(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210784717.4 (22)申请日 2022.06.29 (71)申请人 一汽奔腾轿车有限公司 地址 130012 吉林省长 春市长春高新技术 产业开发区蔚山路48 88号 (72)发明人 王奕尧　李文强　马良　王晓光　 雷凯　马文峰　孙久龙　付子豪　 徐强　张旭亮　 (74)专利代理 机构 长春吉大专利代理有限责任 公司 22201 专利代理师 刘世纯 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) G06F 21/57(2013.01)G06F 21/60(2013.01) G06F 21/64(2013.01) (54)发明名称 一种基于一次性可编程存储器的车机系统 安全启动方法 (57)摘要 本发明公开了一次性可编程存储器的车机 系统安全启动方法， 属于汽车技术领域， 该安全 启动方法涉及一次性可编程存储器OTP、 Bootloader以及Boot.img中的initramfs和内 核； 其中， 要在一次性可编程存储器OTP中烧写 Bootloader和Boot.i mg签名证书的摘要 值， 在安 全启动过程中， 车机系统会验证Bootloader和 Boot.img签名证书的摘要值与一次性可编程存 储器OTP中存储的是否一致， 验证一致后方可登 录进入车机系统。 该安全启动方法可以保护车机 系统的信息安全和数据安全， 用于防范车机系统 在启动过程中的系统包篡改。 权利要求书1页 说明书4页 附图1页 CN 115189890 A 2022.10.14 CN 115189890 A 1.一次性可编程存 储器的车机系统安全启动方法， 其特 征在于， 具体包括如下步骤： 步骤一： 开发阶段； 具体包括B ootloader和B oot.img证书摘要值的计算生成、 B oot.img CSF签名结构的构 造和OTP中摘要值的烧写； 步骤二： 启动阶段； 包括OTP摘要值比对及 Bootloader签名验证。 2.如权利要求1所述的一 次性可编 程存储器的车机系统安全启动方法， 其特征在于， 所 述步骤一具体如下： S1： 整车厂服 务器中的证书生成脚本生成证书 文件， 并计算摘要值； S2： 对Boot.img的镜像文件进行源码修改， 构造出一个类似B ootloader中IVT结构的签 名结构， 同时将步骤S1中生成的证书 文件写入到 CSF中， 并生成签名值； S3： 向一次性可编程存 储器中烧录步骤S1中计算出的摘要值。 3.如权利要求2所述的一 次性可编 程存储器的车机系统安全启动方法， 其特征在于， 所 述步骤S1中采用哈希算法计算摘要值。 4.如权利要求1所述的一 次性可编 程存储器的车机系统安全启动方法， 其特征在于， 所 述步骤二还 包括对Bo ot.img签名的验证。 5.如权利要求4所述的一 次性可编 程存储器的车机系统安全启动方法， 其特征在于， 所 述步骤二具体如下： S21： 车机系统计算当前系统Bootloader中的证书摘要值， 并读取烧录在OTP中的证书 摘要值， 比对计算出的摘要值是否正确， 正确则进行步骤S22， 不正确则停止启动， 通过告警 等措施反馈用户； S22： 车机系统计算当前系统Bootloader的摘要值， 通过证书对IVT结构中的签名进行 解密， 比对解密得到的摘要值与计算得到的摘要值是否一致， 一致则进行步骤S23， 不一致 则停止启动， 通过告警等措施反馈用户； S23： 车机系统计算当前系统Boot.img的摘 要值， 通过证书对签名结构中的签名进行解 密， 比对解密得到的摘要值与计算得到的摘要值是否一致， 一致则启动车机系统， 不一致则 停止启动， 通过告警等措施反馈用户。权　利　要　求　书 1/1 页 2 CN 115189890 A 2一种基于一 次性可编程存 储器的车机系统安全启动方 法 技术领域 [0001]本发明属于汽车技术领域， 具体涉及一种基于一次性可编程存储器的车机系统安 全启动方法。 背景技术 [0002]近年来， 随着 “电动化、 网联化、 智能化、 共享化 ”新四化的推进， “车机”已成为大多 数汽车搭载的一部分。 然而， 在享受车机带来互联 互通的便捷时， 信息安全问题逐渐浮出水 面， 作为车上最能让用户感受到智能网联的载体， 车机也成为了恶意攻击者最常利用的攻 击接口。 车机系统被刷 写或更新后再次启动时， 无法保证车机系统包是否在刷 写或更新过 程中被篡改， 一旦车机系统被恶意篡改很有可能带来不可逆的严重后果， 甚至攻击者有可 能在用户未察觉的情况下插入后门， 这样车机系统以及车机系统上全部的数据就相当于完 全暴露给攻击者， 攻击者可以利用这些信息 造成无法想象的破坏。 [0003]一次性可编程存储器OTP(One  Time Programmable)是单片 机的一种存储器类型， 程序烧入后， 将不可再次更改和清除。 基于OTP的这种一次烧入不可更改或删除的特点， 可 将一些用于校验或比对的简短信息存 入OTP中， 以提高安全性和效率。 发明内容 [0004]为了克服现有技术中车机系统安全性、 完整性和可用性存在的缺陷， 本发明的目 的是提供一次性可编程存储器的车机系统安全启动方法， 该安全启动方法涉及一次性可编 程存储器OTP、 Bootloader以及Boot.i mg中的initramfs和内核； 其中， 要在一次性可编程存 储器OTP中烧写Bootloader和Boot.img签名证书的摘要值， 在安全启动过程中， 车机系统会 验证Bootloader和Boot.img签名证书的摘要值与一次性可编程存储器 OTP中存储的是否一 致， 验证一致后方可登录进入车机系统。 该安全启动方法可以保护车机系统的信息安全和 数据安全， 用于防范 车机系统在启动过程中的系统包篡改。 [0005]本发明通过如下技 术方案实现： [0006]一次性可编程存 储器的车机系统安全启动方法， 具体包括如下步骤： [0007]步骤一： 开发阶段； [0008]具体包括Bootloader和Boot.img证书摘要值的计算生成、 Boot.img  CSF签名结构 的构造和OTP中摘要值的烧写； [0009]步骤二： 启动阶段； [0010]包括OTP摘要值比对及 Bootloader签名验证。 [0011]进一步地， 所述步骤一具体如下： [0012]S1： 整车厂服 务器中的证书生成脚本生成证书 文件， 并计算摘要值； [0013]S2： 对Boot.img的镜像文件进行源码修改， 构造出一个类似Bootloader中IVT结构 的签名结构， 同时将步骤S1中生成的证书 文件写入到 CSF中， 并生成签名值； [0014]S3： 向一次性可编程存 储器中烧录步骤S1中计算出的摘要值。说　明　书 1/4 页 3 CN 115189890 A 3