CN112328271A - 一种车载设备软件升级方法及系统 - Google Patents
一种车载设备软件升级方法及系统 Download PDFInfo
- Publication number
- CN112328271A CN112328271A CN201910704033.7A CN201910704033A CN112328271A CN 112328271 A CN112328271 A CN 112328271A CN 201910704033 A CN201910704033 A CN 201910704033A CN 112328271 A CN112328271 A CN 112328271A
- Authority
- CN
- China
- Prior art keywords
- vehicle
- key
- software
- mounted equipment
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/42—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for mass transport vehicles, e.g. buses, trains or aircraft
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/44—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
Abstract
本发明公开了一种车载设备软件升级方法及系统,在软件升级包发布至OTA服务器时采用加密算法对其进行随机加密和散列签名,确保其在发布、存储、传输及刷写过程中的机密性、完整性和可用性。通过交互认证、加密传输及路由管控建立从OTA服务器至车载设备的点到点安全传输通道,保护车载设备与OTA服务器之间交互信息的机密性、完整性和可用性。收集车载设备软件信息至OTA服务器,对车载设备软件信息进行分析,将软件信息及分析结果通过包括图形化和列表化在内的显示方式展示给工作人员,并对车载设备软件的安全态势进行警示。本发明能够解决现有列车车载设备软件更新维护成本过高、便利性不足,及安全性和可靠性不能得到保证的技术问题。
Description
技术领域
本发明涉及信息安全技术领域,尤其是涉及一种应用于列车车载设备软件OTA(Over-the-Air,空间下载的简称)安全升级的方法及系统。
背景技术
随着移动互联技术的发展,软件OTA升级在消费电子领域已经得到了日益广泛的应用。最近,这项技术也在汽车领域大力推广,各大车厂都陆续建立了自己的软件OTA升级系统。因为软件OTA升级可以大大提升软件维护的效率和降低软件维护的成本,所以在轨道交通领域的机车、城轨、动车等多型列车的车载设备上都有着广泛的应用前景。但是OTA技术通常是基于公共网络进行软件包的传输,而公共网络的开放性决定了软件包是透明且易受攻击的。因此,可能存在着软件包被窃取、泄露、篡改、伪造和破坏等安全风险。一旦软件包遭受攻击,轻则使软件失效,设备无法工作,系统崩溃,重则植入恶意代码,控制设备,乃至整个系统,对列车乃至整个轨道交通系统构成持续威胁。
目前,列车车载设备的软件更新通常需要维护人员去现场进行程序刷写,这样不仅软件更新效率很低,而且软件维护的成本也居高不下,尤其现在海外市场日益扩大,其软件的现场维护将变得更加困难。因此,需要一套可以远程进行软件管理和升级的系统来实现软件的升级更新。然而,软件包在远程传输过程中有可能被损坏也有可能被截获,并进行篡改伪造,从而形成对列车车载设备的恶意破坏和操控,这对设备、系统乃至整列列车来说都是非常危险的。
在现有技术中,主要有以下技术方案与本发明申请相关:
方案1为本申请人株洲中车时代电气股份有限公司于2017年01月17日申请,并于2017年06月27日公开,公开号为CN106897087A的中国发明申请《实现机车车载设备应用软件的远程维护更新方法及装置》。该发明公开了一种实现机车车载设备应用软件的远程维护更新方法及装置,远程更新方法的步骤包括:1)在地面服务器端,远程存储机车中各车载设备应用软件最新目标码文件以及对应最新软件信息;在待维护机车的车载端,本地存储机车中各车载设备应用软件的当前目标码文件以及对应软件信息;2)车载端以指定周期从地面服务器端获取各车载设备应用软件的最新软件信息,并与本地存储的软件信息进行对应比较,若比较结果不一致,获取对应的最新目标码文件进行更新,以及发送给对应的车载设备。远程更新装置包括车载维护更新模块以及地面管理模块。该发明具有实现方法简单、所需维护更新成本低、且维护效率高、维护周期短以及便于维护管理等优点。
方案2为中车大连电力牵引研发中心有限公司于2015年11月19日申请,并于2017年05月31日公开,公开号为CN106775789A的中国发明申请《机车软件更新方法、设备及系统》。该发明实施例提供了一种机车软件更新方法、设备及系统,方法包括:地面服务器通过无线局域网接收机车客户端发送的软件版本更新请求消息,软件版本更新请求消息中包括机车所使用的软件的标识以及当前版本号;地面服务器根据软件版本更新请求消息,判断本地存储的、与软件的标识对应的最新版本号是否与当前版本号一致;若否,则地面服务器通过无线局域网向机车客户端发送软件更新响应消息,软件更新响应消息中包括软件的标识、软件的标识对应的最新版本号以及软件更新程序,以使客户端根据软件更新响应信息对与软件的标识对应的软件进行更新。该发明实施例可以对机车上的软件进行自动更新,不需要耗费人力、物力,还节省时间。
然而,以上两篇发明申请均没有考虑到机车车载设备软件在更新升级中的安全性问题。因此,建立一套安全的列车车载设备软件OTA升级系统及方法,以确保软件OTA升级功能正常、安全、可靠、高效地运行是当前亟待解决的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种车载设备软件升级方法及系统,以解决现有列车车载设备软件更新维护成本过高、便利性不足,以及安全性和可靠性不能得到保证的技术问题。
为了实现上述发明目的,本发明具体提供了一种车载设备软件升级方法的技术实现方案,车载设备软件升级方法,包括执行顺序不分先后的以下步骤:
S10)软件升级包加密过程:在车载设备软件升级包发布至OTA服务器时采用加密算法对软件升级包进行随机加密和散列签名,确保软件升级包在发布、存储、传输及刷写过程中的机密性、完整性和可用性;
S20)安全传输通道建立过程:通过交互认证、加密传输及路由管控建立从OTA服务器至车载设备的点到点安全传输通道,保护车载设备与OTA服务器之间交互信息的机密性、完整性和可用性;
S30)车载设备软件信息监控过程:收集车载设备软件信息至OTA服务器,OTA服务器对车载设备软件信息进行分析,将软件信息及分析结果通过包括图形化和列表化在内的显示方式展示给工作人员,并对车载设备软件的安全态势进行警示。
进一步的,所述车载设备软件信息监控过程S30)包括以下步骤:
S301)OTA服务器与车载设备之间建立点到点的安全传输通道;
S302)安全传输通道建立后OTA服务器向车载设备发送软件信息请求;
S303)车载设备收到请求后返回自身软件的信息;
S304)OTA服务器收到软件信息后对信息进行处理、存储及分析,并对软件安全风险进行评估;
S305)工作人员能通过OTA工作站请求查看各型车载设备的软件信息;
S306)OTA工作站将请求传递至OTA服务器;
S307)OTA服务器根据查看需求返回所需的车载设备软件信息、以及分析结果和安全风险信息;
S308)OTA工作站收到各类信息后以包括图形列表在内的直观形式展示给工作人员;
S309)工作人员根据展示出来的车载设备软件信息、分析结果及安全风险信息进行判断决策是否升级;
S310)如果决定升级车载设备软件,则下达软件升级指令,OTA工作站将该指令发送至OTA服务器;
S311)OTA服务器将软件升级指令和签名加密的软件升级包发送至车载设备;
S312)车载设备接收到软件升级指令和软件升级包后对软件升级包进行解密验证,验证通过后升级车载设备软件。
进一步的,所述安全传输通道建立过程S20)包括以下步骤:
S201)工作人员通过安全管理工作站向安全应用服务器请求建立安全传输通道的密钥及密钥文件;
S202)安全应用服务器生成第一密钥及密钥文件和第二密钥及密钥文件,并将车载安全网关的第一密钥及密钥文件返回至安全管理工作站;
S203)工作人员再通过安全管理工作站将第一密钥及密钥文件导入至车载安全网关中;
S204)地面防火墙的第二密钥及密钥文件由安全应用服务器直接交互导入;
S205)在信息传输时车载安全网关向地面防火墙发送安全通道建立请求;
S206)地面防火墙根据导入的第二密钥及密钥文件生成第一认证信息,并发送至车载安全网关;
S207)车载安全网关接收到第一认证信息后利用事先导入的第一密钥及密钥文件对第一认证信息进行验证,如果验证通过再利用第一密钥及密钥文件生成第二认证信息,并发送至地面防火墙;
S208)地面防火墙接收到第二认证信息后利用事先导入的第二密钥及密钥文件对第二认证信息进行验证,如果验证通过则随机生成会话密钥,利用第二密钥及密钥文件对会话密钥进行加密后发送至车载安全网关;
S209)车载安全网关接收到加密的会话密钥后利用导入的第一密钥及密钥文件对会话密钥进行解密;
S210)会话密钥解密后,车载安全网关建立与车载设备之间的路由控制,某一个或某几个车载设备使用该会话密钥进行信息加密传输;
S211)地面防火墙建立与OTA服务器之间的路由控制,只有OTA服务器才能使用该会话密钥进行信息加密传输,从而建立从车载设备到OTA服务器之间点到点的安全传输通道;车载设备与OTA服务器之间通过安全传输通道交互信息均为密文传输。
进一步的,所述软件升级包加密过程S10)包括以下步骤:
S101)工作人员通过安全管理工作站向安全应用服务器请求加密软件升级包的密钥及密钥文件,不同车载设备生成的密钥及密钥文件不同;
S102)安全应用服务器生成两组公私钥对及公私钥对文件,并将车载设备的第三密钥及密钥文件返回至安全管理工作站,相对应的第四密钥及密钥文件将保存在安全应用服务器中;
S103)工作人员再通过安全管理工作站将第三密钥及密钥文件导入车载设备中;
S104)当有新的软件升级包发布至OTA服务器时,OTA服务器会将发布的软件升级包明文发送至安全应用服务器;
S105)安全应用服务器收到OTA服务器发送的软件升级包,首先生成软件升级包的散列值并利用事先生成的密钥对一的私钥进行签名,然后生成随机对称密钥加密软件升级包和签名,再利用密钥对二的公钥对随机对称密钥进行加密,最后与软件升级包密文一起通过安全传输通道发送至车载设备;
S106)车载设备获取软件升级包的密文后,先利用密钥对二的私钥对随机对称密钥进行解密,然后利用随机对称密钥解密软件升级包和签名,再利用密钥对一的公钥对签名进行解密并验证解密出的散列值,如果散列值验证通过则认定该软件升级包来源合法、安全可靠,可安全升级车载设备软件。
本发明还另外具体提供了一种车载设备软件升级系统的技术实现方案,车载设备软件升级系统,包括:地面子系统和车载子系统,所述地面子系统包括地面防火墙、安全应用服务器、安全管理工作站、OTA服务器和OTA工作站。所述OTA服务器分别与地面防火墙、安全应用服务器及OTA工作站相连,所述安全管理工作站与安全应用服务器相连,所述安全应用服务器与OTA服务器相连。所述地面子系统用于实现车载设备软件升级包加密,软件升级安全通道建立,车载设备软件安全态势监控及外部恶意攻击防御。所述车载子系统包括车载设备和车载安全网关,所述车载安全网关分别与车载设备及地面防火墙相连,所述车载子系统用于实现车载设备软件升级安全通道建立,软件升级包接收、车载设备软件升级及外部恶意攻击防御。
进一步的,所述OTA服务器收集、分析和管理各类车载设备软件信息,发布和存储软件升级包,感知和警示车载设备软件的安全态势,并将相关安全态势信息反馈至OTA工作站与工作人员进行交互。
进一步的,所述OTA工作站与OTA服务器及工作人员进行信息交互,以包括图形列表在内的形式展示各类车载设备软件的使用现状、升级需求、安全态势信息,实现工作人员对车载设备软件的监控、发布、更新、删除、修改操作。
进一步的,所述安全应用服务器用于与OTA服务器进行通信、软件升级包加密,密钥及密钥文件管理。
进一步的,所述安全管理工作站与安全应用服务器、车载设备、车载安全网关及工作人员进行信息交互,实现工作人员对密钥及密钥文件的管理操作,以及拷贝密钥及密钥文件至车载设备或车载安全网关。
进一步的,所述地面防火墙用于实现网络隔离、流量控制、防御攻击、接入认证及安全通道建立,保证所述地面子系统在与公共网络交互过程中的安全性,并建立从所述OTA服务器至车载设备的点对点安全传输通道,确保软件升级包在公共网络传输过程中的机密性、完整性和可用性。
进一步的,所述车载安全网关用于实现防火墙和无线通信功能,在防御外部对所述车载子系统攻击的同时,建立无线数据传输链路,并与所述地面防火墙交互建立从车载设备至OTA服务器的点对点安全传输通道,确保软件升级包在公共网络传输过程中的机密性、完整性和可用性。
进一步的,所述车载子系统包括若干个与所述车载安全网关相连的车载设备,所述车载设备构建列车的多个系统,并作为软件升级的主要对象,用于实现与所述车载安全网关的通信,接收、解密并更新软件升级包。
进一步的,OTA服务器与车载设备之间建立点到点的安全传输通道。安全传输通道建立后OTA服务器向车载设备发送软件信息请求。车载设备收到请求后返回自身软件的信息。OTA服务器收到软件信息后对信息进行处理、存储及分析,并对软件安全风险进行评估。工作人员能通过OTA工作站请求查看各型车载设备的软件信息。OTA工作站将请求传递至OTA服务器。OTA服务器根据查看需求返回所需的车载设备软件信息、以及分析结果和安全风险信息。OTA工作站收到各类信息后以包括图形列表在内的直观形式展示给工作人员。工作人员根据展示出来的车载设备软件信息、分析结果及安全风险信息进行判断决策是否升级。如果决定升级车载设备软件,则下达软件升级指令,OTA工作站将该指令发送至OTA服务器。OTA服务器将软件升级指令和软件升级包发送至车载设备。车载设备接收到软件升级指令和签名加密的软件升级包后对软件升级包进行解密验证,验证通过后升级车载设备软件。
进一步的,工作人员通过安全管理工作站向安全应用服务器请求加密软件升级包的密钥及密钥文件,不同车载设备生成的密钥及密钥文件不同。安全应用服务器生成两组公私钥对及公私钥对文件,并将车载设备的第三密钥及密钥文件返回至安全管理工作站,相对应的第四密钥及密钥文件将保存在安全应用服务器中。工作人员再通过安全管理工作站将第三密钥及密钥文件导入车载设备中。当有新的软件升级包发布至OTA服务器时,OTA服务器会将发布的软件升级包明文发送至安全应用服务器。安全应用服务器收到OTA服务器发送的软件升级包,首先生成软件升级包的散列值并利用事先生成的密钥对一的私钥进行签名,然后生成随机对称密钥加密软件升级包和签名,再利用密钥对二的公钥对随机对称密钥进行加密,最后与软件升级包密文一起通过安全传输通道发送至车载设备。车载设备获取软件升级包的密文后,先利用密钥对二的私钥对随机对称密钥进行解密,然后利用随机对称密钥解密软件升级包和签名,再利用密钥对一的公钥对签名进行解密并验证解密出的散列值,如果散列值验证通过则认定该软件升级包来源合法、安全可靠,可安全升级车载设备软件。
进一步的,工作人员通过安全管理工作站向安全应用服务器请求建立安全传输通道的密钥及密钥文件。安全应用服务器生成第一密钥及密钥文件和第二密钥及密钥文件,并将车载安全网关的第一密钥及密钥文件返回至安全管理工作站。工作人员再通过安全管理工作站将第一密钥及密钥文件导入至车载安全网关中。地面防火墙的第二密钥及密钥文件由安全应用服务器直接交互导入。在信息传输时车载安全网关向地面防火墙发送安全通道建立请求。地面防火墙根据导入的第二密钥及密钥文件生成第一认证信息,并发送至车载安全网关。车载安全网关接收到第一认证信息后利用事先导入的第一密钥及密钥文件对第一认证信息进行验证,如果验证通过再利用第一密钥及密钥文件生成第二认证信息,并发送至地面防火墙。地面防火墙接收到第二认证信息后利用事先导入的第二密钥及密钥文件对第二认证信息进行验证,如果验证通过则随机生成会话密钥,利用第二密钥及密钥文件对会话密钥进行加密后发送至车载安全网关。车载安全网关接收到加密的会话密钥后利用导入的第一密钥及密钥文件对会话密钥进行解密。会话密钥解密后,车载安全网关建立与车载设备之间的路由控制,某一个或某几个车载设备使用该会话密钥进行信息加密传输。地面防火墙建立与OTA服务器之间的路由控制,只有OTA服务器才能使用该会话密钥进行信息加密传输,从而建立从车载设备到OTA服务器之间点到点的安全传输通道。车载设备与OTA服务器之间通过安全传输通道交互信息均为密文传输。
通过实施上述本发明提供的车载设备软件升级方法及系统的技术方案,具有如下有益效果:
(1)本发明车载设备软件升级方法及系统,能够确保列车车载设备软件OTA安全升级系统安全可靠的运行,防范针对列车车载子系统和地面子系统的恶意攻击,大大提高了列车车载设备软件的维护效率,并减少了系统维护成本;
(2)本发明车载设备软件升级方法及系统,能够实现列车车载设备软件的及时更新,有助于提高车载设备软件乃至系统自身的安全性,能够及时获取列车车载设备软件信息,直观展示给工作人员,并对软件安全风险进行安全报警;
(3)本发明车载设备软件升级方法及系统,能够确保列车车载设备OTA软件包的来源合法和安全可靠,并确保列车车载设备和OTA服务器之间传输信息的机密性、完整性和可用性,能够有效防止对软件包的泄露、窃取、篡改、伪造和破坏。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的实施例。
图1是本发明车载设备软件升级系统一种具体实施例的系统结构框图;
图2是本发明车载设备软件升级系统一种具体实施例中OTA软件包加密过程的控制流图;
图3是本发明车载设备软件升级系统一种具体实施例中安全传输通道建立过程的控制流图;
图4是本发明车载设备软件升级系统一种具体实施例中设备软件信息监控过程的控制流图;
图中:1-地面子系统,2-车载子系统,11-地面防火墙,12-安全应用服务器,13-安全管理工作站,14-OTA服务器,15-OTA工作站,21-车载设备,22-车载安全网关。
具体实施方式
为了引用和清楚起见,将下文中使用的技术名词、简写或缩写记载如下:
OTA:Over-the-Air,空间下载的简称。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述。显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
如附图1至附图4所示,给出了本发明车载设备软件升级方法及系统的具体实施例,下面结合附图和具体实施例对本发明作进一步说明。
实施例1
一种本发明车载设备软件升级方法的实施例,具体包括执行顺序不分先后的以下步骤:
S10)软件升级包加密过程:在车载设备软件升级包发布至OTA服务器14时采用加密算法对软件升级包进行随机加密和散列签名,确保软件升级包在发布、存储、传输及刷写过程中的机密性、完整性和可用性;
S20)安全传输通道建立过程:通过交互认证、加密传输及路由管控建立从OTA服务器14至车载设备21的点到点安全传输通道,保护车载设备21与OTA服务器14之间交互信息的机密性、完整性和可用性;
S30)车载设备软件信息监控过程:收集车载设备软件信息至OTA服务器14,OTA服务器14对车载设备软件信息进行分析,将软件信息及分析结果通过包括图形化和列表化在内的显示方式展示给工作人员,并对车载设备软件的安全态势进行警示。
如附图2所示,软件升级包加密过程S10)进一步包括以下步骤:
S101)工作人员通过安全管理工作站13向安全应用服务器12请求加密软件升级包的密钥及密钥文件,不同车载设备21生成的密钥及密钥文件不同,密钥及密钥文件与车载设备信息和软件信息可具备一定的相关性;
S102)安全应用服务器12生成两组公私钥对(即密钥对一和密钥对二)及公私钥对文件,并将车载设备21的第三密钥及密钥文件返回至安全管理工作站13,相对应的第四密钥及密钥文件将保存在安全应用服务器12中;
S103)工作人员再通过安全管理工作站13将第三密钥及密钥文件导入车载设备21中;
S104)当有新的软件升级包发布至OTA服务器14时,OTA服务器14会将发布的软件升级包明文发送至安全应用服务器12;
S105)安全应用服务器12收到OTA服务器14发送的软件升级包,首先生成软件升级包的散列值并利用事先生成的密钥对一的私钥进行签名,然后生成随机对称密钥加密软件升级包和签名,再利用密钥对二的公钥对随机对称密钥进行加密,最后与软件升级包密文一起通过安全传输通道发送至车载设备21,该步骤中的随机对称密钥可结合车载设备信息和软件信息生成;
S106)车载设备获取软件升级包的密文后,先利用密钥对二的私钥对随机对称密钥进行解密,然后利用随机对称密钥解密软件升级包和签名,再利用密钥对一的公钥对签名进行解密并验证解密出的散列值,如果散列值验证通过则认定该软件升级包来源合法、安全可靠,可安全升级车载设备软件。
如附图3所示,安全传输通道建立过程S20)进一步包括以下步骤:
S201)工作人员通过安全管理工作站13向安全应用服务器12请求建立安全传输通道的密钥及密钥文件,多个车载安全网关22可发放相同的密钥及密钥文件,也可发放不同的密钥及密钥文件;
S202)安全应用服务器12生成第一密钥及密钥文件和第二密钥及密钥文件,并将车载安全网关22的第一密钥及密钥文件返回至安全管理工作站13;
S203)工作人员再通过安全管理工作站13将第一密钥及密钥文件导入至车载安全网关22中;
S204)地面防火墙11的第二密钥及密钥文件由安全应用服务器12直接交互导入;
S205)在信息传输时车载安全网关22向地面防火墙11发送安全通道建立请求;
S206)地面防火墙根据导入的第二密钥及密钥文件生成第一认证信息,并发送至车载安全网关22;
S207)车载安全网关22接收到第一认证信息后利用事先导入的第一密钥及密钥文件对第一认证信息进行验证,如果验证通过再利用第一密钥及密钥文件生成第二认证信息,并发送至地面防火墙11,验证第一认证信息和生成第二认证信息所用第一密钥及密钥文件可以采用同一密钥,也可以采用不同密钥;
S208)地面防火墙11接收到第二认证信息后利用事先导入的第二密钥及密钥文件对第二认证信息进行验证,如果验证通过则随机生成会话密钥,利用第二密钥及密钥文件对会话密钥进行加密后发送至车载安全网关22,该会话密钥可结合车载安全网关22的信息生成;
