[发明专利]安全启动方法、控制器和控制系统

说明书

本申请提供了一种安全启动方法、控制器和系统。其中所述安全启动方法包括：向辅助控制器发送启动信息，辅助控制器包括存储有第一公钥信息的安全储存单元，安全储存单元具有防止篡改的功能，第一公钥信息用于认证所述目标控制器，启动信息用于触发辅助控制器认证目标控制器的第一程序；接收辅助控制器发送的挑战信息，并根据挑战信息获得应答信息，应答信息包括第一信息和第二信息；向辅助控制器发送应答信息。本申请实施例提供的启动方法在目标控制器和辅助控制器进行通信过程中，在辅助控制器验证目标控制器的引导程序与系统的源可信和完整性时，目标控制器才能进入正常工作状态，才能达到目标控制器的基于硬件信任根的安全启动。

技术领域

本申请涉及通信领域，尤其涉及一种安全启动方法、控制器和控制系统。

背景技术

现代的车辆，例如轿车、公共汽车等车辆中，都安装有许多车载控制器，众多的车载控制器通过内部局域网总线相互有线连接，进行通信以发送和接收控制消息和系统数据，实现控制车辆进行工作。如果车载控制器受到非法攻击或篡改，将会导致整车不受驾驶人控制，这样极易发生交通事故。因此，车载控制器的系统安全成为整车安全的重中之重。

现有技术中，为了保证车载控制器的系统安全，在车载控制器中增加安全硬件，用于存储该车载控制器系统的秘钥，并且存储的内容是无法进行篡改的。如果车载控制器的系统被非法攻击或篡改，在车载控制器启动后，对系统进行安全验证时，会发现非法攻击或篡改的系统生成的秘钥和安全硬件中存储的秘钥是不同的，这时车载控制器就不同正常启动。通过这种方法保证车载控制器安全启动。

但是现实中，很难做到每个车载控制器中都有安全硬件，而且，即使做到每个车载控制器中增加安全硬件，这无疑也增加了整车的成本。

发明内容

为了克服上述问题，本申请的实施例提供了一种安全启动方法、控制器和控制系统，用于通过应答协议，利用辅助控制器中的安全储存单元，让不具有安全储存单元的目标控制器可以基于硬件信任根的安全启动。

为了达到上述目的，本申请的实施例采用如下技术方案：

第一方面，本申请提供一种安全启动方法，所述方法由目标控制器执行，包括：向辅助控制器发送启动信息，所述辅助控制器包括存储有第一公钥信息的安全储存单元，所述安全储存单元具有防止篡改的功能，所述第一公钥信息用于认证所述目标控制器，所述启动信息用于触发所述辅助控制器认证所述目标控制器的第一程序；接收所述辅助控制器发送的挑战信息，并根据所述挑战信息获得应答信息，所述应答信息包括第一信息和第二信息；向所述辅助控制器发送所述应答信息。目标控制器基于公钥系统，通过应答协议，与具有安全储存单元的辅助控制进行安全通信，实现了基于硬件信任根的安全启动。

在另一个可能的实现中，所述方法还包括：接收所述辅助控制器发送的运行信息，所述运行信息用于通知所述目标控制器所述第二信息是否通过验证；运行所述第一程序，所述第一程序包括引导代码控制程序和/或系统控制程序。通过运行信息，使得目标控制器可以判断安全启动是否完成，达到安全启动的状态。

在另一个可能的实现中，所述根据所述挑战信息获得应答信息，所述应答信息包括第一信息和第二信息，包括：所述挑战信息为C，根据所述C获得所述第一程序的镜像哈希值，将得到的所述镜像哈希值作C次方和并模N计算，获得所述第一信息；所述目标控制器存储有所述第一程序的镜像的哈希值的签名值,将所述签名值作C次方和并模N计算，获得所述第二信息；其中，C和N为正整数。

在另一个可能的实现中，所述目标控制器存储有通信密钥，所述方法还包括：在与所述辅助控制器进行通信过程中，使用所述通信密钥对所述目标控制器发送的所述启动信息和所述应答信息中的至少一个进行加密，并且使用所述通信密钥对所述目标控制器接收的所述挑战信息和所述运行信息中的至少一个进行解密。在目标控制器和辅助控制器之间进行通信过程中，目标控制器使用安全通讯，通过一个共同密钥对通信过程中的发送的内容进行加密和接收的内容进行解密，保证了在通信过程中信息传输的安全性和机密性。