车载ECU安全启动密钥的管理方法、装置和电子设备与流程

本发明涉及车载电子控制单元的，尤其是涉及一种车载ecu安全启动密钥的管理方法、装置和电子设备。

背景技术：

1、随着智能化和网联化技术的快速发展和应用，汽车从孤立的电子机械系统逐渐演变成能与外界进行信息交互的智能系统，汽车网联化衍生的信息安全问题随之而来。与通信等行业的信息安全主要造成财产损失不同，作为高速行驶的载人和载物的交通工具，当发生汽车信息安全问题，不仅会造成财产损失，还将严重威胁人身和公共安全。

2、在车载信息安全课题中，为了解决车载电子控制单元的ecu固件的真实性、完整性和可用性，一般采取安全启动策略或方案。但在使用mcu作为主控的ecu中，一般为了固件启动速度，在采取安全启动策略时，一般采用对称加解密技术(比如，校验固件的cmac值)作为校验固件真实性、完整性和可用性的技术方案。为了防止一台设备(即ecu)的密钥被泄露，全部设备密钥都暴露的问题。对称加解密技术，一般需要采取一机一密(一台设备一把密钥)策略。但一机一密策略会带来生产、维护和密钥管理的巨大资金和管理成本。比如，每台设备的密钥和设备uuid(唯一设备编号)都需要存储在kms(key manager system，密钥管理系统)系统内，并且需要多份备份以防止一套kms系统损坏全部车辆密钥丢失问题。另外，作为使用周期长的产品，车辆内部信息(比如，安全启动密钥)需要长期维护至少15年至20年。这样，部署kms系统的云端服务器需要花费巨大维护成本来维持至少20年的密钥跟踪管理。

3、图1示出了传统ecu生产时，产线上的密钥分发灌入ecu的示意图。可以看到，在生产时，除了需要上位机进行密钥灌入外，还需要上位机通过网络，安全的与云端kms进行通信，以便传输一机一密key材料，并把每个ecu的uuid安全的传输给kms。kms记录每一台ecu的uuid和安全启动密钥(key)，并建立每把密钥与uuid的联系后，进行存储管理。最终还会共享给其它备份云端kms进行备份存储。

4、图2是在车辆出厂或贩卖后，ecu固件升级时，需要云端kms通过每台ecu的uuid和对应key计算出固件的cmac值后，将cmac值和新固件一起打包发送到车端。在云端kms计算得到的cmac值，作为ecu升级新固件后执行新固件安全启动的校验凭证。以保证新固件升级后固件的真实性、完整性和可用性。

5、综上，传统的车载ecu的安全启动密钥的管理方法存在管理成本高的技术问题。

技术实现思路

1、有鉴于此，本发明的目的在于提供一种车载ecu安全启动密钥的管理方法、装置和电子设备，以缓解现有的车载ecu的安全启动密钥的管理方法成本高的技术问题。

2、第一方面，本发明实施例提供了一种车载ecu安全启动密钥的管理方法，应用于ecu的微控制单元，所述微控制单元包括：主机模块和硬件安全模块，所述方法包括：

3、在所述ecu生产时，所述主机模块接收上位机发送的安全启动密钥派生命令，并将所述安全启动密钥派生命令发送至所述硬件安全模块；

4、所述硬件安全模块接收到所述安全启动密钥派生命令后，利用内部的ecu uuid和secure key通过预设算法派生出安全启动密钥，并将所述安全启动密钥存储至内部的安全存储器；

5、所述硬件安全模块根据所述安全启动密钥和当前ecu安全固件计算所述当前ecu安全固件的安全启动凭证，并将所述安全启动凭证存储至内部的安全存储器，以便根据所述安全启动凭证对所述ecu安全启动时对应的ecu安全固件进行校验，实现所述ecu的安全启动。

6、进一步的，根据所述安全启动凭证对所述ecu安全启动时对应的ecu安全固件进行校验，包括：

7、当所述ecu安全启动时，所述硬件安全模块根据所述安全启动密钥和所述ecu安全启动时对应的ecu安全固件计算待验证安全启动凭证，并将所述待验证安全启动凭证与所述安全启动凭证进行对比，如果二者相同，则所述ecu安全启动时对应的ecu安全固件合法，所述ecu安全启动成功。

