[发明专利]用于执行在控制设备之间的通信的方法

说明书

本发明涉及用于执行在至少两个控制设备（202，204，206）之间的通信的方法以及用于执行该方法的控制设备复合体（200）。在此，在每个控制设备（202，204，206）中都设置有电子硬件安全模块（210，212，214），其中通过附加的通信连接进行通信。

技术领域

本发明涉及用于执行在控制设备之间、尤其是在机动车中的控制设备之间的通信的方法、控制设备复合体、控制设备和电子硬件安全模块（HSM）。

背景技术

控制设备是电子模块，其例如被用在机动车中以便控制和调节流程。为此，将控制设备分配给机动车的组件，所述组件的运行利用所分配的控制设备监督（kontrollieren）。为此，控制设备读入由传感器检测的数据并且通过操控执行器来作用于所述运行。

所描述的方法结合电子安全模块来应用，该电子安全模块在安全性相关的领域中被使用在控制设备中、尤其是在汽车领域中。在安全性相关的领域中的大多数应用情况下，不可操纵或者不可查阅的数据存储是基本要求。在此情况下，使用密码密钥，所述密码密钥应用在对称或非对称的加密方法中。

所使用的密钥和加密方法是机密，其必须对攻击者保持是秘密的。在安全性相关的领域中的其他应用例如涉及防止未经允许的改变、例如存储改变的序列号或者公里读数、禁止未授权的调整措施（Tuning-Maßnahmen）等等。

因此需要在控制设备中提供安全的环境，在所述安全的环境中可以实施必须查阅和/或改变所述机密的功能。这些环境经常具有安全的计算单元或CPU（其也可以称为安全CPU（secure CPU））以及存储模块。这样的环境这里也被称为硬件安全模块（HSM：硬件安全模块（Hardware Security Module））。该模块是具有硬件和软件组件的有效率的模块，该有效率的模块改善嵌入式系统的可信度和保护。尤其是，HSM在此支持保护安全性关键的应用和数据。利用HSM同样可以降低安全成本，而同时可以提供防攻击者的有效保护。关于HSM的基本构造参考图3。

要注意的是，在车辆或车辆系统中控制设备的通信现今不是冗余地被执行并且仅仅通过软件可信度测试（Plausibilisierung）来保护。因此，可以简单地、无大耗费地进行攻击。因此，例如在控制设备中的特洛伊（Trojaner）也可能操纵在控制设备之间的受保护的或加密的通信。在错误情况下因此不存在冗余度，而是仅仅存在受限的紧急运行特性。

发明内容

以此为背景，建议根据本发明的用于执行在机动车的至少两个控制设备之间的通信的方法、根据本发明的控制设备复合体、根据本发明的电子硬件安全模块和根据本发明的控制设备。

因此经由附加地存在的通信连接进行通信。除了总线系统之外，还设置该附加地存在的通信连接，其中所述总线系统将控制设备、尤其是控制设备的主计算单元相互连接。附加地设置的通信连接与电子硬件安全模块（HSM）连接，并且例如被构造为总线系统，其中所述电子硬件安全模块（HSM）中的相应至少一个设置在每个参与该通信的控制设备中。

因此，以下面的任务来进行受保护的、第二通信连接的构建：

-在控制设备之间的认证，

-关键信号的交换，

-密码密钥的交换，

-在关断一个或多个控制设备时能够实现紧急运行操作（Notlaufbetrieb），

-消除缺少的冗余度和迄今弱的保护。

所介绍的方法基于通信连接的引入，该通信连接通过电子硬件安全模块（HSM：Hardware Security Module）物理上与主核或主计算单元分离。通过这种方式，可以与其他控制设备安全通信。