用于运行控制设备的方法
【技术领域】
[0001]本发明涉及用于运行控制设备的方法和这样的控制设备。所描述类型的控制设备尤其是在机动车中应用于内燃机。
【背景技术】
[0002]控制设备是电子模块,其例如被用在机动车中以便控制和调节流程。为此,将控制设备分配给机动车的组件,所述组件的运行利用所分配的控制设备监督(kontrollieren)。为此,控制设备读入由传感器检测的数据并且通过操控执行器来作用于所述运行。
[0003]所描述的方法结合电子安全模块来应用,该电子安全模块在安全性相关的领域中被使用在控制设备中、尤其是在汽车领域中。在安全性相关的领域中的大多数应用情况下,不可操纵或者不可查阅的数据存储是基本要求。在此情况下,使用密码密钥,所述密码密钥应用在对称或非对称的加密方法中。
[0004]所使用的密钥和加密方法是机密,其必须对攻击者保持是秘密的。在安全性相关的领域中的其他应用例如涉及防止未经允许的改变、例如存储改变的序列号或者公里读数、禁止未授权的调整措施(Tuning-Mafinahmen)等等。
[0005]因此需要在控制设备中提供安全的环境,在所述安全的环境中可以实施必须查阅和/或改变所述机密的功能。这些环境经常具有安全的计算单元或CPU (其也可以称为安全CPU (secure CPU))以及存储模块。这样的环境这里也被称为硬件安全模块(HSM:硬件安全模块(Hardware Security Module))。该模块是具有硬件和软件组件的有效率的模块,该有效率的模块改善嵌入式系统的可信度和保护。尤其是,HSM在此支持保护安全性关键的应用和数据。利用HSM同样可以降低安全成本,而同时可以提供防攻击者的有效保护。关于HSM的基本构造参考图3。
[0006]在机动车中已知的是,为了操控确定的组件、例如为了操控被设置用于驱动的内燃机使用多于一个的控制设备。因此,可以设置一个控制设备和一个另外的控制设备,它们一起操控内燃机。在此情况下要考虑的是,在两个控制设备之一故障或误操作时,也许不再能够确保内燃机的无误运行。
[0007]由出版物DE 10 2011 108 87 64 Al已知一种用于运行内燃机的控制设备的方法。在该方法中,该控制设备在第一运行方式中与至少一个另外的控制设备一起操控内燃机。在此规定,控制设备鉴于误操作监控至少一个另外的控制设备以及在存在误操作时从第一运行方式变换到第二运行方式,在所述第二运行方式中该控制设备可以与至少一个另外的控制设备无关地维持内燃机的运行。因此,即使在误操作的情况下也能够保证内燃机的可靠运行。
【发明内容】
[0008]以此为背景,介绍具有权利要求1的特征的方法、根据权利要求6的电子硬件模块(HSM)和根据权利要求9的控制设备。该方法和模块的扩展方案从从属权利要求和说明书中得到。
[0009]利用所介绍的方法可能的是,即使没有主计算单元也保证在所涉及的控制设备中的紧急运行操作(Notlaufbetrieb)。在此,此外还可以操控所涉及的控制设备的所有输入和输出。此外,在例如识别出操纵的情况下可以完全关断所有主计算单元。
[0010]所介绍的方法基于,HSM安全层(或HSM Security Layer)具有在不同紧急运行程序之间切换的可能性。在此,HSM将输入和输出端子或I/O引脚切换至外部通信接口或切换至内部紧急运行程序。
[0011]因此,利用了 HSM安全层具有在不同紧急运行程序之间切换的可能性。紧急运行(Notlauf)在外部和内部的不同可能性如下地被列出:
1.在外部紧急运行
a.HSM去激活主计算单元或主计算机,
b.HSM将输入/输出模块切换至外部通信接口
c.现在通过在其上紧急运行程序是激活的控制设备进行输入/输出模块的操作,
d.可以通过常规的或受保护的接口进行通信。
[0012]2.在内部紧急运行
a.HSM去激活主计算单元,
b.HSM将I/O模块切换至HSM中的内部紧急运行程序。
[0013]3.由在外部和在内部组成的紧急运行混合操作是可能的。
[0014]4.当在外部控制设备-HSM中存在足够的资源、例如关于RAM、闪存、运行时间的资源时,也可以在那里存放冗余的程序、也即与在主计算单元上相同的程序并且在在紧急情况下被实施。
[0015]本发明的另外的优点和扩展方案从说明书和附图中得到。
[0016]可以理解:前面所述的以及后面还要阐述的特征不仅可以以分别所说明的组合、而且可以以其他组合或者单独地被使用,而不离开本发明的范畴。
【附图说明】
[0017]图1示出信任金字塔。
[0018]图2以示意图示出HSM的功能。
[0019]图3以示意图示出HSM的实施的构造。
[0020]图4示出控制设备的实施。
[0021 ] 图5示出该控制设备的可能的实施。
【具体实施方式】
[0022]本发明借助实施方式在附图中被示意性示出并且下面参照附图被详细描述。
[0023]然而为了信任IT系统:它总是如所预期的那样行动,需要相继地信任所有层,这些层被相互连接,以便产生可信任的IT系统。
[0024]图1示出用于典型的IT系统的信任金字塔,其被称为Trust Pyramid (信任金字塔)。该信任金字塔总体上用参考数字10表示并且包括用于组织安全性的层12、用于系统安全性的层14、用于硬件安全性的层16、用于软件安全性的层18和用于信任或Trust (信任)的最上层20。
[0025]为了能够信任整个IT系统,需要每个层能够信任处于其下的层的有效的安全性,而不能直接对此进行验证。这例如意味着:完美的软件和硬件安全性解决方案可能由于处于其下的弱的安全系统设计而证实为是无用的。此外,可能存在:可能的弱点在系统设计(Systemgestaltung)中不被检测或者通过上面的硬件和软件层被防止。
[0026]与典型的背式系统(Back-Systemen)和IT系统相比,嵌入式系统的硬件层经常遭受物理攻击,这些物理攻击通过物理装置影响硬件或软件功能,例如操纵闪速存储器或者去激活报警功能。使这样的物理攻击变得困难的方案在于:尤其是使用防操纵的硬件安全模块(HSM),如其例如在图2中所示。这样的HSM例如通过强物理屏蔽保护重要的信息、例如个人识别码(PIN)、安全密钥和关键操作、例如PIN验证、数据加密。
[0027]在下面描述可以如何构造HSM以及对于功能可以由该HSM执行什么来改善嵌入式系统的安全性。
[0028]图2示出典型的硬件安全模块的核心功能。该图示示出软件层30和硬件层32,其被保护免遭未经许可的访问。
[0029]软件层30包括一系列应用程序34,这里示出其中三个。此外,设置运行系统36。硬件层32包括嵌入式标准硬件38和硬件安全模块(HSM)40。在该HSM 40中,设置用于接口和控制的第一块42、用于安全加密功能的第二块44、用于安全功能的第三块46和安全存储器48。
[0030]安全存