用于執(zhí)行在控制設(shè)備之間的通信的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及用于執(zhí)行在控制設(shè)備之間、尤其是在機(jī)動車中的控制設(shè)備之間的通信的方法、控制設(shè)備復(fù)合體、控制設(shè)備和電子硬件安全模塊(HSM)。
【背景技術(shù)】
[0002]控制設(shè)備是電子模塊,其例如被用在機(jī)動車中以便控制和調(diào)節(jié)流程。為此,將控制設(shè)備分配給機(jī)動車的組件,所述組件的運(yùn)行利用所分配的控制設(shè)備監(jiān)督(kontrollieren)。為此,控制設(shè)備讀入由傳感器檢測的數(shù)據(jù)并且通過操控執(zhí)行器來作用于所述運(yùn)行。
[0003]所描述的方法結(jié)合電子安全模塊來應(yīng)用,該電子安全模塊在安全性相關(guān)的領(lǐng)域中被使用在控制設(shè)備中、尤其是在汽車領(lǐng)域中。在安全性相關(guān)的領(lǐng)域中的大多數(shù)應(yīng)用情況下,不可操縱或者不可查閱的數(shù)據(jù)存儲是基本要求。在此情況下,使用密碼密鑰,所述密碼密鑰應(yīng)用在對稱或非對稱的加密方法中。
[0004]所使用的密鑰和加密方法是機(jī)密,其必須對攻擊者保持是秘密的。在安全性相關(guān)的領(lǐng)域中的其他應(yīng)用例如涉及防止未經(jīng)允許的改變、例如存儲改變的序列號或者公里讀數(shù)、禁止未授權(quán)的調(diào)整措施(Tuning-Mafinahmen)等等。
[0005]因此需要在控制設(shè)備中提供安全的環(huán)境,在所述安全的環(huán)境中可以實施必須查閱和/或改變所述機(jī)密的功能。這些環(huán)境經(jīng)常具有安全的計算單元或CPU (其也可以稱為安全CPU (secure CPU))以及存儲模塊。這樣的環(huán)境這里也被稱為硬件安全模塊(HSM:硬件安全模塊(Hardware Security Module))。該模塊是具有硬件和軟件組件的有效率的模塊,該有效率的模塊改善嵌入式系統(tǒng)的可信度和保護(hù)。尤其是,HSM在此支持保護(hù)安全性關(guān)鍵的應(yīng)用和數(shù)據(jù)。利用HSM同樣可以降低安全成本,而同時可以提供防攻擊者的有效保護(hù)。關(guān)于HSM的基本構(gòu)造參考圖3。
[0006]要注意的是,在車輛或車輛系統(tǒng)中控制設(shè)備的通信現(xiàn)今不是冗余地被執(zhí)行并且僅僅通過軟件可信度測試(PlausibiIisierung)來保護(hù)。因此,可以簡單地、無大耗費(fèi)地進(jìn)行攻擊。因此,例如在控制設(shè)備中的特洛伊(Trojaner)也可能操縱在控制設(shè)備之間的受保護(hù)的或加密的通信。在錯誤情況下因此不存在冗余度,而是僅僅存在受限的緊急運(yùn)行特性。
【發(fā)明內(nèi)容】
[0007]以此為背景,建議根據(jù)權(quán)利要求的方法、根據(jù)權(quán)利要求5的控制設(shè)備復(fù)合體、具有權(quán)利要求8的特征的電子硬件安全模塊和根據(jù)權(quán)利要求9的控制設(shè)備。擴(kuò)展方案從從屬權(quán)利要求和說明書中得知。
[0008]因此經(jīng)由附加地存在的通信連接進(jìn)行通信。除了總線系統(tǒng)之外,還設(shè)置該附加地存在的通信連接,其中所述總線系統(tǒng)將控制設(shè)備、尤其是控制設(shè)備的主計算單元相互連接。附加地設(shè)置的通信連接與電子硬件安全模塊(HSM)連接,并且例如被構(gòu)造為總線系統(tǒng),其中所述電子硬件安全模塊(HSM)中的相應(yīng)至少一個設(shè)置在每個參與該通信的控制設(shè)備中。
[0009]因此,以下面的任務(wù)來進(jìn)行受保護(hù)的、第二通信連接的構(gòu)建: -在控制設(shè)備之間的認(rèn)證,
-關(guān)鍵信號的交換,
-密碼密鑰的交換,
-在關(guān)斷一個或多個控制設(shè)備時能夠?qū)崿F(xiàn)緊急運(yùn)行操作(Notlaufbetrieb),
-消除缺少的冗余度和迄今弱的保護(hù)。
[0010]所介紹的方法基于通信連接的引入,該通信連接通過電子硬件安全模塊(HSM:Hardware Security Module)物理上與主核或主計算單元分離。通過這種方式,可以與其他控制設(shè)備安全通信。
