[发明专利]用于对控制设备进行安全更新的方法

说明书

本发明涉及一种用于对控制设备进行安全更新的方法，该控制设备包括：主机，该主机被设立为执行更新程序和一个或多个应用程序；存储器，该存储器包含程序和数据；和硬件安全模块（HSM），该硬件安全模块被设立为检查存储器的存储区的完整性以及禁止和准许对存储器的写访问，该方法包括：启动（6、8）主机和HSM；通过HSM来禁止（12）对存储器的写访问；通过HSM来检查（16）存储器的包含更新程序的第一存储区的完整性；而且如果在该检查的情况下确认第一存储区的完整性，则通过HSM来准许（18）对存储器的写访问，并且启动更新程序。

技术领域

本发明涉及一种用于对控制设备进行安全更新的方法以及一种用于执行该方法的计算单元和一种用于执行该方法的计算机程序。

背景技术

在机器和车辆中使用可编程控制设备，以便控制这些机器和车辆或者还有这些机器和车辆的组件。例如，机动车可包含用于发动机控制、用于制动系统等等的控制设备。这些控制设备包括处理器，该处理器具有一个或者通常具有多个处理器内核（也简称为主机或主机系统），所述处理器内核执行存储在存储器中的应用程序，以便实现控制设备的控制功能。机器或车辆的制造商在生产机器或车辆时通常利用特定于制造商的应用程序来对在此使用的控制设备进行重新编程。同样，由于现代机器和车辆的耐久性，控制设备的控制功能必须能与不断变化的要求适配。即必须能够执行对控制设备的更新或重新编程，也就是说存储在存储器中的数据和程序应该能够被更改。

出于安全原因，必须防止：存储在控制设备或那里的微处理器或者微控制器的存储器中的应用软件或数据以未经允许的方式被更改。为此，可以针对存储器使用基于密码的写保护，该写保护可以通过硬件被取消和激活。只有当在输入密码之后取消了该存储器保护时，控制设备的存储器才能被更改或被重写，例如加载新软件或者将其它数据写到存储器中。密码针对每个控制设备被单独生成并且由所谓的硬件安全模块HSM来管理，该硬件安全模块将该密码存储在为此所设置的存储区中。如果应该执行更新，则由想要执行对所存储的软件或数据的更新或更改的人员或应用或者人员为此所使用的编程设备来要求并检验硬件安全模块的密码。通常并没有提供对控制设备的更新或重新编程过程的进一步保护。

发明内容

按照本发明，提出了具有专利独立权利要求的特征的一种用于对控制设备进行安全更新的方法以及一种用于执行该方法的计算单元和一种用于执行该方法的计算机程序。有利的设计方案是从属权利要求以及随后的描述的主题。

按照本发明，通过硬件安全模块一直阻止对存储器的写保护的取消，直至编程软件、也就是说更新程序已被认证，这通过对其中包含该更新程序的第一存储区的完整性检查来实现。通过该完整性检查，可以查明该存储区以及借此该更新程序是否已经以未经允许的方式被更改。只有当在该检查的情况下确认第一存储区的完整性时，写访问才被HSM准许并且该更新程序被启动。借此，增加了对控制设备的应用软件防止篡改的保护。