本发明涉及一种机动车中的控制器、一种机动车以及一种用于运行机动车中的控制器的方法,所述控制器具有通信装置,用于在具有至少一个机动车外部装置的网络中无线通信。
背景技术:
在现代机动车中,越来越流行的是,机动车也连接在外部网络上、尤其是互联网上。以此方式不仅可实现舒适性功能,而且可调用与机动车的驾驶直接相关的当前信息,这例如涉及街道状态、天气情况等。在此,大多通过移动无线电网络来建立至互联网的连接。
为了实现到外部网络的这种“在线连接”,已经公知,设置专门的控制器,所述控制器例如可被称为“在线连接单元”(OCU)。在这种控制器中或与所述控制器连接地也可存在通信装置,所述通信装置例如可作为具有天线和相应电子系统的电话模块来实现。这种通信模块通常也被称为“网络接入设备”(NAD)。从控制器出发到其它车辆系统的连接通过机动车的总线系统来实现,其中,现代机动车通常具有多个车辆总线(总线系统)。控制器因此通常具有到所述总线系统之一的连接,以便能够将从网络接收的数据传输给另外的车辆系统或将由所述车辆系统指向网络的数据接收并且传送给通信装置。
总是当存在到外部网络、尤其是互联网的连接时,也存在攻击电子系统层和软件层的风险,例如黑客攻击和/或干扰攻击的风险。通过经由控制器和车辆总线连接在网络上,已经对可能攻击者存在障碍,但在此仍总是期望提高安全性。
技术实现要素:
因此,本发明的目的在于,给出一种控制器的构型,在所述构型中,相对于来自外部网络、尤其是互联网的攻击提高安全性。
为了实现所述目的,在开头所述类型的控制器中,根据本发明提出,控制器的计算装置包括至少两个处理器核,其中,通信装置与第一处理器核之间的数据交换仅仅通过处理器核中的第二处理器核进行。
这意味着,在控制器内部设置一处理器核,该处理器核仅仅用于至少一个另外的处理器核与通信装置之间的数据交换。以此方式实现多级的安全性方案,所述安全性方案定义三个域,即:首先与车辆无关的“后端域”,所述后端域通过通信装置来实现;“适配域”,所述适配域通过第二处理器核给定;以及最后“车辆域”,所述车辆域通过所述至少一个第一处理器核给定并且提供控制器的车辆侧的功能。尤其是第一处理器核因此可控制与机动车的至少一个总线系统的数据交换和/或至少一个另外的待通过控制器实现的功能。如果第一处理器核仅仅调节与机动车的总线系统的数据交换,则实现用于连接在网络上的专用控制器,例如作为已经提到的“在线连接单元”之一。如果控制器也要满足机动车中的另外的功能,对此应尽可能避免从外部、即通过外部网络未经授权地访问,则安全性方面变得更重要。
在此意义上,本发明的特别有利的构型提出,控制器是联网控制器,所述联网控制器具有连接在多个、尤其是全部总线系统上的连接装置,总线系统被设置用于在不同车辆系统之间通信,第一处理器核被构造用于控制总线系统之间的以及总线系统与网络之间的数据交换。通常也被称为“网关”的这种联网控制器已经公知,因为机动车通常具有多个总线系统并且在这些总线系统中的多个中必然存在确定的数据。联网控制器因此原则上运行路由选择,其中,本发明的所述特别有利的构型现在也提出,对外部网络的访问/访问端口一起集成在联网控制器中,由此,可在唯一的位置上调节任意数据交换。但同时也可考虑对安全性提出更高要求,因为联网控 制器确实能对机动车的优选全部的总线系统进行访问,因此应占据不应被崩溃/攻击的中央位置。在此,设置专门被考虑用于连接在外部网络上的第二处理器核被证实特别符合目的,因为得到突出的安全性方案。因为即使第二处理器核陷入危机仍不导致真正的网关处理器核、即所述至少一个第一处理器核受影响,因为软件的可强烈受攻击的部分、例如TCP/IP栈符合目的地在第二处理器核上封装。
此外还有集成联网控制器和在外部网络上的连接的优点:例如存在与优选全部的车辆总线的连接并且因此数据可从网络直接传给目标总线系统。因此得到宽带连接。如果要使用专门的仅连接在唯一总线系统、例如CAN总线上的控制器,则到外部网络和来自外部网络的全部通讯必须通过这一个总线系统进行,所述总线系统将过强地负荷,因为大多数总线系统在其带宽方面受到限制。如果在外部网络与另一个总线系统之间存在通信需求,则在控制器仅连接在一个总线系统上的情况中两个车辆总线会保持“苏醒”,由此会得到较高的无信号电流。由此,在这里提出的集成的解决方案中可获得更好的无信号电流特性。此外,集成提供资金方面的节省可能性,因为不再需要确定的硬件组成部分。
另外,有利的是,处理器核是多核处理器的一部分。这种多核处理器在现有技术中已经公知并且提供基本的硬件结构,所述硬件结构允许给各个处理器核配属确定的涉及安全性的功能并且将所述功能在很大程度上隔离。例如可使用所谓的双核处理器。
因此尤其是可通过第二处理器核提供隔离区。隔离区在现有技术中已经公知并且形成一种出于安全性原因而设置的缓冲区,所述缓冲区从外部崩溃是不危险的,因为仅存在对真正系统的明确定义的访问——通过所述至少一个第一处理器核实现,对其实现在下面还要详细探讨。换言之,在传递的意义上也可将第二处理器核作为一种“防火墙”,所述防火墙相对于外部网络、尤其是互联网保护真正的车辆系统。
本发明的一个具体的特别优选的构型提出,计算装置具有存储装置,其中,设有由第二处理器核仅能够寻址的储存区域,用于在第一处理器核 与第二处理器核之间通信。即使用划分的存储器(“共享内存”)来实现第一与第二处理器核之间的通信。在计算装置中使用多核处理器在此特别有利,因为在那里已经给定用于相应功能性的基础。多核处理器大多具有存储装置(RAM),所述存储装置原则上可由多核处理器的全部处理器核使用并且通过控制单元管理。因此可实现:存储装置的确定的储存区域仅可通过第二处理器核访问,其中,第二处理器核此外也绝对不获得对存储装置的除划分的存储区域外的其他存储区域的访问。以此方式可以以确定的方式和方法在处理器核之间进行数据交换。
计算装置因此可包括尤其是作为多核处理器的一部分的、被构造用于控制对存储装置的访问的控制单元,所述控制单元尤其仅仅能够通过第一处理器核来配置。这种控制单元也以名称“内存保护单元”(MPU)公知。在当前情况中,优选仅通过第一处理器核允许配置,由此,即使在第二处理器核陷入危机的情况下也不可扩展其访问权力。
一个符合目的的扩展构型提出,处理器核被构造用于通过划分的存储区域经由输入/输出缓冲器通信。存储在输入/输出缓冲器中的相应的数据对象/数据包在此符合目的地是确定的有利于安全性的格式并且可从第一处理器核或者说即专门的在那里设置的软件模块方面必要时仍进行检验。输入/输出缓冲器因此是唯一的明确定义的接口,理想地已经预加工的数据可通过所述接口从外部网络接收或者说传输给所述外部网络,由此得到极其高的安全性。
优选第二处理器核被构造用于执行至少一个安全性检验和/或对由通信装置接收的数据执行提高安全性的格式转换。尤其是当数据以TCP/IP协议接收时,检验和格式转换可在第二处理器核内部进行,这进一步提高系统的总体安全性并且进一步利用第二处理器核的可能性。
总体而言,通信装置和计算装置不言而喻通过通信连接装置连接,所述通信连接装置例如可作为第二处理器核与通信装置之间的SPI连接装置或USB连接装置来实现。
最后仍须注意,通信装置符合目的地可以是WLAN接口和/或到移动 无线电网络的接口,尤其是目的在于建立到互联网的连接。
除了控制器之外,本发明还涉及一种机动车,所述机动车具有根据本发明的控制器。关于根据本发明的控制器的全部实施形式可类似地转用于根据本发明的机动车,通过所述机动车因此可获得相同优点。
