用于发动机控制器的安全启动的系统以及方法技术方案

本发明专利技术涉及用于发动机控制器的安全启动的系统以及方法，该系统包括：存储器，存储有启动代码(boot code)以及至少一个应用程序；主机CPU，在发生开始起动或者复位(reset)事件时，向HSM(Hardware Security Module)传输启动(startup)指令，当从所述HSM接收到启动代码认证成功时，执行所述启动代码后，向所述HSM传输残留存储区域认证指令；以及HSM，根据接收到所述启动指令进行启动，执行存储在所述存储器中的启动代码的认证，并且向所述主机CPU传输启动代码认证结果，当接收到所述残留存储区域认证指令时，执行所述存储器中除了启动代码之外的剩余区域的认证。

System and method for safe startup of engine controller

The invention relates to a system and method for the safe startup of an engine controller, which includes memory, stored in a boot code (boot code) and at least one application; host CPU, to transmit the boot (Startup) instruction to the HSM (Hardware Security Module) when a start or reset (reset) event occurs. When the starting code authentication is received from the HSM, the remaining storage area authentication instruction is transmitted to the HSM after the execution of the starting code, and the HSM is started, the authentication of the startup code stored in the memory is executed, and the startup generation is transmitted to the host CPU. The code authentication result, when receiving the remaining storage area authentication instruction, executes the authentication of the remaining area in the memory besides the boot code.

【技术实现步骤摘要】
用于发动机控制器的安全启动的系统以及方法
本专利技术涉及用于发动机控制器的安全启动(secureboot)的系统以及方法，以在主机CPU执行启动代码之前，HSM(HardwareSecurityModule：硬件安全模块)中前台(Foreground)检查(check)启动代码的完整性，后台(Background)检查存储器的剩余区域的完整性的方式，执行安全启动的用于发动机控制器的安全启动的系统以及方法。
技术介绍
发动机控制器(EMS，EngineManagementSystem)是利用设在发动机的各种传感器获得的信息来控制吸气/排气系统、燃料供给系统、点火系统的小型计算机。为了控制精确的燃料喷射和点火时机，需要首先实现用于掌握发动机当前位置的发动机同步。发动机同步是指利用曲轴信号和凸轮轴信号，掌握发动机的当前位置的流程。一般情况下，通过利用检测曲轴信号的间隔(gap)的方法实现同步。图1是用于说明发动机同步的图。参照图1，用于实现发动机同步的系统包括曲柄位置传感器10、凸轮位置传感器20以及发动机控制器30而构成。为了精细地控制发动机，曲柄位置传感器(crankpositionsensor)10以及凸轮位置传感器(campositionsensor)20分别检测曲轴以及凸轮轴的旋转并发送到发动机控制器30。曲柄位置传感器10对曲轴的有效齿(validtooth)进行计数，并且检测间隔(gap)输出上下振动的电信号。曲轴的旋转体上沿圆周方向相隔6度的间隔形成有齿(tooth)。需要说明的是，并不是在整个圆周上形成有60个齿，而是以在局部期间排除了齿的方式形成，例如将排除了两个连续的齿的间隔用作参考点。曲柄位置传感器10构成为检测形成在该部分具有其他部分的两倍以上的周期的信号的间隔。凸轮位置传感器20检测与曲轴联动旋转的凸轮轴的边缘(edge)，输出相位反转的电信号，基于凸轮轴的旋转检测活塞的位置，向发动机控制器30提供用于确定燃料喷射时机的信号。发动机控制器30对曲柄位置传感器10以及凸轮位置传感器20的信号进行运算，并执行发动机同步(enginesynchronization)。即、分析被曲柄位置传感器10以及凸轮位置传感器20检测到的曲轴以及凸轮轴的输出信号，无时差地掌握发动机的转速或各气缸的行程过程等，由此各气缸在适当的喷射时机以及点火时机喷射燃料点火。另一方面，发动机控制器30是HardrealtimeSystem(硬实时系统)，开始时需要严格遵守时间限制，在初期步骤执行安全启动(secureboot)，所以对执行发动机同步带来影响。安全启动(SecureBoot)用于在所有的启动周期确认位于非易失性存储区域的软件的完整性。因此，发动机控制器按照在BootROM检查启动代码(Bootcode)的完整性，在启动代码检查应用代码(ApplicationCode)区域的完整性后，运行(Startup)应用程序(ApplicationSW)的方法来执行安全启动(Secureboot)。但是，如果按照现有的方法执行安全启动，则在发动机运转(running)过程中出现系统复位(reset)现象时，需要通过检测曲柄(Crank)信号的间隔(gap)的方法实现发动机同步，但是，由于安全启动的较长执行时间有可能无法检测到间隔，所以需要检测(detect)发动机旋转一圈以后轮回来的间隔(gap)。在这种情况下，在四缸发动机系统中会错过两次燃料喷射以及点火，由此引发当前运转(running)中的发动机的失速(stall)。另外，如果发动机运转过程中突然发生发动机失速(stall)，则有可能给驾驶员带来危险，存在安全问题。
技术实现思路
所要解决的技术问题本专利技术是为了解决上述问题而提出的，其目的在于提供即使在发动机运转过程中发生系统复位时也能够防止发动机失速的用于发动机控制器的安全启动的系统以及方法。本专利技术的另一目的在于提供在系统复位后重新开始时以最快速度结束系统初始化执行发动机同步，从而开始燃料喷射和点火的用于发动机控制器的安全启动的系统以及方法。另一方面，本专利技术要解决的技术问题不限定于上述的技术问题，在基于下面说明的内容本领域技术人员显而易见的范围内可以包括各种技术问题。用于解决技术问题的手段根据用于解决上述的技术问题的本专利技术的一方面，提供一种用于发动机控制器的安全启动的系统，其包括存储器、主机CPU和HSM，所述存储器存储有启动代码(bootcode)以及至少一个应用程序，在发生开始起动或者复位(reset)事件时，所述主机CPU向所述HSM(HardwareSecurityModule：硬件安全模块)传输启动(startup)指令，当从所述HSM接收到启动代码认证成功时，所述主机CPU执行所述启动代码后，向所述HSM传输残留存储区域认证指令，所述HSM接收所述启动指令而进行启动，执行存储在所述存储器中的启动代码的认证，并且向所述主机CPU传输启动代码认证结果，当接收到所述残留存储区域认证指令时，所述HSM执行所述存储器中除启动代码之外的剩余区域的认证。本专利技术的特征在于，所述存储器根据使用用途划分应用程序区域，能够设定用于按照应用程序区域进行完整性认证的优先级。当执行启动代码时，在所述HSM执行剩余存储区域的完整性认证的期间，所述主机CPU与所述剩余存储区域的完整性认证结果无关地执行剩余存储区域的应用程序。所述HSM基于已存储的启动代码的位置以及尺寸，从所述存储器获取启动代码，根据所述启动代码计算认证码的值，基于所计算的所述认证码的值与已存储的认证码的值是否一致，对所述启动代码的完整性进行认证，并向所述主机CPU传输所述启动代码的认证结果。所述HSM针对存储器的剩余区域，按照优先级分别计算认证码的值，将所计算的各所述认证码的值与已存储的对应的认证码的值进行比较，由此检查完整性。在主机CPU执行启动代码之前，所述HSM前台(Foreground)检查(check)启动代码的完整性，并且后台(Background)检查存储器的剩余区域的完整性。根据本专利技术的另一方面，提供一种用于发动机控制器的安全启动的方法，该方法具备主机CPU以及HSM(HardwareSecurityModule)，用于发动机控制器的安全启动(secureboot)的方法包括如下步骤：(a)在发生开始起动或者复位事件时，所述主机CPU向所述HSM传输启动(startup)指令；(b)启动所述HSM，对存储在存储器中的启动代码(bootcode)进行认证，并向所述主机CPU传输启动代码认证结果；(c)所述主机CPU执行所述启动代码，并向所述HSM传输残留存储区域认证指令；以及(d)所述HSM执行所述存储器中除启动代码之外的剩余区域的认证。所述(b)步骤包括：基于已存储的启动代码的位置以及尺寸，从所述存储器获取启动代码的步骤；根据所述启动代码计算认证码的值的步骤；基于所计算的所述认证码的值与已存储的认证码的值是否一致，认证所述启动代码的完整性的步骤；以及向所述主机CPU传输所述启动代码的认证结果的步骤。在所述(c)步骤中，所述主机CPU传输残留存储区域认证指令后，可以执行所述存储器中除启动代码之外的剩余区域的应用程序。在所述(d)步骤中，所述本文档来自技高网...

【技术保护点】
一种用于发动机控制器的安全启动的系统，其特征在于，所述系统包括存储器、主机CPU和HSM，所述存储器存储有启动代码以及至少一个应用程序，在发生开始起动或者复位事件时，所述主机CPU向所述HSM传输启动指令，当从所述HSM接收到启动代码认证成功时，所述主机CPU执行所述启动代码后，向所述HSM传输残留存储区域认证指令，所述HSM接收所述启动指令而进行启动，执行存储在所述存储器中的启动代码的认证，并且向所述主机CPU传输启动代码认证结果，当接收到所述残留存储区域认证指令时，所述HSM执行所述存储器中除启动代码之外的剩余区域的认证。

【技术特征摘要】
2016.12.01 KR 10-2016-01630651.一种用于发动机控制器的安全启动的系统，其特征在于，所述系统包括存储器、主机CPU和HSM，所述存储器存储有启动代码以及至少一个应用程序，在发生开始起动或者复位事件时，所述主机CPU向所述HSM传输启动指令，当从所述HSM接收到启动代码认证成功时，所述主机CPU执行所述启动代码后，向所述HSM传输残留存储区域认证指令，所述HSM接收所述启动指令而进行启动，执行存储在所述存储器中的启动代码的认证，并且向所述主机CPU传输启动代码认证结果，当接收到所述残留存储区域认证指令时，所述HSM执行所述存储器中除启动代码之外的剩余区域的认证。2.根据权利要求1所述的用于发动机控制器的安全启动的系统，其特征在于，所述存储器根据使用用途划分应用程序区域，能够设定用于按照应用程序区域进行完整性认证的优先级。3.根据权利要求1所述的用于发动机控制器的安全启动的系统，其特征在于，当执行启动代码时，在所述HSM执行剩余存储区域的完整性认证的期间，所述主机CPU与所述剩余存储区域的完整性认证结果无关地执行剩余存储区域的应用程序。4.根据权利要求1所述的用于发动机控制器的安全启动的系统，其特征在于，所述HSM基于已存储的启动代码的位置以及尺寸，从所述存储器获取启动代码，根据所述启动代码计算认证码的值，基于所计算的所述认证码的值与已存储的认证码的值是否一致，对所述启动代码的完整性进行认证，并向所述主机CPU传输所述启动代码的认证结果。5.根据权利要求1所述的用于发动机控制器的安全启动的系统，其特征在于，所述HSM针对存储器的剩余区域，按照优先...

【专利技术属性】
技术研发人员：慎恩豪，金旲炫，
申请(专利权)人：奥特润株式会社，
类型：发明
国别省市：韩国,KR