したがって本発明の安全装置は、安全信頼アンカーを構成する。自動車の制御装置の改竄操作によって引き起こされるこの自動車の危険な挙動を阻止するため、この安全信頼アンカーは、十分な効率を保護手段に与え、保護動作を適切な時点で迅速に実施できる。
以下に、本発明の有利なさらなる実施の形態を説明する。安全装置が少なくとも1つの監視メモリを有することが提供されている。この監視メモリは、検出された1つ以上の保護違反に関する情報を記憶する。さらに情報インターフェースが好ましく設けられている。この情報インターフェースは、保護違反及び/又はその他の状態情報に関する情報を保護ユニットから読み取りできる。監視論理部によって検出された保護違反に関する情報及び監視メモリからの緊急実行命令つまり置換データの開始に関する情報が、この情報インターフェースによって許可されて読み取られ、ユーザに通知するために関連する装置に提供される。読み取りに対して要求される許可情報が、実行環境内に記憶される。この目的のため、いろいろな許可情報が、実行環境内に記憶され得る。その結果、いろいろなメモリ領域が、情報インターフェースに提供された許可情報に応じて読み取られ得る。したがって、ロールモデルが、監視モデルにアクセスするために提供され得る。
本発明の別の実施の形態によれば、保護ユニットが、管理インターフェースを有する。実行環境の許可情報が、この管理インターフェースによって交換され得る。この目的のため、実行環境が、最初の許可情報の少なくとも一部を受信する。この方法で、成功した外部許可後に、新しい許可情報が、新しい監視論理部及び/又は保護論理部と同様に実行環境内に組み込まれ得る。
保護ユニットの実行論理部用の実行環境は、好ましくはハードウェアつまりハードウェアの形態である。この実行環境は、上述した論理部及びメモリに対する実行時間環境を構成し、無許可の書き込み及び読み取りのアクセスに対して保護される。つまり許可が成功して、緊急実行命令つまり代替動作を安全に実行するため、この実行環境は、許可情報を有する。変更された保護論理部及び/又は監視論理部を保護ユニット内に許可されて再ロードできるようにするため、実行環境は、許可情報をさらに有する。これらの論理部は、例えば暗号鍵でもよい。この暗号鍵は、これらの論理部の署名をチェックできるつまり論理部を場合によってはデコードできる。
さらに、監視論理部が実行環境の一部でもよく、それ故に基礎になるハードウェアの一部でもよいことが、本発明の範囲内である。この場合、したがって監視論理部が、ハードウェア内に構成つまり組み込まれる。しかしながら監視論理部は、好ましくはソフトウェアである。本発明の範囲内のソフトウェアは、FPGAのようなプログラミング可能なモジュールに対して実行可能なコードも意味する。ソフトウェアとして実現されたこのような監視論理部は、好ましくは実行の時間まで実行環境内にロードされない。記憶は、保護ユニット内で又はデータ処理装置のメモリ領域内で実行される。監視論理部が実行される前に、実行環境は、監視論理部が実行に対して許可されているかどうかをこの実行環境内に記憶された許可情報によって確認する。監視論理部は、実行時間中にデータ処理装置と共にインターフェースを構成する。対応するデータ(つまりプログラム/メモリ領域)が、その正確さに対してこのインターフェースによって、それぞれの論理ユニットによって「常時」確認され得る。このことは、例えば暗号機構を介したデータ(つまりプログラム/メモリ領域)の電子署名を確認することによって又は実行される任意のプログラムから外れてはならないメモリ閾値を監視することによって実施され得る。例えば、ウィルス,トロイの木馬,バッファ・オーバーフロー等によるコードに対する悪意のある変更が、この方法で確認され得る。
保護論理部は、実行環境つまり基礎になるハードウェアの一部でもよい。それ故にこの保護論理部は、ハードウェアでもよい。しかしながら保護論理部は、好ましくはソフトウェアでもある。この場合、ソフトウェアは、FPGAのようなプログラミング可能なモジュールに対して実行可能なコードも有する。したがって保護論理部は、実行時間まで実行環境内にロードされなくてもよい。記憶は、保護ユニット内でつまりデータ処理装置のメモリ領域内で実施される。
監視メモリ,情報インターフェース,管理インターフェース及び/又は動作データ若しくは動作メモリが、ソフトウェアつまりプログラミング可能なモジュール(FPGA)に対するコードであることも、本発明の範囲内である。
本発明の別の対象は、上述した種類の少なくとも1つの保護ユニットを有する自動車等用の制御装置のようなデータ処理装置でもある。したがって本発明は、保護の範囲内では一方ではデータ処理装置と他方では保護ユニットつまりデータ処理装置との組み合わせも含む。少なくとも1つの処理ユニットが、このデータ処理装置内に組み込まれている。
本発明のさらなる対象は、上述した種類の少なくとも1つの保護ユニットによってデータ処理装置を監視する方法である。この場合、監視論理部が、動作メモリにアクセスし、起こりうる保護違反を確定する。この場合、この監視論理部は、保護違反の場合に保護論理部に通知する。この場合、この保護論理部は、保護違反の場合にデータ処理装置の動作に対してつまり代替動作に対して置換データを出力する。検出された保護違反に関する情報が、監視メモリ内に記憶される。この目的のため、監視論理部が、連続的に又は好ましくは(ほぼ連続的なように)周期的に動作メモリに所定のクロック周波数でアクセスできる。あらゆる保護違反を確認するため、例えば動作データの電子署名の確認が実行される。
