本公开的实施方式大体上描述使电子设备安全的基于硬件的安全系统,且更具体地涉及用于电子设备、移动设备或机动交通工具的硬件安全系统。
背景
交通工具包含各种控制模块,其包括执行指令以控制交通工具的各种方面(例如引擎、信息娱乐、电动机、牵引用蓄电池、车身控制、制动器、传动装置、气候控制等)的处理器。连接到通信网络的交通工具正在增加。作为结果,存在将恶意软件指令下载到控制模块中的增加的威胁。随着交通工具变得更加数字化地连接到外部计算设备,增加了对攻击的暴露。攻击的类型的示例可包括渗透交通工具电子器件和/或软件系统、对控制模块重新编程的攻击。
文件的认证可被执行以在执行之前验证文件的源和/或内容。认证可被执行以防止恶意文件的下载和/或执行和/或防止文件的恶意和/或未经授权的更改。执行无效文件的后果可包括非预期的交通工具系统行为、交通工具部件的降低的寿命、交通工具防盗功能的丧失、对交通工具部件的潜在篡改、交通工具文件的变更和/或交通工具特征和/或功能的丧失。无效文件的执行也可能导致交通工具保修失效、交通工具未按预期运行或交通工具数据损坏。在电子设备中的软件的安全性是需要的。
本文提供的背景描述是为了大体上呈现本公开的情境的目的。目前命名的发明人的工作在它在本背景章节中被描述的程度上以及可能以其他方式在提交时不能取得现有技术的资格的描述的方面对照本公开既不被明确地也不隐含地被承认为现有技术。
概述
描述了一种交通工具电子控制单元,其包括执行分配给控制单元的任务的主处理器和将由主处理器使用的数据解密和加密的安全处理器。提供存储器以存储由主处理器使用并由安全处理器处理的交通工具数据。安全处理器包括被配置为将来自存储器的数据加密和解密用于由主处理器使用的可编程硬件。可编程硬件可以包括现场可编程电路。衬底限定总线以连接主处理器、存储器和安全处理器,同时支撑主处理器、存储器和安全处理器。在示例中,通信信道或外部数据链路是可用的,数据可以从该通信信道或外部数据链路进出系统或者进出移动设备,例如交通工具或移动电子设备。
在示例中,安全处理器包括多个IP核心,其包括可重配置电路以给每个IP核心分配用于加密或解密的任务。
在示例中,IP核心中的至少一个包括配置用于解压缩数据的电路,并且IP核心中的至少一个包括配置用于压缩数据的电路。
在示例中,IP核心作为与主处理器并行运行的状态机(例如,有限状态机)来操作。
在示例中,安全处理器通过重新配置硬件可配置到新的加密方案或新的解密方案。安全处理器还可以通过重新配置硬件而可配置到新的或更新的压缩/解压缩方案。安全处理器还可以通过重新配置硬件而可配置到新的或更新的认证方案。安全处理器可以部分或全部被重新配置。重新配置可以在主处理器或安全处理器的运行时间期间发生。在示例中,当主处理器脱机(例如,未进行处理)时或当交通工具关闭时,重新配置可能发生。
在示例中,IP核心中的至少一个被配置为产生安全防范措施,例如,防止对交通工具控制单元、电路、处理器等的侧信道攻击。安全防范措施可在其他IP核心或主处理器的运行时间期间执行。
在示例中,用于安全防范措施的IP核心感测由主处理器和安全处理器汲取的电流,并且消耗电流以在衬底上维持基本上恒定的电流,以减少对安全处理器和主处理器的感测操作。
在示例中,用于安全防范的IP核心以随机模式汲取电流以掩蔽往返主处理器和安全处理器的电流。
在示例中,用于安全防范的IP核心输出随机电磁辐射以掩蔽主处理器和安全处理器的操作。
在示例中,用于安全防范的IP核心输出声信号或信息以掩蔽主处理器和安全处理器的操作。
在示例中,主处理器利用许多连接参与交通工具到交通工具通信,这些连接引起导致连接中至少一个连接的连接故障的延迟,并且IP核心中的至少一个被配置为与主处理器并行地认证交通工具到交通工具通信。
在示例中,主控制器接收密码被危害的命令,主控制器进入安全模式,在该安全模式中没有来自接收到的数据的关键操作被允许,直到特定的安全连接被建立并且密码在安全电路中升级为止。
在示例中,主控制器在由安全处理器确认加密/解密算法的成功升级之后将相同的硬件算法升级发送到交通工具中的第二电子控制单元,使得硬件加密-解密算法也在第二电子控制单元中被升级。
在示例中,电子控制单元(诸如在非限制性示例中用于交通工具的电子控制单元)被描述为包括:存储器,其存储加密数据和未加密数据;主控制单元,其操作地连接到存储器以访问未加密数据;以及硬件加密-解密设备,其操作地连接到存储器以访问加密数据用于使用硬件算法解密并访问解密数据用于使用硬件算法加密。在示例中,存储器中的数据由硬件加密-解密设备使用硬件算法来解密并存储在存储器中用于由主控制单元使用。在示例中,存储器中的数据由硬件加密-解密设备使用硬件算法来加密,用于由硬件加密-解密设备存储在存储器中。在示例中,主控制单元和硬件加密-解密设备是在单个衬底上的分开的集成电路并且并行处理数据,该衬底具有连接存储器与主控制单元和硬件加密-解密设备的总线。
在示例中,硬件加密/解密设备可以接收来自连接到电子控制单元的外部通信信道的数据,并且动态地将数据加密/解密。硬件加密-解密设备将经处理的数据存储在存储器中,或者通过外部通信信道将经处理的数据发送到外部设备。
在示例中,主控制单元接收在压缩的加密数据文件中的硬件算法更新,将硬件算法更新发送到存储器,且现场可编程设备对硬件算法更新解压缩和解密,其中硬件加密-解密设备使用解密的硬件更新来更新在硬件加密-解密设备中的硬件算法,同时主控制单元处理其他软件任务。
在示例中,硬件加密-解密设备包括现场可编程设备或可编程逻辑。
在示例中,硬件加密-解密设备包括现场可编程门阵列。
