基于双向身份认证的网联汽车安全远程更新方法技术

本发明专利技术涉及智能网联汽车信息安全领域，基于双向身份认证的网联汽车安全远程更新方法，应用于汽车OTA系统，所述汽车OTA系统包括云端系统和车载端系统，云端系统包括OEM服务器和软件供应商服务器，车载端系统包括更新网关和电子控制单元；OEM服务器完成对车辆的身份认证以及下发各个电子控制单元的更新权限给对应的软件供应商；更新网关从OEM服务器获取软件更新信息，并进行身份验证，获取到身份口令和软件供应商的信息之后从对应的软件供应商服务器下载不同电子控制单元ECU的软件更新包；电子控制单元获取到软件更新包后对自身的软件进行安装并运行；本发明专利技术的优点在于：对汽车软件更新的全生命周期进行安全防护。车软件更新的全生命周期进行安全防护。车软件更新的全生命周期进行安全防护。

【技术实现步骤摘要】
基于双向身份认证的网联汽车安全远程更新方法


[0001]本专利技术涉及智能网联汽车信息安全领域，具体涉及基于双向身份认证的网联汽车安全远程更新方法。

技术介绍

[0002]车联网、自动驾驶技术发展给汽车带来便利，如汽车应用可以向支付、社交、娱乐等更多场景扩展，但同时也增加相应的信息安全威胁。车与外部的每一个接口都可能被利用，每一个控制单元都可能被攻击。究其原因，智能网联汽车相对于传统汽车，涉及更多的车载软件代码(上亿行代码)、更多的联网电子控制单元(70+ECU)、更多的传感器，硬件及软件功能扩展过程中增加了相应的信息安全威胁。攻击者可以远程地对汽车发起网络攻击，造成个人隐私数据的泄漏甚至车辆被攻击者控制，存在非常严重的安全隐患。
[0003]电子控制单元(ECU)逐渐取代了车辆中的许多机械和气动控制系统，软件的数量越来越多，使得软件系统非常复杂，不可能由单一公司开发。目前的OTA更新系统，借鉴传统计算机领域的更新机制，建立中心化的软件仓库，由汽车制造商(OEM)负责管理和发布更新包，车辆从OEM设立的软件仓库获取更新包进行更新。但是这种方法没有考虑到汽车软件的特殊性，不能很好地满足汽车OTA更新的安全需求。汽车行业的供应链是非常复杂的，每一辆汽车的软件可能由多级供应商提供，供应商的数量也非常多，如果OTA更新系统没有把软件供应商考虑进来，软件更新的发布和传送过程将不会受到完整的保护，使得攻击者有机可乘，因此现有汽车更新方法以及系统，不符合汽车现有的产业结构和安全需求，不能对汽车软件更新的全生命周期进行安全防护。

技术实现思路

[0004]解决的技术问题
[0005]针对现有技术的不足，本专利技术提供了基于双向身份认证的网联汽车安全远程更新方法，解决现有汽车更新方法不符合汽车现有的产业结构和安全需求，不能对汽车软件更新的全生命周期进行安全防护的问题。
[0006]技术方案
[0007]为实现以上目的，本专利技术通过以下技术方案予以实现：
[0008]本专利技术的一个方面提供了基于双向身份认证的网联汽车安全远程更新方法，应用于汽车OTA系统，所述汽车OTA系统包括云端系统和车载端系统，所述云端系统包括OEM服务器和软件供应商服务器，所述车载端系统包括更新网关和电子控制单元；
[0009]所述OEM服务器完成对车辆的身份认证以及下发各个电子控制单元的更新权限给对应的软件供应商，在完成对车辆的身份认证之后给车辆指定相应的软件供应商和身份口令；
[0010]更新网关从OEM服务器获取软件更新信息，并进行身份验证，获取到身份口令和软件供应商的信息之后从对应的软件供应商服务器下载不同电子控制单元ECU的软件更新
包，对获取的软件更新包进行安全性校验，验证成功之后再向车内的电子控制单元下发软件更新包；
[0011]电子控制单元获取到软件更新包后对自身的软件进行安装，并运行新版本的软件。
[0012]进一步地，所述软件供应商用于软件更新包的制作，并利用其私钥对软件包进行签名，在车辆请求更新包时，对车辆的身份口令进行验证，只有身份口令有效的情况下才给车辆下发软件更新包。
[0013]进一步地，所述OEM服务器生成并注册车辆的身份密钥，在车辆的HSM中写入身份密钥，并根据该密钥在更新的过程中完成对车辆的身份认证。
[0014]更进一步地，所述更新方法包括查询更新的过程：车载端系统的更新网关以固定的频率向OEM服务器查询最新的版本软件更新的时间，如果云端系统提供的版本大于自身软件的版本，说明需要进行软件更新，则启动软件更新流程。
[0015]更进一步地，所述更新方法还包括请求更新的过程：在检测到有新的软件版本需要更新时，车载端系统向OEM服务器发送更新请求，并且利用车辆的身份密钥生成HMAC签名，如果认证成功，OEM服务器会返回如下信息：a)软件更新包的下载地址即软件供应商服务器的URL，以及软件更新包的版本号、尺寸；b)软件更新包对应的下载口令，下载口令是汽车制造商为每一次下载请求生成的一个密码口令；c)上述a)项和b)项的所有信息的签名值。
[0016]更进一步地，所述签名值的计算方法为：
[0017]通过公式获取签名值，其中，H为密码哈希算法，m为需要签名的消息，即车辆发送给OEM服务器的消息内容；K为身份密钥；K
′
为与哈希算法区块大小相同的密钥且||表示将两个数据连接起来，表示异或运算，opad表示与哈希算法的区块相同长度的Ox5c字节序列，ipad表示与哈希算法的区块相同长度的0x36字节序列。
[0018]更进一步地，所述更新方法还包括下载更新包的过程：
[0019]车载端系统从OEM服务器获取了软件包的下载地址和下载口令之后，对OEM服务器返回的信息进行签名校验，校验成功则继续更新流程，否则中止更新流程，并通过用户界面发送安全警告信息，校验成功之后根据软件包下载地址和下载口令，通过https协议从软件供应商服务器下载软件更新包；
[0020]车载端系统从软件供应商服务器请求下载软件更新包时，需要将车辆的VIN码发送给软件供应商服务器，软件供应商服务器通过查询汽车制造商的授权车辆列表来验证车辆是否有下载软件包的权限，完成更新认证。
[0021]更进一步地，所述更新认证的过程为：
[0022]步骤101：软件供应商服务器接收到车载端系统的下载软件更新包的请求时，软件供应商服务器对没有认证的车载端系统返回一个http回复，所述http回复包括一个认证域
或者一个字符编码的参数，所述http回复用于提醒车载端系统使用认证域或字符编码的参数限定的编码方案来编码用户名和密码；
[0023]步骤102：车载端系统使用认证域发送认证信息给软件供应商服务器，所述认证域的规则包括：用户名和密码使用冒号连接，用户名和密码中不能包含冒号，具体采用VIN码作为用户名，OEM服务器返回的下载口令作为密码，得到字符串；将字符串编码成字节序列；得到的字节序列使用Base64的变种进行编码得到新的字符串，新的字符串前面加上认证方式和一个空格，作为认证信息；
[0024]步骤103：软件供应商服务器接收到车载端系统的认证信息以后，从汽车制造商的授权车辆列表中查找是否存在该车辆提供的VIN码和口令，如果VIN码和口令与认证信息验证一致，则通过验证并返回状态码A，否则验证失败并返回验证码B，其中，状态码A和验证码B均为预设的数字码值。
[0025]进一步地，所述电子控制单元获取到软件更新包后对自身的软件进行安装，并运行新版本的软件，包括：
[0026]步骤201：电子控制单元连接更新网关的本地服务器，等待电子控制单元下发更新指令；
[0027]步骤202：接收到更新网关开始更新指令，检查自身状态，如果处于空闲状态则回复电子控制单元准备就绪指令，否则发送失败指令；
[0028]步骤203：接收电子控制单元下发的软件更新包的元信息，该元信息以json格式发送；
...

