用于监控运算单元的方法
【技术领域】
[0001]本发明涉及一种用于监控具有处理器单元和安全处理器单元的运算单元的方法。
【背景技术】
[0002]现代运算单元如例如机动车上的控制器包括至少一个处理器单元。在运算单元中永久程序通过处理器单元来执行。这样的处理器单元能够因此包括有针对性的处理器或者说处理器核心(Core)或者多核处理器。多核处理器因此包括多个(至少两个)处理器核心。处理器核心因此包括算数逻辑单元(ALU),所述算术逻辑单元是用于执行任务、程序、运算指令等的实际的电子运算器,以及此外本地存储器。这样的本地存储器尤其作为寄存器备件由一个或者多个寄存器而构成。
[0003]现代处理器单元能够以所谓的管理程序模式来运行。因此在处理器单元中布置所谓的虚拟系统或者说虚拟机。在这种单个虚拟系统或者说虚拟机中能够作为程序来分别执行相互分离的操作系统或者应用。以这种方式能够在真实的、物理的处理器单元中模拟例如大量的虚拟处理器单元。因此能够在处理器单元没有扩充附加物理的、真实的资源的情况下,以价格上有利的方式来提升运算性能或者说处理器单元的效率。替代地,处理器单元现有的物理资源能够分配在虚拟机或者说虚拟系统上并且由这些虚拟机或者说虚拟系统来共同使用。
[0004]能够证实为有利的是:这样具有管理程序模式的处理器单元集成到运算单元中、例如到机动车用的控制器、如发动机控制器中。因此当然必须保证遵循用于机动车领域有针对性的安全要求和安全规范并且避免控制器的破坏和操纵。尤其应保证“技术保护”和禁止“芯片调整”。
[0005]在由处理器单元执行的程序中,尤其处理确定的数据、例如特殊的操控指令、技术数据、控制值或特征值。这种指令或者说值通常由制造厂在长年的发展过程中以高额研宄开支通过长期连续的并且昂贵的系列测试来获取并优化。因此制造厂意图使这些数据不能够被第三方、入侵者来读取,以保证“技术保护”。
[0006]在“芯片调整”中入侵者试图操纵由处理器单元执行的程序并因此改变控制器的控制参数,以造成性能提升。因为这能够使整个机动车布局(驱动装置、制动装置)损害,所以能够导致构件伤害和环境污染,甚至导致人身伤害。
[0007]因此值得期望的是,提供一种可行方案,使得运算单元的、尤其用于机动车的控制器的处理器单元被保护不受破坏并且避免操纵由处理器单元执行的程序。
【发明内容】
[0008]本发明涉及一种用于监控具有权利要求1的特征的运算单元的方法。有利的设计方案是从属权利要求以及下面的说明的主题。
[0009]因此运算单元包括单片集成的处理器装置,该处理器装置具有处理器单元和安全处理器单元。处理器单元和安全处理器单元构造为两个单独的、互相独立的处理器单元,然而单片集成到其同样的芯片或者说(硅)基上。因此尤其保护处理器单元和安全处理器单元之间的通讯不受外部的存取(ZugrifT)的影响。不仅是处理器单元,而且安全处理器单元也尤其分别包括一个或者多个处理器核心。
[0010]此外处理器单元和安全处理器单元尤其分别包括本地存储器、例如闪存、ROM存储器和/或RAM存储器,另外尤其分别包括防止电压变化、脉冲变化和温度变化的保护机构。
[0011]处理器单元在运算单元的常规运行中执行不同的程序。安全处理器单元监控由处理器单元执行的这些程序并且因此监控运算单元。
[0012]监控运算单元或者说监控由处理器单元执行的程序因此不借助软件或者说应用来实施,所述软件和应用由处理器单元自身来执行。按照本发明监控是由单独的硬件组件来实施的,所述硬件组件是与被监控的处理器单元独立的。安全处理器单元因此构造为硬件安全模式(所谓 Hardware Security Module,HSM)。
