WO2024007987A1

WO2024007987A1 - 数字钥匙系统的车端固件升级方法、装置、设备及介质

Info

Publication number: WO2024007987A1
Application number: PCT/CN2023/104718
Authority: WO
Inventors: 董馨; 南洋; 李长龙; 柳旭; 李想; 刘闯; 吴莹
Original assignee: 中国第一汽车股份有限公司
Priority date: 2022-07-06
Filing date: 2023-06-30
Publication date: 2024-01-11
Also published as: CN115220762A

Abstract

一种数字钥匙系统的车端固件升级方法、装置、设备及介质，车端固件包括车端网关和数字钥匙主模块，数字钥匙主模块包括本地信任管理系统TSM组件和安全芯片；所述方法包括：车端网关从升级平台下载升级软件和认证密钥(S110)；数字钥匙主模块接收升级软件和认证密钥(S120)；本地TSM组件判断安全芯片是否进入升级模式；响应于所述安全芯片进入升级模式的判断结果，根据安全密钥建立本地TSM组件与安全芯片的安全通道(S130)；识别安全芯片的空间是否满足升级条件；响应于所述安全芯片的空间满足升级条件的识别结果，通过安全通道对安全芯片的软件进行升级(S140)。

Description

数字钥匙系统的车端固件升级方法、装置、设备及介质

本申请要求在2022年07月06日提交中国专利局、申请号为202210796889.3的中国专利申请的优先权，以上申请的全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及数字钥匙技术领域，例如涉及一种数字钥匙系统的车端固件升级方法、装置、设备及介质。

背景技术

近年来，随着物联网、车联网技术的快速发展，数字钥匙的应用场景越来越多。

数字钥匙是基于车端、手机端、云端一体化的安全体系构建的业务功能，在业务功能跟随国内/国际标准逐步演进的过程中，为保证数字钥匙业务可以始终安全有效，安全体系就需要不断更新。车端的安全策略都封装在安全芯片中，以安全应用的形式存在，更新安全体系就意味着车端、手机端、云端的安全软件需要同步更新。相关技术针对车端的安全策略一般采用在线升级安全芯片的方式进行安全应用的更新，以使车端装置的安全策略跟随手机端及云端的版本迭代而完成整体更新，通过这种方法使已经在用户手中的车辆能实时享受最新的安全保护，保证数字钥匙业务的一致性、完整性。

但相关技术中的升级更新方法中，数字钥匙主模块不能保证实时上网，例如在传输信号不佳的地下车库或隧道内，通过云端信任管理系统(Trusted Service Manager，TSM)进行安全芯片升级会产生时延，导致数字钥匙安全升级无法完成的情况。

发明内容

本申请提供一种数字钥匙系统的车端固件升级方法、装置、设备及介质，将升级所需的TSM组件下沉到车端本地中，以实现车端固件中的本地TSM组件与安全芯片进行实时交互，保证车端安全芯片的升级可以稳定实施。

本申请实施例提供了一种数字钥匙系统的车端固件升级方法，所述车端固件包括车端网关和数字钥匙主模块，所述数字钥匙主模块包括本地信任管理系统TSM组件和安全芯片；该方法包括：

所述车端网关从升级平台下载升级软件和认证密钥；

所述数字钥匙主模块接收所述升级软件和所述认证密钥；

所述本地TSM组件判断所述安全芯片是否进入升级模式；

响应于所述安全芯片进入升级模式的判断结果，根据所述认证密钥建立所述本地TSM组件与所述安全芯片的安全通道；

识别所述安全芯片的空间是否满足升级条件；

响应于所述安全芯片的空间满足升级条件的识别结果，通过所述安全通道对所述安全芯片的软件进行升级。

本申请实施例还提供了一种数字钥匙系统的车端固件升级装置，所述车端固件包括车端网关和数字钥匙主模块，所述数字钥匙主模块包括本地信任管理系统TSM组件和安全芯片；所述车端网关设置为从升级平台下载升级软件和认证密钥，所述数字钥匙主模块设置为接收所述升级软件和所述认证密钥，所述本地TSM组件设置为判断所述安全芯片是否进入升级模式；所述数字钥匙系统的车端固件升级装置还包括：

安全通道建立单元，设置为在所述本地TSM组件判定所述安全芯片进入升级模式的情况下，根据所述认证密钥建立所述本地TSM组件与所述安全芯片的安全通道；

识别单元，设置为识别所述安全芯片的空间是否满足升级条件；

升级单元，设置为在所述识别单元识别到所述安全芯片的空间满足升级条件的情况下，通过所述安全通道对所述安全芯片的软件进行升级。

本申请实施例还提供了一种数字钥匙系统的车端固件升级设备，包括：一个或多个处理器；存储器，设置为存储一个或多个程序；当所述一个或多个程序被所述一个或多个处理器执行时，所述一个或多个处理器实现上述实施例所述的数字钥匙系统的车端固件升级方法。

本申请实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述实施例所述的数字钥匙系统的车端固件升级方法。

附图说明

图1为本申请实施例提供的一种数字钥匙系统的车端固件升级方法的流程图；

图2为本申请实施例提供的另一种数字钥匙系统的车端固件升级方法的流程图；

图3为本申请实施例提供的一种数字钥匙系统的车端固件升级方法的详细流程图；

图4为本申请实施例提供的一种数字钥匙系统的车端固件升级装置的结构框图；

图5为本申请实施例提供的一种设备的硬件结构示意图。

具体实施方式

下面结合附图和实施例对本申请作说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本申请，而非对本申请的限定。为了便于描述，附图中仅示出了与本申请相关的部分而非全部结构。

实施例一

图1为本申请实施例提供的一种数字钥匙系统的车端固件升级方法的流程图，本实施例可适用于对数字钥匙系统的车端安全应用进行更新的情况，该方法可以由数字钥匙系统的车端固件升级装置来执行，该装置可以采用软件和/或硬件的方式来实现。该装置可配置于终端设备/服务器/车载控制器中。

车端固件包括车端网关和数字钥匙主模块，数字钥匙主模块包括本地信任管理系统TSM组件和安全芯片。

如图1所示，本申请实施例一提供的一种数字钥匙系统的车端固件升级方法，包括如下步骤：

S110、车端网关从升级平台下载升级软件和认证密钥。

车端网关为汽车网络系统的核心控制装置，用于负责协调不同结构和特征的总线网络及数据网络之间的协议转换、数据交换和故障诊断等工作。升级平台可以理解为一种业务下载平台，升级平台集成多种安全应用软件及业务应用软件，为车端设备提供安全稳定的系统固件及应用升级服务。示例性的，在对数字钥匙系统的车端固件升级时，通过车端网关从升级平台中下载所要更新的升级软件以及需要对数据进行加密和解密的认证密钥。本申请实施例中的TSM组件包含了位于车端的本地TSM组件以及在数字钥匙平台嵌入的云端TSM组件，而认证密钥是基于数字钥匙平台中嵌入的支持安全芯片的云端信任管理系统(也即云端TSM组件)辅助生成的，但并不影响本申请为了减少云端与安全芯片交互次数的技术目的。

S120、数字钥匙主模块接收升级软件和认证密钥。

数字钥匙主模块装载在车辆上，是实现车辆与终端设备之间无线数据传输的通信单元。示例性的，通过车端固件中的数字钥匙主模块利用无线通信传输技术，接收来自车端网关下载下来的升级软件以及认证密钥。

数字钥匙主模块中的本地TSM组件接收升级软件和认证密钥。

S130、本地TSM组件判断安全芯片是否进入升级模式；响应于安全芯片进入升级模式的判断结果，根据所述认证密钥建立本地TSM组件与安全芯片的安全通道。

根据认证密钥建立本地TSM组件与安全芯片的安全通道由本地TSM组件执行。

本地TSM组件是一种安装在车端的信任管理系统；而安全芯片相当于一种可信任平台，将车端的安全策略都封装在安全芯片中，安全芯片以安全应用的形式存在，通过将安全芯片内的安全应用根据云端版本进行迭代更新，保证用户手中的车辆能够实时享受最新的安全保护。

本实施例中，当数字钥匙主模块接收到升级软件和认证密钥后，会通过本地TSM组件对安全芯片的状态进行判断，判断安全芯片是否进入了升级模式，当判断安全芯片进入升级模式后，则会根据认证密钥来建立本地TSM组件和安全芯片的安全通道，以使本地TSM组件与安全芯片进行实时交互。

在上述实施例的基础上，在本地TSM组件判断安全芯片是否进入升级模式之后，还包括：响应于安全芯片未进入升级模式的判断结果，退出升级流程。

可以理解为，当数字钥匙主模块接收到升级软件和认证密钥后，会通过本地TSM组件对安全芯片的状态进行判断，判断安全芯片是否进入了升级模式，当本地TSM组件判断出安全芯片没有进入升级模式，则本地TSM组件退出此次升级流程。

S140、识别安全芯片的空间是否满足升级条件；响应于安全芯片的空间满足升级条件的识别结果，通过安全通道对安全芯片的软件进行升级。

本实施例中，在安全通道建立后，本地TSM组件对安全芯片的存储空间进行识别，判断安全芯片的存储空间是否满足升级软件所需的条件，如果满足升级的预设条件则本地TSM组件通过建立的安全通道对安全芯片的软件进行系统升级，保证了车端安全芯片升级可以稳定实施。

在上述实施例的基础上，在识别安全芯片的空间是否满足升级条件之后，还包括：响应于安全芯片的空间不满足升级条件的识别结果，退出升级流程，并通过车端网关向升级平台反馈错误信息。

示例性的，在安全通道建立后，会对安全芯片的存储空间进行识别，判断安全芯片的存储空间是否满足升级软件所需的条件，如果不满足升级所需的预设存储空间条件，则退出此次升级流程并发出报错信息，通过数字钥匙主模块将报错信息返回给车端网关，通过车端网关反馈错误信息给升级平台，避免由于内存不足问题导致安全芯片的软件升级失败，进一步确保了车端安全芯片升级的可靠性。

本实施例的技术方案，通过车端网关从升级平台下载升级软件和认证密钥，数字钥匙主模块接收升级软件和认证密钥，本地TSM组件判断安全芯片是否进入升级模式，响应于安全芯片进入升级模式的判断结果，根据认证密钥建立本地TSM组件与安全芯片的安全通道，并识别安全芯片的空间是否满足升级条件，响应于安全芯片的空间满足升级条件的识别结果，通过安全通道对安全芯片的软件进行升级。通过将升级所需的TSM组件下沉到车端本地中，使得车端本地TSM组件与安全芯片进行实时交互，减少云端与安全芯片的交互次数，确保了升级过程的顺利进行，避免数字钥匙主模块通过云端TSM进行安全芯片升级时产生时延导致升级无法完成的情况，且可以监控安全芯片升级的全过程，保证车端安全芯片的升级可以稳定实施。

实施例二

图2为本申请实施例提供的一种数字钥匙系统的车端固件升级方法的流程图。本实施例是在上述技术方案的细化，适用于对数字钥匙系统的车端安全应用进行更新的情况，该方法可以由数字钥匙系统的车端固件升级装置来执行。

在上述实施例的基础上，在车端网关从升级平台下载升级软件和认证密钥之前，还包括：安全芯片升级准备阶段。

示例性地，升级平台包括空中下载技术OTA平台和数字钥匙DK业务平台。

如图2所示，本申请实施例二提供的一种数字钥匙系统的车端固件升级方法，包括如下步骤：

S210、在整车上电情况下，OTA平台通过车端网关读取安全芯片的安全元件序列号(Security Element Identity Document，SEID)和软件版本号。

DK可以理解为数字钥匙，整车上电可以理解为整车低压总开关闭合且仪表台无提示故障的一种状态。安全元件序列号SEID相当于标识码，用于对每个安全元件进行身份认证。软件版本号是指软件设置版本号码的方式，软件版本号的命名格式一般为GNU风格的版本号命名格式、Windows风格的版本号命名格式和Net Framework风格的版本号命名格式，本实施例对安全芯片的软件版本号命名格式不作具体限定。

本实施例中，当汽车处于整车上电情况下，空中下载技术OTA平台会通过汽车网络系统对安全芯片的安全元件序列号和软件版本号进行读取，以确定安全芯片的基本信息，数字钥匙主模块中的本地TSM组件会与安全芯片之间建立通信，将安全芯片的基本信息进行整合后通过网络传输反馈给车端网关，方便对安全芯片的升级做出准确判断。

S220、车端网关将安全芯片的SEID和软件版本号发送给OTA平台，OTA平台中维护安全芯片的SEID和软件版本号及每台车的版本号信息，将安全芯片的软件版本号与每台车的版本号信息进行比对，查询是否有升级请求。

可以理解的，车端网关可以通过4G通道的方式将安全芯片的SEID和软件版本号发送给OTA平台，当然，也可以通过其他方式对信息进行传输，本实施例对具体的传输方式不作具体限定。

S230、响应于有升级请求的查询结果，OTA平台将升级请求发给车端网关，所述车端网关通过车载信息娱乐系统IVI提示用户。

本实施例中，OTA平台会对读取到的安全芯片的整合信息以及每台车对应的版本号信息进行维护，通过对比查看是否有升级请求，如果存在升级请求，则OTA平台会将此请求发送给车端网关，并通过车载信息娱乐系统IVI向用户发出提示，提示方式可以为语音提示、中控显示屏弹窗提示等。

S240、在IVI收到用户的更新指令的情况下，IVI将更新请求通过车端网关转发给OTA平台。

车载信息娱乐系统IVI可以通过用户语音传达、触摸反馈或手势指令等方式接收用户的更新指令，本实施例中，对IVI接收用户更新指令的方式不作具体限定。

S250、OTA平台接收到所述更新请求后，通过SEID向数字钥匙DK业务平台申请认证密钥，认证密钥用于本地TSM组件与安全芯片建立安全通道传输升级软件前互相认证使用。

可以理解的是，上述步骤S210～S250是属于安全芯片升级准备阶段，在此基础上，继续参考图2，本申请实施例二提供的一种数字钥匙系统的车端固件升级方法，还包括以下步骤：

S260、车端网关从升级平台下载升级软件和认证密钥。

S270、数字钥匙主模块接收升级软件和认证密钥。

S280、本地TSM组件判断安全芯片是否进入升级模式；响应于安全芯片进入升级模式的判断结果，根据认证密钥建立本地TSM组件与安全芯片的安全通道。

S290、识别安全芯片的空间是否满足升级条件；响应于安全芯片的空间满足升级条件的识别结果，通过安全通道对安全芯片的软件进行升级。

本实施例的技术方案，通过在数字钥匙系统的车端固件升级方法中设置安全芯片升级准备阶段，在整车上电情况下，OTA平台通过车端网关读取安全芯片的安全元件序列号SEID和软件版本号，以确定安全芯片的基本信息，位于数字钥匙主模块中的本地TSM组件会与安全芯片之间建立通信，并将安全芯片的基本信息进行整合后通过网络传输反馈给车端网关，基于OTA平台对读取到的安全芯片的整合信息以及每台车对应的版本号信息进行对比确认是否有升级请求，在有升级请求的情况下将请求内容通过IVI系统提示用户，收到用户更新指令后将更新请求转发到OTA平台，OTA平台通过SEID向数字钥匙DK业务平台申请认证密钥，使安全芯片升级的有效性得到保障。随后OTA平台获取到认证密钥后连同升级软件一同下载到车端网关中，车端网关通过车内总线与数字钥匙主模块连接，数字钥匙主模块接收升级软件和认证密钥，当本地TSM组件判断安全芯片进入升级模式时，通过规范标准指令以及认证密钥的认证共同建立本地TSM组件与安全芯片的安全通道，通过安全通道对安全芯片的应用进行升级。通过将升级所需的TSM组件下沉到车端本地中，使得车端本地TSM组件与安全芯片进行实时交互，减少云端与安全芯片的交互次数，确保了升级过程的顺利进行，避免数字钥匙主模块通过云端TSM进行安全芯片升级时产生时延导致升级无法完成的情况发生。

在上述实施例的基础上，在安全芯片的软件升级完成之后，还包括：数字钥匙主模块将升级结果返回给车端网关，并通过车端网关返回给OTA平台，OTA平台将升级的车辆中安全芯片的SEID与软件版本号同步给数字钥匙DK业务平台。

本实施例中，由于在安全芯片升级完成后，数字钥匙主模块将升级的结果反馈给车端网关并通过车端网关返回到OTA平台，可以实现数据的互联互通，OTA平台将升级车辆的安全芯片对应的安全元件序列号SEID和软件版本号同步到数字钥匙DK业务平台，使得车端、终端和云端的安全软件得到同步更新，用户手中的车辆能够实时享受最新的安全保护，保证数字钥匙业务的一致性和完整性。

在上述实施例的基础上，在安全芯片的软件升级完成之后，还包括：将另一个认证密钥写入安全芯片中，另一个认证密钥用于下一次对安全芯片的软件升级时，建立本地TSM组件与安全芯片之间的安全通道使用。

本实施例中，通过在安全芯片的软件升级完成后，将另一个认证密钥写入安全芯片中作为下次升级时建立安全通道使用，在下次更新时，无需将更新请求通过车端网关发送给OTA平台，再通过安全元件的元件序列号SEID向数字钥匙DK业务平台申请认证密钥，可以提高下一次对安全芯片实施更新的效率，为用户节省时间。

图3为本申请实施例提供的一种数字钥匙系统的车端固件升级方法的详细流程图，是对本实施例的细化说明。如图3所示，数字钥匙系统的车端固件升级流程可分为准备阶段、建立安全通道阶段和应用安装阶段。

阶段1、准备阶段

示例性的，在整车上电的情况下，OTA平台通过车端网关读取安全芯片的安全元件序列号SEID和软件版本号，数字钥匙主模块中的的本地TSM组件与安全芯片之间建立通信，将安全芯片的SEID和软件版本号整合后反馈给车端网关。车端网关将安全芯片的SEID和软件版本号通过指定通道发送给OTA平台，例如通过4G通道等，OTA平台中维护安全芯片的SEID和软件版本号及每台车的版本号信息，并通过将安全芯片的SEID和软件版本号与每台车的版本号信息进行对比查询是否有升级请求，如无升级请求，则返馈车端网关无升级请求；如有升级请求则将升级请求返回给车端网关，并通过IVI提示用户选择更新应用。

在用户选择更新应用后，更新请求通过车端网关转发给OTA平台，OTA平台接收到更新软件许可(更新请求)后，通过安全芯片的SEID向数字钥匙DK业务平台申请对应的认证密钥，认证密钥用于车端数字钥匙主模块中的本地TSM组件与安全芯片建立安全通道传输升级软件前互相认证使用。OTA平台获取到认证密钥后将认证密钥连同升级软件一同下载到车端网关中。车端网关通过长报文策略将升级软件传输给数字钥匙主模块，数字钥匙主模块完成接收后将升级软件转发给本地TSM组件进行应用存储，并提供车辆的驻车状态给本地TSM组件，本地TSM组件根据实际条件判断并通知安全芯片进入升级模式。

至此，安全芯片升级准备阶段已全部完成。

阶段2、建立安全通道阶段

示例性的，在认证密钥认证成功的情况下，本地TSM组件与安全芯片间可以通过全数字服务和设备标准平台(GlobalPlatform，GP)规范标准指令建立安全通道，当然也可通过其他规范标准建立安全通道，本实施例对此不作具体限定。在建立安全通道后，识别安全芯片内的空间是否满足升级需求，如满足升级需求则继续应用安装流程；如存储空间不满足升级需求则提示空间不足，并通过数字钥匙主模块将报错信息返回给车端网关，车端网关将报错信息返回给OTA平台。

阶段3、应用安装阶段

示例性的，本地TSM组件与安全芯片之间可以通过GP规范标准指令完成应用安装，并根据下载的升级软件中包含的升级应用的需求数，对安全芯片中的软件逐一进行升级，升级过程可以是本地TSM组件生成多条应用下载指令，将多条应用下载指令下发到安全芯片，安全芯片再向本地TSM组件发送多条指令反馈，本地TSM组件基于多条指令反馈向安全芯片发送多条装载应用文件指令，安全芯片基于多条装载应用文件指令在安全芯片内装载应用文件，随后安全芯片将装载的应用文件反馈至数字钥匙主模块。并在应用全部升级后，将另一个认证密钥写入安全芯片中，用于下一次安全芯片升级时，建立本地TSM组件与安全芯片之间的安全通道使用。

安全芯片升级完成后，需要数字钥匙主模块将升级结果返回给车端网关，并通过车端网关将升级结果返回给OTA平台，OTA平台需将升级的车辆中安全芯片的SEID与软件版本号同步给数字钥匙DK业务平台，保证数字钥匙业务的一致性和完整性，至此，针对数字钥匙系统的车端固件升级过程已全部完成。

本实施例中，通过在数字钥匙系统的车端固件升级流程中设置准备阶段、建立安全通道阶段和应用安装阶段对应的三个阶段，实现车端的本地TSM组件与安全芯片进行实时交互，将升级所需的TSM组件下沉到车端本地中，减少云端与安全芯片的交互次数，确保了升级过程的顺利进行，避免数字钥匙主模块通过云端TSM进行安全芯片升级时产生时延导致升级无法完成的情况发生。

实施例三

图4为本申请实施例提供的一种数字钥匙系统的车端固件升级装置的结构示意图，该数字钥匙系统的车端固件升级装置可适用于终端设备基于对数字钥匙系统的车端固件升级的情况，其中该装置可由软件和/或硬件实现，并一般集成在终端设备上。

如图4所示，该装置包括：安全通道建立单元31、识别单元32和升级单元33；其中，安全通道建立单元31，设置为在本地TSM组件判定安全芯片进入升级模式的情况下，根据认证密钥建立本地TSM组件与安全芯片的安全通道；识别单元32，设置为识别安全芯片的空间是否满足升级条件；升级单元33，设置为在识别单元识别到安全芯片的空间满足升级条件的情况下，通过安全通道对安全芯片的软件进行升级。

本实施例的技术方案，通过在本地TSM组件判定安全芯片进入升级模式时，建立本地TSM组件与安全芯片的安全通道，并识别安全芯片的空间是否满足升级条件，在识别单元识别到安全芯片的空间满足升级条件时，通过安全通道对安全芯片的软件进行升级。通过将车端的本地TSM组件与安全芯片进行实时交互，将升级所需的TSM组件下沉到车端本地中，减少云端与安全芯片的交互次数，确保了升级过程的顺利进行，避免数字钥匙主模块通过云端TSM进行安全芯片升级时产生时延导致升级无法完成的情况，且可以监控安全芯片升级的全过程，保证车端安全芯片的升级可以稳定实施。

在上述实施例的基础上，所述装置还包括：升级准备单元。

升级准备单元，包括：读取单元，设置为在整车上电情况下，OTA平台通过车端网关读取安全芯片的安全元件序列号SEID和软件版本号；对比单元，设置为在车端网关将安全芯片的SEID和软件版本号发送给OTA平台之后，OTA平台中维护安全芯片的SEID和软件版本号以及每台车的版本号信息，将所述安全芯片的软件版本号与所述每台车的版本号信息进行比对，查询是否有升级请求；提示单元，设置为在确定存在升级请求的情况下，OTA平台将升级请求发给车端网关，车端网关通过车载信息娱乐系统IVI提示用户；请求转发单元，设置为在IVI收到用户的更新指令的情况下，所述IVI将更新请求通过车端网关转发给OTA平台；密钥申请单元，设置为在OTA平台接收到更新请求后，所述OTA平台通过SEID向DK业务平台申请认证密钥，认证密钥用于本地TSM组件与安全芯片建立安全通道传输升级软件前互相认证使用。

在上述实施例的基础上，所述装置还包括：同步单元，设置为在所述安全芯片的软件升级完成之后，数字钥匙主模块将升级结果返回给车端网关，并通过车端网关将所述升级结果返回给OTA平台，OTA平台将升级的车辆中的安全芯片的SEID与软件版本号同步给DK业务平台。

在上述实施例的基础上，所述装置还包括：写入单元，设置为在所述安全芯片的软件升级完成之后将另一个认证密钥写入安全芯片中，所述另一个认证密钥用于下一次对安全芯片的软件升级时，建立所述本地TSM组件与所述安全芯片之间的安全通道使用。

