CN106168899A - 用于更新嵌入式控制设备的方法和更新网关 - Google Patents

用于更新嵌入式控制设备的方法和更新网关 Download PDF

Info

Publication number
CN106168899A
CN106168899A CN201610329131.3A CN201610329131A CN106168899A CN 106168899 A CN106168899 A CN 106168899A CN 201610329131 A CN201610329131 A CN 201610329131A CN 106168899 A CN106168899 A CN 106168899A
Authority
CN
China
Prior art keywords
new gateway
new
control equipment
gateway
security module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610329131.3A
Other languages
English (en)
Other versions
CN106168899B (zh
Inventor
F.施图姆普夫
J.霍勒
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of CN106168899A publication Critical patent/CN106168899A/zh
Application granted granted Critical
Publication of CN106168899B publication Critical patent/CN106168899B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/082Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/70Software maintenance or management
    • G06F8/71Version control; Configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及用于更新嵌入式控制设备的方法和更新网关。用于更新嵌入式目标控制设备的方法的特征在于如下特征:-更新网关向硬件安全模块要求针对目标控制设备所确定的更新请求,-更新网关从硬件安全模块接收由所述硬件安全模块签名的更新请求,-更新网关安放到后台设备的基于更新网关的使用密码的身份的通信通道,-更新网关向后台设备发送更新请求,-除了所属的更新数据之外,更新网关通过通信通道从后台设备接收与所述更新请求相对应的、由后台设备签名的更新票据,-更新网关验证更新数据,-更新网关促使所述更新票据的验证,-更新网关检查所述验证的结果,-更新网关根据所述结果利用更新数据来更新目标控制设备。

Description

用于更新嵌入式控制设备的方法和更新网关
技术领域
本发明涉及一种用于更新嵌入式目标控制设备(电子控制单元,ECU(electroniccontrol unit))的方法。除此之外,本发明还涉及一种相对应的更新网关、一种相对应的计算机程序以及一种相对应的存储介质。
背景技术
在车辆电子学中被用于统一诊断服务(unified diagnostic services,UDS)的诊断通信协议根据国际标准ISO 14229被详细说明并且对于在该领域的本领域技术人员来说是熟悉的。这样的诊断服务允许在将现场总线系统的会话层(session layer)和应用层(application layer)包括在内的情况下接触和操纵(warten)各种各样的被嵌入在车辆中的控制设备。这样被装备的车辆通常具有用于所谓的板上诊断(On-Board-Diagnose)的诊断接口,所述诊断接口使得将被称作诊断测试器的客户端能够连接到现场总线系统上。借此,例如可能的是,查询各个控制设备的故障存储器或者利用新的固件更新这些控制设备。
US 8856536 B2公开了一种用于认证应该被下载到控制器上的固件的区段的方法。该方法包含:利用在第一值得信任的来源中的第一私钥来给固件或者固件的第一部分签名并且利用在第二值得信任的来源中的第二私钥来给固件或者固件的第二部分签名。此外,该方法还包含:在使用控制器中的第一公钥的情况下验证被签名的固件或者验证该固件的第一部分并且在使用控制器中的第二公钥的情况下验证该固件或者该固件的第二部分。此外,该方法还包含:如果固件或者固件的第一部分由控制器中的第一公钥验证并且固件或者固件的第二部分由控制器中的第二公钥验证,那么认证该固件。
发明内容
本发明提供了按照独立权利要求所述的一种用于更新嵌入式目标控制设备的方法、一种相对应的更新网关、一种相对应的计算机程序以及一种相对应的存储介质。
该方法使得被深度嵌入的控制设备可以在没有与原始设备制造商(originalequipment manufacturer,OEM)的后台设备(Backend)主动对话的情况下以安全的方式被更新。这被设法做到,其方式是数据在存在因特网连接期间被下载到更新网关上,并且当因为车辆例如位于地下停车场所以网络连接不可支配时,数据稍后被更新。
该解决方案的优点在于:车辆的后台设备对解锁控制设备的更新请求可以多次被使用,以便将确定的目标控制设备解锁并且紧接着将确定的目标控制设备更新。这通过基于票据的机制(ticketbasierter Mechanismus)来实现,在票据已经由值得信任的实体(如硬件安全模块(hardware security module,HSM))使用之后,所述机制使该票据无效。重要的方面也是:该票据以使用密码的方式(kryptographisch)被签名并且因此不能被伪造。
围绕硬件安全模块补充具有决定性意义的更新方法提供了一种信任锚(trustanchor),其中重要的功能可以完全安全地被实施。该信任锚存储必要的材料,以便将确定的控制设备解锁。这含有如下优点:为了更新确定的目标控制设备,(在诊断测试器上要考虑的)确定的硬件不是必要的。将用于解锁目标控制设备的使用密码的数据存储在硬件安全模块上比直接在更新网关上存放数据提供了更好的防止提取的保护。
通过在从属权利要求中所举出的措施,在独立权利要求中所说明的基本思路的有利的扩展方案和改进方案是可能的。这样可以设置:确定的车辆及其配置明确地通过使用密码的身份被表征,所述使用密码的身份安全地被保管在硬件安全模块之内。现在,更新网关可以利用所述明确的身份相对于车辆后台设备通过使用安全协议(如传输层安全协议(transport layer security,TLS))来被认证。
按照另一方面可以设置:在硬件安全模块与目标控制设备之间安放(anlegen)安全的通道。这使得尽管更新网关已经被攻击者危害也能够更新目标控制设备。这等于更新网关的在下面凿隧道(Untertunnelung, tunneling)。结果是:攻击者不能够以任意一种方式危害更新网关,并且不能够将控制设备解锁,以便实施攻击。
附图说明
本发明的实施例在附图中被示出并且在随后的描述中进一步被解释。
图1示出了更新过程的概况。
图2示出了硬件安全模块的架构。
图3示出了通过签名被保护的更新数据(Aktualisierungsdaten)。
图4示出了更新方法的时序图。
图5示出了用于下载更新数据的子方法的时序图。
图6示出了基于内部硬件安全模块的更新网关的框图。
图7示出了基于外部硬件安全模块的更新网关的框图。
具体实施方式
图1图解说明了具有决定性意义的更新过程,所述更新过程的部件在下文被描述。
后台设备37通常由原始设备制造商控制,并且借助于更新管理器(Updatemanager)35针对有OTA能力的车辆21的不同的控制设备来管理软件更新的数据库36。
后台设备37在用于更换装备29或者操纵31的更新生成33的范围内通过级别最高的(一级(tier-1))供应商或者例如在编程环境30中维护目标控制设备的软件的其它实体来获得针对确定的控制设备的更新32。
每当针对控制设备的新的更新数据完成了时,由后台设备37经过后台设备37的中央控制单元34的包括云(Cloud)38的控制通道给更新网关28报告:新的更新32完成了并且可能会被安装。
在固定的网络连接是可支配的期间,将数据下载(download)到更新网关28上可以或者在没有通知用户的情况下通过独立地下载数据进行,或者在用户协助的情况下进行,使得到更新网关28上的下载由用户开始。
在数据已经被下载到更新网关28上之后,该更新网关28可以将正确的目标控制设备57更新。如果车辆21有能力在没有用户的主动协助的情况下检测到完全安全的环境,那么这可以或者由用户触发或者在没有用户的主动协助的情况下被触发。
图2示出了在本发明的实施形式的范围内所使用的硬件安全模块40的基本架构。硬件安全模块40的核是得到保障的(abgesichert)主处理器23(中央处理单元CPU(centralprocessing unit)),安全关键的任务在所述主处理器23上被实施。此外,硬件安全模块40还具有它自己的随机存取存储器24(random access memory,RAM)、启动只读存储器(bootstrap read-only memory,boot ROM)、用于高级加密标准25(advanced encryptionstandard,AES)的密码处理器以及作为使用密码的外围设备的物理随机数发生器26(真随机数发生器(true random number generator),TRNG)。此外,该硬件安全模块还可以拥有如ECC或者RSA加速器之类的其它的使用密码的外围设备(未在该图中看到)。硬件安全模块40的部分同样是用于程序错误消除(调试(debugging))的接口27和芯片上(On-Chip)连接接口28(片上网络,NoC(network on a chip)),所述接口27和所述芯片上连接接口28被用于经过系统随机存取存储器52的共同被使用的区域51与主导计算机(主机(host))的可通过中断请求(interrupt request,IRQ)66实现的处理器核41的数据通信50并且被用于对闪速存储器42(闪速电可擦可编程只读存储器(flash electrically erasableprogrammable read-only memory,flash EEPROM))的访问。主导计算机核41是典型的适宜车辆的应用处理器,所述应用处理器提供了针对安全关键的任务的实施环境,这例如能够借助于附加的锁步核(Lockstep-Kern)被实现。闪速存储器42被在主导计算机核41与硬件安全模块40之间被分开。然而,如下实施方案也是可设想的:其中HSM和主机分别具有自己的存储区域。不仅硬件安全模块40的固件43而且主导计算机核41的那个固件(44)都与所属的数据46或47共同地被存放在共同被使用的闪速存储器42中。未在该图中被示出的存储器保护单元(memory protection unit,MPU)确保了:只同意硬件安全模块40访问被分派给它自身的、在闪速存储器42中被保障的(45)数据。在硬件安全模块40被开动期间,从启动只读存储器加载本地启动代码并且利用被存放在共同被使用的闪速存储器42中的代码来预先配置(vorbelegen)硬件安全模块40。
硬件安全模块40支持一种方法,以便借助于相对应的控制器48通过安全入口49消除硬件安全模块40的程序错误,这包括读出所有被存放在闪速存储器42中的数据和硬件安全模块40的除了内部AES密钥之外的内部数据在内。在已经遵照在硬件安全模块40与外部调试器之间的得到保障的、例如基于包括随机数(挑战(challenge))和随机应答(响应(response))在内的认证询问的认证协议之后,程序错误消除接口可以只在内部通过硬件安全模块40被激活。
车辆21中的每个更新网关28都被配备有硬件安全模块40,用于标识和认证确定的更新网关28的非对称的使用密码的身份被存放在所述硬件安全模块40上。所述使用密码的身份在车辆制造期间由原始设备制造商产生并且用确定的车辆配置来标识确定的更新网关28。在该上下文中,“车辆配置”要被理解为具有确定的被安装的软件版本的不同的控制设备的组(Satz)。
更新网关28的使用密码的身份包括如下组成部分:仅对于硬件安全模块40已知的秘密密钥,属于该秘密密钥的用于给数据加密或者验证签名的公钥和由值得信任的实体(如车辆制造商)签发的具有车辆21的其它的信息的公钥的证书Cert(),以便标识车辆21的配置、如所述车辆21的车身底盘编号、车辆平台或者控制设备配置。
除了使用密码的身份(、Cert())之外,更新网关28还存储公钥或者通过空中接口(空中下载OTA(over the air))被连上的后台设备37的证书。在下文,所述使用密码的身份用Cert()标明。
在车辆制造期间,更新网关28的使用密码的身份(、Cert())由车辆制造商安放或者产生并且安全地通过原始设备制造商的签名密钥而被证明,以便为得到保障的和值得信任的车辆配置担保。只要OTA后台设备37信任原始设备制造商的签名密钥,将Cert()传输给OTA后台设备37就不是强制必需的。
每当确定的目标控制设备57要以安全的方式被更新时,更新网关28和OTA后台设备37就安放相互被认证的、得到保障的、例如借助于传输层安全协议基于的通信通道。该通信通道确保了:两个实体已经按规定被认证并且使用密码的单次密钥(Einmalschluessel)(会话密钥(session key))被规定,以便传输更新内容。在得到保障的通信通道已经被安放之后,如在图3中所示出的更新数据55可以被传输。更新数据55包括文件头部54(header)、被加密或者被认证的新的更新数据55和使用密码的签名56,在所述文件头部54中存放有针对目标控制设备57的信息、如版本号、目标控制设备57的身份、使用密码的算法以及软件提供商的身份。更新数据55用签名来签名,所述签名为所提供的更新数据55的可靠性担保。只要目标控制设备57承认所述签名为有效的签名,所述签名就可以根据目标控制设备57和更新数据55由原始设备制造商、级别最高的供应商或者其它实体产生。足够长度和密钥大小的使用密码的签名合适;这样,比如考虑级别SHA-2的安全哈希算法(secure hash algorithm,SHA)结合根据李维斯特、萨莫尔和阿德曼的密码系统(RSA)在密钥大小为至少2048比特时的组合。可替换地,基于椭圆曲线P-256的数字签名算法(椭圆曲线数字签名算法,ECDSA(elliptic curve digital signaturealgorithm))可能会与SHA-2相组合。
在更新数据55已经完整地由更新网关28接收到之后,更新网关28借助一致性检查通过验证签名和可能的校验和来检查:数据是否已经按规定被接收到。如果数据已经按规定被接收到,那么可以开始目标控制设备57的更新过程。在可以更新目标控制设备57之前,更新网关28要求用于实施更新过程的票据τ。该票据τ确保了:目标控制设备57的每个更新过程都明确地由OTA后台设备37许可并且是可信任的并且值得信赖的更新请求。在不采用该票据τ的情况下,可能被危害的更新网关28可能会激活各种控制设备的安全入口49并且引起重大的损失,因为利用被开放的安全入口49可以将有危险的指令实施到控制设备上。这可能会造成针对车辆安全性具有高风险的严重的服务封锁(拒绝服务DoS(denial ofservice))。注意到:除了更新数据55之外,该票据τ可替换地可能会被寄送并且不必在独立的传输会话中被要求。该票据τ用签名密钥签名,所述签名密钥在后台设备37中被管理并且被用于认证有效的票据τ。公钥对于硬件安全模块40来说是已知的并且此外还可以用37来签名,以便将该公钥嵌入到证书等级中并且以便简化确证过程。票据τ的生效通过硬件安全模块40被确证为信任锚,因为该硬件安全模块40被锻炼来防止物理攻击,所以该硬件安全模块40被假定为是可靠的。该票据τ可以短暂地被存放在更新网关28上并且不必直接被使用。票据τ的部分是由硬件安全模块40所提出的随机数,所述随机数似乎确保了票据τ的“新鲜”。
票据τ包括票据τ的序列号serialNo、标明硬件安全模块40或者更新网关28的公钥、硬件安全模块40的随机数N1、目标控制设备57的信息IDECU、要更新的软件版本的信息SWVersion、对软件的比如以使用密码的指纹SWReferenz为构型的参阅、计数器或者票据τ的运行时间的另外的信息Laufzeit以及用对票据τ的使用密码的签名。
然后,该票据τ被递交给硬件安全模块40,所述硬件安全模块40可以激活目标控制设备的安全入口49。在下文适用如下假设:为了该目的,硬件安全模块40存储了所有的用于激活安全入口49的必需的信息、也就是说用于回答目标控制设备57的认证询问的必需的凭证(credentials)。要考虑的是比如种子(Seed)+密钥(Key)方法,或者基于非对称的或者对称的密码技术的花费更高的并且高级的机制,在所述机制中随机数直接被认证。用于激活确定的目标控制设备57的安全入口49的过程基本上按照ISO 14229被标准化。虽然如此,其它的、对于原始设备制造商或者级别最高的供应商来说特定的机制可以被证明是适当的。注意到:因为硬件安全模块40存储了完整的凭证并且因此要被保护以防未经授权的提取,所以高的保护级别适宜被存放在硬件安全模块40上的用于激活车辆21的安全入口49的使用密码的凭证。
完整的过程在图4中被示出。该过程包括如下步骤:
在步骤1中,更新网关28向硬件安全模块40要求确定的更新请求Request并且提供目标控制设备57的标识符IDECU
在步骤2中,硬件安全模块40通过用硬件安全模块40的确定的更新身份密钥给该请求签名来产生应答。该硬件安全模块40产生了如下消息:
在上面的等式中,AlgParam标明了算法参数、CommandParam标明了用于被实施的比如更新请求Request的指令的信息、N1是使用密码的随机数并且被用作用于确保“新鲜”的随机数,而且硬件安全模块40将Request交回给更新网关28。
在步骤3中,更新网关28例如借助于TLS基于、Cert()和Cert()安放了到后台设备37的得到保障的、相互被认证的通信通道。
在步骤4中,更新网关28将更新请求Request提供给后台设备37。
在步骤5中,后台设备37基于Cert()验证了Request并且确认,硬件安全模块40是否是保护针对安全入口49的必需的凭证的真正的硬件安全模块40。如果验证成功,那么后台设备37产生如下形式的票据τ:
在步骤6中,除了更新数据55之外,后台设备37还借助于得到保障的通信通道将τ提供给更新网关28。附加地,如果票据τ的证书Cert()已经没有被存放在硬件安全模块40或者更新网关28中,那么可以传送所述票据τ的证书Cert()。所述更新数据不间断地被存储在更新网关或者另一外部存储器上并且可以在步骤7中逐渐地被检查。步骤6一直进行,直到所有的数据已经被接收到并且正确地被传输。
在步骤7(对于该步骤7和紧接着的步骤来说,网络不是必要的(58))中,更新网关28通过循环冗余检查(cyclic redundancy check,CRC)确认,所述数据是否已经按规定被接收到,并且更新网关28执行更新数据55的一致性的检验和按规定的格式化。
在步骤8中,更新数据55的用于签名验证的签名被递交给硬件安全模块40。
在步骤9中,硬件安全模块40借助于后台设备37的公共信息Cert()和同样被提供给硬件安全模块40的指纹SWReferenz来验证更新数据55的签名。应注意的是:用于验证更新数据55的签名的公钥可替换地可以被存放在更新网关28上。在这种情况下,该密钥或者被递交给硬件安全模块40,或者所述签名验证直接在更新网关28上被执行,而且步骤8至10由更新网关28实施。
在步骤10中,更新网关28报告所述签名验证的结果。
在更新网关28开始具有步骤11至21的更新过程之前,更新网关28必须保证:车辆21在完全安全的环境下、即例如车辆21在停车状态下并且发动机被切断。例如,这可以通过窃听车辆总线和通过确定在完全安全的时间段内的启发方法来完成。精确的机制并不是本发明的主题。
在更新网关28已经确定车辆21在得到保障的环境中并且已经以任意一种方式(例如通过后台设备37的附加的消息或者用户的协助)在外部被促使实施更新过程之后,更新网关28邀请目标控制设备57激活安全入口49。安全入口49的激活按照ISO 14229被标准化并且通常包括将指令0x27发送给目标控制设备57。除了在ISO 14229中进一步被描述的安全入口49之外,还可以存在其它的用于激活安全入口49的机制。
在步骤12中,目标控制设备57通过发送起始值或者认证询问N1来应答,所述认证询问N1为了正确的回答而被递交给硬件安全模块40。
在步骤13中,除了票据τ和用于所要求的目标控制设备57的信息IDECU之外,起始值或者认证询问N1被递交给硬件安全模块40。
在步骤14中,硬件安全模块40确认,票据τ是否是有效的,也就是说如下的检查必须是成功的:票据τ的签名是有效的;N1的签名为票据τ的“新鲜”担保;IDECU与被存放在票据τ中的IDECU一致;对IDFG的检验得出:票据τ已经不通过另一更新网关28被重放(Wiedereinspielen);并且对所有的已经被使用一次的随机数(nonce)的内部的数据库的检验得出:N1还不曾被使用。注意:被使用一次的数可以通过严格单调的计数器被替换。在这种情况下,硬件安全模块40管理计数器的针对每个控制设备的列表并且针对每个新的票据请求增加计数器。这有使较旧的计数器值失去价值的作用。
如果这一切都成功了,那么票据τ由于将N1存放在硬件安全模块40的内部数据库中而失去价值,在所述内部数据库中存放有所有的失去价值的票据。要述及的是:如果由于重放引起的攻击(重放攻击(replay attack))可以安全地通过使用存储器中的同步进行的计数器被阻止,那么该数据库也可以在硬件安全模块40之外被管理。在票据τ已经失去价值之后,硬件安全模块40借助于被存放在硬件安全模块40之外的使用密码的凭证用正确的起始值或者正确的应答来进行应答。
在步骤15中,所述应答被提供给更新网关28。
在步骤16中,所述应答被提供给目标控制设备57。
在步骤17中,所述应答被验证。目标控制设备57激活安全入口49。
在步骤18中,应答(通常为0x67)被提供给更新网关28。
在步骤19中,控制设备内容可以在目标控制设备57上被播放(einspielen)。
在步骤20中的被详细说明的更新过程可以以不同的方式停止运转并且能从递交所有的数据和将它们直接写到闪速存储器42上以及在控制设备内部验证所接收到的新的内容的签名(在该内容已经完整地被接收到并且例如通过启动管理器(启动加载程序(bootstrap loader,bootloader))之后)达到直到逐块地验证每个所接收到的数据。
在实施新的内容之前,软件部件(例如启动管理器)在步骤21中验证被下载的软件的签名。如果对签名的检验是成功的,那么该启动管理器实施新的软件。
可替换地,可能的是:更新网关28定期地对更新32进行检查。在该上下文中,以得到保障的并且可靠的方式对更新数据55的下载和将更新数据55短暂地存放在更新网关28或者另一外部的存储器上与稍后的更新过程无关。最终得到的过程在图5中被示出。
除了步骤22之外,该实施形式与图4的那个实施形式类似。在步骤22之内,更新数据55安全地被存放在更新网关28上。为了确保这一点,存在不同的措施:例如通过使用消息认证码(message authentication code,MAC),所述消息认证码使用被存储在硬件安全模块40之内的密钥;和通过每隔一定时间或者每当其访问容器文件53(容器(container))时对所述完整度进行确认。但是,这也可以在目标控制设备57被更新之前通过例如除了更新数据55之外还存储签名并且验证数据以及重新执行一致性检查来进行。要注意到的是:在目标控制设备57上的容器文件53的签名要在安装之前重新被复查。
为了执行安全的OTA更新,如本发明的实施形式将该OTA更新作为主题的那样,更新网关28的两个不同的架构可以投入使用。第一实施形式采用内部的硬件安全模块40,第二实施形式使用外部的硬件安全模块40。同样可以采用在主导计算机的处理器核41上的附加的安全机制(例如得到保障的启动(bootstrap,boot))。另一第三实施形式不使用硬件安全模块40,而且所产生的票据τ没有被存储在更新网关28上。在这期间,因为票据τ可以随便地由更新网关28重放,所以该实施形式不能确保具有决定性意义的安全的OTA更新过程的安全性。
图6示出了第一可能的实施形式,所述第一可能的实施形式的架构立足于更新网关28的内部的硬件安全模块40。适当的环境的特征在于具有多个被用作主核61的CPU核以及用于嵌入式软件系统的主功能性的至少一个通过系统总线62相连的CPU核23的片上系统(system on a chip,SoC)59。在此,硬件安全模块40被实现为具有如下密钥元素的在同一芯片上的子系统:在SoC总线上与主核61进行通信,对在主核61上的功能性的HSM功能性(要考虑的是CPU、非易失性存储器(non-volatile memory)64、随机存取存储器24和外围设备63)、用于所述HSM功能性的分离的CPU核23以及被存放在非易失性存储器或者只读存储器之内的使用密码的凭证进行硬件屏蔽,所述分离的CPU核23使得在被保护的环境下使用软件功能性成为可能。在此,更新网关28的主要的软件功能性在主核61上被实施。
图7示出了第二可能的实施形式,所述第二可能的实施形式的架构基于更新网关28的外部的硬件安全模块40(考虑智能卡(Smartcard)、如芯片卡(通用集成电路卡(universal integrated circuit card,UICC))或者被保护的平台模块(可信平台模块(trusted platform module,TPM))那样的安全控制器)。适当的环境的特征在于具有多个被用作主核61的CPU核以及用于嵌入式软件系统的主功能性的至少一个CPU核23的片上系统。在此,硬件安全模块40被实现为具有如下密钥元素的外部的部件:通过外围设备接口65(比如串行外为设备接口65(serial peripheral interface,SPI)、内置集成电路(inter-integrated circuit,I2C)或者低引脚数(low pin count,LPC)的接口)与主核61进行通信,对在主核61上的功能性的HSM功能性(要考虑的是CPU、非易失性存储器64、随机存取存储器24和外围设备63)、用于所述HSM功能性的分离的CPU核23以及被存放在非易失性存储器或者只读存储器之内的使用密码的凭证进行硬件屏蔽,所述分离的CPU核23使得在被保护的环境下使用软件功能性成为可能。在此,更新网关28的主要的软件功能性在主核61上被实施。如验证票据τ或者安全性库那样的安全关键的软件在外部的硬件安全模块40上被实施。
第二实施形式基本上可以采用商业上通用的防止对硬件安全模块40的物理攻击的智能卡设备,尤其是与第一实施形式相比,很高的保护级适宜所述智能卡设备。在这期间,在硬件安全模块40与片上系统之间的通信通道可变得有问题,因为攻击者可以随便地干涉该通道。为了减少对该通信通道的攻击,应该会采用附加的使用密码的通道,使得数据通信仅以被加密的方式进行。该通道的实现是不重要的并且并不是本发明的主题。如果该通信通道被隧穿到目标控制设备57,那么在更新网关28与控制设备之间安放专用的加密通道被证明是不必要的。
在图4的步骤19中的消息同样可以被扩展,以便基于在ISO 14229中进一步被描述的得到保障的数据传输协议使得到控制设备上的被加密的数据通信成为可能。为了该目的,基于所交换的包括随机数在内的认证询问和共同被使用的使用密码的材料(为此参见步骤12至16)来安放被保护的通信通道。多个实施形式都是可能的。要注意的是:紧接着的协议也暗含地执行安全访问并且不必额外地实施步骤12至16。
在此,在一简单的实施形式中,非对称的密码系统会投入使用,在所述非对称的密码系统中,公钥被安放在控制设备中并且硬件安全模块40存储最终得到的、分别包含私钥和公钥的密钥对()。控制设备(例如基于随机数生成器或者随机性的另一来源)产生认证询问,通过计算SitzungSchlüssel=KDF(Elternschl,Nonce2)产生单次密钥SitzungSchlüssel,其中KDF标明了密钥导出函数(keyderivation function),而Elternschl标明了用于产生单次密钥SitzungSchlüssel的起始值,而且控制设备将如下消息发送给更新网关28的硬件安全模块40:
硬件安全模块40提取SitzungSchlüssel并且用如下消息通过利用AES对该消息进行加密来应答:
此外为了确保该消息的真实性,可能会在伽罗瓦计数器(Galois/counter mode,GCM)中使用AES,这导致了如下情况:除了该消息之外还有附加的GCM真实性标记被寄送。
如果控制设备成功地提取了该消息,那么用于交换数据的得到保障的使用密码的通道已经被安放。在随后的消息中的一个中,控制设备也递交Nonce3,以便提供针对硬件安全模块40的连接。此外,其它的消息还可以通过添加在NIST特别出版物800-38B中被详细说明的基于密码的消息认证码(cipher-based message authentication code,CMAC)或者通过直接应用AES-GCM而被进行完整性保护。
接着,所产生的单次密钥SitzungSchlüssel被更新网关28用于对目标控制设备57的数据进行加密。为此,硬件安全模块40必须将用于更新网关28的接口供支配,使得该硬件安全模块可以用所产生的单次密钥SitzungSchlüssel对数据进行加密可。应被注意的是:所述单次密钥SitzungSchlüssel不必被递交给更新网关28:
较高度发展的、基于对称的或者非对称的密钥的实施形式同样是可能的,在所述实施形式中控制设备和硬件安全模块40具有自己的使用密码的密钥。所述机制的详细阐明并不是本发明的主题。
在被转达的更新数据55与所设置的票据τ的直接的联系在图3中没有被给出期间,可设想的扩展方案在于:借助硬件安全模块40通过将更新内容递交给目标控制设备57来给更新网关28在下面凿隧道。这可以提高安全性,因为在这种情况下不可能用有效的票据τ将控制设备解锁并且提供不同于最初所要求的更新数据55。
在该实施形式中,借助硬件安全模块40来提供所有的数据。为了该目的,硬件安全模块40和目标控制设备57安放了使用密码的通道,以便给可能不可靠的或者甚至被危害的更新网关28在下面凿隧道。在更新数据55被传输给目标控制设备57之前,硬件安全模块40短暂地存储所述更新数据55,并且确认,除了更新数据55之外被传输的签名是否与票据τ的使用密码的指纹一致。如果比如在差分更新32(增量更新(delta update))的进程中仅仅小数据(比如数千字节(Kilobyte))被提供给目标控制设备57,那么这可以直接通过短暂地存放所有的数据并且将所述所有的数据与票据τ的例如按照SHA-2或者SHA-3所形成的使用密码的指纹或者CMAC相比较来完成。如果可比较地很多数据被传输,则该票据τ可能会被扩展,以便携带多个指纹,使得对指纹的复查可以一小段一小段地被划分。应注意到:所述数据仍然可以被下载到更新网关28上并且被存放在那里。只有当数据被传输给目标控制设备57时,所述数据才经过硬件安全模块40。
替换于在所述更新网关28(在那存放有用于执行对目标控制设备57的安全访问的凭证)之内采用硬件安全模块40,会可能的是将用于执行安全访问的凭证存放在后台设备37中。虽然所述凭证在这种情况下更好地被保护,但是直接将后台设备37内连到更新过程中或者至少内连到更新过程的初始化中与应用有关地可以被看作是不利的。因而要制造网络连接,以便执行目标控制设备57的更新。在这种场景中,在图4的步骤12中所产生的消息通过所安放的得到保障的通信通道被引导到后台设备37,而应答被传输返回给目标控制设备57。

Claims (11)

1.用于更新嵌入式目标控制设备(57)的方法(60),其特征在于如下特征:
- 更新网关(28)向硬件安全模块(40)要求(1)针对所述目标控制设备(57)所确定的更新请求,
- 所述更新网关(28)从所述硬件安全模块(40)接收(2)由所述硬件安全模块(40)签名的更新请求,
- 所述更新网关(28)安放(3)到后台设备(37)的基于所述更新网关(28)的使用密码的身份的通信通道,
- 所述更新网关(28)向所述后台设备(37)发送(4)所述更新请求,
- 除了所属的更新数据(55)之外,所述更新网关(28)通过所述通信通道从所述后台设备(37)接收(6)与所述更新请求相对应的、由所述后台设备(37)签名(5)的更新票据,
- 所述更新网关(28)验证(7)所述更新数据(55),
- 所述更新网关(28)促使(8)所述更新票据的验证(9),
- 所述更新网关(28)检查所述验证(9)的结果(10),并且
- 所述更新网关(28)根据所述结果利用所述更新数据(55)来更新(11-21)所述目标控制设备(57)。
2.根据权利要求1所述的方法(60),
其特征在于如下特征:
- 所述更新网关(28)向所述目标控制设备(57)要求(11)对所述目标控制设备(57)的安全访问权(35),
- 所述更新网关(28)从所述目标控制设备(57)接收(12)认证询问,
- 除了更新票据和目标控制设备(57)的标识符之外,所述更新网关(28)还将所述认证询问发送(13)给所述硬件安全模块(40),
- 所述更新网关(28)从所述硬件安全模块(40)接收(15)与所述更新票据的验证(9)有关的对所述认证询问的应答,
- 所述更新网关(28)向所述目标控制设备(57)发送(16)所述应答,
- 所述更新网关(28)从所述目标控制设备(57)获得(18)所述安全访问权(17),并且
- 所述更新网关(28)将所述更新数据(55)传输(19)给所述目标控制设备(57),使得所述目标控制设备(57)能够根据所述更新数据(55)来安装(20)和验证(21)软件。
3.根据权利要求1或2所述的方法(60),
其特征在于如下特征:
- 所述更新网关(28)以受保护的方式存放所述更新数据(55),并且
- 在存放(22)所述更新数据(55)之前进行:安放(3)所述通信通道、发送(4)所述更新请求、接收(6)所述更新数据(55)、促使(8)验证(9)并且检查结果(10)。
4.根据权利要求1至3之一所述的方法(60),
其特征在于:
所述使用密码的身份包括如下组成部分:
- 仅对于所述硬件安全模块(40)已知的秘密密钥,
- 属于所述秘密密钥的公钥,和
- 所述公钥的由值得信任的实体签发的、与所述更新网关(28)的系统环境有关的证书。
5.根据权利要求1至4之一所述的方法(60),
其特征在于如下特征:
- 所述更新数据(55)在容器文件(53)中同与所述目标控制设备(57)有关的文件头部(54)和使用密码的签名一起被接收(6),并且
- 所述更新数据(55)的验证(7)包括借助于后台设备(37)的证书对签名的检查。
6.根据权利要求1至5之一所述的方法(60),
其特征在于如下特征:
- 所述更新网关(28)存储所述更新票据的优选地由后台设备(37)签名的公钥,并且
- 所述更新票据的验证(9)通过所述更新网关(28)借助于所述公钥来进行。
7.根据权利要求1至5之一所述的方法(60),
其特征在于如下特征:
- 促使(8)所述验证(9)包括将所述更新票据至少部分地转交给所述硬件安全模块(40),并且
- 所述更新网关(28)从所述硬件安全模块(40)接收所述验证(9)的结果(10)。
8.根据权利要求5至7之一所述的方法(60),
其特征在于:
所述认证网关利用使用密码的通信通道被在下面凿隧道。
9.计算机程序,所述计算机程序被设立为实施根据权利要求1至8之一所述的方法(60)。
10.机器可读的存储介质,在所述机器可读的存储介质上存储有根据权利要求9所述的计算机程序。
11.更新网关(28),所述更新网关(28)被设立为实施根据权利要求1至8之一所述的方法(60)。
CN201610329131.3A 2015-05-19 2016-05-18 用于更新嵌入式控制设备的方法和更新网关 Active CN106168899B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102015209116.3A DE102015209116A1 (de) 2015-05-19 2015-05-19 Verfahren und Aktualisierungsgateway zum Aktualisieren eines eingebetteten Steuergerätes
DE102015209116.3 2015-05-19

Publications (2)

Publication Number Publication Date
CN106168899A true CN106168899A (zh) 2016-11-30
CN106168899B CN106168899B (zh) 2021-07-27

Family

ID=57231425

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610329131.3A Active CN106168899B (zh) 2015-05-19 2016-05-18 用于更新嵌入式控制设备的方法和更新网关

Country Status (3)

Country Link
US (1) US10244394B2 (zh)
CN (1) CN106168899B (zh)
DE (1) DE102015209116A1 (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108227579A (zh) * 2017-12-29 2018-06-29 深圳市元征科技股份有限公司 一种车辆诊断信息的处理方法及装置、电子设备
WO2018145547A1 (zh) * 2017-02-10 2018-08-16 华为技术有限公司 一种更新证书颁发者公钥的方法、相关设备及系统
WO2019104578A1 (en) * 2017-11-30 2019-06-06 Abb Schweiz Ag Update of gateway in substation
CN111279310A (zh) * 2017-10-24 2020-06-12 华为国际有限公司 一种车载设备升级方法及相关设备
CN111466094A (zh) * 2017-12-19 2020-07-28 美光科技公司 基于车辆私钥的车辆安全消息
CN111585947A (zh) * 2019-02-19 2020-08-25 罗伯特·博世有限公司 用于在第一控制器和第二控制器之间进行通信的方法和装置
TWI754219B (zh) * 2019-05-15 2022-02-01 美商惠普發展公司有限責任合夥企業 更新信號技術

Families Citing this family (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3056706A1 (en) 2015-02-16 2016-08-17 Honeywell International Inc. An approach for aftertreatment system modeling and model identification
EP3734375B1 (en) 2015-07-31 2023-04-05 Garrett Transportation I Inc. Quadratic program solver for mpc using variable ordering
US10272779B2 (en) 2015-08-05 2019-04-30 Garrett Transportation I Inc. System and approach for dynamic vehicle speed optimization
EP3416052B1 (en) * 2016-02-11 2020-11-25 Hyundai Motor Company Method and device for wirelessly updating software for vehicle
DE102016106871A1 (de) * 2016-04-13 2017-10-19 Infineon Technologies Ag Steuervorrichtung und Verfahren zum Sichern von Daten
US10124750B2 (en) 2016-04-26 2018-11-13 Honeywell International Inc. Vehicle security module system
US10728249B2 (en) 2016-04-26 2020-07-28 Garrett Transporation I Inc. Approach for securing a vehicle access port
US10036338B2 (en) 2016-04-26 2018-07-31 Honeywell International Inc. Condition-based powertrain control system
KR101831134B1 (ko) * 2016-05-17 2018-02-26 현대자동차주식회사 암호화를 적용한 제어기 보안 방법 및 그 장치
US10285051B2 (en) 2016-09-20 2019-05-07 2236008 Ontario Inc. In-vehicle networking
DE102016221108A1 (de) * 2016-10-26 2018-04-26 Volkswagen Aktiengesellschaft Verfahren zum Aktualisieren einer Software eines Steuergeräts eines Fahrzeugs
US11199120B2 (en) 2016-11-29 2021-12-14 Garrett Transportation I, Inc. Inferential flow sensor
CN106444568B (zh) * 2016-12-22 2019-05-07 北京汽车研究总院有限公司 一种数据更新方法及装置
DE102017202079A1 (de) * 2017-02-09 2018-08-09 Bayerische Motoren Werke Aktiengesellschaft System und Verfahren zur sicheren Ausführung von SW-Programmen in einem Fahrzeug
US10491392B2 (en) * 2017-03-01 2019-11-26 Ford Global Technologies, Llc End-to-end vehicle secure ECU unlock in a semi-offline environment
US10560263B2 (en) * 2017-03-24 2020-02-11 Micron Technology, Inc. Secure memory arrangements
US20180302228A1 (en) * 2017-04-04 2018-10-18 Calamp Corp. Systems and methods for secure communications in vehicle telematics systems
US11194562B2 (en) * 2017-05-19 2021-12-07 Blackberry Limited Method and system for hardware identification and software update control
US20190068361A1 (en) * 2017-08-30 2019-02-28 Ford Global Technologies, Llc In-vehicle group key distribution
DE102018214999A1 (de) 2017-10-13 2019-04-18 Robert Bosch Gmbh Vorrichtung zur Absicherung von Diagnosebefehlen an ein Steuergerät und entsprechendes Kraftfahrzeug
US11057213B2 (en) 2017-10-13 2021-07-06 Garrett Transportation I, Inc. Authentication system for electronic control unit on a bus
DE102017222879A1 (de) * 2017-12-15 2019-06-19 Volkswagen Aktiengesellschaft Vorrichtung, Verfahr, und Computerprogramm zum Freischalten von einer Fahrzeugkomponente, Fahrzeug-zu-Fahrzeug-Kommunikationsmodul
US10827355B2 (en) * 2017-12-28 2020-11-03 Auton, Inc. Systems and methods for reliably providing a control channel for communicating control information with automotive electronic control units
US11178158B2 (en) * 2018-01-29 2021-11-16 Nagravision S.A. Secure communication between in-vehicle electronic control units
IT201800002895A1 (it) * 2018-02-21 2019-08-21 Stmicroelectronics Application Gmbh Sistema di elaborazione, relativo circuito integrato, dispositivo e procedimento
DE102018203359A1 (de) 2018-03-07 2019-09-12 Robert Bosch Gmbh Verfahren und Vorrichtung zur Überwachung eines Steuerungssystems
DE102018211932A1 (de) * 2018-07-18 2020-01-23 Robert Bosch Gmbh Verfahren und Vorrichtung zum sicheren Start eines Gerätes
US10911949B2 (en) * 2018-07-23 2021-02-02 Byton Limited Systems and methods for a vehicle authenticating and enrolling a wireless device
WO2020032121A1 (ja) * 2018-08-10 2020-02-13 株式会社デンソー 車両用マスタ装置、更新データの検証方法及び更新データの検証プログラム
JP7003976B2 (ja) * 2018-08-10 2022-01-21 株式会社デンソー 車両用マスタ装置、更新データの検証方法及び更新データの検証プログラム
US10845800B2 (en) 2018-10-08 2020-11-24 Ford Global Technologies, Llc Vehicle software check
JP7143744B2 (ja) * 2018-12-03 2022-09-29 大日本印刷株式会社 機器統合システム及び更新管理システム
DE102018221954A1 (de) * 2018-12-17 2020-06-18 Robert Bosch Gmbh Recheneinrichtung und Verfahren zum Betreiben einer Recheneinrichtung
CN109787765B (zh) * 2019-02-27 2022-02-15 东南大学 一种用于水质在线监测的远程数据网关加密方法
CN110175037B (zh) * 2019-04-09 2020-09-18 北京深思数盾科技股份有限公司 对软锁许可所绑定的硬件指纹更新的方法及系统
EP3926500B1 (en) * 2019-04-17 2023-08-30 Huawei Technologies Co., Ltd. Device upgrade method and related device
JP7008661B2 (ja) * 2019-05-31 2022-01-25 本田技研工業株式会社 認証システム
JP2021002713A (ja) * 2019-06-20 2021-01-07 富士通株式会社 更新装置、鍵更新プログラム
US11650811B2 (en) * 2019-11-26 2023-05-16 Hyundai Autoever Corp. Method of updating control unit for vehicle
CN111147237A (zh) * 2019-12-26 2020-05-12 联陆智能交通科技(上海)有限公司 基于hsm增强的rsu信息保护方法、系统、介质及设备
DE102020207866A1 (de) 2020-06-25 2021-12-30 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Durchführen einer abgesicherten Startsequenz eines Steuergeräts
DE102020207861A1 (de) 2020-06-25 2021-12-30 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur Durchführung einer abgesicherten Startsequenz eines Steuergeräts
DE102020207863A1 (de) 2020-06-25 2021-12-30 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur sicheren Aktualisierung von Steuergeräten
DE102020207862A1 (de) 2020-06-25 2021-12-30 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zur sicheren Aktualisierung von Steuergeräten
JP7400744B2 (ja) * 2021-01-14 2023-12-19 トヨタ自動車株式会社 車両制御システム
EP4198788A1 (en) * 2021-12-14 2023-06-21 Bayerische Motoren Werke Aktiengesellschaft Method and device for checking an integrity of data stored in a non-volatile memory of an electronic control unit of an vehicle
DE102022001115B3 (de) 2022-03-31 2023-07-13 Mercedes-Benz Group AG System zur sicheren Datenübertragung zwischen einem Kraftfahrzeug und einem Clouddienst
US11954205B2 (en) * 2022-06-24 2024-04-09 GM Global Technology Operations LLC Security control for electronic control unit
DE102022209628A1 (de) * 2022-09-14 2024-03-14 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Überprüfen von Daten in einer Recheneinheit
CN116781263B (zh) * 2023-08-23 2023-10-20 合肥工业大学 车内ecu间身份认证及密钥自更新方法、可读存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060130033A1 (en) * 2003-03-03 2006-06-15 Snap-On Technologies, Inc. Method for providing a software module to an automotive vehicle control unit, and computer program for executing the method
CN102595213A (zh) * 2012-02-22 2012-07-18 深圳创维-Rgb电子有限公司 可信电视终端安全认证方法和系统
CN102638473A (zh) * 2012-05-04 2012-08-15 盛趣信息技术(上海)有限公司 一种用户数据授权方法、装置及系统
CN102984252A (zh) * 2012-11-26 2013-03-20 中国科学院信息工程研究所 一种基于动态跨域安全令牌的云资源访问控制方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8856536B2 (en) 2011-12-15 2014-10-07 GM Global Technology Operations LLC Method and apparatus for secure firmware download using diagnostic link connector (DLC) and OnStar system
US20140309853A1 (en) * 2013-04-15 2014-10-16 Flextronics Ap, Llc Vehicle diagnostics and roadside assistance
CN105637916B (zh) * 2013-08-21 2019-11-22 英特尔公司 对车辆数据的授权访问
US10140109B2 (en) * 2014-02-25 2018-11-27 Ford Global Technologies, Llc Silent in-vehicle software updates
EP3198908B1 (en) * 2014-09-26 2021-11-10 INTEL Corporation Securely exchanging vehicular sensor information

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060130033A1 (en) * 2003-03-03 2006-06-15 Snap-On Technologies, Inc. Method for providing a software module to an automotive vehicle control unit, and computer program for executing the method
CN102595213A (zh) * 2012-02-22 2012-07-18 深圳创维-Rgb电子有限公司 可信电视终端安全认证方法和系统
CN102638473A (zh) * 2012-05-04 2012-08-15 盛趣信息技术(上海)有限公司 一种用户数据授权方法、装置及系统
CN102984252A (zh) * 2012-11-26 2013-03-20 中国科学院信息工程研究所 一种基于动态跨域安全令牌的云资源访问控制方法

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11223950B2 (en) 2017-02-10 2022-01-11 Huawei Technologies Co., Ltd. Method and system for updating certificate issuer public key, and related device
WO2018145547A1 (zh) * 2017-02-10 2018-08-16 华为技术有限公司 一种更新证书颁发者公钥的方法、相关设备及系统
US11930360B2 (en) 2017-02-10 2024-03-12 Huawei Technologies Co., Ltd. Method and system for updating certificate issuer public key, and related device
US11601809B2 (en) 2017-02-10 2023-03-07 Huawei Technologies Co., Ltd. Method and system for updating certificate issuer public key, and related device
CN111279310A (zh) * 2017-10-24 2020-06-12 华为国际有限公司 一种车载设备升级方法及相关设备
CN111279310B (zh) * 2017-10-24 2023-09-12 华为国际有限公司 一种车载设备升级方法及相关设备
US11662991B2 (en) 2017-10-24 2023-05-30 Huawei International Pte. Ltd. Vehicle-mounted device upgrade method and related device
CN111433773B (zh) * 2017-11-30 2023-04-11 Abb瑞士股份有限公司 对变电站中的网关的更新
US11615189B2 (en) 2017-11-30 2023-03-28 Abb Schweiz Ag Update of gateway in substation
CN111433773A (zh) * 2017-11-30 2020-07-17 Abb瑞士股份有限公司 对变电站中的网关的更新
WO2019104578A1 (en) * 2017-11-30 2019-06-06 Abb Schweiz Ag Update of gateway in substation
US11618394B2 (en) 2017-12-19 2023-04-04 Micron Technology, Inc. Vehicle secure messages based on a vehicle private key
CN111466094A (zh) * 2017-12-19 2020-07-28 美光科技公司 基于车辆私钥的车辆安全消息
CN108227579A (zh) * 2017-12-29 2018-06-29 深圳市元征科技股份有限公司 一种车辆诊断信息的处理方法及装置、电子设备
CN111585947A (zh) * 2019-02-19 2020-08-25 罗伯特·博世有限公司 用于在第一控制器和第二控制器之间进行通信的方法和装置
TWI754219B (zh) * 2019-05-15 2022-02-01 美商惠普發展公司有限責任合夥企業 更新信號技術
US11755739B2 (en) 2019-05-15 2023-09-12 Hewlett-Packard Development Company, L.P. Update signals

Also Published As

Publication number Publication date
US20160344705A1 (en) 2016-11-24
US10244394B2 (en) 2019-03-26
CN106168899B (zh) 2021-07-27
DE102015209116A1 (de) 2016-11-24

Similar Documents

Publication Publication Date Title
CN106168899A (zh) 用于更新嵌入式控制设备的方法和更新网关
US11074371B2 (en) Systems, methods and apparatuses for secure storage of data using a security-enhancing chip
US10091183B2 (en) Method and decision gateway for authorizing a function of an embedded control unit
US20190253417A1 (en) Hardware device and authenticating method thereof
US20050166051A1 (en) System and method for certification of a secure platform
TW201732669A (zh) 受控的安全碼鑑認
US20150207626A1 (en) Communication secured between a medical device and its remote control device
TW201735578A (zh) 受控的安全碼認證
JP2004265026A (ja) アプリケーション認証システムと装置
CN109583162B (zh) 一种基于国密算法的身份识别方法及系统
CN110730159B (zh) 一种基于TrustZone的安全和可信混合系统启动方法
US11356256B2 (en) Secure vehicular part communication
WO2019051839A1 (zh) 一种数据处理的方法及装置
JP6387908B2 (ja) 認証システム
CN107172100A (zh) 一种本地安全更新bios镜像的方法及装置
CN111177709A (zh) 一种终端可信组件的执行方法、装置及计算机设备
US20220182248A1 (en) Secure startup method, controller, and control system
CN110730079B (zh) 基于可信计算模块的嵌入式系统安全启动和可信度量的系统
WO2013114649A1 (ja) 生体認証システム、生体認証装置、および、生体認証方法
WO2014187209A1 (zh) 一种备份电子签名令牌中信息的方法和系统
EP3663957A1 (en) Remote enforcement of device memory
US20240111853A1 (en) Certificate update method and certificate update system of device driving the same
Ciniglio et al. RSA Authentication for Secure Flashing of Automotive ECUs
JP2014178906A (ja) 認証方法、認証プログラムおよび認証装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant