CN115495123A - 硬件安全模块的刷写方法及系统 - Google Patents
硬件安全模块的刷写方法及系统 Download PDFInfo
- Publication number
- CN115495123A CN115495123A CN202211157528.0A CN202211157528A CN115495123A CN 115495123 A CN115495123 A CN 115495123A CN 202211157528 A CN202211157528 A CN 202211157528A CN 115495123 A CN115495123 A CN 115495123A
- Authority
- CN
- China
- Prior art keywords
- hsm
- flash
- ciphertext
- host
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
Abstract
本申请提供了一种硬件安全模块的刷写方法及系统,方法应用于电子控制系统ECU中的主机端;主机端分别与刷写工具端、ECU中的硬件安全模块HSM端通信连接;主机端的第一缓存区存储有HSM升级文件;方法包括:接收到刷写工具端发送的开始刷写请求后,从第一缓存区中的HSM升级文件中提取密文和第一签名发送至HSM端,以使HSM端根据密文和第一签名进行签名校验;密文包括:Header密文和HSM应用软件密文;在接收到HSM端返回的签名校验成功信息时,向HSM端发送升级刷写请求,以使HSM端执行升级刷写操作。本申请在HSM存在漏洞时,可以进行安全地软件刷写过程,在异常掉电后仍可进行再次刷写流程。
Description
技术领域
本申请涉及自动驾驶技术领域,尤其是涉及一种硬件安全模块的刷写方法及系统。
背景技术
随着现代汽车智能化、网联化的不断发展,虽然给人们带来了便利及驾驶体验感,但也为黑客提供了更多的网络攻击途径,攻击者能够通过突破车内网络或汽车电子组件实现对敏感数据获取、车辆远程控制等。影响汽车功能安全,对驾乘人员的生命安全构成威胁。因此在现有的ECU(Electronic Control Unit,电子控制单元)中,为有效的保护资产的机密性、完整性等安全属性,通常会选择使用带有硬件安全模块(Hardware SecurityModule,以下简称HSM)的ECU实现对相关资产的保护。HSM负责执行所有密码应用,包括基于对称密钥的加解密、完整性检查、基于非对称密钥的加解密、数字签名的生成及验证、安全启动以及用于安全应用的随机数生成功能等。
随着HSM的广泛应用,关于如何对HSM内部的软件进行升级引起工程师的注意。目前汽车行业内通常采用的方案是:1.将HSM的应用软件当作一种固件,量产阶段刷写后,永远不再进行更新;2.通过ECU中Host侧的Bootloader,直接对HSM侧的应用软件进行更新。
从便利性和安全性角度,现有的刷写方案主要存在以下几点问题:
(1)如果存在软件问题或安全漏洞,需要对ECU中的HSM应用软件进行更新时,方案一因不支持刷写功能导致无法完成HSM应用软件的升级,进而影响汽车功能安全,对驾乘人员的生命安全构成威胁。
(2)通过ECU中Host侧Bootloader虽然可以实现对HSM应用软件升级的目的,但是HSM软件必须以明文形式传输给Host侧,这样违背了网络安全标准要求,会存在不安全的问题。
(3)采用方案二执行刷写时,如果在HSM应用软件刷写过程中,ECU出现异常掉电的情况,将导致HSM侧应用软件永不可用,进而HSM失去安全启动、加密、签名等网络安全所需要的功能。
发明内容
本申请的目的在于提供一种硬件安全模块的刷写方法及系统,在HSM存在漏洞时,可以进行安全地软件刷写过程,在异常掉电后仍可进行再次刷写流程。
第一方面,本申请实施例提供一种硬件安全模块的刷写方法,方法应用于电子控制系统ECU中的主机端;主机端分别与刷写工具端、ECU中的硬件安全模块HSM端通信连接;主机端的第一缓存区存储有HSM升级文件;方法包括:接收到刷写工具端发送的开始刷写请求后,从第一缓存区中的HSM升级文件中提取目标密文和目标签名发送至HSM端,以使HSM端根据密文和第一签名进行签名校验;目标密文包括:Header密文和HSM应用软件密文;在接收到HSM端返回的签名校验成功信息时,向HSM端发送升级刷写请求,以使HSM端执行升级刷写操作。
在本申请较佳的实施方式中,上述在接收到刷写工具端发送的开始刷写请求后,从第一缓存区中的HSM升级文件中提取目标密文和目标签名发送至HSM端的步骤之前,方法还包括:接收到刷写工具端传输的HSM升级文件后,将HSM升级文件存储至第一缓存区。
在本申请较佳的实施方式中,上述以使HSM端根据目标密文和目标签名进行签名校验的步骤之后,方法还包括:在接收到HSM端返回的签名校验失败信息时,擦除第一缓存区中的HSM升级文件,并向刷写工具端发送HSM升级失败信息。
在本申请较佳的实施方式中,上述方法还包括:在接收到HSM端发送的升级刷写操作对应的刷写结果后,将刷写结果发送至刷写工具端。
第二方面,本申请实施例还提供一种硬件安全模块的刷写方法,方法应用于ECU中的HSM端;HSM端与ECU中的主机端通信连接;方法包括:在接收到主机端发送的目标密文和目标签名后,根据目标密文和目标签名进行签名校验,并向主机端发送签名校验信息,以使主机端根据签名校验信息确定是否触发HSM端进行刷写操作;签名校验信息包括:签名校验成功信息或签名校验失败信息;目标密文包括:Header密文和HSM应用软件密文;在接收到主机端发送的升级刷写请求后,根据Header密文进行预设检验;预设检验包括:CMAC校验和Header密文的信息检验;如果检验成功,进行刷写操作;如果检验失败,记录刷写失败原因,并向主机端返回HSM刷写失败信息。
在本申请较佳的实施方式中,上述根据目标密文和目标签名进行签名校验,并向主机端发送签名校验信息的步骤,包括:通过预设安全散列算法对目标密文中的Header密文和HSM应用软件密文进行计算,得到第一哈希值;根据预设非对称算法和预设公钥对目标签名进行解密,得到第二哈希值;判断第二哈希值与第一哈希值是否一致;如果是,向主机端发送签名校验成功信息;如果否,向主机端发送签名校验失败信息。
在本申请较佳的实施方式中,上述根据Header密文进行预设检验的步骤,包括:基于预设对称加密算法和预先存储的私钥对Header密文进行解密,得到Header明文;Header明文中包括第一CMAC校验码和升级相关数据;升级相关数据包括:HSM应用软件对应的数据、起始地址、软件大小、软件版本号中至少一项;根据私钥和预设对称加密算法对升级相关数据进行计算,得到第二CMAC校验码;判断第二CMAC校验码和第一CMAC校验码是否一致;如果是,检查Header明文中包含的数据是否满足预设数据要求;如果是,确定检验成功。
在本申请较佳的实施方式中,上述HSM端的第二缓存区域中存储有历史HSM应用软件;进行刷写操作的步骤,包括:执行对第二缓存区的擦除操作;基于预设对称加密算法和预先存储的私钥对HSM应用软件密文进行解密,将解密后的HSM应用软件刷写到第二缓存区中;对刷写到第二缓存区中的数据进行完整性校验;如果校验成功,在第二缓存区中写入应用软件有效标志位,同时记录刷写成功信息;如果校验失败,继续执行记录刷写失败原因,并向主机端返回HSM刷写失败信息的步骤。
第三方面,本申请实施例还提供一种硬件安全模块的刷写方法,方法应用于刷写工具端;刷写工具端与ECU中的主机端通信连接;方法包括:向主机端发送擦除内存指令,以使主机端对擦除地址及长度进行检查,对用于暂存HSM升级文件的第一缓存区进行擦除;分别通过请求下载、传输下载数据、请求传输退出服务,将HSM升级文件传输至主机端,以使主机端将HSM升级文件暂存于第一缓存区;向主机端发送开始刷写请求,以使主机端基于从第一缓存区中的HSM升级文件中提取的目标密文和目标签名触发刷写流程;按照预设周期,向主机端发送刷写结果获取指令,以从主机端获取HSM应用软件的刷写结果。
第四方面,本申请实施例还提供一种硬件安全模块的刷写系统,系统包括:刷写工具端、电子控制系统ECU中的主机端和HSM端;主机端分别与刷写工具端、HSM端通信连接;主机端用于执行如第一方面所述的方法;HSM端用于执行如第二方面所述的方法;刷写工具端用于执行如第三方面所述的方法。
本申请实施例提供的硬件安全模块的刷写方法及系统中,方法应用于电子控制系统ECU中的主机端;主机端分别与刷写工具端、ECU中的硬件安全模块HSM端通信连接;主机端的第一缓存区存储有HSM升级文件;主机端在接收到刷写工具端发送的开始刷写请求后,从第一缓存区中的HSM升级文件中提取目标密文和目标签名发送至HSM端,以使HSM端根据目标密文和目标签名进行签名校验;目标密文包括:Header密文和HSM应用软件密文;在接收到HSM端返回的签名校验成功信息时,向HSM端发送升级刷写请求,以使HSM端执行升级刷写操作。本申请实施例中,HSM应用软件存在问题或安全漏洞时,可以通过主机端基于第一缓存区存储的HSM升级文件,向HSM端发送目标密文和目标签名,以使HSM端进行后续签名校验和软件刷写操作,通过密文传输可保证HSM应用软件的机密性和安全性,另外,升级刷写过程中如果出现异常掉电的情况,当ECU重新上电后,由于第一缓存区域中仍然保存有上次存储的HSM升级文件,因此HSM端可再次执行刷写流程。
附图说明
为了更清楚地说明本申请具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种硬件安全模块的刷写系统的结构图;
图2为本申请实施例提供的一种硬件安全模块的刷写方法的流程图;
图3为本申请实施例提供的一种硬件安全模块的刷写方法的示意图;
图4为本申请实施例提供的另一种硬件安全模块的刷写方法的流程图;
图5为本申请实施例提供的另一种硬件安全模块的刷写方法的示意图;
图6为本申请实施例提供的一种Header结构示意图;
图7为本申请实施例提供的另一种硬件安全模块的刷写方法的流程图;
图8为本申请实施例提供的另一种硬件安全模块的刷写方法的示意图。
具体实施方式
下面将结合实施例对本申请的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,汽车行业内针对HSM的处理方案,通常有以下两种:1.将HSM的应用软件当作一种固件,量产阶段刷写后,永远不再进行更新;2.通过ECU中Host侧的Bootloader,直接对HSM侧的应用软件进行更新。而这两种方式均存在一定的问题,如下:
(1)如果存在软件问题或安全漏洞,需要对ECU中的HSM应用软件进行更新时,方案一因不支持刷写功能导致无法完成HSM应用软件的升级,进而影响汽车功能安全,对驾乘人员的生命安全构成威胁。
(2)通过ECU中Host侧Bootloader虽然可以实现对HSM应用软件升级的目的,但是HSM软件必须以明文形式传输给Host侧。根据网络安全要求,为确保HSM软件免于网络攻击和窃取,HSM应用软件必须以密文形式进行传输,同时其使用的Flash存储区域仅限于HSM内核访问,其他内核(Host内核)没有访问权限。方案二违背了网络安全标准要求。
(3)采用方案二执行刷写时,如果在HSM应用软件刷写过程中,ECU出现异常掉电的情况,将导致HSM侧应用软件永不可用,进而HSM失去安全启动、加密、签名等网络安全所需要的功能。
基于此,本申请实施例提供一种硬件安全模块的刷写方法及系统,在HSM存在漏洞时,可以进行安全地软件刷写过程,在异常掉电后仍可进行再次刷写流程。
为便于对本实施例进行理解,首先对本申请实施例所公开的一种硬件安全模块的刷写系统进行详细介绍。
参见图1所示,本申请实施例还提供一种硬件安全模块的刷写系统,该系统包括:刷写工具端11、电子控制系统ECU12中的主机端121(即Host侧)和HSM端122;主机端121分别与刷写工具端11、HSM端122通信连接;主机端121、HSM端122和刷写工具端11通过交互可实现硬件安全模块的刷写过程。
刷写工具端11在获取到HSM升级文件后,发送给主机端121,主机端121将HSM升级文件存储于预留的第一缓存区,即Flash缓存区,主机端121在接收到刷写工具端11下发的开始刷写请求后,基于第一缓存区中的HSM升级文件触发HSM端122间的交互,以使HSM122端完成软件刷写操作,并将刷写结果反馈给刷写工具端11。
下面对主机端121、HSM端122和刷写工具端11,三端分别对应的刷写方法进行详细地介绍。
图2为本申请实施例提供的一种硬件安全模块的刷写方法的流程图,该方法应用于电子控制系统ECU中的主机端;主机端分别与刷写工具端、ECU中的硬件安全模块HSM端通信连接;主机端的第一缓存区存储有HSM升级文件;该硬件安全模块的刷写方法具体包括以下步骤:
步骤S202,接收到刷写工具端发送的开始刷写请求后,从第一缓存区中的HSM升级文件中提取目标密文和目标签名发送至HSM端,以使HSM端根据目标密文和目标签名进行签名校验;其中,目标密文包括:Header密文和HSM应用软件密文。
步骤S204,在接收到HSM端返回的签名校验成功信息时,向HSM端发送升级刷写请求,以使HSM端执行升级刷写操作。
本申请实施例中,HSM应用软件存在问题或安全漏洞时,可以通过主机端基于第一缓存区存储的HSM升级文件,向HSM端发送目标密文和目标签名,以使HSM端进行后续签名校验和软件刷写操作,通过密文传输可保证HSM应用软件的机密性和安全性,另外,升级刷写过程中如果出现异常掉电的情况,当ECU重新上电后,由于第一缓存区域中仍然保存有上次存储的HSM升级文件,因此HSM端可再次执行刷写流程。
本申请实施例还提供另一种硬件安全模块的刷写方法,该方法在上一实施例的基础上实现,上述在接收到刷写工具端发送的开始刷写请求后,从第一缓存区中的HSM升级文件中提取目标密文和目标签名发送至HSM端的步骤之前,方法还包括:接收到刷写工具端传输的HSM升级文件后,将HSM升级文件存储至第一缓存区。
以使HSM端根据目标密文和目标签名进行签名校验的步骤之后,还包括另一种情况:在接收到HSM端返回的签名校验失败信息时,擦除第一缓存区中的HSM升级文件,并向刷写工具端发送HSM升级失败信息。
以使HSM端执行升级刷写操作的步骤之后,还包括:在接收到HSM端发送的升级刷写操作对应的刷写结果后,将刷写结果发送至刷写工具端。
参见图3所示,ECU中主机端(Host侧)与HSM端的交互过程如下:
ECU中Host侧Bootloader在接收外部刷写工具传输的HSM升级文件后,将其暂时存储到预留的Flash区域内,即上述第一缓存区,同时在接收到外部刷写工具端发送的开始刷写请求后,Host侧将触发HSM进行刷写操作。
(1)Host侧Bootloader软件接收刷写工具的开始刷写HSM请求后,将启动HSM的刷写流程。
(2)Host侧将根据预定义协议,从Flash区域的HSM升级文件中提取出Header(密文)+HSM Software(密文)和Signature签名两部分,其中Signature是结合非对称算法(如RSA-2048)和SHA(Secure Hash Algorithm,安全散列算法,如SHA-256)对密文形式的Header和HSM Software进行操作而生成的,而密文形式的Header和HSM Software是结合对称加密算法(如AES-128)及Secret Key进行加密操作而生成的。
(3)Host侧Bootloader软件触发HSM侧应用软件执行Signature校验。
(4)HSM侧接收Signature校验请求后,将使用预先定义的SHA(如SHA-256)对Header密文和HSM Software密文进行计算,输出第一Hash值。之后对输入的Signature使用预先定义的RSA(Rivest Shamir Adleman,非对称加密算法,如RSA-2048)以及Public Key进行解密处理,获取结果作为第二Hash值,将二者进行比较,返回校验结果。
(5)Host侧Bootloader软件获取HSM侧返回的校验结果,如果Signature校验成功,说明此升级文件已被成功授权,具有合法性,将触发HSM侧执行刷写流程。否则检验失败,将拒绝后续的HSM刷写过程,同时Host侧Bootloader软件将对存储升级文件的Flash区域执行擦除,返回刷写工具升级失败。
本申请实施例提供的硬件安全模块的刷写方法,具有以下优点:
①如果已量产的软件存在问题或安全漏洞,由于HSM中存在支持刷写应用程序的Bootloader,可通过外部诊断仪或者远程升级技术实现HSM中应用软件的升级,可快速消除安全问题或漏洞,保证车辆运行安全。
②考虑网络安全标准要求,保证HSM应用软件的机密性和安全性,HSM应用软件将以密文形式存储到Host侧的Flash区域,HSM侧Bootloader软件完成相关校验后,将直接从Host侧的Flash区域获取密文数据,使用存储的密钥完成解密后,对HSM应用软件的Flash区域进行刷写。
③由于本发明专利中,将接收的HSM侧应用软件(密文形式)暂时存储到Host侧预留的Flash区域,之后触发HSM侧Bootloader软件完成对应用软件的升级。即使在升级过程中出现异常掉电的情况,当ECU重新上电后,由于预留的Flash区域中仍然保存上次存储的升级文件,因此HSM侧Bootloader可再次执行刷写流程。
基于上述方法实施例,本申请实施例还提供一种硬件安全模块的刷写方法,该方法应用于ECU中的HSM端;HSM端与ECU中的主机端通信连接;参见图4所示,该方法具体包括以下步骤:
步骤S402,在接收到主机端发送的目标密文和目标签名后,根据目标密文和目标签名进行签名校验,并向主机端发送签名校验信息,以使主机端根据签名校验信息确定是否触发HSM端进行刷写操作;
其中,签名校验信息包括:签名校验成功信息或签名校验失败信息。
上述根据目标密文和目标签名进行签名校验,并向主机端发送签名校验信息的步骤,包括:通过预设安全散列算法对目标密文中的Header密文和HSM应用软件密文进行计算,得到第一哈希值;根据预设非对称算法和预设公钥对目标签名进行解密,得到第二哈希值;判断第二哈希值与第一哈希值是否一致;如果是,向主机端发送签名校验成功信息;如果否,向主机端发送签名校验失败信息。
步骤S404,在接收到主机端发送的升级刷写请求后,根据Header密文进行预设检验;预设检验包括:CMAC(Cipher-based Message Authentication Code,基于加密的消息验证码)校验和Header密文的信息检验;
具体实施时,基于预设对称加密算法和预先存储的私钥对Header密文进行解密,得到Header明文;Header明文中包括第一CMAC校验码和升级相关数据;升级相关数据包括:HSM应用软件对应的数据、起始地址、软件大小、软件版本号中至少一项;根据私钥和预设对称加密算法对升级相关数据进行计算,得到第二CMAC校验码;判断第二CMAC校验码和第一CMAC校验码是否一致;如果是,检查Header明文中包含的数据是否满足预设数据要求;如果是,确定检验成功。
步骤S406,如果检验成功,进行刷写操作;如果检验失败,记录刷写失败原因,并向主机端返回HSM刷写失败信息。
上述HSM端的第二缓存区域中存储有历史HSM应用软件;进行刷写操作的步骤,包括:执行对第二缓存区的擦除操作;基于预设对称加密算法和预先存储的私钥对HSM应用软件密文进行解密,将解密后的HSM应用软件刷写到第二缓存区中;对刷写到第二缓存区中的数据进行完整性校验;如果校验成功,在第二缓存区中写入应用软件有效标志位,同时记录刷写成功信息;如果校验失败,继续执行记录刷写失败原因,并向主机端返回HSM刷写失败信息的步骤。
本申请实施例提供的硬件安全模块的刷写方法,能够快速修复HSM应用软件存在的问题或安全漏洞;保护HSM应用软件的机密性,避免传输过程中知识产权泄露;增加对升级文件的合法性校验,避免非授权实体对HSM应用软件的非法升级;避免HSM刷写过程中因异常掉电导致HSM侧功能不可用的情况;HSM记录升级日志,便于分析失败具体原因。
参见图5所示,HSM侧Bootloader的具体刷写过程如下:
HSM侧应用软件接收Host侧发送的HSM升级请求后,将跳转到Bootloader软件中,借助Bootloader软件完成对HSM应用软件的升级操作。
①HSM侧接收Host侧的升级请求后,将跳转到HSM侧的Bootloader软件中。
②HSM侧Bootloader软件如果检测到刷写请求,则开始升级流程。
③HSM侧Bootloader软件首先从Host侧的Flash区域加载密文形式的Header,使用预先存储的Secret Key以及AES(Advanced Encryption Standard,对称加密算法,如AES-128)对密文数据进行解密,获取明文数据Header,Header的具体数据结构如图6所示。其中,Pattern作为一种数据填充,Address表示HSM应用软件的起始地址,Size表示应用软件大小,Version表示HSM版本号,CMAC表示Header数据的完整性校验码。注:Header结构包括但不限于上述数据内容。
④HSM侧Bootloader软件执行CMAC校验。结合预先定义的对称加密算法(如AES-128)和Secret Key对Header结构中除了CMAC以外的数据进行处理,生成CMAC值,将此值与Header中的CMAC进行比较,如果一致,则进行下一步,否则记录刷写失败原因,并将结果返回Host侧。
⑤对Header中的信息进行检查,包括但不限于如下内容:a)Pattern数据是否符合预定义值;b)Address地址是否在Bootloader管理范围内;c)Address+Size是否超出HSM侧Flash内存范围;d)Version是否大于当前的软件版本。如果校验通过,则进行下一步,否则记录刷写失败原因,并将结果返回Host侧。
⑥HSM侧Bootloader软件执行对HSM应用软件所在Flash区域的擦除操作。
⑦从Host侧Flash中获取已被加密的HSM应用软件,结合预定义的Secret Key和对称加密算法(AES-128),对加密数据进行解密,将解密后的HSM应用软件刷写到HSM侧的Flash区域中。重复该过程,直到完成所有HSM应用软件的刷写。
⑧上述过程完成后,确保软件的一致性,对刷写到Flash区域中的数据进行CRC计算,将该结果与升级文件中的CRC进行比较,输出完整性校验结果。
⑨如果校验结果一致,则在HSM侧Flash区域的指定位置写入应用软件有效标志位,同时记录刷写成功,否则,记录刷写失败原因,并将结果返回Host侧。
本申请实施例提供的硬件安全模块的刷写方法,针对ECU中HSM应用软件存在的问题或任何安全漏洞,可以完成对HSM应用软件漏洞的快速修复。本申请中涉及的HSM升级文件,在整个传输过程中均采用密文方式,可有效保证HSM软件的机密性。为避免在HSM刷写过程中,ECU出现异常掉电情况,导致HSM侧应用软件不可用问题,因此本申请提供了对应的策略,即在Host侧预留一定大小的Flash区间,将接收的HSM升级文件,缓存到该区域。因此当出现异常掉电时,ECU重新上电后可以再次执行HSM升级功能。为了有效验证升级文件的合法性及有效性,引入了签名Signature校验机制,仅仅用于生成Signature和校验Signature的Private Key和Public Key匹配时,才会成功完成Signature的校验,即说明升级文件来源的合法性,可以进行后续的HSM刷写操作。本申请实施例中图5所示的HSM刷写流程,无论在项目开发阶段或是量产阶段,均可以有效地实现对HSM应用软件的升级功能,同时保证软件的安全性和完整性。
基于上述方法实施例,本申请实施例还提供一种硬件安全模块的刷写方法,该方法应用于刷写工具端;刷写工具端与ECU中的主机端通信连接;参见图7所示,该方法包括以下步骤:
步骤S702,向主机端发送擦除内存指令,以使主机端对擦除地址及长度进行检查,对用于暂存HSM升级文件的第一缓存区进行擦除;
步骤S704,分别通过请求下载、传输下载数据、请求传输退出服务,将HSM升级文件传输至主机端,以使主机端将HSM升级文件暂存于第一缓存区;
步骤S706,向主机端发送开始刷写请求,以使主机端基于从第一缓存区中的HSM升级文件中提取的目标密文和目标签名触发刷写流程;
步骤S708,按照预设周期,向主机端发送刷写结果获取指令,以从主机端获取HSM应用软件的刷写结果。
参见图8所示,HSM升级文件传输过程如下:
刷写工具接收到HSM应用软件的升级文件后,采用UDS(Unified DiagnosticServices,统一诊断服务)标准服务及流程,将升级文件通过相关的通信协议传输给ECU中的Host侧。
①刷写工具请求ECU进行可编程会话,ECU软件进入Host侧的Bootloader中。
②刷写工具进行安全访问,ECU完成身份校验,准备进入刷写阶段。
③刷写工具发送擦除内存例程控制,Host侧Bootloader对擦除的地址及长度进行检查,
对用于暂存HSM升级文件的Flash区域进行擦除。
④分别通过请求下载、传输下载数据、请求传输退出服务,将所有数据传输给ECU中的Host侧,Host侧Bootloader软件将接收的数据暂存到如上描述的Flash区域中。
⑤数据传输完成后,为保证数据一致性,刷写工具发送例程控制服务,对传输给ECU中的数据进行CRC(Cyclic Redundancy Check,循环冗余校验)完整性校验。
⑥刷写工具发送例程控制服务,开始请求进行HSM应用软件刷写流程。
⑦刷写工具周期发送例程控制服务,获取最终的刷写结果。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令在被处理器调用和执行时,该计算机可执行指令促使处理器实现上述方法,具体实现可参见前述方法实施例,在此不再赘述。
本申请实施例所提供的方法、装置和电子设备的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本申请的范围。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本申请的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本申请的具体实施方式,用以说明本申请的技术方案,而非对其限制,本申请的保护范围并不局限于此,尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种硬件安全模块的刷写方法,其特征在于,所述方法应用于电子控制系统ECU中的主机端;所述主机端分别与刷写工具端、所述ECU中的硬件安全模块HSM端通信连接;所述主机端的第一缓存区存储有HSM升级文件;所述方法包括:
接收到所述刷写工具端发送的开始刷写请求后,从所述第一缓存区中的HSM升级文件中提取目标密文和目标签名发送至所述HSM端,以使所述HSM端根据所述目标密文和所述目标签名进行签名校验;所述目标密文包括:Header密文和HSM应用软件密文;
在接收到所述HSM端返回的签名校验成功信息时,向所述HSM端发送升级刷写请求,以使所述HSM端执行升级刷写操作。
2.根据权利要求1所述的方法,其特征在于,在接收到所述刷写工具端发送的开始刷写请求后,从所述第一缓存区中的HSM升级文件中提取目标密文和目标签名发送至所述HSM端的步骤之前,所述方法还包括:
接收到所述刷写工具端传输的HSM升级文件后,将所述HSM升级文件存储至所述第一缓存区。
3.根据权利要求1所述的方法,其特征在于,以使所述HSM端根据所述目标密文和所述目标签名进行签名校验的步骤之后,所述方法还包括:
在接收到所述HSM端返回的签名校验失败信息时,擦除所述第一缓存区中的HSM升级文件,并向所述刷写工具端发送HSM升级失败信息。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在接收到所述HSM端发送的升级刷写操作对应的刷写结果后,将所述刷写结果发送至所述刷写工具端。
5.一种硬件安全模块的刷写方法,其特征在于,所述方法应用于所述ECU中的HSM端;所述HSM端与所述ECU中的主机端通信连接;所述方法包括:
在接收到所述主机端发送的目标密文和目标签名后,根据所述目标密文和所述目标签名进行签名校验,并向所述主机端发送签名校验信息,以使所述主机端根据所述签名校验信息确定是否触发所述HSM端进行刷写操作;所述签名校验信息包括:签名校验成功信息或签名校验失败信息;所述目标密文包括:Header密文和HSM应用软件密文;
在接收到所述主机端发送的升级刷写请求后,根据所述Header密文进行预设检验;所述预设检验包括:CMAC校验和Header密文的信息检验;
如果检验成功,进行刷写操作;
如果检验失败,记录刷写失败原因,并向所述主机端返回HSM刷写失败信息。
6.根据权利要求5所述的方法,其特征在于,根据所述目标密文和所述目标签名进行签名校验,并向所述主机端发送签名校验信息的步骤,包括:
通过预设安全散列算法对所述目标密文中的Header密文和HSM应用软件密文进行计算,得到第一哈希值;
根据预设非对称算法和预设公钥对所述目标签名进行解密,得到第二哈希值;
判断所述第二哈希值与所述第一哈希值是否一致;
如果是,向所述主机端发送签名校验成功信息;
如果否,向所述主机端发送签名校验失败信息。
7.根据权利要求5所述的方法,其特征在于,根据所述Header密文进行预设检验的步骤,包括:
基于预设对称加密算法和预先存储的私钥对所述Header密文进行解密,得到Header明文;所述Header明文中包括第一CMAC校验码和升级相关数据;所述升级相关数据包括:HSM应用软件对应的数据、起始地址、软件大小、软件版本号中至少一项;
根据所述私钥和所述预设对称加密算法对所述升级相关数据进行计算,得到第二CMAC校验码;
判断所述第二CMAC校验码和所述第一CMAC校验码是否一致;
如果是,检查所述Header明文中包含的数据是否满足预设数据要求;
如果是,确定检验成功。
8.根据权利要求5所述的方法,其特征在于,所述HSM端的第二缓存区域中存储有历史HSM应用软件;进行刷写操作的步骤,包括:
执行对所述第二缓存区的擦除操作;
基于预设对称加密算法和预先存储的私钥对所述HSM应用软件密文进行解密,将解密后的HSM应用软件刷写到所述第二缓存区中;
对刷写到所述第二缓存区中的数据进行完整性校验;
如果校验成功,在所述第二缓存区中写入应用软件有效标志位,同时记录刷写成功信息;如果校验失败,继续执行所述记录刷写失败原因,并向所述主机端返回HSM刷写失败信息的步骤。
9.一种硬件安全模块的刷写方法,其特征在于,所述方法应用于刷写工具端;所述刷写工具端与所述ECU中的主机端通信连接;所述方法包括:
向所述主机端发送擦除内存指令,以使所述主机端对擦除地址及长度进行检查,对用于暂存HSM升级文件的所述第一缓存区进行擦除;
分别通过请求下载、传输下载数据、请求传输退出服务,将所述HSM升级文件传输至所述主机端,以使所述主机端将所述HSM升级文件暂存于所述第一缓存区;
向所述主机端发送开始刷写请求,以使所述主机端基于从所述第一缓存区中的HSM升级文件中提取的目标密文和目标签名触发刷写流程;
按照预设周期,向所述主机端发送刷写结果获取指令,以从所述主机端获取HSM应用软件的刷写结果。
10.一种硬件安全模块的刷写系统,其特征在于,所述系统包括:刷写工具端、电子控制系统ECU中的主机端和HSM端;所述主机端分别与所述刷写工具端、所述HSM端通信连接;所述主机端用于执行如权利要求1-4任一项所述的方法;所述HSM端用于执行如权利要求5-8任一项所述的方法;所述刷写工具端用于执行如权利要求9所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211157528.0A CN115495123A (zh) | 2022-09-22 | 2022-09-22 | 硬件安全模块的刷写方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211157528.0A CN115495123A (zh) | 2022-09-22 | 2022-09-22 | 硬件安全模块的刷写方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115495123A true CN115495123A (zh) | 2022-12-20 |
Family
ID=84470471
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211157528.0A Pending CN115495123A (zh) | 2022-09-22 | 2022-09-22 | 硬件安全模块的刷写方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115495123A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117311753A (zh) * | 2023-09-06 | 2023-12-29 | 北京神州安付科技股份有限公司 | 一种pos机远程升级管理系统 |
-
2022
- 2022-09-22 CN CN202211157528.0A patent/CN115495123A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117311753A (zh) * | 2023-09-06 | 2023-12-29 | 北京神州安付科技股份有限公司 | 一种pos机远程升级管理系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11128477B2 (en) | Electronic certification system | |
CN110225063B (zh) | 汽车车载系统的升级方法、升级系统、服务器及车载终端 | |
CN106168899B (zh) | 用于更新嵌入式控制设备的方法和更新网关 | |
KR100823738B1 (ko) | 컴퓨팅 플랫폼의 설정 정보를 은닉하면서 무결성 보증을제공하는 방법 | |
CN110708388B (zh) | 用于提供安全服务的车身安全锚节点设备、方法以及网络系统 | |
CN113709123A (zh) | 安全控制方法、装置和计算机设备 | |
CN110795126A (zh) | 一种固件安全升级系统 | |
CN108199827B (zh) | 客户端代码完整性校验方法、存储介质、电子设备及系统 | |
CN113138775B (zh) | 车载诊断系统固件保护方法及系统 | |
CN113722720B (zh) | 一种系统启动方法及相关装置 | |
CN114637987A (zh) | 基于平台验证的安全芯片固件下载方法及系统 | |
CN111565182B (zh) | 一种车辆诊断方法、装置及存储介质 | |
CN112883382A (zh) | 一种车辆刷写的方法、车联网盒、车辆及存储介质 | |
CN114662087A (zh) | 一种多端验证的安全芯片固件更新方法及装置 | |
CN115495123A (zh) | 硬件安全模块的刷写方法及系统 | |
CN115242397A (zh) | 用于车辆euc的ota升级安全验证方法及可读存储介质 | |
CN112417422A (zh) | 安全芯片升级方法及计算机可读存储介质 | |
CN112887099B (zh) | 数据签名方法、电子设备及计算机可读存储介质 | |
US11550932B2 (en) | Method for a terminal to acquire and access data | |
CN113868628A (zh) | 一种签名验证方法、装置、计算机设备和存储介质 | |
CN115086062B (zh) | 远程安全控制方法及系统、装置、车辆 | |
WO2024066327A1 (zh) | 车载应用激活方法、车载设备、车辆 | |
CN114297679B (zh) | 一种镜像加密传输与升级的方法 | |
CN117640109B (zh) | Api接口安全访问方法、装置、电子设备及存储介质 | |
US20240086170A1 (en) | Software update system and software update method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |