[发明专利]硬件安全模块的刷写方法及系统

说明书

本申请提供了一种硬件安全模块的刷写方法及系统，方法应用于电子控制系统ECU中的主机端；主机端分别与刷写工具端、ECU中的硬件安全模块HSM端通信连接；主机端的第一缓存区存储有HSM升级文件；方法包括：接收到刷写工具端发送的开始刷写请求后，从第一缓存区中的HSM升级文件中提取密文和第一签名发送至HSM端，以使HSM端根据密文和第一签名进行签名校验；密文包括：Header密文和HSM应用软件密文；在接收到HSM端返回的签名校验成功信息时，向HSM端发送升级刷写请求，以使HSM端执行升级刷写操作。本申请在HSM存在漏洞时，可以进行安全地软件刷写过程，在异常掉电后仍可进行再次刷写流程。

技术领域

本申请涉及自动驾驶技术领域，尤其是涉及一种硬件安全模块的刷写方法及系统。

背景技术

随着现代汽车智能化、网联化的不断发展，虽然给人们带来了便利及驾驶体验感，但也为黑客提供了更多的网络攻击途径，攻击者能够通过突破车内网络或汽车电子组件实现对敏感数据获取、车辆远程控制等。影响汽车功能安全，对驾乘人员的生命安全构成威胁。因此在现有的ECU(Electronic Control Unit，电子控制单元)中，为有效的保护资产的机密性、完整性等安全属性，通常会选择使用带有硬件安全模块(Hardware SecurityModule，以下简称HSM)的ECU实现对相关资产的保护。HSM负责执行所有密码应用，包括基于对称密钥的加解密、完整性检查、基于非对称密钥的加解密、数字签名的生成及验证、安全启动以及用于安全应用的随机数生成功能等。

随着HSM的广泛应用，关于如何对HSM内部的软件进行升级引起工程师的注意。目前汽车行业内通常采用的方案是：1.将HSM的应用软件当作一种固件，量产阶段刷写后，永远不再进行更新；2.通过ECU中Host侧的Bootloader，直接对HSM侧的应用软件进行更新。

从便利性和安全性角度，现有的刷写方案主要存在以下几点问题：

(1)如果存在软件问题或安全漏洞，需要对ECU中的HSM应用软件进行更新时，方案一因不支持刷写功能导致无法完成HSM应用软件的升级，进而影响汽车功能安全，对驾乘人员的生命安全构成威胁。

(2)通过ECU中Host侧Bootloader虽然可以实现对HSM应用软件升级的目的，但是HSM软件必须以明文形式传输给Host侧，这样违背了网络安全标准要求，会存在不安全的问题。

(3)采用方案二执行刷写时，如果在HSM应用软件刷写过程中，ECU出现异常掉电的情况，将导致HSM侧应用软件永不可用，进而HSM失去安全启动、加密、签名等网络安全所需要的功能。

发明内容

本申请的目的在于提供一种硬件安全模块的刷写方法及系统，在HSM存在漏洞时，可以进行安全地软件刷写过程，在异常掉电后仍可进行再次刷写流程。

第一方面，本申请实施例提供一种硬件安全模块的刷写方法，方法应用于电子控制系统ECU中的主机端；主机端分别与刷写工具端、ECU中的硬件安全模块HSM端通信连接；主机端的第一缓存区存储有HSM升级文件；方法包括：接收到刷写工具端发送的开始刷写请求后，从第一缓存区中的HSM升级文件中提取目标密文和目标签名发送至HSM端，以使HSM端根据密文和第一签名进行签名校验；目标密文包括：Header密文和HSM应用软件密文；在接收到HSM端返回的签名校验成功信息时，向HSM端发送升级刷写请求，以使HSM端执行升级刷写操作。

在本申请较佳的实施方式中，上述在接收到刷写工具端发送的开始刷写请求后，从第一缓存区中的HSM升级文件中提取目标密文和目标签名发送至HSM端的步骤之前，方法还包括：接收到刷写工具端传输的HSM升级文件后，将HSM升级文件存储至第一缓存区。

在本申请较佳的实施方式中，上述以使HSM端根据目标密文和目标签名进行签名校验的步骤之后，方法还包括：在接收到HSM端返回的签名校验失败信息时，擦除第一缓存区中的HSM升级文件，并向刷写工具端发送HSM升级失败信息。