本申請?zhí)峁┝艘环N硬件安全模塊的刷寫方法及系統(tǒng)，方法應(yīng)用于電子控制系統(tǒng)ECU中的主機(jī)端；主機(jī)端分別與刷寫工具端、ECU中的硬件安全模塊HSM端通信連接；主機(jī)端的第一緩存區(qū)存儲(chǔ)有HSM升級(jí)文件；方法包括：接收到刷寫工具端發(fā)送的開始刷寫請求后，從第一緩存區(qū)中的HSM升級(jí)文件中提取密文和第一簽名發(fā)送至HSM端，以使HSM端根據(jù)密文和第一簽名進(jìn)行簽名校驗(yàn)；密文包括：Header密文和HSM應(yīng)用軟件密文；在接收到HSM端返回的簽名校驗(yàn)成功信息時(shí)，向HSM端發(fā)送升級(jí)刷寫請求，以使HSM端執(zhí)行升級(jí)刷寫操作。本申請?jiān)贖SM存在漏洞時(shí)，可以進(jìn)行安全地軟件刷寫過程，在異常掉電后仍可進(jìn)行再次刷寫流程。

技術(shù)領(lǐng)域

本申請涉及自動(dòng)駕駛技術(shù)領(lǐng)域，尤其是涉及一種硬件安全模塊的刷寫方法及系統(tǒng)。

背景技術(shù)

隨著現(xiàn)代汽車智能化、網(wǎng)聯(lián)化的不斷發(fā)展，雖然給人們帶來了便利及駕駛體驗(yàn)感，但也為黑客提供了更多的網(wǎng)絡(luò)攻擊途徑，攻擊者能夠通過突破車內(nèi)網(wǎng)絡(luò)或汽車電子組件實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)獲取、車輛遠(yuǎn)程控制等。影響汽車功能安全，對(duì)駕乘人員的生命安全構(gòu)成威脅。因此在現(xiàn)有的ECU(Electronic Control Unit，電子控制單元)中，為有效的保護(hù)資產(chǎn)的機(jī)密性、完整性等安全屬性，通常會(huì)選擇使用帶有硬件安全模塊(Hardware SecurityModule，以下簡稱HSM)的ECU實(shí)現(xiàn)對(duì)相關(guān)資產(chǎn)的保護(hù)。HSM負(fù)責(zé)執(zhí)行所有密碼應(yīng)用，包括基于對(duì)稱密鑰的加解密、完整性檢查、基于非對(duì)稱密鑰的加解密、數(shù)字簽名的生成及驗(yàn)證、安全啟動(dòng)以及用于安全應(yīng)用的隨機(jī)數(shù)生成功能等。

隨著HSM的廣泛應(yīng)用，關(guān)于如何對(duì)HSM內(nèi)部的軟件進(jìn)行升級(jí)引起工程師的注意。目前汽車行業(yè)內(nèi)通常采用的方案是：1.將HSM的應(yīng)用軟件當(dāng)作一種固件，量產(chǎn)階段刷寫后，永遠(yuǎn)不再進(jìn)行更新；2.通過ECU中Host側(cè)的Bootloader，直接對(duì)HSM側(cè)的應(yīng)用軟件進(jìn)行更新。

從便利性和安全性角度，現(xiàn)有的刷寫方案主要存在以下幾點(diǎn)問題：

(1)如果存在軟件問題或安全漏洞，需要對(duì)ECU中的HSM應(yīng)用軟件進(jìn)行更新時(shí)，方案一因不支持刷寫功能導(dǎo)致無法完成HSM應(yīng)用軟件的升級(jí)，進(jìn)而影響汽車功能安全，對(duì)駕乘人員的生命安全構(gòu)成威脅。

(2)通過ECU中Host側(cè)Bootloader雖然可以實(shí)現(xiàn)對(duì)HSM應(yīng)用軟件升級(jí)的目的，但是HSM軟件必須以明文形式傳輸給Host側(cè)，這樣違背了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)要求，會(huì)存在不安全的問題。

(3)采用方案二執(zhí)行刷寫時(shí)，如果在HSM應(yīng)用軟件刷寫過程中，ECU出現(xiàn)異常掉電的情況，將導(dǎo)致HSM側(cè)應(yīng)用軟件永不可用，進(jìn)而HSM失去安全啟動(dòng)、加密、簽名等網(wǎng)絡(luò)安全所需要的功能。

發(fā)明內(nèi)容

本申請的目的在于提供一種硬件安全模塊的刷寫方法及系統(tǒng)，在HSM存在漏洞時(shí)，可以進(jìn)行安全地軟件刷寫過程，在異常掉電后仍可進(jìn)行再次刷寫流程。

第一方面，本申請實(shí)施例提供一種硬件安全模塊的刷寫方法，方法應(yīng)用于電子控制系統(tǒng)ECU中的主機(jī)端；主機(jī)端分別與刷寫工具端、ECU中的硬件安全模塊HSM端通信連接；主機(jī)端的第一緩存區(qū)存儲(chǔ)有HSM升級(jí)文件；方法包括：接收到刷寫工具端發(fā)送的開始刷寫請求后，從第一緩存區(qū)中的HSM升級(jí)文件中提取目標(biāo)密文和目標(biāo)簽名發(fā)送至HSM端，以使HSM端根據(jù)密文和第一簽名進(jìn)行簽名校驗(yàn)；目標(biāo)密文包括：Header密文和HSM應(yīng)用軟件密文；在接收到HSM端返回的簽名校驗(yàn)成功信息時(shí)，向HSM端發(fā)送升級(jí)刷寫請求，以使HSM端執(zhí)行升級(jí)刷寫操作。

在本申請較佳的實(shí)施方式中，上述在接收到刷寫工具端發(fā)送的開始刷寫請求后，從第一緩存區(qū)中的HSM升級(jí)文件中提取目標(biāo)密文和目標(biāo)簽名發(fā)送至HSM端的步驟之前，方法還包括：接收到刷寫工具端傳輸?shù)腍SM升級(jí)文件后，將HSM升級(jí)文件存儲(chǔ)至第一緩存區(qū)。

在本申請較佳的實(shí)施方式中，上述以使HSM端根據(jù)目標(biāo)密文和目標(biāo)簽名進(jìn)行簽名校驗(yàn)的步驟之后，方法還包括：在接收到HSM端返回的簽名校驗(yàn)失敗信息時(shí)，擦除第一緩存區(qū)中的HSM升級(jí)文件，并向刷寫工具端發(fā)送HSM升級(jí)失敗信息。