本發(fā)明實(shí)施例公開(kāi)了一種汽車(chē)電機(jī)控制器程序安全加載系統(tǒng)及方法，所述系統(tǒng)包括燒錄上位機(jī)、汽車(chē)電機(jī)控制器和CAN網(wǎng)絡(luò)，所述電機(jī)控制器包含F(xiàn)LASH，燒錄上位機(jī)發(fā)出燒錄申請(qǐng)，所述電機(jī)控制器收到申請(qǐng)后按照安全驗(yàn)證邏輯進(jìn)行交互，若握手失敗，放棄此次升級(jí)；若握手成功，則燒錄上位機(jī)分批次把目標(biāo)程序加密后傳輸給所述電機(jī)控制器；所述電機(jī)控制器中加載邏輯進(jìn)行處理，若數(shù)據(jù)幀解析正確，則加密后存入FLASH；若解析失敗，則請(qǐng)求上位機(jī)重發(fā)。本發(fā)明保障了程序加載時(shí)的數(shù)據(jù)安全，加載過(guò)程確保數(shù)據(jù)不被截獲分析，有效防止加載過(guò)程中被插入第三方安全威脅性代碼。

技術(shù)領(lǐng)域

本發(fā)明涉及新能源汽車(chē)技術(shù)領(lǐng)域，尤其涉及一種汽車(chē)電機(jī)控制器程序安全加載系統(tǒng)及方法。

背景技術(shù)

近幾年，汽車(chē)市場(chǎng)正逐步由傳統(tǒng)燃油車(chē)轉(zhuǎn)向新能源電動(dòng)汽車(chē)，動(dòng)力核心則與發(fā)動(dòng)機(jī)改為“電機(jī)+電控”。其中，電控（全稱(chēng)電機(jī)控制器）是典型的嵌入式系統(tǒng)，由嵌入式硬件和嵌入式軟件組成。電機(jī)和嵌入式硬件是“死物”，一般沒(méi)有損壞即可按照設(shè)計(jì)正常工作；而嵌入式軟件可能在生產(chǎn)完成之后遭到破解，或者后期升級(jí)時(shí)植入后門(mén)程序，從而誘發(fā)汽車(chē)安全問(wèn)題。

為解決汽車(chē)電機(jī)控制器程序安全性問(wèn)題，常規(guī)做法有以下幾點(diǎn)：

1、開(kāi)啟嵌入式硬件中主控芯片的安全功能，可以降低非相關(guān)技術(shù)人員直接通過(guò)JTAG/串口/CAN口等途徑直接讀取/修改內(nèi)置程序風(fēng)險(xiǎn)；

2、獨(dú)自開(kāi)發(fā)芯片輔助加載程序（又稱(chēng)BootLoader），利用自有輔助加載程序可以按需求添加一些安全策略，如握手認(rèn)證，數(shù)據(jù)校驗(yàn)等。可以解決非安全狀態(tài)下直接開(kāi)始燒錄和數(shù)據(jù)鏈路層出錯(cuò)等問(wèn)題；

3、引入芯片唯一識(shí)別碼，用于程序加載、存儲(chǔ)時(shí)數(shù)據(jù)加密,增大破解難度。

開(kāi)啟芯片自帶的密碼鎖，可以一定程度上防止破解人員直接通過(guò)芯片自帶的JTAG口等手段讀取控制器程序，但芯片自帶加密規(guī)則通用，應(yīng)用范圍廣，已有大量專(zhuān)業(yè)人員/公司成功破解，僅需支付一點(diǎn)報(bào)酬即可獲取可生產(chǎn)或分析的目標(biāo)相關(guān)文件。

芯片識(shí)別碼雖然唯一，但是固定，通過(guò)公有技術(shù)可以直接讀取，如果簡(jiǎn)單用于程序加載和存儲(chǔ)時(shí)加密，意味著密鑰公開(kāi)，破解難度較低。用“公開(kāi)的”密鑰用于程序的保護(hù)，專(zhuān)業(yè)人員可以直接在程序升級(jí)時(shí)，替換或增加某些危險(xiǎn)性代碼，也可以完全解析已破解獲得的目標(biāo)相關(guān)文件，得到所有技術(shù)細(xì)節(jié)。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例所要解決的技術(shù)問(wèn)題在于，提供一種汽車(chē)電機(jī)控制器程序安全加載系統(tǒng)及方法，以使保障程序加載時(shí)數(shù)據(jù)安全。

為了解決上述技術(shù)問(wèn)題，本發(fā)明實(shí)施例提出了一種汽車(chē)電機(jī)控制器程序安全加載系統(tǒng)，包括燒錄上位機(jī)、汽車(chē)電機(jī)控制器和CAN網(wǎng)絡(luò)，所述電機(jī)控制器包含F(xiàn)LASH，

燒錄上位機(jī)發(fā)出燒錄申請(qǐng)，所述電機(jī)控制器收到申請(qǐng)后按照安全驗(yàn)證邏輯進(jìn)行交互，若握手失敗，放棄此次升級(jí)；若握手成功，則燒錄上位機(jī)分批次把目標(biāo)程序加密后傳輸給所述電機(jī)控制器；

所述電機(jī)控制器中加載邏輯進(jìn)行處理，若數(shù)據(jù)幀解析正確，則加密后存入FLASH；若解析失敗，則請(qǐng)求上位機(jī)重發(fā)。

進(jìn)一步地，燒錄上位機(jī)發(fā)起燒錄申請(qǐng)后，首先與電機(jī)控制器通過(guò)預(yù)設(shè)的應(yīng)用場(chǎng)景B進(jìn)行安全驗(yàn)證，通過(guò)后，再進(jìn)行燒錄操作，然后讀取并分析燒錄目標(biāo)程序，將目標(biāo)程序分為固定長(zhǎng)度128位的多個(gè)片斷，按照預(yù)設(shè)的應(yīng)用場(chǎng)景BC計(jì)算目標(biāo)程序校驗(yàn)；每次僅發(fā)送一個(gè)片斷，發(fā)送前按照預(yù)設(shè)的應(yīng)用場(chǎng)景BA對(duì)片斷數(shù)據(jù)進(jìn)行加密，然后組裝為符合加載邏輯的完整數(shù)據(jù)幀，按照預(yù)設(shè)的應(yīng)用場(chǎng)景BB對(duì)此完整數(shù)據(jù)幀進(jìn)行校驗(yàn)計(jì)算；當(dāng)前片斷的發(fā)送包括完整數(shù)據(jù)幀和數(shù)據(jù)幀校驗(yàn)，發(fā)送完成后等待電機(jī)控制器回復(fù)；若回復(fù)成功，則進(jìn)行下一片斷發(fā)送；若回復(fù)失敗，則再次觸發(fā)當(dāng)前片斷發(fā)送；所有片斷發(fā)送完成后，進(jìn)行預(yù)設(shè)的應(yīng)用場(chǎng)景BC校驗(yàn)，電機(jī)控制器回復(fù)校驗(yàn)成功，燒錄完成；回復(fù)失敗，則提示是否再次觸發(fā)燒錄申請(qǐng)。