用于电子控制单元的硬件安全制造技术

公开了用于电子控制单元的硬件安全。描述用于交通工具的电子控制单元(ECU)，包括：存储加密数据和未加密数据的存储器；操作地连接到存储器以访问未加密数据的主控制单元；及操作地连接到存储器以访问加密/解密数据用于使用硬件算法来解密并用于使用硬件算法来加密的硬件加密‑解密设备。存储器中的数据由硬件加密‑解密设备使用硬件算法来解密并存储在存储器中由主控制单元使用。存储器中的数据由硬件加密‑解密设备使用硬件算法来加密用于存储在存储器中。主控制单元和硬件加密‑解密设备是在同一衬底或SOC上的分开的集成电路，并由总线连接且可并行处理数据。外部总线可使用ECU传递加密信息以允许在运行时间(动态地)和以线速度的加密/解密。

【技术实现步骤摘要】
用于电子控制单元的硬件安全
本公开的实施方式大体上描述使电子设备安全的基于硬件的安全系统，且更具体地涉及用于电子设备、移动设备或机动交通工具的硬件安全系统。背景交通工具包含各种控制模块，其包括执行指令以控制交通工具的各种方面(例如引擎、信息娱乐、电动机、牵引用蓄电池、车身控制、制动器、传动装置、气候控制等)的处理器。连接到通信网络的交通工具正在增加。作为结果，存在将恶意软件指令下载到控制模块中的增加的威胁。随着交通工具变得更加数字化地连接到外部计算设备，增加了对攻击的暴露。攻击的类型的示例可包括渗透交通工具电子器件和/或软件系统、对控制模块重新编程的攻击。文件的认证可被执行以在执行之前验证文件的源和/或内容。认证可被执行以防止恶意文件的下载和/或执行和/或防止文件的恶意和/或未经授权的更改。执行无效文件的后果可包括非预期的交通工具系统行为、交通工具部件的降低的寿命、交通工具防盗功能的丧失、对交通工具部件的潜在篡改、交通工具文件的变更和/或交通工具特征和/或功能的丧失。无效文件的执行也可能导致交通工具保修失效、交通工具未按预期运行或交通工具数据损坏。在电子设备中的软件的安全性是需要的。本文提供的背景描述是为了大体上呈现本公开的情境的目的。目前命名的专利技术人的工作在它在本背景章节中被描述的程度上以及可能以其他方式在提交时不能取得现有技术的资格的描述的方面对照本公开既不被明确地也不隐含地被承认为现有技术。概述描述了一种交通工具电子控制单元，其包括执行分配给控制单元的任务的主处理器和将由主处理器使用的数据解密和加密的安全处理器。提供存储器以存储由主处理器使用并由安全处理器处理的交通工具数据。安全处理器包括被配置为将来自存储器的数据加密和解密用于由主处理器使用的可编程硬件。可编程硬件可以包括现场可编程电路。衬底限定总线以连接主处理器、存储器和安全处理器，同时支撑主处理器、存储器和安全处理器。在示例中，通信信道或外部数据链路是可用的，数据可以从该通信信道或外部数据链路进出系统或者进出移动设备，例如交通工具或移动电子设备。在示例中，安全处理器包括多个IP核心，其包括可重配置电路以给每个IP核心分配用于加密或解密的任务。在示例中，IP核心中的至少一个包括配置用于解压缩数据的电路，并且IP核心中的至少一个包括配置用于压缩数据的电路。在示例中，IP核心作为与主处理器并行运行的状态机(例如，有限状态机)来操作。在示例中，安全处理器通过重新配置硬件可配置到新的加密方案或新的解密方案。安全处理器还可以通过重新配置硬件而可配置到新的或更新的压缩/解压缩方案。安全处理器还可以通过重新配置硬件而可配置到新的或更新的认证方案。安全处理器可以部分或全部被重新配置。重新配置可以在主处理器或安全处理器的运行时间期间发生。在示例中，当主处理器脱机(例如，未进行处理)时或当交通工具关闭时，重新配置可能发生。在示例中，IP核心中的至少一个被配置为产生安全防范措施，例如，防止对交通工具控制单元、电路、处理器等的侧信道攻击。安全防范措施可在其他IP核心或主处理器的运行时间期间执行。在示例中，用于安全防范措施的IP核心感测由主处理器和安全处理器汲取的电流，并且消耗电流以在衬底上维持基本上恒定的电流，以减少对安全处理器和主处理器的感测操作。在示例中，用于安全防范的IP核心以随机模式汲取电流以掩蔽往返主处理器和安全处理器的电流。在示例中，用于安全防范的IP核心输出随机电磁辐射以掩蔽主处理器和安全处理器的操作。在示例中，用于安全防范的IP核心输出声信号或信息以掩蔽主处理器和安全处理器的操作。在示例中，主处理器利用许多连接参与交通工具到交通工具通信，这些连接引起导致连接中至少一个连接的连接故障的延迟，并且IP核心中的至少一个被配置为与主处理器并行地认证交通工具到交通工具通信。在示例中，主控制器接收密码被危害的命令，主控制器进入安全模式，在该安全模式中没有来自接收到的数据的关键操作被允许，直到特定的安全连接被建立并且密码在安全电路中升级为止。在示例中，主控制器在由安全处理器确认加密/解密算法的成功升级之后将相同的硬件算法升级发送到交通工具中的第二电子控制单元，使得硬件加密-解密算法也在第二电子控制单元中被升级。在示例中，电子控制单元(诸如在非限制性示例中用于交通工具的电子控制单元)被描述为包括：存储器，其存储加密数据和未加密数据；主控制单元，其操作地连接到存储器以访问未加密数据；以及硬件加密-解密设备，其操作地连接到存储器以访问加密数据用于使用硬件算法解密并访问解密数据用于使用硬件算法加密。在示例中，存储器中的数据由硬件加密-解密设备使用硬件算法来解密并存储在存储器中用于由主控制单元使用。在示例中，存储器中的数据由硬件加密-解密设备使用硬件算法来加密，用于由硬件加密-解密设备存储在存储器中。在示例中，主控制单元和硬件加密-解密设备是在单个衬底上的分开的集成电路并且并行处理数据，该衬底具有连接存储器与主控制单元和硬件加密-解密设备的总线。在示例中，硬件加密/解密设备可以接收来自连接到电子控制单元的外部通信信道的数据，并且动态地将数据加密/解密。硬件加密-解密设备将经处理的数据存储在存储器中，或者通过外部通信信道将经处理的数据发送到外部设备。在示例中，主控制单元接收在压缩的加密数据文件中的硬件算法更新，将硬件算法更新发送到存储器，且现场可编程设备对硬件算法更新解压缩和解密，其中硬件加密-解密设备使用解密的硬件更新来更新在硬件加密-解密设备中的硬件算法，同时主控制单元处理其他软件任务。在示例中，硬件加密-解密设备包括现场可编程设备或可编程逻辑。在示例中，硬件加密-解密设备包括现场可编程门阵列。在示例中，主控制单元接收用于现场可编程门阵列中的硬件算法的更新。在示例中，更新是在运行时间中的新加密算法。在示例中，硬件加密-解密设备包括多个IP核心，其中更新用于擦除IP核心中的至少一个并安装新的硬件算法。在示例中，硬件加密-解密设备包括多个IP核心，其中更新是向硬件算法添加另外的IP核心。在示例中，硬件加密-解密设备包括多个IP核心，其中更新用于在运行时间中改变IP核心的特定处理。在示例中，硬件加密-解密设备包括多个IP核心，其中更新用于从硬件算法中去除IP核心。在示例中，主控制单元接收在压缩的加密数据文件中的硬件算法更新，将硬件算法更新发送到存储器，且现场可编程门阵列将硬件算法更新解密，其中主控制单元使用解密的硬件更新来更新在硬件加密-解密设备中的硬件算法。附图说明以特定细节说明本公开的实施方式。然而，通过结合附图参考下面的详细描述，各种实施方式的其它特征将变得更明显且将被最好地理解，其中：图1示出了根据示例实施方式的交通工具的示意图；图2示出了根据示例实施方式的电子控制单元的视图；图3示出了根据示例实施方式的电子控制单元的视图；图4示出了根据示例实施方式的处理方法；图5示出了根据示例实施方式的处理方法；图6示出了根据示例实施方式的处理方法；图7示出了根据示例实施方式的处理方法；图8示出了根据实施方式的控制单元的示意图；图9示出了根据示例实施方式的处理方法；以及图10示出了根据示例实施方式的处理方法。详细描述根据需要，本文公开了本专利技术的具体示例；然而，应本文档来自技高网...

【技术保护点】
1.一种交通工具电子控制单元，包括：主处理器，所述主处理器被配置为处理分配给所述电子控制单元的任务；存储器，所述存储器存储交通工具数据以用于由所述主处理器使用；安全处理器，所述安全处理器被配置为将来自所述存储器的数据加密和解密以用于由所述主处理器使用，所述安全处理器在现场可编程的硬件电路中执行加密和解密，所述安全处理器被配置为与所述主处理器并行地加密和解密；以及衬底，其中限定了连接所述主处理器、所述存储器和所述安全处理器的总线。

【技术特征摘要】
2017.01.27 US 15/418,0611.一种交通工具电子控制单元，包括：主处理器，所述主处理器被配置为处理分配给所述电子控制单元的任务；存储器，所述存储器存储交通工具数据以用于由所述主处理器使用；安全处理器，所述安全处理器被配置为将来自所述存储器的数据加密和解密以用于由所述主处理器使用，所述安全处理器在现场可编程的硬件电路中执行加密和解密，所述安全处理器被配置为与所述主处理器并行地加密和解密；以及衬底，其中限定了连接所述主处理器、所述存储器和所述安全处理器的总线。2.根据权利要求1所述的交通工具电子控制单元，其中，所述安全处理器包括多个IP核心，所述多个IP核心包括可重配置电路以给所述多个IP核心中的至少一个分配用于加密或解密的任务。3.根据权利要求2所述的交通工具电子控制单元，其中，所述IP核心中的至少一个包括被配置用于数据解压缩和数据压缩的电路。4.根据权利要求2所述的交通工具电子控制单元，其中，所述IP核心作为与所述主处理器并行地运行的有限状态机来操作。5.根据权利要求1所述的交通工具电子控制单元，其中，所述安全处理器能够通过重新配置硬件来配置到新的加密方案。6.根据权利要求2所述的交通工具电子控制单元，其中，所述IP核心中的至少一个被配置为在运行时间产生安全防范措施。7.根据权利要求6所述的交通工具电子控制单元，其中，用于安全防范措施的所述IP核心感测由所述主处理器和所述安全处理器汲取的电流，并且消耗电流以在所述衬底上维持基本上恒定的电流，以减少对所述安全处理器和所述主处理器的感测操作。8.根据权利要求6所述的交通工具电子控制单元，其中，用于安全防范措施的所述IP核心以随机模式产生电流以掩蔽往来所述主处理器和所述安全处理器的电流。9.根据权利要求6所述的交通工具电子控制单元，其中，用于安全防范措施的所述IP核心输出随机电磁辐射以掩蔽所述主处理器和所述安全处理器的操作。10.根据权利要求6所述的交通工具电子控制单元，其中，用于安全防范措施的所述IP核心产生声信息以掩蔽所述主处理器和所述安全处理器的操作。11.根据权利要求2所述的交通工具电子控制单元，其中，所述主处理器和至少一个IP核心利用许多连接参与交通工具到交通工具通信，所述许多连接引起导致所述连接中的至少一个的连接故障的延迟，并且所述IP核心中的至少一个另一IP核心被配置为当导致故障的延迟在运行时间期间发生时与所述主处理器并行地认证所述交通工具到交通工具通信。12.根据权利要求2所述的交通工具电子控制单元，其中，所述主控制器接收密码被危害的命令，所述主控制器进入安全模式，其中没有来自接收到的数据的关键操作被允许，直到特定的安全连接被建立并且所述密码被在所述安全电路中升级为止。13.根据权利要求1所述的交通工具电子控制单元，其中，所述主控制器在确认由所述安...

【专利技术属性】
技术研发人员：弗朗西斯科·方斯，马里亚诺·方斯，乔斯·加布里埃尔·费尔南德斯巴纳尔斯，
申请(专利权)人：李尔公司，
类型：发明
国别省市：美国,US