CN112583578B - 一种显示设备的安全升级方法及显示设备 - Google Patents

Abstract

本申请公开了一种显示设备的安全升级方法及显示设备，本申请实施例在显示设备升级时通过验证升级包的安全性，避免非法升级包给显示设备的使用带来隐患。该方法包括：接收显示设备升级的指令，下载升级包和摘要密文签名；将所述升级包计算得到第一摘要，并对所述摘要密文签名验签得到第一摘要密文；解密所述第一摘要密文，得第二摘要；如果所述第一摘要与第二摘要相同，则利用升级包升级显示设备；如果所述第一摘要与第二摘要不同，则取消升级显示设备，并将显示设备中的升级包和摘要密文签名删除。

Description

一种显示设备的安全升级方法及显示设备

技术领域

本申请涉及升级技术领域，尤其涉及一种显示设备的安全升级方法及显示设备。

背景技术

在智能电视中需要通过OTA(Over the Air，空中下载技术)升级方式完成系统的版本更新迭代。随之而来的是针对OTA升级包的安全担忧，一旦OTA升级包被劫持或者升级包被篡改都会给产品带来极大的安全问题，给用户带来不好的使用体验。所以，本申请亟待需要一种OTA升级包安全升级的方法。

发明内容

本申请实施例提供一种显示设备的安全升级方法及显示设备，以提升用户的使用感受。

第一方面，提供一种显示设备，包括：

显示器，用于显示用户界面；

用户接口，用于接收输入信号；

分别与显示器和用户接口连接的控制器，用于执行：

接收显示设备升级的指令，下载升级包和摘要密文签名；

将所述升级包计算得到第一摘要，并对所述摘要密文签名验签得到第一摘要密文；

解密所述第一摘要密文，得第二摘要；

如果所述第一摘要与第二摘要相同，则利用升级包升级显示设备；

如果所述第一摘要与第二摘要不同，则取消升级显示设备，并将显示设备中的升级包和摘要密文签名删除。

一些实施例中，所述控制器被配置为按照下述步骤执行下载升级包和摘要密文签名：

从服务器中下载升级包和摘要密文签名，其中所述摘要密文签名是根据所述服务器中的升级包确定的；根据所述服务器中的升级包，确定摘要密文签名的方法包括：

计算所述服务器中的升级包的第三摘要，对所述第三摘要加密，得到第二摘要密文；

对所述第二摘要密文进行加密，得到摘要密文签名。

一些实施例中，所述对第二摘要密文进行加密，得到摘要密文签名的步骤包括：

所述第二摘要密文通过非对称加密算法中的私钥进行加密，得到摘要密文签名。

一些实施例中，所述控制器，被配置为按照下述步骤执行对摘要密文签名验签得到第一摘要密文：

对摘要密文签名通过非对称加密算法中的公钥进行验签，得到第一摘要密文。

一些实施例中，所述计算服务器中的升级包的第三摘要的步骤包括：将所述服务器中的升级包利用哈希函数计算得到第三摘要。

一些实施例中，所述控制器，被配置为按照下述步骤执行将所述升级包计算得到第一摘要：将所述升级包利用哈希函数计算得到第一摘要。

第二方面，提供一种显示设备，包括：

显示器，用于显示用户界面；

用户接口，用于接收输入信号；

分别与显示器和用户接口连接的控制器，用于执行：

接收显示设备升级的指令，下载升级包链接、摘要密文和摘要明文；

对所述摘要密文解密，得到待比对摘要明文；

如果所述待比对摘要明文和摘要明文相同，则利用所述升级包链接，下载所述升级包；将下载后的升级包计算得到第四摘要，如果所述第四摘要与摘要明文相同，则利用所述升级包升级显示设备；

