DE102014212018A1 - Verfahren und Schaltkreis zur Vermeidung von Speicherschutzverletzungen - Google Patents

Verfahren und Schaltkreis zur Vermeidung von Speicherschutzverletzungen Download PDF

Info

Publication number
DE102014212018A1
DE102014212018A1 DE102014212018.7A DE102014212018A DE102014212018A1 DE 102014212018 A1 DE102014212018 A1 DE 102014212018A1 DE 102014212018 A DE102014212018 A DE 102014212018A DE 102014212018 A1 DE102014212018 A1 DE 102014212018A1
Authority
DE
Germany
Prior art keywords
program
asil
memory
requirement level
security requirement
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102014212018.7A
Other languages
English (en)
Inventor
Markus Baumeister
Jürgen Groth
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Teves AG and Co OHG
Original Assignee
Continental Teves AG and Co OHG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Teves AG and Co OHG filed Critical Continental Teves AG and Co OHG
Priority to DE102014212018.7A priority Critical patent/DE102014212018A1/de
Priority to PCT/EP2015/063955 priority patent/WO2015197544A1/de
Publication of DE102014212018A1 publication Critical patent/DE102014212018A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/1425Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
    • G06F12/1441Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a range
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1491Protection against unauthorised use of memory or access to memory by checking the subject access rights in a hierarchical protection system, e.g. privilege levels, memory rings
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1052Security improvement

