CN117331327A - 用于电子控制单元的安全控制 - Google Patents
用于电子控制单元的安全控制 Download PDFInfo
- Publication number
- CN117331327A CN117331327A CN202211346437.1A CN202211346437A CN117331327A CN 117331327 A CN117331327 A CN 117331327A CN 202211346437 A CN202211346437 A CN 202211346437A CN 117331327 A CN117331327 A CN 117331327A
- Authority
- CN
- China
- Prior art keywords
- ecu
- security
- scaat
- parameters
- role
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 133
- 238000013475 authorization Methods 0.000 claims abstract description 14
- 230000008569 process Effects 0.000 claims description 37
- 238000005192 partition Methods 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 10
- 238000011900 installation process Methods 0.000 claims description 7
- 238000012797 qualification Methods 0.000 claims description 5
- 238000009434 installation Methods 0.000 description 10
- 238000004519 manufacturing process Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 6
- 230000001419 dependent effect Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000010304 firing Methods 0.000 description 3
- 230000004075 alteration Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000009419 refurbishment Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000036316 preload Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000004171 remote diagnosis Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0423—Input/output
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25257—Microcontroller
Abstract
一种用于确保电子控制单元(ECU)安全的方法。该方法可包括:根据多个安全参数来生成用于确保ECU安全的粒度安全控制调整授权票据(G‑SCAAT),所述多个安全参数是基于为对应用户选择的角色来确定的。G‑SCAAT可包括要用于将ECU控制为根据安全参数操作的安全值。
Description
技术领域
引言
本公开涉及提供针对电子控制单元(ECU)的安全控制,诸如利用粒度安全控制调整授权票据(granular security control adjustment authorization ticket, G-SCAAT),其被构造成根据多个可选择的角色来调整ECU的安全控制。
背景技术
电子控制单元(ECU)可被视为计算机、微控制器或其他处理元件,其被构造成提供或以其他方式支持一个或多个操作、功能、过程等,诸如通过将对应的信号、数据、控制等输出到相依系统。举例来说,当与主机装置(诸如,汽车)一起被采用时,各种ECU可被用作发动机控制模块(ECM)、远程信息处理单元(TU)、动力总成控制模块(PCM)、变速器控制模块(TCM)、制动控制模块(BCM)、中央控制模块(CCM)、中央正时模块(CTM)、乘客门模块(PDM)、系统控制模块(SCM)、安全气囊控制模块(ACM)、电池管理系统(BMS)、通用电子模块(GEM)、车身控制模块(BCM)、悬架控制模块(SCM)等。
ECU可由供应商提供以便在主机装置的工厂进行安装,诸如通过安装ECU以作为用于组装汽车的原始设备制造商(OEM)组装线的一部分。在工厂安装时,ECU可用初始的一组值进行编程,该组值被构造成根据标称设计参数来校准ECU的操作。由于ECU的相关校准是在ECU和/或主机装置离厂时被设定的,因此该初始的一组值可被视为工厂设定或工厂值。作为设计开发或制造过程的一部分,可能有必要对ECU进行编程以考虑到软件补丁或其他操作需求,并且还可期望在制造ECU之后和/或在将ECU安装于主机装置内之后进行附加的编程修改。随着任何数量的编程需求潜在地出现,可期望使安全控制准备就绪,以保证授权的个体对ECU进行编程并且授权的个体在授权的编程约束内对ECU进行编程。
发明内容
本公开的一个非限制性方面构想了提供针对电子控制单元(ECU)或另一可编程装置的安全控制。安全控制可至少部分地基于粒度安全控制调整授权票据(G-SCAAT),该G-SCAAT被构造成根据多个安全参数来调整安全控制。这些安全参数可根据多个角色来设定,借此这些角色中的每个可在用于调整安全控制的编程权限、能力、约束、要求和/或先决条件上不同。这种类型的逐角色基础可有益于以粒度水平设定安全参数并由此将无效的安全措施限制到可控的一组约束,该组约束可基于被分配给做出请求的个体或实体的一个或多个角色来控制(metered out)。
本文中公开了一种用于确保电子控制单元(ECU)安全的方法。该方法可包括:接收与请求对ECU进行编程的用户相关联的请求;从多个可用角色中为用户选择角色;以及根据多个安全参数来生成用于确保ECU安全的粒度安全控制调整授权票据(G-SCAAT),所述多个安全参数是基于为用户选择的角色来确定的。G-SCAAT可指定要用于将ECU控制为根据安全参数操作的安全值。
该方法可包括:将后台计数器与G-SCAAT相关联。该后台计数器可被构造成根据预先限定的进度(schedule)单调地增加为G-SCAAT设定的计数器值。
该方法可包括:至少部分地基于接收到后台计数器而在ECU处执行认证过程。该认证过程可被构造成针对G-SCAAT的真实性生成合格判定和不合格判定中的一个。
该方法可包括:如果后台计数器与作为安全值的一部分而被包括的到期计数器匹配,则生成合格判定;以及如果后台计数器未能与到期计数器匹配,则生成不合格判定。
