WO2019100988A1

WO2019100988A1 - 电子关锁设备及其固件升级方法

Info

Publication number: WO2019100988A1
Application number: PCT/CN2018/115434
Authority: WO
Inventors: 陈志强; 李元景; 吴相豪; 李进学; 刘世国
Original assignee: 同方威视技术股份有限公司
Priority date: 2017-11-23
Filing date: 2018-11-14
Publication date: 2019-05-31
Also published as: CN109828767A

Abstract

一种电子关锁设备（110）及其固件升级方法。所述方法包括：接收来自业务服务器（120）的固件升级通知，所述固件升级通知包括升级参数；根据升级参数，向升级服务器（130）发送固件升级请求；从升级服务器（130）接收固件升级响应，所述固件升级响应包括数字签名；对所述数字签名进行验证，以确定是否进行升级；在所述数字签名通过验证的条件下，向升级服务器（130）发送升级确认；从升级服务器（130）接收包括固件文件的升级数据。

Description

电子关锁设备及其固件升级方法

技术领域

本公开涉及物流监管领域，具体地涉及一种电子关锁设备及其固件升级方法。

背景技术

在海关通关等领域中，需要防止所运输的或待查验的物品(例如，集装箱)在未经允许的情况下被打开，从而保证物品不被偷换为违禁品。电子关锁是一种常用的选择。

在电子关锁的使用过程中，随着系统功能的升级，需要不断对电子关锁的固件进行升级。目前，市场上没有提供对大规模关锁进行业务升级的解决方案。此外，目前的电子关锁没有考虑到在升级过程中的安全性问题。如果在固件升级的过程中出现电子关锁数字签名的泄露，则可能对货厢的安全性带来严重的威胁。此外，如果升级过程出现意外情况，现有技术也无法快速解决升级的故障。

发明内容

本公开提出了一种电子关锁设备及其固件升级方法。

根据本公开的一个方面，提出了一种电子关锁设备的固件升级方法。所述方法包括：接收来自业务服务器的固件升级通知，所述固件升级通知包括升级参数；根据升级参数，向升级服务器发送固件升级请求；从升级服务器接收固件升级响应，所述固件升级响应包括数字签名；对所述数字签名进行验证，以确定是否进行升级；在所述数字签名通过验证的条件下，向升级服务器发送升级确认；从升级服务器接收包括固件文件的升级数据。

在一个实施例中，所述升级数据包括固件文件和完整性数据。所述方法还包括：根据所述固件文件计算完整性数据；将所接收的完整性数据与所计算的完整性数据进行比较；在所接收的完整性数据与所计算的完整性数据一致的条件下，使用所述固件文件对所述电子关锁设备进行固件升级。

在一个实施例中，所述方法还包括：从所述数字签名导出第一散列摘要值；对所述固件文件进行散列运算，导出第二散列摘要值；将第一散列摘要值与第二散列摘要值进行比较；在第一散列摘要值与第二散列摘要值相同的条件下，使用所述固件文件对所述电子关锁设备进行固件升级。

在一个实施例中，所述根据升级参数向升级服务器发送固件升级请求的步骤包括：将所接收的升级参数与所存储的升级参数进行匹配；在实现匹配的条件下，向升级服务器发送固件升级请求。

在一个实施例中，所述升级参数包括以下各项中的至少一项：升级服务器的地址、用于升级的端口、业务服务器的地址、业务服务器的标识、业务服务器的端口信息和业务服务器验证信息。

在一个实施例中，所述固件升级通知还包括指示将要升级到的版本的版本信息。所述方法还包括：根据所述版本信息，确定是否需要进行升级。

在一个实施例中，在向所述升级服务器发送升级确认之前，所述方法还包括：判断是否处于空闲时段；在处于空闲时段的条件下，向所述升级服务器发送升级确认。

在一个实施例中，在电子关锁设备不处于空闲时段的条件下，向所述升级服务器发送空闲时段信息，所述空闲时段信息指示所述升级服务器可以向所述电子关锁设备发送包括固件文件的升级数据的时段。

在一个实施例中，所述方法还包括：在所述电子关锁设备不处于空闲时段的条件下，向所述升级服务器发送所述升级确认；以及在从升级服务器接收包括固件文件的升级数据之后，在所述电子关锁设备处于空闲时段的条件下，将所述升级数据存储在所述电子关锁设备的存储单元的第一存储区域，以及在所述电子关锁设备不处于空闲时段的条件下，将所述升级数据存储在所述电子关锁设备的存储单元的与第一存储区域不同的第二存储区域。

在一个实施例中，所述方法还包括：将所接收的固件文件与升级前的旧固件文件独立存储在所述电子关锁设备中；在使用所接收的固件文件对电子关锁设备进行升级之后，判断电子关锁设备是否能够正常操作；在所述电子关锁设备不能正常操作的条件下，使用所述旧固件文件对所述电子关锁设备进行恢复。

在一个实施例中，所述电子关锁设备还与关联设备连接，并且所述升级数据还包括针对所述关联设备的固件升级数据，所述方法还包括：将所述升级数据或针对所述关联设备的固件升级数据发送到所述关联设备。

在一个实施例中，所述电子关锁设备通过近程通信或有线通信与关联设备进行通信。

在一个实施例中，所述电子关锁设备通过移动通信与业务服务器和升级服务器进行通信。

在一个实施例中，所述完整性数据包括循环冗余校验(CRC)的校验值。

根据本公开的另一方面，还提出了一种电子关锁设备。所述电子关锁设备包括：第一通信单元，用于与业务服务器和升级服务器进行通信；处理单元，被配置为执行以下操作：控制所述第一通信单元接收来自业务服务器的固件升级通知，所述固件升级通知包括升级参数；对所述升级参数进行处理，并基于处理结果，控制所述第一通信单元向升级服务器发送固件升级请求；控制所述第一通信单元从升级服务器接收固件升级响应，所述固件升级响应包括数字签名；对所述数字签名进行验证，以确定所述升级是否安全；在所述数字签名通过验证的条件下，控制所述第一通信单元向升级服务器发送升级确认；控制所述第一通信单元从升级服务器接收包括固件文件的升级数据。

在一个实施例中，所述升级数据还包括完整性数据。所述处理单元还被配置为：根据所述固件文件计算完整性数据；将所接收的完整性数据与所计算的完整性数据进行比较；在所接收的完整性数据与所计算的完整性数据一致的条件下，使用所述固件文件对所述电子关锁设备进行固件升级。

在一个实施例中，所述处理单元还被配置为：从所述数字签名导出第一散列摘要值；对所述固件文件进行散列运算，导出第二散列摘要值；将第一散列摘要值与第二散列摘要值进行比较；在第一散列摘要值与第二散列摘要值相同的条件下，使用所述固件文件对所述电子关锁设备进行固件升级。

在一个实施例中，所述电子关锁设备还包括存储单元，所述处理单元还被配置为：将所接收的升级参数与存储单元中存储的升级参数进行匹配；在实现匹配的条件下，控制所述第一通信单元向升级服务器发送固件升级请求。

在一个实施例中，所述固件升级通知还包括指示将要升级到的版本的版本信息，所述处理单元还被配置为：根据所述版本信息，确定是否需要进行升级。

在一个实施例中，所述处理单元还被配置为：判断是否处于空闲时段；在处于空闲时段的条件下，控制所述第一通信单元向所述升级服务器发送升级确认。

在一个实施例中，所述处理单元还被配置为：在所述电子关锁设备不处于空闲时段的条件下，向所述升级服务器发送所述升级确认；以及在控制所述第一通信单元从升级服务器接收包括固件文件的升级数据之后，在所述电子关锁设备处于空闲时段的条件下，将所述升级数据存储在所述电子关锁设备的存储单元的第一存储区域，以及在所述电子关锁设备不处于空闲时段的条件下，将所述升级数据存储在所述电子关锁设备的存储单元的与第一存储区域不同的第二存储区域。

在一个实施例中，所述处理单元还被配置为：将所接收的固件文件与升级前的旧固件文件独立存储在所述电子关锁设备中；在使用所接收的固件文件对电子关锁设备进行升级之后，判断电子关锁设备是否能够正常操作；在所述电子关锁设备不能正常操作的条件下，使用所述旧固件文件对所述电子关锁设备进行恢复。

在一个实施例中，所述电子关锁设备还包括第二通信单元。所述第二通信单元用于与关联设备进行通信。所述升级数据还包括针对所述关联设备的固件升级数据。所述处理单元还被配置为：控制所述第二通信单元将所述升级数据或针对所述关联设备的固件升级数据发送到所述关联设备。

在一个实施例中，所述第二通信单元是近程通信单元或有线通信单元。

在一个实施例中，所述第一通信单元是移动通信单元。

通过使用本公开所提出的电子关锁设备及其固件升级方法，可以批量对电子关锁设备进行远程无线升级，提高工作效率。并且，能够避免对锁体进行拆解，保留产品结构功能的完整性。此外，所述固件升级方法还能够大大提高电子关锁内数据的安全性。

附图说明

此处所说明的附图用来提供对本公开的进一步理解，构成本公开的一部分，本公开的示意性实施例及其说明用于解释本公开，并不构成对本公开的不当限定。在附图中：

图1示出了根据本公开实施例的电子关锁设备的固件升级网络的示意图。

图2示出了电子关锁设备的示意外观。

图3示出了根据本公开实施例的电子关锁设备的结构框图。

图4示出了对图3所示的电子关锁设备进行固件升级的方法的信令图。

图5示出了根据本公开实施例的示例升级流程的流程图。

具体实施方式

下面将详细描述本公开的具体实施例，应当注意，这里描述的实施例只用于举例说明，并不用于限制本公开。在以下描述中，为了提供对本公开的透彻理解，阐述了大量特定细节。然而，对于本领域普通技术人员显而易见的是：不必采用这些特定细节来实行本公开。在其他实例中，为了避免混淆本公开，未具体描述公知的电路、材料或方法。

在整个说明书中，对“一个实施例”、“实施例”、“一个示例”或“示例”的提及意味着：结合该实施例或示例描述的特定特征、结构或特性被包含在本公开至少一个实施例中。因此，在整个说明书的各个地方出现的短语“在一个实施例中”、“在实施例中”、“一个示例”或“示例”不一定都指同一实施例或示例。此外，可以以任何适当的组合和/或子组合将特定的特征、结构或特性组合在一个或多个实施例或示例中。此外，本领域普通技术人员应当理解，在此提供的附图都是为了说明的目的，并且附图不一定是按比例绘制的。这里使用的术语“和/或”包括一个或多个相关列出的项目的任何和所有组合。

以下参考附图对本公开进行具体描述。

首先，图1示出了根据本公开实施例的对电子关锁设备进行固件升级的网络100的示意图。

如图1所示，网络100包括电子关锁设备110、业务服务器120和升级服务器130。

业务服务器120用于对众多电子关锁设备的固件升级进行管理。业务服务器120能够设置升级内容、生成升级文件、将文件上传到升级服务器、触发升级通知等。

升级服务器130用于从业务服务器120或其他设备接收并存储升级文件，并且在接收到电子关锁设备110的升级请求后，能够与电子关锁设备110进行升级通信，将升级文件下发到各个电子关锁设备。

业务服务器120和升级服务器130都可以是云服务器或其他任何类型的能够承载数据的服务器系统。

电子关锁设备110的示意外观可如图2所示。从外观上看，电子关锁设备110包括锁杆和锁主体两部分，在使用时通过将锁杆穿过货厢门的扣环或锁孔来将电子关锁设备110锁附于货厢之上。锁杆可以采用柔性材料制成，其直径为毫米量级，比如约5毫米，从而具有更强的适应性。锁主体上印刷有电子关锁设备110的标识、条形码或二维码，从而可以使终端设备通过扫码或输入来获取电子关锁设备110的标识信息。应该理解但是，图2中的电子关锁设备110的外观只是示例性的，在本公开的其他实施例中，电子关锁设备110还可以具有任何其他可行的外观结构。

电子关锁设备的施解封可以通过终端设备来实现，其可以是任何类型的移动或有线终端，比如智能手机、平板电脑、笔记本电脑等。终端设备通过特定的通信方式与电子关锁设备110进行通信。在一个实施例中，通信方式可以为低功耗、低成本或近距离通信方式，比如蓝牙、近场通信、射频识别等。在另一实施例中，所述通信方式可以为有线通信。如上所述，终端设备还能够对电子关锁设备110上的条形码、二维码或标识符进行扫描，以获取电子关锁设备110的标识信息。

电子关锁设备110通过移动通信方式与业务服务器120和升级服务器130进行通信，比如2G、3G、4G或5G蜂窝通信、WiFi通信等。

在另一实施例中，电子关锁设备110不与业务服务器120和升级服务器130直接进行通信，而是借助于终端设备与业务服务器120和升级服务器130进行通信，其通信方式同样可以是上述移动通信方式。

图3示出了根据本公开实施例的电子关锁设备300的结构框图。电子关锁设备300可以用作图1所示的网络100中的电子关锁设备110。

从图3可见，所述电子关锁设备300包括第一通信单元310、处理单元320、存储单元330和第二通信单元340。在图3中，存储单元330和第二通信单元通过虚线示出，这表示它们并不是必要组件，在本公开的一些实施例中，可以将存储单元330和第二通信单元340省略。

第一通信单元310用于与业务服务器和升级服务器进行通信。在一个实施例中，第一通信单元310是移动通信单元，它使得电子关锁设备300通过移动通信方式与业务服务器和升级服务器进行通信。

处理单元320可以是任何类型的处理器或微处理器等。处理单元320用于控制第一通信单元310与业务服务器和升级服务器进行通信，并进而实现对电子关锁设备300的固件升级。

存储单元330可以是任何类型的数据存储单元，其用于存储从服务器接收的升级参数、数字签名和固件文件等，还可存储用于进行安全验证的预存数据、密钥、散列值等。

在一个实施例中，存储单元330中能够同时存储多个版本的固件文件，使得处理单元320能够根据需要调用其中一个固件文件并应用于电子关锁设备300。举例来讲，在从服务器下载了新的固件文件以用于对电子关锁设备进行固件升级的情况中，处理单元320可以控制存储单元330在不同的存储区域将新固件文件与旧固件文件独立地存储，从而当使用新的固件文件对电子关锁设备300进行升级后，一旦无法正常操作，则可以及时地切换回旧的固件文件，以保证电子关锁设备300能够处于工作状态。

第二通信单元340用于与关联设备进行通信，所述关联设备可以是例如上文所述的终端设备、阅读器等。第二通信单元340可以是近程通信单元，例如，蓝牙、近场通信、射频识别等，还可以是有线连接通信单元例如USB接口单元等。

图4示出了对图3所示的电子关锁设备300进行固件升级的方法400的信令图。

从图4可见，所述固件升级过程是在电子关锁设备300与业务服务器420以及升级服务器430之间进行的，其中，电子关锁设备300包括第一通信单元310和处理单元320。电子关锁设备300与业务服务器420以及升级服务器430可以构成如图1所示的固件升级网络。图4中的步骤S20、S35、S80、S85和S90通过虚线示出，这表示它们并不是电子关锁设备300的固件升级方法中的必要步骤。在本公开的一些实施例中，可以省略步骤S20、S35、S80、S85和S90中的一个或多个。

首先，在S10中，电子关锁设备300从业务服务器420接收固件升级通知。具体地，电子关锁设备300中的处理单元320控制第一通信单元310从业务服务器420接收固件升级通知。

在一个实施例中，所述固件升级通知包括升级参数。作为示例，所述升级参数包括以下各项中的至少一项：升级服务器的地址、用于升级的端口、业务服务器的地址、业务服务器的标识、业务服务器的端口信息和业务服务器验证信息。

然后，在S20中，处理单元320对所在固件升级通知中接收的参数进行处理。

在一个实施例中，所述参数是升级参数，从而所述处理包括：将所接收的升级参数与所存储的升级参数进行匹配。其中，所存储的升级参数存储在存储单元330中。举例来讲，所述升级参数可以是升级服务器的地址。此时，只有当所接收的升级服务器的地址与存储单元中所存储的升级服务器地址列表中的一项匹配时，才认为所述升级通知是合法的，并进而进行后续升级步骤。这在一定程度上保证了升级的安全性。

具体地，在实现匹配的条件下，所述方法进入S30，向升级服务器430发送固件升级请求。

在没有实现匹配的条件下，所述方法进入S35，向业务服务器420发送拒绝升级的消息。

在另一实施例中，所述参数可以是指示将要升级到的版本的版本信息。从而，所述处理包括：将所接收的版本信息与当前固件版本信息进行比较。

只有在所接收的版本信息中指示的版本比当前固件版本更新时才进入S30，向升级服务器430发送固件升级请求。否则，所述方法进入S35，向业务服务器420发送拒绝升级的消息。

在一个实施例中，电子关锁设备300与升级服务器430之间的通信是通过加密方式进行的。在这一实施例中，一旦确认进行升级，电子关锁设备300在向升级服务器430发送的固件升级请求中可以包括用于加密通信的公钥(例如，符合国密算法SM1-SM4中的任一项的公钥)以及加密设备ID，以使得升级服务器430能够与电子关锁设备300针对此次固件升级过程进行密钥协商。需要指出的是，虽然这里示出了通过国密算法来实现密钥协商过程，但在其他实施例中同样可以通过任何其他能够使双方确定通信密钥的密钥协商算法进行，比如Diffie-Hellman密钥协商算法。

接下来，在S40中，电子关锁设备300从升级服务器430接收固件升级响应。具体地，电子关锁设备300中的处理单元320控制第一通信单元310从升级服务器430接收固件升级响应。

其中，所述固件升级响应包括数字签名。在一个实施例中，数字签名可以是官方数字签名，以避免非法固件的入侵。

然后，在S50中，处理单元320对所述数字签名进行验证，以确定将要进行的升级是否安全。

如果在S50中，数字签名通过验证，则确认将要进行的升级是安全的。从而，在S60中，电子关锁设备300向升级服务器430发送固件升级确认消息，确认可以进行固件升级。具体地，电子关锁设备300的处理单元320控制第一通信单元310向升级服务器430发送固件升级确认消息。

在一个实施例中，所述数字签名的验证是通过使用如上文所述的公钥来进行的。应该理解的是，还可以通过任何其他适当的数字签名验证方法来进行这一验证。

在一个实施例中，在进入S60之前，处理单元320还对电子关锁设备300当前是否处于空闲时段进行判断。并且，只有在判断电子关锁设备300处于空闲时段的情况下，才进入S60。

在一个实施例中，在判断电子关锁设备300没有处于空闲时段的情况下，处理单元320可以暂缓方法的执行，并且在电子关锁设备300进入空闲时段时，再进入S60。处理单元320可以通过设置定时器来实现这一功能。

备选地，在另一实施例中，在判断电子关锁设备300没有处于空闲时段的情况下，处理单元320可以控制第一通信单元310向升级服务器430发送空闲时段信息，所述空闲时段信息指示所述升级服务器430可以向所述电子关锁设备300发送包括固件文件的升级数据的时段。

升级服务器430在对大量电子关锁设备300进行升级时可以根据从各个电子关锁设备反馈的空闲时段信息，并结合其硬件和/或网络条件为每个电子关锁设备安排适当的升级数据发送时间表。在进一步的实施例中，升级服务器430还可以将升级数据发送时间表发送到相关电子关锁设备300，并在得到电子关锁设备的肯定应答后对所述时间表或时间表中经过确认的区段进行排程。

在另一实施例中，即使处理单元320判断电子关锁设备300处于非空闲时段，所述方法也可以进入S60，即处理单元320向控制第一通信单元310向升级服务器430发送固件升级确认消息。这使得电子关锁设备300能够在以下步骤S70中从升级服务器430接收升级数据。此时，可以在电子关锁设备300的存储单元330中设置用于存储升级数据的第一存储区域和第二存储区域，使得如果此前判断电子关锁设备300处于空闲时段，则将所接收的升级数据存储到第一存储区域，否则存储到第二存储区域。

接下来，在S70中，电子关锁设备300从升级服务器430接收升级数据。具体地，电子关锁设备300的处理单元320控制第一通信单元310从升级服务器430接收升级数据。

在一个实施例中，升级数据包括固件文件和完整性数据。固件文件即用来对电子关锁设备300进行固件升级的文件。完整性数据包括循环冗余校验(CRC)的校验值，例如CRC-16校验值。

然后，所述方法进入S80，其中，进行完整性验证和散列值验证。应该指出的是，虽然这里示出了进行两种验证，但是在其他实施例中，可以只进行完整性验证和散列值验证之一。

关于完整性验证，电子关锁设备300执行以下操作：

根据固件文件计算完整性数据；

将所接收的完整性数据与所计算的完整性数据进行比较。

具体地，电子关锁设备300的处理单元320根据固件文件计算完整性数据，并将所接收的完整性数据与所计算的完整性数据进行比较。

如果二者一致，则表明完整性验证通过，等待进入步骤S90。如果二者不一致，则进入S85，向业务服务器420发送升级失败消息。

关于散列值验证，电子关锁设备300执行以下操作：

从数字签名导出第一散列摘要值；

对所述固件文件进行散列运算，导出第二散列摘要值；

将第一散列摘要值与第二散列摘要值进行比较。

如果二者一致，则进入S90，对电子关锁设备300进行固件升级。否则，进入S85，向业务服务器420发送升级失败消息。

需要指出的是，从数字签名导出第一散列摘要值的操作可以是利用上文所述的公钥进行的。在一个实施例中，可以通过使用所述公钥从数字签名中导出第一散列摘要值。

还可以对升级后的固件版本是否能够正常使用进行考虑。在一个实施例中，如上文所述，所接收的用于升级的固件文件与升级前的旧固件文件可以是独立存储在电子关锁设备中的，并且这两个固件文件互为备份。从而，在固件升级完成后，所述方法400还可以包括以下操作：判断电子关锁设备是否能够正常操作；以及在所述电子关锁设备不能正常操作的条件下，使用所述旧固件文件对所述电子关锁设备进行恢复。这保证了电子关锁设备不会处于无法正常工作的状态。

在一个实施例中，所述固件升级过程不但可以针对电子关锁设备300还可以针对通过第二通信单元340与电子关锁设备300进行通信的关联设备。此时，升级数据中还包括针对所述关联设备的固件升级数据。从而，电子关锁设备300还将整个升级数据或针对关联设备的固件升级数据发送到关联设备，以实现关联设备的固件升级。

图5示出了根据本公开实施例的示例升级流程的流程图。

所述流程开始于S510，其中，业务服务器向电子关锁设备发送固件升级通知。

然后，在S512中，判断升级通知中指示的将要升级到的固件版本号是否比电子关锁设备中的当前固件版本的版本号更高。

如果所指示的版本号并不比当前版本号更高，则进入S515，向业务服务器反馈无需进行固件升级。

如果版本号确实更高，则在S514中向业务服务器反馈等待进行升级，并记录相关数据，比如IP、端口号以及新的版本号等。

然后，在S516中，确定是否符合连接升级服务器的条件。

如果不符合，则进入S518，继续等待。

如果符合则，在S520中连接升级服务器并向其发送升级请求。

然后，在S522中，电子关锁设备从升级服务器接收升级响应。

接下来，在S524中，对升级响应中包括的数字签名进行验证。

如果没有通过验证，则进入S526，向升级服务器发送终止升级指令并擦除存储器记录的升级数据。

如果通过验证，则进入S528，记录新固件文件的总包数、新固件文件的CRC-16校验值并写入存储器。进而在S530中，接收新的固件文件并执行以下操作：1.记录包序号，存入存储器；2.计算CRC-16校验值，存入存储器；3.根据规则将数据写入指定闪存地址。

然后，进入S532，完成升级文件的接收。

接下来，在S534中，电子关锁设备将接收的CRC校验值与计算得到的CRC校验值进行比较。

如果二者一致，则在S536中，向业务服务器反馈升级成功，并清空存储器中的升级信息，设置存储器中的升级标志。最后，在S538中重启电子关锁，完成固件升级。

如果二者不一致，则在S532中，向业务服务器反馈升级失败。

通过以上提出的电子关锁设备及其固件升级方法，可以批量对电子关锁设备进行远程无线升级，提高工作效率。并且，能够避免对锁体进行拆解，保留产品结构功能的完整性。此外，所述固件升级方法还能够大大提高电子关锁内数据的安全性。

以上的详细描述通过使用示意图、流程图和/或示例，已经阐述了众多实施例。在这种示意图、流程图和/或示例包含一个或多个功能和/或操作的情况下，本领域技术人员应理解，这种示意图、流程图或示例中的每一功能和/或操作可以通过各种结构、硬件、软件、固件或实质上它们的任意组合来单独和/或共同实现。在一个实施例中，本公开的实施例所述主题的若干部分可以通过专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)、或其他集成格式来实现。然而，本领域技术人员应认识到，这里所公开的实施例的一些方面在整体上或部分地可以等同地实现在集成电路中，实现为在一台或多台计算机上运行的一个或多个计算机程序(例如，实现为在一台或多台计算机系统上运行的一个或多个程序)，实现为在一个或多个处理器上运行的一个或多个程序(例如，实现为在一个或多个微处理器上运行的一个或多个程序)，实现为固件，或者实质上实现为上述方式的任意组合，并且本领域技术人员根据本公开，将具备设计电路和/或写入软件和/或固件代码的能力。此外，本领域技术人员将认识到，本公开所述主题的机制能够作为多种形式的程序产品进行分发，并且无论实际用来执行分发的信号承载介质的具体类型如何，本公开所述主题的示例性实施例均适用。信号承载介质的示例包括但不限于：可记录型介质，如软盘、硬盘驱动器、紧致盘(CD)、数字通用盘(DVD)、数字磁带、计算机存储器等；以及传输型介质，如数字和/或模拟通信介质(例如，光纤光缆、波导、有线通信链路、无线通信链路等)。

虽然已参照几个典型实施例描述了本公开，但应当理解，所用的术语是说明和示例性、而非限制性的术语。由于本公开能够以多种形式具体实施而不脱离公开的精神或实质，所以应当理解，上述实施例不限于任何前述的细节，而应在随附权利要求所限定的精神和范围内广泛地解释，因此落入权利要求或其等效范围内的全部变化和改型都应为随附权利要求所涵盖。

Claims

一种用于对电子关锁设备的固件升级方法，包括：

接收来自业务服务器的固件升级通知，所述固件升级通知包括升级参数；

根据升级参数，向升级服务器发送固件升级请求；

从升级服务器接收固件升级响应，所述固件升级响应包括数字签名；

对所述数字签名进行验证，以确定是否进行升级；

在所述数字签名通过验证的条件下，向升级服务器发送升级确认；

从升级服务器接收包括固件文件的升级数据。
根据权利要求1所述的方法，其中，所述升级数据还包括完整性数据，所述方法还包括：

根据所述固件文件计算完整性数据；

将所接收的完整性数据与所计算的完整性数据进行比较；

在所接收的完整性数据与所计算的完整性数据一致的条件下，使用所述固件文件对所述电子关锁设备进行固件升级。
根据权利要求1所述的方法，其中，所述方法还包括：

从所述数字签名导出第一散列摘要值；

对所述固件文件进行散列运算，导出第二散列摘要值；

将第一散列摘要值与第二散列摘要值进行比较；

在第一散列摘要值与第二散列摘要值相同的条件下，使用所述固件文件对所述电子关锁设备进行固件升级。
根据权利要求1所述的方法，其中，所述根据升级参数向升级服务器发送固件升级请求的步骤包括：

将所接收的升级参数与所存储的升级参数进行匹配；

在实现匹配的条件下，向升级服务器发送固件升级请求。
根据权利要求1所述的方法，其中，在向所述升级服务器发送升级确认之前，所述方法还包括：

判断所述电子关锁设备是否处于空闲时段；

在所述电子关锁设备处于空闲时段的条件下，向所述升级服务器发送升级确认。
根据权利要求5所述的方法，还包括：

在所述电子关锁设备不处于空闲时段的条件下，向所述升级服务器发送空闲时段信息，所述空闲时段信息指示所述电子关锁设备可以接收包括固件文件的升级数据的时段。
根据权利要求5所述的方法，还包括：

在所述电子关锁设备不处于空闲时段的条件下，向所述升级服务器发送所述升级确认；以及

在从升级服务器接收包括固件文件的升级数据之后，

在所述电子关锁设备处于空闲时段的条件下，将所述升级数据存储在所述电子关锁设备的存储单元的第一存储区域，以及

在所述电子关锁设备不处于空闲时段的条件下，将所述升级数据存储在所述电子关锁设备的存储单元的与第一存储区域不同的第二存储区域。
根据权利要求1所述的方法，其中，所述方法还包括：

将所接收的固件文件与升级前的旧固件文件独立存储在所述电子关锁设备中；

在使用所接收的固件文件对电子关锁设备进行升级之后，判断电子关锁设备是否能够正常操作；

在所述电子关锁设备不能正常操作的条件下，使用所述旧固件文件对所述电子关锁设备进行恢复。
一种电子关锁设备，包括：

通信单元，用于与业务服务器和升级服务器进行通信；

处理单元，被配置为执行以下操作：

控制所述第一通信单元接收来自业务服务器的固件升级通知，所述固件升级通知包括升级参数；

对所述升级参数进行处理，并基于处理结果，控制所述第一通信单元向升级服务器发送固件升级请求；

控制所述第一通信单元从升级服务器接收固件升级响应，所述固件升级响应包括数字签名；

对所述数字签名进行验证，以确定是否进行升级；

在所述数字签名通过验证的条件下，控制所述第一通信单元向升级服务器发送升级确认；

控制所述第一通信单元从升级服务器接收包括固件文件的升级数据。
根据权利要求9所述的电子关锁设备，其中，所述升级数据还包括完整性数据，所述处理单元还被配置为：

根据所述固件文件计算完整性数据；

将所接收的完整性数据与所计算的完整性数据进行比较；

在所接收的完整性数据与所计算的完整性数据一致的条件下，使用所述固件文件对所述电子关锁设备进行固件升级。
根据权利要求9所述的电子关锁设备，其中，所述处理单元还被配置为：

从所述数字签名导出第一散列摘要值；

对所述固件文件进行散列运算，导出第二散列摘要值；

将第一散列摘要值与第二散列摘要值进行比较；

在第一散列摘要值与第二散列摘要值相同的条件下，使用所述固件文件对所述电子关锁设备进行固件升级。
根据权利要求9所述的电子关锁设备，其中，所述电子关锁设备还包括存储单元，并且所述处理单元还被配置为，在对所述升级参数进行处理的操作中：

将所接收的升级参数与存储单元中存储的升级参数进行匹配；

在实现匹配的条件下，控制所述第一通信单元向升级服务器发送固件升级请求。
根据权利要求9所述的电子关锁设备，其中，所述处理单元还被配置为：

判断所述电子关锁设备是否处于空闲时段；

在所述电子关锁设备处于空闲时段的条件下，控制所述第一通信单元向所述升级服务器发送升级确认。
根据权利要求13所述的电子关锁设备，其中，所述处理单元还被配置为：

在所述电子关锁设备不处于空闲时段的条件下，向所述升级服务器发送所述升级确认；以及

在控制所述第一通信单元从升级服务器接收包括固件文件的升级数据之后，

在所述电子关锁设备处于空闲时段的条件下，将所述升级数据存储在所述电子关锁设备的存储单元的第一存储区域，以及

在所述电子关锁设备不处于空闲时段的条件下，将所述升级数据存储在所述电子关锁设备的存储单元的与第一存储区域不同的第二存储区域。
根据权利要求9所述的电子关锁设备，其中，所述处理单元还被配置为：

将所接收的固件文件与升级前的旧固件文件独立存储在所述电子关锁设备中；

在使用所接收的固件文件对电子关锁设备进行升级之后，判断电子关锁设备是否能够正常操作；

在所述电子关锁设备不能正常操作的条件下，使用所述旧固件文件对所述电子关锁设备进行恢复。