WO2016116207A1 - Elektronische steuerungsvorrichtung - Google Patents

Elektronische steuerungsvorrichtung Download PDF

Info

Publication number
WO2016116207A1
WO2016116207A1 PCT/EP2015/078970 EP2015078970W WO2016116207A1 WO 2016116207 A1 WO2016116207 A1 WO 2016116207A1 EP 2015078970 W EP2015078970 W EP 2015078970W WO 2016116207 A1 WO2016116207 A1 WO 2016116207A1
Authority
WO
WIPO (PCT)
Prior art keywords
partition
firewall
control device
electronic control
application
Prior art date
Application number
PCT/EP2015/078970
Other languages
English (en)
French (fr)
Inventor
Torsten Martin
Hans Gregor MOLTER
Nils Bauch
Sven Kretschmar
Original Assignee
Continental Teves Ag & Co. Ohg
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Teves Ag & Co. Ohg filed Critical Continental Teves Ag & Co. Ohg
Priority to CN201580058655.7A priority Critical patent/CN107004101A/zh
Priority to EP15816687.6A priority patent/EP3248137A1/de
Priority to US15/524,345 priority patent/US20170374026A1/en
Publication of WO2016116207A1 publication Critical patent/WO2016116207A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0638Organizing or formatting or addressing of data
    • G06F3/0644Management of space entities, e.g. partitions, extents, pools
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5061Partitioning or combining of resources
    • G06F9/5077Logical partitioning of resources; Management or configuration of virtualized resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones

Definitions

  • the invention relates to an electronic Steuerungvorrich ⁇ tion, which can be used in particular as an "embedded controller" in motor vehicles.
  • Electronic control devices can be used in motor vehicles for a wide variety of tasks. For example, they can be used to control driver assistance systems, comfort functions or safety devices such as airbags.
  • the invention has the task ge ⁇ assumed friendship ⁇ provide an electronic control device, which has a particularly efficient protection on ⁇ .
  • This is inventively achieved by an electronic Steue ⁇ tion device according to claim 1.
  • Advantageous embodiments can be taken, for example, the dependent claims. The content of the claims is made by express reference to the content of the description.
  • the invention relates to an electronic Steuerungvorrich ⁇ device. It has a number of application partitions, with each application partition running a particular application. It also has at least one firewall partition in which a firewall is executed. Furthermore, it has a number of secure interfaces that are configured to communicate with to the Steuerungsvor ⁇ direction external devices and / or on-board devices. The secure interfaces can only be controlled from the firewall partition. Furthermore, a number of virtual interfaces are provided, each designed for communication between the firewall partition and at least one application partition.
  • the electronic control device By means of the electronic control device according to the invention, a particularly high level of security can be achieved since the respective applications can access the secured interfaces only via the virtual interfaces via the firewall. Even in the event that it should be possible for an attacker to replace, for example, an application without authorization, it can not still access make using this malicious software on the secured section ⁇ . For example, if the firewall detects data traffic that is atypical of what is actually expected in the respective partition, the firewall can block such traffic. Thus, both the control device can be protected from the environment, such as also the environment can be protected from the control device.
  • the firewall itself can preferably be protected against unauthorized exchange or alteration because it is very simply programmed and thus has no weak points as potential attack points.
  • a partition is understood to be, in particular, an area of a memory which is available to a specific application or even to a firewall.
  • the partitions are typically so formed from ⁇ that is already ensured by hardware or software side that an application can run in a partition assigned read and write operations only and can that perform no other application on that partition read and write operations. Exceptions may be, for example, an overlap, which will be described below.
  • the respective application or the firewall itself is stored in its associated partition.
  • the interfaces may, for example, be formed in terms of hardware and enable communication with other devices, for example a CAN bus system, or also with on-board devices.
  • the secure interfaces can be controlled exclusively from the firewall partition, which means in particular that data can only be output and / or read from the firewall partition.
  • a virtual interface is understood to mean, in particular, an interpartition communications channel.
  • the secure interfaces of the firewall partition are controlled such that data from the Firewall partition can be output from the secure interfaces. They can also be controlled such that data can be received from the firewall partition via the secure interfaces. In particular, it can be provided that they can be output or received exclusively from the firewall partition.
  • the virtual interfaces each allow a transfer of data from at least one application partition to the firewall partition and / or from the firewall partition to at least one application partition.
  • the virtual interfaces can be used advantageously for data exchange between application partitions and firewall partitions.
  • the virtual interfaces can in particular be provided by the firewall partition. They may be designed for exclusive communication between a firewall partition and one or more application partitions.
  • At least one of the virtual interfaces may be formed by an overlap of the firewall partition and at least one application partition. In such an overlap, at least one application as well as a firewall can typically write data and read from it. It should be understood that both a virtual interface as well as all virtual interfaces or any subset of the total existing virtual interfaces can be designed in such a way.
  • at least one of the virtual interfaces is formed by means of a dedicated register which does not belong to an application partition and not to a firewall partition and which is dependent on at least one application partition and on the firewall partition.
  • the firewall is designed to prevent a data flow between a virtual interface and a secure interface if the respective data flow according to a predetermined list is inadmissible.
  • a blacklist principle in which data traffic is allowed in principle, unless it is explicitly classified as inadmissible by special rules, which may be stored in the list, for example.
  • the firewall is designed to allow a data flow between a virtual interface and a secure interface only if the respective data flow is permitted according to a predetermined list. This corresponds to the reversal of the blacklist principle, which is also referred to as the whitelist principle.
  • the data traffic is in principle inadmissible, unless it is explicitly allowed, for example through the list.
  • the predetermined lists which may represent, for example, a blacklist or whitelist, may be system state dependent, such as normal operation, open diagnostic session, software update, or other possible conditions. Such system states can become .
  • the blacklist principle and the whitelist principle can also be combined with each other. For example, depending on the system state, either the blacklist principle or the whitelist principle can be used.
  • the firewall is designed to report a data flow between a virtual interface and a secure interface, if the respective data flow is to be reported according to a predetermined list.
  • This can be used to monitor the data flow, for example by the fact that, for certain possibly conspicuous data samples, a report is made to a monitoring device or, for example, to the manufacturer or a fleet manager of a motor vehicle.
  • the electronic control device further comprises a number of non-secure interfaces adapted to communicate with external devices or on-board devices external to the control device.
  • the non-secure interfaces can be controlled directly from at least one application partition or can be controlled via the firewall partition in such a way that data exchanged between the application partition and the non-secure interface is in principle transmitted by the firewall. This makes it possible to prevent a check by the firewall in the case of uncritical interfaces, which, for example, can save computing time.
  • ⁇ play as such a principle for non-critical generation may ral-purpose input / output (GPIO) pins are used.
  • the firewall partition may be part of a plurality of firewall partitions, each firewall partition being associated with a number of secure interfaces. This allows you to split the monitoring task over multiple firewalls, with each firewall typically running in its own partition.
  • the electronic control device can be designed in particular as an embedded controller. This allows Ver ⁇ application in typical applications in motor vehicles, examples play, for the initially described applications. Likewise, it can be designed as a cyber-physical device.
  • the electronic control device has a memory management unit, MMU.
  • the memory management unit can manage the partitions.
  • a memory management unit can in particular implement an address virtualization. This may mean that the application works with virtual addresses that are decoupled from physical addresses.
  • a mapping between virtual and physical addresses is managed by the Memory Management Unit. Addresses to which an application should not have access do not exist for this application.
  • a memory protection unit, MPU can also be used.
  • the Memory Protection Unit can also manage the partitions. All applications typically work with physical addresses, but with memory protection 0
  • the electronic control device has an operating system.
  • the operating system can prevent direct access to the secure interfaces from the application partitions.
  • the operating system may also facilitate communication between different partitions, particularly by providing for overlapping of the respective partition or by providing a dedicated register.
  • the operating system can also allocate computation time to different applications.
  • the operating system can configure a memory management unit or a memory protection unit.
  • the secure interfaces may, in particular, be one or more of the following interfaces:
  • Serial Peripheral Interface SPI
  • serial interface other, in particular serial interface.
  • a frequency may be monitored with which individual pins may change their level.
  • a frequency can be monitored in which messages may be sent or received to specific bus users (recognizable by chip select). Allowed operation codes of SPI messages or valid lengths of SPI messages can be specified. It can also be synchronized with GPIO if data exchange is synchronous with chip select control.
  • a frequency can be monitored in which messages may be received or sent. Allowed IDs can be specified which may be sent or received. Allowed values within the messages can be checked. Furthermore, the correct protocol usage can be checked if a protocol is used.
  • a frequency can be checked in which messages may be received or sent. Unauthorized ports or unauthorized receivers or senders can be blocked. Deep-packet filtering can also be used to verify correct protocol usage.
  • UART a frequency can be checked in which messages may be received or sent. Likewise, the correct protocol usage can be checked.
  • the microcontroller 10 has an interface part 100 and a partition part 200.
  • a CAN interface 110, an SPI interface 120 and a GPIO interface 130 are implemented in the present case.
  • a firewall partition 210, a first application partition 220 and a second application partition 230 are implemented in the partition part 200.
  • the firewall partition 210 is running a firewall.
  • a first application is executed in the first application partition 220.
  • a second application is executed.
  • the firewall running in the firewall partition 210 comprises a CAN driver 213, an SPI driver 215 and a GPIO driver 217. These drivers may communicate with the interfaces 110, 120, 130 of the interface portion 100 so that these interfaces 110, 120, address 130, so that a commu nication ⁇ is possible with external devices or with on-board devices. As can be seen in FIG. 1, the interfaces 110, 120, 130 can only be addressed via the drivers 213, 215, 217. This means in particular that they can only be addressed by the firewall partition 210. Direct access to the interfaces 110, 120, 130 from the two application partitions 220, 230 is not possible.
  • the firewall further includes a CAN check module 212, an SPI check module 214, and a GPIO check module 216.
  • the verification modules 212, 214, 216 are designed to to check traffic to drivers 213, 215, 217. In particular, they are designed to monitor respective traffic for whether suspicious or prohibited data is included. In this case, data traffic would be stopped immediately. This corresponds to the so-called blacklist principle, in which communication is generally allowed, but is prevented if certain rules or criteria are applied. Even in the event that it should be possible, for example, an attacker record a malicious software in one of the application partitions 220, 230, a potentially defective communi ⁇ cation could be suppressed to the outside of the firewall.
  • the interfaces 110, 120, 130 which ultimately make the connection to the outside, can only be addressed by the firewall partition 210 and thus only data traffic comes to the outside or is received from the outside, which of a the verification modules 212, 214, 216 has been checked. As shown, it is also contemplated that SPI check module 214 and GPIO check module 216 may exchange data with each other.
  • the first application partition 220 is designed such that the first application executing, for example, an algorithm 222 can access the CAN interface 110.
  • a virtual CAN interface 224 is provided, which in the present case is designed as a register, which can be accessed both from the first application partition 220 and from the firewall partition 210. This allows the first application from its first application partition 220 to exchange data with the firewall in the firewall partition 210, which are then forwarded to the CAN interface 110, if no rules oppose it. The same applies when receiving data via the CAN interface 110.
  • the second application which runs in the second application partition 230 and executes an algorithm 232, for example, can access the SPI interface 120 and the GPIO interface 130.
  • a virtual SPI interface 234 and a virtual GPIO interface 236 are implemented, which in the present case are formed as registers, which can be accessed both from the second application partition 230 and from the firewall partition 210.
  • this allows a data exchange between the second application partition 230 and the firewall partition 210, so that the second application can access the SPI interface 120 and the GPIO interface 130 from its second application partition, ie, can send data about it and data can receive over these.
  • the corresponding traffic is monitored by the firewall in the firewall partition 210.
  • communication between the SPI virtual interface 234 and the GPIO virtual interface 236 is also provided. In the present case, communication between the two applications in the application partitions 220, 230 is also possible.
  • the firewall running in the firewall partition 210 is particularly easy to program so that it does not provide vulnerabilities that attackers could exploit. Thus, it is much less likely that an attacker will succeed in compromising the firewall in the firewall partition 210 than compromising one of the applications in the application partitions 220, 230. Even if the latter were to happen despite all precautionary measures, the firewall would still be functional, which due to the hardware-implemented mandatory requirement to run the data traffic through the firewall can intercept any harmful traffic. The claims belonging to the application do not constitute a waiver of the achievement of further protection.
  • an electronic control device may in principle comprise processor means and memory means, wherein program code is stored in the memory means, in the execution of which the processor means behave in a defined manner.

Abstract

Die Erfindung betrifft eine elektronische Steuerungsvorrichtung mit einer Anzahl von Anwendungspartitionen und einer Firewallpartition sowie mit einer Anzahl von gesicherten Schnittstellen, auf welche ausschließlich von der Firewallpartition aus zugegriffen werden kann. Dies erhöht die Sicherheit einer elektronischen Steuerungsvorrichtung, beispielsweise bei Verwendung als Embedded Controller.