したがってデータ処理装置のメモリが、本発明の範囲内の監視論理部によって「常に」チェックされる。このチェックは、例えば暗号機構によって又は実行されるプログラムから外れてはならないメモリ閾値を監視することによってデータの電子署名を確認して実施できる。ウィルス,トロイの木馬,バッファ・オーバーフローによるあらゆる悪意のある変更が、この方法で確認され得る。サンプリング速度つまりデータの正確さが監視論理部によってチェックされる時の周波数が、管理インターフェースを通じて確定され得る。監視論理部が、保護違反を確認した場合、この監視論理部は、保護論理部に保護違反の種類を通知する。保護論理部が実行される前に、実行環境は、この保護論理部が実行に対して許可されているかどうかをこの実行環境に記憶された許可情報によってチェックする。保護論理部は、実行環境によって許可された監視論理部からだけのデータを受け取る。この保護論理部は、実行時間中にデータ処理装置に対するインターフェースを構成する。保護違反によって影響されたデータに対するデータ処理装置によるアクセスが、このインターフェースによって阻止される。
いろいろな置換データが、保護違反の種類に応じて提供され得ることが非常に重要である。したがって保護論理部が、一組の記憶された置換データつまり緊急実行命令をフェイルセイフの方法で起動する。この目的のため、適切な緊急実行命令が、実行環境内に記憶された許可情報によって確認され、確認の成功時は実行される。許可が失敗した時は、最初の緊急実行命令が、保護論理部自体内に記憶される。次いで、この保護論理部が実行される。このとき保護ユニットは、保護論理部の特性に応じて緊急実行命令を実行する。保護論理部が、緊急実行命令の実行を制御しない時は、これらの緊急実行命令は、例えばデータ処理装置に転送され、保護論理部のインターフェースを通じてデータ処理装置の実行時間環境内で開始される。その後に監視論理部が、保護違反によって監視されたデータの代わりに緊急実行命令を実行する。
したがって「緊急実行命令」とも呼ばれる本発明の範囲内で説明した置換データは、好ましくは論理データつまり多重論理データである。これらの論理データは、データ処理装置内で入手できる動作データの代わり、つまり代替として保護ユニット内で実行されるか又はデータ処理装置内の保護ユニットの外部でも保護論理部によって実施される。各場合で、各組の緊急実行命令が、電子署名のような許可情報を受信する。この許可情報は、実行環境内の保護論理部によって緊急実行命令の許可の安全な確認を可能にする。これらの緊急実行命令は、許可が成功した後にだけ常に実行される。緊急実行命令つまり置換データの記憶は、保護ユニットによって制御される。この代わりに、置換データつまり緊急実行命令は、データ処理装置のメモリ領域内に記憶されてもよく、次いで保護論理部によって安全にロードされる。対応する置換データつまり緊急実行命令が、実行環境内の許可情報によって許可されて保護ユニット又はデータ処理装置内に再ロードされ得る。
以下に、本発明をただ1つの実施の形態を示す図によってさらに詳しく説明する。
データ処理装置DEが、図中に示されている。このデータ処理装置DEは、エアバッグの制御装置,モータの制御装置,変速機の制御装置等のような自動車の制御装置でもよい。このデータ処理装置つまり制御装置DEは、動作メモリBSを有する。この制御装置を動作するため、動作データBDが、この動作メモリBS内に記憶されている。この動作データBDは、動作プログラム等を意味してもよい。
この図は、本発明の保護ユニットPUが本発明にしたがってこのデータ処理装置つまり制御装置DE内に組み込まれていることを示す。この保護ユニットは、無許可のアクセスから保護されている実行環境AUを提供する。この実行環境AUは、例えばハードウェアモジュールとして構成されている。
一方では監視論理部UeL及び他方では保護論理部SLが、保護ユニット内に組み込まれている。これらの論理部はそれぞれ、例えばプログラミングモジュール(FPGS)又はFPGAのようなそれぞれのコードによって構成されている。監視メモリUeSも設けられている。保護ユニットPUの通信が、情報インターフェースISによって、同様に管理インターフェースASによって接続される。
本発明の保護ユニットは、好ましくは以下のように動作する:
エアバッグの制御のようなそれぞれの制御装置DEの動作が要求された時に、動作データBD又は動作プログラム等が、動作メモリBS内に記憶される。このような制御装置DEの安全な動作を保証するため、このような動作データの無許可のアクセス又は無許可の変更が、本発明の保護ユニットによって常に監視される。したがって、無許可の保護違反が確認又は監視される。
エアバッグの制御のようなそれぞれの制御装置DEの動作が要求された時に、動作データBD又は動作プログラム等が、動作メモリBS内に記憶される。このような制御装置DEの安全な動作を保証するため、このような動作データの無許可のアクセス又は無許可の変更が、本発明の保護ユニットによって常に監視される。したがって、無許可の保護違反が確認又は監視される。
監視論理部UeLが、このような保護違反を確定した時に、この保護違反の種類に関する情報及び保護情報の時間のようなその他の情報が、監視メモリUeS内に記憶される。さらに監視論理部UeLが、保護論理部SLに保護違反の種類を通知する。制御装置DEの代替動作のため、この保護論理部SLは、保護違反の種類に応じて置換データEDを提供できる。したがってこのような置換データEDは、緊急実行動作つまり制御装置DEの緊急動作のための緊急実行命令を構成する。図は、確定すべき保護違反の種類に応じて、保護論理部SLがいろいろな置換データEDつまりいろいろな緊急実行命令を提供できることを示す。したがって本発明の範囲内で、準備された適切な緊急実行命令EDが、それぞれの場合ごとに起動されるので、フレキシブルな応答が、それぞれの保護違反の種類又は程度に対して提供され得る。
