[发明专利]在安全电子控制单元中启用特殊优先模式的授权方案

说明书

技术领域

本发明总体上涉及一种用于绕过在控制器上安装软件文件所需的授权要求的系统和方法，更具体地涉及一种为了软件开发目的而绕过在车辆电子控制单元(ECU)上安装新软件所需的签名的系统和方法。

背景技术

多数现代车辆包括控制车辆系统-例如动力系、气候控制系统、资讯娱乐系统、车体系统、底盘系统以及其他系统的操作的电子控制单元(ECU)或控制器。这种控制器需要为特定目的设计的软件以便执行控制功能。随着这些控制器的数量和复杂性的增加以及由恶意软件的开发者造成的威胁的增长，认证加载到汽车控制器上的二进制文件的来源和内容变得愈发重要。在车辆控制器中使用没有适当认证或者（更糟糕的）恶意设计的软件的后果包括：车辆或者其系统的非期望表现、车辆上防盗窃特征的丧失、诸如里程表的部件的潜在擅改以及其他车辆特征和功能的丧失。

一种公知的数字编码技术被称为非对称密钥加密术，所述技术使用数字签名来认证编程到控制器中的文件。如将为所属领域技术人员充分理解的，非对称密钥加密术使用称为私有密钥和公共密钥的一对数学上相关的密钥来为消息加密和解密。为了形成数字签名，签名者使用他的私有密钥(只有他自己知道)来为消息加密。数字签名可随后被使用与签名者的私有密钥配对的公共密钥的另一方解密。

快速安装（flashing）是用于将软件文件、校准文件和/或其他应用安装到车辆ECU的闪存存储器或其他可编程装置中的众所周知的过程。引导加载程序（bootloader）是加载到ECU上的嵌入软件程序，所述引导加载程序在ECU与快速安装文件的程序装置之间提供接口。在允许ECU执行软件文件或校准文件之前，所述引导加载程序可采用非对称密钥加密术并且存储将程序装置传送的数字签名解码所必须使用的公共密钥。

当开发和测试新版本的软件和校准文件时，通常期望采用已快速安装了现有文件的产品控制器来作为仅为了开发目的而提供的专门控制器的成本较低的备选方案。当在生产控制器中安装开发软件文件时，在ECU将允许文件安装之前，文件必须被适当地签名或者以其他方式认证。要求授权使用者对开发软件文件和校准文件签名需要付出很多的精力、时间和资源。然而，如果能将开发软件文件相对容易地安装到ECU中－包括绕过认证用于授权使用者的文件的签名要求，那么黑客将ECU设置成不需要签名的配置也会比较容易。因此，期望提供一种安全程序，其中被用于测试开发软件的生产控制器被指令不需要通过签名来快速安装软件，但仍足够安全以便防止潜在的黑客执行相同操作。

如果车辆上的特定模块存在大量生产控制器并且开发了一种为了测试和开发目的而将开发软件快速安装到那些控制器中的一个上的技术，如果该技术曾在安全开发环境之外释放，那么所有那些产品控制器随后可能都有容易受到攻击的风险。因此，用于指令控制器接收对于一种类型的特定控制器未签名的开发软件的技术需要足够安全以便防止潜在的黑客访问该控制器，并且还需要足够安全而当潜在的黑客取得了用于控制器的该技术时所述技术将不能在相同类型的所有其他控制器上使用。

发明内容

根据本发明的教导，公开了一种用于在不必认证软件的情况下绕过安全码来允许开发软件安装在安全生产控制器上的系统和方法。所述方法包括从控制器请求信息以及响应于该请求而在控制器中生成识别控制器的信息标签。所述信息标签被发送到生成授权标签的安全服务器，所述授权标签通过信息标签识别控制器并且生成用于所述标签的安全码。所述授权标签被呈送给控制器，并且如果控制器核实了该安全码，则控制器使开发软件能够安装而无论所述开发软件是否被适当地签名。

方案1. 一种启用安全控制器中的优先模式的方法，所述方法包括：

从所述控制器请求信息；

响应于所述请求在所述控制器中生成识别所述控制器的信息标签；

将所述控制器信息标签发送到安全服务器；

在所述安全服务器中生成授权标签，所述授权标签识别所述控制器并且生成用于所述授权标签的安全码；

将所述授权标签呈送给所述控制器；以及

在所述控制器中处理所述授权标签来核实所述安全码并允许访问所述控制器。

方案2. 如方案1所述的方法，其中从所述控制器请求信息、发送所述控制器信息标签到所述服务器以及发送所述授权标签到所述控制器是由人来执行的。

方案3. 如方案1所述的方法，其中所述授权标签包括关于所述控制器的独特识别信息、访问所述控制器的目的、所述授权标签和所述安全码的有效时段。