技术领域
[0001] 本
发明属于汽车电子技术领域,尤其涉及一种基于电子移动证书的汽车软件升级方法及系统。
背景技术
[0003] 汽车智能化、网络化使得汽车内部电子设备数量迅速增加,车载电子设备、电控单元与外界的信息交互也越来越多。这些分布在汽车各部分的车载电子设备、ECU(Electronic Control Unit)就像人类的大脑一样,对某一个部件或者子系统进行检测、控制。根据美国电气和电子工程师协会与IHS咨询公司报告,上世纪80年代初,一辆轿车的电子系统只有5万行代码,而现在高端豪华汽车的电子系统就有6500万行程序代码,提升了1300倍。目前,汽车软件的价值占比仅有10%,而摩根斯坦利估算未来自动驾驶汽车60%的价值将源于软件。
[0004] 因此,各车载电子设备、ECU是否运行安全运行是保证车辆安全的一个重要方面。然而,随着网络化的普及,通过在线升级的方式能够完成车载电子设备、ECU内部程序升级,但也给未授权的黑客或者图谋不轨的人员以可乘之机,如何保证、防止车载电子设备、ECU等重要部件内部程序被非授权升级和更改具有非常重要意义。
[0005] 综上所述,现有技术存在的问题是:
[0006] 现有技术中,一些升级方法仅考虑了部分时间成本(车辆难以获取无线网络热点,导致升级所需时间长)和流量成本(移动网络的流量价格相对高)的问题,以及软件安装包过大问题;
[0007] 一些仅考虑了底层CAN总线传输数据包的双工与半双工通信方式问题。
[0008] 现有很多方法未能考虑软件升级整个过程中信息源、参与者的合法性问题,以及存在着被监听、信息串改、截获所导致的汽车软件升级的安全性问题。
[0009] 解决上述技术问题的意义:
[0010] 本
专利针对汽车软件升级的特殊环境,对汽车安全升级过程中的各个实体进行可靠身份
鉴别和认证,在认证的
基础上,通过安全加密
算法保证端点之间传输数据的秘密性,防止数据被监听和串改,从而有效保证升级过程中的安全性。
发明内容
[0011] 针对现有技术存在的问题,本发明提供了一种基于电子移动证书的汽车软件升级方法及系统。
[0012] 本发明是这样实现的,一种基于电子移动证书的汽车软件升级方法,包括:
[0013] 进行软件升级终端设备、软件升级客户端设备、电子移动证书设备以及软件升级管理平台之间身份合法性的检测;在确定软件升级相关对象合法性的基础上允许升级;软件升级终端在检测过程中,发现车主、维修厂商持有的电子证书为非法时,不允许任何升级操作;
[0014] 在升级过程中,在认证的基础上,建立相互的会话密钥,对传输的数据进行AES加密处理和完整性Hash计算,防止数据被监听和串改;
[0015] 同时,汽车软件升级管理平台,对整个升级过程中的对象、时间、事务重要日志信息进行记录、分析和管理。
[0016] 进一步,所述基于电子移动证书的汽车软件升级方法进一步包括:汽车软件升级管理平台由某汽车生产厂商维护管理,向PKI
服务器系统
申请表示身份的电子证书CerS,其中公钥为KpS,私钥为KrS;汽车软件升级管理平台产生与某车对应的唯一公钥KpT、私钥KrT,通过PKI服务器系统申请认证的证书CerT,并将私钥信息KrT、电子证书信息CerT烧录存储于电子移动证书设备中,私钥信息不可读取;
[0017] 当汽车购买时,将电子移动证书设备给予车主,各汽车维修厂商向汽车软件升级管理平台申请制备唯一身份的电子移动证书设备,电子移动证书设备中保存其私钥信息KrC、电子证书信息CerC;
[0018] 软件管理升级平台拥有所有电子移动证书设备的管理信息,对于汽车维护User1的用户表,表项包括VID,KpT必要信息,对于维修厂商包含User2的用户表;PKI服务器对外的公钥为KpPKI,用于进行证书验证,公钥被Server、Client、Terminal以及MCD设备所拥有;
[0019] 当车主在维修厂商处预进行软件升级时,车主持有的电子移动证书设备需要使用USB
接口与软件升级终端相连;厂商使用USB接口将软件升级客户端设备与软件升级终端连接,同时,将证明自己身份的电子移动证书设备连接到软件升级客户端设备上。
[0020] 进一步,所述基于电子移动证书的汽车软件升级方法进一步包括:
[0021] 第一步,Server、Terminal、Client三者通过通信,把Server的数字证书发送给Client和Terminal;
[0022] 第二步,Terminal和Client通过KpPKI验证Server的证书,获取Server公钥KpS。Terminal产生2个256位随机码RT1,RT2;Terminal将RT1通过Server的公钥KpS进行加密得到 Terminal将RT2发送给MCDT,MCDT经过自己的私钥KrT进行加密,计算得到信息 MCDT返回给Terminal该信息和CerT;
[0023] 第三步,Terminal将信息 通过Client发送给Server。其中ERT1表示通过RT1进行AES对称密钥算法加密;Server得到MT1后,通过私钥KrS对 进行解密计算,获取到RT1的值;然后,Server通过密钥RT1和AES算法解密得到MS1=(RT2||CerT||VID||MC1);Server根据
数据库User1表查找汽车VID,若在数据库中没有该VID,证明Terminal不合法,拒绝后续过程;若存在,找到该VID所对应的KpT,计算 KpT与CerT中的公钥相同,且RT2'=RT2,Server证明Terminal终端连接的MCDT的身份及合法性,否则MCDT为不合法;
[0024] 第四步,Server计算MS2=ERT1(RT1+1||ACK)发送给Terminal,Terminal接收到后,计算MT2=ERT1(MS2),得到RT1'、ACK,如果RT1'=RT1+1,表示Server身份认证成功,信任通信;若ACK=YES,表示MCDT设备的合法性;
[0025] 第五步,Terminal重新生成两个新的随机数RT3、RT4,把RT3通过Client发送给MCDC设备,MCDC设备把加密的结果返回给Terminal;
[0026] 第六步,两个设备合法性在Server认证后都没问题的情况下,Terminal开始和车内网关进行通信,确认允许进行软件升级;Terminal与Server重新建立临时会话密钥RT5和自增计数器RT6,RT5用于对传输的数据进行加密,RT6以保证在该过程中的时效性;然后,Terminal建立下载事务,建立如下描述信息MT3=(IDevent||T||CerT||CerC)(IDevent表示事务序号,T表示下载时间),将该消息发送给MCDT、MCDC设备,两个设备同时完成对该消息的数字签名,计算得到MTCx、MTTx: Terminal将组合消息MT4=ERT5(MT3||MTCx||MTTx||RT6)发送给Server,Server解密该信息,记录此次下载事务信息到后台数据库,开启下载任务;
[0027] 第七步,Server对升级包进行Hash计算,并将该Hash值传递给Terminal作为数据包完整性的检验,防止黑客
修改安装包;
[0028] 第八步,Terminal与Gateway完成下载,Gateway自动更新车内内部相关模
块的程序。
[0029] 本发明的另一目的在于提供一种实施所述基于电子移动证书的汽车软件升级方法的基于电子移动证书的汽车软件升级系统,所述基于电子移动证书的汽车软件升级系统包括:软件升级客户端设备、软件升级终端设备、电子移动证书设备、汽车软件升级管理平台、PKI服务器系统;
[0030] 软件升级客户端设备:通过USB接口与车上安装的软件升级终端相连;同时通过USB接口与维修车企持有的电子移动证书设备相连;
[0031] 软件升级终端设备:安装在每一个车辆内部,与车辆内部总网关相连,完成软件升级;通过USB接口与汽车车主使用的电子移动证书设备相连;软件升级终端连接到现有的车内网关设备上,网关设备连接到车内车载设备与电子设备ECU;
[0032] 电子移动证书设备:通过USB接口与升级软件客户端设备或升级软件终端设备相连;
[0033] 汽车软件升级管理平台:运行在部署于网络上的服务器平台,完成与软件升级客户端设备与PKI服务器系统的通信;
[0034] PKI服务器系统:提供证书下载、身份认证服务。
[0035] 进一步,软件升级客户端设备由ARM微处理芯器、SDRAM
存储器、Flash存储器、电源、4G无线通信传输模块组成;SDRAM存储器与Flash存储器通过ARM数据与地址等外部总线连接;4G无线传输模块与ARM芯片通过Mini-PCIE接口连接通信,完成ARM处理器发送的4G通信功能,4G无线传输模块内部有卡槽,放置
移动电话卡。Flash存储设备中存储
操作系统与应用程序。
[0036] 进一步,软件升级终端设备内部包括:ARM
微处理器、Flash存储器、SDRAM存储器、GPS模块、电源;Flash存储器存储了操作系统与
应用软件程序,完成与升级客户端的通信。
[0037] 进一步,电子移动证书设备包括ARM处理器、电子移动证书存储器;电子移动证书存储器为Flash类型存储器,存储应用程序,而且存储汽车生产厂商提供的电子证书、私钥信息作为身份证明的重要信息。
[0038] 进一步,汽车软件升级管理平台提供升级软件下载、升级日志记录功能。
[0039] 本发明的另一目的在于提供一种实现所述基于电子移动证书的汽车软件升级方法的信息
数据处理终端。
[0040] 本发明的另一目的在于提供一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行所述的基于电子移动证书的汽车软件升级方法。
[0041] 综上所述,本发明的优点及积极效果为:
[0042] 本发明提出了一种基于电子移动证书的汽车软件升级方法和装置。该方法中设计了软件升级终端设备、软件升级客户端设备、电子移动证书设备以及软件升级管理平台之间身份合法性的检测。在确定软件升级相关对象合法性的基础上允许升级。如果软件升级终端在检测过程中,发现了车主、维修厂商持有的电子证书为非法时,不允许任何升级操作。在升级过程中,在认证的基础上,建立相互的会话密钥,对传输的数据进行AES加密处理和完整性Hash计算,防止数据被监听和串改。
[0043] 同时,汽车软件升级管理平台,对整个升级过程中的对象、时间、事务等重要日志信息进行记录、分析和管理。以上过程保证软件升级终端设备下载到的软件升级包的可靠性,从而进一步保证车内电子设备、ECU等重要部件软件升级的安全性。
[0044] 对于未来的车辆具有更加智能化、信息化的特征,本发明中提出的基于电子移动证书的汽车软件升级方法及系统装置,对汽车重要的软件升级过程进行实时监控,只对合法身份的参与者开放汽车软件进行升级的权限。基于电子移动证书,具有携带方便,操作简单的特点,方案中提供了相互认证机制,从而有利于保护车内
系统软件升级的安全性,对于提高汽车整体安全性能有非常重要的实践意义,并且该系统装置以及方法可以应用于实际车辆生产的安全加固。
[0045] 本发明提出了由软件升级客户端设备、软件升级终端设备、电子移动证书设备、软件升级管理平台、PKI服务器系统组成的系统装置结构。
[0046] 本发明提出了基于电子移动证书设备,软件升级终端设备、软件升级客户端设备、电子移动证书设备以及软件升级管理平台之间身份合法性的检测的相关算法处理方法。
[0047] 本发明提出了相关方法对相互传输的数据进行加密处理,对软件升级事务进行记录、分析、管理等,从而高效地保证了软件升级来源的可靠性,软件升级过程的安全性、
可追溯性。本专利提出的研究成果可以用于车企的汽车生产与设计,对于汽车安全升级是一个强有
力的保障方法,该方法的提出对于提高汽车安全性能有非常有力的理论指导和实践意义。
附图说明
[0048] 图1是本发明
实施例提供的基于电子移动证书的汽车软件升级方法
流程图。
[0049] 图2是本发明实施例提供的基于电子移动证书的汽车软件升级系统图。
[0050] 图3是本发明实施例提供的电子移动证书设备内部结构的示意图。
具体实施方式
[0051] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0052] 现有技术中,一些升级方法仅考虑了部分时间成本(车辆难以获取无线网络热点,导致升级所需时间长)和流量成本(移动网络的流量价格相对高)的问题,以及软件安装包过大问题;一些仅考虑了底层CAN总线传输数据包的双工与半双工通信方式问题。现有很多方法未能考虑软件升级整个过程中信息源、参与者的合法性问题,以及存在着被监听、信息串改、截获所导致的汽车软件升级的安全性问题。
[0053] 为解决上述问题,下面结合附图对本发明作详细描述。
[0054] 如图1所示,本发明实施例提供的基于电子移动证书的汽车软件升级方法中,涉及的软件升级客户端设备用Client表示,软件升级终端用Terminal表示,汽车软件升级管理平台用Server表示,PKI服务器用PKI Server表示,电子移动证书设备用MCD(Mobile Certificate Device)表示(其中,连接到Terminal的是车主MCDT,连接到Client设备的是维修厂商MCDC),车内网关用Gateway表示。
[0055] 汽车软件升级管理平台由某汽车生产厂商维护管理,向PKI服务器系统申请表示身份的电子证书CerS,其中公钥为KpS,私钥为KrS。在汽车生产出厂后,由汽车软件升级管理平台产生与某车(编号为VID,该VID为512位Hash值,防止暴力破解)对应的唯一公钥KpT、私钥KrT,通过PKI服务器系统申请认证的证书CerT,并将私钥信息KrT、电子证书信息CerT烧录存储于电子移动证书设备中,私钥信息不可读取。当汽车购买时,将电子移动证书设备给予车主,在汽车软件升级时使用。各汽车维修厂商可以通过如上相同的方法,向汽车软件升级管理平台申请制备唯一身份的电子移动证书设备,电子移动证书设备中保存其私钥信息KrC、电子证书信息CerC。
[0056] 软件管理升级平台拥有所有电子移动证书设备的管理信息,对于汽车维护了一张User1的用户表,表项包括(VID,KpT)等必要信息,对于维修厂商也包含了一张User2的用户表。对于另外,PKI服务器对外的公钥为KpPKI,用于进行证书验证,该公钥被Server、Client、Terminal以及MCD设备所拥有。
[0057] 当车主在维修厂商处预进行软件升级时,车主持有的电子移动证书设备需要使用USB接口与软件升级终端相连;厂商需要使用USB接口将软件升级客户端设备与软件升级终端连接,同时,将证明自己身份的电子移动证书设备连接到软件升级客户端设备上。
硬件连接完成后,为了进行本发明设计的软件升级方法,Server、Client、Terminal、MCDT、MCDC设备上的处理器进行如下步骤:
[0058] S101,Server、Terminal、Client三者通过通信,把Server的数字证书发送给Client和Terminal。
[0059] S102,Terminal和Client通过KpPKI验证Server的证书,获取Server公钥KpS。Terminal产生2个256位随机码RT1,RT2。Terminal将RT1通过Server的公钥KpS进行加密得到 Terminal将RT2发送给MCDT,MCDT经过自己的私钥KrT进行加密,计算得到信息 MCDT返回给Terminal该信息和CerT。
[0060] S103,Terminal将信息 通过Client发送给Server。其中ERT1表示通过RT1进行AES对称密钥算法加密。Server得到MT1后,通过私钥KrS对 进行解密计算,获取到RT1的值。然后,Server通过密钥RT1和AES算法解密得到MS1=(RT2||CerT||VID||MC1)。Server根据数据库User1表可以查找汽车VID,若在数据库中没有该VID,证明Terminal不合法,拒绝后续过程。如果存在,找到该VID所对应的KpT,计算 如果KpT与CerT中的公钥相同,且RT2'=RT2,Server可以证明Terminal终端连接的MCDT的身份及合法性,否则MCDT为不合法(消息ACK=YES表示合法,ACK=NO表示不合法)。
[0061] S104,Server计算MS2=ERT1(RT1+1||ACK)发送给Terminal,Terminal接收到后,计算MT2=ERT1(MS2),得到RT1'、ACK,如果RT1'=RT1+1,表示Server身份认证成功,可以信任通信。若ACK=YES,表示MCDT设备的合法性。
[0062] S105,Terminal重新生成两个新的随机数RT3、RT4,把RT3通过Client发送给MCDC设备,MCDC设备把加密的结果返回给Terminal,并用以上同样的方法完成MCDC设备的合法性识别。
[0063] S106,两个设备合法性在Server认证后都没问题的情况下,Terminal开始和车内网关进行通信,确认允许进行软件升级。Terminal与Server重新建立临时会话密钥RT5和自增计数器RT6,RT5用于对传输的数据进行加密,RT6以保证在该过程中的时效性。然后,Terminal建立下载事务,建立如下描述信息MT3=(IDevent||T||CerT||CerC)(IDevent表示事务序号,T表示下载时间),将该消息发送给MCDT、MCDC设备,两个设备同时完成对该消息的数字签名,计算得到MTCx、MTTx: Terminal将组合消息MT4=ERT5(MT3||MTCx||MTTx||RT6)发送给Server,Server解密该信息,记录此次下载事务信息到后台数据库,开启下载任务。
[0064] S107,在现在软件升级包的过程中,Server对升级包进行Hash计算,并将该值传递给Terminal作为数据包完整性的检验,防止黑客修改安装包。
[0065] S108,Terminal与Gateway完成下载,Gateway自动更新车内内部相关模块的程序。
[0066] 如图2所示为本发明系统的结构图,系统由:软件升级客户端设备、软件升级终端设备、电子移动证书设备、汽车软件升级管理平台、PKI服务器系统组成。其中,软件升级客户端设备一般为各车企维修部
门所使用,软件升级终端设备安装在车内。汽车软件升级管理平台是汽车生产厂商提供的车辆软件管理中心平台。PKI服务器提供身份认证等数字证书服务功能。
[0067] 具体包括:
[0068] 软件升级客户端设备:该设备内部由ARM微处理芯器、SDRAM存储器、Flash存储器、电源、4G无线通信传输模块等主要部件组成。SDRAM存储器与Flash存储器通过ARM数据与地址等外部总线连接;4G无线传输模块与ARM芯片通过Mini-PCIE接口连接通信,完成ARM处理器发送的4G通信功能,4G无线传输模块内部有卡槽,放置移动电话卡。Flash存储设备中存储操作系统与应用程序。该客户端设备通过USB接口与车上安装的软件升级终端相连;同时通过USB接口与维修车企持有的电子移动证书设备相连。
[0069] 软件升级终端设备:该设备安装在每一个车辆内部,与车辆内部总网关相连,是完成软件升级的重要部件。设备内部包含的主要部件有:ARM微处理器、Flash存储器、SDRAM存储器、GPS模块、电源等。Flash存储器存储了操作系统与应用软件程序,完成与升级客户端的通信。该设备通过USB接口可以与汽车车主使用的电子移动证书设备相连。软件升级终端连接到现有的车内网关设备上,网关设备连接到车内车载设备与电子设备ECU。网关是内部网络协议转换设备,且具有某些控制和操作功能。
[0070] 电子移动证书设备:如图3所示,该设备内部主要有ARM处理器、电子移动证书存储器等重要部件;电子移动证书存储器为Flash类型存储器,不仅存储了应用程序,而且存储了汽车生产厂商提供的电子证书、私钥信息作为身份证明的重要信息。该设备主要通过USB接口与升级软件客户端设备或升级软件终端设备相连。
[0071] 汽车软件升级管理平台:该平台运行在部署于网络上的服务器平台,完成与软件升级客户端设备与PKI服务器系统的通信。主要功能有:提供升级软件下载、升级日志记录等主要功能。
[0072] PKI服务器系统:PKI服务器系统主要提供证书下载、身份认证等重要功能。
[0073] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
