空中更新安全制造技术

本公开涉及空中更新安全。一种用于车辆的系统包括控制器，所述控制器被配置为：接收包括第一签名的加密的软件更新；使用与指示可用软件更新的更新指令一起接收的解密密钥来对接收的软件更新进行解密；响应于检测到第一签名与由控制器使用签名验证密钥生成的第二签名相匹配，安装解密的更新。

Air update security

This disclosure relates to air renewal safety. A system for vehicles includes a controller configured to receive an encrypted software update including a first signature; decrypt the received software update using a decryption key received with an update instruction indicating that the software update is available; and use a signature by the controller in response to detection of the first signature The second signature generated by the name authentication key matches, and installs decrypted updates.

【技术实现步骤摘要】
空中更新安全
本公开涉及用于确保提供给多个车辆控制器的空中(OTA)软件更新的安全的系统和方法。
技术介绍
车辆的一个或更多个软件组件和/或硬件组件可能需要定期或偶尔进行电子更新。在一个示例中，更新可包括对车辆的软件或设置的改变，以解决问题或对当前软件或设置提供改进功能。在另一示例中，更新可包括针对一个或更多个车辆控制器的更新配置设置和/或将被安装在一个或更多个车辆控制器上的软件或固件的更新版本。车辆可被配置为经由有线或无线连接来接收电子更新。在一示例中，汽车经销商或服务站的技术人员可使用有线陆地接入网络(landaccessnetwork，LAN)连接将更新下载到车辆中。在另一示例中，车辆可被配置为接收空中(OTA)软件更新，诸如经由到服务器的无线连接接收的软件更新。
技术实现思路
一种用于车辆的系统包括控制器，所述控制器被配置为：接收包括第一签名的加密的软件更新；使用与指示可用软件更新的更新指令一起接收的解密密钥来对接收的软件更新进行解密；响应于检测到第一签名与由控制器使用签名验证密钥生成的第二签名相匹配，安装解密的更新。一种用于车辆的方法包括：使用解密密钥对从更新服务器下载的软件更新进行解密，所述解密密钥从更新服务器被接收而作为指定软件更新且包括第一签名的更新指令的一部分；响应于检测到第一签名与由控制器使用从更新服务器接收的签名验证密钥生成的第二签名相匹配，安装解密的更新。一种用于车辆的系统包括远程信息处理控制器，所述远程信息处理控制器被配置为：响应于检测到包括在由远程信息处理控制器接收的指令中的车辆标识符与分配给车辆的车辆标识符相匹配，从更新服务器下载软件更新，以应用到所述指令所指定的车辆控制器。附图说明图1是示出用于确保提供给车辆控制器的软件更新的安全的系统的框图；图2是示出用于对空中发送的软件更新进行加密的系统的框图；图3是示出用于验证包括在软件更新中的控制器签名的系统的框图；图4是示出用于接收和分配解密密钥和签名验证密钥的算法的流程图；图5是示出用于对加密的软件更新进行解密并执行签名验证的算法的流程图。具体实施方式在此描述了本公开的实施例。然而，应该理解的是，所公开的实施例仅是示例，并且其它实施例可采用各种可替代的形式。附图无需按比例绘制；可夸大或最小化一些特征以示出特定组件的细节。因此，在此公开的具体结构和功能细节不应被解释为具有限制性，而仅仅是作为用于教导本领域技术人员以多种方式利用本专利技术的代表性基础。如本领域普通技术人员将理解的是，参照任一附图示出和描述的各个特征可与在一个或更多个其它附图中示出的特征相结合，以产生未被明确示出或描述的实施例。示出的特征的组合提供了用于典型应用的代表性实施例。然而，与本公开的教导一致的特征的各种组合和修改可被期望用于特定的应用或实施方式。执行车辆上的各种功能的多个控制器可被配置为接收定期或偶尔的软件和固件(这里统称为软件)更新。作为一些非限制性示例，软件更新可帮助解决不在现场中或不在客户手中的车辆的效率问题、功能改变和安全漏洞。可使用各种安全措施来保护用于安装在多个车辆控制器中的软件更新文件免受未授权的侵入。在一个示例中，云服务器管理器可使用公开的加密密钥或私有的加密密钥来对软件更新进行加密。还可对每个软件更新文件进行代码签名，使得解码可在对应的车辆控制器执行，而不是在例如远程信息处理控制单元(TCU)执行。云服务器管理器可向车辆发送指令文件，所述指令文件包括可用于下载的软件更新的列表和位置。指令还可包括用于由接收软件更新的控制器对软件更新进行解密的数据。在一些实例中，云服务器管理器可将指令文件编码为车辆专用的(vehicle-specific)，使得仅其控制器将接收更新的车辆能够解译指令。图1示出用于向车辆104提供软件更新102的示例系统100。车辆104可包括远程信息处理控制单元(TCU)106，TCU106具有(例如，直接地或者经由车辆乘员的移动装置)通过网络110与更新服务器112进行通信的调制解调器108。更新服务器112可与数据存储区114进行通信，数据存储区114被配置为保存软件更新102以用于下载。系统100还可包括软件更新管理器116，软件更新管理器116被安装到车辆104，并且被配置为将软件更新102安装到TCU106本身或者安装到车辆104的其它控制器118。虽然在图1中示出了示例系统100，但是在该图中示出的示例组件并不意在限制。实际上，系统100可具有更多或更少的组件，并可使用附加的或可选的组件和/或实施方式。车辆104可包括各种类型的汽车、混合型多用途车辆(CUV)、运动型多用途车辆(SUV)、卡车、休旅车(RV)、船、飞机或用于运输人或货物的其它移动机器。在许多情况下，车辆104可由内燃发动机来驱动。作为另一可行方式，车辆104可以是由内燃发动机和一个或更多个电动马达二者驱动的混合动力电动车辆(HEV)，诸如，串联式混合动力电动车辆(SHEV)、并联式混合动力电动车辆(PHEV)或并联/串联式混合动力电动车辆(PSHEV)。由于车辆104的类型和配置可能不同，因此车辆104的操作特性可能相应地不同。作为一些其它可行方式，车辆104在乘客容量、牵引能力和性能以及存储容量方面可具有不同的特性。当对车辆104进行装配时，车辆104可包括各种硬件组件和软件组件，诸如但不限于，一个或更多个车辆控制器118(被表示为独立的控制器118-A至118-G)。控制器118可被配置为在车辆电池和/或动力传动系统的动力下监测和管理车辆104的各种功能。因此，控制器118可包括一个或更多个处理器(例如，微处理器)(未示出)，所述一个或更多个处理器被配置为执行存储在控制器118的一个或更多个存储装置(未示出)中的固件或软件程序。虽然控制器118被示出为独立的组件，但是车辆控制器118可共用物理硬件、固件和/或软件，使得来自多个控制器118的功能可被集成到单个控制器118中，并且多个所述控制器118的功能可分布在多个控制器118中。例如，车辆控制器118可包括但不限于：动力传动系统控制器118-A，被配置为管理发动机运行组件；车身控制器118-B，被配置为管理各种电力控制功能(诸如，外部照明、内部照明、无钥匙进入、远程启动和接入点状态验证)；无线电收发器控制器118-C，被配置为与遥控钥匙、移动装置或车辆104的其它本地装置进行通信；娱乐控制器118-D，被配置为支持与驾驶员和驾驶员携带装置的蓝牙交互和语音命令；气候控制管理控制器118-E，被配置为监测和管理制热系统组件和制冷系统组件(例如，压缩机离合器、鼓风机风扇、温度传感器等)；全球定位系统(GPS)控制器118-F，被配置为提供车辆位置信息；人机界面(HMI)控制器118-G，被配置为经由各种按钮或其它控制件接收用户输入以及向驾驶员提供车辆状态信息。车辆总线120可包括在车辆控制器118之间以及在TCU106与车辆控制器118之间可用的各种通信方法。车辆总线120还可包括车辆控制器局域网(CAN)、以太网和面向媒体的系统传输(MOST)网络中的一个或更多个。TCU106可包括一个或更多个处理器122(例如，微处理器)，所述一个或更多个处理器122被配置为执行存储在TCU106的一本文档来自技高网...

【技术保护点】
1.一种用于车辆的系统，包括：控制器，被配置为：接收包括第一签名的加密的软件更新；使用与指示可用软件更新的更新指令一起接收的解密密钥来对接收的软件更新进行解密；响应于检测到第一签名与由控制器使用签名验证密钥生成的第二签名相匹配，安装解密的更新。

【技术特征摘要】
2017.01.31 US 15/420,3731.一种用于车辆的系统，包括：控制器，被配置为：接收包括第一签名的加密的软件更新；使用与指示可用软件更新的更新指令一起接收的解密密钥来对接收的软件更新进行解密；响应于检测到第一签名与由控制器使用签名验证密钥生成的第二签名相匹配，安装解密的更新。2.如权利要求1所述的系统，其中，更新指令还包括车辆标识符，并且控制器响应于检测到车辆标识符与存储的车辆的标识符相匹配而接收加密的签名的软件更新。3.如权利要求2所述的系统，其中，控制器还被配置为：响应于检测到车辆标识符与存储的车辆的标识符不同，忽略更新指令并放弃接收加密的签名的软件更新。4.如权利要求1所述的系统，其中，控制器还被配置为：连同更新指令一起接收签名验证密钥。5.如权利要求1所述的系统，其中，控制器还被配置为：从更新服务器接收软件更新，更新服务器被配置为在将软件更新发送到控制器之前使用与签名验证密钥对应的签名密钥对软件更新进行签名。6.如权利要求5所述的系统，其中，更新服务器还被配置为：在将软件更新发送到控制器之前，使用加密密钥对软件更新进行加密。7.一种用于车辆的方法，包括：使用解密密钥对由控制器从更新服务器下载的软件更新进行解密，所述解密密钥从更新服务器被接收而作为指定软件更新且包括第一签名的更新指令的一部分；响应于检测到第一签名与由控制器使用从更新服务器接收的签名验证密钥生成的第二签名相匹配，安装解密的更新。8.如权利要求7所述的方法，其中，更新指令还包括车辆标识符，并且所述方法还包括：响应于检测到车辆标识符与分配给车辆的车辆标识符相匹配，接收软件更新。9.如...

【专利技术属性】
技术研发人员：丹尼尔·约瑟夫·马德里，森基特·森加米西威兰，杰森·迈克尔·米勒，约翰·瑙姆·万格洛夫，
申请(专利权)人：福特全球技术公司，
类型：发明
国别省市：美国,US