BeschreibungDescription
Titeltitle
MITIGATION VON MANIPULATIONEN IN EINEM RECHNERSYSTEM MIT ZONENSEPARATION FÜR EINE VORRICHTUNG, INSBESONDERE FÜR EIN FAHRZEUGMITIGATION OF MANIPULATION IN A COMPUTER SYSTEM WITH ZONE SEPARATION FOR A DEVICE, PARTICULARLY FOR A VEHICLE
Technisches GebietTechnical area
Die vorliegende Erfindung betrifft Techniken zur Mitigation einer Manipulation in einem Rechnersystem für eine Vorrichtung, insbesondere für ein Fahrzeug. Zugehörige Aspekte betreffen ein Modul zur Mitigation von Zonenmanipulationen, ein Rechnersystem für eine Vorrichtung, eine Vorrichtung und ein Computer- Programm.The present invention relates to techniques for mitigating manipulation in a computer system for a device, in particular for a vehicle. Related aspects include a zone tamper mitigation module, a computer system for a device, an apparatus and a computer program.
Hintergrundbackground
In letzter Zeit werden Fahrzeuge in immer stärkerem Maß untereinander und/oder mit einem in einer Cloud befindlichen Backend vernetzt. Genauer gesagt, weisen die Fahrzeuge eine oder mehrere Schnittstellen auf, über die während des Betriebs eines Fahrzeugs Daten empfangen und/oder gesendet werden, die wiederum für den Betrieb des Fahrzeugs verwendet werden. Zusätzlich nimmt die Komplexität der Komponenten der Fahrzeuge und ihrer Software stetig zu, insbesondere im Zusammenhang mit autonom oder teilautonom operierenden Fahrzeugen und der Forderung nach einer „intelligenteren Mobilität“, welche die Integration des Fahrzeugs in die digitale Welt impliziert. Die Cybersicherheit (engl. Cyber-Security) spielt daher eine immer wichtigere Rolle bei der Software- und Hardwareentwicklung moderner Fahrzeuge. Darüber hinaus ergeben sich Probleme bei einigen Methoden des Standes der Technik in Bezug auf die Cybersicherheit aus der Vielfalt von Applikationen, die von verschiedenen Herstellern bereitgestellt sind und auf verschiedenen Systemen im Fahrzeug ausgeführt werden. In diesem Zusammenhang basieren manche Verfahren des Stands der Technik auf dem Konzept der Zonenseparation, d.h. dem Konzept zur Trennung von Vertrauenszonen innerhalb eines Steuergeräts (engl. Electronic Control Unit (ECU)), wodurch stärker exponierte Komponenten von weniger exponierten Komponenten isoliert werden, um die Angriffsfläche zu verringern.Recently, vehicles have been increasingly networked with each other and/or with a backend located in a cloud. More specifically, the vehicles have one or more interfaces through which data is received and/or sent during operation of a vehicle, which in turn is used to operate the vehicle. In addition, the complexity of the vehicle components and their software is constantly increasing, especially in connection with autonomous or semi-autonomous vehicles and the demand for “smarter mobility”, which implies the integration of the vehicle into the digital world. Cybersecurity therefore plays an increasingly important role in the software and hardware development of modern vehicles. In addition, problems with some prior art cybersecurity methods arise from the variety of applications provided by different manufacturers and running on different systems in the vehicle. In this context, some prior art methods are based on the concept of zone separation, ie the concept of separating trust zones within an electronic control unit (ECU), whereby more exposed components are isolated from less exposed components in order to achieve the to reduce the attack surface.
Einige Verfahren nach dem Stand der Technik sind jedoch nicht in der Lage, Verstöße verschiedener Zonen in Bezug auf diese Zuteilungen in ihrer Gesamtheit als Ergebnis eines Eindringungsversuchs rechtzeitig zu erkennen und entsprechend darauf zu reagieren.However, some prior art methods are unable to timely detect and respond to violations of various zones with respect to these allocations in their entirety as a result of an intrusion attempt.
Daher besteht ein Bedarf an der Entwicklung neuer effizienter Techniken, die einige oder alle der oben genannten Probleme lösen können.Therefore, there is a need to develop new efficient techniques that can solve some or all of the above problems.
Zusammenfassung der ErfindungSummary of the invention
Ein erster allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein computerimplementiertes Verfahren zur Mitigation einer Manipulation in einem Rechnersystem für eine Vorrichtung, insbesondere für ein Fahrzeug. Das Rechnersystem des ersten Aspekts umfasst eine Mehrzahl von Zonen, eine Mehrzahl von Systemressourcen, und ein Modul zur Mitigation von Zonenmanipulationen, das zur Mitigation von Zonenmanipulationen in jeder der Mehrzahl von Zonen ausgelegt ist. Eine Zone des ersten Aspekts ist eine logisch und/oder physisch abgrenzbare Einheit in dem Rechnersystem. Darüber hinaus ist einer ersten Zone der Mehrzahl von Zonen eine erste Anzahl von Systemressourcen aus der Mehrzahl von Systemressourcen zugeordnet. Des Weiteren ist einer zweiten Zone der Mehrzahl von Zonen eine zweite Anzahl von Systemressourcen aus der Mehrzahl von Systemressourcen zugeordnet, die sich von der ersten Anzahl der Mehrzahl von Systemressourcen unterscheidet. Das Verfahren umfasst Erkennen der Möglichkeit einer Manipulation der ersten Zone der Mehrzahl von Zonen und/oder einer Manipulation der zweiten Zone der Mehrzahl von Zonen in dem Modul zur Mitigation von Zonenmanipulationen. Hierbei ist eine manipulierte Zone eine Zone, für die Verstöße gegen Vorschriften über die Zuordnung von Systemressourcen, die dieser Zone zugeordnet sind, erkannt wurden. Das Verfahren umfasst weiterhin Einleiten einer Gegenmaßnahme zur Mitigation der Manipulation der ersten Zone und/oder der Manipulation der zweiten Zone durch das Modul zur Mitigation von Zonenmanipulationen. Ein zweiter allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein Modul zur Mitigation von Zonenmanipulationen eines Rechnersystems, das dazu ausgelegt ist, die computer-implementierte Verfahren gemäß dem ersten allgemeinen Aspekt auszuführen.A first general aspect of the present disclosure relates to a computer-implemented method for mitigating manipulation in a computer system for a device, in particular for a vehicle. The computing system of the first aspect includes a plurality of zones, a plurality of system resources, and a zone tamper mitigation module configured to mitigate zone tampering in each of the plurality of zones. A zone of the first aspect is a logically and/or physically delimitable unit in the computer system. In addition, a first number of system resources from the plurality of system resources is assigned to a first zone of the plurality of zones. Furthermore, a second number of system resources from the plurality of system resources, which differs from the first number of the plurality of system resources, is assigned to a second zone of the plurality of zones. The method includes detecting the possibility of manipulation of the first zone of the plurality of zones and/or manipulation of the second zone of the plurality of zones in the zone manipulation mitigation module. Here, a compromised zone is a zone for which violations of rules governing the allocation of system resources associated with that zone have been detected. The method further comprises initiating a countermeasure for mitigating the manipulation of the first zone and/or the manipulation of the second zone by the zone manipulation mitigation module. A second general aspect of the present disclosure relates to a module for mitigating zone tampering of a computer system configured to carry out the computer-implemented methods according to the first general aspect.
Ein dritter allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein Rechnersystem für eine Vorrichtung, insbesondere für ein Fahrzeug, das das Modul zur Mitigation von Zonenmanipulationen gemäß dem zweiten allgemeinen Aspekt und eine Mehrzahl von Zonen umfasst. Des Weiteren umfasst das Rechnersystem des dritten Aspekts eine Mehrzahl von Systemressourcen, welche entsprechenden Zonen aus der Mehrzahl von Zonen zugeordnet sind.A third general aspect of the present disclosure relates to a computer system for a device, in particular for a vehicle, comprising the zone manipulation mitigation module according to the second general aspect and a plurality of zones. Furthermore, the computer system of the third aspect includes a plurality of system resources which are assigned to corresponding zones from the plurality of zones.
Ein vierter allgemeiner Aspekt der vorliegenden Offenbarung betrifft eine Vorrichtung, die das Rechnersystem gemäß dem dritten allgemeinen Aspekt umfasst.A fourth general aspect of the present disclosure relates to an apparatus that includes the computing system according to the third general aspect.
Ein fünfter allgemeiner Aspekt der vorliegenden Offenbarung betrifft weiterhin ein Computer-Programm, das Befehle enthält, die, wenn sie von einem Rechensystem ausgeführt werden, das Rechensystem veranlassen, das computerimplementierten Verfahren gemäß dem ersten allgemeinen Aspekt auszuführen.A fifth general aspect of the present disclosure further relates to a computer program that contains instructions that, when executed by a computing system, cause the computing system to execute the computer-implemented method according to the first general aspect.
Die Techniken des ersten bis fünften allgemeinen Aspekts können einen oder mehrere der folgenden Vorteile haben.The techniques of the first to fifth general aspects may have one or more of the following advantages.
Zum einen kann mit den vorliegenden Techniken eine stärkere Ausdifferenzierung der Sicherheitsanforderungen in einem Rechnersystem (z.B. Fahrzeugrechner) realisiert werden als in einigen Techniken des Standes der Technik, indem das Rechnersystem in Zonen eingeteilt wird (und z.B. Systemmodule des Rechnersystems den entsprechenden Zonen zugeordnet werden). So können beispielsweise die Systemmodule, die für die Betriebssicherheit einer Vorrichtung (z.B. eines Fahrzeugs) besonders relevant sind (z.B. weil sie sicherheitskritische Funktionen für diese Vorrichtung darstellen), anderen Zonen zugeordnet werden als die Systemmodule, die für die Betriebssicherheit der Vorrichtung weniger relevant sind (z.B. weil sie weniger sicherheitskritische Funktionen für diese Vorrichtung darstellen). In manchen Fällen können aber dafür die Zonen mit Systemmodulen, die für die Betriebssicherheit weniger relevant sind, anfälliger für Eingriffe bzw. Manipulation von außen, beispielsweise im Rahmen eines Cyberangriffs sein. Darüber hinaus kann die Zonenseparation in dem Rechnersystem die Wahrscheinlichkeit reduzieren, dass eine erfolgreiche Manipulation in einer Zone auf andere Zonen übergreift.On the one hand, with the present techniques, a greater differentiation of the security requirements in a computer system (e.g. vehicle computer) can be achieved than in some prior art techniques by dividing the computer system into zones (and, for example, assigning system modules of the computer system to the corresponding zones). For example, the system modules that are particularly relevant to the operational safety of a device (e.g. a vehicle) (e.g. because they represent safety-critical functions for this device) can be assigned to different zones than the system modules that are less relevant to the operational safety of the device ( e.g. because they represent less safety-critical functions for this device). In some cases, however, the zones with system modules that are less relevant to operational safety may be more vulnerable Intervention or manipulation from outside, for example as part of a cyber attack. In addition, zone separation in the computer system can reduce the likelihood that successful manipulation in one zone will spread to other zones.
Zweitens können durch die Techniken der vorliegenden Offenbarung mögliche Eingriffe auf Rechnersysteme effizienter erkannt werden als in einigen Techniken des Standes der Technik. Insbesondere können Verstöße gegen Vorschriften über Zuordnungen von Systemressourcen für verschiedene Zonen (z.B. unerlaubte Zugriffe dieser Zonen auf Systemressourcen) darauf hinweisen, dass ein Eingriff vorliegt, oder auch der Eingriff nicht stattgefunden hat, wenn die Vorschriften über Zuordnungen von Systemressourcen für die Zonen eingehalten wurden (z.B. diese Zonen greifen nur auf die erlaubten Systemressourcen zu).Second, the techniques of the present disclosure can detect potential computer system intrusions more efficiently than some prior art techniques. In particular, violations of regulations governing the allocation of system resources for different zones (e.g. unauthorized access of these zones to system resources) may indicate that an intrusion has occurred, or even that the intrusion did not take place if the regulations on allocations of system resources for the zones were complied with ( e.g. these zones only access the permitted system resources).
Drittens bieten die vorliegenden Techniken die Möglichkeit, auf Zonenmanipulationen (bspw. aufgrund eines Eingriffs) in einem Rechnersystem einer Vorrichtung (bspw. in einem Fahrzeug) auf zentralisierte Weise rechtzeitig durch ein Modul zur Mitigation von Zonenmanipulationen zu reagieren, indem es geeignete Gegenmaßnahmen zur Mitigation von Zonenmanipulation einleitet (bspw. durch Änderung von Zugriffsrechten auf System ressourcen, die einer manipulierten Zone zugeordnet sind, Übernahme einer Funktionalität der manipulierten Zone durch eine andere Zone und/oder andere entsprechende Gegenmaßnahmen, mehr dazu weiter unten). Somit können die vorliegenden Techniken schneller und effizienter mögliche Eingriffe auf ein Rechnersystem bewältigen als einige Techniken des Standes der Technik.Third, the present techniques offer the possibility of responding to zone manipulations (e.g. due to an intrusion) in a computer system of a device (e.g. in a vehicle) in a centralized manner in a timely manner through a zone manipulation mitigation module by taking appropriate countermeasures to mitigate Initiates zone manipulation (e.g. by changing access rights to system resources assigned to a manipulated zone, taking over functionality of the manipulated zone by another zone and/or other appropriate countermeasures, more on this below). Thus, the present techniques can handle potential interventions on a computer system more quickly and efficiently than some prior art techniques.
Einige Begriffe werden in der vorliegenden Offenbarung in folgender Weise verwendet:Some terms are used in the present disclosure in the following manner:
Ein „Systemmodul“ kann eine Hardware- und/oder Software- Einheit umfassen, die eine Mehrzahl von Funktionen für eine Vorrichtung (bspw. für ein Fahrzeug) bereitstellt. Ein Systemmodul kann einen oder mehrere Prozessoren, Controller, Steuereinheiten, (Kommunikations-)Schnittstellen, Netzwerkkomponenten, Softwareapplikationen, Softwarearchitekturen, sämtliche anderen Software/- und/oder Hardware-Komponenten, Teile der genannten, oder eine beliebige Kombination davon umfassen oder eine oder mehrere der oben genannten Realisierungen von Systemmodulen sein. Ein Systemmodul oder sein Teil kann in einer Zone oder in einer Subzone angeordnet sein. Eine „Zone“ kann eine logisch (funktional) und/oder physisch (örtlich) abgrenzbare Einheit in einem System sein. Anders ausgedrückt sind zwei oder mehr Zonen logisch voneinander abgegrenzt, wenn sie auf Softwarebasis voneinander getrennt sind (bspw. unterschiedliche logische Modelle in einer Software darstellen), während zwei oder mehr Zonen physisch abgrenzbare Einheiten bilden, wenn sie örtlich voneinander getrennt sind (bspw. sich in verschieden Recheneinheiten oder Teilen davon befinden). Eine Zone kann ein oder mehrere Systemmodule und/oder ein Teil und/oder Teile eines Systemmoduls oder mehrerer Systemmodule umfassen. Eine Zone kann durch ihre Bestandteile definiert, das heißt bestimmt werden. Alle Systemmodule oder Teile von Systemmodulen, die einer Zone zugeordnet sind, können die Zone bilden. Eine Zone kann verschiedene Recheneinheiten, Rechenkerne, Controller, Steuereinheiten, Speichereinheiten, Peripherien, (Kommunikations-)schnittstellen, Netzwerkkomponenten, Softwareapplikationen, Softwarearchitekturen, Bus- Systeme (bspw. CAN-Bussysteme in Fahrzeugen), sämtliche anderen Software/- und/oder Hardware-Komponenten, Teile der genannten, oder eine beliebige Kombination davon umfassen. Mehrere Zonen können ein Gesamtsystem (bspw. ein ganzes Rechnersystem) bilden. Eine „Zone“ kann in manchen Beispielen in zwei oder mehr „Subzonen“ unterteilt werden, welche zusammen diese Zone bilden können. Eine „Subzone“ kann eine logisch (funktional) und/oder physisch (örtlich) abgrenzbare Teileinheit einer Zone sein. Ähnlich wie eine Zone kann eine Subzone ein oder mehrere Systemmodule oder Teile davon umfassen, die der entsprechenden Zone zugeordnet sind.A “system module” may include a hardware and/or software unit that provides a plurality of functions for a device (e.g., a vehicle). A system module can include one or more processors, controllers, control units, (communications) interfaces, network components, software applications, software architectures, all other software/and/or hardware components, parts of those mentioned, or any combination thereof or one or more of the above-mentioned implementations of system modules. A system module or its part can be arranged in a zone or in a subzone. A “zone” can be a logically (functionally) and/or physically (spatially) delimitable unit in a system. In other words, two or more zones are logically delimited from one another if they are separated from one another on a software basis (e.g. represent different logical models in one software), while two or more zones form physically delimitable units if they are spatially separated from one another (e.g located in different computing units or parts thereof). A zone may include one or more system modules and/or a part and/or parts of one or more system modules. A zone can be defined, i.e. determined, by its components. All system modules or parts of system modules that are assigned to a zone can form the zone. A zone can contain various computing units, computing cores, controllers, control units, storage units, peripherals, (communications) interfaces, network components, software applications, software architectures, bus systems (e.g. CAN bus systems in vehicles), all other software and/or hardware - Components, parts of those mentioned, or any combination thereof. Several zones can form an overall system (e.g. an entire computer system). A “zone” may, in some examples, be divided into two or more “subzones,” which together may form that zone. A “subzone” can be a logically (functionally) and/or physically (locally) delimitable sub-unit of a zone. Similar to a zone, a subzone may include one or more system modules or portions thereof associated with the corresponding zone.
Der Begriff „Systemressource“ kann jegliche Ressourcen bezeichnen, die in ihrer Gesamtheit die (mindestens teilweise) Ausführbarkeit einer oder mehrerer Funktionen des Rechnersystems für eine Vorrichtung (z.B. für ein Fahrzeug) gewährleisten. Eine „Systemressource“ kann eine Software- und/oder Hardware- Komponente sein, die Dienste für Systemmodule bereitstellt. Beispielsweise kann eine Systemressource einen oder mehrere Speicher, eine oder mehrere Peripherien (bspw. fahrzeuginterne und/oder fahrzeugexterne Peripherien), eine mit der Energieversorgung verknüpfte Systemressource oder eine beliebige Kombination davon umfassen. Der Begriff „Software- Komponente“ (oder „Software“) kann grundsätzlich jeder Teil einer Software einer Komponente (z.B. eines Steuergeräts) der vorliegenden Offenbarung sein. Insbesondere kann eine Software- Komponente eine Firmware- Komponente einer Komponente der vorliegenden Offenbarung sein. „Firmware“ ist eine Software, die in (elektronischen) Komponenten eingebettet ist und dort grundlegende Funktionen leistet. Firmware ist funktional fest mit der jeweiligen Hardware der Komponente verbunden (so dass das eine nicht ohne das andere nutzbar ist). Sie kann in einem nicht-flüchtigen Speicher wie einem Flash-Speicher oder einem EEPROM gespeichert sein. Einer Zone der vorliegenden Offenbarung kann ein Zugriff auf eine Systemressource erlaubt oder verwehrt werden. Einer Zone kann bspw. ein Zugriff auf eine Systemressource durch ein Zugriffsrecht erlaubt werden (mehr dazu weiter unten). Eine „Systemressource“ kann einer Zone oder Subzone zugeordnet werden, oder unabhängig von der Zonenseparation in einem Rechnersystem sein, d.h. keiner Zone oder Subzone zugeordnet werden.The term “system resource” can refer to any resources that, as a whole, ensure the (at least partial) executability of one or more functions of the computer system for a device (e.g. for a vehicle). A “system resource” may be a software and/or hardware component that provides services to system modules. For example, a system resource may include one or more memories, one or more peripherals (e.g., vehicle-internal and/or vehicle-external peripherals), a system resource associated with the power supply, or any combination thereof. The term “software component” (or “software”) can in principle be any part of the software of a component (e.g. a control device) of the present disclosure. In particular, a software component may be a firmware component of a component of the present disclosure. “Firmware” is software contained in (electronic) components are embedded and perform basic functions there. Firmware is functionally firmly linked to the respective hardware of the component (so that one cannot be used without the other). It may be stored in non-volatile memory such as flash memory or EEPROM. A zone of the present disclosure may be permitted or denied access to a system resource. For example, a zone can be allowed access to a system resource through an access right (more on this below). A “system resource” can be assigned to a zone or subzone, or can be independent of the zone separation in a computer system, ie not assigned to a zone or subzone.
Der Begriff „Systemressource“ kann auch eine „Kommunikationsressource“ bezeichnen (z.B. ein Bus-System, insbesondere ein CAN-Bussystem in einem Fahrzeug, oder Teile davon umfassen oder ein Bus-System oder Teile davon sein), die beispielsweise Eigenschaften einer Kommunikationsverbindung über einen Übertragungspfad oder mehrere Übertragungspfade im Rechnersystem im Falle der Multipfadkommunikation (bspw. unter Verwendung von Multipfad-TCP) umfassen kann, die als Menge von Übertragungsparametern beschrieben werden kann (bspw. mittels einer Datenrate, Übertragungskapazität, Übertragungslatenz, Übertragungsbandbreite, Übertragungszuverlässigkeit oder eine beliebige Kombination davon). Die entsprechende Kommunikation kann bspw. zwischen fahrzeuginternen und/oder fahrzeugexternen Modulen/Komponenten über ein oder mehrere Funknetze, beispielsweise 5G, LTE-Mobilfunknetze oder WLAN- Netze, oder über Nahfeldkommunikationsverbindung oder Bluetooth erfolgen. Zum Beispiel können Kommunikationsressourcen Kommunikationsschnittstellen umfassen (z. B. eine oder mehrere von I2C, SPI, CAN, LIN, USB, PCIe, Bluetooth und Wi-Fi).The term “system resource” can also refer to a “communication resource” (e.g. a bus system, in particular a CAN bus system in a vehicle, or parts thereof, or be a bus system or parts thereof), which, for example, have properties of a communication connection via a Transmission path or multiple transmission paths in the computer system in the case of multi-path communication (e.g. using multi-path TCP), which can be described as a set of transmission parameters (e.g. using a data rate, transmission capacity, transmission latency, transmission bandwidth, transmission reliability or any combination thereof ). The corresponding communication can take place, for example, between vehicle-internal and/or vehicle-external modules/components via one or more radio networks, for example 5G, LTE mobile radio networks or WLAN networks, or via near-field communication connection or Bluetooth. For example, communication resources may include communication interfaces (e.g., one or more of I2C, SPI, CAN, LIN, USB, PCIe, Bluetooth, and Wi-Fi).
Ein „Speicher“ kann ein Datenspeicher oder auch ein Datenträger sein, auf/in dem Daten abgelegt (gespeichert) werden. Ein Speicher kann von einem Computer und/oder irgendeiner Art von Peripheriegerät ausgelesen oder beschrieben werden. Ein Speicher kann ein Halbleiterspeicher und/oder ein Magnetspeicher oder ein Speicher basierend auf einer hier nicht genannten Technologie sein. Ein Speicher kann ein flüchtiger Speicher und/oder nicht-flüchtiger Speicher sein. Ein Speicher kann eines von DRAM, RAM, ROM, EPROM, HDD, SDD, usw. umfassen, auf/in dem Daten gespeichert werden. Eine „Peripherie“ kann eine Komponente sein, die an eine (zentrale) Recheneinheit angeschlossen werden kann. Eine solche Komponente kann die Steuerung durch die Recheneinheit und gegebenenfalls einer Initialisierung bedürfen. Eine Komponente kann eine „Fahrzeugkomponente“ sein. Eine Peripherie kann ein Teil eines Rechners bzw. eines Computers umfassen, der Funktionalitäten bietet, die nicht durch einen Rechenkern selbst, sondern von einer zusätzlichen Hardware bereitgestellt werden können. Zum Beispiel kann eine Peripherie ein Analog-Digital-Umsetzer (engl. Analog-to-Digital-Converter (ADC)), eine Safety-bezogene Peripherie, eine Security-bezogene Peripherie (MPU, MMU oder andere), ein Zeitgeber (Timer) oder eine Schnittstelle, wie beispielsweise eine SPI-Schnittstelle (engl. Serial Peripheral Interface) oder eine andere oben erwähnte Schnittstelle umfassen.A “memory” can be a data storage device or a data medium on which data is stored (stored). A memory can be read from or written to by a computer and/or some type of peripheral device. A memory can be a semiconductor memory and/or a magnetic memory or a memory based on a technology not mentioned here. A memory may be volatile memory and/or non-volatile memory. A memory may include one of DRAM, RAM, ROM, EPROM, HDD, SDD, etc. on which data is stored. A “periphery” can be a component that can be connected to a (central) computing unit. Such a component may require control by the computing unit and, if necessary, initialization. A component can be a “vehicle component”. A peripheral can include a part of a computer or a computer that offers functionalities that cannot be provided by a computing core itself, but by additional hardware. For example, a peripheral can be an analog-to-digital converter (ADC), a safety-related peripheral, a security-related peripheral (MPU, MMU or others), a timer. or an interface such as a Serial Peripheral Interface (SPI) or other interface mentioned above.
Unter dem Begriff „Fahrzeugkomponente“ werden jegliche internen Komponenten eines Fahrzeugs verstanden. Eine Fahrzeugkomponente kann ein Motor sein (z.B. ein Verbrennungsmotor, ein Elektromotor, ein Hybridmotor oder eine Brennstoffzelle oder Teile eines Motors wie ein Turbolader), eine Steuervorrichtung (z.B. eine Motorsteuerung), eine Batterie oder andere energieaufnehmende Systeme, Komponenten eines Antriebstrangs (z.B. ein Getriebe), Assistenzsysteme (z.B. Brems-Assistenten, Spurhalte-Assistenten, Park-Assistenten), Klimatisierungs-Systeme, Sensoren oder Sensorsysteme (z.B. Kamera-basierte Systeme, LIDAR-Systeme, RADAR-Systeme, Ultraschallsensor- Systeme) oder elektronische Systeme zur Kontrolle von Funktionen des Innenraums. Eine Fahrzeugkomponente kann auch ein Teil der oben beschriebenen Systeme oder eine Kombination von mehreren der oben beschriebenen Systeme (oder Teile derer) sein.The term “vehicle component” refers to any internal components of a vehicle. A vehicle component can be an engine (e.g. an internal combustion engine, an electric motor, a hybrid engine or a fuel cell or parts of an engine such as a turbocharger), a control device (e.g. an engine controller), a battery or other energy-absorbing systems, components of a drive train (e.g. a transmission ), assistance systems (e.g. brake assistants, lane keeping assistants, parking assistants), climate control systems, sensors or sensor systems (e.g. camera-based systems, LIDAR systems, RADAR systems, ultrasonic sensor systems) or electronic systems for controlling Interior functions. A vehicle component can also be a part of the systems described above or a combination of several of the systems described above (or parts thereof).
Ein „Rechnersystem“ der vorliegenden Offenbarung kann einen (bspw. zentralen) Fahrzeugrechner (engl. „Vehicle Computer“) umfassen (z.B. kann ein Fahrzeugrechner das Rechnersystem bilden). Das Rechnersystem kann Systeme innerhalb eines Fahrzeuges (bspw. Systemmodule und/oder Fahrzeugkomponente im weiter oben definierten Sinne) umfassen. In manchen Fällen kann das Rechnersystem auch Systeme außerhalb des Fahrzeuges (bspw. fahrzeugexterne Peripherien, Datenwolken-Systeme, andere Komponenten, oder eine beliebige Kombination davon) umfassen. Bei einem „Fahrzeugrechner“ handelt es sich in diesem Zusammenhang um eine Klasse von hochintegrierten elektronischen Fahrzeug-Steuergeräten, die sich durch eine vielfach höhere Rechenleistung im Vergleich zu ECUs auf Mikrokontroller-Basis auszeichnen. VCs sind mit wenigstens einem Mikroprozessor und einer Kommunikationsschnittstelle ausgeführt. Zudem kann ein Fahrzeugrechner einen oder mehrere physikalische oder virtuelle Switches, ein System-on-a-Chip (SoC)-Hardware mit mehreren CPU-Kernen, Co-Prozessoren sowie mit leistungsfähigen Grafikkarten beinhalten, auf denen beispielweise mittels Hypervisors mehrere virtuelle Maschinen verschiedene Betriebssysteme ausführen, die über einen virtuellen Switch (z.B. im Hypervisor implementiert) verbunden sind. Alternativ oder zusätzlich können VCs Containertechnologien verwenden, die auf das Erzeugen eines Containers basieren, um virtuelle Ressourcen bereitzustellen. Auf VCs läuft in der Regel komplexe Software für unterschiedlichste Aufgaben mit unterschiedlichsten Anforderungen, insbesondere für zeitkritische und sicherheitskritische Funktionen. VCs kommunizieren mit anderen Systemen im Fahrzeug, insbesondere mit Fahrzeugkomponenten, Benutzerschnittstellen, sowie mit anderen VCs oder ECUs (jede Kombination dieser Alternativen ist ebenfalls denkbar). Zudem können VCs mit fahrzeugexternen Systemen kommunizieren, wie z.B. mit Cloud- Systemen, Smartphones, Ladeinfrastruktur, Verkehrsleittechnik oder anderen Fahrzeugen. Darüber hinaus kann das Rechnersystem ein Bus-System enthalten, mit dem mehrere logische/physische Kommunikationsverbindungen zwischen verschiedenen Bestandteilen des Rechnersystems realisiert werden können (bspw. mittels entsprechender physikalischer Kommunikationskanäle). Ein mögliches Beispiel für ein solches Bus-System im Fahrzeugbereich ist das Controller Area Network Bussystem (CAN-Bussystem).A “computer system” of the present disclosure may include a (e.g., central) vehicle computer (e.g., a vehicle computer may form the computer system). The computer system can include systems within a vehicle (e.g. system modules and/or vehicle components in the sense defined above). In some cases, the computer system can also include systems outside the vehicle (e.g. peripherals external to the vehicle, data cloud systems, other components, or any combination thereof). In this context, a “vehicle computer” is a class of highly integrated electronic vehicle control devices that are characterized by a much higher computing power compared to microcontroller-based ECUs. VCs are designed with at least one microprocessor and a communication interface. In addition, a vehicle computer can contain one or more physical or virtual switches, a system-on-a-chip (SoC) hardware with several CPU cores, co-processors and powerful graphics cards on which, for example, several virtual machines run different operating systems using hypervisors that are connected via a virtual switch (e.g. implemented in the hypervisor). Alternatively or additionally, VCs can use container technologies that rely on creating a container to provide virtual resources. VCs usually run complex software for a wide variety of tasks with a wide variety of requirements, especially for time-critical and safety-critical functions. VCs communicate with other systems in the vehicle, in particular with vehicle components, user interfaces, as well as with other VCs or ECUs (any combination of these alternatives is also conceivable). In addition, VCs can communicate with systems external to the vehicle, such as cloud systems, smartphones, charging infrastructure, traffic control technology or other vehicles. In addition, the computer system can contain a bus system with which several logical/physical communication connections can be implemented between different components of the computer system (e.g. using appropriate physical communication channels). A possible example of such a bus system in the vehicle sector is the Controller Area Network bus system (CAN bus system).
In anderen Fällen kann „ein Rechnersystem“ ein eingebettetes System (engl. Embedded System) umfassen (z.B. kann ein eingebettetes System das Rechnersystem bilden). Ein eingebettetes System ist ein elektronischer Rechner oder Computer, der in einen technischen Kontext eingebunden ist. Ein eingebettetes System kann dabei Regel-, Steuer-, Überwachungsfunktionen, oder Aufgaben zur Datenverarbeitung ausführen. In wieder anderen Beispielen (oder zusätzlich) kann „das Rechnersystem“ eine oder mehrere Steuergeräte (engl. ECU) umfassen (z.B. können ein oder mehrere Steuergeräte das Rechnersystem bilden).In other cases, “a computer system” may include an embedded system (e.g. an embedded system may constitute the computer system). An embedded system is an electronic calculator or computer that is integrated into a technical context. An embedded system can carry out regulation, control, monitoring functions or data processing tasks. In yet other examples (or in addition), “the computer system” may include one or more control units (ECU) (e.g. one or more control units may form the computer system).
Eine „Funktion“ kann jede Aufgabe (oder Teilaufgabe) sein, die im Betrieb einer Vorrichtung ausgeführt wird. Eine Funktion kann die Steuerung, Regelung oder Überwachung der Vorrichtung oder eines Teils der Vorrichtung (z.B. einer Komponente der Vorrichtung) betreffen. Zusätzlich oder alternativ kann eine Funktion die Daten- oder Signalverarbeitung in der Vorrichtung betreffen (z.B. eine Kommunikationsfunktion). Der Begriff „Funktion“ im Fahrzeugbereich umfasst steuerungsbasierte Funktionen eines Fahrzeuges, beispielsweise Funktionen von Fahr- oder Parkassistenzsystemen, Funktionen für das autonome oder teilautonome Fahren, Funktionen eines Entertainmentsystems sowie Funktionen für den Empfang, die Übertragung und Speicherung verschiedener Daten zwischen unterschiedlichen Systemen (bspw. Systemmodulen und/oder Fahrzeugkomponenten) des Rechnersystems (oder eine beliebige Kombination der oben genannten Funktionen). Im Rahmen der vorliegenden Offenbarung sind auch Funktionen in Verbindung mit Klimatisierungssystemen und/oder elektronischen Systemen zur Kontrolle von Funktionen des Innenraums denkbar. Für die Ausführbarkeit der Funktion kann ein entsprechendes „Systemmodul“ zuständig sein, welche bspw. mit entsprechenden anderen Systemen, z.B. Komponenten (bspw. Fahrzeugkomponenten), anderen Systemmodulen innerhalb des Fahrzeuges oder fahrzeugexterne Funktionseinheiten (wie oben bereits erwähnt) oder eine Kombination davon kommunizieren kann.A “function” can be any task (or subtask) that is performed in the operation of a device. A function can relate to the control, regulation or monitoring of the device or a part of the device (eg a component of the device). Additionally or alternatively, a function may relate to data or signal processing in the device (e.g. a communication function). The term “function” in the vehicle sector includes control-based functions of a vehicle, for example functions of driving or parking assistance systems, functions for autonomous or semi-autonomous driving, functions of an entertainment system as well as functions for receiving, transmitting and storing various data between different systems (e.g. System modules and/or vehicle components) of the computer system (or any combination of the above functions). Within the scope of the present disclosure, functions in connection with air conditioning systems and/or electronic systems for controlling functions of the interior are also conceivable. A corresponding “system module” can be responsible for the executability of the function, which can, for example, communicate with corresponding other systems, e.g. components (e.g. vehicle components), other system modules within the vehicle or functional units external to the vehicle (as already mentioned above) or a combination thereof .
Eine „Softwarearchitektur“ kann eine strukturierte und/oder hierarchische Anordnung der Systemkomponenten sowie Beschreibung ihrer Beziehungen in einem Softwaresystem sein, wobei Systemkomponenten Softwareteile sein können, deren Beziehungen zueinander und deren Eigenschaften durch die Softwarearchitektur beschrieben werden können. Beispielsweise ist die Softwarearchitektur der „AUTOSAR“ (Automotive Open System Architecture) eine offene und standardisierte Softwarearchitektur für elektronische Steuergeräte (ECUs) im Automobilbereich. Zum Beispiel sind die „AUTOSAR Classic Plattform“ und die „AUTOSAR Adaptive Plattform“ zwei verschiedene Softwarearchitekturen.A “software architecture” can be a structured and/or hierarchical arrangement of the system components and a description of their relationships in a software system, whereby system components can be software parts whose relationships to one another and whose properties can be described by the software architecture. For example, the software architecture of “AUTOSAR” (Automotive Open System Architecture) is an open and standardized software architecture for electronic control units (ECUs) in the automotive sector. For example, the “AUTOSAR Classic Platform” and the “AUTOSAR Adaptive Platform” are two different software architectures.
Ein „Modul zur Mitigation von Zonenmanipulationen“ (bspw. ein zentrales „Modul zur Mitigation von Zonenmanipulationen“) kann eine Komponente sein, die eine mögliche Zonenmanipulation erkennt und eine Gegenmaßnahme einleitet, um die (erkannte) Zonenmanipulation abzumildern (mehr dazu weiter unten). Das Modul zur Mitigation von Zonenmanipulationen kann eine Hardwareeinheit sein, welche über eigenen Speicher, eine vorkonfigurierte Hardware-Logik, ein oder mehrere Register und eine interne Datenverbindung verfügen kann. (Ein Register kann bspw. Speicherbereiche enthalten oder diese beschreiben.) Zudem kann Das Modul zur Mitigation von Zonenmanipulationen jeweilige logische und/oder physische Verbindungen zu den Zonen (einschließlich z.B. Systemmodulen) umfassen. In diesem Zusammenhang kann ein Modul zur Mitigation von Zonenmanipulationen eine oder mehrere Schnittstellen nach außen aufweisen, z.B. zu den Zonen, zu einem Rechenkern, zu einer oder mehreren Kommunikationsverbindungen oder einer beliebigen Kombination davon. Das Modul zur Mitigation von Zonenmanipulationen kann Teil eines Prozessors (engl. Central Processing Unit, CPU) sein. In manchen Fällen kann das Modul zur Mitigation von Zonenmanipulationen in einen Fahrzeugrechner integriert sein oder als eigenständige Komponente (bspw. fahrzeuginterne- oder fahrzeugexterne Komponente) konzipiert sein, die bspw. mit dem Fahrzeugrechner kommuniziert (im letzteren Fall kann das Rechnersystem der vorliegenden Offenbarung den Fahrzeugrechner und das Modul zur Mitigation von Zonenmanipulationen umfassen). Das Modul zur Mitigation von Zonenmanipulationen kann über entsprechende Kommunikationsprotokolle nach außen kommunizieren (z.B. mit Systemmodulen, Komponenten, anderen Bestandeilen eines Rechnersystems oder einer beliebigen Kombination davon).A “zone manipulation mitigation module” (e.g. a central “zone manipulation mitigation module”) can be a component that detects possible zone manipulation and initiates a countermeasure to mitigate the (detected) zone manipulation (more on this below). The zone manipulation mitigation module can be a hardware unit, which can have its own memory, preconfigured hardware logic, one or more registers and an internal data connection. (A register can, for example, contain or describe memory areas.) In addition, the zone manipulation mitigation module can include respective logical and/or physical connections to the zones (including, for example, system modules). In this context, a module for mitigating zone manipulation can have one or more interfaces to the outside, e.g. to the zones, to a computing core, to one or more communication connections or any combination thereof. The module for mitigating zone manipulation can be part of a processor (Central Processing Unit, CPU). In some cases, the zone manipulation mitigation module may be integrated into a vehicle computer or designed as an independent component (e.g. vehicle-internal or vehicle-external component) which, for example, communicates with the vehicle computer (in the latter case, the computer system of the present disclosure may be the vehicle computer and the zone manipulation mitigation module). The module for mitigating zone manipulation can communicate externally via appropriate communication protocols (e.g. with system modules, components, other components of a computer system or any combination thereof).
Ein „Sicherheitsmodul“ (bspw. ein zentrales „Sicherheitsmodul“) kann eine Komponente zur Erkennung von Verstößen gegen Vorschriften über die Zuordnung (oder anders ausgedrückt „über die Zuteilung“) von (zugewiesenen) Systemressourcen für die jeweiligen Zonen (einschließlich z.B. Systemmodulen) sein. Ferner kann das Sicherheitsmodul der vorliegenden Offenbarung dem Zweck einer zentralisierten Ansammlung und Verarbeitung festgestellter Verstöße dienen. Das Sicherheitsmodul kann ein Teil des Rechnersystem sein oder sich außerhalb des Rechnersystems befinden und bspw. mit dem Rechnersystem zu kommunizieren. Das Sicherheitsmodul kann eine Hardwareeinheit sein, welche über eigenen Speicher, eine vorkonfigurierte Hardware-Logik, ein oder mehrere Register und eine interne Datenverbindung verfügen kann. (Ein Register kann bspw. Speicherbereiche enthalten oder diese beschreiben.) Zudem kann ein Sicherheitsmodul jeweilige logische und/oder physische Verbindungen zu den Zonen (einschließlich z.B. Systemmodulen) umfassen. In diesem Zusammenhang kann ein Sicherheitsmodul eine oder mehrere Schnittstellen nach außen aufweisen, z.B. zu den Zonen, zu einem Rechenkern, zu einer oder mehreren Kommunikationsverbindungen oder einer beliebigen Kombination davon. Ein Sicherheitsmodul kann Teil eines Prozessors (engl. Central Processing Unit, CPU) sein. In manchen Fällen kann das Sicherheitsmodul in einen Fahrzeugrechner integriert sein oder als eigenständige Komponente (bspw. fahrzeuginterne- oder fahrzeugexterne Komponente) konzipiert sein, die bspw. mit dem Fahrzeugrechner kommuniziert. Ein „Domänencontroller“ kann eine in Hardware umgesetzte Peripherie umfassen und Zugriffsrechte zum Beispiel für Speicher und/oder externe Peripherien verwalten. Ein Domänencontroller kann verschiedene Peripherien segregieren und/oder den Speicher eines Systems protektieren, wobei eine Domäne eines Domänencontrollers ein zusammenhängender Bereich sein kann, der gleiche Zugriffsrechte auf Peripherien und/oder Speicher hat. Ein Domänencontroller kann bspw. ein Extended Ressource Domain Controller (XRDC) sein, der eine in Hardware umgesetzte Peripherie des S32G274A-Prozessors ist. Der letztere ist ein hoch Performanter Vehicle-Network-Prozessor der S32G2-Familie des Halbleiterherstellers NXP und stellt ein System-on-Chip (SoC) dar, welcher einen Mikrokontroller (pC) und Mikroprozessoranteile (pP-Anteile) umfasst.A “security module” (e.g. a central “security module”) may be a component for detecting violations of regulations on the allocation (or in other words “on the allocation”) of (assigned) system resources for the respective zones (including, for example, system modules). . Further, the security module of the present disclosure may serve the purpose of centralized collection and processing of detected violations. The security module can be part of the computer system or can be located outside the computer system and, for example, communicate with the computer system. The security module can be a hardware unit, which can have its own memory, preconfigured hardware logic, one or more registers and an internal data connection. (A register can, for example, contain or describe memory areas.) In addition, a security module can include respective logical and/or physical connections to the zones (including, for example, system modules). In this context, a security module can have one or more interfaces to the outside, for example to the zones, to a computing core, to one or more communication connections or any combination thereof. A security module can be part of a processor (Central Processing Unit, CPU). In some cases, the security module can be integrated into a vehicle computer or designed as an independent component (e.g. vehicle-internal or vehicle-external component) which, for example, communicates with the vehicle computer. A “domain controller” can include peripherals implemented in hardware and manage access rights, for example to memory and/or external peripherals. A domain controller can segregate various peripherals and/or protect the memory of a system, whereby a domain of a domain controller can be a contiguous area that has equal access rights to peripherals and/or memory. A domain controller can be, for example, an Extended Resource Domain Controller (XRDC), which is a hardware-implemented peripheral of the S32G274A processor. The latter is a high-performance vehicle network processor from the S32G2 family from the semiconductor manufacturer NXP and represents a system-on-chip (SoC) that includes a microcontroller (pC) and microprocessor components (pP components).
Ein „Rechenkern“ meint den zentralen Teil eines Mikroprozessors, wobei auch mehrere Rechenkerne in einem Mikroprozessor vorhanden sein können. Ein Rechenkern kann an eingegebenen Daten und/oder Informationen arithmetisch und/oder logische Operationen durchführen.A “computing core” means the central part of a microprocessor, although several computing cores can also be present in a microprocessor. A computing core can perform arithmetic and/or logical operations on input data and/or information.
Ein „Fahrzeug“ kann jegliche Vorrichtung, die Passagiere und/oder Fracht transportiert, sein. Ein Fahrzeug kann ein Kraftfahrzeug (zum Beispiel ein PKW oder ein LKW) sein, aber auch ein Schienenfahrzeug. Ein Fahrzeug kann auch ein motorisiertes, nicht motorisiertes und/oder ein muskelkraftbetriebenes Zwei- oder Dreirad sein. Allerdings können auch schwimmende und fliegende Vorrichtungen Fahrzeuge sein. Fahrzeuge können autonom operierend oder zumindest teilautonom operierend oder assistiert sein. Zum Beispiel kann das Fahrzeug in der vorliegenden Offenbarung einen teil- oder vollautonomen Roboter (z.B. einen Industrieroboter) umfassen.A “vehicle” can be any device that transports passengers and/or cargo. A vehicle can be a motor vehicle (for example a car or a truck), but also a rail vehicle. A vehicle can also be a motorized, non-motorized and/or a human-powered two- or three-wheeler. However, floating and flying devices can also be vehicles. Vehicles can operate autonomously or at least partially autonomously or be assisted. For example, in the present disclosure, the vehicle may include a partially or fully autonomous robot (e.g., an industrial robot).
Der Ausdruck „Erkennen einer Möglichkeit...“ bedeutet, dass bestimmte Ereignisse (z.B. Signale oder deren Ausbleiben) nach vorbestimmten Regeln interpretiert werden, um einen Zustand zu erkennen, in dem eine Manipulation einer oder mehreren Zonen vorliegen kann.The expression "detecting a possibility..." means that certain events (e.g. signals or their absence) are interpreted according to predetermined rules in order to detect a condition in which manipulation of one or more zones may occur.
Kurzbeschreibung der FigurenShort description of the characters
Fig. la ist ein Flussdiagramm, das ein Ausführungseispiel für ein computerimplementiertes Verfahren zur Mitigation einer Manipulation in einem Rechnersystem für eine Vorrichtung, insbesondere für ein Fahrzeug zeigt. Fig. 1b stellt ein Flussdiagramm dar, das weitere mögliche Verfahrensschritte gemäß dem ersten Aspekt zeigt.Fig. la is a flowchart that shows an exemplary embodiment of a computer-implemented method for mitigating manipulation in a computer system for a device, in particular for a vehicle. Fig. 1b represents a flowchart that shows further possible method steps according to the first aspect.
Fig. 2 zeigt schematisch eine beispielhafte Ausführungsform eines Rechnersystems 100 für eine Vorrichtung. Das Rechnersystem der Fig. 1 umfasst vier Zonen 20-23 (gestrichelte Kästen), sechs Systemmodule 30-35 und ein Modul zur Mitigation von Zonenmanipulationen 10. Außerdem sind in dieser Figur zwei Recheneinheiten 40, 41 und fünf Schnittstellen 50-54 dargestellt.2 shows schematically an exemplary embodiment of a computer system 100 for a device. 1 includes four zones 20-23 (dashed boxes), six system modules 30-35 and a module for mitigating zone manipulations 10. Two computing units 40, 41 and five interfaces 50-54 are also shown in this figure.
Fig. 3 illustriert eine beispielhafte Ausführungsform des Rechnersystems (einfachheitshalber ohne die dritte Zone 22), das zusätzlich zum Ausführungsbeispiel von Fig. 2 über Peripherien 60, 61, zwei Speicher 62, 63 und einen Domänencontroller 70 verfügt.Fig. 3 illustrates an exemplary embodiment of the computer system (for simplicity without the third zone 22), which, in addition to the exemplary embodiment of Fig. 2, has peripherals 60, 61, two memories 62, 63 and a domain controller 70.
Detaillierte BeschreibungDetailed description
Zunächst werden anhand der Fig. la und 1b Techniken zur Mitigation einer Manipulation in einem Rechnersystem für eine Vorrichtung, insbesondere für ein Fahrzeug, beschrieben. Anschließend werden zwei beispielhafte Strukturen eines Rechnersystems anhand der Fig. 2 und 3 besprochen.First, techniques for mitigating manipulation in a computer system for a device, in particular for a vehicle, are described with reference to FIGS. la and 1b. Two exemplary structures of a computer system will then be discussed using FIGS. 2 and 3.
Wie in den Fig. la und 1b skizziert, betrifft ein erster allgemeiner Aspekt ein computer-implementiertes Verfahren zur Mitigation einer Manipulation in einem Rechnersystem für eine Vorrichtung, insbesondere für ein Fahrzeug (bspw. ein autonom oder teilautonom operierendes Fahrzeug). Die Verfahrensschritte des entsprechenden unabhängigen Anspruchs sind in den durch durchgezogene Linien gezeichneten Kästen in Fig. la und 1b dargestellt, während die Verfahrensschritte einiger abhängiger Ansprüche in den durch gestrichelte Linien dargestellten Kästen gezeigt sind.As outlined in Figures la and 1b, a first general aspect relates to a computer-implemented method for mitigating manipulation in a computer system for a device, in particular for a vehicle (e.g. a vehicle operating autonomously or semi-autonomously). The method steps of the corresponding independent claim are shown in the boxes shown by solid lines in Figures la and 1b, while the method steps of some dependent claims are shown in the boxes shown by dashed lines.
In den vorliegenden Techniken umfasst das Rechnersystem eine Mehrzahl von Zonen 20-23, eine Mehrzahl von Systemressourcen 60-63 (bspw. Speicher, fahrzeuginterne und/oder fahrzeugexterne Peripherien,In the present techniques, the computer system includes a plurality of zones 20-23, a plurality of system resources 60-63 (e.g. memory, vehicle-internal and / or vehicle-external peripherals,
Kommunikationsressourcen, wie z.B. ein ganzes Bus-System oder ein Teil davon, siehe obige Diskussionen), und ein Modul zur Mitigation von Zonenmanipulationen 10, das zur Mitigation von Zonenmanipulationen in jeder der Mehrzahl von Zonen 20-23 ausgelegt ist (mögliche Ausführungsbespiele eines solchen Rechnersystems 100 sind in den Fig. 2 und 3 dargestellt). Dabei ist eine Zone eine logisch und/oder physisch abgrenzbare Einheit in dem Rechnersystem (wie weiter oben definiert). Beispielsweise können in dem Rechnersystem 100 eine oder mehr, zwei oder mehr, drei oder mehr, vier oder mehr, fünf oder mehr, sechs oder mehr, zehn oder mehr, zwanzig oder mehr, fünfzig oder mehr, einhundert oder mehr Zonen separiert werden. In einem nicht einschränkenden Beispiel von Fig. 2 sind vier Zonen 20, 21, 22 und 23 gezeigt.Communication resources, such as an entire bus system or part thereof, see discussions above), and a zone manipulation mitigation module 10 designed to mitigate zone manipulation in each of the plurality of zones 20-23 (possible embodiments of such a computer system 100 are shown in Figures 2 and 3). A zone is one logically and/or physically delimitable unit in the computer system (as defined above). For example, one or more, two or more, three or more, four or more, five or more, six or more, ten or more, twenty or more, fifty or more, one hundred or more zones can be separated in the computer system 100. In a non-limiting example of Figure 2, four zones 20, 21, 22 and 23 are shown.
Das Rechnersystem 100 des ersten Aspekts kann dazu ausgelegt sein, um eine Mehrzahl von Funktionen für die Vorrichtung, insbesondere für das Fahrzeug, bereitzustellen. Darüber hinaus kann das Rechnersystem 100 ferner eine Mehrzahl von Systemmodulen 30-35 (bspw. Hardware- und/oder Software- Einheiten, wie oben bereits erwähnt) aufweisen, wobei die Mehrzahl von Systemmodulen konfiguriert ist, um Funktionen für die Vorrichtung bereitzustellen (bspw. Funktionen für eine Steuerung, Regelung oder Überwachung der Vorrichtung, wie oben bereits besprochen). In den vorliegenden Techniken kann jedes Systemmodul oder ein Teil eines Systemmoduls aus einer ersten Anzahl von Systemmodulen 30, 31 der Mehrzahl von Systemmodulen der ersten Zone 20 aus der Mehrzahl von Zonen 20-23 zugeordnet sein. Zudem kann jedes Systemmodul oder ein Teil eines Systemmoduls aus einer zweiten Anzahl 32 von Systemmodulen der Mehrzahl von Systemmodulen der zweiten Zone 21 aus der Mehrzahl von Zonen zugeordnet sein. In Fig. 2 sind sechs Systemmodule 30 bis 35 beispielhaft gezeigt. Die zwei Systemmodule 30, 31 (die erste Anzahl von Systemmodulen in diesem Beispiel) sind der ersten Zone 20 zugeordnet, während das eine Systemmodul 32 (die zweite Anzahl von Systemmodulen in diesem Beispiel) der zweiten Zone 21 zugeordnet ist (diese Anordnung ist auch im Ausführungsbeispiel von Fig. 2 dargestellt). Auf gleiche Weise wie für die beiden Zonen 20 und 21 können ein oder mehrere andere Systemmodule oder Teile davon, die keiner der beiden Zonen zugeordnet sind, entsprechenden anderen Zonen zugeordnet werden, die sich von der ersten und zweiten Zone unterscheiden. Im Beispiel von Fig. 2 sind drei Systemmodule 33, 34 und 35 der dritten Zone 22 zugeordnet.The computer system 100 of the first aspect may be designed to provide a plurality of functions for the device, in particular for the vehicle. In addition, the computer system 100 may further comprise a plurality of system modules 30-35 (e.g. hardware and/or software units, as already mentioned above), the plurality of system modules being configured to provide functions for the device (e.g. Functions for controlling, regulating or monitoring the device, as already discussed above). In the present techniques, each system module or part of a system module from a first number of system modules 30, 31 of the plurality of system modules may be assigned to the first zone 20 from the plurality of zones 20-23. In addition, each system module or part of a system module from a second number 32 of system modules can be assigned to the plurality of system modules of the second zone 21 from the plurality of zones. In Fig. 2 six system modules 30 to 35 are shown as examples. The two system modules 30, 31 (the first number of system modules in this example) are assigned to the first zone 20, while the one system module 32 (the second number of system modules in this example) is assigned to the second zone 21 (this arrangement is also in Embodiment shown in Fig. 2). In the same way as for the two zones 20 and 21, one or more other system modules or parts thereof that are not assigned to either zone may be assigned to corresponding other zones that are different from the first and second zones. In the example of FIG. 2, three system modules 33, 34 and 35 are assigned to the third zone 22.
In manchen Fällen können in einer Zone eine oder mehr, zwei oder mehr, drei oder mehr, vier oder mehr, fünf oder mehr, sechs oder mehr, zehn oder mehr, zwanzig oder mehr, fünfzig oder mehr, einhundert oder mehr Systemmodule (z.B. Prozessoren oder andere Realisierungen von Systemmodulen gemäß den obigen Definitionen) oder Teile davon (z.B. Rechenkerne) angeordnet sein. Zum Beispiel kann die erste Zone 20 einen Teil (z.B. zwei Rechenkerne) der mehreren Rechenkerne eines Prozessors (z.B. vier Rechenkerne) umfassen und die zweite Zone 21 kann einen anderen Teil (z.B. zwei verbleibende Rechenkerne) der mehreren Rechenkerne des Prozessors umfassen (in den Figuren nicht gezeigt). Beispielsweise kann auf einem Rechenkern des Prozessors, der der ersten Zone 20 zugeordnet ist, eine erste Softwareapplikation ausgeführt werden und auf mindestens einem Rechenkern, der der zweiten Zone 21 zugeordnet ist, eine zweite Softwareapplikation ausgeführt werden. In manchen Beispielen kann eine Zone Schnittstellen, Bussysteme oder Teile derselben umfassen. In Fig. 2 ist beispielhaft die erste Zone 20, die eine erste Schnittstelle 50 und eine zweite Schnittstelle 51 umfasst, eine zweite Zone 21, die eine Schnittstelle 52 umfasst, und die dritte Zone 22, die eine Schnittstelle 53 umfasst, gezeigt. Beispielsweise kann eine Schnittstelle eine CAN-Bus-Schnittstelle, eine CAN-FD-Bus- Schnittstelle und/oder einen GMAC-Port umfassen.In some cases, a zone may contain one or more, two or more, three or more, four or more, five or more, six or more, ten or more, twenty or more, fifty or more, one hundred or more system modules (e.g., processors or other implementations of system modules according to the above definitions) or parts thereof (e.g. computing cores). For example, the first zone 20 can be a part (eg two computing cores) of the several Computing cores of a processor (eg four computing cores) and the second zone 21 may comprise another part (eg two remaining computing cores) of the multiple computing cores of the processor (not shown in the figures). For example, a first software application can be executed on a computing core of the processor that is assigned to the first zone 20 and a second software application can be executed on at least one computing core that is assigned to the second zone 21. In some examples, a zone may include interfaces, bus systems, or portions thereof. 2 shows, by way of example, the first zone 20, which includes a first interface 50 and a second interface 51, a second zone 21, which includes an interface 52, and the third zone 22, which includes an interface 53. For example, an interface may include a CAN bus interface, a CAN FD bus interface and/or a GMAC port.
In den Techniken der vorliegenden Offenbarung ist einer ersten Zone 20 der Mehrzahl von Zonen eine erste Anzahl von Systemressourcen 60-62 (bspw. Software- und/oder Hardware-Komponente) aus der Mehrzahl von Systemressourcen 60-63 zugeordnet. Zudem ist einer zweiten Zone 21 der Mehrzahl von Zonen eine zweite Anzahl von Systemressourcen 62, 63 aus der Mehrzahl von Systemressourcen 60-63 zugeordnet, die sich von der ersten Anzahl der Mehrzahl von System ressourcen unterscheidet. Wie oben bereits besprochen, können „Systemressourcen“ entsprechende Dienste für Systemmodule bereitstellen und sind bspw. für die Ausführbarkeit einer oder mehrerer Funktionen des Rechnersystems erforderlich. Dabei kann die zweite Anzahl vonIn the techniques of the present disclosure, a first zone 20 of the plurality of zones is assigned a first number of system resources 60-62 (e.g., software and/or hardware component) from the plurality of system resources 60-63. In addition, a second zone 21 of the plurality of zones is assigned a second number of system resources 62, 63 from the plurality of system resources 60-63, which differs from the first number of the plurality of system resources. As already discussed above, “system resources” can provide corresponding services for system modules and are, for example, required for the execution of one or more functions of the computer system. The second number of
Systemressourcen 62, 63 eingeschränkter sein als die erste Anzahl von Systemressourcen 60-62. Zum Beispiel kann die zweite Anzahl vonSystem resources 62, 63 may be more limited than the first number of system resources 60-62. For example, the second number of
Systemressourcen weniger System ressourcen umfassen als die erste Anzahl von Systemressourcen. Alternativ oder zusätzlich kann die zweite Zone 21 weniger Zugriffsrechte auf dieselben oder andere Systemressourcen besitzen, wie im Folgenden genauer erläutert wird. In einem nicht einschränkenden Beispiel von Fig. 2 sind zwei Peripherien 60, 61 und ein Speicher 62 (die erste Anzahl von Systemressourcen in diesem Beispiel) der ersten Zone 20 zugeordnet (bspw. mittels eines Domänencontrollers 70, mehr dazu weiter unten), während zwei Speicher 62, 63 (die zweite Anzahl von Systemressourcen in diesem Beispiel) der zweiten Zone 21 zugeordnet sind. Im Beispiel von Fig. 2 ist dieselbe Systemressource, nämlich der Speicher 62, den beiden Zonen 20, 21 zugeordnet und die anderen System ressourcen 60, 61 und 63 sind jeweils der ersten 20 und der zweiten Zone 21 zugeordnet. In manchen Fällen kann dieselbe Systemressource zwei oder mehreren Zonen zugeordnet werden. In anderen Fällen kann eine Systemressource nur einer entsprechenden Zone und keiner anderen Zone zugeordnet werden.System resources include fewer system resources than the first number of system resources. Alternatively or additionally, the second zone 21 may have fewer access rights to the same or other system resources, as will be explained in more detail below. In a non-limiting example of Fig. 2, two peripherals 60, 61 and a memory 62 (the first number of system resources in this example) are assigned to the first zone 20 (e.g. by means of a domain controller 70, more on this below), while two Memory 62, 63 (the second number of system resources in this example) are assigned to the second zone 21. In the example of Fig. 2, the same system resource, namely the memory 62, is assigned to the two zones 20, 21 and the other system resources 60, 61 and 63 are assigned to the first 20 and the second zone 21, respectively. In some cases the same can System resource can be assigned to two or more zones. In other cases, a system resource can only be assigned to a corresponding zone and not to any other zone.
Der erste Schritt des Verfahrens umfasst Erkennen 200 der Möglichkeit einer Manipulation der ersten Zone 20 der Mehrzahl von Zonen 20-23 in dem Modul zur Mitigation von Zonenmanipulationen 10. Alternativ oder zusätzlich umfasst das Verfahren des ersten Aspekts Erkennen 200 der Möglichkeit einer Manipulation der zweiten Zone 21 der Mehrzahl von Zonen 20-23 in dem Modul zur Mitigation von Zonenmanipulationen 10. Dabei ist eine manipulierte Zone eine Zone, für die Verstöße gegen Vorschriften über die Zuordnung (oder anders ausgedrückt „über die Zuteilung“) von Systemressourcen, die dieser Zone zugeordnet sind, erkannt wurden. Wie weiter unten erläutert, können bspw. die erste und/oder die zweite Zone (bspw. Systemmodule, die diesen Zonen zugeordnet sind) aufgrund eines externen Eingriffs (oder anderes ausgedrückt: ein Eindringen von außen) auf eine unerlaubte Systemressource zugreifen (bspw. kann die erste Zone 20 schreibend auf den Speicher 62 zugreifen, obwohl diese Zone nur lesend auf den Speicher zugreifen darf, mehr dazu weiter unten).The first step of the method includes detecting 200 the possibility of manipulation of the first zone 20 of the plurality of zones 20-23 in the zone manipulation mitigation module 10. Alternatively or additionally, the method of the first aspect includes detecting 200 the possibility of manipulating the second zone 21 of the plurality of zones 20-23 in the zone manipulation mitigation module 10. A manipulated zone is a zone for which violations of regulations on the allocation (or in other words “on the allocation”) of system resources assigned to this zone are, have been recognized. As explained further below, for example, the first and/or the second zone (e.g. system modules assigned to these zones) may access (e.g. can) an unauthorized system resource due to an external intervention (or in other words: an intrusion from outside). the first zone 20 can access the memory 62 for writing purposes, although this zone is only allowed to access the memory for reading purposes (more on this below).
In den Techniken der vorliegenden Offenbarung kann eine Manipulation der ersten Zone 20 erkannt werden 250 (oder anders ausgedrückt „detektiert“ werden), bspw. durch ein Sicherheitsmodul (siehe obige Definitionen) und/oder durch ein anderes entsprechendes Modul (bspw. ein Systemmodul), das der manipulierten Zone zugeordnet ist (nicht in den Figuren gezeigt). Alternativ oder zusätzlich kann eine Manipulation der zweiten Zone 21 erkannt werden 250. Darüber hinaus kann ein Signal, das die Manipulation der ersten Zone 20 und/oder der zweiten Zone 21 anzeigt, erzeugt werden 260. Das Signal kann in dem Sicherheitsmodul (bspw. in einem zentralen Sicherheitsmodul) und/oder in dem anderen entsprechenden Modul erzeugt werden (bspw. für das Modul zur Mitigation von Zonenmanipulationen 10). Dabei kann das Erkennen 200 der Möglichkeit der Manipulation der ersten Zone 20 und/oder der zweiten Zone 21 basierend auf dem Signal, das die Manipulation der manipulierten Zone anzeigt, erfolgen. Insbesondere kann das Sicherheitsmodul und/oder das andere entsprechende Modul konfiguriert sein, um das erzeugte Signal zu senden. Das Modul zur Mitigation von Zonenmanipulationen 10 kann seinerseits konfiguriert sein, um das erzeugte Signal zu empfangen. Zudem kann dieses Signal bspw. in dem Modul zur Mitigation von Zonenmanipulationen verarbeitet werden (bspw. anhand vorbestimmter Regeln interpretiert), um festzustellen, ob in der jeweiligen Zone eine Manipulation stattgefunden hat oder eben nicht.In the techniques of the present disclosure, manipulation of the first zone 20 can be detected 250 (or in other words “detected”), for example, by a security module (see definitions above) and/or by another corresponding module (e.g., a system module). , which is associated with the manipulated zone (not shown in the figures). Alternatively or additionally, a manipulation of the second zone 21 can be detected 250. In addition, a signal that indicates the manipulation of the first zone 20 and/or the second zone 21 can be generated 260. The signal can be in the security module (e.g. in a central security module) and/or in the other corresponding module (e.g. for the module for mitigating zone manipulation 10). The recognition 200 of the possibility of manipulation of the first zone 20 and/or the second zone 21 can take place based on the signal that indicates the manipulation of the manipulated zone. In particular, the security module and/or the other corresponding module can be configured to send the generated signal. The zone tamper mitigation module 10 may in turn be configured to receive the generated signal. In addition, this signal can be processed, for example, in the module for mitigating zone manipulation (e.g. using interpreted according to predetermined rules) to determine whether manipulation has taken place in the respective zone or not.
Zusätzlich oder alternativ kann das Erkennen das Erkennen eines Ausbleibens eines (erwarteten) Signals umfassen. In manchen Fällen können das oben erwähnte Sicherheitsmodul und/oder das andere entsprechende Modul konfiguriert werden, um das Signal nach einem vorbestimmten Zeitplan an das Modul zur Mitigation von Zonenmanipulationen 10 zu senden (bspw. regelmäßig einmal pro einen vorbestimmten Zeitintervall und/oder unregelmäßig, wenn die jeweiligen aufeinanderfolgenden Zeitintervalle zwischen den gesendeten Signalen unterschiedlich sind). In diesem Fall kann das Ausbleibens des Signals zu einem vorgeplanten (erwarteten) Zeitpunkt auf der Seite des Moduls zur Mitigation von Zonenmanipulationen 10 als eine entsprechende Manipulation interpretiert werden.Additionally or alternatively, detecting may include detecting the absence of an (expected) signal. In some cases, the above-mentioned security module and/or the other corresponding module may be configured to send the signal to the zone tamper mitigation module 10 on a predetermined schedule (e.g., regularly once per a predetermined time interval and/or irregularly, if). the respective successive time intervals between the transmitted signals are different). In this case, the absence of the signal at a pre-planned (expected) time can be interpreted on the side of the zone manipulation mitigation module 10 as a corresponding manipulation.
In den vorliegenden Techniken können das Erkennen der Möglichkeit einer Manipulation der anderen Zonen (bspw. der dritten, vierten, fünften Zone usw.) auf die gleiche Weise erfolgen wie für die erste bzw. zweite Zone.In the present techniques, detecting the possibility of manipulation of the other zones (e.g., the third, fourth, fifth zone, etc.) can be done in the same way as for the first and second zones, respectively.
