[发明专利]一种车机设备OTA升级包下发方法及系统

说明书

本发明公开了一种车机设备OTA升级包下发方法及系统，安全服务平台对OTA安装包进行签名加密操作形成安装包密文；车载终端需要升级OTA时，先生成第一随机数；安全服务平台接收到第一随机数后，生成第二随机数；车载终端对第一随机数和第二随机数进行签名，并发送随机数签名及终端证书链到安全服务平台；安全服务平台校验随机数签名及终端证书链，校验成功后使用终端证书加密安装包密文，并下发安装包密文下载地址及加密秘钥密文到车载终端；车载终端对接收的信息进行校验，校验成功后安装OTA安装包。本发明在安装包下发的过程中，通过车机端随机数RNDC和服务器端随机数RNDS的两次交互协商出OTA升级会话的唯一令牌，避免了重放攻击。

技术领域

本发明属于汽车技术领域，具体涉及一种车机设备OTA升级包下发方法及系统。

背景技术

随着软件定义汽车的发展，汽车逐步转变为一个智能化、可拓展、可持续迭代升级的移动电子终端。为实现这一目标，整车在标准操作程序前便预埋了性能超前的硬件，并通过OTA在生命周期中逐步解锁和释放功能和价值。

由于OTA主要通过网络连接升级，因此升级过程中存在一定的安全风险，例如在FOTA流程中存在传输风险和升级包篡改风险，如终端在升级流程中缺少验证机制，黑客可通过网络手段篡改升级包至车辆终端，进而篡改系统，造成行车安全等隐患。

如图1所示，现有技术OTA升级方案对升级包文件进行了加密以及签名，车载终端调用SDK对升级信息进行验签，验签成功后进行升级操作，该方案确保了软件包的完整性和可靠性，但存在以下缺点：

对下发成功后的软件包缺乏安全防护，缺少对接收OTA安装包的车机客户端的身份验证，车机客户端在下载安装包的过程中可能会受到中间人攻击，非法的用户可能以重放的方式从车机请求的地址中重复下载安装包，并安装在其他设备上，或用于拆解分析OTA安装包，导致系统风险。

发明内容

本发明的目的就是为了解决上述背景技术存在的不足，提供一种车机设备OTA升级包下发方法及系统。

本发明采用的技术方案是：一种车机设备OTA升级包下发方法，包括以下步骤：

安全服务平台对OTA安装包进行签名加密操作形成安装包密文；

车载终端需要升级OTA时，先生成第一随机数，并发送至安全服务平台；

安全服务平台接收到第一随机数后，生成第二随机数；

车载终端对第一随机数和第二随机数进行签名，并发送随机数签名及终端证书链到安全服务平台；

安全服务平台校验随机数签名及终端证书链，校验成功后使用终端证书加密安装包密文，并下发安装包密文下载地址及加密秘钥密文到车载终端；

车载终端对接收的信息进行校验，校验成功后安装OTA安装包。

进一步地，所述安全服务平台包括

OTA服务器，用于生成OTA安装包文件，向OTA服务工具包发送OTA安装包文件及签名加密请求；用于构造签名安装包，使用EK加密安装包，形成安装包密文；

OTA服务工具包，用于在接收到签名加密请求后，根据OTA安装包文件计算安装包摘要，并向安全服务器申请安装包签名；用于反馈安装包签名及升级包EK至OTA服务器；

安全服务器，用于接收到申请信息后向签名服务器请安装包签名；用于接收到签名结果后向签名服务器请求生成升级包EK；用于记录安装包签名及升级包EK，反馈安装包签名及升级包EK至OTA服务工具包，

签名服务器，用于对安装包进行签名并反馈签名结果至安全服务器；用于生成升级包EK并反馈至安全服务器。

进一步地，车载终端通过终端证书对第一随机数和第二随机数进行签名。