该方法可包括:将合格判定限定为附加地要求作为G-SCAAT的一部分而被包括的消息认证码(MAC)与在ECU处生成的ECU MAC匹配。
该方法可包括:将指示合格或不合格判定的日志消息从ECU传输到后台。后台可被构造成生成G-SCAAT并将后台计数器与其相关联。
该方法可包括:在ECU和后台之间执行请求-响应策略作为被构造成将G-SCAAT安装在ECU上的安装过程的至少一部分。
该方法可包括:将所述多个可用角色中的每个限定为各自包括与其他角色的安全值不同的至少一个安全值。
该方法可包括:将安全参数确定为包括多个基于角色的参数和多个非基于角色的参数。基于角色的参数可具有安全值中的根据所选择的角色设定的对应安全值。非基于角色的参数可具有安全值中的独立于所选择的角色设定的对应安全值。
该方法可包括:将安全参数确定为包括ECU的存储器内能够被解锁的一个或多个分区;以及为每个分区指定模块标识符(ID)以作为安全值的一部分。
该方法可包括:将安全参数确定为包括一个或多个安全控制参数;以及为每个安全控制参数指定安全值中的一个。
该方法可包括:将安全控制参数确定为包括安全编程应用软件参数、安全编程校准软件参数、车内网络消息认证参数、安全引导参数、主机调试参数、以及硬件安全模块(HSM)或信任区调试参数。
该方法可包括:将安全参数确定为包括一个或多个诊断解锁级别参数;以及为每个解锁级别参数指定安全值中的一个。
该方法可包括:将诊断解锁级别参数确定为包括服务参数、组装厂参数、空中下载(OTA)参数、工程参数、远程诊断参数和/或供应商参数。
该方法可包括:将安全参数确定为包括创建计数参数、到期计数参数、应用起始日期标识符(NBID)参数、硬件安全模块(HSM)NBID参数、引导/软件兼容性ID(BCID)参数、安全控制调整参数、解锁级别参数、模块ID参数、选项参数和点火计数参数。
该方法可包括:将安全参数确定为包括ECU名称参数、ECU ID参数、G-SCAAT签名证书参数、签名参数和消息认证码(MAC)参数。
本文中公开了一种用于确保电子控制单元(ECU)安全的方法。该方法可包括:从多个可用配置文件中选择用于确保ECU安全的配置文件。这些配置文件中的每个可限定多个安全参数以用于相应地确保ECU安全。该方法可进一步包括:生成用于安装在ECU上的粒度安全控制调整授权票据(G-SCAAT),包括在G-SCAAT内为针对所选择的配置文件限定的安全参数中的每个指定安全值。ECU可被构造成根据G-SCAAT中指定的安全值来确保ECU安全。
该方法可包括:将后台计数器与G-SCAAT相关联。该后台计数器可被构造成根据预先限定的进度使为G-SCAAT设定的计数器值单调地增加。该方法可进一步包括:在将G-SCAAT安装于ECU上之后执行认证过程。认证过程可包括:取决于后台计数器是否与作为安全值的一部分而被包括的到期计数器匹配,ECU针对G-SCAAT的真实性生成合格判定和不合格判定中的一个。该方法可又进一步包括:将指示合格或不合格判定的日志消息从ECU传输到后台。
该方法可包括:将所述多个可用配置文件中的每个限定为各自包括与其他角色的安全值不同的至少一个安全值;以及将安全参数确定为包括多个基于角色的参数和多个非基于角色的参数。基于角色的参数可具有根据与所选择的配置文件相关联的用户的角色设定的对应安全值。非基于角色的参数可具有独立于所选择的角色设定的对应安全值。
本文中公开了一种用于确保电子控制单元(ECU)安全的方法。该方法可包括:生成用于安装在ECU上的粒度安全控制调整授权票据(G-SCAAT)。该G-SCAAT可为多个安全参数中的每个指定一个或多个安全值。该方法可进一步包括:将G-SCAAT从后台传输到ECU以作为安装过程的一部分。ECU可被构造成根据G-SCAAT中指定的安全值来确保ECU安全。该方法可又进一步包括:响应于ECU在安装G-SCAAT之后执行用于认证安全值的认证过程,将日志消息从ECU传输到后台。该日志消息可针对认证过程识别合格判定和不合格判定中的一个。
本发明至少包括如下技术方案:
方案1. 一种用于确保电子控制单元(ECU)安全的方法,所述方法包括:
接收与请求对所述ECU进行编程的用户相关联的请求;
从多个可用角色中为所述用户选择角色;以及
根据多个安全参数来生成用于确保所述ECU安全的粒度安全控制调整授权票据(G-SCAAT),包括指定待用于将所述ECU控制为根据所述安全参数来操作的所述G-SCAAT内的安全值,所述多个安全参数是基于为所述用户所选择的角色来确定的。
方案2. 根据权利要求1所述的方法,所述方法进一步包括:使后台计数器与所述G-SCAAT相关联,所述后台计数器被构造成根据预先限定的进度单调地增加为所述G-SCAAT设定的计数器值。
方案3. 根据权利要求2所述的方法,所述方法进一步包括:至少部分地基于接收到所述后台计数器而在所述ECU处执行认证过程,所述认证过程被构造成针对所述G-SCAAT的真实性生成合格判定和不合格判定中的一个。
方案4. 根据权利要求3所述的方法,所述方法进一步包括:如果所述后台计数器与作为所述安全值的一部分而被包括的到期计数器匹配,则生成所述合格判定;以及如果所述后台计数器未能与所述到期计数器匹配,则生成所述不合格判定。
方案5. 根据权利要求4所述的方法,所述方法进一步包括:将所述合格判定限定为附加地要求作为所述G-SCAAT的一部分而被包括的消息认证码(MAC)与在所述ECU处生成的ECU MAC匹配。
方案6. 根据权利要求3所述的方法,所述方法进一步包括:将指示所述合格或不合格判定的日志消息从所述ECU传输到后台,所述后台被构造成生成所述G-SCAAT并使所述后台计数器与其相关联。
方案7. 根据权利要求6所述的方法,所述方法进一步包括:在所述ECU和所述后台之间执行请求-响应策略以作为被构造成将所述G-SCAAT安装在所述ECU上的安装过程的至少一部分。
方案8. 根据权利要求1所述的方法,所述方法进一步包括:将所述多个可用角色中的每个限定为各自包括与其他角色的安全值不同的至少一个安全值。
方案9. 根据权利要求1所述的方法,所述方法进一步包括:将所述安全参数确定为包括多个基于角色的参数和多个非基于角色的参数,所述基于角色的参数具有所述安全值中的根据所选择的角色而设定的对应安全值,所述非基于角色的参数具有所述安全值中的独立于所选择的角色而设定的对应安全值。
方案10. 根据权利要求1所述的方法,所述方法进一步包括:将所述安全参数确定为包括所述ECU的存储器内能够被解锁的一个或多个分区;以及为每个分区指定模块标识符(ID)作为所述安全值的一部分。
方案11. 根据权利要求1所述的方法,所述方法进一步包括:将所述安全参数确定为包括一个或多个安全控制参数;以及为每个安全控制参数指定所述安全值中的一个。
方案12. 根据权利要求11所述的方法,所述方法进一步包括:将所述安全控制参数确定为包括安全编程应用软件参数、安全编程校准软件参数、车内网络消息认证参数、安全引导参数、主机调试参数、以及硬件安全模块(HSM)或信任区调试参数。
方案13. 根据权利要求1所述的方法,所述方法进一步包括:将所述安全参数确定为包括一个或多个诊断解锁级别参数;以及为每个解锁级别参数指定所述安全值中的一个。
