車載ECU安全啟動密鑰的管理方法、裝置和電子設(shè)備制造方法及圖紙

本發(fā)明專利技術(shù)提供了一種車載ECU安全啟動密鑰的管理方法、裝置和電子設(shè)備，該方法中，利用ECU的微控制單元內(nèi)部的自身硬件安全模塊管理安全啟動密鑰和計算ECU安全固件的安全啟動憑證，不再需要KMS系統(tǒng)的參與，大大減少了安全啟動密鑰的時間管理成本、財力管理成本、物力成本和運算成本。

【技術(shù)實現(xiàn)步驟摘要】

本專利技術(shù)涉及車載電子控制單元的，尤其是涉及一種車載ecu安全啟動密鑰的管理方法、裝置和電子設(shè)備。

技術(shù)介紹

1、隨著智能化和網(wǎng)聯(lián)化技術(shù)的快速發(fā)展和應(yīng)用，汽車從孤立的電子機械系統(tǒng)逐漸演變成能與外界進行信息交互的智能系統(tǒng)，汽車網(wǎng)聯(lián)化衍生的信息安全問題隨之而來。與通信等行業(yè)的信息安全主要造成財產(chǎn)損失不同，作為高速行駛的載人和載物的交通工具，當(dāng)發(fā)生汽車信息安全問題，不僅會造成財產(chǎn)損失，還將嚴重威脅人身和公共安全。

2、在車載信息安全課題中，為了解決車載電子控制單元的ecu固件的真實性、完整性和可用性，一般采取安全啟動策略或方案。但在使用mcu作為主控的ecu中，一般為了固件啟動速度，在采取安全啟動策略時，一般采用對稱加解密技術(shù)(比如，校驗固件的cmac值)作為校驗固件真實性、完整性和可用性的技術(shù)方案。為了防止一臺設(shè)備(即ecu)的密鑰被泄露，全部設(shè)備密鑰都暴露的問題。對稱加解密技術(shù)，一般需要采取一機一密(一臺設(shè)備一把密鑰)策略。但一機一密策略會帶來生產(chǎn)、維護和密鑰管理的巨大資金和管理成本。比如，每臺設(shè)備的密鑰和設(shè)備uuid(唯一設(shè)備編號)都需要存儲在kms(key?manager?system，密鑰管理系統(tǒng))系統(tǒng)內(nèi)，并且需要多份備份以防止一套kms系統(tǒng)損壞全部車輛密鑰丟失問題。另外，作為使用周期長的產(chǎn)品，車輛內(nèi)部信息(比如，安全啟動密鑰)需要長期維護至少15年至20年。這樣，部署kms系統(tǒng)的云端服務(wù)器需要花費巨大維護成本來維持至少20年的密鑰跟蹤管理。

3、圖1示出了傳統(tǒng)ecu生產(chǎn)時，產(chǎn)線上的密鑰分發(fā)灌入ecu的示意圖?？梢钥吹剑谏a(chǎn)時，除了需要上位機進行密鑰灌入外，還需要上位機通過網(wǎng)絡(luò)，安全的與云端kms進行通信，以便傳輸一機一密key材料，并把每個ecu的uuid安全的傳輸給kms。kms記錄每一臺ecu的uuid和安全啟動密鑰(key)，并建立每把密鑰與uuid的聯(lián)系后，進行存儲管理。最終還會共享給其它備份云端kms進行備份存儲。

4、圖2是在車輛出廠或販賣后，ecu固件升級時，需要云端kms通過每臺ecu的uuid和對應(yīng)key計算出固件的cmac值后，將cmac值和新固件一起打包發(fā)送到車端。在云端kms計算得到的cmac值，作為ecu升級新固件后執(zhí)行新固件安全啟動的校驗憑證。以保證新固件升級后固件的真實性、完整性和可用性。

5、綜上，傳統(tǒng)的車載ecu的安全啟動密鑰的管理方法存在管理成本高的技術(shù)問題。

技術(shù)實現(xiàn)思路

1、有鑒于此，本專利技術(shù)的目的在于提供一種車載ecu安全啟動密鑰的管理方法、裝置和電子設(shè)備，以緩解現(xiàn)有的車載ecu的安全啟動密鑰的管理方法成本高的技術(shù)問題。

2、第一方面，本專利技術(shù)實施例提供了一種車載ecu安全啟動密鑰的管理方法，應(yīng)用于ecu的微控制單元，所述微控制單元包括：主機模塊和硬件安全模塊，所述方法包括：

3、在所述ecu生產(chǎn)時，所述主機模塊接收上位機發(fā)送的安全啟動密鑰派生命令，并將所述安全啟動密鑰派生命令發(fā)送至所述硬件安全模塊；

4、所述硬件安全模塊接收到所述安全啟動密鑰派生命令后，利用內(nèi)部的ecu?uuid和secure?key通過預(yù)設(shè)算法派生出安全啟動密鑰，并將所述安全啟動密鑰存儲至內(nèi)部的安全存儲器；

5、所述硬件安全模塊根據(jù)所述安全啟動密鑰和當(dāng)前ecu安全固件計算所述當(dāng)前ecu安全固件的安全啟動憑證，并將所述安全啟動憑證存儲至內(nèi)部的安全存儲器，以便根據(jù)所述安全啟動憑證對所述ecu安全啟動時對應(yīng)的ecu安全固件進行校驗，實現(xiàn)所述ecu的安全啟動。

6、進一步的，根據(jù)所述安全啟動憑證對所述ecu安全啟動時對應(yīng)的ecu安全固件進行校驗，包括：

7、當(dāng)所述ecu安全啟動時，所述硬件安全模塊根據(jù)所述安全啟動密鑰和所述ecu安全啟動時對應(yīng)的ecu安全固件計算待驗證安全啟動憑證，并將所述待驗證安全啟動憑證與所述安全啟動憑證進行對比，如果二者相同，則所述ecu安全啟動時對應(yīng)的ecu安全固件合法，所述ecu安全啟動成功。

8、進一步的，在所述硬件安全模塊將所述安全啟動密鑰存儲至內(nèi)部的安全存儲器之后，在所述硬件安全模塊根據(jù)所述安全啟動密鑰和當(dāng)前ecu安全固件計算所述當(dāng)前ecu安全固件的安全啟動憑證之前，所述方法還包括：

9、所述硬件安全模塊經(jīng)由所述主機模塊向所述上位機回復(fù)安全啟動密鑰派生完成的消息。

10、進一步的，所述方法還包括：

11、所述主機模塊接收云端ota服務(wù)器發(fā)送的新ecu安全固件，并根據(jù)所述新ecu安全固件進行升級，進而將升級完成的指令發(fā)送至所述硬件安全模塊；

12、所述硬件安全模塊接收到所述升級完成的指令后，根據(jù)所述安全啟動密鑰和所述新ecu安全固件計算所述新ecu安全固件的新安全啟動憑證，并將所述安全啟動憑證替換為所述新安全啟動憑證，進而根據(jù)所述新安全啟動憑證對所述ecu安全啟動時對應(yīng)的ecu安全固件進行校驗，實現(xiàn)所述ecu的安全啟動。

13、進一步的，所述主機模塊包括：產(chǎn)線代理單元和ota固件升級單元；

14、所述硬件安全模塊包括：安全啟動密鑰派生單元和安全啟動憑證計算單元。

15、進一步的，在將所述安全啟動憑證存儲至內(nèi)部的安全存儲器之后，在根據(jù)所述安全啟動憑證對所述ecu安全啟動時對應(yīng)的ecu安全固件進行校驗之前，所述方法還包括：

16、所述硬件安全模塊經(jīng)由所述主機模塊向所述上位機回復(fù)安全啟動憑證計算完成的消息。

17、第二方面，本專利技術(shù)實施例還提供了一種車載ecu安全啟動密鑰的管理裝置，應(yīng)用于ecu的微控制單元，所述微控制單元包括：主機模塊和硬件安全模塊，所述裝置包括：

18、在所述ecu生產(chǎn)時，所述主機模塊接收上位機發(fā)送的安全啟動密鑰派生命令，并將所述安全啟動密鑰派生命令發(fā)送至所述硬件安全模塊；

19、所述硬件安全模塊接收到所述安全啟動密鑰派生命令后，利用內(nèi)部的ecu?uuid和secure?key通過預(yù)設(shè)算法派生出安全啟動密鑰，并將所述安全啟動密鑰存儲至內(nèi)部的安全存儲器；

20、所述硬件安全模塊根據(jù)所述安全啟動密鑰和當(dāng)前ecu安全固件計算所述當(dāng)前ecu安全固件的安全啟動憑證，并將所述安全啟動憑證存儲至內(nèi)部的安全存儲器，以便根據(jù)所述安全啟動憑證對所述ecu安全啟動時對應(yīng)的ecu安全固件進行校驗，實現(xiàn)所述ecu的安全啟動。

21、進一步的，所述硬件安全模塊還用于：

22、當(dāng)所述ecu安全啟動時，所述硬件安全模塊根據(jù)所述安全啟動密鑰和所述ecu安全啟動時對應(yīng)的ecu安全固件計算待驗證安全啟動憑證，并將所述待驗證安全啟動憑證與所述安全啟動憑證進行對比，如果二者相同，則所述ecu安全啟動時對應(yīng)的ecu安全固件合法，所述ecu安全啟動成功。

23、第三方面，本專利技術(shù)實施例還提供了一種電子設(shè)備，包括存儲器、處理器及存儲在所述存儲器上并可在所述處理器上運行的計算機程序，所述處理器執(zhí)行所述計算機程本文檔來自技高網(wǎng)...

【技術(shù)保護點】

1.一種車載ECU安全啟動密鑰的管理方法，其特征在于，應(yīng)用于ECU的微控制單元，所述微控制單元包括：主機模塊和硬件安全模塊，所述方法包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，根據(jù)所述安全啟動憑證對所述ECU安全啟動時對應(yīng)的ECU安全固件進行校驗，包括：

3.根據(jù)權(quán)利要求1所述的方法，其特征在于，在所述硬件安全模塊將所述安全啟動密鑰存儲至內(nèi)部的安全存儲器之后，在所述硬件安全模塊根據(jù)所述安全啟動密鑰和當(dāng)前ECU安全固件計算所述當(dāng)前ECU安全固件的安全啟動憑證之前，所述方法還包括：

4.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述方法還包括：

5.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述主機模塊包括：產(chǎn)線代理單元和OTA固件升級單元；

6.根據(jù)權(quán)利要求1所述的方法，其特征在于，在將所述安全啟動憑證存儲至內(nèi)部的安全存儲器之后，在根據(jù)所述安全啟動憑證對所述ECU安全啟動時對應(yīng)的ECU安全固件進行校驗之前，所述方法還包括：

7.一種車載ECU安全啟動密鑰的管理裝置，其特征在于，應(yīng)用于ECU的微控制單元，所述微控制單元包括：主機模塊和硬件安全模塊，所述裝置包括：

8.根據(jù)權(quán)利要求7所述的裝置，其特征在于，所述硬件安全模塊還用于：

9.一種電子設(shè)備，包括存儲器、處理器及存儲在所述存儲器上并可在所述處理器上運行的計算機程序，其特征在于，所述處理器執(zhí)行所述計算機程序時實現(xiàn)上述權(quán)利要求1至6中任一項所述的方法的步驟。

10.一種計算機可讀存儲介質(zhì)，其特征在于，所述計算機可讀存儲介質(zhì)存儲有機器可運行指令，所述機器可運行指令在被處理器調(diào)用和運行時，所述機器可運行指令促使所述處理器運行上述權(quán)利要求1至6中任一項所述的方法。

...

【技術(shù)特征摘要】

1.一種車載ecu安全啟動密鑰的管理方法，其特征在于，應(yīng)用于ecu的微控制單元，所述微控制單元包括：主機模塊和硬件安全模塊，所述方法包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，根據(jù)所述安全啟動憑證對所述ecu安全啟動時對應(yīng)的ecu安全固件進行校驗，包括：

3.根據(jù)權(quán)利要求1所述的方法，其特征在于，在所述硬件安全模塊將所述安全啟動密鑰存儲至內(nèi)部的安全存儲器之后，在所述硬件安全模塊根據(jù)所述安全啟動密鑰和當(dāng)前ecu安全固件計算所述當(dāng)前ecu安全固件的安全啟動憑證之前，所述方法還包括：

4.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述方法還包括：

5.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述主機模塊包括：產(chǎn)線代理單元和ota固件升級單元；

6.根據(jù)權(quán)利要求1所述的方法，其特征在于，在將所述安全啟動憑證...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：尹曉光，曹斌，
申請(專利權(quán))人：東軟睿馳汽車技術(shù)沈陽有限公司，
類型：發(fā)明
國別省市：