JP7392157B2 - コンピューティングデバイスの動作方法及び動作装置 - Google Patents
コンピューティングデバイスの動作方法及び動作装置 Download PDFInfo
- Publication number
- JP7392157B2 JP7392157B2 JP2022537899A JP2022537899A JP7392157B2 JP 7392157 B2 JP7392157 B2 JP 7392157B2 JP 2022537899 A JP2022537899 A JP 2022537899A JP 2022537899 A JP2022537899 A JP 2022537899A JP 7392157 B2 JP7392157 B2 JP 7392157B2
- Authority
- JP
- Japan
- Prior art keywords
- zone
- central processing
- processing unit
- supervisor
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 110
- 230000015654 memory Effects 0.000 claims description 332
- 238000012545 processing Methods 0.000 claims description 214
- 239000000872 buffer Substances 0.000 claims description 128
- 238000012544 monitoring process Methods 0.000 claims description 26
- 238000004891 communication Methods 0.000 claims description 19
- 230000004044 response Effects 0.000 claims description 11
- 238000001514 detection method Methods 0.000 claims description 7
- 230000015572 biosynthetic process Effects 0.000 claims description 6
- 239000004065 semiconductor Substances 0.000 claims description 6
- 239000000758 substrate Substances 0.000 claims description 6
- 238000012546 transfer Methods 0.000 claims description 6
- 230000004048 modification Effects 0.000 claims description 5
- 238000012986 modification Methods 0.000 claims description 5
- 230000004913 activation Effects 0.000 claims description 3
- 230000003068 static effect Effects 0.000 description 44
- 230000000875 corresponding effect Effects 0.000 description 28
- 238000010586 diagram Methods 0.000 description 27
- 230000006870 function Effects 0.000 description 22
- 230000005540 biological transmission Effects 0.000 description 17
- 238000012795 verification Methods 0.000 description 17
- 238000000926 separation method Methods 0.000 description 13
- 230000036961 partial effect Effects 0.000 description 12
- 230000008569 process Effects 0.000 description 11
- 238000012360 testing method Methods 0.000 description 11
- 230000007704 transition Effects 0.000 description 10
- 238000011156 evaluation Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 230000001276 controlling effect Effects 0.000 description 7
- 101000651041 Homo sapiens Swi5-dependent recombination DNA repair protein 1 homolog Proteins 0.000 description 5
- 102100027777 Swi5-dependent recombination DNA repair protein 1 homolog Human genes 0.000 description 5
- 230000008901 benefit Effects 0.000 description 5
- 238000007689 inspection Methods 0.000 description 5
- 230000002093 peripheral effect Effects 0.000 description 5
- 101150020421 SFR2 gene Proteins 0.000 description 4
- 238000013524 data verification Methods 0.000 description 4
- 238000002955 isolation Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- VYMDGNCVAMGZFE-UHFFFAOYSA-N phenylbutazonum Chemical compound O=C1C(CCCC)C(=O)N(C=2C=CC=CC=2)N1C1=CC=CC=C1 VYMDGNCVAMGZFE-UHFFFAOYSA-N 0.000 description 4
- 101150102734 ISR1 gene Proteins 0.000 description 3
- 230000003213 activating effect Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 230000002688 persistence Effects 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 241000473391 Archosargus rhomboidalis Species 0.000 description 2
- DSIFMINXCSHZPQ-UHFFFAOYSA-M FUN-1 Chemical compound [I-].S1C2=CC=CC=C2[N+](C)=C1C=C(C1=CC=CC=C11)C=C(Cl)N1C1=CC=CC=C1 DSIFMINXCSHZPQ-UHFFFAOYSA-M 0.000 description 2
- 101000946850 Homo sapiens T-lymphocyte activation antigen CD86 Proteins 0.000 description 2
- 102100034924 T-lymphocyte activation antigen CD86 Human genes 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 238000002485 combustion reaction Methods 0.000 description 2
- 230000002596 correlated effect Effects 0.000 description 2
