用于運(yùn)行控制設(shè)備的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及用于運(yùn)行具有擁有處理器單元和安全處理器單元的片上系統(tǒng)的控制設(shè)備的方法以及用于執(zhí)行該方法的計算單元和計算機(jī)程序�。
【背景技術(shù)】
[0002]片上系統(tǒng)(System-on-a-Chip,SoC)是一種集成電路(1C)����,在該集成電路中相應(yīng)系統(tǒng)的多種功能被集成在唯一的芯片(裸片(Die))上。這種Soc可以包括處理器單元(處理器系統(tǒng)部分��,PS)�����。這種處理器單元可以包括適宜的處理器或處理器內(nèi)核或者多核處理器���。多核處理器包括多個(至少兩個)處理器內(nèi)核����。處理器內(nèi)核大多包括算術(shù)邏輯單元(ALU)以及此外包括本地存儲器����,該算術(shù)邏輯單元是用于實施任務(wù)、程序�、計算命令等的實際的電子運(yùn)算器。
[0003]除了處理器單元之外���,SoC也可以包括所謂的硬件安全模塊(Hardware SecurityModule, HSM)0與常規(guī)的處理器單元類似����,該HSM也可以包括一個或多個處理器內(nèi)核以及本地存儲器(ROM、RAM�����、閃速����、EEPROM)ο HSM因此具有不依賴于處理器單元的物理資源的自己的物理資源((多個)處理器內(nèi)核、本地存儲器等等)�。HSM的資源尤其可以相對于處理器單元的資源在硬件層面上被屏蔽�����。
[0004]HSM是被保護(hù)免于尤其對處理器單元的操縱和攻擊的被隔離的安全環(huán)境并且因此尤其可以被用于安全關(guān)鍵過程或操作���。在這種安全關(guān)鍵或密碼過程期間可以處理和/或創(chuàng)建例如簽名�����、加密等的安全關(guān)鍵數(shù)據(jù)�����。
[0005]可以被證明為適宜的是�����,將具有處理器單元和HSM的這種SoC集成到控制設(shè)備中���、尤其是機(jī)動車的控制設(shè)備�����、譬如發(fā)動機(jī)控制設(shè)備中��。但是��,常規(guī)的HSM大多不適于在這種控制設(shè)備中應(yīng)用并且不能保證遵守適用于機(jī)動車領(lǐng)域的(安全)要求和(安全)規(guī)范���。
[0006]例如可以在控制設(shè)備中要求確定的過程、尤其是安全關(guān)鍵過程滿足實時條件����,SP這些過程的結(jié)果在所定義的時間間隔之內(nèi)被有保證計算出,也即在確定的時間塊之前存在��。但是利用常規(guī)的HSM大多不能保證安全關(guān)鍵過程滿足實時條件�����。
[0007]因此值得期望的是,提供將具有處理器單元和硬件安全單元的片上系統(tǒng)實現(xiàn)到控制設(shè)備中��、尤其是實現(xiàn)到機(jī)動車的控制設(shè)備中的可能性��。
【發(fā)明內(nèi)容】
[0008]根據(jù)本發(fā)明提出具有權(quán)利要求1的特征的用于運(yùn)行控制設(shè)備的方法�����。有利的構(gòu)型是從屬權(quán)利要求以及隨后的描述的主題�。
[0009]所述控制設(shè)備尤其被構(gòu)造為機(jī)動車的控制設(shè)備,尤其是被構(gòu)造為發(fā)動機(jī)控制設(shè)備�����。該控制設(shè)備包括具有處理器單元和安全處理器單元的片上系統(tǒng)(SoC)��,所述處理器單元和所述安全處理器單元分別包括至少一個處理器內(nèi)核��。所述處理器單元和所述安全處理器單元分別尤其包括相對于電壓變化���、時鐘變化和溫度變化的保護(hù)機(jī)構(gòu)。
[0010]此外���,所述處理器單元和所述安全處理器單元分別尤其包括本地存儲器���、例如閃速存儲器���、ROM存儲器、RAM存儲器和/或EEPROM存儲器����。替代地或附加地,尤其也可以針對處理器單元和安全處理器單元設(shè)置共同的本地存儲器��。在這種情況下尤其設(shè)置有存儲器安全機(jī)構(gòu)����,例如存儲器保護(hù)單元(Memory Protect1n Unit,MPU)���。這種存儲器安全機(jī)構(gòu)管理對該共同的存儲器的訪問并且保護(hù)該共同的存儲器免于操縱和攻擊��。尤其通過這種存儲器安全機(jī)構(gòu)針對處理器單元和安全處理器單元在共同的存儲器中實現(xiàn)存儲區(qū)的隔離���。
[0011]所述安全處理器單元尤其被構(gòu)造為硬件安全模塊(Hardware Security Module,HSM)。處理器單元和安全處理器單元尤其相互不相關(guān)并且分別具有自己的物理資源(處理器內(nèi)核���、本地存儲器等等)�����。所述安全處理器單元尤其在硬件層面上被屏蔽并且是安全的環(huán)境�����,所述環(huán)境被保護(hù)免于操縱和攻擊或者至少應(yīng)當(dāng)使操縱或攻擊變得困難�����。
[0012]處理器單元可以指示安全處理器單元實施安全關(guān)鍵過程�。處理器單元和安全處理器單元尤其可以通過通信系統(tǒng)、例如適宜的總線或被共同利用的存儲器或通信寄存器或其組合處于通信連接中�����。
[0013]安全關(guān)鍵過程或密碼過程尤其應(yīng)被理解為如下過程��,在這些過程中處理和/或產(chǎn)生安全關(guān)鍵數(shù)據(jù)����、例如對于某些操作來說所需的秘密密鑰��,所述數(shù)據(jù)作為整體或部分地不應(yīng)離開SoC或不應(yīng)到達(dá)第三方。例如�����,如下過程或操作中的一個或多個可以被視為這種安全關(guān)鍵過程:產(chǎn)生和/或檢驗簽名����;加密和/或解密數(shù)據(jù);應(yīng)用哈希算法����;產(chǎn)生編碼和/或密碼;認(rèn)證和/或驗證消息����、控制命令和/或操控值,存儲安全關(guān)鍵數(shù)據(jù)��。
[0014]根據(jù)本發(fā)明�����,給要在安全處理器單元中實施的安全關(guān)鍵過程分別分配優(yōu)先級并且所述安全關(guān)鍵過程在安全處理器單元中根據(jù)相應(yīng)的優(yōu)先級來實施��。尤其是,如果處理器單元指示安全處理器單元實施相應(yīng)的安全關(guān)鍵過程����,則處理器單元本身給該安全關(guān)鍵過程分配相應(yīng)的優(yōu)先級。也可以設(shè)想�����,安全處理器單元給要實施的安全關(guān)鍵過程分配相應(yīng)優(yōu)先級��。
[0015]尤其是處理器單元的各個處理器內(nèi)核指示安全處理器單元實施相應(yīng)的安全關(guān)鍵過程���。例如在處理器單元的相應(yīng)處理器內(nèi)核中實施的操作系統(tǒng)可以相應(yīng)地指示安全處理器單元��。在處理器單元的各個處理器內(nèi)核中也可以實施(特別是非安全關(guān)鍵)過程或操作或應(yīng)用�。也可以設(shè)想這些過程相應(yīng)地直接指示安全處理器單元�����。
[0016]尤其可以在安全處理器單元中創(chuàng)建流程圖或順序(“調(diào)度(scheduling)”)�����,根據(jù)所述流程圖或順序來實施不同的安全關(guān)鍵過程��。尤其根據(jù)相應(yīng)的優(yōu)先級遞減地實施安全關(guān)鍵過程����。具有高優(yōu)先級的安全關(guān)鍵過程尤其首先被實施,具有低優(yōu)先級的安全關(guān)鍵過程尤其最后被實施�����。
[0017]本發(fā)明的優(yōu)點(diǎn)
通過本發(fā)明使得能夠靈活地規(guī)劃要完成的安全關(guān)鍵過程�。通過本發(fā)明可以區(qū)分其完成非常重要并且應(yīng)當(dāng)盡可能快地進(jìn)行的相關(guān)的安全關(guān)鍵過程與其完成不迫切并且不應(yīng)盡快地進(jìn)行的具有次要重要性的安全關(guān)鍵過程。
[0018]尤其通過本發(fā)明不必要的是�,安全處理器單元按其被指示的順序?qū)嵤┌踩P(guān)鍵過程。具有高優(yōu)先級的相關(guān)的安全關(guān)鍵過程可以在具有次要重要性以及低優(yōu)先級的安全關(guān)鍵過程之前被實施�。安全處理器單元尤其分別僅實施一個唯一的安全關(guān)鍵過程并且不同時實施多個安全關(guān)鍵過程。通過本發(fā)明使得能夠合理地利用安全處理器單元的資源并且根據(jù)安全關(guān)鍵過程的重要性和相關(guān)性來完成安全關(guān)鍵過程�。
[0019]常規(guī)硬件安全模塊也不能同時實施多個過程。在常規(guī)硬件安全模塊中必要時可能必需的是����,在可以啟動新的過程之前,等待直到當(dāng)前在HSM中實施的過程結(jié)束��。根據(jù)當(dāng)前實施的過程�����,可能必要時持續(xù)比較長的時間、例如多達(dá)數(shù)秒���,直到可以啟動新過程�。據(jù)此�,在可以實施重要的安全關(guān)鍵過程之前,必要時首先必須等候多達(dá)數(shù)秒�。
[0020]通過本發(fā)明來消除常規(guī)硬件安全模塊的這種問題。給其實施非常重要并且應(yīng)當(dāng)盡可能快地被執(zhí)行的相關(guān)的安全關(guān)鍵過程分別分配高或最高的優(yōu)先級����。這些安全關(guān)鍵過程在安全處理器單元中作為第一個并且盡可能快地被實施。因此可以保證盡可能快地創(chuàng)建或處理迫切需要的安全關(guān)鍵數(shù)據(jù)���。
[0021]可以設(shè)想適宜地大的數(shù)目的不同優(yōu)先級或不同優(yōu)先級等級�。越多不同的優(yōu)先級可以被分派給安全關(guān)鍵過程�����,就可以越好地區(qū)分不同安全關(guān)鍵過程的相關(guān)性�。
[0022]通過本發(fā)明尤其可以保證遵守適用于機(jī)動車領(lǐng)域的(安全)要求和(安全)規(guī)范。尤其通過本發(fā)明實現(xiàn)安全處理器單元的實時能力��。本發(fā)明因此尤其適于機(jī)動車的控制設(shè)備��,例如適于發(fā)動機(jī)控制設(shè)備。通過本發(fā)明可以阻止對控制設(shè)備的攻擊和操縱���。在機(jī)動車的控制設(shè)備的情況下尤其可以保證“專有技術(shù)(Know-How)保護(hù)”并且諸如在“芯片調(diào)諧(Ch i P tun i ng ) ”的情況下禁止對控制設(shè)備軟件的操縱。
[0023]尤其在安全關(guān)鍵過程期間處理和