在示例中,主控制单元接收用于现场可编程门阵列中的硬件算法的更新。
在示例中,更新是在运行时间中的新加密算法。
在示例中,硬件加密-解密设备包括多个IP核心,其中更新用于擦除IP核心中的至少一个并安装新的硬件算法。
在示例中,硬件加密-解密设备包括多个IP核心,其中更新是向硬件算法添加另外的IP核心。
在示例中,硬件加密-解密设备包括多个IP核心,其中更新用于在运行时间中改变IP核心的特定处理。
在示例中,硬件加密-解密设备包括多个IP核心,其中更新用于从硬件算法中去除IP核心。
在示例中,主控制单元接收在压缩的加密数据文件中的硬件算法更新,将硬件算法更新发送到存储器,且现场可编程门阵列将硬件算法更新解密,其中主控制单元使用解密的硬件更新来更新在硬件加密-解密设备中的硬件算法。
附图说明
以特定细节说明本公开的实施方式。然而,通过结合附图参考下面的详细描述,各种实施方式的其它特征将变得更明显且将被最好地理解,其中:
图1示出了根据示例实施方式的交通工具的示意图;
图2示出了根据示例实施方式的电子控制单元的视图;
图3示出了根据示例实施方式的电子控制单元的视图;
图4示出了根据示例实施方式的处理方法;
图5示出了根据示例实施方式的处理方法;
图6示出了根据示例实施方式的处理方法;
图7示出了根据示例实施方式的处理方法;
图8示出了根据实施方式的控制单元的示意图;
图9示出了根据示例实施方式的处理方法;以及
图10示出了根据示例实施方式的处理方法。
详细描述
根据需要,本文公开了本发明的具体示例;然而,应当理解,所公开的示例仅仅是可以以各种形式和可选形式体现的示例性的本发明。附图不一定按比例绘制;一些特征可以被放大或缩小以示出特定部件的细节。因此,本文中所公开的特定的结构细节和功能细节不应被解释为限制性的,而是仅仅作为用于教导本领域中的技术人员以各种方式利用本发明的代表性基础。
随着移动电子设备(例如交通工具)变得越来越依赖于连接性,例如云计算基础设施和移动通信基础设施,当前对电子设备的恶意网络攻击存在越来越大的风险。交通工具可能比其他电子设备(诸如移动电话、平板电脑等)使用更长时间,且因此可能容易受到后期发展的攻击。交通工具需要稳定且可持续的长期(如十年或更长时间)的网络安全解决方案,以试图保护所连接的交通工具和自动化交通工具。移动电子设备可以使用本文所述的方法和结构来增加保护它们免受未来攻击的可能性。在汽车领域中,本描述可在用于汽车领域的嵌入式应用中提供高度灵活的远程可重配置和模块化解决方案。在示例中,当今设计的许多交通工具在多于二十年后仍然会在路上,且在那时假定可以开发量子计算机和非常先进的攻击工具。在可编程逻辑上高度灵活、模块化且可更新的安全解决方案的实现是例如使用片上系统(“SOC”)设备的一种方案,该片上系统设备组合ARM核心处理器、核心处理器等、集成在单个集成电路封装(例如FPGA)和存储器中的异构硬件资源,其都在单个芯片中紧密结合。
作为简要概述,本公开可以通过由基于可重配置的硬件技术的密码IP引擎组成的并通过硬件/软件合作设计方案部署的系统架构实现用于安全性、隐私和认证的面向汽车的解决方案。本描述实现E-安全交通工具入侵保护应用(EVITA)完全安全级别的嵌入式解决方案或其他安全交通工具到机器通信,其用于可以包括交通工具制造商开始请求的新兴的计算和通信单元的V2X和高端/计算密集型电子控制单元(ECU)。本系统可为交通工具通信提供额外的安全性。如本文所述,片上系统(SOC)可以集成和保护数据认证、数据数字签名以及在交通工具或其他移动设备中的数据和指令的加密和解密。SOC平台可以包括多个处理核心、可编程逻辑和用于安全密钥和数据存储的内部存储器。SOC可以包括网络保护(以太网/CAN防火墙)和空中固件(firmware over the air)能力。此外,IP核心的使用允许从运行软件的处理器到专用IP核心的卸载以执行加密和解密,以及数据压缩和解压缩。IP核心还可以执行数据认证和签名任务。在示例中,加密和解密算法的关键和耗时的部分被存储并在IP核心中的硬件中被直接执行。在示例中,压缩算法和解压缩算法的关键和耗时的部分直接在IP核心中的硬件中执行。在示例中,数据认证和签名算法的关键和耗时的部分在IP核心中的硬件中被直接执行。
图1描绘了包括控制在交通工具中的各种系统的操作的各种控制模块(有时被称为电子控制单元或“ECU”)的交通工具100。控制模块包括执行指令以执行交通工具中的各种任务的硬件(例如电路)以及存储指令、所接收的数据和经处理的数据的存储器。交通工具100可以包括汽车、混合型汽车、电动汽车、轻型货车、卡车、摩托车等。电子控制单元(ECU)101可以控制在内燃机或电动机上的一系列致动器来控制引擎性能或电动机性能。ECU 101可以从交通工具内的多个传感器中接收数据值,使用规则和指令(例如,使用查找表)来处理数据,以及根据规则和指令来调整引擎致动器。电力单元102在交通工具使用电能以用于动力的情况下可以通过控制在交通工具中的电能的流动(例如,来自牵引电池110和到牵引电池110)来帮助ECU 101。动力系控制单元103与ECU 101协力可以控制传送系统的操作。可以提供控制交通工具的各种操作的其它模块,例如制动控制单元。提供了一种电子控制单元(ECU)104,其可以包括识别交通工具并提供交通工具安全性以用于其在交通工具内的通信以及与在交通工具100外部的设备和系统的通信的交通工具标识符。ECU 104可以是专用于控制交通工具架构和性能的硬件设备。在一些情况下,ECU 104可以被称为车身域控制器,并且可以包括专门用于处理交通工具内部(例如,远程信息处理)和外部通信或处理的网关。ECU 104还可以包括传感器或其他交通工具模块。