在上述实施例的基础上，所述装置还包括：退出流程单元，设置为在本地TSM组件判定安全芯片没有进入升级模式的情况下，退出升级流程。

在上述实施例的基础上，所述装置还包括：反馈单元，设置为在识别单元32识别到安全芯片的空间不满足升级条件的情况下，退出升级流程，并通过车端网关向升级平台反馈错误信息。

本申请实施例所提供的数字钥匙系统的车端固件升级装置可执行本申请任意实施例所提供的数字钥匙系统的车端固件升级方法，具备执行方法相应的功能模块和效果。

实施例四

图5为本申请实施例四提供的一种设备的硬件结构示意图。如图5所示，本申请实施例四提供的终端设备包括：一个或多个处理器41和存储装置42；该终端设备中的处理器41可以是一个或多个，图5中以一个处理器41为例；存储装置42设置为存储一个或多个程序；一个或多个程序被一个或多个处理器41执行，使得一个或多个处理器41实现如本申请实施例中任一项的数字钥匙系统的车端固件升级方法。

终端设备还可以包括：输入装置43和输出装置44。

终端设备中的处理器41、存储装置42、输入装置43和输出装置44可以通过总线或其他方式连接，图5中以通过总线连接为例。

该终端设备中的存储装置42作为一种计算机可读存储介质，可用于存储一个或多个程序，程序可以是软件程序、计算机可执行程序以及模块，如本申请实施例一所提供数字钥匙系统的车端固件升级方法对应的程序指令/模块(例如，附图3所示的数字钥匙系统的车端固件升级装置中的模块，包括：安全通道建立单元31、识别单元32和升级单元33)。处理器41通过运行存储在存储装置42中的软件程序、指令以及模块，从而执行终端设备的多种功能应用以及数据处理，即实现上述方法实施例中数字钥匙系统的车端固件升级方法。

存储装置42可包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据终端设备的使用所创建的数据等。此外，存储装置42可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储装置42还可包括相对于处理器41远程设置的存储器，这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置43可设置为接收输入的数字或字符信息，以及产生与终端设备的用户设置以及功能控制有关的键信号输入。输出装置44可包括显示屏等显示设备。

并且，当上述终端设备所包括一个或者多个程序被一个或者多个处理器41执行时，程序进行如下操作：在本地TSM组件判定安全芯片进入升级模式的情况下，建立本地TSM组件与安全芯片的安全通道；识别安全芯片的空间是否满足升级条件；在识别单元识别到安全芯片的空间满足升级条件的情况下，通过安全通道对安全芯片的软件进行升级。

实施例五

本申请实施例五还提供一种包含计算机可执行指令的存储介质，计算机可执行指令在由计算机处理器执行时用于执行一种数字钥匙系统的车端固件升级方法，该方法包括：车端网关从升级平台下载升级软件和认证密钥；数字钥匙主模块接收升级软件和认证密钥；本地TSM组件判断安全芯片是否进入升级模式；响应于安全芯片进入升级模式的判断结果，根据认证密钥建立本地TSM组件与安全芯片的安全通道；识别安全芯片的空间是否满足升级条件；响应于安全芯片的空间满足升级条件的识别结果，通过安全通道对安全芯片的软件进行升级。

当然,本申请实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上的方法操作,还可以执行本申请任意实施例所提供的数字钥匙系统的车端固件升级方法中的相关操作。

通过以上关于实施方式的描述，所属领域的技术人员可以清楚地了解到，本申请可借助软件及必需的通用硬件来实现，当然也可以通过硬件实现。基于这样的理解，本申请的技术方案可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、闪存(FLASH)、硬盘或光盘等，计算机可读存储介质中包括多个指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请多个实施例的方法。

值得注意的是，上述搜索装置的实施例中，所包括的多个单元和模块只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，每个功能单元的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。

Claims

一种数字钥匙系统的车端固件升级方法，所述车端固件包括车端网关和数字钥匙主模块，所述数字钥匙主模块包括本地信任管理系统TSM组件和安全芯片；所述数字钥匙系统的车端固件升级方法包括：

所述车端网关从升级平台下载升级软件和认证密钥；

所述数字钥匙主模块接收所述升级软件和所述认证密钥；

所述本地TSM组件判断所述安全芯片是否进入升级模式；

响应于所述安全芯片进入升级模式的判断结果，根据所述认证密钥建立所述本地TSM组件与所述安全芯片的安全通道；

识别所述安全芯片的空间是否满足升级条件；

响应于所述安全芯片的空间满足升级条件的识别结果，通过所述安全通道对所述安全芯片的软件进行升级。
根据权利要求1所述的数字钥匙系统的车端固件升级方法，在所述车端网关从升级平台下载升级软件和认证密钥之前，还包括：

安全芯片升级准备阶段。
根据权利要求2所述的数字钥匙系统的车端固件升级方法，其中，所述升级平台包括空中下载技术OTA平台和数字钥匙DK业务平台；所述安全芯片升级准备阶段包括：

在整车上电情况下，所述OTA平台通过所述车端网关读取所述安全芯片的安全元件序列号SEID和软件版本号；

所述车端网关将所述安全芯片的SEID和软件版本号发送给所述OTA平台，所述OTA平台中维护所述安全芯片的SEID和软件版本号以及每台车的版本号信息，将所述安全芯片的软件版本号与所述每台车的版本号信息进行比对，查询是否有升级请求；

响应于有升级请求的查询结果，所述OTA平台将所述升级请求发给所述车端网关，所述车端网关通过车载信息娱乐系统IVI提示用户；

在所述IVI收到用户的更新指令的情况下，所述IVI将更新请求通过所述车端网关转发给所述OTA平台；

所述OTA平台接收到所述更新请求后，所述OTA平台通过所述SEID向所述DK业务平台申请认证密钥，所述认证密钥用于所述本地TSM组件与所述安全芯片建立安全通道传输升级软件前互相认证使用。
根据权利要求3所述的数字钥匙系统的车端固件升级方法，在所述安全芯片的软件升级完成之后，还包括：

所述数字钥匙主模块将升级结果返回给所述车端网关，并通过所述车端网关将所述升级结果返回给所述OTA平台，所述OTA平台将升级的车辆中的安全芯片的SEID与软件版本号同步给所述DK业务平台。
根据权利要求1所述的数字钥匙系统的车端固件升级方法，在所述安全芯片的软件升级完成之后，还包括：

将另一个认证密钥写入所述安全芯片中，所述另一个认证密钥用于下一次对所述安全芯片的软件升级时，建立所述本地TSM组件与所述安全芯片之间的安全通道使用。
根据权利要求1所述的数字钥匙系统的车端固件升级方法，在所述本地TSM组件判断所述安全芯片是否进入升级模式之后，还包括：

响应于所述安全芯片未进入升级模式的判断结果，退出升级流程。
根据权利要求1所述的数字钥匙系统的车端固件升级方法，在识别所述安全芯片的空间是否满足升级条件之后，还包括：

响应于所述安全芯片的空间不满足升级条件的识别结果，退出升级流程，并通过所述车端网关向所述升级平台反馈错误信息。
一种数字钥匙系统的车端固件升级装置，所述车端固件包括车端网关和数字钥匙主模块，所述数字钥匙主模块包括本地信任管理系统TSM组件和安全芯片；所述车端网关设置为从升级平台下载升级软件和认证密钥，所述数字钥匙主模块设置为接收所述升级软件和所述认证密钥，所述本地TSM组件设置为判断所述安全芯片是否进入升级模式；所述数字钥匙系统的车端固件升级装置还包括：

安全通道建立单元，设置为在所述本地TSM组件判定所述安全芯片进入升级模式的情况下，根据所述认证密钥建立所述本地TSM组件与所述安全芯片的安全通道；

识别单元，设置为识别所述安全芯片的空间是否满足升级条件；

升级单元，设置为在所述识别单元识别到所述安全芯片的空间满足升级条件的情况下，通过所述安全通道对所述安全芯片的软件进行升级。
一种数字钥匙系统的车端固件升级设备，包括：

至少一个处理器；

存储器，设置为存储至少一个程序；

当所述至少一个程序被所述至少一个处理器执行时，所述至少一个处理器实现如权利要求1-7中任一所述的数字钥匙系统的车端固件升级方法。
一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1-7中任一所述的数字钥匙系统的车端固件升级方法。