CN111414607A - 具有可个性化功能的安全元件与对应的管理方法 - Google Patents

具有可个性化功能的安全元件与对应的管理方法 Download PDF

Info

Publication number
CN111414607A
CN111414607A CN202010014947.3A CN202010014947A CN111414607A CN 111414607 A CN111414607 A CN 111414607A CN 202010014947 A CN202010014947 A CN 202010014947A CN 111414607 A CN111414607 A CN 111414607A
Authority
CN
China
Prior art keywords
instruction
secure element
function
operation code
volatile memory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010014947.3A
Other languages
English (en)
Other versions
CN111414607B (zh
Inventor
L·塔巴里耶斯
J-L·布兰克
Y·吉尤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
STMicroelectronics Rousset SAS
Original Assignee
STMicroelectronics Rousset SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by STMicroelectronics Rousset SAS filed Critical STMicroelectronics Rousset SAS
Publication of CN111414607A publication Critical patent/CN111414607A/zh
Application granted granted Critical
Publication of CN111414607B publication Critical patent/CN111414607B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/145Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being virtual, e.g. for virtual blocks or segments before a translation mechanism
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/30003Arrangements for executing specific machine instructions
    • G06F9/30007Arrangements for executing specific machine instructions to perform operations on data operands
    • G06F9/30029Logical and Boolean instructions, e.g. XOR, NOT
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/0604Improving or facilitating administration, e.g. storage management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0655Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
    • G06F3/0659Command handling arrangements, e.g. command buffers, queues, command scheduling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • G06F3/0679Non-volatile semiconductor memory device, e.g. flash memory, one time programmable memory [OTP]
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0019Control system elements or transfer functions
    • B60W2050/0026Lookup tables or parameter maps
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Human Computer Interaction (AREA)
  • Computer Hardware Design (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)
  • Microcomputers (AREA)

Abstract

本公开涉及具有可个性化功能的安全元件与对应的管理方法。安全元件包括非易失性存储器。非易失性存储器存储:第一指令,第一指令与预建立安全功能有关;以及至少一个第二指令,至少一个第二指令与至少一个其他个性化功能有关。处理单元执行从非易失性存储器获得的第一指令和至少一个第二指令之中的至少一个指令。

Description

具有可个性化功能的安全元件与对应的管理方法
优先权要求
本申请要求于2019年1月8日提交的法国专利申请No.1900143的优先权权益,该申请的全部内容在由法律允许的最大范围内通过引用的方式并入本文。
技术领域
实施例及其实现方式涉及安全元件,尤其是与规范TCG-TPM 2.0兼容的那些安全元件。符合规范TCG-TPM 2.0的此类安全元件大体上用术语“TPM”(可信平台模块)表示。
背景技术
安全元件通常是集成电路,其功能是在电子和数据处理系统中执行关键任务,诸如在启动时检查、或证明关键请求(例如通过密码处理)。
从软件的角度来看,通常经由使用专有密钥进行加密,使安全元件安全,而从硬件立场来看,通常经由反欺诈设备,使安全元件安全。
规范TCG-TPM 2.0已经由TCG(针对“可信计算组织”)联盟建立,用于规范化尤其是通过将加密密钥集成到硬件中的、专用于使系统安全的技术,该技术由首字母缩写TPM(针对“可信平台模块”)表示。该规范的2.0版本已经在2014年3月发布。
根据诸如SPI(针对“串行外围设备接口”)协议的通信协议,TPM规范(TPM2.0)描述了命令和预限定的功能的有限集,从而允许许多安全功能被实行。
TPM类型的安全元件通常在计算机和服务器中被用作值得信赖的源,例如用于在系统初始化期间验证计算机的完整性。
如今,移动电话和触摸屏平板计算机系统、连同汽车行业的电子系统越来越关注于对使得安全的需要。
实际上,尤其是汽车行业的电子系统和越来越大数目的电子控制单元各自包括例如用于执行应用的存储器和微控制器,并且形成独立网络的复杂系统。此外,汽车行业的电子系统几乎全部都连接到互联网和局部个人网络。
因此在这种上下文中,期望从由TPM类型的安全元件提供的保护设备获益。
此外,汽车行业的电子系统尤其具有特定约束,该特定约束通常比在其他领域中更加苛刻。
然而,尽管TPM规范的命令和功能的列表很长,但是期望具有对未限定的特定功能的访问,或者允许个性化的指令被添加。
发明内容
附加于例如由规范TCG-TPM 2.0提供的那些指令和功能,实施例和实现方式针对提供个性化指令和功能的安全元件,以便拓宽安全元件的作用的潜能,以及提供例如完全遵从TPM规范的要求的灵活解决方案。
根据第一方面,提供了用于管理安全元件的操作的方法,该方法包括:将第一指令加载到该安全元件的非易失性存储器中,第一指令与预建立安全功能有关;以及将至少一个第二指令加载到该非易失性存储器中,至少一个第二指令与至少一个其他个性化功能有关;以及来自第一指令和至少一个第二指令之中的一个指令的至少一次执行。
因此,与例如安全元件的硬编码的执行对比,根据该方面的方法尤其受益于:使用到非易失性存储器(例如,闪速存储器)中的加载,以及在提供预建立安全功能集合的同时的灵活性。
例如,个性化功能是由安全元件的用户(例如汽车制造者)建立的功能,该用户计划向其制造的某些交通工具装备此类安全元件,其中可以利用(例如,专用于该制造者的某些要求的)一个或多个个性化功能来个性化这些安全元件。
根据一个实施例,该方法包括:接收操作代码;将接收的操作代码即时转换为对应的指令,该对应的指令属于第一指令或至少一个第二指令;以及执行该对应的指令。
该实施例尤其允许达到关于速度的非常苛刻的约束。
有利地,该方法包括:在安全元件的每次启动时,将第一指令和至少一个第二指令从非易失性存储器加载到转换表;以及将相应的参考操作代码分配给第一指令和至少一个第二指令。该转换还包括:比较接收的操作代码与参考操作代码,以便标识待执行的对应的指令。
因此,经由从非易失性存储器到转换表的加载,任何类型的个性化功能可以被适配于安全元件,而不是必须适配安全元件的机制或修改安全元件的设计。
例如,接收的操作代码包括二进制数据,并且比较包括异或非逻辑操作,异或非逻辑操作用于即时标识对应于接收的操作代码的参考操作代码。当然,异或非逻辑操作在接收的操作代码的二进制数据和分配给指令的操作代码的二进制数据之间实行。
该实施例尤其允许满足关于速度的非常苛刻的约束,该标识花费一次逻辑运算的时间,这是最小的。
该方法可以包括:在安全元件的输入/输出接口上,接收输入控制信号,该输入控制信号包括接收的操作代码。
