[发明专利]一种安全元件操作系统升级系统及方法

权利要求书

1.一种安全元件操作系统升级系统，包括升级服务器和客户端设备，所述客户端设备内嵌有安全元件，所述安全元件的操作系统包括SE OS子系统和预置在所述安全元件内的SE Loader子系统，所述SE OS子系统内包括OS数据备份区、OS代码区、OS数据区及应用代码和数据区；

所述升级服务器用于生成用于升级所述SE OS子系统的二进制升级文件；

所述客户端设备用于从所述升级服务器下载并存储所述二进制升级文件，在与所述SELoader子系统身份认证成功后将所述二进制升级文件发送给所述SE Loader子系统；

所述SE Loader子系统基于所述二进制升级文件，完成所述SE OS子系统的功能升级；其中，在升级之前，所述SE OS子系统将所述OS数据区中存储的OS数据备份到所述OS数据备份区，用以在完成升级后恢复所述OS数据；

在升级过程中，所述OS代码区中存储的OS代码和所述OS数据区中存储的OS数据随升级过程而更新，

所述应用代码和数据区中存储的应用代码和数据则不发生改变。

2.根据权利要求1所述的一种安全元件操作系统升级系统，其特征在于，所述升级服务器包括：

指令生成模块，用于基于OS升级文件生成OS升级指令集；

密钥生成模块，用于生成用于密钥协商的一次性公私钥对，并基于所述一次性公私钥对中的私钥与所述升级服务器中的SE Loader子系统的密钥协商公钥，协商得到第一对称密钥，其中，所述第一对称密钥包含第一K_ENC和第一K_MAC；

数据加密模块，用于基于所述第一对称密钥对所述OS升级指令集进行安全处理，生成OS升级密文指令集，基于所述一次性公私钥对中的公钥和所述OS升级密文指令集生成所述二进制升级文件，其中，所述OS升级密文指令集中的每条升级指令均包括指令头、密文数据和第一消息认证码MAC。

3.根据权利要求2所述的一种安全元件操作系统升级系统，其特征在于，所述SELoader子系统包括：

安全认证模块，用于与所述客户端设备进行身份认证，还用于对所述OS数据区的数据进行安全验证；

密钥生成模块，用于基于所述二进制升级文件中的公钥和所述SE Loader子系统中的密钥协商私钥，协商得到和所述升级服务器一致的第二对称密钥，所述第二对称密钥包含第二K_ENC和第二K_MAC；

MAC验证模块，用于基于所述第二K_MAC计算得到第二消息认证码MAC，并将所述第二消息认证码MAC与所述第一消息认证码MAC进行对比，若两者一致，则验证通过，否则验证失败；

数据解密模块，用于基于所述第二K_ENC解密所述OS升级密文指令集，得到所述OS升级文件；

升级模块，用于将所述OS升级文件中的数据写入所述OS代码区和所述OS数据区，并启动升级后的所述安全元件的操作系统。

4.根据权利要求2所述的一种安全元件操作系统升级系统，其特征在于，所述SE OS子系统包括：

安全模块，用于与所述客户端设备进行身份认证；

数据备份模块，用于在升级前将所述OS数据区中存储的OS数据备份到所述OS数据备份区；

数据恢复模块，用于在完成升级后恢复所述OS数据。

5.一种安全元件操作系统升级方法，包括以下步骤：

S100：升级服务器生成用于升级SE OS子系统的二进制升级文件；

S200：所述二进制升级文件传输到客户端设备上；

S300：所述客户端设备和所述SE OS子系统进行身份认证，若身份认证成功，则启动升级，所述SE OS子系统将OS数据区中存储的OS数据备份到OS数据备份区；

S400：完成所述OS数据备份后，所述客户端设备和SE Loader子系统进行身份认证；

S500：若S400中身份认证成功，则所述客户端设备将所述二进制升级文件发送给所述SE Loader子系统，所述SE Loader子系统基于所述二进制升级文件，完成所述SE OS子系统的功能升级；

S600：在完成升级后，所述SE OS子系统恢复所述OS数据。