如果所述待比对摘要明文和摘要明文不同，则取消升级显示设备，并将显示设备中的升级包链接、摘要密文和摘要明文删除。

一些实施例中，所述控制器被配置为按照下述步骤执行下载升级包链接、摘要密文和摘要明文；

从服务器中下载升级包链接、摘要密文和摘要明文，其中所述摘要密文是根据所述服务器中的摘要明文加密得到的。

第三方面，提供一种显示设备的安全升级方法，所述方法包括：

接收显示设备升级的指令，下载升级包和摘要密文签名；

将所述升级包计算得到第一摘要，并对所述摘要密文签名验签得到第一摘要密文；

解密所述第一摘要密文，得第二摘要；

如果所述第一摘要与第二摘要相同，则利用升级包升级显示设备；

如果所述第一摘要与第二摘要不同，则取消升级显示设备，并将显示设备中的升级包和摘要密文签名删除。

第四方面，提供一种显示设备的安全升级方法，所述方法包括：

接收显示设备升级的指令，下载升级包链接、摘要密文和摘要明文；

对所述摘要密文解密，得到待比对摘要明文；

如果所述待比对摘要明文和摘要明文相同，则利用所述升级包链接，下载所述升级包；将下载后的升级包计算得到第四摘要，如果所述第四摘要与摘要明文相同，则利用所述升级包升级显示设备；

如果所述待比对摘要明文和摘要明文不同，则取消升级显示设备，并将显示设备中的升级包链接、摘要密文和摘要明文删除。

在上述实施例中，一种显示设备的安全升级方法及显示设备，本申请实施例在显示设备升级时通过验证升级包的安全性，避免非法升级包给显示设备的使用带来隐患。该方法包括：接收显示设备升级的指令，下载升级包和摘要密文签名；将所述升级包计算得到第一摘要，并对所述摘要密文签名验签得到第一摘要密文；解密所述第一摘要密文，得第二摘要；如果所述第一摘要与第二摘要相同，则利用升级包升级显示设备；如果所述第一摘要与第二摘要不同，则取消升级显示设备，并将显示设备中的升级包和摘要密文签名删除。

附图说明

图1示出了根据一些实施例的显示设备的使用场景；

图2示出了根据一些实施例的控制装置100的硬件配置框图；

图3示出了根据一些实施例的显示设备200的硬件配置框图；

图4示出了根据一些实施例的显示设备200中软件配置图；

图5中示例性示出了根据一些实施例的一种显示设备的安全升级方法；

图6中示例性示出了根据一些实施例的用户界面示意图；

图7中示例性示出了根据一些实施例中另一种显示设备的安全升级方法。

具体实施方式

为使本申请的目的和实施方式更加清楚，下面将结合本申请示例性实施例中的附图，对本申请示例性实施方式进行清楚、完整地描述，显然，描述的示例性实施例仅是本申请一部分实施例，而不是全部的实施例。

需要说明的是，本申请中对于术语的简要说明，仅是为了方便理解接下来描述的实施方式，而不是意图限定本申请的实施方式。除非另有说明，这些术语应当按照其普通和通常的含义理解。

本申请中说明书和权利要求书及上述附图中的术语″第一″、″第二″、″第三″等是用于区别类似或同类的对象或实体，而不必然意味着限定特定的顺序或先后次序，除非另外注明。应该理解这样使用的用语在适当情况下可以互换。

术语″包括″和″具有″以及他们的任何变形，意图在于覆盖但不排他的包含，例如，包含了一系列组件的产品或设备不必限于清楚地列出的所有组件，而是可包括没有清楚地列出的或对于这些产品或设备固有的其它组件。

术语″模块″是指任何已知或后来开发的硬件、软件、固件、人工智能、模糊逻辑或硬件或/和软件代码的组合，能够执行与该元件相关的功能。

图1为根据实施例中显示设备的使用场景的示意图。如图1所示，显示设备200还与服务器400进行数据通信，用户可通过智能设备300或控制装置100操作显示设备200。

在一些实施例中，控制装置100可以是遥控器，遥控器和显示设备的通信包括红外协议通信或蓝牙协议通信，及其他短距离通信方式中的至少一种，通过无线或有线方式来控制显示设备200。用户可以通过遥控器上按键、语音输入、控制面板输入等至少一种输入用户指令，来控制显示设备200。

在一些实施例中，智能设备300可以包括移动终端、平板电脑、计算机、笔记本电脑，AR/VR设备等中的任意一种。

在一些实施例中，也可以使用智能设备300以控制显示设备200。例如，使用在智能设备上运行的应用程序控制显示设备200。

在一些实施例中，也可以使用智能设备300和显示设备进行数据的通信。

在一些实施例中，显示设备200还可以采用除了控制装置100和智能设备300之外的方式进行控制，例如，可以通过显示设备200设备内部配置的获取语音指令的模块直接接收用户的语音指令控制，也可以通过显示设备200设备外部设置的语音控制装置来接收用户的语音指令控制。

在一些实施例中，显示设备200还与服务器400进行数据通信。可允许显示设备200通过局域网(LAN)、无线局域网(WLAN)和其他网络进行通信连接。服务器400可以向显示设备200提供各种内容和互动。服务器400可以是一个集群，也可以是多个集群，可以包括一类或多类服务器。

在一些实施例中，一个步骤执行主体执行的软件步骤可以随需求迁移到与之进行数据通信的另一步骤执行主体上进行执行。示例性的，服务器执行的软件步骤可以随需求迁移到与之数据通信的显示设备上执行，反之亦然。

图2示例性示出了根据示例性实施例中控制装置100的配置框图。如图2所示，控制装置100包括控制器110、通信接口130、用户输入/输出接口140、存储器、供电电源。控制装置100可接收用户的输入操作指令，且将操作指令转换为显示设备200可识别和响应的指令，起用用户与显示设备200之间交互中介作用。

在一些实施例中，通信接口130用于和外部通信，包含WIFI芯片，蓝牙模块，NFC或可替代模块中的至少一种。

在一些实施例中，用户输入/输出接口140包含麦克风，触摸板，传感器，按键或可替代模块中的至少一种。

图3示出了根据示例性实施例中显示设备200的硬件配置框图。

在一些实施例中，显示设备200包括调谐解调器210、通信器220、检测器230、外部装置接口240、控制器250、显示器260、音频输出接口270、存储器、供电电源、用户接口中的至少一种。

在一些实施例中控制器包括中央处理器，视频处理器，音频处理器，图形处理器，RAM，ROM，用于输入/输出的第一接口至第n接口。

在一些实施例中，显示器260包括用于呈现画面的显示屏组件，以及驱动图像显示的驱动组件，用于接收源自控制器输出的图像信号，进行显示视频内容、图像内容以及菜单操控界面的组件以及用户操控UI界面等。

在一些实施例中，显示器260可为液晶显示器、OLED显示器、以及投影显示器中的至少一种，还可以为一种投影装置和投影屏幕。

在一些实施例中，调谐解调器210通过有线或无线接收方式接收广播电视信号，以及从多个无线或有线广播电视信号中解调出音视频信号，如以及EPG数据信号。

在一些实施例中，通信器220是用于根据各种通信协议类型与外部设备或服务器进行通信的组件。例如：通信器可以包括Wifi模块，蓝牙模块，有线以太网模块等其他网络通信协议芯片或近场通信协议芯片，以及红外接收器中的至少一种。显示设备200可以通过通信器220与控制装置100或服务器400建立控制信号和数据信号的发送和接收。

在一些实施例中，检测器230用于采集外部环境或与外部交互的信号。例如，检测器230包括光接收器，用于采集环境光线强度的传感器；或者，检测器230包括图像采集器，如摄像头，可以用于采集外部环境场景、用户的属性或用户交互手势，再或者，检测器230包括声音采集器，如麦克风等，用于接收外部声音。

在一些实施例中，外部装置接口240可以包括但不限于如下：高清多媒体接口接口(HDMI)、模拟或数据高清分量输入接口(分量)、复合视频输入接口(CVBS)、USB输入接口(USB)、RGB端口等任一个或多个接口。也可以是上述多个接口形成的复合性的输入/输出接口。

在一些实施例中，控制器250和调谐解调器210可以位于不同的分体设备中，即调谐解调器210也可在控制器250所在的主体设备的外置设备中，如外置机顶盒等。

在一些实施例中，控制器250，通过存储在存储器上中各种软件控制程序，来控制显示设备的工作和响应用户的操作。控制器250控制显示设备200的整体操作。例如：响应于接收到用于选择在显示器260上显示UI对象的用户命令，控制器250便可以执行与由用户命令选择的对象有关的操作。

在一些实施例中，所述对象可以是可选对象中的任何一个，例如超链接、图标或其他可操作的控件。与所选择的对象有关操作有：显示连接到超链接页面、文档、图像等操作，或者执行与所述图标相对应程序的操作。

在一些实施例中控制器包括中央处理器(Central Processing Unit，CPU)，视频处理器，音频处理器，图形处理器(Graphics Processing Unit，GPU)，RAM Random AccessMemory，RAM)，ROM(Read-Only Memory，ROM)，用于输入/输出的第一接口至第n接口，通信总线(Bus)等中的至少一种。

