本发明专利技术涉及一种用于对控制设备进行安全更新的方法,该控制设备包括:主机,该主机被设立为执行更新程序和至少一个应用程序;存储器,该存储器包含程序和数据;和硬件安全模块HSM,该硬件安全模块被设立为禁止和准许对存储器的写访问。该方法包括:启动主机和HSM;通过HSM来禁止对存储器的写访问;启动更新程序;通过更新程序,确定是否存在调用者对执行更新的请求;如果存在请求,则通过HSM来检查调用者的执行更新的授权,其中通过与该控制设备不同的确认单元来确认所述调用者的授权;而且如果在检查该授权的情况下查明调用者被授权,则通过HSM来准许该写访问并且通过更新程序来重写存储器的至少一部分。存储器的至少一部分。存储器的至少一部分。
【技术实现步骤摘要】
用于对控制设备进行安全更新的方法
[0001]本专利技术涉及一种用于对控制设备进行安全更新的方法以及一种用于执行该方法的计算单元和一种用于执行该方法的计算机程序。
技术介绍
[0002]在机器和车辆中使用可编程控制设备,以便控制这些机器和车辆或者还有这些机器和车辆的组件。例如,机动车可包含用于发动机控制、用于制动系统等等的控制设备。这些控制设备包括处理器,该处理器具有一个或者通常具有多个处理器内核(也简称为主机或主机系统),所述处理器内核执行存储在存储器中的应用程序,以便实现控制设备的控制功能。机器或车辆的制造商在生产机器或车辆时通常利用特定于制造商的应用程序来对在此使用的控制设备进行重新编程。同样,由于现代机器和车辆的耐久性,控制设备的控制功能必须能与不断变化的要求适配。即必须能够执行对控制设备的更新或重新编程,也就是说存储在存储器中的数据和程序应该能够被更改。
[0003]出于安全原因,必须防止:存储在控制设备或那里的微处理器或者微控制器的存储器中的应用软件或数据以未经允许的方式被更改。为此,可以针对存储器使用基于密码的写保护,该写保护可以通过硬件被取消和激活。只有当在输入密码之后取消了该存储器保护时,控制设备的存储器才能被更改或被重写,例如加载新软件或者将其它数据写到存储器中。密码针对每个控制设备被单独生成并且由所谓的硬件安全模块HSM来管理,该硬件安全模块将该密码存储在为此所设置的存储区中。如果应该执行更新,则由想要执行对所存储的软件或数据的更新或更改的人员或应用或者人员为此所使用的编程设备来要求并检验硬件安全模块的密码。通常并没有提供对控制设备的更新或重新编程过程的进一步保护。
技术实现思路
[0004]按照本专利技术,提出了具有专利独立权利要求的特征的一种用于对控制设备进行安全更新的方法以及一种用于执行该方法的计算单元和一种用于执行该方法的计算机程序。有利的设计方案是从属权利要求以及随后的描述的主题。
[0005]按照本专利技术,通过硬件安全模块一直阻止对存储器的写保护的取消,直至对调用者的授权的单独检验成功完成,该调用者调用控制设备的更新功能,也就是说该调用者请求执行更新。在此,调用者的授权由独立于该控制设备或与该控制设备不同的、尤其是车辆外部的确认单元来确认。
[0006]只有当在检查该授权的情况下查明调用者被授权时,才通过HSM来准许写访问和更新程序对存储器的至少一部分的重写。借此,增加了对控制设备的应用软件防止篡改的保护。
[0007]在检查该授权的情况下,HSM适宜地与(外部)确认单元直接或间接进行通信。由于调用者的授权由第三方来确认,所以该授权可以在该第三方处集中被指派和/或收回。这能
够实现对授权的简单的指派或撤销,尤其是当调用者应该被授权时对多个控制设备进行更新(比如汽车制造商的所有机动车的控制设备都在其中被更新的汽车修理厂)。各个控制设备或这些控制设备的相应的HSM不需要自己了解对授权的指派或撤销。确认单元可以是单个单元(比如在机动车的控制设备的情况下是汽车制造商的服务器,例如所谓的密钥管理系统(Key
‑
Management
‑
System))或者也可以在分布式系统中形成(比如以公钥基础设施(PKI)或者区块链为形式)。确认单元例如存储秘密密码或加密密钥,这些秘密密码或加密密钥在授权检查的情况下得以应用。尤其是,确认单元负责多个HSM或控制设备,尤其是甚至负责多个机器或车辆。
[0008]主机或主机系统包括处理器,该处理器被设立为执行软件或计算机程序(简称为程序),以便实现控制系统的功能。主机可包括其它元件,比如工作存储器(例如随机存取存储器,random access memory,RAM),通信接口,尤其是用于与存储器、HSM和外部设备通信的通信接口,和/或类似的元件。软件包含或存储在控制设备的非易失性存储器、例如闪速存储器、硬盘或SSD(solid state disk(固态硬盘))中。控制设备的存储器能重写。除非另有注明,术语“存储器”就应被理解为控制设备的存储器。该软件一方面可包括至少一个应用程序,该应用程序用于当该应用程序被主机执行时实现控制设备的控制功能,而该软件另一方面可包括更新程序(编程软件),该更新程序主要用于当该更新程序被主机执行时利用软件(程序数据)或数据来对存储器或该存储器的部分进行重写。也就是说,借助于更新程序可以对控制设备进行更新或重新编程,该更新程序在某种程度上可以说是用于对控制设备进行重新编程的编程软件。更新可涉及:程序,所述程序的运行决定控制设备的功能;和/或对于控制设备的功能来说所需的数据,比如初始化参数或程序参数。在更新或重新编程时,存储器或存储区完全或部分地利用更新数据(新程序、也就是说软件,和/或其它新数据)来被重写。如有必要,更新程序也许可执行其它行动,例如确定哪些程序/数据必须被更新,或者在更新之后促使对控制设备的重启。
[0009]硬件安全模块,简称HSM,提供加密功能,这些加密功能可被主机使用,以便保护安全关键的功能、比如多个控制设备彼此间的通信。为此,HSM尤其是管理秘密密码(密文)和/或加密密钥,并且优选地以硬件来实现加密方法。这些密钥由HSM存储在存储器的为此所设置的区域内和/或存储在HSM存储器、也就是说HSM自己的存储器中。HSM包括处理器(该处理器不同于主机处理器),并且可以与主机分开地实施或者与主机或主机处理器以及存储器一起集成在芯片中(那么,HSM和主机在某种程度上可以说通过该芯片上的不同的处理器内核来形成)。HSM被设立为:提供针对存储器的写保护,也就是说禁止或准许对存储器的写访问。只有当写访问被准许时,才能执行更新,该更新需要对存储器的重写。HSM还可被设立为检查存储区的完整性,以便检查包含在相应的存储区中的计算机程序或软件和/或所包含的数据的真实性。
[0010]调用者是想要执行更新并且向控制设备或更新程序提出相对应的请求、也就是说调用控制设备的更新功能的人员和/或设备。调用者可以是人员和/或设备。调用者例如可以是以操作员为形式的人员,该操作员对机器的控制设备进行更新。为此,该操作员可以使用设备,也就是说调用者包括人员和设备。在制造控制设备时或者在将控制设备嵌入到机器(例如机动车)中时,可以通过生产机器、也就是说通过设备进行对控制设备的自动更新。
[0011]优选地,对该授权的检查可包括质询
‑
响应认证(Aufforderung
‑
Antwort
‑
Authentifizierung;Challenge
‑
Response
‑
Authentication)。进一步优选地,在质询
‑
响应认证的情况下,通过HSM来提出质询并且通过确认单元来给出对该质询的响应。在此,该质询(也就是说问题)从HSM出发经由主机和调用者被传递给确认单元,并且该响应从确认单元出发经由调用者和主机被传递给HSM。这优选地——但不是必须——经加密地或以密码保护本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于对控制设备进行安全更新的方法,所述控制设备包括:主机,所述主机被设立为执行更新程序和至少一个应用程序;存储器,所述存储器包含程序和数据;和硬件安全模块HSM,所述硬件安全模块被设立为禁止和准许对所述存储器的写访问,所述方法包括:启动(10、14、50)所述主机和所述HSM;通过所述HSM来禁止(16、52)对所述存储器的写访问;启动(18、54)所述更新程序;通过所述更新程序,确定(56)是否存在调用者对执行更新的请求;如果存在请求,则通过所述HSM来检查(64)所述调用者的执行更新的授权;其中通过与所述控制设备不同的确认单元来确认所述调用者的授权;而且如果在检查所述授权的情况下查明所述调用者被授权,则通过所述HSM来准许(36、68)对所述存储器的写访问并且通过所述更新程序来重写(38、70)所述存储器的至少一部分。2.根据权利要求1所述的方法,其中对所述授权的检查包括质询
‑
响应认证。3.根据权利要求2所述的方法,其中通过所述HSM来提出所述质询,并且通过所述确认单元来给出对所述质询的响应。4.根据上述权利要...
【专利技术属性】
技术研发人员:A,
申请(专利权)人:罗伯特,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。