方案14. 根据权利要求13所述的方法,所述方法进一步包括:将所述诊断解锁级别参数确定为包括服务参数、组装厂参数、空中下载(OTA)参数、工程参数、远程诊断参数和/或供应商参数。
方案15. 根据权利要求1所述的方法,所述方法进一步包括:将所述安全参数确定为包括创建计数参数、到期计数参数、应用起始日期标识符(NBID)参数、硬件安全模块(HSM)NBID参数、引导/软件兼容性ID(BCID)参数、安全控制调整参数、解锁级别参数、模块ID参数、选项参数和点火计数参数。
方案16. 根据权利要求15所述的方法,所述方法进一步包括:将所述安全参数确定为包括ECU名称参数、ECU ID参数、G-SCAAT签名证书参数、签名参数和消息认证码(MAC)参数。
方案17. 一种用于确保电子控制单元(ECU)安全的方法,所述方法包括:
从多个可用配置文件中选择用于确保所述ECU安全的配置文件,所述配置文件中的每个限定多个安全参数以用于相应地确保所述ECU安全;以及
生成用于安装在所述ECU上的粒度安全控制调整授权票据(G-SCAAT),包括在所述G-SCAAT内为针对所选择的配置文件限定的所述安全参数中的每个指定安全值,所述ECU被构造成根据所述G-SCAAT中指定的所述安全值来确保所述ECU安全。
方案18. 根据权利要求17所述的方法,所述方法进一步包括:
使后台计数器与所述G-SCAAT相关联,所述后台计数器被构造成根据预先限定的进度使为所述G-SCAAT设定的计数器值单调地增加;
在将所述G-SCAAT安装于所述ECU上之后执行认证过程,所述认证过程包括:取决于所述后台计数器是否与作为所述安全值的一部分而被包括的到期计数器匹配,所述ECU针对所述G-SCAAT的真实性生成合格判定和不合格判定中的一个;以及
将指示所述合格或不合格判定的日志消息从所述ECU传输到所述后台。
方案19. 根据权利要求17所述的方法,所述方法进一步包括:将所述多个可用配置文件中的每个限定为各自包括与其他角色的安全值不同的至少一个安全值;以及将所述安全参数确定为包括多个基于角色的参数和多个非基于角色的参数,所述基于角色的参数具有根据与所选择的配置文件相关联的用户的角色设定的对应安全值,所述非基于角色的参数具有独立于所选择的角色设定的对应安全值。
方案20. 一种用于确保电子控制单元(ECU)安全的方法,所述方法包括:
生成用于安装在所述ECU上的粒度安全控制调整授权票据(G-SCAAT),所述G-SCAAT为多个安全参数中的每个指定一个或多个安全值;
将所述G-SCAAT从后台传输到所述ECU以作为安装过程的一部分,所述ECU被构造成根据所述G-SCAAT中指定的所述安全值来确保所述ECU安全;以及
响应于所述ECU在安装所述G-SCAAT之后执行用于认证所述安全值的认证过程,将日志消息从所述ECU传输到所述后台,所述日志消息针对所述认证过程识别合格判定和不合格判定中的一个。
当结合附图理解时,本教导的以上特征和优点连同其他特征和优点容易从用于实施本教导的模式的以下详细描述显而易见。应理解的是,即使以下附图和实施例可被单独描述,其单一的特征也可组合到附加实施例。
附图说明
并入到本说明书中并构成其一部分的附图图示了本公开的实施方式并且与描述一起用于解释本公开的原理。
图1是根据本公开的一个非限制性方面的被构造成用于提供针对电子控制单元(ECU)的安全控制的系统的图。
图2图示了根据本公开的一个非限制性方面的ECU的图。
图3图示了根据本公开的一个非限制性方面的G-SCAAT的图。
图4图示了根据本公开的一个非限制性方面的用于确保ECU安全的方法的流程图。
具体实施方式
根据需要,本文中公开了本公开的具体实施例;然而,将理解,所公开的实施例仅是本公开的示例性实施例,其可以以各种和替代形式来实施。附图不一定按比例绘制;一些特征可能被夸大或最小化以示出特定部件的细节。因此,本文中所公开的具体结构和功能性细节不应被解释为限制性的,而仅仅作为用于教导本领域技术人员以各种方式采用本公开的代表性基础。
图1是根据本公开的一个非限制性方面的被构造成用于提供针对电子控制单元(ECU)或其他可编程装置12的安全控制的系统10的图。出于示例性目的,系统10主要是针对ECU 12被包括在汽车(主机装置)上时确保其安全来描述的,因为本公开充分构想了它在确保除ECU 12以外的装置以及被包括在除汽车以外的主机装置内的ECU 12的安全方面的使用和应用。系统10可根据编程工具14、后台16和ECU 12之间的交互进行操作,借此每一者协作以便于实现根据本文中所描述的方法论来管控ECU 12诊断安全能力的行动的方法。每一者可包括处理器,该处理器被构造成用于执行存储在所包括的存储器上的非暂时性指令以便于实现本文中所描述的各种操作、功能和活动,且同样地,每一者可包括实施本文中所构想的过程和操作所需的合适的接口、连接、通信能力等。
后台16可被视为可信机构,诸如在主机装置的原始设备制造商(OEM)或另一实体的控制或指导下的可信机构,其任务是确认(validate)用于更新的软部分(soft part)和/或生成粒度安全控制调整授权票据(G-SCAAT)20以便于实现安全控制。后台16可包括数据库22,该数据库能够存储G-SCAAT 20、软部分、软件安装等并使以上各者与ECU标识符(ID)交叉引用,使得后台16可有效地维护为每个ECU 12授权的每个G-SCAAT 20的最新版本。每个G-SCAAT 20可包括ECU ID、模块ID、零件编号等或以其他方式与以上各者相关联,以协调其与文件、数据集或具有软件、代码、编程等的其他内容的使用。G-SCAAT 20可被编程到ECU12中,其中对应的文件或结构能够被传输到ECU 12和使ECU 12作用于其上,以便于实现本文中所构想的安全控制。后台16可包括门户24的其他接口(例如,网站),该接口被构造成接收来自购买者或其他个体的请求消息并基于此(诸如,根据所包括的凭证)来选择角色和/或其他约束以便限定G-SCAAT 20并将其分配给做出请求的用户。
编程工具14可与后台16互动,以便于实现根据G-SCAAT 20中的对应的一个中所限定的权限、资格和其他约束对ECU 12进行安全控制。编程工具14可与具有足以与ECU 12交互的能力的装置对应。例如,编程工具14可与能够连接到网络或直接连接到ECU 12的独立式测试仪对应,例如,在车辆的情况下,测试仪可连接到与ECU 12通信的车辆网络,和/或测试仪可直接插头插入到ECU 12的插口或接口中。可选地代替独立测试仪的是,编程工具14可被包括在模块或另一ECU内,例如,一个ECU可充当另一ECU的编程工具。编程工具14也可远离具有ECU 12的装置定位,以便便于实现无线或空中下载(OTA)更新。编程工具14可包括用户接口或人机接口(HMI),以便于实现在需要时与管理员交互以输入与便于实现更新的用户依赖性方面相关联的信息和命令。