S209)车载安全网关22接收到加密的会话密钥后利用导入的第一密钥及密钥文件对会话密钥进行解密;
S210)会话密钥解密后,车载安全网关22建立与车载设备21之间的路由控制,某一个或某几个车载设备21使用该会话密钥进行信息加密传输;
S211)地面防火墙11建立与OTA服务器14之间的路由控制,只有OTA服务器14才能使用该会话密钥进行信息加密传输,从而建立从车载设备21到OTA服务器14之间点到点的安全传输通道;车载设备21与OTA服务器14之间通过安全传输通道交互信息均为密文传输,其安全性和可靠性得到有效保障。
需要说明的是,在本实施例中,存储在地面防火墙11中的密钥及密钥文件可能有很多种,因为不同的车载安全网关22使用不同的密钥。同理,存储在安全应用服务器12中的密钥及密钥文件也有很多种,因为不同的车载设备21也可能使用不同的密钥。因此,地面防火墙11和安全应用服务器12中导入和存储的密钥及密钥文件可能因为车载安全网关22和车载设备21而采用的不同密钥,而且存在多份密钥及密钥文件。其中,由于车载安全网关22和地面防火墙11之间建立的是一条安全传输通道,车载设备21和安全应用服务器12使用的是一套加密软件升级包,因此车载安全网关22的第一密钥及密钥文件与地面防火墙11的第二密钥及密钥文件是对应的,而车载设备21的第三密钥及密钥文件与安全应用服务器12的第四密钥及密钥文件对应,此处的对应是指一对公私钥对(即前述的密钥对一或密钥对二),公钥对应相应的私钥。
如附图4所示,车载设备软件信息监控过程S30)进一步包括以下步骤:
S301)OTA服务器14与车载设备21之间按照S20)所述的步骤建立点到点的安全传输通道;
S302)安全传输通道建立后OTA服务器14向车载设备21发送软件信息请求;
S303)车载设备21收到请求后返回自身软件的信息;
S304)OTA服务器14收到软件信息后对信息进行处理、存储及分析,并对软件安全风险进行评估;
S305)工作人员能通过OTA工作站15请求查看各型车载设备21的软件信息;
S306)OTA工作站15将请求传递至OTA服务器14;
S307)OTA服务器14根据查看需求返回所需的车载设备软件信息、以及分析结果和安全风险信息;
S308)OTA工作站15收到各类信息后以包括图形列表在内的直观形式展示给工作人员,其中安全风险将特别标注警示;
S309)工作人员根据展示出来的车载设备软件信息、分析结果及安全风险信息进行判断决策是否升级;
S310)如果决定升级车载设备软件,则下达软件升级指令,OTA工作站15将该指令发送至OTA服务器14;
S311)OTA服务器14将软件升级指令和签名加密的软件升级包发送至车载设备21;
S312)车载设备21接收到软件升级指令和软件升级包后按照S10)所述的步骤对软件升级包进行解密验证,验证通过后升级车载设备软件。
实施例1描述的车载设备软件升级方法,通过OTA方式对列车车载设备软件进行升级,建立从车载设备到OTA服务器之间点到点的安全传输通道,并在OTA软件升级包发布之初就进行加密保护,在列车车载网络中添加车载安全网关防止对车载子系统的恶意攻击,列车车载设备软件各类信息的存储分析和直观展示,以及对软件安全态势的风险评估和警示。实施例1描述的列车车载设备软件OTA安全升级能够有效保证车载设备软件在OTA升级过程中交互的各种信息以及软件包的机密性、完整性和可用性,防止针对软件包、软件OTA升级系统、地面子系统和车载子系统的恶意攻击,使列车车载设备软件的维护无需现场升级,大大提高了软件维护的效率和降低了软件维护的成本,实现了软件状态的及时监控。同时,车载设备软件故障的及时修复和软件功能的及时更新,确保了车载设备软件安全可靠地运行。
实施例2
如附图1所示,一种本发明车载设备软件升级系统的实施例,具体包括:地面子系统1和车载子系统2,地面子系统1包括地面防火墙11、安全应用服务器12、安全管理工作站13、OTA服务器14和OTA工作站15。OTA服务器14分别与地面防火墙11、安全应用服务器12及OTA工作站15相连,安全管理工作站13与安全应用服务器12相连,安全应用服务器12与OTA服务器14相连。地面子系统1用于实现车载设备软件升级包加密,软件升级安全通道建立,车载设备软件安全态势监控及外部恶意攻击防御。车载子系统2包括车载设备21和车载安全网关22,车载安全网关22分别与车载设备21及地面防火墙11相连,车载子系统2用于实现车载设备软件升级安全通道建立,软件升级包接收、车载设备软件升级及外部恶意攻击防御。
其中,车载设备软件升级系统各单元模块的功能如下:
OTA服务器14:(列车车载设备)软件(OTA安全)升级系统的核心设备,收集、分析和管理各类车载设备软件信息,发布和存储软件升级包,感知和警示车载设备软件的安全态势,并将相关安全态势信息反馈至OTA工作站15与工作人员进行交互。
OTA工作站15:具备与OTA服务器14及工作人员进行信息交互的能力,以包括图形列表在内的形式清晰展示各类车载设备软件的使用现状、升级需求、安全态势等信息,实现工作人员对车载设备软件的监控、发布、更新、删除、修改操作。
安全应用服务器12:构建安全应用系统的核心设备,具备与OTA服务器14进行通信、软件升级包加密,密钥及密钥文件管理等多种安全功能。
安全管理工作站13:具备与安全应用服务器12、车载设备21、车载安全网关22及工作人员进行信息交互的能力,实现工作人员对密钥及密钥文件的管理操作,以及拷贝密钥及密钥文件至车载设备21或车载安全网关22。
地面防火墙11:具备网络隔离、流量控制、防御攻击、接入认证及安全通道建立等安全能力,保证地面子系统1在与公共网络交互过程中的安全性,并建立从OTA服务器14至车载设备21的点对点安全传输通道,确保软件升级包在公共网络传输过程中的机密性、完整性和可用性。
车载安全网关22:具备防火墙和无线通信的能力,在防御外部对车载子系统2攻击的同时,还可以建立无线数据传输链路,并与地面防火墙11交互建立从车载设备21至OTA服务器14的点对点安全传输通道,确保软件升级包在公共网络传输过程中的机密性、完整性和可用性。
车载设备21:车载子系统2包括若干个与车载安全网关22相连的车载设备21,车载设备21用于构建列车的多个系统,并作为软件升级的主要对象,具备与车载安全网关22进行通信的能力,可接收、解密并更新软件升级包。
实施例2描述的车载设备软件升级系统,列车车载设备软件OTA安全升级的功能可分为三个部分:OTA软件(升级)包加密、安全传输通道建立和车载设备软件信息监控。
软件升级包加密功能是在车载设备软件升级包发布至OTA服务器14时采用加密算法对软件升级包进行随机加密和散列签名,确保软件升级包在发布、存储、传输及刷写过程中的机密性、完整性和可用性。
安全传输通道建立功能是通过交互认证、加密传输及路由管控建立从OTA服务器14至车载设备21的点到点安全传输通道,保护车载设备21与OTA服务器14之间交互信息的机密性、完整性和可用性。
车载设备软件信息监控功能是及时收集反馈车载设备软件信息至OTA服务器14,OTA服务器14对车载设备软件信息进行分析,将软件信息及分析结果通过包括图形化和列表化在内的显示方式展示给工作人员,并对车载设备软件的安全态势进行警示,为工作人员下一步操作提供充分的参考依据。
OTA服务器14与车载设备21之间建立点到点的安全传输通道,如附图1中车载设备21与OTA服务器14之间的虚线空心箭头所示。安全传输通道建立后OTA服务器14向车载设备21发送软件信息请求。车载设备21收到请求后返回自身软件的信息。OTA服务器14收到软件信息后对信息进行处理、存储及分析,并对软件安全风险进行评估。工作人员能通过OTA工作站15请求查看各型车载设备21的软件信息。OTA工作站15将请求传递至OTA服务器14。OTA服务器14根据查看需求返回所需的车载设备软件信息、以及分析结果和安全风险信息。OTA工作站15收到各类信息后以包括图形列表在内的直观形式展示给工作人员。工作人员根据展示出来的车载设备软件信息、分析结果及安全风险信息进行判断决策是否升级。如果决定升级车载设备软件,则下达软件升级指令,OTA工作站15将该指令发送至OTA服务器14。OTA服务器14将软件升级指令和签名加密的软件升级包发送至车载设备21。车载设备21接收到软件升级指令和软件升级包后对软件升级包进行解密验证,验证通过后升级车载设备软件。
工作人员通过安全管理工作站13向安全应用服务器12请求建立安全传输通道的密钥及密钥文件。安全应用服务器12生成第一密钥及密钥文件和第二密钥及密钥文件,并将车载安全网关22的第一密钥及密钥文件返回至安全管理工作站13。工作人员再通过安全管理工作站13将第一密钥及密钥文件导入至车载安全网关22中。地面防火墙11的第二密钥及密钥文件由安全应用服务器12直接交互导入。在信息传输时车载安全网关22向地面防火墙11发送安全通道建立请求。地面防火墙根据导入的第二密钥及密钥文件生成第一认证信息,并发送至车载安全网关22。车载安全网关22接收到第一认证信息后利用事先导入的第一密钥及密钥文件对第一认证信息进行验证,如果验证通过再利用第一密钥及密钥文件生成第二认证信息,并发送至地面防火墙11。地面防火墙11接收到第二认证信息后利用事先导入的第二密钥及密钥文件对第二认证信息进行验证,如果验证通过则随机生成会话密钥,利用第二密钥及密钥文件对会话密钥进行加密后发送至车载安全网关22。车载安全网关22接收到加密的会话密钥后利用导入的第一密钥及密钥文件对会话密钥进行解密。会话密钥解密后,车载安全网关22建立与车载设备21之间的路由控制,某一个或某几个车载设备21使用该会话密钥进行信息加密传输。地面防火墙11建立与OTA服务器14之间的路由控制,只有OTA服务器14才能使用该会话密钥进行信息加密传输,从而建立从车载设备21到OTA服务器14之间点到点的安全传输通道。车载设备21与OTA服务器14之间通过安全传输通道交互信息均为密文传输。
工作人员通过安全管理工作站13向安全应用服务器12请求加密软件升级包的密钥及密钥文件,不同车载设备21生成的密钥及密钥文件不同。安全应用服务器12生成两组公私钥对及公私钥对文件,并将车载设备21的第三密钥及密钥文件返回至安全管理工作站13,相对应的第四密钥及密钥文件将保存在安全应用服务器12中。工作人员再通过安全管理工作站13将第三密钥及密钥文件导入车载设备21中。当有新的软件升级包发布至OTA服务器14时,OTA服务器14会将发布的软件升级包明文发送至安全应用服务器12。安全应用服务器12收到OTA服务器14发送的软件升级包,首先生成软件升级包的散列值并利用事先生成的密钥对一的私钥进行签名,然后生成随机对称密钥加密软件升级包和签名,再利用密钥对二的公钥对随机对称密钥进行加密,最后与软件升级包密文一起通过安全传输通道发送至车载设备21。车载设备获取软件升级包的密文后,先利用密钥对二的私钥对随机对称密钥进行解密,然后利用随机对称密钥解密软件升级包和签名,再利用密钥对一的公钥对签名进行解密并验证解密出的散列值,如果散列值验证通过则认定该软件升级包来源合法、安全可靠,可安全升级车载设备软件。
在此需要特别说明的是,本发明实施例中,部分加密步骤中所用的对称加密算法和非对称加密算法可以互换,其对应的对称密钥和非对称密钥也可互换。其次,密钥及密钥文件的分发和存储可采用多种形式,比如:数字证书、数据文件、字符串等。此外,安全应用服务器12可替换成密钥管理系统、数字证书认证授权系统、数字证书注册审批系统、目录服务系统、签名验证服务器、服务器密码机等形式。
本发明实施例1和2充分利用信息领域成熟的信息安全技术,提供了一种安全的列车车载设备软件的OTA升级方法及系统。该方法及系统包括了OTA服务器14、OTA工作站15、安全应用服务器12、安全管理工作站13、地面防火墙11、车载安全网关22及车载设备21,通过OTA软件(升级)包的加密、安全传输通道的建立、车载设备软件的监控、各类密钥的管理、地面子系统的防护,及车载子系统的防护等安全功能的实现,在大大提高列车车载设备软件维护便利性的同时,也确保了各个车载设备和整个系统的安全性和可靠性。
通过实施本发明具体实施例描述的车载设备软件升级方法及系统的技术方案,能够产生如下技术效果:
(1)本发明具体实施例描述的车载设备软件升级方法及系统,能够确保列车车载设备软件OTA安全升级系统安全可靠的运行,防范针对列车车载子系统和地面子系统的恶意攻击,大大提高了列车车载设备软件的维护效率,并减少了系统维护成本;
(2)本发明具体实施例描述的车载设备软件升级方法及系统,能够实现列车车载设备软件的及时更新,有助于提高车载设备软件乃至系统自身的安全性,能够及时获取列车车载设备软件信息,直观展示给工作人员,并对软件安全风险进行安全报警;
(3)本发明具体实施例描述的车载设备软件升级方法及系统,能够确保列车车载设备OTA软件包的来源合法和安全可靠,并确保列车车载设备和OTA服务器之间传输信息的机密性、完整性和可用性,能够有效防止对软件包的泄露、窃取、篡改、伪造和破坏。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制。虽然本发明已以较佳实施例揭示如上,然而并非用以限定本发明。任何熟悉本领域的技术人员,在不脱离本发明的精神实质和技术方案的情况下,都可利用上述揭示的方法和技术内容对本发明技术方案做出许多可能的变动和修饰,或修改为等同变化的等效实施例。因此,凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所做的任何简单修改、等同替换、等效变化及修饰,均仍属于本发明技术方案保护的范围。
Claims (15)
1.一种车载设备软件升级方法,其特征在于,包括执行顺序不分先后的以下步骤:
S10)软件升级包加密过程:在车载设备软件升级包发布至OTA服务器(14)时采用加密算法对软件升级包进行随机加密和散列签名,确保软件升级包在发布、存储、传输及刷写过程中的机密性、完整性和可用性;
S20)安全传输通道建立过程:通过交互认证、加密传输及路由管控建立从OTA服务器(14)至车载设备(21)的点到点安全传输通道,保护车载设备(21)与OTA服务器(14)之间交互信息的机密性、完整性和可用性;
S30)车载设备软件信息监控过程:收集车载设备软件信息至OTA服务器(14),OTA服务器(14)对车载设备软件信息进行分析,将软件信息及分析结果通过包括图形化和列表化在内的显示方式展示给工作人员,并对车载设备软件的安全态势进行警示。
2.根据权利要求1所述的车载设备软件升级方法,其特征在于,所述车载设备软件信息监控过程S30)进一步包括以下步骤:
S301)OTA服务器(14)与车载设备(21)之间建立点到点的安全传输通道;
S302)安全传输通道建立后OTA服务器(14)向车载设备(21)发送软件信息请求;
S303)车载设备(21)收到请求后返回自身软件的信息;
S304)OTA服务器(14)收到软件信息后对信息进行处理、存储及分析,并对软件安全风险进行评估;
S305)工作人员能通过OTA工作站(15)请求查看各型车载设备(21)的软件信息;
S306)OTA工作站(15)将请求传递至OTA服务器(14);
S307)OTA服务器(14)根据查看需求返回所需的车载设备软件信息、以及分析结果和安全风险信息;
S308)OTA工作站(15)收到各类信息后以包括图形列表在内的直观形式展示给工作人员;
S309)工作人员根据展示出来的车载设备软件信息、分析结果及安全风险信息进行判断决策是否升级;
S310)如果决定升级车载设备软件,则下达软件升级指令,OTA工作站(15)将该指令发送至OTA服务器(14);
S311)OTA服务器(14)将软件升级指令和签名加密的软件升级包发送至车载设备(21);
S312)车载设备(21)接收到软件升级指令和软件升级包后对软件升级包进行解密验证,验证通过后升级车载设备软件。
3.根据权利要求2所述的车载设备软件升级方法,其特征在于,所述安全传输通道建立过程S20)进一步包括以下步骤:
S201)工作人员通过安全管理工作站(13)向安全应用服务器(12)请求建立安全传输通道的密钥及密钥文件;
S202)安全应用服务器(12)生成第一密钥及密钥文件和第二密钥及密钥文件,并将车载安全网关(22)的第一密钥及密钥文件返回至安全管理工作站(13);
S203)工作人员再通过安全管理工作站(13)将第一密钥及密钥文件导入至车载安全网关(22)中;
S204)地面防火墙(11)的第二密钥及密钥文件由安全应用服务器(12)直接交互导入;
S205)在信息传输时车载安全网关(22)向地面防火墙(11)发送安全通道建立请求;
S206)地面防火墙根据导入的第二密钥及密钥文件生成第一认证信息,并发送至车载安全网关(22);
S207)车载安全网关(22)接收到第一认证信息后利用事先导入的第一密钥及密钥文件对第一认证信息进行验证,如果验证通过再利用第一密钥及密钥文件生成第二认证信息,并发送至地面防火墙(11);
S208)地面防火墙(11)接收到第二认证信息后利用事先导入的第二密钥及密钥文件对第二认证信息进行验证,如果验证通过则随机生成会话密钥,利用第二密钥及密钥文件对会话密钥进行加密后发送至车载安全网关(22);
S209)车载安全网关(22)接收到加密的会话密钥后利用导入的第一密钥及密钥文件对会话密钥进行解密;
S210)会话密钥解密后,车载安全网关(22)建立与车载设备(21)之间的路由控制,某一个或某几个车载设备(21)使用该会话密钥进行信息加密传输;
S211)地面防火墙(11)建立与OTA服务器(14)之间的路由控制,只有OTA服务器(14)才能使用该会话密钥进行信息加密传输,从而建立从车载设备(21)到OTA服务器(14)之间点到点的安全传输通道;车载设备(21)与OTA服务器(14)之间通过安全传输通道交互信息均为密文传输。
4.根据权利要求1、2或3所述的车载设备软件升级方法,其特征在于,所述软件升级包加密过程S10)进一步包括以下步骤:
S101)工作人员通过安全管理工作站(13)向安全应用服务器(12)请求加密软件升级包的密钥及密钥文件,不同车载设备(21)生成的密钥及密钥文件不同;
S102)安全应用服务器(12)生成两组公私钥对及公私钥对文件,并将车载设备(21)的第三密钥及密钥文件返回至安全管理工作站(13),相对应的第四密钥及密钥文件将保存在安全应用服务器(12)中;
S103)工作人员再通过安全管理工作站(13)将第三密钥及密钥文件导入车载设备(21)中;
S104)当有新的软件升级包发布至OTA服务器(14)时,OTA服务器(14)会将发布的软件升级包明文发送至安全应用服务器(12);
S105)安全应用服务器(12)收到OTA服务器(14)发送的软件升级包,首先生成软件升级包的散列值并利用事先生成的密钥对一的私钥进行签名,然后生成随机对称密钥加密软件升级包和签名,再利用密钥对二的公钥对随机对称密钥进行加密,最后与软件升级包密文一起通过安全传输通道发送至车载设备(21);
S106)车载设备获取软件升级包的密文后,先利用密钥对二的私钥对随机对称密钥进行解密,然后利用随机对称密钥解密软件升级包和签名,再利用密钥对一的公钥对签名进行解密并验证解密出的散列值,如果散列值验证通过则认定该软件升级包来源合法、安全可靠,可安全升级车载设备软件。
5.一种车载设备软件升级系统,其特征在于,包括:地面子系统(1)和车载子系统(2),所述地面子系统(1)包括地面防火墙(11)、安全应用服务器(12)、安全管理工作站(13)、OTA服务器(14)和OTA工作站(15);所述OTA服务器(14)分别与地面防火墙(11)、安全应用服务器(12)及OTA工作站(15)相连,所述安全管理工作站(13)与安全应用服务器(12)相连,所述安全应用服务器(12)与OTA服务器(14)相连,所述地面子系统(1)用于实现车载设备软件升级包加密,软件升级安全通道建立,车载设备软件安全态势监控及外部恶意攻击防御;所述车载子系统(2)包括车载设备(21)和车载安全网关(22),所述车载安全网关(22)分别与车载设备(21)及地面防火墙(11)相连,所述车载子系统(2)用于实现车载设备软件升级安全通道建立,软件升级包接收、车载设备软件升级及外部恶意攻击防御。
6.根据权利要求5所述的车载设备软件升级系统,其特征在于:所述OTA服务器(14)收集、分析和管理各类车载设备软件信息,发布和存储软件升级包,感知和警示车载设备软件的安全态势,并将相关安全态势信息反馈至OTA工作站(15)与工作人员进行交互。
7.根据权利要求5或6所述的车载设备软件升级系统,其特征在于:所述OTA工作站(15)与OTA服务器(14)及工作人员进行信息交互,以包括图形列表在内的形式展示各类车载设备软件的使用现状、升级需求、安全态势信息,实现工作人员对车载设备软件的监控、发布、更新、删除、修改操作。
8.根据权利要求7所述的车载设备软件升级系统,其特征在于:所述安全应用服务器(12)用于与OTA服务器(14)进行通信、软件升级包加密,密钥及密钥文件管理。
9.根据权利要求5、6或8所述的车载设备软件升级系统,其特征在于:所述安全管理工作站(13)与安全应用服务器(12)、车载设备(21)、车载安全网关(22)及工作人员进行信息交互,实现工作人员对密钥及密钥文件的管理操作,以及拷贝密钥及密钥文件至车载设备(21)或车载安全网关(22)。
10.根据权利要求9所述的车载设备软件升级系统,其特征在于:所述地面防火墙(11)用于实现网络隔离、流量控制、防御攻击、接入认证及安全通道建立,保证所述地面子系统(1)在与公共网络交互过程中的安全性,并建立从所述OTA服务器(14)至车载设备(21)的点对点安全传输通道,确保软件升级包在公共网络传输过程中的机密性、完整性和可用性。
11.根据权利要求5、6、8或10所述的车载设备软件升级系统,其特征在于:所述车载安全网关(22)用于实现防火墙和无线通信功能,在防御外部对所述车载子系统(2)攻击的同时,建立无线数据传输链路,并与所述地面防火墙(11)交互建立从车载设备(21)至OTA服务器(14)的点对点安全传输通道,确保软件升级包在公共网络传输过程中的机密性、完整性和可用性。
12.根据权利要求11所述的车载设备软件升级系统,其特征在于:所述车载子系统(2)包括若干个与所述车载安全网关(22)相连的车载设备(21),所述车载设备(21)构建列车的多个系统,并作为软件升级的主要对象,用于实现与所述车载安全网关(22)的通信,接收、解密并更新软件升级包。