【技术保护点】

【技术特征摘要】
1.基于双向身份认证的网联汽车安全远程更新方法，其特征在于，应用于汽车OTA系统，所述汽车OTA系统包括云端系统和车载端系统，所述云端系统包括OEM服务器和软件供应商服务器，所述车载端系统包括更新网关和电子控制单元；所述OEM服务器完成对车辆的身份认证以及下发各个电子控制单元的更新权限给对应的软件供应商，在完成对车辆的身份认证之后给车辆指定相应的软件供应商和身份口令；更新网关从OEM服务器获取软件更新信息，并进行身份验证，获取到身份口令和软件供应商的信息之后从对应的软件供应商服务器下载不同电子控制单元ECU的软件更新包，对获取的软件更新包进行安全性校验，验证成功之后再向车内的电子控制单元下发软件更新包；电子控制单元获取到软件更新包后对自身的软件进行安装，并运行新版本的软件。2.根据权利要求1所述的基于双向身份认证的网联汽车安全远程更新方法，其特征在于，所述软件供应商用于软件更新包的制作，并利用其私钥对软件包进行签名，在车辆请求更新包时，对车辆的身份口令进行验证，只有身份口令有效的情况下才给车辆下发软件更新包。3.根据权利要求1所述的基于双向身份认证的网联汽车安全远程更新方法，其特征在于，所述OEM服务器生成并注册车辆的身份密钥，在车辆的HSM中写入身份密钥，并根据该密钥在更新的过程中完成对车辆的身份认证。4.根据权利要求3所述的基于双向身份认证的网联汽车安全远程更新方法，其特征在于，所述更新方法包括查询更新的过程：车载端系统的更新网关以固定的频率向OEM服务器查询最新的版本软件更新的时间，如果云端系统提供的版本大于自身软件的版本，说明需要进行软件更新，则启动软件更新流程。5.根据权利要求4所述的基于双向身份认证的网联汽车安全远程更新方法，其特征在于，所述更新方法还包括请求更新的过程：在检测到有新的软件版本需要更新时，车载端系统向OEM服务器发送更新请求，并且利用车辆的身份密钥生成HMAC签名，如果认证成功，OEM服务器会返回如下信息：a)软件更新包的下载地址即软件供应商服务器的URL，以及软件更新包的版本号、尺寸；b)软件更新包对应的下载口令，下载口令是汽车制造商为每一次下载请求生成的一个密码口令；c)上述a)项和b)项的所有信息的签名值。6.根据权利要求5所述的基于双向身份认证的网联汽车安全远程更新方法，其特征在于，所述签名值的计算方法为：通过公式获取签名值，其中，H为密码哈希算法，m为需要签名的消息，即车辆发送给OEM服务器的消息内容；K为身份密钥；K
′
为与哈希算法区块大小相同的密钥且||表示将两个数据连接起来，表示异或运算，opad表示与哈希算法的区块相同长度的0x5c字节序列，ipad表示与哈希算法的区块相同长度的0x36字节序列。7.根据权利要...

【专利技术属性】
技术研发人员：吴新开，王朋成，陈恒威，张少伟，赵亚楠，
申请(专利权)人：北京航空航天大学，
类型：发明
国别省市：