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung beschreibt ein Verfahren zur Vermeidung von Speicherschutzverletzungen in einem integrierten Schaltkreises eines Kraftfahrzeugsystems, bei welchem eine Verwaltung von Zugriffen eines in einem Programmspeicher (1.1, 1.2, 1.3) vorliegenden Programms auf einen für die Zugriffe freigegebenen Datenspeicher (1-3, 2-4, 2-5, 2-6) in Abhängigkeit einer Sicherheitsanforderungsstufe (QM, ASIL B, ASIL D) des Datenspeichers (1-3, 2-4, 2-5, 2-6) und einer Sicherheitsanforderungsstufe (QM, ASIL B, ASIL D) des Programms und/oder des Programmspeichers (1.1, 1.2, 1.3) vorgenommen wird, wobei eine Verwaltung der Ausführbarkeit des Programms in Abhängigkeit von der Sicherheitsanforderungsstufe (QM, ASIL B, ASIL D) des Programms und/oder dessen Programmspeichers (1.1, 1.2, 1.3) und der Sicherheitsanforderungsstufe (QM, ASIL B, ASIL D) des Datenspeichers (1-3, 2-4, 2-5, 2-6) erfolgt. Weiterhin betrifft die Erfindung einen Schaltkreis zur Vermeidung von Speicherschutzverletzungen.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren gemäß Oberbegriff von Anspruch 1 sowie einen Schaltkreis gemäß Oberbegriff von Anspruch 8.
  • Die WO 2009/150475 beschreibt ein Verfahren zum Schutz vor fremdverursachten Änderungen einer Konfiguration einer Speicherverwaltungseinheit, wobei ein Programmcode zur Laufzeit in der Weise verändert wird, dass dieser lediglich dann korrekt ausgeführt wird, wenn die Softwarecode- und Datenspeicherzugriffe auf identische physikalischen Speicheradressen verweisen.
  • In der WO 2011/016793 wird ein Verfahren zum Schutz vor fremdinitiiertem Austausch von authentisiertem, sicherem Softwarecode durch nicht-authentisierten, nicht sicheren Softwarecode beschrieben, mittels welchem eine schnellere Authentifizierung von Softwarecode durch bedarfsorientierte Authentifizierung von Speicherseiten, die als nächstes ausgeführt werden sollen, vorgenommen wird.
  • Um die gemäß ISO 26262 geforderte Rückwirkungsfreiheit eines Systems in einem Kraftfahrzeug sicherzustellen, wird in an sich bekannter Weise ein von mehreren Programmen mit unterschiedlichen Sicherheitsanforderungsstufen (z.B. SIL/ASIL) genutzter Datenspeicher (z.B. RAM) in verschiedene Speicherpartitionen mit jeweiliger Sicherheitsanforderungsstufe aufgeteilt. Die Kontrolle des Zugriffs eines Programmes einer bestimmten Sicherheitsanforderungsstufe auf einen jeweiligen Datenspeicher erfolgt mittels einer Speicherverwaltungs-(MMU) bzw. Speicherschutzeinheit (MPU), welche durch ein Betriebssystem (OS) eines zugrundeliegenden Schaltkreises kontrolliert wird. Ein Umschalten der MMU/MPU Konfiguration, in Übereinstimmung mit der Sicherheitsanforderungsstufe des jeweiligen Programms zu einem bestimmten Zeitpunkt, ist die Aufgabe einer Programmsteuerung („Scheduler“) des OS. Eine fehlerhafte Konfiguration der MMU bzw. MPU kann die Funktionsfähigkeit des Partitionierungsschemas jedoch beeinträchtigen, was ein Sicherheitsrisiko der Software darstellt, weshalb ein vertrauenswürdiges OS („Trusted-OS“) zur Anwendung mit der Speicherpartitionierung benötigt wird. Im Sinne der Betriebssicherheitsstandards ist ein Betriebssystem dann nicht vertrauenswürdig, wenn dieses die geforderte Sicherheitsanforderungsstufe nicht erfüllt, beispielsweise weil es entsprechend ASIL lediglich eine Einstufung in das Level QM (Qualitätsmanagement) aufweist.
  • Programme können entsprechend jeweils erforderlicher Sicherheitsstufen entwickelt werden, wobei Programme, insbesondere Softwaremodule Dritter, ausgeführt werden können, indem das OS zur Änderung der Konfiguration der MMU/MPU mittels dafür vorgesehener Funktionen bzw. Methoden, z.B. Einschubmethoden („Hooks“), zwischen diesen umschaltet. Weist das OS beispielsweise lediglich eine Einstufung gemäß QM auf, ist nicht sichergestellt, dass während einer Umschaltphase auch tatsächlich ein Aufruf einer solchen Methode erfolgt. Wird diese in fehlerhafter Weise nicht aufgerufen, kann ein sicherheitskritischer Fall insbesondere dann eintreten, wenn von einem Programm bzw. Programmspeicher höherer Sicherheitsstufe zu einem Programm bzw. Programmspeicher niedrigerer Sicherheitsstufe umgeschaltet wird, da das niedriger eingestufte Programm dann über die ursprünglichen Zugriffsrechte auf den höher eingestuften Datenspeicher verfügt.
  • Durch ein OS mit niedriger Sicherheitseinstufung kann eine MPU/MMU somit fehlerhaft in der Weise konfiguriert werden, dass diese einem niedriger eingestuften Programm Zugriff zu einem höher eingestuften Datenspeicher gewährt. Ein ausschließlich mittels solcher Methoden realisierter Mechanismus zur Realisierung der Zugriffsrechte ist demnach nicht ausreichend, wodurch sicherheitsrelevante Systeme negativ beeinflusst und die Sicherheit von Verkehrsteilnehmern gefährdet werden kann.
  • Daher ist es Aufgabe der vorliegenden Erfindung ein Verfahren und einen Schaltkreis zur Vermeidung von Speicherschutzverletzungen für Kraftfahrzeugsysteme bereitzustellen.
  • Diese Aufgabe wird durch ein Verfahren gemäß Anspruch 1 sowie einen Schaltkreis gemäß Anspruch 8 gelöst.
  • Die Erfindung betrifft ein Verfahren zur Vermeidung von Speicherschutzverletzungen in einem integrierten Schaltkreises eines Kraftfahrzeugsystems, bei welchem eine Verwaltung von Zugriffen eines in einem Programmspeicher vorliegenden Programms auf einen für die Zugriffe freigegebenen Datenspeicher in Abhängigkeit einer Sicherheitsanforderungsstufe des Datenspeichers und einer Sicherheitsanforderungsstufe des Programms und/oder des Programmspeichers vorgenommen wird und das sich weiterhin dadurch auszeichnet, dass eine Verwaltung der Ausführbarkeit des Programms in Abhängigkeit von der Sicherheitsanforderungsstufe des Programms und/oder dessen Programmspeichers und der Sicherheitsanforderungsstufe des Datenspeichers erfolgt.
  • Mittels des erfindungsgemäßen Verfahrens werden in vorteilhafter Weise potentiell sicherheitskritische und sicherheitsstufenübergreifende Speicherschutzverletzungen vermieden. Dies ist insbesondere im Falle einer Umschaltung von einem Programm einer ersten Sicherheitsstufe auf ein zweites Programm einer zweiten Sicherheitsstufe von Bedeutung, wenn ein Datenspeicher der ersten Sicherheitsstufe nach der Programmumschaltung fehlerhaft weiterhin freigegeben ist und das zweite Programm im Ausführungsfall darauf zugreifen könnte. Die Umschaltung der Programme erfolgt dabei bevorzugt durch Aufruf einer entsprechenden Funktion bzw. Methode, z.B. einer entsprechenden Einschubmethode, beispielsweise durch ein Betriebssystem.
  • Gemäß einer Ausführungsform der Erfindung weist ein Betriebssystem des integrierten Schaltkreises eine niedrigere Sicherheitsanforderungsstufe als eine höchste vorgesehene Sicherheitsanforderungsstufe des Programms und/oder des Programmspeichers und/oder des Datenspeichers auf. Dadurch kann in vorteilhafter Weise auch bei der Verwendung eines nicht vertrauenswürdigen Betriebssystems eine sicherheitsstufenkonforme Speicherverwaltung erreicht werden. Beispielsweise wird eine ASIL D konforme Speicherpartitionierung erhalten, selbst wenn ein Betriebssystem des integrierten Schaltkreises bzw. dessen Programmsteuerung lediglich gemäß QM eingestuft sind. Dadurch kann zudem eine gemäß ISO 26262 definierte Rückwirkungsfreiheit mit einem Betriebssystem erzielt werden, welches nicht in Übereinstimmung mit der ISO 26262 entwickelt wurde, jedoch die Ausführung von entsprechenden Methoden zur Programmumschaltung unterstützt.
  • Unter einem Programm wird im Rahmen der Erfindung beispielsweise auch eine Applikation, ein Prozess sowie ein Softwaremodul verstanden, welches auf zumindest einem Programmspeicher hinterlegt ist und auf wenigstens einen Datenspeicher zugreift. Speicher sind insbesondere permanente, flüchtige und/oder semi-permanente Informationsspeicher, welche des Weiteren als gemeinsame und/oder separate physikalische bzw. virtuelle Speicher(-bereiche) vorliegen können.
  • Gemäß einer bevorzugten Ausführungsform der Erfindung ist ein Vergleich der Sicherheitsanforderungsstufen des Datenspeichers und des Programms und/oder des Programmspeichers vorgesehen, wobei von dem Ergebnis des Vergleichs abhängig ist, ob das Programm ausgeführt wird. Das Programm wird besonders bevorzugt lediglich dann ausgeführt, wenn das Programm und/oder dessen Programmspeicher eine gleiche und/oder eine höhere Sicherheitsanforderungsstufe wie der Datenspeicher erfüllt. Vorteilhaft kann somit sichergestellt werden, dass ein Programm, welches eine niedrigere Sicherheitsstufe aufweist als ein zum jeweiligen Zeitpunkt freigegebener Datenspeicher nicht ausgeführt wird. Änderungen sicherheitsrelevanter Daten können damit vermieden werden.
  • Das Programm ist lediglich dann autorisiert auf den Datenspeicher zuzugreifen, wenn das Programm und/oder dessen Programmspeicher eine gleiche und/oder eine höhere Sicherheitsanforderungsstufe wie der Datenspeicher erfüllt. Ein Vorteil davon ist, dass somit ein weiteres Sicherheitskriterium vorgesehen ist und Speicherverletzungen vermieden werden können.
  • Bevorzugt wird das Programm nicht ausgeführt, wenn das Programm und/oder dessen Programmspeicher eine niedrigere Sicherheitsstufe als der Datenspeicher erfüllt. Der Zugriff eines Programms einer ersten Sicherheitsstufe auf ein zum jeweiligen Zeitpunkt freigegebenen Datenspeicher einer höheren Sicherheitsstufe als der ersten kann vorteilhafterweise somit nicht erfolgen, da das Programm nicht ausgeführt wird.
  • Entsprechend einer vorteilhaften Weiterbildung der Erfindung wird der Programmspeicher als nicht-ausführbar und/oder nicht lesbar markiert, wenn das Programm nicht ausgeführt werden soll.
  • Die Verwaltung der Ausführbarkeit des Programms erfolgt bevorzugt mittels einer Speicherschutzeinheit und/oder mittels des Betriebssystems. Unter einer Speicherschutzeinheit ist im Sinne der Erfindung jegliche Einrichtung zur Realisierung einer solchen Funktionalität zu verstehen, z.B. auch eine Speicherverwaltungseinheit.
  • Eine Autorisierung zur Ausführung des Programms wird bevorzugt aktiv erteilt. Alternativ wird die Autorisierung zur Ausführung des Programms bevorzugt aktiv verboten. Durch diese erfindungsgemäßen Weiterbildungen kann eine vorteilhafte Anpassung an Sicherheitsrichtlinien erfolgen.
  • Die Erfindung beschreibt weiterhin einen Schaltkreis zur Vermeidung von Speicherschutzverletzungen in einem Kraftfahrzeugsystem, umfassend zumindest einen Programmspeicher, in welchem wenigstens ein Programm hinterlegt ist, und zumindest einen Datenspeicher, wobei der Schaltkreis derart ausgestaltet ist, dass eine Verwaltung von Zugriffen des Programms auf den für die Zugriffe freigegebenen Datenspeicher in Abhängigkeit einer Sicherheitsanforderungsstufe des Datenspeichers und einer Sicherheitsanforderungsstufe des Programms und/oder des Programmspeichers vorgenommen wird und eine Verwaltung der Ausführbarkeit des Programms in Abhängigkeit von der Sicherheitsanforderungsstufe des Programms und/oder dessen Programmspeichers und der Sicherheitsanforderungsstufe des Datenspeichers erfolgt.
  • Besonders bevorzugt führt der erfindungsgemäße Schaltkreis das erfindungsgemäße Verfahren aus.
  • Die Verwendung des erfindungsgemäßen Verfahrens und/oder des erfindungsgemäßen Schaltkreises erfolgt bevorzugt in einem Kraftfahrzeugbremssystem.
  • Weitere bevorzugte Ausführungsformen ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen an Hand von Figuren.
  • In schematischer Darstellung zeigen:
  • 1 eine Umschaltung von einem Programm höherer Sicherheitsanforderungsstufe zu einem Programm mit niedrigerer Sicherheitsanforderungsstufe und
  • 2 MPU Konfigurationen für Programme bzw. Programmspeicher und Datenspeicher unterschiedlicher Sicherheitsanforderungsstufen.
  • Entsprechend der Ausführungsbeispiele sind die Programmspeicher, von denen aus ein Programm ausgeführt wird, als nichtflüchtiger Speicher (z.B. Flash oder ROM) ausgelegt, wobei die jeweiligen Programme während der Ausführung auf Direktzugriffsspeicher (RAM) als Datenspeicher, z.B. Arbeitsspeicher, zugreifen. Davon abweichende Konfigurationen sind im Rahmen der Erfindung ebenfalls möglich. In der oberen Zeile ist die dabei jeweils vorliegende Konfiguration einer Speicherschutzeinheit (MPU) abgebildet, wobei ein weißes Feld oberhalb eines der Programmspeicher anzeigt, dass das in diesem hinterlegte Programm ausgeführt und ein schraffiertes Feld, dass Programm nicht ausgeführt werden darf. Ein weißes Feld oberhalb eines Datenspeichers bedeutet, dass ein Zugriff auf den Datenspeicher zum jeweiligen Zeitpunkt gemäß MPU Konfiguration gestattet und ein schraffiertes Feld, dass der Zugriff auf diesen untersagt ist. Im Falle einer Sperrung des Zugriffs auf einen Datenspeicher kann auf diesen Datenspeicher weder geschrieben noch von diesem gelesen werden. Alternativ dazu kann mit einer Sperrung des Zugriffs lediglich auch das Untersagen des Schreibens auf den Speicher zu verstehen sein. Das Lesen von diesem Datenspeicher wäre entsprechend dieser alternativen Ausführungsform weiterhin möglich. Es werden erfindungsgemäß somit nicht nur die Datenspeicher bzw. Speicherpartitionen kontrolliert, auf welche ein Programm zugreifen darf, sondern auch die Programmspeicher, von denen aus das jeweilige Programm heraus ausgeführt wird, z.B. in welchen der Quellcode des Programmes hinterlegt ist.
  • Mit anderen Worten werden somit nicht nur die Zugriffsrechte auf die jeweiligen Datenspeicher umgeschaltet sondern auch die Ausführbarkeit von Programmen und/oder Programmspeichern in Abhängigkeit ihrer Einstufung in eine jeweilige Sicherheitsanforderungsstufe vorgegeben. Dies erfolgt insbesondere in der Weise, dass lediglich Programme ausgeführt werden dürfen, welche einer gleichen oder höheren Sicherheitsstufe zugeordnet sind, wie die Sicherheitsstufe des Datenspeichers, auf den während des entsprechenden Zeitabschnitts zugegriffen werden darf. Das Kontrollieren der Ausführbarkeit eines Programms und/oder des zugrundeliegenden Programmspeichers erfolgt im Falle der Unterstützung durch die MPU beispielsgemäß durch Markieren des Programmspeichers als nicht ausführbar oder alternativ als nicht lesbar.
  • Die 1a) und b) zeigen in schematischer Darstellung einen beispielhaften Fall einer Umschaltung eines Betriebssystems (OS) von einem Programm bzw. Programmspeicher 1.2 höherer Sicherheitsanforderungsstufe zu einem Programm bzw. Programmspeicher 1.1 niedrigerer Sicherheitsanforderungsstufe. In Zeitabschnitten, in welchen der Zugriff auf den Datenspeicher 1-3 mit ASIL D Einstufung durch das OS freigegeben ist, wird die Ausführung des Programms mit QM Einstufung nicht gestattet, indem der Programmspeicher 1.1 als nicht-ausführbar und/oder nicht lesbar markiert wird. Wenn nun das OS von der Ausführung eines Programms des Programmspeichers 1.2, wie in der 1a) gezeigt, auf die Ausführung eines Programms des Programmspeichers 1.1, wie in der 1b) dargestellt, wechselt, erfolgt durch das OS zusätzlich zum Aufrufen der entsprechenden Methode zum Sperren des Zugriffs auf den Datenspeicher 1-3 das Verbieten der Ausführung des Programms des Programmspeichers 1.1. Sollte also das OS fälschlicherweise die Methode zum Umschalten der Programme nicht ausführen, würde das Programm des Programmspeichers 1.1 nicht ausgeführt werden können, da der Zugriff auf den Datenspeicher 1-3 entsprechend der MPU Konfiguration prinzipiell weiterhin erlaubt ist. Die Verwendung der ASIL Sicherheitsstufen ist dabei lediglich als beispielhaft anzusehen. Die Erfindung ist in ebensolcher Weise auf unterschiedliche Ausprägungen von Sicherheitsanforderungsstufen anwendbar.
  • Die 2a) bis c) zeigen weitere Ausführungsbeispiele der Umschaltung zwischen Programmen, bei Vorliegen einer größeren Anzahl an Programm- und Datenspeichern und Sicherheitsanforderungsstufen derselben. Gemäß 2a) erfolgt die Ausführung eines Programms des Programmspeichers 2.3 mit ASIL D Einstufung, wobei der Zugriff auf die Datenspeicher 2-4, 2-5, 2-6 sämtlicher Sicherheitsstufen gestattet ist. Zugleich ist die Ausführbarkeit der Programme 2.1 und 2.2 mit geringerer Sicherheitsstufe unterbunden. Im Falle des aktiven ASIL B Programms 2.2, wie in der 2b) gezeigt, ist keine Ausführung des QM eingestuften Programms 2.1 erlaubt und der Zugriff auf den Datenspeicher 2-6 verboten. Eine Konstellation mit aktivem QM Programm 2.1 ist in der 2c) gezeigt. Die Zugriffsfreigabe besteht dabei ausschließlich für den Datenspeicher 2-4 gleicher Sicherheitsstufe, wobei auf die Datenspeicher 2-5 und 2-6 höherer Sicherheitsstufen durch das Programm 2.1 nicht zugegriffen werden darf. Die Programme 2.2 und 2.3 aller weiteren Sicherheitsstufen können ebenfalls ausgeführt werden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • WO 2009/150475 [0002]
    • WO 2011/016793 [0003]
  • Zitierte Nicht-Patentliteratur
    • ISO 26262 [0004]
    • ISO 26262 [0011]

Claims (9)

  1. Verfahren zur Vermeidung von Speicherschutzverletzungen in einem integrierten Schaltkreises eines Kraftfahrzeugsystems, bei welchem eine Verwaltung von Zugriffen eines in einem Programmspeicher (1.1, 1.2, 1.3) vorliegenden Programms auf einen für die Zugriffe freigegebenen Datenspeicher (1-3, 2-4, 2-5, 2-6) in Abhängigkeit einer Sicherheitsanforderungsstufe (QM, ASIL B, ASIL D) des Datenspeichers (1-3, 2-4, 2-5, 2-6) und einer Sicherheitsanforderungsstufe (QM, ASIL B, ASIL D) des Programms und/oder des Programmspeichers (1.1, 1.2, 1.3) vorgenommen wird, dadurch gekennzeichnet, dass eine Verwaltung der Ausführbarkeit des Programms in Abhängigkeit von der Sicherheitsanforderungsstufe (QM, ASIL B, ASIL D) des Programms und/oder dessen Programmspeichers (1.1, 1.2, 1.3) und der Sicherheitsanforderungsstufe (QM, ASIL B, ASIL D) des Datenspeichers (1-3, 2-4, 2-5, 2-6) erfolgt.
  2. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass ein Vergleich der Sicherheitsanforderungsstufen (QM, ASIL B, ASIL D) des Datenspeichers (1-3, 2-4, 2-5, 2-6) und des Programms und/oder des Programmspeichers (1.1, 1.2, 1.3) vorgesehen ist, wobei von dem Ergebnis des Vergleichs abhängig ist, ob das Programm ausgeführt wird.
  3. Verfahren gemäß Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Programm lediglich dann ausgeführt wird, wenn das Programm und/oder dessen Programmspeicher (1.1, 1.2, 1.3) eine gleiche und/oder eine höhere Sicherheitsanforderungsstufe (QM, ASIL B, ASIL D) wie der Datenspeicher (1-3, 2-4, 2-5, 2-6) erfüllt.
  4. Verfahren gemäß Anspruch 1 bis 3, dadurch gekennzeichnet, dass das Programm lediglich dann autorisiert ist auf den Datenspeicher (1-3, 2-4, 2-5, 2-6) zuzugreifen, wenn das Programm und/oder dessen Programmspeicher (1.1, 1.2, 1.3) eine gleiche und/oder eine höhere Sicherheitsanforderungsstufe (QM, ASIL B, ASIL D) wie der Datenspeicher (1-3, 2-4, 2-5, 2-6) erfüllt.
  5. Verfahren gemäß einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass das Programm nicht ausgeführt wird, wenn das Programm und/oder dessen Programmspeicher (1.1, 1.2, 1.3) eine niedrigere Sicherheitsstufe als der Datenspeicher (1-3, 2-4, 2-5, 2-6) erfüllt.
  6. Verfahren gemäß einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass ein Betriebssystem des integrierten Schaltkreises eine niedrigere Sicherheitsanforderungsstufe (QM, ASIL B, ASIL D) als eine höchste vorgesehene Sicherheitsanforderungsstufe (QM, ASIL B, ASIL D) des Programms und/oder des Programmspeichers (1.1, 1.2, 1.3) und/oder des Datenspeichers (1-3, 2-4, 2-5, 2-6) aufweist.
  7. Verfahren gemäß einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass der Programmspeicher (1-1, 1-2, 1-3) als nicht-ausführbar und/oder nicht lesbar markiert wird, wenn das Programm nicht ausgeführt werden soll.
  8. Schaltkreis zur Vermeidung von Speicherschutzverletzungen in einem Kraftfahrzeugsystem, umfassend zumindest einen Programmspeicher (1.1, 1.2, 1.3), in welchem wenigstens ein Programm hinterlegt ist, und zumindest einen Datenspeicher (1-3, 2-4, 2-5, 2-6), wobei der Schaltkreis derart ausgestaltet ist, dass eine Verwaltung von Zugriffen des Programms auf den für die Zugriffe freigegebenen Datenspeicher (1-3, 2-4, 2-5, 2-6) in Abhängigkeit einer Sicherheitsanforderungsstufe (QM, ASIL B, ASIL D) des Datenspeichers (1-3, 2-4, 2-5, 2-6) und einer Sicherheitsanforderungsstufe (QM, ASIL B, ASIL D) des Programms und/oder des Programmspeichers (1.1, 1.2, 1.3) erfolgt, dadurch gekennzeichnet, dass eine Verwaltung der Ausführbarkeit des Programms in Abhängigkeit von der Sicherheitsanforderungsstufe (QM, ASIL B, ASIL D) des Programms und/oder dessen Programmspeichers (1.1, 1.2, 1.3) und der Sicherheitsanforderungsstufe (QM, ASIL B, ASIL D) des Datenspeichers (1-3, 2-4, 2-5, 2-6) erfolgt.
  9. Schaltkreis gemäß Anspruch 8, dadurch gekennzeichnet, dass dieser ein Verfahren gemäß einem der Ansprüche 1 bis 7 ausführt.
DE102014212018.7A 2014-06-23 2014-06-23 Verfahren und Schaltkreis zur Vermeidung von Speicherschutzverletzungen Withdrawn DE102014212018A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102014212018.7A DE102014212018A1 (de) 2014-06-23 2014-06-23 Verfahren und Schaltkreis zur Vermeidung von Speicherschutzverletzungen
PCT/EP2015/063955 WO2015197544A1 (de) 2014-06-23 2015-06-22 Verfahren und schaltkreis zur vermeidung von speicherschutzverletzungen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102014212018.7A DE102014212018A1 (de) 2014-06-23 2014-06-23 Verfahren und Schaltkreis zur Vermeidung von Speicherschutzverletzungen

Publications (1)

Publication Number Publication Date
DE102014212018A1 true DE102014212018A1 (de) 2015-12-24

Family

ID=53496650

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102014212018.7A Withdrawn DE102014212018A1 (de) 2014-06-23 2014-06-23 Verfahren und Schaltkreis zur Vermeidung von Speicherschutzverletzungen

Country Status (2)

Country Link
DE (1) DE102014212018A1 (de)
WO (1) WO2015197544A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019202862A1 (de) * 2019-03-04 2020-09-10 Audi Ag Vorrichtung zur Bereitstellung von Bilddaten
DE102021208681A1 (de) 2021-08-10 2023-02-16 Volkswagen Aktiengesellschaft Steuergerät für ein Kraftfahrzeug und Verfahren zum Aktualisieren eines Steuergeräts

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116451235B (zh) * 2023-03-27 2024-04-09 亿咖通(湖北)技术有限公司 内存保护方法、设备、存储介质及程序产品

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009150475A1 (en) 2008-06-12 2009-12-17 Metaforic Limited A method of protecting computer program code
WO2011016793A2 (en) 2008-06-16 2011-02-10 Qualcomm Incorporated Methods and systems for checking run-time integrity of secure code

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5280614A (en) * 1990-08-21 1994-01-18 International Business Machines Corporation Apparatus and method for controlling access to data using domains
US5684948A (en) * 1995-09-01 1997-11-04 National Semiconductor Corporation Memory management circuit which provides simulated privilege levels
US20040064723A1 (en) * 2001-10-31 2004-04-01 Barnes Brian C. Method and apparatus for physical address-based security to determine target security
EP1912149A1 (de) * 2006-10-09 2008-04-16 Texas Instruments France Überprüfen der Integrität des Überwachungsmodus
US20110191562A1 (en) * 2010-02-02 2011-08-04 Broadcom Corporation Apparatus and method for partitioning, sandboxing and protecting external memories

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009150475A1 (en) 2008-06-12 2009-12-17 Metaforic Limited A method of protecting computer program code
WO2011016793A2 (en) 2008-06-16 2011-02-10 Qualcomm Incorporated Methods and systems for checking run-time integrity of secure code

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ISO 26262

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019202862A1 (de) * 2019-03-04 2020-09-10 Audi Ag Vorrichtung zur Bereitstellung von Bilddaten
DE102019202862B4 (de) 2019-03-04 2022-08-04 Audi Ag Vorrichtung zur Bereitstellung von Bilddaten
DE102021208681A1 (de) 2021-08-10 2023-02-16 Volkswagen Aktiengesellschaft Steuergerät für ein Kraftfahrzeug und Verfahren zum Aktualisieren eines Steuergeräts

Also Published As

Publication number Publication date
WO2015197544A1 (de) 2015-12-30

Similar Documents

Publication Publication Date Title
DE102012110499A1 (de) Sicherheitszugangsverfahren für elektronische Automobil-Steuergeräte
DE112016002785T5 (de) Elektronische Steuereinheiten für Fahrzeuge
DE102018214999A1 (de) Vorrichtung zur Absicherung von Diagnosebefehlen an ein Steuergerät und entsprechendes Kraftfahrzeug
DE102005021064B4 (de) Verfahren und Vorrichtung zum Schutz gegen Buffer Overrun-Attacken
EP1798653B1 (de) Verfahren, Computerprogrammprodukt und Vorrichtung zum Schützen eines einen Funktionsblock aufweisenden Programms
DE102013013179A1 (de) Verfahren zum Betreiben eines Sicherheitselements
DE102014212018A1 (de) Verfahren und Schaltkreis zur Vermeidung von Speicherschutzverletzungen
WO2017102295A1 (de) Verfahren und sicherheitsmodul zum bereitstellen einer sicherheitsfunktion für ein gerät
EP2510475B1 (de) Hardware-einrichtung
WO2017162424A1 (de) Verfahren und einrichtung zum bereitstellen einer kryptographischen sicherheitsfunktion für den betrieb eines geräts
WO2004114131A1 (de) Verfahren zum nachladen einer software in den bootsektor eines programmierbaren lesespeicher
DE102013016114B3 (de) Bussystem und Verfahren für geschützte Speicherzugriffe
DE102013209264A1 (de) Verfahren zum Betreiben eines Kommunikationsmoduls und Kommunikationsmodul
EP2394232A2 (de) Vorrichtung und verfahren zum verhindern von unautorisierter verwendung und/oder manipulation von software
DE102014222181A1 (de) Verfahren zum Betreiben eines Steuergeräts
DE102010004446A1 (de) Verfahren zum Bereitstellen eines sicheren Zählers auf einem Endgerät
DE102015223757A1 (de) Verfahren zum Betreiben eines Mikrocontrollers
DE102018217969A1 (de) Recheneinrichtung und Betriebsverfahren hierfür
WO2017089101A1 (de) Verfahren zum betreiben eines mikrocontrollers
DE102021004427B4 (de) Verfahren zur lmplementierung und Nutzung von kryptografischem Material in wenigstens einer Systemkomponente eines informationstechnischen Systems
DE102016222691A1 (de) Mikrocontrollersystem und Verfahren zur Kontrolle von Speicherzugriffen in einem Mikrocontrollersystem
WO2012028391A1 (de) Verfahren zum bereitstellen von informationen für ein steuergerät
EP3391279B1 (de) Mikrocontrollersystem und verfahren zur kontrolle von speicherzugriffen in einem mikrocontrollersystem
WO2024046731A1 (de) Verfahren zur rechnergestützten beschränkung von persistentem speicher für eine container-basierte applikation
DE102017208199A1 (de) Recheneinheit und Betriebsverfahren für eine Recheneinheit

Legal Events

Date Code Title Description
R163 Identified publications notified
R005 Application deemed withdrawn due to failure to request examination