本发明专利技术涉及一种用于在联网系统的多个系统部件(SK)中安全使用秘密资料(KM)的方法,所述系统部件配备有所述秘密资料(KM),其中,每个系统部件(SK)的寿命周期至少包括研发阶段和投用阶段。本发明专利技术方法的特点是,所有秘密资料(KM)至少间接被安全标记(M)为研发资料或投用资料;每个系统部件(KM)包括二进制状态标志(FLAG),该状态标志表示系统部件(SK)处于哪个阶段,并且该状态标志被保护以免非法篡改;每个系统部件(SK)通过确定功能(4)查明它处于哪个阶段,据此每个系统部件(SK)执行检查(6),在检查范围内将当前阶段与秘密资料(KM)的标记(M)相比较,其中,如果所述阶段和标记(M)不一致,则启动安全措施。则启动安全措施。则启动安全措施。
【技术实现步骤摘要】
【国外来华专利技术】用于安全使用秘密资料的方法
[0001]本专利技术涉及一种如权利要求1的前序部分所详细限定类型的用于在联网系统的多个系统部件中安全使用秘密资料的方法。
技术介绍
[0002]用于安全使用秘密资料的方法基本上致力于在联网系统的配备有秘密资料的系统部件的研发阶段中必须使用与在该系统部件的随后投用阶段中不同的秘密资料。这尤其但非排他地涉及所谓的车辆用CarIT安保领域。
[0003]现代车辆、但还有其它系统的特点是越来越多的联网。其中,车辆不仅与通用的系统例如万维网相连,也与专用的由车辆制造商或OEM运营的系统和服务器例如制造商自己的应用程序和制造商自己的通常也称为后端服务器的服务器相连。它们由制造商专门针对自身车队研发、投放市场并运营。所有这些一起也被称为车辆生态系统。
[0004]现在在实践中是这样的,即,因这种车辆生态系统内的这些系统部件之间的各种各样的通信关系而出现许多新型的接口和应用,其全都应该通过合适的加密方法例如像机制、协议等被保护。原则上从现有技术中知道的加密方法为此需要各种各样的秘密资料例如像非对称密钥对、对称密钥、证书、随机数等。所有这些相互协调并且在其在车辆生态系统中投入使用之前被加入所有参与系统部件中并且能够被其使用。秘密资料的提供、即所谓的配置例如在制造过程范围内进行。系统部件在此尤其包括安装在车辆中的控制设备,但也包括其它部件例如像安装在车辆中的应用程序、在智能手机上可用的OEM应用程序等等。
[0005]为了可靠防止能介入受保护的通信中,必然需要区分在研发阶段中所用的秘密资料和在投用阶段中、即在研发成品的真正使用中所用的秘密资料。用于研发阶段的秘密资料以下也被称为测试秘密资料。在研发阶段中应该只使用该测试秘密资料。即,投用秘密资料且在此尤其是机密的投用秘密资料必须在系统部件的整个寿命期间被防非法访问保护。这种保护在此应该在理想情况下通过遵守专门的保护过程和在各自研发部门和生产车间使用特殊保护机制而得以保证。但这在研发阶段中通常只被不充分保证,因为联网系统的各不同模块在研发阶段中大多没有或尚未被实施或实现。
[0006]因此,例如“安全产生所需的秘密资料”尚无法完全实现或被测试。从生成服务器、即所谓秘密资料服务器至系统制造商例如供货商的秘密资料安全传输或许尚未被确保。“安全输入秘密资料至系统部件”尚无法或还不能最终实现。或许还无法做到在系统部件内安全存储秘密资料,因为例如目标系统还没有安装硬件安全模块(HSM),尽管这在晚些时刻仍会被装入。“在系统内安全使用秘密资料”或许还无法实现,例如因为存在测试和调试排错所需的研发接口,其能读写访问整个系统且因此尤其也允许在研发阶段访问所安装的秘密资料。但它们在研发期间是必须要有的并且大多也在研发过程中通常可让所有参与人和/或公司使用。
[0007]这因此导致无法确保测试秘密资料不被篡改或读取。但在此是这样的,即,测试秘
密资料在其结构和形式方面与晚些所用的投用秘密资料相同。因此它也适合用在晚些运行中、即各自系统部件的投用阶段中。因此尤其重要的是,保护力度相对弱的且因此相当有可能致损的测试秘密资料在投用系统中不被误用。还严重的是,投用秘密资料在研发阶段中被传入系统部件。原本被归类为很安全的资料于是也可以被篡改或完全或部分被读取。因此它不再是机密的且无法被使用。如果错误始终未引起注意或被有意隐瞒,则晚些变换到投用阶段中的系统部件失去其保护。
[0008]在实践中是这样的,即,安全规定和指南由在该阶段中使用该系统部件的人来实现。故无法排除错误、过失还有故意篡改。因此原则上总是有以下危险,即,测试秘密资料留在已经切换到投用阶段中的系统部件内或者投用秘密资料被用在尚处于研发阶段的系统部件上。所有故意或无意在研发阶段中所用的秘密资料因有许多还开放的接口等而很有可能致损。所述危险最终导致更高的安全风险。这是已有做法的严重缺陷。
[0009]现在关于其它现有技术还可指明EP 0 735 722 B1。在此出版物中描述了一种用于生成、分配和管理密钥即秘密资料的密钥管理系统。多个单独的处理部件和域参与其中,它们通过中央计算机或服务器来相应管理以保证在联网系统的系统合作方之间的密钥安全交换。
技术实现思路
[0010]现在,本专利技术的任务是指明一种改善的用于在具有研发阶段和投用阶段的系统部件中使用秘密资料的方法,其尤其有效解决与安全性相关的上述缺点。
[0011]根据本专利技术,该任务通过一种具有权利要求1中的特征、在此特别是权利要求1的特征部分中的特征的方法来完成。该方法的有利设计和改进方案来自其从属权利要求。
[0012]根据本专利技术的方法用于在多个系统部件例如像控制设备、应用程序等中安全使用秘密资料。它们是联网系统的组成部分并且配备有秘密资料。这些系统部件在此具有至少包括研发阶段和投用阶段的寿命周期。为了现在可靠且没有人为失误危险地防止来自研发阶段的秘密资料被应用在投用阶段中或反之,本专利技术的方法现在规定多个步骤。它们包括所有秘密资料至少间接被安全标记为研发资料或投用资料。无法被直接标记的单独元素例如像密钥在此可以间接通过对应的证书来标记。这例如可以被密码保护。例如带有TEST和PROD的相应标记证明秘密资料为测试秘密资料或投用秘密资料。它可随时在与其保护对应的合适加密措施的辅助下被读取和验证。
[0013]现在是这样的,即,加密保护的标记本身不足以防止在处于投用阶段的真实系统部件中使用测试资料或者相反地阻止在研发阶段中使用投用秘密资料。虽然加密保护的标记可被用于将测试秘密资料与投用秘密资料明确区分开。但是,无法确保在进入投用阶段的系统部件中实际上存在所述资料。为了现在做到这一点而需要该系统部件可以自动且防篡改地识别它处于研发阶段还是投用阶段。
[0014]本专利技术的方法为此利用二进制状态标志,其表明研发阶段或投用阶段。它在所述系统部件中实现并被防非法篡改保护。通过这两项措施,人们现在能够做到:每个系统部件本身就能明确无疑地识别哪个秘密资料被载入或被提供给该部件用以载入。此外,该系统部件能够依据状态标志确定其自身状态,即,它知晓其是否处于研发阶段或投用阶段。
[0015]该系统部件于是在本专利技术的方法中执行检查,在检查范围内将当前阶段、即研发
阶段或投用阶段与秘密资料的标记相比较。如果不存在一致、即在当前阶段中错误的秘密资料被安装或被提供用于安装,则启动合适的安全措施以因此禁止在相应阶段中的就安全性而言危险的“错误”秘密资料使用。该安全措施在此能设计成各种各样的,前提是它们能够排除或至少指明不安全状态。随后还将进一步介绍安全措施的细节。
[0016]本专利技术的方法在此具有显著优点。它一方面确保系统部件在研发阶段中既不会故意、也不会不经意地以或许保护不充分的投用秘密资料来运行。该方法另一方面确保系统部件在投用阶段中既不会故意、也不会不经意地用潜在不安全的测试秘密资料运行。因此,该系统部件本身现在能够保证其以相应合适的秘密资料来安全运行。因此,在生产过程中无论是故意篡改、还是不经意的错误都不能本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于在联网系统的多个系统部件(SK)中安全使用秘密资料(KM)的方法,所述系统部件配备有所述秘密资料(KM),其中,每个所述系统部件(SK)的寿命周期至少包括研发阶段和投用阶段,其特征是,所有秘密资料(KM)至少间接被安全标记(M)为研发资料或投用资料,每个所述系统部件(KM)包括二进制状态标志(FLAG),该状态标志表示该系统部件(SK)处于哪个阶段,并且该状态标志被保护以免非法篡改,每个所述系统部件(SK)通过确定功能(4)查明它处于哪个阶段,据此每个所述系统部件(SK)执行检查(6),在该检查的范围内将当前阶段和所述秘密资料(KM)的标记(M)相比较,其中,如果所述阶段和所述标记(M)不一致,则启动安全措施。2.根据权利要求1所述的方法,其特征是,通过加密措施来保护该秘密资料(KM)的标记(M)和/或该状态标志(FLAG)。3.根据权利要求1或2所述的方法,其特征是,该状态标志(FLAG)通过在仅可一次性写入的存储器或硬件安全模块(HSM)中实现而被保护。4.根据权利要求1、2或3所述的方法,其特征是,所述一致检查是在所述秘密资料(KM)的各自使用之前或最好一次性针对全部秘密资料(KM)在该系统部件(SK)内进行的。5.根据权利要求1至4之一...
【专利技术属性】
技术研发人员:V,
申请(专利权)人:梅赛德斯奔驰集团股份公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。