[发明专利]硬件安全模块的刷写方法及系统

权利要求书

1.一种硬件安全模块的刷写方法，其特征在于，所述方法应用于电子控制系统ECU中的主机端；所述主机端分别与刷写工具端、所述ECU中的硬件安全模块HSM端通信连接；所述主机端的第一缓存区存储有HSM升级文件；所述方法包括：

接收到所述刷写工具端发送的开始刷写请求后，从所述第一缓存区中的HSM升级文件中提取目标密文和目标签名发送至所述HSM端，以使所述HSM端根据所述目标密文和所述目标签名进行签名校验；所述目标密文包括：Header密文和HSM应用软件密文；

在接收到所述HSM端返回的签名校验成功信息时，向所述HSM端发送升级刷写请求，以使所述HSM端执行升级刷写操作。

2.根据权利要求1所述的方法，其特征在于，在接收到所述刷写工具端发送的开始刷写请求后，从所述第一缓存区中的HSM升级文件中提取目标密文和目标签名发送至所述HSM端的步骤之前，所述方法还包括：

接收到所述刷写工具端传输的HSM升级文件后，将所述HSM升级文件存储至所述第一缓存区。

3.根据权利要求1所述的方法，其特征在于，以使所述HSM端根据所述目标密文和所述目标签名进行签名校验的步骤之后，所述方法还包括：

在接收到所述HSM端返回的签名校验失败信息时，擦除所述第一缓存区中的HSM升级文件，并向所述刷写工具端发送HSM升级失败信息。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在接收到所述HSM端发送的升级刷写操作对应的刷写结果后，将所述刷写结果发送至所述刷写工具端。

5.一种硬件安全模块的刷写方法，其特征在于，所述方法应用于所述ECU中的HSM端；所述HSM端与所述ECU中的主机端通信连接；所述方法包括：

在接收到所述主机端发送的目标密文和目标签名后，根据所述目标密文和所述目标签名进行签名校验，并向所述主机端发送签名校验信息，以使所述主机端根据所述签名校验信息确定是否触发所述HSM端进行刷写操作；所述签名校验信息包括：签名校验成功信息或签名校验失败信息；所述目标密文包括：Header密文和HSM应用软件密文；

在接收到所述主机端发送的升级刷写请求后，根据所述Header密文进行预设检验；所述预设检验包括：CMAC校验和Header密文的信息检验；

如果检验成功，进行刷写操作；

如果检验失败，记录刷写失败原因，并向所述主机端返回HSM刷写失败信息。

6.根据权利要求5所述的方法，其特征在于，根据所述目标密文和所述目标签名进行签名校验，并向所述主机端发送签名校验信息的步骤，包括：

通过预设安全散列算法对所述目标密文中的Header密文和HSM应用软件密文进行计算，得到第一哈希值；

根据预设非对称算法和预设公钥对所述目标签名进行解密，得到第二哈希值；

判断所述第二哈希值与所述第一哈希值是否一致；

如果是，向所述主机端发送签名校验成功信息；

如果否，向所述主机端发送签名校验失败信息。

7.根据权利要求5所述的方法，其特征在于，根据所述Header密文进行预设检验的步骤，包括：

基于预设对称加密算法和预先存储的私钥对所述Header密文进行解密，得到Header明文；所述Header明文中包括第一CMAC校验码和升级相关数据；所述升级相关数据包括：HSM应用软件对应的数据、起始地址、软件大小、软件版本号中至少一项；

根据所述私钥和所述预设对称加密算法对所述升级相关数据进行计算，得到第二CMAC校验码；

判断所述第二CMAC校验码和所述第一CMAC校验码是否一致；

如果是，检查所述Header明文中包含的数据是否满足预设数据要求；

如果是，确定检验成功。