一些交通工具控制模块在交通工具的驾驶舱内,并且可以包括头部单元105,其可以包括信息娱乐单元105和通信单元108。信息娱乐单元可以向交通工具中的人提供各种人机界面,并且可以包括电路和显示器,其包括音频单元106和数据处理单元107。通信单元108可以连接到交通工具控制单元,并且向交通工具服务服务器120或远离交通工具100的其他系统(例如网状网络、交通工具到交通工具通信、蜂窝通信等)提供通信信道109(例如无线信道)。在示例中,通信信道可以包括硬连线连接,例如,机电接口,例如通用串行总线、车载诊断端口。
总线115可以在各种模块之间提供交通工具内的通信信道。总线115可以包括控制器区域网络(CAN)、本地互连网络(LIN)、航空电子全双工交换以太网(ARNIC)等。
图2示出了具有主控制器201和安全电路203的电子控制单元(ECU)104的示意图部分。实现与ECU(例如,电气负载驱动器)相关的其它交通工具功能的其他电子级或电路未被显示,但是技术人员理解。在示例中,主控制器201和安全电路203都集成在单片硅中,例如在衬底206上。主控制器201包括可以从存储器加载指令以执行用于交通工具的各种任务的处理器205。存储器207可以存储与交通工具相关的指令和/或数据。存储器207可以存储来自各种源的数据。总线210电连接处理器205和存储器207。直接存储器存取控制器211连接到总线210以驱动从通信控制器212和从在主控制器201外部的其它电路的访问。通信控制器212通过防火墙220经由Wi-Fi物理层216和以太网层217中的至少一个来控制与在ECU 104外部的设备和系统的通信,该防火墙220可以位于Wi-Fi物理层216与以太网层217和通信控制器212之间。防火墙220可以集成在衬底206上。在示例实施方式中,防火墙可以是在衬底206外部的电路。物理层216、217可以在衬底206的外部。交通工具中的防火墙220可以作为通信安全系统来操作,该系统基于设置的安全规则来监控和控制进出交通工具的输入和输出的电子通信。防火墙220包括在可信任的安全内部网络(例如,模块101-105、108)和另一外部网络(例如,连接到其的互联网)之间建立屏障的电路,互联网不是安全或可信任的通信源。远程服务器225可以在交通工具维修设施、另一移动设备、另一交通工具处或制造商的计算机系统处。路径109可以定义V2X通信路径。远程服务器225可以提供对交通工具的指令更新,例如软件更新。指令更新可以在远程服务器225处被加密和压缩,并且在安全电路203处被接收用于在由控制器201使用或被加载到其他交通工具控制单元中之前的解密。
远程信息处理电路226可以连接到防火墙220以提供往来交通工具的通信,该通信可以被加密和压缩。远程信息处理电路226可以结合对交通工具或包含远程信息处理电路的移动设备的有效控制经由电信设备来发送、接收和存储信息。远程信息处理电路226为在交通工具中的应用以及在移动中的交通工具的控制下提供电信和信息学的综合使用,并且可以包括全球卫星定位系统,例如用于与汽车导航系统一起使用。
安全电路203包括可直接从直接存储器存取控制器211接收下载的文件(例如,来自服务器225的指令)的存储器230。存储器230也可以由处理器205直接访问。加密和解密电路以及压缩和解压缩电路235与存储器230通信。电路235是硬件,例如现场可编程设备、FPGA等;电路235的硬件包括加密和解密电路236以及压缩和解压缩电路237。加密和解密电路236可以从存储器230或总线210读取加密的文件,并使用硬件对文件进行解密。加密和解密电路236可以从存储器230或总线210读取解密的文件,并使用硬件对文件进行加密。压缩和解压缩电路237可以从存储器230或总线210读取解压缩文件,并使用压缩和解压缩电路237的硬件压缩文件。压缩和解压缩电路237可以从存储器230或总线210读取压缩文件,并使用压缩和解压缩电路237的硬件解压缩文件。电路235可将解密/加密的文件存储回到存储器中。电路235可以是专用集成电路(ASIC)(其是静态硬件并且不是可重配置的)、一次性可编程集成电路(其可以被编程一次且之后是静态的)、基于闪存的集成电路(其是可擦除的并且可编程的)以及基于RAM的电路(其可重配置的,甚至在处理时是动态的)。电路235表示处理文件的硬件,并且在一些情况下包括FPGA结构。在电路235中的可再编程硬件的使用允许升级在加密/解密电路236和压缩/解压缩电路237中的解密和加密处理步骤以及压缩和解压缩步骤。因此,如果加密/解密电路236和加密电路237中的解密或加密被黑客或其他人破坏,则解密或加密可被更新为新的和未破坏的处理步骤。电路235可以适应于能够承受V2X应用需求(例如,每秒大数量的签名验证的要求)的高水平的性能。在示例中,可以通过重新配置电路236以执行附加任务或不同的任务来达到不同的性能要求。电路236可以提供抵抗侧信道攻击、即在电路(例如IP核心)内的硬件对策,以增加本系统的保护等级。侧信道攻击可以包括功率消耗、EMC、声音、时间分析等,以确定电路236中的加密和解密。
电路236可以实现各种形式的现代信号处理,例如密码术,诸如AES128、AES256、SHA-2、SHA256、SHA512、TRNG/PRNG(随机数生成)以及后量子密码术(例如McEliece、NTRU等),即在未来几年中出现量子处理器之后将会出现的新的密码术,如果需要的话,其可能能够破坏当今使用中的一些密码算法。电路235可以包括例如HASH(数据认证)、令牌检查、签名认证等的数据认证功能。电路235还可以包括用于实现硬件对策的逻辑指令,例如负责用于遮蔽电流消耗、声学、电磁发射和/或由电路235执行指令的时间的特定逻辑。
