【技术实现步骤摘要】
关机时安全启动
[0001]本公开涉及一种用于安全启动的方法,并且更具体地涉及一种用于在关机时安全启动的方法。
技术介绍
[0002]执行嵌入式装置中的安全启动功能以在启动时验证固件程序包的完整性和真实性。如果固件已被篡改或包含错误,则控制器可以采取纠正措施。如果固件不可靠,则控制器通常会停止启动无效的软件,并可能进入紧急恢复模式。对于汽车应用,安全启动使电子控制单元(ECU)能够识别未经授权或有故障的固件,并防止此类软件危害车辆用户的安全和个人信息。
[0003]汽车级微控制器的进步为某些加密原语提供了基于硬件的安全密钥存储和加速。安全密钥存储是硬件安全模块(HSM)的组件或功能,所述HSM还提供了执行密码运算的接口,因此不需要访问原始密钥。SHE模块是HSM模块的示例。SHE规范提供128位AES加密和CMAC能力,但未提供专用的安全协处理器。在某些硬件中,需要使用通用处理器来命令SHE模块并基于运算结果做出决策。在没有专用的协处理器的情况下,需要顺序安全启动处理。写保护的启动加载程序将充当信任锚,并主要负责验证启动链中的下一个图像。
[0004]标准顺序安全启动的一个问题是它将启动过程延迟了固定时间量。此延迟基于要验证的图像大小和验证处理速度。这些属性通常是固定的,并且基于基础硬件。在例如汽车ECU的实时系统中,系统必须快速启动并建立与车辆网络的通信。严重的延迟会导致车辆丢失重要消息,从而导致操作失败和设置诊断故障代码(DTC)。此外,重要的安全和法规功能可能会延迟。例如,激活与后视摄像头相关联 ...
【技术保护点】
【技术特征摘要】
1.一种安全启动方法,所述方法包括以下步骤:使控制器正在处理的应用程序关机;由所述应用程序在关机时将启动模式设置为第一设置,以向启动加载程序指示在下次启动时,所述启动加载程序应认证所述应用程序;在所述控制器进入低功率状态之前重新启动所述启动加载程序;认证所述应用程序;设置认证代码;将所述认证代码存储在永久性存储器中;在所述启动加载程序处将所述启动模式设置为第二设置,以向所述启动加载程序指示在所述下次启动时,所述启动加载程序应启动所述应用程序;以及进入所述低功率状态。2.如权利要求1所述的方法,还包括以下步骤:在从所述低功率状态唤醒时,确定将启动模式变量设置为启动所述应用程序;在所述启动加载程序处解锁认证代码密钥;使用所述认证代码密钥访问所述认证代码;将所述认证代码与期望值进行比较;当所述认证代码与所述期望值匹配且所述启动模式处于所述第二设置时,使与所述应用程序相关联的所述认证代码无效,并锁定所述认证代码密钥;以及将控制从所述启动加载程序传递到所述应用程序。3.如权利要求2所述的方法,还包括以下步骤:当所述认证代码与所述期望值不匹配或所述启动模式处于所述第一设置时,重复以下步骤:认证所述应用程序;设置认证代码;将所述认证代码存储在永久性存储器中;在所述启动加载程序处设置所述启动模式变量,以向所述启动加载程序指示在所述下次启动时,所述启动加载程序应启动所述应用程序;以及进入所述低功率状态。4.如权利要求2所述的方法,还包括以下步骤:当所述认证代码与所述期望值不匹配或者所述启动模式处于所述第二设置时,进入恢复模式。5.一种安全启动系统,包括:控制器;只读存储器装置,所述只读存储器装置存储启动加载程序和至少一个应用程序,使用利用对装置唯一的随机化认证代码密钥加密的认证代码对所述应用程序进行认证;硬件安全模块,所述硬件安全模块在启动加载程序处存储所述随机化认证密钥;启动模式,所述启动模式具有:第一设置,所述第一设置由所述至少一个应用程序在关机时设置,所述第一设置向所述启动加载程序指示所述应用程序将在关机时进行认证;以及第二设置,所述第二设置在所述控制器进入低功率状态之前由所述启动加载程序设置,所述第二设置向所述启动加载程序指示将启动所述应用程序;并且
在关机时,在进入所述低功率状态之前,所述控制器被配置成执行所述启动加载程序中的指令以重新启动所述至少一个应用程序、认证所述至少一个应用程序、设置有效的认证代码并将所述启动模式设置为所述第二设置。6.如权利要求5所述的系统,其中在从所述低功率状态唤醒时,所述控制器被配置成执行所述启动加载程序中的指令以解锁所述随机化认证代码密钥,使用所述随机化认证代码密钥来确认所述认证代码是有效的,以及在将控制传递到所述至少一个应用程序之前,使所述认证代码无效并锁定所述随机化认证代码密钥。7...
【专利技术属性】
技术研发人员:DR罗加拉,
申请(专利权)人:哈曼国际工业有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。