WO2024007993A1

WO2024007993A1 - 软件升级方法、设备和存储介质

Info

Publication number: WO2024007993A1
Application number: PCT/CN2023/104835
Authority: WO
Inventors: 刘峥; 肖柏宏; 申其壮; 王澄; 李翔; 韩亦琦; 何运伟; 高欣
Original assignee: 蔚来汽车科技（安徽）有限公司
Priority date: 2022-07-05
Filing date: 2023-06-30
Publication date: 2024-01-11
Also published as: CN115242634B; CN115242634A

Abstract

本发明涉及一种应用于车辆解锁设备的软件升级方法、应用于智能设备的软件升级方法、车辆解锁设备、智能设备和存储介质。应用于车辆解锁设备的软件升级方法包括：在与智能设备成功建立通信连接之后，从智能设备接收由云端服务器下发的临时会话密钥；至少基于临时会话密钥进行整车信息校验；以及响应于接收到升级许可信息，从智能设备下载软件升级数据。

Description

软件升级方法、设备和存储介质

技术领域

本发明涉及汽车领域，并且更具体地涉及一种应用于车辆解锁设备的软件升级方法、应用于智能设备的软件升级方法、车辆解锁设备、智能设备和存储介质。

背景技术

随着车辆智能化和网联化的不断发展，智能钥匙的功能也越来越丰富，除了传统的主动遥控解闭锁以及无钥匙进入及启动系统(PEPS)之外，目前市场上已经推出了各种基于智能钥匙的体验功能，例如，基于钥匙定位的自动泊车、数字手机钥匙控制和分享、钥匙精准寻车等。现如今，钥匙已不再仅作为车载配件，而是逐渐演变成为用户和车机情感交互的入口。

与传统遥控车钥匙的单一功能相比，智能钥匙的软件逻辑复杂且技术难度较大，因此维护成本以及对功能容错率的要求也越来越高。目前，如何更新和维护智能钥匙的软件、进行正确的版本管理以及在不影响用户使用的前提下实现软件的无感升级已经成为当下热门的讨论话题。

发明内容

本发明的目的之一在于提供一种应用于车辆解锁设备的软件升级方法、应用于智能设备的软件升级方法、车辆解锁设备、智能设备和存储介质，其能够解决无法便捷且安全地更新钥匙软件的问题。

按照本发明的一个方面，提供了一种软件升级方法，所述方法应用于车辆解锁设备，所述方法包括：A、在与智能设备成功建立通信连接之后，从所述智能设备接收由云端服务器下发的临时会话密钥；B、至少基于所述临时会话密钥进行整车信息校验；以及C、响应于接收到升级许可信息，从所述智能设备下载软件升级数据。

作为以上方案的替代或补充，在根据本发明一实施例的方法中，在步骤A中，与所述智能设备成功建立通信连接包括：以广播的方式向所述智能设备发起配对请求，所述配对请求包括所述车辆解锁设备的身份标识；从所述智能设备接收包括所述智能设备的身份标识的配对响应，并对所述智能设备的身份标识进行身份验证；以及若身份验证通过，则向所述智能设备发送身份验证结果，以用于启用由所述智能设备发起云端验证过程。

作为以上方案的替代或补充，在根据本发明一实施例的方法中，所述临时会话密钥至少是基于以下各项中的一项或多项生成的：车辆识别码、车辆解锁设备端的公钥、数字证书、版本信息、由所述云端服务器生成的随机数种子、时间戳。

作为以上方案的替代或补充，在根据本发明一实施例的方法中，步骤B包括：利用所述临时会话密钥中的时间戳对所述临时会话密钥进行时间有效性验证；如果时间有效性验证通过，则至少基于车辆解锁设备端的私钥和数字证书对所述临时会话密钥进行解密，以生成整车信息；以及将整车信息与预置信息进行比对，若一致，则整车信息校验通过。

作为以上方案的替代或补充，在根据本发明一实施例的方法中，步骤C包括：经由所述智能设备向所述云端服务器反馈整车信息校验结果；响应于从所述智能设备接收到由所述云端服务器下发的升级许可信息，从所述智能设备下载所述软件升级数据；以及在所述软件升级数据传输完成后，删除所述临时会话密钥。

按照本发明的另一个方面，提供了一种软件升级方法，所述方法应用于智能设备，所述方法包括：D、根据存储的版本信息，从云端服务器下载用于车辆解锁设备的软件升级数据并缓存在本地；E、在与所述车辆解锁设备成功建立通信连接之后，发起云端验证过程；以及F、响应于接收到来自所述云端服务器的升级许可信息，向所述车辆解锁设备发送所述软件升级数据。

作为以上方案的替代或补充，在根据本发明一实施例的方法中，在步骤E中，与所述车辆解锁设备成功建立通信连接包括以下各项中的一项或多项：响应于用户指令，向所述车辆解锁设备发送包括所述智能设备的身份标识的身份验证信息；接收来自所述车辆解锁设备的身份验证结果和当前版本信息；以及若身份验证通过，则完成与所述车辆解锁设备之间的配对连接。

作为以上方案的替代或补充，在根据本发明一实施例的方法中，在步骤E中，所述云端验证过程包括：向所述云端服务器上传账户信息以及当前版本信息，以供云端服务器进行账户验证和版本校对；接收由所述云端服务器下发的临时会话密钥并将其发送至所述车辆解锁设备，以供所述车辆解锁设备进行整车信息校验；以及接收来自所述车辆解锁设备的整车信息校验结果并将其反馈给所述云端服务器。

按照本发明的另一个方面，提供了一种车辆解锁设备，包含：存储器；处理器；以及存储在所述存储器上并可在所述处理器上运行的计算机程序，该计算机程序的运行使得下列步骤被执行：A、在与智能设备成功建立通信连接之后，从所述智能设备接收由云端服务器下发的临时会话密钥；B、至少基于所述临时会话密钥进行整车信息校验；以及C、响应于接收到升级许可信息，从所述智能设备下载软件升级数据。

按照本发明的另一个方面，提供了一种智能设备，包含：存储器；处理器；以及存储在所述存储器上并可在所述处理器上运行的计算机程序，该计算机程序的运行使得下列步骤被执行：D、根据存储的版本信息，从云端服务器下载用于车辆解锁设备的软件升级数据并缓存在本地；E、在与所述车辆解锁设备成功建立通信连接之后，发起云端验证过程；以及F、响应于接收到来自所述云端服务器的升级许可信息，向所述车辆解锁设备发送所述软件升级数据。

按照本发明的又一个方面，提供了一种计算机可读存储介质，其上存储计算机程序，其特征在于，该程序被处理器执行时实现根据本发明任一方面所述的方法中的任意一项。

一方面，根据本发明的一个或多个实施例，车辆解锁设备在与智能设备成功建立通信连接之后并不能直接从其下载升级数据，而是必须在云端验证(例如，由云端服务器进行的账户验证和版本校对、由车辆解锁设备进行的整车信息校验)通过之后才能执行升级操作，从而有效防止了第三方伪造升级安装包带来的潜在售后风险和财产损失，相较于传统标准的防火墙和黑名单机制而言更为可靠。

另一方面，根据本发明的一个或多个实施例，车辆解锁设备在每次升级过程中都会从云端服务器下载不同的临时会话密钥，并在本次软件升级结束后自动销毁该临时会话密钥，以避免密钥重用，从而防止重放攻击。

附图说明

本发明的上述和/或其它方面和优点将通过以下结合附图的各个方面的描述变得更加清晰和更容易理解，附图中相同或相似的单元采用相同的标号表示。附图包括：

图1为按照本发明的一个实施例的软件升级流程的示意性；

图2为按照本发明一些实施例的应用于车辆解锁设备的软件升级方法20的示意性流程图；

图3为按照本发明一些实施例的应用于智能设备的软件升级方法30的示意性流程图；

图4为按照本发明的一个实施例的车辆解锁设备40的示意性框图；以及

图5为按照本发明的一个实施例的智能设备50的示意性框图。

具体实施方式

在本说明书中，参照其中图示了本发明示意性实施例的附图更为全面地说明本发明。但本发明可以按不同形式来实现，而不应解读为仅限于本文给出的各实施例。给出的各实施例旨在使本文的披露全面完整，以将本发明的保护范围更为全面地传达给本领域技术人员。

需要说明的是，本文中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述对象在时间、空间、大小等方面的顺序。此外，除非另外特别指明，本文中的术语“包括”、“具备”以及类似表述意在表示不排他的包含。

在本说明书中，术语“车辆”或者其它类似的术语包括一般的机动车辆，例如乘用车(包括运动型多用途车、公共汽车、卡车等)、各种商用车等等，并包括混合动力汽车、电动车、插电式混动电动车等。混动动力汽车是一种具有两个或更多个功率源的车辆，例如汽油动力和电动车辆。

在本说明书中，术语“车辆解锁设备”指代能够用于车辆解锁的任何电子设备，其可以包括但不限于：诸如智能手表、智能手环、智能项链、智能钥匙之类的可穿戴便携式电子设备，诸如智能手机之类的可移动终端。

在下文中，将参考附图详细描述根据本发明的各示例性实施例。

现在参考图1，图1示出了根据本发明的一些实施例的软件升级流程的示意性。

在图1中，软件升级流程以多个参与方的角度来图示。该流程所涉及的参与方包括车辆解锁设备110、智能设备120以及云端服务器130，其中，智能设备120为关联于车辆解锁设备110的电子设备(例如，可与车辆解锁设备通信或用于控制车辆解锁设备的智能手机、便携式计算机和平板电脑等)。

图1所示的软件升级流程包括下列步骤：

S101：由智能设备120从云端服务器130下载用于车辆解锁设备110的软件升级数据。

可选地，智能设备120可以主动向云端服务器130发起下载请求，也可以由云端服务器130以订阅推送的形式发起下载请求。示例性地，在车辆解锁设备110的软件有版本更新时，云端服务器130可以向智能设备120发送订阅消息，并将相应的版本更新记录、变更内容、远程升级协议以消息的形式推送给用户，并告知升级可能带来的风险，例如，升级失败可能导致钥匙失效，需要去售后维修店返修等。如果接收到用户升级指示，智能设备120将自动从云端服务器130下载软件升级数据包并缓存在本地。

可选地，智能设备120可以根据前期在钥匙学习和钥匙匹配过程中预先存储的车辆解锁设备110的版本信息，从云端服务器130下载对应的软件升级数据并缓存在本地存储单元中。示例性地，软件升级数据包括车辆解锁设备110进行系统升级所需的升级包，或者是车辆解锁设备110内某些应用或模块进行升级所需的升级包。

S102：智能设备120与车辆解锁设备110建立通信连接。

可选地，步骤S102包括：车辆解锁设备110以广播的方式向智能设备120发起配对请求，配对请求包括车辆解锁设备110的身份标识。示例性地，车辆解锁设备110的身份标识包括车辆解锁设备的识别码和地址码信息。

可选地，步骤S102进一步包括：智能设备120接收车辆解锁设备110的身份标识并根据预置信息对车辆解锁设备110进行身份验证，如果验证通过，则向车辆解锁设备110发送包括智能设备120的身份标识的配对响应。示例性地，智能设备120的身份标识包括智能设备120的识别码和地址码信息。

可选地，步骤S102进一步包括：车辆解锁设备110接收配对响应，并对智能设备的身份标识进行身份验证。

可选地，步骤S102进一步包括：若身份验证通过，车辆解锁设备110 向智能设备120发送身份验证结果，以用于以预设通信方式与智能设备120建立通信连接。示例性地，上述预设通信方式可以是蓝牙通信。

可选地，在成功建立通信连接之后，车辆解锁设备110还可以向智能设备120发送当前软件版本信息、车辆解锁设备的内存信息和电量信息，以供智能设备120进行升级验证，例如，当前软件版本是否满足升级条件，车辆解锁设备的内存和电量是否满足升级条件等。可选地，若升级验证通过，则由智能设备120发起下述云端验证过程。

S103：由智能设备120向云端服务器130上传账户信息以及当前版本信息。

示例性地，在前期钥匙学习过程中，智能设备120已激活并绑定用户账户信息，该账户信息可以包括用户身份信息、用户名下的车辆信息、智能设备信息等。

S104：云端服务器130进行账户验证和版本校对。

示例性地，云端服务器130将接收到的账户信息与预存的信息进行比对，以确保该账号并非是第三方设备或应用伪造的账号。示例性地，云端服务器130可以对接收到的版本信息进行二次验证(例如，当前软件版本满足升级条件)，若验证通过，则利用接收到的当前版本信息更新存储的版本信息。

S105：云端服务器130生成临时会话密钥并将其发送至智能设备120。

示例性地，若账号信息确认无误并且版本信息验证成功后，云端服务器130将生成并下发本次软件升级所需要的临时会话密钥。

可选地，临时会话密钥至少是基于以下各项中的一项或多项生成的：车辆识别码、车辆解锁设备端的公钥、数字证书、版本信息、由云端服务器生成的随机数种子、时间戳。示例性地，云端服务器130可以首先生成专用于本次软件升级的随机数种子和时间戳，并将其与数字证书、车辆识别码等信息通过非对称加密算法结合生成本次软件升级所需要的临时会话密钥。示例性地，非对称加密算法可以是RSA算法、Elgamal算法或背包算法等。

S106：智能设备120将临时会话密钥发送至车辆解锁设备110。

S107：车辆解锁设备110至少基于临时会话密钥进行整车信息校验。

可选地，步骤S107包括：利用临时会话密钥中的时间戳对临时会话密钥进行时间有效性验证。示例性地，车辆解锁设备110在收到临时会话密钥时首先验证时间戳是否有效，例如，检查时间戳是否与预设时间值相差小于60秒，若是，则认为时间戳有效，也即临时会话密钥的时间有效性验证通过。

可选地，步骤S107进一步包括：如果时间有效性验证通过，则至少基于车辆解锁设备端的私钥和数字证书对临时会话密钥进行解密，以生成整车信息。示例性地，整车信息包括车辆识别码、版本信息。

可选地，步骤S107进一步包括：将解密出的整车信息与预置信息进行比对，若一致，则整车信息校验通过。由于在钥匙学习和钥匙匹配的过程中会将整车信息预先写入车辆解锁设备110和云端服务器130，因此，即使在第三方设备或应用截获数字证书的情况下，若解密出的整车信息与预置信息不一致，同样无法触发升级操作。

S108：车辆解锁设备110将整车信息校验结果发送至智能设备120。

S109：智能设备120将整车信息校验结果反馈到云端服务器130。可选地，云端服务器130在本地日志中记录整车信息校验结果。

S110：云端服务器130生成升级许可信息并发送至智能设备120。需要注意的是，升级许可信息只能由云端服务器130下发，以防止第三方设备或应用入侵车辆解锁设备110并强行要求软件升级，从而导致钥匙功能失效。

S111：智能设备120将升级许可信息反馈给车辆解锁设备110。

S112：响应于接收到升级许可信息，车辆解锁设备110从智能设备120下载软件升级数据。

S113：车辆解锁设备110在软件升级数据传输完成后，删除临时会话密钥。可选地，在软件升级数据传输完成并且升级完成后，车辆解锁设备110与智能设备120需要进行版本完整性校验和部分功能自检。可选地，如果软件升级数据传输失败或升级失败，车辆解锁设备110将在本地尝试版本回滚，以恢复到升级操作开始前的状态，并向将智能设备120反馈失败原因。

图2为按照本发明一些实施例的应用于车辆解锁设备的软件升级方法20的示意性流程图。图2所示的方法20包括下列步骤：

S201：在与智能设备成功建立通信连接之后，从智能设备接收由云端服务器下发的临时会话密钥。

S202：至少基于临时会话密钥进行整车信息校验。

S203：响应于接收到升级许可信息，从智能设备下载软件升级数据。

在图2所示的S201、S202、S203与图1中的步骤S106、S107、S112一一对应，此处不再赘述。

图3为按照本发明一些实施例的应用于智能设备的软件升级方法30的示意性流程图。图3所示的方法30包括下列步骤：

S301：根据存储的版本信息，从云端服务器下载用于车辆解锁设备的软件升级数据并缓存在本地。方法30中的步骤S301与图1中的步骤S101相对应，此处不再赘述。

S302：在与车辆解锁设备成功建立通信连接之后，发起云端验证过程。关于云端验证过程的具体描述可以参考针对图1中步骤S101-S109的阐述，此处不再赘述。

S303：响应于接收到来自云端服务器的升级许可信息，向车辆解锁设备发送软件升级数据。关于步骤S303具体描述可以参考针对图1中步骤S110-S112的阐述，此处不再赘述。

继续参考图4，图4为根据本发明的一个实施例的车辆解锁设备40的示意性框图。

示例性地，车辆解锁设备40可以是诸如智能手表、智能手环、智能项链、智能钥匙之类的可穿戴便携式电子设备，还可以是诸如智能手机之类的可移动终端。

如图4所示，车辆解锁设备40包含通信单元410、存储器420(例如诸如闪存、ROM、硬盘驱动器、磁盘、光盘之类的非易失存储器)、处理器430、存储在存储器420上并可在处理器430上运行的计算机程序440。

通信单元410作为通信接口，被配置为在车辆解锁设备40与外部设备或网络(例如，智能设备)之间建立通信连接。示例性地，通信单元410可以是蓝牙单元。存储器420存储可由处理器430执行的计算机程序440。处理器430配置为执行计算机程序440以实施图2所示的方法20。

继续参考图5，图5为根据本发明的一个实施例的智能设备50的示意性框图。

示例性地，智能设备50是关联于车辆解锁设备的电子设备，例如，可与车辆解锁设备通信或用于控制车辆解锁设备的智能手机、便携式计算机和平板电脑等。

如图5所示，智能设备50包含通信单元510、存储器520(例如诸如闪存、ROM、硬盘驱动器、磁盘、光盘之类的非易失存储器)、处理器530、存储在存储器520上并可在处理器530上运行的计算机程序540。

通信单元510作为通信接口，被配置为在智能设备50与外部设备或网络(例如，车辆解锁设备和云端服务器)之间建立通信连接。存储器520存储可由处理器530执行的计算机程序540。处理器530配置为执行计算机程序540以实施图3所示的方法30。

按照本发明的另一方面，还提供了一种计算机可读存储介质，其上存储计算机程序，该程序被处理器执行时实现如图2或图3所示的方法。该计算机可读存储介质可以包括随机存取存储器(RAM)(诸如同步动态随机存取存储器(SDRAM))、只读存储器(ROM)、非易失性随机存取存储器(NVRAM)、电可擦除可编程只读存储器(EEPROM)、闪存、其他已知的存储介质等。

按照本发明的一些实施例，车辆解锁设备在与智能设备成功建立通信连接之后并不能直接从其下载升级数据，而是必须在云端验证(例如，由云端服务器进行的账户验证和版本校对、由车辆解锁设备进行的整车信息校验)通过之后才能执行升级操作，从而有效防止了第三方伪造升级安装包带来的潜在售后风险和财产损失，相较于传统标准的防火墙和黑名单机制而言更为可靠。

按照本发明的一些实施例，车辆解锁设备在每次升级过程中都会从云端服务器下载不同的临时会话密钥，并在本次软件升级结束后自动销毁该临时会话密钥，以避免密钥重用，从而防止重放攻击。

应当理解的是，本发明附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或者在一个或多个硬件模块或集成电路中实现这些功能实体，或者在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

还应当理解的是，在一些备选实施例中，前述方法中所包括的功能/步骤可以不按流程图所示的次序来发生。例如，依次示出的两个功能/步骤可以基本同时执行或甚至逆序执行。这具体取决于所涉及的功能/步骤。

另外，本领域技术人员容易理解，本发明的上述一个或多个实施例提供的方法可通过计算机程序来实现。例如，当存有该计算机程序的计算机存储介质(例如U盘)与计算机相连时，运行该计算机程序即可执行本发明的一个或多个实施例的方法。

以上尽管只对其中一些本发明的实施方式进行了描述，但是本领域普通技术人员应当了解，本发明可以在不偏离其主旨与范围内以许多其他的形式实施。因此，所展示的例子与实施方式被视为示意性的而非限制性的，在不脱离如所附各权利要求所定义的本发明精神及范围的情况下，本发明可能涵盖各种的修改与替换。

Claims

一种软件升级方法，其特征在于，所述方法应用于车辆解锁设备，所述方法包括：

A、在与智能设备成功建立通信连接之后，从所述智能设备接收由云端服务器下发的临时会话密钥；

B、至少基于所述临时会话密钥进行整车信息校验；以及

C、响应于接收到升级许可信息，从所述智能设备下载软件升级数据。
根据权利要求1所述的方法，在步骤A中，与所述智能设备成功建立通信连接包括：

以广播的方式向所述智能设备发起配对请求，所述配对请求包括所述车辆解锁设备的身份标识；

从所述智能设备接收包括所述智能设备的身份标识的配对响应，并对所述智能设备的身份标识进行身份验证；以及

若身份验证通过，则向所述智能设备发送身份验证结果，以用于启用由所述智能设备发起云端验证过程。
根据权利要求1所述的方法，其中，所述临时会话密钥至少是基于以下各项中的一项或多项生成的：车辆识别码、车辆解锁设备端的公钥、数字证书、版本信息、由所述云端服务器生成的随机数种子、时间戳。
根据权利要求1所述的方法，其中，步骤B包括：

利用所述临时会话密钥中的时间戳对所述临时会话密钥进行时间有效性验证；

如果时间有效性验证通过，则至少基于车辆解锁设备端的私钥和数字证书对所述临时会话密钥进行解密，以生成整车信息；以及

将整车信息与预置信息进行比对，若一致，则整车信息校验通过。
根据权利要求1所述的方法，其中，步骤C包括：

经由所述智能设备向所述云端服务器反馈整车信息校验结果；

响应于从所述智能设备接收到由所述云端服务器下发的升级许可信息，从所述智能设备下载所述软件升级数据；以及

在所述软件升级数据传输完成后，删除所述临时会话密钥。
一种软件升级方法，其特征在于，所述方法应用于智能设备，所述方法包括：

D、根据存储的版本信息，从云端服务器下载用于车辆解锁设备的软件升级数据并缓存在本地；

E、在与所述车辆解锁设备成功建立通信连接之后，发起云端验证过程；以及

F、响应于接收到来自所述云端服务器的升级许可信息，向所述车辆解锁设备发送所述软件升级数据。
根据权利要求6所述的方法，其中，在步骤E中，与所述车辆解锁设备成功建立通信连接包括以下各项中的一项或多项：

响应于用户指令，向所述车辆解锁设备发送包括所述智能设备的身份标识的身份验证信息；

接收来自所述车辆解锁设备的身份验证结果和当前版本信息；以及

若身份验证通过，则完成与所述车辆解锁设备之间的配对连接。
根据权利要求6所述的方法，在步骤E中，所述云端验证过程包括：

向所述云端服务器上传账户信息以及当前版本信息，以供云端服务器进行账户验证和版本校对；

接收由所述云端服务器下发的临时会话密钥并将其发送至所述车辆解锁设备，以供所述车辆解锁设备进行整车信息校验；以及

接收来自所述车辆解锁设备的整车信息校验结果并将其反馈给所述云端服务器。
一种车辆解锁设备，其特征在于，包含：

存储器；

处理器；以及

存储在所述存储器上并可在所述处理器上运行的计算机程序，该计算机程序的运行使得下列步骤被执行：

A、在与智能设备成功建立通信连接之后，从所述智能设备接收由云端服务器下发的临时会话密钥；

B、至少基于所述临时会话密钥进行整车信息校验；以及

C、响应于接收到升级许可信息，从所述智能设备下载软件升级数据。
一种智能设备，其特征在于，包含：

存储器；

处理器；以及

存储在所述存储器上并可在所述处理器上运行的计算机程序，该计算机程序的运行使得下列步骤被执行：

D、根据存储的版本信息，从云端服务器下载用于车辆解锁设备的软件升级数据并缓存在本地；

E、在与所述车辆解锁设备成功建立通信连接之后，发起云端验证过程；以及

F、响应于接收到来自所述云端服务器的升级许可信息，向所述车辆解锁设备发送所述软件升级数据。
一种计算机可读存储介质，其上存储计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1-8中任一项所述的方法。