CPU处理器。用于执行存储在存储器中操作系统和应用程序指令，以及根据接收外部输入的各种交互指令，来执行各种应用程序、数据和内容，以便最终显示和播放各种音视频内容。CPU处理器，可以包括多个处理器。如，包括一个主处理器以及一个或多个子处理器。

在一些实施例中，图形处理器，用于产生各种图形对象，如：图标、操作菜单、以及用户输入指令显示图形等中的至少一种。图形处理器包括运算器，通过接收用户输入各种交互指令进行运算，根据显示属性显示各种对象；还包括渲染器，对基于运算器得到的各种对象，进行渲染，上述渲染后的对象用于显示在显示器上。

在一些实施例中，视频处理器，用于将接收外部视频信号，根据输入信号的标准编解码协议，进行解压缩、解码、缩放、降噪、帧率转换、分辨率转换、图像合成等视频处理中的至少一种，可得到直接可显示设备200上显示或播放的信号。

在一些实施例中，视频处理器，包括解复用模块、视频解码模块、图像合成模块、帧率转换模块、显示格式化模块等中的至少一种。其中，解复用模块，用于对输入音视频数据流进行解复用处理。视频解码模块，用于对解复用后的视频信号进行处理，包括解码和缩放处理等。图像合成模块，如图像合成器，其用于将图形生成器根据用户输入或自身生成的GUI信号，与缩放处理后视频图像进行叠加混合处理，以生成可供显示的图像信号。帧率转换模块，用于对转换输入视频帧率。显示格式化模块，用于将接收帧率转换后视频输出信号，改变信号以符合显示格式的信号，如输出RGB数据信号。

在一些实施例中，音频处理器，用于接收外部的音频信号，根据输入信号的标准编解码协议，进行解压缩和解码，以及降噪、数模转换、和放大处理等处理中的至少一种，得到可以在扬声器中播放的声音信号。

在一些实施例中，用户可在显示器260上显示的图形用户界面(GUI)输入用户命令，则用户输入接口通过图形用户界面(GUI)接收用户输入命令。或者，用户可通过输入特定的声音或手势进行输入用户命令，则用户输入接口通过传感器识别出声音或手势，来接收用户输入命令。

在一些实施例中，″用户界面″，是应用程序或操作系统与用户之间进行交互和信息交换的介质接口，它实现信息的内部形式与用户可以接受形式之间的转换。用户界面常用的表现形式是图形用户界面(Graphic User Interface，GUI)，是指采用图形方式显示的与计算机操作相关的用户界面。它可以是在电子设备的显示屏中显示的一个图标、窗口、控件等界面元素，其中控件可以包括图标、按钮、菜单、选项卡、文本框、对话框、状态栏、导航栏、Widget等可视的界面元素中的至少一种。

在一些实施例中，用户接口280，为可用于接收控制输入的接口(如：显示设备本体上的实体按键，或其他等)。

在一些实施例中，显示设备的系统可以包括内核(Kernel)、命令解析器(shell)、文件系统和应用程序。内核、shell和文件系统一起组成了基本的操作系统结构，它们让用户可以管理文件、运行程序并使用系统。上电后，内核启动，激活内核空间，抽象硬件、初始化硬件参数等，运行并维护虚拟内存、调度器、信号及进程间通信(IPC)。内核启动后，再加载Shell和用户应用程序。应用程序在启动后被编译成机器码，形成一个进程。

参见图4，在一些实施例中，将系统分为四层，从上至下分别为应用程序(Applications)层(简称″应用层″)，应用程序框架(Application Framework)层(简称″框架层″)，安卓运行时(Android runtime)和系统库层(简称″系统运行库层″)，以及内核层。

在一些实施例中，应用程序层中运行有至少一个应用程序，这些应用程序可以是操作系统自带的窗口(Window)程序、系统设置程序或时钟程序等；也可以是第三方开发者所开发的应用程序。在具体实施时，应用程序层中的应用程序包不限于以上举例。

框架层为应用程序层的应用程序提供应用编程接口(aPPlication programminginterface，API)和编程框架。应用程序框架层包括一些预先定义的函数。应用程序框架层相当于一个处理中心，这个中心决定让应用层中的应用程序做出动作。应用程序通过API接口，可在执行中访问系统中的资源和取得系统的服务。

如图4所示，本申请实施例中应用程序框架层包括管理器(Managers)，内容提供者(Content Provider)等，其中管理器包括以下模块中的至少一个：活动管理器(ActivityManager)用与和系统中正在运行的所有活动进行交互；位置管理器(Location Manager)用于给系统服务或应用提供了系统位置服务的访问；文件包管理器(Package Manager)用于检索当前安装在设备上的应用程序包相关的各种信息；通知管理器(NotificationManager)用于控制通知消息的显示和清除；窗口管理器(Window Manager)用于管理用户界面上的括图标、窗口、工具栏、壁纸和桌面部件。

在一些实施例中，活动管理器用于管理各个应用程序的生命周期以及通常的导航回退功能，比如控制应用程序的退出、打开、后退等。窗口管理器用于管理所有的窗口程序，比如获取显示屏大小，判断是否有状态栏，锁定屏幕，截取屏幕，控制显示窗口变化(例如将显示窗口缩小显示、抖动显示、扭曲变形显示等)等。

在一些实施例中，系统运行库层为上层即框架层提供支撑，当框架层被使用时，安卓操作系统会运行系统运行库层中包含的C/C++库以实现框架层要实现的功能。

在一些实施例中，内核层是硬件和软件之间的层。如图4所示，内核层至少包含以下驱动中的至少一种：音频驱动、显示驱动、蓝牙驱动、摄像头驱动、WIFI驱动、USB驱动、HDMI驱动、传感器驱动(如指纹传感器，温度传感器，压力传感器等)、以及电源驱动等。

在智能电视中需要通过OTA(Over the Air，空中下载技术)升级方式完成系统的版本更新迭代。随之而来的是针对OTA升级包的安全担忧，一旦OTA升级包被劫持或者升级包被篡改都会给产品带来极大的安全问题，给用户带来不好的使用体验。所以，本申请亟待需要一种OTA升级包安全升级的方法。

当前OTA升级包安全升级的隐患主要体现在两个方面，第一方面是OTA升级包下载通道的安全，第二方面是OTA升级包本身的安全。OTA升级包下载通道的安全可以通过https(超文本传输安全协议)的下载方式保证。

一些实施例中，为了保证OTA升级包的安全，利用的方法为对OTA升级包进行加密，示例性的，加密方式为AES(Advanced Encryption Standard，高级加密标准)，将加密的升级包部署服务器上，显示设备下载加密升级包后进行解密，完成系统升级。但是OTA升级包一般都较大，显示设备解密加密的升级包会消耗大量的内存空间和存储空间，在硬件资源富裕产品上不会对产品正常使用带来影响，但是在硬件资源不富裕的产品上，将会给显示设备的正常使用以及用户体验带来影响。

为了避免上述问题的出现，本申请实施例提供一种显示设备的安全升级方法，需要说明的是，本申请实施例的方法，并不限制于应用在显示设备上，其他需要使用升级包升级的设备均可以利用该方法。

一些实施例中，如图5所示，所述方法包括：S100、接收显示设备升级的指令，下载升级包和摘要密文签名。

本申请实施例中所述显示设备升级指令包括用户通过控制装置发送的指令，示例性的，如图6所示，当用户界面上显示有升级控件701，用户可以通过控制装置将选择器移动到升级控件701上，并按压控制装置上的确认键，此时生成显示设备升级指令。一些实施例中，当用户利用控制装置将选择器移动到取消升级控件702上，并按压控制装置上的确认键，取消系统升级。

另外，所述显示设备升级指令还包括显示设备识别到有OTA升级包后，自动生成显示设备升级指令。一些实施例中，所述显示设备识别OTA升级包时，只识别新的升级包，即未在显示设备上安装的升级包，如果识别到新的升级包后，自动生成显示设备升级指令。示例性的，显示设备不断的确定服务器中是否被部署新的OTA升级包，当确定服务器被部署新的OTA升级包后，自动生成显示设备升级指令。

一些实施例中，当服务器被部署新的OTA升级包后，可以向显示设备发送消息，显示设备接收到该消息后，自动生成显示设备升级指令。

需要说明的是，控件是指在显示设备中GUI显示以表示诸如图标、缩略图、视频剪辑、链接等对应内容的视觉对象。

控件的展示形式通常多样化。例如，控件可以包括文本内容和/或用于显示与文本内容相关的缩略图的图像。又如，控件可以是应用程序的文本和/或图标。还需说明的是，选择器用于指示其中任一控件已被选择，如焦点对象。一方面，可根据用户通过控制装置的输入，控制显示设备中显示焦点对象的移动来选择或控制控件。如：用户可通过控制装置上方向键控制焦点对象在控件之间的移动来选择和控制控件。另一方面，可根据用户通过控制装置的输入，控制显示设备中显示的各控件的移动来使得焦点对象选择或控制控件。如：用户可通过控制装置上方向键控制各控件一并进行左右移动，以在保持焦点对象的位置不变时使得焦点对象选择和控制控件。选择器的标识形式通常多样化。示例的，如图6中升级控件701可以通过改变聚焦控件的文本或图像的边框线、尺寸、颜色、透明度和轮廓和/或字体等标识焦点对象的位置，通过设置控件背景色来实现或标识焦点对象的位置。

一些实施例中，显示设备从服务器中下载升级包和摘要密文签名。本申请实施例可以将升级包和摘要密文签名部署在服务器中。一些实施例中，服务器中部署的摘要密文签名，可以为服务器根据升级包生成摘要密文签名。也可以为其他终端根据与服务器中的升级包相同的升级包，生成摘要密文签名后，将摘要密文签名部署到服务器中。

一些实施例中，根据所述服务器中的升级包，确定摘要密文签名的方法包括：

S101、计算所述服务器中的升级包的第三摘要，对所述第三摘要加密，得到第二摘要密文。

本申请实施例中，服务器中的升级包可以利用哈希函数确定第三摘要，哈希函数是把任意长度的输入通过散列算法变换成固定长度的输出，该输出就是散列值。这种转换是一种压缩映射，也就是散列值的空间通常远小于输入的空间，不同的输入可能会散列成相同的输出，所以不可能从散列值来确定唯一的输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。示例性的，哈希函数包括MD5、SHA1或SHA256算法。

一些实施例中，对所述第三摘要加密，可以采用AES加密方法加密，通过密钥对第三摘要加密，得到第二摘要密文。

S102、对所述第二摘要密文进行加密，得到摘要密文签名。

一些实施例中所述第二摘要密文可以采用非对称加密算法中的私钥加密，得到摘要密文签名。非对称加密算法需要两个密钥：公开密钥(publickey：简称公钥)和私有密钥(privatekey：简称私钥)。公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法称为非对称加密算法。

一些实施例中，显示设备每个系列、机型等均会有特定的特征码。所述服务器中的升级包和摘要密文签名在部署在服务器中时，可将升级包和摘要密文签名部署在与特征码对应的位置，但是在实际操作中，可能出现部署错误的问题，示例性的，将与特征码A对应的升级包和摘要密文签名，部署在特征码B对应的位置，这样同样会导致升级失败。本申请实施例中，采用AES加密算法加密第三摘要时，使用的密钥与特征码一一对应，所述密钥可以根据特征码确定唯一的一个，值得注意的是，所述与密钥对应的特征码为与升级包对应的正确的特征码，而不是出现部署错误时升级包被部署位置对应的特征码。

S200、将所述升级包计算得到第一摘要，并对所述摘要密文签名验签得到第一摘要密文。一些实施例中，将摘要密文签名通过非对称加密算法的公钥，确定第一摘要密文，所述公钥与上文中的私钥一一对应。

一些实施例中，S300、解密所述第一摘要密文，得第二摘要。本申请实施例中，利用AES加密算法，利用密钥解密所述第一摘要密文得到第二摘要。一些实施例中，本申请实施例在将升级包和摘要密文签名发送到显示设备的同时，还将文件存储位置对应的特征码发送到显示设备。解密所述第一摘要密文的密钥根据发送到显示设备的特征码确定。

S400、判断所述第一摘要和第二摘要是否相同。

S500、如果所述第一摘要与第二摘要相同，则利用升级包升级显示设备。本申请实施例中，所述第一摘要是通过下载的升级包确定的，所述第二摘要是通过下载的摘要密文签名，在未下载到显示设备时，升级包和摘要密文签名确定的摘要是相同的，如果经过下载过程后，下载的升级包和摘要密文签名确定的摘要还是相同的，则说明升级包并未被篡改，同时升级包和摘要密文签名部署在服务器中正确的特征码对应的位置。

S600、如果所述第一摘要与第二摘要不同，则取消升级显示设备，并将显示设备中的升级包和摘要密文签名删除。由于第一摘要和第二摘要不同，可能发生升级包被篡改的可能和/或部署错误的问题，所以此时取消升级显示设备，并删除显示设备中的相关内容，避免占用显示设备的内存。

本申请实施例中由于升级包和摘要密文签名部署在服务器中时可能出现部署错误，如果出现错误，则显示设备无法利用错误的特征码，将密钥查找正确，所以第一摘要和第二摘要一定不同，另外由于在服务器中部署文件时，或者从服务器传输到显示设备的升级包被篡改，这样服务器传输的升级包和摘要密文签名进行计算后，最终分别确定二者对应的摘要，两个摘要不可能相同，所以本申请实施例的方法不但能解决升级包被篡改的问题，同时还可以解决部署错误的问题。

本申请实施例中的摘要的占用内存相比升级包的占用内容小，所以本申请针对摘要的加密解密的过程也较相关技术中直接利用AES解密加密的升级包所占内存小，进而可以释放显示显示设备的内存，避免耽误用户的正常使用以及影响用户使用体验。

本申请实施例还提供另一种显示设备的安全升级方法，该方法相比上一种升级方法，该方法不将服务器中的升级包下载到显示设备中，而是将升级包链接下载到显示设备中，当判断文件在服务器中部署正确时，则利用升级包链接获取升级包，并将升级包下载到显示设备中，在确定升级包是否被篡改，如果没被篡改，则直接升级，如果被篡改，则不升级。

一些实施例中，所述方法包括：S700、接收显示设备升级的指令，下载升级包链接、摘要密文和摘要明文。

本申请实施例中所述显示设备升级指令包括用户通过使用控制装置发送的指令，示例性的，当用户界面上显示有升级控件，用户可以通过控制装置将选择器移动到升级控件上，并按压控制装置上的确认键，此时生成显示设备升级指令。另外，所述显示设备升级指令还包括显示设备识别到有新的OTA升级包后，自动生成显示设备升级指令。示例性的，当服务器中被部署新的OTA升级包可以向显示设备发送消息，显示设备接收到该消息后，自动生成显示设备升级指令。另外，还可以为显示设备不断的确定服务器中是否被部署新的OTA升级包，当确定服务器被部署新的OTA升级包后，自动生成显示设备升级指令。

所述下载升级包链接、摘要密文和摘要明文的步骤包括：从服务器中下载升级包链接、摘要密文和摘要明文，其中所述摘要明文是根据服务器中的升级包计算得到的，所述摘要密文是根据所述服务器中的摘要明文加密得到的。一些实施例中，所述服务器中的升级包利用哈希函数确定摘要明文。一些实施例中，所述摘要明文通过AES加密方法加密，通过密钥加密摘要明文，得到摘要密文。

S800、对所述摘要密文解密，得到待比对摘要明文。一些实施例中，所述摘要密文通过AES加密方法解密，通过密钥解密摘要明文，得到待对比摘要明文。一些实施例中，本申请实施例在将升级包链接、摘要密文和摘要明文发送到显示设备的同时，还将文件存储位置对应的特征码发送到显示设备。显示设备根据该特征码确定密钥，由于文件存储位置可能出现错误，所以特征码可能也是错误的，所以将所述摘要密文解密后的待对比摘要文件会出现与摘要明文不同的情况。

S900、判断所述待比对摘要明文和摘要明文是否相同。

S1000、如果所述待比对摘要明文和摘要明文相同，则没有出现部署错误的问题，利用所述升级包链接，下载所述升级包。由于在下载的过程中可能出现升级包被篡改的问题，所以当升级包被下载到显示设备后，确定该升级包是否被篡改。

S1100、将下载后的升级包计算得到第四摘要，判断第四摘要和摘要明文是否相同。

S1200、如果所述第四摘要与摘要明文相同，说明升级包未被篡改，则利用所述升级包升级显示设备。本申请实施例中，所述下载后的升级包可以利用哈希函数计算第四摘要。

S1300、如果所述待比对摘要明文和摘要明文不同，则在服务器中部署发生错误，取消升级显示设备，并将显示设备中的升级包链接、摘要密文和摘要明文删除。当部署发生错误的时候，将显示设备中存储的涉及升级内容全部删除。

