本申請涉及通信，尤其涉及空中軟件下載的安全防護。

背景技術：

1、目前，目前隨著車輛的智能化發展，車輛安裝了大量的安全與應用軟件以及車輛系統運行所必須的固件等，而對這些軟件與固件的維護例如升級或安裝新的軟件變得非常重要。目前，車輛供應商或原始設備制造(oem)廠商主要是通過空中下載技術(ota)對車輛的軟件進行遠程管理，通過從所維護的服務器下載升級包或安裝軟件包，來升級車輛上的軟件或安裝新的軟件。然而在ota傳輸過程中，所面臨的一個安全問題是軟件數據在下載傳輸過程中可能會被惡意篡改或以其它方式被損壞，因此如何確保數據安全傳輸成為一個需要解決的問題。

技術實現思路

1、本發明提出一種基于可信的執行環境(tee)機制的改進的安全驗證機制，用于檢驗數據傳輸是否安全。

2、根據本發明的一個方面，提供一種軟件管理設備，包括第一裝置，包括：信息提取單元，配置為接收至少一個傳輸消息，并從該傳輸消息中提取出多段信息以及第一消息認證碼；合成單元，配置為拼接所述多段信息以生成一合成信息。該管理設備還包括第二裝置，包括加密單元，配置為利用一密鑰對所述合成信息執行加密以生成第二消息認證碼。第一裝置進一步包括驗證單元，配置為基于所述第一消息認證碼與所述第二消息認證碼來檢驗所述傳輸消息是否安全。在本發明的一個優選示例中，第一裝置與第二裝置可分別由車載ecu(電子控制單元)實現。

3、按照本發明的另一方面，提供一種軟件管理設備，支持富執行環境(ree)與可信執行環境(tee)，包括：至少一個控制器；工作在富執行環境(ree)下的至少一個第一應用，由所述至少一個控制器執行以接收至少一個傳輸消息，從該傳輸消息中提取出多段信息以及第一消息認證碼，以及拼接所述多段信息以生成一合成信息；工作在可信執行環境(tee)下的第二應用，由所述至少一個控制器執行以利用一密鑰對所述合成信息執行加密以生成第二消息認證碼；其中所述第一應用基于所述第一消息認證碼與所述第二消息認證碼來檢驗所述傳輸消息是否被安全。

4、按照本發明的再一個方面，提供一種由至少一個控制器實現的軟件管理方法，所述控制器支持富執行環境(ree)與可信執行環境(tee)，該方法包括：在富執行環境(ree)下接收至少一個傳輸消息，從該傳輸消息中提取出多段信息以及第一消息認證碼，以及拼接所述多段信息以生成一合成信息；在可信執行環境(tee)下利用一密鑰對所述合成信息執行加密以生成第二消息認證碼；在富執行環境(ree)下，基于所述第一消息認證碼與所述第二消息認證碼來檢驗所述傳輸消息是否被安全。

技術特征：

1.一種軟件管理設備，包括：

2.如權利要求1的軟件管理設備，其中所述第一裝置是第一車載ecu，而第二裝置是支持可信執行環境(tee)的第二車載ecu，其中所述密鑰存儲在專用于所述第二車載ecu且僅在所述tee環境下可訪問的存儲器內。

3.如權利要求1或2的軟件管理設備，其中所述至少一個傳輸消息中的每個消息中的所述多段信息包括數據傳輸請求標識符、用于軟件更新或安裝的受保護數據以及與該傳輸消息相關的新鮮度；

4.如權利要求3的軟件管理設備，其中所述驗證單元進一步配置為：按照預定的約束條件截斷所述第二消息認證碼；

5.如權利要求3的軟件管理設備，其中所述驗證單元進一步配置為：當確定所述第二消息認證碼與所述第一消息認證碼匹配時，生成指示當前的傳輸消息是安全的認證結果；

6.如權利要求2的軟件管理設備，其中所述新鮮度指示當前傳輸消息的傳輸實時性。

7.一種軟件管理設備，支持富執行環境(ree)與可信執行環境(tee)，包括：

8.如權利要求7的軟件管理設備，進一步包括存儲器，配置為用于存儲所述密鑰且僅在所述tee環境下由所述第二應用訪問。

9.如權利要求7的軟件管理設備，其中所述至少一個傳輸消息中的每個消息中的所述多段信息包括數據傳輸請求標識符、用于軟件更新或安裝的受保護數據以及與該傳輸消息相關的新鮮度；

10.如權利要求9的軟件管理設備，其中所述第一應用進一步配置為：

11.如權利要求7-10之一的設備，其中所述第一應用配置為：當確定所述第二消息認證碼與所述第一消息認證碼匹配時，基于所述至少一個傳輸消息中的受保護數據，更新所述車輛軟件。

12.一種由至少一個控制器實現的軟件管理方法，所述控制器支持富執行環境(ree)與可信執行環境(tee)，該方法包括：

13.如權利要求12的方法，所述密鑰僅在所述tee環境下可訪問。

14.如權利要求13的方法，其中所述至少一個傳輸消息中的每個消息中的所述多段信息包括數據傳輸請求標識符、用于軟件更新或安裝的受保護數據以及與該傳輸消息相關的新鮮度；

15.如權利要求14的方法，其中基于所述第一消息認證碼與所述第二消息認證碼來檢驗所述傳輸消息是否安全進一步包括：

16.如權利要求12-15之一的方法，進一步包括：當確定所述第二消息認證碼與所述第一消息認證碼匹配時，基于所述至少一個傳輸消息中的受保護數據，更新所述車輛軟件。

17.一種可讀存儲介質，其上存儲有機器可讀程序，其中當所述機器可讀程序由至少一個處理器執行時使所述處理器實現權利要求12-16之一的方法。

技術總結
本發明涉及軟件管理設備與方法。該管理設備包括第一裝置，包括：信息提取單元，配置為接收至少一個傳輸消息，并從該傳輸消息中提取出多段信息以及第一消息認證碼；合成單元，配置為拼接所述多段信息以生成一合成信息。該管理設備還包括第二裝置，包括加密單元，配置為利用一密鑰對所述合成信息執行加密以生成第二消息認證碼；其中所述第一裝置進一步包括驗證單元，配置為基于所述第一消息認證碼與所述第二消息認證碼來檢驗所述傳輸消息是否安全。

技術研發人員：滕歡
受保護的技術使用者：博世汽車部件（蘇州）有限公司
技術研發日：
技術公布日：2025/4/28