監視論理部UeLによってユーザに通知するため、保護違反に関する情報及び代替動作(つまり緊急実行命令)の開始に関する情報が、監視メモリUeSから許可されて読み取られ、関連する装置に提供され得る。これに関する読み取りのために要求される許可情報が、実行環境AU内に記憶される。
実行環境の特別な許可情報が、図中にも示された管理インターフェースASによって交換されてもよい。したがって、保護論理部SL自体がハードウェアではなくて、代わりに例えばFPGAコードである場合、(管理者によるような)外部からの許可が成功した後に、新しい許可情報が入力されてもよく、そして監視論理部UeL及び/又は保護論理部SLが、管理インターフェースASによって実行環境内に再ロードされてもよい。示された実行環境AUだけが、上述した論理部及びメモリに対する無許可の書き込み及び読み取りのアクセスに対して保護された実行時間環境を意味する。この実行環境AUは、許可情報つまり暗号鍵を有する。説明した論理部のそれぞれの署名が、これらの暗号鍵によって確認され得るか又は論理部が場合によってはデコードされ得る。
以上により、本発明の保護ユニットは、例えば自動車の制御装置等の安全な動作を保証する。このことは、このような自動車が常に「オンライン」になくても達成される。例えばアンチウィルスソフトウェアの連続的なオンライン更新が必要でない。バスシステムを通じた安全に関連する機能に対する無許可のアクセスに起因した特別な危険が、乗客を危うくするかもしれないので、複数の自動車の相互リンクする制御装置によるオンラインアクセスを通じた改竄又はオンラインアクセスの失敗が特に危険である。本発明は、自動車内に安全保障手段を新設することによってこの点を改善する。この安全保証手段は、例えば自動車メーカ単独の管理の下で設置されてもよい。したがって十分な効力が、保護手段に対して与えられる。保護動作が迅速に実行され、制御装置の改竄操作による自動車の危険な挙動が適切な時点で阻止される。
DE データ処理装置
IS 情報インターフェース
AS 管理インターフェース
PU 保護ユニット
AU 実行環境
UeL 監視論理部
UeS 監視メモリ
SL 保護論理部
BS 動作メモリ
BD 動作データ
ED 置換データ
IS 情報インターフェース
AS 管理インターフェース
PU 保護ユニット
AU 実行環境
UeL 監視論理部
UeS 監視メモリ
SL 保護論理部
BS 動作メモリ
BD 動作データ
ED 置換データ
Claims (17)
- 自動車,航空機,船舶等の制御装置のような(プログラミング可能な)データ処理装置(DE)用の保護ユニット(PU)において、
データ処理装置(DE)は、少なくとも1つの動作メモリ(BS)を有し、このデータ処理装置を動作するため、動作データ(BD)が、この動作メモリ内に記憶され得るか又は記憶されていること、
保護ユニット(PU)は、無許可のアクセスから保護された実行環境(AU)内に少なくとも1つの監視論理部(UeL)及び少なくとも1つの保護論理部(SL)を有すること、
動作メモリ内に記憶された動作データの無許可の変更,アクセス又は類似の保護違反を監視するため、監視論理部(UeL)は、動作メモリ(BS)にアクセスし、任意の保護違反の場合に保護論理部(SL)に通知すること、及び
保護違反の場合のデータ処理装置(DE)の動作つまり代替動作に対して、保護論理部(SL)は、置換データ(ED)を出力する保護ユニット。 - 保護ユニットは、少なくとも1つの監視メモリ(UeS)をさらに有し、確認された1つ以上の保護違反に関する情報が、この監視メモリ(UeS)内に記憶される請求項1に記載の保護ユニット。
- 保護ユニットは、少なくとも1つのインターフェース(IS)をさらに有し、このインターフェース(IS)は、保護違反に関する情報及び/又はその他の状態情報をこの保護ユニット(PU)から読み取りできる請求項1又は2に記載の保護ユニット。
- 保護ユニットは、少なくとも1つの管理インターフェース(AS)をさらに有し、この管理インターフェース(AS)は、許可情報,コンフィグレーション,監視論理部,保護論理部又はその他のデータ/プログラムをこの保護ユニット(PU)に対して書き込み又は読み取りできる請求項1〜3のいずれか1項に記載の保護ユニット。
- 実行環境(AU)は、ハードウェアである請求項1〜4のいずれか1項に記載の保護ユニット。
- 監視論理部(UeL),保護論理部(SL),監視メモリ(UeS),情報インターフェース(IS),管理インターフェース(AS)及び/又は置換データ(ED)は、プログラミング可能なモジュールのようなソフトウェアである請求項1〜5のいずれか1項に記載の保護ユニット。
- 自動車等の制御装置のようなデータ処理装置は、請求項1〜6のいずれか1項に記載の少なくとも1つの保護ユニット(PU)を有するデータ処理装置。
- 請求項1〜6のいずれか1項に記載の少なくとも1つの保護ユニットを有するデータ処理装置を監視する方法において、
監視論理部が、動作データにアクセスし、保護違反を検出し、
任意の保護違反の場合に、この監視論理部が、保護論理部に通知し、
任意の保護違反の場合に、データ処理装置のそれぞれの動作つまり緊急動作に対して、この保護論理部が、置換データを出力する方法。 - 保護違反に関する情報が、監視メモリ内に記憶される請求項8に記載の方法。
- 監視論理部は、連続的に又は周期的又はほぼ連続的に動作データつまり動作メモリに所定のクロック周波数でアクセスする請求項8又は9に記載の方法。
- クロック周波数は、管理インターフェースによって特定される請求項10に記載の方法。
- 保護違反を確認するため、動作データの少なくとも1つの電子署名が、確認される請求項8〜11のいずれか1項に記載の方法。
- 任意の保護違反の場合に、保護論理部は、データ処理装置の動作メモリ内の動作データに対するアクセスを阻止する請求項8〜12のいずれか1項に記載の方法。
- 異なる置換データが、保護違反の種類に応じて提供される請求項8〜13のいずれか1項に記載の方法。
- 置換データは、実行環境内に記憶された許可情報によって確認される請求項8〜14のいずれか1項に記載の方法。
- データ処理装置の代替動作のための置換データが、保護ユニットによって及び/又はデータ処理装置によって処理される請求項8〜15のいずれか1項に記載の方法。
- 1つの保護違反後に、提供された置換データが、監視論理部(UeL)によって起こりうる任意の保護違反に対してチェックされる請求項8〜16のいずれか1項に記載の方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP07005046.3 | 2007-03-12 | ||
| EP07005046A EP1970782B1 (de) | 2007-03-12 | 2007-03-12 | Schutzeinrichtung für eine programmierbare datenverarbeitende Einheit |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008276749A true JP2008276749A (ja) | 2008-11-13 |
| JP5216377B2 JP5216377B2 (ja) | 2013-06-19 |
Family
ID=38462016
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008060360A Active JP5216377B2 (ja) | 2007-03-12 | 2008-03-11 | プログラミング可能なデータ処理装置用の保護ユニット |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US9778642B2 (ja) |
| EP (1) | EP1970782B1 (ja) |
| JP (1) | JP5216377B2 (ja) |
| KR (1) | KR101010651B1 (ja) |
| CN (1) | CN101369141B (ja) |
| AT (1) | ATE478367T1 (ja) |
| DE (1) | DE502007004774D1 (ja) |
| ES (1) | ES2351259T3 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016504639A (ja) * | 2012-10-10 | 2016-02-12 | ハネウェル・インターナショナル・インコーポレーテッド | 改ざん試行報告を有するフィールドデバイス |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE478367T1 (de) * | 2007-03-12 | 2010-09-15 | Secunet Security Networks Ag | Schutzeinrichtung für eine programmierbare datenverarbeitende einheit |
| CN102508451B (zh) * | 2011-11-07 | 2013-07-17 | 杭州电子科技大学 | 基于cpld的电脑横织机控制器中电磁铁延时关断方法 |
| DE102012200155A1 (de) * | 2012-01-05 | 2013-07-11 | Continental Automotive Gmbh | Rechnersystem und Verfahren zum Betreiben eines Rechnersystems |
| CN103577767A (zh) * | 2012-08-10 | 2014-02-12 | 西门子公司 | 设计数据的操作方法和设备 |
| EP2980662B1 (de) * | 2014-07-30 | 2021-11-10 | Siemens Aktiengesellschaft | Schutz einer automatisierungskomponente vor programmmanipulationen durch signaturabgleich |
| CN108064381B (zh) * | 2015-03-30 | 2021-06-18 | 爱迪德技术有限公司 | 用于数据保护的方法 |
| JP6576676B2 (ja) * | 2015-04-24 | 2019-09-18 | クラリオン株式会社 | 情報処理装置、情報処理方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08218951A (ja) * | 1995-02-09 | 1996-08-27 | Nippondenso Co Ltd | 燃料蒸散防止装置の診断装置 |
| JPH09167120A (ja) * | 1995-12-15 | 1997-06-24 | Denso Corp | 記憶装置の誤り訂正装置 |
| JPH10154976A (ja) * | 1996-11-22 | 1998-06-09 | Toshiba Corp | タンパーフリー装置 |
| JP2001016655A (ja) * | 1999-06-30 | 2001-01-19 | Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd | 安全な携帯端末装置 |
