[发明专利]安全升级方法、系统、服务器及车载终端

说明书

一种安全升级方法、系统、服务器及车载终端，该方法包括：数据面服务器利用第一私钥对原始升级包进行签名，得到安全升级包；控制面服务器生成包含安全升级包下载策略的初始升级活动数据，利用不同于第一私钥的第二私钥对初始升级活动数据进行签名，并将签名后的升级活动数据下发至车载终端；车载终端利用第二公钥对签名后的升级活动数据进行验签；如果验签通过，车载终端按照下载策略的指示下载安全升级包，并利用第一公钥对安全升级包进行验签；如果验签通过，车载终端从安全升级包中还原出原始升级包，利用原始升级包对车载终端的车载系统进行升级，从而可以降低服务器节点被攻击导致的安全风险，提高车载系统升级的安全性。

技术领域

本发明涉及车联网技术领域，具体涉及安全升级方法、系统、服务器及车载终端。

背景技术

随着汽车逐渐往智能化及网联化发展，OTA(Over The Air，在线升级) 是车载系统必不可少的功能。能够接入互联网的网联汽车可以利用OTA功能对车载固件、车载应用程序以及车载系统配置等进行更新，其方法一般是先通过互联网接口或者USB接口将升级包传输至网联汽车内，然后将升级包刷写至目标位置。

然而，在实践中发现，上述的升级方法很容易造成信息泄露：攻击者可以通过网络截获、系统入侵、拆解汽车电路系统等方式获取到升级包，然后可以通过进一步逆向解析升级包中的固件，从而分析出升级包中的知识产权信息、系统信息等敏感信息。在获取到升级包中的敏感信息之后，攻击者可以对升级包中的固件进行恶意改造，然后也可以通过OTA的方式将恶意改造后的升级包刷写到受攻击的汽车内。一旦经过恶意改造的升级包被刷写到汽车内，将会对汽车带来巨大的安全隐患。

为了解决车载系统的升级过程中可能存在信息泄露的问题，部分公司及厂商对升级包进行了加密和签名等安全处理，以减少升级包中的文件信息被泄露，数据来源被篡改等问题的出现。一旦存储有密钥的OTA服务器节点被入侵，攻击者就有可能获取到用于加密和签名的密钥，导致经过安全处理的升级包仍然可以被攻击者破解，导致汽车可能暴露在安全风险中。

发明内容

本发明实施例公开了安全升级方法、系统、服务器及车载终端，能够降低服务器节点被攻击导致的安全风险，提高车载系统升级的安全性。

本发明实施例第一方面公开一种安全升级方法，所述方法包括：

生成包含安全升级包下载策略的初始升级活动数据；所述安全升级包是由数据面服务器利用第一私钥对原始升级包进行签名后得到的；

利用第二私钥对所述初始升级活动数据进行签名，得到签名后的升级活动数据；

将所述签名后的升级活动数据下发至车载终端，以使所述车载终端在利用与所述第二私钥对应的第二公钥对所述签名后的升级活动数据进行验签成功之后，根据所述初始升级活动数据中包含的所述下载策略的指示下载所述安全升级包，并在利用与所述第一私钥对应的第一公钥对所述安全升级包进行验签成功之后，利用基于所述安全升级包还原出的所述原始升级包对所述车载终端的车载系统进行升级；

其中，所述第一私钥不同于所述第二私钥。

作为一种可选的实施方式，在本发明实施例第一方面中，对所述初始升级活动数据进行签名时使用的证书与对所述原始升级包进行签名时使用的证书不同。

作为一种可选的实施方式，在本发明实施例第一方面中，在所述利用第二私钥对所述初始升级活动数据进行签名，得到签名后的升级活动数据之前，所述方法还包括：

根据所述车载终端上报的车辆的车架号查询所述车辆对应的不同密钥集；所述不同密钥集为每辆汽车互不相同的密钥集合；

从所述不同密钥集中选取出第二私钥。

本发明实施例第二方面公开另一种安全升级方法，包括：

利用第一私钥对原始升级包进行签名，以得到安全升级包；