(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210348131.3 (22)申请日 2022.03.30 (71)申请人 江苏云涌电子科技股份有限公司 地址 225300 江苏省泰州市海陵区泰安路 16号 (72)发明人 戴凯　罗辉　谭建成　龚京宏　 郑夏芹　 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) G06F 8/65(2018.01) (54)发明名称 一种基于可信密码模块TC M的离线升级方法 (57)摘要 本发明公开了一种基于可信密码模块TCM的 离线升级方法， 包括先制作离线升级包， 再升级 离线升级包两大步骤， 对待升级固件包进行了加 解密和验签操作， 并采用离线的升级方式， 且固 件包是使用特定的TCM终端设备公钥进行加密 的， 只有所述TCM终端设备才能解密该固件包， 从 而可以防止固件包的非法使用， 保证安全升级。 本发明巧妙灵活地将固件包、 固件包的编译时 间、 固件包的版本号一起加密， 再通过将固件包 的编译时间和 固件版本号与当前固件版本号进 行比较， 只有高于当前版本号才需要升级操作， 从而有效避免误升级操作。 权利要求书1页 说明书4页 附图2页 CN 114726539 A 2022.07.08 CN 114726539 A 1.一种基于可信密码模块TC M的离线升级方法， 其特 征在于， 包括以下步骤： S1： 所述可信密码模块TCM出厂之前， 在TCM终端设备上产生公私钥对， 并使用所述TCM 终端设备的序列号作为主题信息的一部 分生成证书请求信息， 并将所述证书请求信息发送 给CA服务器用以请求签发TC M设备证书； 所述TC M终端设备从所述CA服 务器中获得CA证书； S2： 所述CA服务器收到所述证书请求信息后向所述TCM终端设备签发所述TCM设备证 书， 并存储所述TCM设备证书与TCM终端设备的序列号的对应关系， 同时， 在所述TCM终端设 备上预置所述CA证书； S3： 当所述TCM终端设备不具备联网功能而需要升级固件程序时， 厂商从所述CA服务器 获取所述TCM终端设备序列号对应的所述TCM设备证书， 并使用所述TCM设备证书中的公钥 对第一固件包进行加密生成第二固件包， 再通过所述CA 服务器对所述第一固件包进 行签名 生成第三固件 包， 最后将所述第二固件 包和第三固件 包组成为离线升级包； S4： 使用所述TCM终端设备的私钥 对所述离线升级包进行解密得到第一 固件包； 再使用 所述CA证书对所述离线升级包进行验签； 如果验签通过， 则说明所述第一固件包为可信固 件包， 方可升级所述第一固件 包操作。 2.根据权利要求1所述的离线升级方法， 其特征在于： 所述TCM设备证书是所述CA服务 器收到所述证书请求信息并校验通过后， 给所述TCM终端设备签发的一个包含设备公钥信 息的设备证书。 3.根据权利要求2所述的离线升级方法， 其特征在于： 所述证书请求信息是将所述TCM 终端设备里的可信密码模块TCM的序列号、 使用者、 颁发者及有效期信息组成的P10请求信 息。 4.根据权利要求1所述的离线升级方法， 其特征在于： 所述步骤S3中是使用所述TCM设 备证书中的公钥对所述对第一固件包及其编译时间和版本号一起进行加密生成第二固件 包， 再通过所述CA 服务器对所述第一固件包及其编译时间和版本号进 行签名生成第三固件 包， 最后， 将所述第二固件 包和第三固件 包组成为离线升级包。 5.根据权利要求1所述的离线升级方法， 其特征在于： 所述步骤S4中的具体方法为： 使 用所述TCM终端设备的私钥对所述离线升级包中的第二固件包进 行解密， 如果解密失败， 则 说明使用的非所述第二固件包， 因而 无法得到所述第一固件包； 如果解密成功， 则说明使用 的是所述第二固件包， 从而得到所述第一固件包； 再使用所述CA证书对所述离线升级包进 行验签； 如果验签通过， 则说明第一固件 包为可信固件 包， 方可升级所述第一固件 包操作。 6.根据权利要求4所述的离线升级方法， 其特征在于： 所述步骤S4中的具体方法为： 使 用所述TCM终端设备的私钥对所述离线升级包中的第二固件包进行解密， 如果解密失败说 明使用的不是所述第二固件包， 因而 无法得到所述第一固件包； 如果解密成功， 则说明使用 的是所述第二固件包， 从而得到所述第一固件包， 再比较所述TCM终端设备得到的固件编译 时间和固件版本号， 如果第一固件包的编译时间和固件版本号比当前版本号新才进行升 级， 否则不升级； 再使用所述CA证书对所述离线升级包进行验签； 如果验签通过， 则说明第 一固件包为可信固件包， 第一固件包的编译时间、 版本号是可信的， 基于所述固件版本号的 比较， 如果比当前 版本号新， 则方可升级所述第一固件 包操作。权　利　要　求　书 1/1 页 2 CN 114726539 A 2一种基于可信密码模块TCM的离线 升级方法 技术领域 [0001]本发明涉及可信技 术领域， 具体是一种基于可信密码模块TC M的离线升级方法。 背景技术 [0002]随着物联网设备的发展普及， 物联网的安全问题也越来越被重视。 厂商生产出来 的固件升级包在向终端客户发放， 再到TCM终端设备升级的过程中， 如何防范别有用心的人 或组织通过伪造、 仿制相同的TCM硬件模块进行恶意替换， 以达到攻击的目的， 是一个急需 解决的技 术问题。 [0003]中国专利公开了一种升级包的签名及验签方法、 存储介质， 申请号为 202010014875.2， 其技术方案为： 所述签名方法通过生成第一签名文件、 第二签名文件、 第 三签名文件， 并将所述第一签名文件、 第二签名文件、 第三签名文件 添入源升级包中的同一 目录下， 得到新升级包。 所述验签方法根据所述新升级包中的所述第一签名文件、 第二签名 文件和第三签名文件对所述源升级包进行验签。 其主要解决了如何在进入升级之前对升级 包进行整包的签名及 验证的问题， 并且其升级包， 在 进行Android升级时， 在解签、 验签的过 程中， 使用者不用解压两次升级包， 也不需要去关注解签及验签的函数及代码， 只需应用接 口即可使用， 操作更加方便灵活， 可见其 非采用离线的升级方式， 无法解决本申请的技术问 题。 [0004]中国专利公开了一种基于TCM芯片的工控安全设备升级包安装方法， 申请号为 201910131468.7， 其技术方案为： 包括以下步骤： A、 签名服务器向数字证书认证中心申请国 密数字证书； B、 数字证书认证中心为签名服务器颁发证书， 并同时将自己的数字证书发送 给签名服务器； C、 计算哈希 值， 将HASH值发送给签名服务器作为签名请求； D、 签名服务器利 用自己的数字证书对升级包进 行数字签名， 得到签名值， 并将签名值、 根证书以及自己的证 书一并发送给编译机， 编译机生成最终的升级包； E、 将根证书保存在内置的国密安全芯片 TCM中， 保证根证书的安全性； F、 使用升级包进行在线升级。 其技术方案能够改进现有技术 的不足， 避免由于升级包被篡改导致的安全性问题。 虽然其可以达到避免由于升级包被篡 改导致的安全性问题， 但是其并非采用离线升级的技 术方法。 发明内容 [0005]本发明要解决的技术问题是提供一种基于可信密码模块TCM的离线升级方法， 能 够解决现有技 术的不足， 避免升级非法固件 包。 [0006]为解决上述 技术问题， 本发明所采取的技 术方案如下： [0007]一种基于可信密码模块TC M的离线升级方法， 包括以下步骤： [0008]S1： 所述可信密码模块TCM出厂 之前， 在TCM 终端设备上产生公私钥对， 并使用所述 TCM终端设备 的序列号作为主题信息的一部分生成证书请求信息， 并将所述证书请求信息 发送给CA服务器用以请求签发TCM 设备证书； 所述TCM终端设备从所述CA服务器中获得CA证 书；说　明　书 1/4 页 3 CN 114726539 A 3