最后,本发明还涉及一种用于运行机动车中的控制器的方法,所述控制器具有通信装置,用于在具有至少一个机动车外部装置的网络中无线通信,所述控制器具有计算装置,所述计算装置具有至少两个处理器核,其中,仅仅处理器核中的第二处理器核用于通信装置与第一处理器核之间的数据交换。关于根据本发明的方法也适合的是,按照意义可转用关于控制器的实施形式,由此,根据本发明的方法也允许获得所列举的优点。因此尤其是可涉及用于运行根据本发明的控制器的方法。
附图说明
从下面描述的实施例以及借助于附图得到本发明的其它优点和细节。附图表示:
图1根据本发明的控制器的原理草图,以及
图2根据本发明的机动车。
具体实施方式
图1示出了根据本发明的控制器1的原理草图。在此,在当前情况中涉及联网控制器(网关),所述联网控制器因此在壳体2上具有连接到安装有控制器1的机动车的不同总线系统4上的连接装置3。控制器1作为计算装置5具有多核处理器6、在此为具有两个处理器核7、8的双核处理器。
在当前情况中,在控制器1中安装地、具体而言在与计算装置5相同的壳体2中也设置有通信装置9、具体而言为电话模块10(通常也被称为NAD——网络接入设备)。以此方式可借助于可设置在控制器1内部或外部的合适的天线11通过移动无线电网络建立与外部网络12、在此为互联 网的连接。
构造成联网控制器的控制器1因此可被称为“连接网关”。
为了在来自网络12的威胁方面改善安全性,在当前情况中,多核处理器6的第二处理器核8仅仅用于将数据从通信装置9输送到第一处理器核7,以及反之。第一处理器核在此不仅被构造用于控制总线系统之间的数据的交换,而且用于控制总线系统4与网络12之间的数据的交换。
第二处理器核8由此形成一种防火墙,其中,具体而言通过第二处理器核8提供隔离区(DMZ)。在第二处理器核8中,如通过框13所示,执行由通信装置9接收的数据的安全性检验和提高安全性的格式转换。另外,这样提高安全性:在多核处理器6的存储装置14中使用明确定义的存储区域15用于第一处理器核7与第二处理器核8之间的数据交换。第二处理器核8在此仅具有对存储区域15的访问,而不具有对存储装置14的其余地址区域的访问。对此负责的是控制单元16,所述控制单元作为MPU——内存保护单元起作用。控制单元16被这样配置,使得所述控制单元仅可通过第一处理器核7被控制,由此不可从第二处理器核8方面来改变所述存储分配。
通过存储区域15的数据交换在此经由输入/输出缓冲器进行,其中,给定明确地预给定的提高安全性的交换格式,所述交换格式例如通过确定的包大小等来表明特征。
在通信装置9与计算装置5、具体而言第二处理器核8之间存在通信连接装置,所述通信连接装置在当前情况中作为SPI连接装置22来实现,但也可以是USB连接装置。
由此,最后给出在控制器1内部的功能性的划分和明确的分开,因此给出三域原理。第一域是车辆域17,所述车辆域在当前情况中被构造用于总线系统4之间以及从和到网络12的路由选择,其中,在最后所述情况方面数据输送明确定义地通过划分的存储区域15、第二处理器核8和通信装置9进行。第二处理器核8形成适配域18,在所述适配域中数据可在不同格式之间转换并且可进行安全性检验。在此,提供隔离区,这意味着,即 使在第二处理器核8崩溃时,攻击者也不能实现对与车辆关系重大的在第一处理器核7中执行的功能进行访问,所述第一处理器核仅通过划分的存储区域15执行明确定义并且可能情况下经受另外的安全性检验的通信。
通信装置9形成与车辆无关的后端域19。
图2示出了根据本发明的机动车20的原理草图。所述机动车包括控制器1作为联网控制器,所述控制器连接在全部车辆总线4上,用于与另外的在此仅示意出的车辆系统21通信。总线系统4在此可涉及不同类型的总线系统,例如包括CAN总线、Flexray总线和以太网总线。此外,通过天线11和通信装置9以及在处理器核8中形成的隔离区,可进行与互联网的安全连接,由此,从外部到来的数据同时存在于用于车辆总线4的节点上。