一种安全升级方法、装置、服务器、设备和介质与流程

本发明实施例涉及设备升级技术领域，尤其涉及一种安全升级方法、装置、服务器、设备和介质。

背景技术：

基于软件驱动的物联网嵌入式设备需要通过空中下载技术(overtheairtechnology，ota)的方式定期的发布软件更新，以提供新的软件功能，或者解决软件运行过程中出现的缺陷和问题。

参见图1，现有技术中软件升级方案可以描述为：

待升级设备发送升级请求给升级服务器，由升级服务器来检测是否有新的升级包；

如果有，那么待升级设备接收升级服务器返回的新版本升级包的信息；

待升级设备基于新版本升级包的信息，向升级服务器发送下载升级包的请求；

待升级设备接收升级服务器返回的，经通信通道以明文的形式传输的升级包；

待升级设备基于接收的升级包进行升级。

发明人在实现本发明的过程中发现，现有技术存在如下缺陷：

在待升级设备接收升级服务器返回的，经通信通道以明文的形式传输的升级包的过程中，升级包传输的安全性依赖于通信通道的安全。如果通信通道是不安全的，那么升级包中的升级程序或升级镜像，都会明文暴露出来，从而违反了保密性的原则。此外，升级包中有关用户的隐私信息也可能会泄露。

技术实现要素：

本发明实施例提供一种安全升级方法、装置、服务器、设备和介质，以实现升级包在通信通道中的安全传输。

第一方面，本发明实施例提供一种安全升级方法，该方法包括：

响应于待升级设备下载升级包的请求，通过通信通道将加密升级包和加密秘钥信息发送给所述待升级设备，以使得所述待升级设备根据所述加密升级包和所述加密秘钥信息完成升级；

其中，所述加密升级包通过如下方式获得：基于对称加密算法，利用第一加密秘钥对升级包进行加密；所述加密秘钥通过如下方式获得：基于非对称加密算法，利用所述待升级设备的公钥对所述第一加密秘钥进行加密。

本发明实施例通过基于对称加密算法，利用第一加密密钥对大数据量的升级包进行加密，然后基于非对称加密算法，利用待升级设备的公钥对第一加密密钥进行加密。从而实现对升级包的双重加密。使得升级包在传输过程中的保密性更强，更难以被逆向，保证了升级包中用户的隐私信息不被泄漏。

第二方面，本发明实施例还提供了另一种安全升级方法，应用于待升级设备，该方法包括：

接收升级服务器发送的加密升级包和加密密钥信息；

利用所述待升级设备的私钥对所述加密密钥信息进行解密，生成第一加密密钥；

根据所述第一加密密钥，对所述加密升级包进行解密，生成升级包明文；

根据所述升级包明文进行升级。

本发明实施例通过接收由基于对称加密算法和非对称加密算法加密的升级包，并根据该加密的升级包进行设备的升级。因为升级包以加密的形式，在传输过程中的保密性强，难以被逆向。所以保证了接收到的升级包的安全性。从而提高了待升级设备基于该升级包升级的准确性和安全性。

第三方面，本发明实施例还提供了一种安全升级装置，该装置包括：

发送模块，用于

响应于待升级设备下载升级包的请求，通过通信通道将加密升级包和加密秘钥信息发送给所述待升级设备，以使得所述待升级设备根据所述加密升级包和所述加密秘钥信息完成升级；

其中，所述加密升级包通过如下方式获得：基于对称加密算法，利用第一加密秘钥对升级包进行加密；所述加密秘钥通过如下方式获得：基于非对称加密算法，利用所述待升级设备的公钥对所述第一加密秘钥进行加密。

第四方面，本发明实施例还提供了另一种安全升级装置，该装置包括：

接收模块，用于接收升级服务器发送的加密升级包和加密密钥信息；

密钥解密模块，用于利用所述待升级设备的私钥对所述加密密钥信息进行解密，生成第一加密密钥；

升级包解密模块，用于根据所述第一加密密钥，对所述加密升级包进行解密，生成升级包明文；

升级模块，用于根据所述升级包明文进行升级。

第五方面，本发明实施例还提供了一种升级服务器，所述升级服务器包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如本发明实施例中任一所述的安全升级方法。

第六方面，本发明实施例还提供了一种待升级设备，所述待升级设备包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如本发明实施例中任一所述的安全升级方法。

第七方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如权本发明实施例中任一所述的安全升级方法。

附图说明

图1为现有技术中升级方法的信令图；

图2为本发明实施例一提供的一种安全升级方法的流程图；

图3为本发明实施例二提供的一种安全升级方法的流程图；

图4为本发明实施例三提供的一种安全升级方法的信令图；

图5为本发明实施例三提供的另一种安全升级方法的信令图；

图6为本发明实施例三提供的设备信息的结构示意图；

图7为本发明实施例三提供的安全升级包的主体的加密示意图；

图8为本发明实施例三提供的安全升级包的头部的加密示意图；

图9为本发明实施例三提供的另一种待升级设备基于安全升级包进行升级的流程图；

图10为本发明实施例三提供的另一种安全升级方法的信令图；

图11是本发明实施例四提供的一种安全升级装置的结构示意图；

图12是本发明实施例五提供的一种安全升级装置的结构示意图；

图13为本发明实施例六提供的一种终端的结构示意图；

图14为本发明实施例七提供的一种待升级设备的结构示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。

实施例一

图2为本发明实施例一提供的一种安全升级方法的流程图。本实施例可适用于对待升级设备进行升级的情况。该方法可以由一种安全升级装置来执行，典型的该装置可以是升级服务器。参见图2，本实施例提供的安全升级方法包括：

s110、接收待升级设备下载升级包的请求。

其中，待升级设备可以是任意需要下载升级包实现升级的设备，典型的可以是智能终端，例如移动智能终端、车载智能终端、智能电视和可穿戴设备等。

升级包是待升级设备进行系统升级所需的升级包，或者是待升级设备内某些应用进行升级所需的升级包。

s120、响应于待升级设备下载升级包的请求，通过通信通道将加密升级包和加密秘钥信息发送给所述待升级设备，以使得所述待升级设备根据所述加密升级包和所述加密秘钥信息完成升级。

其中所述加密升级包基于对称加密算法，利用第一加密密钥对升级包进行加密生成，所述加密密钥信息基于非对称加密算法，利用所述待升级设备的公钥将所述第一加密密钥进行加密生成。

具体的，待升级设备可以基于升级服务器发送的升级包的下载地址，请求下载升级包。

在对称加密算法中，使用的密钥只有一个，在本实施例中该密钥为第一加密密钥。作为发送方的升级服务器使用第一加密密钥对升级包进行加密。作为接收方的待升级设备使用第一加密密钥对加密的升级包进行解密。

第一加密密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的参数。

可选的，对称加密算法具体可以是des算法、3des算法、tdea算法、blowfish算法、rc5算法和idea算法中的任意一种。

非对称加密算法需要一对密钥，该对密钥包括公钥和私钥。公钥是密钥对中公开的部分，私钥则是非公开的部分。如果用公钥加密，则需要用对应的私钥进行解密。或者，用私钥加密，用对应的公钥进行解密。

在本实施例中利用待升级设备的公钥对第一加密密钥进行加密，生成加密密钥信息；然后由待升级设备利用待升级设备的私钥对加密密钥信息进行解密，得到第一加密密钥。

可选的，非对称加密算法具体可以是rsa算法、elgamal算法或背包算法。

可选的，上述升级包进行加密的过程可以由第三方执行，也可以是由升级服务器执行。具体的，当升级包进行加密的过程由升级服务器执行时，上述升级包进行加密的过程可以发生在，升级服务器响应待升级设备下载升级包的请求时；也可以发生在升级服务器响应待升级设备请求升级时。本实施例对此并不进行任何限制。

本发明实施例的技术方案，通过基于对称加密算法，利用第一加密密钥对大数据量的升级包进行加密，然后基于非对称加密算法，利用待升级设备的公钥对第一加密密钥进行加密。从而实现对升级包的双重加密。使得升级包在传输过程中的保密性强，难以被逆向。即便在传输的通信通道是非安全的情况下，因为升级包的双重加密，所以很难被恶意攻击破解出升级包明文，从而保证了升级包中用户的隐私信息不被泄漏。

此外，本实施例中将第一加密密钥一起加密发送给待升级设备，从而无需要求作为发送方的升级服务器和作为接收方的待升级设备事先必须知道加密密钥。此外，对称加密算法具有算法公开、计算量小、加密速度快和加密效率高的特点，因此利用对称加密算法可以实现对大数据量的升级包的快速加密。

需要说明的是，现有技术中升级程序没有针对特定的设备进行授权，多个设备的升级程序可以相互拷贝安装。这样会导致如下风险：如果非法的破解了一台设备的升级包，那么就有可能利用该升级包的漏洞，对利用该升级包进行升级的一批设备进行安全攻击。

为避免上述风险，在响应待升级设备下载升级包的请求，将加密升级包和加密密钥信息经通信通道发送给所述待升级设备，由所述待升级设备根据所述加密升级包和所述加密密钥信息进行升级，其中所述加密升级包基于对称加密算法，利用第一加密密钥对升级包进行加密生成，所述加密密钥信息基于非对称加密算法，利用所述待升级设备的公钥将所述第一加密密钥进行加密生成之前，还可以包括：

接收所述待升级设备发送的请求，其中所述请求至少包括所述待升级设备的个性化信息，所述个性化信息为能唯一标识所述待升级设备的信息；

根据所述个性化信息，确定授权所述待升级设备的升级包。

其中，个性化信息可以是设备id、设备的cpu的id和其他唯一标识所述待升级设备的信息中的至少一种。

具体的，升级包可以由第三方或升级服务器根据个性化信息预先制作完成，并存储在升级服务器中。升级服务器将获取的待升级设备的个性化信息与存储的升级包中设备的个性化信息进行匹配，将匹配一致的升级包确定为授权所述待升级设备的升级包。

为实现对请求发送方的身份的认证，在根据所述个性化信息，确定授权所述待升级设备的升级包之前，还包括：

根据所述请求中所述待升级设备的数字证书对所述待升级设备进行认证。

为确保设备的个性化信息在从待升级设备端发送至升级服务器的过程中没有被篡改，在根据所述个性化信息，确定授权所述待升级设备的升级包之前，还可以包括：

基于所述请求中所述个性化信息的数字签名对所述个性化信息进行验证。

具体的，验证过程可以描述为：利用设定密钥对所述个性化信息的数字签名进行解密，生成个性化信息的第三摘要信息；

利用设定摘要提取算法，对接收的个性化信息的明文进行摘要提取，生成第四摘要信息；

若所述第三摘要信息与所述第四摘要信息不一致，则说明接收到的个性化信息已经被篡改，因此放弃本次升级；

若所述第三摘要信息与所述第四摘要信息一致，则说明接收到的个性化信息没有被篡改，继续执行本次升级操作。

典型的，设定密钥可以是待升级设备的公钥，从而同时可以实现对待升级设备的身份认证。设定摘要提取算法可以是hash算法。

实施例二

图3为本发明实施例二提供的一种安全升级方法的流程图。本实施例在上述实施例的基础上，从待升级设备为执行主体的角度提出的一种可选方案。参见图3，本实施例提供的安全升级方法包括：

s210、接收升级服务器发送的加密升级包和加密密钥信息。

其中，升级服务器为待升级设备发送下载升级包请求的服务器。加密升级包是经过加密的升级包。加密密钥信息是利用待升级设备的公钥对第一加密密钥进行加密后的加密信息。

s220、利用所述待升级设备的私钥对所述加密密钥信息进行解密，生成第一加密密钥。

其中，待升级设备的公钥和待升级设备的私钥构成了非对称加密算法中的一对密钥。

s230、根据所述第一加密密钥，对所述加密升级包进行解密，生成升级包明文。

可以理解的是，加密升级包的加密算法是对称加密算法，其加密密钥和解密密钥是同一密钥。因此，利用第一加密密钥可以实现对加密升级包的解密。

s240、根据所述升级包明文进行升级。

可选的，根据所述升级包明文可以对所述待升级设备的系统进行升级，也可以对待升级设备内某些应用的升级。

本发明实施例的技术方案，通过接收由基于对称加密算法和非对称加密算法加密的升级包，并根据该加密的升级包进行设备的升级。因为升级包以加密的形式，在传输过程中的保密性强，难以被逆向。所以保证了接收到的升级包的安全性。从而提高了待升级设备基于该升级包升级的准确性和安全性。

为实现对升级包发送方身份的认证，在根据所述第一加密密钥，对所述加密升级包进行解密，生成升级包明文之前，还可以包括：

从解密的所述加密密钥信息中获取所述升级服务器的数字证书；

基于所述升级服务器的数字证书对所述升级服务器进行认证。

为确保升级包在传输过程中没有被篡改，在根据所述升级包明文进行升级之前，还可以包括：

利用所述升级包明文中升级包的数字签名，对所述升级包明文中的升级包或升级镜像进行验证。

为实现对升级包的发送方(即升级服务器)的身份验证，利用所述升级包明文中升级包的数字签名，对所述升级包明文中的升级包或升级镜像进行验证，可以包括：

利用所述升级服务器的公钥对所述升级包的数字签名或所述升级镜像的数字签名进行解密，生成第一摘要信息；

利用设定摘要提取算法，对所述升级包或所述升级镜像进行摘要提取，生成第二摘要信息；

若所述第一摘要信息与所述第二摘要信息不一致，则放弃本次升级；

若所述第一摘要信息与所述第二摘要信息一致，则说明升级包或升级镜像没有被篡改，继续执行本次升级操作。

为防止攻击者通过对设备进行低版本的升级，然后基于低版本系统已知的漏洞对设备进行安全攻击。在根据所述第一加密密钥，对所述加密升级包进行解密，生成升级包明文之前，还可以包括：

从解密的所述加密密钥信息中获取防重放因子；

将所述防重放因子与存储的已升级的升级包的防重放因子进行比较；

若相同，则放弃本次升级。

其中，若所述升级包明文中的防重放因子与存储的已升级的升级包明文中的防重放因子相同，则表明该升级包为已经升级过的低版本升级包，因此需要放弃基于该升级包的升级操作，从而避免升级回原先存在漏洞的低版本，进而减少攻击者对设备攻击的可能性。具体的，防重放因子可以是设备端生成的随机数，也可以是加密升级包的对称密钥的摘要值，还可以是其他唯一标识升级包的信息。

可选的，本实施例中对利用升级服务器的数字证书对升级服务器的认证的步骤的执行顺序和将获取的防重放因子与已升级的升级包的防重放因子进行比较的步骤的执行顺序不做限定，两者的执行顺序也可以颠倒。此外，升级服务器的数字证书和防重放因子也可以封装在升级包明文中。

实施例三

图4为本发明实施例三提供的一种安全升级方法的信令图。本实施例在上述实施例的基础上，从待升级设备和升级服务器的角度提出的一种可选方案。参见图4，本实施例提供的安全升级方法包括：

待升级设备获取自身的个性化信息，基于所述个性化信息发送请求给升级服务器。

升级服务器响应待升级设备的请求，根据所述请求中待升级设备的数字证书对待升级设备进行认证，其中如果认证成功，那么继续执行下述步骤，否则放弃本次升级。

升级服务器基于所述请求中所述个性化信息的数字签名对所述个性化信息进行验证，其中如果验证成功，那么继续执行下述步骤，否则放弃本次升级。

升级服务器根据所述请求中的所述个性化信息，确定授权待升级设备的加密升级包和加密密钥信息，并发送所述加密升级包的相关信息给待升级设备。

其中，升级服务器基于对称加密算法，利用第一加密密钥对授权待升级设备的升级包进行加密，生成加密升级包；升级服务器基于非对称加密算法，利用待升级设备的公钥将所述第一加密密钥进行加密，生成加密密钥信息。

待升级设备根据接收的所述加密升级包的相关信息，发送下载所述加密升级包的请求给升级服务器。

升级服务器响应待升级设备下载升级包的请求，将所述加密升级包和所述加密密钥信息发送给待升级设备。

待升级设备利用待升级设备的私钥对所述加密密钥信息进行解密，生成第一加密密钥；

待升级设备基于从解密的所述加密密钥信息中获取的所述升级服务器的数字证书，对所述升级服务器进行认证；

待升级设备将从解密的所述加密密钥信息中获取的防重放因子与存储的已升级的升级包的防重放因子进行比较，其中如果相同，那么放弃本次升级，否则继续执行下述操作；

待升级设备根据所述第一加密密钥，对所述加密升级包进行解密，生成升级包明文；

待升级设备利用升级服务器的公钥对所述升级包明文中升级包的数字签名进行解密，生成所述升级包的第一摘要信息；

待升级设备利用设定摘要提取算法，对所述升级包明文中升级包的明文进行摘要提取，生成第二摘要信息；

待升级设备比较所述第一摘要信息与所述第二摘要信息，其中如果不一致，那么放弃本次升级，否则继续执行下述操作；

待升级设备根据所述升级包的明文对待升级设备进行升级。

需要说明的是，本实施例中在升级服务器端，对待升级设备的数字证书的认证的步骤和对个性化信息的数字签名的验证的步骤的执行顺序不做限定。可选的，也可以先对个性化信息的数字签名进行验证，后对待升级设备的数字证书进行认证。

类似的，在待升级设备端，对升级服务器的数字证书的认证的步骤，对防重放因子的比较的步骤，以及对升级包的数字签名的验证的步骤的执行顺序同样不做限定。

本发明实施例的技术方案，通过利用待升级设备的个性化信息，确定授权所述待升级设备的升级包。从而实现对待升级设备的升级包的单独签发。进而解决非法的破解了一台设备的升级包，从而导致对利用该升级包进行升级的一批设备进行安全攻击的问题。

通过升级服务器对待升级设备的数字证书的认证，和待升级设备对升级服务器的数字证书的认证，从而实现了接收方和发送方身份的双向认证。

通过对升级包和个性化信息的数字签名的验证，确保了升级包和个性化信息在传输过程中没有被篡改。同时利用发送方的公钥对数字签名进行解密，实现了对发送方身份的验证。

通过防重放因子的比较，从而避免待升级设备对存在安全漏洞的低版本的重复升级。

综上所述，本实施例从升级服务器、升级包传输路径和待升级设备三个方面，针对现有安全攻击风险均增加了相应的安全措施，从而提高了设备升级的安全性。

参见图5，在实际应用中，上述安全升级方法可以描述为：

待升级设备获取其自身的设备信息，参见图6其中设备信息包括个性化信息、个性化信息的数字签名和待升级设备的数字证书；

待升级设备将设备信息添加至升级请求中；

升级服务器接收上述升级请求，利用设备信息中个性化信息的数字签名验证个性化信息不被篡改，同时利用设备信息中待升级设备的数字证书对待升级设备进行身份认证；

升级服务器根据设备信息中个性化信息，确定授权待升级设备的升级镜像或升级包；

升级服务器根据设备信息和待升级设备的升级镜像或升级包，构造安全升级包；

升级服务器更新安全升级包相关信息(比如说升级包的url链接)并发送给待升级设备；

待升级设备根据提供的安全升级包相关信息，请求下载安全升级包；

待升级设备基于接收的安全升级包进行升级。

具体的，升级服务器根据设备信息和待升级设备的升级镜像或升级包，构造安全升级包的过程可以描述为：参见图7，将待升级设备的升级镜像或升级包，以及升级镜像或升级包的数字签名作为安全升级包的主体；基于对称加密算法利用随机密钥对上述主体进行加密，生成加密主体；参见图8，将设备信息、防重放因子、加密升级包的随机密钥、头部数字签名和升级服务器的数字证书构成安全升级包的头部，其中头部数字签名是对设备信息、防重放因子、加密升级包的随机密钥和升级服务器的数字证书的签名；基于非对称加密算法，利用待升级设备的公钥对上述头部的信息进行加密，生成加密头部；将上述加密头部和上述加密主体构成安全升级包。

典型的，参见图9，待升级设备基于安全升级包进行升级可以描述为：利用待升级设备的私钥解密安全升级包中的加密头部；利用头部中升级服务器的数字证书，对升级服务器进行验证；利用升级服务器的公钥解密头部数字签名，并对头部信息进行防篡改验证；根据头部中的设备信息中个性化信息与待升级设备的个性化信息进行比较，验证安全升级包是针对该设备的升级包；从头部中取出加密升级包的随机密钥，并用该随机密钥对安全升级包中的加密主体进行解密，得到主体；利用主体中升级包或升级镜像的数字签名对升级包或升级镜像进行验证；在验证升级包或升级镜像没有被篡改后，利用升级包或升级镜像对待升级设备进行升级。

然而，因为每次待升级设备的升级请求都会在升级服务器端进行数字签名的认证和加解密等加密学运算，所以针对不同设备进行升级包的单独授权签发，会对升级服务器的运算能力和负载能力有比较大的要求。因此，可以通过配置一批待升级设备一个统一的数字证书，以及统一的设备信息。例如，第一设备和第二设备是同一批次的，则其设备信息是一样的，二者设备的数字证书也是一样的。升级服务器针对二者制作的安全升级包也是一样的。此外一个批次的设备的安全升级包也是一样的，这样就大大减少了服务器的运算压力和存储压力。但这样的方案安全性就会有少许降低，不能抵挡黑客等不法分子的差异化攻击。

还有一种升级场景，升级镜像或升级包提供方和升级服务器不是同一方。例如目前在车联网设备中，车机和tbox等的原始升级镜像是整车厂商的第一供应商提供。整车厂商已经掌控整个设备的升级逻辑和传输协议。这种情况下，整车厂商是不可能对于在车机原始升级逻辑外的设备信息进行处理，也不会在升级服务器端做升级镜像或升级包的安全处理。因此，原始升级镜像就需要在第一供应商那里进行升级包的加密等安全处理，具体如下：

参见图10，第一供应商应用上述安全升级方法对升级包进行安全处理，将最终处理好的安全升级包发送给升级服务器存储和管理。待升级设备在接收到安全升级包之后，基于安全升级包进行安全校验和升级。升级过程中的其它的流程跟现有技术中的升级流程完全没有区别，不修改原有的升级服务器和设备之间的升级逻辑和相关升级协议。

需要说明的是，经过本实施例的技术教导，本领域技术人员有动机将上述实施例中描述的任一种实施方式进行方案的组合，以实现对设备的安全升级。

实施例四

图11是本发明实施例四提供的一种安全升级装置的结构示意图。参见图11，本实施例提供的安全升级装置包括：发送模块10。

其中，发送模块10，用于响应于待升级设备下载升级包的请求，通过通信通道将加密升级包和加密秘钥信息发送给所述待升级设备，以使得所述待升级设备根据所述加密升级包和所述加密秘钥信息完成升级；

其中，所述加密升级包通过如下方式获得：基于对称加密算法，利用第一加密秘钥对升级包进行加密；所述加密秘钥通过如下方式获得：基于非对称加密算法，利用所述待升级设备的公钥对所述第一加密秘钥进行加密。

本发明实施例的技术方案，通过基于对称加密算法，利用第一加密密钥对大数据量的升级包进行加密，然后基于非对称加密算法，利用待升级设备的公钥对第一加密密钥进行加密。从而实现对升级包的双重加密。使得升级包在传输过程中的保密性强，难以被逆向。即便在传输的通信通道是非安全的情况下，因为升级包的双重加密，所以很难被恶意攻击破解出升级包明文，从而保证了升级包中用户的隐私信息不被泄漏。

进一步的，所述安全升级装置还包括：信息接收模块和升级包确定模块。

其中，信息接收模块，用于接收所述待升级设备发送的请求，其中所述请求至少包括所述待升级设备的个性化信息，所述个性化信息为能唯一标识所述待升级设备的信息；

升级包确定模块，用于根据所述个性化信息，确定授权所述待升级设备的升级包。

进一步的，所述安全升级装置还包括：设备认证模块。

其中，设备认证模块，用于在根据所述个性化信息，确定授权所述待升级设备的升级包之前，根据所述请求中所述待升级设备的数字证书对所述待升级设备进行认证。

实施例五

图12是本发明实施例五提供的一种安全升级装置的结构示意图。参见图12，本实施例提供的安全升级装置包括：接收模块20、密钥解密模块30、升级包解密模块40和升级模块50。

其中，接收模块20，用于接收升级服务器发送的加密升级包和加密密钥信息；

密钥解密模块30，用于利用所述待升级设备的私钥对所述加密密钥信息进行解密，生成第一加密密钥；

升级包解密模块40，用于根据所述第一加密密钥，对所述加密升级包进行解密，生成升级包明文；

升级模块50，用于根据所述升级包明文进行升级。

本发明实施例的技术方案，通过接收由基于对称加密算法和非对称加密算法加密的升级包，并根据该加密的升级包进行设备的升级。因为升级包以加密的形式，在传输过程中的保密性强，难以被逆向。所以保证了接收到的升级包的安全性。从而提高了待升级设备基于该升级包升级的准确性和安全性。

进一步地，所述安全升级装置还包括：数字证书获取模块和服务器认证模块。

其中，数字证书获取模块，用于在根据所述第一加密密钥，对所述加密升级包进行解密，生成升级包明文之前，从解密的所述加密密钥信息中获取所述升级服务器的数字证书；

服务器认证模块，用于基于所述升级服务器的数字证书对所述升级服务器进行认证。

进一步地，所述安全升级装置还包括：升级包验证模块。

其中，升级包验证模块，用于在根据所述升级包明文进行升级之前，利用所述升级包明文中升级包的数字签名，对所述升级包明文中的升级包或升级镜像进行验证。

进一步地，升级包验证模块包括：签名解密单元、摘要生成单元和匹配单元。

其中，签名解密单元，用于利用所述升级服务器的公钥对所述升级包的数字签名或所述升级镜像的数字签名进行解密，生成第一摘要信息；

摘要生成单元，用于利用设定摘要提取算法，对所述升级包或所述升级镜像进行摘要提取，生成第二摘要信息；

匹配单元，用于若所述第一摘要信息与所述第二摘要信息不一致，则放弃本次升级。

进一步地，所述安全升级装置还包括：因子获取模块、防重放比较模块和比较执行模块。

其中，因子获取模块，用于在根据所述第一加密密钥，对所述加密升级包进行解密，生成升级包明文之前，从解密的所述加密密钥信息中获取防重放因子；

防重放比较模块，用于将所述防重放因子与存储的已升级的升级包的防重放因子进行比较；

比较执行模块，用于若相同，则放弃本次升级。

实施例六

图13为本发明实施例六提供的一种升级服务器的结构示意图。图13示出了适于用来实现本发明实施方式的示例性升级服务器121的框图。图13显示的升级服务器121仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图13所示，升级服务器121以通用计算设备的形式表现。升级服务器121的组件可以包括但不限于：一个或者多个处理器或者处理单元161，系统存储器281，连接不同系统组件(包括系统存储器281和处理单元161)的总线181。