| JP2004225635A (ja) * | 2003-01-23 | 2004-08-12 | Denso Corp | 電子制御装置 |
| JP2005535972A (ja) * | 2002-08-14 | 2005-11-24 | メッセージラボズ リミテッド | 実行可能コード内のウィルスをヒューリスティックに検出する方法とシステム |
| JP2005352673A (ja) * | 2004-06-09 | 2005-12-22 | Fujitsu Ltd | 不正アクセス監視プログラム、装置および方法 |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US657119A (en) * | 1898-01-18 | 1900-09-04 | Frank Klepetko | Process of refining copper from solutions containing antimony as an impurity. |
| US6987927B1 (en) * | 1998-09-09 | 2006-01-17 | Smartdisk Corporation | Enhanced digital data collector for removable memory modules |
| US6571191B1 (en) * | 1998-10-27 | 2003-05-27 | Cummins, Inc. | Method and system for recalibration of an electronic control module |
| US6343280B2 (en) * | 1998-12-15 | 2002-01-29 | Jonathan Clark | Distributed execution software license server |
| US20020124185A1 (en) * | 2001-03-05 | 2002-09-05 | Gil Caspi | Methods and systems to detect unauthorized software |
| US7007025B1 (en) * | 2001-06-08 | 2006-02-28 | Xsides Corporation | Method and system for maintaining secure data input and output |
| DE10205809A1 (de) * | 2001-06-08 | 2002-12-12 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Überwachung der Steuerung von Betriebsabläufen bei einem Fahrzeug |
| US20030115474A1 (en) * | 2001-06-11 | 2003-06-19 | Sal Khan | System and method for validating the identity of a camera used in secure access applications employing biometrics |
| DE10128305A1 (de) | 2001-06-12 | 2002-12-19 | Giesecke & Devrient Gmbh | Steuereinheit |
| US6715085B2 (en) * | 2002-04-18 | 2004-03-30 | International Business Machines Corporation | Initializing, maintaining, updating and recovering secure operation within an integrated system employing a data access control function |
| US7024581B1 (en) * | 2002-10-09 | 2006-04-04 | Xpoint Technologies, Inc. | Data processing recovery system and method spanning multiple operating system |
| US7484205B2 (en) * | 2002-12-12 | 2009-01-27 | Microsoft Corporation | Preprocessor-based source code instrumentation |
| JP2004355083A (ja) * | 2003-05-27 | 2004-12-16 | Nec Corp | バックアップシステムおよびバックアッププログラム |
| DE10326665A1 (de) * | 2003-06-11 | 2005-01-20 | Endress + Hauser Process Solutions Ag | Verfahren zum Überwachen eines Feldgerätes |
| US7027880B2 (en) * | 2003-09-30 | 2006-04-11 | Rockwell Automation Technologies, Inc. | Safety controller providing rapid recovery of safety program data |
