CN110378105A - 安全升级方法、系统、服务器及车载终端 - Google Patents
安全升级方法、系统、服务器及车载终端 Download PDFInfo
- Publication number
- CN110378105A CN110378105A CN201910587995.9A CN201910587995A CN110378105A CN 110378105 A CN110378105 A CN 110378105A CN 201910587995 A CN201910587995 A CN 201910587995A CN 110378105 A CN110378105 A CN 110378105A
- Authority
- CN
- China
- Prior art keywords
- upgrade
- private key
- safety
- packet
- car
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种安全升级方法、系统、服务器及车载终端,该方法包括:数据面服务器利用第一私钥对原始升级包进行签名,得到安全升级包;控制面服务器生成包含安全升级包下载策略的初始升级活动数据,利用不同于第一私钥的第二私钥对初始升级活动数据进行签名,并将签名后的升级活动数据下发至车载终端;车载终端利用第二公钥对签名后的升级活动数据进行验签;如果验签通过,车载终端按照下载策略的指示下载安全升级包,并利用第一公钥对安全升级包进行验签;如果验签通过,车载终端从安全升级包中还原出原始升级包,利用原始升级包对车载终端的车载系统进行升级,从而可以降低服务器节点被攻击导致的安全风险,提高车载系统升级的安全性。
Description
技术领域
本发明涉及车联网技术领域,具体涉及安全升级方法、系统、服务器及车载终端。
背景技术
随着汽车逐渐往智能化及网联化发展,OTA(Over The Air,在线升级)是车载系统必不可少的功能。能够接入互联网的网联汽车可以利用OTA功能对车载固件、车载应用程序以及车载系统配置等进行更新,其方法一般是先通过互联网接口或者USB接口将升级包传输至网联汽车内,然后将升级包刷写至目标位置。
然而,在实践中发现,上述的升级方法很容易造成信息泄露:攻击者可以通过网络截获、系统入侵、拆解汽车电路系统等方式获取到升级包,然后可以通过进一步逆向解析升级包中的固件,从而分析出升级包中的知识产权信息、系统信息等敏感信息。在获取到升级包中的敏感信息之后,攻击者可以对升级包中的固件进行恶意改造,然后也可以通过OTA的方式将恶意改造后的升级包刷写到受攻击的汽车内。一旦经过恶意改造的升级包被刷写到汽车内,将会对汽车带来巨大的安全隐患。
为了解决车载系统的升级过程中可能存在信息泄露的问题,部分公司及厂商对升级包进行了加密和签名等安全处理,以减少升级包中的文件信息被泄露,数据来源被篡改等问题的出现。一旦存储有密钥的OTA服务器节点被入侵,攻击者就有可能获取到用于加密和签名的密钥,导致经过安全处理的升级包仍然可以被攻击者破解,导致汽车可能暴露在安全风险中。
发明内容
本发明实施例公开了安全升级方法、系统、服务器及车载终端,能够降低服务器节点被攻击导致的安全风险,提高车载系统升级的安全性。
本发明实施例第一方面公开一种安全升级方法,所述方法包括:
生成包含安全升级包下载策略的初始升级活动数据;所述安全升级包是由数据面服务器利用第一私钥对原始升级包进行签名后得到的;
利用第二私钥对所述初始升级活动数据进行签名,得到签名后的升级活动数据;
将所述签名后的升级活动数据下发至车载终端,以使所述车载终端在利用与所述第二私钥对应的第二公钥对所述签名后的升级活动数据进行验签成功之后,根据所述初始升级活动数据中包含的所述下载策略的指示下载所述安全升级包,并在利用与所述第一私钥对应的第一公钥对所述安全升级包进行验签成功之后,利用基于所述安全升级包还原出的所述原始升级包对所述车载终端的车载系统进行升级;
其中,所述第一私钥不同于所述第二私钥。
作为一种可选的实施方式,在本发明实施例第一方面中,对所述初始升级活动数据进行签名时使用的证书与对所述原始升级包进行签名时使用的证书不同。
作为一种可选的实施方式,在本发明实施例第一方面中,在所述利用第二私钥对所述初始升级活动数据进行签名,得到签名后的升级活动数据之前,所述方法还包括:
根据所述车载终端上报的车辆的车架号查询所述车辆对应的不同密钥集;所述不同密钥集为每辆汽车互不相同的密钥集合;
从所述不同密钥集中选取出第二私钥。
本发明实施例第二方面公开另一种安全升级方法,包括:
利用第一私钥对原始升级包进行签名,以得到安全升级包;
将所述安全升级包的下载策略传输至控制面服务器,以使所述控制面服务器利用第二私钥对包含所述安全升级包下载策略的初始升级活动数据进行签名,并将签名后的升级活动数据下发至车载终端,由所述车载终端在利用与所述第二私钥对应的第二公钥对所述签名后的升级活动数据进行验签成功之后,根据所述初始升级活动数据中包含的所述下载策略的指示下载所述安全升级包,以及在利用与所述第一私钥对应的第一公钥对所述安全升级包进行验签成功之后,利用基于所述安全升级包还原出的所述原始升级包对所述车载终端的车载系统进行升级;
其中,所述第一私钥不同于所述第二私钥。
作为一种可选的实施方式,在本发明实施例第二方面中,在所述利用第一私钥对原始升级包进行签名,以得到安全升级包之前,所述方法还包括:
将离线存储的私钥加载至数据面服务器中;
在加载至所述数据面服务器的私钥中选取出第一私钥。
作为一种可选的实施方式,在本发明实施例第二方面中,所述在加载至所述数据面服务器的私钥中选取出第一私钥,包括:
确定与本次升级业务的业务类型对应的密钥集类型;
从加载至所述数据面服务器,且属于所述密钥集类型的私钥中选取出第一私钥。
本发明实施例第三方面公开又一种安全升级方法,包括:
接收控制面服务器发送的签名后的升级活动数据,并利用与第二私钥对应的第二公钥对所述签名后的升级活动数据进行验签;所述控制面服务器利用所述第二公钥对初始升级活动数据进行签名后得到所述签名后的升级活动数据;
如果对所述签名后的升级活动数据的验签通过,从所述初始升级活动数据中解析出下载策略;
按照所述下载策略的指示下载安全升级包,并利用与第一私钥对应的第一公钥对所述安全升级包进行验签;所述第一私钥为数据面服务器对所述安全升级包进行签名时使用的私钥;
如果对所述安全升级包的验签通过,从所述安全升级包中还原出原始升级包;
利用所述原始升级包对车载终端的车载系统进行升级;
其中,所述第一私钥不同于所述第二私钥。
作为一种可选的实施方式,在本发明实施例第三方面中,在所述利用所述原始升级包对车载终端的车载系统进行升级之前,所述方法还包括:
获取所述还原出的原始升级包的第一升级包信息;
对比所述第一升级包信息以及所述升级活动数据中记录的第二升级包信息是否一致;
如果是,执行所述利用所述原始升级包对车载终端的车载系统进行升级的步骤。
本发明实施例第四方面公开再一种安全升级方法,包括:
数据面服务器利用第一私钥对原始升级包进行签名,以得到安全升级包,并将所述安全升级包的下载策略传输至控制面服务器;
所述控制面服务器生成包含安全升级包下载策略的初始升级活动数据;
所述控制面服务器利用第二私钥对所述初始升级活动数据进行签名,得到签名后的升级活动数据,并将所述签名后的升级活动数据下发至车载终端;
所述车载终端利用与所述第二私钥对应的第二公钥对所述签名后的升级活动数据进行验签;
如果对所述签名后的升级活动数据的验签通过,所述车载终端从所述初始升级活动数据中解析出下载策略;
所述车载终端按照所述下载策略的指示下载安全升级包,并利用与所述第一私钥对应的第一公钥对所述安全升级包进行验签;
如果对所述安全升级包的验签通过,所述车载终端从所述安全升级包中还原出原始升级包;
所述车载终端利用所述原始升级包对所述车载终端的车载系统进行升级;
其中,所述第一私钥不同于所述第二私钥。
作为一种可选的实施方式,在本发明实施例第四方面中,在所述数据面服务器利用所述第一私钥对原始升级包进行签名,以得到安全升级包之后,所述方法还包括:
所述数据面服务器将所述安全升级包上传至内容分发网络;
以及,所述车载终端按照所述下载策略的指示下载安全升级包,包括:
所述车载终端按照所述下载策略的指示从所述内容分发网络中下载安全升级包。
本发明实施例第五方面公开一种服务器,包括:
生成单元,用于生成包含安全升级包下载策略的初始升级活动数据;所述安全升级包是由数据面服务器利用第一私钥对原始升级包进行签名后得到的;
第一签名单元,用于利用第二私钥对所述初始升级活动数据进行签名,得到签名后的升级活动数据;
第一通信单元,用于将所述签名后的升级活动数据下发至车载终端,以使所述车载终端在利用与所述第二私钥对应的第二公钥对所述签名后的升级活动数据进行验签成功之后,根据所述初始升级活动数据中包含的所述下载策略的指示下载所述安全升级包,并在利用与所述第一私钥对应的第一公钥对所述安全升级包进行验签成功之后,利用基于所述安全升级包还原出的所述原始升级包对所述车载终端的车载系统进行升级;
其中,所述第一私钥不同于所述第二私钥。
本发明实施例第六方面公开另一种服务器,包括:
第二签名单元,用于利用第一私钥对原始升级包进行签名,以得到安全升级包;
第二通信单元,用于将所述安全升级包的下载策略传输至控制面服务器,以使所述控制面服务器利用第二私钥对包含所述安全升级包下载策略的初始升级活动数据进行签名,并将签名后的升级活动数据下发至车载终端,由所述车载终端在利用与所述第二私钥对应的第二公钥对所述签名后的升级活动数据进行验签成功之后,根据所述初始升级活动数据中包含的所述下载策略的指示下载所述安全升级包,以及在利用与所述第一私钥对应的第一公钥对所述安全升级包进行验签成功之后,利用基于所述安全升级包还原出的所述原始升级包对所述车载终端的车载系统进行升级;
其中,所述第一私钥不同于所述第二私钥。
本发明实施例第七方面公开一种车载终端,包括:
第三通信单元,用于接收控制面服务器发送的签名后的升级活动数据;
验签单元,用于利用与第二私钥对应的第二公钥对所述签名后的升级活动数据进行验签;所述控制面服务器利用所述第二公钥对初始升级活动数据进行签名后得到所述签名后的升级活动数据;
解析单元,用于在所述验签单元对所述签名后的升级活动数据的验签通过时,从所述初始升级活动数据中解析出下载策略;
所述第三通信单元,还用于按照所述下载策略的指示下载安全升级包;
所述验签单元,还用于利用与第一私钥对应的第一公钥对所述安全升级包进行验签;所述第一私钥为数据面服务器对所述安全升级包进行签名时使用的私钥;
所述解析单元,还用于在所述验签单元对所述安全升级包的验签通过,从所述安全升级包中还原出原始升级包;
升级单元,用于利用所述原始升级包对车载终端的车载系统进行升级;
其中,所述第一私钥不同于所述第二私钥。
本发明实施例第八方面公开一种安全升级系统,其特征在于,包括:控制面服务器、数据面服务器、车载终端;
所述数据面服务器,用于利用第一私钥对原始升级包进行签名,以得到安全升级包,并将所述安全升级包的下载策略传输至控制面服务器;
所述控制面服务器,用于生成包含安全升级包下载策略的初始升级活动数据;以及,利用第二私钥对所述初始升级活动数据进行签名,得到签名后的升级活动数据,并将所述签名后的升级活动数据下发至车载终端;
所述车载终端,用于利用与所述第二私钥对应的第二公钥对所述签名后的升级活动数据进行验签;以及,如果对所述签名后的升级活动数据的验签通过,从所述初始升级活动数据中解析出下载策略;以及,按照所述下载策略的指示下载安全升级包,并利用与所述第一私钥对应的第一公钥对所述安全升级包进行验签;以及,如果对所述安全升级包的验签通过,从所述安全升级包中还原出原始升级包;以及,利用所述原始升级包对所述车载终端的车载系统进行升级;
其中,所述第一私钥不同于所述第二私钥。
作为一种可选的实施方式,在本发明实施例第八方面中,所述数据面服务器位于内部局域网。
本发明第九方面公开一种计算机可读存储介质,其存储计算机程序,其中,所述计算机程序使得计算机执行本发明实施例第一方面、第二方面、第三方面公开的任一项方法。
本发明实施例第十方面公开一种计算机程序产品,当所述计算机程序产品在计算机上运行时,使得所述计算机执行本发明实施例第一方面、第二方面、第三方面公开的任一项方法。
与现有技术相比,本发明实施例具有以下有益效果:
本发明实施例通过两个独立分离的服务器对分别对升级活动数据以及升级包进行签名,并且签名时使用的私钥也不相同。车载终端在升级之前,需要进行两次验签,分别验证升级活动的安全性(对签名后的升级活动数据的验签)以及升级包的安全性(对安全升级包的验签),在两次验签均通过的情况再对车载系统进行升级。可见,在本发明实施例中,假设某个服务器被攻破,也能通过两次验签的方式拦截被恶意改造过的升级包,提高了恶意攻击所需的技术门槛,从而可以降低服务器节点被攻击导致的安全风险,提高车载系统升级的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例公开的一种安全升级系统的结构示意图;
图2是本发明实施例公开的一种安全升级方法的流程示意图;
图3是本发明实施例公开的另一种安全升级方法的流程示意图;
图4是本发明实施例公开的一种服务器的结构示意图;
图5是本发明实施例公开的另一种服务器的结构示意图;
图6是本发明实施例公开的一种车载终端的结构示意图;
图7是本发明实施例公开的另一种安全升级系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明实施例及附图中的术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例公开了一种安全升级方法、系统、服务器及车载终端,能够降低服务器节点被攻击导致的安全风险,提高车载系统升级的安全性。以下分别进行详细说明。
首先,对本发明实施例适用的系统进行介绍。请参阅图1,图1是本发明实施例公开的一种安全升级系统的结构示意图。如图1所示,该安全升级系统可以包括数据面服务器、控制面服务器及车载终端。其中,数据面服务器和控制面服务器是独立分离的两个服务器,车载终端可以是车辆内置的车载中控大屏或者车载计算机等,本发明实施例不做限定。数据面服务器与控制面服务器之间可以通过有线或者无线的方式进行通信连接,车载终端与控制面服务器之间可以通过无线的方式进行通信连接。在本发明实施例中,数据面服务器与控制面服务器之间的无线通信连接以及车载终端与控制面服务器之间的无线通信连接具体可以为:5G、4G、无线局域网(Wireless Local Area Networks,WLAN)等,本发明实施例不做限定。
实施例一
请参阅图2,图2是本发明实施例公开的一种安全升级方法的流程示意图。图2所示的安全升级方法可以应用于如图1所示的升级系统。如图2所示,该安全升级方法可以包括以下步骤:
201、数据面服务器利用第一私钥对原始升级包进行签名,以得到安全升级包,并将安全升级包的下载策略传输至控制面服务器。
首先,对本发明实施例中密钥对的配置进行介绍。其中,第一私钥与第一公钥为一组对应的密钥对,下述的第二私钥与第二公钥为另一组对应的密钥对,每组密钥对都有唯一的ID号码作为标识。具体的,数据面服务器中存储有密钥对中的私钥以及私钥的ID号码,控制面服务器中也存储有密钥对中的私钥以及私钥的ID号码,车载终端中存储有密钥对中对应的公钥和公钥的ID号码。需要说明的是,数据面服务器中存储的私钥以及控制面服务器中存储的私钥不同,并且数据面服务器与控制面服务器可以由不同的技术人员进行管理。也就是说,数据面服务器中并不存储控制面服务器中存储的私钥,管理数据面服务器的技术人员也没有权限获取存储在控制面服务器中的私钥;控制面服务器中并不存储数据面服务器中存储的私钥,管理控制面服务器的技术人员也没有权限获取存储在数据面服务器中的私钥。可选的,技术人员可以对数据面服务器与车辆终端中存储的密钥对,以及控制面服务器与车载终端中存储的密钥对进行定期或不定期的更换。
此外,数据面服务器利用第一私钥对原始升级包进行签名,以得到安全升级包的过程具体可以为:数据面服务器计算原始升级包的摘要信息作为第一校验信息,利用第一私钥对第一校验信息进行签名,得到原始升级包的数字签名(signature);一般来说,还需要对原始升级包进行加密,得到加密后的密文包;将密文包和原始升级包的数字签名进行打包,则得到安全升级包。
可以理解,上述的第一私钥为数据面服务器中存储的私钥,因此利用第一私钥进行签名之后得到的数字签名可以证明安全升级包来自数据面服务器。数据面服务器随后可以将安全升级包推送至某一车载终端可访问的服务器中,并记录安全升级包在该可访问的服务器中的地址,以作为安全升级包的下载策略传输至控制面服务器。
202、控制面服务器生成包含安全升级包下载策略的初始升级活动数据。
在本发明实施例中,作为一种可选的实施方式,数据面服务器在生成新的安全升级包之后,可以通知控制面服务器,控制面服务器定期刷新是否接收到数据面服务器发送的更新通知,更新通知中可以包含安全升级包的下载策略。如果接收到,可以生成上述的初始升级活动数据。作为另一种可选的实施方式,控制面服务器也可以检测是否接收到车载终端发送的更新请求,如果接收到更新请求,控制面服务器可以向数据面服务器查询是否存在新的安全升级包(即是否可升级);其中,新的安全升级包可以为升级包的版本号高于车载终端当前所使用的车载系统版本号的升级包;如果查询到存在新的安全升级包,控制面服务器可以向数据面服务器获取安全升级包的下载策略,并生成上述的初始升级活动数据。
203、控制面服务器利用第二私钥对初始升级活动数据进行签名,得到签名后的升级活动数据,并将签名后的升级活动数据下发至车载终端。
在本发明实施例中,第二私钥不同于第一私钥。控制面服务器利用第二私钥对初始升级活动数据进行签名的方式具体可以为:控制面服务器计算初始升级活动数据的摘要信息作为第二校验信息,利用第二私钥对第二校验信息进行签名,得到初始升级活动数据的数字签名;将初始升级活动数据及其数字签名进行打包,则得到签名后的升级活动数据。通过签名后的升级活动数据中包含的数字签名可以证明该签名后的升级活动数据来自控制面服务器。
204、车载终端利用与第二私钥对应的第二公钥对签名后的升级活动数据进行验签;如果验签通过,执行步骤205;如果验签不通过,结束本流程。
在本发明实施例中,控制面服务器在利用第二私钥对升级活动数据进行签名之后,还可以将第二私钥的ID标识记录在签名后的升级活动数据中。车载终端可以从签名后的升级活动数据中识别出初始升级活动数据以及初始升级活动数据的数字签名,并通过第二私钥的ID标识查询出对应的第二公钥;利用第二公钥对初始升级活动数据的数字签名进行解签,以得到第三校验信息;计算初始升级活动数据的摘要信息作为第四校验信息;其中,车载终端计算初始升级活动数据的摘要信息时所使用的计算算法与控制面服务器计算初始升级活动数据的摘要信息时所使用的计算算法相同。如果解签得到的第三校验信息与再次计算得到的第四校验信息相同,那么可以认为对升级活动数据的验签通过。
205、车载终端按照下载策略的指示下载安全升级包。
在本发明实施例中,车载终端从初始升级活动数据中解析出安全升级包的下载策略,从下载策略所指示的下载地址中下载安全升级包。
206、车载终端利用与第一私钥对应的第一公钥对安全升级包进行验签;如果验签通过,执行步骤207;如果验签不通过,结束本流程。
在本发明实施例中,数据面服务器可以将第一私钥的ID标识记录在安全升级包中,车载终端可以从安全升级包中识别出经过加密的密文包、原始升级包的数字签名以及第一私钥的ID标识。车载终端通过第一私钥的ID标识查询出对应的第一公钥,利用第一公钥对原始升级包的数字签名进行解签,以得到第五校验信息;车载终端计算原始升级包的摘要信息作为第六校验信息;其中,车载终端计算原始升级包的摘要信息时所使用的计算算法与数据面服务器计算原始升级包的摘要信息时所使用的计算算法相同;如果解签后得到的第五校验信息与再次计算得到的第六校验信息相同,那么可以认为对安全升级包的验签通过。
207、车载终端从安全升级包中还原出原始升级包。
在本发明实施例中,如前所述,车载终端可以从安全升级包中识别出经过加密的密文包、原始升级包的数字签名以及第一私钥的ID标识,对经过加密的密文包进行解密,即可还原出原始升级包。
208、车载终端获取上述还原出的原始升级包的第一升级包信息,并对比上述的第一升级包信息以及升级活动数据中记录的第二升级包信息是否一致;如果是,执行步骤209;如果否,结束本流程。
在本发明实施例中,升级活动数据除了可以包括安全升级包的下载策略,还可以包括第二升级包信息。升级活动数据中包括的第二升级包信息可以包括未签名加密之前的原始升级包的版本信息,和/或利用如SHA256等哈希算法计算出的未签名加密之前的原始升级包的校验信息。
相应地,当车载终端从安全升级包中还原出原始升级包之后,可以识别还原出的原始升级包的版本信息,也可以利用如SHA256等哈希算法再次计算还原出的原始升级包的校验信息。上述的第二升级包信息可以包括上述的还原出的原始升级包的版本信息和/或还原出的原始升级包的校验信息。
如果第一升级包信息和第二升级包信息一致,可以认为在升级包的传输过程中存在数据丢失的可能性较小,还原出的原始升级包是可信的,可以用于车载系统的升级,因此执行下述步骤209。如果不一致,可以认为还原出的原始升级包不可信,放弃本次升级操作。
209、车载终端利用原始升级包对车载终端的车载系统进行升级。
在本发明实施例中,在通过对签名后的升级活动数据以及安全升级包的验签之后,再执行相应的系统升级操作。
假设数据面服务器被攻破,可能导致数据面服务器中的私钥被泄露,攻击者利用已泄露的私钥对恶意改造过的升级包进行签名,以伪装成正常的升级包;然而,由于两次签名时使用的私钥并不相同,并且数据面服务器中不存储控制面服务器中的私钥,如果控制面服务器未被攻破,攻击者难以伪装对升级活动数据的签名,车载终端在对升级活动数据进行验签时即可验证出该升级包的来源可疑,从而将其拦截。相应地,假设控制面服务器被攻破,而数据面服务器未被攻破,攻击者难以伪装对升级包的签名,车载终端在对伪装的安全升级包进行验签时即可验证出该升级包的来源可疑,从而将其拦截。
可见,实施如图2所示的方法,即使部分服务器节点被攻破,也可能通过两次验签的方式识别出经过恶意改造的升级包。而相较于攻破部分服务器节点,同时攻破数据面服务器与控制面服务器所需的技术门槛较高,因此,图2所示的方法可以降低服务器被攻击导致的安全风险,提高车载系统升级的安全性。
实施例二
请参阅图3,图3是本发明实施例公开的另一种安全升级方法的流程示意图。如图3所示,该安全升级方法可以包括:
301、数据面服务器将离线存储的私钥加载至数据面服务器中,并在加载至数据面服务器的私钥中选取出第一私钥。
在本发明实施例中,数据面服务器可以为位于内部局域网内的服务器。内部局域网的封闭性较高,外部攻击者攻击内部局域网内的服务器的难度较大。并且,数据面服务器所使用的私钥为离线存储,在使用时再加载至数据面服务器中。这样一来,即使数据面服务器被攻破,攻击者也难以获取到数据面服务器在签名时所使用的私钥。
此外,作为一种可选的实施方式,从加载至数据面服务器的私钥中选取出第一私钥的方式具体可以为:
数据面服务器确定与本次升级业务的业务类型对应的密钥集类型;
数据面服务器从加载至数据面服务器,且属于上述的密钥集类型的私钥中选取出第一私钥。
在本发明实施例中,车载系统的升级业务可能包括不同的类型,不同的业务类型具有不同的保密要求。比如说,可能对车载系统的底层固件进行更新的升级业务需要较高的保密要求,对车载系统中运行的第三方应用程序进行更新的升级业务需要较低的保密要求。因此,可以为属于不同的业务类型的升级业务分配不同类型的密钥。上述的密钥集类型可以包括相同密钥集和不同密钥集,相同密钥集为多辆汽车共同拥有的密钥集合,不同密钥集为每辆汽车互不相同的密钥集合。可选的,保密要求较高的升级业务对应的密钥集类型可以为不同密钥集;保密要求较低的升级业务对应的密钥集类型可以为相同密钥集。
数据面服务器中可以存储有相同密钥集中的密钥以及各辆汽车对应的不同密钥集,因此,在选取第一私钥时,可以根据升级业务的业务类型从相同密钥集或者不同密钥集中选取出第一私钥。
302、数据面服务器利用第一私钥对原始升级包进行签名,以得到安全升级包,并将安全升级包的下载策略传输至控制面服务器。
在本发明实施例中,作为一种可选的实施方式,数据面服务器可以将安全升级包推送至内容分发网络中。内容分发网络(Content Delivery Network,CDN)是构建在现有网络之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,以降低网络拥塞,提高用户访问响应速度和命中率。内容分发网络属于公共网络,车载终端可以访问CDN中的服务器。
303、控制面服务器生成包含安全升级包下载策略的初始升级活动数据。
在本发明实施例中,控制面服务器可以为位于公共网络的服务器,因此车载终端可以直接与控制面服务器进行数据传输。
304、控制面服务器根据车载终端上报的车辆的车架号查询该车辆对应的不同密钥集,并从不同密钥集中选取出第二私钥。
在本发明实施例中,不同密钥集为每辆汽车互不相同的密钥集合。控制面服务器中存储有各辆汽车对应的不同密钥集,并且可以理解的是,控制面案服务器中存储的不同密钥集中的密钥与数据面服务器中存储的不同密钥集中的密钥不同。因此,控制面服务器先根据车架号查找出与车载终端绑定的车辆对应的不同密钥集,从该车辆对应的不同密钥集中选取出第二私钥。可见,第二私钥与上述的第一私钥不同。
某些攻击者在无法获取到服务器节点以及车载终端中存储的合法密钥对时,可能会攻击车载终端,将攻击者自己的密钥对写入车载终端,以伪装成合法的密钥对。如果经过恶意改造的升级包利用伪装成合法的私钥进行签名,车载终端在对其进行验签时,可能会判定为验签通过,从而使得车载终端使用了经过恶意改造的升级包进行升级。
为了解决这一问题,可选的,在本发明实施例中,采用数字证书进行认证,并且对升级活动数据进行签名时使用的证书与对原始升级包进行签名时使用的证书不同。证书(certifaicate)是认证密钥来源的凭证,数据面服务器及控制面服务器在签名时所使用的密钥都需要经过证书中心(Certificate Authority,CA)的认证。以为数据面服务器中的密钥进行认证为例,CA会使用CA的公钥对数据面服务器中存储的私钥以及与数据面服务器相关的信息一起加密,生成数字证书。相应地,为控制面服务器中的密钥进行认证的过程与上述的例子类似,以下内容不再赘述。数据面服务器或控制面服务器在签名时一同附上对应的数字证书,车载终端利用CA的公钥解开数字证书,可以验证此次签名所使用的私钥是否为数据面服务器或者控制服务器中合法的私钥,从而可以识别出经过非法伪装的签名活动。
305、控制面服务器利用第二私钥对初始升级活动数据进行签名,得到签名后的升级活动数据,并将签名后的升级活动数据下发至车载终端。
306、车载终端利用与第二私钥对应的第二公钥对签名后的升级活动数据进行验签;如果验签通过,执行步骤307;如果验签不通过,结束本流程。
307、车载终端按照下载策略的指示下载安全升级包。
在本发明实施例中,车载终端可以从签名后的升级活动数据中识别出初始升级活动数据、初始升级活动数据的数字签名以及第二私钥的ID标识,车载终端可以从初始升级活动数据中解析出下载策略。此外,车载终端具体可以根据下载策略从CDN网络中下载安全升级包。
308、车载终端利用与第一私钥对应的第一公钥对安全升级包进行验签;如果验签通过,执行步骤309;如果验签不通过,结束本流程。
309、车载终端从安全升级包中还原出原始升级包。
310、车载终端获取上述还原出的原始升级包的第一升级包信息,并对比上述的第一升级包信息以及升级活动数据中记录的第二升级包信息是否一致;如果是,执行步骤311;如果否,结束本流程。
311、车载终端利用原始升级包对车载终端的车载系统进行升级。
可见,在图3所描述的方法中,通过两个独立分离的服务器分别对升级活动数据以及升级包进行签名,车载终端在对应的两次验签均通过的情况下再利用升级包对车载系统进行升级。此外,在图3所描述的方法中,数据面服务器可以为与内部局域网,并且数据面服务器签名时使用的私钥为离线存储,在使用时再加载至数据面服务器,从而可以增加外部攻击者攻破数据面服务器的难度;进一步的,即使数据面服务器被攻破,攻击者也难以获取到数据面服务器在签名时所使用的私钥。此外,数据面服务器在选取签名时使用的第一私钥时,考虑升级业务的业务类型,可以在业务层面上进行密钥分离,以降低密钥泄露造成的影响。更进一步的,在图3所描述的方法中,控制面服务器以及数据面服务器在签名时使用不同的数字证书,以便于车载终端在验签时验证私钥的合法性,从而可以识别出经过非法伪装的签名活动。
实施例三
请参阅图4,图4是本发明实施例公开的一种服务器的结构示意图。图4所示的服务器可以为控制面服务器。可选的,控制面服务器可以位于公共网络。如图4所示,该服务器可以包括:
生成单元401,用于生成包含安全升级包下载策略的初始升级活动数据;其中,安全升级包是由数据面服务器利用第一私钥对原始升级包进行签名后得到的;数据面服务器与控制面服务器是独立分离的不同的服务器。
第一签名单元402,用于利用第二私钥对上述的初始升级活动数据进行签名,得到签名后的升级活动数据;
在本发明实施例中,作为一种可选的实施方式,第一签名单元402在利用第二私钥对上述的初始升级活动数据进行签名,得到签名后的升级活动数据之前,还可以用于根据车载终端上报的车辆的车架号查询该车辆对应的不同密钥集,并从不同密钥集中选取出第二私钥。
进一步可选的,第一签名单元402对初始升级活动数据进行签名时使用的证书与对原始升级包进行签名时使用的证书不同;
此外,图4所示的服务器还可以包括:
第一通信单元403,用于将签名后的升级活动数据下发至车载终端,以使车载终端在利用与第二私钥对应的第二公钥对签名后的升级活动数据进行验签成功之后,根据初始升级活动数据中包含的下载策略的指示下载安全升级包,并在利用与第一私钥对应的第一公钥对安全升级包进行验签成功之后,利用基于安全升级包还原出的原始升级包对车载终端的车载系统进行升级;
其中,上述的第一私钥不同于第二私钥。
可见,实施如图4所示的服务器,可以对升级活动数据进行签名,以使车载终端在获取升级包之前,先对升级活动数据进行验签,从而可以在服务器层面进行升级业务的安全权限分离,降低服务器节点被攻破而导致的安全风险。
实施例四
请参阅图5,图5是本发明实施例公开的另一种服务器的结构示意图。图5所示的服务器可以为数据面服务器。可选的,数据面服务器可以位于内部局域网。如图5所示,该服务器可以包括:
第二签名单元501,用于利用第一私钥对原始升级包进行签名,以得到安全升级包;
在本发明实施例中,作为一种可选的实施方式,第二签名单元501在利用第一私钥对原始升级包进行签名,以得到安全升级包之前,还可以用于将离线存储的私钥加载至数据面服务器中,并在加载至数据面服务器的私钥中选取出第一私钥。
相应地,作为另一种可选的实施方式,第二签名单元501在加载至数据面服务器的私钥中选取出第一私钥的方式具体可以为:第二签名单元501用于确定与本次升级业务的业务类型对应的密钥集类型;以及,从加载至数据面服务器,且属于上述的密钥集类型的私钥中选取出第一私钥。
第二通信单元502,用于将安全升级包的下载策略传输至控制面服务器,以使控制面服务器利用第二私钥对包含所述安全升级包下载策略的升级活动数据进行签名,并将签名后的升级活动数据下发至车载终端,由车载终端在利用与第二私钥对应的第二公钥对签名后的升级活动数据进行验签成功之后,根据初始升级活动数据中包含的下载策略的指示下载安全升级包,以及在利用与第一私钥对应的第一公钥对安全升级包进行验签成功之后,利用基于安全升级包还原出的原始升级包对车载终端的车载系统进行升级;
其中,上述的第一私钥不同于第二私钥。
可见,实施如图5所示的服务器,可以对升级包进行签名,以使车载终端在对升级包的验签通过之后,再利用该升级包对车载系统进行升级,从而可以在服务器层面进行升级业务的安全权限分离,降低服务器节点被攻破而导致的安全风险。此外,图5所示的服务器可以位于内部局域网,并且将密钥离线存储,在使用时再加载至服务器中,而可以增加外部攻击者攻破该服务器的难度;进一步的,即使图5所示的服务器被攻破,攻击者也难以获取到服务器在签名时所使用的私钥。
实施例五
请参阅图6,图6是本发明实施例公开的一种车载终端的结构示意图。如图6所示,该车载终端可以包括:
第三通信单元601,用于接收控制面服务器发送的签名后的升级活动数据;
验签单元602,用于利用与第二私钥对应的第二公钥对签名后的升级活动数据进行验签;控制面服务器利用第二公钥对初始升级活动数据进行签名后得到上述签名后的升级活动数据;
解析单元603,用于在验签单元602对签名后的升级活动数据的验签通过时,从初始升级活动数据中解析出下载策略;
第三通信单元604,还用于按照上述的下载策略的指示下载安全升级包;
上述的验签单元602,还用于利用与第一私钥对应的第一公钥对安全升级包进行验签;第一私钥为数据面服务器对安全升级包进行签名时使用的私钥;
上述的解析单元603,还用于在验签单元602对安全升级包的验签通过时,从安全升级包中还原出原始升级包;
升级单元604,用于利用原始升级包对车载终端的车载系统进行升级;
其中,上述的第一私钥不同于第二私钥。
作为一种可选的实施方式,上述的升级单元604还可以用于在利用原始升级包对车载终端的车载系统进行升级之前,获取上述还原出的原始升级包的第一升级包信息,并对比上述的第一升级包信息以及升级活动数据中记录的第二升级包信息是否一致;如果一致,执行上述的利用原始升级包对车载终端的车载系统进行升级的操作。
可见,实施如图6所示的车载终端,在通过对升级活动数据及升级包分别进行验签之后,再利用升级包对车载系统进行升级,可以通过两次验签加强对升级活动数据以及升级包安全性的验证,尽可能地对经过恶意改造地升级包进行拦截,以提高车载系统的安全性。
实施例六
请参阅图7,图7是本发明实施例公开的另一种安全升级系统的结构示意图。如图7所示,该安全升级系统可以包括:
数据面服务器701、控制面服务器702以及车载终端703;可选的,数据面服务器701可以位于内部局域网,控制面服务器702可以位于公共网络;
其中,数据面服务器701用于利用第一私钥对原始升级包10进行签名,以得到安全升级包20,并将安全升级包的下载策略传输至控制面服务器702;可选的,数据面服务器701具体可以将安全升级包20发送至内容分发网络30(CDN)中存储;
控制面服务器702,用于生成包含安全升级包下载策略的初始升级活动数据;以及,利用第二私钥对该初始升级活动数据进行签名,得到签名后的升级活动数据,并将签名后的升级活动数据下发至车载终端703;
车载终端703,用于利用与第二私钥对应的第二公钥对签名后的升级活动数据进行验签;以及,如果对签名后的升级活动数据的验签通过,从初始升级活动数据中解析出下载策略;以及,按照上述的下载策略的指示下载安全升级包20,并利用与第一私钥对应的第一公钥对安全升级包20进行验签;以及,如果对安全升级包20的验签通过,从安全升级包20中还原出原始升级包10;以及,利用原始升级包10对车载终端703的车载系统进行升级。
可选的,车载终端703具体可以根据下载策略的指示从内容分发网络30中下载安全升级包20。
本发明实施例公开一种计算机可读存储介质,其存储计算机程序,其中,该计算机程序使得计算机执行图2或图3所示的任一种安全升级方法。
本发明实施例公开一种计算机程序产品,该计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质,且该计算机程序可操作来使计算机执行图2或图3所示的任一种安全升级方法。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定特征、结构或特性可以以任意适合的方式结合在一个或多个实施例中。本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在本发明的各种实施例中,应理解,上述各过程的序号的大小并不意味着执行顺序的必然先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物单元,即可位于一个地方,或者也可以分布到多个网络单元上。可根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
上述集成的单元若以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可获取的存储器中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或者部分,可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储器中,包括若干请求用以使得一台计算机设备(可以为个人计算机、服务器或者网络设备等,具体可以是计算机设备中的处理器)执行本发明的各个实施例上述方法的部分或全部步骤。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质包括只读存储器(Read-Only Memory,ROM)、随机存储器(Random Access Memory,RAM)、可编程只读存储器(Programmable Read-only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、一次可编程只读存储器(One-time Programmable Read-Only Memory,OTPROM)、电子抹除式可复写只读存储器(Electrically-Erasable Programmable Read-Only Memory,EEPROM)、只读光盘(CompactDisc Read-Only Memory,CD-ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
以上对本发明实施例公开的一种安全升级方法、系统、服务器及车载终端进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (15)
1.一种安全升级方法,其特征在于,包括:
生成包含安全升级包下载策略的初始升级活动数据;所述安全升级包是由数据面服务器利用第一私钥对原始升级包进行签名后得到的;
利用第二私钥对所述初始升级活动数据进行签名,得到签名后的升级活动数据;
将所述签名后的升级活动数据下发至车载终端,以使所述车载终端在利用与所述第二私钥对应的第二公钥对所述签名后的升级活动数据进行验签成功之后,根据所述初始升级活动数据中包含的所述下载策略的指示下载所述安全升级包,并在利用与所述第一私钥对应的第一公钥对所述安全升级包进行验签成功之后,利用基于所述安全升级包还原出的所述原始升级包对所述车载终端的车载系统进行升级;
其中,所述第一私钥不同于所述第二私钥。
2.根据权利要求1所述的方法,其特征在于,对所述初始升级活动数据进行签名时使用的证书与对所述原始升级包进行签名时使用的证书不同。
3.根据权利要求1或2所述的方法,其特征在于,在所述利用第二私钥对所述初始升级活动数据进行签名,得到签名后的升级活动数据之前,所述方法还包括:
根据所述车载终端上报的车辆的车架号查询所述车辆对应的不同密钥集;所述不同密钥集为每辆汽车互不相同的密钥集合;
从所述不同密钥集中选取出第二私钥。
4.一种安全升级方法,其特征在于,包括:
利用第一私钥对原始升级包进行签名,以得到安全升级包;
将所述安全升级包的下载策略传输至控制面服务器,以使所述控制面服务器利用第二私钥对包含所述安全升级包下载策略的初始升级活动数据进行签名,并将签名后的升级活动数据下发至车载终端,由所述车载终端在利用与所述第二私钥对应的第二公钥对所述签名后的升级活动数据进行验签成功之后,根据所述初始升级活动数据中包含的所述下载策略的指示下载所述安全升级包,以及在利用与所述第一私钥对应的第一公钥对所述安全升级包进行验签成功之后,利用基于所述安全升级包还原出的所述原始升级包对所述车载终端的车载系统进行升级;
其中,所述第一私钥不同于所述第二私钥。
5.根据权利要求4所述的方法,其特征在于,在所述利用第一私钥对原始升级包进行签名,以得到安全升级包之前,所述方法还包括:
将离线存储的私钥加载至数据面服务器中;
在加载至所述数据面服务器的私钥中选取出第一私钥。
6.根据权利要求5所述的方法,其特征在于,所述在加载至所述数据面服务器的私钥中选取出第一私钥,包括:
确定与本次升级业务的业务类型对应的密钥集类型;
从加载至所述数据面服务器,且属于所述密钥集类型的私钥中选取出第一私钥。
7.一种安全升级方法,其特征在于,包括:
接收控制面服务器发送的签名后的升级活动数据,并利用与第二私钥对应的第二公钥对所述签名后的升级活动数据进行验签;所述控制面服务器利用所述第二公钥对初始升级活动数据进行签名后得到所述签名后的升级活动数据;
如果对所述签名后的升级活动数据的验签通过,从所述初始升级活动数据中解析出下载策略;
按照所述下载策略的指示下载安全升级包,并利用与第一私钥对应的第一公钥对所述安全升级包进行验签;所述第一私钥为数据面服务器对所述安全升级包进行签名时使用的私钥;
如果对所述安全升级包的验签通过,从所述安全升级包中还原出原始升级包;
利用所述原始升级包对车载终端的车载系统进行升级;
其中,所述第一私钥不同于所述第二私钥。
8.根据权利要求7所述的方法,其特征在于,在所述利用所述原始升级包对车载终端的车载系统进行升级之前,所述方法还包括:
获取所述还原出的原始升级包的第一升级包信息;
对比所述第一升级包信息以及所述升级活动数据中记录的第二升级包信息是否一致;
如果是,执行所述利用所述原始升级包对车载终端的车载系统进行升级的步骤。
9.一种安全升级方法,其特征在于,包括:
数据面服务器利用第一私钥对原始升级包进行签名,以得到安全升级包,并将所述安全升级包的下载策略传输至控制面服务器;
所述控制面服务器生成包含安全升级包下载策略的初始升级活动数据;
所述控制面服务器利用第二私钥对所述初始升级活动数据进行签名,得到签名后的升级活动数据,并将所述签名后的升级活动数据下发至车载终端;
所述车载终端利用与所述第二私钥对应的第二公钥对所述签名后的升级活动数据进行验签;
如果对所述签名后的升级活动数据的验签通过,所述车载终端从所述初始升级活动数据中解析出下载策略;
所述车载终端按照所述下载策略的指示下载安全升级包,并利用与所述第一私钥对应的第一公钥对所述安全升级包进行验签;
如果对所述安全升级包的验签通过,所述车载终端从所述安全升级包中还原出原始升级包;
所述车载终端利用所述原始升级包对所述车载终端的车载系统进行升级;
其中,所述第一私钥不同于所述第二私钥。
10.根据权利要求9所述的方法,其特征在于,在所述数据面服务器利用所述第一私钥对原始升级包进行签名,以得到安全升级包之后,所述方法还包括:
所述数据面服务器将所述安全升级包上传至内容分发网络;
以及,所述车载终端按照所述下载策略的指示下载安全升级包,包括:
所述车载终端按照所述下载策略的指示从所述内容分发网络中下载安全升级包。
11.一种服务器,其特征在于,包括:
生成单元,用于生成包含安全升级包下载策略的初始升级活动数据;所述安全升级包是由数据面服务器利用第一私钥对原始升级包进行签名后得到的;
第一签名单元,用于利用第二私钥对所述初始升级活动数据进行签名,得到签名后的升级活动数据;
第一通信单元,用于将所述签名后的升级活动数据下发至车载终端,以使所述车载终端在利用与所述第二私钥对应的第二公钥对所述签名后的升级活动数据进行验签成功之后,根据所述初始升级活动数据中包含的所述下载策略的指示下载所述安全升级包,并在利用与所述第一私钥对应的第一公钥对所述安全升级包进行验签成功之后,利用基于所述安全升级包还原出的所述原始升级包对所述车载终端的车载系统进行升级;
其中,所述第一私钥不同于所述第二私钥。
12.一种服务器,其特征在于,包括:
第二签名单元,用于利用第一私钥对原始升级包进行签名,以得到安全升级包;
第二通信单元,用于将所述安全升级包的下载策略传输至控制面服务器,以使所述控制面服务器利用第二私钥对包含所述安全升级包下载策略的初始升级活动数据进行签名,并将签名后的升级活动数据下发至车载终端,由所述车载终端在利用与所述第二私钥对应的第二公钥对所述签名后的升级活动数据进行验签成功之后,根据所述初始升级活动数据中包含的所述下载策略的指示下载所述安全升级包,以及在利用与所述第一私钥对应的第一公钥对所述安全升级包进行验签成功之后,利用基于所述安全升级包还原出的所述原始升级包对所述车载终端的车载系统进行升级;
其中,所述第一私钥不同于所述第二私钥。
13.一种车载终端,其特征在于,包括:
第三通信单元,用于接收控制面服务器发送的签名后的升级活动数据;
验签单元,用于利用与第二私钥对应的第二公钥对所述签名后的升级活动数据进行验签;所述控制面服务器利用所述第二公钥对初始升级活动数据进行签名后得到所述签名后的升级活动数据;
解析单元,用于在所述验签单元对所述签名后的升级活动数据的验签通过时,从所述初始升级活动数据中解析出下载策略;
所述第三通信单元,还用于按照所述下载策略的指示下载安全升级包;
所述验签单元,还用于利用与第一私钥对应的第一公钥对所述安全升级包进行验签;所述第一私钥为数据面服务器对所述安全升级包进行签名时使用的私钥;
所述解析单元,还用于在所述验签单元对所述安全升级包的验签通过,从所述安全升级包中还原出原始升级包;
升级单元,用于利用所述原始升级包对车载终端的车载系统进行升级;
其中,所述第一私钥不同于所述第二私钥。
14.一种安全升级系统,其特征在于,包括:控制面服务器、数据面服务器、车载终端;
所述数据面服务器,用于利用第一私钥对原始升级包进行签名,以得到安全升级包,并将所述安全升级包的下载策略传输至控制面服务器;
所述控制面服务器,用于生成包含安全升级包下载策略的初始升级活动数据;以及,利用第二私钥对所述初始升级活动数据进行签名,得到签名后的升级活动数据,并将所述签名后的升级活动数据下发至车载终端;
所述车载终端,用于利用与所述第二私钥对应的第二公钥对所述签名后的升级活动数据进行验签;以及,如果对所述签名后的升级活动数据的验签通过,从所述初始升级活动数据中解析出下载策略;以及,按照所述下载策略的指示下载安全升级包,并利用与所述第一私钥对应的第一公钥对所述安全升级包进行验签;以及,如果对所述安全升级包的验签通过,从所述安全升级包中还原出原始升级包;以及,利用所述原始升级包对所述车载终端的车载系统进行升级;
其中,所述第一私钥不同于所述第二私钥。
15.根据权利要求14所述的系统,其特征在于,所述数据面服务器位于内部局域网。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910587995.9A CN110378105B (zh) | 2019-07-02 | 2019-07-02 | 安全升级方法、系统、服务器及车载终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910587995.9A CN110378105B (zh) | 2019-07-02 | 2019-07-02 | 安全升级方法、系统、服务器及车载终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110378105A true CN110378105A (zh) | 2019-10-25 |
| CN110378105B CN110378105B (zh) | 2021-06-04 |
Family
ID=68251608
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910587995.9A Active CN110378105B (zh) | 2019-07-02 | 2019-07-02 | 安全升级方法、系统、服务器及车载终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110378105B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112447014A (zh) * | 2020-11-25 | 2021-03-05 | 惠尔丰(中国)信息系统有限公司 | 一种应用于安全支付pos机的控制方法 |
| CN112882750A (zh) * | 2021-03-23 | 2021-06-01 | 东软睿驰汽车技术(沈阳)有限公司 | Ota升级包的处理方法、装置和电子设备 |
| CN112913189A (zh) * | 2020-12-28 | 2021-06-04 | 华为技术有限公司 | 一种ota升级方法及装置 |
| CN112929871A (zh) * | 2019-12-05 | 2021-06-08 | 上海艾拉比智能科技有限公司 | Ota升级包的获取方法、电子设备以及存储介质 |
| CN112947958A (zh) * | 2021-01-28 | 2021-06-11 | 浙江合众新能源汽车有限公司 | 一种汽车软件ota升级系统 |
| WO2021203336A1 (en) * | 2020-04-08 | 2021-10-14 | Qualcomm Incorporated | Firmware over-the-air updating for device configured to wirelessly communicate vehicle operation data |
| CN113806749A (zh) * | 2021-09-23 | 2021-12-17 | 航天信息股份有限公司 | 一种升级方法、装置及存储介质 |
| CN115967502A (zh) * | 2023-01-03 | 2023-04-14 | 重庆长安汽车股份有限公司 | 终端的安全升级方法及系统、电子设备、可读存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101005357A (zh) * | 2006-12-28 | 2007-07-25 | 北京飞天诚信科技有限公司 | 一种更新认证密钥的方法和系统 |
| CN106648626A (zh) * | 2016-11-29 | 2017-05-10 | 郑州信大捷安信息技术股份有限公司 | 一种车辆安全远程升级系统及升级方法 |
| US20170359174A1 (en) * | 2016-06-10 | 2017-12-14 | Apple Inc. | File system support for rolling keys on file extents |
| CN108923933A (zh) * | 2018-07-12 | 2018-11-30 | 北京航空航天大学 | 服务器的工作方法、车载终端的升级方法及系统 |
| CN109347931A (zh) * | 2018-09-28 | 2019-02-15 | 四川长虹电器股份有限公司 | 一种基于分层交互设计的ota升级下载方法 |
| CN109429222A (zh) * | 2017-08-22 | 2019-03-05 | 马鞍山明阳通信科技有限公司 | 一种对无线网络设备升级程序及通讯数据加密的方法 |
| CN109740309A (zh) * | 2018-12-28 | 2019-05-10 | 深圳市元征科技股份有限公司 | 一种文件保护方法以及装置 |
| CN109787774A (zh) * | 2019-01-15 | 2019-05-21 | 浙江吉利汽车研究院有限公司 | 基于数字签名校验的升级下载方法、装置、服务器及终端 |
| CN109829294A (zh) * | 2019-01-31 | 2019-05-31 | 云丁网络技术(北京)有限公司 | 一种固件验证方法、系统、服务器及电子设备 |
-
2019
- 2019-07-02 CN CN201910587995.9A patent/CN110378105B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101005357A (zh) * | 2006-12-28 | 2007-07-25 | 北京飞天诚信科技有限公司 | 一种更新认证密钥的方法和系统 |
| US20170359174A1 (en) * | 2016-06-10 | 2017-12-14 | Apple Inc. | File system support for rolling keys on file extents |
| CN106648626A (zh) * | 2016-11-29 | 2017-05-10 | 郑州信大捷安信息技术股份有限公司 | 一种车辆安全远程升级系统及升级方法 |
| CN109429222A (zh) * | 2017-08-22 | 2019-03-05 | 马鞍山明阳通信科技有限公司 | 一种对无线网络设备升级程序及通讯数据加密的方法 |
| CN108923933A (zh) * | 2018-07-12 | 2018-11-30 | 北京航空航天大学 | 服务器的工作方法、车载终端的升级方法及系统 |
| CN109347931A (zh) * | 2018-09-28 | 2019-02-15 | 四川长虹电器股份有限公司 | 一种基于分层交互设计的ota升级下载方法 |
| CN109740309A (zh) * | 2018-12-28 | 2019-05-10 | 深圳市元征科技股份有限公司 | 一种文件保护方法以及装置 |
| CN109787774A (zh) * | 2019-01-15 | 2019-05-21 | 浙江吉利汽车研究院有限公司 | 基于数字签名校验的升级下载方法、装置、服务器及终端 |
| CN109829294A (zh) * | 2019-01-31 | 2019-05-31 | 云丁网络技术(北京)有限公司 | 一种固件验证方法、系统、服务器及电子设备 |
Non-Patent Citations (1)
| Title |
|---|
| 张海强: "智能网联汽车安全远程升级技术的研究与实现", 《中国优秀硕士学位论文全文数据库 工程科技Ⅱ辑》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112929871A (zh) * | 2019-12-05 | 2021-06-08 | 上海艾拉比智能科技有限公司 | Ota升级包的获取方法、电子设备以及存储介质 |
| WO2021203336A1 (en) * | 2020-04-08 | 2021-10-14 | Qualcomm Incorporated | Firmware over-the-air updating for device configured to wirelessly communicate vehicle operation data |
| CN112447014A (zh) * | 2020-11-25 | 2021-03-05 | 惠尔丰(中国)信息系统有限公司 | 一种应用于安全支付pos机的控制方法 |
| CN112447014B (zh) * | 2020-11-25 | 2022-10-14 | 惠尔丰信息系统有限公司 | 一种应用于安全支付pos机的控制方法 |
| CN112913189A (zh) * | 2020-12-28 | 2021-06-04 | 华为技术有限公司 | 一种ota升级方法及装置 |
| CN112913189B (zh) * | 2020-12-28 | 2022-08-26 | 华为技术有限公司 | 一种ota升级方法及装置 |
| CN112947958A (zh) * | 2021-01-28 | 2021-06-11 | 浙江合众新能源汽车有限公司 | 一种汽车软件ota升级系统 |
| CN112882750A (zh) * | 2021-03-23 | 2021-06-01 | 东软睿驰汽车技术(沈阳)有限公司 | Ota升级包的处理方法、装置和电子设备 |
| CN113806749A (zh) * | 2021-09-23 | 2021-12-17 | 航天信息股份有限公司 | 一种升级方法、装置及存储介质 |
| CN113806749B (zh) * | 2021-09-23 | 2024-04-05 | 航天信息股份有限公司 | 一种升级方法、装置及存储介质 |
| CN115967502A (zh) * | 2023-01-03 | 2023-04-14 | 重庆长安汽车股份有限公司 | 终端的安全升级方法及系统、电子设备、可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110378105B (zh) | 2021-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110378105A (zh) | 安全升级方法、系统、服务器及车载终端 | |
| CN111429254B (zh) | 一种业务数据处理方法、设备以及可读存储介质 | |
| US11163858B2 (en) | Client software attestation | |
| CN110532735B (zh) | 固件升级方法 | |
| US10341321B2 (en) | System and method for policy based adaptive application capability management and device attestation | |
| CN103685138B (zh) | 移动互联网上的Android平台应用软件的认证方法和系统 | |
| KR101247044B1 (ko) | 디바이스 인증을 위한 하드웨어 기능 스캔 | |
| CN109691009A (zh) | 网络功能虚拟化系统和验证方法 | |
| JP2012520027A (ja) | 無線装置のプラットフォームの検証と管理 | |
| WO2011006997A1 (en) | System and method for providing secure virtual machines | |
| CN109600366A (zh) | 基于区块链的保护用户数据隐私的方法及装置 | |
| CN104639506B (zh) | 对应用程序安装进行管控的方法、系统与终端 | |
| CN109729080A (zh) | 基于区块链域名系统的访问攻击防护方法和系统 | |
| CN112765684B (zh) | 区块链节点终端管理方法、装置、设备及存储介质 | |
| CN112514321A (zh) | 共享秘密建立 | |
| CN110601855B (zh) | 一种根证书管理方法、装置及电子设备、存储介质 | |
| CN103888948B (zh) | 一种智能终端移动应用的安全控制方法和装置 | |
| Sze et al. | Hardening openstack cloud platforms against compute node compromises | |
| CN109831311A (zh) | 一种服务器验证方法、系统、用户终端及可读存储介质 | |
| CN113614720A (zh) | 一种动态配置可信应用程序访问控制的装置和方法 | |
| CN113810410B (zh) | 无法滥用密钥去中心化属性基加密方法、系统及存储介质 | |
| CN113301107B (zh) | 节点计算平台及其实现方法、计算机可读存储介质 | |
| CN110012317A (zh) | 一种视频获取方法及装置、一种视频加密方法及装置 | |
| CN106096336B (zh) | 软件防破解方法和系统 | |
| Crowther et al. | Securing Over-the-Air Firmware Updates (FOTA) for Industrial Internet of Things (IIOT) Devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |