单芯片系统，用于运行单芯片系统的方法及机动车技术方案

一种单芯片系统(1)，单芯片系统具有多个计算单元(2)，尤其是计算核和/或CPU、至少一个输入/输出单元(9)、存储单元(3)和输入/输出控制单元(10)，输入/输出控制单元协调在计算单元(2)和至少一个输入/输出单元(9)之间的通讯，其中，单芯片系统(1)还具有实现为硬件的攻击检测单元(14、14a、14b)，攻击检测单元通过硬件信号连接(16)至少与作为单芯片系统(1)的组件的输入/输出控制单元(10)相连接，并且在待记录的和/或待通过至少一个措施应答的、对攻击检测规则组(15)的规则违反情况方面评估由输入/输出控制单元(10)接收的输入信号。

Single chip system, method for running single chip system and motor vehicle

【技术实现步骤摘要】
【国外来华专利技术】单芯片系统，用于运行单芯片系统的方法及机动车
本专利技术涉及一种单芯片系统，该单芯片系统具有多个计算单元，尤其是计算核和/或CPU、至少一个输入/输出单元、存储单元和输入/输出控制单元，输入/输出控制单元协调在计算单元和至少一个输入/输出单元之间的通讯。此外，本专利技术涉及一种用于运行这种单芯片系统的方法以及一种机动车。
技术介绍
在现有技术中已经提出单芯片系统，常常也作为“片上系统”SoC已知。通常，通过这种单芯片系统实现多个可并行运行的计算单元，尤其是计算核，其中，单芯片系统的其它组件提供存储空间以及输入/输出方案(I/O)，并且实现在所述组件之间的数据交换。用于这种协调在单芯片系统的组件之间的数据交换的单芯片系统的组件的示例是输入/输出控制单元，输入输出控制单元协调在计算单元和至少一个输入/输出单元之间的通讯。最终，这种输入/输出控制单元协调通过单芯片系统的不同接头向内和向外到计算单元层上或者同样虚拟的计算组件的层上的数据流。在此，例如可将不同计算单元的计算能力或计算能力份额组合。对于这种类型的输入/输出控制单元，在现有技术中已知不同的概念，例如三星公司的SMMU(系统记忆体管理单元)。由于这种单芯片系统的灵活性，计算速度和低的结构空间要求，其应用领域越来越大。例如可设想，在单芯片系统上提供不同的运行系统，这些运行系统能够并行地执行不同的应用；此外可设想，通过不同的运行系统或计算单元或计算组件形成不同的安全级/安全要求，从而例如可通过这种单芯片系统实施不同的功能。因此，也已经提出单芯片系统在机动车的控制单元中的应用，在此处，例如可通过至少一个这种单芯片系统实施所谓的“中央驾驶员辅助系统”的方案，于是，在单芯片系统上不仅可执行安全关键性低的功能，例如多媒体功能，而且可执行安全关键性高的功能，例如与车辆引导相关的功能。为这些功能中的不同功能确定通过标准ISO26262定义的安全要求。相应地，为其分配安全要求、例如ASIL级的安全关键的功能，必须通过根据该标准认证的组件执行，这显然也适用于单芯片系统的部分组件。在以软件为基础的系统中，已经提出了所谓的“入侵侦测系统”(IDS)。IDS用于识别被危及的系统，并且提供对已经被攻击的、被危及的系统做出反应的可能性(IPS-入侵预防系统)。IDS为总系统补充更多软件，并且因此当进行风险分析时，提供同样在安全性方面必须考虑的附加的攻击路径。附加地，这种类型的IDS伴随着能力损耗，因为相应的、实现IDS的软件元件需要计算能力。在现代的具有多个计算单元的单芯片系统中，尤其是在多种安全要求组合时，常常通过在不同安全要求的子系统之间的强制分离实施安全措施。通过引入以硬件为基础的机制，例如由在存储单元中的监控页(Guardpages)提供这种分离。另一示例是以硬件为基础的对存储区域的存取分离(“记忆体存取控制”)。在单芯片系统方面大多不使用IDS，因为不应通过附加的软件开启附加的攻击路径，并且应尽可能避免能力损失。此外，应尽可能避免与已经存在的安全机制相互作用。专利文献US2009/0113141A1涉及一种存储器保护系统以及一种对应的方法。在此，提供用于分离的存储器的存储器存取控制单元，其中，也提供权限表，该权限表定义了对多个计算单元的读写权限。具有用于接收存储器访问请求的输入部的存储器故障探测器被连接，其中，通过逻辑检查由此写入的存储访问是否与权限表矛盾。
技术实现思路
本专利技术的目的是，给出一种用于单芯片系统的“入侵侦测系统”(IDS)的实现方案，该实现方案在尽可能安全的且尽可能几乎不影响单芯片系统的有效功率/能力的实施方案中允许全面的探测可能性。为了实现该目的，在开头所述类型的单芯片系统中，根据本专利技术规定，单芯片系统还具有实现为硬件的攻击检测单元，攻击检测单元通过硬件信号连接至少与作为单芯片系统的组件的输入/输出控制单元相连接，并且评估由输入/输出控制单元接收的输入信号，以确定是否存在待记录的和/或待通过至少一个措施应答的、对攻击检测规则组的规则违反。由此，攻击检测单元形成IDS或甚至IDPS(入侵侦测和预防系统)的一部分。使用包括至少一个输入/输出控制单元的单芯片系统的优选多个组件的信号，并且在可能的攻击方面进行评估，理想地与单芯片系统的其余的运行无关地进行，这尤其是实现，为进攻者给出其动作还尚未被确定的错觉。因此，在单芯片系统之内补充附加的硬件，该硬件包括单芯片系统的各个以硬件为基础的组件与分离的IDS的至少一个硬件信号连接。使用如此分离的IDS避免了使用单纯的、可攻击的软件，因此不增加新的攻击点，因为IDS通过附加的、其它未被使用的硬件信号连接工作，并且理想地不以接收或能攻击的方式与其它计算单元相互作用。由此，对现有的安全机制带来的影响最小，并且保证，IDS自身设置在单芯片系统的安全的区域中。对单芯片系统的攻击或缺陷的探测不能隐藏在单芯片系统的被感染的、尤其是已经被接管的部分之后；使用分离的、优选附加的硬件还使得能够在不损失计算单元的计算能力的情况下实施IDS。攻击检测规则组可以，但是不必强制实现为攻击检测单元的一部分。也可设想的是，不同地、即分散地优选作为硬件例如在将输入数据提供给攻击检测单元的组件上设置攻击探测组。攻击检测规则组的分散的设计方案可进一步减小必须为攻击检测单元设置的计算能力。因此，本专利技术的一种尤其有利的设计方案规定，攻击检测单元实现为单芯片系统本身的硬件组件，例如实现为ASIC和/或自己的、附加的计算单元(CPU/计算核)。由此，攻击检测单元形成计算单元不可见的硬件组件，该硬件组件在幕后，以不受在单芯片系统之内的其它过程影响的方式，根据攻击检测规则组对攻击进行监控。在该变型方案中，既不实现附加的攻击点，对于攻击者来说也了解不到其攻击是否已经被发现。此外，在该优选的设计方案中，在单芯片系统的计算能力方面绝对没有损失，因为对定义计算能力的计算单元不产生影响，如果不是，如还将详细解释的那样，这要求采取措施。此时，硬件信号连接优选地构造成特别地为待传输的信号设计的、仅仅可在一个方向上使用的信号线路。当攻击检测单元实现为检查单元的一部分时，给出同样可靠的、优选的变型方案，检查单元设计成用于监控单芯片系统的组件、尤其是计算单元和/或虚拟计算组件，并且实现为附加计算单元，且尤其是分析影子存储器。因此，如果无论如何存在计算单元“不可见的”、效率极高的且因此大多实现为附加计算单元的附加硬件(该附加硬件监控计算单元和/或使用多个计算单元的计算能力的虚拟计算组件，并且可理解成检查单元或检查系统的一部分)，则这种类型的隐藏的、不可通过计算单元存取的检查单元也可用于，在此处附加地实现IDS的攻击检测单元。这种检查单元尤其是可针对计算单元和/或虚拟计算组件的不允许的状态和/或故障功能检查影子存储器(shadowmemory)，并且自身作为单芯片系统的其它组件将输入信号提供给攻击检测单元。本专利技术的备选的不太优选的设计方案规定，攻击探测组件包括计算单元中的至少一个，尤其是最高安全级的计算单元，其具有相应的软件元件，从而例如本文档来自技高网...

【技术保护点】
1.一种单芯片系统(1)，该单芯片系统具有多个计算单元(2)，尤其是计算核和/或CPU、至少一个输入/输出单元(9)、存储单元(3)和输入/输出控制单元(10)，所述输入/输出控制单元协调在计算单元(2)和至少一个输入/输出单元(9)之间的通讯，其特征在于，所述的单芯片系统(1)还具有实现为硬件的攻击检测单元(14、14a、14b)，该攻击检测单元通过硬件信号连接(16)至少与作为单芯片系统(1)的组件的输入/输出控制单元(10)相连接，并且对于输入/输出控制单元(10)接收的输入信号进行评估以确定是否存在对攻击检测规则组(15)的违规情况，该违规情况将被记录和/或通过至少一个措施来应答。/n

【技术特征摘要】
【国外来华专利技术】20171026 DE 102017219242.91.一种单芯片系统(1)，该单芯片系统具有多个计算单元(2)，尤其是计算核和/或CPU、至少一个输入/输出单元(9)、存储单元(3)和输入/输出控制单元(10)，所述输入/输出控制单元协调在计算单元(2)和至少一个输入/输出单元(9)之间的通讯，其特征在于，所述的单芯片系统(1)还具有实现为硬件的攻击检测单元(14、14a、14b)，该攻击检测单元通过硬件信号连接(16)至少与作为单芯片系统(1)的组件的输入/输出控制单元(10)相连接，并且对于输入/输出控制单元(10)接收的输入信号进行评估以确定是否存在对攻击检测规则组(15)的违规情况，该违规情况将被记录和/或通过至少一个措施来应答。


2.根据权利要求1所述的单芯片系统，其特征在于，所述攻击检测单元(14、14a、14b)实现为单芯片系统(1)本身的硬件组件和/或设计成用于监控单芯片系统(1)的组件、尤其是计算单元(2)和/或虚拟计算组件(24、25)的、实现为附加计算单元的、尤其是分析影子存储器(27)的检查单元(28、28a、28b)的一部分。


3.根据权利要求1或2所述的单芯片系统，其特征在于，存在攻击检测单元(14、14a、14b)与单芯片系统(1)的至少一个另外的组件的另一硬件信号连接(16)，其中，同样评估从该另一硬件信号连接接收的输入信号以确定是否存在对攻击检测规则组(15)的违规情况，该违规情况将被记录和/或通过至少一个措施来应答。


4.根据权利要求3所述的单芯片系统，其特征在于，所述至少一个另外的组件是存储器存取控制单元(7)和/或存储单元(3)。


5.根据权利要求4所述的单芯片系统，其特征在于，所述存储器存取控制单元(7)包括存储器存取寄存器(8)，和/或在存储单元(3)方面获得的输入信号描述对存储单元(3)的、尤其是在物理层上定义的监控页(3)的存取。


6.根据权利要求4或5所述的单芯片系统，其特征在于，由所述存储器存取控制单元(7)获得的输入信号描述将计算单元(2)和存储单元(3)相连接的存储器总线的负荷。


7.根据权利要求3至6中任一项所述的单芯片系统，其特征在于，所述至少一个另外的组件中的至少一个是设计成用于监控影子存储器(7)的检查单元(28、28a、28b)。


8.根据权利要求3至7中任一项所述的单芯片系统，其特征在于，所述至少一个另外的组件中的至少一个是计算单元(2)-时钟发生器和/或功率管理单元和/或中断控制单元(12)，其中，在单芯片系统(1)的负荷方面评估来自所述至少一个另外的组件的输入信号，和/或所述至少一个另外的组件中的至少一个是用于计算单元(2)中的至少一部分的配置寄存器，对该配置寄存器的输入信号进行检查以确定其是否属于根据攻击检测规则组(15)而不被允许的配置方案。


9.根据权利要求...

【专利技术属性】
技术研发人员：M·克莱恩，K·扎瓦兹基，安昌燮，HG·格鲁贝尔，
申请(专利权)人：奥迪股份公司，
类型：发明
国别省市：德国;DE