[发明专利]基于双系统的客户端程序升级方法及计算机可读存储介质

说明书

本发明公开了一种基于双系统的客户端程序升级方法及计算机可读存储介质，方法包括：生成公私钥对，将私钥保存至远端服务器，将公钥保存至本地设备的安全操作系统；使用私钥对客户端程序进行加密和签名，得到客户端密文和客户端签名；远端服务器发送升级请求至本地设备的安全操作系统；安全操作系统生成响应数据包，并将响应数据包发送至远端服务器；若远端服务器对响应数据包的验证通过，则将客户端密文和客户端签名发送至安全操作系统；若安全操作系统对客户端密文和客户端签名合法性验证通过，则将普通操作系统中原来的客户端程序的数据替换为客户端密文和客户端签名。本发明可保证本地设备接收到的客户端程序的合法性。

技术领域

本发明涉及程序升级技术领域，尤其涉及一种基于双系统的客户端程序升级方法及计算机可读存储介质。

背景技术

ARM trustzone技术可以把ARM处理器划分成两个区域：安全区域和非安全区域，这个区域包括了处理器核和所有的内外部资源。处理器核被分成了安全核和非安全核，资源被分成了安全资源和非安全资源，比如可以设置一个外部设备是安全的，当一个设备被设置成安全状态时，这个设备只能被安全处理器及运行在安全处理器上的软件所访问，而那些非安全的处理器核及运行在非安全处理器核上的软件无法访问到这个设备。运用这个特性，可以把trustzone技术应用于需要安全隔离的场景，把处理器和处理上的资源隔离成两个世界，一个安全世界，一个非安全世界，在安全世界上运行一个安全操作系统，非安全世界上运行一个非安全操作系统。

车载中控屏上使用trustzone技术进行资源隔离，非安全区域运行Android操作系统，安全区域运行一个安全操作系统。Android可以保证中控屏提供丰富的多媒体应用，在Android上可以运行来自多方的应用程序。由于中控屏上还需要运行一些和车辆信息安全相关的应用，比如获取车辆速度，开启车辆窗户、大灯和转向灯等，这些应用程序关乎车辆的安全，为了防止非法的应用程序控制车辆，通常把涉及到车辆控制的应用分成两个部分来进行实现，一部分称为客户端程序，一部分称为服务端程序，客户端程序运行在Android系统，服务端程序运行在安全操作系统，同时把和车辆连接的设备，比如CAN总线设备，设置成安全状态，这样可以保证在Android上的应用是无法直接访问到这些安全设备。当Android上的客户端程序需要控制车辆时，需要首先连接上服务端程序，并经过服务端程序的身份认证，通过身份认证后，客户端程序才能发送请求，并通过服务端程序去控制车辆。

通常软件都是需要进行升降级，目前普遍的软件升级方式是通过有线或者无线网络把需要更新的软件从远端应用商城下载到本地，这种方式往往是对所下载的软件没有进行身份验证，任何软件都可能被下载到本地设备上，造成软件已经更新完成的假象，可能直到这个软件启动运行时才发现所下载的软件是错误的。

客户端程序和服务端程序由车厂或者授权第三方厂商进行开发，这样可以确保其合法性和安全性，客户端程序和服务端程序关乎车辆的安全，必须保证所运行的客户端软件是合法的，所以必须从客户端软件下载或者更新过程中保证这个客户端软件的合法性。

发明内容

本发明所要解决的技术问题是：提供一种基于双系统的客户端程序升级方法及计算机可读存储介质，可保证本地设备接收到的客户端程序的合法性。

为了解决上述技术问题，本发明采用的技术方案为：一种基于双系统的客户端程序升级方法，包括：

生成公私钥对，将私钥保存至远端服务器，将公钥保存至本地设备的安全操作系统；

使用所述私钥对客户端程序进行加密和签名，得到客户端密文和客户端签名；

远端服务器发送升级请求至所述本地设备的安全操作系统；

安全操作系统根据所述升级请求，生成响应数据包，并将所述响应数据包发送至远端服务器；

若远端服务器对所述响应数据包的验证通过，则将所述客户端密文和客户端签名发送至安全操作系统；