一种服务型网关升级方法与流程

1.本发明涉及信息安全领域，特别是涉及一种服务型网关升级方法。


背景技术：

2.随着汽车自动化、智能化和网联化的持续发展，各个车载控制器的软件更新功能逐步成为一种必备功能，特别是空中下载技术(ota，over-the-air)可以通过车载通信终端的4g或5g通信实现车载控制器软件的远程升级，不需要到车辆服务站就可完成软件问题的修复和软件功能更新。车载服务型网关控制器一般采用微控制器作为主控芯片，对于内置单块程序存储器的主控芯片，采用非后台下载方式，即升级包的下载需要跳转到引导程序进行，只能采用单区模式，先擦除当前应用程序，再下载新的应用程序，下载过程不能提供网关功能；对于内置两块程序存储器或者内置一块程序存储器加外置一块程序存储器的主控芯片，可以采用后台下载方式，在升级包下载过程中不影响网关功能，新的升级包下载到另外一个非有效程序存储器或外置程序存储器中。
3.目前大多数车载服务型网关控制器使用的主控芯片没有内存映射单元mmu，即使内置两块程序存储器也无法实现地址映射，所以采用后台下载方式的升级过程一般为：在升级程序下载完成以后，跳转到引导程序，由引导程序擦除当前应用程序，读取升级程序并写入到应用程序存储空间。因此，目前的车载服务型网关控制器的软件架构如图1所示，包括引导程序和应用程序，应用程序根据功能可划分为基础软件程序、应用软件程序和路由表配置数据。
4.现有技术中，车载服务型网关控制器升级过程一般为，在引导程序中验证升级程序的签名，签名验证通过以后设置应用程序有效标志，然后执行软件复位，启动时判断应用程序有效标志，如果应用程序有效则跳转到应用程序运行。现有的车载服务型网关控制器的升级时间较长，升级过程中无法提供网关功能，影响车辆的正常使用，用户体验感较差。升级以后如果应用程序无法正常运行，不能实现自动识别并回滚到上一版本软件，不能保证升级以后的网关功能仍正常运行。此外，为了保证车载服务型网关控制器的启动性能，其在引导程序中只判断应用程序有效标志，不能有效识别应用程序被篡改，车载服务型网关控制器软件安全性无法得到保证。


技术实现要素：

5.针对上述技术问题，本发明采用的技术方案为：
6.一种服务型网关升级方法，应用于网关升级系统，所述网关升级系统包括主控制器模块、硬件加密模块和实时时钟模块，硬件加密模块和实时时钟模块连接主控制器模块，硬件加密模块用于执行硬件加密操作，实时时钟模块用于执行计时操作；
7.主控制器模块内不包括内存映射单元，主控制器模块包括启动存储器、第一内置存储器、第二内置存储器和数据存储器，启动存储器用于存储网关预引导程序；将第一内置存储器和第二内置存储器中的一个标记为有效分区，另一个标记为无效分区，第一内置存
储器和第二内置存储器用于存储引导程序、随机抽样数据、基础软件程序、应用软件程序和路由表配置数据，第一内置存储器和第二内置存储器的其中一个在执行擦除或写入操作时，不影响另一个的读取操作；数据存储器用于存储网关的运行参数；
8.硬件加密模块包括加密算法处理器、程序存储器和安全存储器，安全存储器用于存储非对称加/解密算法公钥数据、加密算法密钥数据、引导程序对应的引导程序签名、随机抽样数据对应的mac值、基础软件程序对应的基础软件程序签名、路由表配置数据对应的路由表配置数据签名、有效分区对应的有效分区标志；
9.所述服务型网关升级方法，包括如下步骤：
10.s100、网关处于首次上电状态时，启动存储器运行网关预引导程序；
11.s200、网关预引导程序校验当前的有效分区内的引导程序的有效性，并运行当前的有效分区的引导程序；
12.s300、引导程序校验基础软件程序、随机抽样数据和路由表配置数据的有效性，并运行基础软件程序；
13.s400、接收网关的升级请求，通过硬件加密模块获取有效分区标志，确定无效分区的存储空间，通过引导程序擦除无效分区的存储空间，并将无效分区的引导程序签名、基础软件程序签名、路由表配置数据签名、随机抽样数据对应的mac值设置为默认无效值；
14.s500、将引导程序、基础软件程序、应用软件程序和路由表配置数据下载至无效分区中，并下载升级程序和数据签名，硬件加密模块通过非对称加密算法公钥数据和设定加密算法对升级程序和数据签名进行有效性校验；若校验通过，则执行步骤s600；
15.s600、将引导程序、基础软件程序、路由表配置数据的签名值存储至硬件加密模块的当前的无效分区的安全存储器中；
16.s700、对应用软件程序进行随机抽样处理，得到随机抽样数据并存储至无效分区的安全存储器中，硬件加密模块通过加密算法密钥数据和加密算法计算随机抽样数据对应的mac值，并将mac值存储至硬件加密模块中；
17.s800、将硬件加密模块中存储的有效分区标志设置为当前无效分区，运行升级前的程序和数据；当满足网关复位或休眠条件时，执行软件复位操作，返回步骤s200，运行升级后的程序和数据。
18.本发明至少具有以下有益效果：
19.本发明提出的服务型网关升级方法，可在车载控制器的软件更新时实现后台下载，且下载过程不影响网关功能，下载并校验完成后的执行升级时间与软件复位时间相同，可在车载服务型网关控制器休眠或满足复位条件时进行复位完成升级过程，不影响车辆的正常使用，提升了用户的体验感。且在车载服务型网关启动时对各部分软件进行校验，为了保证车载服务型网关控制器的启动性能，对数据量较大的应用软件程序进行随机抽样，可有效识别被篡改的软件，保护车载服务型网关控制器的软件安全；对下载的升级程序和数据进行签名验证，有效防止程序和数据被非法篡改，保障车载服务型网管控制器的软件和数据安全。
附图说明
20.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使
用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
21.图1为现有的车载服务型网关控制器的软件架构示意图；
22.图2为本发明实施例提供的网关升级系统的模块连接示意图；
23.图3为本发明实施例提供的服务型网关升级方法的流程图；
24.图4为本发明判定当前有效分区内的程序和数据运行异常的流程图；
25.图5为本发明的步骤s800之后的方法步骤流程图。
具体实施方式
26.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
27.一种服务型网关升级方法，应用于网关升级系统：
28.如图2所示，所述网关升级系统包括主控制器模块、硬件加密模块和实时时钟模块，硬件加密模块和实时时钟模块连接主控制器模块，硬件加密模块可内置于主控制器模块中，也可通过i2c、spi或uart的通讯方式外部连接主控制器模块，硬件加密模块用于执行硬件加密操作，实现加解密算法的硬件加速，有效缩短应用软件程序的校验时间；实时时钟模块通过i2c或uart的通讯方式连接主控制器模块，实时时钟模块提供计时服务，用于计算程序的运行时间；主控制器模块为网关的mcu处理器，实时时钟模块采用rtc实时时钟芯片进行数据处理。
29.主控制器模块内不包括内存映射单元，主控制器模块包括启动存储器、第一内置存储器、第二内置存储器和数据存储器，启动存储器用于存储网关预引导程序；将第一内置存储器和第二内置存储器中的一个标记为有效分区，另一个标记为无效分区，第一内置存储器和第二内置存储器用于存储引导程序、随机抽样数据、基础软件程序、应用软件程序和路由表配置数据，第一内置存储器和第二内置存储器的其中一个在执行擦除或写入操作时，不影响另一个的读取操作；数据存储器用于存储网关的运行参数；
30.硬件加密模块包括加密算法处理器、程序存储器和安全存储器，安全存储器用于存储非对称加/解密算法公钥数据、加密算法密钥数据、引导程序对应的引导程序签名、随机抽样数据对应的mac值、基础软件程序对应的基础软件程序签名、路由表配置数据对应的路由表配置数据签名、有效分区对应的有效分区标志；
31.有效分区标志为表明当前有效程序存储在主控制器模块的第一内置存储器或第二内置存储器的标志，如有效分区标志默认为0xffffffff或0x00000000，表示没有有效程序，0xa555a555表示当前有效程序存储在第一内置存储器中，0xa5aaa5aa表示当前有效程序存储在第二内置存储器中，其他值则表示无效值。
32.若有效分区标志指向第一内置存储器，则当前无效分区为第二内置存储器；若有效分区标志指向第二内置存储器，则当前无效分区为第一内置存储器。
33.如图3所示，所述服务型网关升级方法，包括如下步骤：
34.s001、将硬件加密模块的程序和非对称加密算法公钥数据、加密算法密钥数据烧录至硬件加密模块中；
35.s002、将网关预引导程序烧录至启动存储器中，并将启动存储器保护选项设置为只读保护模式；
36.s003、将网关的初始版本的引导程序、随机抽样数据、基础软件程序、应用软件程序和路由表配置数据烧录至第一内置存储器和第二内置存储器中，并将两个分区的引导程序签名、随机抽样数据的mac值、基础软件程序签名和路由表配置数据签名通过硬件加密模块安全存储，并设置有效分区标志指向第一内置存储器；
37.步骤s001-s003为车载服务型网关的初始程序烧录步骤，将初始程序烧录至网关后，进行车载服务型网关的升级步骤，所述车载服务型网关安全静默升级步骤为：
38.s100、网关处于首次上电状态时，启动存储器运行网关预引导程序；
39.s200、网关预引导程序校验当前的有效分区内的引导程序的有效性，并运行当前的有效分区的引导程序；
40.s300、引导程序校验基础软件程序、随机抽样数据和路由表配置数据的有效性，并运行基础软件程序；
41.s400、接收网关的升级请求，通过硬件加密模块获取有效分区标志，确定无效分区的存储空间，通过引导程序擦除无效分区的存储空间，并将无效分区的引导程序签名、基础软件程序签名、路由表配置数据签名、随机抽样数据对应的mac值擦除，设置为默认无效值，如全部设置为0xffffffff值；
42.升级请求由外部诊断仪通过车载诊断系统进行身份认证，验证通过后发送诊断请求进入编程会话，或由车载远程升级终端(可以为远程通信终端tbox)执行升级，并发送诊断请求进入编程会话。
43.s500、将引导程序、基础软件程序、应用软件程序和路由表配置数据下载至无效分区中，并下载升级程序和数据签名，硬件加密模块通过非对称加密算法公钥数据和设定加密算法对升级程序和数据签名进行有效性校验；若校验通过，则执行步骤s600；
44.由于主控制器模块没有内置内存映射单元mmu，升级文件包含两个分区空间的程序，所以接收到当前有效分区对应存储器空间的程序时不执行校验和写入，只有接收到当前无效分区程序存储器空间的程序才写入当前无效分区程序存储器空间，下载的引导程序签名值不写入无效分区程序存储器，用于对下载的引导程序进行校验。
45.s600、将引导程序、基础软件程序、路由表配置数据的签名值存储至硬件加密模块的当前的无效分区的安全存储器中；
46.s700、对应用软件程序进行随机抽样处理，得到随机抽样数据并存储至无效分区的安全存储器中，随机抽样处理为随机抽取32kb或其他大小的数据，硬件加密模块通过加密算法密钥数据和加密算法计算随机抽样数据对应的mac值，并将mac值存储至硬件加密模块中，所述加密算法可以为aes128-cmac算法；
47.随机抽样数据和mac值用于安全启动时对应用软件程序的快速校验，防止出现因应用软件程序占用程序存储器空间过大导致校验时间长，从而导致启动性能降低的情况。
48.s800、将硬件加密模块中存储的有效分区标志设置为当前无效分区，运行升级前的程序和数据；当满足网关复位或休眠条件时，执行软件复位操作，返回步骤s200，运行升
级后的程序和数据；
49.如图5所示，所述步骤s800之后，还包括：
50.s910、复位后的网关预引导程序在启动时，获取复位类型并计算上次启动后的运行时间；
51.s920、若复位类型为看门狗复位，且运行时间小于设定的最小运行时间，且连续发生三次，则判定当前有效分区内的程序和数据运行异常，并将硬件加密模块中存储的有效分区的引导程序签名、随机抽样数据对应的mac值、基础软件程序签名、路由表配置数据签名设置为默认无效值，如全部设置为0xff值；
52.如图4所示，所述步骤s920中，判定当前有效分区内的程序和数据运行异常，包括：
53.s921、网关预引导程序启动时获取主控制器模块的复位类型，并获取实时时钟模块的当前时间t0，并存储至数据存储器中；
54.s922、若复位类型为看门狗复位，则执行步骤s923；若复位类型不为看门狗复位，则执行步骤s924；
55.s923、确定看门狗复位的运行时间t＝t
0-t2；其中，t2为在t0前的时间段内，主控制器模块复位时对应的实时时钟模块存储的时间；
56.若t＜t
min
，则执行步骤s925；其中，t
min
为预设的看门狗复位的最小运行时间；
57.s924、将主控制器模块的复位计数值c清零；
58.s925、将主控制模块的复位计数值c加1进行存储；
59.所述步骤s925，包括：
60.s926、若主控制模块的复位计数值c＝c
max
，则判定当前有效分区内的程序和数据运行异常；其中，c
max
为预设的复位状态的最大复位计数值；
61.s930、硬件加密模块校验当前无效分区的程序的有效性；若程序有效，则将硬件加密模块中存储的有效分区标志设置为当前无效分区，执行软件复位操作，切换到当前的有效分区运行，并返回步骤s200，实现软件自动回滚。
62.所述硬件加密模块通过非对称加密算法公钥数据和设定加密算法对升级程序和数据签名进行有效性校验步骤，包括：
63.s510、硬件加密模块通过密码杂凑算法对下载的升级程序和数据进行处理，得到第一哈希值；
64.s520、硬件加密模块通过非对称加密算法公钥数据和设定加密算法对下载的升级程序和数据签名进行解密处理，得到第二哈希值；
65.若第一哈希值与第二哈希值相等，则有效性校验通过；否则，则有效性校验未通过；
66.s530、若第一哈希值与第二哈希值相等，则将引导程序签名、基础软件程序签名、路由表配置数据签名存储至所述硬件加密模块；否则，则下载的引导程序存在被篡改或文件损坏的情况，停止升级。
67.步骤s510中，下载的升级程序和数据包括引导程序、基础软件程序、应用软件程序、路由表配置数据。
68.本发明提出的服务型网关升级方法，可在车载控制器的软件更新时实现后台下载，且下载过程不影响网关功能，下载并校验完成后的执行升级时间与软件复位时间相同，
可在车载服务型网关控制器休眠或满足复位条件时进行复位完成升级过程，不影响车辆的正常使用，提升了用户的体验感。且在车载服务型网关启动时对各部分软件进行校验，为了保证车载服务型网关控制器的启动性能，对数据量较大的应用软件程序进行随机抽样，可有效识别被篡改的软件，保护车载服务型网关控制器的软件安全。
69.此外，尽管在附图中以特定顺序描述了本公开中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。
70.通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
71.在本公开的示例性实施例中，还提供了一种能够实现上述方法的电子设备。
72.所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。
73.根据本发明的这种实施方式的电子设备。电子设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。
74.电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于：上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
75.其中，所述储存器存储有程序代码，所述程序代码可以被所述处理器执行，使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
76.储存器可以包括易失性储存器形式的可读介质，例如随机存取储存器(ram)和/或高速缓存储存器，还可以进一步包括只读储存器(rom)。
77.储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具，这样的程序模块包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。
78.总线可以为表示几类总线结构中的一种或多种，包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
79.电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备交互的设备通信，和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口进行。并且，电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图
所示，网络适配器通过总线与电子设备的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。
80.通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
81.在本公开的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
82.计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
83.可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。
84.可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
85.此外，上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。
86.应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
87.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。