根据一个实施例,仅在安全元件的生产阶段期间,进行到非易失性存储器中的加载一次。针对该目的,存储器区域可以针对制造者保留,使得在生产阶段之外不可访问硬件。
根据一个实施例,预建立的安全功能形成了规范“TCG-TPM 2.0”的命令和功能性的库的一部分。
根据一个实施例,至少一个其他个性化功能包括:由预建立的安全功能所不提供的功能,或者改善或个性化预建立的安全功能之一的执行的补充功能。
根据一个实施例,该方法还包括生成至少一个控制信号,该至少一个控制信号被设计为控制至少一次执行。
该方法有利地旨在应用于汽车类型的交通工具,并且至少一个控制信号的生成来自被并入到交通工具中的以下电子控制单元中的至少一个电子控制单元:远程信息处理控制单元、网络间网关单元、驾驶辅助单元。
根据另一个方面,提供了安全元件,其包括:非易失性存储器,被配置用于存储与预建立的安全功能有关的第一指令,并且存储与至少一个其他个性化功能有关的至少一个第二指令;以及处理单元,被配置用于执行来自第一指令和至少一个第二指令之中的至少一个指令。
根据一个实施例,安全元件能够接收操作代码,并且包括转换表,转换表被配置用于将接收的操作代码即时转换为对应的指令,该对应的指令属于第一指令或至少一个第二指令,处理单元被配置用于执行该对应的指令。
有利地,安全元件被配置用于:在安全元件的每次启动时,从非易失性存储器加载第一指令和至少一个第二指令;并且将相应的参考操作代码分配给第一指令和至少一个第二指令。转换表还被配置用于比较接收的操作代码与参考操作代码,以便标识待执行的对应的指令。
例如,接收的操作代码包括二进制数据,并且转换表包括异或非逻辑门,异或非逻辑门用于即时标识与接收到的操作代码相对应的参考操作代码。
例如,安全元件包括输入/输出接口,该输入/输出接口被设计为与电子控制单元连接,并且在输入/输出接口上接收输入控制信号,该输入控制信号包括接收的操作代码。
根据一个实施例,非易失性存储器被配置,以便仅在用于生产安全元件的阶段期间被写入一次。
根据一个实施例,预建立的安全功能形成规范“TCG-TPM 2.0”的命令和功能性的库的一部分。
根据一个实施例,至少一个其他个性化功能包括:由预建立的安全功能所不提供的功能,或者改善或个性化预建立的安全功能之一的执行的补充功能。
还提供了一种系统,其包括:诸如前文所限定的至少一个安全元件;以及至少一个电子控制单元,该至少一个电子控制单元被配置用于生成控制信号,控制信号旨在控制至少一个指令的执行。
一种汽车类型的交通工具可以有利地包括此类系统,并且至少一个电子控制单元包括以下单元中的至少一个单元:远程信息处理控制单元、网络间网关单元、驾驶辅助单元。
附图说明
在查阅对实施例及其实现方式的详细描述时,本发明的其他优势和特征将变得显而易见,实施例及其实现方式绝不是限制性的,并且根据附图,其中:
图1图示了安全元件的一个示例性实施例;
图2图示了允许利用有限的资源快速执行的安全元件的一个示例性实施例;
图3图示了安全元件的查找表的一个示例性实施例;
图4图示了包含安全元件的集成电路的一个示例;
图5图示了电子系统的一个示例;以及
图6图示了方法(尤其是用于将指令加载到存储器中的步骤)的一种示例性实现方式。
具体实施方式
图1示出了安全元件SEC的一个示例性实施例,该安全元件SEC得益于其功能的使用中的灵活性,而该安全元件SEC同时遵从规范化的安全标准。
与通常被硬编码并且因此不可能个性化的常规安全元件对比,安全元件SEC包括非易失性存储器MEM,非易失性存储器MEM包含与安全元件SEC的功能性有关的指令。
因此,非易失性存储器MEM被配置用于存储第一指令ins_sec和第二指令ins_pers(或至少一个第二指令ins_pers)。
第一指令ins_sec允许预建立的安全功能FS被执行,并且第二指令ins_pers允许其他个性化功能FP被执行。
其他个性化功能FP由用户UTL(换言之,例如旨在使用安全元件SEC的客户)建立。
出于安全原因,第一指令和第二指令被写入到存储器MEM的保留区域RSV中,保留区域RSV例如为:在安全元件SEC的生产阶段(诸如,电子晶片分类EWS)之外,不允许其写入访问的区域。
就此而言,参考图6。
图6示出了方法(尤其是用于将指令加载到存储器MEM中的步骤)的一种示例性实现方式。
在安全元件的制造阶段PRFB结束时(安全元件处于被制造在硅晶片上的集成电路的形式),用于根据电表征对晶片分类的阶段EWS通常被实现。在生产的该阶段EWS期间,电测试被实行,并且符合的晶片CF与不符合的晶片NCF被分离。在此时,单次写入操作WR_MEM被实行,尤其到存储器MEM的保留部分RSV中,并且潜在地到非易失性只读存储器中。该单次写入操作允许用于预建立的安全功能(例如根据规范)的第一指令STDFS被加载,并且允许用于个性化功能的第二指令CDC/FP被加载。
例如,最终用户UTL可以将第二指令FP的源代码供应给安全元件的制造者FAB。最终用户UTL还可以供应规格CDC,该规格CDC包括限定至少一个个性化功能FP的标准,然后制造者FAB负责根据规格CDC设计针对第二指令FP的源代码。
因此,非易失性存储器MEM被有利地配置用于:仅在安全元件SEC的制造EWS期间,写入WR_MEM一次。
随后,最终用户UTL从安全元件获益CIUTL,该安全元件根据最终用户自己的个性化CDC/FP、并且潜在地符合规范STDFS。
再次参考图1。
最后,安全元件SEC包括处理单元CPU,处理单元CPU被配置用于执行第一指令ins_sec和第二指令ins_pers。
尤其是,安全元件SEC可以是从外围设备类型的,对此,第一指令ins_sec和第二指令ins_pers的执行由主外围设备μC控制,主外围设备μC通常包括主微控制器。
针对该目的,安全元件SEC可以包括输入/输出接口GPIO,输入/输出接口GPIO被设计为与主外围设备μC连接。
例如,主外围设备μC是用于汽车行业的电子系统的电子控制单元。
主外围设备μC被配置用于生成控制从设备的控制信号,因此该控制信号在输入/输出接口GPIO上被接收。控制信号可以包括操作代码opc,操作代码opc通常是表示已经预建立的给定功能的一系列二进制数据。
例如,输入/输出接口GPIO和用于主从外围设备的控制信号可以对应于(常规的和本身已知的)SPI(针对“串行外围设备接口”)协议的应用。
此外,安全元件SEC达到规范化的安全标准,诸如例如针对硬件的EAL4+、EAL5+证明、或针对软件的TCG-TPM类型的规范。
因此,预建立的安全功能FS尤其可以被包括在规范“TCG-TPM2.0”的命令和功能性的库中,并且可以遵从该规范的标准。
此外,由用户UTL个性化的至少一个其他功能FP可以包括不被包括在属于给定规范的功能的库中的功能,或者至少不由被加载到存储器MEM中的预建立的安全功能FS提供的功能。
由用户UTL个性化的至少一个其他功能FP还可以包括补充功能,该补充功能用于改善或个性化预建立的安全功能FS之一的执行。
当然将确保的是,个性化功能FP仍然根据规范的要求。就此而言,个性化功能FP可以例如被提供,其使用遵从规范化标准的安全机制,但是以其不被包括在给定规范的命令和功能性的库中的方式来提供。
此外,如前文所述的,安全元件SEC可以被应用于汽车行业的电子系统。在这种情况下,其他个性化功能FP由来自汽车行业的用户生成,例如用于引入他们选择的数据证明系统、或实现预建立的安全功能FS(但以最优的方式适应其电子系统)、要不然允许以与由给定规范提供的方式不同的方式进行安全更新。
图2图示了允许利用有限的资源快速执行的安全元件SEC的一个示例性实施例。这可以对应于与汽车行业的电子系统有关的约束。
根据该示例的安全元件SEC包括转换表LUT(通常称为“查找表”)。
查找表LUT被配置用于将接收到的操作代码opc即时转换成:在第一指令ins_sec1、ins_sec2、……、ins_secN当中对应的指令,以及在第二指令ins_pers1、……、in_persM当中对应的指令。
例如,操作代码在输入/输出接口GPIO上接收。
紧接在该转换之后,然后处理单元CPU执行与所接收的操作代码相对应的指令。
本文所使用的术语“即时转换”被理解为意指并且被限制为:将接收到的操作代码opc动态转译为可执行机器语言(此处,第一指令和第二指令)。换言之,在操作代码opc的接收的上游编译期间不进行转译,而在接收操作代码opc的时候同时进行转译,并且该转译有利地没有延迟。
在安全元件SEC的每次启动或上电复位时,初始化查找表LUT。
查找表LUT的初始化包括:在一方面,从非易失性存储器MEM加载第一指令ins_sec1-ins_sec_N和第二指令ins_pers1-ins_persM;在另一方面,但同时地,将相应的参考操作代码opc_1-opc_N和opc_N+1-opc_M分配给第一指令ins_sec1-ins_sec_N和第二指令ins_pers1-ins_persM。
接下来,第一指令将由ins_sec表示,第二指令将由ins_pers表示,并且参考操作代码由opc_j表示。
因此,即时转换可以包括:比较接收到的操作代码opc与参考操作代码opc_j,以便标识待执行的对应的指令。
被分别分配给第一指令ins_sec和第二指令ins_pers的操作代码opc_j最初被包含在非易失性存储器MEM中。
例如,在第一指令ins_sec和第二指令ins_pers的加载期间,操作代码opc_j作为数据值被写入到存储器MEM中。
根据一种有利的备选方案,存储器MEM中的存储器位置最初与相应的操作代码opc_j相关联,并且指令ins_sec、ins_pers的存储器位置的地址允许相应的操作代码opc_j被重新转录。
该备选方案还允许第一指令和第二指令从非易失性存储器MEM的加载被优化。这是因为:由于操作代码opc_j与存储器MEM的存储器位置相关联,查找表LUT可以包括指向这些存储器位置的指针(指针可以是硬编码的),允许查找表LUT立即被加载有从而根据对应的操作代码opc_j自动被分配的指令。
例如为了在未来规范发展的情况下允许引入新的预建立功能,查找表LUT还可以包括留空的位置,而不是必须一定要修改实现新的预建立功能的技术。
图3示出了关于图2描述的查找表LUT的类型的、安全元件SEC的查找表LUT的一个示例性实施例。
在该示例中,查找表LUT包括异或非(exclusive NOR)逻辑门(XNOR),用于利用操作代码opcj_i,来即时标识接收到的操作代码opc,操作代码opcj_i被分别分配给第一指令ins_sec和第二指令ins_pers。
所接收的操作代码opc包括二进制数据(即,“比特”),并且例如来自命令COM,命令COM根据SPI类型的通信被传送、由输入/输出接口GPIO_SPI接收。根据SPI协议的命令COM包含报头H、操作代码opc和数据dat。
异或非逻辑门“XNOR”允许在两个输入比特之间进行比较,如果输入比特相等则输出逻辑数据值“真”(即,“1”比特),并且如果输入数据不相等则输出逻辑值“假”(即,“0”比特)。异或(exclusive OR)“XOR”门产生相同的效果,其中值在输出处被反转。
并行地将接收到的操作代码opc的比特与查找表LUT的所有操作代码opc_1、opc_2、……、opc_k、……、opc_N+M的比特一对一比较。
这有利地允许对应于所接收的操作代码opc的参考操作代码opc_k被瞬间地标识(换言之,在触发XNOR门所需要的时间之后)。
然后,在异或非门XNOR的输出处的逻辑值“真”允许用于由处理单元CPU执行指令ins_k的命令,该指令根据经标识的操作代码opc_k被分配。
例如,专用寄存器REG_opc可以包含并供应查找表LUT的操作代码opc_1-opc_N+M的比特,并且另一个专用寄存器REG_ins可以包含并供应查找表LUT的指令ins_sec1-ins_persM。
图4图示了集成电路CI的一个示例,该集成电路CI包含安全元件SEC,该安全元件SEC是先前关于图1至图3描述的一个示例的类型的。通常,这种类型的集成电路CI也被表示为“安全元件”,并且包括附加于前述那些功能性的功能性。
集成电路CI包括通用输入/输出接口GPIO(换言之,被设计为与集成电路CI外部的外围设备通信的连接元件),以及常规电源电压Vdd和参考电压GND施加端子。
集成电路CI包括能够解码根据SPI协议传送的信息的串行外围设备接口INTF。接口INTF的输入被连接到输入/输出GPIO,并且接口INTF的输出被连接到安全元件SEC的查找表LUT,以便将接收到的操作代码即时转换成对应的指令。
具有各种功能的模块Ma、Mb、Mc、……、My、Mz经由总线APB(换言之,“高级外围设备总线”类型的总线)在集成电路CI内通信。
Ma-Mz模块可以是以下类型的:时钟信号生成器、计时器、用于各种协议的接口、随机数生成器、用于密码计算的硬件加速器、以及其他类型。
总线桥APB/AHB允许在总线APB和(例如,“高级高性能总线”类型的)第一总线系统Systbus之间的通信。
易失性存储器RAM可以在第一总线系统Systbus之上通信。
集成电路CI的安全处理单元CPU以安全的方式将命令发送给第一总线系统Systbus和第二总线系统IDbus。先前关于图1至图3描述的处理单元CPU由集成电路CI的该安全处理单元CPU形成。
安全元件的非易失性存储器MEM经由第二总线系统IDbus通信。例如,非易失性存储器MEM是“闪速”存储器类型的。
非易失性只读存储器ROM经由专用防火墙FWROM也在第二总线系统IDbus之上通信。
因此,在查找表LUT的初始化中,在集成电路的每次启动复位期间,从非易失性存储器MEM的第一指令和第二指令的加载由安全处理单元CPU控制,以采用以下路径:第二总线系统IDbus、安全处理单元CPU、第一总线系统Systbus、总线桥AHB/APB、以及最后经由总线APB的查找表LUT。
一旦指令已经被加载到查找表LUT中,将会将对应的操作代码与进来的SPI数据流进行即时比较。
图5示出了被并入到汽车类型的交通工具VHCL中的汽车行业的电子系统SYS的一个示例。
该系统包括几个电子控制单元ECU,尤其是:远程信息处理控制单元TCU、网络间网关单元GTW、驾驶辅助单元ADAS。
远程信息处理控制单元TCU包括:全球定位检测和传感器系统GNSS;调制解调器MDM,其被配置用于利用电话电信网络进行通信;以及微控制器类型的控制单元μC。远程信息处理控制单元TCU还可以包括远程更新元件(未示出),例如,远程更新元件能够从远程服务器下载固件更新。
另一方面,远程信息处理控制单元TCU也可以被用于集中化交通工具的仪表板功能和多媒体(尤其是音频和视频)功能。
网络间网关单元GTW专用于在汽车电子系统SYS的子网络之间的相互通信,并且网络间网关单元GTW包括远程更新元件OTA、以及微控制器μC、和被设计为控制系统的元件的功能状态的诊断元件DIAG。
驾驶辅助单元ADAS包括微控制器μC、控制元件CMD,控制元件CMD被配置用于控制与驾驶辅助(诸如制动或转向)有关的命令。此外,驾驶辅助单元ADAS包括:用于与远程信息处理控制单元TCU通信的元件TCUTX,以及用于与网络间网关单元GTW通信的元件GTWTX。
远程信息处理控制单元TCU、网络间网关单元GTW、驾驶辅助单元ADAS、连同次级电子控制单元ECU1-ECU4经由以太网路由器ETH通信。
远程信息处理控制单元TCU、网络间网关单元GTW和驾驶辅助单元ADAS形成被称为系统SYS的主要单元的单元,并且在安全性方面全都具有重要的地位。
因此,诸如先前关于图1至图4描述的安全元件SEC被有利地并入到系统SYS中。尤其是,每个主要单元TCU、GTW、ADAS包括安全元件SEC,其确保主要单元的动作的可靠性。
次级单元ECU1-ECU4也可以包含此类安全元件SEC。
主要电子控制单元TCU、GTW、ADAS被配置用于生成控制信号,该控制信号旨在控制(根据一个示例)对应于主从交互的安全元件SEC的指令的执行。
例如,借助于针对此目的的个性化功能,经由远程信息处理控制单元TCU,在外部服务器和系统之间的个性化认证可以是可能的,该个性化功能被加载到安全元件SEC中。该类型的认证可以允许用于主要单元的更新的下载,主要单元本身可以证明下载程序的来源。此外,任何类型的安全动作可以被提供在每个安全元件SEC内,并且以专用于该类型的系统SYS的方式被个性化。
另外,本发明并不限于这些实施例及其实现方式,而是涵盖其所有的变型。例如,尽管根据对交通工具电子系统的应用进行了描述,但是诸如关于图1至图4所描述的安全元件SEC可以适用于其他电子系统,例如消费系统,诸如:计算机、电话、触摸屏平板计算机、或各种连接的对象。

Claims (25)

1.一种用于管理安全元件的操作的方法,包括:
将第一指令加载到所述安全元件的非易失性存储器中,其中所述第一指令与预建立安全功能有关;
将至少一个第二指令加载到所述安全元件的所述非易失性存储器中,其中所述至少一个第二指令与至少一个其他个性化功能有关;以及
来自所述第一指令和所述至少一个第二指令之中的指令的至少一次执行。
2.根据权利要求1所述的方法,还包括:
接收操作代码;
将接收的所述操作代码即时转换为对应的指令,所述对应的指令属于所述第一指令或所述至少一个第二指令中的一者;以及
执行所述对应的指令。
3.根据权利要求2所述的方法,还包括:
在所述安全元件的每次启动时,将所述第一指令和所述至少一个第二指令从所述非易失性存储器加载到查找表中;以及
将相应的参考操作代码分配给所述第一指令和所述至少一个第二指令;
其中转换包括:比较所述操作代码与所述参考操作代码,以便标识待执行的所述对应的指令。
4.根据权利要求3所述的方法,其中接收的所述操作代码包括二进制数据,以及其中比较包括:执行异或非逻辑操作,以用于即时标识对应于接收的所述操作代码的所述参考操作代码。
5.根据权利要求4所述的方法,包括:在所述安全元件的输入/输出接口上接收输入控制信号,所述输入控制信号包括接收的所述操作代码。
6.根据权利要求1所述的方法,其中将所述第一指令和所述至少一个第二指令加载到所述非易失性存储器中仅在所述安全元件的生产阶段期间被执行一次。
7.根据权利要求1所述的方法,其中所述预建立安全功能形成规范TCG-TPM 2.0的命令和功能性的库的一部分。
8.根据权利要求1所述的方法,其中所述至少一个其他个性化功能包括不由所述预建立安全功能提供的功能。
9.根据权利要求1所述的方法,其中所述至少一个其他个性化功能包括补充功能,所述补充功能改善所述预建立安全功能之一的所述执行。
10.根据权利要求1所述的方法,其中所述至少一个其他个性化功能包括补充功能,所述补充功能个性化所述预建立安全功能之一的所述执行。
11.根据权利要求1至8中任一项所述的方法,还包括:生成被设计为控制所述至少一次执行的至少一个控制信号。
12.根据权利要求11所述的方法,其中生成在汽车类型的交通工具中被执行,以及其中所述至少一个控制信号由被并入到所述交通工具中的电子控制单元生成。
13.权利要求12所述的方法,其中所述电子控制单元从由以下构成的组中选择:远程信息处理控制单元、网络间网关单元和驾驶辅助单元。
14.一种安全元件,包括:
非易失性存储器,被配置为存储与预建立安全功能有关的第一指令,并且存储与至少一个其他个性化功能有关的至少一个第二指令;以及
处理单元,被配置为执行从所述非易失性存储器接收的所述第一指令和所述至少一个第二指令之中的至少一个指令。
15.根据权利要求14所述的安全元件,还包括:
输入,被配置为接收操作代码;以及
查找表,被配置为将接收的所述操作代码即时转换为对应的指令,所述对应的指令属于所述第一指令或所述至少一个第二指令中的一者;
其中所述处理单元被配置为执行所述对应的指令。
16.根据权利要求15所述的安全元件,被配置为:在所述安全元件的每次启动时从所述非易失性存储器加载所述第一指令和所述至少一个第二指令,并且将相应的参考操作代码分配给所述第一指令和所述至少一个第二指令,以及其中所述查找表被配置为比较接收的所述操作代码与所述参考操作代码,以便标识待执行的所述对应的指令。
17.根据权利要求16所述的安全元件,其中接收的所述操作代码包括二进制数据,以及其中所述查找表包括异或非逻辑电路,所述异或非逻辑电路被配置为即时标识与接收的所述操作代码相对应的所述参考操作代码。
18.根据权利要求15所述的安全元件,还包括:输入/输出接口,被配置用于连接至电子控制单元,以及其中所述输入/输出接口接收包括接收的所述操作代码的输入控制信号。
19.根据权利要求14所述的安全元件,其中所述非易失性存储器被配置为仅在所述安全元件的生产阶段期间被写入一次。
20.根据权利要求14所述的安全元件,其中所述预建立安全功能形成规范TCG-TPM 2.0的命令和功能性的库的一部分。
21.根据权利要求14所述的安全元件,其中所述至少一个其他个性化功能包括不由所述预建立安全功能提供的功能。
22.根据权利要求14所述的安全元件,其中所述至少一个其他个性化功能包括补充功能,所述补充功能用于改善所述预建立安全功能之一的执行。
23.根据权利要求14所述的安全元件,其中所述至少一个其他个性化功能包括补充功能,所述补充功能用于个性化所述预建立安全功能之一的所述执行。
24.一种系统,包括:
至少一个根据权利要求14所述的安全元件;
至少一个电子控制单元,被配置为生成控制信号,所述控制信号被设计为控制所述至少一个指令的所述执行。
25.一种汽车类型的交通工具,包括:
根据权利要求24所述的系统,
其中所述至少一个电子控制单元包括以下中的至少一个:远程信息处理控制单元、网络间网关单元、以及驾驶辅助单元。
CN202010014947.3A 2019-01-08 2020-01-07 具有可个性化功能的安全元件与对应的管理方法 Active CN111414607B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1900143A FR3091600B1 (fr) 2019-01-08 2019-01-08 Elément sécurisé à fonctions personnalisables et procédé de gestion correspondant
FR1900143 2019-01-08

Publications (2)

Publication Number Publication Date
CN111414607A true CN111414607A (zh) 2020-07-14
CN111414607B CN111414607B (zh) 2023-07-11

Family

ID=67262439

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010014947.3A Active CN111414607B (zh) 2019-01-08 2020-01-07 具有可个性化功能的安全元件与对应的管理方法

Country Status (4)

Country Link
US (1) US20200341763A1 (zh)
EP (1) EP3680782B1 (zh)
CN (1) CN111414607B (zh)
FR (1) FR3091600B1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113895379B (zh) * 2021-12-08 2022-03-11 深圳佑驾创新科技有限公司 一种自动驾驶车辆线控系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120265975A1 (en) * 2011-04-18 2012-10-18 Paul Kimelman Microcontroller with Embedded Secure Feature
CN106462708A (zh) * 2014-06-27 2017-02-22 英特尔公司 认证变量的管理
US20180034793A1 (en) * 2016-08-01 2018-02-01 The Aerospace Corporation High assurance configuration security processor (hacsp) for computing devices

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3024915B1 (fr) * 2014-08-18 2016-09-09 Proton World Int Nv Dispositif et procede pour assurer des services de module de plateforme securisee

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120265975A1 (en) * 2011-04-18 2012-10-18 Paul Kimelman Microcontroller with Embedded Secure Feature
CN106462708A (zh) * 2014-06-27 2017-02-22 英特尔公司 认证变量的管理
US20180034793A1 (en) * 2016-08-01 2018-02-01 The Aerospace Corporation High assurance configuration security processor (hacsp) for computing devices

Also Published As

Publication number Publication date
EP3680782A1 (fr) 2020-07-15
FR3091600A1 (fr) 2020-07-10
FR3091600B1 (fr) 2021-01-08
EP3680782B1 (fr) 2023-03-15
CN111414607B (zh) 2023-07-11
US20200341763A1 (en) 2020-10-29

Similar Documents

Publication Publication Date Title
CN110383773B (zh) 具有相关设备的被配置成基于面向服务的体系结构实施集中式服务ecu的专门编程的计算系统及其使用方法
US7266786B2 (en) Method and apparatus for configurable address mapping and protection architecture and hardware for on-chip systems
JP2000194565A (ja) Javaコンポ―ネントを作成する方法及びシステム
Bucaioni et al. Modelling multi-criticality vehicular software systems: evolution of an industrial component model
Paret FlexRay and its applications: real time multiplexed network
CN111414607B (zh) 具有可个性化功能的安全元件与对应的管理方法
EP3872635A1 (en) In-vehicle equipment controller and vehicle control system
Staron et al. Autosar standard
US20020174082A1 (en) Reusable parts for assembled software systems
CN113157396A (zh) 一种虚拟化服务系统和方法
US20070204092A1 (en) Method and apparatus for describing ACPI machine language in computer having multibridge PCI structure, and program thereof
CN112256249A (zh) 扩展Android系统功能的方法、设备及计算机存储介质
CN112068843A (zh) 一种应用软件中业务数据的建模方法
CN116225739A (zh) 计算设备及其安全服务的部署和扩展方法
CN111241029A (zh) 片上系统内的访问限制管理
Dörr et al. A formal model for the automatic configuration of access protection units in MPSoC-based embedded systems
CN116010992A (zh) 一种数据处理方法、装置、可读存储介质及电子设备
US7519719B2 (en) Automatic creation of protocol dependent control path for instrument application
KR20170059685A (ko) 오토사 기반의 차량 진단 통신 장치 및 그 방법
Yamili et al. Autosar and misra coding standards
CN114637525A (zh) Sdk与接入应用的兼容方法、装置、设备及介质
JP4137877B2 (ja) Acpi制御メソッドの名前の衝突の回避
Schorp et al. Component-based modeling and integration of automotive application architectures
US20200050491A1 (en) Processing system and method of executing functions
US20230286521A1 (en) Control Unit For A Motor Vehicle, Motor Vehicle, And Method For Operating A Control Unit

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant