用于增强车辆控制器的安全性的方法和设备转让专利
申请号 : CN201911193602.2
文献号 : CN111284450B
文献日 : 2021-12-24
发明人 : 慎恩豪
申请人 : 现代奥特奥博株式会社
摘要 :
一种用于增强车辆控制器的安全性的方法和设备,该方法包括以下步骤:当车辆控制器通电并启动时,由微控制器执行安全启动;当安全启动完成时,由所述微控制器检查启动是用于车辆控制器的多个操作模式中的重编程模式还是除了重编程模式之外的其它模式;当所述启动用于车辆控制器的多个操作模式中的除了重编程模式之外的其他模式时,由所述微控制器执行密码输入步骤,生成错误密码并且自动输入错误密码;以及当输入错误密码时,由所述微控制器立即跳转到主软件(SW)例程。
权利要求 :
1.一种用于增强车辆控制器的安全性的方法,所述方法包括以下步骤:当车辆控制器通电并启动时,由微控制器执行安全启动;
当所述安全启动完成时,由所述微控制器检查所述启动是用于所述车辆控制器的多个操作模式中的重编程模式,还是除了重编程模式之外的其它模式;
当所述启动是用于所述车辆控制器的多个操作模式中的除了所述重编程模式之外的其他模式时,由所述微控制器执行密码输入步骤,生成错误密码并且自动输入所述错误密码;以及
当输入所述错误密码时,由所述微控制器立即跳转到主软件例程。
2.根据权利要求1所述的方法,其中,在密码输入的步骤中,密码被实现为仅输入一次。
3.根据权利要求1所述的方法,其中,在每次启动时通过使用预先指定的错误密码生成算法来生成所述错误密码,或者在预先存储任何一个错误密码之后每次输入所存储的错误密码。
4.根据权利要求1所述的方法,其中,除了所述重编程模式之外的其他模式包括能够访问存储在所述车辆控制器的外部存储器中的一些可变信息的区域的模式。
5.一种用于增强车辆控制器的安全性的设备,所述设备包括:微控制器,被配置为执行存储在车辆控制器的外部存储器中的发动机控制程序;以及内部存储器,包括在微控制器中,并且所述内部存储器被配置为存储用于通信和操作模式的固件,
其中,所述固件包括软件,在除了所述车辆控制器的多个操作模式中的重编程模式之外的其它模式的启动期间,所述软件执行密码输入,生成错误密码并且自动输入生成的所述错误密码。
6.根据权利要求5所述的设备,其中,在所述车辆控制器通电并启动并且安全启动完成的情况下,当所述启动用于所述车辆控制器的多个操作模式中的除了重编程模式之外的其他模式时,所述微控制器基于存储在所述内部存储器中的所述固件来执行密码输入,生成所述错误密码并且自动输入所述错误密码,并且当输入所述错误密码时,立即跳转到主软件例程。
7.根据权利要求5所述的设备,其中,在密码输入中,密码被实现为仅输入一次。
8.根据权利要求5所述的设备,其中,在每次启动时通过使用预先指定的错误密码生成算法来生成所述错误密码,或者在预先存储任何一个错误密码之后每次输入所存储的错误密码。
9.根据权利要求5所述的设备,其中,除了所述重编程模式之外的其他模式包括能够访问存储在所述车辆控制器的所述外部存储器中的一些可变信息的区域的模式。
说明书 :
用于增强车辆控制器的安全性的方法和设备
[0001] 交叉引用相关申请
[0002] 本申请要求2018年12月7日在韩国知识产权局提交的韩国专利申请号10‑2018‑0156523的优先权,该申请的全部内容通过引用结合于此。
技术领域
[0003] 本公开的实施方式涉及一种用于增强车辆控制器的安全性的方法和设备,更具体地,涉及一种用于增强车辆控制器的安全性的方法和设备,其中,在车辆控制器启动期间,
允许自动输入故意的错误密码,以便在反复输入密码直到车辆控制器解锁的方法中基本上
防止黑客攻击,从而可以预先阻止黑客攻击的密码输入机会,以增强安全性。
允许自动输入故意的错误密码,以便在反复输入密码直到车辆控制器解锁的方法中基本上
防止黑客攻击,从而可以预先阻止黑客攻击的密码输入机会,以增强安全性。
背景技术
[0004] 近年来,汽车工业发展显著,电子控制装置比机械装置多,并且电子控制装置的数量不断增加。越来越多的电子控制装置通过软件运行,并且帮助车辆更准确和安全地运行。
[0005] 如上所述,用于控制车辆的各种功能的多个电子控制装置可以集成并描述为车辆控制器。
[0006] 例如,电子控制装置(即,车辆控制器)的发动机控制单元(ECU)就像车辆的心脏,并且当发动机控制单元被黑客攻击时,可能会对发动机和车辆造成严重损坏,并且甚至可
能导致生命损失。
能导致生命损失。
[0007] 因此,基本上防止发动机控制单元被黑客攻击的努力一直在继续,并且目前正在应用发动机控制单元的进一步增强的反黑客攻击技术。
[0008] 例如,基本上防止发动机控制单元被黑客攻击的安全功能包括安全调试、闪读/写禁止功能等。安全功能是通过输入密码而解锁发动机控制单元之后可用的功能。即,当每个
人都知道密码时,他们可以解锁安全调试、闪读/写禁止功能等。
人都知道密码时,他们可以解锁安全调试、闪读/写禁止功能等。
[0009] 在这种情况下,找出密码并不容易,但也不是完全不可能。例如,在启动发动机控制单元后当黑客反复输入密码时,发动机控制单元可能在某些点解锁,因此发动机控制单
元可能被黑客攻击。该问题不限于发动机控制单元,并且可能发生在车辆中包括的多个车
辆控制器中。
元可能被黑客攻击。该问题不限于发动机控制单元,并且可能发生在车辆中包括的多个车
辆控制器中。
[0010] 在2015年6月11日公布的韩国专利申请公开号10‑2015‑0064474的“Software Upgrade Method for Vehicle Controller”中公开了本公开的背景技术。
发明内容
[0011] 各种实施方式旨在提供一种用于增强车辆控制器的安全性的方法和设备,其中,在车辆控制器启动期间,允许自动输入故意的错误密码,以便在反复输入密码直到车辆控
制器解锁的方法中基本上防止黑客攻击,从而可以预先阻止黑客攻击的密码输入机会,以
增强安全性。
制器解锁的方法中基本上防止黑客攻击,从而可以预先阻止黑客攻击的密码输入机会,以
增强安全性。
[0012] 在一个实施方式中,一种用于增强车辆控制器的安全性的方法包括以下步骤:当车辆控制器通电并启动时,由微控制器执行安全启动;当所述安全启动完成时,由所述微控
制器检查所述启动是用于所述车辆控制器的多个操作模式中的重编程模式,还是除了重编
程模式之外的其它模式;当所述启动是用于所述车辆控制器的多个操作模式中的除了所述
重编程模式之外的其他模式时,由所述微控制器执行密码输入步骤,生成错误密码并且自
动输入所述错误密码;以及当输入所述错误密码时,由所述微控制器立即跳转到主软件
(SW)例程。
制器检查所述启动是用于所述车辆控制器的多个操作模式中的重编程模式,还是除了重编
程模式之外的其它模式;当所述启动是用于所述车辆控制器的多个操作模式中的除了所述
重编程模式之外的其他模式时,由所述微控制器执行密码输入步骤,生成错误密码并且自
动输入所述错误密码;以及当输入所述错误密码时,由所述微控制器立即跳转到主软件
(SW)例程。
[0013] 在密码输入的步骤中,密码被实现为仅输入一次。
[0014] 在每次启动时通过使用预先指定的错误密码生成算法来生成所述错误密码,或者在预先存储任何一个错误密码之后每次输入所存储的错误密码。
[0015] 除了所述重编程模式之外的其他模式包括能够访问存储在所述车辆控制器的外部存储器中的一些可变信息的区域的模式。
[0016] 在另一实施方式中,一种用于增强车辆控制器的安全性的设备,包括:微控制器,被配置为执行存储在车辆控制器的外部存储器中的发动机控制程序;以及内部存储器,包
括在微控制器中,并且所述内部存储器被配置为存储用于通信和操作模式的固件,其中,所
述固件包括软件,在除了所述车辆控制器的多个操作模式中的重编程模式之外的其它模式
的启动期间,所述软件执行密码输入步骤,生成错误密码并且自动输入生成的所述错误密
码。
括在微控制器中,并且所述内部存储器被配置为存储用于通信和操作模式的固件,其中,所
述固件包括软件,在除了所述车辆控制器的多个操作模式中的重编程模式之外的其它模式
的启动期间,所述软件执行密码输入步骤,生成错误密码并且自动输入生成的所述错误密
码。
[0017] 在所述车辆控制器通电并启动并且安全启动完成的情况下,当所述启动用于所述车辆控制器的多个操作模式中的除了重编程模式之外的其他模式时,所述微控制器基于存
储在所述内部存储器中的所述固件来执行密码输入步骤,生成所述错误密码并且自动输入
所述错误密码,并且当输入所述错误密码时,立即跳转到主软件(SW)例程。
储在所述内部存储器中的所述固件来执行密码输入步骤,生成所述错误密码并且自动输入
所述错误密码,并且当输入所述错误密码时,立即跳转到主软件(SW)例程。
[0018] 在密码输入的步骤中,密码被实现为仅输入一次。
[0019] 在每次启动时通过使用预先指定的错误密码生成算法来生成所述错误密码,或者在预先存储任何一个错误密码之后每次输入所存储的错误密码。
[0020] 除了所述重编程模式之外的其他模式包括能够访问存储在所述车辆控制器的所述外部存储器中的一些可变信息的区域的模式。
[0021] 根据本公开的实施方式,在车辆控制器启动期间,允许自动输入故意的错误密码,以便在反复输入密码直到车辆控制器解锁的方法中基本上防止黑客攻击,从而可以预先阻
止黑客攻击的密码输入机会,以增强安全性。
止黑客攻击的密码输入机会,以增强安全性。
附图说明
[0022] 图1是示意性示出根据本公开实施方式的车辆控制器的配置的示图。
[0023] 图2是用于解释根据本公开实施方式的增强车辆控制器的安全性的方法的流程图。
具体实施方式
[0024] 如相应领域中的传统做法,一些示例性实施方式可以在附图中以功能块、单元和/或模块的形式示出。本领域普通技术人员将理解,这些块、单元和/或模块由电子(或光学)
电路物理实现,例如,逻辑电路、分立元件、处理器、硬连线电路、存储元件、布线连接等。当
块、单元和/或模块由处理器或类似硬件实现时,可以使用软件(例如,代码)对其进行编程
和控制,以执行本文讨论的各种功能。或者,每个块、单元和/或模块可以由专用硬件或用于
执行一些功能的专用硬件和用于执行其他功能的处理器(例如,一个或多个编程处理器和
相关电路)的组合来实现。在不脱离本发明构思的范围的情况下,一些示例性实施方式的每
个块、单元和/或模块可以在物理上分成两个或多个相互作用且离散的块、单元和/或模块。
此外,在不脱离本发明概念的范围的情况下,一些示例性实施方式的块、单元和/或模块可
以在物理上组合成更复杂的块、单元和/或模块。
电路物理实现,例如,逻辑电路、分立元件、处理器、硬连线电路、存储元件、布线连接等。当
块、单元和/或模块由处理器或类似硬件实现时,可以使用软件(例如,代码)对其进行编程
和控制,以执行本文讨论的各种功能。或者,每个块、单元和/或模块可以由专用硬件或用于
执行一些功能的专用硬件和用于执行其他功能的处理器(例如,一个或多个编程处理器和
相关电路)的组合来实现。在不脱离本发明构思的范围的情况下,一些示例性实施方式的每
个块、单元和/或模块可以在物理上分成两个或多个相互作用且离散的块、单元和/或模块。
此外,在不脱离本发明概念的范围的情况下,一些示例性实施方式的块、单元和/或模块可
以在物理上组合成更复杂的块、单元和/或模块。
[0025] 在下文中,将参考附图详细描述根据本公开实施方式的用于增强车辆控制器的安全性的方法。
[0026] 应该注意,仅仅为了描述方便和清楚起见,附图没有精确地按比例绘制,并且可能夸大了线的厚度或部件的尺寸。此外,本文使用的术语通过考虑本公开的功能来定义,并且
可以根据用户或操作者的习惯或意图来改变。因此,术语的定义应根据本文所述的总体公
开内容进行。
可以根据用户或操作者的习惯或意图来改变。因此,术语的定义应根据本文所述的总体公
开内容进行。
[0027] 图1是示意性示出根据本公开实施方式的车辆控制器的配置的示图。
[0028] 如图1所示,车辆控制器100中具有微控制器110和外部存储器130(例如,闪存EPROM)。
[0029] 微控制器110中包括内部存储器120。
[0030] 外部存储器130存储特定的发动机控制程序。
[0031] 微控制器110的内部存储器120存储与通信程序、编程模式和启动操作模式相关的多个代码(或固件),用于当在外部存储器130中存储(更新)特定发动机控制程序时,通过通
信终端(或通信端口)140与外部诊断装置(未示出)通信。
信终端(或通信端口)140与外部诊断装置(未示出)通信。
[0032] 通信终端(或通信端口)140可以连接外部诊断装置(未示出)或重编程装置(未示出)。
[0033] 微控制器110和外部存储器130通过地址总线和数据总线彼此连接,并且外部存储器130固定安装在车辆控制器100内部。
[0034] 存储在内部存储器120中的代码(或固件)存储在车辆控制器100的初始生产阶段(或工厂生产阶段)。
[0035] 根据本公开的实施方式涉及存储在内部存储器120中的代码(或固件)。
[0036] 车辆控制器100包括多种操作模式(例如,重编程模式、正常模式等),并且在相关技术中,仅对于多种操作模式中的重编程模式,在安全认证之后,重编程是可能的。
[0037] 因此,在相关技术中,黑客可以访问除了发动机控制单元100的多个操作模式中的重编程模式之外的其他模式(例如,正常模式等),并且对存储在外部存储器130中的一些可
变信息的区域执行黑客攻击(例如,设置值改变、初始值改变、校正值改变等)。
变信息的区域执行黑客攻击(例如,设置值改变、初始值改变、校正值改变等)。
[0038] 然而,在相关技术中,针对除了发动机控制单元100的多个操作模式中的重编程模式之外的其他模式(例如,正常模式等),没有能够基本上防止黑客攻击的方法。
[0039] 在这点上,本实施方式提供了一种能够通过改进存储在内部存储器120中的代码(或固件)来阻止黑客访问存储在外部存储器130中的一些可变信息的区域的方法。
[0040] 在下文中,参考图2,将描述根据本实施方式的基于存储在内部存储器120中的代码(或固件)的微控制器110的操作。
[0041] 图2是用于解释根据本公开实施方式的增强车辆控制器的安全性的方法的流程图。
[0042] 参考图2,当车辆控制器100通电并启动时(S101),微控制器110基于存储在内部存储器120中的代码(或固件)执行安全启动(S102)。
[0043] 然后,当安全启动完成时(步骤S103中的是),微控制器110检查启动是用于重编程模式还是其它模式(例如,正常模式)(即,检查启动模式)(S104)。
[0044] 例如,启动时,车辆控制器100根据在先前终止启动时设置的启动模式(例如,用于重编程的启动、用于应用改变的设置值的启动、用于改变设置值的启动等)以相应的模式启
动。
动。
[0045] 因此,作为检查启动模式的结果,当启动是用于重编程的启动模式时(步骤S104中的是),微控制器110执行已经应用了安全功能的重编程处理(S105)。因此,在本实施方式
中,将不描述重编程处理的安全功能(或用于重编程的安全操作)。
中,将不描述重编程处理的安全功能(或用于重编程的安全操作)。
[0046] 然而,作为检查启动模式(步骤S104中的否)(例如,正常模式)的结果,当启动不是用于重编程的启动模式(即,重编程模式)时,微控制器110执行密码(或安全密钥)输入步
骤,生成错误(无效)密码(或安全密钥),然后自动输入生成的错误密码(S106)。
骤,生成错误(无效)密码(或安全密钥),然后自动输入生成的错误密码(S106)。
[0047] 在这种情况下,可以通过使用密码生成算法(未示出)在每次启动时生成错误密码,或者在预先存储任何一个错误密码之后,可以每次输入存储的错误密码。
[0048] 在相关技术中,仅当模式进入重编程模式时才应用单独的安全功能,用于基本上防止黑客攻击的任何安全功能都没有应用于除了发动机控制单元100的多个操作模式中的
重编程模式之外的其它模式(例如,可以访问存储在外部存储器中的某些可变信息的区域
的模式,诸如正常模式)。然而,在本实施方式中,允许输入密码(或安全密钥),以访问除了
重编程模式之外的其它模式(例如,可以访问存储在外部存储器中的某些可变信息的区域
的模式,例如,正常模式)。
重编程模式之外的其它模式(例如,可以访问存储在外部存储器中的某些可变信息的区域
的模式,诸如正常模式)。然而,在本实施方式中,允许输入密码(或安全密钥),以访问除了
重编程模式之外的其它模式(例如,可以访问存储在外部存储器中的某些可变信息的区域
的模式,例如,正常模式)。
[0049] 然而,在如上所述的输入密码(或安全密钥)的方法中,可以通过像现有黑客方法一样反复输入密码来释放锁定(或释放安全)。因此,在本实施方式中,在启动之后,仅提供
一次输入密码(或安全密钥)的机会,并且甚至消除了一次输入密码(或安全密钥)的机会
(即,故意生成并自动输入错误(无效)密码(或安全密钥),以消除黑客的密码输入机会),使
得黑客(或黑客输入的密码)不可能进行锁定释放(或安全释放)(S107)。
一次输入密码(或安全密钥)的机会,并且甚至消除了一次输入密码(或安全密钥)的机会
(即,故意生成并自动输入错误(无效)密码(或安全密钥),以消除黑客的密码输入机会),使
得黑客(或黑客输入的密码)不可能进行锁定释放(或安全释放)(S107)。
[0050] 如上所述,在密码(或安全密钥)输入步骤中生成并自动输入错误(无效)密码(或安全密钥),从而立即跳转到主软件(SW)例程,同时基本上阻止访问存储在外部存储器130
中的某些可变信息的区域,例如,正常模式(S108)。
中的某些可变信息的区域,例如,正常模式(S108)。
[0051] 如上所述,在本实施方式中,为了在反复输入密码直到释放车辆控制器100的锁定(或安全性)的方法中基本上防止黑客攻击,在车辆控制器100的启动期间自动输入故意的
错误密码,从而可以预先阻止黑客攻击的密码输入机会,以增强安全性。
错误密码,从而可以预先阻止黑客攻击的密码输入机会,以增强安全性。
[0052] 如上所述,在本实施方式中,车辆控制器100包括发动机控制单元(ECU),并且还包括用于控制车辆的各种功能的多个电子控制单元(ECU)。
[0053] 尽管已经参考附图中示出的实施方式描述了本公开,但是本公开的实施方式仅用于说明的目的,并且本领域技术人员将理解,各种修改和等效的其他实施方式是可能的。因
此,本公开的真正技术范围应该由以下权利要求来限定。此外,本说明书中描述的实现可以
用例如方法或过程、设备、软件程序和数据流或信号来实现。虽然仅在单一实现形式的上下
文中讨论(例如,仅作为方法讨论),但是所讨论的特征的实现也可以作为其他形式(例如,
设备或程序)来实现。该设备可以用适当的硬件、软件、固件等来实现。该方法可以在诸如处
理器等设备中实现,处理器通常是指包括计算机、微处理器、集成电路或可编程逻辑器件的
处理装置。处理器包括通信装置,例如,计算机、蜂窝电话、便携式/个人数字助理(PDA)以及
其他便于终端用户之间的信息通信的装置。
此,本公开的真正技术范围应该由以下权利要求来限定。此外,本说明书中描述的实现可以
用例如方法或过程、设备、软件程序和数据流或信号来实现。虽然仅在单一实现形式的上下
文中讨论(例如,仅作为方法讨论),但是所讨论的特征的实现也可以作为其他形式(例如,
设备或程序)来实现。该设备可以用适当的硬件、软件、固件等来实现。该方法可以在诸如处
理器等设备中实现,处理器通常是指包括计算机、微处理器、集成电路或可编程逻辑器件的
处理装置。处理器包括通信装置,例如,计算机、蜂窝电话、便携式/个人数字助理(PDA)以及
其他便于终端用户之间的信息通信的装置。