[发明专利]用于执行控制设备的安全启动序列的方法

说明书

本发明涉及一种用于执行控制设备的安全启动序列的方法，该控制设备包括：主机，该主机被设立为执行程序；和硬件安全模块HSM，该硬件安全模块被设立为对应用程序进行认证。该方法包括：启动主机和HSM；通过主机来执行加载程序，其中加载程序存储在主机的不能重写的第一存储器中；通过HSM来检查至少一个应用程序的真实性，其中该应用程序存储在主机的能重写的第二存储器中；而且如果确认该至少一个应用程序的真实性，则通过主机来执行该至少一个应用程序。

技术领域

本发明涉及一种用于执行用于控制设备的安全启动序列的方法以及一种用于执行该方法的计算单元和一种用于执行该方法的计算机程序。

背景技术

在机器和车辆中使用可编程控制设备，以便控制这些机器和车辆或者还有这些机器和车辆的组件。例如，机动车可包含用于发动机控制、用于制动系统等等的控制设备。这些控制设备包括处理器，该处理器具有一个或者通常具有多个处理器内核（也简称为主机或主机系统），该处理器执行存储在存储器中的程序，以便实现控制设备的功能。

出于安全原因，可以规定：在通过控制设备来执行程序之前，检查该程序的真实性，以便防止执行被篡改的程序。该检查可以由所谓的硬件安全模块HSM来执行，该硬件安全模块提供功能性，以便保护由控制设备执行的程序和通信以防篡改。为此，HSM使用签名，这些签名借助于加密功能和（秘密）密钥来被计算。在接通控制设备之后，首先必须检查主机的加载程序的真实性，该加载程序尤其是加载至少一个应用程序。通过HSM对加载程序的真实性的该检查延长了控制设备的启动阶段。启动阶段的延长可能附加地由于如下情况而受到不利影响：HSM首先必须本身被初始化并且在其中对记载程序进行真实性检查的初始时间段期间以降低的时钟频率来运行。

发明内容

按照本发明，提出了具有专利独立权利要求的特征的一种用于执行控制设备的安全启动序列的方法以及一种用于执行该方法的计算单元和一种用于执行该方法的计算机程序。有利的设计方案是从属权利要求以及随后的描述的主题。

通过按照本发明的方法，避免了在时间关键的控制设备（例如发动机控制设备）的情况下的启动序列的延迟。这通过如下方式来被实现：通过硬件保护来保护中央加载软件或引导软件，因为包含加载程序的第一存储器不能重写，并且因而不能更改。由此，保证了加载程序的完整性和真实性。加载程序可以立即、在无需HSM检查的情况下被执行，使得能够在没有时间延迟的情况下实现安全启动序列。换言之，用于执行控制设备的安全启动序列的方法是安全的控制设备启动序列。

在这种情况下，术语“启动序列”或启动（Hochlauf）表示由控制设备在启动之后最初执行的步骤，直至应用程序运行为止，这些应用程序实现控制设备的实际控制功能性。“安全”应该是指：不可能将启动序列篡改为使得执行如下程序，所述程序以未经允许的方式来更改控制设备的功能性、也就是说以其中使用该控制设备的装置（例如机器或车辆）的制造商和/或用户所不允许的方式来更改控制设备的功能性，或者所述程序能够使攻击者获得对控制设备的掌控以及借此至少部分地获得对由该控制设备所控制的装置的掌控。

本发明的另一优点在于：虽然加载程序存储在第一、不能重写的存储器中，但是提供控制设备的实际功能性的应用程序存储在第二、能重写的存储器中，使得能够对这些应用程序进行更新或重新编程。