编程工具14可以是通用项目或者非特定于ECU 12或主机装置,因为它可能需要将信息、文件和其他数据加载在其上。除了对ECU 12进行编程之外,编程工具还可进一步支持协议能力以操纵ECU存储器和功能性的附加方面。后台16例如可向编程工具14提供实用(utility)文件,该实用文件参考要被加载或以其他方式编程到ECU 12上的G-SCAAT 20和/或其他信息。实用文件28可参考与要被提供给ECU 12的G-SCAAT 20和/或其他数据集相关联的软件、校准表、编码等的副本,以便于实现本文中所构想的安全控制。实用文件28可存储在编程工具14上或以其他方式提供给该编程工具,诸如通过有线或无线通信从后台16提供。本公开的一个方面构想了由车辆技术人员或所有者当在主机装置上工作时利用的编程工具14。当然,可能不期望需要具有单独的编程工具14或预先加载编程工具14(特别是随着无线通信范围的增加),使得本文中所描述的一些或所有交互可通过有线或无线信令在后台16和ECU 12之间直接发生。
图2图示了根据本公开的一个非限制性方面的ECU 12的图。ECU 12可包括接口40,该接口被构造成便于实现与编程工具14、后台16和/或相依系统交换信号、消息等。接口40可包括被构造成便于实现附随的通信的对应特征,包括足以便于实现有线和/或无线交换的部件。ECU 12可包括处理器42,该处理器被构造成根据对存储在所包括的计算机可读存储介质44上的非暂时性指令的执行来控制ECU 12。为了示例性的、非限制性目的,存储介质44被示为划分成常态(normal)区48和安全区50。常态区48可与易失性和/或非易失性存储器对应,该易失性和/或非易失性存储器被构造成准许更新、擦除或以其他方式操纵存储在其上的数据,可选地取决于对应的执行器(actor)是否满足某些安全协议。安全区50可运行固件并支持数据存储,其可被构造成使得在其上存储在易失性和/或非易失性存储器中的数据可以是永久性的和/或有效地无法从外部功能或来源直接改变。
本公开的一个非限制性方面构想了ECU 12包括引导加载程序、引导管理器、引导装入程序、控制程序或其他构造体(construct)54,以便于实现加载ECU 12或以其他方式使ECU 12为操作做准备。引导加载程序54可被构造成在对ECU 12上电或其他初始化时执行,以达到将存储在应用存储器58上的应用软件实例化(instantiate)的目的。应用软件可被构造成控制ECU 12的操作。引导加载程序54可包括控制软件和/或其他控制逻辑,该控制软件和/或其他控制逻辑被构造成便于实现控制对应用软件、校准软件的实例化和/或用于执行所构想的或所需的其他操作以实现本文中所描述的安全控制。因此,以非限制性的方式呈现了引导加载程序54以表示ECU 12的被构造成便于实现本文中所设想的操作的功能特征。引导加载程序54可在以下意义上被认为是与应用软件分开操作的:其可用于便于实现本文中所构想的用于安全控制的操作以及用于指导根据应用软件的命令控制ECU 12所需的其他操作。
应用软件可被构造成便于实现控制相依系统、执行计算、或以其他方式执行分配给ECU 12的进程。ECU 12可被构造成执行多种控制(特别是当被包括在汽车内时),借此可根据被包括在应用软件内的算法、编程、逻辑等生成对应的控制,从而便于实现对ECU 12的相关管理。应用软件可存储在常态存储器48上的一系列存储器分区内,这些存储器分区可根据一个或多个模块ID单独识别,所述一个或多个模块ID被构造成逻辑地识别相关联的存储器集群。这些模块ID(即,常态存储器48的包括应用软件的部分)可用于表示存储器44的应用存储器部分58、或常态存储器48的积极地被构造成便于实现应用软件的部分。本公开的一个非限制性方面构想了在应用软件的指导下执行的至少一些ECU操作至少部分地基于校准数据。
校准数据可作为多个值存储在校准存储器60中,所述多个值是为与应用软件的各个方面相关联(即,与用于要利用ECU 12进行的不同计算、逻辑、控制等的值相关联)的对应的多个校准参数设定的。校准参数中的一个或多个在以下意义上可以是可校准的:用于限定其影响的值可能够从一个值调整到另一个值,以便引发对应用软件的所产生的影响。校准数据可相应地被限定为具有一个或多个可校准值的多个校准参数。校准数据(或更特别地,用于表示其影响的值)可采取各种形式并根据各种结构来提供,诸如以表格、字母数字字符、编程/语言等形式。
本公开的一个非限制性方面构想了使得购买者、所有者或另一实体(诸如,后台处的OTA服务器)能够根据本文中所描述的安全控制对ECU 12进行编程。这种安全控制(即,将所编程的数据、值等从一个值改变为另一个值)可能需要对具有先前存储的值的存储器48的一部分进行编程、编码或以其他方式改写。可利用引导加载程序54或与引导加载程序54相关联的控制软件来便于实现编程。出于解释的原因,引导加载程序54可被构造成根据与相关存储器相关联的安全协议来控制向存储器44添加和去除数据且此后初始化ECU 12以相应地采取行动。
引导加载程序54可要求在准许对存储在存储器44上的数据、可校准值等进行改变之前进行真实性检查。真实性检查可与验证过程对应,借此要求在准许存储在ECU 12上之前对要添加/改变的数据、软件等的数字签名进行验证。真实性检查可要求在准许存储在ECU 12上之前用数字签名对代码、软件、数据等的整体进行签名和验证。在对应用软件和/或校准数据做出改变的情况下,真实性检查可要求对这些改变进行数字签名,但依赖于此的整组代码也进行数字签名和验证,例如在每次改变之后进行编译。
对这种ECU更新的重复签名和验证会是繁琐的和耗时的,特别是在开发、测试或故障排除供与ECU 12一起使用的更新时。认证检查例如可能要求管理员进行费力的过程以便在每次期望改变时生成且然后验证数字签名,无论这种改变多么小,当管理员可能被要求在达到合适的值组合之前反复测试不同的值组合时,这些过程都会是尤为繁重的。本公开的一个非限制性方面构想了引导加载程序54被构造成执行旁路操作以在某些情况下规避真实性检查。
当实施时,旁路操作可与以下对应:引导加载程序54准许存储器的可选择的分区或部分被编程、改变、调整等,而不要求对这些改变、存储器、分区或对应的软件、文件等进行数字签名和/或验证。旁路操作代替地可用于准许用户对存储器44的某些部分做出改变,而不需要受影响的软件或编码的对应的数字签名。这能够有益于允许操作员执行试验和测试过程,借此能够递增地更改和测试校准参数,而不必进行更繁重的真实性检查过程,同时也避免了与对不旨在供生产使用的软件进行签名相关联的风险。旁路操作可使得引导加载程序54能够与编程工具14交互,以便接收可校准值或以其他方式调节校准数据,且此后将那些值编入到存储器48中,以达到在应用软件的操作中引发对应的变化的目的。引导加载程序54可被构造成编译或以其他方式处理供存储在校准存储器上的校准值且此后指示应用软件开始处理。
可调节实施型存储器(tunable implementation memory)72可以是与多个校准参数可分开识别的并且包括所述多个校准参数,所述多个校准参数与被包括在校准存储器60内的校准参数相同。可调节实施型存储器72和校准存储器60中的每者中的校准数据可用相同的工厂校准值进行初始编程。在这方面,可调节实施型存储器72可至少最初被认为是校准存储器60的备份或复制。校准存储器60和可调节实施型存储器72可在制造ECU 12时以这种方式构造。校准存储器60和可调节实施型存储器72可由此在ECU 12离开ECU OEM和/或主机装置OEM的工厂时匹配。安全控制可与编程工具14改变可调节实施型存储器72中的可调节值中的一个或多个对应。对应的存储器访问可限于G-SCAAT 20中指出的模块ID,即,可在G-SCAAT 20内针对被准许/有资格可调节的每个校准模块ID识别可调节实施型存储器72的分区。
引导加载程序54可被构造成便于实现可调节确认过程,以用于确定输入到可调节实施型存储器72的可调节值是有效还是无效中的一种。如果在可调节约束存储器74中指定的限制内,则可调节值可被确定为有效,否则可调节值可被确定为无效。可调节约束存储器74可以是与校准存储器60和可调节实施型存储器72可分开识别的。可调节约束存储器74可在制造ECU 12时被构造,使得其中的限制可由主机装置的OEM根据被认为适合ECU 12的操作的最大值或范围来选择。这些限制可偏离被包括在校准存储器60中的标称或媒体校准值。因而,这些限制可基于OEM关于如下的整体认识来设定:在仍然考虑到对主机装置和/或其他相依系统的对应影响的同时,能够适当地做出多少调整。
图3图示了根据本公开的一个非限制性方面的G-SCAAT 20的图。G-SCAAT 20可被加载并安装在ECU 12上,可选地在解锁或其他安全措施之后。一旦存储在安全的存储器50上,G-SCAAT 20就可与引导加载程序54协作使用,以便于实现在启动时实例化ECU 12和应用软件并以其他方式从上电起控制ECU 12直到应用软件开始。G-SCAAT 20可以是静态文件,诸如由纯文本和加密构造体构建的静态文件,引导加载程序54可被构造成每当ECU 12上电时自动处理该纯文本和这些加密构造体。这可响应于主机装置和/或ECU 12相应地从一种状态过渡到另一状态而发生,例如,这可能与汽车的点火事件相一致。G-SCAAT 20至少以这种方式可被构造成每当G-SCAAT 20安装在ECU 12上时调整引导加载程序54的操作。
可选地,引导加载程序54可在安装或以其他方式根据存储在其中的信息做出行动之前检查G-SCAAT 20的签名或对G-SCAAT 20执行另一类型的验证。可选地,引导加载程序54还可包括逻辑或其他措施,以断定是否根据G-SCAAT 20的影响来启动应用软件或者是否应代替地忽略G-SCAAT 20并在没有它的影响下执行,诸如根据先前限定的工厂设定。进一步的安全措施(诸如,要求后台16提供附加的认证数据和/或使用消息认证码(MAC))也可单独利用和/或与基于种子的请求-响应结合利用,以便于实现解锁ECU 12以便安装G-SCAAT20。
本公开的一个非限制性方面构想了G-SCAAT 20被构造成具有多个安全参数,借此为这些安全参数中的某些安全参数选择的值可根据被分配给其预期用户、实体等的角色、配置文件或其他构造体而单独地定制,出于解释的原因,角色、配置文件或其他构造体被共同地但不限于称为角色。可选地,安全参数可根据基于角色的参数和非基于角色的参数进行区分。基于角色的参数可与基于与所选择的角色相关联的用户或其他实体的身份而选择的安全值对应,且与此相反,非基于角色的参数可与独立于身份而选择的安全值对应,例如,非基于角色的参数可基于ECU、从G-SCAAT生成的加密构造体、计数器、非用户标识符等选择。
G-SCAAT 20被示为包括多个安全参数78,所述多个安全参数具有针对对应安全值的长度(字节)79的示例性列表。多个非基于角色的参数可包括模块ID参数80、和ECU名称参数82、ECU ID参数84、ECU ID扩展参数86、G-SCAAT签名证书参数88、签名参数90、和/或MAC参数92。模块ID80参数可与被设定成用于相对于其他G-SCAAT 20唯一地识别G-SCAAT 20的值对应。ECU名称参数82可与被设定成用于唯一地识别要与G-SCAAT 20一起使用的ECU 12名称的值对应。ECU ID参数84可与被设定成用于相对于其他ECU 12唯一地识别ECU 12的值对应,即,ECU名称82可以是多个ECU 12共有的,而ECU ID84可以是特有的。ECU ID扩展参数86可被构造成确保被识别为与特定G-SCAAT 20相关联的ECU的唯一性。G-SCAAT签名证书参数88可与微证书对应,可选地,该微证书可包括通过对G-SCAAT 20整体加密而生成的填充字节。签名参数90可与被生成来验证G-SCAAT 20的真实性的数字签名对应。MAC参数92可与被生成用于加密识别G-SCAAT 20的哈希或其他变量对应。
基于角色的参数可与基于取决于分配给特定用户的角色的变量而选择的安全参数对应。G-SCAAT 20被示为包括多个这种基于角色的参数,所述多个基于角色的参数可包括创建计数参数96、到期计数98、应用起始日期ID(NBID)参数100、硬件安全模块(HSM)NBID参数102、引导/软件兼容性ID(BCID)参数104、安全控制参数106、解锁级别参数108、模块ID参数110、选项参数112和/或擦除点火参数114。应用NBID参数100可以是在生成时存储在G-SCAAT 20上的数字参考或计数器,以用于与存储在ECU 12上和/或由ECU 12从后台16请求的应用NBID进行比较。这可能有助于保证ECU 12上的应用软件与旨在利用G-SCAAT 20操纵的应用软件匹配。HSM参数102可以是类似类型的计数器,并且用于保证ECU 12上的HSM与旨在利用G-SCAAT 20操纵的HMS匹配。BCID参数104也可以是类似类型的计数器,并且用于保证ECU 12上的引导/软件与旨在利用G-SCAAT 20操纵的引导/软件匹配。模块ID参数110可用于识别存储器44内的能够被编程的分区或集群,即,以在G-SCAAT 20内限定存储器44的能够被编程的各个部分。选项参数112可用于安排G-SCAAT 20的使用持续时间。选项参数112可被设定为:第一值,其用以将G-SCAAT 20限制到单次安装/使用;第二值,其用于在制造使能计数器(MEC)等于零(车辆制造完成)时擦除G-SCAAT 20并使其无效;以及第三值,其在MEC大于零(车辆制造为真)时使G-SCAAT 20无效,其中MEC是安全构造体,其在不可逆地设定为零时附加地参与车辆制造后的安全方法。擦除点火参数114可用于在已发生特定次数的点火循环之后擦除G-SCAAT 20。
安全控制参数106在插图编号(callout)中被示为包括多种附加地可选择的的基于角色的安全参数,其具有可用于设定特定的安全控制的可选的位位置118,这些安全控制可包括安全编程应用软件参数120、安全编程校准软件参数122、车内网络消息认证参数124、安全引导参数126、主机调试参数128、和/或HSM/信任区调试参数130。安全编程应用软件参数120能够被设定为禁用引导加载程序54,使其不必对已签名的应用代码58软件部件执行安全编程签名检查。安全编程校准软件参数122能够被设定为禁用对已签名的校准软件部件(包括校准存储器ID)的引导加载程序54安全编程签名检查。车内网络消息认证参数124能够被设定为禁用对车内网络通信的加密MAC(消息认证码)检查。这种MAC可用于通过使用附加到帧(这些帧被指定要求对由ECU 12接收到的数据进行真实性和完整性检查)的MAC标签来保护运动中的数据,这样做可以是为了减轻安全风险并且一般而言有助于开发测试。安全引导参数126可被设定为禁用安全引导检查,与所使用的安全编程在编程时确认软部分(例如,校准和应用软件)不同,该安全引导可用于在上电期间确认每个ECU 12上的软部分。主机调试参数128可被设定为使得用户能够诊断性地询问和操纵常态存储器48和固件,以便允许调试端口(例如,联合测试行动组端口(JTAG - IEEE标准1149.1-1990))被解锁以建立活动调试会话。HSM/信任区调试参数130可被设定为使得用户能够诊断性地询问和操纵安全区50存储器和固件。
解锁级别参数108在插图编号(callout)中被示为包括多种附加地可选择的基于角色的安全参数,这些基于角色的安全参数可用于锁定/解锁诊断和其他可控功能,以便生成用于解锁统一诊断服务(UDS)内的可选择的服务标识符(SID)的角色,例如标题为ISO14229-1 Road vehicles - Unified diagnostic services (UDS)的国际标准化组织的UDS标准,该标准特此通过引用以其整体并入。解锁级别参数108例如可包括服务参数136、组装厂参数138、OTA参数140、工程参数142、远程诊断参数144和/或供应商参数146。服务参数136可被设定为解锁以SID 0x01(请求种子ECU编程)和SID 0x11(请求种子扩展再刷新)打开的诊断级别。组装厂参数138可被设定为解锁以SID 0x03(请求种子组装厂编程)和0x13(请求种子扩展再刷新工厂编程)打开的诊断级别。OTA参数140可被设定为解锁以SID0x05(请求种子OTA再刷新)和0x15(请求种子扩展再刷新OTA)打开的诊断级别。在参数142可被设定为解锁以SID 0x09(请求种子工程)打开的诊断级别期间,远程诊断参数144可被设定为解锁以SID 0x0B(请求种子远程诊断)打开的诊断级别。供应商参数146可被设定为解锁以SID 0x0D(种子供应商安全访问)打开的诊断级别。
被包括在G-SCAAT 20内的值的组合可根据被分配给特定用户的角色来选择。用户可被要求提供身份证明(identification)、信任凭证、来自主管/OEM的授权、或与生成关于对编程ECU 12的使用推理的评估相关联的其他信息。该信息可被解析以针对用户识别可用角色中的适当角色。该过程可根据电子地提供的信息由网络管理员执行和/或自动地执行,例如,用户可将信任凭证或其他信息提供给与后台16相关联的网站或门户,借此后台16可自动地处理对应的信息来为用户选择适当的角色,且此后使用与所选择的角色相关联的值进行填充(populating),例如,在G-SCAAT 20内设定值、旗标、变量等以与被分配给对应角色的资格和权限匹配。在本公开之后,至少以这种方式构想了一种粒度方法,以用于根据在G-SCAAT 20内设定的多个安全参数的值来具体地锁定/解锁CU 12上可用的其他特征或以其他方式使得能够对所述其他特征进行安全控制。
一个角色可与管理员角色对应。管理员角色可以是高度可信的、敏感的和受限制的角色,对于该角色,可存在将非管理员角色分配给各个用户的能力。管理员角色可有效地指定个体充当门卫(gate keeper)以便允许用户访问后台16以生成G-SCAAT 20,使得管理员角色可用于批准用户角色,其中每个用户角色被分配有不同的时段,诸如一次性使用或历时其角色的持续时间。
另一角色可与工程软件类的角色对应,该工程软件类的角色可选地细分为可限定的类或子角色,例如,类1至n。软件角色可对大量的ECU 12类型(PCM、ECM、TCM、CGM、TCU、EBCM、Amp、Radio等)和ECU类型的大量开发人员有帮助,因为其可限制能够为任何给定的ECU 12生成G-SCAAT 20的个体数量,且然后再次限制每个用户被赋予权力去禁用的各种各样的安全控制,以便支持他们在开发、制造或服务中的角色。对于给定的ECU类型,存在引导加载程序开发人员、基础软件开发人员(从处理器硬件中提取应用代码的软件)、应用代码开发人员、校准工程师、诊断工程师、网络安全工程师、DRE(拥有官方发布的生产就绪ECU类型的设计发布工程师)、制造工程师、硬件工程师、质量工程师和服务工程师。于是利用本文中所描述的粒度控制,能够精细地管控和调整基于角色的与安全的关系,以便将最少特权提供给给定用户。
另一角色可与代理用户角色对应,该代理用户角色可选地细分为可限定的类或子角色,例如,类1至n。代理用户角色可用于启用调节,诸如用于售后调节。该角色将被赋予权力支持企业流程并访问所需的基础设施以生成一个或多个ECU类型的G-SCAAT,并且将有能力使用模块ID参数110、创建计数参数96和擦除点火循环参数114以支持使用IGN或创建计数器时间机制或不依赖时间的完全付费G-SCAAT来生成调节演示G-SCAAT。
另一角色可与保修角色对应,该保修角色可选地细分为可限定的类或子角色,例如,类1至n。保修分析角色用于将时间分量提供给ECU 12的编程,例如,G-SCAAT有效性的持续时间(IGN个循环、1次、创建计数、MEC值等),以便允许ECU 12为保修目的进行重新编程,而不必使用安全票据或其他解锁措施(其具有潜在地不明确的持续时间或潜在地提供比解决保修问题所需的解锁能力更大的解锁能力)。保修角色可用于生成持续时间有限的G-SCAAT 20,可选地被限制到各个ECU 12,此后G-SCAAT 20可自动无效。这种自动无效和限制与特定ECU 12一起使用的能力可有助于避免历史上由于安全票据或其他解锁在保修维修期间受到损害时不得不报废ECU 12而导致的报废成本,这是由于这种事件的范围被限制到特定的持续时间和/或可识别数量的ECU 12所致。
图4图示了根据本公开的一个非限制性方面的用于确保ECU 12安全的方法的流程图。块162涉及用于生成G-SCAAT 20的G-SCAAT生成过程。该生成过程可包括后台16接收与为了确保ECU 12的安全、对ECU 12进行编程等的目的而请求G-SCAAT 20的用户相关联的请求。该请求消息可通过门户24和/或通过其他通信(诸如,来自授权主管的电子邮件、电话等)接收。可选地,该请求消息可包括信任凭证和/或其他识别信息,诸如旨在与所请求的G-SCAAT 20一起使用的ECU 12的名称和ID。生成过程可包括分配阶段,借此后台16从多个可用角色、配置文件等中为用户选择角色、配置文件等。该角色可基于与请求者的身份相关联的预先限定的授权,诸如在查找表和/或算法中。可选地,做出请求的实体可被要求提供问卷或填写其他信息以便可选地根据预先限定的计算过程进行处理,以便于实现识别角色中的合适的一个或多个。
块164涉及与将G-SCAAT 20安装在ECU 12上相关联的安装过程,诸如利用请求-响应过程,例如UDS协议的请求SID 0x27和响应SID 0x67。请求-响应过程可包括后台16向ECU12提供用于G-SCAAT 20的后台计数器。可选地,安装过程可包括将G-SCAAT 20从常态区48过渡到安全区50,这可用于阻挠在安装后对其进行改变。
块166涉及在安装G-SCAAT 20之后执行认证过程。该认证过程包括处理后台计数器和ECU针对G-SCAAT 20的真实性生成合格判定和不合格判定中的一个,取决于后台计数器是否与被包括作为G-SCAAT 20的一部分的计数器匹配。后台计数器可以是单调地增加的计数器,其从创建G-SCAAT 20起和/或从将G-SCAAT 20安装在ECU 12上的时候起就保存在后台处。当ECU 12被解锁时,可将G-SCAAT 20内的到期计数98与提供给ECU 12的后台计数器进行比较。如果到期计数98未能大于接收到的/认证的后台计数器,则G-SCAAT 20可被视为无效。引导加载程序54可依赖于被包括在G-SCAAT 20中的创建计数96来评估G-SCAAT 20的有效性。可以以这种方式使用创建计数96以防止G-SCAAT 20被重新安装在它先前已从中被擦除的ECU 12上。创建计数96能够相应地与ECU 12内所存储的创建计数进行比较,该所存储的创建计数可以是从所安装的上一次有效的G-SCAAT 20设定的值。由此,G-SCAAT 20中的值可能需要大于ECU 12中的存储的值,以便使G-SCAAT 20被视为有效。
认证过程(可选地为单独的记录或跟踪过程)可在对G-SCAAT 20的成功或不成功认证之后发生。登录过程可包括生成指示合格或不合格判定的日志消息,并且可选地在每次进行G-SCAAT的认证和/或安装时将日志消息存储在安全区50内。跟踪过程可包括后台16请求或ECU 12自动传输日志消息。跟踪过程可包括执行安全事故和事件监测以检测未授权的活动,例如,在与安全参数中指定的情况不同的情况下使用G-SCAAT 20。
术语“包括(comprising)”、“包含(including)”和“具有”是包括性的,且因此指定所陈述的特征、步骤、操作、元件、或部件的存在,但不排除一个或多个其他特征、步骤、操作、元件、或部件的存在或添加。当可能时,步骤、过程和操作的顺序可更改,并且可采用附加的或替代的步骤。如本说明书中所使用的,术语“或”包括相关联的所列项目中的任何一个和所有组合。术语“中的任一个”被理解为包括被引用项目的任何可能的组合,包括被引用项目“中的任何一个”。“一”、“一个”、“该”、“至少一个”和“一个或多个”可互换地使用,以指示存在项目中的至少一个。除非上下文明确指示,否则可存在多个这种项目。除非依据上下文(包括所附权利要求)另外明确地或清楚地指示,否则参数的(例如,数量或条件的)所有数值都将被理解为在所有情况下均由术语“约”修饰,无论“约”是否实际出现在数值之前。“被构造成”执行指定功能的部件能够在不更改的情况下执行该指定功能,而不仅仅具有在进一步修改之后执行该指定功能的潜力。换句话说,当明确地被构造成执行指定功能时,所描述的硬件被专门选择、创建、实施、利用、编程和/或设计为用于执行该指定功能的目的。
虽然已描述了各种实施例,但描述旨在为示例性的而不是限制性的,并且对于本领域普通技术人员来说,将显而易见的是,在这些实施例的范围内的许多另外的实施例和实施方式是可能的。除非特别限制,否则任何实施例的任何特征都可与任何其他实施例中的任何其他特征或元件组合使用或代替任何其他特征或元件使用。因此,除非根据所附权利要求及其等同物所做的限制之外,这些实施例将不受限制。而且,在所附权利要求的范围内,可进行各种修改和变化。尽管已详细描述了用于实施本教导的许多方面的几种模式,但是熟悉这些教导所涉及的领域的技术人员将认识到用于实践本教导的在所附权利要求的范围内的各种替代性方面。意图是以上描述中包含或附图中示出的所有事项都应被解释为说明和例示普通技术人员将认识到的替代性实施例的完整范围,其由所包括的内容暗示、结构上和/或功能上等同于所包括的内容、或以其他方式基于所包括的内容显得显而易见,而不仅仅限于明确描绘和/或描述的实施例。
Claims (10)
1.一种用于确保电子控制单元(ECU)安全的方法,所述方法包括:
接收与请求对所述ECU进行编程的用户相关联的请求;
从多个可用角色中为所述用户选择角色;以及
根据多个安全参数来生成用于确保所述ECU安全的粒度安全控制调整授权票据(G-SCAAT),包括指定待用于将所述ECU控制为根据所述安全参数来操作的所述G-SCAAT内的安全值,所述多个安全参数是基于为所述用户所选择的角色来确定的。
2.根据权利要求1所述的方法,所述方法进一步包括:使后台计数器与所述G-SCAAT相关联,所述后台计数器被构造成根据预先限定的进度单调地增加为所述G-SCAAT设定的计数器值。
3.根据权利要求2所述的方法,所述方法进一步包括:至少部分地基于接收到所述后台计数器而在所述ECU处执行认证过程,所述认证过程被构造成针对所述G-SCAAT的真实性生成合格判定和不合格判定中的一个。
4.根据权利要求3所述的方法,所述方法进一步包括:如果所述后台计数器与作为所述安全值的一部分而被包括的到期计数器匹配,则生成所述合格判定;以及如果所述后台计数器未能与所述到期计数器匹配,则生成所述不合格判定。
5.根据权利要求4所述的方法,所述方法进一步包括:将所述合格判定限定为附加地要求作为所述G-SCAAT的一部分而被包括的消息认证码(MAC)与在所述ECU处生成的ECU MAC匹配。
6.根据权利要求3所述的方法,所述方法进一步包括:将指示所述合格或不合格判定的日志消息从所述ECU传输到后台,所述后台被构造成生成所述G-SCAAT并使所述后台计数器与其相关联。
7.根据权利要求6所述的方法,所述方法进一步包括:在所述ECU和所述后台之间执行请求-响应策略以作为被构造成将所述G-SCAAT安装在所述ECU上的安装过程的至少一部分。
8.根据权利要求1所述的方法,所述方法进一步包括:将所述多个可用角色中的每个限定为各自包括与其他角色的安全值不同的至少一个安全值。
9.根据权利要求1所述的方法,所述方法进一步包括:将所述安全参数确定为包括多个基于角色的参数和多个非基于角色的参数,所述基于角色的参数具有所述安全值中的根据所选择的角色而设定的对应安全值,所述非基于角色的参数具有所述安全值中的独立于所选择的角色而设定的对应安全值。
10.根据权利要求1所述的方法,所述方法进一步包括:将所述安全参数确定为包括所述ECU的存储器内能够被解锁的一个或多个分区;以及为每个分区指定模块标识符(ID)作为所述安全值的一部分。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/848629 | 2022-06-24 | ||
US17/848,629 US11954205B2 (en) | 2022-06-24 | 2022-06-24 | Security control for electronic control unit |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117331327A true CN117331327A (zh) | 2024-01-02 |
Family
ID=89167348
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211346437.1A Pending CN117331327A (zh) | 2022-06-24 | 2022-10-31 | 用于电子控制单元的安全控制 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11954205B2 (zh) |
CN (1) | CN117331327A (zh) |
DE (1) | DE102022128286A1 (zh) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8881308B2 (en) * | 2012-09-12 | 2014-11-04 | GM Global Technology Operations LLC | Method to enable development mode of a secure electronic control unit |
US10038565B2 (en) | 2012-12-20 | 2018-07-31 | GM Global Technology Operations LLC | Methods and systems for bypassing authenticity checks for secure control modules |
JP6467869B2 (ja) * | 2013-11-05 | 2019-02-13 | 株式会社リコー | 情報処理システム及び情報処理方法 |
FR3025377A1 (fr) * | 2014-09-02 | 2016-03-04 | Orange | Gestion de tickets electroniques |
DE102015209108A1 (de) * | 2015-05-19 | 2016-11-24 | Robert Bosch Gmbh | Verfahren und Entscheidungsgateway zum Autorisieren einer Funktion eines eingebetteten Steuergerätes |
DE102015209116A1 (de) * | 2015-05-19 | 2016-11-24 | Robert Bosch Gmbh | Verfahren und Aktualisierungsgateway zum Aktualisieren eines eingebetteten Steuergerätes |
-
2022
- 2022-06-24 US US17/848,629 patent/US11954205B2/en active Active
- 2022-10-26 DE DE102022128286.4A patent/DE102022128286A1/de active Pending
- 2022-10-31 CN CN202211346437.1A patent/CN117331327A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
US11954205B2 (en) | 2024-04-09 |
DE102022128286A1 (de) | 2024-01-04 |
US20230418944A1 (en) | 2023-12-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102347659B1 (ko) | 디바이스의 보안 프로비저닝 및 관리 | |
US8881308B2 (en) | Method to enable development mode of a secure electronic control unit | |
US20140075517A1 (en) | Authorization scheme to enable special privilege mode in a secure electronic control unit | |
CN111562935B (zh) | 一种ota安全升级系统及其升级方法 | |
CN103685214B (zh) | 用于汽车电子控制单元的安全访问方法 | |
US8539472B2 (en) | Method and system of updating shared memory | |
EP3676743B1 (en) | Application certificate | |
CN103677891A (zh) | 用于选择性软件回退的方法 | |
US20160057134A1 (en) | Updating of a Digital Device Certificate of an Automation Device | |
KR102639075B1 (ko) | 차량용 진단기 및 그 인증서 관리 방법 | |
EP1916612A2 (en) | Autonomous field reprogramming | |
KR20100016657A (ko) | 전자 디바이스에서 simlock 정보를 보호하는 방법 및 장치 | |
CN108259497B (zh) | 用于燃料分配器安全的系统和方法 | |
US8035494B2 (en) | Motor vehicle control device data transfer system and process | |
KR102368606B1 (ko) | 효율적인 차량용 리프로그래밍 장치 및 그 제어방법 | |
US11398896B2 (en) | Building device with blockchain based verification of building device files | |
CN107092833B (zh) | 用于处理数据的组件和用于实施安全功能的方法 | |
KR102562470B1 (ko) | 암호화 자료의 안전한 사용을 위한 방법 | |
EP3337085B1 (de) | Nachladen kryptographischer programminstruktionen | |
US10911432B2 (en) | Use of certificates using a positive list | |
AU2019255638B2 (en) | Methods for restricting read access to supply chips | |
DE102020205704A1 (de) | Validitätsbestätigungsausrüstung | |
CN117331327A (zh) | 用于电子控制单元的安全控制 | |
JP2020027341A (ja) | ストレージ装置およびデータ改ざん検証方法 | |
US20230415754A1 (en) | Performance tuning for electronic control unit |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |