用于监测硬件-应用的方法和可配置硬件模块技术

在硬件

【技术实现步骤摘要】
【国外来华专利技术】用于监测硬件
‑
应用的方法和可配置硬件模块
[0001]诸如电子控制单元（ECU）、工业个人计算机（PC）或物联网（IoT）设备之类的嵌入式设备被用于工业过程中的各种任务。所述设备的正确和未被操纵的运转是至关重要的，这是因为它们也用于监测和/或控制关键过程（例如，可用性、可靠性、实时性和保险性（safety））。附加地，工业4.0场景的增长趋势已经导致了用于各种目的（诸如，监测、远程控制和分析）的工业设备联网的增加。随着联网设备的增加，工业设备变得更容易受到攻击。
[0002]由于工业嵌入式设备在现场（工业环境）中在长使用时段（通常为10至20年，有时为30至40年）内进行服务，因此它们会经历动态改变的环境。这可能导致要求开发出可以应对不断改变的环境的灵活嵌入式设备。这可以通过采用类似于智能电话应用的方法来实现，该智能电话应用可以在运行时下载/安装/升级。在未来，工业设备将支持类似的方法。
[0003]除了软件应用之外，硬件
‑
应用组件也可以通过使用可重新配置硬件来实现。硬件
‑
应用组件利用例如现场可编程门阵列（FPGA）、FPGA片上系统（SoC）、具有嵌入式FPGA的专用集成电路（ASIC）SoC、以及具有嵌入式FPGA的专用标准产品（ASSP）SoC的部分重新配置特征。硬件
‑
应用可以是诸如硬件
‑
应用组件之类的单独的独立应用，或者它可以是软件
‑
硬件
‑
应用捆绑包（bundle）的一部分。
[0004]利用部分重新配置来重新配置活动中的（on
‑
the
‑
go）部分硬件的FPGA是在市场上可获得的，诸如Intel Cyclone V、Intel Arria 10。在部分可重新配置的FPGA上，硬件
‑
应用可以在可重新配置硬件的部分重新配置区域内被实例化为硬件
‑
应用组件。
[0005]本专利技术的目的是改进执行硬件
‑
应用的可配置硬件模块的安全性（security）。
[0006]根据用于监测硬件
‑
应用的方法，执行以下步骤：
‑ꢀ
由可配置硬件模块、特别是现场可编程门阵列来接收硬件
‑
应用，其中接收到的硬件
‑
应用包括配置数据，配置数据描述了作为可配置硬件模块上的硬件
‑
应用组件的实例化，
‑ꢀ
由可信硬件组件、特别是位于可配置硬件模块内的片上逻辑在可配置硬件模块的执行环境中、特别是部分重新配置区域中将接收到的硬件
‑
应用实例化为硬件
‑
应用组件，以及
‑ꢀ
在硬件
‑
应用组件运行时监测硬件
‑
应用组件的传入和/或传出通信。
[0007]用于监测硬件
‑
应用的可配置硬件模块包括：
‑ꢀ
至少一个执行环境，其可配置用于执行硬件
‑
应用组件，
‑ꢀ
可信硬件组件，其被配置用于在执行环境内将硬件
‑
应用实例化为硬件
‑
应用组件，以及
‑ꢀ
第一单元和/或第二单元，其被配置用于在硬件
‑
应用组件运行时监测硬件
‑
应用组件的传入和/或传出通信。
[0008]以下优点和解释不一定是独立权利要求的目的的结果。而是，它们可能是仅适用于某些实施例或变型的优点和解释。
[0009]在可重新配置硬件的每个部分重新配置区域内，仅能够同时实例化单个硬件
‑
应用。然而，硬件/软件应用捆绑包可以包含若干个硬件
‑
应用，每个硬件
‑
应用可以在不同的
时间点处在可重新配置硬件的相同部分重新配置区域内被实例化为硬件
‑
应用组件。此外，其他硬件
‑
应用可以在可重新配置硬件的其他部分重新配置区域内被实例化为硬件
‑
应用组件。对硬件
‑
应用组件的传入和/或传出通信的监测可以针对仅单个硬件
‑
应用组件、针对若干个硬件
‑
应用组件、或针对所有硬件
‑
应用组件来执行。
[0010]硬件
‑
应用组件可以直接地和/或经由片上总线与其他组件交互。传入和/或传出通信意味着沿通信路径去往以及来自硬件
‑
应用组件的任何种类的交互，例如访问操作、输入和输出。监测可以通过一种“防火墙”机制来实现，这将在下面更详细地描述。
[0011]结合本专利技术，“硬件
‑
应用”可以理解为意味着例如用超高速集成电路硬件描述语言（VHDL）或用Verilog HDL编写并且在可配置硬件模块（例如，FPGA）上被实例化的组件。硬件
‑
应用的配置数据描述了硬件
‑
应用组件的布局，该硬件
‑
应用组件可以在可配置硬件模块上的硬件中被实例化。因此，硬件
‑
应用描述了例如可以在可配置硬件模块的执行环境中上传的数字电路的配置。硬件
‑
应用组件是被实例化并执行的硬件
‑
应用。可配置硬件模块可以包括由配置规范描述的多个可重新配置部分。配置规范包括例如描述了可配置硬件模块的哪些部分在运行时可重新配置的平面图（floor plan）。这具有以下优点：在运行时，包括例如不同和/或其他硬件功能的硬件
‑
应用可以被上传到可配置硬件模块上。
[0012]确保硬件
‑
应用的安全（即，无恶意）且未更改的操作是至关重要的，尤其是如果在可配置硬件模块上被实例化为硬件
‑
应用组件的硬件
‑
应用执行安全性关键功能（诸如，加密/解密、密钥管理、密钥协定）或者例如通过控制设备IO而促成保险性关键操作的话。
[0013]当使用第三方硬件
‑
应用或软件应用（即，由不可信方开发的应用）时，对传入和/或传出通信进行监测是特别有利的。
[0014]可以从可信软件组件、特别是重新配置和更新管理器来接收硬件
‑
应用。
[0015]在优选实施例中，可以监测以及控制所有硬件
‑
应用组件的所有通信。
[0016]该实施例的优点是：监测和控制在硬件
‑
应用、硬件
‑
应用和软件应用、硬件
‑
应用和外围设备、IO控制器等之间的所有通信的可能性。该实施例引入了监测和过滤硬件
‑
应用的所有输入和输出的能力。这在硬件
‑
应用受到损害并试图损害该设备的其余部分的情况下、或者在损坏的软件应用试图在运行时损害相本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于监测硬件
‑
应用的方法，包括以下步骤：
‑ꢀ
由可配置硬件模块（CHM）、特别是现场可编程门阵列来接收（S1）硬件
‑
应用（HA），其中接收到的硬件
‑
应用（HA）包括配置数据，配置数据描述了作为可配置硬件模块（CHM）上的硬件
‑
应用组件（HAC）的实例化，
‑ꢀ
由可信硬件组件、特别是位于可配置硬件模块（CHM）内的片上逻辑（PRL）在可配置硬件模块（CHM）的执行环境（PRR）、特别是部分重新配置区域中将接收到的硬件
‑
应用（HA）实例化（S2）为硬件
‑
应用组件（HAC），以及
‑ꢀ
在硬件
‑
应用组件（HAC）运行时监测（S3）硬件
‑
应用组件（HAC）的传入和/或传出通信。2.根据权利要求1所述的方法，其中受监测的通信传入自和/或传出到如下各项：
‑ꢀ
由处理器（CPU）执行的操作系统的内核（K），
‑ꢀ
由处理器（CPU）执行的软件应用（SA），
‑ꢀ
另一个硬件
‑
应用组件（HAC），
‑ꢀ
通用输入/输出（GPIO），
‑ꢀ
计算机端口，
‑ꢀ
外围设备（PD），和/或
‑ꢀ
位于可配置硬件模块（CHM）内的片上逻辑。3.根据前述权利要求中任一项所述的方法，
‑ꢀ
具有如下附加步骤：特别地通过阻止和/或修改硬件
‑
应用组件（HAC）的至少一些传入和/或传出通信从而在硬件
‑
应用组件（HAC）运行时控制（S4）硬件
‑
应用组件（HAC）的至少一些传入和/或传出通信。4.根据权利要求3所述的方法，
‑ꢀ
其中监测步骤（S3）包括：检测对硬件
‑
应用组件（HAC）的未授权的访问和/或来自硬件
‑
应用组件（HAC）的未授权的访问，以及
‑ꢀ
其中控制步骤（S4）包括：
‑ꢀ
阻止未授权的访问，
‑ꢀ
禁用对硬件
‑
应用组件（HAC）和/或可配置硬件模块（CHM）的至少一个功能的访问，
‑ꢀ
阻止硬件
‑
应用组件（HAC）的所有通信，
‑ꢀ
将未授权的访问记入日志，
‑ꢀ
将硬件
‑
应用组件（HAC）替换为安全的硬件
‑
应用组件（HAC），和/或
‑ꢀ
终止硬件
‑
应用组件（HAC）。5.根据前述权利要求3和4中任一项所述的方法，
‑ꢀ
其中监测步骤（S3）和控制步骤（S4）由第一单元（NBF）和/或第二单元（SBF）来执行。6.根据权利要求5所述的方法，
‑ꢀ
其中第一单元（NBF）是内核模块，所述内核模块监测和控制传入自和/或传出到如下各项的通信：
‑ꢀ
由处理器（CPU）执行的操作系统的内核（K），和/或
‑ꢀ
由处理器（CPU）执行的软件应用（SA）。7.根据前述权利要求5
‑
6中任一项所述的方法，
‑ꢀ
其中第二单元（SBF）监测和控制传入自和/或传出到如下各项的通信：
‑ꢀ
至少一个其他硬件
‑
应用组件（HAC），
‑ꢀ
至少一个通用输入/输出（GPIO），
‑ꢀ
至少一个计算机端口，
‑ꢀ
至少一个外围设备（PD），和/或
‑ꢀ
至少一个片上逻辑。8.根据前述权利要求5
‑
7中任一项所述的方法，其中第二单元（SBF）是：
‑ꢀ
在实例化步骤（S1）中被实例化为在执行环境（PRR）内的围绕硬件
‑
应用的包装器，
‑ꢀ
切换模块、特别是IP核，其对硬件

【专利技术属性】
技术研发人员：H，
申请(专利权)人：西门子股份公司，
类型：发明
国别省市：