一种嵌入式硬件安全模块的固件部署系统及方法技术方案

一种嵌入式硬件安全模块的固件部署系统，包括：SoC芯片，用于存储加密密钥和单向加密使能位，选择加密模式加密固件发送给Flash存储器存储；Flash存储器，用于存储被加密的固件部署烧录镜像；上位机，用于生成加密固件的加密密钥，发送给所述SoC芯片。本申请还提供一种嵌入式硬件安全模块的固件部署方法，可以在大型集成了嵌入式硬件安全模块的芯片中，使用普通闪存部署固件，既能满足高信息安全等级要求，又方便使用，降低了成本。降低了成本。降低了成本。

【技术实现步骤摘要】
一种嵌入式硬件安全模块的固件部署系统及方法


[0001]本申请涉及信息安全
，特别是涉及一种嵌入式硬件安全模块的固件部署系统及方法。

技术介绍

[0002]随着车载芯片的集成度越来越高，硬件安全模块（Hardware Security Module，HSM）会被整合到大型系统级芯片（System on Chip，SoC）中，例如智能座舱芯片带有嵌入式硬件安全模块（embedded Hardware Security Module，eHSM）。因为HSM有很高的安全要求，如果HSM需要支持丰富的加解密服务，需要的固件会比较大。对于智能卡行业内对于信息安全等级要求较高的安全单元（Secure Element，SE），芯片通常采用高安全等级的Flash（闪存）存储其固件，防止被破解。同样HSM如果用普通的Flash部署HSM的固件，会存在安全性风险，因此目前的HSM普遍采用高安全等级的Flash实现HSM的固件部署。
[0003]目前eHSM的固件部署实现都是直接下载固件到Flash上，有两种安全等级，高安全等级使用安全Flash（安全认证闪存），无安全等级要求，使用普通Flash。
[0004]eHSM搭载安全Flash成本较高，使用普通的Flash，信息安全等级不够，一般的加密存储又导致部署和升级困难。如何在成本较低的情况下提高信息安全等级成为了一个难题。

技术实现思路

[0005]为了解决现有技术存在的不足，本申请的目的在于提供一种嵌入式硬件安全模块的固件部署系统及方法，可以在大型集成了嵌入式硬件安全模块的芯片中，使用普通Flash部署固件，既能满足高信息安全等级要求，又方便使用。
[0006]为实现上述目的，本申请还提供的嵌入式硬件安全模块的固件部署系统，包括：SoC芯片，用于存储加密密钥和单向加密使能位，选择加密模式加密固件发送给Flash存储器存储；Flash存储器，用于存储被加密的固件部署烧录镜像；上位机，用于生成秘钥加密固件，发送给所述SoC芯片。
[0007]进一步地，所述SoC芯片，包括：嵌入式硬件安全模块，接受电编程熔丝模块和其上固件的控制，选择单向加密模式或双向加密模式加密固件；所述电编程熔丝模块，用于控制所述嵌入式硬件安全模块采用单向加密模式加密固件。
[0008]进一步地，所述电编程熔丝模块，存储有加密密钥和单向加密使能位，通过所述加密密钥和使能控制位，控制所述嵌入式硬件安全模块采用单向加密模式加密固件。
[0009]进一步地，所述嵌入式硬件安全模块，包括：Flash控制器，用于接受硬件安全模块固件和所述电编程熔丝模块的控制，采用单
向加密模式或双向加密模式加密固件；所述硬件安全模块固件，用于控制Flash控制器采用双向加密模式加密固件。
[0010]进一步地，所述Flash控制器，包括：对称加解密模块，所述对称加解密模块，包括：加密模式控制模块，其根据信息寄存器记录的所述硬件安全模块固件控制指令和所述电编程熔丝模块控制指令，选择单向加密模式或双向加密模式加密固件；所述信息寄存器，用于记录所述硬件安全模块固件的控制指令和所述电编程熔丝模块的控制指令。
[0011]进一步地，所述加密模式控制模块，包括单向加密模块，采用单向加密模式加密固件；双向加密模块，采用双向加密模式加密固件；测试模块，用于测试所述单向加密模块和所述双向加密模块加密固件。
[0012]更进一步地，所述信息寄存器，具有单向加密使能和双向加密使能。
[0013]为实现上述目的，本申请还提供一种嵌入式硬件安全模块的固件部署方法，包括以下步骤：生成加密密钥和固件部署烧录镜像；烧写加密密钥和单向加密使能位烧写固件部署烧录镜像；产品上电，读取固件并更新加密密钥；读取加密密钥和单向加密使能位，使能单向加密模式加密固件；使能双向加密模式，将固件明文写入到flash存储器；关闭双向加密模式，将加密固件写入flash存储器。
[0014]进一步地，所述生成加密密钥和固件部署烧录镜像的步骤，还包括：由外部生成并输入加密密钥；对固件img文件与密钥组装后签名；利用所述密钥加密固件包，生成固件部署烧录镜像。
[0015]进一步地，所述烧写加密密钥和单向加密使能位的步骤，还包括：将密钥和单向加密使能位烧写到SoC芯片的电编程熔丝模块中。
[0016]进一步地，所述烧写固件部署烧录镜像的步骤，进一步包括：将被加密的所述固件部署烧录镜像烧写到flash存储器。
[0017]更进一步地，所述产品上电，读取固件并更新加密密钥的步骤，还包括：嵌入式硬件安全模块读取固件，根据从固件img文件中组合的加密密钥和电编程熔丝模块的密钥区域中随机挑选的未熔断的比特位熔点，更新固件加密密钥；将更新后的密钥烧写到电编程熔丝模块。
[0018]为实现上述目的，本申请还提供一种电子设备，包括，存储器和处理器，所述存储器中存储有计算机指令，所述处理器被设置为运行所述指令以执行如上所述的嵌入式硬件安全模块的固件部署方法的步骤。
[0019]为实现上述目的，本申请还提供一种电路板，包括如上所述的嵌入式硬件安全模块的固件部署系统。
[0020]为实现上述目的，本申请还提供一种计算机可读存储介质，所述计算机可读存储介质，其上存储有程序，当所述程序运行时执行如上所述的嵌入式硬件安全模块的固件部
署方法的步骤。
[0021]本申请的嵌入式硬件安全模块的固件部署系统及方法，在SoC芯片中将eHSM的Flash控制器中对称加解密（SM4、AES等）模块分成：ROT（Root of Trust，信任根）控制读取解密的单向加密、和CPU控制写入加密读取解密的双向加密两种模式，两种模式的开关权限在芯片内部来源于不同的信任链（Chain of Trust），其中eFuse中的密钥和使能控制位强制控制单向加密模式，运行在HSM上的固件控制双向加密模式，并且固件中增加部署控制块用于不同模式（或不同的生产方式）的固件部署，由此通过SoC和部署软件配合实现了基于普通Flash的e硬件安全模块固件的高信息安全等级，同时解决了使用加密导致固件部署或者升级困难的问题。
[0022]本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。
附图说明
[0023]附图用来提供对本申请的进一步理解，并且构成说明书的一部分，并与本申请的实施例一起，用于解释本申请，并不构成对本申请的限制。在附图中：图1为根据本申请的一个实施例的嵌入式硬件安全模块的固件部署系统架构图；图2为根据本申请的又一个实施例的嵌入式硬件安全模块的固件部署系统架构图；图3为根据本申请的固件组装结构示意图；图4为根据本申请的一个实施例的嵌入式硬件安全模块的固件部署方法流程图；图5为根据本申请的另一个实施例的嵌入式硬件安全模块的固件部署方法流程图；图6根据本申请实施例的电子设备结构示意图。
具体实施方式
[0024]下面将参照附本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种嵌入式硬件安全模块的固件部署系统，其特征在于，包括：SoC芯片，用于存储加密密钥和单向加密使能位，选择加密模式加密固件发送给Flash存储器存储；Flash存储器，用于存储被加密的固件部署烧录镜像；上位机，用于生成加密固件的加密密钥，发送给所述SoC芯片。2.根据权利要求1所述的嵌入式硬件安全模块的固件部署系统，其特征在于，所述SoC芯片，包括：嵌入式硬件安全模块，接受电编程熔丝模块和其上固件的控制，选择单向加密模式或双向加密模式加密固件；所述电编程熔丝模块，用于控制所述嵌入式硬件安全模块采用单向加密模式加密固件。3.根据权利要求2所述的嵌入式硬件安全模块的固件部署系统，其特征在于，所述电编程熔丝模块，存储有加密密钥和单向加密使能位，通过所述加密密钥和使能控制位，控制所述嵌入式硬件安全模块采用单向加密模式加密固件。4.根据权利要求2所述的嵌入式硬件安全模块的固件部署系统，其特征在于，所述嵌入式硬件安全模块，包括：Flash控制器，用于接受硬件安全模块固件和所述电编程熔丝模块的控制，采用单向加密模式或双向加密模式加密固件；所述硬件安全模块固件，用于控制Flash控制器采用双向加密模式加密固件。5.根据权利要求4所述的嵌入式硬件安全模块的固件部署系统，其特征在于，所述Flash控制器，包括：对称加解密模块，所述对称加解密模块，包括：加密模式控制模块，其根据信息寄存器记录的所述硬件安全模块固件控制指令和所述电编程熔丝模块控制指令，选择单向加密模式或双向加密模式加密固件；所述信息寄存器，用于记录所述硬件安全模块固件的控制指令和所述电编程熔丝模块的控制指令。6.根据权利要求5所述的嵌入式硬件安全模块的固件部署系统，其特征在于，所述加密模式控制模块，包括单向加密模块，采用单向加密模式加密固件；双向加密模块，采用双向加密模式加密固件；测试模块，用于测试所述单向加密模块和所述双向加密模块加密固件。7.根据权利要求5所述的嵌入式硬件安全模块的固件部署系统，其特征在于，所述信息寄存器，具有单向加密使能和双向加密使能。8.一种嵌入式硬件安全模...

【专利技术属性】
技术研发人员：赵朋飞，
申请(专利权)人：南京芯驰半导体科技有限公司，
类型：发明
国别省市：