13.根据权利要求5、6、8、10或12所述的车载设备软件升级系统,其特征在于:OTA服务器(14)与车载设备(21)之间建立点到点的安全传输通道;安全传输通道建立后OTA服务器(14)向车载设备(21)发送软件信息请求;车载设备(21)收到请求后返回自身软件的信息;OTA服务器(14)收到软件信息后对信息进行处理、存储及分析,并对软件安全风险进行评估;工作人员能通过OTA工作站(15)请求查看各型车载设备(21)的软件信息;OTA工作站(15)将请求传递至OTA服务器(14);OTA服务器(14)根据查看需求返回所需的车载设备软件信息、以及分析结果和安全风险信息;OTA工作站(15)收到各类信息后以包括图形列表在内的直观形式展示给工作人员;工作人员根据展示出来的车载设备软件信息、分析结果及安全风险信息进行判断决策是否升级;如果决定升级车载设备软件,则下达软件升级指令,OTA工作站(15)将该指令发送至OTA服务器(14);OTA服务器(14)将软件升级指令和签名加密的软件升级包发送至车载设备(21);车载设备(21)接收到软件升级指令和软件升级包后对软件升级包进行解密验证,验证通过后升级车载设备软件。
14.根据权利要求13所述的车载设备软件升级系统,其特征在于:工作人员通过安全管理工作站(13)向安全应用服务器(12)请求建立安全传输通道的密钥及密钥文件;安全应用服务器(12)生成第一密钥及密钥文件和第二密钥及密钥文件,并将车载安全网关(22)的第一密钥及密钥文件返回至安全管理工作站(13);工作人员再通过安全管理工作站(13)将第一密钥及密钥文件导入至车载安全网关(22)中;地面防火墙(11)的第二密钥及密钥文件由安全应用服务器(12)直接交互导入;在信息传输时车载安全网关(22)向地面防火墙(11)发送安全通道建立请求;地面防火墙根据导入的第二密钥及密钥文件生成第一认证信息,并发送至车载安全网关(22);车载安全网关(22)接收到第一认证信息后利用事先导入的第一密钥及密钥文件对第一认证信息进行验证,如果验证通过再利用第一密钥及密钥文件生成第二认证信息,并发送至地面防火墙(11);地面防火墙(11)接收到第二认证信息后利用事先导入的第二密钥及密钥文件对第二认证信息进行验证,如果验证通过则随机生成会话密钥,利用第二密钥及密钥文件对会话密钥进行加密后发送至车载安全网关(22);车载安全网关(22)接收到加密的会话密钥后利用导入的第一密钥及密钥文件对会话密钥进行解密;会话密钥解密后,车载安全网关(22)建立与车载设备(21)之间的路由控制,某一个或某几个车载设备(21)使用该会话密钥进行信息加密传输;地面防火墙(11)建立与OTA服务器(14)之间的路由控制,只有OTA服务器(14)才能使用该会话密钥进行信息加密传输,从而建立从车载设备(21)到OTA服务器(14)之间点到点的安全传输通道;车载设备(21)与OTA服务器(14)之间通过安全传输通道交互信息均为密文传输。
15.根据权利要求14所述的车载设备软件升级系统,其特征在于:工作人员通过安全管理工作站(13)向安全应用服务器(12)请求加密软件升级包的密钥及密钥文件,不同车载设备(21)生成的密钥及密钥文件不同;安全应用服务器(12)生成两组公私钥对及公私钥对文件,并将车载设备(21)的第三密钥及密钥文件返回至安全管理工作站(13),相对应的第四密钥及密钥文件将保存在安全应用服务器(12)中;工作人员再通过安全管理工作站(13)将第三密钥及密钥文件导入车载设备(21)中;当有新的软件升级包发布至OTA服务器(14)时,OTA服务器(14)会将发布的软件升级包明文发送至安全应用服务器(12);安全应用服务器(12)收到OTA服务器(14)发送的软件升级包,首先生成软件升级包的散列值并利用事先生成的密钥对一的私钥进行签名,然后生成随机对称密钥加密软件升级包和签名,再利用密钥对二的公钥对随机对称密钥进行加密,最后与软件升级包密文一起通过安全传输通道发送至车载设备(21);车载设备获取软件升级包的密文后,先利用密钥对二的私钥对随机对称密钥进行解密,然后利用随机对称密钥解密软件升级包和签名,再利用密钥对一的公钥对签名进行解密并验证解密出的散列值,如果散列值验证通过则认定该软件升级包来源合法、安全可靠,可安全升级车载设备软件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910704033.7A CN112328271B (zh) | 2019-07-31 | 2019-07-31 | 一种车载设备软件升级方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910704033.7A CN112328271B (zh) | 2019-07-31 | 2019-07-31 | 一种车载设备软件升级方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112328271A true CN112328271A (zh) | 2021-02-05 |
| CN112328271B CN112328271B (zh) | 2022-05-03 |
Family
ID=74319698
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910704033.7A Active CN112328271B (zh) | 2019-07-31 | 2019-07-31 | 一种车载设备软件升级方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112328271B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112711433A (zh) * | 2020-12-31 | 2021-04-27 | 哈尔滨市科佳通用机电股份有限公司 | 一种无线机车信号发码设备软件更新系统及方法 |
| CN113055181A (zh) * | 2021-03-08 | 2021-06-29 | 爱瑟福信息科技(上海)有限公司 | Ota文件安全处理方法、装置及系统 |
| CN114374679A (zh) * | 2022-01-11 | 2022-04-19 | 深圳市赛格车圣科技有限公司 | 一种tbox利用doip升级车载设备的方法 |
| WO2024007987A1 (zh) * | 2022-07-06 | 2024-01-11 | 中国第一汽车股份有限公司 | 数字钥匙系统的车端固件升级方法、装置、设备及介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050187668A1 (en) * | 2004-02-23 | 2005-08-25 | Baumgarte Joseph W. | System or method for loading software onto a vehicle |
| CN106453269A (zh) * | 2016-09-21 | 2017-02-22 | 东软集团股份有限公司 | 车联网安全通信方法、车载终端、服务器及系统 |
| CN106648626A (zh) * | 2016-11-29 | 2017-05-10 | 郑州信大捷安信息技术股份有限公司 | 一种车辆安全远程升级系统及升级方法 |
| CN108566381A (zh) * | 2018-03-19 | 2018-09-21 | 百度在线网络技术(北京)有限公司 | 一种安全升级方法、装置、服务器、设备和介质 |
| CN108845562A (zh) * | 2018-06-09 | 2018-11-20 | 铠龙东方汽车有限公司 | 一种基于车联网的智能车载服务系统 |
| CN108923933A (zh) * | 2018-07-12 | 2018-11-30 | 北京航空航天大学 | 服务器的工作方法、车载终端的升级方法及系统 |
| CN109088848A (zh) * | 2018-06-04 | 2018-12-25 | 佛吉亚好帮手电子科技有限公司 | 一种智能网联汽车信息安全保护方法 |
| CN109495307A (zh) * | 2018-11-27 | 2019-03-19 | 北京车和家信息技术有限公司 | 系统升级方法、ota升级包加密方法、终端设备及车辆 |
| CN109714344A (zh) * | 2018-12-28 | 2019-05-03 | 国汽(北京)智能网联汽车研究院有限公司 | 基于“端-管-云”的智能网联汽车信息安全平台 |
-
2019
- 2019-07-31 CN CN201910704033.7A patent/CN112328271B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050187668A1 (en) * | 2004-02-23 | 2005-08-25 | Baumgarte Joseph W. | System or method for loading software onto a vehicle |
| CN106453269A (zh) * | 2016-09-21 | 2017-02-22 | 东软集团股份有限公司 | 车联网安全通信方法、车载终端、服务器及系统 |
| CN106648626A (zh) * | 2016-11-29 | 2017-05-10 | 郑州信大捷安信息技术股份有限公司 | 一种车辆安全远程升级系统及升级方法 |
| CN108566381A (zh) * | 2018-03-19 | 2018-09-21 | 百度在线网络技术(北京)有限公司 | 一种安全升级方法、装置、服务器、设备和介质 |
| CN109088848A (zh) * | 2018-06-04 | 2018-12-25 | 佛吉亚好帮手电子科技有限公司 | 一种智能网联汽车信息安全保护方法 |
| CN108845562A (zh) * | 2018-06-09 | 2018-11-20 | 铠龙东方汽车有限公司 | 一种基于车联网的智能车载服务系统 |
| CN108923933A (zh) * | 2018-07-12 | 2018-11-30 | 北京航空航天大学 | 服务器的工作方法、车载终端的升级方法及系统 |
| CN109495307A (zh) * | 2018-11-27 | 2019-03-19 | 北京车和家信息技术有限公司 | 系统升级方法、ota升级包加密方法、终端设备及车辆 |
| CN109714344A (zh) * | 2018-12-28 | 2019-05-03 | 国汽(北京)智能网联汽车研究院有限公司 | 基于“端-管-云”的智能网联汽车信息安全平台 |
Non-Patent Citations (2)
| Title |
|---|
| 季枫: "SSL协议(HTTPS) 握手、工作流程详解(双向HTTPS流程) https://www.cnblogs.com/jifeng/archive/2010/11/30/1891779.html", 《博客园》 * |
| 王栋梁等: "智能网联汽车整车OTA功能设计研究", 《汽车技术》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112711433A (zh) * | 2020-12-31 | 2021-04-27 | 哈尔滨市科佳通用机电股份有限公司 | 一种无线机车信号发码设备软件更新系统及方法 |
| CN113055181A (zh) * | 2021-03-08 | 2021-06-29 | 爱瑟福信息科技(上海)有限公司 | Ota文件安全处理方法、装置及系统 |
| CN114374679A (zh) * | 2022-01-11 | 2022-04-19 | 深圳市赛格车圣科技有限公司 | 一种tbox利用doip升级车载设备的方法 |
| WO2024007987A1 (zh) * | 2022-07-06 | 2024-01-11 | 中国第一汽车股份有限公司 | 数字钥匙系统的车端固件升级方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112328271B (zh) | 2022-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112328271B (zh) | 一种车载设备软件升级方法及系统 | |
| CN108632250B (zh) | 指令操控会话主密钥生成、操作指令传输的方法及设备 | |
| CN107180175B (zh) | 配送方法和配送装置以及配送系统 | |
| CN109905371B (zh) | 双向加密认证系统及其应用方法 | |
| EP3893108A1 (en) | Vehicle-mounted device upgrading method, and related apparatus | |
| CN112543927A (zh) | 一种设备升级方法及相关设备 | |
| CN105246071A (zh) | 一种车联网系统中的消息生成和验证方法、设备 | |
| CN104053149A (zh) | 一种实现车联网设备的安全机制的方法及系统 | |
| CN112332975A (zh) | 物联网设备安全通信方法及系统 | |
| CN114327532A (zh) | 一种基于数字签名和加密的汽车ota升级信息安全实现方法 | |
| CN107635227A (zh) | 一种群组消息加密方法及装置 | |
| CN115051813B (zh) | 一种新能源平台控制指令保护方法及系统 | |
| CN103856321A (zh) | 一种数据加密解密方法及其系统 | |
| CN115396121A (zh) | 安全芯片ota数据包的安全认证方法及安全芯片装置 | |
| CN111787027A (zh) | 一种交通信息发布的安全防护系统及方法 | |
| CN112087419B (zh) | 一种车载终端数据传输安全防护方法和设备 | |
| CN115665138A (zh) | 一种汽车ota升级系统及方法 | |
| CN114339680B (zh) | 一种v2x系统及安全认证方法 | |
| CN112311799B (zh) | 一种Tbox固件的OTA安全升级方法 | |
| CN110445782A (zh) | 一种多媒体安全播控系统及方法 | |
| CN109617899A (zh) | 一种数据传输方法以及系统 | |
| CN110838910B (zh) | 一种基于sm3和sm4通信加密的地铁综合监控系统 | |
| CN112511983A (zh) | 一种基于车联网位置隐私保护系统及保护方法 | |
| JP7273947B2 (ja) | 暗号鍵を車内で管理するための方法 | |
| CN111045704A (zh) | 一种用于智能电网高端ami采集分析装备安全升级的方法以及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |