專利名稱:使用診斷鏈路連接器(dlc)和onstar系統(tǒng)的用于安全固件下載的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明總體涉及一種系統(tǒng)和方法���,其用于安全地下載固件到車輛電子控制單元(ECU),更具體地�,涉及一種系統(tǒng)和方法����,其用于安全地下載固件到車輛ECU,其包括通過兩個(gè)分離的可信的源來驗(yàn)證固件從而證實(shí)固件是可信的��。
背景技術(shù):
很多現(xiàn)代車輛包括:電子控制單元(ECU)或控制器��,其控制諸如動(dòng)力系���、氣候控制系統(tǒng)�、信息娛樂系統(tǒng)、車身系統(tǒng)��、底盤系統(tǒng)及其他的車輛系統(tǒng)的操作����。這樣的控制器需要為特定目的設(shè)計(jì)的軟件(例如應(yīng)用代碼和校準(zhǔn))以便執(zhí)行控制功能。隨著這些控制器的數(shù)量和復(fù)雜性的增加���,以及由惡意軟件的開發(fā)者所構(gòu)成的威脅的增加�,認(rèn)證被加載在機(jī)動(dòng)車控制器上的二進(jìn)制文件的來源和內(nèi)容比以往更重要�����。在車輛控制器中使用未經(jīng)適當(dāng)驗(yàn)證的或者更糟地惡意設(shè)計(jì)的軟件的后果包括:車輛或其系統(tǒng)的非預(yù)期行為��;車輛上的防盜特征的喪失�����;對(duì)諸如里程計(jì)的部件的可能的竄改�;以及其它車輛特征和功能的喪失。一種已知的數(shù)字編碼技術(shù)被稱為非對(duì)稱密鑰密碼術(shù)����,其使用數(shù)字簽名以便認(rèn)證被編程進(jìn)控制器中的文件��。如本領(lǐng)域的技術(shù)人員將理解的�,非對(duì)稱密鑰密碼術(shù)使用被稱為私人密鑰和公共密鑰的一對(duì)算術(shù)相關(guān)的密鑰來對(duì)消息加密和解密��。為了創(chuàng)建數(shù)字簽名���,簽名人使用僅為其自己所知的其私人密鑰來對(duì)消息加密。數(shù)字簽名可稍后由另一方使用與簽名人的私人密鑰成對(duì)的公共密鑰來解密��。閃存(flashing)是用于將軟件���、校準(zhǔn)文件和其它應(yīng)用下載到車輛ECU的內(nèi)存或其它可編程裝置中的熟知的過程���。引導(dǎo)加載器是在ECU的內(nèi)存中加載的嵌入式軟件程序,其在E⑶和正在下載軟件的計(jì)算機(jī)裝置之間提供接口��。弓丨導(dǎo)加載器閃存進(jìn)入E⑶內(nèi)存的操作軟件和校準(zhǔn)文件���,其中操作軟件提供軟件�����,該軟件使各種車輛功能彼此結(jié)合操作��,校準(zhǔn)文件是用于特定車輛系統(tǒng)的各種車輛參數(shù)�����,例如壓力�����,溫度等�����。引導(dǎo)加載器通常利用非對(duì)稱密鑰密碼術(shù)并且存儲(chǔ)公共密鑰����,該公共密鑰必須用來在允許下載到ECU或ECU的重新閃存之前對(duì)由上載計(jì)算機(jī)傳遞的數(shù)字簽名進(jìn)行解碼以防止惡意軟件或校準(zhǔn)文件被下載到E⑶中。已知的數(shù)字編碼技術(shù)����,例如上面涉及的使用數(shù)字簽名的非對(duì)稱密鑰密碼術(shù),非常擅長(zhǎng)防止?jié)撛诤诳烷W存不可信的軟件到ECU中�。不過,被下載到車輛ECU的對(duì)固件的替代形式的惡意攻擊可能來自知道公共和私人密鑰的組織�,其中潛在黑客以某種方式獲得了公共和私人密鑰而不用解密它們��。