[发明专利]用于避免对数据传输的操纵的方法和装置

说明书

用于避免对数据传输的操纵的方法和装置。用于避免对数据传输的操纵的方法和装置，其特征在于，‑在计算单元（110、312、322）上接收（131）消息，所述消息包含消息认证码，‑由所述计算单元（110、312、322）将所述消息转交（132）给硬件模块，‑在所述硬件模块（120、313、323）中根据所接收到的消息来计算（133）检验值，‑在所述硬件模块（120、313、323）中比较（134）所接收到的消息认证码与所述检验值，‑将比较结果作为输出参量从所述硬件模块（120、313、323）转交（137、237）给所述计算单元（110、312、322），‑在所述计算单元（110、312、322）中依据所述输出参量检验（142）在所述消息中由所述计算单元接收到的消息认证码。

技术领域

本发明涉及用于避免对数据传输的操纵的一种方法和一种装置。

背景技术

DE 10 2009 002 396 A1描述了一种用于借助消息认证码（MessageAuthentication Code）对在车辆中的数据传输进行操纵保护的方法。

在车辆中例如通过控制器局域网络（Controller Area Network）或FlexRay数据总线进行传输的消息配备有校验和、例如用于循环冗余校验（Cyclic Redundancy Check）的校验和。安全关键的消息在接收方一侧依据该校验和来检验。

该校验和也可以通过消息认证码来补充或者代替。

借助软件和/或特定地针对所述软件适配的硬件来实现所述检验。

为了防止操纵，可以根据最小权限的安全范例（所谓的“principle of leastprivilege（最小权限原则）”）的原则来开发软件和/或硬件。在此，在整个系统之内，每个模块、也就是说每个处理器或每个程序都只获得对如下信息或资源的访问权，所述信息或资源对于满足相应的目的是必要的。

如果将特定的硬件模块用于检验消息认证码，那么最小权限的安全范例可能由于如下情况而被违反：特定的硬件模块也可被用于生成消息认证码。由此，对于消息的有危害的接收方来说也可能以最初的发送方的名义来发送具有有效的消息认证码的失真的消息。

发明内容

本发明提供了按照独立权利要求所述的用于对数据传输进行操纵保护的一种方法和一种装置。

由此，在接收方一侧满足最小权限的安全范例。在特定的硬件模块中，在安全检验失败时的错误反应是多余的。不需要使用根据汽车安全完整性等级（Automotive SafetyIntegrity Level）评定的硬件来避免对数据传输的操纵，。

其它的优点由从属权利要求的主题和下面的描述以及附图中得到。

附图说明

实施例在附图中被示出并且在随后的描述中予以阐述。

图1 示意性地示出了用于处理所接收到的消息的方法，

图2 示意性地示出了用于处理所接收到的消息的另一方法，

图3 示意性地示出了用于进行数据传输的装置。

具体实施方式

该方法的第一部分110借助软件来执行，该软件例如在计算单元上实施。在下文，该计算单元也被称为中央处理单元，CPU（central processing unit）。

该方法的第二部分120借助特定的硬件模块来执行。所述特定的硬件模块在下文也用HSM来表示。

在所述两个部分之间的界限在图1中被显示为虚线。