具有验证组件的总装置及用于验证的方法制造方法及图纸

一种具有验证组件的总装置(1)，验证组件用于在总装置(1)的两个数据处理装置(2)之间的使用通信协议的通信连接(4)，其中，所述数据处理装置(2)分别具有用于所述通信连接(4)的接口单元(5)和计算单元(3)，其中，作为验证组件部件，接口单元(5)分别具有至少部分地通过硬件实现的加密/解密器件(8)以用于加密待通过通信连接(4)传输的用户数据(14)的至少一部分，所述部件在通信协议的通信层中应用到为物理的用户数据传输准备的用户数据(14)或物理接收的用户数据(14)上，其中，每个数据处理装置(2)具有计算单元(3)不能访问的自身的硬件，和/或逻辑上与所述计算单元分离地实现的、实现可信执行环境的验证组件的安全单元(9)，安全单元分别具有至少一个硬件编码的秘钥信息(10)，根据所述秘钥信息，通过加密/解密器件(8)为用户数据(14)加密。

General device with verification component and method for verification

A general device (1) with a verification component for a communication connection (4) using a communication protocol between two data processing devices (2) of the general device (1), wherein the data processing device (2) respectively has an interface unit (5) and a calculation unit (3) for the communication connection (4), wherein, as a verification component, the interface unit (5) respectively has at least partial communication A hardware implemented encryption / decryption device (8) is used for encrypting at least a part of user data (14) to be transmitted through a communication connection (4), and the component is applied to user data (14) prepared for physical user data transmission or user data (14) received physically in the communication layer of the communication protocol, wherein each data processing device (2) has its own inaccessible computing unit (3 And / or a security unit (9) logically implemented separately from the computing unit to realize the authentication component of the trusted execution environment, each of which has at least one hardware encoded secret key information (10), according to which the user data (14) is encrypted by the encryption / decryption device (8).

【技术实现步骤摘要】
【国外来华专利技术】具有验证组件的总装置及用于验证的方法
本专利技术涉及一种具有验证组件的总装置，验证组件用于在总装置的两个数据处理装置之间的、使用通信协议的通信连接，其中，数据处理装置分别具有用于该通信连接的接口单元和计算单元，尤其是CPU和/或GPU和/或FPGA和/或ASIC。此外，本专利技术涉及一种用于验证的方法。
技术介绍
由于需满足数据处理中的多种目的和/或方案的进步，具有数据处理系统的现代化总装置，例如机动车，越来越复杂。例如，如果机动车构造成完全自动化地、即自动运行，需要具有高的计算能力的数据处理系统，以能够可靠地处理机动车环境并且进行可靠的行驶规划。在此，作为总装置的机动车中的这种自动的运行方案也包括越来越多的在信息技术的领域中的通信方案，例如与云、基础设施等的连接。机动车也作为服务平台也越来越多地称为关注的焦点。在此，通常由多个数据处理装置构成总装置、例如机动车的数据处理系统，这些数据处理系统自身可具有高的有效功率，然而其中，也必须通过相应的通信连接保证在数据处理装置之间快速的且不复杂的数据传输。在此，作为现代化的、快速的通信技术，例如推荐的是通信标准“PCIExpress”(也常常成为PCIe)。该通信标准是点对点通信标准，然而其可通过中间连接桥接装置、尤其是开关、路由器、多路复用器/多路信号分离器，等。尤其是，PCIExpress的优点是高速通信、“DMAbyDesign”并且事实是，已经在市场上存在多种紧凑的装置。在数据处理装置中，通常通过相应的接口单元构成通信连接，例如PCIe-微芯片。桥接装置(开关，路由器，多路复用器，多路信号分离器)可构造成单独的微芯片(SystemonaChip"–SoC，片上系统)，或者也构造成多芯片装置。实际的通信伙伴(数据处理装置)通常被称为“端点”并且可具有运行系统和/或驱动器，其中，通过驱动器可实现处理中断和读/写操作。此时，在总装置(例如与个人计算机显著不同的机动车)中，问题是，这种总装置的数据处理系统基于模块化的理念，其中，通信连接对于攻击可在物理上实现。这又意味着，未被验证的数据处理装置、例如控制器可访问通信连接，并且能提出其自己的用户数据，该用户数据可能不满足对于汽车的质量和/或安全性的要求，从而让步接受的和/或补充进来的“端点”也可能意味着对于剩下的数据处理系统的安全问题。这尤其是适用于允许直接访问通信伙伴的组件、例如存储器件等的通信标准中。
技术实现思路
因此，本专利技术提出的目的是，给出一种用于在以现代化的、快速的、更不安全的通信标准工作的总装置的数据处理系统中提高安全性的方案，并且尤其是允许数据处理装置彼此验证/认证。为了实现该目的，在开头所述的类型的总装置中，根据本专利技术规定，作为验证组件部件，接口单元分别具有至少部分地通过硬件实现的、密码学的加密/解密器件以用于加密待通过通信连接传输的用户数据的至少一部分，加密/解密器件在通信协议的尤其是非应用定向的通信层中应用到为物理的用户数据传输准备的用户数据或物理接收的用户数据上，其中，每个数据处理装置具有计算单元不能访问的自身硬件，和/或逻辑上与计算单元分离地实现的、实现可信执行环境的验证组件的安全单元，安全单元分别具有至少一个硬件编码的秘钥信息，根据该秘钥信息，通过加密/解密器件为用户数据加密。因此，本专利技术提出一种作为硬件实现的并且由此更不容易被篡改的验证组件，该验证组件通过用于通过通信连接可靠通信的方案，至少以隐含的方式，但是优选地在验证过程中，实现数据处理装置的彼此验证。为此的基础是在计算单元不能访问的安全单元的硬件中固定地编码的秘钥信息，该秘钥信息确定分别用于至少一对待彼此验证的数据处理装置，其中，用于一对待通信的数据处理装置的加密信息可基于对称的加密，但是也可基于非对称的加密。在对称加密的情况中，加密信息包括至少一个相同的尤其是用于所有数据处理装置的基础秘钥。在非对称加密的情况中，每个秘钥信息包含至少一个自身的私密秘钥和所有规定的待验证的通信伙伴的公共秘钥。在此，如所指出的那样，基本上可以隐含的方式通过在此描述的加密方案进行验证，其中优选地，尤其是在每次通信会话开始时，在会话秘钥的范围中或者附加地为了商定会话秘钥或者完全在没有秘钥商定的情况下，可使用明确的验证过程。可使用任意的、原则上已知的验证过程。适宜地，在通信会话开始时，首先进行验证，随后，在成功验证时，进行会话秘钥的商定。未被验证的数据处理装置，例如相应地让步接受的和/或替代的数据处理装置，不能“被理解”，不能进行验证或者由于缺少加密而被发现。因此，本专利技术考虑到，仅仅被允许的(即具有合适的/被确认的秘钥信息的)数据处理装置能如规定的那样通信。安全单元实现了可信执行环境(TEE，TrustedExecutionEnvironment)。除了硬件编码的秘钥信息之外，安全单元也包括通过硬件实现的和/或分离的运行系统，该运行系统用于秘钥管理以及必要时进行验证过程，和/或当应为当前通信会话商定会话秘钥时，进行秘钥商定，以下还将对其详细阐述。因此，可以说，作为验证组件的新部件，本专利技术提出包含并管理秘钥信息的安全单元作为可信执行环境，以及尽可能位于待物理传输的用户数据附近的密码学的加密/解密器件，尤其是在传输层和/或通信层中。因此，该安全单元与可信执行环境一起提供执行环境，该执行环境与数据处理装置的正常运行系统分离。与必要时设置的安全的计算，例如秘钥生成，验证过程和秘钥协议(KeyAgreement)相同地，秘钥管理和秘钥信息的可靠储存同样应在安全单元中进行。由此，总结性地得到总装置、尤其是机动车的每个数据处理装置的强验证，其中，存在为机动车的数据处理系统扩展验证的伙伴的方案。例如，硬件编码的合适的秘钥信息可继续传输给相应的合作伙伴。在此，概念“硬件编码”理解成，必要时以电路的形式将秘钥写入安全单元中，并且随后不能以已知的手段改变。可避开未知的第三方的数据处理装置，因为不能实现安全通信，和/或会话秘钥的验证/商定失败。通过将验证转移到硬件组件中，简化了数据处理装置的软件组件的质量检查，随后在硬件水平/层面上进行验证。本专利技术允许防止物理的改动措施和攻击，这尤其是对于例如机动车的总装置是有利的，因为此时物理上能相对简单地接近通信连接。于是，外部的分析器件不能理解加密的用户数据。所描述的方案整体被称为应用透明的，根据该方案，所有保护机制实现在硬件中以及必要时在低-级-软件中。还应说明的是，存在用于对秘钥信息实际地进行硬件编码的各种方案。例如可设想的是，在制造例如可构造成自身微芯片的安全单元时，已经确定了秘钥信息，并且将其以硬件编码的形式引入安全单元中。然而，总装置的制造商自己也可例如在机动车中在生产线尾，对秘钥信息进行硬件编码。在此可规定，在安全单元中存在暂时的通用秘钥，该通用秘钥可用于，补充自身的秘钥信息并且进行硬件编码并且最终完成安全单元的尚未封闭的微芯片(“fusing”)。这不仅适用于对称的秘钥信息，因此尤其是共同的基础秘钥，而且适用于非对称的秘钥信息。尤其有利地可规定，通信层是传输层和/或本文档来自技高网...

【技术保护点】
1.一种具有验证组件的总装置(1)，所述验证组件用于在总装置(1)的两个数据处理装置(2)之间的、使用通信协议的通信连接(4)，其中，所述数据处理装置(2)分别具有用于所述通信连接(4)的接口单元(5)和计算单元(3)，其特征在于，作为验证组件的一部件，所述接口单元(5)分别具有至少部分地通过硬件实现的加密/解密器件(8)以用于加密待通过通信连接(4)传输的用户数据(14)的至少一部分，所述加密/解密器件在通信协议的通信层中被应用到为物理的用户数据传输准备的用户数据(14)或物理接收的用户数据(14)上，其中，每个数据处理装置(2)具有计算单元(3)不能访问的自身的硬件，和/或逻辑上与所述计算单元分离地实现的、实现可信执行环境的验证组件安全单元(9)，所述安全单元分别具有至少一个硬件编码的秘钥信息(10)，根据所述秘钥信息，通过加密/解密器件(8)对用户数据(14)加密。/n

【技术特征摘要】
【国外来华专利技术】20170728 DE 102017213010.51.一种具有验证组件的总装置(1)，所述验证组件用于在总装置(1)的两个数据处理装置(2)之间的、使用通信协议的通信连接(4)，其中，所述数据处理装置(2)分别具有用于所述通信连接(4)的接口单元(5)和计算单元(3)，其特征在于，作为验证组件的一部件，所述接口单元(5)分别具有至少部分地通过硬件实现的加密/解密器件(8)以用于加密待通过通信连接(4)传输的用户数据(14)的至少一部分，所述加密/解密器件在通信协议的通信层中被应用到为物理的用户数据传输准备的用户数据(14)或物理接收的用户数据(14)上，其中，每个数据处理装置(2)具有计算单元(3)不能访问的自身的硬件，和/或逻辑上与所述计算单元分离地实现的、实现可信执行环境的验证组件安全单元(9)，所述安全单元分别具有至少一个硬件编码的秘钥信息(10)，根据所述秘钥信息，通过加密/解密器件(8)对用户数据(14)加密。


2.根据权利要求1所述的总装置(1)，其特征在于，所述通信层是传输层和/或处理层，和/或通信协议是以包为基础的，尤其是PCIExpress。


3.根据权利要求1或2所述的总装置(1)，其特征在于，在以包为基础的通信协议中，仅仅加密尤其是动态的和/或可在用户侧调整的、待发送的用户数据包(12)的部分，其中，在相应的用户数据包(12)的数据头(13)的信息单元(15)中、尤其是加密位中显示加密状态。


4.根据上述权利要求中任一项所述的总装置(1)，其特征在于，所述安全单元(9)至少具有防止...

【专利技术属性】
技术研发人员：安昌燮，K·扎瓦兹基，M·克莱恩，HG·格鲁贝尔，
申请(专利权)人：奥迪股份公司，
类型：发明
国别省市：德国;DE