一种控制器安全启动验证方法以及装置与流程

1.本技术涉及车辆信息安全技术领域，特别是涉及一种控制器安全启动验证方法、装置、计算机设备、存储介质和计算机程序产品。


背景技术：

2.随着汽车智能化和网联化的迅速发展，各种车载终端被广泛用来实现车辆联网通信，远程控制车辆和丰富乘车娱乐活动等功能。与此同时，不断出现的车辆网络安全事件中车辆驾乘人员面临隐私数据泄露，人身安全和财产损失的风险，使得广大车辆用户和国家对智能汽车网络安全的关注度不断提高，近几年，国家陆续出台了信息安全标准法规，监督和促进车辆的生产和使用中的安全环节。
3.车载终端作为汽车内部网络与外部通信的关键部件，是实现提升车辆网络安全的一个重要环节。相应的，整车法规及整车信息安全标准对加密模块的集成和支持提出了各种要求，要求通过对称、非对称、杂凑等密码学算法为车外通信、车内通信、启动、安全存储提供安全防护能力，其中明确指出，安全区域或安全模块应当具备检测与处置非授权访问的能力，对抗暴力破解，其中hsm(hardware security module，车载硬件安全模块)安全套件被明确提出，hsm安全套件能够根据任务类型进行相应的处理，能够支持密钥以及重要数据的安全存储、硬件加速算法以及软件实现的算法以及安全启动等功能。
4.相关技术中，hsm安全套件中，安全启动(secure boot)功能作为单独的校验机制，当其搭载到具体的ecu中后，在app启动前会被自动触发。
5.然而，目前的安全启动功能验证方法，存在如下的技术问题：
6.hsm安全套件的安全启动功能在app启动前会自动触发，用户无法主动调用此项功能，因此难以对安全启动功能的实施情况进行详细的验证测试。


技术实现要素：

7.基于此，有必要针对上述技术问题，提供一种能够对安全套件的安全启动功能的实施情况进行验证的一种控制器安全启动验证方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
8.第一方面，本技术提供了一种控制器安全启动验证方法。所述方法包括：
9.获取待验证的目标设备的应用配置地址，所述应用配置地址用于存储目标设备内应用的原始应用数据；
10.根据所述应用配置地址获取所述原始应用数据；
11.基于预设的篡改流程对所述原始应用数据进行篡改处理，得到篡改后的校验应用数据；
12.在所述应用配置地址中以所述校验应用数据替换所述原始应用数据；
13.向所述目标设备发送预设的诊断报文，获取所述目标设备响应的与所述诊断报文相关联的反馈报文，根据所述反馈报文确定安全启动模块的验证结果。
14.在其中一个实施例中，所述基于预设的篡改流程对所述原始应用数据进行篡改处理，得到篡改后的校验应用数据包括：
15.对所述原始应用数据中的应用代码逻辑进行改写，得到所述校验应用数据；
16.和/或；
17.对所述原始应用数据中的应用适配地址进行改写，得到所述校验应用数据。
18.在其中一个实施例中，所述向所述目标设备发送预设的诊断报文，获取所述目标设备响应的与所述诊断报文相关联的反馈报文，根据所述反馈报文确定安全启动模块的验证结果包括：
19.在替换所述原始应用数据前，向所述目标设备发送所述诊断报文，获取所述目标设备响应的参考报文；
20.对所述参考报文以及所述反馈报文进行一致性比对，获取所述验证结果。
21.在其中一个实施例中，所述根据所述应用配置地址获取所述原始应用数据包括：
22.调用预设的固件逆向提取流程，获取存储于所述应用配置地址下的所述原始应用数据。
23.在其中一个实施例中，所述向所述目标设备发送预设的诊断报文，获取所述目标设备响应的与所述诊断报文相关联的反馈报文，根据所述反馈报文确定安全启动模块的验证结果包括：
24.通过预设的诊断协议向所述目标设备发送所述诊断报文，所述诊断报文为与所述应用配置地址相关联的内容寻址报文。
25.在其中一个实施例中，所述方法还包括：
26.将所述原始应用数据存储至预先创建的缓存空间；
27.所述根据所述反馈报文确定安全启动模块的验证结果之后，还包括：
28.调用所述缓存空间中的所述原始应用数据对所述目标设备内的应用数据进行恢复。
29.第二方面，本技术还提供了一种控制器安全启动验证装置。所述装置包括：
30.地址获取模块，用于获取待验证的目标设备的应用配置地址，所述应用配置地址用于存储目标设备内应用的原始应用数据；
31.应用数据模块，用于根据所述应用配置地址获取所述原始应用数据；
32.数据篡改模块，用于基于预设的篡改流程对所述原始应用数据进行篡改处理，得到篡改后的校验应用数据；
33.数据替换模块，用于在所述应用配置地址中以所述校验应用数据替换所述原始应用数据；
34.功能校验模块，用于向所述目标设备发送预设的诊断报文，获取所述目标设备响应的与所述诊断报文相关联的反馈报文，根据所述反馈报文确定安全启动模块的验证结果。
35.在其中一个实施例中，所述数据篡改模块包括：
36.应用逻辑改写模块，用于对所述原始应用数据中的应用代码逻辑进行改写，得到所述校验应用数据；
37.和/或；
38.应用地址改写模块，用于对所述原始应用数据中的应用适配地址进行改写，得到所述校验应用数据。
39.在其中一个实施例中，所述功能校验模块包括：
40.参考报文模块，用于在替换所述原始应用数据前，向所述目标设备发送所述诊断报文，获取所述目标设备响应的参考报文；
41.一致性比对模块，用于对所述参考报文以及所述反馈报文进行一致性比对，获取所述验证结果。
42.在其中一个实施例中，所述应用数据模块包括：
43.固件逆向模块，用于调用预设的固件逆向提取流程，获取存储于所述应用配置地址下的所述原始应用数据。
44.在其中一个实施例中，所述功能校验模块包括：
45.内容寻址报文模块，用于通过预设的诊断协议向所述目标设备发送所述诊断报文，所述诊断报文为与所述应用配置地址相关联的内容寻址报文。
46.在其中一个实施例中，所述装置还包括：
47.数据缓存模块，用于将所述原始应用数据存储至预先创建的缓存空间；
48.所述功能校验模块之后，还包括：
49.数据恢复模块，用于调用所述缓存空间中的所述原始应用数据对所述目标设备内的应用数据进行恢复。
50.第三方面，本技术还提供了一种计算机设备。所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现如第一方面中任意一项实施例所述的一种控制器安全启动验证方法中的步骤。
51.第四方面，本技术还提供了一种计算机可读存储介质。所述计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如第一方面中任意一项实施例所述的一种控制器安全启动验证方法中的步骤。
52.第五方面，本技术还提供了一种计算机程序产品。所述计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现如第一方面中任意一项实施例所述的一种控制器安全启动验证方法中的步骤。
53.上述一种控制器安全启动验证方法、装置、计算机设备、存储介质和计算机程序产品，通过独权中的技术特征进行推导，能够达到对应背景技术中的技术问题的有益效果：
54.在hsm安全套件的研发阶段，通过获取待验证的目标设备的应用配置地址，从而读取到原始的应用数据，随后对原始应用数据中的特定内容进行篡改，并替换原先的原始应用数据，从而得以在应用中植入差异，最后利用向应用发送预设的诊断报文并获取响应的反馈报文，根据反馈报文得到最终的验证结果。在实施中，对应用数据的篡改发生在特定的数据类型中，不会对车内ecu系统产生影响，使得测试验证中车内应用得以正常运行，保证了设备的可用性。同时，利用渗透测试的思想，将报文诊断技术以及固件篡改技术运用于hsm安全启动的功能验证中，使得测试人员得以充分利用角色优势，直观地验证安全启动的模块功能，并获取明确的结果记录，降低了验证测试的难度，提高了测试效率以及准确性。
附图说明
55.图1为一个实施例中一种控制器安全启动验证方法的第一流程示意图；
56.图2为另一个实施例中一种控制器安全启动验证方法的第二流程示意图；
57.图3为另一个实施例中一种控制器安全启动验证方法的第三流程示意图；
58.图4为另一个实施例中一种控制器安全启动验证方法的第四流程示意图；
59.图5为另一个实施例中一种控制器安全启动验证方法的第五流程示意图；
60.图6为另一个实施例中一种控制器安全启动验证方法的第六流程示意图；
61.图7为一个实施例中一种控制器安全启动验证装置的结构框图；
62.图8为一个实施例中计算机设备的内部结构图。
具体实施方式
63.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
64.相关技术中，hsm安全套件中，安全启动(secure boot)功能作为单独的校验机制，当其搭载到具体的ecu中后，在app启动前会被自动触发。
65.然而，目前的安全启动功能验证方法，存在如下的技术问题：
66.hsm安全套件的安全启动功能在app启动前会自动触发，用户无法主动调用此项功能，因此难以对安全启动功能的实施情况进行详细的验证测试。
67.基于此，本技术提供了一种控制器安全启动验证方法。
68.在一个实施例中，如图1所示，提供了一种控制器安全启动验证方法，本实施例以该方法应用于终端进行举例说明，可以理解的是，该方法也可以应用于服务器，还可以应用于包括终端和服务器的系统，并通过终端和服务器的交互实现。本实施例中，该方法包括以下步骤：
69.步骤101：获取待验证的目标设备的应用配置地址，所述应用配置地址用于存储目标设备内应用的原始应用数据。
70.其中，应用配置地址可以指用于存储应用相关的底层数据的地址信息。
71.示例性地，终端可以在获取充分授权和许可的前提下，获取待验证的目标设备的应用配置地址。
72.步骤103：根据所述应用配置地址获取所述原始应用数据。
73.示例性地，终端可以根据应用配置地址获取存储于应用配置地址下的原始应用数据。
74.步骤105：基于预设的篡改流程对所述原始应用数据进行篡改处理，得到篡改后的校验应用数据。
75.其中，篡改流程可以指在目标数据中选取出特定的类别的数据并进行修改处理的流程。
76.示例性地，终端可以基于预设的篡改流程对原始应用数据进行篡改处理，最终得到篡改后的校验应用数据。
77.步骤107：在所述应用配置地址中以所述校验应用数据替换所述原始应用数据。
78.示例性地，在获取篡改后的校验应用数据后，终端可以通过数据接口将校验应用数据烧录至应用配置地址中的相应地址中。
79.步骤109：向所述目标设备发送预设的诊断报文，获取所述目标设备响应的与所述诊断报文相关联的反馈报文，根据所述反馈报文确定安全启动模块的验证结果。
80.其中，诊断报文可以指由终端预先生成的符合目标设备诊断协议的报文数据，可以用于触发目标设备的特定响应数据。
81.示例性地，诊断可以向替换原始应用数据后的目标设备发送预设的诊断报文，从而获取目标设备响应的与诊断报文相关联的反馈报文。最终，诊断得以根据反馈报文确定安全启动模块的验证结果。例如，若反馈报文指示应用功能正常，而此时应用数据已被篡改，则表面安全启动功能未识别到应用数据被篡改，则可以表明安全启动模块的功能异常。
82.上述一种控制器安全启动验证方法中，结合实施例中的技术特征进行合理推导，能够实现解决背景技术中所提出的技术问题的如下有益效果：
83.在hsm安全套件的研发阶段，通过获取待验证的目标设备的应用配置地址，从而读取到原始的应用数据，随后对原始应用数据中的特定内容进行篡改，并替换原先的原始应用数据，从而得以在应用中植入差异，最后利用向应用发送预设的诊断报文并获取响应的反馈报文，根据反馈报文得到最终的验证结果。在实施中，对应用数据的篡改发生在特定的数据类型中，不会对车内ecu系统产生影响，使得测试验证中车内应用得以正常运行，保证了设备的可用性。同时，利用渗透测试的思想，将报文诊断技术以及固件篡改技术运用于hsm安全启动的功能验证中，使得测试人员得以充分利用角色优势，直观地验证安全启动的模块功能，并获取明确的结果记录，降低了验证测试的难度，提高了测试效率以及准确性。
84.在一个实施例中，如图2所示，步骤105包括：
85.步骤201：对所述原始应用数据中的应用代码逻辑进行改写，得到所述校验应用数据。
86.示例性地，终端可以获取目标应用的可执行文件，从而获取应用程序地址，并篡改应用起始地址下的代码内容，实现篡改应用代码逻辑的目的。
87.和/或；
88.步骤203：对所述原始应用数据中的应用适配地址进行改写，得到所述校验应用数据。
89.示例性地，终端可以对原始应用数据中的mac信息进行篡改，从而得到mac值篡改后的校验应用数据。
90.本实施例中，提供了两种可选的原始应用数据篡改方案，能够实现不影响ecu的正常运行功能并额外进行测试的效果，有助于提供验证方法的适用范围。
91.在一个实施例中，如图3所示，步骤109包括：
92.步骤301：在替换所述原始应用数据前，向所述目标设备发送所述诊断报文，获取所述目标设备响应的参考报文。
93.示例性地，终端可以在替换原始应用数据前，向目标设备发送诊断报文，从而获取目标设备响应的参考报文。例如，终端可以在篡改应用数据前通过uds协议，向正常的应用发送诊断报文，从而获取参考报文。
94.步骤303：对所述参考报文以及所述反馈报文进行一致性比对，获取所述验证结
果。
95.示例性地，终端可以将参考报文与反馈报文进行一致性比对，从而获取验证结果。具体地，若两者一致，则验证结果为异常；若两者不一致，则验证结果为正常。
96.本实施例中，通过一致性比对获取验证结果，有助于提高验证流程的简洁度，降低验证流程的开发成本，同时提高结果的明确性。
97.在一个实施例中，如图4所示，步骤103包括：
98.步骤401：调用预设的固件逆向提取流程，获取存储于所述应用配置地址下的所述原始应用数据。
99.其中，固件逆向提取流程可以指在不对嵌入式系统进行实际运行的情况下，通过对固件文件进行逆向解析，分析固件中各代码模块的调用关系及代码内容的技术手段。
100.示例性地，终端可以调用预设的固件逆向提取流程，获取存储在应用配置地址下的原始应用数据。
101.本实施例中，通过固件逆向技术进行数据提取，有助于降低验证流程对系统运行的影响，提高验证的稳定性和泛用性。
102.在一个实施例中，如图5所示，步骤109包括：
103.步骤501：通过预设的诊断协议向所述目标设备发送所述诊断报文，所述诊断报文为与所述应用配置地址相关联的内容寻址报文。
104.示例性地，终端可以通过预设的诊断协议向目标设备发送诊断报文，诊断报文为与应用配置地址相关联的内容寻址报文。例如，终端可以通过uds协议发送can报文。
105.在一个实施例中，如图6所示，所述方法还包括：
106.步骤601：将所述原始应用数据存储至预先创建的缓存空间。
107.示例性地，终端可以在获取原始应用数据后，将原始应用数据存储至预先创建的缓存空间。
108.所述步骤109之后，还包括：
109.步骤603：调用所述缓存空间中的所述原始应用数据对所述目标设备内的应用数据进行恢复。
110.示例性地，终端可以调用缓存空间中的原始应用数据对目标设备内的应用数据进行恢复。
111.本实施例中，通过缓存-恢复的方式对原始应用数据进行保存，有助于提高验证流程的安全性，降低对应用数据的篡改导致的应用系统受损的可能性。
112.应该理解的是，虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
113.基于同样的发明构思，本技术实施例还提供了一种用于实现上述所涉及的一种控制器安全启动验证方法的一种控制器安全启动验证装置。该装置所提供的解决问题的实现
方案与上述方法中所记载的实现方案相似，故下面所提供的一个或多个一种控制器安全启动验证装置实施例中的具体限定可以参见上文中对于一种控制器安全启动验证方法的限定，在此不再赘述。
114.在一个实施例中，如图7所示，提供了一种控制器安全启动验证装置，包括：地址获取模块、应用数据模块、数据篡改模块、数据替换模块和功能校验模块，其中：
115.地址获取模块，用于获取待验证的目标设备的应用配置地址，所述应用配置地址用于存储目标设备内应用的原始应用数据；
116.应用数据模块，用于根据所述应用配置地址获取所述原始应用数据；
117.数据篡改模块，用于基于预设的篡改流程对所述原始应用数据进行篡改处理，得到篡改后的校验应用数据；
118.数据替换模块，用于在所述应用配置地址中以所述校验应用数据替换所述原始应用数据；
119.功能校验模块，用于向所述目标设备发送预设的诊断报文，获取所述目标设备响应的与所述诊断报文相关联的反馈报文，根据所述反馈报文确定安全启动模块的验证结果。
120.在其中一个实施例中，所述数据篡改模块包括：
121.应用逻辑改写模块，用于对所述原始应用数据中的应用代码逻辑进行改写，得到所述校验应用数据；
122.和/或；
123.应用地址改写模块，用于对所述原始应用数据中的应用适配地址进行改写，得到所述校验应用数据。
124.在其中一个实施例中，所述功能校验模块包括：
125.参考报文模块，用于在替换所述原始应用数据前，向所述目标设备发送所述诊断报文，获取所述目标设备响应的参考报文；
126.一致性比对模块，用于对所述参考报文以及所述反馈报文进行一致性比对，获取所述验证结果。
127.在其中一个实施例中，所述应用数据模块包括：
128.固件逆向模块，用于调用预设的固件逆向提取流程，获取存储于所述应用配置地址下的所述原始应用数据。
129.在其中一个实施例中，所述功能校验模块包括：
130.内容寻址报文模块，用于通过预设的诊断协议向所述目标设备发送所述诊断报文，所述诊断报文为与所述应用配置地址相关联的内容寻址报文。
131.在其中一个实施例中，所述装置还包括：
132.数据缓存模块，用于将所述原始应用数据存储至预先创建的缓存空间；
133.所述功能校验模块之后，还包括：
134.数据恢复模块，用于调用所述缓存空间中的所述原始应用数据对所述目标设备内的应用数据进行恢复。
135.上述一种控制器安全启动验证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可
access memory，dram)等。本技术所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本技术所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。
143.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
144.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本技术专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。

技术特征：
1.一种控制器安全启动验证方法，其特征在于，所述方法包括：获取待验证的目标设备的应用配置地址，所述应用配置地址用于存储目标设备内应用的原始应用数据；根据所述应用配置地址获取所述原始应用数据；基于预设的篡改流程对所述原始应用数据进行篡改处理，得到篡改后的校验应用数据；在所述应用配置地址中以所述校验应用数据替换所述原始应用数据；向所述目标设备发送预设的诊断报文，获取所述目标设备响应的与所述诊断报文相关联的反馈报文，根据所述反馈报文确定安全启动模块的验证结果。2.根据权利要求1所述的方法，其特征在于，所述基于预设的篡改流程对所述原始应用数据进行篡改处理，得到篡改后的校验应用数据包括：对所述原始应用数据中的应用代码逻辑进行改写，得到所述校验应用数据；和/或；对所述原始应用数据中的应用适配地址进行改写，得到所述校验应用数据。3.根据权利要求1所述的方法，其特征在于，所述向所述目标设备发送预设的诊断报文，获取所述目标设备响应的与所述诊断报文相关联的反馈报文，根据所述反馈报文确定安全启动模块的验证结果包括：在替换所述原始应用数据前，向所述目标设备发送所述诊断报文，获取所述目标设备响应的参考报文；对所述参考报文以及所述反馈报文进行一致性比对，获取所述验证结果。4.根据权利要求1所述的方法，其特征在于，所述根据所述应用配置地址获取所述原始应用数据包括：调用预设的固件逆向提取流程，获取存储于所述应用配置地址下的所述原始应用数据。5.根据权利要求1所述的方法，其特征在于，所述向所述目标设备发送预设的诊断报文，获取所述目标设备响应的与所述诊断报文相关联的反馈报文，根据所述反馈报文确定安全启动模块的验证结果包括：通过预设的诊断协议向所述目标设备发送所述诊断报文，所述诊断报文为与所述应用配置地址相关联的内容寻址报文。6.根据权利要求1所述的方法，其特征在于，所述方法还包括：将所述原始应用数据存储至预先创建的缓存空间；所述根据所述反馈报文确定安全启动模块的验证结果之后，还包括：调用所述缓存空间中的所述原始应用数据对所述目标设备内的应用数据进行恢复。7.一种控制器安全启动验证装置，其特征在于，所述装置包括：地址获取模块，用于获取待验证的目标设备的应用配置地址，所述应用配置地址用于存储目标设备内应用的原始应用数据；应用数据模块，用于根据所述应用配置地址获取所述原始应用数据；数据篡改模块，用于基于预设的篡改流程对所述原始应用数据进行篡改处理，得到篡改后的校验应用数据；
数据替换模块，用于在所述应用配置地址中以所述校验应用数据替换所述原始应用数据；功能校验模块，用于向所述目标设备发送预设的诊断报文，获取所述目标设备响应的与所述诊断报文相关联的反馈报文，根据所述反馈报文确定安全启动模块的验证结果。8.根据权利要求7所述的装置，其特征在于，所述数据篡改模块包括：应用逻辑改写模块，用于对所述原始应用数据中的应用代码逻辑进行改写，得到所述校验应用数据；和/或；应用地址改写模块，用于对所述原始应用数据中的应用适配地址进行改写，得到所述校验应用数据。9.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。

技术总结
本申请涉及车辆信息安全技术领域，特别是涉及一种控制器安全启动验证方法、装置、计算机设备、存储介质和计算机程序产品。获取待验证的目标设备的应用配置地址，所述应用配置地址用于存储目标设备内应用的原始应用数据；根据所述应用配置地址获取所述原始应用数据；基于预设的篡改流程对所述原始应用数据进行篡改处理，得到篡改后的校验应用数据；在所述应用配置地址中以所述校验应用数据替换所述原始应用数据；向所述目标设备发送预设的诊断报文，获取所述目标设备响应的与所述诊断报文相关联的反馈报文，根据所述反馈报文确定安全启动模块的验证结果。采用本方法能够对安全套件的安全启动功能的实施情况进行验证。的安全启动功能的实施情况进行验证。的安全启动功能的实施情况进行验证。


技术研发人员：杨彦召 郝群芳 郭超 苗挺
受保护的技术使用者：中汽创智科技有限公司
技术研发日：2023.07.24
技术公布日：2023/10/7