| US7149858B1 (en) * | 2003-10-31 | 2006-12-12 | Veritas Operating Corporation | Synchronous replication for system and data security |
| US8239673B2 (en) * | 2004-04-08 | 2012-08-07 | Texas Instruments Incorporated | Methods, apparatus and systems with loadable kernel architecture for processors |
| US7383396B2 (en) * | 2005-05-12 | 2008-06-03 | International Business Machines Corporation | Method and apparatus for monitoring processes in a non-uniform memory access (NUMA) computer system |
| US20080016127A1 (en) * | 2006-06-30 | 2008-01-17 | Microsoft Corporation | Utilizing software for backing up and recovering data |
| US7685171B1 (en) * | 2006-09-22 | 2010-03-23 | Emc Corporation | Techniques for performing a restoration operation using device scanning |
| ATE478367T1 (de) * | 2007-03-12 | 2010-09-15 | Secunet Security Networks Ag | Schutzeinrichtung für eine programmierbare datenverarbeitende einheit |
-
2007
- 2007-03-12 AT AT07005046T patent/ATE478367T1/de active
- 2007-03-12 DE DE502007004774T patent/DE502007004774D1/de active Active
- 2007-03-12 EP EP07005046A patent/EP1970782B1/de active Active
- 2007-03-12 ES ES07005046T patent/ES2351259T3/es active Active
-
2008
- 2008-03-11 US US12/045,849 patent/US9778642B2/en active Active
- 2008-03-11 JP JP2008060360A patent/JP5216377B2/ja active Active
- 2008-03-12 KR KR1020080022868A patent/KR101010651B1/ko active IP Right Grant
- 2008-03-12 CN CN2008101686889A patent/CN101369141B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08218951A (ja) * | 1995-02-09 | 1996-08-27 | Nippondenso Co Ltd | 燃料蒸散防止装置の診断装置 |
| JPH09167120A (ja) * | 1995-12-15 | 1997-06-24 | Denso Corp | 記憶装置の誤り訂正装置 |
| JPH10154976A (ja) * | 1996-11-22 | 1998-06-09 | Toshiba Corp | タンパーフリー装置 |
| JP2001016655A (ja) * | 1999-06-30 | 2001-01-19 | Advanced Mobile Telecommunications Security Technology Research Lab Co Ltd | 安全な携帯端末装置 |
| JP2005535972A (ja) * | 2002-08-14 | 2005-11-24 | メッセージラボズ リミテッド | 実行可能コード内のウィルスをヒューリスティックに検出する方法とシステム |
| JP2004225635A (ja) * | 2003-01-23 | 2004-08-12 | Denso Corp | 電子制御装置 |
| JP2005352673A (ja) * | 2004-06-09 | 2005-12-22 | Fujitsu Ltd | 不正アクセス監視プログラム、装置および方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016504639A (ja) * | 2012-10-10 | 2016-02-12 | ハネウェル・インターナショナル・インコーポレーテッド | 改ざん試行報告を有するフィールドデバイス |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1970782A1 (de) | 2008-09-17 |
| KR20080083601A (ko) | 2008-09-18 |
| CN101369141B (zh) | 2011-04-20 |
| JP5216377B2 (ja) | 2013-06-19 |
| DE502007004774D1 (de) | 2010-09-30 |
