于編程模式時����,目標(biāo)模塊114配置成自動地執(zhí)行或者說是實施來自編程數(shù)據(jù)的指令集�,以修改其相應(yīng)的目標(biāo)應(yīng)用124��,如上所述。例如��,響應(yīng)于從更新引擎120接收進入編程模式的命令,目標(biāo)模塊114可進入引導(dǎo)模式(或引導(dǎo)裝載程序模式)以將控制模塊202置于如下狀態(tài):其中�����,在經(jīng)由網(wǎng)關(guān)模塊112和第二通信網(wǎng)絡(luò)113從更新模塊110和/或更新引擎120接收編程數(shù)據(jù)時����,控制模塊202自動地執(zhí)行包含在編程數(shù)據(jù)中的指令。
[0061]仍然參看圖3,響應(yīng)于確定編程會話未被授權(quán)或者授權(quán)的來源未被認證�,編程過程300在318處防止或者說是限制目標(biāo)模塊的編程。例如��,當(dāng)服務(wù)器104確定來自解密的會話認證信息的私鑰不匹配與車輛102相關(guān)聯(lián)的私鑰和/或編程請求的數(shù)目超出允許的閾值時�����,服務(wù)器104確定編程會話未被授權(quán)并且未能響應(yīng)于編程授權(quán)請求而將授權(quán)認證信息提供至更新模塊110和/或更新引擎120�����。在示例性實施例中�,網(wǎng)關(guān)模塊112在默認情況下不提供從第一車輛通信網(wǎng)絡(luò)111到第二車輛通信網(wǎng)絡(luò)113的網(wǎng)關(guān)功能�。因此��,未能將授權(quán)認證信息提供至更新模塊110防止網(wǎng)關(guān)模塊112將編程更新認證為授權(quán)的并且允許從第一車輛通信網(wǎng)絡(luò)111到第二車輛通信網(wǎng)絡(luò)113的網(wǎng)關(guān)功能���,這繼而防止發(fā)起與目標(biāo)模塊114的未授權(quán)的編程會話����。類似地�,當(dāng)從解密的授權(quán)認證信息獲得的私鑰不匹配與車輛102相關(guān)聯(lián)的存儲的私鑰時���,網(wǎng)關(guān)模塊112確定編程授權(quán)未被認證并且不提供從第一車輛通信網(wǎng)絡(luò)111到第二車輛通信網(wǎng)絡(luò)113的網(wǎng)關(guān)功能���,從而防止發(fā)起與目標(biāo)模塊114的未認證的編程會話和/或更新��。
[0062]圖4描繪了根據(jù)圖3的編程過程300的一個示例性實施例的車輛通信系統(tǒng)100內(nèi)的通信的示例性序列400�。參看圖4��,并且繼續(xù)參照圖1-3���,所示的序列400始于更新模塊110從諸如服務(wù)器或外部存儲驅(qū)動器(或磁盤或卡)的遠程裝置104下載���、接收或者說是獲得402編程更新����。在獲得編程更新并且確定適用于編程更新的編程標(biāo)準(zhǔn)被滿足之后���,更新模塊110和/或更新引擎120將對編程會話的初始請求經(jīng)由第一通信網(wǎng)絡(luò)111發(fā)送404至網(wǎng)關(guān)模塊112上的認證引擎122�����。作為響應(yīng)��,認證引擎122至少部分地基于由網(wǎng)關(guān)模塊112存儲的與車輛102相關(guān)聯(lián)的私鑰而動態(tài)地生成公鑰和/或其它會話認證信息。認證引擎122響應(yīng)于初始編程請求并且響應(yīng)于接收會話認證信息而將會話認證信息發(fā)送406至更新引擎120,更新引擎120將包括公鑰和/或其它會話認證信息的編程授權(quán)請求發(fā)送或者說是提供408至遠程裝置104��。
[0063]在遠程裝置104將公鑰和/或其它會話認證信息認證為由車輛102中的網(wǎng)關(guān)模塊112生成并且驗證編程請求不超出任何適用的閾值之后����,遠程裝置104通過使用公鑰和/或其它會話認證信息將與車輛102相關(guān)聯(lián)的私鑰加密而使用公鑰和/或其它會話認證信息來生成授權(quán)認證信息��。然后��,遠程裝置104將授權(quán)認證信息發(fā)送或者說是提供410至更新模塊110和/或更新引擎120��,更新模塊110和/或更新引擎120繼而將授權(quán)信息發(fā)送412至網(wǎng)關(guān)模塊112和/或認證引擎122��。認證引擎122使用公鑰和/或其它會話認證信息將授權(quán)認證信息解密并且比較解密的授權(quán)認證信息與存儲的認證信息以將授權(quán)認證為來自可信的來源�。在圖示實施例中,在認證引擎122驗證解密的私鑰匹配與車輛102相關(guān)聯(lián)的存儲的私鑰之后,認證引擎122確定編程會話被經(jīng)認證的遠程裝置104授權(quán)并且將響應(yīng)消息發(fā)送或者說是提供414至更新引擎120�,該消息表明對編程會話的請求已被許可���、授權(quán)或者說是允許���。然后,更新引擎120將編程模式命令和用于編程更新的編程數(shù)據(jù)經(jīng)由第一車輛通信網(wǎng)絡(luò)111發(fā)送416至網(wǎng)關(guān)模塊112����,并且網(wǎng)關(guān)模塊112將編程模式命令和編程數(shù)據(jù)經(jīng)由第二車輛通信網(wǎng)絡(luò)113自動地再發(fā)送418至目標(biāo)模塊114�����。在目標(biāo)模塊114進入編程模式并且接收編程數(shù)據(jù)之后���,目標(biāo)模塊114的控制模塊202執(zhí)行或者說是實施來自編程數(shù)據(jù)的代碼���、腳本和/或指令以實現(xiàn)對目標(biāo)應(yīng)用124的所需更新�。
[0064]本文所述主題的一個益處在于�,從遠程裝置獲得的編程更新除非它們被認證為由可信來源授權(quán)的才會被實施。因此���,在車輛模塊上的應(yīng)用可使用通過外部網(wǎng)絡(luò)(例如��,蜂窩網(wǎng)絡(luò)等)或來自插入車輛的輸入接口中的外部裝置的可執(zhí)行的代碼�����、腳本和/或指令被安全地編程或者說是自動地更新�,而不需要車輛在特定位置處(例如��,由經(jīng)銷商的技術(shù)人員)人工地服務(wù)��。
[0065]為了簡明起見��,與通信網(wǎng)絡(luò)���、認證�、軟件更新���、機動車電子器件和/或電氣系統(tǒng)���、以及本主題的其它功能方面有關(guān)的常規(guī)技術(shù)可能不在本文中詳細描述����。此外,某些術(shù)語也可在本文中僅用于參考目的��,并且因此并非意圖進行限制����。例如��,術(shù)語“第一”��、“第二”和其它這樣的指代結(jié)構(gòu)的數(shù)字術(shù)語并不暗示順序或次序���,除非上下文明確指示��。另外���,上述描述也涉及“連接”或“聯(lián)接”在一起的元件或節(jié)點或特征��。如本文所用��,除非另有明確說明��,“連接”意味著一元件直接接合到另一元件(或直接與其連通)����,而不是一定是機械地。同樣��,除非另有明確說明�,“聯(lián)接”意味著一元件直接地或間接地接合到另一元件(或者與其直接地或間接地連通),而不一定是機械地�。
[0066]雖然已經(jīng)在上述【具體實施方式】中提出至少一個示例性實施例�����,但應(yīng)當(dāng)理解�����,存在大量的變型。還應(yīng)當(dāng)理解�,一個或多個示例性實施例僅為示例�,而并非意圖以任何方式限制本公開的范圍、應(yīng)用或配置。相反�,上述【具體實施方式】將為本領(lǐng)域的技術(shù)人員提供用于實現(xiàn)一個或多個示例性實施例的常規(guī)路線����。應(yīng)當(dāng)理解,在不脫離所附權(quán)利要求及其合法等同物所闡述的本公開的范圍的前提下���,可在元件的功能和布置上做出各種改變。因此,以上所述示例性實施例或其它限制的細節(jié)不應(yīng)被讀入權(quán)利要求中�,除非明確地表示相反。
【主權(quán)項】
1.一種車輛,包括: 第一模塊�; 網(wǎng)關(guān)模塊�����,其通信地聯(lián)接到所述第一模塊;以及 更新模塊���,其通信地聯(lián)接到所述網(wǎng)關(guān)模塊以將授權(quán)信息和編程數(shù)據(jù)提供至所述網(wǎng)關(guān)模塊�,其中�����,所述網(wǎng)關(guān)模塊配置成至少部分地基于所述授權(quán)信息而驗證對所述第一模塊的編程被授權(quán)并且在驗證所述編程被授權(quán)之后將所述編程數(shù)據(jù)提供至所述第一模塊���。
2.根據(jù)權(quán)利要求1所述的車輛,其中�,所述網(wǎng)關(guān)模塊配置成: 使用會話信息將所述授權(quán)信息解密以獲得解密的密鑰����;以及 當(dāng)所述解密的密鑰與存儲的密鑰匹配時�,驗證所述編程被授權(quán)����。
3.根據(jù)權(quán)利要求2所述的車輛��,所述更新模塊將編程請求提供至所述網(wǎng)關(guān)模塊,其中��,所述網(wǎng)關(guān)模塊配置成響應(yīng)于來自所述更新模塊的所述編程請求而生成所述會話信息��。
4.根據(jù)權(quán)利要求3所述的車輛,其中���,所述網(wǎng)關(guān)模塊配置成至少部分地基于與所述編程請求相關(guān)聯(lián)的時間而動態(tài)地生成所述會話信息�����。
5.根據(jù)權(quán)利要求3所述的車輛,其中�,所述更新模塊配置成將所述會話信息提供至遠程裝置,所述遠程裝置在確定所述第一模塊的所述編程被授權(quán)之后通過使用由所述更新模塊提供的所述會話信息將與所述車輛相關(guān)聯(lián)的密鑰加密而生成所述授權(quán)信息��。
6.根據(jù)權(quán)利要求1所述的車輛�����,還包括第一通信網(wǎng)絡(luò)和第二通信網(wǎng)絡(luò)��,其中����,所述網(wǎng)關(guān)模塊聯(lián)接在所述第一通信網(wǎng)絡(luò)和所述第二通信網(wǎng)絡(luò)之間。
7.根據(jù)權(quán)利要求6所述的車輛�����,其中���,所述更新模塊聯(lián)接到所述第一通信網(wǎng)絡(luò),并且所述第一模塊聯(lián)接到所述第二通信網(wǎng)絡(luò)�����。
8.根據(jù)權(quán)利要求7所述的車輛�,其中�,所述第一通信網(wǎng)絡(luò)是以太網(wǎng),并且所述第二通信網(wǎng)絡(luò)是控制器局域網(wǎng)(CAN)����。
9.一種對車輛模塊編程的方法,所述方法包括: 由網(wǎng)關(guān)模塊為通信地聯(lián)接到所述網(wǎng)關(guān)模塊的所述車輛模塊生成用于編程更新的會話信息��; 使用所述會話信息將授權(quán)信息解密以獲得解密的密鑰����; 至少部分地基于所述解密的密鑰對所述編程更新來認證;以及在對所述編程更新認證之后�,將用于所述編程更新的編程數(shù)據(jù)經(jīng)由所述網(wǎng)關(guān)模塊提供至所述車輛模塊�。
10.一種車輛系統(tǒng),包括: 第一通信網(wǎng)絡(luò)��; 第二通信網(wǎng)絡(luò); 車輛模塊����,其聯(lián)接到所述第二通信網(wǎng)絡(luò); 更新模塊,其聯(lián)接到所述第一通信網(wǎng)絡(luò)�;以及 網(wǎng)關(guān)模塊,其聯(lián)接到所述第一通信網(wǎng)絡(luò)和所述第二通信網(wǎng)絡(luò)����,其中: 所述更新模塊配置成獲得用于所述車輛模塊的編程數(shù)據(jù)�����、從遠程裝置獲得授權(quán)信息�、并且將所述授權(quán)信息和所述編程數(shù)據(jù)經(jīng)由所述第一通信網(wǎng)絡(luò)提供至所述網(wǎng)關(guān)模塊��; 所述網(wǎng)關(guān)模塊配置成在對所述授權(quán)信息認證之后將所述編程數(shù)據(jù)提供至所述車輛模塊���;并且 所述車輛模塊配置成在從所述網(wǎng)關(guān)模塊接收所述編程數(shù)據(jù)之后至少部分地基于所述編程數(shù)據(jù)來更新所述車輛模塊上的應(yīng)用�。
【專利摘要】本發(fā)明提供了用于對車輛模塊編程的方法、設(shè)備和系統(tǒng)�。示例性的車輛包括第一模塊����、通信地聯(lián)接到第一模塊的網(wǎng)關(guān)模塊和通信地聯(lián)接到網(wǎng)關(guān)模塊的更新模塊��。更新模塊配置成將授權(quán)信息和編程數(shù)據(jù)提供至網(wǎng)關(guān)模塊����。網(wǎng)關(guān)模塊配置成至少部分地基于授權(quán)信息來驗證第一模塊的編程被授權(quán)并且在驗證第一模塊的編程之后將編程數(shù)據(jù)提供至第一模塊�。
【IPC分類】H04L29-08, H04L29-06, G06F9-445
【公開號】CN104580352
【申請?zhí)枴緾N201410585344
【發(fā)明人】J.R.施瓦斯, D.C.馬丁, W.E.小馬扎拉
【申請人】通用汽車環(huán)球科技運作有限責(zé)任公司
【公開日】2015年4月29日
【申請日】2014年10月28日
【公告號】DE102014114607A1, US20150121071