于,所述安全处理器从所述安全固件下载更新文件中获取正式安全固件,以及所述安全处理器从所述安全固件下载更新文件中获取正式安全固件的摘要的签名值,具体包括:所述安全处理器使用所述根密钥解密加密后的安全固件更新密钥,根据解密得到的安全固件更新密钥对所述安全固件下载更新头文件中包含的签名数据验签,根据验签得到的安全固件下载密钥解密所述安全固件下载更新文件,从解密结果中获取正式安全固件和正式安全固件的摘要的签名值。20.如权利要求1所述的方法,其特征在于,所述金融终端执行所述步骤S3之前还包括:所述金融终端检查安全环境建立标志是否被置位,若被置位则执行所述步骤S3,若未被置位则向上位机返回错误信息码,返回步骤SI ; 所述步骤S2中还包括:所述金融终端置位所述安全环境建立标志; 所述金融终端执行所述步骤S4或步骤S5之前还包括:所述金融终端检查安全boot更新标志是否被置位,若被置位则执行所述步骤S4或步骤S5,若未被置位则向上位机返回错误信息码,返回步骤SI ; 所述步骤S3中还包括:所述金融终端置位所述安全boot更新标志。21.—种金融终端,其特征在于,包括:通信模块、安全环境建立模块、存储模块、安全boot下载更新模块、应用固件下载更新模块和安全固件下载更新模块; 所述通信模块,用于接收上位机下发的建立安全环境指令、安全boot下载更新指令、应用固件下载更新指令和安全固件下载更新指令; 所述安全环境建立模块,用于当所述通信模块接收到上位机下发的建立安全环境指令时,启动安全检测功能; 所述存储模块,用于存储测试应用boot、测试应用固件、测试安全boot和测试安全固件; 所述安全boot下载更新模块,用于当所述通信模块接收到上位机下发的安全boot下载更新指令时,下载正式安全boot,用所述正式安全boot更新所述存储模块中的测试安全boot ; 所述应用固件下载更新模块,用于当所述通信模块接收到上位机下发的应用固件下载更新指令时,下载正式应用固件,用所述正式应用固件更新所述存储模块中的测试应用固件; 所述安全固件下载更新模块,用于当所述通信模块接收到上位机下发的安全固件下载更新指令时,下载正式安全固件,用所述正式安全固件更新所述存储模块中的测试安全固件; 所述通信模块还用于当所述安全环境建立模块、所述安全boot下载更新模块、所述应用固件下载更新模块和所述安全固件下载更新模块运行结束时,向上位机返回应答。22.如权利要求21所述的金融终端,其特征在于,还包括侵入检测模块; 所述通信模块还用于接收上位机下发的启动侵入检测功能指令和获取侵入检测状态指令,以及当所述侵入检测模块运行结束时,向上位机返回应答或返回侵入检测状态; 所述侵入检测模块,用于当所述通信模块接收到上位机下发的启动侵入检测功能指令时,启动侵入检测功能,以及用于当所述通信模块接收到上位机下发的获取侵入检测状态指令时,获取侵入检测状态。23.如权利要求22所述的金融终端,其特征在于,所述安全环境建立模块具体用于当所述通信模块接收到上位机下发的建立安全环境指令时,启动温度检测功能和电压检测功會K。24.如权利要求21所述的金融终端,其特征在于,所述安全环境建立模块还用于当所述通信模块接收到上位机下发的建立安全环境指令时,初始化防穷举参数空间。25.如权利要求21所述的金融终端,其特征在于,还包括安全boot校验模块,用于校验所述安全boot下载更新模块下载的正式安全boot ; 所述安全boot下载更新模块具体用于当所述通信模块接收到上位机下发的安全boot下载更新指令时,下载正式安全boot,以及当所述安全boot校验模块校验通过时,用所述正式安全boot更新所述存储模块中的测试安全boot。26.如权利要求25所述的金融终端,其特征在于,所述安全boot下载更新模块具体包括:判断单元、获取单元、存储单元和更新单元; 所述判断单元用于当所述通信模块接收到上位机下发的安全boot下载更新指令时,判断所述安全boot下载更新指令的类型; 所述获取单元用于当所述判断单元判断所述安全boot下载更新指令为下载开始指令时,从所述下载开始指令中获取安全boot校验和;以及当所述判断单元判断所述安全boot下载更新指令为下载指令时,从所述下载指令中获取安全boot更新数据; 所述存储单元用于存储所述获取单元获取到的安全boot校验和以及安全boot更新数据; 所述更新单元用于当所述安全boot校验模块校验通过时,用所述存储单元中的安全boot更新数据更新所述存储模块中的测试安全boot ; 所述安全boot校验模块具体用于当所述判断单元判断所述安全boot下载更新指令为下载结束指令时,根据所述存储单元中的安全boot校验和校验所述存储单元中的安全boot更新数据。27.如权利要求26所述的金融终端,其特征在于,所述安全boot下载更新模块还包括清除单元,用于当所述更新单元运行结束时以及当安全boot校验模块校验不通过时,清除所述存储单元中的安全boot更新数据和安全boot校验和。28.如权利要求21所述的金融终端,其特征在于,还包括应用固件校验模块; 所述存储模块还用于存储应用固件更新密钥; 所述安全环境建立模块还用于当所述通信模块接收到上位机下发的建立安全环境指令时,生成根密钥,用所述根密钥加密所述存储模块中的应用固件更新密钥; 所述应用固件校验模块,用于根据所述存储模块中的应用固件更新密钥校验所述应用固件下载更新模块下载的正式应用固件; 所述应用固件下载更新模块具体用于当所述通信模块接收到上位机下发的应用固件下载更新指令时,下载正式应用固件,以及当所述应用固件校验模块校验通过后,用所述正式应用固件更新所述存储模块中的测试应用固件。29.如权利要求28所述的金融终端,其特征在于,所述应用固件下载更新模块具体包括:下载子模块和更新子模块; 所述下载子模块具体包括:判断单元、获取单元和存储单元; 所述判断单元,用于当所述通信模块接收到上位机下发的应用固件下载更新指令时,判断所述应用固件下载更新指令的类型; 所述获取单元,用于当所述判断单元判断所述应用固件下载更新指令为下载开始指令时,获取所述下载开始指令中的应用固件下载更新头文件;以及用于当所述判断单元判断所述应用固件下载更新指令为下载指令时,获取所述下载指令中的应用固件下载更新文件; 所述存储单元,用于存储所述获取单元获取到的应用固件下载更新头文件和应用固件下载更新文件; 所述更新子模块,用于当所述应用固件校验模块校验通过后,更新所述存储模块中的测试应用固件; 所述应用固件校验模块,具体用于当所述判断单元判断所述应用固件下载更新指令为下载结束指令时,根据所述存储模块中的应用固件更新密钥校验所述存储单元中的应用固件下载更新文件,以及当校验未通过时清除所述存储单元中的应用固件下载更新头文件和应用固件下载更新文件。30.如权利要求29所述的金融终端,其特征在于,所述应用固件校验模块具体包括: 哈希单元,用于当所述判断单元判断所述应用固件下载更新指令为下载结束指令时,对所述存储单元中的应用固件下载更新文件进行哈希运算; 验签单元,用于使用所述根密钥对所述存储模块中加密后的应用固件更新密钥解密,使用解密得到的应用固件更新密钥对所述存储单元中的应用固件下载更新头文件中的签名数据验签; 校验单元,用于判断所述验签单元得到的验签结果与所述哈希单元得到的哈希结果是否相同,若相同则校验通过,若不相同则校验未通过,清除所述存储单元中的应用固件下载更新头文件和应用固件下载更新文件。31.如权利要求29所述的金融终端,其特征在于,所述更新子模块具体包括: 擦除单元,用于当所述应用固件校验模块校验通过后,擦除所述存储模块中的测试应用固件; 提取单元,用于从所述存储单元中的应用固件下载更新文件中获取正式应用固件; 写入单元,用于将所述提取单元获取到的正式应用固件写入所述存储模块。32.如权利要求31所述的金融终端,其特征在于,所述提取单元还用于从所述存储单元中的应用固件下载更新文件中获取正式应用固件的摘要的签名值; 所述写入单元还用于将所述提取单元获取到的所述正式应用固件的摘要的签名值写入所述存储模块。33.如权利要求32所述的金融终端,其特征在于,所述提取单元具体用于:使用所述根密钥对所述存储模块中加密后的应用固件更新密钥解密,根据解密得到的应用固件更新密钥对所述存储单元中的应用固件下载更新头文件中包含的签名数据验签,根据验签得到的应用固件下载密钥解密所述存储单元中的应用固件下载更新文件,从解密结果中获取正式应用固件和正式应用固件的摘要的签名值。34.如权利要求21所述的金融终端,其特征在于,还包括安全固件校验模块; 所述存储模块还用于存储安全固件更新密钥; 所述安全环境建立模块还用于当所述通信模块接收到上位机下发的建立安全环境指令时,生成根密钥,用所述根密钥加密所述存储模块中的安全固件更新密钥; 所述安全固件校验模块,用于根据所述存储模块中的安全固件更新密钥校验所述安全固件下载更新模块下载的正式安全固件; 所述安全固件下载更新模块具体用于当所述通信模块接收到上位机下发的安全固件下载更新指令时,下载正式安全固件,以及当所述安全固件校验模块校验通过后,用所述正式安全固件更新所述存储模块中的测试安全固件。35.如权利要求34所述的金融终端,其特征在于,所述安全固件下载更新模块具体包括:下载子模块和更新子模块; 所述下载子模块具体包括:判断单元、获取单元和存储单元; 所述判断单元,用于当所述通信模块接收到上位机下发的安全固件下载更新指令时,判断所述安全固件下载更新指令的类型; 所述获取单元,用于当所述判断单元判断所述安全固件下载更新指令为下载开始指令时,获取所述下载开始指令中的安全固件下载更新头文件;以及当所述判断单元判断所述安全固件下载更新指令为下载指令时,获取所述下载指令中的安全固件下载更新文件;所述存储单元,用于存储所述获取单元获取到的安全固件下载更新头文件和安全固件下载更新文件; 所述更新子模块,用于当所述安全固件校验模块校验通过后,更新所述存储模块中的测试安全固件; 所述安全固件校验模块,具体用于当所述判断单元判断所述安全固件下载更新指令为下载结束指令时,根据所述存储模块中的安全固件更新密钥校验所述存储单元中的安全固件下载更新文件。36.如权利要求35所述的金融终端,其特征在于,所述安全固件校验模块具体包括: 哈希单元,用于当所述判断单元判断所述安全固件下载更新指令为下载结束指令时,对所述存储单元中的安全固件下载更新文件进行哈希运算; 验签单元,用于使用所述根密钥对所述存储模块中加密后的安全固件更新密钥解密,使用解密得到的安全固件更新密钥对所述存储单元中的安全固件下载更新头文件中的签名数据验签; 校验单元,用于判断所述验签单元得到的验签结果与所述哈希单元得到的哈希结果是否相同,若相同则校验通过,若不相同则校验未通过。37.如权利要求35所述的金融终端,其特征在于,所述更新子模块具体包括: 提取单元,用于当安全固件校验模块校验通过后,从所述存储单元中的安全固件下载更新文件中获取正式安全固件; 更新单元,用于用所述提取单元获取的正式安全固件更新所述存储模块中的测试安全固件。38.如权利要求37所述的金融终端,其特征在于,所述提取单元还用于从所述存储单元中的安全固件下载更新文件中获取正式安全固件的摘要的签名值; 所述更新单元还用于将所述提取单元获取到的正式安全固件的摘要的签名值写入所述存储模块。39.如权利要求38所述的金融终端,其特征在于,所述提取单元具体用于:使用所述根密钥对所述存储模块中加密后的安全固件更新密钥解密,根据解密得到的安全固件更新密钥对所述存储单元中的安全固件下载更新头文件中包含的签名数据验签,根据验签得到的安全固件下载密钥解密所述存储单元中的安全固件下载更新文件,从解密结果中获取正式安全固件和正式安全固件的摘要的签名值。40.如权利要求21所述的金融终端,其特征在于,所述存储模块还用于存储安全环境建立标志和安全boot更新标志;所述安全环境建立标志和所述安全boot更新标志的初始状态为未被置位; 所述安全环境建立模块还用于置位所述存储模块中的安全环境建立标志; 所述安全boot下载更新模块具体用于:当所述通信模块接收到上位机下发的安全boot下载更新指令时,检查所述存储模块中的安全环境建立标志是否被置位,以及当所述安全环境建立标志被置位时,下载正式安全boot,用所述正式安全boot更新所述存储模块中的测试安全boot,置位所述存储模块中的安全boot更新标志; 所述应用固件下载更新模块具体用于:当所述通信模块接收到上位机下发的应用固件下载更新指令时,检查所述存储模块中的安全boot更新标志是否被置位,以及当所述安全boot更新标志被置位时,下载正式应用固件,用所述正式应用固件更新所述存储模块中的测试应用固件; 所述安全固件下载更新模块具体用于:当所述通信模块接收到上位机下发的安全固件下载更新指令时,检查所述存储模块中的安全boot更新标志是否被置位,以及当所述安全boot更新标志被置位时,下载正式安全固件,用所述正式安全固件更新所述存储模块中的测试安全固件; 所述通信模块还用于:当所述安全boot下载更新模块检查所述存储模块中的安全环境建立标志未被置位时,当所述应用固件下载更新模块检查所述存储模块中的安全boot更新标志未被置位时,以及当所述安全固件下载更新模块检查所述存储模块中的安全boot更新标志未被置位时,向上位机返回错误消息码。
【专利摘要】本发明公开了一种安全的金融终端的固件烧写方法及金融终端,属于金融安全领域。所述方法包括金融终端根据上位机下发的指令完成安全环境的建立、安全boot的下载和更新、应用固件的下载和更新以及安全固件的下载和更新。所述金融终端包括通信模块、安全环境建立模块、安全boot下载更新模块、应用固件下载更新模块和安全固件下载更新模块。本发明的有益效果在于能够避免现有的金融终端的固件烧写方法的安全隐患,提高金融终端产品的安全性。
【IPC分类】G06F9/445
【公开号】CN105159707
【申请号】CN201510500802
【发明人】陆舟, 于华章
【申请人】飞天诚信科技股份有限公司
【公开日】2015年12月16日
【申请日】2015年8月14日