CN116193436A - 一种车机设备ota升级包下发方法及系统 - Google Patents

一种车机设备ota升级包下发方法及系统 Download PDF

Info

Publication number
CN116193436A
CN116193436A CN202310175443.3A CN202310175443A CN116193436A CN 116193436 A CN116193436 A CN 116193436A CN 202310175443 A CN202310175443 A CN 202310175443A CN 116193436 A CN116193436 A CN 116193436A
Authority
CN
China
Prior art keywords
ota
signature
installation package
package
random number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310175443.3A
Other languages
English (en)
Inventor
吴戈
王闯
王敬伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dongfeng Motor Corp
Original Assignee
Dongfeng Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dongfeng Motor Corp filed Critical Dongfeng Motor Corp
Priority to CN202310175443.3A priority Critical patent/CN116193436A/zh
Publication of CN116193436A publication Critical patent/CN116193436A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model

Abstract

本发明公开了一种车机设备OTA升级包下发方法及系统,安全服务平台对OTA安装包进行签名加密操作形成安装包密文;车载终端需要升级OTA时,先生成第一随机数;安全服务平台接收到第一随机数后,生成第二随机数;车载终端对第一随机数和第二随机数进行签名,并发送随机数签名及终端证书链到安全服务平台;安全服务平台校验随机数签名及终端证书链,校验成功后使用终端证书加密安装包密文,并下发安装包密文下载地址及加密秘钥密文到车载终端;车载终端对接收的信息进行校验,校验成功后安装OTA安装包。本发明在安装包下发的过程中,通过车机端随机数RNDC和服务器端随机数RNDS的两次交互协商出OTA升级会话的唯一令牌,避免了重放攻击。

Description

一种车机设备OTA升级包下发方法及系统
技术领域
本发明属于汽车技术领域,具体涉及一种车机设备OTA升级包下发方法及系统。
背景技术
随着软件定义汽车的发展,汽车逐步转变为一个智能化、可拓展、可持续迭代升级的移动电子终端。为实现这一目标,整车在标准操作程序前便预埋了性能超前的硬件,并通过OTA在生命周期中逐步解锁和释放功能和价值。
由于OTA主要通过网络连接升级,因此升级过程中存在一定的安全风险,例如在FOTA流程中存在传输风险和升级包篡改风险,如终端在升级流程中缺少验证机制,黑客可通过网络手段篡改升级包至车辆终端,进而篡改系统,造成行车安全等隐患。
如图1所示,现有技术OTA升级方案对升级包文件进行了加密以及签名,车载终端调用SDK对升级信息进行验签,验签成功后进行升级操作,该方案确保了软件包的完整性和可靠性,但存在以下缺点:
对下发成功后的软件包缺乏安全防护,缺少对接收OTA安装包的车机客户端的身份验证,车机客户端在下载安装包的过程中可能会受到中间人攻击,非法的用户可能以重放的方式从车机请求的地址中重复下载安装包,并安装在其他设备上,或用于拆解分析OTA安装包,导致系统风险。
发明内容
本发明的目的就是为了解决上述背景技术存在的不足,提供一种车机设备OTA升级包下发方法及系统。
本发明采用的技术方案是:一种车机设备OTA升级包下发方法,包括以下步骤:
安全服务平台对OTA安装包进行签名加密操作形成安装包密文;
车载终端需要升级OTA时,先生成第一随机数,并发送至安全服务平台;
安全服务平台接收到第一随机数后,生成第二随机数;
车载终端对第一随机数和第二随机数进行签名,并发送随机数签名及终端证书链到安全服务平台;
安全服务平台校验随机数签名及终端证书链,校验成功后使用终端证书加密安装包密文,并下发安装包密文下载地址及加密秘钥密文到车载终端;
车载终端对接收的信息进行校验,校验成功后安装OTA安装包。
进一步地,所述安全服务平台包括
OTA服务器,用于生成OTA安装包文件,向OTA服务工具包发送OTA安装包文件及签名加密请求;用于构造签名安装包,使用EK加密安装包,形成安装包密文;
OTA服务工具包,用于在接收到签名加密请求后,根据OTA安装包文件计算安装包摘要,并向安全服务器申请安装包签名;用于反馈安装包签名及升级包EK至OTA服务器;
安全服务器,用于接收到申请信息后向签名服务器请安装包签名;用于接收到签名结果后向签名服务器请求生成升级包EK;用于记录安装包签名及升级包EK,反馈安装包签名及升级包EK至OTA服务工具包,
签名服务器,用于对安装包进行签名并反馈签名结果至安全服务器;用于生成升级包EK并反馈至安全服务器。
进一步地,车载终端通过终端证书对第一随机数和第二随机数进行签名。
进一步地,所述校验包括校验安装包摘要并进行解密。
进一步地,所述校验还包括校验OTA证书链和安装包签名。
一种车机设备OTA升级包下发系统,包括
安全服务平台,用于对OTA安装包进行签名及加密操作形成安装包密文;用于在收到第一随机数后生成第二随机数,并反馈第二随机数至车载终端;用于校验随机数签名及终端证书链,校验成功后使用终端证书加密安装包密文,并下发安装包密文下载地址及加密秘钥密文到车载终端;
车载终端,用于在升级OTA时,先生成第一随机数,并发送至安全服务平台;用于对第一随机数和第二随机数进行签名,并发送随机数签名及终端证书链到安全服务平台;用于对接收的信息进行校验,校验成功后安装OTA安装包。
进一步地,所述安全服务平台包括
OTA服务器,用于生成OTA安装包文件,向OTA服务工具包发送OTA安装包文件及签名加密请求;用于构造签名安装包,使用EK加密安装包,形成安装包密文;
OTA服务工具包,用于在接收到签名加密请求后,根据OTA安装包文件计算安装包摘要,并向安全服务器申请安装包签名;用于反馈安装包签名及升级包EK至OTA服务器;
安全服务器,用于接收到申请信息后向签名服务器请安装包签名;用于接收到签名结果后向签名服务器请求生成升级包EK;用于记录安装包签名及升级包EK,反馈安装包签名及升级包EK至OTA服务工具包,
签名服务器,用于对安装包进行签名并反馈签名结果至安全服务器;用于生成升级包EK并反馈至安全服务器。
进一步地,所述终端证书的私钥存储至客户端设备的安全存储区中。
进一步地,所述校验包括校验安装包摘要并进行解密。
更进一步地,所述校验还包括校验OTA证书链和安装包签名。
本发明的有益效果是:
本发明在安装包下发前对车机终端OTA安装包的结构设计采用了签名、加密、摘要相结合的方式,保证了各环节的可靠、可信、安全;在安装包下发的过程中,通过车机端随机数RNDC和服务器端随机数RNDS的两次交互协商出OTA升级会话的唯一令牌,避免了重放攻击。
附图说明
图1为现有技术的示意图。
图2为本发明升级包下发流程示意图。
具体实施方式
下面结合附图对本发明的具体实施方式作进一步说明。在此需要说明的是,对于这些实施方式的说明用于帮助理解本发明,但并不构成对本发明的限定。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以互相结合。
如图2所示,本发明提供一种车机设备OTA升级包下发方法,包括以下步骤:
安全服务平台对OTA安装包进行签名加密操作形成安装包密文;
车载终端需要升级OTA时,先生成第一随机数RNDc,并发送至安全服务平台;
安全服务平台接收到第一随机数后,生成第二随机数RNDs;
车载终端通过终端证书对第一随机数和第二随机数进行签名,并发送随机数签名及终端证书链到安全服务平台;
安全服务平台校验随机数签名及终端证书链,校验成功后使用终端证书加密安装包密文,并下发安装包密文下载地址及加密秘钥密文到车载终端;
车载终端对接收的信息进行校验,校验成功后安装OTA安装包。所述校验包括校验安装包摘要并进行解密、校验OTA证书链和安装包签名。
上述方案中,所述安全服务平台包括OTA服务器、OTA服务工具包、安全服务器和签名服务器,通过这四部分实现对OTA安装包的签名加密操作,各部分实现的功能具体如下:
OTA服务器,用于生成OTA安装包文件,向OTA服务工具包发送OTA安装包文件及签名加密请求;用于构造签名安装包,使用EK加密安装包,形成安装包密文;
OTA服务工具包,用于在接收到签名加密请求后,根据OTA安装包文件计算安装包摘要,并向安全服务器申请安装包签名;用于反馈安装包签名及升级包EK至OTA服务器;
安全服务器,用于接收到申请信息后向签名服务器请安装包签名;用于接收到签名结果后向签名服务器请求生成升级包EK;用于记录安装包签名及升级包EK,反馈安装包签名及升级包EK至OTA服务工具包,
签名服务器,用于对安装包进行签名并反馈签名结果至安全服务器;用于生成升级包EK并反馈至安全服务器。
在安装包下发过程中实现的功能则由OTA服务器实现。
本发明还提供一种车机设备OTA升级包下发系统,包括
安全服务平台,用于对OTA安装包进行签名及加密操作形成安装包密文;用于在收到第一随机数后生成第二随机数,并反馈第二随机数至车载终端;用于校验随机数签名及终端证书链,校验成功后使用终端证书加密安装包密文,并下发安装包密文下载地址及加密秘钥密文到车载终端;
车载终端,用于在升级OTA时,先生成第一随机数,并发送至安全服务平台;用于对第一随机数和第二随机数进行签名,并发送随机数签名及终端证书链到安全服务平台;用于对接收的信息进行校验,校验成功后安装OTA安装包。
所述安全服务平台包括
OTA服务器,用于生成OTA安装包文件,向OTA服务工具包发送OTA安装包文件及签名加密请求;用于构造签名安装包,使用EK加密安装包,形成安装包密文;
OTA服务工具包,用于在接收到签名加密请求后,根据OTA安装包文件计算安装包摘要,并向安全服务器申请安装包签名;用于反馈安装包签名及升级包EK至OTA服务器;
安全服务器,用于接收到申请信息后向签名服务器请安装包签名;用于接收到签名结果后向签名服务器请求生成升级包EK;用于记录安装包签名及升级包EK,反馈安装包签名及升级包EK至OTA服务工具包,
签名服务器,用于对安装包进行签名并反馈签名结果至安全服务器;用于生成升级包EK并反馈至安全服务器。
本发明为每个车机客户端预下发客户端证书,每个车机客户端证书均不相同,车机客户端证书所对应的私钥保存在车机客户端设备的安全存储区中。OTA服务器可以以一种快捷的方式对申请OTA安装包的车机客户端进行身份认证。安装包以安全的、防重放攻击的形式下发给车机客户端,每个车机客户端的安装包仅能由该客户端解密,从而保护了OTA安装包的安全下发。防止了黑客通过中间人重放攻击窃取安装包后进而破解安装包带来信息安全和用户数据安全的隐患。
本发明对车机终端OTA安装包的结构设计采用了签名、加密、摘要相结合的方式,来保证各环节的可靠、可信、安全;对OTA安装包的加密,采取了安装包本身使用通用的加密密钥EK(Encryption Key)进行加密,在下发时使用目标车机终端的证书作为密钥加密密钥KEK(Key Encryption Key)来保证加密密钥EK的安全性,以及目标的唯一性,确保仅有目标车机终端才有能力解密OTA安装包,通过本方案的实施,可大大增加OTA安装包的安全性,防止安装包在被下载后,被解析破解,从而降低安全隐患。
以上仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本领域的技术人员在本发明所揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。

Claims (10)

1.一种车机设备OTA升级包下发方法,其特征在于,包括以下步骤:
安全服务平台对OTA安装包进行签名加密操作形成安装包密文;
车载终端需要升级OTA时,先生成第一随机数,并发送至安全服务平台;
安全服务平台接收到第一随机数后,生成第二随机数;
车载终端对第一随机数和第二随机数进行签名,并发送随机数签名及终端证书链到安全服务平台;
安全服务平台校验随机数签名及终端证书链,校验成功后使用终端证书加密安装包密文,并下发安装包密文下载地址及加密秘钥密文到车载终端;
车载终端对接收的信息进行校验,校验成功后安装OTA安装包。
2.根据权利要求1所述的车机设备OTA升级包下发方法,其特征在于:所述安全服务平台包括
OTA服务器,用于生成OTA安装包文件,向OTA服务工具包发送OTA安装包文件及签名加密请求;用于构造签名安装包,使用EK加密安装包,形成安装包密文;
OTA服务工具包,用于在接收到签名加密请求后,根据OTA安装包文件计算安装包摘要,并向安全服务器申请安装包签名;用于反馈安装包签名及升级包EK至OTA服务器;
安全服务器,用于接收到申请信息后向签名服务器请安装包签名;用于接收到签名结果后向签名服务器请求生成升级包EK;用于记录安装包签名及升级包EK,反馈安装包签名及升级包EK至OTA服务工具包,
签名服务器,用于对安装包进行签名并反馈签名结果至安全服务器;用于生成升级包EK并反馈至安全服务器。
3.根据权利要求1所述的车机设备OTA升级包下发方法,其特征在于:车载终端通过终端证书对第一随机数和第二随机数进行签名。
4.根据权利要求1所述的车机设备OTA升级包下发方法,其特征在于:所述校验包括校验安装包摘要并进行解密。
5.根据权利要求1所述的车机设备OTA升级包下发方法,其特征在于:所述校验还包括校验OTA证书链和安装包签名。
6.一种车机设备OTA升级包下发系统,其特征在于:包括
安全服务平台,用于对OTA安装包进行签名及加密操作形成安装包密文;用于在收到第一随机数后生成第二随机数,并反馈第二随机数至车载终端;用于校验随机数签名及终端证书链,校验成功后使用终端证书加密安装包密文,并下发安装包密文下载地址及加密秘钥密文到车载终端;
车载终端,用于在升级OTA时,先生成第一随机数,并发送至安全服务平台;用于对第一随机数和第二随机数进行签名,并发送随机数签名及终端证书链到安全服务平台;用于对接收的信息进行校验,校验成功后安装OTA安装包。
7.根据权利要求6所述的车机设备OTA升级包下发系统,其特征在于:所述安全服务平台包括
OTA服务器,用于生成OTA安装包文件,向OTA服务工具包发送OTA安装包文件及签名加密请求;用于构造签名安装包,使用EK加密安装包,形成安装包密文;
OTA服务工具包,用于在接收到签名加密请求后,根据OTA安装包文件计算安装包摘要,并向安全服务器申请安装包签名;用于反馈安装包签名及升级包EK至OTA服务器;
安全服务器,用于接收到申请信息后向签名服务器请安装包签名;用于接收到签名结果后向签名服务器请求生成升级包EK;用于记录安装包签名及升级包EK,反馈安装包签名及升级包EK至OTA服务工具包,
签名服务器,用于对安装包进行签名并反馈签名结果至安全服务器;用于生成升级包EK并反馈至安全服务器。
8.根据权利要求6所述的车机设备OTA升级包下发系统,其特征在于:所述终端证书的私钥存储至客户端设备的安全存储区中。
9.根据权利要求6所述的车机设备OTA升级包下发系统,其特征在于:所述校验包括校验安装包摘要并进行解密。
10.根据权利要求6所述的车机设备OTA升级包下发系统,其特征在于:所述校验还包括校验OTA证书链和安装包签名。
CN202310175443.3A 2023-02-28 2023-02-28 一种车机设备ota升级包下发方法及系统 Pending CN116193436A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310175443.3A CN116193436A (zh) 2023-02-28 2023-02-28 一种车机设备ota升级包下发方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310175443.3A CN116193436A (zh) 2023-02-28 2023-02-28 一种车机设备ota升级包下发方法及系统

Publications (1)

Publication Number Publication Date
CN116193436A true CN116193436A (zh) 2023-05-30

Family

ID=86447362

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310175443.3A Pending CN116193436A (zh) 2023-02-28 2023-02-28 一种车机设备ota升级包下发方法及系统

Country Status (1)

Country Link
CN (1) CN116193436A (zh)

Similar Documents

Publication Publication Date Title
CN110532735B (zh) 固件升级方法
EP1828931B1 (en) Secure collaborative terminal identity authentication between a wireless communication device and a wireless operator
CN111131313B (zh) 智能网联汽车更换ecu的安全保障方法及系统
EP3780481B1 (en) Method for upgrading vehicle-mounted device, and related device
CN110621014B (zh) 一种车载设备及其程序升级方法、服务器
CN107743067B (zh) 数字证书的颁发方法、系统、终端以及存储介质
EP1712992A1 (en) Updating of data instructions
CN115396121B (zh) 安全芯片ota数据包的安全认证方法及安全芯片装置
CN110891257A (zh) 一种具有防攻击双向认证的网联车远程升级系统及方法
CN114327532A (zh) 一种基于数字签名和加密的汽车ota升级信息安全实现方法
CN113138775B (zh) 车载诊断系统固件保护方法及系统
CN105592071A (zh) 一种在设备之间进行授权的方法和装置
WO2023151504A1 (zh) 一种基于物联网的数据处理方法和装置
Buschlinger et al. Plug-and-patch: Secure value added services for electric vehicle charging
CN111510448A (zh) 汽车ota升级中的通讯加密方法、装置及系统
CN115665138A (zh) 一种汽车ota升级系统及方法
CN110611679A (zh) 一种数据传输方法、装置、设备及系统
CN106096336B (zh) 软件防破解方法和系统
CN115361230B (zh) 一种车载以太网的车内安全信息通信方法、系统及介质
CN117097462A (zh) 一种基于量子密钥体系的车载智能软件升级加密系统
CN116193436A (zh) 一种车机设备ota升级包下发方法及系统
CN114500150A (zh) 基于can总线的通信方法、装置及作业机械
CN111464554B (zh) 一种车辆信息安全控制方法及系统
CN101571899B (zh) 一种智能设备软件防盗版的方法和装置
CN114661314A (zh) 车载终端文件加密升级的方法、装置、终端设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination