[发明专利]计算单元及用于验证其消息的方法、计算机程序和车辆

说明书

本发明涉及一种用于验证计算单元的消息的方法，其中所述计算单元包括安全模块和多个分区，其中在所述安全模块中存放有用于验证消息的密码密钥，其中由活跃分区启动消息验证例程，以便对所述消息进行验证，其特征在于，所述活跃分区被标识并且所述安全模块依据对所述活跃分区的标识来提供验证计算的结果。本发明还涉及一种计算单元、一种计算机程序和一种机动车。

技术领域

本发明涉及一种用于验证计算单元的消息的方法、一种计算单元、一种计算机程序和一种车辆。

背景技术

机动车通常包括多个计算单元，其中通常针对不同的域（Domänen）、诸如动力总成（例如发动机控制器）、底盘（例如ESP、ABS）、驾驶员辅助系统（例如距离跟踪巡航控制、车道保持辅助，……）、车身计算机（例如照明、刮水器……的控制）和信息娱乐，使用至少各一个单独的控制单元。除了该至少各一个控制单元之外，域通常还包括其它下级控制单元、传感器和执行器。各个域的分开尤其提供了安全优点，原因在于某个域的被操纵（korrumpiert）的控制器无法轻易干预其它控制器的操作模式。这样，例如可以使信息娱乐系统难以操控制动器，原因在于可以通过适合的机制来确保信息娱乐系统不会冒充针对底盘功能的域计算机。即，将各个对于机动车来说典型的域分开到不同的计算单元上对机动车的安全性做出了重要贡献。

为了克服域控制器的缺点、尤其是经此所造成的高布线花费，考虑为车辆配备所谓的区域控制器（Zonensteuergeräten）。在这种情况下，计算单元从几何的角度被分散到车辆上，并且各个执行器由相应最近的区域控制器来操控。这样，例如可以规定：为车辆前部设置一个区域控制器，为车辆中间设置一个区域控制器并且为车辆尾部设置一个区域控制器。同样可设想的是为每个车辆角落（左前、右前、左后和右后）各设置一个区域控制器。可以为协调任务附加地设置中央车辆计算机，该中央车辆计算机例如也承担与车辆外部的计算单元的通信，如可在空中更新（OTA、FOTA、SOTA）的情况下所发生的那样。

为了能够充分利用这些区域设计的优点，在各一个控制器上在常规的面向域的架构中运行的程序被分发到各个区域控制器上。为了避免区域控制器上的各个软件块之间的相互影响，使用虚拟化技术。那么，通常在区域控制器上存在管理程序（或内核），该管理程序提供与虚拟软件块、即所谓的分区的接口。区域控制器上的各个分区仅直接与管理程序进行交互而不是彼此之间进行交互。管理程序还提供统一的硬件接口，使得这些分区不直接访问硬件、诸如存储器，而是通过管理程序来进行这种访问。对区域控制器的安全模块、例如硬件安全模块（HSM）的访问同样经由管理程序来进行。

安全模块是专用的、通常以硬件来实现的模块，在这些模块中可以在特别安全的环境下执行密码操作。为此所需的密码密钥存放在安全模块的安全存储区内。想要验证向外部定向的消息的分区可以启动消息验证例程，通过安全模块借助于该消息验证例程来发起验证。接着，为了该验证而执行的计算的结果由安全模块经由管理程序返回给进行请求的分区，使得消息可以与验证信息一起由该分区向外部发送。然而，在使用虚拟化技术以使各个车辆域分开的区域控制器的情况下存在如下问题：另一分区可能启动同一消息验证例程，使得可能发送错误验证的消息。

即，区域设计提供了使布线花费降低到最低限度的优点，但是缺点在于：尽管使用已知的虚拟化技术，但是并未达到机动车中的面向域的E/E架构的安全级别。

发明内容

按照本发明的用于验证计算单元的消息的方法，其中该计算单元包括安全模块和多个分区，其中在该安全模块中存放有用于验证消息的密码密钥，其中由活跃分区启动消息验证例程，以便对该消息进行验证，该方法具有如下优点：该活跃分区被标识并且该安全模块依据对该活跃分区的标识来提供验证计算的结果。尤其是不将该验证计算的结果传送给其它分区。