用于在数据处理装置中过滤通过通信连接到达的通信数据的方法、数据处理装置和机动车与流程

本发明涉及一种用于在数据处理装置中对通过通信连接从通信伙伴到达的通信数据进行过滤的方法，所述通信连接允许访问进行接收的数据处理装置的至少一个存储器件。本发明也涉及一种数据处理装置以及一种机动车。

背景技术：

目前，随着对数据处理系统的有效功率以及优化该数据处理系统的技术可能性的要求提高，作为总设备、例如机动车的一部分的现代数据处理系统的复杂性增大。在此，也用于商售的个人计算机的技术也越来越多地应用在其它总设备、例如机动车中。这类技术也包括尤其是基于数据包的点对点通信标准、尤其是pciexpress通信标准(pcie通信标准)，该通信标准通常用于，例如在个人计算机中使外围装置与芯片组相连接。pciexpress是最快的可用通信方法之一。pciexpress典型地应用于必须以极短的时间处理和/或传输很大的数据量的情况。为了建立例如在芯片组与多个外围装置之间的连接，已知的是，中间连接有例如可构造成多路复用器、开关等的桥接装置。这类桥接装置可为“透明的”或“非透明的”，因此可直接用作通信伙伴，或者可将可通过桥接装置到达的数据处理装置看作直接的通信伙伴。多种不同的建构是可行且已知的。

在通信标准、例如pciexpress中，通信伙伴通常获得对与其通信的数据处理装置的存储器件和计算单元的直接访问。当总设备或其数据处理系统具有应与对安全不太关键的区域通信的对安全关键的部分时，这也是适用的。例如，对于机动车来说已知的是，作为数据处理装置的与行驶和/或安全系统相关的控制器、尤其是还有在自动行驶方面的控制器被视为对安全较为关键的数据处理装置，因此，该控制器被归入安全区域，但尽管如此，该安全区域仍应与被分类成对安全不太关键的数据处理装置、尤其是其它控制器通信。

然而，设置允许对在对安全关键的数据处理装置中的存储器件和/或计算单元进行访问的双向连接，会允许作为通信伙伴的、被分类成对安全不太关键的数据处理装置在对安全关键的数据处理装置内进行操作，例如当对安全不太关键的通信伙伴被黑客攻击并替代了时和/或通信数据在通过通信连接传输时被篡改了时。

可最简单地提出的用于防止这类动机的方式是，设置仅仅从安全区域向对安全不太关键的通信伙伴的单向连接。虽然这种解决方案是可靠的，然而并不现实，这是因为不能合理地控制/管理没有返回通道的组件。因此，这种方案的可用性是较为受限的。

在另一方案中，可设想，设置从对安全不太关键的通信伙伴到对安全关键的数据处理装置的强烈受限的返回通道，对安全关键的数据处理装置限制在对安全关键的侧上的攻击可能性。例如，仅能获得没有任何有效数据(nutzdaten)的确认信号。然而，这类限制必须实现成分离的硬件，这是高成本的，并且返回通道的功能性强烈受限。

专利文献de102012017339a1涉及一种具有至少两个cpu的计算机系统，所述至少两个cpu分别具有pcie总线层次结构，借助于该pcie总线层次结构可在联接的通信装置之间传输分别具有源地址、目标地址和有效载荷的消息。pcie总线层次结构借助于桥接装置连接成，使得消息可在联接在不同的pcie总线层次结构上的通信装置之间交换，其中，计算机系统具有至少一个外围装置，该外围装置具有可被各个cpu共同使用的通信装置，其中，桥接装置具有翻译装置，翻译装置被构造用于翻译从一个pcie总线层次结构传递到另一pcie总线层次结构中的消息的目标地址。在该文献中还提出，在桥接装置与pcie层次结构之间布置守卫者装置以用于监控由桥接装置传输的消息。为了保护联接到桥接装置上的pcie总线层次结构，可评估目标地址和源地址，以便必要时拒绝消息。

在那里即在数据处理系统中的中心位置处设置有要整体配置的守卫者装置。该解决方案复杂且不灵活，尤其是当守卫者装置也暴露在对安全不太关键的数据处理装置的配置访问中时。

技术实现要素：

因此，本发明的目的是，给出用于更好地、更灵活地且更独立地保护在总设备、尤其是机动车的数据处理系统内的数据处理装置的可能性。

为了实现该目的，在开头所述类型的方法中，根据本发明规定，在数据处理装置的接受通信数据的接口单元中，借助于至少部分地实施成硬件的过滤器件，根据在数据处理装置侧预给定的、包含对在通信数据中包含的有效数据的至少一个属性/特性进行评价的至少一个许可条件的配置信息，仅将满足所述至少一个许可条件的通信数据从接口单元继续传输给数据处理装置的至少一个另外的部件。

因此，本发明的构思是，由进行接收的、尤其是被评价成对安全关键的或处于安全区域中的数据处理装置来实现过滤器件形式的基于硬件的防火墙，该过滤器件从接口单元、例如pcie控制芯片方面实现。在此，有效数据尤其可包括作用到至少一个存储器件上的控制命令，其中，过滤器件至少应用于控制信号。然而，在此描述的方法也可应用于通信数据中的其它有效数据，这是因为对于其它有效数据也适用的是，其可在数据处理装置的存储器和/或数据处理装置的计算单元中造成损害。根据配置信息，过滤器件可将实际传输给重要部件(尤其即存储器件和/或计算单元)的可供使用的有效数据、尤其是控制信号的数量减小到保证必要性和安全性的程度。以这种方式，使通过通信连接导致的攻击面减到最小，而不必放弃全功能的返回通道。

在此，有利地，通过数据处理装置自身进行过滤器件的配置，其中，可使用尤其是从计算单元出发的在数据处理装置内的单独的配置通道和/或接口单元的现有配置界面。但是这意味着，在数据处理系统中的每个数据处理装置自身具有对通过通信连接到达的且待过滤的消息的控制。与其中对守卫者装置的访问开放了在整个数据处理系统中的中央操作可能性的设计方案相反，本发明防止受到到达的攻击，并且给作为子系统的数据处理装置赋予最大的自主性。

换句话说这意味着，与数据处理系统的各部分是否折衷/妥协无关地，数据处理装置可利用其自己的、过滤器件形式的防火墙。不存在能改变防火墙配置信息的主装置，因为仅仅数据处理装置自身能改变配置。此外适用的是，每个数据处理装置都可对到达的攻击做出反应，并且通过相应地重配置过滤器件可减少或者甚至完全关闭通信连接。

根据本发明设置的过滤器件的另一重大优点是，同样也可通过过滤器件判断通信数据的内容、即有效数据(payload)。在现有技术中已知的方案可被称为“无状态包检测”，而本发明可被称为“状态封包检测”。因此，不是或者不仅仅是判断通信数据具有怎样的来源、怎样的目的地和怎样的通信路线，而且也判断内容。此外，在此不是一定必须直接访问有效数据，而是也可设想，在基于数据包的通信中，在数据包报头中可包含通信数据的相应属性，所述属性可被许可标准访问。过滤器件至少部分地设计在硬件中、尤其即集成到形成接口单元的芯片中，这进一步限制了操作可能性。

总地来说，在数据处理装置自身内、但在计算单元和存储器件外对通信联络的过滤，允许严格分离成分散的数据处理装置系统。此外，在接口单元中、尤其即在外部芯片中的过滤器件允许在使用通信连接的通信标准的对安全关键的数据处理装置中使用更简单的剩余部件、尤其是计算单元，例如cpu。因此，将过滤器件作为外部资源引入接口单元中，降低了数据处理装置自身的复杂性。在此描述的、根据本发明的机制也可在多路复用的/多路信号分离的通信连接中使用。尤其是，所使用的桥接装置不必任何具有关于过滤过程的信息。

适宜地，使用按照pciexpress(pcie)通信标准的通信连接。pcie通信连接原则上是以数据包为基础的点对点连接，如开头描述的那样，该点对点连接也可通过桥接装置用于多个通信伙伴。

在本发明的一种尤其优选的设计方案中，可规定，过滤器件应用在通信层中，尤其是在pciexpress的情况中应用在事务层中，该通信层作用到根据在通信连接中使用的、用于物理传输的通信标准而格式化的通信数据上。因此，以这种方式，在事务层(transactionlayer)内可实现硬件辅助的过滤。这意味着，可有目的地尽可能靠近通信数据的物理接收部地布置过滤，以便将其对数据处理装置、尤其是存储器件和/或计算单元的影响减到最小。在事务层中，数据还具有通过通信标准、在此尤其是pciexpress定义的传输格式。如果应通过至少一个许可条件直接访问内容、尤其即有效数据并且为有效数据加密，则可直接在合适的解密器件之后设置这类过滤器件。

如已经说过的，本发明的适宜的设计方案规定，所使用的过滤器件实现成微芯片的一部分，该微芯片形成接口单元。因此，过滤器件具体地可在硬件技术上通过相应的接口单元微芯片的修改来实现，因此从硬件方面固定地集成到处理流程中。尤其是，此时微芯片可为pcie芯片。

优选地，过滤器件仅仅可通过数据处理装置自身进行配置，如所示出的那样，其中具体地可规定，过滤器件——尤其是仅仅——通过计算单元配置。因此，计算单元、例如cpu在此优选地具有唯一的对过滤器件的配置接口，这保证了数据处理装置自身尽可能高的自主性和灵活性，据此，通过收紧许可条件或者完全去激活通信连接，计算单元也可对攻击做出反应。

在具体的设计方案中可规定，对至少一个有效数据进行评价的许可条件中的至少一个许可条件检查有效数据单元、尤其是控制命令的最小长度和/或最大长度，和/或通过有效数据描述的控制命令的功能类型的限制，和/或至少一个存储器件的可访问的存储区域的限制。因此，首先例如通过例如应写入存储器件的存储区域中的有效数据单元的长度来定义通信数据中的允许的有效数据的限制。例如可假设，有效数据单元、例如控制命令越小，有害的有效数据单元能在数据处理装置中造成的损害越小。在通信标准中和/或通过过滤器件的相应设计，也可在通过有效数据描述的控制命令中区分不同功能类型，例如以不同的方式方法对其分类，从而本发明的尤其优选的设计方案规定，许可条件排除确定的功能类型/功能类别。这又在数据处理装置中排除尤其是对存储器件的访问的确定类型，例如写入访问、篡改访问等。最后，在第三具体的可行设计方案中可规定，限制允许通信数据的有效数据使用的、例如有效数据可储存的存储区域。通常，通过其相应的结构，有效数据/控制命令的目的在于，使用数据处理装置的存储器件的确定的存储区域，这些存储区域可能对于数据处理装置的对安全关键的功能性特别重要，因此，例如可通过许可条件排除这类对安全特别关键的区域。当对于所有这些标准使用许可条件时，得到尤其优选的实施方式，这是因为例如也可避免诸如在尺寸受限等时将总控制命令分段这样的迂回方案。

除了与内容相关的许可条件外，在本发明的范围中有利地还可使用另外的许可条件，通过这些另外的许可条件来评估对通信连接和/或通信伙伴进行描述的通信属性。例如，在通信标准pciexpress中已知的是，如果使用多个通信连接，与识别具体使用的与通信伙伴的通信连接一样地识别通信信息内的相应的通信伙伴。因此，就此而言，过滤器件也可如原则上已知的那样规定限制。

在一种适宜的改进方案中可规定，配置信息描述具有相关联的/对应的许可条件和/或许可条件参数的安全等级。因此，可为不同安全等级使用具体预给定的配置信息，从而尤其简单地通过数据处理装置内的过滤器件的配置访问来匹配相应的安全等级。例如，可设置16个安全等级，因此其可例如通过2个字节来描述，这可逐步地放松对于通信数据的限制。

根据本发明的方法可尤其有利地在机动车的数据处理系统中使用，从而一种适宜的改进方案规定，数据处理装置形成机动车的一部分，尤其是控制器，并且与至少一个通信伙伴通信，所述通信伙伴为机动车的数据处理系统的一部分。如开头已经解释的那样，现代的机动车是复杂的数据处理系统的一个具体示例，在其中，可定义不同的安全级或安全区域，例如，这涉及对安全较为关键的控制器(车辆引导控制部、尤其是全自动的车辆引导控制部、安全系统等)和对安全不太关键的控制器(信息娱乐系统等)。在此，根据本发明的方法提供如下机制，即，该机制允许具有返回通道的、例如通过pciexpress实现的高速通信，并且尽管如此但仍尽可能地防止了从对安全不太关键的控制器出发进行操作的可能性。

除了该方法，本发明还涉及一种数据处理装置、尤其是用于机动车的控制器，数据处理装置具有设有过滤器件的接口单元、至少一个存储器件和计算单元，并且构造成用于进行根据本发明的方法。最后，本发明也涉及一种具有这种数据处理装置的机动车。所有关于根据本发明的方法的实施方案可类似地转用于根据本发明的数据处理装置和根据本发明的机动车，从而利用根据本发明的数据处理装置和根据本发明的机动车也能获得已经说过的优点。

附图说明

从以下描述的实施例中以及根据附图得到本发明的其它优点和细节。

其中：

图1示出了根据本发明的数据处理装置，

图2示出了根据本发明的方法的实施例的流程图，

图3示出了可能的安全等级的定义，以及

图4示出了根据本发明的机动车的原理图。

具体实施方式

图1示出了根据本发明的数据处理装置1的原理图，在本文中，如原则上已知的那样，数据处理装置具有至少一个计算单元2和至少一个存储器件3，其中，显然，至少一个存储器件3中的至少一个也可实现在例如也构造成cpu的计算单元2之内。数据处理装置1在本文中可为机动车的控制器。

为了能与机动车的别的数据处理装置、例如另外的控制器和/或其它数据处理装置例如显示装置通信，从数据处理装置1出发构造通信连接。与在此仅仅大略勾画出的通信伙伴5的至少一个通信连接4利用pciexpress通信标准(pcie通信标准)以进行高速数据传输。相应地，数据处理装置1的接口单元6构造成pcie微芯片。在本文中，在该接口单元6中以硬件技术集成有过滤器件7，这意味着，过滤器件固定地设置在相应的微芯片中，该过滤器件基于配置信息针对不同的许可条件检查到达的通信数据，其中，仅仅在满足所有许可条件时，才将包含在通信数据中的有效数据实际传递给数据处理装置1的其它部件，在此即为计算单元2和存储器件3。在此，许可条件中的至少一个评价包含在通信数据中的有效数据的属性，其中，另外的允许条件也可涉及通信伙伴5和/或通信连接4自身。此外，通信伙伴5不仅可为所谓的端点，而且可为中间连接的切换装置，例如桥接装置、开关和/或多路复用器/多路信号分离器。

在此，过滤器件7仅可从数据处理装置1内进行配置，在本文中仅可通过计算单元2配置。为此，可设置相应的、分离的配置通道，然而也可使用接口单元6的本来就要用于配置目的的通信接口。在图1中通过箭头8表示配置访问。

图2作为流程图较更准确地解释了如可在数据处理装置1中实施的那样的、根据本发明的方法的一个实施例。在此，在步骤s1中接收通信数据(在本文中作为数据包)，通信数据包括有效数据(payload)以及数据包报头。在经过物理层(physicallayer)和数据连接层(datalinklayer)之后，通信数据到达事务层(transactionlayer)中，在该处，数据包(处理层包-tlp)到达过滤器件7。在步骤s2中进行相应的过滤，也就是说对每个到达的数据包检查所有许可条件。如果此时确定，许可条件中的至少一个不被满足，则在步骤s3中拒绝数据包，并且对于下一数据包再次返回步骤s1。然而，如果满足所有许可条件，则在步骤s4中如通常那样在接口单元6中继续处理通信数据，并将通信数据传输给数据处理装置1的其它部件2、3。

在可选的步骤s5中，可在计算单元2内持续监控，是否可能存在或探测到攻击。如果是这类情况，则在步骤s6中可进行过滤器件7的重配置(箭头8)，例如收紧许可条件或者完全去激活通信连接4。

在本实施例中，为此定义具有相关联的/对应的配置信息的确定的安全等级，所述配置信息描述许可条件。这通过图3的表格9详细示出。在此，每行相应于一个安全等级l1、l2、…。在此，p1-p10是许可条件的参数。在此，p1和p2描述允许的通信连接的序列号，p3和p4描述允许的通信伙伴的序列号。p5-p10涉及与内容相关的许可条件。p5和p6描述了允许的功能类型(功能类别)的范围，p7和p8描述了至少一个存储器件3的可写入数据的允许的存储区域，并且p9和p10描述了有效数据单元的最小长度和最大长度。在此，有效数据单元可相应于控制命令，然而其它有效数据也可通过过滤器件7处理。

如可看出的那样，例如安全等级l1是在通信中没有任何限制，而安全等级l16仅仅允许在用于第16号通信伙伴以及第一功能类别的第一通信连接上的信号。同样也可清楚地定义和限制目标存储区域和数据量。

如所描述的那样，也可由计算单元2这方动态地选择合适的安全等级l1、l2、…。

最后，图4示出了根据本发明的机动车10的原理图。机动车具有数据处理系统11，数据处理系统具有多个根据本发明的数据处理装置1a、1b和1c，其中，出于简单图示的原因仅示例性地示出了仅仅3个数据处理装置。在数据处理装置1a、1b和1c之间，分别存在按照通信标准pciexpress工作的通信连接4ab、4ac、4bc。在数据处理装置1a、1b和1c内，分别存在有根据本发明工作的过滤器件7，从而每个数据处理装置1a、1b和1c自主地且以更高的安全性、尤其即与数据处理系统11的其它部件的损坏无关地为其自身的安全性负责。