- 238000003745 diagnosis Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 230000002829 reductive effect Effects 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013502 data validation Methods 0.000 description 1
- 230000009849 deactivation Effects 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 108010067930 structure-specific endonuclease I Proteins 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 230000003936 working memory Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1416—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
- G06F12/1425—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
- G06F12/1441—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a range
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1458—Protection against unauthorised use of memory or access to memory by checking the subject access rights
- G06F12/1483—Protection against unauthorised use of memory or access to memory by checking the subject access rights using an access-table, e.g. matrix or list
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/544—Buffers; Shared memory; Pipes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/10—Providing a specific technical effect
- G06F2212/1052—Security improvement
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Mathematical Physics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Description
高度にネットワーク化された近年の車両の関連においては、特に、多様な外部インタフェースが原因で、制御装置及び/又は組込システムなどのコンピューティングデバイス上の侵入表面が著しく増加している。特に、いわゆる遠隔侵入のリスク、即ち、例えばインタネットを介した、車両又はコンピューティングデバイスへの物理的なアクセスを伴わない侵害のリスクが存在している。好ましい実施形態による原理は、有利には、コンピューティングデバイスへのこのような遠隔侵入及び/又は他の侵入の効率的な阻止のために使用され得る。
コンピューティングデバイスによって実行可能な1つ又は複数のプログラム、特にアプリケーションプログラム又はサブプログラムを少なくとも2つのゾーンのうちの1つのゾーンに割り当てるステップであって、これらのゾーンは、関連するアプリケーションプログラムを実行するために利用可能な、コンピューティングデバイスのリソースを特徴付ける、ステップと、
任意選択的に、自身に割り当てられているゾーンに応じて、複数のプログラム、特にアプリケーション又はサブプログラムのうちの少なくとも1つを実行するステップと、
を含み、この方法はさらに、
異なるプログラム、特にアプリケーションプログラム及び/又はアプリケーションプログラムのインスタンスに対して計算時間リソースを割り当てるためにスーパーバイザを使用するステップを含み、スーパーバイザ及び/又はスーパーバイザに対応する機能性は、少なくとも部分的に、少なくとも2つのゾーンから独立しているスーパーバイザインスタンスによって実現される。
1つ又は複数の、コンピューティングデバイス100(図1)によって実行可能なプログラム、特にアプリケーションプログラムAP1,AP2及び/又はサブプログラム及び/又はプロキシ及び/又はインスタンスを少なくとも2つのゾーンZ1,Z2のうちの1つのゾーンに割り当てるステップ200であって、これらのゾーンZ1,Z2は、関連するプログラム、特にアプリケーションプログラムAP1,AP2及び/又はサブプログラム及び/又はプロキシ及び/又はアプリケーションプログラムAP1,AP2のインスタンスを実行するために利用可能な、コンピューティングデバイス100のリソースを特徴付ける、ステップ200と、
任意選択的に、自身に割り当てられているゾーンZ1,Z2に応じて、複数のプログラム、特にアプリケーションプログラムAP1,AP2及び/又はサブプログラム及び/又はプロキシ及び/又はインスタンスのうちの少なくとも1つを実行するステップ210と、を含む、コンピューティングデバイス100の動作方法に関する(図2Aのフローチャートを参照されたい)。
この方法は、任意選択的にさらに、
異なるプログラム、特にアプリケーションプログラムAP1,AP2及び/又はアプリケーションプログラムのインスタンスに対して計算時間リソースを割り当てるためにスーパーバイザSVを使用するステップ212を含み、
スーパーバイザSV及び/又は特にスーパーバイザSVに対応する機能性は、少なくとも部分的に、少なくとも2つのゾーンZ1,Z2から独立しているスーパーバイザインスタンスSVI(図1)を用いて実現される。これは、有利には、プログラム、特にアプリケーションプログラムAP1、AP2、サブプログラム、プロキシ、インスタンスなどの実行時の動作の柔軟性を損なうことなく、コンピューティングデバイス100の動作のセキュリティを強化することを可能にする。
a)コンピューティングデバイス100,100aに割り当てられているメモリ1030,1032に対する読取権、
b)コンピューティングデバイスに割り当てられているメモリ1030,1032に対する書込権、
c)コンピューティングデバイスに割り当てられているメモリ1030,1032に対する実行権(遂行権)
のうちの少なくとも1つの要素を、少なくとも1つのゾーンZ1,Z2に応じて制御するステップ230、特に制限するステップを含むことが想定されている。これによって、有利には、対応するゾーンZ1,Z2に割り当てられているプログラム、特にアプリケーションプログラムAP1,AP2(図1)、サブプログラムなどのみが、上述の1つ又は複数のメモリ1030,1032にアクセスし得ることが保証される。例えば、これによって、他の好ましい実施形態においては、信頼できないゾーンのプログラム、特にアプリケーションプログラム、サブプログラム、プロキシが1つ又は複数のメモリ1030,1032にアクセスすること(特に、例えば、信頼できないゾーンによる、信頼できるゾーンに割り当てられているメモリ領域1030,1032へのアクセス)を阻止することができる。これは、場合によっては、信頼できないゾーンのプログラムによるメモリコンテンツの改ざんの可能性に関するリスクである。
a)少なくとも1つの中央メモリ保護デバイス又はバスシステム101(図3)に割り当てられている少なくとも1つのメモリ保護デバイスM5_1,…,M5_8に対する、特に、静的な(変更不可能な)構成データセットと、
b)専用メモリ保護デバイスM1,M2,M3,M4に対する、それぞれ4つの、特に静的な構成データセットであって、これらはそれぞれ4つの、専用メモリ保護デバイスに対する構成データセットを含み、他の好ましい実施形態においては、例えば、スーパーバイザモード用の1つの静的な構成データセットと、例えば、アプリケーションプログラムAP1,AP2用の、即ち、例えばユーザモード用の3つの静的な構成データセットとを含む、構成データセットと、
を含む。図23は、合計4つの構成データセットKD1,KD2,KD3,KD4を含む例示的な構成データKD’を概略的に示している。