总线181表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(isa)总线，微通道体系结构(mac)总线，增强型isa总线、视频电子标准协会(vesa)局域总线以及外围组件互连(pci)总线。

升级服务器121典型地包括多种计算机系统可读介质。这些介质可以是任何能够被升级服务器121访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。

系统存储器281可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(ram)301和/或高速缓存存储器321。升级服务器121可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统341可以用于读写不可移动的、非易失性磁介质(图13未显示，通常称为“硬盘驱动器”)。尽管图13中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如cd-rom,dvd-rom或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线181相连。存储器281可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明各实施例的功能。

具有一组(至少一个)程序模块421的程序/实用工具401，可以存储在例如存储器281中，这样的程序模块421包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块421通常执行本发明所描述的实施例中的功能和/或方法。

升级服务器121也可以与一个或多个外部设备141(例如键盘、指向设备、显示器241等)通信，还可与一个或者多个使得用户能与该升级服务器121交互的设备通信，和/或与使得该升级服务器121能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口221进行。并且，升级服务器121还可以通过网络适配器201与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器201通过总线181与升级服务器121的其它模块通信。应当明白，尽管图中未示出，可以结合升级服务器121使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。

处理单元161通过运行存储在系统存储器281中的程序，从而执行各种功能应用以及数据处理，例如实现本发明实施例所提供的安全升级方法，该方法包括：

响应待升级设备下载升级包的请求，将加密升级包和加密密钥信息经通信通道发送给所述待升级设备，由所述待升级设备根据所述加密升级包和所述加密密钥信息进行升级，其中所述加密升级包基于对称加密算法，利用第一加密密钥对升级包进行加密生成，所述加密密钥信息基于非对称加密算法，利用所述待升级设备的公钥将所述第一加密密钥进行加密生成。

实施例七

图14为本发明实施例七提供的一种待升级设备的结构示意图。图14示出了适于用来实现本发明实施方式的示例性待升级设备122的框图。图14显示的待升级设备122仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图14所示，待升级设备122以通用计算设备的形式表现。待升级设备122的组件可以包括但不限于：一个或者多个处理器或者处理单元162，系统存储器282，连接不同系统组件(包括系统存储器282和处理单元162)的总线182。

总线182表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(isa)总线，微通道体系结构(mac)总线，增强型isa总线、视频电子标准协会(vesa)局域总线以及外围组件互连(pci)总线。

待升级设备122典型地包括多种计算机系统可读介质。这些介质可以是任何能够被待升级设备122访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。

系统存储器282可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(ram)302和/或高速缓存存储器322。待升级设备122可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统342可以用于读写不可移动的、非易失性磁介质(图14未显示，通常称为“硬盘驱动器”)。尽管图14中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如cd-rom,dvd-rom或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线182相连。存储器282可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明各实施例的功能。

具有一组(至少一个)程序模块422的程序/实用工具402，可以存储在例如存储器282中，这样的程序模块422包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块422通常执行本发明所描述的实施例中的功能和/或方法。

待升级设备122也可以与一个或多个外部设备142(例如键盘、指向设备、显示器242等)通信，还可与一个或者多个使得用户能与该待升级设备122交互的设备通信，和/或与使得该待升级设备122能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口222进行。并且，待升级设备122还可以通过网络适配器202与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器202通过总线182与待升级设备122的其它模块通信。应当明白，尽管图中未示出，可以结合待升级设备122使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。

处理单元162通过运行存储在系统存储器282中的程序，从而执行各种功能应用以及数据处理，例如实现本发明实施例所提供的安全升级方法，该方法包括：

接收升级服务器发送的加密升级包和加密密钥信息；

利用所述待升级设备的私钥对所述加密密钥信息进行解密，生成第一加密密钥；

根据所述第一加密密钥，对所述加密升级包进行解密，生成升级包明文；

根据所述升级包明文进行升级。

实施例八

本发明实施例八还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现本发明实施例中任一所述的安全升级方法。

本发明实施例的计算机存储介质，可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于无线、电线、光缆、rf等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言—诸如”c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。