技术特征:
1.一种用于车载mcu的安全启动方法,其特征在于,所述方法包括:bootrom获取第二安全校验模块起始地址,并启动第二安全校验模块;第二安全校验模块使用第一安全校验模块校验bootloader的真实性和完整性,得到第二结果;其中,第一安全校验模块的可行度高于第二安全校验模块;bootloader中的安全启动模块使用第一安全校验模块校验待启动app的真实性和完整性;得到第三结果;其中,第二安全校验模块的可行度高于第三安全校验模块;第二结果和第三结果逐一验证通过,则启动软件,任一结果不通过,则立即终止。2.根据权利要求1所述的用于车载mcu的安全启动方法,其特征在于:bootrom启动后,第一安全校验模块对第二安全校验模块进行真实性和完整性验证,得到第一结果,通过则启动第二校验模块,否,则终止。3.根据权利要求1所述的用于车载mcu的安全启动方法,其特征在于:所述第二安全校验模块烧录至mcu的存储芯片后不再变更,且是紧随bootrom启动。4.根据权利要求3所述的用于车载mcu的安全启动方法,其特征在于:若系统支持a/b面,第二安全校验模块负责选择活动的bootloader跳转。5.根据权利要求1至4任一所述的用于车载mcu的安全启动方法,其特征在于:所述第一安全校验模块为罐装有对称密匙的hsm块或者外置的安全芯片。6.根据权利要求5所述的用于车载mcu的安全启动方法,其特征在于:得到第二结果具体方法为:第二安全校验模块获取bootloader中安全模块的信息,包括cmac值;第二安全校验模块使用第一安全校验模块校验安全模块的信息,使用对称密钥对bootloader计算cmac值;将获取的cmac值与计算的cmac值比较,一致则继续,不一致则终止。7.根据权利要求5所述的用于车载mcu的安全启动方法,其特征在于:得到第三结果具体方法为:安全启动模块获取待启动app的信息,包括cmac值;安全启动模块使用第一安全校验模块校验待启动app的信息,使用对称密钥对待启动app计算cmac值;将获取的cmac值与计算的cmac值比较,一致则继续,不一致则终止。8.应用权利要求1至7任一所述用于车载mcu的安全启动方法的安全启动装置,其特征在于,包括:第一安全校验模块,用于配合第二安全校验模块和安全启动模块参与cmac值计算;第二安全校验模块,使用第一安全模块用于校验bootloader的真实性和完整性得到第二结果;安全启动模块,置于bootloader中,使用第一安全模块用于校验待启动app的真实性和完整性得到第三结果;第二结果和第三结果逐一验证通过,则启动软件,任一结果不通过,则立即终止。9.根据权利要求8所述的用于车载mcu的安全启动装置,其特征在于:所述第二安全校验模块烧录至mcu的存储芯片后不再变更,且是紧随bootrom启动。10.根据权利要求8所述的用于车载mcu的安全启动装置,其特征在于:bootrom启动后,第一安全校验模块对第二安全校验模块进行真实性和完整性验证,得到第一结果,通过则启动第二校验模块,否,则终止。
技术总结
本发明公开一种在不支持TrustZone的MCU上,使用对称密钥算法,利用芯片内置的HSM或外置的安全芯片,以一种简单易行的方式来实现MCU的安全启动控制方法和装置。本发明可以为广泛应用的汽车控制器提供一种简单易行的安全启动功能实现方式,从而保障汽车控制器固件不被恶意刷写。本发明用于确保设备启动后、其加载或运行的代码都是可信的。利用加密算法、通过信任链的方式,确保固件的安全性和完整性。第二安全校验模块灵活性较高,可以根据控制器的需求,进行定制化的开发。进行定制化的开发。进行定制化的开发。
技术研发人员:蔡艳波 孙伟 舒畅 李闯 王敬伟
受保护的技术使用者:东风汽车集团股份有限公司
技术研发日:2022.08.23
技术公布日:2022/12/1