[发明专利]用于对控制设备进行安全更新的方法

权利要求书

1.一种用于对控制设备进行安全更新的方法，所述控制设备包括：主机，所述主机被设立为执行更新程序和一个或多个应用程序；存储器，所述存储器包含程序和数据；和硬件安全模块HSM，所述硬件安全模块被设立为检查所述存储器的存储区的完整性以及禁止和准许对所述存储器的写访问，所述方法包括：

启动（6、8、40）所述主机和所述HSM；

通过所述HSM来禁止（12、42）对所述存储器的写访问；

通过所述HSM来检查（16、44）所述存储器的包含所述更新程序的第一存储区的完整性；

如果在所述检查的情况下确认所述第一存储区的完整性，则通过所述HSM来准许（18、58）对所述存储器的写访问，并且启动所述更新程序。

2.根据权利要求1所述的方法，所述方法包括：在启动所述更新程序之后，

通过所述更新程序，确定（62）是否应该进行更新；

如果确定不应该进行更新，则通过所述HSM来禁止（26、70）对所述存储器的写访问；

如果确定应该进行更新，则对所述控制设备进行更新（66），其中所述更新包括通过所述更新程序将更新数据写到所述存储器中并且然后通过所述HSM来禁止（70）所述写访问和/或对所述控制设备进行重启；

通过所述主机，执行（30、78）所述一个或多个应用程序中的至少一个应用程序。

3.根据权利要求2所述的方法，所述方法包括：在执行（78）所述至少一个应用程序之前，

通过所述HSM，检查（72）所述存储器的包含所述至少一个应用程序的第二存储区的完整性；而且

如果在所述检查的情况下未确认所述第二存储区的完整性，则阻止对所述至少一个应用程序的执行。

4.根据上述权利要求中任一项所述的方法，所述方法还包括：

在准许对所述存储器的写访问之前，要求并检验（58）密码。

5.根据上述权利要求中任一项所述的方法，其中对所述第一存储区的完整性的检查和/或当根据权利要求3或4所述时对所述第二存储区的完整性的检查包括：将消息认证码进行对照。

6.根据上述权利要求中任一项所述的方法，所述方法包括：

如果在所述检查的情况下未确认所述第一存储区的完整性和/或当根据权利要求3或4所述时在所述检查的情况下未确认所述第二存储区的完整性，则将所述主机停止（48）和/或输出错误报告。

7.一种计算单元，所述计算单元被设立为执行根据上述权利要求中任一项所述的方法的所有方法步骤。

8.一种计算机程序，当所述计算机程序在计算单元上被执行时，所述计算机程序促使所述计算单元执行根据权利要求1至6中任一项所述的方法的所有方法步骤。

9.一种机器可读存储介质，其具有被存储在其上的根据权利要求8所述的计算机程序。