用于對機動車的控制設(shè)備進行編程的方法
【專利摘要】本發(fā)明涉及用于對機動車的控制設(shè)備進行編程的方法。本發(fā)明涉及一種用于對機動車(100)的控制設(shè)備(110)進行編程的方法���,其中在控制設(shè)備(110)中所實施的以往的程序代碼被寄存在存儲區(qū)域(122)中�,新的程序代碼被寫入控制設(shè)備(110)并且所述新的程序代碼的檢查被執(zhí)行����,其中,如果新的程序代碼在檢查的進程中成功地被驗證�����,那么所述新的程序代碼由控制設(shè)備(110)實施�����,并且其中��,如果新的程序代碼在檢查的進程中沒有成功地被驗證�,那么被寄存在存儲區(qū)域(122)中的以往的程序代碼從存儲區(qū)域(122)被寫入控制設(shè)備(110),而且其中所述以往的程序代碼由控制設(shè)備(110)實施�。
【專利說明】
用于對機動車的控制設(shè)備進行編程的方法
技術(shù)領(lǐng)域
[0001 ]本發(fā)明涉及一種用于對控制設(shè)備進行編程的方法。
【背景技術(shù)】
[0002]對機動車的控制設(shè)備的編程可以大多在機動車的生產(chǎn)或制造過程期間(例如在帶端(Bandende)上)或者也在維護或者修理工作的進程中在車間里被執(zhí)行。在這樣的編程的進程中�,例如可以執(zhí)行固件更新(Firmware-Update ),其中例如新的�����、修訂過的程序代碼被寫入控制設(shè)備�。為了該目的����,計算單元可以與控制設(shè)備相連,并且新的程序代碼可以被傳送給控制設(shè)備���。在此��,以往的(bisherig)在控制設(shè)備中被寄存并且被實施的程序代碼通過新的程序代碼被清除或被重寫��。
[0003]在所謂的固件空中下載編程(Firmware-Over-the-Air-Programmierung���,F(xiàn)OTA)或者空中下載編程(Over-the-Air-Programmierung,0ΤΑ)的進程中�����,控制設(shè)備的編程也可以在現(xiàn)場自身被執(zhí)行。為了該目的�����,可以通過諸如WLAN或者移動無線電網(wǎng)絡(luò)那樣的無線電連接將新的程序代碼例如從車輛制造商的服務(wù)器無線地傳輸給車輛�����。
[0004]為了防止芯片調(diào)諧(Chi P tun ing )和防止例如來自未被授權(quán)的站點的有害的軟件��,十分重要的是使被引入到控制設(shè)備中的新的程序代碼經(jīng)受簽名校驗(Signatur-Pruefung)并且驗證新的程序代碼���。如果該簽名校驗失敗并且新的程序代碼不能成功地被驗證����,那么所述新的程序代碼被標記為無效的并且被阻止實施��。在此���,危險在于���,控制設(shè)備停留在引導(dǎo)裝載程序(Bootloader)中并且不再能實現(xiàn)正常運行。在這種情況下����,為了再次將控制設(shè)備置于正常運行����,必須再次將有效的程序代碼傳輸?shù)娇刂圃O(shè)備中����。
[0005]在生產(chǎn)或制造過程期間或者在車間里,在這樣的情況下再次將有效的程序代碼傳輸?shù)娇刂圃O(shè)備中大多沒有問題����,因為這里確保了訪問經(jīng)驗證的�、有效的程序代碼并且這些經(jīng)驗證的、有效的程序代碼例如被寄存在中央數(shù)據(jù)庫中和/或在存儲介質(zhì)中�����。
[0006]在給控制設(shè)備在現(xiàn)場進行編程(F0TA����、0TA)的情況下,這樣地訪問經(jīng)驗證的�、有效的程序代碼不再被確保。如果例如在車輛與車輛制造商的服務(wù)器之間的無線電連接中止����,比方說如果車輛位于封閉的地下停車場中���、在隧道中或者在靜區(qū)(Funkloch)中,那么必要時不再毫無顧忌地可能將有效的程序代碼傳輸?shù)娇刂圃O(shè)備中并且使控制設(shè)備再次能運轉(zhuǎn)���。
