[go: up one dir, main page]

DE102020106811A1 - DATA PROCESSING DEVICE AND METHOD FOR HANDLING A SECURITY THREAT IN A DATA PROCESSING DEVICE - Google Patents

DATA PROCESSING DEVICE AND METHOD FOR HANDLING A SECURITY THREAT IN A DATA PROCESSING DEVICE Download PDF

Info

Publication number
DE102020106811A1
DE102020106811A1 DE102020106811.5A DE102020106811A DE102020106811A1 DE 102020106811 A1 DE102020106811 A1 DE 102020106811A1 DE 102020106811 A DE102020106811 A DE 102020106811A DE 102020106811 A1 DE102020106811 A1 DE 102020106811A1
Authority
DE
Germany
Prior art keywords
data processing
processing device
power supply
security
supply circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020106811.5A
Other languages
German (de)
Inventor
Petru Bacinski
Vivin Richards Allimuthu Elavarasu
Konstantin Ivanchenko
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Infineon Technologies AG
Original Assignee
Infineon Technologies AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Infineon Technologies AG filed Critical Infineon Technologies AG
Priority to DE102020106811.5A priority Critical patent/DE102020106811A1/en
Publication of DE102020106811A1 publication Critical patent/DE102020106811A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Gemäß verschiedenen Ausführungsformen wird eine Datenverarbeitungsvorrichtung beschrieben, die eine Leistungsversorgungsschaltung, ein Sicherheitsmodul und eine oder mehrere Kommunikationsschnittstellenschaltungen umfasst. Das Sicherheitsmodul ist zum Erkennen einer Sicherheitsbedrohung und zum Signalisieren einer erkannten Sicherheitsbedrohung an die Leistungsversorgungsschaltung konfiguriert, und die Leistungsversorgungsschaltung ist so konfiguriert, dass sie in Reaktion auf eine erkannte Sicherheitsbedrohung, die vom Sicherheitsmodul signalisiert wird, die Leistungsversorgung der einen oder der mehreren Kommunikationsschnittstellenschaltungen unterbricht oder die Datenverarbeitungsvorrichtung wenigstens teilweise zurücksetzt oder beides.According to various embodiments, a data processing device is described which comprises a power supply circuit, a security module and one or more communication interface circuits. The security module is configured to detect a security threat and to signal a recognized security threat to the power supply circuit, and the power supply circuit is configured such that it interrupts or in response to a recognized security threat which is signaled by the security module, the power supply of the one or more communication interface circuits resets the data processing device at least partially, or both.

Description

Die vorliegende Offenbarung betrifft Datenverarbeitungsvorrichtungen und Verfahren zur Handhabung einer Sicherheitsbedrohung in einer Datenverarbeitungsvorrichtung.The present disclosure relates to data processing devices and methods for handling a security threat in a data processing device.

Elektronische Vorrichtungen, beispielsweise Steuervorrichtungen, die einen oder mehrere Mikrocontroller umfassen, müssen typischerweise hohe Schutz- und Sicherheitsanforderungen erfüllen. Insbesondere in Kraftfahrzeuganwendungen ist die Sicherheit einer elektronischen Steuervorrichtung (z. B. einer elektronischen Steuereinheit (ECU - Electronic Control Unit) von großer Bedeutung, da eine Fehlfunktion einer Steuervorrichtung in einem Fahrzeug, z. B. aufgrund bösartiger Software, zu Unfällen führen kann. Daher sind Ansätze zum Erhöhen der Sicherheit von Datenverarbeitungsvorrichtungen wünschenswert.Electronic devices, for example control devices that comprise one or more microcontrollers, typically have to meet high protection and safety requirements. In automotive applications in particular, the safety of an electronic control device (e.g. an electronic control unit (ECU)) is of great importance, since a malfunction of a control device in a vehicle, e.g. due to malicious software, can lead to accidents. Therefore, approaches to increasing the security of data processing devices are desirable.

Gemäß verschiedenen Ausführungsformen wird eine Datenverarbeitungsvorrichtung bereitgestellt, die eine Leistungsversorgungsschaltung, ein Sicherheitsmodul und eine oder mehrere Kommunikationsschnittstellenschaltungen umfasst. Das Sicherheitsmodul ist zum Erkennen einer Sicherheitsbedrohung und zum Signalisieren einer erkannten Sicherheitsbedrohung an die Leistungsversorgungsschaltung konfiguriert, und die Leistungsversorgungsschaltung ist so konfiguriert, dass sie in Reaktion auf eine erkannte Sicherheitsbedrohung, die vom Sicherheitsmodul signalisiert wird, Leistungsversorgung der einen oder der mehreren Kommunikationsschnittstellenschaltungen unterbricht oder die Datenverarbeitungsvorrichtung wenigstens teilweise zurücksetzt oder beides.According to various embodiments, a data processing device is provided which comprises a power supply circuit, a security module and one or more communication interface circuits. The security module is configured to detect a security threat and to signal a recognized security threat to the power supply circuit, and the power supply circuit is configured to interrupt the power supply of the one or more communication interface circuits in response to a recognized security threat signaled by the security module Data processing device at least partially resets or both.

Gemäß einer weiteren Ausführungsform wird ein Verfahren zur Handhabung einer Sicherheitsbedrohung in einer Datenverarbeitungsvorrichtung gemäß der vorstehend beschriebenen Datenverarbeitungsvorrichtung bereitgestellt.According to a further embodiment, a method for handling a security threat in a data processing device according to the data processing device described above is provided.

In den Zeichnungen beziehen sich gleiche Bezugszeichen in den verschiedenen Ansichten im Allgemeinen auf die gleichen Teile. Die Zeichnungen sind nicht unbedingt maßstabsgetreu, stattdessen liegt der Schwerpunkt im Allgemeinen auf der Veranschaulichung der Prinzipien der Erfindung. In der folgenden Beschreibung werden verschiedene Aspekte unter Bezugnahme auf die folgenden Zeichnungen beschrieben, wobei:

  • 1 eine elektronische Steuereinheit (ECU) in einem Fahrzeug darstellt.
  • 2 stellt eine elektronische Steuereinheit gemäß einer Ausführungsform dar.
  • 3 stellt ein Zustandsübergangsdiagramm der Zustandsmaschine einer integrierten Leistungsverwaltungsschaltung (PMIC - Power Management Integrated Circuit) dar.
  • 4 stellt eine ECU mit einer Mikrocontrollereinheit (MCU - Microcontroller Unit) und einer PMIC detaillierter dar.
  • 5 stellt eine Datenverarbeitungsvorrichtung gemäß einer Ausführungsform dar.
  • 6 stellt ein Flussdiagramm dar, das ein Verfahren zur Handhabung einer Sicherheitsbedrohung in einer Datenverarbeitungsvorrichtung veranschaulicht.
In the drawings, like reference characters generally refer to the same parts throughout the different views. The drawings are not necessarily to scale, instead emphasis generally lies on illustrating the principles of the invention. In the following description, various aspects are described with reference to the following drawings, wherein:
  • 1 represents an electronic control unit (ECU) in a vehicle.
  • 2 illustrates an electronic control unit according to an embodiment.
  • 3 FIG. 10 is a state transition diagram of the state machine of a Power Management Integrated Circuit (PMIC).
  • 4th shows an ECU with a microcontroller unit (MCU) and a PMIC in more detail.
  • 5 illustrates a data processing device according to an embodiment.
  • 6th Figure 10 is a flow diagram illustrating a method for handling a security threat in a computing device.

Die folgende ausführliche Beschreibung nimmt auf die beiliegenden Zeichnungen Bezug, die spezifische Einzelheiten und Aspekte dieser Offenbarung, in welchen die Erfindung durchgeführt werden kann, veranschaulichend darstellen. Andere Aspekte können verwendet und strukturelle, logische und elektrische Änderungen vorgenommen werden, ohne vom Schutzumfang der Erfindung abzuweichen. Die verschiedenen Aspekte dieser Offenbarung schließen sich gegenseitig nicht unbedingt aus, da einige Aspekte dieser Offenbarung mit einem oder mehreren anderen Aspekten dieser Offenbarung kombiniert werden können, um neue Aspekte zu bilden.The following detailed description refers to the accompanying drawings, which illustrate specific details and aspects of this disclosure in which the invention can be practiced. Other aspects can be used and structural, logical, and electrical changes can be made without departing from the scope of the invention. The various aspects of this disclosure are not necessarily mutually exclusive, as some aspects of this disclosure can be combined with one or more other aspects of this disclosure to form new aspects.

1 stellt eine elektronische Steuereinheit 101 in einem Fahrzeug 100 dar. 1 represents an electronic control unit 101 in a vehicle 100 represent.

Die elektronische Steuereinheit (ECU - Electronic Control Unit) 101 ist ein eingebettetes System, das ein oder mehrere der elektrischen Systeme oder Subsysteme im Fahrzeug 100 steuert. Beispiele sind ein Motorsteuermodul (ECM - Engine Control Module), ein Getriebesteuermodul (TCM - Transmission Control Module), ein Bremssteuermodul (BCM oder EBCM - Brake Control Module) und ein zentrales Steuermodul (CCM - Central Control Module).The Electronic Control Unit (ECU) 101 is an embedded system that includes one or more of the electrical systems or subsystems in the vehicle 100 controls. Examples are an engine control module (ECM - Engine Control Module), a transmission control module (TCM - Transmission Control Module), a brake control module (BCM or EBCM - Brake Control Module) and a central control module (CCM - Central Control Module).

Die ECU 101 umfasst eine Mikrocontrollereinheit (MCU - Microcontroller Unit) 102, die Datenverarbeitung (z. B. Erzeugung von Steuersignalen durch Verarbeiten von Eingangssensorsignalen) durchführt, und eine integrierte Leistungsverwaltungsschaltung (PMIC - Power Management Integrated Circuit) 103, die zum Versorgen der MCU 102 und andere Komponenten der ECU 101 mit Leistung, zum Beispiel unter Verwendung von Leistung der Fahrzeugbatterie, konfiguriert ist.The ECU 101 comprises a microcontroller unit (MCU - Microcontroller Unit) 102, which performs data processing (z. B. generation of control signals by processing input sensor signals), and an integrated power management circuit (PMIC - Power Management Integrated Circuit) 103, which is used to supply the MCU 102 and other components of the ECU 101 configured with power, for example using power from the vehicle battery.

Die MCU 102 und die PMIC 103 sind durch ein MCU-PMIC-Leistungsverwaltungsschnittstelle 104 verbunden. Typischerweise ist eine Schnittstelle zur Leistungsverwaltung zwischen der MCU und der PMIC nicht sicher und weist keine sicherheitsbezogene Funktion auf. Ferner gibt es typischerweise keine spezifischen Reaktionen von der PMIC auf eine Sicherheitsbedrohung. Genauer gesagt, umfasst solch eine Schnittstelle üblicherweise nur Funktionen zur Leistungsverwaltung (Spannungsversorgungen, Spannungsregelung und zugehörige Kommunikation) ohne spezifische Sicherheitsfunktionen.The MCU 102 and the PMIC 103 are through an MCU-PMIC power management interface 104 tied together. Typically, a power management interface between the MCU and the PMIC is not secure and has no safety-related function. Furthermore, there are typically no specific responses from the PMIC to a security threat. More accurate In other words, such an interface typically only includes power management functions (power supplies, voltage regulation and associated communications) with no specific security functions.

Im Gegensatz dazu ist die MCU/PMIC-Schnittstelle 104 gemäß verschiedenen Ausführungsformen mit Sicherheitsmerkmalen, beispielsweise einem sicheren Zustand, und Sicherheitsfunktionen versehen. Dies ermöglicht ein Erhöhen der Sicherheit der ECU 101 insbesondere auf Kommunikationsschnittstellen der MCU durch Leistungsverwaltungsmaßnahmen, die zum Beispiel durch des MCU-Sicherheitsmoduls Kenntnis von potenziellen Sicherheitsbedrohungen ausgelöst werden können, wie im Folgenden ausführlicher beschrieben.In contrast to this is the MCU / PMIC interface 104 provided with security features, for example a safe state, and security functions in accordance with various embodiments. This enables the security of the ECU to be increased 101 in particular on communication interfaces of the MCU through power management measures that can be triggered, for example, by the MCU security module's knowledge of potential security threats, as described in more detail below.

2 stellt eine elektronische Steuereinheit (ECU) 200 gemäß einer Ausführungsform dar. 2 provides an electronic control unit (ECU) 200 according to one embodiment.

Die ECU 200 entspricht zum Beispiel der ECU 101 von 1. Ähnlich der ECU 101 umfasst sie eine MCU 201 und eine PMIC 202, die durch eine MCU-PMIC-Schnittstelle verbunden sind, die insbesondere eine Alarmsignalisierungsschnittstelle 203 umfasst. Die PMIC 202 versorgt die MCU 201 mit Leistung.The ECU 200 corresponds for example to the ECU 101 from 1 . Similar to the ECU 101 it includes an MCU 201 and a PMIC 202 that are connected by an MCU-PMIC interface, in particular an alarm signaling interface 203 includes. The PMIC 202 supplies the MCU 201 with performance.

Die MCU 201 umfasst ein Sicherheitsmodul (vertrauenswürdige Entität) 204. Wenn das Sicherheitsmodul 204 eine Sicherheitsbedrohung erkennt, sendet es einen Sicherheitsalarm über die Alarmsignalisierungsschnittstellte 203 direkt an die PMIC 202. Die MCU-PMIC-Schnittstelle zwischen der PMIC 202 und der MCU 201 kann daher als eine mit Sicherheitsmerkmalen verbesserte Schnittstelle (d. h. eine Sicherheitsschnittstelle) angesehen werden. Außerdem kann sie als Leistungsverwaltungsschnittstelle zwischen der MCU 201 und der PMIC 202 fungieren.The MCU 201 includes a security module (trusted entity) 204 . When the security module 204 detects a security threat, it sends a security alarm via the alarm signaling interface 203 directly to the PMIC 202 . The MCU-PMIC interface between the PMIC 202 and the MCU 201 can therefore be viewed as an interface (ie a security interface) enhanced with security features. It can also act as a performance management interface between the MCU 201 and the PMIC 202 act.

Die MCU-PMIC-Schnittstelle kann die dedizierte Alarmsignalisierungsschnittstelle 203 implementieren, über welche das Sicherheitsmodul 204 den Sicherheitsalarm mittels eines oder mehrerer Hardwaresignalen senden kann. Die PMIC 202 ist so konfiguriert, dass sie auf den Sicherheitsalarm durch Eintreten in einen sicheren Zustand und Auslösen von definierten (Sicherheits-)Aktionen reagiert, welche die Sicherheit der ECU 200 (z. B. insbesondere der MCU 201) erhöhen.The MCU-PMIC interface can be the dedicated alarm signaling interface 203 implement via which the security module 204 can send the security alarm using one or more hardware signals. The PMIC 202 is configured in such a way that it reacts to the safety alarm by entering a safe state and triggering defined (safety) actions that improve the safety of the ECU 200 (e.g. especially the MCU 201 ) raise.

Zum Beispiel versorgt die PMIC 202 insbesondere MCU-Kommunikationsschnittstellenkomponenten 205 sowie ECU-Schnittstellenkomponenten 206 mit Leistung. Zum Beispiel kann die MCU 201 mit den ECU-Schnittstellekomponenten 206 für Kommunikation mit weiteren Komponenten der ECU 200 kommunizieren. Die ECU 200 kann über die ECU-Schnittstellenkomponenten 206 außerdem mit weiteren Komponenten (z. B. externen Komponenten, beispielsweise anderen ECUs oder Sensoren des Fahrzeugs 100) kommunizieren.For example, the PMIC supplies 202 especially MCU communication interface components 205 as well as ECU interface components 206 with performance. For example, the MCU 201 with the ECU interface components 206 for communication with other components of the ECU 200 communicate. The ECU 200 can via the ECU interface components 206 also with other components (e.g. external components, e.g. other ECUs or sensors of the vehicle 100 ) communicate.

Eine Sicherheitsaktion, welche die PMIC 202 im Falle eines Empfangs eines Sicherheitsalarms durchführen kann, ist zum Beispiel das Abschalten von bedrohten Schnittstellen, beispielsweise MCU-Schnittstelle, durch Unterbrechen der Leistungsversorgung der MCU-Kommunikationskomponenten 205. Da Kommunikationsschnittstellen potenzielle Türen für Sicherheitsverletzungen (Propagierung von Sicherheitsbedrohungen und -angriffen) sind, kann eine der Sicherheitsaktionen der PMIC ein Abschalten der Leistungsversorgung solcher Schnittstellen sein. Auf diese Weise wird nicht nur die MCU 201 von potenziellen Sicherheitsangriffen, die über diese Schnittstellen eintreten, isoliert, sondern es wird auch die potenzielle Ausbreitung der Sicherheitsbedrohungen oder -angriffe von der MCU 201 zu anderen angeschlossenen Komponenten verhindert.A security action that the PMIC 202 in the event of a security alarm being received is, for example, switching off threatened interfaces, for example MCU interfaces, by interrupting the power supply to the MCU communication components 205 . Since communication interfaces are potential doors for security breaches (propagation of security threats and attacks), one of the security actions of the PMIC may be to turn off the power to such interfaces. That way, not just the MCU 201 isolated from potential security attacks entering through these interfaces, it also gets the potential spread of security threats or attacks from the MCU 201 to other connected components.

Die PMIC 202 funktioniert nur so lange in ihrem Normalmodus, wie kein Sicherheitsalarm durch die MCU 201 auf der Alarmsignalisierungsschnittstelle 203 signalisiert wird. Sobald ein Sicherheitsalarm auftritt, tritt die PMIC 202 in einen dedizierten Sicherheitsmodus ein, in welchem die nur eine begrenzte Funktionalität aufweisen kann.The PMIC 202 only works in its normal mode as long as there is no safety alarm from the MCU 201 on the alarm signaling interface 203 is signaled. As soon as a security alarm occurs, the PMIC kicks in 202 into a dedicated security mode in which the can only have a limited functionality.

Im Folgenden wird ein Beispiel für einen Betrieb der ECU 200 in Reaktion auf eine Sicherheitsbedrohung beschrieben.

  1. 1. Das Sicherheitsmodul 204 erkennt eine Sicherheitsbedrohung und erzeugt einen Sicherheitsalarm.
  2. 2. Das Sicherheitsmodul 204 propagiert den Sicherheitsalarm über die Alarmsignalisierungsschnittstellte 203 zur PMIC 202.
  3. 3. Die PMIC 202 reagiert auf den Sicherheitsalarm, in dem sie in einen sicheren Zustand einer Zustandsmaschine 207 der PMIC 202 eintritt.
  4. 4. Die PMIC 202 unterbricht die Leistungszufuhr (über eine oder mehrere Leistungsversorgungsleitungen 208) zu verschiedenen versorgten Teilen oder Modulen, einschließlich der MCU-Kommunikationsschnittstellenkomponenten 205 und/oder der ECU-Kommunikationsschnittstellenkomponenten 206, die von der PMIC 202 (d. h., vom Gesichtspunkt der MCU 201, externen
The following is an example of an operation of the ECU 200 in response to a security threat.
  1. 1. The security module 204 detects a security threat and generates a security alert.
  2. 2. The security module 204 propagates the security alarm via the alarm signaling interface 203 to the PMIC 202 .
  3. 3. The PMIC 202 reacts to the safety alarm by placing a state machine in a safe state 207 the PMIC 202 entry.
  4. 4. The PMIC 202 interrupts the power supply (via one or more power supply lines 208 ) to various powered parts or modules, including the MCU communication interface components 205 and / or the ECU communication interface components 206 by the PMIC 202 (ie, from the MCU point of view 201 , external

Komponenten sowie internen Komponenten, z. B. zur Bereitstellung einer Schnittstelle zwischen der MCU und weiteren ECU-Komponenten) versorgt werden.Components as well as internal components, e.g. B. to provide an interface between the MCU and other ECU components).

3 stellt ein Zustandsübergangsdiagramm 300 der Zustandsmaschine 207 der PMIC 202 dar. 3 represents a state transition diagram 300 the state machine 207 the PMIC 202 represent.

Die PMIC 202 weist einen Initialisierungs-(INIT-)Zustand 301, einen Normalzustand 302 und einen sicheren Zustand 303 auf.The PMIC 202 has an initialization (INIT) state 301, a normal state 302 and a safe state 303 on.

Im Initialisierungszustand 301 sind die PMIC-Leistungsversorgungszustände für die Leistungsversorgung der MCU 201 und der Schnittstellenkomponenten 205, 206 sowie möglicher weiterer Komponenten der ECU 200 z. B. je nach Bedarf für die MCU-Initialisierungsphase entweder ein- oder ausgeschaltet.In the initialization state 301 are the PMIC power supply states for supplying power to the MCU 201 and the interface components 205 , 206 as well as possible other components of the ECU 200 z. B. either on or off as required for the MCU initialization phase.

Im Normalmodus-Betriebszustand 302 sind alle notwendigen Leistungsversorgungen (z. B. der MCU 201 und der Schnittstellenkomponenten 205, 206 sowie möglicher weiterer Komponenten der ECU 200) eingeschaltet.In normal mode operating status 302 are all necessary power supplies (e.g. the MCU 201 and the interface components 205 , 206 as well as possible other components of the ECU 200 ) switched on.

Wenn in 304 (vom Initialisierungszustand 301) oder in 305 (vom Normalzustand 302) ein Sicherheitsalarm auftritt (d. h. die PMIC 202 ein Sicherheitsalarmsignal von der MCU 201 empfängt), wird eine MCU-Rücksetzung 306 ausgelöst, d. h. die PMIC aktiviert eine Rücksetzung der MCU 201. Es ist zu beachten, dass die PMIC 202 vor dem Rücksetzen der MCU 201 Informationen über einen Zustand der MCU 201 (und/oder weiterer Komponenten der ECU 200) speichern kann.If in 304 (from the initialization state 301 ) or in 305 (from the normal state 302 ) a security alarm occurs (i.e. the PMIC 202 a safety alarm signal from the MCU 201 receives), an MCU reset occurs 306 triggered, ie the PMIC activates a reset of the MCU 201 . It should be noted that the PMIC 202 before resetting the MCU 201 Information about a state of the MCU 201 (and / or other components of the ECU 200 ) can save.

Wenn eine MCU-Rücksetzung 306 durch einen Sicherheitsalarm ausgelöst wurde, tritt die PMIC in 307 in den definierten sicheren Zustand 303 ein.When an MCU reset 306 was triggered by a safety alarm, the PMIC enters the defined safe state in 307 303 a.

Im sicheren Zustand 303 sind Leistungszufuhren zu den gesicherten Modulen (z. B. Kommunikationsschnittstelle) ausgeschaltet.In a safe state 303 Power supplies to the secured modules (e.g. communication interface) are switched off.

Wenn der Sicherheitsalarm andauert oder erneut ein Sicherheitsalarm auftritt, löst die PMIC in 308 einen weiteren MCU-Rücksetzzyklus aus.If the security alarm persists or a security alarm occurs again, the PMIC initiates another MCU reset cycle in 308.

In 309 geht die PMIC 202 in den normalen Initialisierungsfluss über, nachdem der Sicherheitsalarm deaktiviert wurde und für eine definierte Zeitdauer keine weiteren Sicherheitsalarme auftraten. Die PMIC 202 kann zu diesem Zeitpunkt die gespeicherten Zustandsinformationen für die MCU (und/oder andere Komponenten der ECU 200) bereitstellen und/oder die MCU 201 über den Grund für die Rücksetzung informieren. Die Zustandsinformationen können zum Beispiel Inhalte bestimmter Register usw. sein.In 309 the PMIC goes 202 into the normal initialization flow after the safety alarm has been deactivated and no further safety alarms have occurred for a defined period of time. The PMIC 202 At this point in time, the stored status information for the MCU (and / or other components of the ECU 200 ) and / or the MCU 201 inform about the reason for the reset. The status information can be the contents of certain registers, etc., for example.

4 stellt eine ECU 400 mit einer MCU und einer PMIC detaillierter dar. 4th represents an ECU 400 with an MCU and a PMIC in more detail.

Ähnlich der PMIC 202 von 2 sind die PMIC 402 und die MCU 401 über eine MCU-PMIC-Schnittstelle gekoppelt, die insbesondere eine Alarmsignalisierungsschnittstelle 403 umfasst, welche Übertragung eines Sicherheitsalarmsignals ermöglicht, die MCU 401 umfasst ein Sicherheitsmodul 404, und die PMIC 202 weist eine Zustandsmaschine 412 auf, die z. B. so funktioniert, wie unter Bezugnahme auf 3 beschrieben, und insbesondere einen oder mehrere sichere Zustände implementiert.Similar to the PMIC 202 from 2 are the PMIC 402 and the MCU 401 coupled via an MCU-PMIC interface, which in particular is an alarm signaling interface 403 which enables transmission of a security alarm signal, the MCU 401 includes a security module 404 , and the PMIC 202 assigns a state machine 412 on, the z. B. works as with reference to FIG 3 described, and in particular implemented one or more safe states.

Entsprechend den MCU-Schnittstellenkomponenten 205 weist die MCU 401 Kommunikationsschnittstellenkomponenten auf, die zusammen mit entsprechenden Schnittstellenkomponenten der ECU 400 außerhalb der MCU 401 Kommunikationsschnittstellen 405 zum Austauschen von Kommunikationssignalen 406 zwischen der MCU und den externen Kommunikationsschnittstellenkomponenten implementieren.According to the MCU interface components 205 instructs the MCU 401 Communication interface components, which together with corresponding interface components of the ECU 400 outside of the MCU 401 Communication interfaces 405 for exchanging communication signals 406 between the MCU and the external communication interface components.

Die PMIC 402 versorgt die Kommunikationsschnittstellen 405 (d. h. die Kommunikationsschnittstellenkomponenten der MCU und die entsprechenden Kommunikationsschnittstellenkomponenten der ECU) über Leistungsversorgungsschienen 407 mit Leistung.The PMIC 402 supplies the communication interfaces 405 (ie the communication interface components of the MCU and the corresponding communication interface components of the ECU) via power supply rails 407 with performance.

Zum Regeln der Leistungszufuhr zu den Kommunikationsschnittstellen 405 können verschiedene Varianten verwendet werden, z. B. ein oder mehrere Regler 408 (z. B. Tiefsetzsteller oder lineare Low-Dropout-Regler), die durch die Zustände der Zustandsmaschine 412 gesteuert werden. Konkret werden sie zum Beispiel so gesteuert, dass sie den Kommunikationsschnittstellen 405 keine Leistung zuführen, wenn die Zustandsmaschine in einem sicheren Zustand (z. B. dem sicheren Zustand 303) ist.For regulating the power supply to the communication interfaces 405 different variants can be used, e.g. B. one or more controllers 408 (e.g. buck converter or linear low-dropout regulator), which is determined by the states of the state machine 412 being controlled. Specifically, for example, they are controlled in such a way that they connect to the communication interfaces 405 Do not supply any power when the state machine is in a safe state (e.g. the safe state 303 ) is.

Die Zustandsmaschine 412 zum Beispiel sendet Steuersignale über Steuerleitungen 410, um die Regler 408 in Abhängigkeit vom Zustand der Zustandsmaschine 412 ein- oder auszuschalten (Leistung zuzuführen oder nicht).The state machine 412 for example sends control signals via control lines 410 to the controller 408 depending on the state of the state machine 412 switch on or off (supply power or not).

Alternativ oder zusätzlich versorgt die PMIC 402 die Kommunikationsschnittstellen 405 über Trennschalter 409 mit Leistung, welche die Versorgung der Kommunikationsschnittstellen 405 (z. B. durch Leistung, die von einem der Regler 408 kommt) individuell steuern. Die PMIC 402 zum Beispiel betätigt die Schalter 409, um Leistungszufuhr von einem Regler 408 zu mindestens einem Teilsatz der Kommunikationsschnittstellen 405 (individuell pro Kommunikationsschnittstelle 405) zu unterbrechen, wenn die Zustandsmaschine in einem sicheren Zustand (z. B. dem sicheren Zustand 303) ist.Alternatively or additionally, the PMIC supplies 402 the communication interfaces 405 via disconnector 409 with power that supplies the communication interfaces 405 (e.g. through the power supplied by one of the controllers 408 come) individually. The PMIC 402 for example operates the switch 409 to get power supply from a regulator 408 to at least a subset of the communication interfaces 405 (individually per communication interface 405 ) to be interrupted when the state machine is in a safe state (e.g. the safe state 303 ) is.

Die Zustandsmaschine 412 zum Beispiel sendet Steuersignale über Steuerleitungen 411, um die Regler 408 in Abhängigkeit vom Zustand der Zustandsmaschine 412 ein- oder auszuschalten (Leistung zu trennen oder nicht).The state machine 412 for example sends control signals via control lines 411 , around the regulator 408 depending on the state of the state machine 412 on or off (power to be disconnected or not).

Das Sicherheitsmodul 404 kann so konfiguriert sein, dass es in Reaktion auf die Erkennung verschiedener Arten von Sicherheitsbedrohungen einen Sicherheitsalarm sendet. Die kann zum Beispiel die Erkennung eines bösartigen Programms, das auf der MCU 201 ausgeführt wird, oder die Erkennung von bösartigem Code sein, den die MCU 201 über eine der Kommunikationsschnittstellen 405 empfängt. Das Sicherheitsmodul 404 kann außerdem mit anderen Komponenten der ECU 400, z. B. Schnittstellenkomponenten, die eine Schnittstelle zu Vorrichtungen außerhalb der ECU 400, einem Speicher der ECU 400 oder anderen Mikroprozessoren oder Mikrocontrollern bereitstellen, zum Erkennen von Sicherheitsbedrohungen, z. B. bösartigem Code oder Angriffen, beispielsweise Dienstverweigerungsangriffen, in oder über diese Komponenten, verbunden sein. Es jedoch zu beachten, dass gemäß verschiedenen Ausführungsformen der Betrieb des Sicherheitsmoduls 204 und der PMIC 202 (in Bezug auf die Handhabung von Sicherheitsbedrohungen) so ausgelegt ist, dass Interaktionen mit der (z. B. Kunden- oder Benutzer-)Software, die auf der MCU ausgeführt wird, vermieden werden, um die Sicherheitsrisiken zu minimieren. Darüber hinaus kann das Sicherheitsmodul 204 außerdem (zusätzlich zur PMIC) mit anderen sicheren Schnittstellen und Funktionen auf ECU-Ebene verbunden sein, vorausgesetzt, dass sie auf Sicherheitsalarme vom MCU-Sicherheitsmodul reagieren können.The security module 404 can be configured to send a security alert in response to detecting various types of security threats. For example, the detection of a malicious program running on the MCU 201 running or detecting malicious code that the MCU 201 via one of the communication interfaces 405 receives. The security module 404 can also be used with other components of the ECU 400 , e.g. B. Interface components that interface with devices outside the ECU 400 , a memory of the ECU 400 or other microprocessors or microcontrollers to detect security threats, e.g. B. malicious code or attacks, such as denial of service attacks, in or via these components. However, it should be noted that, according to various embodiments, the operation of the security module 204 and the PMIC 202 Designed (in terms of handling security threats) to avoid interactions with the (e.g. customer or user) software running on the MCU in order to minimize security risks. In addition, the security module 204 also (in addition to the PMIC) connected to other safe interfaces and functions at the ECU level, provided that they can respond to safety alarms from the MCU safety module.

Zusammengefasst wird gemäß verschiedenen Ausführungsformen eine Datenverarbeitungsvorrichtung bereitgestellt, wie in 5 veranschaulicht.In summary, according to various embodiments, a data processing device is provided, as in FIG 5 illustrated.

5 stellt eine Datenverarbeitungsvorrichtung 500 gemäß einer Ausführungsform dar. 5 represents a data processing device 500 according to one embodiment.

Die Datenverarbeitungsvorrichtung 500 umfasst eine Leistungsversorgungsschaltung 501, ein Sicherheitsmodul 502 und eine oder mehrere Kommunikationsschnittstellenschaltungen 503. Das Sicherheitsmodul 502 ist zum Erkennen einer Sicherheitsbedrohung und zum Signalisieren einer erkannten Sicherheitsbedrohung an die Leistungsversorgungsschaltung 501 konfiguriert. Die Leistungsversorgungsschaltung 501 ist so konfiguriert, dass sie in Reaktion auf das Signalisieren einer erkannten Sicherheitsbedrohung durch das Sicherheitsmodul Leistungsversorgung der einen oder der mehreren Kommunikationsschnittstellenschaltungen 503 unterbricht oder die Datenverarbeitungsvorrichtung 500 wenigstens teilweise zurücksetzt oder beides (d. h. die Leistungsversorgung der einen oder der mehreren Kommunikationsschnittstellenschaltungen 503 unterbricht und die Datenverarbeitungsvorrichtung 500 wenigstens teilweise zurücksetzt).The data processing device 500 includes a power supply circuit 501 , a security module 502 and one or more communication interface circuits 503 . The security module 502 is for recognizing a security threat and for signaling a recognized security threat to the power supply circuit 501 configured. The power supply circuit 501 is configured to provide power to the one or more communication interface circuits in response to the security module signaling a detected security threat 503 interrupts or the data processing device 500 resets at least partially or both (ie, the power supply of the one or more communication interface circuits 503 interrupts and the data processing device 500 at least partially resets).

Ein wenigstens teilweises Rücksetzen der Datenverarbeitungsvorrichtung 500 kann zum Beispiel ein Auslösen einer Rücksetzung einer oder mehrerer anderer Komponenten der Datenverarbeitungsvorrichtung 500 als der Leistungsversorgungsschaltung 501, zum Beispiel des Sicherheitsmoduls 502 oder eines Verarbeitungselements (z. B. eines Mikrocontrollers), welches das Sicherheitsmodul 502 umfasst, bedeuten.An at least partial reset of the data processing device 500 can, for example, trigger a reset of one or more other components of the data processing device 500 than the power supply circuit 501 , for example the safety module 502 or a processing element (e.g. a microcontroller), which the security module 502 includes, mean.

Mit anderen Worten wird gemäß verschiedenen Ausführungsformen eine Alarmsignalisierungsschnittstelle zwischen einer Leistungsversorgungsschaltung (z. B. einer PMIC) und einem Sicherheitsmodul (z. B. von einer MCU) zur Propagierung eines Sicherheitsalarmsignals (z. B. als Teil einer MCU-PMIC-Schnittstelle) bereitgestellt. Die Alarmsignalisierungsschnittstelle kann als eine Schnittstellenerweiterung (zur Propagierung von Sicherheitsalarmsignalen) einer Leistungsverwaltungsschnittstelle (z. B. einer MCU-PMIC-Leistungsverwaltungsschnittstelle) implementiert sein.In other words, according to various embodiments, an alarm signaling interface is used between a power supply circuit (e.g. a PMIC) and a security module (e.g. from an MCU) for propagating a security alarm signal (e.g. as part of an MCU-PMIC interface) provided. The alarm signaling interface can be implemented as an interface extension (for propagating safety alarm signals) of a power management interface (e.g. an MCU-PMIC power management interface).

Die Leistungsversorgungsschaltung kann mit Sicherheitsfunktionen, beispielsweise Alarmüberwachungsschaltungen, Funktionen zur Kontrolle sichere Zustände, definierten sicheren Zuständen und sicherer Schaltungsanordnung, versehen sein.The power supply circuit can be provided with safety functions, for example alarm monitoring circuits, functions for controlling safe states, defined safe states and safe circuit arrangement.

Das Sicherheitsmodul (das z. B. eine sichere Entität innerhalb der vertrauenswürdigen Zone einer MCU implementiert, d. h. ein sicheres Modul sein kann) hat die Kontrolle über die Alarmsignalisierungsschnittstelle mit der Leistungsversorgungsschaltung. Die Kontrolle der Alarmsignalisierung kann auf die vertrauenswürdige Zone beschränkt sein, derart dass keine andere Softwareinstanz (die z. B. auf der MCU ausgeführt wird) diese Alarmsignalisierung beeinflussen kann. Der Sicherheitsmechanismus (z. B. Übertragung des Sicherheitsalarmsignals und Auslösung von Sicherheitsaktionen) kann hardwaregesteuert sein, wobei keine Aktionen von nicht vertrauenswürdiger Software beteiligt sind, um potenzielle Softwareangriffe zu vermeiden. Zum Beispiel ist nur das vertrauenswürdige Sicherheitsmodul innerhalb einer MCU zum Auslösen der Sicherheitsalarmsignale in der Lage. Die Alarmsignalisierungsschnittstelle ermöglicht es, zusätzliche Sicherheit für die Kommunikationsschnittstellen bereitzustellen: im Falle einer Sicherheitsbedrohung werden diese Kommunikationsschnittstellen durch Hardwareschaltungsanordnung abgeschaltet und können nicht mehr als Pfade für Angriffe dienen. Die Sicherheitsaktionen sind auf der physikalischen Kommunikationsebene (Kommunikationsschnittstellen-Komponenten, -Module und/oder -Sendeempfänger der physikalischen Schicht (PHY)) wirksam und deaktivieren Kommunikationsverbindungen über die Kommunikationsschnittstellen in wirksamer Weise.The security module (which e.g. implements a secure entity within the trusted zone of an MCU, ie can be a secure module) has control over the alarm signaling interface with the power supply circuit. The control of the alarm signaling can be limited to the trustworthy zone so that no other software instance (e.g. that is executed on the MCU) can influence this alarm signaling. The security mechanism (e.g. transmission of the security alarm signal and triggering of security actions) can be hardware-controlled, whereby no actions by untrustworthy software are involved in order to avoid potential software attacks. For example, only the trusted security module within an MCU is able to trigger the security alarm signals. The alarm signaling interface makes it possible to provide additional security for the communication interfaces: in the event of a security threat, these communication interfaces are switched off by hardware circuitry and can no longer serve as paths for attacks. The security actions are effective and deactivate on the physical communication level (communication interface components, modules and / or transceivers of the physical layer (PHY)) Communication links over the communication interfaces in an effective manner.

Die Leistungsversorgungsschaltung kann zusammen mit dem Sicherheitsmodul so gesehen werden, dass sie ein Cybersicherheitssubsystem der Datenverarbeitungsvorrichtung implementiert. Das Cybersicherheitssystem ergreift Schutzmaßnahmen für das gesamte System (d. h. die gesamte Datenverarbeitungsvorrichtung). Es kann zusätzliche Schutzmaßnahmen für das gesamte System geben, die von Komponenten ergriffen werden, damit das Cybersicherheitssystem nicht unbedingt alle Schutzmaßnahmen ergreift.The power supply circuit, together with the security module, can be seen to implement a cybersecurity subsystem of the data processing device. The cybersecurity system takes protective measures for the entire system (i.e. the entire data processing device). There may be additional protection measures for the entire system that are taken by components so that the cybersecurity system does not necessarily take all protection measures.

Ein wenigstens teilweises Rücksetzen der Datenverarbeitungsvorrichtung 500 kann zum Beispiel ein Auslösen einer Rücksetzung einer oder mehrerer anderer Komponenten der Datenverarbeitungsvorrichtung 500 als der Leistungsversorgungsschaltung 501, zum Beispiel des Sicherheitsmoduls 502 oder eines Verarbeitungselements (z. B. eines Mikrocontrollers), welches das Sicherheitsmodul 502 umfasst, bedeuten.An at least partial reset of the data processing device 500 can, for example, trigger a reset of one or more other components of the data processing device 500 than the power supply circuit 501 , for example the safety module 502 or a processing element (e.g. a microcontroller), which the security module 502 includes, mean.

Daher kann die Leistungsversorgungsschaltung als Schutzelement bei der Kontrolle hinsichtlich des Erreichens eines sicheren Zustands fungieren, während der Rest (d. h. andere Komponenten) der Datenverarbeitungsvorrichtung (z. B. ein Mikrocontroller der Datenverarbeitungsvorrichtung) zurückgesetzt ist, d. h. in einem zurückgesetzten Zustand ist. Allgemeiner ausgedrückt, hat die Leistungsversorgungsschaltung die Kontrolle hinsichtlich Schutz, wenn eine Sicherheitsbedrohung erkannt wurde, und kann solche Schutzmaßnahmen wie das Deaktivieren von Funktionen der Datenverarbeitungsvorrichtung und Deaktivieren der Leistungsversorgung ergreifen. Die Leistungsversorgungsschaltung ergreift außerdem Maßnahmen hinsichtlich einer oder mehrerer Vorrichtungen, die vom Datenverarbeitungssystem gesteuert werden, wenn eine Sicherheitsbedrohung festgestellt wurde, z. B. in einem Fall, in welchem die Datenverarbeitungsvorrichtung eine Steuervorrichtung für elektrische Servolenkung ist, kann sie die Verbindung der Batteriespannung von einer elektrischen Maschine unterbrechen.Therefore, the power supply circuit can act as a protective element in the control for reaching a safe state while the rest (i.e. other components) of the data processing device (e.g. a microcontroller of the data processing device) is reset, i.e. H. is in a reset state. More generally, the power supply circuit has control over protection when a security threat is detected and can take such protective measures as disabling functions of the data processing device and disabling the power supply. The power supply circuit also takes action on one or more devices controlled by the data processing system when a security threat is detected, e.g. B. in a case where the data processing device is an electric power steering control device, it can cut off the connection of the battery voltage from an electric machine.

Bei einer Sicherheitsbedrohung, die vom Sicherheitsmodul erkannt wird, kann es sich zum Beispiel um bösartigen Code oder Angriffe über die eine oder die mehreren Kommunikationsschnittstellenschaltungen, z. B. Dienstverweigerungsangriffe, handeln. Die Kommunikationsschnittstellenschaltungen können so konfiguriert sein, dass sie eine oder mehrere Schnittstellen zwischen Komponenten der Datenverarbeitungsvorrichtung oder zwischen einer Komponente der Datenverarbeitungsvorrichtung und einer Vorrichtung außerhalb der Datenverarbeitungsvorrichtung bereitstellen. Beispiele umfassen eine CAN-Busschnittstelle (CAN - Controller Area Network) und eine Ethernet-Schnittstelle.A security threat that is detected by the security module can be, for example, malicious code or attacks via the one or more communication interface circuits, e.g. B. Denial of Service attacks act. The communication interface circuits can be configured to provide one or more interfaces between components of the data processing device or between a component of the data processing device and a device external to the data processing device. Examples include a CAN (Controller Area Network) bus interface and an Ethernet interface.

Das Sicherheitsmodul kann Teil eines Mikrocontrollers (allgemein eines Verarbeitungselements) der Datenverarbeitungsvorrichtung sein. Gemäß verschiedenen Ausführungsformen ist eine Sicherheitsschnittstelle zwischen dem Mikrocontroller und der Leistungsversorgungsschaltung ausgebildet, die

  • • es der Leistungsversorgungsschaltung ermöglicht, Leistungsverwaltungssicherheitsaktionen auf der MCU und ihren Kommunikationsschnittstellen durchzuführen.
  • • Das sichere Modul kann zum Kommunizieren einer Sicherheitsbedrohung der oder eines Sicherheitsangriffs auf die Leistungsversorgungsschaltung (die den Microcontroller versorgt) verwendet werden. Dies bedeutet, dass die Sicherheitsschnittstelle zwischen dem Mikrocontroller und der Leistungsversorgungsschaltung insbesondere eine Alarmsignalisierungsschnittstelle zur Übertragung eines Sicherheitsalarms umfasst.
  • • Sie ermöglicht der Leistungsversorgungsschaltung, die Kommunikationsschnittstellen der MCU zu deaktivieren, wenn ein Sicherheitsalarm ausgelöst wird.
  • • Sie stellt eine hardwaregesteuerte Sicherheitsmaßnahme zum Deaktivieren bestimmter Leistungsversorgungen des Mikrocontrollers oder seiner Peripheriegeräte bereit.
  • • Sie kann bei Bedarf durch Hardwaredesign definiert sein, um auszuwählen, welche Leistungsversorgungen im Falle einer Sicherheitsbedrohung oder eines Sicherheitsangriffs ausgeschaltet werden.
  • • Sie stellt einen sicheren Zustand bereit, in welchem vordefinierte Leistungsversorgungen ausgeschaltet werden und unter Verwendung von Softwaresteuerung nicht wieder eingeschaltet werden können, und/oder
  • • verhindert unbeabsichtigte Übergänge vom sicheren Zustand der Leistungsversorgungen in den Normalzustand ohne Rücksetzzyklus.
The security module can be part of a microcontroller (generally a processing element) of the data processing device. According to various embodiments, a safety interface is formed between the microcontroller and the power supply circuit, which
  • • allows the power supply circuit to perform power management security actions on the MCU and its communication interfaces.
  • The secure module can be used to communicate a security threat or a security attack on the power supply circuit (which supplies the microcontroller). This means that the safety interface between the microcontroller and the power supply circuit comprises, in particular, an alarm signaling interface for transmitting a safety alarm.
  • • It enables the power supply circuit to disable the MCU's communication interfaces when a safety alarm is triggered.
  • • It provides a hardware-controlled safety measure for deactivating certain power supplies to the microcontroller or its peripheral devices.
  • • If necessary, it can be defined by hardware design in order to select which power supplies are switched off in the event of a security threat or security attack.
  • • It provides a safe state in which predefined power supplies are switched off and cannot be switched on again using software control, and / or
  • • prevents unintentional transitions from the safe state of the power supplies to the normal state without a reset cycle.

Die Komponenten der Datenverarbeitungsvorrichtung 500 können durch eine oder mehrere Schaltungen implementiert sein. In einer Ausführungsform kann eine „Schaltung“ als jegliche Art einer Logik implementierenden Entität verstanden werden, die Hardware, Software, Firmware oder eine beliebige Kombination davon sein kann. Demnach kann eine „Schaltung“ in einer Ausführungsform eine festverdrahtete Logikschaltung oder eine programmierbare Logikschaltung, beispielweise ein programmierbarer Prozessor, z. B. ein Mikroprozessor, sein. Eine „Schaltung“ kann auch Software sein, die durch einen Prozessor, z. B. jede Art von Computerprogramm, implementiert oder ausgeführt wird. Jegliche andere Art von Implementierung der jeweiligen Funktionen, die hierin beschrieben werden, kann gemäß einer alternativen Ausführungsform ebenfalls als „Schaltung“ verstanden werden. Es ist jedoch zu beachten, dass wenigstens einige der Komponenten in Hardware, d. h. festverdrahteten Hardwareschaltungen (z. B. als Kombinationen von fest verbundenen Logikgattern, die zum Ausführen von vorbestimmten Boole-Funktionen konfiguriert sind) implementiert sein können, um die Sicherheit gegen Softwareangriffen zu erhöhen.The components of the data processing device 500 can be implemented by one or more circuits. In one embodiment, a “circuit” can be understood as any type of logic implementing entity, which can be hardware, software, firmware, or any combination thereof. Accordingly, in one embodiment, a "circuit" may be a hardwired logic circuit or a programmable logic circuit, for example a programmable processor, e.g. B. a microprocessor. A “circuit” can also be software that is created by a Processor, e.g. Any type of computer program being implemented or executed. Any other type of implementation of the respective functions described herein can also be understood as “circuitry” according to an alternative embodiment. It should be noted, however, that at least some of the components may be implemented in hardware, ie hard-wired hardware circuits (e.g. as combinations of hard-wired logic gates configured to perform predetermined Boolean functions) in order to protect against software attacks raise.

Die Leistungsversorgungsschaltung und das sichere Modul können zum Beispiel durch verschiedene Chips (d. h. verschiedene integrierte Schaltungen, z. B. in getrennten Gehäusen, z. B. angeordnet in verschiedenen integrierten Schaltungsvorrichtungen, beispielsweise oberflächenmontierten Vorrichtungen) implementiert sein, derart dass die Schnittstelle zwischen der Leistungsversorgungsschaltung und dem sicheren Modul eine Schnittstelle zwischen Chips ist. Zum Beispiel sind die Leistungsversorgungsschaltung und das sichere Modul auf einer gedruckten Leiterplatte montiert, und die Sicherheitsschnittstelle zwischen ihnen (insbesondere die Alarmsignalisierungsschnittstelle) kann durch eine oder mehrere Leitungen auf der gedruckten Leiterplatte ausgebildet sein. Das sichere Modul kann zum Beispiel als Teil eines Mikrocontrollerchips implementiert sein, der einen Mikrocontroller implementiert. Ähnlich können weitere Komponenten der ECU (insbesondere Kommunikationsschnittstellenkomponenten) von der Leistungsversorgungsschaltung getrennt (z. B. implementiert durch verschiedene Chips, angeordnet in verschiedenen Gehäusen, z. B. verschiedenen integrierten Schaltungsvorrichtungen, beispielsweise oberflächenmontierten Vorrichtungen) sein.The power supply circuit and the safe module can for example be implemented by different chips (ie different integrated circuits, e.g. in separate housings, e.g. arranged in different integrated circuit devices, e.g. surface mount devices) such that the interface between the power supply circuit and the secure module is an interface between chips. For example, the power supply circuit and the secure module are mounted on a printed circuit board, and the security interface between them (in particular the alarm signaling interface) can be formed by one or more lines on the printed circuit board. For example, the secure module can be implemented as part of a microcontroller chip that implements a microcontroller. Similarly, other components of the ECU (particularly communication interface components) may be separate from the power supply circuit (e.g. implemented by different chips arranged in different housings, e.g., different integrated circuit devices, e.g., surface mount devices).

Die Datenverarbeitungsvorrichtung 500 führt zum Beispiel ein Verfahren durch, wie in 6 dargestellt.The data processing device 500 for example, performs a procedure as in 6th shown.

6 stellt ein Flussdiagramm 600 dar, das ein Verfahren zur Handhabung einer Sicherheitsbedrohung in einer Datenverarbeitungsvorrichtung veranschaulicht. 6th represents a flow chart 600 which illustrates a method for handling a security threat in a computing device.

Bei 601 erkennt ein Sicherheitsmodul eine Sicherheitsbedrohung.At 601, a security module detects a security threat.

Bei 602 signalisiert das Sicherheitsmodul die erkannte Sicherheitsbedrohung an eine Leistungsversorgungsschaltung.At 602, the security module signals the identified security threat to a power supply circuit.

Bei 603 unterbricht die Leistungsversorgungsschaltung in Reaktion auf das Signalisieren der erkannten Sicherheitsbedrohung Leistungsversorgung einer oder mehrerer Kommunikationsschnittstellenschaltungen oder setzt der Datenverarbeitungsvorrichtung wenigstens teilweises zurück oder führt beides durch.At 603, in response to signaling the identified security threat, the power supply circuit interrupts power supply to one or more communication interface circuits, or at least partially resets the computing device, or performs both.

Eine beispielhafte Operation ist, dass das sichere (z. B. Hardware-)Modul eine Sicherheitsbedrohung erkennt und einen Alarm an die Leistungsversorgungsschaltung ausgibt. Die Leistungsversorgungsschaltung löst dann eine warme oder (weiche) Rücksetzung eines Mikrocontrollers (z. B. einer MCU), der das sichere Modul umfasst, aus und speichert die Ursache der Rücksetzung (z. B. durch Setzen eines Sticky-Bits vor der Rücksetzung). Nach dem Neustart des Mikrocontrollers kann das sichere Modul eine Reihe von Prüfungen mit der Leistungsversorgungsschaltung durchführen und erhält die Information, dass die Rücksetzung durch eine Sicherheitsbedrohung ausgelöst wurde. Als Folge kann das sichere Modul die geeigneten Sicherheitsaktionen auslösen (die durch den Benutzer konfigurierbar sein können). Der Ursprung des Alarms kann vom Benutzer (z. B. MCU-seitig durch Sicherheits-SW) konfiguriert werden. Nach der Rücksetzung kann ein sicherer Start durchgeführt werden, um sicherzustellen, dass der Mikrocontroller in einem sicheren Zustand ist und geeignete Aktionen auslösen kann. Es wird davon ausgegangen, dass der Mikrocontroller nach einem Mikrocontroller-Neustart in einem sicheren Zustand ist, da zum Beispiel ein sicherer Start durchgeführt wird. Daher ist die Flexibilität zum Auslösen jeder geeigneten Maßnahme gegeben. Potenzielle Aktionen können benutzerkonfigurierbar sein (z. B. Notlaufmodus, nicht auf eine spezifische Aktion beschränkt). Wenn es zum Beispiel redundante Kommunikationsschnittstellen gibt, kann im Falle einer Sicherheitsbedrohung nur die Hauptschnittstelle (z. B. Ethernet) ausgeschaltet werden, aber eine andere Schnittstelle (z. B. CAN) kann weiter eingeschaltet bleiben. Es hängt vom Benutzer ab, zu entscheiden, ob CAN-Kommunikation allein für einen Notlaufmodus genügt. Auf diese Weise kann es einen eingeschränkten Betrieb wie Keep-Alive geben.One example operation is for the secure (e.g., hardware) module to detect a security threat and to issue an alarm to the power supply circuit. The power supply circuit then triggers a warm or (soft) reset of a microcontroller (e.g. an MCU) that includes the safe module and stores the cause of the reset (e.g. by setting a sticky bit before the reset) . After restarting the microcontroller, the safe module can perform a series of tests on the power supply circuit and receives the information that the reset was triggered by a security threat. As a result, the secure module can initiate the appropriate security actions (which may be user configurable). The origin of the alarm can be configured by the user (e.g. on the MCU side by security software). After the reset, a safe start can be carried out to ensure that the microcontroller is in a safe state and can initiate suitable actions. It is assumed that the microcontroller is in a safe state after a microcontroller restart, since, for example, a safe start is being carried out. Therefore, there is the flexibility to trigger any suitable action. Potential actions can be user-configurable (e.g. limp home mode, not limited to a specific action). For example, if there are redundant communication interfaces, only the main interface (e.g. Ethernet) can be switched off in the event of a security threat, but another interface (e.g. CAN) can remain switched on. It depends on the user to decide whether CAN communication alone is sufficient for a limp home mode. In this way, there can be a restricted operation such as keep-alive.

Nach der sicherheitsgesteuerten Rücksetzung können einige Schnittstellen ausgeschaltet bleiben, um weitere Angriffe zu verhindern. Die Benutzersoftware kann ausgewählte angriffsgefährdete Anschlüsse individuell deaktivieren und dann die Leistungsversorgungen individuell wieder aktivieren. In einer Kraftfahrzeuganwendung zum Beispiel kann im Gegensatz zum sicheren Modul der sekundäre Schutzpfad in der PMIC ASIL-D sein. Nach dem Start wird der sekundäre Schutzpfad aktiviert, und die MCU kann den sekundären Schutzpfad nur mit dem richtigen Protokoll (das sicherstellt, dass die MCU funktionsfähig ist) deaktivieren. In der Leistungsversorgungsschaltungsanordnung kann ein Fallback-Zustand („init“-Modus mit sekundärem Schutzpfad) für den Fall vorgesehen sein, dass das Sicherheitshandhabungsprotokoll versagt. Gemäß verschiedenen Ausführungsformen führt das Sicherheitsalarmsignal zu einer Rücksetzung des Mikrocontrollers, und die Leistungsversorgung der Leistungsversorgungsschaltungsanordnung (über welche z. B. die Kommunikationsschnittstellenkomponenten versorgt werden) schaltet in einen sicheren Zustand. Der Mikrocontroller kann (z. B. durch die Leistungsversorgungsschaltungsanordnung) informiert werden, dass die letzte Rücksetzung durch eine Sicherheitsbedrohung ausgelöst wurde. Der Mikrocontroller kann die Leistungsversorgungsschaltungsanordnung konfigurieren, um erneut Zugriff auf die Kommunikationsschnittstellen zu erlangen (d. h. die Leistungsversorgungsschaltungsanordnung zu veranlassen, die Leistungsversorgung der Kommunikationsschnittstellenkomponenten wiederherzustellen).After the security-controlled reset, some interfaces can remain switched off in order to prevent further attacks. The user software can individually deactivate selected connections at risk of attack and then reactivate the power supplies individually. In a motor vehicle application, for example, in contrast to the safe module, the secondary protection path in the PMIC can be ASIL-D. Once started, the secondary protection path is activated and the MCU can only deactivate the secondary protection path with the correct protocol (which ensures that the MCU is functional). A fallback state (“init” mode with secondary protection path) can be provided in the power supply circuit arrangement in the event that the Security handling protocol failed. According to various embodiments, the safety alarm signal leads to a reset of the microcontroller, and the power supply of the power supply circuit arrangement (via which, for example, the communication interface components are supplied) switches to a safe state. The microcontroller may be informed (e.g., through the power supply circuitry) that the most recent reset was triggered by a security threat. The microcontroller can configure the power supply circuitry to regain access to the communication interfaces (ie, cause the power supply circuitry to restore power to the communication interface components).

Im Folgenden werden verschiedene Beispiele beschrieben:

  • Beispiel 1 ist eine Datenverarbeitungsvorrichtung, wie in 5 veranschaulicht.
  • Beispiel 2 ist die Datenverarbeitungsvorrichtung nach Beispiel 1, wobei die Leistungsversorgungsschaltung so konfiguriert ist, dass sie in Reaktion auf eine erkannte Sicherheitsbedrohung, die vom Sicherheitsmodul signalisiert wird, ein Rücksetzsignal an eine oder mehrere Komponenten der Datenverarbeitungsvorrichtung sendet.
  • Beispiel 3 ist die Datenverarbeitungsvorrichtung nach Beispiel 1 oder 2, wobei die Leistungsversorgungsschaltung so konfiguriert ist, dass sie in Reaktion auf eine erkannte Sicherheitsbedrohung, die vom Sicherheitsmodul signalisiert wird, vor dem wenigstens teilweisen Rücksetzen der Datenverarbeitungsvorrichtung ein Speichern von Informationen über einen Zustand der Datenverarbeitungsvorrichtung initiiert.
  • Beispiel 4 ist die Datenverarbeitungsvorrichtung nach Beispiel 3, wobei die Leistungsversorgungsschaltung so konfiguriert ist, dass sie die gespeicherten Informationen über den Zustand für eine oder mehrere Komponenten der Datenverarbeitungsvorrichtung bereitstellt, nachdem die Datenverarbeitungsvorrichtung wenigstens teilweise zurückgesetzt wurde.
  • Beispiel 5 ist die Datenverarbeitungsvorrichtung nach einem der Beispiel 1 bis 4, wobei die Leistungsversorgungsschaltung so konfiguriert ist, dass sie eine Information über den Grund für das Rücksetzen für eine oder mehrere Komponenten der Datenverarbeitungsvorrichtung bereitstellt, nachdem die Datenverarbeitungsvorrichtung wenigstens teilweise zurückgesetzt wurde.
  • Beispiel 6 ist die Datenverarbeitungsvorrichtung nach einem der Beispiele 1 bis 5, wobei die Datenverarbeitungsvorrichtung einen Mikrocontroller umfasst, und wobei das wenigstens teilweise Rücksetzen der Datenverarbeitungsvorrichtung ein Rücksetzen des Mikrocontrollers umfasst.
  • Beispiel 7 ist die Datenverarbeitungsvorrichtung nach einem der Beispiele 1 bis 6, wobei die Datenverarbeitungsvorrichtung einen Mikrocontroller umfasst, wobei das wenigstens teilweise Rücksetzen der Datenverarbeitungsvorrichtung ein Rücksetzen des Mikrocontrollers umfasst, und wobei die eine oder die mehreren Komponenten den Mikrocontroller umfassen.
  • Beispiel 8 ist die Datenverarbeitungsvorrichtung nach einem der Beispiele 1 bis 7, wobei die Datenverarbeitungsvorrichtung einen Mikrocontroller umfasst, der zum Ausführen von Software konfiguriert ist, und wobei das Sicherheitsmodul zum Erkennen von Sicherheitsbedrohungen der Software konfiguriert ist.
  • Beispiel 9 ist die Datenverarbeitungsvorrichtung nach einem der Beispiele 1 bis 8, wobei das Sicherheitsmodul so konfiguriert ist, dass es bösartigen Code erkennt, der durch die Datenverarbeitungsvorrichtung über die eine oder die mehreren Kommunikationsschnittstellenschaltungen empfangen wird.
  • Beispiel 10 ist die Datenverarbeitungsvorrichtung nach einem der Beispiele 1 bis 9, umfassend eine Alarmsignalisierungsschnittstelle zwischen der Leistungsversorgungsschaltung und dem Sicherheitsmodul, wobei das Sicherheitsmodul so konfiguriert ist, dass es eine erkannte Sicherheitsbedrohung an die Leistungsversorgungsschaltung signalisiert, indem sie ein Sicherheitsalarmsignal über die Alarmsignalisierungsschnittstelle an die Leistungsversorgungsschaltung sendet.
  • Beispiel 11 ist die Datenverarbeitungsvorrichtung nach Beispiel 10, wobei die Datenverarbeitungsvorrichtung einen Mikrocontroller umfasst, der das sichere Modul umfasst, und wobei die Datenverarbeitungsvorrichtung eine Sicherheitsschnittstelle zwischen der Leistungsversorgungsschaltung und dem Mikrocontroller umfasst, die eine Leistungsverwaltungsschnittstelle und die Alarmsignalisierungsschnittstelle umfasst.
  • Beispiel 12 ist die Datenverarbeitungsvorrichtung nach einem der Beispiele 1 bis 11, wobei die Leistungsversorgungsschaltung, das Sicherheitsmodul und die eine oder die mehreren Kommunikationsschnittstellenschaltungen durch separate integrierte Schaltungsvorrichtungen implementiert sind.
  • Beispiel 13 ist ein Verfahren zur Handhabung einer Sicherheitsbedrohung in einer Datenverarbeitungsvorrichtung, wie in 6 veranschaulicht.
  • Beispiel 14 ist das Verfahren nach Beispiel 13, das umfasst, dass die Leistungsversorgungsschaltung in Reaktion auf eine erkannte Sicherheitsbedrohung, die vom Sicherheitsmodul signalisiert wird, ein Rücksetzsignal an eine oder mehrere Komponenten der Datenverarbeitungsvorrichtung sendet.
  • Beispiel 15 ist das Verfahren nach Beispiel 13 oder 14, das umfasst, dass die Leistungsversorgungsschaltung in Reaktion auf eine erkannte Sicherheitsbedrohung, die vom Sicherheitsmodul signalisiert wird, vor dem wenigstens teilweisen Rücksetzen der Datenverarbeitungsvorrichtung das Speichern von Informationen über einen Zustand der Datenverarbeitungsvorrichtung initiiert.
  • Beispiel 16 ist das Verfahren nach Beispiel 15, das umfasst, dass die Leistungsversorgungsschaltung die gespeicherten Informationen über den Zustand für eine oder mehrere Komponenten der Datenverarbeitungsvorrichtung bereitstellt, nachdem die Datenverarbeitungsvorrichtung wenigstens teilweise zurückgesetzt wurde.
  • Beispiel 17 ist das Verfahren nach einem der Beispiel 13 bis 16, das, umfasst, dass die Leistungsversorgungsschaltung eine Information über den Grund für das Rücksetzen für eine oder mehrere Komponenten der Datenverarbeitungsvorrichtung bereitstellt, nachdem die Datenverarbeitungsvorrichtung wenigstens teilweise zurückgesetzt wurde. Beispiel 18 ist das Verfahren nach einem der Beispiele 13 bis 17, wobei die Datenverarbeitungsvorrichtung einen Mikrocontroller umfasst, und wobei das wenigstens teilweise Rücksetzen der Datenverarbeitungsvorrichtung ein Rücksetzen des Mikrocontrollers umfasst.
  • Beispiel 19 ist das Verfahren nach einem der Beispiele 13 bis 18, wobei die Datenverarbeitungsvorrichtung einen Mikrocontroller umfasst, wobei das wenigstens teilweise Rücksetzen der Datenverarbeitungsvorrichtung ein Rücksetzen des Mikrocontrollers umfasst, und wobei die eine oder die mehreren Komponenten den Mikrocontroller umfassen.
  • Beispiel 20 ist das Verfahren nach einem der Beispiele 13 bis 19, wobei die Datenverarbeitungsvorrichtung einen Mikrocontroller umfasst, der Software ausführt, und wobei das Sicherheitsmodul Sicherheitsbedrohungen der Software erkennt.
  • Beispiel 21 ist das Verfahren nach einem der Beispiele 13 bis 20, wobei das Sicherheitsmodul bösartigen Code erkennt, der durch die Datenverarbeitungsvorrichtung über die eine oder die mehreren Kommunikationsschnittstellenschaltungen empfangen wird.
  • Beispiel 22 ist das Verfahren nach einem der Beispiele 13 bis 21, umfassend eine Alarmsignalisierungsschnittstelle zwischen der Leistungsversorgungsschaltung und dem Sicherheitsmodul, wobei das Sicherheitsmodul eine erkannte Sicherheitsbedrohung an die Leistungsversorgungsschaltung signalisiert, indem sie ein Sicherheitsalarmsignal über die Alarmsignalisierungsschnittstelle an die Leistungsversorgungsschaltung sendet.
  • Beispiel 23 ist das Verfahren nach Beispiel 22, wobei die Datenverarbeitungsvorrichtung einen Mikrocontroller umfasst, der das sichere Modul umfasst, und wobei die Datenverarbeitungsvorrichtung eine Sicherheitsschnittstelle zwischen der Leistungsversorgungsschaltung und dem Mikrocontroller umfasst, die eine Leistungsverwaltungsschnittstelle und die Alarmsignalisierungsschnittstelle umfasst. Beispiel 24 ist das Verfahren nach einem der Beispiele 13 bis 23, wobei die Leistungsversorgungsschaltung, das Sicherheitsmodul und die eine oder die mehreren Kommunikationsschnittstellenschaltungen durch separate integrierte Schaltungsvorrichtungen implementiert sind.
Various examples are described below:
  • Example 1 is a data processing device as in FIG 5 illustrated.
  • Example 2 is the data processing device according to Example 1, wherein the power supply circuit is configured such that it sends a reset signal to one or more components of the data processing device in response to a detected security threat which is signaled by the security module.
  • Example 3 is the data processing device according to Example 1 or 2, wherein the power supply circuit is configured in such a way that it initiates storage of information about a state of the data processing device in response to a recognized security threat that is signaled by the security module before the data processing device is at least partially reset .
  • Example 4 is the data processing device according to Example 3, wherein the power supply circuit is configured to provide the stored information about the state for one or more components of the data processing device after the data processing device has been at least partially reset.
  • Example 5 is the data processing device according to any one of Examples 1 to 4, wherein the power supply circuit is configured to provide information about the reason for the reset for one or more components of the data processing device after the data processing device has been at least partially reset.
  • Example 6 is the data processing device according to one of Examples 1 to 5, wherein the data processing device comprises a microcontroller, and wherein the at least partial resetting of the data processing device comprises a resetting of the microcontroller.
  • Example 7 is the data processing device according to one of Examples 1 to 6, wherein the data processing device comprises a microcontroller, wherein the at least partial resetting of the data processing device comprises resetting the microcontroller, and wherein the one or more components comprise the microcontroller.
  • Example 8 is the data processing device according to one of Examples 1 to 7, wherein the data processing device comprises a microcontroller which is configured to execute software, and wherein the security module is configured to detect security threats to the software.
  • Example 9 is the computing device of any one of Examples 1 to 8, wherein the security module is configured to detect malicious code received by the computing device via the one or more communication interface circuits.
  • Example 10 is the data processing device according to one of Examples 1 to 9, comprising an alarm signaling interface between the power supply circuit and the security module, wherein the security module is configured such that it signals a detected security threat to the power supply circuit by sending a security alarm signal via the alarm signaling interface to the power supply circuit sends.
  • Example 11 is the data processing device according to example 10, wherein the data processing device comprises a microcontroller which comprises the secure module, and wherein the data processing device comprises a security interface between the power supply circuit and the microcontroller which comprises a power management interface and the alarm signaling interface.
  • Example 12 is the data processing device according to any one of Examples 1 to 11, wherein the power supply circuit, the security module and the one or more communication interface circuits are implemented by separate integrated circuit devices.
  • Example 13 is a method of handling a security threat in a computing device as in FIG 6th illustrated.
  • Example 14 is the method according to Example 13, which includes the power supply circuit sending a reset signal to one or more components of the data processing device in response to a detected security threat which is signaled by the security module.
  • Example 15 is the method according to Example 13 or 14, which includes the power supply circuit initiating the storage of information about a state of the data processing device in response to a recognized security threat that is signaled by the security module before the at least partial reset of the data processing device.
  • Example 16 is the method of Example 15, including the power supply circuit providing the stored information about the state for one or more components of the computing device after the computing device has been at least partially reset.
  • Example 17 is the method of any one of Examples 13 to 16, including the power supply circuit providing information about the reason for the reset to one or more components of the computing device after the computing device has been at least partially reset. Example 18 is the method according to any one of Examples 13 to 17, wherein the data processing device comprises a microcontroller, and wherein the at least partially resetting the data processing device comprises resetting the microcontroller.
  • Example 19 is the method according to any one of Examples 13 to 18, wherein the data processing device comprises a microcontroller, wherein the at least partially resetting the data processing device comprises resetting the microcontroller, and wherein the one or more components comprise the microcontroller.
  • Example 20 is the method according to one of Examples 13 to 19, wherein the data processing device comprises a microcontroller that executes software, and wherein the security module detects security threats to the software.
  • Example 21 is the method of any one of Examples 13-20, wherein the security module detects malicious code received by the computing device via the one or more communication interface circuits.
  • Example 22 is the method according to one of Examples 13 to 21, comprising an alarm signaling interface between the power supply circuit and the security module, wherein the security module signals a recognized security threat to the power supply circuit by sending a security alarm signal to the power supply circuit via the alarm signaling interface.
  • Example 23 is the method of Example 22, wherein the data processing device comprises a microcontroller comprising the secure module, and wherein the data processing device comprises a security interface between the power supply circuit and the microcontroller comprising a power management interface and the alarm signaling interface. Example 24 is the method of any one of Examples 13 to 23, wherein the power supply circuit, the security module, and the one or more communication interface circuits are implemented by separate integrated circuit devices.

Obwohl hierin spezifische Ausführungsformen veranschaulicht und beschrieben wurden, ist für den Durchschnittsfachmann zu erkennen, dass die dargestellten und beschriebenen spezifischen Ausführungsformen durch eine Vielfalt von alternativen und/oder gleichwertigen Implementierungen ersetzt werden können, ohne vom Schutzumfang der vorliegenden Erfindung abzuweichen. Diese Anmeldung soll jegliche Anpassungen oder Änderungen der hierin erörterten spezifischen Ausführungsformen erfassen. Diese Erfindung soll daher nur durch die Ansprüche und ihre Äquivalente beschränkt sein.While specific embodiments have been illustrated and described herein, it will be appreciated by those of ordinary skill in the art that the specific embodiments shown and described can be replaced by a variety of alternative and / or equivalent implementations without departing from the scope of the present invention. This application is intended to cover any adaptations or changes to the specific embodiments discussed herein. It is therefore intended that this invention be limited only by the claims and their equivalents.

BezugszeichenlisteList of reference symbols

100100
Fahrzeugvehicle
101101
Elektronische Steuereinheit (ECU)Electronic control unit (ECU)
102102
Mikrocontrollereinheit (MCU)Microcontroller unit (MCU)
103103
Integrierte Leistungsverwaltungsschaltung (PMIC)Integrated power management circuit (PMIC)
104104
MCU-PMIC-Schnittstelle MCU-PMIC interface
200200
ECUECU
201201
MCUMCU
202202
PMICPMIC
203203
AlarmsignalisierungsschnittstelleAlarm signaling interface
204204
SicherheitsmodulSecurity module
205205
MCU-KommunikationsschnittstellenkomponentenMCU communication interface components
206206
ECU-SchnittstellenkomponentenECU interface components
207207
ZustandsmaschineState machine
208208
Leistungsversorgungsleitungen Power supply lines
300300
ZustandsübergangsdiagrammState transition diagram
301301
InitialisierungszustandInitialization state
302302
NormalzustandNormal state
303303
Sicherer ZustandSafe state
304,305304,305
Verarbeitungprocessing
306306
MCU-RücksetzungMCU reset
307-309307-309
Verarbeitung processing
400400
ECUECU
401401
MCUMCU
402402
PMICPMIC
403403
AlarmsignalisierungsschnittstelleAlarm signaling interface
404404
SicherheitsmodulSecurity module
405405
KommunikationsschnittstellenCommunication interfaces
406406
KommunikationssignaleCommunication signals
407407
LeistungsversorgungsschienenPower supply rails
408408
ReglerRegulator
409409
LeistungstrennschalterCircuit breaker
410, 411410, 411
SteuerleitungenControl lines
412412
Zustandsmaschine State machine
500500
DatenverarbeitungsvorrichtungData processing device
501501
LeistungsversorgungsschaltungPower supply circuit
502502
SicherheitsmodulSecurity module
503503
Kommunikationsschnittstellenschaltungen Communication interface circuits
600600
Flussdiagrammflow chart
601-603601-603
Verarbeitungprocessing

Claims (13)

Datenverarbeitungsvorrichtung, umfassend: eine Leistungsversorgungschaltung; ein Sicherheitsmodul; und eine oder mehrere Kommunikationsschnittstellenschaltungen; wobei das Sicherheitsmodul zum Erkennen einer Sicherheitsbedrohung und zum Signalisieren einer erkannten Sicherheitsbedrohung an die Leistungsversorgungsschaltung konfiguriert ist, und wobei die Leistungsversorgungsschaltung so konfiguriert ist, dass sie in Reaktion auf eine erkannte Sicherheitsbedrohung, die vom Sicherheitsmodul signalisiert wird, Leistungsversorgung der einen oder der mehreren Kommunikationsschnittstellenschaltungen unterbricht oder die Datenverarbeitungsvorrichtung wenigstens teilweise zurücksetzt oder beides.A data processing device comprising: a power supply circuit; a security module; and one or more communication interface circuits; wherein the security module is configured to detect a security threat and to signal a recognized security threat to the power supply circuit, and wherein the power supply circuit is configured to respond to a recognized security threat signaled by the security module, Interrupts the power supply to the one or more communication interface circuits or at least partially resets the data processing device, or both. Datenverarbeitungsvorrichtung nach Anspruch 1, wobei die Leistungsversorgungsschaltung so konfiguriert ist, dass sie in Reaktion auf eine erkannte Sicherheitsbedrohung, die vom Sicherheitsmodul signalisiert wird, ein Rücksetzsignal an eine oder mehrere Komponenten der Datenverarbeitungsvorrichtung sendet.Data processing device according to Claim 1 wherein the power supply circuit is configured to send a reset signal to one or more components of the data processing device in response to a detected security threat that is signaled by the security module. Datenverarbeitungsvorrichtung nach Anspruch 1 oder 2, wobei die Leistungsversorgungsschaltung so konfiguriert ist, dass sie in Reaktion auf eine erkannte Sicherheitsbedrohung, die vom Sicherheitsmodul signalisiert wird, vor dem wenigstens teilweisen Rücksetzen der Datenverarbeitungsvorrichtung ein Speichern von Informationen über einen Zustand der Datenverarbeitungsvorrichtung initiiert.Data processing device according to Claim 1 or 2 , wherein the power supply circuit is configured in such a way that it initiates a storage of information about a state of the data processing device in response to a recognized security threat which is signaled by the security module before the at least partial reset of the data processing device. Datenverarbeitungsvorrichtung nach Anspruch 3, wobei die Leistungsversorgungsschaltung so konfiguriert ist, dass sie die gespeicherten Informationen über den Zustand für eine oder mehrere Komponenten der Datenverarbeitungsvorrichtung bereitstellt, nachdem die Datenverarbeitungsvorrichtung wenigstens teilweise zurückgesetzt wurde.Data processing device according to Claim 3 wherein the power supply circuit is configured to provide the stored information about the state for one or more components of the data processing device after the data processing device has been at least partially reset. Datenverarbeitungsvorrichtung nach einem der Ansprüche 1 bis 4, wobei die Leistungsversorgungsschaltung so konfiguriert ist, dass sie eine Information über den Grund für das Rücksetzen für eine oder mehrere Komponenten der Datenverarbeitungsvorrichtung bereitstellt, nachdem die Datenverarbeitungsvorrichtung wenigstens teilweise zurückgesetzt wurde.Data processing device according to one of the Claims 1 until 4th wherein the power supply circuit is configured to provide information about the reason for the reset for one or more components of the data processing device after the data processing device has been at least partially reset. Datenverarbeitungsvorrichtung nach einem der Ansprüche 1 bis 5, wobei die Datenverarbeitungsvorrichtung einen Mikrocontroller umfasst, und wobei das wenigstens teilweise Rücksetzen der Datenverarbeitungsvorrichtung ein Rücksetzen des Mikrocontrollers umfasst.Data processing device according to one of the Claims 1 until 5 wherein the data processing device comprises a microcontroller, and wherein the at least partial resetting of the data processing device comprises resetting the microcontroller. Datenverarbeitungsvorrichtung nach einem der Ansprüche 1 bis 6, wobei die Datenverarbeitungsvorrichtung einen Mikrocontroller umfasst, wobei das wenigstens teilweise Rücksetzen der Datenverarbeitungsvorrichtung ein Rücksetzen des Mikrocontrollers umfasst, und wobei die eine oder die mehreren Komponenten den Mikrocontroller umfassen.Data processing device according to one of the Claims 1 until 6th wherein the data processing device comprises a microcontroller, wherein the at least partial resetting of the data processing device comprises resetting the microcontroller, and wherein the one or more components comprise the microcontroller. Datenverarbeitungsvorrichtung nach einem der Ansprüche 1 bis 7, wobei die Datenverarbeitungsvorrichtung einen Mikrocontroller umfasst, der zum Ausführen von Software konfiguriert ist, und wobei das Sicherheitsmodul zum Erkennen von Sicherheitsbedrohungen der Software konfiguriert ist.Data processing device according to one of the Claims 1 until 7th , wherein the data processing device comprises a microcontroller configured to execute software, and wherein the Security module is configured to detect security threats to the software. Datenverarbeitungsvorrichtung nach einem der Ansprüche 1 bis 8, wobei das Sicherheitsmodul so konfiguriert ist, dass es bösartigen Code erkennt, der durch die Datenverarbeitungsvorrichtung über die eine oder die mehreren Kommunikationsschnittstellenschaltungen empfangen wird.Data processing device according to one of the Claims 1 until 8th wherein the security module is configured to detect malicious code received by the computing device via the one or more communication interface circuits. Datenverarbeitungsvorrichtung nach einem der Ansprüche 1 bis 9, umfassend eine Alarmsignalisierungsschnittstelle zwischen der Leistungsversorgungsschaltung und dem Sicherheitsmodul, wobei das Sicherheitsmodul so konfiguriert ist, dass es eine erkannte Sicherheitsbedrohung an die Leistungsversorgungsschaltung signalisiert, indem sie ein Sicherheitsalarmsignal über die Alarmsignalisierungsschnittstelle an die Leistungsversorgungsschaltung sendet.Data processing device according to one of the Claims 1 until 9 , comprising an alarm signaling interface between the power supply circuit and the security module, wherein the security module is configured to signal a detected security threat to the power supply circuit by sending a security alarm signal to the power supply circuit via the alarm signaling interface. Datenverarbeitungsvorrichtung nach Anspruch 10, wobei die Datenverarbeitungsvorrichtung einen Mikrocontroller umfasst, der das sichere Modul umfasst, und wobei die Datenverarbeitungsvorrichtung eine Sicherheitsschnittstelle zwischen der Leistungsversorgungsschaltung und dem Mikrocontroller umfasst, die eine Leistungsverwaltungsschnittstelle und die Alarmsignalisierungsschnittstelle umfasst.Data processing device according to Claim 10 wherein the data processing device comprises a microcontroller comprising the secure module, and wherein the data processing device comprises a security interface between the power supply circuit and the microcontroller comprising a power management interface and the alarm signaling interface. Datenverarbeitungsvorrichtung nach einem der Ansprüche 1 bis 11, wobei die Leistungsversorgungsschaltung, das Sicherheitsmodul und die eine oder die mehreren Kommunikationsschnittstellenschaltungen durch separate integrierte Schaltungsvorrichtungen implementiert sind.Data processing device according to one of the Claims 1 until 11 wherein the power supply circuit, the security module, and the one or more communication interface circuits are implemented by separate integrated circuit devices. Verfahren zur Handhabung einer Sicherheitsbedrohung in einer Datenverarbeitungsvorrichtung, umfassend: Erkennen einer Sicherheitsbedrohung durch ein Sicherheitsmodul; Signalisieren der erkannten Sicherheitsbedrohung vom Sicherheitsmodul an eine Leistungsversorgungsschaltung; Unterbrechen der Leistungsversorgung einer oder mehrerer Kommunikationsschnittstellenschaltungen durch die Leistungsversorgungsschaltung oder wenigstens teilweises Rücksetzen der Datenverarbeitungsvorrichtung durch die Leistungsversorgungsschaltung oder beides in Reaktion auf das Signalisieren der erkannten Sicherheitsbedrohung.A method for handling a security threat in a computing device, comprising: Detection of a security threat by a security module; Signaling the identified security threat from the security module to a power supply circuit; Interrupting the power supply to one or more communication interface circuits by the power supply circuit or at least partially resetting the data processing device by the power supply circuit, or both in response to the signaling of the identified security threat.
DE102020106811.5A 2020-03-12 2020-03-12 DATA PROCESSING DEVICE AND METHOD FOR HANDLING A SECURITY THREAT IN A DATA PROCESSING DEVICE Pending DE102020106811A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102020106811.5A DE102020106811A1 (en) 2020-03-12 2020-03-12 DATA PROCESSING DEVICE AND METHOD FOR HANDLING A SECURITY THREAT IN A DATA PROCESSING DEVICE

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020106811.5A DE102020106811A1 (en) 2020-03-12 2020-03-12 DATA PROCESSING DEVICE AND METHOD FOR HANDLING A SECURITY THREAT IN A DATA PROCESSING DEVICE

Publications (1)

Publication Number Publication Date
DE102020106811A1 true DE102020106811A1 (en) 2021-09-16

Family

ID=77457328

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020106811.5A Pending DE102020106811A1 (en) 2020-03-12 2020-03-12 DATA PROCESSING DEVICE AND METHOD FOR HANDLING A SECURITY THREAT IN A DATA PROCESSING DEVICE

Country Status (1)

Country Link
DE (1) DE102020106811A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4686100A1 (en) * 2024-07-26 2026-01-28 KNORR-BREMSE Systeme für Nutzfahrzeuge GmbH Digital frequency divider, power supply and a method of operating and testing a power supply

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060265128A1 (en) 2005-01-26 2006-11-23 Sherwin Miller Vehicle hijacking prevention system and method
US20120320477A1 (en) 2011-06-17 2012-12-20 Stmicroelectronics (Rousset) Sas Device for detecting an attack in an integrated circuit chip
US9401593B2 (en) 2009-01-28 2016-07-26 Jacques GASCUEL Device for monitoring and protecting the power supply of electrical equipment and method for implementing said device
EP3036146B1 (en) 2013-09-27 2017-11-01 Siemens Aktiengesellschaft Operation of a rail vehicle
EP2817860B1 (en) 2012-02-24 2019-02-06 Pilz GmbH & Co. KG Safety switchgear with power supply unit

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060265128A1 (en) 2005-01-26 2006-11-23 Sherwin Miller Vehicle hijacking prevention system and method
US9401593B2 (en) 2009-01-28 2016-07-26 Jacques GASCUEL Device for monitoring and protecting the power supply of electrical equipment and method for implementing said device
US20120320477A1 (en) 2011-06-17 2012-12-20 Stmicroelectronics (Rousset) Sas Device for detecting an attack in an integrated circuit chip
EP2817860B1 (en) 2012-02-24 2019-02-06 Pilz GmbH & Co. KG Safety switchgear with power supply unit
EP3036146B1 (en) 2013-09-27 2017-11-01 Siemens Aktiengesellschaft Operation of a rail vehicle

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4686100A1 (en) * 2024-07-26 2026-01-28 KNORR-BREMSE Systeme für Nutzfahrzeuge GmbH Digital frequency divider, power supply and a method of operating and testing a power supply
DE102024121380A1 (en) * 2024-07-26 2026-01-29 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Digital frequency divider, power supply and a method for operating and testing a power supply

Similar Documents

Publication Publication Date Title
DE10326287B4 (en) Vehicle communication system, initialization unit and in-vehicle control unit
DE102011014142A1 (en) Vehicle control device for a CAN communication and diagnostic method therefor
DE10143454B4 (en) Device for controlling a vehicle
DE112021000448T5 (en) ELECTRICAL AND LOGICAL ISOLATION FOR SYSTEMS ON A CHIP
DE102015003194A1 (en) Method and device for handling safety-critical errors
DE112016001241B4 (en) VEHICLE CONTROL DEVICE AND METHOD FOR CONTROLLING A VEHICLE CONTROL DEVICE
DE112015002210T5 (en) Motor controller
DE102016204713A1 (en) driving
EP2989548A1 (en) Monitoring redundant components
CN118012764A (en) Program running detection method, device, equipment and storage medium
DE102020106811A1 (en) DATA PROCESSING DEVICE AND METHOD FOR HANDLING A SECURITY THREAT IN A DATA PROCESSING DEVICE
DE102017011685A1 (en) Method and device for processing alarm signals
DE102008004206A1 (en) Error e.g. transient error, detecting and handling arrangement for control device in motor vehicle, has arithmetic units informing result of inherent error diagnosis to monitoring unit that controls arithmetic units in dependence of result
DE102011087063A1 (en) Control computer system for controlling e.g. brake system of motor vehicle, has switching-off signal masking module arranged in path between emergency module and module to mask switching-of signal and integrated into circuit on substrate
DE102014011665A1 (en) System and method for DMA operation with high integrity
DE102015220964B4 (en) Electronic control device
EP1986062A1 (en) Control device and control method for an electric domestic appliance
EP1615087B1 (en) Control and regulation unit
DE102015201278B4 (en) control system
EP1807760B1 (en) Data processing system with a variable clock speed
EP3893113B1 (en) Monitoring of a component of a control system for a moving means
DE102018208832A1 (en) A method for containing an attack on a controller
DE112020007086B4 (en) Numerical control and device for detecting changes in location
DE102022000322B3 (en) Electronic control unit for a heat-generating electrical device of a vehicle
DE112018002612T5 (en) Vehicle control device

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication