[发明专利]用于选择性软件回退的方法

说明书

技术领域

本发明大体上涉及用于防止软件文件的脆弱的旧版本在控制器中被刷写的系统和方法，并且更具体地涉及用于防止软件文件的脆弱的旧版本在车辆电子控制单元(ECU)中被刷写的系统和方法，这包括每次发布新软件文件时更新安全码以修正安全漏洞。

背景技术

大多数现代化车辆包括电子控制单元(ECU)或控制器，其控制诸如动力系、气候控制系统、信息娱乐系统、车身系统、底盘系统以其它的车辆系统的操作。此类控制器需要为专门用途设计的软件，以便执行控制功能。随着这些控制器的数量和复杂性的增加，以及由恶意软件开发者造成的威胁的不断增加，比以往更重要的是对加载到汽车控制器上的二进制文件的来源和内容进行认证。在车辆控制器中使用未正确认证的或坏的、恶意设计的软件的后果包括车辆或其系统的非预期行为、车辆上的防盗特征的丢失、对诸如里程计的部件的潜在篡改、以及其它车辆特征和功能的丢失。

一种已知的数字编码技术被称为非对称密钥加密，其使用数字签名来认证编程到控制器中的文件。如本领域的技术人员所充分理解的，非对称密钥加密使用称为私钥和公钥的一对与数学有关的密钥来加密和解密消息。为了创建数字签名，签名者使用他的仅其本人知道的私钥来加密消息。该数字签名可随后由另一方使用与签名者的私钥成对的公钥来解密。

刷写是一种用于将软件、校准文件和其它应用程序上传到车辆ECU或其它可编程装置的闪存中的熟知的方法。引导装载程序是一种加载到ECU上的嵌入式软件程序，该程序在ECU和正刷写软件的编程装置之间提供接口。引导装载程序可采用非对称密钥加密并存储在允许ECU执行软件或校准之前必须用来对由编程装置传输的数字签名进行解码的公钥。

与软件文件相关联的文件标题通常包括关于该文件的信息和包括模块ID、兼容ID、签名、地址范围等的与紧随文件标题的代码有关的信息。一旦软件文件已被发布、正确刷写和在ECU中运行，就可能发现软件文件具有一些安全漏洞，潜在的黑客可能通过该安全漏洞恶意访问ECU。当此类安全漏洞被识别时，车辆制造商可以修订软件文件，以便消除安全漏洞。然后将新软件文件刷写到ECU中以替换编程到ECU存储器中的脆弱软件。然而，ECU可能仍然是脆弱的，因为拥有带正确的可信签名的软件文件的脆弱旧版本的潜在黑客可以将该软件文件加载回ECU，然后利用安全漏洞。换言之，如果已用修正安全漏洞的修订过的软件文件刷写了ECU，潜在黑客可以访问已正确签名但包括安全漏洞的较旧版本的软件文件，将该软件文件加载回ECU，然后利用安全漏洞。

发明内容

根据本发明的教导，公开了用于验证将安装到控制器中的软件文件的系统和方法。该方法包括准备所述软件文件，包括将软件版本代码分配给软件文件，将安全版本代码分配给软件文件，以及用软件文件版本代码和安全版本代码对软件文件进行签名。签名的软件文件被提供至控制器以安装在控制器上，并且控制器验证软件文件签名以确定软件文件是否为有效的以及安全版本代码是否为有效的。如果签名为有效的且安全版本代码为有效的，并且满足其它所需条件，则控制器允许将软件文件安装在控制器中。

本发明提供下列技术方案。

1. 一种用于验证将安装到控制器中的软件文件的方法，所述方法包括：

准备所述软件文件；

将软件版本代码分配给所述软件文件；

将安全版本代码分配给所述软件文件；

用所述软件文件版本代码和所述安全版本代码对所述软件文件进行数字签名；

将所述签名的软件文件提供至所述控制器以安装在所述控制器上；

验证所述控制器中的所述软件文件签名以确定所述软件文件是否为有效的；

如果所述控制器确定所述签名的软件文件为有效的，则确定所述软件文件中的所述安全版本代码是否为有效的；以及

如果所述签名的软件文件为有效的且所述安全版本代码为有效的，则允许将所述软件文件安装在所述控制器中。

2. 根据技术方案1所述的方法，其中将安全版本代码分配给所述软件文件包括：如果所述软件文件未准备用于修正安全漏洞，则将所述安全版本代码保持相同；如果所述软件文件已准备好用于修正安全漏洞，则增加所述安全版本代码。

3. 根据技术方案2所述的方法，其中确定所述软件文件中的所述安全版本代码是否为有效的包括确定所述安全版本代码是否为存储在所述控制器中的较旧版本的安全版本代码，如果是这样，则不允许将所述软件文件加载到所述控制器中。