[发明专利]一种基于嵌入式信任根的智能设备安全代码更新方法

权利要求书

1.一种基于嵌入式信任根的智能设备安全代码更新方法，其特征在于包括以下步骤：

(1)安全擦除：基于信任根密钥派生的伪随机数在更新前对智能设备可疑空间进行清理，确保更新前的安全；

(2)采用现代智能设备上普遍存在的硬件构建嵌入式信任根，为嵌入式系统维护一个可信执行环境和安全存储空间，确保更新时的安全；

(3)对更新代码安装后的嵌入式智能设备系统环境进行完整性证明，确保更新后的安全。

2.根据权利要求1所述的基于嵌入式信任根的智能设备安全代码更新方法，其特征在于，具体步骤如下：

1)智能设备方准备更新包与验证方共享；

2)智能设备方初始化配置智能设备；

3)智能设备方和验证方进行临时会话密钥协商；

4)智能设备方发布新代码后通知验证方更新；

5)智能设备方初始化设备更新环境；

6)智能设备方向验证方发送挑战和密钥；

7)验证方验证挑战，成功后将更新包加密后发送给智能设备方；

8)智能设备方解密并验证更新包，成功后将部署更新；

9)智能设备方进行完整性度量，将结果发送给验证方；

10)验证方验证度量结果，并同步给智能设备方；

11)智能设备方通过安全启动保证可持续安全性；

12)智能设备方和验证方通过远程证明机制保证智能设备的持续可信性。

3.根据权利要求2所述的基于嵌入式信任根的智能设备安全代码更新方法，其特征在于，步骤1)中设备方准备好最新的安全更新包cupkg，其至少包含二进制更新代码cupkg.code，当前安全更新包的版本号cupkg.ver，成功更新后设备上内存内容期望值的哈希值cupkg.hash；设备方将准备好的最新安全更新包cupkg与验证方共享。

4.根据权利要求2所述的基于嵌入式信任根的智能设备安全代码更新方法，其特征在于，步骤2)中智能设备方配置或者部署好嵌入式信任根、固定的信任根代码RoT以及设备根密钥rk，并将设备当前运行代码的完整性元数据保存在嵌入式信任根维护的安全存储空间R中。

5.根据权利要求2所述的基于嵌入式信任根的智能设备安全代码更新方法，其特征在于，步骤3)中智能设备方和验证方：协商好密码学参数，选择合适的轻量级对称加密算法，通过密钥交换协议建立一个共享的临时会话密钥tsk，在更新协议交互过程中，智能设备方和验证方之间交互的信息都使用tsk进行加密，并可以根据实际需求自定义更新tsk的周期。

6.根据权利要求2所述的基于嵌入式信任根的智能设备安全代码更新方法，其特征在于，步骤4)中智能设备方发布最新版本的嵌入式智能设备代码后，通知验证方对所有智能设备进行更新，验证方向智能设备方发送一个更新请求R1。

7.根据权利要求2所述的基于嵌入式信任根的智能设备安全代码更新方法，其特征在于，步骤5)中智能设备上RoT代码收到R1后，基于设备根密钥rk派生出一个随机子密钥k1；基于k1和R1，RoT代码使用一个伪随机发生器生成伪随机数，对设备可疑内存和多余内存区域进行覆写操作，擦除潜在的恶意代码，为更新提供一个初始可信的环境。

8.根据权利要求2所述的基于嵌入式信任根的智能设备安全代码更新方法，其特征在于，步骤6)中智能设备上RoT代码基于设备根密钥rk再派生出第二个随机子密钥k2，并生成一个随机挑战值Np，将消息M1＝{R1，k1，k2，Np}使用tsk加密后发送给验证方。