In dem nächsten Schritt umfassen die vorliegenden Techniken Einleiten 300 einer Gegenmaßnahme zur Mitigation der Manipulation der ersten Zone 20 durch das Modul zur Mitigation von Zonenmanipulationen 10. Alternativ oder zusätzlich leitet das Modul zur Mitigation von Zonenmanipulationen 10 eine Gegenmaßnahme zur Mitigation der Manipulation der zweiten Zone 21 ein. Das Verfahrensschritt „Einleiten“ kann in Reaktion auf das Erkennen der Möglichkeit einer Manipulation der ersten Zone 20 und/oder einer Manipulation der zweiten Zone 21 durchgeführt werden. Anders ausgedrückt kann das Modul zur Mitigation von Zonenmanipulationen 10 die Gegenmaßnahme einleiten, um Auswirkungen von Manipulationen durch einen externen Eingriff (bspw. einen Cyberangriff) auf das Rechnersystem abzumildern. In manchen Fällen kann eine solche Gegenmaßnahme zu einer Änderung von Zugriffrechten auf Systemressourcen führen, die einer manipulierten Zone zugewiesen sind, wie weiter unten in Detail erläutert wird. Zum Beispiel wenn eine Zone zwei oder mehr verschiedene Zugriffrechte für das Nutzen einer Systemressource hat (bspw. darf die Zone 20 im Beispiel von Fig. 2 den Speicher 62 lesend, schreibend und ausführend nutzen), kann als Gegenmaßnahme eine Anzahl von Zugriffsrechten zum Nutzen dieser Systemressource reduziert werden (bspw. wird der Zone 20 als Gegenmaßnahme erlaubt, den Speicher 62 nur lesend zu nutzen), mehr dazu weiter unten. Dabei können dem Modul zur Mitigation von Zonenmanipulationen 10 Zugriffsrechte auf Systemressourcen, welche manipulierten Zone zugewiesen sind, gewährt werden.In the next step, the present techniques include initiating 300 a countermeasure for mitigating the manipulation of the first zone 20 by the zone manipulation mitigation module 10. Alternatively or additionally, the zone manipulation mitigation module 10 initiates a countermeasure for mitigating the manipulation of the second zone 21 a. The “initiate” method step can be carried out in response to recognizing the possibility of manipulation of the first zone 20 and/or manipulation of the second zone 21. In other words, the zone manipulation mitigation module 10 can initiate the countermeasure to mitigate the effects of manipulation by an external intervention (e.g. a cyber attack) on the computer system. In some cases, such a countermeasure may result in a change in access rights to system resources assigned to a compromised zone, as discussed in detail below. For example, if a zone has two or more different access rights to use a system resource (e.g., zone 20 in the example of FIG. 2 may read, write and execute memory 62), the countermeasure may be a number of access rights to use this System resource can be reduced (for example, as a countermeasure, zone 20 is allowed to only use memory 62 for reading purposes), more on this further down. The module for mitigating zone manipulation can be granted 10 access rights to system resources that are assigned to the manipulated zone.
Im Rechnersystem 100 der vorliegenden Techniken kann die erste Zone 20 der Mehrzahl von Zonen vertrauenswürdiger sein als die zweite 21, weniger vertrauenswürdige Zone der Mehrzahl von Zonen, wobei die Gefahr einer Manipulation einer vertrauenswürdigeren Zone geringer ist als einer weniger vertrauenswürdigen Zone. Wie oben bereits erwähnt kann eine Manipulation dabei einen externen Eingriff umfassen, der die Betriebssicherheit der Vorrichtung reduziert. Des Weiteren kann in manchen Fällen eine dritte Zone 22 der Mehrzahl von Zonen vertrauenswürdiger als oder gleich vertrauenswürdig wie die erste Zone 20 sein. In anderen Fällen kann die dritte Zone 22 vertrauenswürdiger als oder gleich vertrauenswürdig wie die zweite Zone 21 und weniger vertrauenswürdig als die erste Zone sein. In noch weiteren Fällen kann die dritte Zone 22 weniger vertrauenswürdig als die zweite Zone 21 und die erste Zone 20 sein. Auf diese Weise können auch andere Zonen (bspw. alle Zonen) der Mehrzahl von Zonen eingestuft werden, wie vertrauenswürdig sie im Verhältnis zueinander sind.In the computer system 100 of the present techniques, the first zone 20 of the plurality of zones may be more trustworthy than the second 21, less trustworthy zone of the plurality of zones, with a lower risk of tampering with a more trustworthy zone than with a less trustworthy zone. As already mentioned above, manipulation can include an external intervention that reduces the operational reliability of the device. Furthermore, in some cases, a third zone 22 of the plurality of zones may be more trustworthy than or equally trustworthy as the first zone 20. In other cases, the third zone 22 may be more trustworthy than or equal to the second zone 21 and less trustworthy than the first zone. In still other cases, the third zone 22 may be less trustworthy than the second zone 21 and the first zone 20. In this way, other zones (e.g. all zones) of the majority of zones can also be classified in terms of how trustworthy they are in relation to one another.
Inwiefern eine Zone der Mehrzahl von Zonen vertrauenswürdiger oder weniger vertrauenswürdig ist, das heißt der Grad einer Vertrauenswürdigkeit, kann auf einer Einteilung von Zonen 20-23 anhand eines Sicherheitslevels („Security- Level“) basieren. Das Rechnersystem der vorliegenden Offenbarung kann mindestens zwei Sicherheitslevels haben, aber auch mehr als zwei Sicherheitslevels (z.B. mehr als fünf). Der Grad der Vertrauenswürdigkeit bzw. das Sicherheitslevel kann durch die Konfiguration der entsprechenden Zone (bspw. der darin enthaltenen Systemmodule) bestimmt sein. Beispielsweise kann der Grad der Absicherung, bzw. der Umfang von Absicherungsmaßnahmen, mit denen die Systemmodule einer Zone 20-23 zum Beispiel vor Manipulation beispielsweise im Rahmen eines externen Eingriffs, geschützt wird, bestimmen, ob eine Zone 20-23 vertrauenswürdiger oder weniger vertrauenswürdig ist bzw. welches Sicherheitslevel sie hat (z.B. das Vorhandensein bestimmter Hardware- und/oder Software-basiertes Absicherungsmaßnahmen in den Systemmodulen der Zone). Weiter kann zum Beispiel der Umfang der Kommunikation der Systemmodule, die in der entsprechenden Zone angeordnet sind, mit externen Systemen, wie zum Beispiel einem Backend, bestimmen, welchen Grad der Vertrauenswürdigkeit eine Zone aufweist bzw. welches Sicherheitslevel sie hat. Beispielsweise kann eine Zone, die überwiegend oder ausschließlich innerhalb des Rechnersystems kommuniziert, vertrauenswürdiger sein, als eine Zone, die zumindest teilweise mit externen Systemen (z.B. einem Backend, anderen Vorrichtungen wie Fahrzeugen oder Infrastruktur-Komponenten) kommuniziert.The extent to which a zone of the majority of zones is more trustworthy or less trustworthy, i.e. the degree of trustworthiness, can be based on a classification of zones 20-23 based on a security level. The computer system of the present disclosure can have at least two security levels, but also more than two security levels (eg more than five). The degree of trustworthiness or the security level can be determined by the configuration of the corresponding zone (e.g. the system modules it contains). For example, the level of security or the extent of security measures with which the system modules of a zone 20-23 are protected against manipulation, for example as part of an external intervention, can determine whether a zone 20-23 is more trustworthy or less trustworthy or what level of security it has (e.g. the presence of certain hardware and/or software-based security measures in the zone's system modules). Furthermore, for example, the extent of communication between the system modules, which are arranged in the corresponding zone, with external systems, such as a backend, can determine what level of trustworthiness a zone has or what security level it has. For example, a zone that is predominantly or exclusively within of the computer system can be more trustworthy than a zone that communicates at least partially with external systems (e.g. a backend, other devices such as vehicles or infrastructure components).
In manchen Beispielen können die Zonen bezüglich ihrer Vertrauenswürdigkeit in nicht-vertrauenswürdige Zonen und vertrauenswürdige Zonen eingeteilt werden. Zwei Zonen 20, 21, wie hierin beschrieben, können zum Beispiel vertrauenswürdig sein und eine weniger vertrauenswürdige dritte Zone 22 kann zum Beispiel nichtvertrauenswürdig sein (siehe Fig. 2). Das Rechnersystem 100, bspw. ein Rechnersystem eines Fahrzeugs, kann zum Beispiel Ziel eines Cyberangriffs sein, wodurch sicherheitskritische Funktionen, zum Beispiel eine Bremsfunktion in einem Fahrzeug, außer Funktion gesetzt oder derart manipuliert werden können, dass eine Gefahrensituation entstehen kann. Eine vertrauenswürdigere Zone 20, 21 ist dabei eine Zone deren Manipulation weniger wahrscheinlich ist als eine weniger vertrauenswürdige Zone 22. Beispielsweise kann eine Zone 22, die Multimedia-Funktionen umfasst und viele Schnittstellen zur Kommunikation mit einem Backend aufweist, eine weniger vertrauenswürdige Zone 22 sein, da die Wahrscheinlichkeit eines externen Eingriffs auf einen Kommunikationskanal zu dem Backend höher ist als bei einer Zone 20, die überwiegend Funktionen umfasst, die nur Informationen von innerhalb des Fahrzeugs benötigen und/oder nur innerhalb des Fahrzeugs Prozesse ausführen. Darüber hinaus kann das Modul zur Mitigation von Zonenmanipulationen 10, das für Einleiten von Gegenmaßnahmen zur Mitigation der Manipulation in verschiedenen Zonen zuständig ist, der ersten Zone 20 der Mehrzahl von Zonen, oder einer anderen Zone 23 der Mehrzahl von Zonen, die vertrauenswürdiger ist als die erste Zone, zugeordnet werden. In manchen Fällen kann das Modul zur Mitigation von Zonenmanipulationen 10 der vertrauenswürdigsten Zone 23 der Mehrzahl von Zonen zugeordnet werden (z.B. kann das Modul zur Mitigation von Zonenmanipulationen 10 der vierten vertrauenswürdigsten Zone 23 zugeordnet werden, wie dies die Fig. 2 und 3 veranschaulichen).In some examples, the zones can be classified in terms of trustworthiness into untrusted zones and trusted zones. For example, two zones 20, 21 as described herein may be trusted and a less trusted third zone 22 may be untrusted, for example (see Figure 2). The computer system 100, for example a computer system of a vehicle, can, for example, be the target of a cyber attack, whereby safety-critical functions, for example a braking function in a vehicle, can be disabled or manipulated in such a way that a dangerous situation can arise. A more trustworthy zone 20, 21 is a zone whose manipulation is less likely than a less trustworthy zone 22. For example, a zone 22 that includes multimedia functions and has many interfaces for communication with a backend can be a less trustworthy zone 22. since the probability of external intervention on a communication channel to the backend is higher than with a zone 20, which predominantly includes functions that only require information from within the vehicle and/or only execute processes within the vehicle. Furthermore, the zone tamper mitigation module 10 responsible for initiating tamper mitigation countermeasures in various zones may be the first zone 20 of the plurality of zones, or another zone 23 of the plurality of zones which is more trustworthy than that first zone. In some cases, the zone tamper mitigation module 10 may be associated with the most trusted zone 23 of the plurality of zones (e.g., the zone tamper mitigation module 10 may be associated with the fourth most trusted zone 23, as illustrated in FIGS. 2 and 3).
In den vorliegenden Techniken können die von der Systemmodulen bereitgestellten Funktionen für die Betriebssicherheit der Vorrichtung unterschiedlich kritisch sein. Eine erste kritischere Funktion der Mehrzahl von Funktionen kann durch ein Systemmodul 30, 31 der ersten Zone 20 und eine zweite weniger kritische Funktion der Mehrzahl von Funktionen durch ein Systemmodul 32 der zweiten Zone 21 bereitgestellt werden. In manchen Fällen können zwei oder mehr Systemmodule (bspw. alle Systemmodule) der zweiten Zone entsprechende Funktionen bereitstellen, welche weniger kritisch sind als alle Funktionen, die von den Systemmodulen der ersten Zone bereitgestellt werden. Neben der Einteilung der Zonen 20-23 nach einem Grad der Vertrauenswürdigkeit also einem Sicherheitslevel, sind die Zonen also zudem bezüglich der Relevanz für die Betriebssicherheit (z.B. mittels eines Sicherheitslevels oder „Safety-Level“), das heißt die Kritikalität der Funktion der Zone für die Betriebssicherheit der Vorrichtung, klassifiziert. Eine Zone 20, deren Manipulation zu einer schwerwiegenden Gefahrensituation führen kann, ist dabei kritischer als eine Zone 21, deren Manipulation zu keiner schwerwiegenden Gefahrensituation oder zu einer weniger schwerwiegenden Gefahrensituation führen kann. Zum Beispiel kann eine Zone 21, die Multimedia-Funktionen umfasst, weniger kritisch sein als eine Zone 20, die zum Beispiel eine Bremsfunktion umfasst. Im voranstehenden Beispiel ist die Wahrscheinlichkeit, dass durch das Ausfallen der Musik im Innenraum eines Fahrzeugs eine Gefahrensituation erzeugt wird, weniger hoch als die Wahrscheinlichkeit, dass ein Nichtfunktionieren der Bremsen eines Fahrzeugs eine Gefahrensituation hervorrufen kann. Zudem kann eine Zone 23, der das Modul zur Mitigation von Zonenmanipulationen 10 zugewiesen ist, kritischer sein als eine oder mehrere (bspw. alle) andere Zonen der Mehrzahl von Zonen. Zurück zu dem Beispiel von Fig. 2: die vierte Zone 23 ist kritischer als die anderen drei Zonen 20, 21 und 22. Eine Klassifizierung der Zonen anhand eines Sicherheitslevels bzw. Safety-Levels bzw. der Relevanz für die Betriebssicherheit der Vorrichtung kann in jeder geeigneten Weise erfolgen. In manchen Beispielen kann die Klassifizierung durch die Automotive-Safety-Integrity-Level-(ASIL)- Klassifizierung erfolgen, wobei die Klassifizierung fünf Stufen (QM (am wenigsten kritisch), ASIL-A, ASIL-B, ASIL-C und ASIL-D (am kritischsten)) umfassen kann. Zum Beispiel kann sich die Relevanz, das heißt die Kritikalität, einer Zone für die Betriebssicherheit aus der Schwere, der Häufigkeit, der Kontrollierbarkeit einer Sicherheitsgefahr oder eine beliebige Kombination davon in der jeweiligen Zone ableiten.In the present techniques, the functions provided by the system modules may have varying levels of criticality to the operational safety of the device. A first, more critical function of the plurality of functions can be provided by a system module 30, 31 of the first zone 20 and a second, less critical function of the plurality of functions by a system module 32 of the second zone 21. In some cases, two or more system modules (e.g. all system modules) of the second Zone provide appropriate functions that are less critical than any functions provided by the system modules of the first zone. In addition to the division of zones 20-23 according to a degree of trustworthiness, i.e. a security level, the zones are also related to the relevance for operational safety (e.g. by means of a security level or “safety level”), i.e. the criticality of the function of the zone the operational safety of the device. A zone 20, the manipulation of which can lead to a serious dangerous situation, is more critical than a zone 21, the manipulation of which cannot lead to a serious dangerous situation or to a less serious dangerous situation. For example, a zone 21 that includes multimedia functions may be less critical than a zone 20 that includes, for example, a braking function. In the above example, the probability that the failure of music in the interior of a vehicle will create a dangerous situation is less high than the probability that a malfunctioning brake of a vehicle can create a dangerous situation. In addition, a zone 23 to which the zone manipulation mitigation module 10 is assigned may be more critical than one or more (e.g. all) other zones of the plurality of zones. Back to the example of Fig. 2: the fourth zone 23 is more critical than the other three zones 20, 21 and 22. A classification of the zones based on a safety level or safety level or the relevance for the operational safety of the device can be done in each be done in an appropriate manner. In some examples, the classification may be through the Automotive Safety Integrity Level (ASIL) classification, where the classification has five levels (QM (least critical), ASIL-A, ASIL-B, ASIL-C and ASIL- D (most critical)) may include. For example, the relevance, i.e. the criticality, of a zone for operational safety can be derived from the severity, frequency, controllability of a safety hazard or any combination thereof in the respective zone.
In den vorliegenden Techniken können den Zonen aus der Mehrzahl von Zonen entsprechende Zugriffsrechte auf Systemressourcen zugewiesen sein. Mit anderen Worten: einer Zone kann ein Zugriff auf eine Systemressource verwehrt oder durch ein Zugriffsrecht erlaubt werden. Die Zugriffsrechte können einen erlaubten lesenden, schreibenden, ausführenden Zugriff oder eine beliebige Kombination davon einer Zone auf eine entsprechende Systemressource umfassen. In manchen Fällen können ein oder mehrere einer Zone zugewiesene Zugriffsrechte im Laufe der Zeit unverändert bleiben (z.B. kann das Zugriffsrecht vor dem Betrieb des Rechnersystems oder während seines Betriebs vordefiniert werden). In anderen Fällen können sich ein oder mehrere einer Zone zugewiesene Zugriffsrechte im Laufe der Zeit ändern (z.B. es ist einer Zone beim Starten des Rechnersystem erlaubt, eine Systemressource lesend zu benutzen, während es dieser Zone zu einem anderen Zeitpunkt erlaubt wird, dieselbe System ressou ree lesend und schreibend zu benutzen). In einem Beispiel kann ein Zugriff für eine Zone auf eine Systemressource als erlaubt eingestuft werden, wenn ein vorbestimmtes Kriterium erfüllt ist. Zudem kann der Zugriff für dieselbe Zone auf die Systemressource als unerlaubt eingestuft werden, wenn das vorbestimmte Kriterium nicht erfüllt ist. Bei dem vorbestimmten Kriterium kann es sich um ein Kriterium handeln, das sich auf Kontext- Informationen der Vorrichtung und/oder einer Vielzahl von Vorrichtungen bezieht, z.B. auf Kontext- Informationen eines Fahrzeugs (oder seiner Fahrzeugkomponenten) und/oder einer Fahrzeugflotte. Zum Beispiel können die Kontext- Informationen des Fahrzeugs (oder seine Fahrzeugkomponenten) Informationen über einen Betriebszustand des Fahrzeugs (oder seine Fahrzeugkomponenten) und/oder über vorbestimmte Regeln zum Betrieb des Fahrzeugs (oder seine Fahrzeugkomponenten) umfassen. (Diese Definition kann in ähnlicher Weise auf die gesamte Fahrzeugflotte ausgedehnt werden.) In einem anderen Beispiel kann das vorbestimmte Kriterium erfordern, dass eine zu erwartende Anzahl von Nachrichten, die in einem vorbestimmten Zeitraum von einer Zone gesendet wird (bspw. über ein CAN-Bussystem), kleiner oder gleich einem vorbestimmten Wert sein muss (oder größer oder gleich einem vorbestimmten Wert sein muss). In weiteren Beispielen kann das vorgegebene Kriterium eine vorgegebene Reihenfolge, in der die Daten aus der Zone gesendet werden, und/oder einen vorgegebenen Bereich, der in den gesendeten Daten eines bestimmten Typs enthalten ist (bspw. ein Wert liegt zwischen einem vorbestimmten Wert und einem anderen vorbestimmten Wert und/oder ein vorbestimmtes Muster ist darin enthalten), umfassen. In noch anderen Beispielen kann das vorbestimmte Kriterium eines oder mehrere oben genannten Kriterien umfassen.In the present techniques, zones among the plurality of zones may be assigned corresponding access rights to system resources. In other words, a zone can be denied access to a system resource or allowed through an access right. The access rights can include permitted read, write, execute access or any combination thereof of a zone to a corresponding system resource. In some cases, one or more access rights assigned to a zone may remain unchanged over time (e.g., the access right be predefined before the operation of the computer system or during its operation). In other cases, one or more access rights assigned to a zone may change over time (e.g., a zone is permitted to read-use a system resource at computer system startup, while at another time that zone is permitted to use the same system resource reading and writing). In one example, access for a zone to a system resource may be classified as permitted if a predetermined criterion is met. In addition, access for the same zone to the system resource can be classified as unauthorized if the predetermined criterion is not met. The predetermined criterion can be a criterion that relates to contextual information of the device and/or a plurality of devices, for example to contextual information of a vehicle (or its vehicle components) and/or a vehicle fleet. For example, the contextual information of the vehicle (or its vehicle components) may include information about an operating state of the vehicle (or its vehicle components) and/or about predetermined rules for operating the vehicle (or its vehicle components). (This definition can similarly be extended to the entire vehicle fleet.) In another example, the predetermined criterion may require that an expected number of messages be sent in a predetermined period of time from a zone (e.g. over a CAN Bus system), must be less than or equal to a predetermined value (or must be greater than or equal to a predetermined value). In further examples, the predetermined criterion may be a predetermined order in which the data is sent from the zone and/or a predetermined range included in the sent data of a particular type (e.g. a value is between a predetermined value and a another predetermined value and/or a predetermined pattern is included therein). In still other examples, the predetermined criterion may include one or more criteria mentioned above.
In manchen Fällen können der zweiten Zone weniger Zugriffsrechte auf die zweite Anzahl von Systemressourcen zugewiesen werden als der ersten Zone auf die erste Anzahl von Systemressourcen. Zurück zu dem Beispiel von Fig. 2: der ersten Zone 20 der Mehrzahl von Zonen, die vertrauenswürdiger sein kann als die zweite, weniger vertrauenswürdige Zone 21, kann ein Zugriffsrecht zur Nutzung des Speichers 62 zum Lesen und Schreiben oder zum Lesen, Schreiben und Ausführen einer Softwareapplikation gewährt werden. Andererseits kann der zweiten, weniger vertrauenswürdige Zone 21 ein Zugriffsrecht zur Nutzung des Speichers 62 zum Lesen gewährt werden, während der Zugriff zum Schreiben und/oder zum Ausführen einer Softwareapplikation verwehrt wird.In some cases, the second zone may be assigned fewer access rights to the second number of system resources than the first zone to the first number of system resources. Returning to the example of Fig. 2, the first zone 20 of the plurality of zones, which may be more trusted than the second, less trusted zone 21, may have an access right to use the memory 62 for reading and writing or for reading, writing and executing a software application. On the other hand, he can second, less trustworthy zone 21 is granted an access right to use the memory 62 for reading, while access for writing and / or executing a software application is denied.
In den vorliegenden Techniken kann ein Verstoß gegen Vorschriften über eine zugeordnete System ressou ree für eine Zone einem unerlaubten Zugriff dieser Zone auf eine System ressou ree entsprechen, für die der entsprechenden Zone kein Zugriffsrecht zugeordnet ist. Zum Beispiel können die Verstöße gegen die Vorschriften über die Zuordnung der ersten Anzahl von Systemressourcen der Mehrzahl von Systemressourcen für die erste Zone einem oder mehreren unerlaubten Zugriffen der ersten Zone auf eine oder mehrere Systemressourcen entsprechen, für die der ersten Zone keine Zugriffsrechte zugewiesen sind. Alternativ oder zusätzlich können die Verstöße gegen die Vorschriften über die Zuordnung der zweiten Anzahl von Systemressourcen der Mehrzahl von Systemressourcen für die zweite Zone einem oder mehreren unerlaubten Zugriffen der zweiten Zone auf eine oder mehrere Systemressourcen entsprechen, für die der zweiten Zone keine Zugriffsrechte zugewiesen sind. Zum Beispiel kann ein Verstoß gegen Vorschriften über die für die erste Zone (oder eine andere Zone) zugeordneten System ressou rcen auftreten, wenn die erste Zone (bspw. ein dieser Zone zugewiesenes Systemmodul) versucht, eine Systemressource (z.B. einen Speicher) schreibend zuzugreifen, obwohl sie nur lesend auf die Systemressource zugreifen darf. In einem anderen Beispiel kann ein Verstoß gegen Vorschriften über die für die erste Zone (oder eine andere Zone) zugeordneten Systemressourcen auftreten, wenn die erste Zone (bspw. ein dieser Zone zugewiesenes Systemmodul) versucht, eine Systemressource (z.B. eine Softwareapplikation) auszuführen, obwohl sie kein Zugriffsrecht zum Ausführen dieser Systemressource verfügt.In the present techniques, a violation of regulations over an associated system resource for a zone may correspond to unauthorized access by that zone to a system resource for which the corresponding zone is not assigned access rights. For example, the violations of the rules governing the allocation of the first number of system resources of the plurality of system resources for the first zone may correspond to one or more unauthorized accesses by the first zone to one or more system resources for which the first zone is not assigned access rights. Alternatively or additionally, the violations of the rules governing the allocation of the second number of system resources of the plurality of system resources for the second zone may correspond to one or more unauthorized accesses of the second zone to one or more system resources for which the second zone is not assigned access rights. For example, a violation of regulations governing the system resources assigned to the first zone (or another zone) may occur if the first zone (e.g., a system module assigned to that zone) attempts to write to a system resource (e.g., memory), although it is only allowed to have read access to the system resource. In another example, a violation of rules governing system resources allocated to the first zone (or another zone) may occur when the first zone (e.g., a system module assigned to that zone) attempts to execute a system resource (e.g., a software application) despite she does not have access rights to execute this system resource.
In den Techniken der vorliegenden Offenbarung kann das Einleiten 300 der Gegenmaßnahme zur Mitigation der Manipulation Ändern 310 von Zugriffsrechten auf Systemressourcen, die der manipulierten Zone zugeordnet sind, umfassen. In manchen Fällen kann die eingeleitete Gegenmaßnahme, wie oben bereits erwähnt, Reduzieren (oder anders ausgedrückt „Einschränken“) einer Anzahl von Zugriffsrechten auf Systemressourcen, die der manipulierten Zone zugeordnet sind, umfassen. Zum Beispiel, wenn eine Zone (bspw. die Zone 20 von Fig. 2) die manipulierte Zone ist, die vor der Manipulation über Lese-, Schreib- und Ausführungszugriffsrechte für eine Systemressource (bspw. für den Speicher 62) verfügte, können die Zugriffsrechte nach der Erkennung der Möglichkeit einer Manipulation dieser Zone auf ein Nur-Lese-Zugriffsrecht reduziert werden.In the techniques of the present disclosure, initiating 300 the tamper mitigation countermeasure may include changing 310 access rights to system resources associated with the tampered zone. In some cases, as mentioned above, the countermeasure taken may include reducing (or in other words "restricting") a number of access rights to system resources associated with the compromised zone. For example, if a zone (e.g., zone 20 of FIG. 2) is the manipulated zone, which has read, write, and execute access rights to a system resource (e.g., memory 62) prior to the manipulation. access rights can be reduced to read-only access rights after the possibility of manipulation of this zone has been detected.
Alternativ oder zusätzlich kann das Einleiten 300 der Gegenmaßnahme zur Mitigation der Manipulation Ändern 310 von Zugriffsrechten auf Systemressourcen, die der nicht-manipulierten Zone zugeordnet sind, umfassen. Dabei kann das Einleiten einer Gegenmaßnahme in der nicht-manipulierten Zone als Folge der Erkennung einer Möglichkeit einer Manipulation in einer anderen Zone (d.h. manipulierten Zone) erfolgen. Zum Beispiel wenn eine erste Zone 20 von Fig. 2 die manipulierte Zone ist, und die zweite (nicht-manipulierte) Zone 21 zwei oder mehr verschiedene Zugriffrechte für das Nutzen einer Systemressource hat (bspw. darf die Zone 21 den Speicher 63 lesend, schreibend und ausführend nutzen), kann als Gegenmaßnahme eine Anzahl von Zugriffsrechten zum Nutzen dieser Systemressource von der zweiten nicht-manipulierten Zone 21 reduziert werden (bspw. wird der Zone 21 als Gegenmaßnahme erlaubt, den Speicher 63 nur lesend zu benutzen). In manchen Fällen kann das Ändern 310 von Zugriffsrechten auf Systemressourcen, die einer manipulierten und/oder einer oder mehreren (bspw. allen) nicht-manipulierten Zonen zugeordnet sind, Auswählen einer vordefinierten Konfiguration in Bezug auf Zugriffsrechte für diese Zonen umfassen (als Ergebnis der Erkennung einer Möglichkeit einer Manipulation in einer manipulierten Zone). Zum Beispiel kann die vordefinierte Konfiguration eine vordefinierte Anzahl von Zugriffsrechten auf Systemressourcen, die der manipulierten Zone und/oder der einen oder mehreren Zonen zugeordnet sind, umfassen. In den nicht einschränkenden Beispielen kann die Anzahl von Zugriffsrechten auf Systemressourcen ein Zugriffsrecht (bspw. nur Lesezugriffsrecht oder nur Ausführungszugriffsrecht) oder zwei Zugriffsrechte (bspw. Lesezugriffsrecht und Ausführungszugriffsrecht) beinhalten.Alternatively or additionally, initiating 300 the tamper mitigating countermeasure may include changing 310 access rights to system resources associated with the non-tampered zone. A countermeasure can be initiated in the non-manipulated zone as a result of the detection of a possibility of manipulation in another zone (i.e. manipulated zone). For example, if a first zone 20 of Fig. 2 is the manipulated zone, and the second (non-manipulated) zone 21 has two or more different access rights for using a system resource (e.g., the zone 21 is allowed to read, write to the memory 63 and executing), as a countermeasure, a number of access rights to use this system resource from the second non-manipulated zone 21 can be reduced (e.g., as a countermeasure, the zone 21 is allowed to only use the memory 63 in a read-only manner). In some cases, changing 310 access rights to system resources associated with a compromised and/or one or more (e.g., all) non-tampered zones may include selecting a predefined configuration regarding access rights for those zones (as a result of detection a possibility of manipulation in a manipulated zone). For example, the predefined configuration may include a predefined number of access rights to system resources associated with the compromised zone and/or the one or more zones. In the non-limiting examples, the number of access rights to system resources may include one access right (e.g., read only right or execute only) or two access rights (e.g., read only and execute only).
In anderen Fällen kann die Gegenmaßnahme Blockieren 320 von Zugriffen auf Systemressourcen, die der manipulierten Zone zugeordnet sind, umfassen. Zum Beispiel kann der Zone 20 der Zugriff auf den Speicher 62 von Fig. 3 aufgrund der Erkennung einer Möglichkeit einer Manipulation dieser Zone als Gegenmaßnahme verwehrt werden (weil die Zone 20 die manipulierte Zone ist). Alternativ oder zusätzlich kann die Gegenmaßnahme Blockieren 320 von Zugriffen auf Systemressourcen, die der nicht-manipulierten Zone zugeordnet sind, umfassen (bspw. kann der nicht- manipulierten Zone 21 der Zugriff auf den Speicher 63 von Fig. 3 aufgrund der Erkennung einer Möglichkeit einer Manipulation der Zone 20 als Gegenmaßnahme verwehrt werden). In noch anderen alternativen Fällen kann die Gegenmaßnahme Abschalten 330 der manipulierten und/oder nichtmanipulierten Zone umfassen.In other cases, the countermeasure may include blocking 320 access to system resources associated with the compromised zone. For example, zone 20 may be denied access to memory 62 of FIG. 3 due to detection of a possibility of tampering with that zone as a countermeasure (because zone 20 is the tampered zone). Alternatively or additionally, the countermeasure may include blocking 320 access to system resources associated with the non-tampered zone (e.g., the non-tampered zone 21 may be denied access to the memory 63 of FIG. 3 due to detection of a possibility of tampering Zone 20 can be denied as a countermeasure). In still other alternative cases, the countermeasure shutting down 330 the manipulated and/or non-manipulated zone.
Alternativ oder zusätzlich zu den Verfahrensschritten „Ändern 310/Blockieren 320/ Abschalten 330“ kann das Einleiten 300 der Gegenmaßnahme Bereitstellen 340 einer anderen Zone und Verschieben 345 einer Funktionalität der manipulierten Zone (vollständig oder zumindest teilweise) in die andere (bereitgestellte) Zone umfassen. In manchen Fällen kann der Schritt „Bereitstellen 340“ Starten einer neuen Zone umfassen (z.B. eine neue Zone mit einem oder mehreren in dieser Zone enthaltenen Systemmodulen). Alternativ oder zusätzlich kann der Schritt „Bereitstellen 340“ Verwenden einer nicht-manipulierten Zone, die in Betrieb ist, umfassen. (Systemmodule, die der nicht-manipulierten Zone zugeordnet sind, die in Betrieb ist, können ebenfalls in Betrieb sein.) Darüber hinaus kann eine Funktionalität von einem oder mehreren Systemmodulen, die der manipulierten Zone zugeordnet sind, auf ein oder mehrere entsprechende Systemmodule, die der neuen Zone zugeordnet sind, verschoben werden. Alternativ oder zusätzlich kann eine Funktionalität von einem oder mehreren Systemmodulen, die der manipulierten Zone zugeordnet sind, auf ein oder mehrere entsprechende Systemmodule, die der nicht-manipulierten Zone (der in Betrieb ist) zugeordnet sind, verschoben werden. Mit anderen Worten: die Systemmodule der neuen Zone sowie der oben eingeführten nicht-manipulierten Zone können als Ersatzsystemmodule für die Systemmodule der manipulierten Zone betrachtet werden, die deren Funktionalitäten übernehmen (bspw. so lange, bis die Funktionalität der manipulierten Zone wiederhergestellt wird). Zum Beispiel kann das Systemmodul 32 der nicht-manipulierten Zone 21 von Fig. 2, die in Betrieb ist, die Funktionalität des Systemmoduls 31 der manipulierten Zone 20 übernehmen.Alternatively or in addition to the method steps “Change 310/Block 320/Shutdown 330” the initiation 300 of the countermeasure may include providing 340 another zone and moving 345 a functionality of the manipulated zone (completely or at least partially) into the other (provided) zone. In some cases, the deploy 340 step may include starting a new zone (e.g., a new zone with one or more system modules included in that zone). Alternatively or additionally, the step "providing 340" may include using a non-tampered zone that is in operation. (System modules associated with the non-tampered zone that is in operation may also be in operation.) Additionally, functionality may be transferred from one or more system modules associated with the tampered zone to one or more corresponding system modules that are assigned to the new zone can be moved. Alternatively or additionally, functionality may be moved from one or more system modules associated with the tampered zone to one or more corresponding system modules associated with the non-tampered zone (which is in operation). In other words: the system modules of the new zone as well as the non-manipulated zone introduced above can be viewed as replacement system modules for the system modules of the manipulated zone, which take over their functionalities (e.g. until the functionality of the manipulated zone is restored). For example, the system module 32 of the non-tampered zone 21 of FIG. 2, which is in operation, may take over the functionality of the system module 31 of the manipulated zone 20.
In manchen Fällen kann das Bereitstellen 340 der anderen Zone und Verschieben 345 der Funktionalität der manipulierten Zone in die andere Zone Zuordnen von Systemressourcen der manipulierten Zone (bspw. einen Teil oder alle Systemressourcen der manipulierten Zone) an die neue Zone und/oder die nichtmanipulierte Zone umfassen. (Das kann der Fall sein, wenn eine Möglichkeit einer Manipulation einer Zone erkannt wird, die dann als manipulierte Zone eingestuft wird.) Zudem können entsprechende Zugriffsrechte auf (zugeordneten) Systemressourcen für die neue Zone und/oder die nicht-manipulierte Zone zugewiesen werden (z.B. können dieselben Zugriffsrechte wie für die manipulierte Zone vor ihrer Manipulation zugewiesen werden). Zurück zu dem Beispiel von Fig. 3: zwei Peripherien 60, 61 und/oder ein Speicher 62 (die erste Anzahl von Systemressourcen in diesem Beispiel), die der Zone 20 zugeordnet sind, können der nicht-manipulierten Zone 21 zugeordnet werden, nachdem die Möglichkeit einer Manipulation in der Zone 20 erkannt wurde. Alternativ oder zusätzlich können Systemressourcen für die neue Zone und/oder die nicht-manipulierte Zone, welche die manipulierte Zone ersetzten, vorgehalten werden. Zum Beispiel kann das Rechnersystem 100 eine Anzahl von Reserve-Systemressourcen enthalten, die zu Beginn des Betriebs des Rechnersystems keiner der Zonen zugewiesen ist und erst dann wie oben beschrieben zum Einsatz kommt, wenn in einer Zone eine Manipulation erkannt wird.In some cases, providing 340 the other zone and moving 345 the functionality of the manipulated zone to the other zone may include allocating system resources of the manipulated zone (e.g., some or all of the system resources of the manipulated zone) to the new zone and/or the non-tampered zone include. (This may be the case if a possibility of manipulation of a zone is detected, which is then classified as a manipulated zone.) In addition, appropriate access rights to (assigned) system resources can be assigned for the new zone and/or the non-manipulated zone ( e.g. the same access rights as for the manipulated zone can be assigned before its manipulation). Back to the example of Fig. 3: two peripherals 60, 61 and/or a memory 62 (the first number of System resources (in this example) that are assigned to zone 20 can be assigned to the untampered zone 21 after the possibility of tampering in zone 20 is detected. Alternatively or additionally, system resources may be reserved for the new zone and/or the non-manipulated zone that replaced the manipulated zone. For example, the computer system 100 may contain a number of reserve system resources that are not assigned to any of the zones at the start of operation of the computer system and are only used as described above when tampering is detected in a zone.
Alternativ oder zusätzlich zu den obigen Verfahrensschritten „Zuordnen/Vorgehalten von Systemressourcen“ kann das Bereitstellen 340 der anderen Zone und Verschieben 345 der Funktionalität der manipulierten Zone in die andere Zone Reduzieren einer Anzahl von Systemressourcen einer Zone, die weniger wichtig ist als die manipulierte Zone und Zuordnen von freigegebenen Systemressourcen, die durch das Reduzieren einer Anzahl von Systemressourcen für die weniger wichtige Zone freigegeben sind, an die neue Zone und/oder die nicht-manipulierte Zone umfassen. Die beiden oder einer der alternativen Verfahrensschritte „Zuordnen von System ressourcen der manipulierten Zone“ und „Reduzieren einer Anzahl von Systemressourcen“ können bspw. dann nützlich sein, wenn das Rechnersystem über relativ überschaubare Systemressourcen verfügt, so dass das Vorgehalten von Systemressourcen in dem Rechnersystem unmöglich oder wegen möglicher Nebenwirkungen (bspw. einer Kommunikationsverlangsamung in dem Rechnersystem) unerwünscht ist.Alternatively or in addition to the above method steps of "allocating/maintaining system resources", providing 340 the other zone and moving 345 the functionality of the manipulated zone to the other zone can reduce a number of system resources of a zone that is less important than the manipulated zone and Allocating shared system resources released by reducing a number of system resources for the less important zone to the new zone and/or the unmanipulated zone. The two or one of the alternative method steps “assigning system resources to the manipulated zone” and “reducing a number of system resources” can be useful, for example, if the computer system has relatively manageable system resources, making it impossible to maintain system resources in the computer system or is undesirable because of possible side effects (e.g. a slowdown in communication in the computer system).
Alternativ oder zusätzlich zu den Verfahrensschritten „Ändern 310/Blockieren 320/ Abschalten 330/Bereitstellen 340“ kann das Einleiten 300 der Gegenmaßnahme in den vorliegenden Techniken Rücksetzen 350 einer Funktionalität der manipulierten Zone unter Verwendung der für das Rücksetzen der manipulierten Zone relevanten Informationen (oder mit anderen Worten integre, d.h. nichtmanipulierte, Informationen) umfassen. Dabei können die relevanten Informationen in dem Rechnersystem bspw. in einem entsprechenden Speicher des Rechnersystems wie, z.B. in einem persistenten Speicher, abgelegt werden. In den vorliegenden Techniken können die für das Rücksetzen 350 der manipulierten Zone relevanten Informationen Informationen über Firmware der manipulierten Zone und/oder über Firmware eines oder mehrerer Systemmodule der manipulierten Zone umfassen. Alternativ oder zusätzlich können die relevanten Informationen Informationen über Einstellungen der manipulierten Zone und/oder Einstellungen eines oder mehrerer Systemmodule der manipulierten Zone umfassen (bspw. Einstellungen in Bezug auf Kommunikationsprotokolle). Alternativ oder zusätzlich zu den beiden genannten Alternativen können die relevanten Informationen Informationen über die ursprünglichen Zuordnungsvorschriften von Systemressourcen für die manipulierte Zone umfassen (oder, mit anderen Worten, integre Zuordnungsvorschriften von Systemressourcen, die der manipulierten Zone vor der Manipulation zugewiesen waren). Dabei können die ursprünglichen Zuordnungsvorschriften ursprüngliche Zugriffsrechte für die manipulierte Zone auf Systemressourcen beinhalten, die der manipulierten Zone vor der Manipulation zugewiesen waren. In manchen Fällen, alternativ oder zusätzlich zu den oben genannten drei Typen von relevanten Informationen, können die relevanten Informationen Informationen über weitere Parameter enthalten, die die manipulierte Zone charakterisieren.Alternatively or in addition to the method steps “Change 310/Block 320/Shutdown 330/Provide 340”, initiating 300 the countermeasure in the present techniques may reset 350 a functionality of the manipulated zone using the information relevant to resetting the manipulated zone (or with in other words, integrity, ie non-manipulated, information). The relevant information can be stored in the computer system, for example in a corresponding memory of the computer system, such as, for example, in a persistent memory. In the present techniques, the information relevant to the tampered zone reset 350 may include information about firmware of the tampered zone and/or about firmware of one or more system modules of the tampered zone. Alternatively or additionally, the relevant information may include information about settings of the manipulated Zone and/or settings of one or more system modules of the manipulated zone (e.g. settings related to communication protocols). Alternatively or in addition to the two alternatives mentioned, the relevant information may include information about the original allocation rules of system resources for the manipulated zone (or, in other words, integrity allocation rules of system resources that were allocated to the manipulated zone before the manipulation). The original allocation regulations can include original access rights for the manipulated zone to system resources that were assigned to the manipulated zone before the manipulation. In some cases, alternatively or in addition to the above three types of relevant information, the relevant information may include information about additional parameters that characterize the manipulated zone.
In manchen Fällen kann der Verfahrensschritt „Rücksetzen 350 der manipulierten Zone“ Anfordern von Informationen, die für das Rücksetzen der manipulierten Zone relevant sind, umfassen. Zum Beispiel können die relevanten Informationen von dem Modul zur Mitigation von Zonenmanipulationen 10 angefordert werden. In einem Beispiel können die Informationen, die für das Rücksetzen der manipulierten Zone relevant sind, erzeugt werden (bspw. von einem entsprechenden Modul des Rechnersystems 100 in Form von Digital- oder Analogsignalen, Nachrichten oder dergleichen). Alternativ können die Informationen, die für das Rücksetzen der manipulierten Zone relevant sind, abgerufen werden (bspw. aus einem Speicher des Rechnersystems, in dem sie gespeichert sind).In some cases, the tampered zone reset 350 step may include requesting information relevant to resetting the tampered zone. For example, the relevant information may be requested from the zone tamper mitigation module 10. In one example, the information relevant to resetting the manipulated zone may be generated (e.g. by a corresponding module of the computer system 100 in the form of digital or analog signals, messages or the like). Alternatively, the information relevant to resetting the manipulated zone can be retrieved (e.g. from a memory of the computer system in which it is stored).
In den Techniken der vorliegenden Offenbarung kann das Rücksetzen 350 der manipulierten Zone Empfangen von Informationen, die für das Rücksetzen der manipulierten Zone relevant sind, umfassen. In diesem Zusammenhang können die relevanten Informationen von dem Modul zur Mitigation von Zonenmanipulationen 10 empfangen werden (bspw. in Form von Digital- oder Analogsignalen, Nachrichten oder dergleichen). Des Weiteren kann das Rücksetzen 350 der manipulierten Zone Wiederherstellen einer Funktionalität für die manipulierte Zone basierend auf den relevanten Informationen umfassen. Dabei kann das Wiederherstellen der Funktionalität für die manipulierte Zone Wiederherstellen der ursprünglichen Zuordnungsvorschriften von Systemressourcen (bspw. der ursprünglichen Zugriffsrechte der manipulierten Zone auf Systemressourcen) umfassen, die der manipulierten Zone vor der Manipulation zugewiesen waren. In den vorliegenden Techniken kann der Schritt „Wiederherstellen“ nur unter Verwendung des Moduls zur Mitigation von Zonenmanipulationen 10 und/oder eines oder mehrerer anderer Module des Rechnersystems durchgeführt werden. Nachdem die manipulierte Zone rückgesetzt wurde, kann sie auf dem Rechnersystem wieder verwendet werden (bspw. im gleichen oder teilweisen Ausmaß wie vor der Manipulation).In the techniques of the present disclosure, resetting 350 the manipulated zone may include receiving information relevant to resetting the manipulated zone. In this context, the relevant information can be received by the zone manipulation mitigation module 10 (e.g. in the form of digital or analog signals, messages or the like). Further, resetting 350 the tampered zone may include restoring functionality to the tampered zone based on the relevant information. Restoring the functionality for the manipulated zone can involve restoring the original allocation rules for system resources (e.g. the original access rights of the manipulated Zone on system resources) that were assigned to the manipulated zone before the manipulation. In the present techniques, the "restore" step may be performed only using the zone tamper mitigation module 10 and/or one or more other modules of the computer system. After the manipulated zone has been reset, it can be used again on the computer system (e.g. to the same or partial extent as before the manipulation).
In manchen Beispielen kann das Rücksetzen 350 der manipulierten Zone ein unverzügliches Rücksetzen der manipulierten Zone unter Verwendung von den oben beschriebenen relevanten Informationen sein (z.B. die manipulierte Zone kann innerhalb von einer Minute oder innerhalb von zehn Sekunden rückgesetzt werden). In anderen Beispielen kann das Rücksetzen 350 der manipulierten Zone ein späteres Rücksetzen der manipulierten Zone bedeuten (z.B. kann ein solches Rücksetzen erst nach Ablauf eines vordefinierten Zeitintervalls und/oder nach der Durchführung von Prozessen in dem Rechnersystem, die eine höhere Priorität als eine vordefinierte Priorität haben, gestartet werden). In manchen Fällen kann das unverzügliche Rücksetzen der manipulierten Zone in bestimmten Kontexten (z.B. durch Sicherheitskriterien) ausgeschlossen sein. Zum Beispiel kann das spätere Rücksetzen in Bezug auf solche Kontexte in einem Zeitraum bis zum nächsten Hochfahrprozess erfolgen.In some examples, the tampered zone reset 350 may be an immediate reset of the tampered zone using the relevant information described above (e.g., the tampered zone may be reset within one minute or within ten seconds). In other examples, the reset 350 of the manipulated zone may mean a later reset of the manipulated zone (e.g., such a reset may only occur after a predefined time interval has elapsed and/or after the execution of processes in the computer system that have a higher priority than a predefined priority , can be started). In some cases, immediate resetting of the manipulated zone may be impossible in certain contexts (e.g. due to security criteria). For example, the later reset with respect to such contexts can take place in a period until the next start-up process.
Darüber hinaus können die vorliegenden Techniken das Ausschalten der ausgestarteten neuen Zone und/oder Entkoppeln von der nicht-manipulierten Zone nach dem Rücksetzen der manipulierten Zone umfassen. (In Übereinstimmung mit obigen Definitionen, ist die neue Zone und/oder die nichtmanipulierte Zone, eine Zone, in die die Funktionalität der manipulierten Zone verschoben werden kann.) In manchen Beispielen kann das Entkoppeln von der nicht-manipulierten Zone Deaktivieren der nicht-manipulierten Zone oder Rückkehren dieser Zone zu ihrer ursprünglichen Funktionalität (bspw. zusammen mit System mod ulen, welche dieser Zone zugeordnet sind) umfassen. (Wie weiter oben bereits besprochen, bezieht sich die ursprüngliche Funktionalität auf eine Funktionalität vor der Erkennung einer Möglichkeit einer Manipulation).Additionally, the present techniques may include powering off the booted out new zone and/or decoupling from the untampered zone after resetting the tampered zone. (Consistent with the definitions above, the new zone and/or the untampered zone is a zone into which the functionality of the manipulated zone can be moved.) In some examples, uncoupling from the untampered zone may disable the untampered Zone or returns of this zone to its original functionality (e.g. together with system modules that are assigned to this zone). (As discussed above, initial functionality refers to functionality prior to the detection of a possibility of tampering).
Des Weiteren kann das Einleiten 200 der Gegenmaßnahme zur Mitigation der Manipulation Senden des erzeugten Signals, das die Manipulation der ersten Zone 20 und/oder der zweiten Zone 21 anzeigt (siehe Diskussionen weiter oben), an ein externes System (z.B. ein Backend, andere Vorrichtungen wie Fahrzeugen oder Infrastruktur-Komponenten) umfassen. Alternativ oder zusätzlich kann der Verfahrensschritt „Einleiten 200“ Erzeugen eines Signals, das (oben besprochene) Kontext-Informationen über die Vorrichtung und/oder eine Vielzahl von Vorrichtungen enthält und Senden dieses Signal an das externe System umfassen. Dadurch können bspw. externe Systeme über Manipulationen (rechtzeitig) benachrichtigt werden, so dass entsprechende Absicherungsmaßnahmen auf der Seite des externen Systems eingeleitet werden können. So können bspw. Schnittstellen eines externen Systems (z.B. eine oder mehrere Komponenten wie Gateway, Switch oder dergleichen, die das externe System enthält) deaktiviert werden und/oder erlaubte Kommunikationsverbindungen von dem Rechnersystem zu dem externen System eingeschränkt werden (z.B. werden die zur Übertragung eines Signals verwendeten Kommunikationsprotokolle entsprechend angepasst).Furthermore, initiating 200 the countermeasure to mitigate the tampering may include sending the generated signal indicating the tampering of the first zone 20 and/or the second zone 21 (see discussions above) to an external system (e.g. a backend, other devices like vehicles or Infrastructure components). Alternatively or additionally, the method step “Initiate 200” may include generating a signal containing contextual information (discussed above) about the device and/or a plurality of devices and sending that signal to the external system. This allows, for example, external systems to be notified of manipulations (in a timely manner) so that appropriate security measures can be initiated on the external system side. For example, interfaces of an external system (e.g. one or more components such as gateway, switch or the like that the external system contains) can be deactivated and/or permitted communication connections from the computer system to the external system can be restricted (e.g. those for the transmission of a The communication protocols used for the signal are adapted accordingly).
In der vorliegenden Offenbarung können eine oder mehrere vertrauenswürdigere Zonen 20, 21 auf einer ersten Recheneinheit 40 des Rechnersystems gebildet sein und eine oder mehrere weniger vertrauenswürdige Zonen 22 auf einer zweiten Recheneinheit 41 des Rechnersystems gebildet sein. Fig. 2 zeigt ein Beispiel für ein solches Rechnersystem 100 (bspw. kann das Rechnersystem 100 einen Fahrzeugrechner, ein Ein-Chip-System oder ein eingebettetes System umfassen, siehe auch Definitionen weiter oben), das eine erste Recheneinheit 40 und eine zweite Recheneinheit 41 aufweist. Zum Beispiel kann eine erste vertrauenswürdige Zone 20 und eine zweite vertrauenswürdige Zone 21 auf derselben Recheneinheit 40 gebildet sein und eine dritte nicht-vertrauenswürdige Zone 22 auf der zweiten Recheneinheit 41 gebildet sein. Beispielsweise können die Zonen 20 und 21 auf Softwarebasis logisch voneinander getrennt sein. In manchen Beispielen kann die dritte Zone 22 durch deren Bildung auf einer zweiten Recheneinheit 22 physisch, d.h. örtlich von der ersten Zone 20 und/oder der zweiten Zone 21 getrennt sein.In the present disclosure, one or more more trustworthy zones 20, 21 may be formed on a first computing unit 40 of the computer system and one or more less trustworthy zones 22 may be formed on a second computing unit 41 of the computer system. Fig. 2 shows an example of such a computer system 100 (for example, the computer system 100 can include a vehicle computer, a one-chip system or an embedded system, see also definitions above), which has a first computing unit 40 and a second computing unit 41 having. For example, a first trusted zone 20 and a second trusted zone 21 may be formed on the same computing unit 40 and a third untrusted zone 22 may be formed on the second computing unit 41. For example, zones 20 and 21 may be logically separated from each other on a software basis. In some examples, the third zone 22 can be physically, i.e. locally, separated from the first zone 20 and/or the second zone 21 by forming it on a second computing unit 22.
In manchen Beispielen kann, wie in Fig. 3 gezeigt, das Rechnersystem einen Domänencontroller 70 aufweisen, der eine Mehrzahl von Domänen enthält (letztere sind in dieser Figur nicht gezeigt). Ein Domänencontroller 70 kann eins oder mehr, zwei oder mehr, drei oder mehr, vier oder mehr, fünf oder mehr, sechs oder mehr, sieben oder mehr, acht oder mehr Domänen enthalten. In dem ersten Aspekt der vorliegenden Techniken kann einer ersten Domäne der Mehrzahl von Domänen mindestens die erste Zone 20 zugewiesen werden, und die erste Domäne gleiche Zugriffsrechte der ersten Zone auf Systemressourcen aufweisen kann. Darüber hinaus kann einer zweiten Domäne der Mehrzahl von Domänen mindestens die zweite Zone zugewiesen werden, und die zweite Domäne gleiche Zugriffsrechte der zweiten Zone auf Systemressourcen aufweisen kann, wobei der zweiten Domäne weniger Zugriffsrechte auf Systemressourcen zugewiesen sind als der ersten Domäne (wie oben bereits im Zusammenhang mit den ersten und zweiten Zonen beschrieben). Anders ausgedrückt können in manchen Beispielen einer Domäne Systemmodule und/oder Teile von Systemmodulen mit den gleichen Zugriffsrechten zugewiesen sein, oder einer Domäne können die Systemmodule und/oder Teile von Systemmodulen zugewiesen sein, die die gleichen Zugriffsrechte auf Systemressourcen benötigen, um die entsprechenden Funktionen bereitzustellen. Der Domänencontroller kann in manchen Beispielen konfiguriert sein, Zugriffe durch Systemmodule 70 auf Systemressourcen zu erlauben oder zu verbieten. In manchen Beispielen können die Zugriffsrechte auf Systemressourcen (bspw. mittels des Domänencontrollers 70) auf Basis des Prinzips der geringsten Privilegien (engl. „Principle of Least Privilege (PoLP)“) zugewiesen sein. Das heißt, dass die Zonen jeweils nur auf die Systemressourcen Zugriffsrechte haben, die sie für ihre Aufgabenerfüllung benötigen. Mit anderen Worten: Die Systemmodule, die den Zonen zugeordnet sind, jeweils nur auf die Systemressourcen Zugriffsrechte haben, die sie benötigen, um die jeweiligen Funktionen bereitzustellen. In manchen Beispielen kann einer Domäne eine Vertrauenswürdigkeit („Security-Level“) zugewiesen werden. Beispielsweise kann einer ersten Domäne (z.B. Domäne 0) der Mehrzahl von Domänen (beispielsweise fünf Domänen) eine geringere Vertrauenswürdigkeit zugewiesen sein als einer fünften Domäne (z.B. Domäne 5).In some examples, as shown in FIG. 3, the computer system may include a domain controller 70 that contains a plurality of domains (the latter are not shown in this figure). A domain controller 70 may contain one or more, two or more, three or more, four or more, five or more, six or more, seven or more, eight or more domains. In the first aspect of the present techniques, a first domain of the plurality of domains may be assigned at least the first zone 20, and the first domain may have equal access rights of the first zone to system resources can. In addition, a second domain of the plurality of domains can be assigned at least the second zone, and the second domain can have the same access rights of the second zone to system resources, with the second domain being assigned fewer access rights to system resources than the first domain (as already above in described in connection with the first and second zones). In other words, in some examples, a domain may be assigned system modules and/or portions of system modules with the same access rights, or a domain may be assigned the system modules and/or portions of system modules that require the same access rights to system resources in order to provide the corresponding functions . The domain controller may, in some examples, be configured to allow or prohibit access by system modules 70 to system resources. In some examples, access rights to system resources (e.g., via domain controller 70) may be assigned based on the Principle of Least Privilege (PoLP). This means that the zones only have access rights to the system resources that they need to fulfill their tasks. In other words: The system modules that are assigned to the zones only have access rights to the system resources that they need to provide the respective functions. In some examples, a domain can be assigned a security level. For example, a first domain (e.g., domain 0) of the plurality of domains (e.g., five domains) may be assigned a lower trustworthiness than a fifth domain (e.g., domain 5).
Mittels des Domänencontrollers 70 können in manchen Beispielen Zonen 20, 21 Zugriffsrechte zu Peripherien 60, 61 und/oder Speichern 62, 63 zugewiesen sein. Zum Beispiel eine Domäne kann einen logischen/physischen Bereich umfassen, der gleiche Zugriffsrechte auf Speicher 63 und/oder Peripherien 61, 62 aufweist. Darüber hinaus kann in einer Zone der Mehrzahl von Zonen (bspw. in der ersten 20 oder in einer anderen Zone) ein Systemmodul und/oder ein Teil eines Systemmoduls eine erste Softwarearchitektur umfassen und in einer anderen Zone der Mehrzahl von Zonen (bspw. in der zweiten 21 oder in einer anderen Zone) kann ein anderes Systemmodul und/oder ein Teil eines Systemmoduls eine zweite Softwarearchitektur umfassen. Zum Beispiel kann in der ersten Zone 20 ein Systemmodul 30, 31 und/oder ein Teil eines Systemmoduls eine AUTOSAR- Classic-Softwarearchitektur umfassen und in der anderen Zone 21 ein Systemmodul 32 und/oder ein Teil eines Systemmoduls eine AUTOSAR-Adaptive- Softwarearchitektur umfassen. Zum Beispiel kann in der ersten Zone 20 ein Systemmodul 30, 31 und/oder ein Teil eines Systemmoduls konfiguriert sein, um ein erstes Betriebssystem (z.B. Windows) auszuführen und in der zweiten Zone 21 kann ein Systemmodul 32 und/oder ein Teil eines Systemmoduls konfiguriert sein, um ein zweites Betriebssystem (z.B. Linux) auszuführen.In some examples, zones 20, 21 can be assigned access rights to peripherals 60, 61 and/or memories 62, 63 by means of the domain controller 70. For example, a domain may include a logical/physical area that has equal access rights to memory 63 and/or peripherals 61, 62. In addition, in a zone of the plurality of zones (e.g. in the first 20 or in another zone), a system module and / or a part of a system module may comprise a first software architecture and in another zone of the plurality of zones (e.g. in the second 21 or in another zone), another system module and/or part of a system module may comprise a second software architecture. For example, in the first zone 20, a system module 30, 31 and/or part of a system module may include an AUTOSAR Classic software architecture and in the other zone 21, a system module 32 and/or part of a system module may include an AUTOSAR adaptive software. Include software architecture. For example, in the first zone 20, a system module 30, 31 and/or a portion of a system module may be configured to run a first operating system (e.g., Windows), and in the second zone 21, a system module 32 and/or a portion of a system module may be configured to run a second operating system (e.g. Linux).
In den vorangehenden Abschnitten wurden die Techniken der vorliegenden Offenbarung des Öfteren anhand der jeweiligen Verfahren beschrieben. Ein zweiter allgemeiner Aspekt der vorliegenden Offenbarung betrifft aber ein Modul zur Mitigation von Zonenmanipulationen 10 eines Rechnersystems 100 (siehe auch Definitionen weiter oben), das dazu ausgelegt ist, die computerimplementierte Verfahren gemäß dem ersten allgemeinen Aspekt auszuführen.In the preceding sections, the techniques of the present disclosure have often been described using the respective methods. However, a second general aspect of the present disclosure relates to a zone manipulation mitigation module 10 of a computer system 100 (see also definitions above), which is designed to carry out the computer-implemented methods according to the first general aspect.
Ein dritter allgemeiner Aspekt der vorliegenden Offenbarung betrifft ein Rechnersystem 100 für eine Vorrichtung, insbesondere für ein Fahrzeug, das das Modul zur Mitigation von Zonenmanipulationen 10 gemäß dem zweiten allgemeinen Aspekt und eine Mehrzahl von Zonen 20-23 umfasst. Des Weiteren umfasst das Rechnersystem des dritten Aspekts eine Mehrzahl von Systemressourcen 60-63, welche entsprechenden Zonen aus der Mehrzahl von Zonen 20-23 zugeordnet sind.A third general aspect of the present disclosure relates to a computer system 100 for a device, in particular for a vehicle, comprising the zone manipulation mitigation module 10 according to the second general aspect and a plurality of zones 20-23. Furthermore, the computer system of the third aspect includes a plurality of system resources 60-63 which are assigned to corresponding zones from the plurality of zones 20-23.
Ein vierter allgemeiner Aspekt der vorliegenden Offenbarung betrifft eine Vorrichtung, die das Rechnersystem 100 gemäß dem dritten allgemeinen Aspekt umfasst.A fourth general aspect of the present disclosure relates to an apparatus including the computing system 100 according to the third general aspect.
Ein fünfter allgemeiner Aspekt der vorliegenden Offenbarung betrifft weiterhin ein Computer-Programm, das Befehle enthält, die, wenn sie von einem Rechensystem ausgeführt werden, das Rechensystem veranlassen, ein computerimplementiertes Verfahren gemäß der vorliegenden Offenbarung auszuführen.A fifth general aspect of the present disclosure further relates to a computer program that contains instructions that, when executed by a computing system, cause the computing system to execute a computer-implemented method in accordance with the present disclosure.
Die vorliegende Offenbarung betrifft weiterhin ein computer-lesbares Medium (z.B. eine DVD oder einen Festkörperspeicher), dass ein Computer-Programm des fünften allgemeinen Aspekts enthält.The present disclosure further relates to a computer-readable medium (e.g., a DVD or solid-state memory) containing a computer program of the fifth general aspect.
Die vorliegende Offenbarung betrifft weiterhin ein Signal (z.B. ein elektromagnetisches Signal gemäß einem drahtlosen oder drahtgebundenen Kommunikationsprotokoll), dass ein Computer-Programm des fünften allgemeinen Aspekts codiert.The present disclosure further relates to a signal (eg, an electromagnetic signal according to a wireless or wired one Communication protocol) that encodes a computer program of the fifth general aspect.
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202380066345.4ACN119895390A (en) | 2022-09-16 | 2023-09-06 | Mitigating handling in a device, in particular a computer system with zonal separation of a vehicle |
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102022209779.3ADE102022209779A1 (en) | 2022-09-16 | 2022-09-16 | MITIGATION OF MANIPULATION IN A COMPUTER SYSTEM WITH ZONE SEPARATION FOR A DEVICE, PARTICULARLY FOR A VEHICLE |
| DE102022209779.3 | 2022-09-16 |
| Publication Number | Publication Date |
|---|---|
| WO2024056488A1true WO2024056488A1 (en) | 2024-03-21 |
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/EP2023/074471CeasedWO2024056488A1 (en) | 2022-09-16 | 2023-09-06 | Mitigation of manipulations in a computer system with zone separation for a device, in particular for a vehicle |
| Country | Link |
|---|---|
| CN (1) | CN119895390A (en) |
| DE (1) | DE102022209779A1 (en) |
| WO (1) | WO2024056488A1 (en) |
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140283051A1 (en)* | 2013-03-14 | 2014-09-18 | Radware, Ltd. | System and method thereof for mitigating denial of service attacks in virtual networks |
| EP3566400A2 (en)* | 2017-01-05 | 2019-11-13 | Guardknox Cyber Technologies Ltd. | Specially programmed computing systems with associated devices configured to implement centralized services ecu based on services oriented architecture and methods of use thereof |
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140283051A1 (en)* | 2013-03-14 | 2014-09-18 | Radware, Ltd. | System and method thereof for mitigating denial of service attacks in virtual networks |
| EP3566400A2 (en)* | 2017-01-05 | 2019-11-13 | Guardknox Cyber Technologies Ltd. | Specially programmed computing systems with associated devices configured to implement centralized services ecu based on services oriented architecture and methods of use thereof |
| Publication number | Publication date |
|---|---|
| CN119895390A (en) | 2025-04-25 |
| DE102022209779A1 (en) | 2024-03-21 |
| Publication | Publication Date | Title |
|---|---|---|
| EP2698678B1 (en) | Configuration technique for a control device with applications that communicate with each other | |
| WO2021122734A1 (en) | Method and device for operating a computing device | |
| WO2020169388A1 (en) | Control device for an automatically operable vehicle, mobile computing center, computer network, method executed by the control device and computer program product for mobile processing of user data | |
| US20240411915A1 (en) | Vehicle control system, access control device, and access control method | |
| WO2015045507A1 (en) | Vehicular control device | |
| DE102019214413A1 (en) | Method for at least partially automated driving of a motor vehicle | |
| DE102012017339B4 (en) | computer system | |
| WO2024074090A1 (en) | Smart cockpit implementation method, smart cockpit, and computer readable medium | |
| DE102022204716A1 (en) | COMPUTER SYSTEM FOR PROVIDING A MULTIPLE FUNCTIONS FOR A DEVICE, PARTICULARLY FOR A VEHICLE, BY SEPARATING A MULTIPLE ZONES | |
| WO2019081270A1 (en) | ONE-CHIP SYSTEM, METHOD FOR OPERATING A ONE-CHIP SYSTEM AND MOTOR VEHICLE | |
| DE102021123370A1 (en) | INFORMATION PROCESSING DEVICE, INFORMATION PROCESSING METHOD, AND PROGRAM | |
| DE102021130899A1 (en) | ELECTRONIC CONTROL UNIT, SOFTWARE UPDATE PROCEDURE, SOFTWARE UPDATE PROGRAM AND ELECTRONIC CONTROL SYSTEM | |
| WO2024056488A1 (en) | Mitigation of manipulations in a computer system with zone separation for a device, in particular for a vehicle | |
| DE102021100155A1 (en) | SYSTEM AND PROCEDURE FOR DYNAMIC SOFTWARE MANAGEMENT | |
| DE102019106795B4 (en) | Conflict determination and containment for vehicle applications | |
| DE102022209777A1 (en) | DETECTION OF EXTERNAL INTERVENTIONS IN A COMPUTER SYSTEM WITH ZONE SEPARATION FOR A DEVICE, IN PARTICULAR FOR A VEHICLE | |
| JP6349444B2 (en) | Vehicle control device | |
| EP3893113B1 (en) | Monitoring of a component of a control system for a moving means | |
| DE102021130898A1 (en) | ELECTRONIC CONTROL UNIT, SOFTWARE UPDATE PROCEDURE, SOFTWARE UPDATE PROGRAM AND ELECTRONIC CONTROL SYSTEM | |
| DE102020125714A1 (en) | SYSTEMS AND METHODS FOR DISTRIBUTED PROCESSING IN AN INFORMATION ECOSYSTEM | |
| DE102022208003A1 (en) | Method for controlling access to various applications in a vehicle | |
| DE102021208459A1 (en) | Method for authentic data transmission between control units in a vehicle, arrangement with control units, computer program and vehicle | |
| US20230367910A1 (en) | System for providing a plurality of functions for a device, in particular for a vehicle | |
| DE102023126875A1 (en) | VEHICLE CONTROL MODULES WITH CONTAINERIZED ORCHESTRATION AND RESOURCE MANAGEMENT FOR MIXED CRITICALITY SYSTEMS | |
| WO2008128710A1 (en) | Control device for vehicles |
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application | Ref document number:23765510 Country of ref document:EP Kind code of ref document:A1 | |
| WWE | Wipo information: entry into national phase | Ref document number:202380066345.4 Country of ref document:CN | |
| NENP | Non-entry into the national phase | Ref country code:DE | |
| WWP | Wipo information: published in national office | Ref document number:202380066345.4 Country of ref document:CN | |
| 122 | Ep: pct application non-entry in european phase | Ref document number:23765510 Country of ref document:EP Kind code of ref document:A1 |