本发明专利技术涉及一种用于执行控制设备的安全启动序列的方法,该控制设备包括:主机,该主机被设立为执行程序;和硬件安全模块HSM,该硬件安全模块被设立为对应用程序进行认证。该方法包括:启动主机和HSM;通过主机来执行加载程序,其中加载程序存储在主机的不能重写的第一存储器中;通过HSM来检查至少一个应用程序的真实性,其中该应用程序存储在主机的能重写的第二存储器中;而且如果确认该至少一个应用程序的真实性,则通过主机来执行该至少一个应用程序。程序。程序。
【技术实现步骤摘要】
用于执行控制设备的安全启动序列的方法
[0001]本专利技术涉及一种用于执行用于控制设备的安全启动序列的方法以及一种用于执行该方法的计算单元和一种用于执行该方法的计算机程序。
技术介绍
[0002]在机器和车辆中使用可编程控制设备,以便控制这些机器和车辆或者还有这些机器和车辆的组件。例如,机动车可包含用于发动机控制、用于制动系统等等的控制设备。这些控制设备包括处理器,该处理器具有一个或者通常具有多个处理器内核(也简称为主机或主机系统),该处理器执行存储在存储器中的程序,以便实现控制设备的功能。
[0003]出于安全原因,可以规定:在通过控制设备来执行程序之前,检查该程序的真实性,以便防止执行被篡改的程序。该检查可以由所谓的硬件安全模块HSM来执行,该硬件安全模块提供功能性,以便保护由控制设备执行的程序和通信以防篡改。为此,HSM使用签名,这些签名借助于加密功能和(秘密)密钥来被计算。在接通控制设备之后,首先必须检查主机的加载程序的真实性,该加载程序尤其是加载至少一个应用程序。通过HSM对加载程序的真实性的该检查延长了控制设备的启动阶段。启动阶段的延长可能附加地由于如下情况而受到不利影响:HSM首先必须本身被初始化并且在其中对记载程序进行真实性检查的初始时间段期间以降低的时钟频率来运行。
技术实现思路
[0004]按照本专利技术,提出了具有专利独立权利要求的特征的一种用于执行控制设备的安全启动序列的方法以及一种用于执行该方法的计算单元和一种用于执行该方法的计算机程序。有利的设计方案是从属权利要求以及随后的描述的主题。
[0005]通过按照本专利技术的方法,避免了在时间关键的控制设备(例如发动机控制设备)的情况下的启动序列的延迟。这通过如下方式来被实现:通过硬件保护来保护中央加载软件或引导软件,因为包含加载程序的第一存储器不能重写,并且因而不能更改。由此,保证了加载程序的完整性和真实性。加载程序可以立即、在无需HSM检查的情况下被执行,使得能够在没有时间延迟的情况下实现安全启动序列。换言之,用于执行控制设备的安全启动序列的方法是安全的控制设备启动序列。
[0006]在这种情况下,术语“启动序列”或启动(Hochlauf)表示由控制设备在启动之后最初执行的步骤,直至应用程序运行为止,这些应用程序实现控制设备的实际控制功能性。“安全”应该是指:不可能将启动序列篡改为使得执行如下程序,所述程序以未经允许的方式来更改控制设备的功能性、也就是说以其中使用该控制设备的装置(例如机器或车辆)的制造商和/或用户所不允许的方式来更改控制设备的功能性,或者所述程序能够使攻击者获得对控制设备的掌控以及借此至少部分地获得对由该控制设备所控制的装置的掌控。
[0007]本专利技术的另一优点在于:虽然加载程序存储在第一、不能重写的存储器中,但是提供控制设备的实际功能性的应用程序存储在第二、能重写的存储器中,使得能够对这些应
用程序进行更新或重新编程。
[0008]主机或主机系统包括处理器,该处理器被设立为执行软件或计算机程序(简称为程序),以便实现控制设备的功能。主机可包括其它元件,比如易失性工作存储器(例如随机存取存储器,random access memory,RAM),非易失性存储器(这里是第一和第二存储器),通信接口,尤其是用于与存储器、HSM和外部设备通信的通信接口,和/或类似的元件。软件包含或存储在控制设备的非易失性存储器中。主机包括:不能重写的第一存储器,例如只一次性可写的存储器(OTP,One Time Programmable(一次性可编程));和能重写的第二存储器,例如闪速存储器、硬盘或SSD(solid state disk(固态硬盘))。OTP存储器可以被实现为熔丝技术或反熔丝技术,其中在编程时将电子电路的相关连接点分开(熔丝技术)或者连接(反熔丝技术);接着通过存储器的结构化的硬件特征来给出这样编程的程序的程序代码。也可以使用具有硬件保护的闪速存储器,该硬件保护阻止在最初的一次性编程之后进行重写。
[0009]术语“第一存储器”和“第二存储器”应被理解成主机的存储器;HSM的存储器被称作“HSM存储器”。
[0010]程序可包括:一个或多个应用程序,所述一个或多个应用程序被设立为当所述一个或多个应用程序由主机执行时实现控制设备的控制功能;加载程序,该加载程序被设立为当该加载程序由主机执行时执行初始化并且调用所述应用程序中的至少一个应用程序;和一个或多个更新程序(编程软件),所述一个或多个更新程序主要被设立为当所述一个或多个更新程序由主机执行时用软件(程序数据)或者数据来对第二存储器或该第二存储器的部分进行重写。应用程序优选地存储在第二存储器中。加载程序以及优选地还有更新程序存储在第一存储器中。
[0011]这些更新程序在某种程度上可以说是用于对控制设备进行重新编程的编程软件,这样可以对控制设备进行更新或重新编程。该更新可涉及:程序,所述程序的运行决定控制设备的功能;和/或对于控制设备的功能来说所需的数据,比如初始化参数或程序参数。在该更新或该重新编程的情况下,第二存储器或该第二存储器的区域完全或部分地利用更新数据(新程序、也就是说软件,和/或其它新数据)来被重写。如有必要,更新程序也许可执行其它行动,例如确定哪些程序/数据必须被更新,或者在更新之后促使对控制设备的重启。
[0012]硬件安全模块,简称HSM,提供加密功能,这些加密功能可被主机使用,以便保护安全关键的功能、比如多个控制设备彼此间的通信。为此,HSM尤其是管理秘密密码(密文)、签名和/或加密密钥,并且优选地以硬件来实现加密方法。这些密钥被HSM存储在HSM的存储器(HSM存储器)的为此所设置的区域中。HSM包括处理器(该处理器不同于主机处理器),并且可以与主机分开地实施或者与主机或主机处理器一起集成在芯片中(那么,HSM和主机例如通过该芯片上的不同的处理器内核来形成)。也可能的是:不同的存储器至少部分地彼此集成(尤其是第二存储器与HSM存储器集成)并且构造在具有主机处理器和/或HSM处理器的芯片上。HSM尤其被设立为检查第二存储器的存储区的完整性,以便检查包含在相应的存储区中的计算机程序或软件和/或所包含的数据的真实性。
[0013]在完整性检查的情况下,确定所要检查的存储区的内容是否相对于已知正确的内容而言未经更改。这优选地通过对签名的比较来实现,其中将由HSM管理且存储在HSM存储器中的对应于存储区的从中知道该存储区正确(未被篡改)的(先前)状态的签名(也就是说
参考签名)与该签名的新计算出的值进行比较,该值基于存储区的当前内容来被计算。如果新计算出的签名值与所存储的签名(参考签名)相同,则存储区的内容(就签名比较而言)未被更改,那么程序的真实性被确认。另一方面,如果新计算出的签名值与所存储的签名(参考签名)不相同,则存储区的内容(就签名比较而言)被更改,那么程序的真实性未被确认。
[0014]例如可以计算存储在存储区中的数据的校验值或哈希值,并且将该校验值或哈希值与在已知该存储区包含本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于执行控制设备(1)的安全启动序列的方法,所述控制设备包括:主机(2),所述主机被设立为执行程序;和硬件安全模块HSM(4),所述硬件安全模块被设立为对应用程序进行认证,所述方法包括:启动(26、28;52)所述主机和所述HSM;通过所述主机来执行(30;54)加载程序,其中所述加载程序存储在所述主机的不能重写的第一存储器(8)中;通过所述HSM来检查(36、38;56)至少一个应用程序的真实性,其中所述应用程序存储在所述主机的能重写的第二存储器(10)中;而且如果确认所述至少一个应用程序的真实性,则通过所述主机来执行(40;60)所述至少一个应用程序。2.根据权利要求1所述的方法,所述方法包括:如果未确认所述至少一个应用程序的真实性,则:执行(66)存储在所述第一存储器中的更新程序;而且通过所述更新程序,利用更新数据来对所述第二存储器的其中存储有所述至少一个应用程序的区域进行重写(72)。3.根据权利要求2所述的方法,所述方法包括:发送和/或输出(68)提供所述更新数据的请求;而且接...
【专利技术属性】
技术研发人员:A,
申请(专利权)人:罗伯特,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。