计算单元及用于验证其消息的方法、计算机程序和车辆与流程

1.本发明涉及一种用于验证计算单元的消息的方法、一种计算单元、一种计算机程序和一种车辆。


背景技术：

2.机动车通常包括多个计算单元，其中通常针对不同的域（dom
ä
nen）、诸如动力总成（例如发动机控制器）、底盘（例如esp、abs）、驾驶员辅助系统（例如距离跟踪巡航控制、车道保持辅助，
……
）、车身计算机（例如照明、刮水器
……
的控制）和信息娱乐，使用至少各一个单独的控制单元。除了该至少各一个控制单元之外，域通常还包括其它下级控制单元、传感器和执行器。各个域的分开尤其提供了安全优点，原因在于某个域的被操纵（korrumpiert）的控制器无法轻易干预其它控制器的操作模式。这样，例如可以使信息娱乐系统难以操控制动器，原因在于可以通过适合的机制来确保信息娱乐系统不会冒充针对底盘功能的域计算机。即，将各个对于机动车来说典型的域分开到不同的计算单元上对机动车的安全性做出了重要贡献。
3.为了克服域控制器的缺点、尤其是经此所造成的高布线花费，考虑为车辆配备所谓的区域控制器（zonensteuerger
ä
ten）。在这种情况下，计算单元从几何的角度被分散到车辆上，并且各个执行器由相应最近的区域控制器来操控。这样，例如可以规定：为车辆前部设置一个区域控制器，为车辆中间设置一个区域控制器并且为车辆尾部设置一个区域控制器。同样可设想的是为每个车辆角落（左前、右前、左后和右后）各设置一个区域控制器。可以为协调任务附加地设置中央车辆计算机，该中央车辆计算机例如也承担与车辆外部的计算单元的通信，如可在空中更新（ota、fota、sota）的情况下所发生的那样。
4.为了能够充分利用这些区域设计的优点，在各一个控制器上在常规的面向域的架构中运行的程序被分发到各个区域控制器上。为了避免区域控制器上的各个软件块之间的相互影响，使用虚拟化技术。那么，通常在区域控制器上存在管理程序（或内核），该管理程序提供与虚拟软件块、即所谓的分区的接口。区域控制器上的各个分区仅直接与管理程序进行交互而不是彼此之间进行交互。管理程序还提供统一的硬件接口，使得这些分区不直接访问硬件、诸如存储器，而是通过管理程序来进行这种访问。对区域控制器的安全模块、例如硬件安全模块（hsm）的访问同样经由管理程序来进行。
5.安全模块是专用的、通常以硬件来实现的模块，在这些模块中可以在特别安全的环境下执行密码操作。为此所需的密码密钥存放在安全模块的安全存储区内。想要验证向外部定向的消息的分区可以启动消息验证例程，通过安全模块借助于该消息验证例程来发起验证。接着，为了该验证而执行的计算的结果由安全模块经由管理程序返回给进行请求的分区，使得消息可以与验证信息一起由该分区向外部发送。然而，在使用虚拟化技术以使各个车辆域分开的区域控制器的情况下存在如下问题：另一分区可能启动同一消息验证例程，使得可能发送错误验证的消息。
6.即，区域设计提供了使布线花费降低到最低限度的优点，但是缺点在于：尽管使用
已知的虚拟化技术，但是并未达到机动车中的面向域的e/e架构的安全级别。


技术实现要素：

7.按照本发明的用于验证计算单元的消息的方法，其中该计算单元包括存储器、安全模块和多个分区，其中在该安全模块中存放有用于验证消息的密码密钥，其中由活跃分区启动消息验证例程，以便对该消息进行验证，其中该消息验证例程限定了这些密码密钥的为了该验证所要使用的子集，该方法与此相对应地具有如下优点：在使用这些密码密钥的该子集的情况下执行的验证的结果被存放在该存储器的被分配给该活跃分区的子区域内。
8.有利地，该消息是由该活跃分区向该计算单元之外的接收方发送的消息。该接收方例如可处在与该计算单元相同的机动车中。替代地，该消息也可以是向该计算单元之内的另一分区发送的消息，其中该另一分区在这种情况下充当接收方分区。在此，活跃分区应被理解成想要向——通常是计算单元外部的——接收方发送消息并且因此调用消息验证例程的那个分区。即，术语“活跃分区”在下文仅仅描述了一种视角，而并不旨在暗示该计算单元的一个或多个其它分区不执行计算操作。
9.安全模块的密码密钥的子集可包括一个或多个密码密钥。
10.有利地，对消息验证例程的调用经由管理程序以如下方式来进行：借助于消息验证例程来限定为了该验证所要使用的密码密钥的子集。例如，经由消息验证例程可以从安全模块的插槽（slot）请求密码密钥，其中每个插槽都分配有多个密码密钥。有利地，每个插槽都排他地分配有多个密码密钥。替代于管理程序，也可以使用同样支持虚拟化的其它操作系统组件，诸如内核。
11.有利地，这些密码密钥的所要使用的子集被排他地分配给该活跃分区。也就是说，只有该活跃分区可以使用被排他地分配给它的密钥，用于该验证。有利的是：每个分区都排他地分配有这些密码密钥的子集。有利地，安全模块知道这些密码密钥的哪个子集被分配给哪个分区。替代地，这些密码密钥的子集可以被分配给多个分区。如果多个分区被分配给同一安全等级，则这些分区可以有利地使用这些密码密钥的同一子集。排他地分配有这些密码密钥的子集的分区与共同分配有这些密码密钥的另一子集的其它分区的组合也是可能的。
12.有利的是：该存储器的被分配给该活跃分区的子区域仅借助于管理程序就可以被读取并且该管理程序只允许该活跃分区进行读取。换言之，只有该活跃分区能经由该管理程序接触到存在于该存储器的被分配给该活跃分区的子区域中的信息。特别有利的是：每个分区都排他地分配有该存储器的子区域，使得每个分区都借助于该管理程序排他地访问相应被排他地分配的存储区。为了保持排他性，有利地使用存储器分离技术，这些存储器分离技术例如通过所谓的存储器管理单元（memory management units，mmu）或者存储器保护单元（memory protection units，mpu）来被提供。
13.有利地，安全模块是硬件安全模块。有利地，该计算单元是中央车辆控制器，尤其是机动车的区域控制器或者中央计算机。车载计算机（vehicle computer）、车辆控制单元（vehicle control units，vcu）或者中央网关计算机是中央车辆控制器的其它示例。
14.特别有利地，按照本发明的方法可以在每个分区都被分配给车辆域时应用。车辆
域例如是动力总成系统域、底盘域、信息娱乐域、车身域和驾驶员辅助系统（adas）域。替代地，这些分区也可以有利地被分配给各个安全等级，这尤其能够实现不同制造商的软件功能在该计算单元上的显著简化的集成。
15.还有利的是：一种计算单元，该计算单元被设立用于执行按照本发明的方法；以及一种计算机程序，当该计算机程序在该计算单元上被执行时，该计算机程序促使该计算单元执行按照本发明的方法的每个步骤。
16.还有利的是一种机动车，该机动车包括多个区域控制器，其中每个区域控制器都被设立用于执行按照本发明的方法。还有利的是一种机动车，该机动车包括中央计算单元，其中该中央计算单元被设立用于执行按照本发明的方法。
附图说明
17.随后介绍本发明的实施例。在此：图1示出了计算单元的示意图，该计算单元被设立用于执行按照本发明的方法的实施例；图2示出了按照本发明的方法的实施例的流程的示意图。
具体实施方式
18.图1示出了计算单元（8）的示意图，该计算单元被设立用于执行按照本发明的方法的实施例。计算单元（8）包括硬件部分（20）和软件部分（10）。软件部分（10）包括管理程序（16）以及第一分区（12）和第二分区（14）。硬件部分（20）包括：安全模块（22），该安全模块尤其可以是硬件安全模块（hsm）；以及存储器（26）。存储器（26）包括：第一存储区（27），该第一存储区被排他地分配给第一分区（12）；以及第二存储区（28），该第二存储区被排他地分配给第二分区（14）。存储器（26）被设立成可写。安全模块（22）包括内部存储器，在该内部存储器中存放有密码密钥。这些密码密钥的第一子集（23）被排他地分配给第一分区（12）。这些密码密钥的第二子集（24）被排他地分配给第二分区（14）。
19.第一分区（12）和第二分区（14）保持与管理程序（16）的通信连接。管理程序（16）尤其是硬件接口，使得第一分区（12）和第二分区（14）可以借助于管理程序（16）向安全模块（22）发送请求。经由管理程序（16）还可能的是：第一分区（12）和第二分区（14）可以访问存储器（26）。在这种情况下，第一存储区（27）被设立为只有第一分区（12）可以经由管理程序（16）对第一存储区（27）进行读访问。第二存储区（28）被设立为只有第二分区（14）可以经由管理程序（16）对第二存储区（28）进行读访问。第一分区（27）和第二分区（28）可以被安全模型（22）写。
20.图2示出了按照本发明的方法的实施例的流程的示意图。在步骤100中，第一分区（12）启动消息验证例程，原因在于经验证的消息应该由第一分区（12）向计算单元（8）之外的接收方发送。通过调用消息验证例程，第一分区（12）成为就本发明而言的活跃分区。对消息验证例程的调用包括：通过安全模块来发起验证计算、例如密码计算。为此，例如可以在使用密码密钥和所要发送的消息的情况下形成校验值。消息验证例程规定为了该验证所要使用的密码密钥，例如其方式是调用相对应的插槽，该插槽表示安全模块（22）的密码密钥的子集。由第一分区（12）调用的消息验证例程发起对来自这些密码密钥的第一子集（23）中
的一个或多个密码密钥的使用，原因在于该第一子集被分配给第一分区（12）。在步骤100之后是步骤110。
21.在步骤110中，在使用来自这些密码密钥的第一子集（23）中的一个或多个密码密钥的情况下通过密码计算来验证活跃分区、即第一分区（12）的消息。在步骤110之后执行步骤120。
22.在步骤120中，将在步骤110中执行的密码计算的结果写入被排他地分配给第一分区（12）的第一存储区（27）。然后是步骤130。
23.在步骤130中，第一分区（12）借助于管理程序（16）来读取在第一存储区（27）中存储的密码计算的结果。然后是步骤140。
24.在步骤140中，将要由第一分区（12）向计算单元（8）之外的接收方发送的消息与密码计算的结果一起发送。因此，发送了经验证的消息。
25.通过将该活跃分区固定地并且排他地分配给密码密钥的子集和该存储器（26）的子区域，排除了另一分区对该存储器（26）的相对应的子区域的访问。因此确保了：另一分区无法由于调用同一消息验证例程而错误地发送看似来自该活跃分区的消息。这样，如果所提出的方法在所有实现虚拟化设计的计算单元上应用，则机动车的面向域的e/e架构的安全相关的优点可以与面向区域的e/e架构的优点相结合。