專(zhuān)利名稱(chēng)：將軟件再次加載到可編程可讀存儲(chǔ)器的自引導(dǎo)區(qū)中的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種將更新軟件再次加載到汽車(chē)中的可編程控制設(shè)備的自引導(dǎo)區(qū)中的一個(gè)可寫(xiě)入存儲(chǔ)區(qū)中的方法。
DE 10000 8974 A1公開(kāi)了一種將軟件再次加載到汽車(chē)中的一個(gè)可編程控制設(shè)備中的一個(gè)可寫(xiě)入存儲(chǔ)區(qū)中的方法，其中輸入的軟件在其傳輸?shù)娇刂圃O(shè)備之前借助于一種公鑰方法，使用一個(gè)互補(bǔ)的密鑰對(duì)中的第一密鑰做防偽標(biāo)記，并且在其傳輸?shù)娇刂圃O(shè)備之后加有標(biāo)記的輸入軟件通過(guò)利用此密鑰對(duì)中的第二密鑰來(lái)檢查其是否未被偽造。
這種加標(biāo)記方法用于避免不受控制的軟件被加載到控制裝置中。然而此方法的前提是在控制設(shè)備中存在一個(gè)安全機(jī)制，它完成對(duì)加有標(biāo)記的輸入軟件的上述檢查。為了提供有效的安全性，這種安全機(jī)制自身能夠抵御未經(jīng)許可的侵入。
為此，所述安全機(jī)制通常嵌入在控制設(shè)備的自引導(dǎo)區(qū)中，并且自引導(dǎo)區(qū)通常受到保護(hù)，使其不會(huì)被事后加載的軟件改變。
通常這是如此實(shí)現(xiàn)的自引導(dǎo)區(qū)被設(shè)置在控制設(shè)備的一個(gè)不可寫(xiě)入的存儲(chǔ)區(qū)(ROM)中。存儲(chǔ)內(nèi)容事后不能再改變，并從而抵御未經(jīng)許可的侵入。
上述方法的缺點(diǎn)是自引導(dǎo)區(qū)對(duì)于經(jīng)過(guò)許可的訪(fǎng)問(wèn)也不予理睬。從而在這種控制設(shè)備中既不能取得編程指令，也不能更新安全機(jī)構(gòu)，或者甚至不能更換已被公開(kāi)的密鑰。此外也不可能在由不受控的物理作用或老化引起的改變之后重新形成自引導(dǎo)區(qū)，即所謂的“比特躍遷”。因?yàn)闉榱藢④浖虞d到這種控制設(shè)備的自引導(dǎo)區(qū)中，這種已知的方法是不能適用的。
為了克服此缺點(diǎn)，自引導(dǎo)區(qū)可被設(shè)置在一個(gè)可改變的非易失性存儲(chǔ)器件中，例如閃存中。然而此裝置區(qū)必須以其它方法抵御未經(jīng)許可的侵入。
但為此而已知的保護(hù)機(jī)制是不令人滿(mǎn)意的。例如US 0059 37063A所公開(kāi)的一種方法中，一個(gè)啟動(dòng)固件，例如BIOS，通過(guò)將其置入到一個(gè)安全的啟動(dòng)裝置中來(lái)抵御非經(jīng)授權(quán)的訪(fǎng)問(wèn)。在啟動(dòng)時(shí)它與一個(gè)主處理器協(xié)同工作，其中啟動(dòng)指令通過(guò)使用一個(gè)保密的密鑰進(jìn)行加密和解密，這個(gè)密鑰由安全的啟動(dòng)裝置和主處理器共同使用。這種非常復(fù)雜的方法對(duì)于汽車(chē)中的控制設(shè)備來(lái)說(shuō)太費(fèi)時(shí)，且費(fèi)用昂貴，總體上并不適用。此外這種方法仍然不能更新控制設(shè)備一方的安全機(jī)制，即所謂的保密密鑰。
US 005 825 878A公開(kāi)了另外一種方法，其中至一個(gè)控制設(shè)備的指令和數(shù)據(jù)傳輸以加密的形式進(jìn)行，并且為此將所用的安全機(jī)制在控制設(shè)備一方至少部分地置入到一個(gè)物理上安全的單元中。這里同樣仍然不能更新控制設(shè)備一方的安全機(jī)制，即保密的密鑰。
