[发明专利]适合于在受保护的和/或开放的运行状态下运行的设备单元以及所属的方法

说明书

本发明要求保护一种设备单元（GE），其包括如下模块（M），所述模块能在所述设备单元启动运行时和/或在所述设备单元正在运行时以不同的运行状态中的一个运行状态来对所述设备单元（GE）进行配置，其中所述不同的运行状态中的受保护的第一运行状态被设计为：容许实施至少一个能预先确定的运行过程并且必要时利用所规定的加密方式来保护所述至少一个能预先确定的运行过程，其中所述不同的运行状态中的至少一个第二运行状态被设计为：将所述受保护的第一运行状态停用，而且容许至少一个其它的可改变的运行状态而且必要时利用可预先给定的加密方式来保护所述至少一个其它的可改变的运行状态，而且其中如果所配置的运行状态对应于所述第一运行状态，则所述模块（M）保持所述第一运行状态，或者如果所配置的运行状态对应于至少第二运行状态，则所述模块（M）将所述第一运行状态停用并且引入和/或保持所述至少第二运行状态。

技术领域

本发明涉及一种适合于在受保护的和/或开放的运行状态下运行的设备单元以及所属的方法和一种所属的计算机程序（产品）。

背景技术

嵌入式系统（Embedded Systems或Devices（设备））常常在工业4.0的环境下、在工业因特网中以及在自动化系统中投入使用。这些嵌入式系统可在个别情况下基于类似的硬件、如工作站计算机。然而，对于这些嵌入式系统来说，通常需要严格限制的边界条件、如最小成本、小的空间占用、低能耗和小的存储器占用。各个组件、如处理器和工作存储器常常基于对旧的组件的进一步开发。由此，使得长期的可使用性和备件采购变得容易。新型的嵌入式系统常常基于处理器平台，这些处理器平台相对外设模块高度集成而且通过现代节电技术而消耗低得多的能量。在嵌入式系统中，软件必须常常满足实时要求。在这种设备上的软件被称作固件。该软件通常位于ROM上，然而越来越频繁地位于闪速存储器上。专用软件也被称作应用软件或应用。

这种引导加载程序（Bootloader）引起在系统启动时对操作系统和应用软件的加载。该引导加载程序还提供了对在闪速存储器中的操作系统和应用软件进行更新的可能性。

用于嵌入式系统的处理器（CPU），诸如Freescale/NXP i.MX6或者ti Sitara、基于FPGA的片上系统（System on Chips），如Xilinx Zynq或Altera Cyclone V SoC或具有UEFI支持的安全启动（Secure Boot）的Intel Atom处理器。为此，安全启动保证了：只有经授权的、未被改变的软件或固件被实施。存在如下要求：保护工业控制设备或嵌入式系统的完整性。

在基于PC的具有UEFI-BIOS的系统中，存在如下可能性：用于安全启动的验证密钥可以由合法的用户重新设置。然而，这在其中密钥在所谓的保险丝（可燃保险丝）中烧掉的嵌入式平台上是不可能的。该UEFI-BIOS变型方案还具有如下缺点：安全启动的安全等级基本上取决于BIOS密码的安全性。由此，形成为了安全地保管BIOS密码的高花费。尤其是，用户也可以利用对BIOS配置设置的访问来改变安全启动配置。

此外，引导加载程序、诸如针对基于Linux的嵌入式系统的U-Boot在有些变型方案中支持安全启动。Linux内核也可以检查内核模块的完整性（正确性、完好无损）并且只加载正确地被签名的内核模块。

消息、进程或程序的不同类型的完整性都是可能的，这些消息、进程或程序可以在信息安全性方面予以检查：

- 正确的内容

- 未被修改的状态

- 当可以阻止不符合期望的修改时识别出修改

- 当时的正确性：应该遵守相关的时间条件、比如顺序或最大延迟时间。

特别是在GPL许可证中公知通过许可证条件对安全启动的限制。

由此形成的问题也在术语Tivo化（Tivoisierung）下公知。