8、进一步的，在所述硬件安全模块将所述安全启动密钥存储至内部的安全存储器之后，在所述硬件安全模块根据所述安全启动密钥和当前ecu安全固件计算所述当前ecu安全固件的安全启动凭证之前，所述方法还包括：

9、所述硬件安全模块经由所述主机模块向所述上位机回复安全启动密钥派生完成的消息。

10、进一步的，所述方法还包括：

11、所述主机模块接收云端ota服务器发送的新ecu安全固件，并根据所述新ecu安全固件进行升级，进而将升级完成的指令发送至所述硬件安全模块；

12、所述硬件安全模块接收到所述升级完成的指令后，根据所述安全启动密钥和所述新ecu安全固件计算所述新ecu安全固件的新安全启动凭证，并将所述安全启动凭证替换为所述新安全启动凭证，进而根据所述新安全启动凭证对所述ecu安全启动时对应的ecu安全固件进行校验，实现所述ecu的安全启动。

13、进一步的，所述主机模块包括：产线代理单元和ota固件升级单元；

14、所述硬件安全模块包括：安全启动密钥派生单元和安全启动凭证计算单元。

15、进一步的，在将所述安全启动凭证存储至内部的安全存储器之后，在根据所述安全启动凭证对所述ecu安全启动时对应的ecu安全固件进行校验之前，所述方法还包括：

16、所述硬件安全模块经由所述主机模块向所述上位机回复安全启动凭证计算完成的消息。

17、第二方面，本发明实施例还提供了一种车载ecu安全启动密钥的管理装置，应用于ecu的微控制单元，所述微控制单元包括：主机模块和硬件安全模块，所述装置包括：

18、在所述ecu生产时，所述主机模块接收上位机发送的安全启动密钥派生命令，并将所述安全启动密钥派生命令发送至所述硬件安全模块；

19、所述硬件安全模块接收到所述安全启动密钥派生命令后，利用内部的ecu uuid和secure key通过预设算法派生出安全启动密钥，并将所述安全启动密钥存储至内部的安全存储器；

20、所述硬件安全模块根据所述安全启动密钥和当前ecu安全固件计算所述当前ecu安全固件的安全启动凭证，并将所述安全启动凭证存储至内部的安全存储器，以便根据所述安全启动凭证对所述ecu安全启动时对应的ecu安全固件进行校验，实现所述ecu的安全启动。

21、进一步的，所述硬件安全模块还用于：

22、当所述ecu安全启动时，所述硬件安全模块根据所述安全启动密钥和所述ecu安全启动时对应的ecu安全固件计算待验证安全启动凭证，并将所述待验证安全启动凭证与所述安全启动凭证进行对比，如果二者相同，则所述ecu安全启动时对应的ecu安全固件合法，所述ecu安全启动成功。

23、第三方面，本发明实施例还提供了一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述第一方面任一项所述的方法的步骤。

24、第四方面，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有机器可运行指令，所述机器可运行指令在被处理器调用和运行时，所述机器可运行指令促使所述处理器运行上述第一方面任一项所述的方法。

25、在本发明实施例中，提供了一种车载ecu安全启动密钥的管理方法，应用于ecu的微控制单元，微控制单元包括：主机模块和硬件安全模块，该方法包括：在ecu生产时，主机模块接收上位机发送的安全启动密钥派生命令，并将安全启动密钥派生命令发送至硬件安全模块；硬件安全模块接收到安全启动密钥派生命令后，利用内部的ecu uuid和securekey通过预设算法派生出安全启动密钥，并将安全启动密钥存储至内部的安全存储器；硬件安全模块根据安全启动密钥和当前ecu安全固件计算当前ecu安全固件的安全启动凭证，并将安全启动凭证存储至内部的安全存储器，以便根据安全启动凭证对ecu安全启动时对应的ecu安全固件进行校验，实现ecu的安全启动。通过上述描述可知，本发明的车载ecu安全启动密钥的管理方法中，利用ecu的微控制单元内部的自身硬件安全模块管理安全启动密钥和计算ecu安全固件的安全启动凭证，不再需要kms系统的参与，大大减少了安全启动密钥的时间管理成本、财力管理成本、物力成本和运算成本，缓解了现有的车载ecu的安全启动密钥的管理方法成本高的技术问题。