OTA安全通信系统及其通信方法

技术领域

本发明涉及汽车电子技术领域，尤其涉及一种OTA安全通信系统及其通信方法。

背景技术

随着软件定义汽车的概念席卷整个新能源汽车行业，OTA(空中下载技术，Over-the-Air Technology)作为一种快速低成本修复故障且不断丰富汽车功能的手段，正在成为各大新能源汽车品牌重点关注的领域。OTA升级过程中保障升级任务完整性和升级内容的安全性显得尤为重要，一旦升级进程以及升级内容遭到破坏或篡改将对车辆、司机甚至他人的生命财产安全造成极大的损害。

现有技术中，通过在T-BOX(Telematics-BOX，车联网系统)与OTA服务器之间建立TLS(Transport Layer Security，传输层安全性协议)双向认证的安全通信通道，采用数据签名和验证及CA数字证书的认证机制，防止数据被篡改和第三方冒充TBOX或OTA服务器的身份来给对方传输数据。

但是，上述方法中是T-BOX先直接向数字证书系统申请证书，然后进行面对面的车云通信交互，这种方式容易使数字证书系统遭到黑客攻击，导致数字证书系统颁发的证书被篡改或破坏，造成车云之间的通信不够安全，从而给用户带来不可估量的损失。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种OTA安全通信系统及其通信方法，可以通过增加数据中间服务模块，将数字证书颁发模块与车端进行隔离，避免数字证书颁发模块直接暴露在各车端的组件面前，有效防止数字证书颁发模块遭到破坏，减少证书申请过程中证书被篡改、破坏的风险，提高车云之间通信的安全性，保证用户的生命财产安全。

第一方面，本发明提供了一种OTA安全通信系统，所述通信系统包括车端、数据中间服务模块、数字证书颁发模块和OTA服务器；

所述车端，用于当接收到车端公钥证书申请指令后，与所述数据中间服务模块之间建立双向认证的第一安全通信通道；当所述第一安全通信通道建立完成后，将车端公钥证书申请报文发送至所述数据中间服务模块；

所述数据中间服务模块，用于将接收到的所述车端公钥证书申请报文转发至所述数字证书颁发模块；

所述数字证书颁发模块，用于根据接收到的所述车端公钥证书申请报文为所述车端颁发车端公钥证书，并通过所述数据中间服务模块将所述车端公钥证书转发至所述车端，以使所述车端使用所述车端公钥证书与所述OTA服务器之间实现安全通信。

