专利名称:安全单元的制作方法
技术领域:
本发明涉及一种例如用于汽车、飞机、轮船、自动加工线(Fertigungsstrasse) 或者鄉管理设备的妙单元。
背景狀
这种设备(例如汽车)通常具有许多电U者电子部件,这些电^电子 部件或者它们的控制单; Utitit信网^tohi^接,并iUfcil方面来说能够形成 通信连接。通信网络在本发明的范围内尤其是指总线系统,例如在汽车、飞机、 絲中的总线系统,或者用于自动加工线中设备或者絲用于i^呈管理设备中 的总线系多M者网络。这种设备(例如汽车)当今具有许多控制单元,这些控 制单元可被构造为可编程的控制设备,并且以^M^高的程度与其环^^网。 基于这种理由,需要努力保iiit种控制设备的数据的完塾t沐真实性。其中, _&^上已知,为保" :据的完墊,真实性,^fM加密方法。在汽车中已知, 使用加密保护的协iM^在车间和现场^地向汽车传输数悟。在这方面/》*的 方法U于软件的,并且在不具有务賭区域的或者仅具有未充分加密保护的存 储区域的处理器iJ^行。jtb^卜,这种处理器不具有为复杂的加密协^^i十, 作所必需的计算能力。
发明内容
因此,本发明的任务在于,提#-"种例如用于汽车或者类似设备的前面所 迷类型的安全单元,它在可靠的和决速的功能下保证高度的"^4^生。
为解决该任务,本发明建议一种安全单元(安全通信单元Secure Communication Unit),例如用于汽车、飞机、絲等,其中,安全单;M"有至 少一个密,块(密码单元),通过该密码模块,产生、务賭、管理和/或处理 密钥,并且其中,^^单元具有至少一个协调微,用于协调该^^单元内的 单个模块。被^^^^单元中的密码^产生密钥,例如对称的或者非对称 的密钥。以这种方式,通过接口从另"H^^斤接收的数据可以^^口密和/或签名。
j^卜,借助于密>5%)^,通过接口从另一^^斤接收的数据可以*^密和/或签 名可以被检验或者分析。其中,^^单元具有至少一个协调歉,用于^^单
元内单个才狭的协调和通倌。协调才狭管理硬件资源,为应用分酉近些资源,
并且确保^^单元的^^之间的通信或者控制这些模夬。以il种形式,协调模
块确保^^^单元内的Vh模块能够不相互影响地逸行,并且确^4;IA安全的
情况(Komprom加erungsfall)下将;i^安全的才勤^相对于其^^接的模块隔 离。其中,通过密码^进行验i正。协调^:确^^发明的安全单元的故障安
全性。按照to的实施形式,"^r单元酉e^有至少一个编禾封缺,通过该编程 , ^^^单itil者"^^单元的一个或多个,例如可以通it^h^系统编程。
密^^^特别m^^皮构造作为硬件激。jH^卜有利的是,协^^:和/或编程
微狄构造作为硬件激。
本发明的安全单元例如可以被确定用于例如汽车、飞机、絲等的通信连 接,或^i皮絲到这样的通信连接中。这样的通信连接可以由M电U者电
子部件的多个控制单; ti且成,它们通过通信网络、例如总^Dtbi^接。其中, 存在这样的可能性,即本发明的^^单;^tit过该通信网络与其余的控制单元 连接。为此,^^单元可以具有内部通信才狭,用于"^^单元与该通信连接的 一个或多个控制单元(电子控制单元Electronic Control Unit)的通信。该内 部通信才狭可以(可総)通舰禾J^^被下载(nachladen )。
本发明源于下面的i人识,即当在具有许多带有相应控制单元的电气或电子 设备的通信连接中M尤^"有以硬件实现、例如故实现为ASIC或FPGA的 密石射狭的"^r单元时,该通信埠接内的妙對皮极;Uiy^高。密解元以可 靠的方^生和,密钥内容(Schluesselmaterial)。 j)^卜,通过密>%^可靠
而'^ ^^数据的密>6^^以;^#。协调m负责所述功能的故障^的
和有效的管理,以及^mtA"^的情况下隔离连接到通信模块的模块,其 中通过闭锁(Sperrung)对通信,的访问来实5W;^l^^的嫩的隔离。 编禾l^fe确l科狭的可靠的可下歉性(Nachladbarkeit),以便使^^单itit配 不同4^]环嫂和例如汽车制造商的要求。
所述的将^^单^i^接到通信连接中的可能方式是本发明的一种可能的实 施形式。然而,才娥本发明的安全单元也可以单独M者独立于这样的通信连 接地、从而以"独立方式"运行。因此,/ ^L发明的范围内,^^^单元不(直接) 通过例如内部通信^与通信连接通信,而是例如与本身不是^^单元的对象 的处理器通信。这样的通信可以通it^要在下面说明的处理器通信模块实现, 该处理器通信;^:同样可以被絲到^^单元中。
因此,在M的实施形式中,安^^单元至少包括以硬件实现的密码单元、 以硬件实现的协调*、以硬件实现的编禾封狭以及内部通信^,其中内部 通信才缺可舰可以在授权(Autorisierung)后通过密码单元编程。
按照本发明的另一个建议,安^^单元具有至少一个外部通信模块,用于安 全单元与一个或多个外部设备的通信。夕Mp设^旨不被絲到通信连接中的设
备。因此,^^单元为与通信连#^卜的系统的通信提供(附加的)夕h^通信 微,该夕h^通信微可以錄^通过密^6^^编程。
在另一可选的扩展中,安全单it^有至少一个处理器通信模块,用于# 单元与至少一个夕(^P处理器的通信。因此,通过该内部的处理器通信^,可 以实IW^^单; L^接到另一个处理器,其中该内部的处理器通信微可以在 授M通过密码单元编程。jH^卜,安全单it^供这种的可能性,即在授权后通 过密,块,将另外的,加栽到安全单;tJi并iLitM^调模块。
内部通信才狭可以被构勤硬件^或者也可以被构造为软件^。 jH^卜, 存^^ii种可能,即外部通信^^被构造为硬件^:或者软件模块。最后,处理 器通信微可以被构it^硬件微或者软件激。
内部通信微、夕h^通信微、编禾l^和/或处理器通信^^通过协调模 块与密石^it^接,或者通过协调^^访问密*元。
因此,4^发明的范围内,在例如汽车制造商的单独控制下,能够在汽车 中产生可靠的密码的信任管理(Vertrauensanker),该密码方法及其应用给予 完全的有效性,并且能够足够快地实现密多嫌怍,以便基于密码功負诚保^ 性。其中,尤其錄汽车中时间重要的状态下保证妙l"生。其中,可以涉朋 于成本高舰生产汽车的'絲的传送带处理(Bandprozesse )、为使维护^^最 小化的',艮M理、汽车对汽车的通信、以&气车中的^L访问。另夕卜,本 发明源于下面的认识,即例如在汽车、飞积^4fe^的领域,需J^考虑关于^J I 絲的特别要求。
下面基于仅^4示一个实施例的附图详细说明本发明。附图中 图1表示带有#^本发明的安全单元的通信连接的简化恒图, 图2用示意图表示按照图1的结构的一个细节。
m实施方式
附图中示出了用于具有多个电气或电子部件的设备的通信连接kv。该设
^H^如可以是汽车。各个电气或电子部件分别具有控制单元ECU。这些单个
ECU ;feltitiiit信网络BUS (总线)连接,该通信网络林实施例中被构造为
总线系统。这样的汽车总线例如可以涉及CAN总线。在所示实施例中,
在该通信连接KV内m"5^单元SCU,它##的控制单元一样连接到总
线系肚。錄图1中被示意地示出。然而,"^^单元SCU也可以单独赋者
在没有所示通信连接的情况下运行,即以"独立方式"运行。
才娥本发明的该^^单元SCU的结构和功能方式特别在图2中给出。
这个连接到汽车总线的安全单元SCU具有密^S^^:KU、协^j^:km、
编禾l^:PM以及内部通信^IKOM。在每种情况下,加密,KU、协调
才狭KM和编禾I^:PM以硬件实现。内部通信^IKOM可^f皮提供, 它例如可以通it^禾J^ pm被下载。
jtb^卜,林实施例中,在^^单元SCU中絲夕i^P通信微EKOM以及 处理器通信微IPCM。
该^^^单元SCU的功能性内核是被构it^硬件^:的密码单;^l密, 块KU,通过其产生、 、管^n或处理密钥。密;^元KU为密钥内容的 产生和管理提>(^^的环境。jH^卜,提m全的务賭区域。该^的^区域 被保护以防止^m^5U^读写任意数据,尤其是密钥。jtb^卜,该务賭区域i可关于 对4^在那里的数据的访问和管理而净颠己置。于是,可以调整这些数据是否可
再次输出还是似该在"^^单元的内部被4^1 o
其中,密石^元KU能够借助^^单元的内部指令产生长度可配置的随机
数和/或"ML可配置的对称密钥和/或^l可配置的非对称密钥。其中,密码專元 KU具有通用(generische)接口。 W卜,实现可配置的算法,即密> ^^缺101 可以通过lt字输入(Bedatung)关于算法而净颠己置,其中通用接口对夕H^持不 变。以这种方式,任意数据可以被加密或:^W"称她或非对称地电子签名或者
还计^t据的指紋。》b^卜,密*;^ 有接口,通过该接口,密码单元可以连 接到PKI(公钥J^设沲X因此,可以如所述的那样可靠地产生和,非对称 密钥对,并JL^T出对该PKI的证书^i句(ZerfizierungsanfrageX扭匕,密码 嫩KU能够输出证书^Mj和输入证书(Zertiflkate)。 jtb^卜,密^^:KU能
助于密^^:KU,检验电子签名(对称的和非对称的),包括可能的相应的证 书链(Zertifikatskette)。 ;H^卜,密一元KU可以提供被保护的时间。因为密
#元ku #:实现为硬件模块,所以确保了它不可在^Mt权的情况下w卜部编
程。可g,它也育&^#| 硬件攻击。
除了密^^^KU"^卜,图2中同样示出的协调^:KM构成与^^相关 的内核,并且保ii^^^:可靠^^^^单元内部运行,而不出3^目互影响, 在;iA^r的情况下,协调才^:将;IA"^的^^相对于连接的其^块隔离。 以这种方式,协调才^^其作为中央SCU通信接口的功能中能够禁止来自/朝 向危^^^的才^:的通信。协调才^KM管理^^^单元SCU的硬件资源,并 且将这些资源分綠M執或者应用。如果需要,协调微KM保证妙单元 的^N^^:之间的i^f言。
jtUf, ^i L^发明的范围内,还有(可选的)内部通信才狭IKOM是有意义 的。^4兌明书中,内部是指通信连接KV内的通信,即-HHt信连接的"^ 单元SCU与^^控制单元ECU的通信。it些控制单元ECU可以是例:M目应 汽车部件的^^部分,或:#^自5^1些汽车部件。内部通信^IKOMM 实现"^^单元SCU与通信连接的^Mt制单元ECU的双向通信。如果控制单 元ECU自身具有相应的安全单元并且因此^1信连接中絲了多个《$^单元, 则在这些^^单;^间能够通过协i:5Ui^LlBiE^4皮^M^保护的数据交换。可 数据交换也是可信的。其中图2示出,为密码方法的应用,内部通信模 块IKOM通过协调才狭KM访问密码单元KU。可选地,存^J^t样的可能性, 即内部通信微IKOM可配置地"窃听"^it信连接内传输的特定数据,其中于 是可以败,这些数据被^^在密^^:KU的妙区域内。
虽然运行的内部通信^IKOM实规通信连接内的通信,然而附加4^供的 夕h^通信^ EKOM使得能够进^t信连接的"^r单元与夕h^系统、例如汽 车夕Mp或iM^接到BUS的系纟议间的数据通信。这样的夕h^系统ES例如可以
涉及测试设备或者还可以涉及临时连接的服务器。其中,连接的建立被^iE^ 实现,即^L夕h^通信模块EKOM已经借助于密^f狭KU IHE^卜部系统ES 的情况下,连接才粗。可a, ^^单元SCU还借助于夕h^通信皿EKOM 相对于夕(^P系统ES 自己。itb^卜,可^4在这种可能,即所传输的数据 也是被m^、并JL^需要H^妙口密,输。^B匕,数据的^ii也可以与连接 ^t立的^^合。jH^卜,存^it种可能,即夕NP通信,ekom具有一个或 者多个滤波器,该滤波器决定数据的转发。夕NP通信,EKOM ^i^接的
此外,本发明的安全单元的一个重要的部件是在图2中示出的编禾1^: PM。通过该模块,能够实iW"^^单元的存储区域的可配置访问,从而能够下 #^狭和数据。编程访问通it^卜部系统ES被IHB^实现。錄图2中通必卜 部系统ES和编禾i^: PM之间的连接表示,而编禾封狭PM然后在它那方面 与协^^: KM连接,并且因itbif过该协调^ KM与^^单元的^N^^连 接。其中,编^^^t加载的模块和数據的真实性和完整Iti悉行验证。
最后,在图2中示出了安全单元可以具有(可选的)处理器通信^IPC, 其使得能够实规/^^单元SCU与另 一个处理器的双向IPC通信。以这种方式, ^^4r单元SCU将密码单元KU的密码月lM过协iM^^^给另 一个处理器jiC 。 图2中所示的处理器在^实施例中涉及微控制器nC。
在(未示出的)紋的实施形式中,^^单元不(直接)与通信连接通信, 而是例Mit^t理器通信^IPCM与处理器通信,该处理器然后在可能情况 下可以转发信息/数据。^1#^种^^发明的范围内被称为"独立方式"的情况 下,在可能的情况下可以不需要内部通信^IKOM。
权利要求
1.一种例如用于汽车、飞机、轮船等的安全单元(SCU),其中,所述安全单元(SCU)具有至少一个密码模块(KU),通过所述密码模块,产生、存储、管理和/或处理密钥,和其中,所述安全单元(SCU)具有至少一个协调模块(KM),用于协调所述安全单元(SCU)内的各个模块。
2. 才M^M'决求i的^^单元,^##于,所述密^m (KU)产生密钥,例如对称的或者非对称的密钥,和/或对通过接口从另一^J^斤接收的数 据进争密或签名,和/或对通过接口从另H^斤接收的、加密的数据进娜密,和/或jmiEii分析签名。
3. 才娥权矛决求1或2的^r单元,^##于,在一个或多个才^IA安全的情况下,所述协调模块(KM)将所述一个或多个;IA安全的模块与其,失中的一个或多个隔离。
4. 才M^5U'J要求1到3之一的^^单元,^#*于,所述^^单元(SCU) 具有至少一个编禾I^:(PM ),其中通it^斤鄉禾I^,可例如由夕h"lp系统(ES) 对所述^^单;^4所述^^单元的一个或多个;fi^进^^程。
5. 才^#权利要求1到4之一的^^单元,^#4£^于,所述^^单元(SCU) 具有至少一个外部通信模块(EKOM),用于所述"^^单元与一个或多个未被 IM^到通信连接中的夕卜部设备(ES)的通信。
6. 才M^U'决求1到5之一的"^^单元,^#棘于,所迷^^单元(SCU) 具有至少一个处理器通信模块(IPCM),用于所述^^单元与至少一个夕h^处 理器(HC)的通信。
7. 才^^3U'J要求1到6之一的^^单元,尤其用于例如汽车、飞机、絲 等的通信连接,^ft絲于,所述^^单元(SCU腿収少一^ii信网^( BUS) 与通信连接(KV)的多个控制单元(ECU)连接或可与通信连接(KV)的多 个控制单元(ECU)连接。
8. 才^tW'要求7的^^单元,^#棘于,所述^^单元(SCU)具有 至少一个内部通4言^(EKOM ),用于所述^^单元(SCU)与通信连接(KV) 的一个或多个控制单元(ECU)的通信。
9. ##^'决求7或8的"$^单元,*#棘于,所iiit信网^^皮构it^ 总线系统(BUS)。
10. 才^^M'J要求1到9之一的^r单元,^ft4ML于,所述密>5^^( KU) 被构劲硬件舰。
11. 才M^5U'J要求1到10之一的^^单元,^ft站于,所述协调微 (KM)和/或所糨禾J^: (PM)被构造为硬件微。
12. 才N^U'J要求1到11之一的>$^单元,^#41^于,所述内部通信模 块(IKOM )、所必MP通信微(EKOM)和/或所舰理器通信微(IPCM) 被构造为硬件微和/或软件微。
13. 才^^U'决求1到12之一的^^单元,^#4£^于,所述内部通信模 块(IKOM)、所ii^通信舰(EKOM)、所鶴禾J^: (PM)和/或所述 处理器通信模块(IPCM)通过所述协调模块(KM)与所述密>6^块(KU) 通信,或^i方问所述密^^狭(KU)。
14. 一种用于具有多个电M电子部件的设备,例如汽车、飞机、i^等的 通信连接(KV ),具有通过至少一^t信网络(BUS )招Dtbii接的多个控制单 元(ECU),其中,在所iiit信网络(BUS)上连接至少一个才財居权利要求1 到13之一的^"单元(SCU )。
全文摘要
安全单元(SCU),例如用于汽车、飞机、轮船等,其例如能够通过至少一个通信网络(BUS)与多个控制单元(ECU)连接。安全单元(SCU)具有至少一个密码模块(KU),用它产生、存储、管理和/或处理密钥。此外安全单元(SCU)具有至少一个内部通信模块(IKOM),用于安全单元(SCU)与通信连接(KV)的一个或多个控制单元(ECU)的通信。此外,在SCU内提供编程模块,用于软件模块和数据的下载及其真实性和完整性检验。此外安全单元(SCU)的特征在于,它具有协调模块(KM),该模块管理SCU的硬件资源,给应用分配这些资源,和保证SCU的模块之间的通信。以这种形式,协调模块保征安全单元内各个模块彼此无影响地运行,和保证在危及安全的情况下把危及安全的模块相对于连接的其余模块隔离。
文档编号G06F21/72GK101350725SQ200810161109
公开日2009年1月21日 申请日期2008年2月13日 优先权日2007年2月13日
发明者哈里·克内希特尔, 贡纳尔·黑特施泰特, 马克·林德鲍尔, 马克·霍夫曼 申请人:Secunet安全网络股份公司