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的教導(dǎo)�����,公開了一種系統(tǒng)和方法�,其用于通過使用兩個(gè)分離的可信的源來驗(yàn)證固件從而驗(yàn)證被下載到車輛ECU的固件是可信的�����。在一個(gè)實(shí)施例中�����,方法包括將固件分成第一固件部分和第二固件部分�����,并且用第一信任的源的第一私人密鑰簽名第一固件部分�。第一信任的源散列(hash)第二固件部分并把散列的第二固件部分發(fā)送給第二信任的源���。第二信任的源使用第二私人密鑰為散列的第二固件部分簽名��,并且第一信任的源把固件和第一固件部分的簽名發(fā)送給下載工具��。車輛從下載工具請(qǐng)求固件和第一固件部分的簽名并且從第二信任的源請(qǐng)求第二固件部分的簽名�。第二信任的源把第二固件部分的簽名發(fā)送給車輛,并且車輛使用第一公共密鑰驗(yàn)證第一固件部分的簽名�,并且使用第二公共密鑰驗(yàn)證第二固件部分的簽名。如果兩個(gè)部分經(jīng)過驗(yàn)證��,車輛執(zhí)行固件���。本發(fā)明的另外的特征將從結(jié)合附圖所做出的下列描述和所附權(quán)利要求變得明顯�����。本發(fā)明還提供了以下方案:
1.一種方法����,其用于驗(yàn)證被下載到車輛ECU的固件�����,所述方法包括:
將固件分成第一固件部分和第二固件部分����;
在第一信任的源使用散列函數(shù)散列第一固件部分;
用第一源私人密鑰加密第一固件部分的散列���,以在第一信任的源產(chǎn)生簽名�����;
在第一信任的源使用散列函數(shù)散列第二固件部分��;
將散列的第二固件部分發(fā)送到第二信任的源���;
用第二源私人密鑰加密第二固件部分的散列����,以在第二信任的源產(chǎn)生簽名�����;
從第一信任的源將固件和第一固件部分的簽名發(fā)送給下載工具����;
從下載工具請(qǐng)求固件和第一固件部分的簽名���;
從第二信任的源請(qǐng)求第二固件部分的簽名����;
將第二固件部分的簽名從第二信任的源發(fā)送給車輛;
使用第一源公共密鑰驗(yàn)證車輛中的第一固件部分的簽名��;
使用第二源公共密鑰驗(yàn)證車輛中的第二固件部分的簽名��;以及 驗(yàn)證ECU中的固件是否第一和第二固件部分是有效的����。2.根據(jù)方案I所述的方法,其特征在于��,第一信任的源是車輛制造商����。3.根據(jù)方案2所述的方法,其特征在于�,第二信任的源是OnStar 。4.根據(jù)方案I所述的方法�����,其特征在于��,其進(jìn)一步包括在請(qǐng)求第二固件部分的所簽的簽名之前在車輛中輸入密碼以授權(quán)車輛���。5.一種方法����,其用于驗(yàn)證被下載到控制器的固件,所述方法包括:
用第一信任的源的第一私人密鑰簽名固件或固件的第一部分���;
用第二信任的源的第二私人密鑰簽名固件或固件的第二部分���;
在控制器處使用第一公共密鑰驗(yàn)證簽名的固件或固件的第一部分;
在控制器處使用第二公共密鑰驗(yàn)證固件或固件的第二部分�;以及通過控制器處的第一公共密鑰驗(yàn)證用于使用的固件是否固件或固件的第一部分是有效的,并且通過控制器處的第二公共密鑰驗(yàn)證用于使用的固件是否固件或固件的第二部分是有效的���。6.根據(jù)方案5所述的方法�����,其特征在于�,其進(jìn)一步包括在固件或固件的第一部分被簽名之前散列固件或固件的第一部分�,在固件或固件的第二部分被簽名之前散列固件或固件的第二部分,并且其中用第一私人密鑰簽名固件或固件的第一部分包括簽名固件或固件的第一部分的散列����,用第二私人密鑰簽名固件或固件的第二部分包括簽名固件或固件的第二部分的散列���。7.根據(jù)方案5所述的方法��,其特征在于���,在第二信任的源用第二私人密鑰簽名固件或固件的第二部分包括從數(shù)據(jù)文件知識(shí)庫(kù)提供固件到第二信任的源以被簽名���。8.根據(jù)方案7所述的方法,其特征在于�,其進(jìn)一步包括從第二信任的源將簽名的固件或固件的第二部分返回到數(shù)據(jù)文件知識(shí)庫(kù)。9.根據(jù)方案8所述的方法�����,其特征在于���,其進(jìn)一步包括從數(shù)據(jù)文件知識(shí)庫(kù)提供固件����,簽名的固件或固件的第一部分����,和簽名的固件或固件的第二部分到下載工具。10.根據(jù)方案5所述的方法,其特征在于��,其進(jìn)一步包括從第一信任的源提供簽名的固件或固件的第一部分到下載工具��,從第二信任的源提供簽名的固件或固件的第二部分到控制器��。11.根據(jù)方案5所述的方法�����,其特征在于�,其進(jìn)一步包括從第一信任的源提供固件或固件的第二部分和簽名的固件或固件的第一部分到第二信任的源,從第二信任的實(shí)體提供固件��,簽名的固件或固件的第二部分和簽名的固件或固件的第一部分到控制器��。12.根據(jù)方案5所述的方法��,其特征在于�,其進(jìn)一步包括在下載固件之前提供密碼給控制器。13.根據(jù)方案5所述的方法���,其特征在于����,第一信任的源是車輛制造商。14.根據(jù)方案13所述的方法���,其特征在于,第二信任的源是OnStar �。15.根據(jù)方案14所述的方法,其特征在于���,控制器是車輛上的E⑶����。16.一種系統(tǒng)���,其用于驗(yàn)證被下載到控制器的固件���,所述系統(tǒng)包括:
用第一信任的源的第一私人密鑰簽名固件或固件的第一部分的裝置;
用第二信任的源的第二私人密鑰簽名固件或固件的第二部分的裝置�;
在控制器處使用第一公共密鑰驗(yàn)證簽名的固件或固件的第一部分的裝置;
在控制器處使用第二公共密鑰驗(yàn)證固件或固件的第二部分的裝置��;以及
通過控制器處的第一公共密鑰驗(yàn)證用于使用的固件是否固件或固件的第一部分是有效的��,并且通過控制器處的第二公共密鑰驗(yàn)證用于使用的固件是否固件或固件的第二部分有效的裝置����。17.根據(jù)方案16所述的系統(tǒng)�����,其特征在于�,其進(jìn)一步包括在固件或固件的第一部分被簽名之前散列固件或固件的第一部分�����,在固件或固件的第二部分被簽名之前散列固件或固件的第二部分的裝置����,并且其中用第一私人密鑰簽名固件或固件的第一部分的裝置包括簽名固件或固件的第一部分的散列,用第二私人密鑰簽名固件或固件的第二部分的裝置簽名固件或固件的第二部分的散列��。18.根據(jù)方案16所述的系統(tǒng)���,其特征在于���,其進(jìn)一步包括從第一信任的源提供簽名的固件或固件的第一部分到下載工具,從第二信任的源提供簽名的固件或固件的第二部分到控制器的裝置�����。19.根據(jù)方案16所述的系統(tǒng),其特征在于�,其進(jìn)一步包括在下載固件之前提供密碼給控制器的裝置。20.根據(jù)方案16所述的系統(tǒng)����,其特征在于�����,第一信任的源是車輛制造商�����,第二信任的源是OnStar ,控制器是車輛E⑶�����。
圖1是系統(tǒng)的框圖���,其顯示了簽名驗(yàn)證過程的操作�; 圖2是流程圖��,其顯示了用于驗(yàn)證被下載到車輛的固件文件的過程����,其中車輛包括遠(yuǎn)程信息處理系統(tǒng)�����,例如OnStar ���;
圖3是流程圖,其顯示了用于驗(yàn)證被下載到車輛的固件文件的過程��,其中車輛不具有OnStar ;以及
圖4是流程圖�����,其顯示了用于驗(yàn)證被下載到車輛ECU的固件文件過程���,其中僅使用OnStar ����。
