本发明专利技术提供了一种服务型网关升级方法,包括:网关处于首次上电状态时,启动存储器运行网关预引导程序;网关预引导程序校验当前的有效分区内的引导程序的有效性;硬件加密模块通过非对称加密算法公钥数据和设定加密算法对升级程序和数据签名进行有效性校验;若校验通过,则将引导程序、基础软件程序、路由表配置数据的签名值存储至当前的无效分区的安全存储器中。本发明专利技术在车载控制器的软件更新时实现后台下载,不影响网关功能,可在网关控制器休眠或满足复位条件时进行复位完成升级过程,提升用户体验感;对下载的升级程序和数据进行签名验证,有效防止程序和数据被非法篡改,保障车载服务型网管控制器的软件和数据安全。载服务型网管控制器的软件和数据安全。载服务型网管控制器的软件和数据安全。
【技术实现步骤摘要】
一种服务型网关升级方法
[0001]本专利技术涉及信息安全领域,特别是涉及一种服务型网关升级方法。
技术介绍
[0002]随着汽车自动化、智能化和网联化的持续发展,各个车载控制器的软件更新功能逐步成为一种必备功能,特别是空中下载技术(OTA,Over
‑
the
‑
Air)可以通过车载通信终端的4G或5G通信实现车载控制器软件的远程升级,不需要到车辆服务站就可完成软件问题的修复和软件功能更新。车载服务型网关控制器一般采用微控制器作为主控芯片,对于内置单块程序存储器的主控芯片,采用非后台下载方式,即升级包的下载需要跳转到引导程序进行,只能采用单区模式,先擦除当前应用程序,再下载新的应用程序,下载过程不能提供网关功能;对于内置两块程序存储器或者内置一块程序存储器加外置一块程序存储器的主控芯片,可以采用后台下载方式,在升级包下载过程中不影响网关功能,新的升级包下载到另外一个非有效程序存储器或外置程序存储器中。
[0003]目前大多数车载服务型网关控制器使用的主控芯片没有内存映射单元MMU,即使内置两块程序存储器也无法实现地址映射,所以采用后台下载方式的升级过程一般为:在升级程序下载完成以后,跳转到引导程序,由引导程序擦除当前应用程序,读取升级程序并写入到应用程序存储空间。因此,目前的车载服务型网关控制器的软件架构如图1所示,包括引导程序和应用程序,应用程序根据功能可划分为基础软件程序、应用软件程序和路由表配置数据。
[0004]现有技术中,车载服务型网关控制器升级过程一般为,在引导程序中验证升级程序的签名,签名验证通过以后设置应用程序有效标志,然后执行软件复位,启动时判断应用程序有效标志,如果应用程序有效则跳转到应用程序运行。现有的车载服务型网关控制器的升级时间较长,升级过程中无法提供网关功能,影响车辆的正常使用,用户体验感较差。升级以后如果应用程序无法正常运行,不能实现自动识别并回滚到上一版本软件,不能保证升级以后的网关功能仍正常运行。此外,为了保证车载服务型网关控制器的启动性能,其在引导程序中只判断应用程序有效标志,不能有效识别应用程序被篡改,车载服务型网关控制器软件安全性无法得到保证。
技术实现思路
[0005]针对上述技术问题,本专利技术采用的技术方案为:
[0006]一种服务型网关升级方法,应用于网关升级系统,所述网关升级系统包括主控制器模块、硬件加密模块和实时时钟模块,硬件加密模块和实时时钟模块连接主控制器模块,硬件加密模块用于执行硬件加密操作,实时时钟模块用于执行计时操作;
[0007]主控制器模块内不包括内存映射单元,主控制器模块包括启动存储器、第一内置存储器、第二内置存储器和数据存储器,启动存储器用于存储网关预引导程序;将第一内置存储器和第二内置存储器中的一个标记为有效分区,另一个标记为无效分区,第一内置存
储器和第二内置存储器用于存储引导程序、随机抽样数据、基础软件程序、应用软件程序和路由表配置数据,第一内置存储器和第二内置存储器的其中一个在执行擦除或写入操作时,不影响另一个的读取操作;数据存储器用于存储网关的运行参数;
[0008]硬件加密模块包括加密算法处理器、程序存储器和安全存储器,安全存储器用于存储非对称加/解密算法公钥数据、加密算法密钥数据、引导程序对应的引导程序签名、随机抽样数据对应的mac值、基础软件程序对应的基础软件程序签名、路由表配置数据对应的路由表配置数据签名、有效分区对应的有效分区标志;
[0009]所述服务型网关升级方法,包括如下步骤:
[0010]S100、网关处于首次上电状态时,启动存储器运行网关预引导程序;
[0011]S200、网关预引导程序校验当前的有效分区内的引导程序的有效性,并运行当前的有效分区的引导程序;
[0012]S300、引导程序校验基础软件程序、随机抽样数据和路由表配置数据的有效性,并运行基础软件程序;
[0013]S400、接收网关的升级请求,通过硬件加密模块获取有效分区标志,确定无效分区的存储空间,通过引导程序擦除无效分区的存储空间,并将无效分区的引导程序签名、基础软件程序签名、路由表配置数据签名、随机抽样数据对应的mac值设置为默认无效值;
[0014]S500、将引导程序、基础软件程序、应用软件程序和路由表配置数据下载至无效分区中,并下载升级程序和数据签名,硬件加密模块通过非对称加密算法公钥数据和设定加密算法对升级程序和数据签名进行有效性校验;若校验通过,则执行步骤S600;
[0015]S600、将引导程序、基础软件程序、路由表配置数据的签名值存储至硬件加密模块的当前的无效分区的安全存储器中;
[0016]S700、对应用软件程序进行随机抽样处理,得到随机抽样数据并存储至无效分区的安全存储器中,硬件加密模块通过加密算法密钥数据和加密算法计算随机抽样数据对应的mac值,并将mac值存储至硬件加密模块中;
[0017]S800、将硬件加密模块中存储的有效分区标志设置为当前无效分区,运行升级前的程序和数据;当满足网关复位或休眠条件时,执行软件复位操作,返回步骤S200,运行升级后的程序和数据。
[0018]本专利技术至少具有以下有益效果:
[0019]本专利技术提出的服务型网关升级方法,可在车载控制器的软件更新时实现后台下载,且下载过程不影响网关功能,下载并校验完成后的执行升级时间与软件复位时间相同,可在车载服务型网关控制器休眠或满足复位条件时进行复位完成升级过程,不影响车辆的正常使用,提升了用户的体验感。且在车载服务型网关启动时对各部分软件进行校验,为了保证车载服务型网关控制器的启动性能,对数据量较大的应用软件程序进行随机抽样,可有效识别被篡改的软件,保护车载服务型网关控制器的软件安全;对下载的升级程序和数据进行签名验证,有效防止程序和数据被非法篡改,保障车载服务型网管控制器的软件和数据安全。
附图说明
[0020]为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使
用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0021]图1为现有的车载服务型网关控制器的软件架构示意图;
[0022]图2为本专利技术实施例提供的网关升级系统的模块连接示意图;
[0023]图3为本专利技术实施例提供的服务型网关升级方法的流程图;
[0024]图4为本专利技术判定当前有效分区内的程序和数据运行异常的流程图;
[0025]图5为本专利技术的步骤S800之后的方法步骤流程图。
具体实施方式
[0026]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种服务型网关升级方法,应用于网关升级系统,其特征在于,所述网关升级系统包括主控制器模块、硬件加密模块;硬件加密模块连接主控制器模块;所述硬件加密模块包括加密算法处理器、程序存储器和安全存储器,所述硬件加密模块用于执行硬件加密操作;所述主控制器模块包括启动存储器、第一内置存储器、第二内置存储器和数据存储器;所述启动存储器存储有网关预引导程序;所述数据存储器用于存储网关的运行参数;所述服务型网关升级方法,包括如下步骤:S100、网关处于首次上电状态时,所述启动存储器运行网关预引导程序;S200、将第一内置存储器和第二内置存储器中的一个标记为有效分区,另一个标记为无效分区;网关预引导程序校验当前的有效分区内的引导程序的有效性,并运行当前的有效分区的引导程序;S300、引导程序校验当前的有效分区内的基础软件程序、随机抽样数据和路由表配置数据的有效性,并运行基础软件程序;S400、接收网关的升级请求,通过硬件加密模块获取有效分区标志,确定无效分区的存储空间,通过所述引导程序擦除无效分区的存储空间,并将无效分区的引导程序签名、基础软件程序签名、路由表配置数据签名、随机抽样数据对应的mac值设置为默认无效值;S500、下载升级程序和数据签名,所述硬件加密模块通过非对称加密算法公钥数据和设定加密算法对升级程序和数据签名进行有效性校验;若校验通过,则执行步骤S600;S600、将引导程序签名、基础软件程序签名、路由表配置数据签名存储至所述硬件加密模块的当前的无效分区的安全存储器中;S700、对第一内置存储器和第二内置存储器中的应用软件程序进行随机抽样处理,得到随机抽样数据并存储至无效分区的安全存储器中,硬件加密模块通过加密算法密钥数据和加密算法计算随机抽样数据对应的mac值,并将mac值存储至硬件加密模块中;S800、将所述硬件加密模块中存储的有效分区标志设置为当前无效分区,运行升级前的程序和数据;当满足网关复位或休眠条件时,执行软件复位操作,返回步骤S200,运行升级后的程序和数据。2.根据权利要求1所述的方法,其特征在于,所述步骤S800之后,还包括:S910、复位后的所述网关预引导程序在启动时,获取复位类型并计算上次启动后的运行时间;S920、若复位类型为看门狗复位,且运行时间小于设定的最小运行时间,且连续发生三次,则判定当前有效分区内的程序和数据运行异常,并将所述硬件加密模块中存储的有效分区的引导程序签名、随机抽样数据对应的mac值、基础软件程序签名、路由表配置数据签名设置为默认无效值;S930、所述硬件加密模块校验当前无效分区的程序的有效性;若程序有效,则将所述硬件加密模块中...
【专利技术属性】
技术研发人员:赵俊鹏,冯晶晶,全剑敏,姚敏杰,宋莉丽,
申请(专利权)人:杭州云动智能汽车技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。