[发明专利]用于回路仿真中的机密多方软件的系统和方法

说明书

本公开涉及用于回路仿真中的机密多方软件的系统和方法。公开了一种软件在回路（SiL）系统和方法，其可以包括仿真器，该仿真器可操作来提供仿真动态系统的环境，使得能够实现系统的快速开发、验证、以及复杂系统的测试。该系统和方法可以包括：组装可操作来仿真真实世界系统的一个或多个不受保护模型。然后，该系统和方法可以使用第一密码密钥从所述一个或多个不受保护模型中加密并生成至少一个受保护模型。所述至少一个受保护模型可以使用密封的解密密钥来解密。解密的受保护模型然后可以在一个或多个TEE内执行。所述至少一个受保护模型可以可操作来处理传入数据和传出数据。

技术领域

本公开涉及用于回路仿真（simulation）中的机密多方软件的系统和方法。

背景技术

软件在回路（Software in the Loop，SiL）系统可以包括测试设置，其中工厂模型和电子控制单元（ECU）软件在纯“虚拟”计算或IT环境中运行和测试。事实上，SiL系统可以被设计成使得甚至不需要物理组件（例如，传感器、致动器）或目标ECU硬件（例如，车辆控制器）。SiL仿真甚至可以表示将编译的生产源代码集成到数学模型仿真中，该数学模型仿真为工程师提供实用的虚拟仿真环境，用于开发和测试大型且复杂的系统的详细控制策略。虽然已知存在各种类型的SiL系统，但它们典型地在有限的测试区域中采用。然而，随着各种行业（例如，汽车行业）中系统和软件复杂性的增加，一种可操作来减少开发周期时间并处置待测试的分布式软件功能的显著增加的SiL验证和检验系统和方法是合期望的。

发明内容

公开了一种用于使用一个或多个可信执行环境（TEE）来保护真实世界系统的软件在回路仿真的系统和方法。本领域的技术人员应当理解，TEE可以包括安全飞地（enclave）。该系统和方法可以包括组装可操作来对真实世界系统进行仿真的一个或多个不受保护模型。然后，该系统和方法可以使用第一密码密钥从一个或多个不受保护模型中加密并生成至少一个受保护模型。所述至少一个受保护模型可以使用密封的解密密钥来解密。解密的受保护模型然后可以在一个或多个TEE内执行。所述至少一个受保护模型可以可操作来处理传入数据和传出数据。

SiL仿真也可以可操作来在一个或多个不受保护的通信网络上交换不受保护的数据。设想到一个或多个不受保护的通信网络可操作来从外部源、至少一个受保护模型或一个或多个不受保护模型传输不受保护的数据。TEE还可以可操作来使用至少第二密码密钥在一个或多个受保护的通信网络上加密和交换受保护的数据。一个或多个受保护的通信网络可操作来从外部源或至少一个受保护模型传输受保护的数据。最后，可以使用一个或多个证明摘要来检验受保护的数据的完整性，该证明摘要在软件在回路仿真终止时被传输。证明摘要还可以用于检验从至少一个受保护模型传输的受保护的数据的完整性。

TEE还可以可操作来使用安全飞地加密受保护模型的一个或多个子组件。或者可以通过加密一个或多个不受保护模型中的至少两个模型来生成多模型安全性飞地。受保护的数据可以包括由至少一个受保护模型用来仿真真实世界系统的参数。安全飞地可以被编译为动态签名库，并且可以包括飞地转换功能，该功能可操作来保护至少一个受保护模型内的内部接口。飞地转换功能还可以可操作来保护至少一个受保护模型与一个或多个受保护的通信网络之间的外部接口。进一步设想到，可以生成辅助安全飞地来从密钥供应主机请求密封的解密密钥。可以从密钥供应服务器获得密封的解密密钥来解密安全飞地。最后，可以使用对称加密密钥（例如，AES-128安全性密钥）对飞地进行加密。但是设想到，可以使用其他类型的密码密钥对飞地进行加密。

所述TEE可以可操作来隔离至少一个受保护模型的执行状态以及保护至少一个受保护模型的执行状态免受在没有飞地访问控制或逻辑的批准的情况下被访问。第二密码密钥可以在TEE与另一个TEE之间交换，以检验受保护的数据的完整性。或者，第二密码密钥可以由外部系统从TEE获得，用于与TEE的通信或TEE之间的通信。在外部交换时，外部系统可以将受保护的数据摄取到其自己的TEE环境中。

附图说明

图1是SiL系统的说明性示例。