[0007]因此����,在通過無線電連接對控制設(shè)備在現(xiàn)場進行編程的情況下�����,危險在于:相對應(yīng)的控制設(shè)備不再能確保正常運行���,并且也不再能將有效的程序代碼傳輸?shù)娇刂圃O(shè)備中�,而無需車輛被運輸?shù)杰囬g中���。
[0008]因而值得期望的是����,提供一種用于對機動車的控制設(shè)備進行編程的被改進的可能性�����,借助于其使得尤其是在現(xiàn)場中對控制設(shè)備進行可靠編程成為可能。
【發(fā)明內(nèi)容】
[0009]按照本發(fā)明���,建議了一種具有專利權(quán)利要求1的特征的用于對機動車的控制設(shè)備進行編程的方法����。有利的構(gòu)建方案是從屬權(quán)利要求以及隨后的描述的主題��。
[0010]在本方法的進程中�����,尤其是應(yīng)該執(zhí)行控制設(shè)備的固件更新�,在控制設(shè)備中所實施的以往的程序代碼應(yīng)該在本方法的進程中尤其是通過新的程序代碼替換�����。
[0011]在控制設(shè)備中所實施的以往的程序代碼被寄存在存儲區(qū)域中����,尤其是在控制設(shè)備內(nèi)部或者在其他方面位于車輛中的分開的存儲器中。在此��,以往的程序代碼尤其是以被加密的方式被寄存。在此���,以往的程序代碼在數(shù)據(jù)傳輸?shù)椒珠_的存儲器之前被加密�。此后��,新的程序代碼被寫入控制設(shè)備����。在此,在控制設(shè)備中的以往的程序代碼尤其是通過新的程序代碼被重寫或者被清除��。
[0012]新的程序代碼的檢查被執(zhí)行�。尤其是執(zhí)行新的程序代碼的簽名校驗或認證校驗。尤其是檢查:新的程序代碼是否已經(jīng)由被確認為合法的站點(諸如機動車或者控制設(shè)備的制造商)制成����。尤其是保證:新的程序代碼不是有害的軟件。
[0013]如果新的程序代碼在檢查的進程中成功地被驗證或被認證�,那么新的程序代碼由控制設(shè)備實施。在這種情況下�����,新的程序代碼不是有害的軟件并且可以無危險地被實施�。在這種情況下����,可以將被寄存在存儲區(qū)域中的以往的程序代碼清除或者可以利用新的數(shù)據(jù)將存儲區(qū)域重寫��。
[0014]如果新的程序代碼在檢查的進程中沒有成功地被驗證或被認證���,那么來自存儲區(qū)域的被寄存在存儲區(qū)域中的以往的程序代碼被傳輸回并且被解密����。被解密的以往的程序被寫入控制設(shè)備并且替換未經(jīng)驗證地被識別的存儲內(nèi)容�����。接著���,以往的程序代碼由控制設(shè)備實施�。因為在這種情況下新的程序代碼對于控制設(shè)備可能是有害的軟件和潛在的危險�����,所以所述新的程序代碼被阻止實施�����。尤其是����,所述新的程序代碼在控制設(shè)備中通過以往的程序代碼被重寫或者被清除。
[0015]本發(fā)明的優(yōu)點
通過本發(fā)明提供了一種可能性��,以便在對控制設(shè)備進行編程的進程中隨時可以在控制設(shè)備中實施經(jīng)驗證的�����、有效的程序代碼�����。本發(fā)明尤其是提供了一種可能性�,以便將返回程序(Rueckfallprogramm)或返回程序代碼寄存在車輛中。即使新的程序代碼沒有成功地被驗證并且可能是有害的軟件和潛在的危險����,也阻止控制設(shè)備受限地或者完全不再運轉(zhuǎn)。
[0016]在沒有成功地被驗證的新的程序代碼的情況下���,可以毫無問題地實施那個曾在引入新的程序代碼之前是能運行的程序代碼���。為此����,附加的數(shù)理邏輯(Logistik)不是必需的�����。尤其是在不從車輛之外傳送數(shù)據(jù)的情況下��,可以再次使以往的程序代碼在控制設(shè)備中可支配����。
[0017]以往的程序代碼尤其是被寄存在非易失性存儲器中。以往的程序代碼尤其是被寄存在機動車的控制設(shè)備或者另一控制設(shè)備的非易失性存儲器中���。當然�,也可以將以往的程序代碼分別寄存在多個存儲區(qū)域中�。可以將已經(jīng)在機動車中存在的存儲區(qū)域或者也可以將附加地被實施的存儲區(qū)域用作存儲區(qū)域�。所述存儲區(qū)域尤其是可以被用于對機動車的所有控制設(shè)備進行編程。
[0018]有利地����,新的程序代碼通過無線連接����、尤其是通過無線電連接(例如通過WLAN或者通過移動無線電網(wǎng)絡(luò))被傳送給機動車�。優(yōu)選地�,新的程序代碼在空中下載編程(OTA)或者固件空中下載編程(FOTA)的進程中被寫入控制設(shè)備。因此��,優(yōu)選地在現(xiàn)場執(zhí)行控制設(shè)備的編程�����。在此�����,新的程序代碼可以通過無線連接直接被傳送給控制設(shè)備或者也被傳送給機動車的另一控制設(shè)備����,并且可以被所述另一控制設(shè)備寫入控制設(shè)備。新的程序代碼尤其是由車輛制造商或者控制設(shè)備制造商的服務(wù)器通過無線連接被傳送給機動車����。
[0019]如開頭所提及的那樣,例如如果車輛位于封閉的地下停車場中�����、在隧道中或者在靜區(qū)中,那么無線的無線電連接可能被中斷����。通過本發(fā)明確保了:即使無線的無線電連接被中斷,也隨時可以在控制設(shè)備中實施經(jīng)驗證的��、有效的程序代碼�����。在沒有成功地被驗證的新的程序代碼的情況下重建以往的程序代碼與無線連接無關(guān)并且也可以在沒有該無線連接的情況下在現(xiàn)場被執(zhí)行�。為了此目的,車輛不必額外地被運輸?shù)杰囬g中�。
[0020]優(yōu)選地,新的程序代碼被編程單元寫入控制設(shè)備����。該編程單元優(yōu)選地被構(gòu)造為機動車的另一控制設(shè)備。如上面所解釋的那樣����,新的程序代碼優(yōu)選地通過無線連接被傳送給機動車的另一控制設(shè)備(優(yōu)選地在OTD或FOTA的進程中),并且由所述另一控制設(shè)備寫入控制設(shè)備�����。尤其是可以將所述另一控制設(shè)備構(gòu)造為:通過無線連接與機動車制造商或者控制設(shè)備制造商的服務(wù)器進行通信。
[0021]可替換地����,可以優(yōu)選地將編程單元構(gòu)造為外部計算單元���。該外部計算單元尤其是通過有線連接與控制設(shè)備相連���。尤其是在機動車的生產(chǎn)或制造過程的進程中或者尤其是也在車間里例如在維護或者修理工作的進程中,新的程序代碼可以由外部計算單元寫入控制設(shè)備����。為了此目的,尤其是可以由外部計算單元來實施合適的程序�����。
[0022]優(yōu)選地�����,以往的程序代碼被寄存在編程單元的存儲區(qū)域中��。如進一步在上面所解釋的那樣,因此以往的程序代碼尤其是被寄存在另一控制設(shè)備的存儲區(qū)域中�。這尤其是適合于通過無線連接或在OTA或FOTA編程的進程中傳送新的程序代碼。然而����,以往的程序代碼尤其是也可以被寄存在外部計算單元中。
[0023]有利地���,在控制設(shè)備中所實施的以往的程序代碼被加密���,并且該被加密的以往的程序代碼被寄存在存儲區(qū)域中。如果新的程序代碼沒有成功地被驗證����,那么被加密的、被寄存在存儲區(qū)域中的以往的程序代碼從存儲區(qū)域被傳輸?shù)娇刂圃O(shè)備中��、被解密�、被寫入并且再次被實施。尤其是如果控制設(shè)備單獨的(steuergeraeteindividuel Ie)密鑰被用于加密和解密�����,那么以往的程序代碼只可以由控制設(shè)備自身再次被解密����。因此���,以往的程序代碼可靠地被寄存在存儲區(qū)域中,使得攻擊者既不能讀出也不能改變所述以往的程序代碼����。尤其是如果新的程序代碼是有害的軟件���,那么可以阻止該有害的軟件讀出或者改變所寄存的程序代碼�����。芯片調(diào)諧因此被禁止并且“專有技術(shù)保護(Know-How-Schutz)”被確保��。
[0024]以往的程序代碼尤其是包括對于機動車的操控和運行來說必需的數(shù)據(jù)��、例如特定的操控指令�����、技術(shù)數(shù)據(jù)��、控制或者特性值����。這些指令或值曾由制造商常常在多年的具有高研究花費的研發(fā)過程中通過長期連續(xù)的并且昂貴的測試系列確定并且優(yōu)化。因此�,在制造商方面,為了保障“專有技術(shù)保護”����,這些數(shù)據(jù)不能被第三方、即攻擊者讀出�。
[0025]優(yōu)選地,用于加密和/或用于解密控制設(shè)備的以往的程序代碼的密鑰被制成���?��?商鎿Q地,也可以優(yōu)選地將已經(jīng)在控制設(shè)備中存在的密鑰用于加密和/或用于解密以往的程序代碼���。用于加密和/或用于解密以往的程序代碼的密鑰尤其是被寄存在控制設(shè)備的存儲區(qū)域中���、尤其是在控制設(shè)備的非易失性存儲區(qū)域中、進一步尤其是在安全的存儲區(qū)域中��。有利地���,控制設(shè)備的其中寄存密鑰的存儲區(qū)域不同于其中寄存以往的程序代碼的存儲區(qū)域��。
[0026]密鑰因此從不離開控制設(shè)備并且不能到達攻擊者���。因此�,尤其是保證了以往的程序代碼只可以由控制設(shè)備自身再次解密����,并且所述以往的程序代碼只可以在控制設(shè)備中被實施。因此�,以往的程序代碼即使在機動車的車載電網(wǎng)中在不同的控制設(shè)備之間傳輸時也可以被保密���。
[0027]優(yōu)選地�����,密鑰被寄存在控制設(shè)備的硬件安全模塊(Hardware Security Module ,HSM)中�。除了傳統(tǒng)的處理器單元(處理器系統(tǒng)部分��,PS)以外����,大多在控制設(shè)備中設(shè)置這樣的硬件安全模塊��。與傳統(tǒng)的處理器單元相似���,該HSM尤其是包括一個或者多個處理器核以及本地存儲器(R0M、RAM���,閃存(Flash)���、EEPR0M)。該HSM尤其是擁有特有的物理資源((多個)處理器核����、本地存儲器、等等)��,所述特有的物理資源與處理器單元的物理資源無關(guān)����。HSM的資源尤其是可以相對于處理器單元的在硬件層面上的資源而被屏蔽。該HSM是被隔離的�、可靠的環(huán)境,所述被隔離的����、可靠的環(huán)境此外還被處理器單元保護以防操縱和攻擊����。
[0028]優(yōu)選地�,真實可靠性特征(Authentizitaetsmerkmal)被添加給在控制設(shè)備中所實施的以往的程序代碼中。配備有真實可靠性特征的以往的程序代碼被寄存在存儲區(qū)域中����。例如可以將簽名或用密碼寫的(kryptographisch)簽名和/或校驗和添加為真實可靠性特征。以往的程序代碼尤其是可以利用密鑰被簽名�����,所述以往的程序代碼也利用所述密鑰被加密��。真實可靠性特征可以在加密以往的程序代碼之前或者也可以在加密以往的程序代碼之后被添加�。通過添加這樣的真實可靠性特征�,以往的程序代碼可以被保護以防由攻擊者操縱。
[0029]如果被寄存在存儲區(qū)域中的以往的程序代碼再次被寫入控制設(shè)備�����,則有利地��,以往的程序代碼的真實可靠性依據(jù)真實可靠性特征被檢查��。因此保證了:以往的程序代碼不曾由攻擊者操縱。
[0030]如果該真實可靠性校驗失敗并且以往的程序代碼的真實可靠性沒有被確定��,那么危險在于:所述以往的程序代碼曾由攻擊者蓄意地操縱��。在這種情況下����,以往的程序代碼尤其是沒有被實施??刂圃O(shè)備例如停留在引導(dǎo)裝載程序中。
[0031]優(yōu)選地����,在控制設(shè)備中所實施的以往的程序代碼被寄存在存儲區(qū)域中,其方式是控制設(shè)備的存儲器轉(zhuǎn)錄(Speicherabbild)被制成并且被寄存在存儲區(qū)域中�。優(yōu)選地,該存儲器轉(zhuǎn)錄首先借助于密鑰被加密并且以被加密的方式被寄存在存儲區(qū)域中����。在這樣的存儲器轉(zhuǎn)錄的情況下,尤其是存儲器轉(zhuǎn)錄文件被制成����,所述存儲器轉(zhuǎn)錄文件不僅復(fù)述(wiedergeben) 了控制設(shè)備的(文件系統(tǒng))結(jié)構(gòu)而且復(fù)述了控制設(shè)備的所有文件或內(nèi)容。
[0032]優(yōu)選地,錯誤識別方法�����、尤其是糾錯方法被執(zhí)行�����,用于將以往的程序代碼傳輸?shù)酱鎯^(qū)域中���。為了此目的�����,尤其是循環(huán)冗余校驗(cyclic redundancy check��,CRC)被執(zhí)行����。在此�����,例如以校驗和為形式的冗余信息被添加到要傳輸?shù)臄?shù)據(jù)�����。如果以往的程序代碼已經(jīng)被傳輸?shù)酱鎯^(qū)域中�����,那么該校驗和與所計算的校驗和相比較�����。如果這兩個校驗和是相同的�,那么傳輸?shù)酱鎯^(qū)域中已成功,否則該傳輸重新被執(zhí)行��。在循環(huán)冗余校驗的進程中尤其是使用了基于多項式除法(Polynomdi vis 1n)的CRC校驗和��。
[0033]按照本發(fā)明的計算單元(例如機動車的控制設(shè)備)尤其是以程序技術(shù)方式被設(shè)立為執(zhí)行按照本發(fā)明的方法���。
[0034]尤其是如果進行實施的控制設(shè)備還被用于其它的任務(wù)并且因而本來就存在��,那么以軟件形式實施本方法也是有利的���,因為這造成了特別小的成本。用于提供計算機程序的適合的數(shù)據(jù)載體尤其是軟盤���、硬盤���、閃存存儲器����、EEPR0M�����、CD-R0M���、DVD以及其它更多���。通過計算機網(wǎng)絡(luò)(因特網(wǎng)、內(nèi)聯(lián)網(wǎng)等等)下載程序也是可能的����。
[0035]本發(fā)明的其它的優(yōu)點和構(gòu)建方案從說明書和附圖中得到。
【附圖說明】
[0036]本發(fā)明依據(jù)實施例在附圖中示意性地被示出并且隨后參考附圖被描述��。
[0037]圖1示意性地示出了具有控制設(shè)備的機動車�,所述控制設(shè)備被設(shè)立為執(zhí)行按照本發(fā)明的方法的優(yōu)選的實施形式。
[0038]圖2作為框圖示意性地示出了按照本發(fā)明的方法的優(yōu)選的實施形式����。
【具體實施方式】
[0039]在圖1中示意性地示出了具有第一控制設(shè)備110和具有第二控制設(shè)備120的機動車100。當然�����,機動車100還可以包括其它的控制設(shè)備�,所述其它的控制設(shè)備為了簡便起見這里未被示出。
[0040]第一控制設(shè)備110具有帶有處理器核和本地存儲器的處理器單元111���。此外�����,所述第一控制設(shè)備110還具有同樣帶有與處理器單元111無關(guān)的處理器核和本地存儲器的硬件安全模塊(HSM) 112��。
[0041]第二控制設(shè)備120同樣具有帶有處理器核和本地存儲器的處理器單元121并且此外還具有以非易失性存儲器為形式的存儲區(qū)域122�����。所述非易失性存儲器122可以被構(gòu)造為處理器單元121的部分或者與該處理器單元121無關(guān)地被構(gòu)造�����。
[0042]所述第二控制設(shè)備120可以通過無線連接130(例如通過移動無線電網(wǎng)絡(luò))與機動車制造商的服務(wù)器140相連���。
[0043]在處理器單元111中����,過時的固件被實施�����,所述過時的固件接下來被稱作以往的程序代碼����。所述過時的固件應(yīng)該在固件更新的進程中通過接下來被稱作新的程序代碼的新版本固件替換。
[0044]為了此目的����,機動車100被設(shè)立為執(zhí)行按照本發(fā)明的方法的優(yōu)選的實施形式,所述優(yōu)選的實施形式在圖2中作為框圖被示出并且接下來參考圖2被解釋���。
[0045]第一控制設(shè)備110的固件更新借助于固件空中下載編程被執(zhí)行��。第二控制設(shè)備120是編程單元�����,所述編程單元從服務(wù)器140接收新的程序代碼并且將新的程序代碼寫入第一控制設(shè)備110���。
[0046]為了此目的���,在步驟201中���,第二控制設(shè)備120通過移動無線電網(wǎng)絡(luò)130與服務(wù)器140相連��。在所制造的無線連接130之后����,新的程序代碼由服務(wù)器140通過移動無線電網(wǎng)絡(luò)130被傳送給第二控制設(shè)備120并且被寄存在該第二控制設(shè)備120的處理器單元121中����。
[0047]在步驟202中,第二控制設(shè)備120要求第一控制設(shè)備110將所述以往的程序代碼傳送給第二控制設(shè)備120�����。為了此目的���,在步驟203中�����,用于對以往的程序代碼加密和解密并且用于給以往的程序代碼簽名的密鑰由第一控制設(shè)備110制成并且被寄存在HSM 112中�。
[0048]在步驟204中,第一控制設(shè)備110的存儲器轉(zhuǎn)錄�����、尤其是處理器單元111的存儲器轉(zhuǎn)錄被制成�。相對應(yīng)的存儲器轉(zhuǎn)錄文件利用在步驟203中所制成的密鑰被加密。
[0049]此外����,所述被加密的存儲器轉(zhuǎn)錄文件在步驟204中還借助于在步驟203中所制成的密鑰被簽名。因此���,用密碼寫的簽名作為認證特征(Authentifizierungsmerkmal)被添加給被加密的存儲器轉(zhuǎn)錄文件��。
[0050]要指明的是���,在步驟204中的加密和簽名的順序是任意的,即尤其是也可以首先被簽名并且緊接著才被加密�。
[0051]此外,以第一校驗和為形式的校驗和信息還被添加給存儲器轉(zhuǎn)錄文件���。因此�,使得校驗和校驗(例如循環(huán)冗余校驗,CRC)成為可能���。
[0052]被加密的并且被簽名的存儲器轉(zhuǎn)錄文件在步驟205中由第一控制設(shè)備110被傳送給第二控制設(shè)備120�����。此外,在步驟206中����,第二校驗和由第二控制設(shè)備120確定。
[0053]在步驟207中�,第二控制設(shè)備120將接收確認連同第二校驗和一起傳送給第一控制設(shè)備110。所述第二校驗和在校驗和校驗的進程中與第一校驗和相比較��。
[0054]如果這兩個校驗和相同����,那么將以往的程序代碼傳送給第二控制設(shè)備120已經(jīng)成功。如果這兩個校驗和不相同��,那么以往的程序代碼的傳送不曾成功并且重新在步驟202中開始�。
[0055]在成功地傳送以往的程序代碼之后,所述以往的程序代碼被寄存在編程單元120的非易失性存儲器122中。為了此目的��,被加密的存儲器轉(zhuǎn)錄文件在步驟208中被寄存在第二控制設(shè)備120的非易失性存儲器122中���。
[0056]在步驟209中����,新的程序代碼由第二控制設(shè)備120寫入第一控制設(shè)備110�,尤其是寫入處理器單元111。在此�,以往的程序代碼在處理器單元111中被重寫。緊接著���,在步驟210中����,新的程序代碼的檢查�����、尤其是新的程序代碼的簽名校驗在控制設(shè)備110中被執(zhí)行����。
[0057]如果新的程序代碼在簽名校驗的進程中成功地被驗證或認證����,那么新的程序代碼在步驟211中由第一控制設(shè)備110實施�����。第二控制設(shè)備120的非易失性存儲器122可以被清除或者利用其它的數(shù)據(jù)被重寫��。
[0058]如果然而新的程序代碼沒有成功被驗證或被認證��,那么該程序代碼對于第一控制設(shè)備110來說可能是有害的軟件和潛在的危險���。在這種情況下,在步驟212中�����,來自非易失性存儲器122的被加密的存儲器轉(zhuǎn)錄文件再次被傳送到第一控制設(shè)備110的處理器單元111中��。在此��,新的程序代碼完全從處理器單元111中被清除�。
[0059]在步驟213中,校驗和校驗重新被執(zhí)行并且檢查:被加密的存儲器轉(zhuǎn)錄文件是否已經(jīng)正確地由第二控制設(shè)備120被傳送給第一控制設(shè)備110����。如果該傳送不曾成功����,那么該傳送重新被執(zhí)行��。
[0060]如果該傳送已經(jīng)成功�����,那么被加密的存儲器轉(zhuǎn)錄文件在步驟214中借助于被寄存在HSM 112中的密鑰由第一控制設(shè)備110解密并且寫入��。
[0061]在步驟215中���,依據(jù)在步驟204中被添加的認證特征�����,被解密的以往的程序代碼的真實可靠性被檢查���。如果該檢查成功,那么被解密的以往的程序代碼在步驟216中由第一控制設(shè)備110激活和實施�。第二控制設(shè)備120的閃存存儲器122可以被清除或者利用其它的數(shù)據(jù)被重寫。
[0062]如果真實可靠性校驗失敗�����,那么被加密的以往的存儲器轉(zhuǎn)錄已經(jīng)例如由攻擊者蓄意地操縱。在這種情況下��,修復(fù)是不可能的����,并且在步驟217中,控制設(shè)備110停留在引導(dǎo)裝載程序中并且可以由車間測試者重新利用有效的程序編程而且被置于正常運行中���。
[0063]要指明的是���,在步驟214和215中的解密和認證適宜地以與在步驟204中相反的加密和簽名順序進行。在本例中����,在步驟204中已經(jīng)首先被加密并且緊接著被簽名�,因此在步驟214和215中首先被認證并且緊接著被解密。如果認證失敗����,那么存儲器轉(zhuǎn)錄決不被接受(uebernehmen)。
【主權(quán)項】
1.用于對機動車(100)的控制設(shè)備(110)進行編程的方法�,其中 -在控制設(shè)備(I 10)中所實施的以往的程序代碼被寄存(208)在存儲區(qū)域(122)中��, -新的程序代碼被寫入(209)控制設(shè)備(110)���,并且所述新的程序代碼的檢查被執(zhí)行(210), -其中����,如果新的程序代碼在檢查的進程中成功地被驗證,那么新的程序代碼由控制設(shè)備(110)實施(211)�,并且 -其中,如果新的程序代碼在檢查的進程中沒有成功地被驗證�����,那么被寄存在存儲區(qū)域(122)中的以往的程序代碼從存儲區(qū)域(122)被寫入(212)控制設(shè)備(110)�����,并且其中以往的程序代碼由控制設(shè)備(110)實施(215)���。2.根據(jù)權(quán)利要求1所述的方法���,新的程序代碼通過無線連接(103)被傳送(201)給機動車。3.根據(jù)權(quán)利要求1或2所述的方法����,其中所述新的程序代碼在空中下載編程或者固件空中下載編程的進程中被寫入(201)控制設(shè)備(110)���。4.根據(jù)上述權(quán)利要求之一所述的方法,其中所述新的程序代碼由編程單元被寫入(209)控制設(shè)備����,其中所述編程單元被構(gòu)造為外部計算單元或者被構(gòu)造為機動車(100)的另一控制設(shè)備(120)。5.根據(jù)權(quán)利要求2和4所述的方法���,其中所述新的程序代碼通過無線連接(130)被傳送(201)給機動車(100 )的另一控制設(shè)備(120 )���。6.根據(jù)權(quán)利要求4或5所述的方法,其中以往的程序代碼被寄存(208)在編程單元(120)的存儲區(qū)域(122)中�。7.根據(jù)上述權(quán)利要求之一所述的方法,其中在控制設(shè)備(110)中所實施的以往的程序代碼被加密(204)����,并且所述被加密的以往的程序代碼被寄存(208)在存儲區(qū)域(122)中。8.根據(jù)權(quán)利要求7所述的方法�,其中用于對以往的程序代碼加密和/或用于對以往的程序代碼解密的密鑰被寄存(203)在控制設(shè)備(110)的存儲區(qū)域(112)中��。9.根據(jù)權(quán)利要求8所述的方法����,其中所述用于對以往的程序代碼加密和/或用于對以往的程序代碼解密的密鑰被寄存(203)在控制設(shè)備(110)的硬件安全模塊(112)中�����。10.根據(jù)上述權(quán)利要求之一所述的方法����,其中真實可靠性特征被添加(204)給在控制設(shè)備(110)中所實施的以往的程序代碼��,并且配備有所述真實可靠性特征的以往的程序代碼被寄存(208)在存儲區(qū)域(122)中�����。11.根據(jù)權(quán)利要求10所述的方法�,其中,如果所述配備有真實可靠性特征的��、被寄存在存儲區(qū)域(122)中的以往的程序代碼從存儲區(qū)域(122)被寫入(212)控制設(shè)備(110)����,那么以往的程序代碼的真實可靠性依據(jù)所述真實可靠性特征被檢查(215)。12.根據(jù)上述權(quán)利要求之一所述的方法��,其中所述在控制設(shè)備(110)中所實施的以往的程序代碼被寄存在存儲區(qū)域(122)中�����,其方式是控制設(shè)備的存儲器轉(zhuǎn)錄被制成(204)并且被寄存(208)在存儲區(qū)域中。13.根據(jù)上述權(quán)利要求之一所述的方法����,其中錯誤識別方法、尤其是糾錯方法被執(zhí)行(207)�����,用于將以往的程序代碼傳輸給所述存儲區(qū)域(122)��。14.計算單元(I10�����、120)���,所述計算單元(I 10����、120)被設(shè)立為執(zhí)行根據(jù)上述權(quán)利要求之一所述的方法���。15.計算機程序��,所述計算機程序促使計算單元(110�、120)在所述計算機程序在計算單元(110�、120)上被實施時執(zhí)行根據(jù)權(quán)利要求1至13之一所述的方法。16.機器可讀的存儲介質(zhì)��,其具有被存儲在其上的根據(jù)權(quán)利要求15所述的計算機程序����。
【文檔編號】G06F9/445GK105938433SQ201610117652
【公開日】2016年9月14日
【申請日】2016年3月2日
【發(fā)明人】U.舒爾茨, E.施洛特曼, L.鄧
【申請人】羅伯特·博世有限公司