[发明专利]OTA升级包的处理方法、装置和电子设备

说明书

本发明提供了一种OTA升级包的处理方法、装置和电子设备，应用于可信执行环境中的OTA可信系统，包括：读取对OTA升级包进行验签的CA证书；当OTA处理客户端调用签名验签接口后，基于CA证书对OTA升级包中的签名部分进行验签；当OTA处理客户端调用密钥注入接口后，对OTA升级包中的加密密钥进行私钥解密，得到解密密钥；当OTA处理客户端调用刷写文件解密接口后，通过解密密钥对OTA升级包中的加密刷写文件进行解密，得到刷写文件，使OTA处理客户端根据刷写文件对主升级设备系统升级。本发明的方法在车端采用芯片级可信能力的可信执行环境对CA证书和解密秘钥进行安全管理，兼顾了安全性、成本以及与设备的适配性。

技术领域

本发明涉及汽车的技术领域，尤其是涉及一种OTA升级包的处理方法、装置和电子设备。

背景技术

由于软件定义汽车的概念已经在众车厂和零部件供应商中形成了共识，那么软件有bug(漏洞)的风险也必然成为趋势，随之而来的概念，OTA(Over-the-Air Technology空中下载，又称在线升级)近年来成为汽车厂家热衷研究的话题。OTA主要是指通过云端升级部署，为车端具有联网的设备(如T-Box(Telematics BOX，简称车载T-BOX)、网关等设备)获取系统升级包，并通过OTA进行云端升级，完成系统修复和功能优化的过程。

在OTA升级的全链路中，对OTA安全方面的要求，成为最基础也是最重要的要求，理由不言而喻，车辆上的ECU(Electronic Control Unit，电子控制单元)的软件运行状况直接会影响到车辆上的人员的生命安全。从升级包制作、发布、下载、分发和刷写等环节，OTA需要从云端、网络传输、车端三方面来保证安全。在云端通过证书、签名和加密机制保证升级包不会被随意制作和发布、升级内容不会被恶意获取。在网络传输中，通过可靠的物理链路和安全传输协议来保证网络传输安全。在车端，对升级包的验签和解密等安全处理及升级版本的有效、保密管理成为OTA升级是否成功的关键节点。

在车端，首先要与云端的升级包处理形成对称，对升级包进行验签和解密。传统的做法有：将验签的证书和解密的密钥以明文的方式暴露在内存或外部存储设备(如flash)中，安全等级高一些的做法是，将证书和密钥以混淆密钥的方式加载到内存当中，但是这两种做法，无疑会遭到攻击和破解，使升级版本完全暴露给恶意篡改的黑客。为此，不少车厂在对证书和密钥的保密性处理上引入了安全芯片，以最高的安全级别保证了证书和密钥不会被黑客窃取。但是，安全芯片是以硬件的方式存在的，安全芯片的引入，无论是从构建OTA升级系统的成本上，还是整车架构的设计上，以及安全芯片自身SoC(System on Chip，片上系统)与设备的适配等方面，都给车厂在OTA功能的集成上带来了一定的负担。

综上，现有技术在进行OTA的升级过程中，车端对敏感数据的处理无法兼顾安全性、成本以及与设备的适配性。

发明内容

有鉴于此，本发明的目的在于提供一种OTA升级包的处理方法、装置和电子设备，以缓解现有技术在进行OTA的升级过程中，车端对敏感数据的处理无法兼顾安全性、成本以及与设备的适配性的技术问题。

第一方面，本发明实施例提供了一种OTA升级包的处理方法，应用于可信执行环境中的OTA可信系统，所述可信执行环境位于主升级设备系统中，且所述主升级设备系统中还设置有丰富执行环境，所述处理方法包括：

读取对OTA升级包进行验签的CA证书；

当所述丰富执行环境中的OTA处理客户端调用签名验签接口后，基于所述CA证书对所述OTA升级包中的签名部分进行验签；

验签通过后，当所述OTA处理客户端调用密钥注入接口后，对所述OTA升级包中的加密密钥进行私钥解密，得到解密密钥；