S1400、如果所述第四摘要和摘要明文不同，则取消升级显示设备，并将显示设备中的升级包、升级包链接、摘要密文和摘要明文删除。如果下载后的升级包被篡改，同样取消升级显示设备，并将显示设备中的涉及升级内容全部删除。

由于升级包容量较大，直接下载升级包到显示设备会占用显示设备中的内存，本申请实施例不直接将升级包下载到显示设备中，首先利用下载的摘要明文和摘要密文，确定在服务器中文件是否部署正确，如果文件部署正确的情况下，再确定升级包是否被篡改，这样当文件部署不正确时直接取消升级，不再下载升级包，节约了步骤并且避免占用显示设备的内存。

在上述实施例中，一种显示设备的安全升级方法及显示设备，本申请实施例中的摘要的占用内存相比升级包的占用内容小，进而可以释放显示显示设备的内存，避免耽误用户的正常使用以及影响用户使用体验。该方法包括：接收显示设备升级的指令，下载升级包和摘要密文签名；将所述升级包计算得到第一摘要，并对所述摘要密文签名验签得到第一摘要密文；解密所述第一摘要密文，得第二摘要；如果所述第一摘要与第二摘要相同，则利用升级包升级显示设备；如果所述第一摘要与第二摘要不同，则取消升级显示设备，并将显示设备中的升级包和摘要密文签名删除。

最后应说明的是：以上各实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述各实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

为了方便解释，已经结合具体的实施方式进行了上述说明。但是，上述示例性的讨论不是意图穷尽或者将实施方式限定到上述公开的具体形式。根据上述的教导，可以得到多种修改和变形。上述实施方式的选择和描述是为了更好的解释原理以及实际的应用，从而使得本领域技术人员更好的使用所述实施方式以及适于具体使用考虑的各种不同的变形的实施方式。

Claims (6)

1.一种显示设备，其特征在于，包括：

显示器，用于显示用户界面；

用户接口，用于接收输入信号；

分别与显示器和用户接口连接的控制器，用于执行：

接收显示设备升级的指令，从服务器中下载升级包链接、摘要密文、摘要明文，以及文件存储位置对应的第三特征码；

利用根据第三特征码确定的第三密钥对所述摘要密文解密，得到待比对摘要明文；

如果所述待比对摘要明文和摘要明文相同，则利用所述升级包链接，下载所述升级包；将下载后的升级包计算得到第四摘要，如果所述第四摘要与摘要明文相同，则利用所述升级包升级显示设备；

如果所述待比对摘要明文和摘要明文不同，则取消升级显示设备，并将显示设备中的升级包链接、摘要密文和摘要明文删除。

2.根据权利要求1所述的显示设备，其特征在于，不断确定服务器中是否被部署新的OTA升级包，当确定服务器被部署新的OTA升级包，生成所述显示设备升级的指令。

3.根据权利要求1所述的显示设备，其特征在于，

根据所述服务器中的升级包计算得到所述摘要明文；

根据所述服务器中的摘要明文加密得到所述摘要密文。

4.根据权利要求3所述的显示设备，其特征在于，所述摘要明文通过AES加密方法加密得到。

5.根据权利要求1所述的显示设备，其特征在于，将下载后的升级包计算得到第四摘要，所述控制器还被配置为：

如果所述第四摘要和摘要明文不同，则取消升级显示设备，并将显示设备中的升级包、升级包链接、摘要密文和摘要明文删除。

6.一种显示设备的安全升级方法，其特征在于，所述方法包括：

接收显示设备升级的指令，从服务器中下载升级包链接、摘要密文、摘要明文，以及文件存储位置对应的第三特征码；

利用根据第三特征码确定的第三密钥对所述摘要密文解密，得到待比对摘要明文；

如果所述待比对摘要明文和摘要明文相同，则利用所述升级包链接，下载所述升级包；将下载后的升级包计算得到第四摘要，如果所述第四摘要与摘要明文相同，则利用所述升级包升级显示设备；

如果所述待比对摘要明文和摘要明文不同，则取消升级显示设备，并将显示设备中的升级包链接、摘要密文和摘要明文删除。

Images