CN107026729B

CN107026729B - 用于传输软件的方法和装置

Info

Publication number: CN107026729B
Application number: CN201611166556.3A
Authority: CN
Inventors: C.胡特; P.杜普利斯
Original assignee: Robert Bosch GmbH
Current assignee: Robert Bosch GmbH
Priority date: 2015-12-17
Filing date: 2016-12-16
Publication date: 2021-08-17
Anticipated expiration: 2036-12-16
Also published as: CN107026729A; US10404718B2; DE102015225651A1; US20170180392A1

Abstract

用于传输软件的方法和装置。用于传输软件的方法，其特征在于下列特征：‑检查者产生第一随机数和第二随机数，‑所述检查者根据第二随机数借助于设备的模仿的或之前测得的硬件函数来计算密码密钥，‑所述检查者利用所述密钥将所述软件加密成密文，‑所述检查者将所述密文发送给所述设备，‑所述检查者将所述第一随机数发送给所述设备，‑所述检查者从所述设备中接收校验和，‑所述检查者根据所述第一随机数和所述设备的复制的工作存储器借助于所述模拟的或之前测得的硬件函数和预先给定的密码散列函数来计算参考值，‑所述检查者根据所述参考值使所述校验和经受检查，以及‑只要所述检查通过，所述检查者就将所述第二随机数发送给所述设备。

Description

用于传输软件的方法和装置

技术领域

本发明涉及一种用于传输软件的方法。此外，本发明涉及一种相应的装置、一种相应的计算机程序以及一种相应的存储介质。

背景技术

信息安全作为信息学的子领域追求不同的、在专业语言上被称为保护目标的愿望。除了可用性和机密性以外，完整性在此也是传统的保护目标之一。按照国际标准化的信息技术安全评估通用标准（Common Criteria for Information Technology SecurityEvaluation, CC）,这应理解为防止对信息的未授权的修改。真实性的其它保护目标表示对象、尤其是设备的真正性、可检查性和可信赖性的特性。

所提到的目标在网络物理***（cyber-physical systems, CPS）的还较新的研究领域中具有特殊的意义。该总体概念本领域技术人员理解为与通过数据基础设施如因特网进行通信的机械的或电子的部件的信息学的或软件技术的组件的复合。网络物理***的构造通过有线连接的或无线的通信网络、尤其是所谓的传感器网络由嵌入式***的联网形成。

WO 2013 160032 A1 提出，确定构件的本源性，其中所述构件的至少一个单独的属性用于识别本源性，而无需对秘密的数据的独占的访问，不以公共密钥对分配给所述构件的签名进行验证。根据所述构件的至少一个构件特定的特性来产生当前的标识，例如PUF值。只要所述当前产生的标识对应于所验证的签名，则推断出所述构件的本源性。所述签名在此对应于利用私有密钥、例如该部件的制造商的私有密钥加密的代码字。

发明内容

本发明提供按照独立权利要求所述的用于传输软件的方法、相应的装置、相应的计算机程序以及相应的存储介质。

所述解决方案的优点在于提供的安全，即真正的软件被下载并且被实施在真正的硬件设备、例如传感器上。而现存的方案通常一次只能检查两个安全标准之一。

与软件完整性在信任计算的意义上的传统的证明（attestation）不同，所提出的方法不必要以对传感器装置上的实施时间进行远程并且还是精确的测量为前提。

与前面提到的常规的方案不同，按照本发明的机制此外有效地致力于传感器已被恶意软件感染的情形。这里，检查者的行动不依赖于是否存在恶意软件。目标设备的完整的软件在这里被删除并且被可信赖的软件替换。

不同于大量已知的方案，所提出的解决方案具有与隐含的相互认证相近的特性。假设仅仅合法的检查者能够模仿硬件函数或之前已测定该硬件函数，那么有意义的加密只能由合法的检查者计算出。因此，所述传感器可以在解密之后检查在所解密的代码、例如该软件的一部分的校验和中人工痕迹的存在，并且因此保证，所述软件被合法的源、例如被真正的集线器加密过。

与现存的***不同，本发明的实施方式在检查者和待检查的设备之间不需要直接的通信连接，尤其是不需要电缆连接。通常，现存的***甚至需要，在检查者和设备之间的通信是唯一的通信，即排除窃听攻击。

随后讨论的解决方案此外阻止针对本身作为知识产权的软件的攻击，因为所述软件只能由授权的、典型嵌入式的（embedded）设备来解密。

通过在从属权利要求中提及的措施，在独立权利要求中说明的基本思想的有利的改进方案和改善方案是可能的。因此可以规定：硬件函数是所述设备的物理不可克隆函数（physically unclonable function, PUF）或者基于所述设备的可信赖平台模块（trustedplatform module, TPM）、表征所述设备的秘密或所述设备的SIMPL***，如在U. Rührmair“SIMPL systems: On a public key variant of physical unclonable functions”，IACR Cryptology ePrint Archive（密码学电子打印档案），255号，2009中，以及在U. Rührmair “SIMPL systems, or can we design cryptographic hardware without secretkey information.”在SOFSEM 2011: Theory and Practice of Computer Science（计算机科学的理论和实践），26-45页，Springer, 2011, 中所提出的那样。主动的攻击者在这些情况下不能冒充被授权的设备。为了实现这一点，该攻击者例如必须在密码上破解TPM或者克隆所述PUF，但是这种项攻击在实践中不能以合理的成本完成。

按照另一方面可以规定，所述软件包括可实施的程序、例如代码更新，并且所述设备在软件的解密之后实施该程序。在软件更新之后，在这种情况下所述传感器装置相对于检查者提供证据：所述传感器装置已经成功地实施所述代码更新。

附图说明

本发明的实施例在附图中示出并且在随后的说明中进一步加以解释。

图1示出与集线器连接的传感器的示意性简化的架构。

图2示出按照本发明的实施方式的方法的序列图。

具体执行方式

按照本发明的方法可以例如被实现在软件或硬件中或者以由软件和硬件构成的混合形式例如被实现在嵌入式设备（11）和充当检查者（10）的集线器中，正如图1的示例性的智能家居场景所阐述的那样。在此，概念“集线器”不应在ISO / OSI参考模型的受限的意义中去理解，而是应在宽泛的词义中去理解，该集线器包括尤其是无线地与设备（11）联网的任何节点，只要所述集线器适于将该设备（11）与另外的网络节点连接成计算机网络、例如传感器网络（wireless sensor network（无线传感器网络））。

在此，所述设备（11）本身除了可能的另外的、制图上未示出的组件之外还包括作为静态随机访问存储器（static random access memory, SRAM）被实施的工作存储器（12），所述工作存储器（12）具有物理上不可克隆的硬件函数（14）和足够的存储空间来存放针对工作存储器的运行而设置的软件（13）。此外，所述设备（11）在当前设计方案中还包括微控制器（15）、只读存储器（read only memory, ROM 16）以及适用于与检查者（10）进行相互的数据交换的空中接口（17）。

图2说明方法（20）的过程。该方法通过以特定的、相对于窃听攻击、中间人攻击、恶意软件和伪造的或篡改的硬件不退让的方式将软件（13）绑定到真正的设备（11）上来实现软件（13）的安全的传输以及尤其是更新。双方——检查者（10）和设备（11）参与所提出的机制。设备（11）应相对于检查者（10）证实其真实性和（软件）完整性。因为所述检查者（10）、这里也即所述集线器，通常具有足够的计算资源，所以下面假定，检查者的安全是通过其它机制如反病毒软件（13）、代码签名、地址空间布局随机化、控制流完整性或其他来保障。换言之，通常应假定，检查者（10）是可信赖的。

当前设计方案的基本的假设在于防篡改函数f的存在，所述防篡改函数不可分离地被绑定到设备（11）的真正的硬件上。换言之，如果针对任意的输入C将有效的结果R=f(C)返回给检查者（10）,该检查者则可以推断出，该函数f确实被所述特定的、合法的设备（11）实施过。这种函数的示例是TPM、在图1中描绘的PUF（14）和用于完整性证明的例程。通常在假设每个检查者（10）拥有对于所述设备（11）来说特定的、不能以简单的方式被侵略者提取的秘密的情况下，简单的块密码或所谓的带密钥散列函数、例如基于散列函数的消息认证码（keyed-hash message authentication code, HMAC），也能模仿所述函数f。

此外应假定，所述检查者(10)拥有函数f'，所述函数f'虽然具有某些在实施时间或内存使用方面的限制仍然可以被使用，以便模仿函数f。这种函数f'的示例是特定TPM的公共密钥的知识、PUF（14）的挑战-应答对的知识或者在弱的PUF（14）的情况下-有关通过后者存储的秘密密钥的知识。f'的不基于秘密的知识的另外的示例是已经提及的SIMPL***和所选择的在设备（11）上实施的程序代码的运行时特性。

在这两个假设下，在方法（20）结束后，所述方法（20）保障设备（11）的真正性和设备（11）实施的软件（13）的完整性。

在第一步骤（21）中，检查者（10）借助于合适的随机源、例如物理随机数生成器（true random number generator, TRNG）来产生两个随机数C ₁和C ₂。所述检查者于是按照以下规则计算共同的秘密密钥k:

K=f'(C ₂ )

接下来，所述检查者（10）在使用秘密密钥k的情况下以如下方式对待传输并且通过设备（11）待实施的软件（13）进行加密(步骤22)：

SW _k =E _k (SW|random)

其中E _k例如表示按照AES借助于秘密密钥k获取的密文。软件（13）利用随机数据来充填，以便保证，得出的密文E _k (SW|random)具有与设备(11)的工作存储器（12）大约相同的大小，使得只保留工作存储器（12）的非常小的容量，以便实施进一步的方法（20）。所述检查者（10）现在将密文SW _k传输给设备（11）。

在接收密文SW _k后，设备（11）将所述密文存储（步骤26）在所述设备的可写的存储器、包括工作存储器（12）中，由此所述密文覆盖存储器的完整的迄今的包括任何有害软件在内的存储内容。下面，所述设备（11）的工作存储器（12）的内容在设备已存储SW _k后用M来表示。

在下一步骤（23）中，所述检查者（10）将随机数C ₁传输给设备（11）。所述设备（11）又将C ₁用作之前提及的函数f的输入。结果f(C ₁ )与设备（11）的工作存储器（12）的内容M一起被传输(步骤27)给校验和函数g并且因此提供证明：所述设备（11）已存储完整的所接收的密文，使得每个恶意软件可以假定为被删除，并且所述设备（11）具有对函数f的访问：

CHK=g(f(C ₁ ),M)

函数g的示例是密码签名、如HMAC，密码安全的散列函数、如SHA家庭的散列函数，或者如果安全风险可以变的合理，则是任何其他（合适的）散列函数、例如循环冗余校验（cyclic redundancy check, CRC）。

所述检查者（10）选择性地测量（步骤24）预先定义的逻辑和/或物理测量参量O的集合，而所述设备（11）计算校验和CHK=g(f(C ₁ ),M)。如随后的步骤（25）表明的那样，对O的监控提供附加的可能性：检查，是否确实涉及实施函数f的特定的（真正的）设备（11）。物理的测量参量的示例是对f的实施时间的远程测量，即通过检查者（10）所执行的测量。

在下一步骤中，所述设备（11）将校验和CHK传输给检查者（10）。所述检查者计算参考值g（f'(C ₁ ，M)）并且将其与所接收的校验和CHK进行比较（步骤25）。所述检查者（10）选择性地计算预先定义的逻辑和/或物理测量参量的所期望的值O'并且将结果与实际测量O进行比较。

如果检查（25）成功地进行，即通过设备（11）返回的值和检查者（10）的值一致，则所述检查者（10）则将随机数C ₂传输给设备（11）。该设备（11）计算k=f(C ₂ )并且通过计算D _k (E _k (SW))来解密（步骤28）密文SW _K，其中D _k表示例如在使用秘密密钥k的情况下例如按照AES进行的解密。这是所提出的方法（20）的最后的步骤。在对软件（13）进行解密之后，所述设备（11）可以实施该软件并且由此切换到正常的运行模式，例如用于将所测量的传感器值传输给充当检查者（10）的集线器。

因为只有合法的设备（11）（除了检查者（10）之外）才能够计算正确的结果k=f (C ₂ )，所以所述方法（20）保证，仅仅被授权的设备（11）可以***（13）。这又阻止了第三方解密和运行软件（13）。换言之，所述方法防止知识产权（intellectual property）的盗用——例如通过软件（13）的传输和逆向工程，并且排除由伪造的与集线器连接的传感器的威胁。此外，因为设备（11）的工作存储器（12）的内容M的校验和CHK在所述设备（11）允许***(13)之前，即在将C ₂传输给设备（11）之前被检查，所以保证：当检查者（10）通过传输C ₂变得能够解密并实施原始软件（13）时，设备（11）的工作存储器（12）中不存在恶意软件。最后，因为只有合法的检查者（10）可以计算密钥k=f'(C ₂ )，所以所述设备（11）确保检查者（10）的真实性。

Claims

1.用于将软件（13）传输到远程的设备（11）上的方法（20），

其特征在于下列特征：

- 检查者（10）产生第一随机数（C ₁）和第二随机数（C ₂），

- 所述检查者（10）根据所述第二随机数（C ₂）借助于模仿的或之前测得的所述设备（11）的硬件函数来计算（21）密码密钥，

- 所述检查者（10）利用所述密钥将所述软件（13）加密（22）成密文，

- 所述检查者（10）将所述密文发送给所述设备（11），

- 所述检查者（10）将所述第一随机数（C ₁）发送（23）给所述设备（11），

- 所述检查者（10）从所述设备（11）接收校验和（CHK），

- 所述检查者（10）根据所述第一随机数（C ₁）和复制的所述设备（11）的工作存储器（12）的内容借助于所述模仿的或之前测得的硬件函数和预先给定的密码散列函数来计算参考值，

- 所述检查者（10）根据所述参考值使所述校验和（CHK）经受检查（25），以及

- 只要所述检查（25）通过，所述检查者（10）就将所述第二随机数（C ₂）发送给所述设备（11）。

2.按照权利要求1所述的方法（20），

其特征在于下列特征：

- 在发送（23）所述第一随机数（C ₁）和接收所述校验和（CHK）之间，所述检查者（10）测量（24）一个测量参量，并且

- 所述检查者（10）使所述测量参量经受检查（25）。

3.按照权利要求2所述的方法（20），

其特征在于，所述测量参量是在发送（23）所述第一随机数（C ₁）和接收所述校验和（CHK）之间的时间段。

4.按照权利要求1至3中任一项所述的方法（20），

其特征在于下列特征：

- 所述设备（11）从所述检查者（10）接收所述密文和所述第一随机数（C ₁），

- 所述设备（11）将所述密文存放（26）在所述设备（11）的本地工作存储器（12）中，

- 所述设备（11）根据所述第一随机数（C ₁）和所述本地工作存储器（12）的内容借助于所述散列函数和所述设备（11）的本机的硬件函数来计算（27）所述校验和（CHK），

- 所述设备（11）将所述校验和（CHK）发送给所述检查者（10），

- 所述设备（11）从所述检查者（10）接收所述第二随机数（C ₂），

- 所述设备（11）根据所述第二随机数（C ₂）借助于所述本机的硬件函数来计算所述密钥，以及

- 所述设备（11）利用所述密钥对所述密文进行解密（28），以便获得所述软件（13）。

5.按照权利要求1至3中任一项所述的方法（20），

其特征在于下列特征：

- 所述软件（13）包括能够实施的程序，以及

- 所述设备（11）在所述软件（13）的解密（28）之后实施所述程序。

6.按照权利要求1至3中任一项所述的方法（20），

其特征在于下列特征中的至少一项：

- 所述硬件函数是所述设备（11）的物理不可克隆函数（14），

- 所述硬件函数基于所述设备（11）的可信赖的平台模块，

- 所述硬件函数基于表征所述设备（11）的秘密，或者

- 所述硬件函数基于所述设备（11）的SIMPL***。

7.按照权利要求1至3中任一项所述的方法（20），

其特征在于下列特征：

- 所述检查者（10）在所述加密（22）之前充填所述软件（13），使得所述密文填满所述设备（11）的工作存储器（12）。

8.按照权利要求1至3中任一项所述的方法（20），

其特征在于下列特征中的至少一项：

- 所述校验和（CHK）和所述参考值是基于所述散列函数的消息认证码，

- 所述散列函数是安全的散列算法，或者

- 所述检查（25）是循环冗余校验。

9.计算机可读的存储介质，在所述存储介质上存储有计算机程序，所述计算机程序被设立用于当所述计算机程序被计算机执行时实施按照权利要求1至8中任一项所述的方法（20）。

10.装置（10、11），所述装置具有计算机可读的存储介质和计算机，在所述计算机可读的存储介质上存储有计算机程序，所述计算机程序被设立用于当所述计算机程序被所述计算机执行时实施按照权利要求1至8中任一项所述的方法（20）。