[0013]安全处理器单元包括单独的物理资源(处理器核心、本地存储器等等)并且尤其包括独立于处理器单元的单独的保护机构,因此使安全处理器单元自身保护不受操纵和破坏。
[0014]因此特意防范的安全处理器单元监控不同的由处理器单元执行的程序是否按照确定的程序标准来执行。这些程序标准尤其描述了运算单元的常规的、无故障的运行。如果由处理器单元执行的程序中任一个程序不按照这些程序标准来执行,于是这就意味着运算单元被破坏或者说操纵了。于是这就尤其意味着入侵者操纵了这个程序并且例如改变了运算单元的控制参数。安全处理器单元因此及早地得知破坏或者说操纵运算单元并且采取相应的安全措施,以保护运算单元。
[0015]按照本发明的优选的实施方式,处理器单元以管理程序模式来运行。此外优选地在这种管理程序模式中不同的虚拟系统或者说虚拟机作为程序设置在处理器单元中。虚拟系统或者说虚拟机因此尤其由所谓的管理程序来设置。这种管理程序尤其同样是由处理器单元来执行的程序。管理程序尤其也能够是硬件扩展,所述硬件扩展以特权的运行模式来运行并且在虚拟系统或者说虚拟机之间实施转换。在所述不同的虚拟系统或者说虚拟机中,由处理器单元分别执行其他不同的程序。一方面因此在不同的虚拟系统或者说虚拟机中能够作为程序来分别执行不同的操作系统和/或不同的应用。这样的应用例如是可执行的软件、例如控制软件。
[0016]如开始时提到的,以管理程序模式运行的处理器单元具有显著的优点。处理器单元现有的物理资源能够分配给虚拟机或者说虚拟系统并且由这些共同来使用。不同的程序能够通过管理程序模式来分隔到单个的处理器单元中并且互相独立地来执行。
[0017]然而在管理程序模式中运行的处理器单元也提供入侵点并且因此易于入侵和操纵。例如存在如下危险:使处理器单元的本地存储器通过程序排错入口或者外部启动模式来调整。因此能够绕过传统的监控方法和保护方法,尤其当监控方法和保护方法作为软件(所述软件由处理器单元自身来执行)来构造时。
[0018]通过本发明或者说其设计方案,能够对在管理程序模式中运行的处理器单元尤其有效率地保护不受入侵和操纵。安全处理器单元和处理器单元具有单独的、互相独立的物理资源,因此使安全处理器单元自身保护不受操纵和入侵。安全处理器单元因此尤其提供与管理程序模式中的处理器单元所执行的不同的程序用于监控,尤其当安全处理器单元和处理器单元单片集成地来构造时。安全处理器单元因此尤其构造为管理程序模式中的处理器单元的硬件安全模式(HSM)。
[0019]运算单元进一步优选地用于机动车中、例如发动机控制器。本发明尤其适用于机动车的控制器,所述控制器的处理器单元以管理程序模式运行。如开始时提到的,能够证实为有利的是,在管理程序模式中运行控制器的处理器单元。不同的虚拟系统或者说虚拟机中以管理程序模式作为用于机动车的程序、尤其操控指令来确定并且检测和分析测量值。通过本发明能够尤其有效率地保护这样的机动车的控制器并且因此保证“技术保护”和禁止“芯片调整”。
[0020]安全处理器单元以有利的方式监控由处理器单元执行的程序是否是经过授权来执行的。授权地来执行的程序是可以或者说应当由处理器单元在运算单元的常规运行中所执行的程序。程序标准因此尤其描述了哪些程序应当在运算单元的常规运行中来执行。如果处理器单元执行了未授权的程序,即没有授权地来执行的程序,安全处理器单元就实施安全措施。
[0021]这种未授权程序能够是例如入侵者的有害软件。因此安全处理器单元尤其实施运算单元的第一保护或者说监控,