[0011 ] HSM為此例如被擴(kuò)展有通信模塊。僅僅HSM對該模塊進(jìn)行訪問。在不同HSM之間的通信可以通過單獨的線路來實現(xiàn),這帶來了更高的安全性。為執(zhí)行該方法在構(gòu)型上所使用的通信模塊至少部分地集成在HSM中并且不能從外部起動。
[0012]通過所使用的安全通信連接,不同的控制設(shè)備可以互相認(rèn)證。所述認(rèn)證在此可以一次地在控制設(shè)備編程時、在每個行駛循環(huán)時或循環(huán)地發(fā)生。通過安全通信連接可以交換關(guān)鍵信號和密碼密鑰。此外,可以通過安全通信連接確保緊急運(yùn)行操作。在一個或多個控制設(shè)備的錯誤情況下,此外還可以通過該通信連接執(zhí)行備用措施。
[0013]本發(fā)明的另外的優(yōu)點和擴(kuò)展方案從說明書和附圖中得到。
[0014]可以理解:前面所述的以及后面還要闡述的特征不僅可以以分別所說明的組合、而且可以以其他組合或者單獨地被使用,而不離開本發(fā)明的范疇。
【附圖說明】
[0015]圖1示出信任金字塔。
[0016]圖2以示意圖示出HSM的功能。
[0017]圖3以示意圖示出HSM的實施的構(gòu)造。
[0018]圖4示出控制設(shè)備復(fù)合體。
[0019]圖5示出控制設(shè)備的兩個實施。
【具體實施方式】
[0020]本發(fā)明借助實施方式在附圖中被示意性示出并且下面參照附圖被詳細(xì)描述。
[0021]然而為了信任IT系統(tǒng):它總是如所預(yù)期的那樣行動,需要相繼地信任所有層,這些層被相互連接,以便產(chǎn)生可信任的IT系統(tǒng)。
[0022]圖1示出用于典型的IT系統(tǒng)的信任金字塔,其被稱為Trust Pyramid (信任金字塔)。該信任金字塔總體上用參考數(shù)字10表示并且包括用于組織安全性的層12、用于系統(tǒng)安全性的層14、用于硬件安全性的層16、用于軟件安全性的層18和用于信任或Trust (信任)的最上層20。
[0023]為了能夠信任整個IT系統(tǒng),需要每個層能夠信任處于其下的層的有效的安全性,而不能直接對此進(jìn)行驗證。這例如意味著:完美的軟件和硬件安全性解決方案可能由于處于其下的弱的安全系統(tǒng)設(shè)計而證實為是無用的。此外,可能存在:可能的弱點在系統(tǒng)設(shè)計(Systemgestaltung)中不被檢測或者通過上面的硬件和軟件層被防止。
[0024]與典型的背式系統(tǒng)(Back-Systemen)和IT系統(tǒng)相比,嵌入式系統(tǒng)的硬件層經(jīng)常遭受物理攻擊,這些物理攻擊通過物理裝置影響硬件或軟件功能,例如操縱閃速存儲器或者去激活報警功能。使這樣的物理攻擊變得困難的方案在于:尤其是使用防操縱的硬件安全模塊(HSM),如其例如在圖2中所示。這樣的HSM例如通過強(qiáng)物理屏蔽保護(hù)重要的信息、例如個人識別碼(PIN)、安全密鑰和關(guān)鍵操作、例如PIN驗證、數(shù)據(jù)加密。
[0025]在下面描述可以如何構(gòu)造HSM以及對于功能可以由該HSM執(zhí)行什么來改善嵌入式系統(tǒng)的安全性。
[0026]圖2示出典型的硬件安全模塊的核心功能。該圖示示出軟件層30和硬件層32,其被保護(hù)免遭未經(jīng)許可的訪問。
[0027]軟件層30包括一系列應(yīng)用程序34,這里示出其中三個。此外,設(shè)置運(yùn)行系統(tǒng)36。硬件層32包括嵌入式標(biāo)準(zhǔn)硬件38和硬件安全模塊(HSM)40。在該HSM 40中,設(shè)置用于接口和控制的第一塊42、用于安全加密功能的第二塊44、用于安全功能的第三塊46和安全存儲器48。
[0028]安全存儲器48是在防操縱的HSM 40內(nèi)的小的、非易失性數(shù)據(jù)存儲器,例如具有幾千字節(jié)的容量,以便防止未被授權(quán)地讀出、操縱或刪除關(guān)鍵信息、諸如密碼密鑰、密碼證書或鑒權(quán)數(shù)據(jù)、例如PIN或口令。HSM 40的安全存儲器48此外包含所有HSM配置信息、例如關(guān)于HSM 40的所有者或?qū)κ鼙Wo(hù)的內(nèi)部單元的訪問授權(quán)的信息。
[0029]在用于安全加密功能的第二塊44中包含密碼算法,所述密碼算法用于數(shù)據(jù)加密和數(shù)據(jù)解密(例如AES或3DES)、數(shù)據(jù)完整性增強(qiáng)(諸如MAC或HMAC)或者例如通過使用數(shù)字簽名算法的數(shù)據(jù)起源驗證(諸如RSA或ECC)以及所有所屬的密碼活動、諸如密鑰產(chǎn)生、密鑰驗證。
[0030]在第三塊46中的安全功能包括所有受保護(hù)的功能,所述功能不直接被分配給密碼方法,其中HSM 40用作物理上受保護(hù)的