本發(fā)明的目的在于提供一種將更新軟件再次加載到汽車(chē)的可編程控制設(shè)備的一個(gè)自引導(dǎo)區(qū)的可寫(xiě)存儲(chǔ)區(qū)中的方法，這種方法克服了上述缺點(diǎn)，尤其是它還能夠以安全的方式更新自引導(dǎo)區(qū)中控制設(shè)備一方的安全機(jī)制。
上述任務(wù)按照權(quán)利要求1由下述方法完成，此方法包括以下步驟提供一個(gè)可加載到可編程控制設(shè)備的一個(gè)位于自引導(dǎo)區(qū)外部的可寫(xiě)存儲(chǔ)區(qū)中的加載軟件，它能夠控制控制設(shè)備中更新軟件到自引導(dǎo)區(qū)可寫(xiě)存儲(chǔ)區(qū)的安裝；將加載軟件和更新軟件加載到位于自引導(dǎo)區(qū)外部的可寫(xiě)存儲(chǔ)區(qū)；在控制設(shè)備中執(zhí)行加載軟件，將更新軟件安裝到自引導(dǎo)區(qū)的可寫(xiě)存儲(chǔ)區(qū)中。
本發(fā)明的基本思路是通過(guò)已知的機(jī)制如此形成自引導(dǎo)區(qū)不能直接地、而只能借助于專(zhuān)門(mén)為此而提供的加載軟件對(duì)自引導(dǎo)區(qū)進(jìn)行訪(fǎng)問(wèn)。加載軟件—通過(guò)它控制更新軟件到自引導(dǎo)區(qū)的安裝—的執(zhí)行可以遵循適當(dāng)?shù)陌踩珮?biāo)準(zhǔn)來(lái)進(jìn)行，這些安全標(biāo)準(zhǔn)是本發(fā)明從屬權(quán)利要求的主題。
例如可以使加載軟件的執(zhí)行只在注意到已經(jīng)在控制設(shè)備中存在用于再次加載的安全機(jī)制時(shí)才能應(yīng)用到控制設(shè)備中。另一方面也可以用加載軟件將新的安全機(jī)制置入到控制設(shè)備中，這些新的安全機(jī)制更新或補(bǔ)充存在于控制設(shè)備中的安全機(jī)制。從而使更新軟件的再次加載可通過(guò)新引入的安全機(jī)制而保證安全。
原則上加載軟件和更新軟件可以相互分開(kāi)地裝入到控制設(shè)備中；然而有利的是使更新軟件包含在加載軟件中，因?yàn)檫@增加了加載過(guò)程之前的復(fù)雜性而不會(huì)使原來(lái)的加載過(guò)程變得困難，從而提高了整個(gè)過(guò)程的安全程度，而不會(huì)降低對(duì)使用者的方便性。
本發(fā)明所述方法的一個(gè)特別有效的變型具有以下特征至少在加載軟件和/或更新軟件的一部分上應(yīng)用加標(biāo)記方法，其中軟件在傳輸?shù)娇刂圃O(shè)備之前借助于第一標(biāo)記密鑰而被加標(biāo)記，并且在傳輸?shù)娇刂圃O(shè)備之后借助于存儲(chǔ)在控制設(shè)備中的第二標(biāo)記密鑰來(lái)檢查其是否未被偽造。從而可以保證只有在被第一標(biāo)記密鑰的擁有者批準(zhǔn)并加有標(biāo)記后不再改變的加載軟件能夠在控制設(shè)備中執(zhí)行。在標(biāo)記檢查失敗時(shí)加載軟件的具體執(zhí)行例如被抑制；作為替代，將加載軟件加載到控制設(shè)備中也可以取決于是否成功完成了標(biāo)記檢查才進(jìn)行。具有優(yōu)點(diǎn)的是，第二標(biāo)記密鑰被存儲(chǔ)在自引導(dǎo)區(qū)的可寫(xiě)存儲(chǔ)區(qū)中。從而可以進(jìn)行一個(gè)可靠的、控制設(shè)備內(nèi)部的檢查。在標(biāo)記檢查成功之后，此標(biāo)記密鑰本身也可以是自引導(dǎo)區(qū)更新的對(duì)象。
為了加標(biāo)記和進(jìn)行標(biāo)記檢查，可采用一種非對(duì)稱(chēng)的加標(biāo)記方法，其中第一和第二標(biāo)記密鑰構(gòu)成一個(gè)互補(bǔ)的密鑰對(duì)。這種非對(duì)稱(chēng)方法例如是所謂的公鑰方法。在本發(fā)明的一個(gè)替代變型中，應(yīng)用對(duì)稱(chēng)的加標(biāo)記方法，其中第一和第二標(biāo)記密鑰是相同的。
作為對(duì)上述加標(biāo)記方法的補(bǔ)充或替代，在本發(fā)明所述方法的一個(gè)特別具有優(yōu)點(diǎn)的方案中，加載軟件和/或更新軟件的至少一部分在傳輸?shù)娇刂圃O(shè)備之前借助于一個(gè)加密密鑰被加密，并且在傳輸?shù)娇刂圃O(shè)備由一個(gè)解密軟件借助于存放在控制設(shè)備中的解密密鑰來(lái)解密。特別有利的是，原來(lái)放入自引導(dǎo)區(qū)的信息，即更新軟件或其主要部分屬于所述被解密的軟件部分。這樣可以保證未經(jīng)許可的人不能得到關(guān)于新數(shù)據(jù)的情況，這在例如一個(gè)存儲(chǔ)在自引導(dǎo)區(qū)的密鑰需要被更換或更新時(shí)是特別重要的。
與上面所說(shuō)明的加標(biāo)記方法可相比，具有優(yōu)點(diǎn)的是解密密鑰被存儲(chǔ)在自引導(dǎo)區(qū)的可寫(xiě)的存儲(chǔ)區(qū)內(nèi)。從而可以實(shí)現(xiàn)一個(gè)可靠的、控制設(shè)備內(nèi)部的檢查。在解密成功之后解密密鑰自身也可以是自引導(dǎo)區(qū)更新的對(duì)象。
同樣與上面所說(shuō)明的加標(biāo)記方法相比，可以采用一種非對(duì)稱(chēng)的加密方法，其中加密密鑰和解密密鑰構(gòu)成一個(gè)互補(bǔ)的密鑰對(duì)。作為替代，也可以采用對(duì)稱(chēng)的密鑰方法，其中加密密鑰和解密密鑰是相同的。
具有優(yōu)點(diǎn)的是，解密密鑰被包含在加載軟件中，并且與加載軟件一起、必要時(shí)與更新軟件一起被加載到控制設(shè)備中。其優(yōu)點(diǎn)在于，總系統(tǒng)的復(fù)雜度提高，而不需降低對(duì)使用者的方便性或者提高設(shè)備復(fù)雜性。
在加載軟件和/或更新軟件的至少一部分被加標(biāo)記和加密的系統(tǒng)中，在最簡(jiǎn)單的情況下，同一個(gè)密鑰被用于加標(biāo)記和加密，或者用于標(biāo)記檢查和解密，即在對(duì)稱(chēng)情況下只用一個(gè)密鑰，而在非對(duì)稱(chēng)情況下只用一個(gè)互補(bǔ)的密鑰對(duì)。然而也可以采用不同的由相同或互補(bǔ)的密鑰構(gòu)成的密鑰對(duì)來(lái)用于加標(biāo)記方法及加密和解密。
通過(guò)本發(fā)明所述方法可以以安全的方式更新自引導(dǎo)區(qū)中的數(shù)據(jù)，這些數(shù)據(jù)可以包括例如存儲(chǔ)在那里的、用于專(zhuān)門(mén)安全機(jī)制的密鑰。由于自引導(dǎo)區(qū)中的“比特躍遷”而被損傷的控制設(shè)備可以通過(guò)重新加載丟失的先前的存儲(chǔ)內(nèi)容而得以恢復(fù)。
下面借助


本發(fā)明的其它優(yōu)點(diǎn)。附圖中圖1一個(gè)可編程控制設(shè)備的示意圖，其中示出所述設(shè)備的存儲(chǔ)器內(nèi)容a)在實(shí)施本發(fā)明的方法之前，b)在實(shí)施本發(fā)明的方法之后，圖2本發(fā)明所述方法的一個(gè)實(shí)施例的方法步驟示意圖，圖3在圖2所示方法步驟之后的方法步驟示意圖。
作為示例，下面說(shuō)明自引導(dǎo)區(qū)中密鑰的更換。這里所示密鑰是不僅用于加標(biāo)記/標(biāo)記檢查，而且也用于加密/解密的數(shù)字密鑰。在所選的實(shí)施例中，新密鑰不是以明碼方式，而是只通過(guò)加密方式傳輸?shù)娇刂圃O(shè)備中，并且加載軟件還借助于一種加標(biāo)記方法防止被篡改。在所示實(shí)施例中，在兩種情況下都采用對(duì)稱(chēng)方法。尤其是在所示實(shí)施例中對(duì)加標(biāo)記/標(biāo)記檢查和加密/解密采用同一個(gè)對(duì)稱(chēng)密鑰。
圖1是一個(gè)可編程控制設(shè)備1的示意圖，其中按照實(shí)施例示出存儲(chǔ)器內(nèi)容。圖1a示出執(zhí)行本發(fā)明所述方法之前的狀態(tài)控制設(shè)備包括一個(gè)可寫(xiě)存儲(chǔ)區(qū)10和一個(gè)可寫(xiě)自引導(dǎo)區(qū)20?？刂瞥绦?1存儲(chǔ)在存儲(chǔ)區(qū)10中，此程序在汽車(chē)運(yùn)行時(shí)控制控制設(shè)備的基本功能。在自引導(dǎo)區(qū)20中存有一個(gè)密鑰21。這個(gè)密鑰需要由一個(gè)密鑰22替代，其中在完成本發(fā)明所述方法之后(圖1b)，存儲(chǔ)區(qū)10重又包含控制程序11。
圖2是用于安全地載入新密鑰22的方法步驟示意圖。
在第一個(gè)主步驟100中，一個(gè)加有標(biāo)記的加載軟件123通過(guò)將各個(gè)組件組合到一起、接著添加標(biāo)記來(lái)產(chǎn)生。為此在第一分步驟110中，密鑰22(即更新軟件的主要成份)被加密。這里所使用的密鑰如此選擇，使得在控制設(shè)備1中存在一個(gè)適合于解密的密鑰21。在所示實(shí)施例中，為此同樣采用了密鑰21，并從而產(chǎn)生經(jīng)過(guò)加密的更新軟件111。作為替代，也可用另外的密鑰來(lái)代替密鑰21進(jìn)行非對(duì)稱(chēng)的加密，在控制設(shè)備中的密鑰與這個(gè)所使用的密鑰是互補(bǔ)的。更新軟件的加密用于使加載過(guò)程能夠防止未經(jīng)許可的讀取訪(fǎng)問(wèn)，并有效地防御未經(jīng)許可的寫(xiě)入訪(fǎng)問(wèn)。然而加密并不是本發(fā)明的必要技術(shù)特性。
在接著的分步驟120中，為了防止篡改而對(duì)經(jīng)過(guò)加密的更新軟件111添加標(biāo)記。這在所示實(shí)施例中與應(yīng)用程序121一起進(jìn)行。此應(yīng)用程序121包含一個(gè)適合于對(duì)更新軟件111進(jìn)行解密的解密軟件122，使得控制設(shè)備中的解密成為可能。如果在控制設(shè)備中已存在一個(gè)解密軟件，則它可以被使用并且不需要再次加載此解密軟件。
用于標(biāo)記計(jì)算的密鑰如此選擇，使得在控制設(shè)備中存在一個(gè)適用于進(jìn)行標(biāo)記檢查的密鑰。在所示選用對(duì)稱(chēng)方法的實(shí)施例中，采用同一個(gè)密鑰21進(jìn)行標(biāo)記計(jì)算和標(biāo)記檢查。只有當(dāng)所用的密鑰成功地保密時(shí)，對(duì)稱(chēng)方法的安全性才能保證。也可以采用非對(duì)稱(chēng)方法，例如公鑰方法來(lái)代替對(duì)稱(chēng)方法。在非對(duì)稱(chēng)方法中，用于標(biāo)記計(jì)算的密鑰也如此選擇，使得在控制設(shè)備中存在一個(gè)適用于進(jìn)行標(biāo)記檢查的密鑰。例如如果需要將密鑰21用于非對(duì)稱(chēng)方法的標(biāo)記檢查，則步驟120中的標(biāo)記計(jì)算用一個(gè)與密鑰21互補(bǔ)的密鑰來(lái)進(jìn)行。
在第二個(gè)主步驟200中，為控制設(shè)備載入加載軟件123。為此加載軟件首先被存儲(chǔ)在存儲(chǔ)區(qū)10中，在所示例子中它進(jìn)入控制程序11的位置。覆蓋先前已存在的數(shù)據(jù)并不是執(zhí)行本發(fā)明所述方法必需的，然而在實(shí)際中常出現(xiàn)以下要求通常由于成本的原因，可編程控制設(shè)備可供使用的存儲(chǔ)器大小只設(shè)計(jì)成存儲(chǔ)進(jìn)行操作所必需的應(yīng)用程序，而沒(méi)有考慮加載軟件123的存儲(chǔ)。為了能夠存儲(chǔ)用于實(shí)現(xiàn)本發(fā)明所述方法的加載軟件，在實(shí)際情況下基于有限的可用存儲(chǔ)空間，往往覆蓋掉已存在的數(shù)據(jù)。
接著在步驟220進(jìn)行標(biāo)記檢查，在所示實(shí)施例中這通過(guò)使用密鑰21來(lái)實(shí)現(xiàn)。關(guān)于其可能的替代方式已在對(duì)步驟120的說(shuō)明中指出。
如果在標(biāo)記檢查時(shí)沒(méi)有得到所要求的檢驗(yàn)結(jié)果，即判定為出現(xiàn)了一個(gè)不希望的數(shù)據(jù)改變，則引起一個(gè)可事先設(shè)定的后果。例如控制設(shè)備拒絕這個(gè)再次加載的軟件，使得它不能在控制設(shè)備中操作。特別是在自引導(dǎo)區(qū)中也不作任何改變，并從而使控制設(shè)備抵御了未經(jīng)許可的訪(fǎng)問(wèn)。作為替代，也可以只觸發(fā)一個(gè)用戶(hù)報(bào)警。相反，如果標(biāo)記檢查結(jié)論是肯定的，則在控制設(shè)備的存儲(chǔ)區(qū)10中以可執(zhí)行方式存放經(jīng)過(guò)加密的更新軟件111以及加載軟件121。
用于第二個(gè)主步驟200的安全措施也可以用另一個(gè)安全機(jī)制來(lái)代替標(biāo)記檢查，例如基于證書(shū)的方法或加密方法。在最簡(jiǎn)單的情況下也可完全省去安全措施。在這種情況下不能保護(hù)被再次加載的軟件不受到非授權(quán)的攻擊。
在另一種實(shí)施方式中，加載軟件和更新軟件到控制設(shè)備的傳輸可以包括分開(kāi)的步驟。在下述情況下這是特別有意義的在首先執(zhí)行的安裝步驟中將一個(gè)安全機(jī)制置入到控制設(shè)備中，并且激活它，這個(gè)安全機(jī)制用于以后執(zhí)行的步驟的安全。
在下一個(gè)主步驟300中，通過(guò)執(zhí)行加載軟件121，122將新密鑰22存儲(chǔ)到密鑰21的位置上。
為此首先在分步驟310中通過(guò)執(zhí)行包含在加載軟件121中的解密軟件122，將先前僅以加密的形式111傳輸?shù)男旅荑€恢復(fù)成明碼形式22，并在后面的分步驟320中將它存儲(chǔ)到自引導(dǎo)區(qū)20中原來(lái)的密鑰21的位置上。
這樣，所示實(shí)施例的主要目的—即更換自引導(dǎo)區(qū)中的密鑰—已經(jīng)實(shí)現(xiàn)。下面的方法步驟涉及在控制設(shè)備存儲(chǔ)區(qū)10中重新生成控制程序11。
為此在主步驟400中預(yù)先準(zhǔn)備包含有控制程序11的需要再次被加載的軟件。在本實(shí)施例中，步驟400主要是對(duì)控制程序11加標(biāo)記。這里應(yīng)考慮在前面各方法步驟中已完成的自引導(dǎo)區(qū)中安全機(jī)制的改變。如果作為對(duì)密鑰21，22的更換的補(bǔ)充或替代完成了安全機(jī)制的改變，例如密鑰長(zhǎng)度的改變或者用一個(gè)非對(duì)稱(chēng)加標(biāo)記方法或基于證書(shū)的方法來(lái)代替對(duì)稱(chēng)加標(biāo)記方法，則需要再次被加載的軟件將遵從這種新的安全機(jī)制。
在所示實(shí)施例中包含了一種對(duì)稱(chēng)方法，并且密鑰22被用于步驟400中的加密計(jì)算。像前述的一樣，也可以采用其它存在于控制設(shè)備中的密鑰。
在下一個(gè)主步驟500中，為控制設(shè)備載入控制軟件11，并且考慮到已經(jīng)進(jìn)行的控制設(shè)備自引導(dǎo)區(qū)中安全機(jī)制的更新。在本例中控制軟件被加標(biāo)記地傳輸，并在步驟510中被存儲(chǔ)到存儲(chǔ)區(qū)10中，并且存放在加載軟件121的位置上。在后面的步驟520中對(duì)輸入的軟件進(jìn)行驗(yàn)證，在所示例子中即是進(jìn)行標(biāo)記檢查，檢查時(shí)應(yīng)用密鑰22?？赡艿奶娲绞揭言趯?duì)步驟400的說(shuō)明中指出。
如果標(biāo)記檢查結(jié)論是肯定的，則控制軟件11以可執(zhí)行方式存放在控制設(shè)備的存儲(chǔ)區(qū)10中，即實(shí)現(xiàn)了圖16所示的目標(biāo)狀態(tài)。如果標(biāo)記檢查沒(méi)有成功，則控制設(shè)備給出一個(gè)指示，指出沒(méi)有實(shí)現(xiàn)圖1b所示目標(biāo)狀態(tài)，即自引導(dǎo)區(qū)的更新不成功，或者在重新加載控制軟件11時(shí)發(fā)生了不希望的數(shù)據(jù)改變。
權(quán)利要求
1.用于將更新軟件(22)再次加載到汽車(chē)的一個(gè)可編程控制設(shè)備(1)的自引導(dǎo)區(qū)的可寫(xiě)存儲(chǔ)區(qū)(20)中的方法，包括以下步驟·提供一個(gè)可加載到位于自引導(dǎo)區(qū)外部的可編程控制設(shè)備(1)的可寫(xiě)存儲(chǔ)區(qū)(10)中的加載軟件(121，122，123)，此軟件能夠在控制設(shè)備(1)中控制更新軟件(22)到自引導(dǎo)區(qū)的可寫(xiě)存儲(chǔ)區(qū)(20)中的安裝，·將加載軟件(121，122，123)和更新軟件(22)加載到位于自引導(dǎo)區(qū)外部的可寫(xiě)存儲(chǔ)區(qū)(10)中，·在控制設(shè)備中執(zhí)行加載軟件(121，122，123)，從而將更新軟件(22)安裝到自引導(dǎo)區(qū)的可寫(xiě)存儲(chǔ)區(qū)(20)中。
2.如權(quán)利要求1所述的方法，其特征在于，所述更新軟件(22)包含在加載軟件(123)中。
3.如上述權(quán)利要求任一項(xiàng)所述的方法，其特征在于，至少對(duì)加載軟件(121，122，123)和/或更新軟件(22)的一部分應(yīng)用加標(biāo)記方法，其中軟件(121，122，123；22)在傳輸?shù)娇刂圃O(shè)備(1)之前借助于第一標(biāo)記密鑰(21)被加標(biāo)記，并且在傳輸?shù)娇刂圃O(shè)備(1)之后借助于存儲(chǔ)在控制設(shè)備(1)中的第二標(biāo)記密鑰(21)檢查軟件是否未被偽造。
4.如權(quán)利要求3所述的方法，其特征在于，所述第二標(biāo)記密鑰(21)被存儲(chǔ)在自引導(dǎo)區(qū)的可寫(xiě)存儲(chǔ)區(qū)中。
5.如權(quán)利要求3或4所述的方法，其特征在于，采用一種非對(duì)稱(chēng)的加標(biāo)記方法，其中第一和第二標(biāo)記密鑰構(gòu)成一個(gè)互補(bǔ)的密鑰對(duì)。
6.如權(quán)利要求3或4所述的方法，其特征在于，采用一種對(duì)稱(chēng)的加標(biāo)記方法，其中第一和第二標(biāo)記密鑰(21)是相同的。
7.如上述權(quán)利要求中任一項(xiàng)所述的方法，其特征在于，加載軟件(121，122，123)和/或更新軟件(22)的至少一部分在傳輸?shù)娇刂圃O(shè)備之前借助于一個(gè)加密密鑰被加密，并在傳輸?shù)娇刂圃O(shè)備之后由一個(gè)解密軟件(122)借助于存儲(chǔ)在控制設(shè)備中的解密密鑰被解密。
8.如權(quán)利要求7所述的方法，其特征在于，所述解密密鑰(21)被存儲(chǔ)在自引導(dǎo)區(qū)的可寫(xiě)存儲(chǔ)區(qū)(20)中。
9.如權(quán)利要求7或8所述的方法，其特征在于，采用一種非對(duì)稱(chēng)的加密方法，其中加密密鑰和解密密鑰構(gòu)成一個(gè)互補(bǔ)的密鑰對(duì)。
10.如權(quán)利要求7或8所述的方法，其特征在于，采用一種對(duì)稱(chēng)的加密方法，其中加密密鑰(21)和解密密鑰(21)是相同的。
11.如權(quán)利要求7至10中任一項(xiàng)所述的方法，其特征在于，解密軟件(122)被包含在加載軟件(123)中。
12.如權(quán)利要求7至11中任一項(xiàng)所述的方法，并且回引權(quán)利要求3至6中的任一項(xiàng)，其特征在于，第一標(biāo)記密鑰和加密密鑰是相同的，并且第二標(biāo)記密鑰和解密密鑰是相同的。
13.如權(quán)利要求7至11中任一項(xiàng)所述的方法，并且回引權(quán)利要求3至6中的任一項(xiàng)，其特征在于，對(duì)加標(biāo)記方法及對(duì)加密和解密采用不同的、由相同密鑰或互補(bǔ)密鑰構(gòu)成的密鑰對(duì)。
14.應(yīng)用如上述權(quán)利要求中任一項(xiàng)所述的方法，用一個(gè)新的密鑰(22)來(lái)更換存儲(chǔ)在控制設(shè)備(1)的自引導(dǎo)區(qū)(20)中的密鑰(21)。
15.應(yīng)用如上述權(quán)利要求中任一項(xiàng)所述的方法，在不受控的物理改變(“比特躍遷”)之后重新形成控制設(shè)備自引導(dǎo)區(qū)(20)的存儲(chǔ)內(nèi)容，或者后續(xù)追加引入、擴(kuò)展或更新基于軟件的安全機(jī)制。
全文摘要
本發(fā)明涉及一種用于將更新軟件(22)再次加載到汽車(chē)的一個(gè)可編程控制設(shè)備(1)的一個(gè)自引導(dǎo)區(qū)的可寫(xiě)存儲(chǔ)區(qū)(20)中的方法，包括以下步驟提供一個(gè)可加載到位于自引導(dǎo)區(qū)外部的可編程控制設(shè)備(1)的可存儲(chǔ)區(qū)內(nèi)的加載軟件(121，122，123)，此軟件能夠在控制設(shè)備(1)中控制更新軟件(22)到自引導(dǎo)區(qū)的可寫(xiě)存儲(chǔ)區(qū)(20)中的安裝；將加載軟件(121，122，123)和更新軟件(22)加載到位于自引導(dǎo)區(qū)外部的可寫(xiě)存儲(chǔ)區(qū)(10)中；在控制設(shè)備中執(zhí)行加載軟件(121，122，123)，從而將更新軟件(22)安裝到裝截區(qū)的可寫(xiě)存儲(chǔ)區(qū)(20)中。
文檔編號(hào)G06F9/445GK1809814SQ200480017664
公開(kāi)日2006年7月26日 申請(qǐng)日期2004年4月29日 優(yōu)先權(quán)日2003年6月24日
發(fā)明者布克哈德·庫(kù)爾斯, 托馬斯·卡爾費(fèi)坎普 申請(qǐng)人:寶馬股份公司