Método y aparato para la seguridad de vehículos.

Un método para hacer seguro un vehículo, que comprende:

proporcionar una unidad

(2) de control de motor, donde un elemento de datos digitales estáticos o más deuno se almacenan en una primera memoria (6, 25) para ser utilizados por la unidad (2) de control de motor; yproporcionar un inmovilizador (3), donde el inmovilizador (3) proporciona un certificado raíz de confianzapara la unidad (2) de control de motor y donde el inmovilizador (3) está adaptado para asegurar que el elemento olos elementos almacenados en la primera memoria (6, 25) están protegidos contra una modificación no autorizada;donde la unidad (2) de control de motor está adaptada para impedir el funcionamiento, o para limitar elrendimiento, de un vehículo a no ser que se lleve a cabo de manera satisfactoria una rutina de validación, donde elmencionado elemento o los mencionados elementos comprenden elementos de datos estáticos utilizados por larutina de validación y donde los mencionados elementos de datos estáticos comprenden un conjunto de una clavepública o varias de una pareja de claves o un conjunto de claves, donde la clave pública o las claves públicas seutilizan en la rutina de validación para determinar si los valores medidos del software de la unidad de control demotor corresponden a los valores firmados utilizando una clave privada asociada o varias.

Tipo: Patente Europea. Resumen de patente/invención. Número de Solicitud: E11153725.

Solicitante: Delphi Technologies Holding S.à.r.l.

Nacionalidad solicitante: Luxemburgo.

Dirección: Avenue de Luxembourg 4940 Bascharage LUXEMBURGO.

Inventor/es: BURIKS,ADRIAN, LAMB,RODNEY.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • SECCION B — TECNICAS INDUSTRIALES DIVERSAS; TRANSPORTES > VEHICULOS EN GENERAL > VEHICULOS, EQUIPOS O PARTES DE VEHICULOS, NO PREVISTOS... > Equipamientos o sistemas para impedir o señalar... > B60R25/04 (actuando sobre el sistema de propulsión, p. ej. sobre el motor)

PDF original: ES-2446974_T3.pdf

 

google+ twitter facebookPin it
Método y aparato para la seguridad de vehículos.

Fragmento de la descripción:

Método y aparato para la seguridad de vehículos Campo de la invención La invención se refiere a métodos y aparatos para la seguridad de vehículos. De manera más específica, la invención se refiere a la seguridad de los datos almacenados en los sistemas informáticos del vehículo.

Antecedentes de la invención Los vehículos que incluyen un motor de combustión interna incluyen típicamente sistemas informáticos importantes para el funcionamiento efectivo del vehículo. Uno de estos sistemas importantes es una unidad de control de motor (ECU, Engine Control Unit) . Se trata de una unidad de control electrónico que controla el funcionamiento del motor y configura varios parámetros de funcionamiento, tales como la mezcla y composición del combustible, el ajuste de encendido, la velocidad de ralentí y el control y el reglaje de las válvulas.

Una ECU puede estar equipada con funciones de seguridad para garantizar que no puede ser objeto de una modificación no autorizada - si se detecta una modificación tal, la ECU puede estar adaptada para impedir o de otro modo limitar el funcionamiento del motor. Tales funciones de seguridad se proporcionan en el propio software en diseños de ECU existentes, debido a que el coste adicional y la complejidad del hardware seguro impide que esto pueda ser una solución aceptable en este contexto desde el punto de vista comercial. Tales funciones de seguridad de software están abiertas a ataques mediante la modificación de los datos de la ECU, la reprogramación de la ECU

o la sustitución física de la ECU. Esto pone en riesgo la seguridad global del vehículo, ya que estas estrategias pueden utilizarse como una táctica para adquirir el control ilícito de un vehículo.

El documento US2009022317 describe un sistema en el que un dispositivo de recepción que posee funciones de una unidad de control de motor interacciona con una llave inmovilizadora. Este sistema está orientado a la prevención de ataques llevados a cabo clonando la llave inmovilizadora mediante la lectura de claves encriptadas almacenadas en memorias no volátiles. Proporciona a la ECU una memoria FeRAM garantizada contra falsificaciones y proporciona un mecanismo para permitir el borrado de claves almacenadas en la memoria FeRAM después de su uso.

Es deseable proporcionar una solución que evite los riesgos para la seguridad de un vehículo basados en puentear las funciones de seguridad de la ECU.

Resumen de la invención Por consiguiente, la invención proporciona un método para hacer seguro un vehículo, que comprende: proporcionar una unidad de control de motor, donde un elemento de datos digitales estáticos o más de uno se almacenan en una primera memoria para ser utilizados por la unidad de control de motor; y proporcionar un inmovilizador, donde el inmovilizador proporciona un certificado raíz de confianza para la unidad de control de motor de modo que el inmovilizador está adaptado para asegurar que el elemento o los elementos almacenados en la primera memoria están protegidos contra una modificación no autorizada; donde la unidad de control de motor está adaptada para impedir el funcionamiento, o para limitar el rendimiento, del vehículo a no ser que se lleve a cabo de manera satisfactoria una rutina de validación, donde el mencionado elemento o los mencionados elementos comprenden elementos de datos estáticos utilizados por la rutina de validación y donde los mencionados elementos de datos estáticos comprenden un conjunto de una clave pública o varias de una pareja de claves o conjunto de claves, donde la clave pública o las claves públicas se utilizan en la rutina de validación para determinar si los valores medidos del software de la unidad de control de motor corresponden a los valores firmados utilizando una clave privada asociada o varias.

Esta estrategia evita tipos de actividad que ponen en riesgo la seguridad del vehículo o que modifican su rendimiento mediante la modificación de la ECU o mediante un ataque sobre ella. Utilizando el inmovilizador - que por su función está diseñado para ser un componente relativamente seguro adaptado para ser confiable para el usuario - para garantizar la seguridad de la primera memoria, se sitúa el certificado raíz de confianza para el funcionamiento de la ECU en el inmovilizador, lo que mejora la seguridad del vehículo y la confianza del usuario. Los inmovilizadores son elementos necesarios en muchas jurisdicciones, y se construirán de acuerdo con estándares de seguridad lo suficientemente altos como para conseguir un funcionamiento efectivo y lograr un alto nivel de certificación (por ejemplo, para reducir primas de seguro) ya que su utilización de esta manera aumentará previsiblemente la seguridad global del sistema.

En una implementación, el inmovilizador comprende la primera memoria, de modo que si se lleva a cabo un intento de modificar o retirar datos en la primera memoria, el inmovilizador proporciona una respuesta de inmovilización para evitar el funcionamiento efectivo del vehículo. Para ayudar en esta tarea, el elemento o los elementos pueden almacenarse en forma encriptada y/o la memoria del inmovilizador puede estar protegida físicamente contra modificaciones.

En una implementación alternativa, la primera memoria está comprendida dentro de la unidad de control de motor, de modo que el inmovilizador comprueba la primera memoria para determinar si un valor del elemento o de los elementos almacenados en ella son válidos, de manera que si cualquier valor resulta no ser válido, el inmovilizador proporciona una respuesta de inmovilización para evitar el funcionamiento efectivo del vehículo.

Esta estrategia puede implementarse con facilidad mediante modificaciones ligeras a ECUs existentes y a diseños de inmovilizadores, y consigue un resultado fidedignamente seguro.

La primera memoria puede estar comprendida dentro de la memoria flash de la unidad de control de motor. En esta disposición, el elemento o los elementos pueden almacenarse en forma encriptada y pueden ser desencriptados mediante interacción con el inmovilizador.

La unidad de control de motor está adaptada para restringir el funcionamiento del vehículo a no ser que se lleve a cabo una rutina de validación de manera satisfactoria, en cuyo caso el elemento o los elementos pueden comprender elementos de datos estáticos utilizados por la rutina de validación. El inmovilizador puede ser por lo tanto utilizado para asegurar la autenticidad de parámetros utilizados en cualquier tipo de validación segura de la ECU y sus comunicaciones. El elemento o los elementos comprenden una clave pública o varias de un conjunto de claves de encriptación asimétrica, donde una clave pública o varias se utilizan en la rutina de validación para determinar si los valores medidos del software de la unidad de control de motor o los datos comunicados a la ECU corresponden a valores firmados por las correspondientes claves privadas. Éstas claves pueden por ejemplo estar en una pareja de claves, o pueden estar en un esquema de firma de grupo. Como ejemplo adicional, los valores pueden ser un conjunto de uno o varios valores hash más seguros dentro de la ECU utilizados para validar el software o la integridad de los datos. Podrían utilizarse soluciones criptográficas alternativas, y también parámetros relevantes protegidos según la estrategia descrita aquí.

El elemento de datos o los elementos de datos pueden comprender código para ser ejecutado por un procesador de la unidad de control de motor o bien valores estáticos de la unidad de control de motor, o ambos. Esto puede estar enteramente separado del esquema de validación (relacionado con otro código utilizado conjuntamente en el funcionamiento de la unidad de control de motor) , pero para el esquema de validación... [Seguir leyendo]

 


Reivindicaciones:

1. Un método para hacer seguro un vehículo, que comprende:

proporcionar una unidad (2) de control de motor, donde un elemento de datos digitales estáticos o más de uno se almacenan en una primera memoria (6, 25) para ser utilizados por la unidad (2) de control de motor; y

proporcionar un inmovilizador (3) , donde el inmovilizador (3) proporciona un certificado raíz de confianza para la unidad (2) de control de motor y donde el inmovilizador (3) está adaptado para asegurar que el elemento o los elementos almacenados en la primera memoria (6, 25) están protegidos contra una modificación no autorizada;

donde la unidad (2) de control de motor está adaptada para impedir el funcionamiento, o para limitar el rendimiento, de un vehículo a no ser que se lleve a cabo de manera satisfactoria una rutina de validación, donde el mencionado elemento o los mencionados elementos comprenden elementos de datos estáticos utilizados por la rutina de validación y donde los mencionados elementos de datos estáticos comprenden un conjunto de una clave pública o varias de una pareja de claves o un conjunto de claves, donde la clave pública o las claves públicas se utilizan en la rutina de validación para determinar si los valores medidos del software de la unidad de control de motor corresponden a los valores firmados utilizando una clave privada asociada o varias.

2. Un método según la reivindicación 1, donde el inmovilizador (3) comprende la primera memoria (25) , de modo que si se lleva a cabo un intento de modificar o eliminar datos en la primera memoria (25) , el inmovilizador (3) proporciona una respuesta de inmovilización para evitar el funcionamiento efectivo del vehículo.

3. Un método según la reivindicación 2, donde el elemento o los elementos están almacenados en una forma encriptada y/o la memoria (25) del inmovilizador está protegida físicamente contra su modificación.

4. Un método según la reivindicación 1, donde la primera memoria (6) está comprendida dentro de la unidad (2) de control de motor, y donde el inmovilizador (3) comprueba la primera memoria (6) para determinar si un valor del elemento o los elementos almacenados en su seno son válidos, de modo que si cualquier valor resulta no ser válido, el inmovilizador (3) proporciona una respuesta de inmovilización para evitar el funcionamiento efectivo del vehículo.

5. Un método según la reivindicación 4, donde la primera memoria (6) está comprendida dentro de una memoria flash de la unidad (2) de control de motor.

6. Un método según la reivindicación 4 o la reivindicación 5, donde el elemento o los elementos están almacenados en forma encriptada y son desencriptados mediante interacción con el inmovilizador (3) .

7. Un método según cualquier reivindicación precedente, donde el mencionado elemento o los mencionados elementos comprenden un código para ser ejecutado en un procesador de la unidad (2) de control de motor o valores estáticos de la unidad (2) de control de motor o ambos.

8. Un sistema de control de motor para un vehículo, que comprende:

una unidad (2) de control de motor, donde un elemento o más de uno de datos digitales estáticos se almacenan en una primera memoria (6, 25) para ser utilizados por la unidad (2) de control de motor; y

un inmovilizador (3) , donde el inmovilizador (3) proporciona un certificado raíz de confianza para la unidad

(2) de control de motor y donde el inmovilizador (3) está adaptado para asegurar que el elemento o los elementos almacenados en la primera memoria (6, 25) están protegidos contra una modificación no autorizada;

donde la unidad (2) de control de motor está adaptada para restringir el funcionamiento del vehículo a no ser que se lleve a cabo de manera satisfactoria una rutina de validación, donde el mencionado elemento o los mencionados elementos comprenden elementos de datos estáticos utilizados por la rutina de validación, y donde los mencionados elementos de datos estáticos comprenden una clave pública o varias de una pareja de claves o un conjunto de claves, donde la clave pública o las claves públicas se utilizan en la rutina de validación para determinar si los valores medidos del software de la unidad de control de motor corresponden a los valores firmados utilizando una clave privada asociada o varias.

9. Un sistema de control de motor según la reivindicación 8, donde la primera memoria (25) está comprendida dentro del inmovilizador (3) .

10. Un sistema de control de motor según la reivindicación 8, donde la primera memoria (6) está comprendida dentro de la unidad (2) de control de motor, y donde el inmovilizador (3) está adaptado para comprobar la primera memoria (6) para determinar si un valor de la clave pública almacenada en su seno es válida, de modo que si el valor no resulta ser válido, el inmovilizador (3) está adaptado adicionalmente para proporcionar una respuesta de inmovilización para evitar el funcionamiento efectivo del vehículo.