WO2021159530A1

WO2021159530A1 - 一种车载设备升级方法及相关装置

Info

Publication number: WO2021159530A1
Application number: PCT/CN2020/075427
Authority: WO
Inventors: 殷新星; 魏卓
Original assignee: 华为技术有限公司
Priority date: 2020-02-14
Filing date: 2020-02-14
Publication date: 2021-08-19
Also published as: JP2022522607A; JP7371103B2; EP3893108B1; EP3893108A4; CN112534793A; MX2021009503A; EP3893108A1; US11321074B2; US20210311720A1

Abstract

一种车载设备升级方法及相关装置，应用于车辆信息安全领域，该方法包括：车辆的车载单元通过第一算法处理第一数据分段以得到第一校验值；第一数据分段是用于升级车辆的控制单元的升级文件所包含的多个数据分段中的任意一个数据分段，第一校验值用于发送给控制单元；该车载设备通过第一密钥加密第一数据分段以得到第一加密分段，并向控制单元发送第一加密分段，以用于控制单元将通过第一密钥解密第一加密分段所得到的第一数据分段存储到控制单元中；第一数据分段用于供控制单元组成上述升级文件进行升级。该方法能够有效提高升级文件在车内传输过程中的安全性。

Description

一种车载设备升级方法及相关装置

技术领域

本申请涉及信息技术领域，尤其涉及一种车载设备升级方法及相关装置。

背景技术

空中升级(over the air，OTA)是一种通过空中接口远程管理、更新电子设备中固件的技术，OTA升级具备高效便捷、低成本的特性。OTA技术目前已被很多整车制造商(original equipmentmanufacturer，OEM)的车型部署，用于升级车辆的电子控制单元(electronic control unit，ECU)等固件。车辆的车载单元(telematics box，Tbox)能通过无线链路获取OEM云端服务器发布的软件升级包，并将软件升级包刷写到车辆的ECU等固件中。

但是，目前对于OTA升级的安全性考虑明显不足，软件升级包的传输过程存在安全隐患，如软件升级包包含的关键算法、用户隐私等重要信息容易被篡改和窃取，如何提高软件升级包传输过程的安全性是本领域的技术人员正在研究的问题。

发明内容

本申请实施例公开了一种车载设备升级方法及相关装置，能够有效提高升级文件传输过程的安全性。

第一方面，本申请实施例公开一种车载设备升级方法，该方法包括：

第一车载设备通过第一算法处理第一数据分段以得到第一校验值；所述第一数据分段是用于升级第二车载设备的升级文件所包含的多个数据分段中的任意一个数据分段，所述第一校验值用于发送给所述第二车载设备；

通过第一密钥加密所述第一数据分段以得到第一加密分段；

向所述第二车载设备发送所述第一加密分段，以用于所述第二车载设备在通过所述第一算法验证所述第一校验值通过的情况下，将通过所述第一密钥解密所述第一加密分段所得到的所述第一数据分段存储到所述第二车载设备中；所述第一数据分段用于供所述第二车载设备组成所述升级文件进行升级。

在上述方法中，用于升级第二车载设备的升级文件的多个数据分段中的每个数据分段均单独进行加密和传输，能够有效降低每个数据分段被窃取的风险。并且在接收端(即第二车载设备)均需验证每个数据分段对应的校验值，而不是仅在最后一个数据分段传输完成后才进行整个升级文件的校验，能够及时发现被篡改的异常数据分段，并在发现异常数据分段之后及时触发停止新的数据分段的传输，从而有效提高升级文件传输过程的安全性。

在第一方面的一种可选的方案中，所述第一车载设备通过第一算法处理第一数据分段以得到第一校验值之前，还包括：

所述第一车载设备与下载服务器进行超文本传输安全协议HTTPS的双向认证；所述下载服务器用于为所述第二车载设备提供所述升级文件；

接收所述下载服务器发送的加密文件，所述加密文件为对所述升级文件进行加密获得；

当满足预设的升级条件时解密所述加密文件以得到所述升级文件。

可以看出，提供升级文件的下载服务器为与第一车载设备进行HTTPS协议的双向认证的服务器，确保了升级文件来源的合法性，避免了非授权平台向第一车载设备下发恶意升级文件的情况，以及避免了攻击者仿冒第一车载设备窃取下载服务器发布的包含重要信息的升级文件的情况。并且，下载服务器和第一车载设备之间传输的是经过加密的升级文件，能够有效降低升级文件被窃取的风险，从而有效提高升级文件传输过程的安全性。

在第一方面的又一种可选的方案中，若所述第一数据分段为所述升级文件的多个数据分段中的首个数据分段，则所述第一校验值是将所述第一数据分段作为所述第一算法的输入得到的输出数据；

若所述第一数据分段为所述升级文件的多个数据分段中除首个数据分段以外的一个数据分段，则所述第一校验值是将所述第一数据分段和第二校验值作为所述第一算法的输入得到的输出数据；所述第二校验值是通过所述第一算法处理所述第一数据分段的前一个数据分段得到的。

可以看出，升级文件的多个数据分段中除首个数据分段外的其他数据分段对应的校验值均与前一个数据分段对应的校验值相关，通过哈希链实现了数据分段的顺序检测机制，避免乱序分段刷写成功导致升级文件组装出错的情况，校验值通过哈希链的方式来实现也增加了被恶意破解的难度。

在第一方面的又一种可选的方案中，所述第一加密分段是通过所述第一密钥加密所述第一数据分段和所述第一校验值得到的。

可以看出，在对第一数据分段加密的基础上，还可以对第一校验值加密，从而进一步提高升级文件传输过程的安全性。

在第一方面的又一种可选的方案中，所述第一密钥为预先为所述第一车载设备和所述第二车载设备配置的预共享密钥。

可以看出，通过预先配置的预共享密钥，而非通过安全协议或安全算法协商得到的密钥来保障每个数据分段的机密性，能够有效减少第一车载设备和第二车载设备的资源消耗。

在第一方面的又一种可选的方案中，所述第一密钥为所述第一车载设备和所述第二车载设备进行传输层安全协议TLS的双向认证协商得到的密钥。

可以看出，通过TLS协议协商得到的密钥对每个数据分段加密能够保障每个数据分段的机密性，并且对于不同的第二车载设备，第一车载设备和第二车载设备进行的双向认证过程不同，协商得到的第一密钥也可以不同，即不同的升级文件对应的加解密密钥可以不同，从而大大提高升级文件传输过程的安全性。

在第一方面的又一种可选的方案中，所述第一密钥为所述第一车载设备和所述第二车载设备进行TLS协议的双向认证协商得到的密钥；

所述第一校验值是基于TLS协议通过所述第一算法处理所述第一数据分段得到的所述第一数据分段的消息认证码。

可以看出，基于TLS协议对每个数据分段进行机密性保护和完整性保护，有利于保障升级文件传输过程的安全性。

第二方面，本申请实施例提供一种车载设备升级方法，包括：

第二车载设备接收第一车载设备发送的第一加密分段；所述第一加密分段是通过第一密钥对第一数据分段加密得到的，所述第一数据分段是用于升级所述第二车载设备的升级文件所包含的多个数据分段中的任意一个数据分段；

通过所述第一密钥解密所述第一加密分段以得到所述第一数据分段；

在通过所述第一算法验证第一校验值通过的情况下，将所述第一数据分段存储到所述第二车载设备中；所述第一校验值是所述第一车载设备通过第一算法处理所述第一数据分段得到的，所述第一校验值为所述第二车载设备从所述第一车载设备处接收；

基于所述第一数据分段组成所述升级文件进行升级。

在第二方面的一种可选的方案中，若所述第一数据分段为所述升级文件的多个数据分段中的首个数据分段，则所述第一校验值是将所述第一数据分段作为所述第一算法的输入得到的输出数据；

在第二方面的又一种可选的方案中，所述第一加密分段是通过所述第一密钥加密所述第一数据分段和所述第一校验值得到的。

在第二方面的又一种可选的方案中，所述第一密钥为预先为所述第一车载设备和所述第二车载设备配置的预共享密钥。

在第二方面的又一种可选的方案中，所述第一密钥为所述第一车载设备和所述第二车载设备进行传输层安全协议TLS的双向认证协商得到的密钥。

在第二方面的又一种可选的方案中，所述第一密钥为所述第一车载设备和所述第二车载设备进行TLS协议的双向认证协商得到的密钥；

第三方面，本申请实施例提供一种车载设备升级方法，应用于车辆，所述车辆包括第一车载设备和第二车载设备，所述方法包括：

所述第一车载设备通过第一算法处理第一数据分段以得到第一校验值；所述第一数据分段是用于升级所述第二车载设备的升级文件所包含的多个数据分段中的任意一个数据分段，所述第一校验值用于发送给所述第二车载设备；

所述第一车载设备通过第一密钥加密所述第一数据分段以得到第一加密分段；

所述第一车载设备向所述第二车载设备发送所述第一加密分段；

所述第二车载设备接收所述第一车载设备发送的所述第一加密分段；

所述第二车载设备通过所述第一密钥解密所述第一加密分段以得到所述第一数据分段；

所述第二车载设备在通过所述第一算法验证所述第一校验值通过的情况下，将所述第一数据分段存储到所述第二车载设备中；

所述第二车载设备基于所述第一数据分段组成所述升级文件进行升级。

在第三方面的一种可选的方案中，所述第一车载设备通过第一算法处理第一数据分段以得到第一校验值之前，还包括：

所述第一车载设备与下载服务器进行HTTPS协议的双向认证；所述下载服务器用于为所述第二车载设备提供所述升级文件；

所述第一车载设备接收所述下载服务器发送的加密文件，所述加密文件为对所述升级文件进行加密获得；

当满足预设的升级条件时，所述第一车载设备解密所述加密文件以得到所述升级文件。

在第三方面的又一种可选的方案中，若所述第一数据分段为所述升级文件的多个数据分段中的首个数据分段，则所述第一校验值是将所述第一数据分段作为所述第一算法的输入得到的输出数据；

在第三方面的又一种可选的方案中，所述第一加密分段是通过所述第一密钥加密所述第一数据分段和所述第一校验值得到的。

在第三方面的又一种可选的方案中，所述第一密钥为预先为所述第一车载设备和所述第二车载设备配置的预共享密钥。

在第三方面的又一种可选的方案中，所述第一密钥为所述第一车载设备和所述第二车载设备进行传输层安全协议TLS的双向认证协商得到的密钥。

在第三方面的又一种可选的方案中，所述第一密钥为所述第一车载设备和所述第二车载设备进行TLS协议的双向认证协商得到的密钥；

第四方面，本申请实施例提供一种第一车载设备，包括：

处理单元，用于通过第一算法处理第一数据分段以得到第一校验值；所述第一数据分段是用于升级第二车载设备的升级文件所包含的多个数据分段中的任意一个数据分段，所述第一校验值用于发送给所述第二车载设备；

加密单元，用于通过第一密钥加密所述第一数据分段以得到第一加密分段；

通信单元，用于向所述第二车载设备发送所述第一加密分段，以用于所述第二车载设备在通过所述第一算法验证所述第一校验值通过的情况下，将通过所述第一密钥解密所述第一加密分段所得到的所述第一数据分段存储到所述第二车载设备中；所述第一数据分段用于供所述第二车载设备组成所述升级文件进行升级。

在上述装置中，用于升级第二车载设备的升级文件的多个数据分段中的每个数据分段均单独进行加密和传输，能够有效降低每个数据分段被窃取的风险。并且在接收端(即第二车载设备)均需验证每个数据分段对应的校验值，而不是仅在最后一个数据分段传输完成后才进行整个升级文件的校验，能够及时发现被篡改的异常数据分段，并在发现异常数据分段之后及时触发停止新的数据分段的传输，从而有效提高升级文件传输过程的安全性。

在第四方面的一种可选的方案中，所述第一车载设备还包括协商单元和解密单元，其中：

协商单元，用于在处理单元通过第一算法处理第一数据分段以得到第一校验值之前，与下载服务器进行HTTPS的双向认证；所述下载服务器用于为所述第二车载设备提供所述升级文件；

通信单元，还用于接收所述下载服务器发送的加密文件，所述加密文件为对所述升级文件进行加密获得；

解密单元，用于当满足预设的升级条件时解密所述加密文件以得到所述升级文件。

在第四方面的又一种可选的方案中，若所述第一数据分段为所述升级文件的多个数据分段中的首个数据分段，则所述第一校验值是将所述第一数据分段作为所述第一算法的输入得到的输出数据；

在第四方面的又一种可选的方案中，所述第一加密分段是通过所述第一密钥加密所述第一数据分段和所述第一校验值得到的。

在第四方面的又一种可选的方案中，所述第一密钥为预先为所述第一车载设备和所述第二车载设备配置的预共享密钥。

在第四方面的又一种可选的方案中，所述第一密钥为所述第一车载设备和所述第二车载设备进行传输层安全协议TLS的双向认证协商得到的密钥。

在第四方面的又一种可选的方案中，所述第一密钥为所述第一车载设备和所述第二车载设备进行TLS协议的双向认证协商得到的密钥；

第五方面，本申请实施例提供一种第二车载设备，包括：

通信单元，用于接收第一车载设备发送的第一加密分段；所述第一加密分段是通过第一密钥对第一数据分段加密得到的，所述第一数据分段是用于升级所述第二车载设备的升级文件所包含的多个数据分段中的任意一个数据分段；

解密单元，用于通过所述第一密钥解密所述第一加密分段以得到所述第一数据分段；

验证单元，用于在通过所述第一算法验证第一校验值通过的情况下，将所述第一数据分段存储到所述第二车载设备中；所述第一校验值是所述第一车载设备通过第一算法处理所述第一数据分段得到的，所述第一校验值为所述第二车载设备从所述第一车载设备处接收；

升级单元，用于基于所述第一数据分段组成所述升级文件进行升级。

在第五方面的一种可选的方案中，若所述第一数据分段为所述升级文件的多个数据分段中的首个数据分段，则所述第一校验值是将所述第一数据分段作为所述第一算法的输入得到的输出数据；

在第五方面的又一种可选的方案中，所述第一加密分段是通过所述第一密钥加密所述第一数据分段和所述第一校验值得到的。

在第五方面的又一种可选的方案中，所述第一密钥为预先为所述第一车载设备和所述第二车载设备配置的预共享密钥。

在第五方面的又一种可选的方案中，所述第一密钥为所述第一车载设备和所述第二车载设备进行传输层安全协议TLS的双向认证协商得到的密钥。

在第五方面的又一种可选的方案中，所述第一密钥为所述第一车载设备和所述第二车载设备进行TLS协议的双向认证协商得到的密钥；

第六方面，本申请实施例提供一种第一车载设备，所述第一车载设备包括收发器、处理器和存储器，所述存储器用于存储计算机程序，所述处理器调用所述计算机程序，用于执行如下操作：

通过第一算法处理第一数据分段以得到第一校验值；所述第一数据分段是用于升级第二车载设备的升级文件所包含的多个数据分段中的任意一个数据分段，所述第一校验值用于发送给所述第二车载设备；

通过第一密钥加密所述第一数据分段以得到第一加密分段；

控制所述收发器向所述第二车载设备发送所述第一加密分段，以用于所述第二车载设备在通过所述第一算法验证所述第一校验值通过的情况下，将通过所述第一密钥解密所述第一加密分段所得到的所述第一数据分段存储到所述第二车载设备中；所述第一数据分段用于供所述第二车载设备组成所述升级文件进行升级。

在第六方面的一种可选的方案中，所述通过第一算法处理第一数据分段以得到第一校验值之前，所述处理器还用于：

与下载服务器进行HTTPS协议的双向认证；所述下载服务器用于为所述第二车载设备提供所述升级文件；

控制所述收发器接收所述下载服务器发送的加密文件，所述加密文件为对所述升级文件进行加密获得；

在第六方面的又一种可选的方案中，若所述第一数据分段为所述升级文件的多个数据分段中的首个数据分段，则所述第一校验值是将所述第一数据分段作为所述第一算法的输入得到的输出数据；

在第六方面的又一种可选的方案中，所述第一加密分段是通过所述第一密钥加密所述第一数据分段和所述第一校验值得到的。

在第六方面的又一种可选的方案中，所述第一密钥为预先为所述第一车载设备和所述第二车载设备配置的预共享密钥。

在第六方面的又一种可选的方案中，所述第一密钥为所述第一车载设备和所述第二车载设备进行传输层安全协议TLS的双向认证协商得到的密钥。

在第六方面的又一种可选的方案中，所述第一密钥为所述第一车载设备和所述第二车载设备进行TLS协议的双向认证协商得到的密钥；

第七方面，本申请实施例提供一种第二车载设备，所述第二车载设备包括收发器、处理器和存储器，所述存储器用于存储计算机程序，所述处理器调用所述计算机程序，用于执行如下操作：

控制所述收发器接收第一车载设备发送的第一加密分段；所述第一加密分段是通过第一密钥对第一数据分段加密得到的，所述第一数据分段是用于升级所述第二车载设备的升级文件所包含的多个数据分段中的任意一个数据分段；

基于所述第一数据分段组成所述升级文件进行升级。

在第七方面的一种可选的方案中，若所述第一数据分段为所述升级文件的多个数据分段中的首个数据分段，则所述第一校验值是将所述第一数据分段作为所述第一算法的输入得到的输出数据；

在第七方面的又一种可选的方案中，所述第一加密分段是通过所述第一密钥加密所述第一数据分段和所述第一校验值得到的。

在第七方面的又一种可选的方案中，所述第一密钥为预先为所述第一车载设备和所述第二车载设备配置的预共享密钥。

在第七方面的又一种可选的方案中，所述第一密钥为所述第一车载设备和所述第二车载设备进行传输层安全协议TLS的双向认证协商得到的密钥。

在第七方面的又一种可选的方案中，所述第一密钥为所述第一车载设备和所述第二车载设备进行TLS协议的双向认证协商得到的密钥；

第八方面，本申请实施例提供一种车辆，包括第一车载设备和第二车载设备，其中：所述第一车载设备为第四方面，或者第四方面的任意一种可能的实现方式所描述的第一车载设备；所述第二车载设备为第五方面，或者第五方面的任意一种可能的实现方式所描述的第二车载设备。

第八方面，本申请实施例提供一种车辆，包括第一车载设备和第二车载设备，其中：所述第一车载设备为第六方面，或者第六方面的任意一种可能的实现方式所描述的第一车载设备，所述第二车载设备为第七方面，或者第七方面的任意一种可能的实现方式所描述的第二车载设备。

第九方面，本申请实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在处理器上运行时，实现第一方面和第二方面中任意一方面或者任意一方面的可选的方案所描述的方法。

附图说明

图1是本申请实施例提供的一种车载设备升级系统的架构示意图；

图2是本申请实施例提供的一种车载设备升级方法的流程示意图；

图3是本申请实施例提供的又一种车载设备升级方法的流程示意图；

图4是本申请实施例提供的又一种车载设备升级方法的流程示意图；

图5是本申请实施例提供的又一种车载设备升级方法的流程示意图；

图6是本申请实施例提供的一种第一设备的结构示意图；

图7是本申请实施例提供的一种第二设备的结构示意图；

图8是本申请实施例提供的又一种第一设备的结构示意图；

图9是本申请实施例提供的又一种第二设备的结构示意图。

具体实施方式

下面结合本申请实施例中的附图对本申请实施例进行描述。

请参见图1，图1是本申请实施例提供的一种车载设备升级系统的架构示意图，该架构示意图包括下载服务器110和车辆120，服务器110和车辆120可以通过无线链路(例如，WIFI、蓝牙和移动设备网络等)进行通信下载。车辆120包括通信总线121以及通过通信总线121互相通信的多个车载设备122，该多个车载设备122具体包括多少个设备，此处不做限定。

下载服务器110可以是整车制造商(original equipmentmanufacturer，OEM)设置的用于为车辆120提供升级文件的服务器。下载服务器110可以是单个服务器，也可以是多个服务器组成的服务器集群；下载服务器110可以是硬件服务器，也可以是云服务器，此处不做限定。

车辆120也可以是智能车辆、智能“充电狗”(一种可移动的用于为智能车辆充电的设备)等设备。通信总线121可以但不限于是局域互联网络(local interconnect network，LIN)总线和控制器局域网络(controller area network，CAN)总线等。车载设备122可以是车辆120中能够通过升级文件升级系统的电子设备或控制单元，例如电子控制单元(electronic control unit，ECU)，整车控制单元(vehicle control unit，VCU)等；车载设备122也可以是车辆120中能够通过无线链路获取下载服务器110提供的升级文件，并将该升级文件传输给其他需升级系统的车载设备的电子设备，例如车载单元(telematics box，Tbox)等。其中，ECU的种类繁多，不同的ECU可以用于实现不同的功能，例如，网关(gateway，GW)、自动变速箱控制单元(transmission control unit，TCU)、辅助控制单元(auxiliary control unit，ACU)等。

车辆120中的Tbox可以通过无线链路与下载服务器110通信，例如，Tbox可以通过无线链路获取下载服务器110发布的用于升级车辆120的控制单元(如ECU或VCU)的升级文件，并基于统一诊断服务(unified diagnostic services，UDS)的协议规范将该升级文件分段刷写到对应的控制单元的本地缓存(flash)对应的地址单元中，从而完成空中升级(over the air，OTA)过程。

为了便于描述，下面称Tbox为第一车载设备、称通过Tbox辅助分段刷写升级文件的控制单元(如ECU或VCU)为第二车载设备。

请参见图2，图2是本申请实施例提供的一种车载设备升级方法，该方法可以基于图1所示的车载设备升级系统实现，该方法包括但不限于如下步骤：

步骤S201：下载服务器和第一车载设备进行超文本传输安全协议(hyper texttransferprotocol over secure socket layer，HTTPS)的双向认证。

具体地，下载服务器用于通过第一车载设备为第二车载设备提供升级文件。

具体地，HTTPS协议可以理解为是在超文本传输协议(hyper texttransferprotocol，HTTP)的基础上通过安全套接层(securesocketslayer，SSL)或传输层安全协议(transport layer security，TLS)来保证传输过程的安全性的协议，由于TLS协议比SSL协议更新，应用更广，本申请实施例以TLS协议为例进行说明。

HTTPS协议的双向认证实际是TLS协议的双向认证，也称为TLS握手协议的交互过程。在双向认证的过程中，下载服务器将下载服务器的根证书或OTA证书发送给第一车载设备，以供第一车载设备对下载服务器进行身份认证；同样地，第一车载设备也将第一车载设备的设备证书发送给下载服务器，以供下载服务器对第一车载设备进行身份认证。其中，OTA证书可以是下载服务器基于上述根证书派生得到的用于与第一车载设备安全交互的证书。

本申请实施例中，下载服务器和第一车载设备进行HTTPS协议的双向认证，能够有效避免非授权的下载服务器向第一车载设备发布恶意的升级文件，以及攻击者仿冒授权的第一车载设备窃取下载服务器发布的包含关键经验校准配置、关键算法、用户隐私等重要信息的升级文件的情况。

步骤S202：下载服务器对升级文件进行加密和签名，以得到加密文件和第一签名。

具体地，升级文件用于升级第二车载设备，下载服务器可以通过第二密钥对升级文件进行加密以得到加密文件，其中，该第二密钥可以是下载服务器随机生成的一个密钥，也可以是下载服务器与第一车载设备预先协商得到的一个密钥，还可以是预先配置(如通过可信的第三方设备进行配置)的一个密钥，当然还可以是通过其他方式获得的密钥。下载服务器可以通过第一证书的私钥对升级文件进行签名以得到第一签名，其中，该第一证书可以是下载服务器的根证书，也可以是上述OTA证书，当然也可以是其他能够标识下载服务器的身份的证书。

步骤S203：下载服务器向第一车载设备发送加密文件和第一签名。

步骤S204：第一车载设备接收加密文件和第一签名。

步骤S205：第一车载设备在验证第一签名通过的情况下，存储加密文件。

具体地，第一签名用于验证下载服务器发送的升级文件的完整性和升级文件来源(即下载服务器)的合法性，下载服务器可以通过能够标识下载服务器的身份的证书对升级文件进行签名以得到第一签名并发送给第一车载设备。相应地，第一车载设备可以通过该能够标识下载服务器的身份的证书的公钥验证第一签名，第一车载设备在第一签名验证通过的情况下，认为该升级文件没有被篡改过(即完整性校验通过)，以及认为发送该加密文件和第一签名的节点为该下载服务器(即合法性验证通过)。其中，本申请实施例对下载服务器进行签名的具体方式和第一车载设备验证签名的具体方式不做限定；为了便于理解，下面例举几种可选的验证签名的方案。

可选的，如果第一证书是下载服务器的根证书，那么该第一车载设备用到的第一证书可以是下载服务器发送给第一车载设备的，相应地，第一车载设备通过该根证书的公钥验证第一签名。

可选的，如果第一证书是OTA证书，那么该第一车载设备用到的第一证书可以是下载服务器发送给第一车载设备的，该下载服务器还向第一车载设备发送下载服务器的根证书。相应地，第一车载设备通过该根证书验证接收的OTA证书的合法性，若验证通过，则通过该OTA证书的公钥验证第一签名。

本申请实施例中，若第一签名验证通过，则存储加密文件；若OTA证书的合法性验证不通过或第一签名验证不通过，则第一车载设备向车辆中用于实现整车系统故障诊断保护的车载设备，如VCU，上报加密文件异常的告警。

步骤S206：当满足预设的升级条件时，第一车载设备解密加密文件以得到升级文件。

具体地，预设的升级条件可以但不限于是车辆接收升级指令及车辆处于静止状态等，其中，升级指令可以但不限于是用户通过车辆内置的车载终端指示的，用户通过与车辆无线连接的车联网应用程序(application，APP)指示的。当不满足预设的升级条件时，升级文件以加密文件的形式存储在第一车载设备中，当满足预设的升级条件时，第一车载设备才通过第二密钥解密该加密文件以得到升级文件，而不是在接收到加密文件后立即解密得到并存储升级文件，从而避免升级文件在存储期间被窃取和篡改的情况，保障了升级文件的安全性。

可选的，如果第二密钥是下载服务器随机产生的一个密钥，那么下载服务器还可以通过第一车载设备的设备证书的公钥对第二密钥进行加密并将经过加密的第二密钥发送给第一车载设备。相应地，第一车载设备接收该下载服务器发送的经过加密的第二密钥，然后通过第一车载设备的设备证书的私钥对加密后的第二密钥进行解密，得到该第二密钥。通过这种方式得到的第二密钥用于该第一车载设备解密经加密的加密文件，得到升级文件。

可选的，该第一车载设备也可以在接收到加密文件后立即解密得到并存储升级文件，当然这种方式的安全性就相对较低了。

步骤S207：第一车载设备通过第一算法处理第一数据分段以得到第一校验值。

具体地，第一车载设备可以基于第二车载设备的接收能力将升级文件划分为多个数据分段，以n个数据分段为例进行说明，例如，升级文件的大小为64个字节，第二车载设备每次能接收数据包的大小为8个字节，因此第一车载设备需将64字节的升级文件划分为8个数据分段。第一车载设备每次向第二车载设备发送n个数据分段中的一个数据分段，当n个数据分段全部发送给第二车载设备时，完成分段刷写升级文件的过程。

上述第一数据分段是升级文件所包含的多个数据分段中的任意一个数据分段，即该多个数据分段中的每个数据分段的特性均适用于后续对第一数据分段的相关描述。

另外，第一算法和第一校验值用于保障每个数据分段的完整性，下面分情况举例说明：

情况一，第一算法是哈希算法，例如，SHA-256、SHA-384、SHA-512、MD2、MD4、MD5等，第一校验值是第一数据分段对应的哈希值，其中：

若第一数据分段为升级文件的多个数据分段中的首个数据分段，则第一校验值是将第一数据分段作为第一算法的输入得到的输出数据；

若第一数据分段为升级文件的多个数据分段中除首个数据分段以外的一个数据分段，则第一校验值是将第一数据分段和第二校验值作为第一算法的输入得到的输出数据；第二校验值是通过第一算法处理第一数据分段的前一个数据分段得到的。

例如，若升级文件File包括3个数据分段，按照顺序依次为data1，data2和data3，第一算法是MD5算法，那么：

若第一数据分段为data1，则第一校验值check1＝MD5(data1)；

若第一数据分段为data2，则第一校验值check2＝MD5(data2，check1)；

若第一数据分段为data3，则第一校验值check3＝MD5(data3，check2)。

情况二，第一算法是用于计算消息认证码(message authentication code，MAC)的算法，例如，哈希消息认证码(hash-based message authentication code，HMAC)算法等专用于计算MAC的算法，数据加密标准(data encryption standard，DES)等加密算法；第一校验值是基于TLS协议通过第一算法处理第一数据分段得到的第一数据分段的MAC。

例如，若升级文件File包括2个数据分段，按照顺序依次为data1和data2，第一算法是HMAC算法，那么：

若第一数据分段为data1，则第一校验值check1＝HMAC(data1)；

若第一数据分段为data2，则第一校验值check2＝HMAC(data2)。

步骤S208：第一车载设备通过第一密钥加密第一数据分段以得到第一加密分段。

在上述情况一的前提下，第一密钥可以是预先为第一车载设备和第二车载设备配置的预共享密钥(pre-shared key，PSK)，也可以是第一车载设备和第二车载设备通过安全算法或安全协议，如TLS协议，协商得到的密钥。第一车载设备可以通过该第一密钥加密第一数据分段和第一校验值以得到第一加密分段。

在上述情况二的前提下，第一密钥可以是通过安全协议，如TLS协议，协商得到的密钥。第一车载设备可以通过该第一密钥加密第一数据分段以得到第一加密分段。

步骤S209：第一车载设备向第二车载设备发送第一加密分段。

在上述情况一的前提下，第一车载设备向第二车载设备发送第一加密分段，该第一加密分段为第一车载设备通过第一算法加密第一数据分段和第一校验值得到的。

在上述情况二的前提下，第一车载设备向第二车载设备发送第一加密分段和第一校验值。

步骤S210：第二车载设备接收第一加密分段。

在上述情况一的前提下，第二车载设备接收第一车载设备发送的第一加密分段，该第一加密分段为第一车载设备通过第一算法加密第一数据分段和第一校验值得到的。

在上述情况二的前提下，第二车载设备接收第一车载设备发送的第一加密分段和第一校验值。

步骤S211：第二车载设备通过第一密钥解密第一加密分段以得到第一数据分段。

在上述情况一的前提下，第二车载设备，可选的，如第二车载设备中的引导程序BootLoader，通过第一密钥解密第一加密分段以得到第一数据分段和第一校验值。

在上述情况二的前提下，第二车载设备，可选的，如第二车载设备中的引导程序BootLoader，通过第一密钥解密第一加密分段以得到第一数据分段。

步骤S212：第二车载设备在通过第一算法验证第一校验值通过的情况下，将第一数据分段存储到第二车载设备中。

具体地，第二车载设备，可选的，如第二车载设备中的引导程序BootLoader，通过第一算法计算解密得到的第一数据分段对应的校验值，然后比较该校验值和接收或解密得到的第一校验值，若二者相同，完整性校验通过，则将该第一数据分段存储到第二车载设备的flash对应的地址单元中；若二者不同，完整性校验不通过，则停止刷写升级文件的过程并向车辆中用于实现整车系统故障诊断保护的车载设备，如VCU，上报第一数据分段异常的告警。

步骤S213：第二车载设备基于第一数据分段组成升级文件进行升级。

具体地，步骤S207-S212对应一个数据分段的安全刷写过程，升级文件的n个数据分段中的每个数据分段均按照步骤S207-S212所述的方式刷写到第二车载设备中，在n个数据分段全部刷写到第二车载设备中之后，第二车载设备可以组装n个数据分段以得到升级文件，并基于该升级文件升级系统。

在上述方法中，用于升级第二车载设备的升级文件的多个数据分段中的每个数据分段均单独进行加密和传输，有效降低车内传输过程中每个数据分段被窃取的风险，保障每个数据分段在车内传输过程的机密性。并且在接收端(即第二车载设备)均需验证每个数据分段对应的校验值，而不是仅在最后一个数据分段传输完成后才进行整个升级文件的校验，能够及时发现被篡改的异常数据分段，并在发现异常数据分段之后及时触发停止新的数据分段的传输，避免异常数据分段刷写到第二车载设备中造成第二车载设备工作异常或资源浪费的情况，保障了每个数据分段的完整性，从而有效提高升级文件传输过程的安全性。

以上图2所示的方法实施例中包含了很多可能的实现方案，下面分别结合图3、图4、图5对其中的部分实现方案进行举例说明，需要说明的是，图3、图4、图5未解释到的相关概念或者操作或者逻辑关系可以参照图2所示实施例中的相应描述，因此不再赘述。

请参见图3，图3是本申请实施例提供的又一种车载设备升级方法的流程示意图，该方法可以基于图1所示的车载设备升级系统实现，该方法包括但不限于如下步骤：

步骤S301：第一车载设备配置第一密钥。

步骤S302：第二车载设备配置第一密钥。

具体地，第一密钥是预先为第一车载设备和第二车载设备配置的预共享密钥(pre-shared key，PSK)。第一密钥可以是人工设置在第一车载设备和第二车载设备中的一个密钥，也可以是通过第三方设备生成并发送给第一车载设备和第二车载设备的一个密钥；其中，第三方设备可以通过有线链路或无线链路与第一车载设备和第二车载设备通信。

步骤S303：第一车载设备将首个数据分段作为第一算法的输入得到输出的首个数据分段对应的校验值。

具体地，第一算法是哈希算法，校验值是第一车载设备通过第一算法得到的哈希值，第一车载设备可以将用于升级第二车载设备的升级文件包括的多个数据分段(如n个数据分段)中的首个数据分段作为第一算法的输入得到输出的哈希值，即第一校验值。

例如，若首个数据分段为data1，第一算法是MD5算法，则第一车载设备通过将首个数据分段作为第一算法的输入得到输出的首个数据分段对应的校验值为check1＝MD5(data1)。

步骤S304：第一车载设备通过第一密钥加密首个数据分段和首个数据分段对应的校验值以得到首个数据分段对应的加密分段。

步骤S305：第一车载设备向第二车载设备发送首个数据分段对应的加密分段。

步骤S306：第二车载设备接收首个数据分段对应的加密分段。

步骤S307：第二车载设备通过第一密钥解密首个数据分段对应的加密分段以得到首个数据分段和首个数据分段对应的校验值。

步骤S308：第二车载设备在通过第一算法验证首个数据分段对应的校验值通过的情况下，将首个数据分段存储到第二车载设备中。

具体地，第二车载设备将解密得到的首个数据分段作为第一算法的输入得到输出的哈希值，比较该哈希值与解密得到的首个数据分段对应的校验值，若二者相同，认为首个数据分段没有被篡改(即完整性校验通过)，则第二车载设备将首个数据分段存储到第二车载设备的flash对应的地址单元中；若二者不同，认为首个数据分段被篡改(即完整性校验不通过)，则停止刷写该升级文件并向车辆中用于实现整车系统故障诊断保护的车载设备，如VCU，上报首个数据分段异常的告警。

例如，若第一算法是MD5算法，解密得到的首个数据分段为data1，解密得到的首个数据分段对应的校验值是check1，则第二车载设备将解密得到的首个数据分段作为第一算法的输入得到输出的哈希值为hash1＝MD5(data1)，比较hash1和check1，若二者相同则完整性校验通过，若二者不同则完整性校验不通过。

步骤S309：第一车载设备将首个数据分段对应的校验值和第二个数据分段作为第一算法的输入得到输出的第二个数据分段对应的校验值。

具体地，首个数据分段对应的校验值是通过第一算法处理首个数据分段得到的哈希值，首个数据分段对应的校验值是第一车载设备在首个数据分段的传输过程中向第二车载设备发送的。第二车载设备可以将首个数据分段对应的校验值和第二个数据分段作为第一算法的输入得到第二个数据分段对应的校验值。

例如，若第一算法是MD5算法，首个数据分段为data1，首个数据分段对应的校验值是check1＝MD5(data1)，第二个数据分段为data2，第一车载设备将首个数据分段对应的校验值和第二个数据分段作为第一算法的输入得到的第二个数据分段对应的校验值为check2＝MD5(data2，check1)。

步骤S310：第一车载设备通过第一密钥加密第二个数据分段和第二个数据分段对应的校验值以得到第二加密分段。

步骤S311：第一车载设备向第二车载设备发送第二加密分段。

步骤S312：第二车载设备接收第二加密分段。

步骤S313：第二车载设备通过第一密钥解密第二加密分段以得到第二个数据分段和第二个数据分段对应的校验值。

步骤S314：第二车载设备在通过第一算法验证第二个数据分段对应的校验值通过的情况下，将第二个数据分段存储到第二车载设备中。

具体地，第二车载设备将解密得到的第二个数据分段和首个数据分段传输过程中解密得到的首个数据分段对应的校验值作为第一算法的输入得到输出的哈希值，比较该哈希值与解密得到的第二个数据分段对应的校验值，若二者相同，完整性校验通过，则将解密得到的第二个数据分段存储到第二车载设备的flash对应的地址单元中；若二者不同，完整性校验不通过，则停止刷写该升级文件并向车辆中用于实现整车系统故障诊断保护的车载设备，如VCU，上报第二个数据分段异常的告警。

接下来继续将升级文件中除首个数据分段和第二个数据分段外的其他n-2个数据分段按照上述步骤S309-S314的方式刷写到第二车载设备中，在n个数据分段全部刷写到第二车载设备中之后，第二车载设备可以组装n个数据分段以此得到升级文件，并基于该升级文件升级系统。

例如，若n为3，即升级文件File包括3个数据分段，按照顺序依次为data1，data2和data3，第一算法是MD5算法，首个数据分段为data1，第二个数据分段为data2，首个数据分段对应的校验值为check1，第二个数据分段对应的校验值为check2，data1和data2的传输过程在上述图3已经示例，此处不予赘述。第三个数据分段为data3，第一车载设备将第二个数据分段对应的校验值和第三个数据分段作为第一算法的输入得到输出的第三个数据分段对应的校验值为check3＝MD5(data3，check2)，然后通过第一密钥加密data3和check3得到第三加密分段，并将第三加密分段发送给第二车载设备。相应地，第二车载设备接收并通过第一密钥解密接收的第三加密分段以得到解密得到第三个数据分段data33和第三个数据分段对应的校验值check33，然后通过第一算法计算解密得到的第三个数据分段对应的哈希值为hash3＝MD5(data33，check2)，比较hash3和check33，若二者相同则完整性校验通过，若二者不同则完整性校验不通过。当3个数据分段均刷写到第二车载设备中，第二车载设备可以按照接收的顺序将data1、data2和data3组装得到升级文件File，并基于该升级文件File升级系统。

在上述方法中，升级文件的多个数据分段中除首个数据分段外的其他数据分段对应的校验值均与前一个数据分段对应的校验值相关，通过哈希链实现了数据分段的顺序检测机制，避免乱序分段刷写成功导致升级文件组装出错的情况，校验值通过哈希链的方式来实现也增加了被恶意破解的难度。并且，通过预先配置的预共享密钥，而非通过安全协议或安全算法协商得到的密钥来保障每个数据分段的机密性，能够有效减少第一车载设备和第二车载设备的资源消耗。

请参见图4，图4是本申请实施例提供的又一种车载设备升级方法的流程示意图，该方法可以基于图1所示的车载设备升级系统实现，该方法包括但不限于如下步骤：

步骤S401：第一车载设备和第二车载设备进行TLS协议的双向认证以协商得到第一密钥。

具体地，第一密钥是第一车载设备和第二车载设备通过TLS协议协商得到的密钥。TLS协议的双向认证和图2所述的HTTPS的双向认证原理相同，第一车载设备和第二车载设备可以通过各自的设备证书或预置的密钥实现双向的身份认证，避免攻击者仿冒第一车载设备下发恶意升级文件、仿冒第二车载设备窃取升级文件包含的重要信息的情况，并且第一车载设备和第二车载设备可以在TLS协议的双向认证协商传输所用的参数，如第一算法的种类，加解密所用的第一密钥等。

步骤S402：第一车载设备将首个数据分段作为第一算法的输入得到输出的首个数据分段对应的校验值。

步骤S403：第一车载设备通过第一密钥加密首个数据分段和首个数据分段对应的校验值以得到首个数据分段对应的加密分段。

步骤S404：第一车载设备向第二车载设备发送首个数据分段对应的加密分段。

步骤S405：第二车载设备接收首个数据分段对应的加密分段。

步骤S406：第二车载设备通过第一密钥解密首个数据分段对应的加密分段以得到首个数据分段和首个数据分段对应的校验值。

步骤S407：第二车载设备在通过第一算法验证首个数据分段对应的校验值通过的情况下，将首个数据分段存储到第二车载设备中。

步骤S408：第一车载设备将首个数据分段对应的校验值和第二个数据分段作为第一算法的输入得到输出的第二个数据分段对应的校验值。

步骤S409：第一车载设备通过第一密钥加密第二个数据分段和第二个数据分段对应的校验值以得到第二加密分段。

步骤S410：第一车载设备向第二车载设备发送第二加密分段。

步骤S411：第二车载设备接收第二加密分段。

步骤S412：第二车载设备通过第一密钥解密第二加密分段以得到第二个数据分段和第二个数据分段对应的校验值。

步骤S413：第二车载设备在通过第一算法验证第二个数据分段对应的校验值通过的情况下，将第二个数据分段存储到第二车载设备中。

具体地，步骤S402-S413所述的分段刷写升级文件的过程和上述图3中步骤S303-S314所述的分段刷写升级文件的过程一致，此处不再赘述。

在上述方法中，通过TLS协议协商得到的密钥对每个数据分段加密能够保障每个数据分段的机密性，并且对于不同的第二车载设备，第一车载设备和第二车载设备进行的双向认证过程不同，协商得到的第一密钥也可以不同，即不同的升级文件对应的加解密密钥可以不同，从而大大提高升级文件传输过程的安全性。

请参见图5，图5是本申请实施例中提供的又一种车载设备升级方法的流程示意图，该方法可以基于图1所示的车载设备升级系统实现，该方法可以将RFC5246标准的TLS协议应用于分段刷写升级文件的过程中，该方法包括但不限于如下步骤：

步骤S501：第一车载设备和第二车载设备进行TLS协议的双向认证。

具体地，RFC5246标准的TLS协议包括握手阶段和传输阶段，在握手阶段(即TLS协议的双向认证)，第一车载设备和第二车载设备通过TLS协议的双向认证实现身份认证，并协商后续传输阶段中所使用的完整性保护算法(即第一算法)和用于保障升级文件的机密性的第一密钥；在传输阶段，第一车载设备和第二车载设备基于TLS协议对每个数据分段的传输过程进行机密性和完整性的保护，有利于保障车载设备升级过程的安全性。

步骤S502：第一车载设备和第二车载设备基于TLS协议对首个数据分段的传输过程进行加密和完整性保护。

具体地，用于升级第二车载设备的升级文件包括的多个数据分段。第一车载设备和第二车载设备可以基于RFC5246标准的TLS协议对用于升级第二车载设备的升级文件包括的多个数据分段(如n个数据分段)中的首个数据分段进行机密性保护和完整性保护。

具体地，第一车载设备通过协商的第一密钥对首个数据分段进行加密以得到首个数据分段对应的加密分段，通过协商的第一算法计算首个数据分段对应的MAC，即首个数据分段对应的校验值，并将首个数据分段对应的加密分段和首个数据分段对应的MAC发送给第二车载设备。

相应地，第二车载设备接收首个数据分段对应的加密分段和首个数据分段对应的MAC，通过协商的第一密钥对首个数据分段对应的加密分段进行解密以得到首个数据分段，通过协商的第一算法计算解密得到的首个数据分段对应的MAC，然后比较第二车载设备计算得到的MAC和接收的首个数据分段对应的MAC，若二者相同，认为首个数据分段没有被篡改(即完整性校验通过)，则将解密得到的首个数据分段存储到第二车载设备的flash对应的地址单元中；若二者不同，认为首个数据分段被篡改(即完整性校验不通过)，则停止刷写该升级文件并向车辆中用于实现整车系统故障诊断保护的车载设备，如VCU，上报首个数据分段异常的告警。

例如，若首个数据分段为data1，第一算法是HMAC算法，则第一车载设备通过第一算法计算得到首个数据分段data1对应的MAC值为check1＝HMAC(data1)，相应地，第二车载设备通过第一算法计算解密得到的首个数据分段data11对应的MAC值为mac1＝HMAC(data11)，然后比较check1和mac1，若二者相同，则完整性校验通过；若二者不同，则完整性校验不通过。

步骤S503：第一车载设备和第二车载设备基于TLS协议对第二个数据分段的传输过程进行加密和完整性保护。

具体地，继续基于TLS协议对升级文件的n个数据分段中除首个数据分段外的每个数据分段的传输过程进行加密和完整性保护，即将升级文件的n个数据分段中除首个数据分段外的每个数据分段均按照步骤S502的方式刷写到第二车载设备中，在n个数据分段全部刷写到第二车载设备中之后，第二车载设备可以组装n个数据分段以此得到升级文件，并基于该升级文件升级系统。

在上述方法中，基于RFC5246标准的TLS协议对每个数据分段进行机密性保护和完整性保护，有利于保障升级文件传输过程的安全性。

在本申请实施例中，用于升级第二车载设备的升级文件的多个数据分段中的每个数据分段均单独进行加密和传输，确保了车内传输过程的机密性；第一车载设备和第二车载设备通过哈希链或TLS协议常用的完整性保护算法实现每个数据分段的完整性保护，能够及时发现异常数据分段，并在发现异常数据分段之后及时触发停止新的数据分段的传输，避免异常数据分段刷写到第二车载设备中造成第二车载设备工作异常或资源浪费的情况。

除此以外，为车辆提供升级文件的下载服务器是与第一车载设备进行HTTPS协议的双向认证的服务器，从而确保了升级包来源的合法性；下载服务器和第一车载设备传输的是经过加密的升级文件，确保了车外传输过程的机密性；第一车载设备存储的是经过加密的升级文件，确保了升级文件存储期间的机密性。

上述详细阐述了本申请实施例的方法，下面提供了本申请实施例的装置。

请参见图6，图6是本申请实施例提供的一种第一车载设备的结构示意图，第一车载设备600可以包括处理单元601、加密单元602和通信单元603，其中，各个单元的详细描述如下：

处理单元601，用于通过第一算法处理第一数据分段以得到第一校验值；所述第一数据分段是用于升级第二车载设备的升级文件所包含的多个数据分段中的任意一个数据分段，所述第一校验值用于发送给所述第二车载设备；

加密单元602，用于通过第一密钥加密所述第一数据分段以得到第一加密分段；

通信单元603，用于向所述第二车载设备发送所述第一加密分段，以用于所述第二车载设备在通过所述第一算法验证所述第一校验值通过的情况下，将通过所述第一密钥解密所述第一加密分段所得到的所述第一数据分段存储到所述第二车载设备中；所述第一数据分段用于供所述第二车载设备组成所述升级文件进行升级。

可以看出，用于升级第二车载设备的升级文件的多个数据分段中的每个数据分段均单独进行加密和传输，有效降低车内传输过程中每个数据分段被窃取的风险，保障每个数据分段在车内传输过程的机密性。并且在接收端(即第二车载设备)均需验证每个数据分段对应的校验值，而不是仅在最后一个数据分段传输完成后才进行整个升级文件的校验，能够及时发现被篡改的异常数据分段，并在发现异常数据分段之后及时触发停止新的数据分段的传输，避免异常数据分段刷写到第二车载设备中造成第二车载设备工作异常或资源浪费的情况，保障了每个数据分段的完整性，从而有效提高升级文件传输过程的安全性。

在一种可选的方案中，第一车载设备600还包括协商单元和解密单元，其中：

协商单元，用于在处理单元601通过第一算法处理第一数据分段以得到第一校验值之前，与下载服务器进行HTTPS协议的双向认证；所述下载服务器用于为所述第二车载设备提供所述升级文件；

通信单元603，还用于接收所述下载服务器发送的加密文件，所述加密文件为对所述升级文件进行加密获得；

可以看出，提供升级文件的下载服务器为与第一车载设备进行HTTPS协议的双向认证的服务器，确保了升级文件来源的合法性，避免了非授权平台向第一车载设备下发恶意升级文件的情况，以及避免了攻击者仿冒第一车载设备窃取下载服务器发布的包含重要信息的升级文件的情况。并且，下载服务器和第一车载设备之间传输的是经过加密的升级文件，以及第一车载设备存储的是经过加密的升级文件，能够有效降低升级文件被窃取的风险，保障升级文件在车外传输过程和存储期间的机密性，从而有效提高升级文件传输过程的安全性。

在又一种可选的方案中，若所述第一数据分段为所述升级文件的多个数据分段中的首个数据分段，则所述第一校验值是将所述第一数据分段作为所述第一算法的输入得到的输出数据；

在又一种可选的方案中，所述第一加密分段是通过所述第一密钥加密所述第一数据分段和所述第一校验值得到的。

在又一种可选的方案中，所述第一密钥为预先为所述第一车载设备和所述第二车载设备配置的预共享密钥。

在又一种可选的方案中，所述第一密钥为所述第一车载设备和所述第二车载设备进行TLS协议的双向认证协商得到的密钥。

在又一种可选的方案中，所述第一密钥为所述第一车载设备和所述第二车载设备进行TLS协议的双向认证协商得到的密钥；

需要说明的是，各个操作的实现还可以对应参照图2、图3、图4和图5所示的方法实施例的相应描述。该第一车载设备600为图2、图3、图4和图5所示方法实施例中的第一车载设备。

请参见图7，图7是本申请实施例提供的一种第二车载设备的结构示意图，第二车载设备700可以包括通信单元701、解密单元702和验证单元703，其中，各个单元的详细描述如下：

通信单元701，用于接收第一车载设备发送的第一加密分段；所述第一加密分段是通过第一密钥对第一数据分段加密得到的，所述第一数据分段是用于升级所述第二车载设备的升级文件所包含的多个数据分段中的任意一个数据分段；

解密单元702，用于通过所述第一密钥解密所述第一加密分段以得到所述第一数据分段；

验证单元703，用于在通过所述第一算法验证第一校验值通过的情况下，将所述第一数据分段存储到所述第二车载设备中；所述第一校验值是所述第一车载设备通过第一算法处理所述第一数据分段得到的，所述第一校验值为所述第二车载设备从所述第一车载设备处接收；

升级单元704，用于基于所述第一数据分段组成所述升级文件进行升级。

在一种可选的方案中，若所述第一数据分段为所述升级文件的多个数据分段中的首个数据分段，则所述第一校验值是将所述第一数据分段作为所述第一算法的输入得到的输出数据；

需要说明的是，各个操作的实现还可以对应参照图2、图3、图4和图5所示的方法实施例的相应描述。该第二车载设备700为图2、图3、图4和图5所示方法实施例中的第二车载设备。

请参见图8，图8是本申请实施例提供的又一种第一车载设备的结构示意图，第一车载设备800可以包括处理器801、存储器802和收发器803，处理器801、存储器802和收发器803通过总线相互连接。

存储器802包括但不限于是随机存储记忆体(random access memory，RAM)、只读存储器(read-only memory，ROM)、可擦除可编程只读存储器(erasable programmable read only memory，EPROM)、或便携式只读存储器(compact disc read-only memory，CD-ROM)。该存储器802用于存储相关计算机程序及数据。收发器803用于接收和发送数据。

处理器801可以是一个或多个中央处理器(central processing unit，CPU)。在处理器801是一个CPU的情况下，该CPU可以是单核CPU，也可以是多核CPU。

第一车载设备800中的处理器801可以用于读取存储器802中存储的计算机程序代码，执行以下操作：

通过第一密钥加密所述第一数据分段以得到第一加密分段；

控制收发器803向所述第二车载设备发送所述第一加密分段，以用于所述第二车载设备在通过所述第一算法验证所述第一校验值通过的情况下，将通过所述第一密钥解密所述第一加密分段所得到的所述第一数据分段存储到所述第二车载设备中；所述第一数据分段用于供所述第二车载设备组成所述升级文件进行升级。

在一种可选的方案中，在通过第一算法处理第一数据分段以得到第一校验值之前，处理器801还用于：

控制收发器803接收所述下载服务器发送的加密文件，所述加密文件为对所述升级文件进行加密获得；

需要说明的是，各个操作的实现还可以对应参照图2、图3、图4和图5所示的方法实施例的相应描述。该第一车载设备800为图2、图3、图4和图5所示方法实施例中的第一车载设备。

请参见图9，图9是本申请实施例提供的又一种第二车载设备的结构示意图，第二车载设备900可以包括处理器901、存储器902和收发器903，处理器901、存储器902和收发器903通过总线相互连接。

存储器902包括但不限于是随机存储记忆体(random access memory，RAM)、只读存储器(read-only memory，ROM)、可擦除可编程只读存储器(erasable programmable read only memory，EPROM)、或便携式只读存储器(compact disc read-only memory，CD-ROM)。该存储器902用于存储相关计算机程序及数据。收发器903用于接收和发送数据。

处理器901可以是一个或多个中央处理器(central processing unit，CPU)。在处理器 901是一个CPU的情况下，该CPU可以是单核CPU，也可以是多核CPU。

第二车载设备900中的处理器901可以用于读取存储器902中存储的计算机程序代码，执行以下操作：

控制收发器903接收第一车载设备发送的第一加密分段；所述第一加密分段是通过第一密钥对第一数据分段加密得到的，所述第一数据分段是用于升级所述第二车载设备的升级文件所包含的多个数据分段中的任意一个数据分段；

基于所述第一数据分段组成所述升级文件进行升级。

需要说明的是，各个操作的实现还可以对应参照图2、图3、图4和图5所示的方法实施例的相应描述。该第二车载设备900为图2、图3、图4和图5所示方法实施例中的第二车载设备。

本申请实施例还提供一种芯片系统，芯片系统包括至少一个处理器，存储器和接口电路，存储器、收发器和至少一个处理器通过线路互联，至少一个存储器中存储有计算机程序。计算机程序被处理器执行时，实现图2、图3、图4或图5所示实施例中第一车载设备所执行的操作，或者实现图2、图3、图4或图5所示实施例中第二车载设备所执行的操作。

本申请实施例还提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机程序，当其在处理器上运行时，实现图2、图3、图4或图5所示实施例中第一车载设备所执行的操作，或者实现图2、图3、图4或图5所示实施例中第二车载设备所执行的操作。

本申请实施例还提供一种计算机程序产品，当计算机程序产品在处理器上运行时，实现图2、图3、图4或图5所示实施例中第一车载设备所执行的操作，或者实现图2、图3、图4或图5所示实施例中第二车载设备所执行的操作。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，该流程可以由计算机程序来计算机程序相关的硬件完成，该计算机程序可存储于计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法实施例的流程。而前述的存储介质包括：ROM或随机存储记忆体RAM、磁碟或者光盘等各种可存储计算机程序代码的介质。

Claims

一种车载设备升级方法，其特征在于，包括：

第一车载设备通过第一算法处理第一数据分段以得到第一校验值；所述第一数据分段是用于升级第二车载设备的升级文件所包含的多个数据分段中的任意一个数据分段，所述第一校验值用于发送给所述第二车载设备；

通过第一密钥加密所述第一数据分段以得到第一加密分段；

向所述第二车载设备发送所述第一加密分段，以用于所述第二车载设备在通过所述第一算法验证所述第一校验值通过的情况下，将通过所述第一密钥解密所述第一加密分段所得到的所述第一数据分段存储到所述第二车载设备中；所述第一数据分段用于供所述第二车载设备组成所述升级文件进行升级。
如权利要求1所述的方法，其特征在于，所述第一车载设备通过第一算法处理第一数据分段以得到第一校验值之前，还包括：

所述第一车载设备与下载服务器进行超文本传输安全协议HTTPS的双向认证；所述下载服务器用于为所述第二车载设备提供所述升级文件；

接收所述下载服务器发送的加密文件，所述加密文件为对所述升级文件进行加密获得；

当满足预设的升级条件时解密所述加密文件以得到所述升级文件。
如权利要求1或2所述的方法，其特征在于，

若所述第一数据分段为所述升级文件的多个数据分段中的首个数据分段，则所述第一校验值是将所述第一数据分段作为所述第一算法的输入得到的输出数据；

若所述第一数据分段为所述升级文件的多个数据分段中除首个数据分段以外的一个数据分段，则所述第一校验值是将所述第一数据分段和第二校验值作为所述第一算法的输入得到的输出数据；所述第二校验值是通过所述第一算法处理所述第一数据分段的前一个数据分段得到的。
如权利要求1-3任一项所述的方法，其特征在于，所述第一加密分段是通过所述第一密钥加密所述第一数据分段和所述第一校验值得到的。
如权利要求1或2所述的方法，其特征在于，

所述第一密钥为所述第一车载设备和所述第二车载设备进行传输层安全协议TLS的双向认证协商得到的密钥；

所述第一校验值是基于TLS协议通过所述第一算法处理所述第一数据分段得到的所述第一数据分段的消息认证码。
一种车载设备升级方法，其特征在于，包括：

第二车载设备接收第一车载设备发送的第一加密分段；所述第一加密分段是通过第一密钥对第一数据分段加密得到的，所述第一数据分段是用于升级所述第二车载设备的升级文件所包含的多个数据分段中的任意一个数据分段；

通过所述第一密钥解密所述第一加密分段以得到所述第一数据分段；

在通过所述第一算法验证第一校验值通过的情况下，将所述第一数据分段存储到所述第二车载设备中；所述第一校验值是所述第一车载设备通过第一算法处理所述第一数据分段得到的，所述第一校验值为所述第二车载设备从所述第一车载设备处接收；

基于所述第一数据分段组成所述升级文件进行升级。
如权利要求6所述的方法，其特征在于，

若所述第一数据分段为所述升级文件的多个数据分段中的首个数据分段，则所述第一校验值是将所述第一数据分段作为所述第一算法的输入得到的输出数据；

若所述第一数据分段为所述升级文件的多个数据分段中除首个数据分段以外的一个数据分段，则所述第一校验值是将所述第一数据分段和第二校验值作为所述第一算法的输入得到的输出数据；所述第二校验值是通过所述第一算法处理所述第一数据分段的前一个数据分段得到的。
如权利要求6或7所述的方法，其特征在于，所述第一加密分段是通过所述第一密钥加密所述第一数据分段和所述第一校验值得到的。
如权利要求6所述的方法，其特征在于，

所述第一密钥为所述第一车载设备和所述第二车载设备进行TLS协议的双向认证协商得到的密钥；

所述第一校验值是基于TLS协议通过所述第一算法处理所述第一数据分段得到的所述第一数据分段的消息认证码。
一种车载设备升级方法，其特征在于，应用于车辆，所述车辆包括第一车载设备和第二车载设备，所述方法包括：

所述第一车载设备通过第一算法处理第一数据分段以得到第一校验值；所述第一数据分段是用于升级所述第二车载设备的升级文件所包含的多个数据分段中的任意一个数据分段，所述第一校验值用于发送给所述第二车载设备；

所述第一车载设备通过第一密钥加密所述第一数据分段以得到第一加密分段；

所述第一车载设备向所述第二车载设备发送所述第一加密分段；

所述第二车载设备接收所述第一车载设备发送的所述第一加密分段；

所述第二车载设备通过所述第一密钥解密所述第一加密分段以得到所述第一数据分段；

所述第二车载设备在通过所述第一算法验证所述第一校验值通过的情况下，将所述第一数据分段存储到所述第二车载设备中；

所述第二车载设备基于所述第一数据分段组成所述升级文件进行升级。
如权利要求10所述的方法，其特征在于，

若所述第一数据分段为所述升级文件的多个数据分段中的首个数据分段，则所述第一校验值是将所述第一数据分段作为所述第一算法的输入得到的输出数据；

若所述第一数据分段为所述升级文件的多个数据分段中除首个数据分段以外的一个数据分段，则所述第一校验值是将所述第一数据分段和第二校验值作为所述第一算法的输入得到的输出数据；所述第二校验值是通过所述第一算法处理所述第一数据分段的前一个数据分段得到的。
如权利要10所述的方法，其特征在于，

所述第一密钥为所述第一车载设备和所述第二车载设备进行传输层安全协议TLS协议的双向认证协商得到的密钥；

所述第一校验值是基于TLS协议通过所述第一算法处理所述第一数据分段得到的所述第一数据分段的消息认证码。
一种第一车载设备，其特征在于，所述第一车载设备包括收发器、处理器和存储器，所述存储器用于存储计算机程序，所述处理器调用所述计算机程序，用于执行如下操作：

通过第一算法处理第一数据分段以得到第一校验值；所述第一数据分段是用于升级第二车载设备的升级文件所包含的多个数据分段中的任意一个数据分段，所述第一校验值用于发送给所述第二车载设备；

通过第一密钥加密所述第一数据分段以得到第一加密分段；

控制所述收发器向所述第二车载设备发送所述第一加密分段，以用于所述第二车载设备在通过所述第一算法验证所述第一校验值通过的情况下，将通过所述第一密钥解密所述第一加密分段所得到的所述第一数据分段存储到所述第二车载设备中；所述第一数据分段用于供所述第二车载设备组成所述升级文件进行升级。
如权利要求13所述的第一车载设备，其特征在于，所述通过第一算法处理第一数据分段以得到第一校验值之前，所述处理器还用于：

与下载服务器进行HTTPS协议的双向认证；所述下载服务器用于为所述第二车载设备提供所述升级文件；

控制所述收发器接收所述下载服务器发送的加密文件，所述加密文件为对所述升级文件进行加密获得；

当满足预设的升级条件时解密所述加密文件以得到所述升级文件。
如权利要求13或14所述的第一车载设备，其特征在于，

若所述第一数据分段为所述升级文件的多个数据分段中的首个数据分段，则所述第一校验值是将所述第一数据分段作为所述第一算法的输入得到的输出数据；

若所述第一数据分段为所述升级文件的多个数据分段中除首个数据分段以外的一个数据分段，则所述第一校验值是将所述第一数据分段和第二校验值作为所述第一算法的输入得到的输出数据；所述第二校验值是通过所述第一算法处理所述第一数据分段的前一个数据分段得到的。
如权利要求13-15任一项所述的第一车载设备，其特征在于，所述第一加密分段是通过所述第一密钥加密所述第一数据分段和所述第一校验值得到的。
如权利要求13或14所述的第一车载设备，其特征在于，

所述第一密钥为所述第一车载设备和所述第二车载设备进行TLS协议的双向认证协商得到的密钥；

所述第一校验值是基于TLS协议通过所述第一算法处理所述第一数据分段得到的所述第一数据分段的消息认证码。
一种第二车载设备，其特征在于，所述第二车载设备包括收发器、处理器和存储器，所述存储器用于存储计算机程序，所述处理器调用所述计算机程序，用于执行如下操作：

控制所述收发器接收第一车载设备发送的第一加密分段；所述第一加密分段是通过第一密钥对第一数据分段加密得到的，所述第一数据分段是用于升级所述第二车载设备的升级文件所包含的多个数据分段中的任意一个数据分段；

通过所述第一密钥解密所述第一加密分段以得到所述第一数据分段；

在通过所述第一算法验证第一校验值通过的情况下，将所述第一数据分段存储到所述第二车载设备中；所述第一校验值是所述第一车载设备通过第一算法处理所述第一数据分段得到的，所述第一校验值为所述第二车载设备从所述第一车载设备处接收；

基于所述第一数据分段组成所述升级文件进行升级。
如权利要求18所述的第二车载设备，其特征在于，

若所述第一数据分段为所述升级文件的多个数据分段中的首个数据分段，则所述第一校验值是将所述第一数据分段作为所述第一算法的输入得到的输出数据；

若所述第一数据分段为所述升级文件的多个数据分段中除首个数据分段以外的一个数据分段，则所述第一校验值是将所述第一数据分段和第二校验值作为所述第一算法的输入得到的输出数据；所述第二校验值是通过所述第一算法处理所述第一数据分段的前一个数据分段得到的。
如权利要求18或19所述的第二车载设备，其特征在于，所述第一加密分段是通过所述第一密钥加密所述第一数据分段和所述第一校验值得到的。
如权利要求18所述的第二车载设备，其特征在于，

所述第一密钥为所述第一车载设备和所述第二车载设备进行TLS协议的双向认证协商得到的密钥；

所述第一校验值是基于TLS协议通过所述第一算法处理所述第一数据分段得到的所述第一数据分段的消息认证码。
一种车辆，其特征在于，包括第一车载设备和第二车载设备，其中：

所述第一车载设备为权利要求13-17任一项所述的第一车载设备；

所述第二车载设备为权利要求18-21任一项所述的第二车载设备。
一种计算机存储介质，其特征在于，所述计算机存储介质存储有计算机程序，所述计算机程序被处理器执行时，实现权利要求1-12任一项所述的方法。