Description

Elektronische Steuerungsvorriehtung
Die Erfindung betrifft eine elektronische Steuerungsvorrich¬ tung, welche insbesondere als „Embedded Controller" in Kraftfahrzeugen verwendet werden kann.
Elektronische Steuerungsvorrichtungen können in Kraftfahrzeugen für vielfältigste Aufgaben verwendet werden. Beispielsweise können sie zur Steuerung von Fahrassistenzsystemen, Komfort- funktionen oder von Sicherheitseinrichtungen wie beispielsweise Airbags eingesetzt werden.
Angesichts einer zunehmenden Vernetzung von Fahrzeugen mit externen Einrichtungen, beispielsweise im Rahmen von Fahr- zeug-zu-X-Kommunikation oder automatischen Notruffunktionen, steigt grundsätzlich die Anzahl von Schnittstellen zu unterschiedlichen externen Systemen, welche in einer Fahrzeugelektronik integriert sind. Dabei birgt grundsätzlich jede Schnittstelle zu einem externen System ein gewisses Risiko eines Angriffs, wobei beispielsweise ein Angreifer über eine Schnittstelle in die Fahrzeugelektronik und damit auch in eine elektronische Steuerungsvorrichtung wie beispielsweise einen Embedded Controller eindringen kann und diesen missbrauchen kann. Als Beispiele für einen solchen Missbrauch können das Aufspielen einer anderen Software, das unbefugte Fernsteuern von Fahrzeugfunktionen oder das unbefugte Überwachen des Fahrzeugs beispielhaft genannt werden.
Es ist deshalb von besonderer Wichtigkeit, elektronische Steuerungsvorrichtungen in Kraftfahrzeugen gegen derartige Angriffe abzusichern. Die Erfindung hat sich die Aufgabe ge¬ stellt, eine elektronische Steuerungsvorrichtung bereitzu¬ stellen, welche eine besonders zuverlässige Absicherung auf¬ weist. Dies wird erfindungsgemäß durch eine elektronische Steue¬ rungsvorrichtung nach Anspruch 1 gelöst. Vorteilhafte Ausgestaltungen können beispielsweise den Unteransprüchen entnommen werden. Der Inhalt der Ansprüche wird durch ausdrückliche Inbezugnahme zum Inhalt der Beschreibung gemacht.
Die Erfindung betrifft eine elektronische Steuerungsvorrich¬ tung. Diese weist eine Anzahl von Anwendungspartitionen auf, wobei in jeder Anwendungspartition eine jeweilige Anwendung ausgeführt wird. Sie weist des Weiteren zumindest eine Firewallpartition auf, in welcher eine Firewall ausgeführt wird. Des Weiteren weist sie eine Anzahl von gesicherten Schnittstellen auf, welche dazu ausgebildet sind, mit zu der Steuerungsvor¬ richtung externen Geräten und/oder mit On-Board-Geräten zu kommunizieren. Die gesicherten Schnittstellen sind dabei ausschließlich von der Firewallpartition aus ansteuerbar. Ferner ist eine Anzahl von virtuellen Schnittstellen vorgesehen, welche jeweils zur Kommunikation zwischen der Firewallpartition und zumindest einer Anwendungspartition ausgebildet sind.
Mittels der elektronischen Steuerungsvorrichtung gemäß der Erfindung kann eine besonders hohe Sicherheit erreicht werden, da die jeweiligen Anwendungen lediglich mittels der virtuellen Schnittstellen über die Firewall auf die gesicherten Schnittstellen zugreifen können. Selbst für den Fall, dass es einem Angreifer gelingen sollte, beispielsweise eine Anwendung unbefugt auszutauschen, so kann dieser immer noch nicht unter Verwendung dieser Schadsoftware auf die gesicherten Schnitt¬ stellen zugreifen. Erkennt die Firewall beispielsweise Da- tenverkehr, welcher untypisch für die eigentlich in der jeweiligen Partition erwartete Anwendung ist, so kann die Firewall derartigen Datenverkehr blockieren. Damit kann sowohl die Steuerungsvorrichtung vor der Umgebung geschützt werden, wie auch die Umgebung vor der Steuerungsvorrichtung geschützt werden .
Die Firewall selbst kann vorzugsweise dadurch gegen ein un- befugtes Austauschen oder Verändern geschützt werden, dass sie sehr einfach programmiert ist und somit keine Schwachstellen als mögliche Angriffspunkte aufweist.
Unter einer Partition wird im Rahmen dieser Anmeldung insbe- sondere ein Bereich eines Speichers verstanden, welcher einer bestimmten Anwendung oder auch einer Firewall zur Verfügung steht. Die Partitionen sind dabei typischerweise derart aus¬ gebildet, dass bereits hardwareseitig oder auch softwareseitig sichergestellt ist, dass eine Anwendung lediglich in einer ihr zugewiesenen Partition Lese- und Schreibvorgänge ausführen kann und dass keine andere Anwendung in dieser Partition Lese- und Schreibvorgänge ausführen kann. Ausnahmen können beispielsweise bei einem Überlapp bestehen, welcher weiter unten beschrieben wird. Typischerweise ist auch die jeweilige Anwendung oder die Firewall selbst in der ihr zugeordneten Partition gespeichert.
Die Schnittstellen können beispielsweise hardwaremäßig aus¬ gebildet sein und eine Kommunikation mit anderen Geräten, beispielsweise einem CAN-Bussystem, oder auch mit On-Board-Geräten ermöglichen. Die gesicherten Schnittstellen sind dabei erfindungsgemäß ausschließlich von der Firewallpartition aus ansteuerbar, was insbesondere bedeutet, dass nur von der Firewallpartition aus Daten ausgegeben und/oder gelesen werden können. Unter einer virtuellen Schnittstelle wird im Rahmen dieser Anmeldung insbesondere ein Interpartiti- ons-Kommunikationskanal verstanden .
Bevorzugt sind die gesicherten Schnittstellen von der Firewallpartition aus derart ansteuerbar, dass Daten von der Firewallpartition aus über die gesicherten Schnittstellen ausgegeben werden können. Sie können auch derart ansteuerbar sein, dass Daten von der Firewallpartition aus über die gesicherten Schnittstellen empfangen werden können. Insbesondere kann vorgesehen sein, dass sie ausschließlich von der Firewallpartition aus ausgegeben bzw. empfangen werden können.
Bevorzugt ermöglichen die virtuellen Schnittstellen jeweils eine Übergabe von Daten von zumindest einer Anwendungspartition zur Firewallpartition und/oder von der Firewallpartition zu zumindest einer Anwendungspartition. Damit können die virtuellen Schnittstellen in vorteilhafter Weise zum Datenaustausch zwischen Anwendungspartitionen und Firewallpartitionen dienen. Die virtuellen Schnittstellen können insbesondere von der Firewallpartition bereitgestellt werden. Sie können zur ausschließlichen Kommunikation zwischen einer Firewallpartition und einer oder mehreren Anwendungspartitionen ausgebildet sein. Zumindest eine der virtuellen Schnittstellen kann durch einen Überlapp von Firewallpartition und zumindest einer Anwendungspartition ausgebildet sein. In einem solchen Überlapp können typischerweise sowohl zumindest eine Anwendung wie auch eine Firewall Daten schreiben und daraus auslesen. Es sei verstanden, dass sowohl eine virtuelle Schnittstelle wie auch alle virtuellen Schnittstellen oder auch eine beliebige Teilmenge der insgesamt vorhandenen virtuellen Schnittstellen derart ausgebildet sein können. Gemäß einer Ausführung ist zumindest eine der virtuellen Schnittstellen mittels eines dedizierten Registers ausgebildet, welches nicht zu einer Anwendungspartition und nicht zu einer Firewallpartition gehört, und welches von zumindest einer Anwendungspartition und von der Firewallpartition aus an- n
5 sprechbar ist. Ein solches dediziertes Register ist typi¬ scherweise sowohl von der Anwendungspartition aus wie auch von der Firewallpartition aus bezüglich Lese- und Schreibzugriff zugänglich. Dies ermöglicht den Datenaustausch in ähnlicher Weise wie bei dem eben beschriebenen Überlapp von Partitionen. Es sei verstanden, dass sowohl eine virtuelle Schnittstelle wie auch alle virtuellen Schnittstellen oder auch eine beliebige Teilmenge der insgesamt vorhandenen virtuellen Schnittstellen derart ausgebildet sein können.
Gemäß einer bevorzugten Ausführung ist die Firewall dazu ausgebildet, einen Datenfluss zwischen einer virtuellen Schnittstelle und einer gesicherten Schnittstelle zu verhindern, wenn der jeweilige Datenfluss gemäß einer vorgegebenen Liste unzulässig ist. Dies entspricht einem Blacklist-Prinzip, in welchem Datenverkehr grundsätzlich erlaubt ist, es sei denn, er wird durch spezielle Regeln, welche beispielsweise in der Liste gespeichert sein können, explizit als nicht zulässig eingestuft. Gemäß einer hierzu alternativen, ebenfalls bevorzugten Ausführung ist die Firewall dazu ausgebildet, einen Datenfluss zwischen einer virtuellen Schnittstelle und einer gesicherten Schnittstelle nur dann zu erlauben, wenn der jeweilige Datenfluss gemäß einer vorgegebenen Liste zulässig ist. Dies entspricht der Umkehrung des Blacklist-Prinzips, welches auch als Whitelist-Prinzip bezeichnet wird. Dabei ist der Datenverkehr grundsätzlich unzulässig, es sei denn, er wird explizit erlaubt, beispielsweise durch die Liste. Es sei verstanden, dass die vorgegebenen Listen, welche beispielsweise eine Blacklist oder eine Whitelist darstellen können, abhängig vom Systemzustand sein können, beispielsweise Normalbetrieb, offene Diagnosesitzung, Software-Update, oder andere mögliche Zustände. Derartige Systemzustände können sich ,
b beispielsweise auf die Steuerungsvorrichtung oder auch auf ein gesamtes Fahrzeug beziehen, dessen Teil die Steuerungsvorrichtung ist. Es sei des Weiteren verstanden, dass das Blacklist-Prinzip und das Whitelist-Prinzip, wie oben be- schrieben, auch miteinander kombiniert werden können. Beispielsweise kann auch abhängig vom Systemzustand entweder das Blacklist-Prinzip oder das Whitelist-Prinzip verwendet werden.
Bevorzugt ist die Firewall dazu ausgebildet, einen Datenfluss zwischen einer virtuellen Schnittstelle und einer gesicherten Schnittstelle zu berichten, wenn der jeweilige Datenfluss gemäß einer vorgegebenen Liste zu berichten ist. Damit kann eine Überwachung des Datenflusses erfolgen, beispielsweise dadurch, dass bei bestimmten möglicherweise auffälligen Datenmustern ein Bericht an eine Überwachungseinrichtung oder beispielsweise an den Hersteller oder einen Flottenmanager eines Kraftfahrzeugs erfolgt .
Gemäß einer Ausführung weist die elektronische Steuerungs- Vorrichtung ferner eine Anzahl von nicht gesicherten Schnittstellen auf, welche dazu ausgebildet sind, mit zu der Steuerungsvorrichtung externen Geräten oder On-Board-Geräten zu kommunizieren. Die nicht gesicherten Schnittstellen sind dabei direkt von zumindest einer Anwendungspartition aus ansteuerbar oder über die Firewallpartition derart ansteuerbar, dass zwischen der Anwendungspartition und der nicht gesicherten Schnittstelle ausgetauschte Daten von der Firewall grundsätzlich durchgelassen werden. Dies erlaubt es, bei unkritischen Schnittstellen eine Überprüfung durch die Firewall zu ver- hindern, was beispielsweise Rechenzeit einsparen kann. Bei¬ spielsweise kann ein solches Prinzip für unkritische Gene- ral-Purpose-Input/Output (GPIO) -Pins verwendet werden. Die Firewallpartition kann Bestandteil einer Mehrzahl von Firewallpartitionen sein, wobei jede Firewallpartition einer Anzahl von gesicherten Schnittstellen zugeordnet ist. Dies erlaubt die Aufteilung der Überwachungsaufgabe auf mehrere Firewalls, wobei jede Firewall typischerweise in einer eigenen Partition läuft.
Es sei erwähnt, dass unter einer Anzahl von Elementen im Rahmen dieser Anmeldung entweder ein solches Element oder mehrere solche Elemente verstanden werden.
Die elektronische Steuervorrichtung kann insbesondere als Embedded Controller ausgebildet sein. Dies erlaubt die Ver¬ wendung in typischen Applikationen in Kraftfahrzeugen, bei- spielsweise für die eingangs beschriebenen Anwendungen. Ebenso kann sie als Cyber-Physical-Device ausgebildet sein.
Gemäß einer bevorzugten Ausführung weist die elektronische Steuerungsvorrichtung eine Memory Management Unit, MMU, auf. Die Memory Management Unit kann die Partitionen verwalten. Eine Memory Management Unit kann dabei insbesondere eine Adressvirtualisierung implementieren. Dies kann bedeuten, dass die Anwendung mit virtuellen Adressen arbeitet, die von physikalischen Adressen entkoppelt sind. Ein Mapping zwischen virtuellen und physikalischen Adressen wird von der Memory Management Unit verwaltet. Adressen, auf welche eine Anwendung keinen Zugriff haben soll, existieren für diese Anwendung gar nicht . Alternativ oder zusätzlich zur Verwendung einer Memory Management Unit kann auch eine Memory Protection Unit, MPU, verwendet werden. Die Memory Protection Unit kann ebenfalls die Partitionen verwalten. Dabei arbeiten alle Anwendungen typischerweise mit den physikalischen Adressen, wobei jedoch eine Memory Protection 0
o
Unit den Zugriff auf bestimmte Speicherbereiche unterbinden kann. Adressen, auf welche eine Anwendung keinen Zugriff haben soll, existieren zwar, jedoch erzeugt ein Schreib-/Lese-Versuch lediglich einen Fehler.
Gemäß einer bevorzugten Ausführung weist die elektronische Steuerungsvorrichtung ein Betriebssystem auf. Das Betriebssystem kann einen direkten Zugriff auf die gesicherten Schnittstellen von den Anwendungspartitionen aus verhindern. Das Betriebssystem kann auch eine Kommunikation zwischen unterschiedlichen Partitionen ermöglichen, insbesondere durch Vorsehen eines Überlapps der jeweiligen Partition oder durch Vorsehen eines dedizierten Registers. Das Betriebssystem kann auch unterschiedlichen Anwendungen Rechenzeit zuweisen. Des Weiteren kann das Betriebssystem eine Memory Management Unit oder eine Memory Protection Unit konfigurieren.
Bei den gesicherten Schnittstellen kann es sich insbesondere um eine oder mehrere der folgenden Schnittstellen handeln:
- General Purpose Input/Output , GPIO,
Serial Peripheral Interface, SPI,
Controller Area Network, CAN,
Ethernet,
Universal Asynchronous Receiver/Transmitter, UART,
- FlexRay,
LIN,
Secure Digital Input/Output, SDIO,
I2C,
andere, insbesondere serielle Schnittstelle.
Beispielhaft seien nun noch einige typische Regeln genannt, welche bei der Verwendung einiger der genannten Schnittstellen implementiert werden können. Bei Verwendung von GPIO kann insbesondere eine Frequenz überwacht werden, mit welcher einzelne Pins ihren Pegel ändern dürfen. Es kann auch ein Abgleich mit einem SPI-Modul erfolgen, ob in der Tat Datenverkehr stattfindet, wenn ein Chip-Select-Pin aktiviert wird.
Bei Verwendung von SPI kann eine Frequenz überwacht werden, in welcher Botschaften an bestimmte Busteilnehmer (erkennbar über Chip-Select) versendet oder empfangen werden dürfen. Es können erlaubte Operations-Codes von SPI-Botschaften oder gültige Längen von SPI-Botschaften festgelegt werden. Es kann auch ein Abgleich mit GPIO erfolgen, ob Datenaustausch synchron mit Chip-Select-Steuerung erfolgt. Bei Verwendung von CAN/LIN/FlexRay oder ähnlichen Schnittstellen kann eine Frequenz überwacht werden, in welcher Botschaften empfangen oder gesendet werden dürfen. Es können erlaubte IDs vorgegeben werden, welche gesendet oder empfangen werden dürfen. Es können erlaubte Werte innerhalb der Botschaften überprüft werden. Es kann des Weiteren die korrekte Protokollverwendung überprüft werden, wenn ein Protokoll verwendet wird.
Bei Verwendung von Ethernet/IP mit UDP/TCP kann eine Frequenz überprüft werden, in welcher Nachrichten empfangen oder gesendet werden dürfen. Es können nicht erlaubte Ports oder nicht erlaubte Empfänger oder Sender blockiert werden. Es kann auch ein Deep Package Filtering zur Überprüfung der korrekten Protokollverwendung erfolgen. Bei Verwendung von UART kann eine Frequenz überprüft werden, in welcher Nachrichten empfangen oder gesendet werden dürfen. Ebenso kann die korrekte Protokollverwendung überprüft werden. Weitere Merkmale und Vorteile wird der Fachmann dem nachfolgend mit Bezug auf die beigefügte Zeichnung beschriebenen Ausführungsbeispiel entnehmen. Dabei zeigt Fig. 1 eine elektronische Steuerungsvorrichtung gemäß der Erfindung.
Fig. 1 zeigt eine elektronische Steuerungsvorrichtung in Form eines MikroControllers 10. Der MikroController 10 weist einen Schnittstellenteil 100 und einen Partitionsteil 200 auf. In dem Schnittstellenteil 100 sind vorliegend eine CAN-Schnittstelle 110, eine SPI-Schnittstelle 120 und eine GPIO-Schnittstelle 130 implementiert. In dem Partitionsteil 200 sind eine Firewallpartition 210, eine erste Anwendungspartition 220 und eine zweite Anwendungspartition 230 implementiert. In der Firewallpartition 210 wird eine Firewall ausgeführt. In der ersten Anwendungspartition 220 wird eine erste Anwendung ausgeführt. In der zweiten Anwendungspartition 230 wird eine zweite Anwendung ausgeführt.
Die in der Firewallpartition 210 laufende Firewall weist einen CAN-Treiber 213, einen SPI-Treiber 215 und einen GPIO-Treiber 217 auf. Diese Treiber können mit den Schnittstellen 110, 120, 130 des Schnittstellenteils 100 kommunizieren und damit diese Schnittstellen 110, 120, 130 ansprechen, so dass eine Kommu¬ nikation mit externen Geräten oder auch mit On-Board-Geräten möglich ist. Wie in Fig. 1 zu sehen ist können die Schnittstellen 110, 120, 130 nur über die Treiber 213, 215, 217 angesprochen werden. Dies bedeutet insbesondere, dass sie nur von der Firewallpartition 210 aus angesprochen werden können. Ein direkter Zugriff auf die Schnittstellen 110, 120, 130 von den beiden Anwendungspartitionen 220, 230 aus ist nicht möglich.
Die Firewall weist des Weiteren ein CAN-Überprüfungsmodul 212, ein SPI-Überprüfungsmodul 214 und ein GPIO-Überprüfungsmodul 216 auf. Die Überprüfungsmodule 212, 214, 216 sind dazu ausgebildet, jeweiligen Datenverkehr zu den Treibern 213, 215, 217 zu überprüfen. Insbesondere sind sie dazu ausgebildet, jeweiligen Datenverkehr daraufhin zu überwachen, ob verdächtige oder verbotene Daten enthalten sind. In diesem Fall würde der Da- tenverkehr unverzüglich unterbunden werden. Dies entspricht dem sogenannten Blacklist-Prinzip, bei welchem Kommunikation grundsätzlich erlaubt ist, jedoch bei Zutreffen bestimmter Regeln oder Kriterien unterbunden wird. Selbst für den Fall, dass es beispielsweise einem Angreifer gelingen sollte, eine Schadsoftware in eine der Anwendungspartitionen 220, 230 einzuspielen, könnte eine möglicherweise schadhafte Kommuni¬ kation nach außen von der Firewall unterbunden werden. Auch hier sei nochmals darauf hingewiesen, dass die Schnittstellen 110, 120, 130, welche letztlich die Verbindung nach außen herstellen, nur von der Firewallpartition 210 aus angesprochen werden können und somit auch nur Datenverkehr nach außen gelangt oder von außen empfangen wird, welcher von einem der Überprüfungsmodule 212, 214, 216 überprüft wurde. Wie gezeigt ist es auch vorgesehen, dass das SPI-Überprüfungsmodul 214 und das GPIO-Überprüfungsmodul 216 Daten miteinander austauschen können.
Wie gezeigt ist die erste Anwendungspartition 220 derart ausgelegt, dass die erste Anwendung, welche beispielsweise einen Algorithmus 222 ausführt, auf die CAN-Schnittstelle 110 zu- greifen kann. Hierzu ist eine virtuelle CAN-Schnittstelle 224 vorgesehen, welche vorliegend als Register ausgebildet ist, auf welches sowohl von der ersten Anwendungspartition 220 wie auch von der Firewallpartition 210 aus zugegriffen werden kann. Dies ermöglicht es der ersten Anwendung von ihrer ersten Anwen- dungspartition 220 aus Daten mit der Firewall in der Firewallpartition 210 auszutauschen, welche anschließend an die CAN-Schnittstelle 110 weitergegeben werden, sofern dem keine Regeln entgegenstehen. Entsprechend verhält es sich beim Empfangen von Daten über die CAN-Schnittstelle 110. Die zweite Anwendung, welche in der zweiten Anwendungspartition 230 läuft und beispielsweise einen Algorithmus 232 ausführt, kann demgegenüber auf die SPI-Schnittstelle 120 und die GPIO-Schnittstelle 130 zugreifen. Hierzu sind eine virtuelle SPI-Schnittstelle 234 und eine virtuelle GPIO-Schnittstelle 236 implementiert, welche vorliegend als Register ausgebildet sind, auf welche sowohl von der zweiten Anwendungspartition 230 aus wie auch von der Firewallpartition 210 aus zugegriffen werden kann. Dies ermöglicht in gleicher Form einen Datenaustausch zwischen der zweiten Anwendungspartition 230 und der Firewallpartition 210, so dass die zweite Anwendung von ihrer zweiten Anwendungspartition aus auf die SPI-Schnittstelle 120 und die GPIO-Schnittstelle 130 zugreifen kann, d.h. Daten über diese senden kann und Daten über diese empfangen kann. Der ent- sprechende Datenverkehr wird von der Firewall in der Firewallpartition 210 überwacht. Des Weiteren ist auch eine Kommunikation zwischen der virtuellen SPI-Schnittstelle 234 und der virtuellen GPIO-Schnittstelle 236 vorgesehen. Vorliegend ist auch eine Kommunikation zwischen den beiden Anwendungen in den Anwendungspartitionen 220, 230 möglich.
Es sei erwähnt, dass die in der Firewallpartition 210 laufende Firewall besonders einfach programmiert ist, so dass sie keine Schwachstellen bietet, welche Angreifer ausnutzen könnten. Es ist somit erheblich unwahrscheinlicher, dass es einem Angreifer gelingt, die Firewall in der Firewallpartition 210 zu kompromittieren, als eine der Anwendungen in den Anwendungspartitionen 220, 230 zu kompromittieren. Selbst wenn Letzteres trotz aller Vorsichtsmaßnahmen passieren sollte, wäre immer noch die Firewall funktionsfähig, welche aufgrund der hardwaremäßig implementierten zwingenden Erfordernis, den Datenverkehr über die Firewall laufen zu lassen, eventuellen schädlichen Datenverkehr abfangen kann. Die zur Anmeldung gehörigen Ansprüche stellen keinen Verzicht auf die Erzielung weitergehenden Schutzes dar.
Sofern sich im Laufe des Verfahrens herausstellt, dass ein Merkmal oder eine Gruppe von Merkmalen nicht zwingend nötig ist, so wird anmelderseitig bereits jetzt eine Formulierung zumindest eines unabhängigen Anspruchs angestrebt, welcher das Merkmal oder die Gruppe von Merkmalen nicht mehr aufweist. Hierbei kann es sich beispielsweise um eine Unterkombination eines am Anmeldetag vorliegenden Anspruchs oder um eine durch weitere Merkmale eingeschränkte Unterkombination eines am Anmeldetag vorliegenden Anspruchs handeln. Derartige neu zu formulierende Ansprüche oder Merkmalskombinationen sind als von der Offenbarung dieser Anmeldung mit abgedeckt zu verstehen.
Es sei ferner darauf hingewiesen, dass Ausgestaltungen, Merkmale und Varianten der Erfindung, welche in den verschiedenen Ausführungen oder Ausführungsbeispielen beschriebenen und/oder in den Figuren gezeigt sind, beliebig untereinander kombinierbar sind. Einzelne oder mehrere Merkmale sind beliebig gegeneinander austauschbar. Hieraus entstehende Merkmalskombinationen sind als von der Offenbarung dieser Anmeldung mit abgedeckt zu verstehen .
Rückbezüge in abhängigen Ansprüchen sind nicht als ein Verzicht auf die Erzielung eines selbständigen, gegenständlichen Schutzes für die Merkmale der rückbezogenen Unteransprüche zu verstehen. Diese Merkmale können auch beliebig mit anderen Merkmalen kombiniert werden.
Merkmale, die lediglich in der Beschreibung offenbart sind oder Merkmale, welche in der Beschreibung oder in einem Anspruch nur in Verbindung mit anderen Merkmalen offenbart sind, können grundsätzlich von eigenständiger erfindungswesentlicher Be- deutung sein. Sie können deshalb auch einzeln zur Abgrenzung vom Stand der Technik in Ansprüche aufgenommen werden.
Es sei verstanden, dass eine elektronische Steuerungsvorrichtung grundsätzlich Prozessormittel und Speichermittel aufweisen kann, wobei in den Speichermitteln Programmcode gespeichert ist, bei dessen Ausführung sich die Prozessormittel in definierter Weise verhalten.

Claims

Elektronische Steuerungsvorrichtung (10), aufweisend eine Anzahl von Anwendungspartitionen (220, 230), wobei in jeder Anwendungspartition (220, 230) eine jeweilige Anwendung ausgeführt wird,
zumindest eine Firewallpartition (210), in welcher eine Firewall ausgeführt wird,
eine Anzahl von gesicherten Schnittstellen (110, 120, 130) , welche dazu ausgebildet sind, mit zu der Steuerungsvor¬ richtung (10) externen Geräten und/oder mit On-Board-Geräten zu kommunizieren,
wobei die gesicherten Schnittstellen (110, 120, 130) ausschließlich von der Firewallpartition (210) aus ansteuerbar sind, und
eine Anzahl von virtuellen Schnittstellen (224, 234, 236), welche jeweils zur Kommunikation zwischen der Firewallpartition (210) und zumindest einer Anwendungs¬ partition (220, 230) ausgebildet sind.
Elektronische Steuerungsvorrichtung (10) nach Anspruch 1, wobei die gesicherten Schnittstellen (110, 120, 130) von der Firewallpartition (210) aus derart ansteuerbar sind, dass Daten von der Firewallpartition (210) aus über die gesicherten Schnittstellen (110, 120, 130) ausgegeben werden können, und/oder derart, dass Daten von der Firewallpartition (210) aus über die gesicherten Schnittstellen (110, 120, 130) empfangen werden können.
Elektronische Steuerungsvorrichtung (10) nach einem der vorhergehenden Ansprüche,
wobei die virtuellen Schnittstellen (224, 234, 236) jeweils eine Übergabe von Daten von zumindest einer Anwendungs¬ partition (220, 230) zur Firewallpartition (210) und/oder von der Firewallpartition (210) zu zumindest einer Anwendungspartition (220, 230) ermöglichen.
4. Elektronische Steuerungsvorrichtung (10) nach einem der vorhergehenden Ansprüche,
wobei zumindest eine der virtuellen Schnittstellen (224, 234, 236) durch einen Überlapp von Firewallpartition (210) und zumindest einer Anwendungspartition (220, 230) aus¬ gebildet ist.
5. Elektronische Steuerungsvorrichtung (10) nach einem der vorhergehenden Ansprüche,
wobei zumindest eine der virtuellen Schnittstellen (224, 234, 236) mittels eines dedizierten Registers ausgebildet ist, welches nicht zu einer Anwendungspartition (220, 230) und nicht zu einer Firewallpartition (210) gehört, und welches von zumindest einer Anwendungspartition (220, 230) und von der Firewallpartition (210) aus ansprechbar ist.
6. Elektronische Steuerungsvorrichtung (10) nach einem der vorhergehenden Ansprüche,
wobei die Firewall dazu ausgebildet ist, einen Datenfluss zwischen einer virtuellen Schnittstelle (224, 234, 236) und einer gesicherten Schnittstelle (110, 120, 130) zu ver¬ hindern, wenn der jeweilige Datenfluss gemäß einer vor¬ gegebenen Liste unzulässig ist.
7. Elektronische Steuerungsvorrichtung (10) nach einem der vorhergehenden Ansprüche,
wobei die Firewall dazu ausgebildet ist, einen Datenfluss zwischen einer virtuellen Schnittstelle (224, 234, 236) und einer gesicherten Schnittstelle (110, 120, 130) nur dann zu erlauben, wenn der jeweilige Datenfluss gemäß einer vorgegebenen Liste zulässig ist. Elektronische Steuerungsvorrichtung (10) nach einem der vorhergehenden Ansprüche,
wobei die Firewall dazu ausgebildet ist, einen Datenfluss zwischen einer virtuellen Schnittstelle (224, 234, 236) und einer gesicherten Schnittstelle (110, 120, 130) zu be¬ richten, wenn der jeweilige Datenfluss gemäß einer vor¬ gegebenen Liste zu berichten ist.
Elektronische Steuerungsvorrichtung (10) nach einem der vorhergehenden Ansprüche,
welche ferner eine Anzahl von nicht gesicherten Schnittstellen aufweist, welche dazu ausgebildet sind, mit zu der Steuerungsvorrichtung (10) externen Geräten zu kommunizieren,
wobei die nicht gesicherten Schnittstellen direkt von zumindest einer Anwendungspartition (220, 230) aus ansteuerbar sind oder über die Firewallpartition (210) derart ansteuerbar sind, dass zwischen der Anwendungs¬ partition (220, 230) und der nicht gesicherten Schnitt¬ stelle ausgetauschte Daten von der Firewall grundsätzlich durchgelassen werden.
Elektronische Steuerungsvorrichtung (10) nach einem der vorhergehenden Ansprüche,
wobei die Firewallpartition (210) Bestandteil einer Mehrzahl von Firewallpartitionen (210) ist,
wobei jede Firewallpartition (210) einer Anzahl von gesicherten Schnittstellen (110, 120, 130) zugeordnet ist. 11. Elektronische Steuerungsvorrichtung (10) nach einem der vorhergehenden Ansprüche,
welche als Embedded Controller ausgebildet ist. Elektronische Steuerungsvorrichtung (10) nach einem der vorhergehenden Ansprüche,
welche eine Memory Management Unit, MMU, aufweist, wobei die Memory Management Unit die Partitionen (210, 220, 230) verwaltet.
Elektronische Steuerungsvorrichtung (10) nach einem der vorhergehenden Ansprüche,
welche eine Memory Protection Unit, MPU, aufweist, wobei die Memory Protection Unit die Partitionen (210, 220, 230) verwaltet.
Elektronische Steuerungsvorrichtung (10) nach einem der vorhergehenden Ansprüche,
welche ein Betriebssystem aufweist,
wobei das Betriebssystem einen direkten Zugriff auf die gesicherten Schnittstellen (110, 120, 130) von den Anwendungspartitionen (220, 230) aus verhindert,
und/oder
wobei das Betriebssystem eine Kommunikation zwischen unterschiedlichen Partitionen (210, 220, 230) ermöglicht, insbesondere durch Vorsehen eines Uberlapps der jeweiligen Partitionen (210, 220, 230) oder durch Vorsehen eines dedizierten Registers,
und/oder
wobei das Betriebssystem unterschiedlichen Anwendungen Rechenzeit zuweist,
und/oder
wobei das Betriebssystem eine Memory Management Unit oder eine Memory Protection Unit konfiguriert. Elektronische Steuerungsvorrichtung (10) nach einem der vorhergehenden Ansprüche,
wobei es sich bei den gesicherten Schnittstellen (110, 120, 130) um eine oder mehrere der folgenden Schnittstellen handelt :
General Purpose Input/Output , GPIO,
Serial Peripheral Interface, SPI,
Controller Area Network, CAN,
Ethernet,
Universal Asynchronous Receiver Transmitter, UART,
FlexRay,
LIN,
Secure Digital Input Output, SDIO,
I2C,
andere serielle Schnittstelle.
PCT/EP2015/078970 2015-01-20 2015-12-08 Elektronische steuerungsvorrichtung WO2016116207A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201580058655.7A CN107004101A (zh) 2015-01-20 2015-12-08 电子控制装置
EP15816687.6A EP3248137A1 (de) 2015-01-20 2015-12-08 Elektronische steuerungsvorrichtung
US15/524,345 US20170374026A1 (en) 2015-01-20 2015-12-08 Electronic control device

