一种车辆安全远程升级系统及升级方法与流程

本发明涉及车辆远程升级技术领域，具体的说，涉及了一种车辆安全远程升级系统及升级方法。

背景技术：

随着无线网络覆盖的完善、智能车载终端的普及、以及车辆MCU或ECU的广泛应用，人们对汽车的智能化需求越来越高。目前，已经可以实现对车辆MCU或ECU进行远程升级。车辆MCU或ECU的远程升级可以及时解决MCU或ECU中存在的问题，帮助车辆厂商降低升级所带来的成本，同时给用户的使用带来便利，提升用户对车辆及厂商的满意度。

然而，目前现有的车辆远程升级方案并没有或者极少采取妥善的安全保护措施，从而容易造成升级数据被篡改或被第三方植入恶意代码等安全问题，轻则造成车辆故障影响使用、重则造成车毁人亡的悲剧。同时，由于缺乏对升级数据的加密保护，容易导致车辆厂商的竞争对手或恶意第三方截获升级数据包的明文，从而分析出车辆已有或潜在的缺陷，进行进一步攻击的可能。

如何改进现有的车辆远程升级的方法，实现对车辆进行安全有效的远程升级，成为急需解决的问题。

技术实现要素：

本发明的目的是针对现有技术的不足，提供一种车辆安全远程系统，并同时提供该系统的升级方法，使得在对车辆进行远程升级时，可以确保升级数据的机密性和完整性。

为了实现上述目的，本发明所采用的技术方案是：

一种车辆安全远程升级系统，所述系统包括，升级包服务器，插入或内嵌有升级包安全处理模块；车载终端，插入或内嵌有安全模块，并通过车用网络连接有车辆待升级模块；远程升级服务器，分别与所述升级包服务器和所述车载终端网络连接；密钥服务器，分别与所述升级包服务器和所述车载终端网络连接；所述升级包安全处理模块和所述安全模块内存储有预置的共享密钥；所述升级包安全处理模块还存储有可用于数字签名的私钥；所述升级包服务器调用所述升级包安全处理模块将预置的车辆升级数据作安全处理后上传至所述远程升级服务器；所述车载终端与所述远程升级服务器和所述密钥服务器交互获得车辆升级数据，并使用车辆升级数据对所述车辆待升级模块进行升级。

一种车辆安全远程升级系统的升级方法，包括如下步骤：

步骤1，所述升级包服务器调用所述升级包安全处理模块将预置的车辆升级数据作安全处理后上传至所述远程升级服务器；

步骤2，所述车载终端与所述远程升级服务器和所述密钥服务器交互获得车辆升级数据；

步骤3，使用车辆升级数据对所述车辆待升级模块进行升级。

基于上述，所述步骤1包括如下步骤：

步骤1.1，所述升级包服务器向所述密钥服务器请求加密密钥因子，并向所述密钥服务器传送所述车辆待升级模块的当前版本号；

步骤1.2，所述密钥服务器生成加密密钥因子，并将其与所述车辆待升级模块的当前版本号一起保存，并向所述升级包服务器返回所述加密密钥因子；

步骤1.3，所述升级包服务器收到所述加密密钥因子后，调用所述升级包安全处理模块计算获得加密密钥；

步骤1.4，所述升级包服务器使用所述升级包安全处理模块内置的私钥对车辆升级数据进行数字签名，同时调用所述升级包安全处理模块使用所述加密密钥加密所述车辆升级数据，然后将经过签名和加密的车辆升级数据上传至所述远程升级服务器。

基于上述，所述步骤2包括如下步骤：

步骤2.1，所述车载终端向所述车辆待升级模块查询模块版本信息，并将查询到的模块版本信息发送给所述远程升级服务器；

步骤2.2，所述远程升级服务器根据所述模块版本信息查找有无对应的经过签名和加密的车辆升级数据，若有则进行下一步，否则向所述车载终端返回不需要升级的信息后终止升级流程；

步骤2.3，所述远程升级服务器将查找到的对应的经过签名和加密的车辆升级数据返回给所述车载终端；

步骤2.4，所述车载终端向所述密钥服务器发送所述模块版本信息；

步骤2.5，所述密钥服务器向所述车载终端返回所述模块版本信息对应的加密密钥因子；

步骤2.6，所述车载终端在收到所述加密密钥因子后，调用所述安全模块计算获得加密密钥。

基于上述，所述步骤3包括如下步骤：

步骤3.1，所述车载终端将经过签名和加密的所述车辆升级数据发送给所述车辆待升级模块；

步骤3.2，所述车辆待升级模块调用所述安全模块使用所述加密密钥解密得到所述车辆升级数据的明文，并对所述车辆升级数据进行数字签名的验证；若解密不正确或数字签名验证未通过，则终止升级流程；

步骤3.3，所述车辆待升级模块根据所述车辆升级数据进行升级。

基于上述，所述步骤1.3中获得加密密钥的方法为：所述升级包安全处理模块使用其内预置的共享密钥，通过摘要算法对所述加密密钥因子进行摘要计算，将获得的摘要值作为所述加密密钥。

基于上述，所述步骤2.6中获得加密密钥的方法为：所述安全模块使用其内预置的共享密钥，通过摘要算法对所述加密密钥因子进行摘要计算，将获得的摘要值作为所述加密密钥，所述加密密钥存储于所述安全模块中。

基于上述，在所述步骤3.3的所述车辆待升级模块根据所述车辆升级数据进行升级后，所述车辆待升级模块将升级结果返回给所述车载终端。

基于上述，所述车辆升级数据包括车辆升级程序包和车辆升级策略。

基于上述，所述摘要算法包括SM1和SHA256。

本发明所提供的车辆安全远程升级系统及升级方法通过在升级包服务器与车载终端增加基于硬件安全芯片的安全模块，再结合密钥服务器和远程升级服务器，为升级数据提供了加密与数字签名及验证的服务，保障了升级数据的机密性与完整性，实现了安全可靠的车辆远程升级，有效地防止了因升级数据被篡改、被第三方植入恶意代码或者被车辆厂商的竞争对手或恶意第三方截获升级数据包的明文，而分析出车辆已有或潜在的缺陷，进行攻击等安全问题，有效地解决了现有技术安全性不足的问题。

附图说明

图1为本发明的车辆安全远程升级系统的结构示意图。

图2为本发明车辆安全远程升级系统的升级方法的流程示意图。

具体实施方式

下面通过具体实施方式，对本发明的技术方案做进一步的详细描述。

如图1所示，一种车辆安全远程升级系统，所述系统包括，升级包服务器，插入或内嵌有升级包安全处理模块；至少一个车载终端，插入或内嵌有安全模块，并通过车用网络连接有车辆待升级模块；远程升级服务器，分别与所述升级包服务器和所述车载终端网络连接；密钥服务器，分别与所述升级包服务器和所述车载终端网络连接；所述升级包安全处理模块和所述安全模块内存储有预置的共享密钥；所述升级包安全处理模块还存储有可用于数字签名的私钥；

所述升级包服务器调用所述升级包安全处理模块将预置的车辆升级数据作安全处理后上传至所述远程升级服务器；所述车载终端与所述远程升级服务器和所述密钥服务器交互获得车辆升级数据，并使用车辆升级数据对所述车辆待升级模块进行升级。

具体的应用实例中，所述升级包安全处理模块和所述安全模块采用安全专用芯片，支持的商用密码算法包括SM1、SM2和SM3；支持的国际常用密码算法包括3DES、AES、RSA和SHA-1；所述安全专用芯片，可提供的密码服务包括用于存储个人数字身份证书和签名私钥、为移动终端提供数字签名、签名验证和数据加解密，其内提供安全存储空间，用于保存密钥及用户私有数据，支持的硬件接口包括SPI、SD和USB。

所述车载终端为车辆监控管理系统的前端设备，包括无线通讯模块、GPS模块、车载LCD触摸屏、视频服务器、外接摄像机、通话手柄和车辆防盗器等。

所述车辆待升级模块为行车控制MCU或车辆相关的各ECU，包括车载信息与通讯控制系统ECU、动力传动系统ECU、底盘控制系统ECU、车身控制系统ECU和后备控制系统ECU等。所述车用网络包括CAN总线网络、LIN总线网络和车用以太网。

所述车辆安全远程升级系统的升级方法，包括如下步骤：

步骤1，所述升级包服务器调用所述升级包安全处理模块将预置的车辆升级数据作安全处理后上传至所述远程升级服务器；

步骤2，所述车载终端与所述远程升级服务器和所述密钥服务器交互获得车辆升级数据；

步骤3，使用车辆升级数据对所述车辆待升级模块进行升级。

具体实现的时候，所述步骤1包括如下步骤：

步骤1.1，所述升级包服务器向所述密钥服务器请求加密密钥因子，并向所述密钥服务器传送所述车辆待升级模块的当前版本号；

步骤1.2，所述密钥服务器生成加密密钥因子，并将其与所述车辆待升级模块的当前版本号一起保存，并向所述升级包服务器返回所述加密密钥因子；

步骤1.3，所述升级包服务器收到所述加密密钥因子后，调用所述升级包安全处理模块计算获得加密密钥；

步骤1.4，所述升级包服务器使用所述升级包安全处理模块内置的私钥对车辆升级数据进行数字签名，同时调用所述升级包安全处理模块使用所述加密密钥加密所述车辆升级数据，然后将经过签名和加密的车辆升级数据上传至所述远程升级服务器。

所述步骤2包括如下步骤：

步骤2.1，所述车载终端向所述车辆待升级模块查询模块版本信息，并将查询到的模块版本信息发送给所述远程升级服务器；

步骤2.2，所述远程升级服务器根据所述模块版本信息查找有无对应的经过签名和加密的车辆升级数据，若有则进行下一步，否则向所述车载终端返回不需要升级的信息后终止升级流程；

步骤2.3，所述远程升级服务器将查找到的对应的经过签名和加密的车辆升级数据返回给所述车载终端；

步骤2.4，所述车载终端向所述密钥服务器发送所述模块版本信息；

步骤2.5，所述密钥服务器向所述车载终端返回所述模块版本信息对应的加密密钥因子；

步骤2.6，所述车载终端在收到所述加密密钥因子后，调用所述安全模块计算获得加密密钥。

所述步骤3包括如下步骤：

步骤3.1，所述车载终端将经过签名和加密的所述车辆升级数据发送给所述车辆待升级模块；

步骤3.2，所述车辆待升级模块调用所述安全模块使用所述加密密钥解密得到所述车辆升级数据的明文，并对所述车辆升级数据进行数字签名的验证；若解密不正确或数字签名验证未通过，则终止升级流程；

步骤3.3，所述车辆待升级模块根据所述车辆升级数据进行升级，并将升级结果返回给所述车载终端。

在其他实施例中，所述车辆升级数据包括车辆升级程序包和车辆升级策略。在步骤1.4中，所述的使用所述升级包安全处理模块内置的私钥对所述车辆升级数据进行数字签名具体是指使用所述升级包安全处理模块内置的私钥对所述的车辆升级策略进行数字签名；使用所述加密密钥加密所述车辆升级数据具体是指使用所述加密密钥对所述的车辆升级程序包和所述被数字签名后的车辆升级策略进行加密。在步骤3.2中，所述车辆待升级模块调用所述安全模块使用所述加密密钥解密得到所述车辆升级数据明文具体是指使用所述加密密钥对所述的车辆升级程序包和所述被数字签名后的车辆升级策略进行解密；对所述车辆升级数据进行数字签名的验证具体是指对所述被数字签名后的车辆升级策略进行数字签名的验证。

进一步的，所述步骤1.3中获得加密密钥的方法可以是：所述升级包安全处理模块使用其内预置的共享密钥，通过摘要算法对所述加密密钥因子进行摘要计算，将获得的摘要值作为所述加密密钥。所述步骤2.6中获得加密密钥的方法可以是：所述安全模块使用其内预置的共享密钥，通过摘要算法对所述加密密钥因子进行摘要计算，将获得的摘要值作为所述加密密钥，所述加密密钥存储于所述安全模块中。其中，所述摘要算法包括SM1和SHA256。

最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制；尽管参照较佳实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换；而不脱离本发明技术方案的精神，其均应涵盖在本发明请求保护的技术方案范围当中。