CN115390883A - 一种车辆安全启动信息更新方法、装置、设备及存储介质 - Google Patents
一种车辆安全启动信息更新方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN115390883A CN115390883A CN202211322453.7A CN202211322453A CN115390883A CN 115390883 A CN115390883 A CN 115390883A CN 202211322453 A CN202211322453 A CN 202211322453A CN 115390883 A CN115390883 A CN 115390883A
- Authority
- CN
- China
- Prior art keywords
- information
- verification
- updated
- updating
- security module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 238000012795 verification Methods 0.000 claims abstract description 132
- 238000012545 processing Methods 0.000 claims abstract description 17
- 238000004590 computer program Methods 0.000 claims description 17
- 238000006243 chemical reaction Methods 0.000 claims description 13
- 238000000605 extraction Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 abstract description 14
- 238000004891 communication Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000006872 improvement Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种车辆安全启动信息更新方法、装置、设备及存储介质。包括:通过后台处理器获取更新安全启动信息,对更新安全启动信息进行处理生成最终更新文件;通过主内核提取最终更新文件的验证信息,并将验证信息发送至硬件安全模块;通过硬件安全模块对验证信息进行校验,并在确定校验成功时,根据更新安全启动信息对硬件安全模块侧安全区域中存储的原始启动信息进行更新并生成更新结果。通过后台处理器对获取的更新安全启动信息处理生成最终更新文件,不需要返厂进行软件升级,降低了召回成本,将更新安全启动信息存储在硬件安全模块侧安全区域中,可以有效抵御攻击,保障了车辆正常启动过程的安全性。
Description
技术领域
本发明涉及数据更新领域,尤其涉及一种车辆安全启动信息更新方法、装置、设备及存储介质。
背景技术
随着汽车行业的发展,汽车也加入了万物互联的行列,由于汽车的智能化、网联化的提升,信息安全正在占据越来越重要的地方,信息安全不仅关系用户隐私,更关系着人的生命安全,一旦车载软件系统被恶意篡改,将会对驾乘人员产生严重威胁。
因此目前车载控制器都会支持安全启动功能,通常采用的方案是当安全启动验证区域发生变更时,将车载控制器返厂重新刷写应用软件及硬件安全模块中的安全启动信息,或者是将安全启动信息放置于Bootloader可以访问的Flash区域,由Bootloader对安全启动信息进行更新。
现有技术需要返厂进行软件升级的方式,增加了召回成本,而将安全启动信息放置于Bootloader可以访问的Flash区域的方式,容易受到攻击,从而导致车辆无法正常启动,安全性低。
发明内容
本发明提供了一种车辆安全启动信息更新方法、装置、设备及存储介质,以实现对车辆控制器的安全启动信息进行更新。
根据本发明的一方面,提供了一种车辆安全启动信息更新方法,应用于车辆控制器,车辆控制器包括后台处理器、主内核和硬件安全模块,该方法包括:
通过后台处理器获取更新安全启动信息,并对更新安全启动信息进行处理生成最终更新文件;
通过主内核提取最终更新文件的验证信息,并将验证信息发送至硬件安全模块;
通过硬件安全模块对验证信息进行校验,并在确定校验成功时,根据更新安全启动信息对硬件安全模块侧安全区域中存储的原始启动信息进行更新并生成更新结果。
优选的,通过后台处理器对更新安全启动信息进行处理生成最终更新文件,包括:通过后台处理器对更新安全启动信息进行加密,生成加密后的更新安全启动信息;通过后台处理器对加密后的更新安全启动信息进行签名,生成签名文件;通过后台处理器对签名文件进行指定格式的转换,生成转换文件;通过后台处理器将转换文件与车辆控制器对应的应用软件下载文件进行合并以生成最终更新文件。
优选的,通过主内核提取最终更新文件的验证信息,包括:通过主内核将最终更新文件存储到指定地址;通过主内核从指定地址中提取最终更新文件的验证信息。
优选的,在通过硬件安全模块对验证信息进行校验之后,还包括:通过硬件安全模块在确定校验失败时,生成校验失败信息,并将校验失败信息发送至主内核;通过主内核在接收到校验失败信息时,删除指定地址的最终更新文件。
优选的,在根据更新安全启动信息对原始启动信息进行更新并生成更新结果之前,还包括:通过硬件安全模块对最终更新文件进行解密;通过硬件安全模块获得解密后的更新安全启动信息。
优选的,通过硬件安全模块根据更新安全启动信息对硬件安全模块侧安全区域中存储的原始启动信息进行更新并生成更新结果,包括:通过硬件安全模块对更新安全启动信息进行信息验证;通过硬件安全模块在确定信息验证通过时,获取更新安全启动信息中消息验证码及原始安全启动信息;通过硬件安全模块判断消息验证码和预设值相一致时,将更新安全启动信息替换硬件安全模块侧安全区域中存储的原始安全启动信息,并生成更新成功的更新结果;通过硬件安全模块判断消息验证码和预设值不相一致时,生成更新失败的更新结果。
优选的,在通过硬件安全模块根据更新安全启动信息对原始启动信息进行更新并生成更新结果之后,还包括:通过硬件安全模块将更新结果发送至主内核;通过主内核在接收到更新结果时,删除指定地址的最终更新文件。
根据本发明的另一方面,提供了一种车辆安全启动信息更新装置,该装置包括:
最终更新文件获取模块,用于通过后台处理器获取更新安全启动信息,并对所述更新安全启动信息进行处理生成最终更新文件;
验证信息提取模块,用于通过主内核提取最终更新文件的验证信息,并将验证信息发送至硬件安全模块;
更新结果生成模块,用于通过硬件安全模块对验证信息进行校验,确定校验成功时,根据更新安全启动信息对硬件安全模块侧安全区域中存储的原始启动信息进行更新并生成更新结果。
根据本发明的另一方面,提供了一种电子设备,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明任一实施例所述的一种车辆安全启动信息更新方法。
根据本发明的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本发明任一实施例所述的一种车辆安全启动信息更新方法。
本发明实施例的技术方案,通过后台处理器对获取的更新安全启动信息处理生成最终更新文件,不需要返厂进行软件升级,降低了召回成本,将更新安全启动信息存储在硬件安全模块侧安全区域中,可以有效抵御攻击,保障了车辆正常启动过程的安全性。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例一提供的一种车辆安全启动信息更新方法的流程图;
图2是根据本发明实施例一提供的另一种车辆安全启动信息更新方法的流程图;
图3是根据本发明实施例二提供的另一种车辆安全启动信息更新方法的流程图;
图4是根据本发明实施例三提供的一种车辆安全启动信息更新装置的结构示意图;
图5是实现本发明实施例的一种车辆安全启动信息更新方法的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一
图1为本发明实施例一提供了一种车辆安全启动信息更新方法的流程图,本实施例可适用于验证区域发生变更时,对车辆控制器的安全启动信息进行更新的情况,该方法可以由车辆安全启动信息更新装置来执行,该车辆安全启动信息更新装置可以采用硬件和/或软件的形式实现,该车辆安全启动信息更新装置可配置于车辆中。如图1所示,该方法应用于车辆控制器,车辆控制器包括后台处理器、主内核和硬件安全模块,包括:
S110、通过后台处理器获取更新安全启动信息,并对更新安全启动信息进行处理生成最终更新文件。
其中,车辆控制器包括后台处理器、主内核和硬件安全模块。车辆控制器是指电子控制单元(Electronic Control Unit,ECU),又称“行车电脑”、“车载电脑”,是一种汽车专用微机控制器。后台处理器是指车辆控制器中后台生成最终更新文件的处理器;主内核用来将后台处理器生成的更新文件,存储到指定的区域内,并且与HSM进行包括安全启动信息的验证、触发更新以及接收更新结果;硬件安全模块(Hardware Security Module,HSM)是指一种用于保护和管理强认证系统所使用的密钥,并同时提供相关密码学操作的计算机硬件设备。
进一步的,零部件供应商根据需求变更控制器的安全启动信息针对安全启动信息发生变更时,可使用后台软件或后台处理器处理安全启动信息生成下载文件。其中,安全启动信息是指车辆在执行启动时需要读取的信息;验证区域是指车辆在安全启动时,需要通过校验值进行验证的区域,验证区域可以是零部件供应商根据需要提前进行设置的,验证区域变更的情况包括但不限于:起始地址发生变化、区域长度超出范围及软件更新(消息验证码变更)等;在验证区域发生变更时会产生更新安全启动信息。
优选的,通过后台处理器对更新安全启动信息进行处理生成最终更新文件,包括:通过后台处理器对更新安全启动信息进行加密,生成加密后的更新安全启动信息;通过后台处理器对加密后的更新安全启动信息进行签名,生成签名文件;通过后台处理器对签名文件进行指定格式的转换,生成转换文件;通过后台处理器将转换文件与车辆控制器对应的应用软件下载文件进行合并以生成最终更新文件。
具体的,后台处理器会对更新安全启动信息进行处理生成最终更新文件并传输至主内核。后台处理器对更新安全启动信息进行加密,加密可以是采用加密算法进行加密,例如,加密算法可以是对称加密算法(Advanced Encryption Standard,AES)128或密文分组链接模式(Cipher Block Chaining,CBC)加密算法等;后台处理器完成加密后会生成加密后的更新安全启动信息,加密后的更新安全启动信息由明文转为密文,通过对更新安全启动信息进行加密,可以有效保护更新安全启动信息的机密性。
进一步的,加密完成后,后台处理器还会对加密后的更新安全启动信息进行签名生成签名文件,签名可以是采用签名算法,例如RSAPSS_SHA256签名算法等,通过对加密后的更新安全启动信息进行签名,可以保证生成的最终更新文件合法性。后台处理器还会对签名文件进行指定格式的转换,生成转换文件,转换文件一般是hex格式,并且将该转换文件与车辆控制器对应的应用软件下载文件进行合并以生成最终更新文件,将转换文件与应用软件下载文件合并是为了使更新安全启动信息作为下载数据的一部分,可以使用原始设备制造商(Original Equipment Manufacturer,OEM)规定的下载流程,将合成的最终更新文件下载到车载控制器指定的存储区域中,不需要额外增加下载流程。由于应用软件下载文件会经常更新,并且每次更新时,都需要重新下载转换文件,故将转换文件与当前的应用软件下载文件合并,可以更好的使转换文件适配最新的应用软件下载文件。
S120、通过主内核提取最终更新文件的验证信息,并将验证信息发送至硬件安全模块。
优选的,通过主内核提取最终更新文件的验证信息,包括:通过主内核将最终更新文件存储到指定地址;通过主内核从指定地址中提取最终更新文件的验证信息。
具体的,主内核会将来自后台处理器的最终更新文件存储到指定地址,指定地址可以是空闲的flash(闪存)区域,然后主内核会从该flash(闪存)区域提取最终更新文件的验证信息,验证信息是指签名、签名长度和待校验内容,提取完成后,主内核会将验证信息发送至硬件安全模块,并触发硬件安全模块进行签名校验。
S130、通过硬件安全模块对验证信息进行校验,并在确定校验成功时,根据更新安全启动信息对硬件安全模块侧安全区域中存储的原始启动信息进行更新并生成更新结果。
图2为本发明实施例一提供了一种车辆安全启动信息更新方法的流程图,步骤S130主要包括如下的步骤S131至步骤S136:
S131、通过硬件安全模块对验证信息进行校验。
具体的,硬件安全模块在接收到校验信号时,对验证信息进行校验,校验的方式是通过HSM内部预定义的签名验证算法和公钥,执行对最终更新文件提取出的待校验内容进行签名校验。
S132、通过硬件安全模块确定校验成功。
优选的,在通过硬件安全模块对验证信息进行校验之后,还包括:通过硬件安全模块在确定校验失败时,生成校验失败信息,并将校验失败信息发送至主内核;通过主内核在接收到校验失败信息时,删除指定地址的最终更新文件。
具体的,在硬件安全模块对验证信息进行校验时,包括校验成功和校验失败的情况,当确定校验成功时,才能继续后续的更新处理,否则,硬件安全模块会拒绝更新,并会生成校验失败信息发送给主内核,主内核在接收到校验失败信息时,会删除指定地址的最终更新文件,即主内核会删除存储最终更新文件的flash(闪存)区域。
优选的,在根据更新安全启动信息对原始启动信息进行更新并生成更新结果之前,还包括:通过硬件安全模块对最终更新文件进行解密;通过硬件安全模块获得解密后的更新安全启动信息。
具体的,硬件安全模块确定校验成功时,会使用预定义的算法及密钥对加密的更新安全启动信息执行解密操作,解密完成后,硬件安全模块可以获得原始的更新安全启动信息。
S133、通过硬件安全模块对更新安全启动信息进行信息验证。
示例性的,更新安全启动信息M1可以表示为:M1 = Pattern | FlashAddress |FlashSize | MAC,其中,Pattern(模式)是一定长度的常量,用于HSM判断安全启动信息有效性;FlashAddress(闪存地址)是指HSM中执行安全启动时,待验证区域的Flash(闪存)起始地址;FlashSize (闪存长度)是指HSM中执行安全启动时,待验证区域的Flash长度;MAC(Message Authentication Code,消息认证码)用于判断验证区域是否存在篡改。
进一步的,硬件安全模块对解密后的更新安全启动信息进行信息验证,包括:Pattern一致性、FlashAddress是否超范围以及FlashSize是否有效。
S134、通过硬件安全模块在确定信息验证通过时,获取更新安全启动信息中消息验证码及原始安全启动信息。
具体的,当Pattern(模式)中的数值与预设的数值一致,FlashAddress(闪存地址)在指定范围内,FlashSize(闪存长度)的长度在指定范围内时,M1即可通过信息验证,通过后,硬件安全模块会获取更新安全启动信息中消息验证码和原始安全启动信息,否则执行信息验证失败,信息验证失败时,硬件安全模块会向后台处理器发送信息验证失败提醒。
S135、通过硬件安全模块判断消息验证码和预设值是否相一致,若是,执行S136,否则执行S137。
S136、通过硬件安全模块将更新安全启动信息替换硬件安全模块侧安全区域中存储的原始安全启动信息,并生成更新成功的更新结果。
S137、通过硬件安全模块生成更新失败的更新结果。
具体的,预设值是通过消息验证码(Message Authentication Code,MAC)算法计算出的,MAC是指通信实体双方使用的一种验证机制,保证消息数据完整性的一种工具;例如加密算法CMAC(Cipher Block Chaining-Message Authentication Code,密码分组链接消息认证代码),当消息验证码与预设值一致时,硬件安全模块将更新安全启动信息替换硬件安全模块侧安全区域中存储的原始安全启动信息,同时生成更新成功的更新结果,当消息验证码与预设值不一致时,硬件安全模块不对原始安全启动信息进行更新,并生成更新失败的更新结果。HSM在此过程中确定预设值与消息验证码相同的情况下才开始执行更新,提供了高度的安全性,并且采用MAC校验机制,可以保证更新安全启动信息中验证区域的内容是与MAC值匹配的。进一步的,硬件安全模块完成安全启动信息的更新后,车辆可以通过识别更新安全启动信息进行正常启动。
本发明实施例的技术方案,通过后台处理器对获取的更新安全启动信息处理生成最终更新文件,不需要返厂进行软件升级,降低了召回成本,将更新安全启动信息存储在硬件安全模块侧安全区域中,可以有效抵御攻击,保障了车辆正常启动过程的安全性。
实施例二
图3为本发明实施例二提供的一种车辆安全启动信息更新方法的流程图,本实施例在上述实施例一的基础上增加了主内核在收到更新结果后删除指定地址的最终更新文件的过程,其中,步骤S210-S230的具体内容与实施例一中的步骤S110至S130大致相同,因此本实施方式中不再进行赘述。如图3所示,该方法包括:
S210、通过后台处理器获取更新安全启动信息,并对更新安全启动信息进行处理生成最终更新文件。