具體實(shí)施例方式本發(fā)明的實(shí)施例的下列討論涉及用于通過兩個(gè)分離的可信的源來驗(yàn)證固件從而驗(yàn)證下載到車輛ECU的固件文件的系統(tǒng)和方法�,其本質(zhì)上僅僅是示例性的,并且決不旨在限制本發(fā)明或其應(yīng)用或使用�����。例如,本發(fā)明具有用于下載固件到車輛ECU的特定應(yīng)用���。然而����,如本領(lǐng)域的技術(shù)人員將了解的����,驗(yàn)證技術(shù)可具有用于下載固件和/或軟件到其他控制器的應(yīng)用�����。圖1是用于使用非對(duì)稱密鑰數(shù)字簽名用于認(rèn)證被編程到控制器中的文件的已知方法的框圖10�。如本領(lǐng)域的技術(shù)人員將理解的,非對(duì)稱密鑰密碼使用一對(duì)被稱為私人密鑰和公共密鑰的算術(shù)相關(guān)的密鑰來對(duì)消息加密和解密�。為了創(chuàng)建數(shù)字簽名,簽名人使用僅為其自己所知的其私人密鑰來對(duì)文件加密���。數(shù)字簽名可稍后由另一方使用與簽名人的私人密鑰成對(duì)的公共密鑰來解密以認(rèn)證文件或消息��。在簽名步驟12中����,內(nèi)容文件14被提供,其中內(nèi)容文件14可能是一份軟件���、固件���、校準(zhǔn)文件、或?qū)⒃诳刂破髦斜皇褂玫钠渌鼉?nèi)容�����。密碼散列計(jì)算在內(nèi)容文件14上執(zhí)行以產(chǎn)生散列值或概要16�����。然后�,用簽名人的私人密鑰對(duì)散列值16加密以產(chǎn)生數(shù)字簽名18,其中數(shù)字簽名18僅對(duì)該特定的內(nèi)容文件有效�����。數(shù)字簽名18和內(nèi)容文件14然后在驗(yàn)證步驟20中被使用���,該驗(yàn)證步驟20將由在此處討論的應(yīng)用中的ECU中的引導(dǎo)加載器執(zhí)行����。使用簽名人的公共密鑰來對(duì)數(shù)字簽名18解密以產(chǎn)生解密的散列值22。同時(shí)����,通過驗(yàn)證器由文件14的內(nèi)容編程的閃存存儲(chǔ)器上執(zhí)行散列計(jì)算,以產(chǎn)生計(jì)算的散列值24��。在框26處���,將解密的散列值22與計(jì)算的散列值24相比較�。如果解密的散列值22匹配計(jì)算的散列值24�����,則有效確定28被發(fā)出���,并且內(nèi)容文件14編程的閃存內(nèi)存被使用。如果解密的散列值22不匹配計(jì)算的散列值24����,則無效確定30被發(fā)出,并且用內(nèi)容文件14編程的閃存內(nèi)存不被使用��。本發(fā)明提出了一種技術(shù),其用于使用前面討論類型的非對(duì)稱數(shù)字密鑰簽名以用于驗(yàn)證被下載到車輛ECU的固件是可信的�,其中方法包括通過使用兩個(gè)分離的信任的源(例如車輛制造商和OnStar )驗(yàn)證固件是可信的,其中每個(gè)簽名消息使用其本身的私人密鑰�����。到車輛的連接可以是遠(yuǎn)程信息連接�����,其中兩個(gè)可信的源可以是地理上分開的服務(wù)器���,從而使得其更難以影響用于產(chǎn)生數(shù)字簽名的私人密鑰�。圖2是流程圖40�����,其顯示了用于使用兩個(gè)分離的可信的源驗(yàn)證被下載到車輛E⑶的固件是可信的過程����。對(duì)于下面的討論,第一信任的源是車輛制造商��,但是可以是任何信任的源�,其提供被下載的固件文件,例如供應(yīng)商。進(jìn)一步���,由于這是通用汽車受讓的申請(qǐng)�,第二信任的源是0nStar (安吉星)����,但是可以是任何其他合適的信任的源,其與第一信任的源分離���。在下面的討論中����,車輛制造商將具有私人密鑰MPv和公共密鑰MPu�����,OnStar "*將具有私人密鑰ONPv和公共密鑰ONPu�,固件被定義為FW�,可以被分為兩個(gè)部分,定義為FWl和FW2����,散列函數(shù)被定義為H (),使用私人密鑰P的消息m的簽名被定義為Sig (p,m)。在圖40中���,數(shù)據(jù)文件知識(shí)庫(kù)(固件FW存儲(chǔ)在其中和/或從其中獲得)由框42指定���。知識(shí)庫(kù)42可以是任何合適的設(shè)施、服務(wù)器���、位置等等����,其能夠從車輛制造商,供應(yīng)商等等接收固件,將固件存儲(chǔ)在安全位置和以任何合適的方式傳輸固件��,例如無線地���,通過互聯(lián)網(wǎng),通過電話線等等����。假設(shè)數(shù)據(jù)文件知識(shí)庫(kù)42安全地接收固件FW?�??4代表OnStar 設(shè)施和提供OnStar 操作的任何合適的設(shè)施(其為本領(lǐng)域的技術(shù)人員熟知的)��,其可以與車輛無線通信,由框46表示��。雖然OnStar 設(shè)施44在此例子中用作的信任的源中的一個(gè)���,本領(lǐng)域技術(shù)人員將理解這是非限制性的示例�,任何適合的信任的源可以被使用����。框48代表工具��,其用于下載固件FW到在車輛46上的E⑶�����。工具48可以是任何合適的計(jì)算機(jī)相關(guān)裝置���,服務(wù)器設(shè)施���,制造商等等會(huì)采用其執(zhí)行此操作。車輛46和工具48將會(huì)在相同位置��,其中工具48通過本領(lǐng)域技術(shù)人員熟知的診斷鏈路連接器(DLC)連接到車輛46���。固件FW在知識(shí)庫(kù)42被分為第一和第二固件部件FWl和FW2��。數(shù)據(jù)文件知識(shí)庫(kù)42將使用散列函數(shù)散列第一固件部分FW1���,然后使用制造商的私人密鑰MPv加密散列的第一固件部分FWl以產(chǎn)生簽名Sig (MPv,H (FffD)0進(jìn)一步,數(shù)據(jù)文件知識(shí)庫(kù)42將使用散列函數(shù)散列第二固件部分FW2����,并且將散列的第二固件部分FW2作為消息H(FW2)在線50上發(fā)送給OnStar 設(shè)施44。從知識(shí)庫(kù)42至OnStar 設(shè)施44的文件傳輸可以是任何合適的連接����,例如無線地或通過電話線。OnStar 設(shè)施44將使用OnStar "*私人密鑰ONPv簽名第二固件部分FW2的散列以產(chǎn)生簽名Sig (ONPv, H (FW2))����。注意到OnStar 設(shè)施44不具有固件文件FW、FW1或FW2���。還注意到在接近知識(shí)庫(kù)42從制造商或供應(yīng)商接收固件部分FW的一些時(shí)間��,并且在固件FW實(shí)際上需要被下載到車輛ECU之前���,數(shù)據(jù)文件知識(shí)庫(kù)42將散列并簽名第一固件部分FW1����,散列第二固件FW2����,并且將散列的第二固件部分H (FW2)發(fā)送給OnStar 設(shè)施44。數(shù)據(jù)文件知識(shí)庫(kù)42還在線52上提供固件FW和簽名Sig (MPv, H (Fffl))到工具48����。知識(shí)庫(kù)42和工具48之間的連接可以是用于本文所討論目的的任何合適的連接,例如遠(yuǎn)程通信連接�,互聯(lián)網(wǎng)聯(lián)接等等。當(dāng)工具48通過DLC連接到車輛46以用于下載固件FW的時(shí)候��,工具48下載固件FW和簽名Sig (MPv, H (FWl ))����,其已經(jīng)在線54上從數(shù)據(jù)文件知識(shí)庫(kù)42接收并存儲(chǔ)。知識(shí)庫(kù)42可提供固件FW和散列且簽名的第一固件部分FWl以在車輛46請(qǐng)求將其下載之前存儲(chǔ)在工具48��。會(huì)希望的是要求車輛46輸入密碼(以線56代表)到E⑶���,其在繼續(xù)固件下載之前識(shí)別的車輛46的適當(dāng)用戶��。在工具48下載固件FW和簽名Sig(MPv, H (Fffl))到車輛46之前����,密碼輸入可被執(zhí)行���。車輛46然后通過OnStar 遠(yuǎn)程通信鏈路在線58上請(qǐng)求第二固件部分FW2的簽名�,OnStar 設(shè)施44在線60上提供簽名Sig (ONPv, H (FW2))到車輛46���。為了接受由工具48提供的固件FW��,車輛46上的E⑶將通過使用制造商公共密鑰MPu來驗(yàn)證簽名Sig (MPv, H(FWl))和通過使用OnStar "*公共密鑰ONPu來驗(yàn)證來自O(shè)nStar 設(shè)施44的簽名Sig(0NPv�,H (FW2))而驗(yàn)證固件FW����。如果消息的兩個(gè)部分經(jīng)過驗(yàn)證,那么車輛46上的E⑶允許固件FW被執(zhí)行�。雖然上面的討論把固件FW分成兩個(gè)部分FWl和FW2,這種要求對(duì)于計(jì)算目的可能十分復(fù)雜���。在替代的實(shí)施例中����,固件FW不被分離����,其中整塊固件FW在數(shù)據(jù)文件知識(shí)庫(kù)42中散列以被發(fā)送到OnStar 設(shè)施44�。整塊固件FW在數(shù)據(jù)文件知識(shí)庫(kù)42使用制造商私人密鑰MPv簽名以產(chǎn)生簽名Sig (MPv, H (FW))���。OnStar 設(shè)施44將使用OnStar 私人密鑰ONPv簽名固件部分FW的散列以產(chǎn)生簽名Sig (ONPv, H (FW))���。圖3是流程圖70,其顯示了用于驗(yàn)證被下載到車輛E⑶的固件FW的另一操作��,其中車輛ECU具有與圖40相同的設(shè)施和元件���,但是其中車輛46不具有OnStar 認(rèn)購(gòu)��,因此不能從OnStar 設(shè)施44直接接收任何簽名�����。如上所述��,數(shù)據(jù)文件知識(shí)庫(kù)42散列第二固件部分FW2并且在線50上將它發(fā)送給OnStar 設(shè)施44�,其中OnStar 設(shè)施44使用OnStar ^A人密鑰ONPv簽名并散列值���。因?yàn)镺nStar 設(shè)施44不能將第二固件部分FW2的簽名發(fā)送給車輛46�����,OnStar 設(shè)施44在線72上將第二固件部分FW2的簽名發(fā)送給數(shù)據(jù)文件知識(shí)庫(kù)42?���,F(xiàn)在數(shù)據(jù)文件知識(shí)庫(kù)42具有來自O(shè)nStar 設(shè)施44的簽名的第一固件部分Sig (MPv,H (FWl))和簽名的第二固件部分Sig (ONPv,H (FW2))���,并且當(dāng)被請(qǐng)求時(shí)提供這些消息和固件FW到工具48�。工具48在DLC線54上然后下載所有的固件FW和簽名�,其中車輛46中的E⑶使用制造公共密鑰MPu和OnStar "*公共密鑰ONPu分別地驗(yàn)證兩個(gè)簽名以驗(yàn)證固件FW。圖4是類似于流程圖40和50的流程圖80����,其中相同元件和設(shè)施由相同附圖標(biāo)記指代。在此實(shí)施例中��,工具48不用于下載固件FW到車輛46���,但是固件FW直接從OnStar 設(shè)施44下載�����。數(shù)據(jù)文件知識(shí)庫(kù)42在線50上提供固件FW�、第二固件部分FW2和簽名的第一固件部分Sig (MPv, H (Fffl))到OnStar 設(shè)施44。在此實(shí)施例中��,知識(shí)庫(kù)42不散列第二固件部分FW2��,但是為其提供整個(gè)固件文件FW���。OnStar 設(shè)施44使用OnStar "私人密鑰ONPv首先散列并且然后簽名第二固件部分FW2的散列以計(jì)算簽名Sig (ONPv, H (FW2))�。如果固件FW從OnStar 設(shè)施44被下載到車輛46����,固件FW、第一固件部分的簽名Sig(MPv����,H (FWl))和第二固件部分Sig的簽名(0NPv,H (FW2))的全部在線82上遠(yuǎn)程地傳送給車輛46����,其分別驗(yàn)證每個(gè)簽名以驗(yàn)證固件FW的可信性。如本領(lǐng)域的技術(shù)人員將很好地理解的�,此處所討論的用以描述本發(fā)明的若干和各個(gè)步驟和過程可以指由計(jì)算機(jī)、處理器或使用電現(xiàn)象操作和/或變換數(shù)據(jù)的其它電子計(jì)算裝置執(zhí)行的操作��。那些計(jì)算機(jī)和電子裝置可以利用各種易失性和/或非易失性內(nèi)存,包括帶有在其上存儲(chǔ)的可執(zhí)行程序的非瞬時(shí)性計(jì)算機(jī)可讀介質(zhì)��,所述可執(zhí)行程序包括能夠由計(jì)算機(jī)或處理器執(zhí)行的各種代碼或可執(zhí)行指令����,其中內(nèi)存和/或計(jì)算機(jī)可讀介質(zhì)可包括所有形式和類型的內(nèi)存以及其它計(jì)算機(jī)可讀介質(zhì)。上面的討論僅公開并描述了本發(fā)明的示例性實(shí)施例�����。根據(jù)這樣的討論以及根據(jù)附圖和權(quán)利要求��,本領(lǐng)域的技術(shù)人員將容易地意識(shí)到����,在不脫離如所附權(quán)利要求中所限定的本發(fā)明的精神和范圍的情況下��,能夠在其中做出各種改變���、修改和變型�。
權(quán)利要求
1.一種方法�,其用于驗(yàn)證被下載到車輛ECU的固件,所述方法包括: 將固件分成第一固件部分和第二固件部分���; 在第一信任的源使用散列函數(shù)散列第一固件部分�����; 用第一源私人密鑰加密第一固件部分的散列�,以在第一信任的源產(chǎn)生簽名; 在第一信任的源使用散列函數(shù)散列第二固件部分�; 將散列的第二固件部分發(fā)送到第二信任的源; 用第二源私人密鑰加密第二固件部分的散列�����,以在第二信任的源產(chǎn)生簽名�����; 從第一信任的源將固件和第一固件部分的簽名發(fā)送給下載工具����; 從下載工具請(qǐng)求固件和第一固件部分的簽名; 從第二信任的源請(qǐng)求第二固件部分的簽名��; 將第二固件部分的簽名從第二信任的源發(fā)送給車輛�����; 使用第一源公共密鑰驗(yàn)證車輛中的第一固件部分的簽名; 使用第二源公共密鑰驗(yàn)證車輛中的第二固件部分的簽名�;以及 驗(yàn)證ECU中的固件是否第一和第二固件部分是有效的。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,第一信任的源是車輛制造商�����。
3.根據(jù)權(quán)利要求2所述的方法��,其特征在于���,第二信任的源是OnStar ����。
4.根據(jù)權(quán)利要求1所述的方法����,其特征在于���,其進(jìn)一步包括在請(qǐng)求第二固件部分的所簽的簽名之前在車輛中輸入密碼以授權(quán)車輛�����。
5.一種方法��,其用于驗(yàn)證被下載到控制器的固件���,所述方法包括: 用第一信任的源的第一私人密鑰簽名固件或固件的第一部分�����; 用第二信任的源的第二私人密鑰簽名固件或固件的第二部分�; 在控制器處使用第一公共密鑰驗(yàn)證簽名的固件或固件的第一部分���; 在控制器處使用第二公共密鑰驗(yàn)證固件或固件的第二部分����;以及 通過控制器處的第一公共密鑰驗(yàn)證用于使用的固件是否固件或固件的第一部分是有效的�,并且通過控制器處的第二公共密鑰驗(yàn)證用于使用的固件是否固件或固件的第二部分是有效的。
6.根據(jù)權(quán)利要求5所述的方法��,其特征在于�����,其進(jìn)一步包括在固件或固件的第一部分被簽名之前散列固件或固件的第一部分,在固件或固件的第二部分被簽名之前散列固件或固件的第二部分�,并且其中用第一私人密鑰簽名固件或固件的第一部分包括簽名固件或固件的第一部分的散列,用第二私人密鑰簽名固件或固件的第二部分包括簽名固件或固件的第二部分的散列�����。
7.根據(jù)權(quán)利要求5所述的方法����,其特征在于,在第二信任的源用第二私人密鑰簽名固件或固件的第二部分包括從數(shù)據(jù)文件知識(shí)庫(kù)提供固件到第二信任的源以被簽名����。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于����,其進(jìn)一步包括從第二信任的源將簽名的固件或固件的第二部分返回到數(shù)據(jù)文件知識(shí)庫(kù)。
9.根據(jù)權(quán)利要求8所述的方法���,其特征在于,其進(jìn)一步包括從數(shù)據(jù)文件知識(shí)庫(kù)提供固件��,簽名的固件或固件的第一部分�,和簽名的固件或固件的第二部分到下載工具��。
10.一種系統(tǒng)���,其用于驗(yàn)證被下載到控制器的固件,所述系統(tǒng)包括: 用第一信任的源的第一私人密鑰簽名固件或固件的第一部分的裝置��;用第二信任的源的第二私人密鑰簽名固件或固件的第二部分的裝置��; 在控制器處使用第一公共密鑰驗(yàn)證簽名的固件或固件的第一部分的裝置�����; 在控制器處使用第二公共密鑰驗(yàn)證固件或固件的第二部分的裝置���;以及通過控制器處的第一公共密鑰驗(yàn)證用于使用的固件是否固件或固件的第一部分是有效的�����,并且通過控制器處的第二公共密鑰驗(yàn)證用于使用的固件是否固件或固件的第二部分有效的裝置���。
全文摘要
本發(fā)明涉及使用診斷鏈路連接器(DLC)和ONSTAR系統(tǒng)的用于安全固件下載的方法和裝置。一種方法���,其用于驗(yàn)證被下載到控制器的固件�。方法包括用第一信任的源的第一私人密鑰簽名固件或固件的第一部分,用第二信任的源的第二私人密鑰簽名固件或固件的第二部分�。方法還包括在控制器處使用第一公共密鑰驗(yàn)證簽名的固件或固件的第一部分,在控制器處使用第二公共密鑰驗(yàn)證固件或固件的第二部分���。方法還包括通過控制器處的第一公共密鑰驗(yàn)證固件是否固件或固件的第一部分是有效的�����,并且通過控制器處的第二公共密鑰驗(yàn)證固件是否固件或固件的第二部分是有效的�����。
文檔編號(hào)H04L29/06GK103166759SQ201210541568
公開日2013年6月19日 申請(qǐng)日期2012年12月14日 優(yōu)先權(quán)日2011年12月15日
發(fā)明者N.M.拉巴迪, K.M.貝爾特斯 申請(qǐng)人:通用汽車環(huán)球科技運(yùn)作有限責(zé)任公司