在示例实施方式中,ECU 104完全集成到单片硅(例如片上系统)中,其中控制器201及解密和加密电路235是经由总线210电连接的分开的处理核心。存储器230还可以集成在与控制器201及解密和加密电路235相同的硅上。在示例中,存储器不在同一块硅上,并且解密和加密电路235可以将来自存储器230的数据解密,并加密正被发送到存储器230的数据。
存储器230可以与主控制器201和安全电路203集成到单个衬底上。存储器230可以由主控制器201和安全电路203共享。在示例实施方式中,存储器230可以是单个存储器,其为对不同的数据状态(例如加密和解密的数据)划分的空间。在示例实施方式中,存储器可以被划分成两个分区,一个针对加密数据用于由安全电路203使用,且第二分区具有可由安全电路203和主控制器201二者使用的解密数据。在示例实施方式中,除了数据的加密状态之外,还可以有基于压缩数据和解压缩数据的在存储器中的其他分区。
主控制器201控制衬底和安全电路203的通信。安全电路203不直接与衬底外的设备通信。
在交通工具中,除了需要使用加密数据来工作的ECU 104之外,还可以有其他电气单元。这些其它单元也将具有ECU 104的相同处理结构,例如具有主处理器201和安全电路203。然后,每当需要或接收到硬件加密算法时,ECU 104然后升级内部算法并且在该过程的令人满意的完成之后将向其他单元发送所需信息,使得这些单元开始相同的升级。
在交通工具寿命期间,可能发生的是由电子控制单元104使用的密码算法可能被破坏。这导致在下一个输入的消息中的数据破解的可能威胁。交通工具可接收到警报或警告消息,该消息被发送到具有所述危害的密码算法的所有交通工具。主控制器201在接收到所述消息之后将使交通工具系统进入降级或安全模式,以防止所述可能的破解消息损坏交通工具。这种模式将例如防止根据任何另外的输入信息对ECU 104或对汽车中的任何其他ECU在软件中或硬件中完成任何功能升级。这种模式可以在服务中心处或通过无危害的空中(“OTA”)更新被移除。服务中心可以使用OBD连接或与交通工具的安全无线连接。
此外,主控制器201可以具有算法(在软件中或在205的硬件IP中),以检测由于正在进行的破解过程引起的异常操作,并且发起对由对策所检测到的攻击的响应或进入所述降级或安全模式,其可能包括对需要汽车维修的用户的警告信息。在示例中,攻击检测算法可以在主控制器中或在安全电路的可重配置区域中不断地运行。
图3示出了处理系统300,其在一些示例实施方式中可以是ECU 104的一部分。处理系统300包括支撑在单个衬底上的主控制器201和安全电路203。处理系统300可以包括用于处理分配给系统300的所需算法的处理器305,其可以是主控制器201的一部分。处理系统300可以包括用于处理指令和/或数据的加密和解密的专用IP核心处理器335。处理器335可以是安全电路203的一部分。处理系统300可以进一步处理通过以太网、CAN或任何其它总线的通信或在处理器305中所需的任何其它特定功能(例如,压缩、解压缩、传感器数据处理等)。其他IP核心可以在处理器305中执行其他功能。处理器305可以包括用于运行应用程序的多个计算核心3051、3052、...305N和多个实时处理核心306。IP核心处理器335还包括多个处理核心3351、3352、3353、...335N,其可包括FPGA处理器。处理器305中的每个(即,3351、3352、3353、...335N)和306对于它们各自的任务可以使用多个核心来利用并行处理。这些任务可以包括加密、解密、压缩、解压缩和验证。总线210被提供以提供在设备之间的通信。总线210、IP核心处理器335和处理器305可以在整体的单个硅衬底上形成。时间控制器351连接到总线210,并且将向连接到总线的设备提供时间信号。中断控制器352连接到总线210,并且可以将几个中断源组合到连接到处理器305或335的一个或更多个线上,同时允许将优先级分配给它的中断输出。
通信设备可以控制在衬底内的通信和到衬底之外的设备的通信。直接存储器存取控制器353连接到总线210并且提供直接存储器存取以允许某些硬件子系统独立于处理器305而访问主系统存储器(RAM)或非易失性存储器。通用异步接收器/发射器354连接到总线210,并且可以提供异步串行通信,其中数据格式和传输速度是可配置的。通用异步接收器/发射器354与物理层连接,以与可以在同一ECU中、在电子器件中或在交通工具中的其他电子设备(诸如电子电路、负载驱动器、I/O复用器等)通信。CAN控制器355连接到总线210,并且提供与交通工具中的CAN总线的通信。千兆比特以太网控制器356连接到总线210,并且通过以太网连接提供与其他设备的通信。
非易失性(例如,闪速)存储器控制器357连接到总线210并提供与非易失性(例如,闪速)存储器360的通信。随机存取存储器控制器358连接到总线210并提供与存储器系统361的通信,该存储器系统361可以包括DDR SDRAM存储器。存储器360、361可以由IP核心335存储用于解密和解压缩等使用的加密文件和/或压缩文件。解密和解压缩的文件可以存储在存储器360、361中,用于由交通工具中的应用处理器305和/或实时处理器306和安全处理器335使用。
处理器335可操作地连接到或互连到CAN控制器365,其连接到总线210、物理层和IP核心处理器335。以太网交换机366连接到总线210、物理层和IP核心处理器335。硬件重配置控制器368连接到总线210和IP核心处理器335。重配置控制器368可用于对IP核心处理器335的核心或其单独的核心重新编程。
安全处理器335可以由都连接到系统总线210的时间控制器371、中断控制器372、DMA控制器367、控制和状态寄存器373、存储器369和通信互连374组成。存储器369可以被定义并在335中在本地使用以用于IP核心中的算法的执行并且还存储密钥。可以利用安全处理器335使用可配置总线来对存储器369寻址,以允许在存储器369和处理核心335之间通信的可变宽度字。
提供电源电路370以例如在衬底中的电源轨上将电力提供给处理器305、335以及控制器、存储器和其它电气设备。在ECU 104中提供进一步的功能以满足其他交通工具需要的其他电子级可以被使用并连接到本文描述的电路。
处理器235和335提供灵活且可定制的结构,其可以基于制造商要求(例如汽车配置要求)使用交通工具环境中的AES、ECC、Hash Whirlpool、SHA、无线接入等中的任何一个来配置。处理器235、335最初可以在硬件中被装载有加密和解密算法。处理器235、335可以是自适应平台,以提供安全特征的自动协商(数据加密、用户认证)。处理器235、335每个都能够实时动态地选择将要在每个会话/请求处使用的IP处理核心的配置,在该会话/请求中不同的密码原语/算法的组是可用的,都是按需的或者甚至作为对交通工具中的特定事件的响应。在示例中,处理器235、335或电路203中的所有设备可以在使用可编程逻辑的硬件中可重配置到不同的任务功能或不同的通信信道宽度。
处理器235和335可以通过处理器中的当前解密和交通工具中的认证测试通过经由认证通信的外部通信来升级或改变。该通信由主处理器201控制。处理器235和335能够甚至实时地扩展,同时一些过程被执行。处理器235、335可以根据需要在硬件中实例化附加的IP核心,以在即时模式中例如突然在交通堵塞场景中的交通工具到交通工具(V2V)通信中并行地运行。当交通工具在多个交通工具在通信中(例如,在网状网络中或在繁忙道路上)的情况中时,V2V真实识别需要可能增加。本系统300可以处理想要与本交通工具交互的大量交通工具,并在那个时刻(运行时间)系统可以增加专用于V2V功能来提高处理能力的IP核心3351、3352、3353、...335N的数量。核心3351、3352、3353、...335N可以有它们的硬件,该硬件在它们当前专用于的任务不被需要时被改变以执行不同的任务。一旦外部工作条件、环境工作条件或工作负荷峰结束或它们不被需要,IP核心3351、3352、3353、...335N可从硬件被移除(或在数量上减少)。IP核心可以例如在重配置控制器368的指导下被重新配置,而其他IP核心正在其他任务上操作。因此,重新配置可以在运行时间期间动态地发生。
IP核心335可被配置为执行相似或不同的任务。多个IP核心335可以专用于加密数据的解密以满足来自主控制器201的请求。至少一个IP核心可以被配置为根据第一编解码器来解压缩数据。至少一个IP核心可以被配置为根据第二编解码器解压缩数据。可以配置至少一个IP核心来认证来自衬底之外的通信。这些IP核心可以相互并行地运行它们各自的任务,因为它们的硬件被配置为执行各自的任务或任务的部分。
处理器235和335作为硬件加密-解密设备操作,该硬件加密-解密设备比加载到处理器或硬件加密-解密设备的软件算法更有效,其有时利用已经集成在微控制器的芯片中的一些处理器外围设备(HSM)。在当前的加密算法中,存在用于加密-解密的大量数据,于是加密/解密操作对于常规处理器的任务要求过多以至于无法在继续执行它对于交通工具的通常任务的同时实时执行。本公开使用加密-解密任务的并行硬件处理和在不同处理器205、305以及加密/解密专用处理器235、335中的通常的处理任务。这提供对于主处理器205、305的处理需要的减少,并使它对于它执行的通常任务更快。使用多核心和并行处理器的加密和解密处理能力将根据需求而改变,或适应于最先进的技术。例如,如果AES256加密用于当今销售的汽车,那么如果AES256加密变得脆弱,这可能被改变到后量子加密算法。另一方面,在给定情况下,像在交通堵塞中一样,V2V真实识别需要可能增加,以处理想要进行交互的大量交通工具,且在那个时刻(运行时间)系统可能增加专用于所述功能以增加所述处理能力的IP核心的数量。在示例中,可以改变执行在那个时刻不需要的其他功能的IP核心,以执行对于V2V真实识别所需的加密/解密任务。
处理器235、335还可以包括压缩-解压缩功能,以确保数据对主处理器205、305是实时地完全可用并且及时的,压缩-解压缩功能在与加密-解密功能相同的意义上对主处理器205、305是透明的。例如当交通工具接收或发送大的数据文件时,核心3351、3352、3353、...335N可以通过重新编程来单独地调整以执行除了或代替加密/解密的压缩/解压缩任务。使用核心3351、3352、3353、...335N的这种灵活的方法允许处理器335适应于最先进技术和交通工具的当前处理需要。在示例中,如果处理器335使用128字节密码术(例如AES128)操作,则本系统300可以对附加的核心重新编程以采用256字节密码术,例如AES256。本系统还可以从128字节或256字节密码术到后量子密码术例如经由从内部存储器或远程服务器下载加密、压缩的文件而在核心3351、3352、3353、...335N中对它的硬件重新编程。
存在用于交通工具与交通工具外部的实体通信的各种方法。在许多示例中,交通工具可以使用嵌入式蜂窝调制解调器设备连接到远程服务器。在另一个示例中,交通工具可以利用交通工具到交通工具连接来直接在交通工具之间发送消息,以将消息发送到基础设施控制器或传感器、交通工具内通信或交通工具到住宅连接(诸如自动车库开启器、与交通工具相关联的用户感测数据或个人数据)。为了使交通工具建立与在交通工具外部的实体的连接,交通工具可能需要维持关于如何连接到外部实体的连接信息。
本系统200、300可以至少按V2X标准提供数据速率。动态数据加密和压缩由处理器235、335执行并被提供给主处理器用于在它的任务中使用。处理器235、335还可以解压缩文件以用于由主处理器使用。
处理系统104和300可以包括在单个集成电路衬底上的主控制器201和安全电路203,其中未加密的数据和指令的所有通信都在集成电路内,而不是在空中或沿着外部电线。在一些示例中,存储器还可以集成在集成电路衬底上,使得加密和未加密的数据和指令在集成电路内,而不是在空中或沿着外部电线。此外,处理系统不是安装到电路板上、通过板上的迹线通信的单独集成电路,其是可访问的以读取在设备(例如处理器和存储器)之间的迹线上的信号。与衬底中的内部总线或传输线不同,在空中或沿着外部电线的解密数据的传输可以被监控和检测。
加密/解密处理器235、335可以包括多个核心以提供冗余操作和结构。加密/解密处理器235、335提供抵抗物理攻击、侧信道攻击(例如时序分析、功率分析、电磁分析等)的内置硬件对策,并降低了短脉冲波干扰攻击的成功的可能性。主处理器205、305在同一芯片(片上系统)上与存储器和加密/解密处理器235、335的集成为安全计算创建了信任区。
图4示出了用于在交通工具中提供安全处理的方法400。在401处,用于加密和解密的硬件配置被安在用于在第一处理器核心中进行处理的存储器中,以解密(并且如果需要的话,解压缩)从而允许数据在主处理器(例如处理器205或处理器305)中被使用。因此,第一处理器通过在硬件中而不是在通用计算机处理器中装载的软件中实现加密和解密指令来提供硬件安全性。在402处,使用第一处理器核心来将数据解密以用于在第二处理器核心中使用。与步骤402并行地,可以执行步骤403。在403处,在第二处理器中执行软件指令以解释信息(例如,来自存储在存储器中的解密文件的数据)并提供输出。第二处理器(例如主处理器201)可以对在该时间点不需要被解密的数据进行操作。因此,存在并行处理。第二处理器不执行解密或加密;这些过程可以由第一处理器完成。在404处,如果需要附加的数据,则该过程返回到步骤402和403。在405处,方法400可以结束或等待附加的数据加密或解密请求。
当前的系统可用于在交通工具中提供安全处理。在示例中,数据在交通工具处被接收或在交通工具中产生,例如,由传感器感测或从由处理器的处理确定。可以为了安全性和效率分别对数据进行加密和压缩。加密数据存储在存储器中,该存储器可以与该处理器是单个硅衬底。加密数据由解密和解压缩处理器(例如加密/解密处理器235、335)访问。当主处理器请求数据时,这个访问可能发生。数据接收结束。执行所请求的数据的解密和解压缩。解密的数据可以存储在存储器中或以其他方式提供给主处理器。主处理器可以在加密数据由解密处理器(例如电路或IP核心)解密的同时执行其他任务。在示例中,数据接收、数据压缩/解压缩、数据加密/解密以及数据的传输可以通过连续的IP核心在硬件中以流水线顺序发生。
当前的系统可用于在交通工具中提供安全处理。在示例中,数据在交通工具中例如由主处理器识别以从交通工具发送或从单个衬底的安全的信任区发送。数据由加密处理器访问以加密数据,且如果需要,压缩数据。数据以其加密形式并且如果需要以压缩形式例如按主处理器的指示从交通工具发送。
当前的系统可用于在交通工具中提供安全处理。在示例中,指示数据在交通工具处或在单个衬底中被接收用于存储在存储器中。该指示可以是来自主处理器的请求或从远程服务器到交通工具的指示。在来自主处理器的请求的情况下,它发送命令请求。数据接收命令被存储并且在解密处理器处发起数据的解密,且如果需要的话发起解压缩。解密处理器对数据解密并将数据发送回到存储器或用于主处理器的缓冲器。在解密在解密处理器处发生的同时,主处理器处理分配给主处理器的其他任务,而不处理在数据上所需的密集解密。在其他任务完成之后,主处理器返回到解密的数据以读取和处理解密的数据。
当前的系统可用于在交通工具中提供安全处理。在示例中,数据被识别以发送到存储器或从衬底发送。这个识别可以由主处理器完成。加密处理器接收命令和数据并加密数据,且如果需要,压缩数据。用于传送数据的命令存储在存储器控制器中,该存储器控制器等待直到加密处理器传送加密的数据为止。此后,可以例如从交通工具或从支撑主处理器的单个硅衬底、加密处理器、存储器控制器和在这些设备之间的总线发送数据。
图5示出了用于在交通工具中提供安全处理的方法500。在501处,在交通工具处接收数据。可以为了安全性和效率分别对数据进行加密和压缩。在502处,数据被存储在存储器中,存储器可以与处理器是单个硅衬底。在503处,解密和解压缩处理器访问数据。当主处理器请求数据时,这个访问可能发生。在504处,数据接收结束,且步骤503可以完成解密和解压缩。在示例实施方式中,步骤502、503和504可以发生在数据文件的流水线处理部分(例如块)中,而其他部分正在前面的步骤中被处理。行动502和503可以顺序地或并行地(即同时和在流水线中)被执行。
图6示出了用于在交通工具中提供安全处理的方法600。在601处,数据例如由主处理器在交通工具中被识别,以从交通工具发送或从单个衬底的安全的信任区发送。在602处,数据被加密处理器访问以加密数据,且如果需要,压缩数据。在603处,数据以其加密形式并且如果需要以压缩形式从交通工具发送。
图7示出了根据示例实施方式的处理方法700。处理方法700示出了在左时间线上的对于主处理器201的时序和在右侧上的对于安全电路203的时序的示例时序图。时序从顶部延伸到底部。在701处,主处理器201发出数据请求命令。在安全电路203处接收数据请求命令。数据请求命令可以保持在与主处理器201和安全电路203相同的衬底中。在702处,安全电路203对数据进行解密。当安全电路203将所请求的数据解密时,主处理器201在703处执行第一任务。第一任务可能不需要加密的所请求的数据。在705处,主处理器201可以执行第二任务705,同时安全电路203正在将所请求的数据解密。当安全电路203完成所请求的数据的解密时,它向主处理器201发送数据可用信号。其后,主处理器201可以在707处使用解密数据执行处理任务。
图8示出了包括静态区801和动态区802的封装集成电路800的示意图。静态区801包括主处理器201,并且固定在其处理流程和电路中以执行分配给它的处理任务。动态区802包括可以在硬件中重新配置(例如在其中的总线上改变字宽度、通过改变硬件配置来改变执行的任务)的可编程逻辑。动态区802可以包括如本文所述的安全电路203、处理器235、IP核心335等。静态区801和动态区802可以在单个衬底206上形成或被封装在单个封装中。多个引脚805延伸到封装外部,以提供往来所封装的集成电路的电通信。
图9示出了根据示例实施方式的处理方法900。在901处,例如在主处理器201处接收输入。处理任务902由主处理器执行。主处理器需要一些加密信息,并请求信息由安全电路解密。在903处,主处理器201可以执行第二处理任务。在905处,安全电路203与在主处理器处的处理任务903并行地对所请求的数据进行解密。在907处,安全电路203可以与安全电路203的解密任务905和主处理器的第二处理任务903并行地执行另一处理任务。可选地,附加处理任务907可以是加密数据的解压缩或认证。附加处理任务907可以是其他数据的处理,例如解密、加密、认证、压缩、解压缩等。在910处,来自安全处理器的数据可用于主处理器,该主处理器顺序地处理任务910和911以提供输出912。因此,本方法900可以提供使用安全电路和主处理器的并行处理,其中主处理器顺序操作。
虽然在主处理器和安全电路之间的处理任务被显示为并行的,但有在安全电路内的并行处理也在本公开的范围内。安全电路可以具有多个处理核心,例如可重配置的IP核心。第一核心可与执行其它任务的第二、第三、…第N核心并行地执行第一任务。在示例中,第一核心可以将加密的文件(例如文件的第一块)解密。其他核心可以执行其他功能,例如,将另一个文件或文件的另一个块解密、验证另一个文件、解压缩或压缩文件等。其他核心也可能在重配置任务之下,该重配置任务可以由解密的文件和重配置控制器控制。在另一示例实施方式中,第一核心可以将二进制文件解密,例如一次一个块。随着块被第一核心解密,可以使用解密的块重新配置至少一个其它核心。
图10示出了外部链路1001、主处理器1002和两个IP核心1003、1004的时序图1000。外部链路1001可以是在共享衬底1005之外的通信信道或设备,主处理器1001和IP核心1003、1004在共享衬底上形成。外部链路1001可以是物理层、交通工具外服务器或在交通工具上的其他电子设备或单元。主处理器1002可以包括本文所述的主处理器功能或结构中的任一个。参考图8,主处理器1002可以是衬底206中的静态区801的一部分。IP核心1003、1004是安全电路203的一部分,并且包括可重配置的硬件。参考图8,IP核心1003、1004可以是衬底206中的可重配置区802的一部分。
主处理器1002在1010处执行任务0。任务0可以包括例如通过将软件装载到处理器中来在主处理器1002中顺序地执行的多个操作。在随后的时间,主处理器1002发出对在第一IP核心1003处接收的、必须由安全电路处理的数据的数据请求1011。在第一时间段期间配置或重新配置第一IP核心1003以执行任务1 1013。第一IP核心1003执行任务1和然后用信号通知1015数据可用于主处理器1002。主处理器1002可以在执行任务0时使用该数据。
在随后的时间,主处理器1002发出对在第一IP核心1003处接收的、必须由安全电路处理的数据的第二数据请求1017。第一IP核心1003在第二时间段期间被配置或重新配置以执行任务2 1019。第一IP核心1002执行任务2 1019和然后用信号通知1021数据可用于主处理器1002。主处理器1002可以在执行任务0时使用该数据。
当主处理器1002正在执行任务0 1010时,主处理器1002可以在1023处与外部链路1001进行通信,例如向外部链路1001发出数据输出或者发起对数据的请求。外部链路1001可以处理来自主处理器的通信,并在1025处提供回复通信。如所示,这些通信1023、1025独立地并与IP核心1003的操作及其任务1 1013或任务2 1019并行地发生。
在任务0 1010和任务2 1019期间,主处理器1002发出对数据的另一个请求1027。第一IP核心1003仍然执行任务2 1019,因此请求1027在第二IP核心1004处开始任务3 1029。第二IP核心1004在第一时间段期间被配置或重新配置以执行任务3 1027。第二IP核心1004执行任务3 1029和然后用信号通知1031数据可用于主处理器1002。主处理器1002可以在执行任务0的同时使用该数据。第二IP核心1004执行任务3 1029,而主处理器1002继续处理任务0 1010,且同时第一IP核心1003正在执行任务2 1019和任务4 1035。
根据时序图1000的其余部分将理解,主处理器1002可以在通过可重配置的IP核心1003、1004的通信和任务处理期间与外部链路1001进行通信。主处理器1002还可以请求或命令多个IP核心1003、1004并行地处理数据,例如解密、加密、认证、解压缩、压缩等。
当前的结构和方法提供具有硬件信任根的自适应安全架构,例如仅在安全硬件中的消息签名生成和专用密钥的处理、在安全硬件内仅被加密和仅被解密的证书的存储。硬件(例如处理器235、335)也可以提供基于硬件的防火墙服务。处理器235、335还可以提供基于PUF的密钥生成和存储。
当前的结构和方法提供具有硬件信任根的自适应安全架构,例如仅在安全硬件中的消息签名生成和专用密钥的处理、在安全硬件内仅被加密和仅被解密的证书的存储。硬件(例如处理器235、335)也可以提供基于硬件的防火墙服务。处理器235、335还可以提供基于PUF的密钥生成和存储。
处理器235、335可以提供入侵检测系统(IDS),以通过从试图破坏或危害交通工具系统的数据中识别可能指示网络或系统攻击的任何可疑模式来监控在总线210上或者进入和离开ECU 104或系统300的入站和出站通信活动。在示例中,一旦IDS检测到可能的入侵,处理器235、335就可以停止功能,并且在检测到入侵的情况下可以自我重新配置本身。处理器235、335还可以进一步提供安全认证和隐私,例如挑战-响应认证、数字签名或指纹,并授权包括空中更新的安全闪存写入。
在示例中,衬底201、203、304或在外部存储器360、361中所存储的所有数据被加密地存储。由于由所描述的结构例如使用硬件并行性输送的高吞吐量,处理器235、335可以实时地、根据需要、在要求时动态地将所需数据解密。
基于硬件的加密和解密电路235的使用被认为提供高水平的安全性,即高于基于软件的安全性。软件安全解决方案可能比目前描述的硬件安全解决方案更容易受到攻击。目前的基于硬件的系统和方法可以提供信任根(RoT),包括在总是被计算机的操作系统(例如控制器201)信任的可信计算模块中的一组功能。电路203可以用作单独的计算引擎,其作为在嵌有电路203的交通工具、计算机或移动设备上的可信计算平台密码处理器来操作。电路203可以提供实时的驱动加密、检测和报告对操作系统或程序的未经授权的更改、检测恶意软体,并防止程序不适当地从另一个程序的存储器读取或写入另一个程序的存储器,以及基于硬件的数字版权管理(DRM)支持等。
本公开描述了在V2X应用中实现加密功能的结构。现有电气系统的性能不允许如在本文所述的这样的功能。因此,这些解决方案提供在汽车领域中的前进。
可包括处理器的主控制器和可实现安全结构的可重配置区域的分离提供了提供与控制器和安全特征的正常操作并行处理的能力。根据给定的交通工具环境或通信条件,可重配置区域中的任何IP核心可以被重新配置为其他功能。这种重新配置可以根据由主控制器识别的给定的运行时间处理需要而发生。此外,可重配置区域可以使用它的多个可重配置核心来在可重配置区域内提供并行处理。例如,可重配置区域可以使用单独的设备来同时接收数据、将数据解密和更新(例如重新配置)IP核心。例如,二进制文件的第一块被接收并解密。该第一块可用于开始重新配置IP核心,同时其他IP核心正在接收和解密二进制文件的后续块。
本公开提供了使用两个处理器的并行处理,其中一个处理器操纵分配给电子单元的任务,而另一个处理器操纵处理密集的(功能或行动的时间和可能数量)加密/解密,并且在一些实施方式中的解压缩/压缩。为了增加安全性,两个处理器(连接总线和存储器)可以在单片集成电路衬底上形成。这使违法行为者更难以通过监控信号、热、电流水平、电磁辐射等来监控处理器的行动。第一处理器可以包括多个核心,其负责管理软件中的功能。另一个处理器可以包括多个现场可编程核心,其负责管理硬件中的功能。加密/解密处理器是可重配置的,使得如果用于加密/解密的当前硬件算法不再有效,则不需要更换加密/解密处理器。此外,该另一个处理器不仅仅加载软件指令,而是重新配置它的硬件以执行它的加密/解密算法。在示例中,为了更新加密/解密以提供改进的安全功能,例如,为了防止破解攻击的信任区的丧失,系统接收二进制文件。二进制文件包括在加密/解密处理器的电路中的核心和连接的规范的一些指令。
本公开涉及交通工具。在示例实施方式中,交通工具是具有内燃机的汽车、混合动力车、电动车或可选的燃料动力交通工具。交通工具还可以包括卡车、军车、飞机、船、舰、船舶等。
虽然本公开大体上针对交通工具应用,但是本公开还可以在依赖于下载的软件、数据或指令的其他领域(例如,智能电话或智能卡和信用卡)中使用,其中安全/隐私和数据压缩协议是必要的。
虽然上面描述了示例性实施方式,但是并非意图这些实施方式描述本发明的所有可能的形式。而是,在说明书中使用的词语是具有描述性而不具有限制性,以及应理解,在不偏离本发明的精神和范围的情况下可做出各种变化。此外,各种实现实施方式的特征可组合以形成本发明的另外的实施方式。