基于OTA的远程连接方法、系统及车载连接设备、电动汽车与流程

基于ota的远程连接方法、系统及车载连接设备、电动汽车
技术领域
1.本发明涉及电芯管理应用领域，尤其是涉及到一种基于ota的远程连接方法、系统及车载连接设备、电动汽车。


背景技术：

2.传统的升级方式只有在汽车维保时，汽车厂商才有机会通过诊断仪升级软件。于是ota技术应运而生，相对于传统汽车软件系统的升级方式，ota技术带来了许多便利，但是从信息安全角度来说，ota优缺并存。
3.其优点是能快速地修复系统的漏洞，使系统保持最新的状态，保证系统整个生命周期的安全，除去开发ota系统的成本，升级的成本也同时降低了。但是一个系统的漏洞随着重复验证总会被发现，汽车上的ecu系统是否可靠涉及驾驶安全问题，关乎驾驶人员和乘客的生命安全，升级需要格外慎重，升级时即需要确保原始安装程序的安全，也需要保障传输过程中是安全的,但近年来掌握系统更新命脉的ota服务却屡被爆出安全问题，威胁到个人的生命财产甚至整个社会的安全稳定。
4.基于此，特提出此发明。


技术实现要素：

5.本发明提供了一种安全简单，传输过程中可以确保交互各方身份的真实且具备防破解性质的基于ota的远程连接方法、系统及车载连接设备、电动汽车，以解决上述所提到的ota升级容易被破解，在信息安全角度存在安全隐患等技术问题。
6.在本发明的第一方面，提供一种基于ota的远程连接方法，应用于服务器端，包括：1)接收到服务器端的通信请求和服务器端字符串，并根据服务器端字符串生成设备端密码；2)发送设备端密码和设备端字符串至服务器端；3)接收服务器端的服务器端密码和更新后的服务器端字符串，并对服务器端密码进行验证；4)根据对服务器端密码的验证结果，生成真或假的设备端密码，并重复上述2)-3)至第一预设次数，每次重复中服务器端字符串和设备端字符串均更新；5)对所有服务器端密码的验证结果均为真时，被允许进行ota升级；否则，拒绝进行ota升级。
7.可选地，在3)中，根据验证结果生成真的或者假的服务器端密码包括：当设备端密码的验证结果为真时，根据查表法从预设映射表中匹配和设备端字符串对应真的服务器端密码；当设备端密码为假时，生成假的服务器端密码。
8.可选地，服务器端字符串在服务器端通过第一真随机数发生器随机更新。
9.可选地，生成假的服务器端密码为从预设的第一数据库中随机生成假的服务器端密码。
10.在本发明的第二方面，还提供一种基于ota的远程连接方法，应用于设备端，1)接收到服务器端的通信请求和服务器端字符串，并根据服务器端字符串生成设备端密码；2)发送设备端密码和设备端字符串至服务器端；3)接收服务器端的服务器端密码和更新后的
服务器端字符串，并对服务器端密码进行验证；4)根据对服务器端密码的验证结果，生成真或假的设备端密码，并重复上述2)-3)至第一预设次数，每次重复中服务器端字符串和设备端字符串均更新；5)对所有服务器端密码的验证结果均为真时，被允许进行ota升级；否则，拒绝进行ota升级。
11.可选地，在4)中，生成真或假的设备端密码包括：当服务器端密码的验证结果为真时，根据查表法从预设映射表中匹配和服务器端字符串对应真的服务器端密码；当服务器端密码的验证结果为假时，生成假的设备器端密码。
12.可选地，设备端字符串在设备端通过第二真随机数发生器生成。
13.本发明的第三方面，还提供一种基于ota的远程连接方法，包括：1)服务器端发送通信请求和服务器端字符串至设备端；2)设备端接收到服务器端的通信请求和服务器端字符串，并生成和服务器端字符串映射的设备端密码；3)设备端发送设备端密码和设备端字符串至服务器端；4)服务器端接收来自于设备端反馈的设备端密码和设备端字符串，并对设备端密码进行验证；5)服务器端根据对设备端密码的验证结果生成真或者假的服务器端密码，连同更新的设备端字符串发给设备端；6)设备端接收服务器端的服务器端密码和更新的设备端字符串，并对服务器端密码进行验证；7)设备端根据对服务器端密码的验证结果，生成真或者假的设备端密码；8)重复上述3)-7)至第一预设次数，每次重复中服务器端字符串和设备端字符串均更新；9)对所有设备端密码的验证结果均为真时，服务器端对设备端进行ota升级；否则，服务器端不对设备端进行ota升级。
14.本发明的第四方面，还提供一种基于ota的远程连接系统，服务器端，包括第一主控单元，服务器端配置有第一真随机数发生器及第二映射表；设备端，包括第二主控单元，设备端配置有第二真随机数发生器及第一映射表；其中，第一主控单元被配置成执行根据以上述的远程连接方法，第二主控单元被配置成执行根据以上述的远程连接方法。
15.另外，还提供一种车载连接设备，包括:第一真随机数发生器，用于生成服务器端字符串；第一主控单元，被配置成：执行根据以上应用于设备端的远程连接方法。
16.同时还提供一种电动汽车，包括如上述的车载连接设备。
17.本发明通过提供一种基于ota的远程连接方法，通过设备端和服务器端的循环验证，根据验证次数来许可通信交互，可实现在设备在通过ota进行升级前的通信握手验证，且在设备端和服务器端均采用真随机数发生器来生成真随机数，结合预设的第一映射表和第二映射表，极大提高了破解的难度，增强了设备端和服务器端进行网络通信安全的可靠性。
18.本发明实施例的其他特征和优点将在随后的具体实施方式部分予以说明。
附图说明
19.为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
20.图1为本发明实施例所提供的基于ota的远程连接系统的模块示意图；
21.图2展示了本发明实施例二提供的基于ota的远程连接方法的流程图；
22.图3展示了本发明实施例二提供的基于ota的远程连接方法中步骤s103的流程图；及
23.图4展示了本发明实施例三提供的基于ota的远程连接方法的流程图。
24.以上附图中，各标号所代表的部件列表如下：
25.100、远程连接系统；
26.10、服务器端；
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
20、设备端；
27.101、第一主控单元；
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
202、第二主控单元；
28.10a、第一真随机数发生器；
ꢀꢀꢀꢀ
20a、第二真随机数发生器；
29.10b、第一映射表；
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
20b、第二映射表。
具体实施方式
30.为了使本发明的上述以及其他特征和优点更加清楚，下面结合附图进一步描述本发明。应当理解，本文给出的具体实施例是出于向本领域技术人员解释的目的，仅是示例性的，而非限制性的。
31.对于相关领域普通技术人员已知的技术、方法及系统可能不作详细讨论，但在适当情况下，技术、方法及系统应当被视为授权说明书的一部分。
32.现有技术中汽车ota服务只在传输过程中进行简单的加密保证传输信息的保密性，但是在初始握手时的信息安全上还不够完善，本发明方案旨在解决这一问题。
33.【实施例一】
34.如图1所示，图1为本发明实施例所提供的基于ota的远程连接系统100的模块示意图，该系统100包括：
35.服务器端10，包括第一主控单元101，配置有第一真随机数发生器10a及第一映射表10b；
36.设备端20，包括第二主控单元202，配置有第二真随机数发生器20a及第二映射表20b。
37.其中，服务器端10可以采用云端服务器，设备端20可以为电动或者燃油汽车的带通信模块的车载机(如tbox)，服务器端10和设备端20通过基站建立远程通信连接。
38.第一真随机数发生器10a和第二真随机数发生器20a通过自定义数量、最小值、最大值、字符形式等以自动生成随机的字符串(如0～4294967295间的随机数，或者增加符号等字符元素，也称之为真随机数，具体可以根据系统所需进行配置，即字符串可以是字母、数字或符号，或者任意组合)，第一映射表10b和第二映射表20b中均预设有字符串和密码的映射关系，如字符串1对应映射密码1，字符串2对应映射密码2，字符串3对应映射密码3...等。
39.进一步地，第一主控单元101和第二主控单元202可以分别在服务器端10和设备端20进行独立控制，即服务器端10和设备端20分别具备各自主控单元，相比于单一端运算的方式，可以增加破解的难度。
40.可以理解，实际上ota服务平台，即服务器端10通过ota对车载机进行远程升级，在对设备端20下发ota升级包之前需要对其进行身份认证(同理设备端20也需要对设备端20进行验证)，当互相验证对方的身份安全，即常说的在两个设备在通信之前进行握手，确定
具备上传ota资格之后，才可以进行下一步通信交互，如上传ota包等。由此，本发明即旨在提供一种可在通信交互前确保安全握手的远程连接系统，以减少ota的握手信息被破解的风险。
41.为了更清楚的阐述本方案，以位于服务器端10的第一真随机数发生器10a所产生的随机数定义为“服务器端字符串”，设备端20的第二真随机数发生器20a所产生的随机数定义为“设备端字符串”，在服务器端10的第一映射表10b所映射的密码定义为“服务器端密码”，第二映射表20b所映射的密码定义为“设备端密码”，即服务器端10的第一映射表10b为设备端字符串-服务器端密码的映射关系表，设备端20的第二映射表20b为服务器端字符串-设备端密码的映射关系表。
42.第一真随机数发生器10a和第二真随机数发生器20a可以相同或不同。第一映射表10b和第二映射表20b可以相同或不同，但服务器端10和设备端20应当知晓对方的映射表数据，以判断接收的对方的密码是否正确。
43.需要说明的是，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。
44.基于上述定义，在一个总的发明构思中，该基于ota的远程连接系统包括执行以下的控制逻辑：
45.步骤1(发起握手请求阶段)：服务器端10发出通信请求，并产生服务器端字符串，将通信请求和服务器端字符串同时或者按任务顺序发送至服务器端10；
46.在本发明实施例中，对先发起通信请求的一方可以不予限定，在一些实施例中，也可以使设备端20先发起所需更新的通信请求，并产生设备端字符串，将设备端字符串和通信请求发送至服务器端10。
47.步骤2(握手验证阶段)：设备端20接收服务器端字符串和通信请求后，根据服务器端字符串在第二映射表20b中匹配对应的设备端密码，同时产生设备端字符串，将设备端密码和设备端字符串发送至服务器端10，在设备端密码验证通过的情况下，服务器端10会根据设备端字符串查表得服务器端密码，当设备端密码验证未通过的情况下，服务器端10随机产生假的服务器端密码，并生成服务器端字符串，将服务器端密码和服务器端字符串再次发送至设备端20，服务器端10继续和设备端20执行相同的响应，即服务器端10和设备端20进行重复发送至对方进行验证，每次重复中字符串均更新，由此在服务器端10和设备端20进行循环验证。
48.步骤2可以理解为：服务器端10一方产生服务器端字符串、及真或假的服务器端密码，设备端20一方产生设备端字符串、及真或假的设备端密码。其中真的服务器端密码或者设备端密码都是通过预设的第一映射表10b和第二映射表20b查表得到，假的设备端密码和服务器端密码都是在各自一端通过随机生成。
49.可以理解，服务器端10和设备端20均采用真随机数发生器取代软件的伪随机数生成程序，破解方难以用软件破解真随机数，增大系统的安全性。
50.步骤3、在服务器端10连续(或者设备端20)接收到真的设备端密码(或者服务器端密码)达到第一预设次数时，此时握手成功，允许服务器端10和设备端20进行通信交互，反之当服务器端10(或者设备端20)连续接收到假的设备端密码(或者服务器端密码)达到第
二预设次数时，对ota功能进行锁止，服务器端10无法对设备端20进行ota升级。
51.需要说明的是，步骤3中设置为连续收到真的设备端密码或者服务器端密码达到预设次数，避免在不断的试探中被破解。第一预设次数和第二预设次数可以自定义，可以将第二预设次数设计为高于第一预设次数，如第一预设次数为3次，第二预设次数为10次，以增加破解的难度。
52.可以理解，通过以上步骤2～3，可以提高ota下载的安全性，无论是在服务器端10或者设备端20一方验证正确或者错误，均不会提示错误或者立马中止握手流程，而是直到全部握手流程结束；由于验证失败后并不终止服务器端10和设备端20的握手流程，破解者无法知道哪个环节密码出现问题，也无法知悉真密码在哪一步出现，极大提高了破解的难度，从而增加ota的连接安全性。
53.根据以上的总发明构思，以下提供一个具体的系统控制策略：
54.当远程的服务器端10通过ota升级设备端20的系统软件时，该系统100执行以下步骤：
55.s1、服务器端10首先发出通信请求，同时通过位于服务器端10的第一真随机数发生器10a产生服务器端字符串a，将通信请求和设备端字符串a发送给设备端20；
56.s2、设备端20接到通信请求及服务器端字符串a，后，经过第二映射表20b，利用预设的映射关系查表得到服务器端字符串a对应的设备端密码a，此时设备端20的第二真随机数发生器20a产生设备端字符串b，将设备端密码a和设备端字符串b一起返回至设备端20；
57.s3、服务器端10接收设备端密码a和设备端字符串b，并在服务器端10开始验证设备端密码a的正确性，即检验是否是服务器端字符串a所对应的设备端密码a，若验证结果正确，则通过第一映射表10b查表得到设备端字符串b对应真的服务器端密码b；若验证结果错误，随机生成假的服务器端密码b’，然后通过第一真随机数发生器10a产生服务器端字符串c，将b或者b’，连同服务器端字符串c一起发送给设备端20；
58.s4、设备端20接收服务器端密码b或者服务器端密码b’，连同服务器端字符串c后，再次验证密码b或者b’的正确性，若验证结果正确，查表得到服务器端字符串c对应真的设备端密码c；若验证结果错误，随机生成假的设备端密码c’，然后通过第二真随机数发生器20a产生设备端字符串d，将c或者c’，同d一起发送给服务器端10；
59.s5、服务器端10验证密码c或者c’的正确性，若验证结果正确，查表得到设备端字符串d对应真的服务器端密码d；若验证结果错误，随机生成假的服务器端密码d’，然后产生服务器端字符串e，将d或d’同e一起发送给服务器端10；
60.s6、设备端20验证密码d或者d’的正确性，若验证结果正确，查表得到服务器端字符串e对应真的设备端密码e；若验证结果错误，随机生成假的设备端密码e’，然后产生设备端字符串f，将e或e’同f一起发送给服务器端10；
61.s7、服务器端10验证密码e或者e’的正确性，若验证结果正确，查表得到来自设备端20的真随机数f对应的密码f；若验证结果错误，随机生成假的服务器端密码f’，然后产生服务器端真随机数g，将f或f’同g一起发送给设备端20；
62.s8、设备端20再次验证密码f或者f’的正确性；若以上轮次验证全部正确，则允许下一步操作；否则发送验证失败信号，结束握手通信。
63.s9、握手流程完成后验证失败，允许尝试n(n自定义设置，大于2)次，若全部失败，
则禁止ota更新升级，需要专业人员到设备端进行现场解锁之后才能重新实现ota功能。
64.需要说明的是，在s2至s7可以增加或者减少轮次，减少轮次可以增加服务器端10和设备端20握手的响应速度，增加轮次可以提高破解难度，在轮次上作出的改变，均属于本发明实施例所涵盖的保护范围内。
65.同时，该系统中设置握手验证失败的次数有限制，避免破解者反复验证实现暴力破解的可能性。
66.另一方面，在该系统中服务器端10和设备端20独立控制，增加安全性。
67.综上，本发明实施例一提供了基于ota的远程连接系统，通过服务器端10和设备端20的循环验证，根据验证次数来许可通信交互，可实现在设备在通过ota进行升级前的通信握手验证，且在服务器端10和设备端20均采用真随机数发生器来生成真随机数，结合预设的第一映射表和第二映射表，极大提高了破解的难度，增强了设备端20和服务器10端进行网络通信安全的可靠性。
68.【实施例二】
69.本发明实施例二还提供一种基于ota的远程连接方法，即服务器端和设备端进行远程握手的方法，同样设备端可以是电动或者燃油汽车的车载控制器，服务器端可以是云端服务器，旨在解决现有的oat技术容易破解且等技术问题。
70.请参考图2，图2展示了本发明实施例二提供的基于ota的远程连接方法的流程图，该方法应用于服务器端，包括以下步骤：
71.步骤s101、发送通信请求和服务器端字符串至设备端；
72.步骤s102、接收来自于设备端反馈的设备端密码及设备端字符串，并对设备端密码进行验证；
73.步骤s103、据设备端密码的验证结果生成真或者假服务器端密码，连同更新的服务器端字符串发给设备端；
74.步骤s104、重复上述步骤s102至步骤s103至第一预设次数，每次重复中服务器端字符串和设备端字符串均更新；
75.步骤s105、对所有设备端密码的验证结果均为真时，允许对设备端进行ota升级；否则，拒绝对设备端进行ota升级。
76.可以理解，设备端20将通过独立的第二主控单元执行以上步骤s101～s105的指令，其中，步骤s104中可以自定义循环的轮次。
77.第一预设次数和第二预设次数可以自定义，可以将第二预设次数设计为高于第一预设次数，如第一预设次数为3次，第二预设次数为10次，以增加破解的难度。
78.进一步地，步骤s103以及s104中，设备端和服务器端互相验证对方的密码时可以采用验证字符串的形式。
79.请参考图3，图3展示了本发明实施例二提供的基于ota的远程连接方法中步骤s103的流程图；更进一步地，在本发明实施例中优选地方案中，步骤s103中根据验证结果生成真的或者假的服务器端密码包括：
80.步骤s1031、在设备端密码为真的情况下，根据查表法从预设映射表中匹配和服务器端字符串对应真的服务器端密码；
81.步骤s1032、在设备端密码为假的情况下，随机生成假的服务器端密码。
82.其中，服务器端字符串在设备端通过服务器端字符串发生器生成。
83.【实施例三】
84.请参考图4，图4展示了本发明实施例三提供的基于ota的远程连接方法的流程图；一种基于ota的远程连接方法，应用于设备端，包括：
85.步骤s201、接收到服务器端的通信请求和服务器端字符串，并根据服务器端字符串生成设备端密码；
86.步骤s202、发送设备端密码和设备端字符串至服务器端；
87.步骤s203、接收服务器端的服务器端密码和更新后的服务器端字符串，并对服务器端密码进行验证；
88.步骤s204、根据对服务器端密码的验证结果，生成真或假的设备端密码，并重复上述步骤s202至步骤s203至第一预设次数，每次重复中服务器端字符串和设备端字符串均更新；
89.步骤s205、对所有服务器端密码的验证结果均为真时，被允许进行ota升级；否则，拒绝进行ota升级。
90.可以理解，设备端20将通过独立的第一主控单元执行以上步骤s201～s205的指令，其中，步骤s203可以自定义循环的轮次。
91.第一预设次数和第二预设次数可以自定义，可以将第二预设次数设计为高于第一预设次数，如第一预设次数为3次，第二预设次数为10次，以增加破解的难度。
92.进一步地，步骤s202以及s203中，设备端和服务器端互相验证对方的密码时可以采用验证字符串的形式。
93.更进一步地，在步骤s201生成设备端密码包括：
94.接收来自于服务器端发送的设备端字符串；
95.根据查表法从预设映射表中匹配和服务器端字符串对应的服务器端密码。
96.其中，服务器端字符串在设备端通过服务器端字符串发生器生成。
97.在步骤s204中，生成真或假的设备端密码包括：
98.步骤s2041、当服务器端密码的验证结果为真时，根据查表法从预设映射表中匹配和服务器端字符串对应真的服务器端密码；
99.步骤s2042、当服务器端密码的验证结果为假时，生成假的设备器端密码。
100.【实施例四】
101.本发明实施例四还提供一种车载连接设备，包括:
102.第一真随机数发生器，用于生成服务器端字符串；
103.第一主控单元，被配置成：执行根据以上实施例三中应用于设备端的远程连接方法。
104.【实施例五】
105.本发明实施例五还提供一种电动汽车，包括如实施例四种的车载连接设备。
106.进一步，本领域技术人员应当理解，如果将本发明实施例所提供的电池模组、将涉及到的全部或部分子模块通过稠合、简单变化、互相变换等方式进行组合、替换，如各组件摆放移动位置；或者将其所构成的产品一体设置；或者可拆卸设计；凡组合后的组件可以组成具有特定功能的设备/装置/系统，用这样的设备/装置/系统代替本发明相应组件同样落
在本发明的保护范围内。
107.领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
108.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
109.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
110.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
111.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
112.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。存储器是计算机可读介质的示例。
113.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。
114.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
115.尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例
性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。