[发明专利]用于执行控制设备的安全启动序列的方法

说明书

本发明涉及一种用于执行控制设备的安全启动序列的方法，该控制设备包括：主机，该主机被设立为执行加载程序和一个或多个应用程序；和硬件安全模块HSM，该硬件安全模块具有程序存储器和数据存储器。该方法包括：启动主机和HSM；通过HSM，借助于存储在HSM的程序存储器中的加载程序签名来对加载程序进行认证；而且如果对加载程序的认证成功，则通过主机来执行该加载程序。

技术领域

本发明涉及一种用于执行控制设备的安全启动序列的方法以及一种用于执行该方法的计算单元和一种用于执行该方法的计算机程序。

背景技术

在机器和车辆中使用可编程控制设备，以便控制这些机器和车辆或者还有这些机器和车辆的组件。例如，机动车可包含用于发动机控制、用于制动系统等等的控制设备。这些控制设备包括处理器，该处理器具有一个或者通常具有多个处理器内核（也简称为主机或主机系统），所述处理器内核执行存储在存储器中的程序，以便实现控制设备的功能。

出于安全原因，可以规定：在通过控制设备来执行程序之前，检查该程序的真实性，以便防止执行被篡改的程序。为此可以检查：其中存储有该程序的存储区是否未经更改。这由所谓的硬件安全模块HSM来执行，该硬件安全模块提供功能性，以便保护由控制设备执行的程序和通信以防篡改。为此，HSM使用加密功能、签名和（秘密）密钥。这些签名和密钥被HSM存储在数据存储器中，在启动控制设备时，该数据存储器被初始化。通常，在启动控制设备时，首先必须检查主机的加载程序的真实性，该加载程序尤其是加载应用程序。由于数据存储器的由HSM利用降低的时钟频率来执行的所需的初始化，这里可能发生延迟。

发明内容

按照本发明，提出了具有专利独立权利要求的特征的一种用于执行控制设备的安全启动序列的方法以及一种用于执行该方法的计算单元和一种用于执行该方法的计算机程序。有利的设计方案是从属权利要求以及随后的描述的主题。

由于加载程序签名位于HSM的由HSM保护、也就是说防止篡改的程序存储器中，并且随着HSM的启动可以立即访问该程序存储器，而不必等待HSM的数据存储器的初始化，因而即使在HSM的可能还降低的时钟频率的情况下也能够执行安全且快速的启动序列，使得能够保护在时间关键的应用中使用的控制设备（例如发动机控制设备）。换言之，用于执行控制设备的安全启动序列的方法是安全的控制设备启动序列。

在这种情况下，术语“启动序列”或启动（Hochlauf）表示由控制设备在启动之后最初执行的步骤，直至应用程序运行为止，这些应用程序实现控制设备的实际控制功能性。“安全”应该是指：不可能将启动序列篡改为使得执行如下程序，所述程序以未经允许的方式来更改控制设备的功能性、也就是说以其中使用该控制设备的装置（例如机器或车辆）的制造商和/或用户所不允许的方式来更改控制设备的功能性，或者所述程序能够使攻击者获得对控制设备的掌控以及借此至少部分地获得对由该控制设备所控制的装置的掌控。加载程序签名形成针对加载程序的参考签名。

主机或主机系统包括处理器（主机内核），该处理器被设立为执行软件或计算机程序（简称为程序），以便实现控制设备的功能。主机可包括其它元件，比如（易失性）工作存储器（例如随机存取存储器，random access memory，RAM），非易失性主机存储器（例如闪速存储器），通信接口，尤其是用于与主机存储器、HSM和外部设备通信的通信接口，和/或类似的元件。软件包含或存储在非易失性主机存储器、例如闪速存储器、硬盘或SSD（solid statedisk（固态硬盘））中。主机存储器能重写。