a)特にメインメモリの形態のバッファメモリ、
b)スタックメモリ、
c)データメモリ、
d)プログラムメモリ、
e)レジスタメモリ
のうちの少なくとも1つの要素を有しており、ここでは、少なくとも1つのメモリ保護デバイスが、この分離するステップ270のために使用される(任意選択的なステップ272を参照されたい)。
第1のデータを、第1のゾーンに割り当てられている第1のバッファメモリ領域TB1b,B3にコピーするステップ282と、
コピーされた第1のデータを検査するステップ283と、
特にこの検査するステップに応じて、第1のデータを、第1のゾーンZ1に割り当てられている第1のバッファメモリ領域TB1b,B3から、第2のゾーンZ2に割り当てられている第2のバッファメモリ領域TB2a,B1_2にコピーするステップ284と、
を含む。特に好ましくは、データ交換は、交換用バッファメモリ領域TB1A(ゾーン1 Z1からゾーン2 Z2へのデータ交換用)又は交換用バッファ領域TB2b(ゾーン2 Z2からゾーン1 Z1へのデータ交換用)を介して行われる。
a)複雑性(コードの範囲、機能性、柔軟性など)を必要最小限に抑制することによる侵入表面の最小化
b)事前に規定されたタスク(静的なタスクリスト、動的なタスクリストは不可)のみのスケジューリング、例えば周期的な割り込み要求(IRQ)、例えばタイマIRQ及び/又はevent(イベント)に基づくIRQ、例えばRx(受信)IRQ、Tx(送信)IRQ、SW(ソフトウェア)IRQなどを伴うISRなどに基づくスケジューリングであり、ここで、タスクは、ISRによってアクティブ化される。
c)ISRに入ると、好ましくは、スーパーバイザモードへのハードウェア駆動方式の切換が行われる。例えば、スーパーバイザモードに対する静的な構成データセットへの切換、静的な構成データセット間の切換(例えば、ユーザモードに対する)は、好ましくは、スーパーバイザモードにおいてのみ可能である。
d)さらに好ましくは、タスクのアクティブ化の前に、スーパーバイザモードからユーザモードへの切換が行われ、ここでは、特にタスク(例えば、アプリケーションプログラム(アプリケーションプログラムのインスタンス)の一部)がユーザモードにおいて実行され、ここではさらに、特に、(静的な)構成データ間の切換は、ユーザモード又はタスクにおいて不可能である。
e)有利には、他の好ましい実施形態においては、メモリ保護デバイスの静的な(場合によっては、特に完全かつ真正でもある)構成によって、例えば、開始サイクル中に、次のことが既に暗黙的に可能にされている。即ち、メモリ保護デバイスの動的な再構成が、(例えば、軽量組込OS BS/スーパーバイザSVによって)スーパーバイザモードに対して設定されている割り込みルーチン(ISR)を用いて行われることがないことが既に暗黙的に可能にされている。
a)第1のゾーンZ1、
b)第1のゾーンZ1に割り当てられているアプリケーションプログラムAP1、
c)第1のゾーンZ1に割り当てられている、アプリケーションプログラムAP1のインスタンスAP1_I1
のうちの少なくとも1つの要素を監視するステップ300を含むことが想定されている。ここでは特に、この監視するステップ300は、スタックメモリ(「stack」)を評価するステップ302(図2K)及び/又はプログラムカウンタ(「program counter」 PC)を評価するステップ304を含み、ここで、好ましくは、スタックメモリを評価するステップ302及び/又はプログラムカウンタを評価するステップ304は、アプリケーションプログラムをアクティブ化するステップ及び/又はアプリケーションプログラムのインスタンスをアクティブ化するステップの前に行われる。
a)特に、第1のゾーンZ1に割り当てられている中央処理装置102bの非アクティブ化305a及び/又は第1のゾーンZ1に割り当てられている中央処理装置102bのリセット305b及び/又はエラーモードへの移行305cを用いた、第1のゾーンZ1及び/又は第1のゾーンZ1に割り当てられている中央処理装置102b(図1)の安全な状態への移行、
b)エラーエントリFEの生成305d、及び/又は、
c)あるエラーエントリ又は上述のエラーエントリの、侵入検知システム、特にIntrusion Detection Systemへの転送305e
のうちの少なくとも1つの要素を有することが想定されている。他の好ましい実施形態においては、IDSは、例えば、コンピューティングデバイス100,100aの内部及び/又は外部に配置されるものとしてよい。
a)詳細な専門家分析、
b)人工知能(AI)、
c)機械学習(ML)など
のうちの少なくとも1つの態様を実装するように構成されるものとしてもよい。
a)少なくとも1つのメモリ保護デバイスの構成に使用可能なプログラムコードの検証322、
b)構成データの検証324、
c)少なくとも1つのメモリ保護デバイスの構成に使用可能な、あるプログラムコード又は上述のプログラムコードの永続化326、
d)構成データの永続化328
のうちの少なくとも1つの要素を用いて、少なくとも1つのメモリ保護デバイスの動作を制御する構成データKDの完全性及び/又は真正性を検査するステップ320を含むことが想定されている。
a)コンピューティングデバイスの内部インタフェース、特にソフトウェアインタフェース、
b)コンピューティングデバイスの内部ハードウェアインタフェース及び/又は外部ハードウェアインタフェース、
c)暗号化機能を実行するためのハードウェアセキュリティモジュール及び/又は暗号化モジュール、
d)コンピューティングデバイスの周辺機器、特に少なくとも1つの周辺機器の特殊機能レジスタ、
e)コンピューティングデバイスのターゲットシステム、特に制御装置の内部インタフェース、
f)コンピューティングデバイスのターゲットシステム、特に制御装置の外部インタフェース、
g)特に、ISO/OSIレイヤモデルの少なくとも1つのレイヤ上の通信プロトコルに対するアドレス指定要素
のうちの少なくとも1つの要素へのプログラム又はアプリケーションプログラムAP1,AP2によるアクセスを制御するステップ340を含むことが想定されている。図2Rに示された任意選択的なステップ342は、例示的に、自身に割り当てられているゾーンにおける関連するアプリケーションプログラムの(さらなる)実行を暗黙的に示している。
a)少なくとも1つの付加的な、特にまだ存在していないゾーンの導入350、
b)第1の中央処理装置102aから、コンピューティングデバイス100,100aの少なくとも1つの他の中央処理装置102bへの機能性の移動352、
c)特にコンピューティングデバイス内に統合されているメインメモリを使用した、少なくとも2つのゾーン間の通信の実行354、
d)少なくとも1つの信頼できるゾーンの定義360(図2Tを参照されたい)及び任意選択的に、信頼できるゾーンに割り当てられている少なくとも1つのアプリケーションプログラムによる、少なくとも1つの他の、特に信頼できないゾーンの監視362
のうちの少なくとも1つの要素を有することが想定されている。
e1)割り込み要求IRQによって割り込まれたタスク又はプログラムのコンテキストを、例えば、スタックメモリ上に少なくとも一時的に格納するステップ(例えば、RAM1030の設定可能な領域内において定義されるものとしてよい)、
e2)後に実行されるタスクを識別するステップ、
e3)現在の動作モード、例えばスーパーバイザモードから他の動作モード、例えばユーザモードへ切り換えるステップ、
e4)識別されたゾーンのタスクを復元するステップ
のうちの少なくとも1つの要素を有する割り込みルーチンISR1が実行される。
e1’)割り込み要求IRQ’によって割り込まれたタスク又はプログラムのコンテキストを、例えば、スタックメモリ上に少なくとも一時的に格納するステップ、
任意選択的にe5)例えばスタックメモリの評価を実行するステップ(例えば、図2Kのステップ302を参照されたい)及び/又はプログラムカウンタの評価を実行するステップ(例えば、図2Kのステップ304を参照されたい)、
e6)後に実行されるタスクを識別するステップ、
e7)(例えば、先行するステップe6から)コンテキストを、識別されたゾーンへ切り換えるステップであり、ここでは、識別されたゾーンは、後に実行される識別されたタスクと関連付けられている(選択的に、他の好ましい実施形態においては、この切換は、例えば、CAN ID,VLAN ID,MACアドレスなどを用いて、例えばアドレスに基づいて行われるものとしてもよい)、ステップ、
e8)現在の動作モード、例えばスーパーバイザモードから他の動作モード、例えばユーザモードへ切り換えるステップ、
e9)後続のタスクのコンテキストを復元するステップ
のうちの少なくとも1つの要素を有する割り込みルーチンISR2が実行される。
e1’)割り込み要求IRQ”によって割り込まれたタスク又はプログラムのコンテキストを少なくとも一時的に格納するステップと、
任意選択的にe5’)例えばスタックメモリの評価を実行するステップ(例えば、図2Kのステップ302を参照されたい)及び/又はプログラムカウンタの評価を実行するステップ(例えば、図2Kのステップ304を参照されたい)と、
e10)(例えば、好ましくは静的なタスクリストに応じて)次のタスクへコンテキストを切り換えるステップと、
e11)現在の動作モード、例えばスーパーバイザモードから他の動作モード、例えばユーザモードへ切り換えるステップと、
e12)識別されたゾーンのタスクを復元するステップと、
のうちの少なくとも1つの要素を有する割り込みルーチンISR3が実行される。
a)特にディープパケットインスペクション DPIのための、データパケットの検査を実行するためのプログラム、
b)診断のためのプログラム、
c)特にFOTA(firmware over the air)技術を用いた(例えば、図22のデータインタフェース1008を用いた)、アップデートを実行するためのプログラム、
d)侵入検知及び侵入防止(Intrusion Detection and Prevention)のためのプログラム
のうちの少なくとも1つの要素を有する。他の好ましい実施形態においては、第2の中央処理装置102b及び第2のゾーンZ2に、ここでは、第1のゾーンZ1に関連して上述されたアプリケーションプログラムの相応の第2のインスタンスI2が割り当てられている。他の好ましい実施形態によれば、少なくとも1つのメモリ保護デバイスSSEが、種々のゾーンの相応のアプリケーションプログラム若しくはインスタンスの読取権及び/又は書込権及び/又は実行権の制御ために使用可能である。例示的に図11を参照して上述された構成によって、例えば、電子制御装置及び/又は組込システム及び/又はIoTシステムなどのための、データパケットの検査のために、又は、侵入検知及び侵入防止のために、特に安全なシステムが効率的に提供され得る。ここでは、ゾーンZ1,Z2へのアプリケーションプログラムのインスタンスI1,I2の割り当てによって、特に有利には、例えば、実行(遂行)のための各コンテキストが、異なる信頼レベルで提供され得る。
e20)例えば、メッセージ又はプログラムの送信のために、割り込み要求Rxによって割り込まれたタスク、特に送信タスク(「Tx task」)のコンテキストを少なくとも一時的に格納するステップと、
任意選択的にe21)例えばスタックメモリの評価を実行するステップ(例えば、図2Kのステップ302を参照されたい)及び/又はプログラムカウンタの評価を実行するステップ(例えば、図2Kのステップ304を参照されたい)と、
e22)受信したデータフレーム(例えば、上述の受信したCANメッセージの受信したデータフレーム)と関連付けられているゾーンを特定するステップと、
e23)コンテキストを、ステップe22において特定されたゾーンへ切り換えるステップと、
e24)現在の動作モード、例えばスーパーバイザモードから他の動作モード、例えばユーザモードへ切り換えるステップと、
e25)メッセージ受信のための処理ルーチン(「Receive(Rx)handler」)を呼び出すステップ、即ち、例えば、受信したメッセージを処理するアプリケーションプログラム又はアプリケーションプログラムの一部を呼び出すステップと、
e26)識別されたゾーンのタスク(例えば、送信タスク)を復元するステップと、
のうちの少なくとも1つの要素を有する割り込みルーチンISR4が実行される。
e30)例えば、メッセージ又はプログラムの送出のために、割り込み要求Rxによって割り込まれたタスク、特に送信タスク(「Tx task」)のコンテキストを少なくとも一時的に格納するステップと、
任意選択的にe31)例えばスタックメモリの評価を実行するステップ(例えば、図2Kのステップ302を参照されたい)及び/又はプログラムカウンタの評価を実行するステップ(例えば、図2Kのステップ304を参照されたい)と、
e32)(例えば、特に静的なタスクリストによって)、コンテキストを次の送信タスクへ切り換えるステップと、
e33)現在の動作モード、例えばスーパーバイザモードから他の動作モード、例えばユーザモードへ切り換えるステップと、
e34)識別されたゾーンのタスク(例えば、送信タスク)を復元するステップと、
のうちの少なくとも1つの要素を有する割り込みルーチンISR5が実行される。
a)メッセージの受信(「Rx」)、
b)タイマ(「Timer」)の通知、
c)ソフトウェアを用いて生成された割り込み要求(「SW」)
のうちの少なくとも1つの割り込み要求の際に実行可能な割り込みルーチンを例示的に表している。ブロックT_RX_Z1は、ゾーンZ1に割り当てられており、メッセージの受信時(「Rx」)に実行されるタスク(例えば、アプリケーションプログラムの一部又はアプリケーションプログラムのインスタンス)を例示的に表している。これは、図13のコンピューティングデバイス100bの第1の中央処理装置K1のインスタンスI1と比肩可能である。ブロックT_RX_Z2は、ゾーンZ2に割り当てられており、メッセージの受信時に実行されるタスクを例示的に表している。これは、図13のコンピューティングデバイス100bの第1の中央処理装置K1のインスタンスI2と比肩可能である。ブロックT_TX_Z1は、ゾーンZ1に割り当てられており、メッセージの送信時に実行されるタスクを例示的に表している。これは、図13のコンピューティングデバイス100bの第1の中央処理装置K1のインスタンスI3と比肩可能である。ブロックT_TX_Z2は、ゾーンZ2に割り当てられており、メッセージの送信時に実行されるタスクを例示的に表している。これは、図13のコンピューティングデバイス100bの第1の中央処理装置K1のインスタンスI4と比肩可能である。
a)CANメッセージを使用した診断、
b)CANメッセージに適用されるDPI、
c)プロキシ、例えば、通信プロトコル及び/又は診断プロトコルなどに対するプロキシの形成、
d)特にアプリケーションプログラムを取り入れた、例えば第1のCANバスから例えば第2のCANバスへのルーティング(これによって、例示的に、ルーティングされるCANメッセージ、特に分析及び/又は変更の処理が可能になる)
のうちの少なくとも1つの用途に対して使用可能である。
a)タイマ(「Timer」)の通知、
b)ソフトウェアによって生成される割り込み要求(「SW ISR」)
のうちの少なくとも1つの割り込み要求時に実行可能な割り込みルーチンを例示的に表している。
a)少なくとも1つの中央処理装置を有するコンピューティングデバイス1002、
b)メモリデバイス1004、
c)データバス1006、
d)少なくとも1つのメモリ保護デバイス1002a、
e)(任意選択的な)ハードウェアセキュリティモジュールHSM’
のうちの少なくとも1つの要素が配置されている。
a)制御装置の動作又は動作状態遷移の制御、
b)制御装置及び/又は他のコンポーネント及び/又は例えば自動車の1つ又は複数の機能の有効化又は非有効化、
c)エラーモード及び/又は緊急動作への切換、
d)エラーメモリエントリの実行、
e)外部ユニット及び/又はユーザへの動作状態の通知、
f)アクチュエータの駆動制御
のうちの少なくとも1つの用途に対する使用である。
a)コンピューティングデバイス100,100a(図1)における、特にコンピューティングデバイスの中央処理装置102c内における信頼境界(「Trust Boundaries」)の提供370、
b)コンピューティングデバイス及び/又はコンピューティングデバイスのコンポーネントのうちの1つのコンポーネントに対する侵入の侵入表面の低減371(図2U)
c)メモリ1030,1032へのアクセス権の制限372、
d)周辺機器1034(図3)へのアクセス権の制限373、
e)(例えば、計算時間、中央処理装置のデータによって特徴付け可能な)計算リソースへのアクセス権の制限374(図2U)、
f)変造されたコンポーネントの影響の最小化375、
g)特に車両、特に自動車用の制御装置の動作376、
h)組込システム、特にモノのインタネットの組込システム、即ち、IoTシステムの動作377、
i)特定用途向け集積回路、即ち、ASICの動作378
のうちの少なくとも1つの要素に対する、実施形態による方法の使用及び/又は実施形態による装置の使用及び/又は実施形態によるコンピュータプログラムの使用に関する。
A)コンピューティングデバイス100;100a;100bの動作パラメータ、
B)コンピューティングデバイス100;100a;100bの動作モード、
C)コンピューティングデバイス100:100a:100bの用途
のうちの少なくとも1つの要素に応じて実行される。
1.侵害の可能性に関するゾーンZ1(任意選択的にゾーンZ2)の監視及び/又はゾーンZ1(及び/又はゾーンZ2)の侵害の可能性の検出は、好ましくは、例えば、特に各ゾーンZ1,Z2に割り当てられているタスクのタスクアクティブ化の前の、ゾーン1(及び/又はゾーンZ2)のスタック(スタックメモリ)及び/又はプログラムカウンタの監視によって行われるものとしてよく、コード遂行前の侵害の識別が行われ、この監視は、他の好ましい実施形態においては、任意選択的に、暗号に関する完全性検証及び/又は真正性検証を介して、例えば、ホスト-Z1(及びホスト-Z2)のスタック及び/又はプログラムカウンタの、例えば、ハッシュ、メッセージ認証コード(MAC)などを介して行われるものとしてよい。
2.侵害が検出された場合、他の好ましい実施形態に従って、少なくとも1つの代替反応又はエラー反応が開始される。これは、例えば、
・ゾーンZ1(及び/又はゾーンZ2)の、(例えば、電源オフ/オン-リセットを介した)安全な、特に完全な状態又はエラーモードへの移行、
・ログ(又はログファイル又はエラーメモリ)エントリの生成
である。他の好ましい実施形態においては、少なくとも一時的に、安全な及び/又は暗号化されたログエントリが、特に、好ましくはスーパーバイザインスタンスSVI(図24を参照されたい)の任意選択的な専用かつ排他的なメモリSL内に格納される。
a)例えば、ログエントリを少なくとも1つの外部インスタンス(図示せず)、例えば侵入検知システム(IDS)に転送するための真正の及び/又は暗号化された通信チャネルの構築、
b)特にゾーンZ1,Z2の、周期的に又はイベントに基づいて実行されるタスクのコーディネート及び/又は調整(例えば、スケジューリング(リソース計画)を含む)、
c)専用かつ排他的なTAメモリSL(図24)における好ましくは静的なホストタスクリストの確実な格納及び/又は処理、
d)例えば、ゾーンZ1及び/又はゾーンZ2タスクに対するホストMPU-SFRにおける静的構成データセット(「MPUセット」)間の切換
のうちの少なくとも1つの要素が想定されている。
1.ホスト側のスーパーバイザ機能性の最小化、侵入表面の低減(例えば、変造された(ホスト)ゾーンZ1から始まって)、
2.(ホスト)ゾーンZ1及び/又は(任意選択的に)Z2の、特にこれらのゾーンZ1,Z2に対して自立(独立)しているTAインスタンスSVIに関する監視の外注化、監視からの(ホスト)ゾーンの分離、
3.例えば、監視と暗号プリミティブとが同一のインスタンス(TA SVI又はHSM)上に実現されていることによる、監視のシンプルで安全かつ高性能な暗号拡張、(例えば、ゾーンZ1,Z2の)スタック及びプログラムカウンタの暗号に関する完全性検証及び/又は真正性検証、安全な専用かつ排他的なTAメモリSLにおけるログエントリの暗号化された格納、例えば、IDSである外部インスタンスへのログエントリの転送のための真正の及び/又は暗号化された通信チャネルの構築、
4.TAメモリSLにおける静的なホストタスクリストの確実な格納(完全性保護及び/又は真正性保護)、
5.TA側のスーパーバイザプロキシにおけるホストMPU-SFRにおける静的なMPUセットの切換のための機能性の中央化、ホスト側における切換のための機能性の取り消し、ホスト側の特権昇格が無効な場合においても切換不可能
のうちの少なくともいくつの作用を可能にする。
・TA側:ゾーンZ4(例えば、最高の信頼レベル)
・TA側:ゾーンZ3
・ホスト側:ゾーンZ2
・ホスト側:ゾーンZ1(例えば、最低の信頼レベル)
に基づいている。
Claims (21)
- 車両の制御装置用の、少なくとも1つの中央処理装置(102a,102b,102c,…,102n;K1,K2,K3,K4;KX)を有するコンピューティングデバイスの動作方法であって、
前記コンピューティングデバイス(100;100a;100b;100c)は、接続ゾーン(400)とセキュリティゾーン(440)との間のデータ交換を制御するように構成されており、
前記セキュリティゾーン(440)は、前記車両の少なくとも1つのコンポーネント(442,444,446)を含み、前記車両の走行に必要であり、かつ、高いセキュリティ関連性を有しており、
前記接続ゾーン(400)は、前記車両の少なくとも1つのコンポーネント(420,422,424,426)を含み、前記コンポーネントの動作は、前記車両の外側における通信を必要とするが、前記車両の走行に必要ではなく、高いセキュリティ関連性を有しておらず、
前記コンピューティングデバイス(100;100a;100b;100c)によって実行可能な少なくとも1つの第1のプログラム(AP1)又はサブプログラムは、信頼できないゾーン(Z1)に割り当てられ、少なくとも1つの第2のプログラム(AP2)又はサブプログラムは、信頼できるゾーン(Z2)に割り当てられ、
前記接続ゾーン(400)の前記コンポーネント(420,422,424,426)は、前記信頼できないゾーン(Z1)に割り当てられ、前記セキュリティゾーン(440)の前記コンポーネント(442,444,446)は、前記信頼できるゾーン(Z2)に割り当てられ、
前記コンピューティングデバイス(100;100a;100b;100c)は、少なくとも1つのメモリ(1030,1032)を含み、前記メモリ(1030,1032)は、少なくとも1つの第1のバッファメモリ領域(TB1b,B3’)を有しており、前記第1のバッファメモリ領域(TB1b,B3’)には、前記信頼できないゾーン(Z1)に割り当てられている前記第1のプログラム(AP1)だけが、読取及び/又は書込のためだけにアクセスし、前記メモリ(1030,1032)は、少なくとも1つの第2のバッファメモリ領域(TB2a,B1_2)を有しており、前記第2のバッファメモリ領域(TB2a,B1_2)には、前記信頼できるゾーン(Z2)に割り当てられている前記第2のプログラム(AP2)だけが、読取及び/又は書込のためだけにアクセスし、前記メモリ(1030,1032)は、少なくとも1つの交換用バッファメモリ領域(TB1a,TB2b,B3”)を有しており、前記交換用バッファメモリ領域(TB1a,TB2b,B3”)は、前記信頼できないゾーン(Z1)の前記第1のプログラム(AP1)に、書込のためのアクセスだけを許可し、前記信頼できるゾーン(Z2)の前記第2のプログラム(AP2)に、読取のためのアクセスだけを許可する、方法において、
種々のゾーン(Z1,Z2)の間におけるデータの交換(280)は、
前記データを、前記信頼できないゾーン(Z1)に割り当てられている前記第1のバッファメモリ領域(TB1b,B3’)にコピーするステップ(282)と、
コピーされた前記データを検査するステップ(283)と、
前記検査するステップ(283)に応じて、前記データを、前記信頼できないゾーン(Z1)に割り当てられている前記第1のバッファメモリ領域(TB1b,B3’)から、前記信頼できるゾーン(Z2)に割り当てられている前記第2のバッファメモリ領域(TB2a,B1_2)にコピーするステップ(284)と、
を含む、方法。 - データは、前記第1のバッファメモリ領域(TB1b,B3’)から前記交換用バッファメモリ領域(TB1a,TB2b,B3”)に書き込まれる、請求項1に記載の方法。
- 前記交換用バッファメモリ領域(TB1a,TB2b,B3”)内に存在する前記データは、読取のためのアクセスに関連して検査され、前記データの検査(283)が成功すると、前記データは、前記交換用バッファメモリ領域(TB1a,TB2b,B3”)から前記第2のバッファメモリ領域(TB2a,B1_2)にコピーされる、請求項1又は2に記載の方法。
- 前記第1のバッファメモリ領域(TB1b,B3’)及び/又は前記第2のバッファメモリ領域及び/又は前記交換用バッファメモリ領域(TB1a,TB2b,B3”)内の前記データへの実行のためのアクセスは、阻止される、請求項1乃至3のいずれか一項に記載の方法。
- 前記データの利用及び転送は、前記第2のバッファメモリ領域(TB2a,B1_2)から開始して行われる、請求項1乃至4のいずれか一項に記載の方法。
- 前記メモリ(1030,1032)及び/又は前記第1のバッファメモリ領域(TB1b,B3’)及び/又は前記第2のバッファメモリ領域(TB2a,B1_2)及び/又は前記交換用バッファメモリ領域(TB1a,TB2b,B3”)へのアクセス権は、メモリ保護デバイス(M1,M2,M3,M4,M5_1,M5_2,M5_3,M5_4,M5_5,M5_6,M5_7,M5_8)によって行われる、請求項1乃至5のいずれか一項に記載の方法。
- 少なくとも1つのゾーン(Z1,Z2)に応じて、以下の要素、即ち、
a)前記コンピューティングデバイス(100;100a;100b)に割り当てられているメモリ(1030,1032)に対する読取権、
b)前記コンピューティングデバイス(100;100a;100b)に割り当てられているメモリ(1030,1032)に対する書込権、
c)前記コンピューティングデバイス(100;100a;100b)に割り当てられているメモリ(1030,1032)に対する実行権
のうちの少なくとも1つの要素を前記読取権及び/又は前記書込権及び/又は前記実行権を制御するために、少なくとも一時的に、少なくとも1つのメモリ保護デバイス(M1,M2,M3,M4,M5_1,M5_2,M5_3,M5_4,M5_5,M5_6,M5_7,M5_8)を使用すること(232;232’)によって制御するステップ(230)をさらに含む、請求項1乃至6のいずれか一項に記載の方法。 - 少なくとも1つの中央処理装置(102a)は、少なくとも一時的に第1の動作モードを取り(240)、前記少なくとも1つの中央処理装置(102a)は、前記第1の動作モードにおいて、少なくとも1つのメモリ保護デバイスの動作を制御する構成データ(1036)の設定及び/又は書込(242)を行い、
前記少なくとも1つの中央処理装置(102a)は、少なくとも一時的に第2の動作モードを取り(243)、前記少なくとも1つの中央処理装置(102a)は、前記第2の動作モードにおいて、前記少なくとも1つのメモリ保護デバイスに対する前記構成データ(1036)の書込及び/又は変更を行うことができない、請求項7に記載の方法。 - 前記少なくとも1つのメモリ保護デバイス(M1,M2,M3,M4,M5_1,M5_2,M5_3,M5_4,M5_5,M5_6,M5_7,M5_8)に対して構成データ(KD)の複数のセットを提供するステップ(250)をさらに含み、
前記構成データ(KD)の前記複数のセットのうちの少なくとも1つの第1のセットは、前記少なくとも2つのゾーン(Z1,Z2)のうちの信頼できないゾーン(Z1)に、前記構成データ(KD)の前記複数のセットのうちの少なくとも1つの第2のセットは、前記少なくとも2つのゾーン(Z1,Z2)のうちの信頼できるゾーン(Z2)に、割り当てられる(252)、請求項7乃至8のいずれか一項に記載の方法。 - 前記メモリ保護デバイス(M1,M2,M3,M4,M5_1,M5_2,M5_3,M5_4,M5_5,M5_6,M5_7,M5_8)の構成データ(KD)は、静的及び/又は真正に構成され、従って、前記構成データ(KD)の変更は、動作中には可能ではなく、前記コンピューティングデバイス(100;100a;100b)の再スタート後に可能である、請求項7乃至9のいずれか一項に記載の方法。
- 第1のプログラムとして第1のインスタンス(AP1_I1)が使用され、第2のプログラムとして第2のインスタンス(AP1_I2)が使用されることをさらに含み、
前記第1のプログラム(AP1)の前記第1のインスタンス(AP1_I1)及び前記第1のプログラム(AP1)の前記第2のインスタンス(AP1_I2)を提供するステップ(260)と、
前記第1のプログラム(AP1)の前記第1のインスタンス(AP1_I1)を前記少なくとも2つのゾーンのうちの信頼できないゾーン(Z1)に割り当てるステップ(262)と、
前記第1のプログラム(AP1)の前記第2のインスタンス(AP1_I2)を前記少なくとも2つのゾーンのうちの信頼できるゾーン(Z2)に割り当てるステップ(263)と、
をさらに含む、請求項1乃至10のいずれか一項に記載の方法。 - 前記少なくとも2つのゾーン(Z1,Z2)に応じて、異なるプログラム又はアプリケーションプログラム及び/又はアプリケーションプログラムのインスタンスに対して計算時間リソースを分離するステップ(290)をさらに含む、請求項1乃至11のいずれか一項に記載の方法。
- a)異なるアプリケーションプログラム及び/又はアプリケーションプログラムのインスタンスに対して計算時間リソースを割り当てるために、組込システム用のオペレーティングシステム(BS)を使用するステップ(292)であって、前記コンピューティングデバイス(100)のそれぞれ1つの中央処理装置(102a,102b)に1つのオペレーティングシステム(BS)を割り当てる、ステップ(292)、及び/又は、
b)異なるアプリケーションプログラム及び/又はアプリケーションプログラムのインスタンスに対して計算時間リソースを割り当てるために、組込システム用のスーパーバイザ(SV)を使用するステップ(294)であって、前記コンピューティングデバイス(100)のそれぞれ1つの中央処理装置(102a,102b)に1つのスーパーバイザ(SV)を割り当てる、ステップ(294)
をさらに含む、請求項12に記載の方法。 - 前記コンピューティングデバイス(100)は、少なくとも一時的にコールドスタート(310)を実行し、前記コールドスタート(310)中に、データ及び/又はプログラムコードが不揮発性メモリ(1032)からロードされ、
前記コンピューティングデバイス(100)は、少なくとも一時的にウォームスタート(312)を実行し、前記ウォームスタート(312)中に、データ及び/又はプログラムコードが、少なくとも一時的に通電される揮発性メモリ(1030)からロードされ、
前記コールドスタート(310)中に、少なくとも1つのメモリ保護デバイス(M1,M2,M3,M4,M5_1,M5_2,M5_3,M5_4,M5_5,M5_6,M5_7,M5_8)又は前記少なくとも1つのメモリ保護デバイス(M1,M2,M3,M4,M5_1,M5_2,M5_3,M5_4,M5_5,M5_6,M5_7,M5_8)が構成され(311)、及び/又は、前記ウォームスタート(312)中に、前記少なくとも1つのメモリ保護デバイス(M1,M2,M3,M4,M5_1,M5_2,M5_3,M5_4,M5_5,M5_6,M5_7,M5_8)が構成される(313)、請求項1乃至13のいずれか一項に記載の方法。 - 以下の要素、即ち、
a)少なくとも1つの付加的なゾーンの導入(350)、
b)第1の中央処理装置(102a)から、前記コンピューティングデバイスの少なくとも1つの他の中央処理装置(102b)への機能性の移動(352)、
c)メインメモリ(1030)を使用した、少なくとも2つのゾーン(Z1,Z2)間の通信の実行(354)、
d)少なくとも1つの信頼できるゾーン(Z2)の定義(360)、及び、任意選択的に、前記信頼できるゾーン(Z2)に割り当てられている少なくとも1つのアプリケーションプログラムによる、少なくとも1つの他のゾーン(Z1)の監視(362)
のうちの少なくとも1つの要素をさらに含む、請求項1乃至14のいずれか一項に記載の方法。 - 異なるアプリケーションプログラム及び/又はアプリケーションプログラムのインスタンスに対して計算時間リソースを割り当てる(212a)ためにスーパーバイザ(SV)を使用するステップ(212;294)をさらに含み、
前記スーパーバイザ(SV)及び/又は前記スーパーバイザ(SV)に対応する機能性は、少なくとも部分的にスーパーバイザインスタンス(SVI)によって実現され、前記スーパーバイザインスタンス(SVI)は、前記少なくとも2つのゾーン(Z1,Z2)から独立している、請求項1乃至15のいずれか一項に記載の方法。 - 前記コンピューティングデバイス(100;100a;100b;100c)は、複数の中央処理装置(102a,102b,102c,…,102n;K1,K2,K3,K4)を有しており、
前記方法はさらに、a)少なくとも1つの中央処理装置(102a,102b)を厳密に1つのゾーンに割り当てるステップ(220)、及び/又は、b)少なくとも1つの中央処理装置(102a,102b)を1つ以上のゾーンに割り当てるステップ(222)、c)少なくとも1つの中央処理装置をスーパーバイザインスタンス(SVI)として使用するステップ(224)、d)少なくとも1つのハードウェアセキュリティモジュール(HSM)及び/又はトラステッドプラットフォームモジュール(TPM)をスーパーバイザインスタンス(SVI)として使用するステップ(225)を含む、請求項16に記載の方法。 - 前記方法はさらに、a)前記スーパーバイザインスタンス(SVI)を用いて一次スーパーバイザプロキシ(SVI-pri)を提供するステップ(380)と、b)少なくとも1つの二次スーパーバイザプロキシ(SVI-sek-1,SVI-sek-2)を提供するステップ(382)とを含み、
前記少なくとも1つの二次スーパーバイザプロキシ(SVI-sek-1,SVI-sek-2)は、少なくとも1つの中央処理装置(102a,102b,102c,…,102n;K1,K2,K3,K4)及び/又は前記少なくとも1つのゾーン(Z1,Z2)に割り当てられる、請求項17に記載の方法。 - 前記方法は、さらに、a)前記スーパーバイザ(SV)に対する第1の数の機能性(FUN-1)を提供するステップ(385)と、b)前記第1の数の機能性(FUN-1)の少なくとも1つのスーパーバイザ機能性(SF-1)を前記一次スーパーバイザプロキシ(SVI-pri)及び/又は前記少なくとも1つの二次スーパーバイザプロキシ(SVI-sek-1)に割り当てるステップ(386)とを含み、
前記割り当てるステップ(386)を、以下の要素、即ち、
A)前記コンピューティングデバイス(100;100a;100b;100c)の動作パラメータ、
B)前記コンピューティングデバイス(100;100a;100b;100c)の動作モード、
C)前記コンピューティングデバイス(100;100a;100b;100c)の用途
のうちの少なくとも1つの要素に応じて実行する、請求項18に記載の方法。 - 前記第1の数の機能性(FUN-1)及び/又は前記少なくとも1つのスーパーバイザ機能性(SF-1)は、以下の要素、即ち、
a)侵害の可能性に関する少なくとも1つのゾーン(Z1,Z2)の監視、
b)少なくとも1つのゾーン(Z1,Z2)の侵害の検出、
c)少なくとも1つのゾーン(Z1,Z2)に関連付けられている少なくとも1つのスタックメモリの監視、
d)関連する前記ゾーン(Z1,Z2)のタスクのアクティブ化の前に実行される、少なくとも1つのゾーン(Z1,Z2)に関連付けられている少なくとも1つのプログラムカウンタの監視、
e)実行可能なプログラムコードの実行前の侵害の識別、
f)あるスタックメモリ又は前記スタックメモリの、ある監視若しくは前記監視のための、及び/又は、あるプログラムカウンタ若しくは前記プログラムカウンタの、ある監視若しくは前記監視のための、以下の要素、即ち、
f1)ハッシュ値の形成、
f2)メッセージ認証コード(MAC)の形成
のうちの少なくとも1つの要素を含む、少なくとも1つの方法の使用
のうちの少なくとも1つの要素を含む、請求項19に記載の方法。 - 請求項1乃至20のいずれか一項に記載の方法を実施するための装置(100;100a;100b;1000)であって、
前記装置(100;100a;100b;1000)は、単一のマイクロコントローラとして又は単一のシングルチップシステム(1)として構成されており、及び/又は、前記装置(100;100a;100b;1000)は、1つの半導体基板(1001)を有しており、
前記半導体基板(1001)上に、以下の要素、即ち、
a)少なくとも1つの中央処理装置(1002a)を有する前記コンピューティングデバイス(1002)、
b)メモリデバイス(1004)、
c)データバス(1006)、
d)メモリ保護デバイス(1002a’)、
e)ハードウェアセキュリティモジュール(HSM;HSM’)
のうちの少なくとも1つの要素が配置されている、
装置(100;100a;100b;1000)。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102019220461.9A DE102019220461A1 (de) | 2019-12-20 | 2019-12-20 | Verfahren und Vorrichtung zum Betreiben einer Recheneinrichtung |
DE102019220461.9 | 2019-12-20 | ||
PCT/EP2020/086404 WO2021122734A1 (de) | 2019-12-20 | 2020-12-16 | Verfahren und vorrichtung zum betreiben einer recheneinrichtung |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2023508913A JP2023508913A (ja) | 2023-03-06 |
JP7392157B2 true JP7392157B2 (ja) | 2023-12-05 |
Family
ID=74106017
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022537899A Active JP7392157B2 (ja) | 2019-12-20 | 2020-12-16 | コンピューティングデバイスの動作方法及び動作装置 |
Country Status (6)
Country | Link |
---|---|
US (1) | US20230021594A1 (ja) |
EP (1) | EP4078415A1 (ja) |
JP (1) | JP7392157B2 (ja) |
CN (1) | CN114787806A (ja) |
DE (1) | DE102019220461A1 (ja) |
WO (1) | WO2021122734A1 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102021104153A1 (de) | 2021-02-22 | 2022-08-25 | Bayerische Motoren Werke Aktiengesellschaft | Steuervorrichtung, telematiksteuergerät und verfahren |
DE102022207910A1 (de) * | 2022-08-01 | 2024-02-01 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren und Vorrichtung zum Verarbeiten von mit einem Hardware-Sicherheitsmodul assoziierten Daten |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015067107A (ja) | 2013-09-30 | 2015-04-13 | 日立オートモティブシステムズ株式会社 | 車両用制御装置 |
US20150212952A1 (en) | 2014-01-30 | 2015-07-30 | Robert Bosch Gmbh | Method for the coexistence of software having different safety levels in a multicore processor system |
WO2017056725A1 (ja) | 2015-09-30 | 2017-04-06 | 日立オートモティブシステムズ株式会社 | 車載制御装置 |
WO2019074000A1 (ja) | 2017-10-13 | 2019-04-18 | 日立オートモティブシステムズ株式会社 | 車両用制御装置 |
JP2019129500A (ja) | 2018-01-26 | 2019-08-01 | 住友電気工業株式会社 | なりすまし検出装置、検出方法、およびコンピュータプログラム |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030084196A1 (en) * | 2001-11-01 | 2003-05-01 | Chang Cheng Tsung | Message passing method for computer system |
DE102022204716A1 (de) * | 2022-05-13 | 2023-11-16 | Robert Bosch Gesellschaft mit beschränkter Haftung | Rechnersystem zur bereitstellung einer mehrzahl von funktionen für eine vorrichtung, insbesondere für ein fahrzeug, mittels separation einer mehrzahl von zonen |
-
2019
- 2019-12-20 DE DE102019220461.9A patent/DE102019220461A1/de active Pending
-
2020
- 2020-12-16 JP JP2022537899A patent/JP7392157B2/ja active Active
- 2020-12-16 CN CN202080087688.5A patent/CN114787806A/zh active Pending
- 2020-12-16 WO PCT/EP2020/086404 patent/WO2021122734A1/de unknown
- 2020-12-16 EP EP20833782.4A patent/EP4078415A1/de active Pending
- 2020-12-16 US US17/785,163 patent/US20230021594A1/en active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015067107A (ja) | 2013-09-30 | 2015-04-13 | 日立オートモティブシステムズ株式会社 | 車両用制御装置 |
US20150212952A1 (en) | 2014-01-30 | 2015-07-30 | Robert Bosch Gmbh | Method for the coexistence of software having different safety levels in a multicore processor system |
WO2017056725A1 (ja) | 2015-09-30 | 2017-04-06 | 日立オートモティブシステムズ株式会社 | 車載制御装置 |
WO2019074000A1 (ja) | 2017-10-13 | 2019-04-18 | 日立オートモティブシステムズ株式会社 | 車両用制御装置 |
JP2019129500A (ja) | 2018-01-26 | 2019-08-01 | 住友電気工業株式会社 | なりすまし検出装置、検出方法、およびコンピュータプログラム |
Also Published As
Publication number | Publication date |
---|---|
US20230021594A1 (en) | 2023-01-26 |
EP4078415A1 (de) | 2022-10-26 |
WO2021122734A1 (de) | 2021-06-24 |
CN114787806A (zh) | 2022-07-22 |
DE102019220461A1 (de) | 2021-06-24 |
JP2023508913A (ja) | 2023-03-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7428795B2 (ja) | コンピューティングデバイスの動作方法及び動作装置 | |
US10129259B2 (en) | Installment configurations within a vehicle and interoperability of devices configured to implement secure communication lockdowns, and methods of use thereof | |
US20200380116A1 (en) | Secure environment in a non-secure microcontroller | |
US10235515B2 (en) | Method and apparatus for on-demand isolated I/O channels for secure applications | |
JP4556144B2 (ja) | 情報処理装置、復旧装置、プログラム及び復旧方法 | |
CN101006433B (zh) | 信息通信装置和程序执行环境控制方法 | |
JP5153887B2 (ja) | プロセッサから周辺機器へのセキュア動作モードアクセス特権の譲渡のための方法及び装置 | |
US9076017B2 (en) | Hardware virtualization module for exclusive controlled access to CPU | |
US7474618B2 (en) | Partitioning communication system | |
TW201617957A (zh) | 鑑別變數之管理技術 | |
CN104866762B (zh) | 安全管理程序功能 | |
US8627069B2 (en) | System and method for securing a computer comprising a microkernel | |
US20180082057A1 (en) | Access control | |
JP7392157B2 (ja) | コンピューティングデバイスの動作方法及び動作装置 | |
US10824766B2 (en) | Technologies for authenticated USB device policy enforcement | |
US20150207661A1 (en) | System and method for providing priority based access to resources for applications | |
Nasser | Securing safety critical automotive systems | |
Noorman | Sancus: A low-cost security architecture for distributed IoT applications on a shared infrastructure | |
Rajesh et al. | Vulnerability analysis of real-time operating systems for wireless sensor networks | |
EP4145318A1 (en) | System and method for monitoring delivery of messages passed between processes from different operating systems | |
Mishra | Defending Real-Time Systems through Timing-Aware Designs | |
Boubakri et al. | Architectural Security and Trust Foundation for RISC-V | |
Leroux | Secure by design: Using a microkernel rtos to build secure, fault-tolerant systems | |
Enderle et al. | Deliverable D2. 2: Specification of security services incl. virtualization and firewall mechanisms |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220617 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220617 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230808 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231026 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231108 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231122 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7392157 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |