(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210742633.4 (22)申请日 2022.06.27 (71)申请人 中国第一汽车股份有限公司 地址 130011 吉林省长 春市汽车 经济技术 开发区新红旗大街1号 (72)发明人 黄嘉桐　回姝　丁冠源　郭富琦　 郑彤　张文娟　王兆麟　 (74)专利代理 机构 北京远智汇知识产权代理有 限公司 1 1659 专利代理师 刘欣 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/082(2022.01) H04L 9/32(2006.01) (54)发明名称 一种车载娱乐系统及车辆 (57)摘要 本发明公开了一种车载娱乐系统及车辆。 该 系统包括安全启动模块、 安全运行模块、 安全通 讯模块、 安全访问模块和安全存储模块； 所述安 全启动模块， 用于根据车辆控制器发送的启动指 令启动娱乐应用， 拦截外部设备发送的启动指 令； 所述安全运行模块， 用于在可信执行环境中 运行所述娱乐应用； 所述安全通讯模块， 用于根 据预设安全通讯方式实现所述娱乐应用的通讯 需求； 所述安全访问模块， 用于控制娱乐应用进 程对车辆信息资源的访问权限， 并记录访问日 志； 所述安全存储模块， 用于将所述娱乐应用的 运行数据存储至指定存储单元， 并设置访问权 限。 本发明从多个角度更大限度的确保车载娱乐 系统的链路安全， 为车载用户提供了更高的安全 性和稳定性体验。 权利要求书2页 说明书8页 附图4页 CN 115134146 A 2022.09.30 CN 115134146 A 1.一种车载娱乐系统， 其特征在于， 包括安全启动模块、 安全运行模块、 安全通讯模块、 安全访问模块和安全 存储模块； 所述安全启动模块， 用于根据车辆控制器发送的启动指令启动娱乐应用， 拦截外部设 备发送的启动指令； 所述安全运行模块， 用于在可信执 行环境中运行 所述娱乐应用； 所述安全通讯模块， 用于根据预设安全通讯方式实现所述娱乐应用的通讯需求； 所述安全访 问模块， 用于控制娱乐应用进程对车辆信息资源的访 问权限， 并记录访 问 日志； 所述安全存储模块， 用于将所述娱乐应用的运行数据存储至指定存储单元， 并设置访 问权限。 2.根据权利要求1所述的系统， 其特 征在于， 所述 安全启动模块， 包括： 应用验证单元， 用于接收所述车辆控制器发送的启动指令， 从存储于OTP存储器的 Bootrom启动验证程序， 验证所述娱乐应用的有效性； 应用启动单 元， 用于在所述娱乐应用有效时， 启动所述娱乐应用； 启动拦截单 元， 用于识别并拦截外 部设备发送的启动指令 。 3.根据权利要求1所述的系统， 其特 征在于， 所述 安全运行模块， 包括： 密钥部署单元， 用于将所述娱乐应用的应用 密钥部署在可信执行环境中， 并在可信执 行环境中对所述应用秘钥进行加密和解密； DAC安全运行单元， 用于为所述娱乐应用分配应用标识并创建对应的数据空间， 控制所 述娱乐应用在独立进程中运行； MAC访问控制单 元， 用于对所述娱乐应用的资源访问进行MAC验证。 4.根据权利要求1所述的系统， 其特 征在于， 所述 安全通讯模块， 包括： WIFI通讯单元， 用于在W IFI加密模式下与外 部终端设备通讯； 蓝牙通讯单 元， 用于在蓝牙加密模式下与外 部终端设备通讯； 以太网通讯单 元， 用于在防火墙模式下与外 部终端设备通讯； CAN通讯单元， 用于在CAN 通讯协议下与所述车辆控制器通讯。 5.根据权利要求1所述的系统， 其特 征在于， 所述 安全访问模块， 包括： 权限控制单元， 用于在所述娱乐应用进程对所述车辆信息资源的进行访 问时， 控制所 述娱乐应用进程遵循最小权限原则； 权限限制单元， 用于识别并删除所述娱乐应用的提权指令； 安全审计单元， 用于在所述娱乐应用进程对所述车辆信 息资源的进行访问时记录访问 日志， 并进行安全审计。 6.根据权利要求1所述的系统， 其特 征在于， 所述 安全存储模块， 包括： 密钥存储单元， 用于将所述娱乐应用的应用密钥和证书 进行安全 存储； 日志存储单元， 用于将所述娱乐应用的访 问日志进行数据脱敏， 并存储在指定存储单 元， 设置访问权限。 7.根据权利要求1所述的系统， 其特 征在于， 所述系统还 包括： 安全升级模块， 用于在安全升级验证通过时对所述娱乐应用进行应用升级。 8.根据权利要求7 所述的系统， 其特 征在于， 所述 安全升级模块， 包括：权　利　要　求　书 1/2 页 2 CN 115134146 A 2升级条件检测单元， 用于检测所述娱乐应用的升级状态， 当所述升级状态满足安全升 级条件时， 将升级检测状态标记为 通过； 双向认证单 元， 基于PKI进行升级双向认证； 升级包签名单 元， 用于在所述娱乐应用的升级 文件打包时进行签名； 过程验签单 元， 用于在所述娱乐应用的升级安装前对升级包进行验签； 容错回滚单 元， 用于对所述娱乐应用的升级 进行版本回滚。 9.根据权利要求1所述的系统， 其特 征在于， 所述系统还 包括： 安全测试模块， 用于接收测试指令， 基于测试指令测试所述车载娱乐系统， 返回测试结 果。 10.一种车辆， 其特 征在于， 所述车辆包括： 集成于无 可识别印制电路板上的信息娱乐控制器； 车辆控制器； 与所述车辆控制器和所述信息娱乐控制器通信连接的存 储器； 其中， 所述存储器存储有可被所述信息娱乐控制器执行的计算机程序， 所述计算机程 序被所述信息娱乐控制器执行， 以使所述信息娱乐控制器能够实现权利要求1 ‑9中任一项 所述的车 载娱乐系统的功能。权　利　要　求　书 2/2 页 3 CN 115134146 A 3