用于监视信息物理系统的设备和单芯片系统的制作方法

本发明涉及一种用于监视信息物理（cyber-physisch）系统的设备。本发明还涉及一种相应的单芯片系统以及一种相应的信息物理系统。

背景技术：

在计算机技术中，在确定的子方面模拟另一个系统的任何系统都被称为仿真器。被模拟的系统获得相同的数据，执行类似的程序，并在确定的问题方面获得与要仿真的系统尽可能相同的结果。

在本上下文中，技术术语“仿真器”总是在广义的词义上加以使用，其类似地包括能够在功能上、电气或机械上模拟电子组件的软件仿真器和硬件仿真器。借助于插座和匹配的插头建立与处理器模块的连接的硬件仿真器有时在技术上被称为在线仿真器（ice）。

de102013217793a1提供了一种用于对具有至少一个目标处理器的至少一个车辆系统进行动画制作和调试的方法，其中该方法基于用于向用户显示分析的可视化器和分析器元件以及用于从运行在所述目标处理器上的应用检测数据的目标数据检测元件，并且其中在不改变所述至少一个车辆系统的源代码的情况下执行所述数据检测，并且通过使用所述至少一个目标处理器的调试器接口来收集所述数据。在该文献中，所述目标数据检测元件可以特别是ice。

技术实现要素：

本发明提供了根据独立权利要求的用于监视信息物理系统的设备、相应的单芯片系统以及配备有这种设备的信息物理系统。

在此，根据本发明的方法基于以下知识：安全性至关重要的系统越来越多地由不同制造商所开发的组件和子系统组成。同时，由唯一的组件提供多个不连续的功能，并且组件和子系统的正确功能取决于由第三方供应商的组件提供的功能。因此，每个组件都越来越多地处理处于不同机密性或信任度级别的信息。组件既接受可信的（公共或机密的）输入又接受不可信的（公共或机密的）输入，并处理这些输入以提供输出。在进行处理时，要注意安全性至关重要的输出不受不可信的输入的影响。应当作为公共信息提供的输出也不应受到机密输入的影响。确保此行为的系统具有安全的信息流。

下面介绍的设备还考虑到以下事实，即，使用最现代的验证技术对组件或子系统的上述含义下的安全信息流进行评估本质上是困难的，并且对于重要的组件或子系统来说无法执行。因此，提出了一种布置，该布置使得能够在产品的验证阶段和使用期间在不期望信息流方面监视组件和子系统。通过在产品验证期间进行这种监视，可以识别在安全信息流方面的实现错误和设计错误——有时甚至没有附加的测试情况。由客户在产品使用期间（“现场”）进行的监视一方面使得可以识别由于系统的设计或实现而导致的不安全信息流，另一方面使得可以改善所述系统的未来版本。对组件的许多信息攻击也表现为不安全的信息流。在这种情况下，根据本发明的监视可以在攻击识别系统（intrusiondetectionsystem，入侵检测系统，ids）的范围中用于安全性至关重要的系统。如果利用根据本发明的下面也称为“信息流监视装置”的设备识别不安全的信息流，则可以在识别信息和操作安全概念中考虑对所述识别的反应，这又可以导致系统抵挡信息攻击。

根据用于嵌入式系统的现有技术的ids典型地观察所述系统的行为。基于所述行为的模型——这被看做是受监视系统的“正常”行为，将观察到的行为与预期行为进行比较，例如使用利用人工智能训练的分类器。在此，通常不知道会触发哪些误警报以及ids会识别到何种类型的攻击。此外，根据训练所述分类器的方式，很难找到针对诸如事故的罕见事件的代表性随机样本，以便在所述分类器中很好地表示这些状况。特别地，常规ids不使用输入已更改的受监视系统的副本来将观察到的行为与有意行为进行比较。该系统通常也不使用过滤器组件和比较组件。

在这种背景下，根据本发明的解决方案的优点在于，所述信息流监视装置的使用使得能够识别在嵌入式、安全性至关重要的系统中的意外信息流，识别对这种系统进行信息攻击的尝试以及根据规格监视第三方供应商的组件的行为，而无需直接更改受监视系统的行为。在web浏览器技术领域的学术研究中已经提出了类似的布置，以确保在执行从因特网下载的程序（例如javascript）或以功能性编程语言（如haskell）编写的程序时用户的隐私。这些方法的共同点是，通过用所述监视装置的输出来替换受监视系统的输出，确保安全的信息流。相反，在安全性至关重要的环境中，替换组件的输出并由此最终更改所述组件的待观察的行为有时是不可接受的。

通过在从属权利要求中讲述的措施可以对独立权利要求中说明的基本思想进行有利的扩展和改进。从而可以规定，所述设备经由接口从要监视的系统接收所述设备的输入值和输出值。通过这种方式，所述信息流监视装置与安全性至关重要的通信基础设施脱耦，并且不会成为附加的安全风险。

附图说明

在附图中示出了本发明的实施例，并且在下面的描述中对所述实施例进行详细解释。

图1示出了根据本发明的信息流监视装置的逻辑结构。

图2示出了根据第一选项的组合的信息流监视装置。

图3示出了根据第二选项的组合的信息流监视装置。

图4示出了具有不同过滤器的组合的信息流监视装置。

图5示出了具有不同比较器的组合的信息流监视装置。

图6示出了根据本发明的可配置的信息流监视装置。

具体实施方式

图1示出了监视系统的框图。示出的设备10由受监视组件11的仿真器31、过滤器21和比较器41组成。过滤器21接收与受监视组件11相同的输入值，并用恒定值替换所述输入值中的机密或不可信信息。过滤器21也可以仅替换所述输入值的一部分。但是，在此对位的替换不仅仅取决于该位自身的值；而是同样可以例如替换最后一位，如果第一位是1的话。

将通过这种方式过滤的输入值转发到仿真器31。通过从所述输入值中去除机密或不可信的信息，仿真器31的执行与机密和不可信的输入无关。

比较器41读取受监视组件11的输出值，并检查除可能的机密或不可信说明外仿真器31的输出是否与所述输出值一致。如果输出与输出值不相同，则所述输出值显然受到机密或不可信输入值的影响，并且组件11会产生不期望的信息流。在这种情况下，比较器41输出显示所述不期望的信息流的故障消息。

给定一组输入值和一组输出值以及过滤器函数和针对每个输入和输出说明该输入和输出或其一部分是高还是低的规格。（如果输入和输出或其一部分是公开的或可信的，则在这种含义下应将它们视为“低”；如果它们是机密的或不可信的，则在这种含义下应将它们视为“高”）。所述过滤器函数具有以下特性：

，如果l为低，

，如果h包含高说明，

，如果x，y仅在高说明方面不同，则。

然后，比较器41根据由仿真器31提供的输出和由组件11提供的输出在的情况下具有以下选择可能性：如果比较器41输出相应的消息，则可以在日志中检测不当行为，然后可以在检查间隔期间从信息物理系统20中读取该日志。如果比较器41输出警告，则信息物理系统20可以将所述警告转发给系统20的驾驶员或操作员，或者报告给系统供应商。如果比较器41强行锁定，则可以请求系统20的驾驶员或操作员以安全的方式停止系统20的运行并联络客户服务或采取适合于消除故障或故障防护的措施。以此方式受监视的组件11或其仿真器31本身可以包括其他组件或更复杂的系统。

如果应当监视系统20中的多个组件11、12或具有不同规格的组件11、12，则为每个组件11、12提供自己的设备（10）可能太费事。因此，多个仿真器可以从唯一的过滤器21、22接收它们的输入，该过滤器根据要仿真的组件11、12的规格为每个仿真器31、32提供不同的输入（图2）。

多个组件11、12可以通过唯一的软件或硬件来加以实现，并且可以从唯一的过滤器21、22接收它们的输入，该过滤器为组合的仿真器31、32提供输入（图3）。如果为了从组件11、12的仿真器31、32一方节省组件11、12的硬件组件而以软件实现仿真器31、32——这可以通过简单的方式实现，则仿真器31、32可以顺序地或并行地对两个组件11、12进行仿真。

类似地，可以通过唯一的软件或硬件来实现多个组件11、12，而过滤器21、22是分离的并且保留了它们各自的特殊性（图4）。

最后，多个组件11、12可以通过唯一的软件或硬件加以实现，并从唯一的过滤器21、22接收它们的输入，该过滤器为组合的仿真器31、32提供输入，而比较器41、42是分离的并且保留了它们各自的特殊性（图5）。

将设备10直接连接到与要监视的组件11、12相同的通信环境可能会导致附加的信息或操作安全性问题，特别是当所述通信环境被用于安全性至关重要的消息时。因此，设备10还可以使用与所述组件11、12不同的通信接口，并且所述组件的输入值和输出值经由网关组件转发到设备10。

可以将设备10和由其监视的组件11、12实现在唯一的硬件上，例如作为所谓的单芯片系统（systemonachip，片上系统，soc）。

所提出的设备10还可以记录其内部信息，例如来自过滤器21、22，仿真器31、32或比较器41、42的信息。这样的记录可以被实现为，使得在设备10内部或外部处理记录信息。另外，可以通过设备10的每个组件记录其自己的数据来分散所述记录，或者可以集中地进行所述记录。

如图6中所示，还可以配置设备10。相应的配置c可以包含用于过滤器21、22，仿真器31、32或比较器41、42的数据。在有效的实现中，过滤器21、22和比较器41、42可以使用相同的配置数据。

设备10可以以软件或硬件或者可以以软件和硬件的混合形式集成在例如信息物理系统20中。