可选的，所述数字证书颁发模块还用于：

在所述车端接收到所述车端公钥证书申请指令前，为所述OTA服务器和所述数据中间服务模块颁发服务端证书，以及为所述车端颁发传输层安全通信证书；

所述车端还用于使用所述传输层安全通信证书与所述数据中间服务模块之间，建立双向认证的所述第一安全通信通道。

可选的，所述车端还用于：

当接收到所述数据中间服务模块转发的所述车端公钥证书后，对所述车端公钥证书进行验证，验证通过后，对所述车端公钥证书进行存储。

可选的，所述OTA服务器还用于生成升级任务，并通过所述数据中间服务模块将所述升级任务转发至所述车端；

所述车端包括：

任务升级接收模块，用于接收所述数据中间服务模块转发的所述升级任务；

第二安全通信通道建立模块，用于当接收到所述升级任务后，使用所述车端公钥证书与所述OTA服务器之间，建立双向认证的第二安全通信通道；

升级包下载模块，用于当所述第二安全通信通道建立完成后，根据所述升级任务通过所述第二安全通信通道下载升级包。

可选的，所述第二安全通信通道建立模块还用于：

当接收到所述升级任务后，向所述OTA服务器发送通信请求；

接收所述OTA服务器发送的OAT服务端证书，并对所述OAT服务端证书进行验证；

验证通过后，将所述车端公钥证书发送至所述OTA服务器进行验证，以建立双向认证的所述第二安全通信通道。

可选的，所述数据中间服务模块还用于：

当接收到所述OTA服务器发送的所述升级任务后，判断所述车端是否处于在线状态；

当所述车端处于在线状态时，将所述升级任务发送至所述车端；

当所述车端未处于所述在线状态时，唤醒所述车端，以使所述车端处于所述在线状态。

第二方面，本发明提供了一种OTA安全通信方法，所述通信方法适用于上文中任一种OTA安全通信系统，所述通信方法包括：

当接收到车端公钥证书申请指令后，与数据中间服务模块之间建立双向认证的第一安全通信通道；

当所述第一安全通信通道建立完成后，将车端公钥证书申请报文发送至所述数据中间服务模块，并通过所述数据中间服务模块将所述车端公钥证书申请报文转发至数字证书颁发模块；

接收所述数据中间服务模块转发的所述数字证书颁发模块颁发的车端公钥证书，并使用所述车端公钥证书与OTA服务器之间实现安全通信。

可选的，所述通信方法还包括：

当接收到所述数据中间服务模块转发的所述OTA服务器生成的升级任务时，使用所述车端公钥证书与所述OTA服务器之间，建立双向认证的第二安全通信通道；

当所述第二安全通信通道建立完成后，根据所述升级任务通过所述第二安全通信通道下载升级包。

可选的，所述当接收到所述数据中间服务模块转发的所述OTA服务器生成的升级任务时，使用所述车端公钥证书与所述OTA服务器之间，建立双向认证的第二安全通信通道，包括：

当接收到所述数据中间服务模块转发的所述OTA服务器生成的升级任务时，向所述OTA服务器发送通信请求；

接收所述OTA服务器发送的OAT服务端证书，并对所述OAT服务端证书进行验证；

验证通过后，将所述车端公钥证书发送至所述OTA服务器进行验证，以建立双向认证的所述第二安全通信通道。

可选的，所述通信方法还包括。

当接收到所述数据中间服务模块转发的所述车端公钥证书后，对所述车端公钥证书进行验证，验证通过后，对所述车端公钥证书进行存储。

本发明实施例中提供的技术方案，至少具有如下技术效果或优点：

本发明实施例提供的一种OTA安全通信系统及其通信方法，可以通过在系统中增加数据中间服务模块，将数字证书颁发模块与车端进行隔离，在车端需要申请车端公钥证书时，先要在车端与数据中间服务模块之间建立双向认证的第一安全通信通道，通过该第一安全通信通道将车端公钥证书申请报文发送至数据中间服务模块，由数据中间服务模块转发至数字证书颁发模块，然后数字证书颁发模块颁发的车端公钥证书也需数据中间服务模块转发至车端，以使车端可以使用车端公钥证书与OTA服务器之间实现安全通信。该通信系统保证数字证书颁发模块的独立性和安全性，避免数字证书颁发模块直接暴露在各车端的组件面前，有效防止数字证书颁发模块遭到破坏，减少证书申请过程中证书被篡改、破坏的风险，提高车云之间通信的安全性，保证用户的生命财产安全。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1是本发明实施例提供的一种OTA安全通信系统的结构示意图；

图2是本发明实施例提供的一种OTA安全通信方法的流程图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。

图1是本发明实施例提供的一种OTA安全通信系统的结构示意图，如图1所示，该通信系统100包括车端101、数据中间服务模块102、数字证书颁发模块103和OTA服务器104：

车端101，用于当接收到车端公钥证书申请指令后，与数据中间服务模块102之间建立双向认证的第一安全通信通道；当第一安全通信通道建立完成后，将车端公钥证书申请报文发送至数据中间服务模块102。

数据中间服务模块102，用于将接收到的车端公钥证书申请报文转发至数字证书颁发模块103。

数字证书颁发模块103，用于根据接收到的车端公钥证书申请报文为车端101颁发车端公钥证书，并通过数据中间服务模块102将车端公钥证书转发至车端101，以使车端101使用车端公钥证书与OTA服务器104之间实现安全通信。

其中，数据中间服务模块102和数字证书颁发模块103可以布置在服务器端。

可理解为，通过设置数据中间服务模块102，防止将数字证书颁发模块103直接暴露在各车端组件面前，从而避免数字证书颁发模块103遭到破坏，减少证书申请过程中出现的不可预知的问题以及证书被篡改、破坏的风险。

在本实施例中，车端101可以是T-BOX或其他车端组件。数字证书颁发模块103可以是PKI(Public Key Infrastructure，公钥基础设施)证书系统，是提供公钥加密和数字签名服务的系统或平台，在本申请中可以用于管理密钥和颁发证书。OTA服务器104在软件刷新过程中起连接用户(车厂、车主)与车辆的作用，以实现车辆远程智能诊断及故障预测分析，OTA服务器104可以布置在车厂的私有服务器上，从而能够支持多种车型OTA升级。数据中间服务模块102也可以布置在车厂的私有服务器上。

在本实施例中，当车辆下线时，可以通过车辆下线(EOL，End of Line)检测平台向车端101发送车端公钥证书申请指令；还可以在车辆售后时，通过远程诊断平台或者诊断仪向车端101发送车端公钥证书申请指令，即远程诊断平台或者诊断仪与车辆建立连接后，会生成车端公钥证书申请指令，从而车端101会接收到车端公钥证书申请指令。

可选的，数字证书颁发模块103还用于：

在车端101接收到车端公钥证书申请指令前，为OTA服务器104和数据中间服务模块102颁发服务端证书，以及为车端101颁发传输层安全通信证书。

在本实施例中，由于OTA服务器104和数据中间服务模块102的域名不会变更，则只需要颁发一次服务端证书即可，并且证书长期有效，所以可以通过离线的方式给OTA服务器104发送OTA服务端证书和给数据中间服务模块102发送数据中间服务端证书。其中，离线发送方式可以选择通过邮件形式发送给OTA服务器104和数据中间服务模块102对应的开发人员，用于集成使用。

在本实施例中，数字证书颁发模块103还会提前给车端101颁发传输层安全(TLS)通信证书，以供车端101的开发人员使用。

在本实施例中，数字证书颁发模块103还用于给车端101颁发根证书。车端101通过数字中间服务模块转发至数字证书颁发模块103的车端公钥证书申请报文，可以包括根证书和车端101身份确认信息。数字证书颁发模块103会根据根证书和车端101身份确认信息，给车端101颁发车端公钥证书。

可选的，车端101还用于使用传输层安全通信证书与数据中间服务模块102之间，建立双向认证的第一安全通信通道。

具体为，车端101向数据中间服务模块102发起TLS通信请求建立连接，车端101接收数据中间服务模块102返回的数据中间服务端证书，并对数据中间服务端证书进行验签，验签通过后，车端101向数据中间服务模块102发送自己的TLS通信证书，数据中间服务模块102对车端101的TLS通信证书进行验签，验签通过后，表示双向认证完成，第一安全通信通道建立完成，车端101与数据中间服务模块102之间可以进行安全通信。

在本实施例中，车端101与数据中间服务模块102之间可以采用MQTT(MessageQueuing Telemetry Transport，消息队列遥测传输协议)或GB/T32960协议进行数据交换。

可选的，车端101还用于：

当接收到数据中间服务模块102转发的车端公钥证书后，对车端公钥证书进行验证，验证通过后，对车端公钥证书进行存储。

在本实施例中，车端101需要对申请下来的车端公钥证书进行验证，以确定车端公钥证书与车端私钥是否匹配；当车端公钥证书与车端私钥匹配时，验证通过；当车端公钥证书与车端私钥不匹配时，验证不通过。避免将传输过程中被攻击篡改的车端公钥证书保存和使用。

可选的，OTA服务器104还用于生成升级任务，并通过数据中间服务模块102将升级任务转发至车端101。

在本实施例中，当有新的升级包生成时，OTA服务器104会生成升级任务，并将该升级任务先发送给数据中间服务模块102，再通过数据中间服务模块102转发给车端101。

可选的，数据中间服务模块102还用于：

当接收到OTA服务器104发送的升级任务后，判断车端101是否处于在线状态；当车端101处于在线状态时，将升级任务发送至车端101。

在本实施例中，当车端101未处于在线状态时，唤醒车端101，以使车端101处于在线状态。

其中，升级任务具体是基于OTA对车端101的固件(固件是一种嵌入在硬件设备中的软件)进行安全升级的任务。

可选的，车端101包括：

任务升级接收模块，用于接收数据中间服务模块102转发的升级任务。

第二安全通信通道建立模块，用于当接收到升级任务后，使用车端公钥证书与OTA服务器104之间，建立双向认证的第二安全通信通道。

升级包下载模块，用于当第二安全通信通道建立完成后，根据升级任务通过第二安全通信通道下载升级包。

在本实施例中，通过数据中间服务模块102减少车端101与OAT服务器的直接交互，车云之间重要的数据、指令交互均需要通过数据中间服务模块102，使得整个升级过程被隔离。在OTA升级任务过程中，将升级推送、升级包下载申请等任务以及车辆唤醒功能控制在数据中间服务模块102，减少升级任务被篡改的风险，使整个升级过程前后对照且安全可控。

在本实施例中，在传输升级包之前，可以采用KMS(Key Management Service，秘钥管理服务)系统以及签名验签服务器对升级包进行签名、加密。

可选的，第二安全通信通道建立模块还用于：

当接收到升级任务后，向OTA服务器104发送通信请求；接收OTA服务器104发送的OAT服务端证书，并对OAT服务端证书进行验证；验证通过后，将车端公钥证书发送至OTA服务器104进行验证，以建立双向认证的第二安全通信通道。

在本实施例中，当车端101接收到升级任务后，车端101可以进一步确定是否需要升级；当确定需要升级时，则车端101与OTA服务器104之间通过三次握手互相验证彼此的证书，验证通过后，则成功建立双向TLS认证的第二安全通信通道，保障车端101与OTA服务器104之间数据传输的安全性。当确定不需要升级时，不执行升级任务。

在本实施例中，车端101与OTA服务器104之间可以采用S3(Simple StorageService，简单存储服务)协议进行升级包的传输。

在本实施例中，车端101在下载升级包的过程中可以将下载进度实时发送至OTA服务器104，以使OTA服务器104实时掌握下载进度。当下载完成后，车端101可以将升级包存储在本地存储器中。当车辆满足升级条件时，将使用设计包进行软件升级，升级完成后，可以将升级结果发送至OTA服务器104，以使OTA服务器104更新车端101软件的信息，利于下次升级任务生成。

其中，升级条件可以为：接收到车辆上电指令或接收到用户发出的升级指令。需要说明的是，用户还可以根据实际情况进行升级条件的设定，本申请对此不做限定。

基于同样的发明构思，本发明实施例还提供了一种OTA安全通信方法，图2是本发明实施例提供的一种OTA安全通信方法的流程图，该通信方法适用于权利要求1-6任一的OTA安全通信系统，如图2所示，该通信方法应用于车端，包括：

步骤S210、当接收到车端公钥证书申请指令后，与数据中间服务模块之间建立双向认证的第一安全通信通道；

步骤S220、当第一安全通信通道建立完成后，将车端公钥证书申请报文发送至数据中间服务模块，并通过数据中间服务模块转发至数字证书颁发模块；

步骤S230、接收到数据中间服务模块转发的数字证书颁发模块颁发的车端公钥证书，并使用车端公钥证书与OTA服务器之间实现安全通信。

可选的，该方法还包括：

当接收到数据中间服务模块转发的车端公钥证书后，对车端公钥证书进行验证，验证通过后，对车端公钥证书进行存储。

在本实施例中，当车端接收到车端公钥证书申请指令后，会与数据中间服务模块之间建立双向认证的第一安全通信通道；当第一安全通信通道建立完成后，车端会将车端公钥证书申请报文发送至数据中间服务模块；数据中间服务模块将接收到车端公钥证书申请报文转发至数字证书颁发模块；数字证书颁发模块对车端公钥证书申请报文进行验证，以确认车端身份，验证通过后，会给车端颁发车端公钥证书，数字证书颁发模块先将车端公钥证书发送至数据中间服务模块；数据中间服务模块将接收到的车端公钥证书转发至车端，车端对接收到的车端公钥证书进行验证，验证通过后，对车端公钥证书进行存储，以供OTA升级时使用。

可选的，该通信方法还包括：

第一步、当接收到数据中间服务模块转发的OTA服务器生成的升级任务时，使用车端公钥证书与OTA服务器之间，建立双向认证的第二安全通信通道。

第二步、当第二安全通信通道建立完成后，根据升级任务通过第二安全通信通道下载升级包。

可选的，第一步包括：

当接收到数据中间服务模块转发的OTA服务器生成的升级任务时，向OTA服务器发送通信请求；接收OTA服务器发送的OAT服务端证书，并对OAT服务端证书进行验证；验证通过后，将车端公钥证书发送至OTA服务器进行验证，以建立双向认证的第二安全通信通道。

在本实施例中，在OTA服务器生成升级任务后，会将升级任务推送给数据中间服务模块；数据中间服务模块接收到的升级任务后，先判断车端是否处于在线状态，若车端处于在线状态时，将升级任务下发至车端，若车端未处于在线状态，则唤醒车端，以使车端处于在线状态；当车端接收到升级任务时，使用车端公钥证书与OTA服务器之间，建立双向认证的第二安全通信通道；当第二安全通信通道建立完成后，根据升级任务通过第二安全通信通道下载升级包；下载升级包过程中，车端可以实时上报下载进度，下载完成后将升级包存储在本地存储器，等待车辆满足升级条件时，使用升级包对车端软件进行升级，升级完成后，车端将升级结果上报至OTA服务器。

本发明实施例还提供了一种电子设备，该电子设备可以包括处理器和存储器，其中处理器和存储器可以通过总线或者其他方式互相通信连接。

处理器可以为中央处理器(Central Processing Unit，CPU)，或者特定集成电路(Application Specific Integrated Circuit，ASIC)，或者可以被配置成实施本申请实施例的一个或多个集成电路。

存储器可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器可包括硬盘驱动器(Hard Disk Drive，HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus，USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器可在电子设备的内部或外部。在特定实施例中，存储器可以是非易失性固态存储器。

在一个实例中，存储器可以是只读存储器(Read Only Memory，ROM)。在一个实例中，该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。

处理器通过读取并执行存储器中存储的计算机程序指令，以实现上述实施例中的任意一种OTA安全通信方法。

在一个示例中，电子设备还可包括通信接口和总线。其中，处理器、存储器、通信接口通过总线连接并完成相互间的通信。通信接口，主要用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。在合适的情况下，总线可包括一个或多个总线。

另外，结合上述实施例中的OTA安全通信方法方法，本发明实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种OTA安全通信方法。

上述本申请实施例中的技术方案，至少具有如下的技术效果或优点：

本发明实施例提供的一种OTA安全通信系统及其通信方法，可以通过在系统中增加数据中间服务模块，将数字证书颁发模块与车端进行隔离，在车端需要申请车端公钥证书时，先要在车端与数据中间服务模块之间建立双向认证的第一安全通信通道，通过该第一安全通信通道将车端公钥证书申请报文发送至数据中间服务模块，由数据中间服务模块转发至数字证书颁发模块，然后数字证书颁发模块颁发的车端公钥证书也需数据中间服务模块转发至车端，以使车端可以使用车端公钥证书与OTA服务器之间实现安全通信。该系统保证数字证书颁发模块的独立性和安全性，避免数字证书颁发模块直接暴露在各车端的组件面前，有效防止数字证书颁发模块遭到破坏，减少证书申请过程中证书被篡改、破坏的风险，提高车云之间通信的安全性，保证用户的生命财产安全。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的部件或步骤。位于部件之前的单词“一”或“一个”不排除存在多个这样的部件。本发明可以借助于包括有若干不同部件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。