优选的,通过后台处理器对更新安全启动信息进行处理生成最终更新文件,包括:通过后台处理器对更新安全启动信息进行加密,生成加密后的更新安全启动信息;通过后台处理器对加密后的更新安全启动信息进行签名,生成签名文件;通过后台处理器对签名文件进行指定格式的转换,生成转换文件;通过后台处理器将转换文件与车辆控制器对应的应用软件下载文件进行合并以生成最终更新文件。
S220、通过主内核提取最终更新文件的验证信息,并将验证信息发送至硬件安全模块。
优选的,通过主内核提取最终更新文件的验证信息,包括:通过主内核将最终更新文件存储到指定地址;通过主内核从指定地址中提取最终更新文件的验证信息。
S230、通过硬件安全模块对验证信息进行校验,并在确定校验成功时,根据更新安全启动信息对硬件安全模块侧安全区域中存储的原始启动信息进行更新并生成更新结果。
优选的,在通过硬件安全模块对验证信息进行校验之后,还包括:通过硬件安全模块在确定校验失败时,生成校验失败信息,并将校验失败信息发送至主内核;通过主内核在接收到校验失败信息时,删除指定地址的最终更新文件。
优选的,在根据更新安全启动信息对原始启动信息进行更新并生成更新结果之前,还包括:通过硬件安全模块对最终更新文件进行解密;通过硬件安全模块获得解密后的更新安全启动信息。
S240、通过硬件安全模块将更新结果发送至主内核。
具体的,硬件安全模块在生成更新结果后,会将更新结果发送至主内核,发送更新结果的目的是为了使硬件安全模块及时反馈安全启动信息的更新情况,通过硬件安全模块对自身安全区域中存储的原始启动信息进行更新,只向主内核侧反馈更新结果。
S250、通过主内核在接收到更新结果时,删除指定地址的最终更新文件。
具体的,主内核在接收到更新结果后,更新结果包括更新成功和更新失败,无论硬件安全模块是否更新成功,主内核都会删除指定地址的最终更新文件,即删除flash区域存储的最终更新文件,该操作可以释放内存,以保证主内核内部有足够的存储空间进行后续的更新,并在后续继续存储最终更新文件,同时也可以防止由于外部攻击导致进而最终更新文件外漏,保障了信息的安全性和机密性。
本发明实施例的技术方案,通过后台处理器对获取的更新安全启动信息处理生成最终更新文件,不需要返厂进行软件升级,降低了召回成本,将更新安全启动信息存储在硬件安全模块侧安全区域中,可以有效抵御攻击,保障了车辆正常启动过程的安全性,通过主内核在接收到更新结果后删除指定地址的最终更新文件,提高了存储能力,也可以有效防止最终更新文件外漏,保障了信息的安全性和机密性。
实施例三
图4为本发明实施例三提供的一种车辆安全启动信息更新装置的结构示意图。如图4所示,该装置包括:最终更新文件获取模块310,用于通过后台处理器获取更新安全启动信息,并对更新安全启动信息进行处理生成最终更新文件;验证信息提取模块320,用于通过主内核提取最终更新文件的验证信息,并将验证信息发送至硬件安全模块;更新结果生成模块330,用于通过硬件安全模块对验证信息进行校验,确定校验成功时,根据更新安全启动信息对硬件安全模块侧安全区域中存储的原始启动信息进行更新并生成更新结果。
优选的,最终更新文件获取模块310,具体用于:通过后台处理器对更新安全启动信息进行加密,生成加密后的更新安全启动信息;通过后台处理器对加密后的更新安全启动信息进行签名,生成签名文件;通过后台处理器对签名文件进行指定格式的转换,生成转换文件;通过后台处理器将转换文件与车辆控制器对应的应用软件下载文件进行合并以生成最终更新文件。
优选的,验证信息提取模块320,具体用于:通过主内核将最终更新文件存储到指定地址;通过主内核从指定地址中提取最终更新文件的验证信息。
优选的,更新结果生成模块330,还包括:校验失败单元,用于通过硬件安全模块对验证信息进行校验,在确定校验失败时,生成校验失败信息,并将校验失败信息发送至主内核;通过主内核在接收到校验失败信息时,删除指定地址的最终更新文件。
优选的,更新结果生成模块330,还包括:最终更新文件解密单元,用于根据更新安全启动信息对原始启动信息进行更新并生成更新结果之前,通过硬件安全模块对最终更新文件进行解密;通过硬件安全模块获得解密后的更新安全启动信息。
优选的,更新结果生成模块330,包括:更新结果生成单元,用于通过硬件安全模块对更新安全启动信息进行信息验证;通过硬件安全模块在确定信息验证通过时,获取更新安全启动信息中消息验证码及原始安全启动信息;通过硬件安全模块判断消息验证码预设值相一致时,将更新安全启动信息替换硬件安全模块侧安全区域中存储的原始安全启动信息,并生成更新成功的更新结果;通过硬件安全模块判断消息验证码预设值不相一致时,生成更新失败的更新结果。
优选的,方法还包括:最终更新文件删除模块,用于在通过硬件安全模块根据更新安全启动信息对原始启动信息进行更新并生成更新结果之后,通过硬件安全模块将更新结果发送至主内核,通过主内核在接收到更新结果时,删除指定地址的最终更新文件。
本发明实施例的技术方案,通过后台处理器对获取的更新安全启动信息处理生成最终更新文件,不需要返厂进行软件升级,降低了召回成本,将更新安全启动信息存储在硬件安全模块侧安全区域中,可以有效抵御攻击,保障了车辆正常启动过程的安全性。
本发明实施例所提供的一种车辆安全启动信息更新装置可执行本发明任意实施例所提供的一种车辆安全启动信息更新方法,具备执行方法相应的功能模块和有益效果。
实施例四
图5示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图5所示,电子设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
电子设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如一种车辆安全启动信息更新方法。
在一些实施例中,一种车辆安全启动信息更新方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM 13并由处理器11执行时,可以执行上文描述的一种车辆安全启动信息更新方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行一种车辆安全启动信息更新方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种车辆安全启动信息更新方法,其特征在于,应用于车辆控制器,所述车辆控制器包括后台处理器、主内核和硬件安全模块,包括:
通过所述后台处理器获取更新安全启动信息,并对所述更新安全启动信息进行处理生成最终更新文件;
通过所述主内核提取所述最终更新文件的验证信息,并将所述验证信息发送至所述硬件安全模块;
通过所述硬件安全模块对所述验证信息进行校验,并在确定校验成功时,根据所述更新安全启动信息对所述硬件安全模块侧安全区域中存储的原始启动信息进行更新并生成更新结果。
2.根据权利要求1所述的方法,其特征在于,所述通过所述后台处理器对所述更新安全启动信息进行处理生成最终更新文件,包括:
通过所述后台处理器对所述更新安全启动信息进行加密,生成加密后的更新安全启动信息;
通过所述后台处理器对所述加密后的更新安全启动信息进行签名,生成签名文件;
通过所述后台处理器对所述签名文件进行指定格式的转换,生成转换文件;
通过所述后台处理器将所述转换文件与所述车辆控制器对应的应用软件下载文件进行合并以生成最终更新文件。
3.根据权利要求1所述的方法,其特征在于,所述通过所述主内核提取所述最终更新文件的验证信息,包括:
通过所述主内核将所述最终更新文件存储到指定地址;
通过所述主内核从所述指定地址中提取所述最终更新文件的验证信息。
4.根据权利要求3所述的方法,其特征在于,所述通过所述硬件安全模块对所述验证信息进行校验之后,还包括:
通过所述硬件安全模块在确定校验失败时,生成校验失败信息,并将所述校验失败信息发送至所述主内核;
通过所述主内核在接收到所述校验失败信息时,删除所述指定地址的所述最终更新文件。
5.根据权利要求1所述的方法,其特征在于,在所述根据所述更新安全启动信息对原始启动信息进行更新并生成更新结果之前,还包括:
通过所述硬件安全模块对所述最终更新文件进行解密;
通过所述硬件安全模块获得解密后的所述更新安全启动信息。
6.根据权利要求3所述的方法,其特征在于,所述通过所述硬件安全模块根据所述更新安全启动信息对所述硬件安全模块侧安全区域中存储的原始启动信息进行更新并生成更新结果,包括:
通过所述硬件安全模块对所述更新安全启动信息进行信息验证;
通过所述硬件安全模块在确定所述信息验证通过时,获取所述更新安全启动信息中消息验证码及原始安全启动信息;
通过所述硬件安全模块判断所述消息验证码和预设值相一致时,将所述更新安全启动信息替换所述硬件安全模块侧安全区域中存储的原始安全启动信息,并生成更新成功的更新结果;
通过所述硬件安全模块判断所述消息验证码和预设值不相一致时,生成更新失败的更新结果。
7.根据权利要求6所述的方法,其特征在于,在所述通过所述硬件安全模块根据所述更新安全启动信息对原始启动信息进行更新并生成更新结果之后,还包括:
通过所述硬件安全模块将所述更新结果发送至所述主内核;
通过所述主内核在接收到所述更新结果时,删除所述指定地址的所述最终更新文件。
8.一种车辆安全启动信息更新装置,应用于车辆控制器,所述车辆控制器包括后台处理器、主内核和硬件安全模块,其特征在于,包括:
最终更新文件获取模块,用于通过后台处理器获取更新安全启动信息,并对所述更新安全启动信息进行处理生成最终更新文件;
验证信息提取模块,用于通过所述主内核提取所述最终更新文件的验证信息,并将所述验证信息发送至所述硬件安全模块;
更新结果生成模块,用于通过所述硬件安全模块对所述验证信息进行校验,确定校验成功时,根据所述更新安全启动信息对所述硬件安全模块侧安全区域中存储的原始启动信息进行更新并生成更新结果。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211322453.7A CN115390883B (zh) | 2022-10-27 | 2022-10-27 | 一种车辆安全启动信息更新方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211322453.7A CN115390883B (zh) | 2022-10-27 | 2022-10-27 | 一种车辆安全启动信息更新方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115390883A true CN115390883A (zh) | 2022-11-25 |
| CN115390883B CN115390883B (zh) | 2023-03-21 |
Family
ID=84129355
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211322453.7A Active CN115390883B (zh) | 2022-10-27 | 2022-10-27 | 一种车辆安全启动信息更新方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115390883B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117827299A (zh) * | 2023-01-31 | 2024-04-05 | 苏州跃之华半导体科技有限公司 | 一种基于risc-v的车规级mcu快速安全启动方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190108010A1 (en) * | 2017-10-11 | 2019-04-11 | Ford Global Technologies, Llc | Hybrid electric vehicle with automated software update system |
| CN110351314A (zh) * | 2018-04-03 | 2019-10-18 | 厦门雅迅网络股份有限公司 | 汽车控制器的远程升级方法及计算机可读存储介质 |
| CN110795124A (zh) * | 2019-10-18 | 2020-02-14 | 安徽江淮汽车集团股份有限公司 | 汽车安全件的远程升级方法、装置、设备及存储介质 |
| CN110851157A (zh) * | 2019-10-28 | 2020-02-28 | 上海旗旌科技有限公司 | 一种更新车载终端设备系统的方法及设备 |
-
2022
- 2022-10-27 CN CN202211322453.7A patent/CN115390883B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190108010A1 (en) * | 2017-10-11 | 2019-04-11 | Ford Global Technologies, Llc | Hybrid electric vehicle with automated software update system |
| CN110351314A (zh) * | 2018-04-03 | 2019-10-18 | 厦门雅迅网络股份有限公司 | 汽车控制器的远程升级方法及计算机可读存储介质 |
| CN110795124A (zh) * | 2019-10-18 | 2020-02-14 | 安徽江淮汽车集团股份有限公司 | 汽车安全件的远程升级方法、装置、设备及存储介质 |
| CN110851157A (zh) * | 2019-10-28 | 2020-02-28 | 上海旗旌科技有限公司 | 一种更新车载终端设备系统的方法及设备 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117827299A (zh) * | 2023-01-31 | 2024-04-05 | 苏州跃之华半导体科技有限公司 | 一种基于risc-v的车规级mcu快速安全启动方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115390883B (zh) | 2023-03-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10796001B2 (en) | Software verification method and apparatus | |
| CN107360165B (zh) | 终端设备、云服务器以及管控操作系统的方法及装置 | |
| CN115390883B (zh) | 一种车辆安全启动信息更新方法、装置、设备及存储介质 | |
| EP3647979B1 (en) | Device attestation techniques | |
| CN116506427A (zh) | 一种证书列表下载方法、装置、车载设备及存储介质 | |
| CN108881320B (zh) | 一种用户登陆的认证处理方法、服务器及客户端 | |
| CN114710274A (zh) | 数据调用方法、装置、电子设备及存储介质 | |
| CN117692900A (zh) | 一种基于安全芯片的设备验证方法、装置、设备及介质 | |
| CN108574658B (zh) | 一种应用登录方法及其设备 | |
| CN111400771A (zh) | 目标分区的校验方法及装置、存储介质、计算机设备 | |
| CN115130114B (zh) | 一种网关安全启动方法、装置、电子设备及存储介质 | |
| CN116126380A (zh) | 一种固件升级方法、装置、电子设备及存储介质 | |
| CN114880630A (zh) | 软件使用权限的获取方法与装置 | |
| CN109688158B (zh) | 金融执行链认证方法、电子装置及存储介质 | |
| CN116661821B (zh) | 一种应用升级方法、装置、电子设备及存储介质 | |
| CN110781188B (zh) | 表单信息处理方法、装置、电子设备及存储介质 | |
| CN116094835A (zh) | 一种业务数据加密方法、业务数据解密方法、装置及设备 | |
| CN113541971B (zh) | 基于密钥替换和心跳检验的数据托管方法、装置及设备 | |
| CN115794165A (zh) | 一种应用升级方法、装置、eps及介质 | |
| CN115987509A (zh) | 一种车载网络安全管理方法、设备及存储介质 | |
| CN116578965A (zh) | 一种升级包安全校验的方法、装置、设备及存储介质 | |
| CN117931349A (zh) | 一种应用界面主题更换方法、装置、电子设备和存储介质 | |
| CN114816484A (zh) | 一种系统软件的升级方法、装置、设备及介质 | |
| CN118153061A (zh) | 一种升级方法、装置、设备和存储介质 | |
| CN118551389A (zh) | 一种轻设备固件校验方法、装置、设备、介质及产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |