[发明专利]用于对控制设备进行安全更新的方法

说明书

本发明涉及一种用于对控制设备进行安全更新的方法，该控制设备包括：主机，该主机被设立为执行更新程序和至少一个应用程序；存储器，该存储器包含程序和数据；和硬件安全模块HSM，该硬件安全模块被设立为禁止和准许对存储器的写访问。该方法包括：启动主机和HSM；通过HSM来禁止对存储器的写访问；启动更新程序；通过更新程序，确定是否存在调用者对执行更新的请求；如果存在请求，则通过HSM来检查调用者的执行更新的授权，其中通过与该控制设备不同的确认单元来确认所述调用者的授权；而且如果在检查该授权的情况下查明调用者被授权，则通过HSM来准许该写访问并且通过更新程序来重写存储器的至少一部分。

技术领域

本发明涉及一种用于对控制设备进行安全更新的方法以及一种用于执行该方法的计算单元和一种用于执行该方法的计算机程序。

背景技术

在机器和车辆中使用可编程控制设备，以便控制这些机器和车辆或者还有这些机器和车辆的组件。例如，机动车可包含用于发动机控制、用于制动系统等等的控制设备。这些控制设备包括处理器，该处理器具有一个或者通常具有多个处理器内核（也简称为主机或主机系统），所述处理器内核执行存储在存储器中的应用程序，以便实现控制设备的控制功能。机器或车辆的制造商在生产机器或车辆时通常利用特定于制造商的应用程序来对在此使用的控制设备进行重新编程。同样，由于现代机器和车辆的耐久性，控制设备的控制功能必须能与不断变化的要求适配。即必须能够执行对控制设备的更新或重新编程，也就是说存储在存储器中的数据和程序应该能够被更改。

出于安全原因，必须防止：存储在控制设备或那里的微处理器或者微控制器的存储器中的应用软件或数据以未经允许的方式被更改。为此，可以针对存储器使用基于密码的写保护，该写保护可以通过硬件被取消和激活。只有当在输入密码之后取消了该存储器保护时，控制设备的存储器才能被更改或被重写，例如加载新软件或者将其它数据写到存储器中。密码针对每个控制设备被单独生成并且由所谓的硬件安全模块HSM来管理，该硬件安全模块将该密码存储在为此所设置的存储区中。如果应该执行更新，则由想要执行对所存储的软件或数据的更新或更改的人员或应用或者人员为此所使用的编程设备来要求并检验硬件安全模块的密码。通常并没有提供对控制设备的更新或重新编程过程的进一步保护。

发明内容

按照本发明，提出了具有专利独立权利要求的特征的一种用于对控制设备进行安全更新的方法以及一种用于执行该方法的计算单元和一种用于执行该方法的计算机程序。有利的设计方案是从属权利要求以及随后的描述的主题。

按照本发明，通过硬件安全模块一直阻止对存储器的写保护的取消，直至对调用者的授权的单独检验成功完成，该调用者调用控制设备的更新功能，也就是说该调用者请求执行更新。在此，调用者的授权由独立于该控制设备或与该控制设备不同的、尤其是车辆外部的确认单元来确认。

只有当在检查该授权的情况下查明调用者被授权时，才通过HSM来准许写访问和更新程序对存储器的至少一部分的重写。借此，增加了对控制设备的应用软件防止篡改的保护。

在检查该授权的情况下，HSM适宜地与（外部）确认单元直接或间接进行通信。由于调用者的授权由第三方来确认，所以该授权可以在该第三方处集中被指派和/或收回。这能够实现对授权的简单的指派或撤销，尤其是当调用者应该被授权时对多个控制设备进行更新（比如汽车制造商的所有机动车的控制设备都在其中被更新的汽车修理厂）。各个控制设备或这些控制设备的相应的HSM不需要自己了解对授权的指派或撤销。确认单元可以是单个单元（比如在机动车的控制设备的情况下是汽车制造商的服务器，例如所谓的密钥管理系统（Key-Management-System））或者也可以在分布式系统中形成（比如以公钥基础设施（PKI）或者区块链为形式）。确认单元例如存储秘密密码或加密密钥，这些秘密密码或加密密钥在授权检查的情况下得以应用。尤其是，确认单元负责多个HSM或控制设备，尤其是甚至负责多个机器或车辆。