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102015200801.0A DE102015200801A1 (de) 2015-01-20 2015-01-20 Elektronische Steuerungsvorrichtung
DE102015200801.0 2015-01-20

Publications (1)

Publication Number Publication Date
WO2016116207A1 true WO2016116207A1 (de) 2016-07-28

Family

ID=55025008

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2015/078970 WO2016116207A1 (de) 2015-01-20 2015-12-08 Elektronische steuerungsvorrichtung

Country Status (5)

Country Link
US (1) US20170374026A1 (de)
EP (1) EP3248137A1 (de)
CN (1) CN107004101A (de)
DE (1) DE102015200801A1 (de)
WO (1) WO2016116207A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040185842A1 (en) * 2003-01-28 2004-09-23 Spaur Charles W. Secure telematics
EP1473614A2 (de) * 2003-04-29 2004-11-03 Volkswagen AG Computersystem für ein Fahrzeug und Verfahren zum Kontrollieren des Datenverkehrs in einem solchen Computersystem
US20140259143A1 (en) * 2011-10-11 2014-09-11 Zf Friedrichshafen Ag Communication system for a motor vehicle

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0306211A3 (de) * 1987-09-04 1990-09-26 Digital Equipment Corporation Synchronisiertes Doppelrechnersystem
US6292718B2 (en) * 1999-01-28 2001-09-18 International Business Machines Corp. Electronic control system
US6292874B1 (en) * 1999-10-19 2001-09-18 Advanced Technology Materials, Inc. Memory management method and apparatus for partitioning homogeneous memory and restricting access of installed applications to predetermined memory ranges
US7171539B2 (en) * 2002-11-18 2007-01-30 Arm Limited Apparatus and method for controlling access to a memory
WO2005050381A2 (en) * 2003-11-13 2005-06-02 Commvault Systems, Inc. Systems and methods for performing storage operations using network attached storage
US20160277261A9 (en) * 2006-12-29 2016-09-22 Prodea Systems, Inc. Multi-services application gateway and system employing the same
US9081911B2 (en) * 2011-05-31 2015-07-14 Architecture Technology Corporation Mediating communication of a universal serial bus device
EP2817761A2 (de) * 2012-02-24 2014-12-31 Missing Link Electronics Inc. In mehreren domänen angewendete partitionierungssysteme
CN102710669B (zh) * 2012-06-29 2016-03-02 杭州华三通信技术有限公司 一种防火墙策略控制的方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040185842A1 (en) * 2003-01-28 2004-09-23 Spaur Charles W. Secure telematics
EP1473614A2 (de) * 2003-04-29 2004-11-03 Volkswagen AG Computersystem für ein Fahrzeug und Verfahren zum Kontrollieren des Datenverkehrs in einem solchen Computersystem
US20140259143A1 (en) * 2011-10-11 2014-09-11 Zf Friedrichshafen Ag Communication system for a motor vehicle

Also Published As

Publication number Publication date
DE102015200801A1 (de) 2016-07-21
US20170374026A1 (en) 2017-12-28
CN107004101A (zh) 2017-08-01
EP3248137A1 (de) 2017-11-29

Similar Documents

Publication Publication Date Title
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
EP2981926B1 (de) Datenspeichervorrichtung zum geschützten datenaustausch zwischen verschiedenen sicherheitszonen
DE112019000485T5 (de) System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
WO2006133774A1 (de) Verfahren und vorrichtung zum sicheren kommunizieren einer komponente eines fahrzeugs über eine drahtlose kommunikationsverbindung mit einem externen kommunikationspartner
EP3625950B1 (de) Datenverarbeitungseinrichtung, gesamtvorrichtung und verfahren zum betrieb einer datenverarbeitungseinrichtung oder gesamtvorrichtung
EP3451624B1 (de) Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks
EP3262797B1 (de) Kraftfahrzeug-kommunikationsnetzwerk mit switchvorrichtung
WO2003015369A2 (de) Verfahren und computersystem zur sicherung der kommunikation in netzwerken
DE102020201988A1 (de) Vorrichtung zur Verarbeitung von Daten mit wenigstens zwei Datenschnittstellen und Betriebsverfahren hierfür
EP3655876B1 (de) Ein-chip-system, verfahren zum betrieb eines ein-chip-systems und kraftfahrzeug
EP3417589A1 (de) Reduzieren einer angriffsmöglichkeit auf eine schwachstelle eines gerätes über eine netzwerkzugangsstelle
WO2016116207A1 (de) Elektronische steuerungsvorrichtung
EP3813314B1 (de) Sicherungssystem und verfahren zur filterung eines datenverkehrs
EP2911363B1 (de) Funkgerät mit zwei funkeinheiten und verfahren zum übertragen von informationen
DE102013221955A1 (de) Sicherheitsrelevantes System
EP1473614A2 (de) Computersystem für ein Fahrzeug und Verfahren zum Kontrollieren des Datenverkehrs in einem solchen Computersystem
DE102016008957A1 (de) Direkter Zugriff auf Bussignale in einem Kraftfahrzeug
DE102016213164A1 (de) Speichervorrichtung, Datenübertragungsvorrichtung und Verfahren zum Übertragen von Daten
EP3382976A1 (de) Schutzeinrichtung, verfahren und gerät enthalten eine schutzeinrichtung zum schutz eines mit dem gerät verbundenen kommunikationsnetzwerks
DE102022107431B3 (de) Verfahren zum Nachrüsten einer Socks-Kompatibilität für zumindest eine Anwendung in einem Kraftfahrzeug sowie entsprechend eingerichtetes Kraftfahrzeug
EP3603011B1 (de) Vorrichtungen und verfahren zum betreiben einer mobilfunkkommunikation mit einer streckenseitigen einrichtung
WO2017148559A1 (de) Verfahren und analysemodul zur überprüfung von verschlüsselten datenübertragungen
DE102013209914A1 (de) Filtern eines Datenpaketes mittels einer Netzwerkfiltereinrichtung
EP3395039A1 (de) Vorrichtung und verfahren zum weiterleiten von datenpaketen
WO2021197822A1 (de) Verfahren zur behandlung einer anomalie von daten, insbesondere bei einem kraftfahrzeug

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 15816687

Country of ref document: EP

Kind code of ref document: A1

REEP Request for entry into the european phase

Ref document number: 2015816687

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2015816687

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 15524345

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE