[发明专利]一种基于电子移动证书的汽车软件升级方法及系统

权利要求书

1.一种基于电子移动证书的汽车软件升级方法，其特征在于，所述基于电子移动证书的汽车软件升级方法包括：

进行软件升级终端设备、软件升级客户端设备、电子移动证书设备以及软件升级管理平台之间身份合法性的检测；在确定软件升级相关对象合法性的基础上允许升级；软件升级终端在检测过程中，发现车主、维修厂商持有的电子证书为非法时，不允许任何升级操作；

在升级过程中，在认证的基础上，建立相互的会话密钥，对传输的数据进行AES加密处理和完整性Hash计算，防止数据被监听和串改；

同时，汽车软件升级管理平台，对整个升级过程中的对象、时间、事务重要日志信息进行记录、分析和管理；

所述基于电子移动证书的汽车软件升级方法进一步包括：

第一步，Server、Terminal、Client三者通过通信，把Server的数字证书发送给Client和Terminal；

第二步，Terminal和Client通过Kp_PKI验证Server的证书，获取Server公钥Kp_S；Terminal产生2个256位随机码RT1,RT2；Terminal将RT1通过Server的公钥Kp_S进行加密得到Terminal将RT2发送给MCDT，MCDT经过自己的私钥Kr_T进行加密，计算得到信息MCDT返回给Terminal该信息和Cer_T；

第三步，Terminal将信息通过Client发送给Server；其中E_RT1表示通过RT1进行AES对称密钥算法加密；Server得到MT1后，通过私钥Kr_S对进行解密计算，获取到RT1的值；然后，Server通过密钥RT1和AES算法解密得到MS1＝(RT2||Cer_T||VID||MC1)；Server根据数据库User1表查找汽车VID，若在数据库中没有该VID，证明Terminal不合法，拒绝后续过程；若存在，找到该VID所对应的Kp_T，计算Kp_T与Cer_T中的公钥相同，且RT2'＝RT2，Server证明Terminal终端连接的MCDT的身份及合法性，否则MCDT为不合法；

第四步，Server计算MS2＝E_RT1(RT1+1||ACK)发送给Terminal，Terminal接收到后，计算MT2＝E_RT1(MS2)，得到RT1'、ACK，如果RT1'＝RT1+1，表示Server身份认证成功，信任通信；若ACK＝YES，表示MCDT设备的合法性；

第五步，Terminal重新生成两个新的随机数RT3、RT4，把RT3通过Client发送给MCDC设备，MCDC设备把加密的结果返回给Terminal；

第六步，两个设备合法性在Server认证后都没问题的情况下，Terminal开始和车内网关进行通信，确认允许进行软件升级；Terminal与Server重新建立临时会话密钥RT5和自增计数器RT6，RT5用于对传输的数据进行加密，RT6以保证在该过程中的时效性；然后，Terminal建立下载事务，建立如下描述信息MT3＝(ID_event||T||Cer_T||Cer_C)(ID_event表示事务序号，T表示下载时间),将所述MT3＝(ID_event||T||Cer_T||Cer_C)消息发送给MCDT、MCDC设备，两个设备同时完成对该消息的数字签名，计算得到MTC_x、MTT_x：Terminal将组合消息MT4＝E_RT5(MT3||MTC_x||MTT_x||RT6)发送给Server，Server解密该信息，记录此次下载事务信息到后台数据库，开启下载任务；

第七步，Server对升级包进行Hash计算，并将该Hash值传递给Terminal作为数据包完整性的检验，防止黑客修改安装包；

第八步，Terminal与Gateway完成下载，Gateway自动更新车内内部相关模块的程序。