| US9778642B2 (en) | 2017-10-03 |
| ATE478367T1 (de) | 2010-09-15 |
| ES2351259T3 (es) | 2011-02-02 |
| EP1970782B1 (de) | 2010-08-18 |
| CN101369141A (zh) | 2009-02-18 |
| KR101010651B1 (ko) | 2011-01-26 |
| US20080235473A1 (en) | 2008-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5216377B2 (ja) | プログラミング可能なデータ処理装置用の保護ユニット | |
| CN107949847B (zh) | 车辆的电子控制单元 | |
| WO2012139026A2 (en) | System and method for processing requests to alter system security databases and firmware stores in a unified extensible firmware interface-compliant computing device | |
| CN105094082A (zh) | 用于执行在控制设备之间的通信的方法 | |
| CN114007906B (zh) | 安全处理装置 | |
| JP2019185575A (ja) | 制御装置および制御方法 | |
| CN101458748B (zh) | 载入内核组件以创建安全计算环境的方法 | |
| CN112219186B (zh) | 用于将程序代码包安装到设备中的方法以及设备和机动车 | |
| CN111291425B (zh) | 芯片保护方法、装置、存储介质及车载芯片 | |
| WO2020137852A1 (ja) | 情報処理装置 | |
| CN105095766B (zh) | 用于处理控制设备中的软件功能的方法 | |
| CN105094004B (zh) | 用于运行控制设备的方法 | |
| US10789365B2 (en) | Control device and control method | |
| WO2023145044A1 (ja) | 機器検証システム、機器検証方法、および記録媒体 | |
| US20230267205A1 (en) | Mitigation of a manipulation of software of a vehicle | |
| GB2592830A (en) | Electronic control units for vehicles |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080930 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20100526 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110425 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110531 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110830 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110902 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110929 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20111004 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20111027 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20111101 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111129 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120221 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120517 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120522 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120619 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120622 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120719 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130212 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130304 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5216377 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160308 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |