DE112014005412B4 - Programmaktualisierungssystem und Programmaktualisierungsverfahren - Google Patents

Programmaktualisierungssystem und Programmaktualisierungsverfahren Download PDF

Info

Publication number
DE112014005412B4
DE112014005412B4 DE112014005412.7T DE112014005412T DE112014005412B4 DE 112014005412 B4 DE112014005412 B4 DE 112014005412B4 DE 112014005412 T DE112014005412 T DE 112014005412T DE 112014005412 B4 DE112014005412 B4 DE 112014005412B4
Authority
DE
Germany
Prior art keywords
update
control
control program
program
update data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE112014005412.7T
Other languages
English (en)
Other versions
DE112014005412T5 (de
Inventor
Naoki Adachi
Akinori Usami
Masashi Watanabe
Tetsuya Noda
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Wiring Systems Ltd, AutoNetworks Technologies Ltd, Sumitomo Electric Industries Ltd filed Critical Sumitomo Wiring Systems Ltd
Publication of DE112014005412T5 publication Critical patent/DE112014005412T5/de
Application granted granted Critical
Publication of DE112014005412B4 publication Critical patent/DE112014005412B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Power Engineering (AREA)
  • Quality & Reliability (AREA)
  • Stored Programmes (AREA)
  • Information Transfer Between Computers (AREA)
  • Small-Scale Networks (AREA)

Abstract

Programmaktualisierungssystem, das umfasst:mehrere Steuereinrichtungen (30) mit:einem Speichermittel (13, 33) zum Speichern eines Steuerprogramms zum Steuern einer in einem Fahrzeug (1) installierten Einrichtung undeinem Ausführungsmittel (11, 31, 51) zum Auslesen und Ausführen des Steuerprogramms;eine Vermittlungseinrichtung (10), die über eine Leitung für fahrzeuginterne Kommunikation mit den mehreren Steuereinrichtungen (30) verbunden ist, undeine externe Einrichtung (5), die über ein externes Kommunikationsnetz (N) mit der Vermittlungseinrichtung (10) verbunden ist und zum Speichern von Aktualisierungsdaten dient, die zum Aktualisieren des Steuerprogramms erforderlich sind; undbei welchem die Aktualisierungsdaten von der externen Einrichtung (5) an die Vermittlungseinrichtung (10) übertragen werden und das in dem Speichermittel (13, 33) der Steuereinrichtung (30) gespeicherte Steuerprogramm basierend auf den von der Vermittlungseinrichtung (10) empfangenen Aktualisierungsdaten aktualisiert wird; wobei die Aktualisierungsdaten umfassen:ein Aktualisierungssteuerprogramm für eine Steuereinrichtung (30), die Zielobjekt der Aktualisierung ist, undein Computerprogramm, das implementiert:ein Mittel zum Berechnen eines Digest-Werts in Bezug auf das Aktualisierungssteuerprogramm,ein Mittel zum Bestimmen, ob der Betrieb der Steuereinrichtung (30) nach der Aktualisierung normal ist, undein Mittel zum Übertragen eines Ergebnisses der Bestimmung des Bestimmungsmittels als Antwort an die Vermittlungseinrichtung (10);die Vermittlungseinrichtung (10) aufweist:ein Mittel zum Übertragen (14) der von der externen Einrichtung (5) empfangenen Aktualisierungsdaten an die Steuereinrichtung (30), die Zielobjekt der Aktualisierung ist;die Steuereinrichtung (30) aufweist:ein Mittel (34) zum Empfangen der von der Vermittlungseinrichtung (10) übertragenen Aktualisierungsdaten undein Mittel (31) zum Aktualisieren des in dem Speichermittel (13, 33) gespeicherten Steuerprogramms unter Verwendung des in den empfangenen Aktualisierungsdaten enthaltenen Aktualisierungssteuerprogramms; unddie Steuereinrichtung (30) durch Ausführen des in den Aktualisierungsdaten enthaltenen Computerprogramms bestimmt, ob der Betrieb nach der Aktualisierung normal ist, und ein Ergebnis der Bestimmung als Antwort an die Vermittlungseinrichtung (10) überträgt.

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Erfindung betrifft ein Programmaktualisierungssystem und ein Programmaktualisierungsverfahren, die die Legitimität einer Aktualisierung für ein fahrzeugseitig ausgeführtes Programm verifizieren.
  • TECHNISCHER HINTERGRUND
  • Auf dem Gebiet der Automobiltechnik werden seit einigen Jahren die Fahrzeuge immer ausgeklügelter und es werden eine Vielfalt an Einrichtungen in den Fahrzeugen installiert, was die Installation einer großen Anzahl Steuereinrichtungen, sogenannter ECUs (Electronic Control Unit - Elektronische Steuereinheit), zur Steuerung dieser in einem Fahrzeug installierten Einrichtungen erfordert. In Fahrzeugen werden verschiedene Arten von ECUs installiert, wie zum Beispiel Haupt-ECUs, die in Reaktion auf Schalterbetätigungen und dergleichen seitens Personen im Fahrzeug die Innenbeleuchtung steuern, die Scheinwerfer ein- und ausschalten, Alarmsignale ausgeben und dergleichen, Messgerät-ECUs, die den Betrieb verschiedener in der Nähe des Fahrersitzes angeordneter Messgeräte steuern, oder Navigations-ECUs, die Autonavigationseinrichtungen und dergleichen steuern.
  • Im Allgemeinen werden ECUs durch einen Prozessor wie etwa einen Mikrocomputer gebildet, und die Steuerung von im Fahrzeug installierten Einrichtungen wird implementiert, indem in einem ROM (Nur-Lese-Speicher) gespeicherte Steuerprogramme ausgelesen und ausgeführt werden. Die Steuerprogramme können sich sogar bei ein und demselben Fahrzeugmodell abhängig davon unterscheiden, an welchem Zielort das Fahrzeug betrieben wird und welche Funktionen installiert sind, woraus die Notwendigkeit erwächst, die Steuerprogramme abhängig vom Zielort und den installierten Funktionen umzuschreiben sowie bei Erscheinen von Aktualisierungen von Steuerprogrammen alte Versionen der Steuerprogramme mit neuen Versionen der Steuerprogramme zu überschreiben.
  • Die JP H05-195859A offenbart eine Automobil-Steuereinrichtung, die in einem Fahrzeug installiert ist, welches in einem nichtflüchtigen Speicher gespeicherte Daten mit über drahtlose Kommunikation empfangenen Daten überschreibt, falls bestätigt wird, dass es sich bei den empfangenen Daten um Daten für die Automobil-Steuereinrichtung handelt.
  • Die US 2011 / 0 197 187 A1 offenbart ein System zum Aktualisieren von Software einer in einem Fahrzeug installierten ECU, bei dem mit einer externen Vorrichtung kommuniziert wird, in der die Software des Fahrzeugs gespeichert ist, wobei das System eine Empfangseinheit zum Empfangen von von außen gesendeten Versionsinformationen der ECU-Software Gerät, eine Bestimmungseinheit zum Vergleichen von in einem Speicher gespeicherten ECU-Softwareversionsinformationen mit den über die Empfangseinheit empfangenen ECU-Softwareversionsinformationen und zum Bestimmen, ob eine im Speicher gespeicherte ECU-Softwareversion niedriger als eine empfangene Softwareversion ist oder nicht, eine Download-Anforderungseinheit zum Anfordern des Herunterladens von Software einer entsprechenden Version von der externen Vorrichtung, wenn die im Speicher gespeicherte ECU-Softwareversion niedriger als die empfangene Softwareversion ist; und eine Software-Bereitstellungseinheit zum Bereitstellen der entsprechenden ECU mit der Software, die von der externen Vorrichtung zur Software-Aktualisierung heruntergeladen wurde, umfasst.
  • Die US 2012 / 0 124 571 A1 offenbart eine fahrzeuggebundene Vorrichtung, die einen Prozessor und eine Speichervorrichtung bereitstellt, um ein in der Speichervorrichtung gespeichertes Programm auszuführen, wobei eine Unterbrechungs- und Neustartdetektionseinheit vorgesehen ist, die einen Fahrzeugzustand erfasst und berücksichtigt.
  • Die US 6 975 612 B2 offenbart ein System zum Kommunizieren zwischen einem Teilnetzwerk innerhalb eines Fahrzeugs und einem primären Netzwerk.
  • ÜBERBLICK ÜBER DIE ERFINDUNG
  • VON DER ERFINDUNG ZU LÖSENDE AUFGABEN
  • Wird eine Konfiguration gewählt, die es ermöglicht, Steuerprogramme von im Fahrzeug installierten Einrichtungen hinzuzufügen oder zu aktualisieren, so könnten möglicherweise von böswilligen Dritten erstellte Programme hinzugefügt und ausgeführt werden. Es besteht also das Problem, dass auf diese Weise zum Beispiel Informationen, die über ein fahrzeuginternes Netzwerk übertragen und empfangen werden, von nicht autorisierten Programmen nach außen getragen werden könnten.
  • Die vorliegende Erfindung entstand angesichts dieser Umstände, und ihr liegt als Aufgabe zugrunde, das oben genannte Problem zu lösen, und ein Programmaktualisierungssystem und ein Programmaktualisierungsverfahren bereitzustellen, die in der Lage sind, die Legitimität einer Aktualisierung für ein fahrzeugseitig ausgeführtes Programm zu verifizieren.
  • MITTEL ZUM LÖSEN DER AUFGABE
  • Ein Programmaktualisierungssystem zur Lösung des oben genannten Problems gemäß der vorliegenden Erfindung ist ein System, das aufweist: mehrere Steuereinrichtungen, die mit einem Speichermittel zum Speichern eines Steuerprogramms zum Steuern einer in einem Fahrzeug installierten Einrichtung und einem Ausführungsmittel zum Auslesen und Ausführen des Steuerprogramms versehen sind; eine Vermittlungseinrichtung, die über eine Leitung für fahrzeuginterne Kommunikation mit den mehreren Steuereinrichtungen verbunden ist, und eine externe Einrichtung, die über ein externes Kommunikationsnetz mit der Vermittlungseinrichtung verbunden ist und zum Speichern von Aktualisierungsdaten dient, die zum Aktualisieren des Steuerprogramms erforderlich sind; und bei welchem die Aktualisierungsdaten von der externen Einrichtung an die Vermittlungseinrichtung übertragen werden und das in dem Speichermittel der Steuereinrichtung gespeicherte Steuerprogramm basierend auf den von der Vermittlungseinrichtung empfangenen Aktualisierungsdaten aktualisiert wird. Die Aktualisierungsdaten umfassen ein Aktualisierungssteuerprogramm für eine Steuereinrichtung, die Zielobjekt der Aktualisierung ist, und ein Computerprogramm, das ein Mittel zum Berechnen eines Digest-Werts in Bezug auf das Aktualisierungssteuerprogramm, ein Mittel zum Bestimmen, ob der Betrieb der Steuereinrichtung nach der Aktualisierung normal ist, und ein Mittel zum Übertragen eines Ergebnisses der Bestimmung des Bestimmungsmittels als Antwort an die Vermittlungseinrichtung implementiert. Die Vermittlungseinrichtung weist ein Mittel zum Übertragen der von der externen Einrichtung empfangenen Aktualisierungsdaten an die Steuereinrichtung, die Zielobjekt der Aktualisierung ist, auf; und die Steuereinrichtung weist ein Mittel zum Empfangen der von der Vermittlungseinrichtung übertragenen Aktualisierungsdaten und ein Mittel zum Aktualisieren des in dem Speichermittel gespeicherten Steuerprogramms unter Verwendung des in den empfangenen Aktualisierungsdaten enthaltenen Aktualisierungssteuerprogramms auf. Außerdem bestimmt die Steuereinrichtung durch Ausführen des in den Aktualisierungsdaten enthaltenen Computerprogramms, ob der Betrieb nach der Aktualisierung normal ist, und überträgt ein Ergebnis der Bestimmung als Antwort an die Vermittlungseinrichtung.
  • Bei dem Programmaktualisierungssystem gemäß der vorliegenden Erfindung kann die Vermittlungseinrichtung aufweisen: ein Mittel zum Speichern von Einrichtungsidentifikationsinformationen, welche die über die Leitung für fahrzeuginterne Kommunikation verbundenen Steuereinrichtungen identifizieren, und Programmidentifikationsinformationen, welche die in den Steuermitteln der Steuereinrichtungen gespeicherten Steuerprogramme identifizieren, und ein Mittel zum Übertragen der Einrichtungsidentifikationsinformationen der Steuereinrichtung, in der ein Steuerprogramm gespeichert ist und die Zielobjekt der Aktualisierung ist, sowie der Programmidentifikationsinformationen des Steuerprogramms an die externe Einrichtung; und die externe Einrichtung kann aufweisen: ein Mittel zum Empfangen der von der Vermittlungseinrichtung übertragenen Einrichtungsidentifikationsinformationen und Programmidentifikationsinformationen, ein Mittel zum Spezifizieren von an die Vermittlungseinrichtung zu übertragenden Aktualisierungsdaten basierend auf den empfangenen Einrichtungsidentifikationsinformationen und Programmidentifikationsinformationen und ein Mittel zum Hinzufügen der Einrichtungsidentifikationsinformationen und der Programminformationsinformationen beim Übertragen der spezifizierten Aktualisierungsdaten an die Vermittlungseinrichtung.
  • Bei dem Programmaktualisierungssystem gemäß der vorliegenden Erfindung kann die Vermittlungseinrichtung aufweisen: ein Mittel zum Erfassen eines Digest-Werts in Bezug auf das Aktualisierungssteuerprogramm, ein Mittel zum Verschlüsseln des erfassten Digest-Werts und ein Mittel zum Übertragen des verschlüsselten Digest-Werts an die externe Einrichtung; und die externe Einrichtung kann aufweisen: ein Mittel zum Empfangen des von der Vermittlungseinrichtung übertragenen verschlüsselten Digest-Werts, ein Mittel zum Entschlüsseln des empfangenen Digest-Werts, ein Mittel zum Vergleichen des entschlüsselten Digest-Werts mit einem im Voraus gespeicherten erwarteten Wert und ein Mittel zum Bestimmen einer Legitimität eines Steuerprogramms nach Aktualisierung in der Steuereinrichtung basierend auf einem Ergebnis des Vergleichs.
  • Bei dem Programmaktualisierungssystem gemäß der vorliegenden Erfindung kann die externe Einrichtung aufweisen: ein Mittel zum erneuten Übertragen gespeicherter Aktualisierungsdaten und des Computerprogramms über die Vermittlungseinrichtung an die Steuereinrichtung, falls beurteilt wird, dass das Steuerprogramm nach Aktualisierung nicht legitim ist.
  • Bei dem Programmaktualisierungssystem gemäß der vorliegenden Erfindung kann die externe Einrichtung aufweisen: ein Mittel zum Melden über die Vermittlungseinrichtung an die Steuereinrichtung, dass die Ausführung des Steuerprogramms zu beenden ist, falls beurteilt wird, dass das Steuerprogramm nach Aktualisierung nicht legitim ist; und die Steuereinrichtung kann aufweisen: ein Mittel zum Beenden der Ausführung des Steuerprogramms, falls von der externen Einrichtung eine Meldung empfangen wird, die anzeigt, dass die Ausführung des Steuerprogramms zu beenden ist.
  • Bei dem Programmaktualisierungssystem gemäß der vorliegenden Erfindung kann die externe Einrichtung und/oder die Vermittlungseinrichtung und/oder die Steuereinrichtung ein Mittel zum Halten des Steuerprogramms vor Aktualisierung aufweisen; die externe Einrichtung kann aufweisen: ein Mittel zum Melden über die Vermittlungseinrichtung an die Steuereinrichtung, dass das Steuerprogramm vor Aktualisierung wiederherzustellen ist, falls beurteilt wird, dass das Steuerprogramm nach Aktualisierung nicht legitim ist; und die Steuereinrichtung kann aufweisen: ein Mittel zum Erfassen des Steuerprogramms vor Aktualisierung, falls über die Vermittlungseinrichtung eine Meldung empfangen wird, dass das Steuerprogramm vor Aktualisierung wiederherzustellen ist, und ein Mittel zum Zurücksetzen des in dem Speichermittel gespeicherten Steuerprogramms nach Aktualisierung auf das erfasste Steuerprogramm vor Aktualisierung.
  • Ein Programmaktualisierungsverfahren gemäß der vorliegenden Erfindung ist ein Verfahren, bei welchem eine externe Einrichtung an eine Vermittlungseinrichtung, die mit einer Steuereinrichtung verbunden ist, welche Speichermittel zum Speichern eines Steuerprogramms zum Steuern einer in einem Fahrzeug installierten Einrichtung und Ausführungsmittel zum Auslesen und Ausführen des Steuerprogramms aufweist, Aktualisierungsdaten überträgt, die zum Aktualisieren des Steuerprogramms erforderlich sind, und das in dem Speichermittel der Steuereinrichtung gespeicherte Steuerprogramm basierend auf den von der Vermittlungseinrichtung empfangenen Aktualisierungsdaten aktualisiert wird. Die Aktualisierungsdaten umfassen ein Aktualisierungssteuerprogramm für eine Steuereinrichtung, die Zielobjekt der Aktualisierung ist, und ein Computerprogramm, das ein Mittel zum Berechnen eines Digest-Werts in Bezug auf das Aktualisierungssteuerprogramm, ein Mittel zum Bestimmen, ob der Betrieb der Steuereinrichtung nach der Aktualisierung normal ist, und ein Mittel zum Übertragen eines Ergebnisses der Bestimmung des Bestimmungsmittels als Antwort an die Vermittlungseinrichtung implementiert. Die Vermittlungseinrichtung überträgt die von der externen Einrichtung empfangenen Aktualisierungsdaten an die Steuereinrichtung, die Zielobjekt der Aktualisierung ist; und die Steuereinrichtung: empfängt die von der Vermittlungseinrichtung übertragenen Aktualisierungsdaten, aktualisiert das in dem Speichermittel gespeicherte Steuerprogramm unter Verwendung des in den empfangenen Aktualisierungsdaten enthaltenen Aktualisierungssteuerprogramms und bestimmt durch Ausführen des in den Aktualisierungsdaten enthaltenen Computerprogramms, ob der Betrieb nach der Aktualisierung normal ist, und überträgt ein Ergebnis der Bestimmung als Antwort an die Vermittlungseinrichtung.
  • Bei der vorliegenden Erfindung speichert eine externe Einrichtung als Aktualisierungsdaten, die zum Aktualisieren eines in einer Steuereinrichtung gespeicherten Steuerprogramms erforderlich sind, Aktualisierungsdaten, die ein Aktualisierungssteuerprogramm für eine Steuereinrichtung, die Zielobjekt der Aktualisierung ist, und ein Computerprogramm umfassen, welches ein Mittel zum Berechnen eines Digest-Werts in Bezug auf das Aktualisierungssteuerprogramm, ein Mittel zum Bestimmen, ob der Betrieb der Steuereinrichtung nach der Aktualisierung normal ist, und ein Mittel zum Übertragen eines Ergebnisses der Bestimmung als Antwort implementiert; und die externe Einrichtung überträgt die Aktualisierungsdaten über eine Vermittlungseinrichtung an die Steuereinrichtung. Die Steuereinrichtung aktualisiert das Steuerprogramm basierend auf dem in den empfangenen Aktualisierungsdaten enthaltenen Aktualisierungssteuerprogramm und bestimmt durch Ausführen des in den Aktualisierungsdaten enthaltenen Computerprogramms, ob der Betrieb nach der Aktualisierung normal ist, und überträgt ein Ergebnis der Bestimmung als Antwort an die Vermittlungseinrichtung.
  • Bei der vorliegenden Erfindung kann das Computerprogramm in Aktualisierungsdaten zum Aktualisieren eines Steuerprogramms eingebunden sein, was es schwieriger macht, das Computerprogramm zu manipulieren, als wenn das Computerprogramm im Voraus auf der Steuereinrichtung gespeichert ist. Außerdem wird die Legitimität eines aktualisierten Steuerprogramms dadurch gewährleistet, dass die Vermittlungseinrichtung bzw. die mit der Vermittlungseinrichtung kommunikativ verbundene externe Einrichtung die Legitimität eines Digest-Werts des Aktualisierungssteuerprogramms überprüft.
  • Bei der vorliegenden Erfindung verwaltet die Vermittlungseinrichtung die Einrichtungsidentifikationsinformationen von Steuereinrichtung und die Programmidentifikationsinformationen von Steuerprogrammen, und somit ist die externe Einrichtung in der Lage, das Zielobjekt der Aktualisierung zu spezifizieren, indem sie die Einrichtungsidentifikationsinformationen der Steuereinrichtung, die Zielobjekt der Aktualisierung ist, und die Programmidentifikationsinformationen des Steuerprogramms, das Zielobjekt der Aktualisierung ist, von der Vermittlungseinrichtung erfasst.
  • Bei der vorliegenden Erfindung verschlüsselt die Vermittlungseinrichtung den Digest-Wert, der von der Steuereinrichtung übertragen wird, und überträgt den verschlüsselten Digest-Wert an die externe Einrichtung, und somit werden Manipulationen an dem Digest-Wert während der Übertragung des Digest-Werts über den Kommunikationskanal verhindert.
  • Bei der vorliegenden Erfindung werden Aktualisierungsdaten und das Computerprogramm erneut übertragen, falls beurteilt wird, dass das Steuerprogramm nach Aktualisierung nicht legitim ist, und somit werden Fehler bzw. Bugs im Steuerprogramm infolge von fehlenden Bits oder dergleichen verhindert.
  • Bei der vorliegenden Erfindung wird die Ausführung des Steuerprogramms beendet, falls beurteilt wird, dass das Steuerprogramm nach Aktualisierung nicht legitim ist, und somit wird der Betrieb einer in einem Fahrzeug installierten Einrichtung durch ein manipuliertes Steuerprogramm verhindert.
  • Bei der vorliegenden Erfindung wird das Steuerprogramm vor Aktualisierung wiederhergestellt, falls beurteilt wird, dass das Steuerprogramm nach Aktualisierung nicht legitim ist, und somit ist es mindestens möglich, den Betrieb der Steuereinrichtung im Zustand vor der Aktualisierung zu gewährleisten.
  • EFFEKT DER ERFINDUNG
  • Gemäß der vorliegenden Erfindung ist ein Computerprogramm, das ein Mittel zum Berechnen eines Digest-Werts in Bezug auf ein Aktualisierungssteuerprogramm, ein Mittel zum Bestimmen, ob der Betrieb nach der Aktualisierung normal ist, und ein Mittel zum Übertragen eines Ergebnisses der Bestimmung als Antwort an eine Vermittlungseinrichtung implementiert, in Aktualisierungsdaten zum Aktualisieren eines Steuerprogramms eingebunden, was es schwieriger macht, das Computerprogramm zu manipulieren, als wenn das Computerprogramm im Voraus auf der Steuereinrichtung gespeichert ist. Da außerdem das Computerprogramm auf der Seite erstellt werden kann, die die Aktualisierungsdaten verteilt, kann bei jeder Durchführung einer Aktualisierung der erwartete Wert für den Digest-Wert verändert werden, und dadurch können Manipulationen und Spoofing verhindert werden.
  • Außerdem ist die Vermittlungseinrichtung bzw. die mit der Vermittlungseinrichtung kommunikativ verbundene externe Einrichtung in der Lage, zu überprüfen, ob das Computerprogramm normal arbeitet bzw. ihr Betrieb normal ist, indem sie den von der Steuereinrichtung ausgegebenen Digest-Wert verifiziert, was es ermöglicht, die Legitimität des aktualisierten Steuerprogramms zu gewährleisten.
  • Figurenliste
    • 1 ist eine schematische Darstellung, die die Konfiguration eines Programmaktualisierungssystems gemäß einer Ausführungsform zeigt.
    • 2 ist ein Blockschaltbild, das die interne Konfiguration eines Gateways zeigt.
    • 3 ist ein Blockschaltbild, das die interne Konfiguration einer ECU veranschaulicht.
    • 4 ist ein Blockschaltbild, das die interne Konfiguration einer Servereinrichtung veranschaulicht.
    • 5 ist ein Ablaufdiagramm, das den Ablauf der von der Servereinrichtung ausgeführten Verarbeitung zeigt.
    • 6 ist ein Ablaufdiagramm, das den Ablauf der von einem Fahrzeug ausgeführten Verarbeitung zeigt.
    • 7 ist ein Ablaufdiagramm, das den Ablauf der Verarbeitung zum Verifizieren eines Digest-Werts zeigt.
  • AUSFÜHRUNGSFORMEN DER ERFINDUNG
  • Im Folgenden wird die vorliegende Erfindung anhand der Zeichnungen, die Ausführungsformen der Erfindung zeigen, im Speziellen beschrieben.
  • 1 ist eine schematische Darstellung, die die Konfiguration eines Programmaktualisierungssystems gemäß der vorliegenden Ausführungsform zeigt. Das in der Figur mit einer gestrichpunkteten Linie angedeutete Bezugszeichen 1 bezeichnet ein Fahrzeug, und in dem Fahrzeug 1 sind ein Gateway 10 und mehrere ECUs 30 installiert. In dem Fahrzeug 1 sind mehrere Kommunikationsgruppen vorgesehen, die von den mehreren ECUs 30 gebildet werden, die über einen Bus mit einer gemeinsamen Kommunikationsleitung verbunden sind, und das Gateway 10 vermittelt die Kommunikation zwischen den Kommunikationsgruppen. Somit sind mehrere Kommunikationsleitungen mit dem Gateway 10 verbunden. Außerdem ist das Gateway 10 kommunikativ mit einem drahtlosen Weitbereichsnetzwerk (WAN) N wie etwa einem öffentlichen Mobilfunknetz verbunden und dazu eingerichtet, von einer externen Einrichtung wie etwa einer Servereinrichtung 5 über das drahtlose Weitbereichsnetzwerk N empfangene Informationen an die ECUs 30 zu übertragen und von den ECUs 30 erfasste Informationen über das drahtlose Weitbereichsnetzwerk N an die externe Einrichtung zu übertragen.
  • Es sei angemerkt, dass bei der vorliegenden Ausführungsform eine Konfiguration gewählt ist, bei welcher das Gateway 10 direkt mit der externen Einrichtung kommuniziert, es kann aber auch eine Konfiguration gewählt werden, bei welcher eine Kommunikationseinrichtung mit dem Gateway 10 verbunden ist und das Gateway 10 über die verbundene Kommunikationseinrichtung mit der externen Einrichtung kommuniziert. Bei einer mit dem Gateway 10 verbundenen Kommunikationseinrichtung kann es sich um eine Einrichtung wie zum Beispiel ein Mobiltelefon, ein Smartphone, ein Tablet-artiges Endgerät oder einen Notebook-PC (Personal Computer) im Eigentum des Benutzers handeln.
  • 2 ist ein Blockschaltbild, das die interne Konfiguration eines Gateways 10 zeigt. Das Gateway 10 ist mit einer CPU (Zentralverarbeitungseinheit) 11, einem RAM (Random Access Memory - Schreib-Lese-Speicher mit wahlfreiem Zugriff) 12, einer Speichereinheit 13, einer Einheit 14 für fahrzeuginterne Kommunikation, einer Einheit 15 für drahtlose Kommunikation und dergleichen versehen.
  • Die CPU 11 veranlasst das Gateway 10 dazu, als Vermittlungseinrichtung gemäß der vorliegenden Erfindung zu funktionieren, indem sie ein oder mehrere in der Speichereinheit 13 gespeicherte Programme in den RAM 12 einliest und das eingelesene bzw. die eingelesenen Programme ausführt. Die CPU 11 ist in der Lage, mehrere Programme parallel auszuführen, indem sie zum Beispiel mittels Timesharing oder dergleichen zwischen den mehreren Programmen umschaltet und sie ausführt. Der RAM 12 ist durch ein Speicherelement wie einen SRAM (statischer RAM) oder einen DRAM (dynamischer RAM) gebildet und speichert vorübergehend von der CPU 11 auszuführende Programme, für die Ausführung der Programme erforderliche Daten und dergleichen.
  • Die Speichereinheit 13 ist unter Verwendung eines nichtflüchtigen Speicherelements wie etwa eines Flash-Speichers oder eines EEPROM (Electrically Erasable Programmable Read Only Memory - elektrisch löschbarer programmierbarer Nur-Lese-Speicher) oder unter Verwendung einer magnetischen Speichervorrichtung wie einer Festplatte oder dergleichen gebildet. Die Speichereinheit 13 weist einen Speicherbereich auf, in dem von der CPU 11 auszuführende Programme, zum Ausführen der Programme erforderliche Daten und dergleichen gespeichert sind.
  • Die mehreren ECUS 30 sind über die im Inneren des Fahrzeugs 1 angeordneten Kommunikationsleitungen mit der Einheit 14 für fahrzeuginterne Kommunikation verbunden. Die Einheit 14 für fahrzeuginterne Kommunikation kommuniziert gemäß einem Standard wie beispielsweise CAN (Controller Area Network), LIN (Local Interconnect Network), Ethernet (eingetragenes Warenzeichen) oder MOST (Media Oriented Systems Transport) mit den ECUs 30. Die Einheit 14 für fahrzeuginterne Kommunikation überträgt von der CPU 11 bereitgestellte Informationen an Zielobjekt-ECUs 30 und stellt von den ECUs 30 empfangene Informationen der CPU 11 bereit. Die Einheit 14 für fahrzeuginterne Kommunikation kann auch mittels anderer als den vorstehend genannten Kommunikationsstandards kommunizieren, die in dem fahrzeuginternen Netz benutzt werden.
  • Die Einheit 15 für drahtlose Kommunikation ist beispielsweise unter Verwendung einer Antenne und einer daran angebrachten Schaltung gebildet, die eine Verarbeitung ausführt, welche die Kommunikation unter Verwendung der Antenne betrifft, und weist eine Funktion zum Verbinden mit dem drahtlosen Weitbereichsnetzwerk N - bei dem es sich um ein öffentliches Mobilfunknetz oder dergleichen handelt - und Ausführen einer Kommunikationsverarbeitung auf. Die Einheit 15 für drahtlose Kommunikation überträgt von der CPU 11 bereitgestellte Informationen an eine externe Einrichtung wie etwa die Servereinrichtung 5, und stellt Informationen, die über das drahtlose Weitbereichsnetzwerk N, das von einer in den Figuren nicht gezeigten Basisstation gebildet wird, von der externen Einrichtung empfangen werden, an eine CPU 31 bereit.
  • Es sei angemerkt, dass eine Konfiguration gewählt werden kann, bei welcher das Gateway 10 anstelle der Einheit 15 für drahtlose Kommunikation mit einer Einheit für drahtgebundene Kommunikation versehen ist. Diese Einheit für drahtgebundene Kommunikation weist einen Verbinder auf, der sie über ein Kommunikationskabel, das einem Standard wie etwa USB (Universal Serial Bus) oder RS-232C entspricht, mit der Kommunikationseinrichtung verbindet, und kommuniziert mit der über das Kommunikationskabel verbundenen Kommunikationseinrichtung. Die Einheit für drahtgebundene Kommunikation überträgt von der CPU 11 bereitgestellte Informationen mittels drahtloser Kommunikation an die mit dem drahtlosen Weitbereichsnetzwerk N verbundene externe Einrichtung und stellt von der externen Einrichtung über das drahtlose Weitbereichsnetzwerk N empfangene Informationen der CPU 11 bereit.
  • 3 ist ein Blockschaltbild, das die interne Konfiguration einer ECU 30 veranschaulicht. Die ECU 30 ist zum Beispiel mit der CPU 31, einem RAM 32, einer Speichereinheit 33, einer Kommunikationseinheit 34 und dergleichen versehen und steuert verschiedene im Fahrzeug installierte Einrichtungen, die in den Figuren nicht gezeigt sind.
  • Die CPU 31 steuert den Betrieb der vorstehend erwähnten Hardware und veranlasst die ECU 30 dazu, als Steuereinrichtung gemäß der vorliegenden Erfindung zu funktionieren, indem sie ein oder mehrere im Voraus in der Speichereinheit 33 gespeicherte Programme in den RAM 32 einliest und das eingelesene bzw. die eingelesenen Programme ausführt. Der RAM 32 ist durch ein Speicherelement wie einen SRAM oder einen DRAM gebildet und speichert vorübergehend von der CPU 31 auszuführende Programme, für die Ausführung der Programme erforderliche Daten und dergleichen.
  • Die Speichereinheit 33 ist unter Verwendung eines nichtflüchtigen Speicherelements wie etwa eines Flash-Speichers oder eines EEPROM oder unter Verwendung einer magnetischen Speichervorrichtung wie einer Festplatte oder dergleichen gebildet. Die in der Speichereinheit 33 gespeicherten Informationen umfassen zum Beispiel ein Computerprogramm (im Weiteren „Steuerprogramm“), welches dazu dient, die CPU 31 dazu zu veranlassen, einer Verarbeitung zum Steuern einer im Fahrzeug installierten Einrichtung, die Zielobjekt der Steuerung ist, auszuführen.
  • Das Gateway 10 ist über eine in dem Fahrzeug 1 angeordnete Kommunikationsleitung mit der Kommunikationseinheit 34 verbunden. Die Kommunikationseinheit 34 kommuniziert gemäß einem Standard wie beispielsweise CAN (Controller Area Network), LIN (Local Interconnect Network), Ethernet (eingetragenes Warenzeichen) oder MOST (Media Oriented Systems Transport) mit dem Gateway 10. Die Kommunikationseinheit 34 überträgt von der CPU 31 bereitgestellte Informationen an das Gateway 10 und stellt der CPU 31 von dem Gateway 10 empfangene Informationen bereit. Die Kommunikationseinheit 34 kann mittels anderer als den vorstehend genannten Kommunikationsstandards kommunizieren, die in dem fahrzeuginternen Netz benutzt werden.
  • 4 ist ein Blockschaltbild, welches die interne Konfiguration der Servereinrichtung 5 veranschaulicht. Die Servereinrichtung 5 ist zum Beispiel mit einer CPU 51, einem ROM 52, einem RAM 53, einer Speichereinheit 54, einer Kommunikationseinheit 55 und dergleichen versehen.
  • Die CPU 51 steuert den Betrieb der vorstehend erwähnten Hardware und veranlasst die Servereinrichtung 5 dazu, als externe Einrichtung gemäß der vorliegenden Erfindung zu funktionieren, indem sie ein oder mehrere im Voraus in dem ROM 52 gespeicherte Programme in den RAM 53 einliest und das eingelesene bzw. die eingelesenen Programme ausführt. Der RAM 53 ist durch ein Speicherelement wie einen SRAM oder einen DRAM gebildet und speichert vorübergehend von der CPU 51 auszuführende Programme, für die Ausführung der Programme erforderliche Daten und dergleichen.
  • Die Speichereinheit 54 ist unter Verwendung eines nichtflüchtigen Speicherelements wie etwa eines Flash-Speichers oder eines EEPROM oder unter Verwendung einer magnetischen Speichervorrichtung wie einer Festplatte oder dergleichen gebildet. Die in der Speichereinheit 54 gespeicherten Informationen umfassen zum Beispiel Aktualisierungsdaten, die erforderlich sind, um die Steuerprogramme zu aktualisieren, welche von den in dem Fahrzeug 1 installierten ECUs 30 ausgeführt werden. Die Aktualisierungsdaten umfassen ein Aktualisierungssteuerprogramm, welches eine Steuerung für das teilweise oder vollständige Überschreiben des Steuerprogramms ausführt, das in einer ECU 30 gespeichert ist, die Zielobjekt der Aktualisierung ist.
  • Außerdem ist in den Aktualisierungsdaten ein Computerprogramm (im Weiteren „Antwortprogramm“) gespeichert, das von einer ECU 30 auszuführen ist, deren Steuerprogramm aktualisiert worden ist. Das Antwortprogramm ist als Computerprogramm ausgebildet, das eine ECU 30 dazu veranlasst, als Mittel zum Berechnen eines Digest-Werts in Bezug auf das Aktualisierungssteuerprogramm, Mittel zum Bestimmen, ob der Betrieb nach der Aktualisierung normal ist, und Mittel zum Übertragen eines Ergebnisses der Bestimmung als Antwort an das Gateway 10 zu funktionieren.
  • Die Kommunikationseinheit 55 weist zum Beispiel eine Verarbeitungsschaltung auf, die eine Verarbeitung in Bezug auf die Kommunikation ausführt, und weist eine Funktion zum Verbinden mit dem drahtlosen Weitbereichsnetzwerk N - bei dem es sich um ein öffentliches Mobilfunknetz oder dergleichen handelt - und Ausführen einer Kommunikationsverarbeitung auf. Die Kommunikationseinheit 55 überträgt von der CPU 51 bereitgestellte Informationen über das drahtlose Weitbereichsnetzwerk N an eine externe Einrichtung und stellt über das drahtlose Weitbereichsnetz N empfangene Informationen an die CPU 51 bereit.
  • Nachstehend wird das Verfahren zum Aktualisieren eines Steuerprogramms beschreiben.
  • 5 ist ein Ablaufdiagramm, das den Ablauf der von der Servereinrichtung 5 ausgeführten Verarbeitung zeigt. Es wird davon ausgegangen, dass Aktualisierungsdaten (Neuprogrammierungsdaten) zum Aktualisieren von Steuerprogrammen, die auf Seite des Fahrzeugs 1 von den ECUs 30 ausgeführt werden, verknüpft mit Versionsnummern der Steuerprogramme in der Speichereinheit 54 der Servereinrichtung 5 gespeichert sind. Die CPU 51 der Servereinrichtung 5 beurteilt, ob von dem Gateway 10 des Fahrzeugs 1 eine Anforderung nach Aktualisierungsdaten empfangen worden ist, an welche angehängt sind: die Fahrzeugnummer des Fahrzeugs 1, die Seriennummer der ECU 30, die Zielobjekt der Aktualisierung ist, und die Versionsnummer des Steuerprogramms, das Zielobjekt der Aktualisierung ist (Schritt S11). Wurde keine Anforderung empfangen (S11: NEIN), bleibt die CPU 51 in Bereitschaft, bis die Anforderung von dem Gateway 10 des Fahrzeugs 1 empfangen wird.
  • Ist die Anforderung empfangen worden (S11: JA), liest die CPU 51 die zu übertragenden Aktualisierungsdaten aus der Speichereinheit 54 aus und hängt eine elektronische Signatur der CA (Certification Authority) oder des entsprechenden OEM (Original Equipment Manufacturer) an die ausgelesenen Aktualisierungsdaten an (Schritt S12). Als Nächstes überträgt die CPU 51 die Aktualisierungsdaten, an welche die elektronische Signatur angehängt worden ist und die das vorstehend erwähnte Aktualisierungssteuerprogramm und Antwortprogramm umfassen, mittels der Kommunikationseinheit 55 an das Gateway 10 des Fahrzeugs 1, welches mit der ECU 30 versehen ist, die Zielobjekt der Aktualisierung ist (Schritt S13).
  • Es sei angemerkt, dass bei dem in 5 gezeigten Verarbeitungsablauf eine Konfiguration gewählt ist, bei welcher die ECU 30, die Zielobjekt der Aktualisierung ist, anhand der Fahrzeugnummer, der Seriennummer der ECU 30 und der Versionsnummer des Steuerprogramms spezifiziert wird, die an die Anforderung nach Aktualisierungsdaten angehängt sind; es kann jedoch auch eine Konfiguration gewählt werden, bei welcher die Fahrzeugnummer des Fahrzeugs 1, die Seriennummern der ECUs 30 und die Versionsnummern der Steuerprogramme, die in den ECUs 30 installiert sind, in der Speichereinheit 54 der Servereinrichtung 5 miteinander verknüpft gespeichert sind und die ECU 30, die Zielobjekt der Aktualisierung ist, auf Seite der Servereinrichtung 5 spezifiziert wird.
  • 6 ist ein Ablaufdiagramm, das den Ablauf der von einem Fahrzeug 1 ausgeführten Verarbeitung zeigt. Empfängt die Einheit 15 für drahtlose Kommunikation des Gateways 10 von der Servereinrichtung 5 übertragene Aktualisierungsdaten (Schritt S21), beurteilt die CPU 11 des Gateways 10, ob die elektronische Signatur in Bezug auf die empfangenen Aktualisierungsdaten legitim ist (Schritt S22). Indem das Gateway 10 vorab von der CA oder jedem OEM ein digitales Zertifikat erfasst, ist es in der Lage, anhand des digitalen Zertifikats zu beurteilen, ob die elektronische Signatur legitim ist.
  • Wird beurteilt, dass die elektronische Signatur der von der Servereinrichtung 5 empfangenen Aktualisierungsdaten nicht legitim ist (S22: NEIN), beendet die CPU 11 die Verarbeitung aus diesem Ablaufdiagramm.
  • Wird beurteilt, dass die elektronische Signatur der von der Servereinrichtung 5 empfangenen Aktualisierungsdaten legitim ist (S22: JA), überträgt die CPU 11 die empfangenen Aktualisierungsdaten über die Einheit 14 für fahrzeuginterne Kommunikation an die ECU 30, die Zielobjekt der Aktualisierung ist (Schritt S23).
  • Empfängt die Kommunikationseinheit 34 der ECU 30 die von dem Gateway 10 übertragenen Daten (Schritt S24), liest die CPU 31 der ECU 30 das in den empfangenen Aktualisierungsdaten enthaltene Aktualisierungssteuerprogramm in den RAM 32 ein und führt das Aktualisierungssteuerprogramm aus und führt eine Verarbeitung (Neuprogrammierung) zum Aktualisieren des in der Speichereinheit 33 gespeicherten Steuerprogramms aus (Schritt S25).
  • Beim Aktualisieren von Steuerprogrammen kann zum Beispiel OSGi-Technologie (Open Services Gateway initiative) benutzt werden. OSGi ist ein System, das das dynamische Hinzufügen, Ausführen und dergleichen von als „Bundles“ bezeichneten Programmen verwaltet und derart aufgebaut ist, dass auf der CPU 31 ein OSGi-Framework betrieben wird, das die Basis zur Ausführung der Bundles bildet. Man beachte, dass OSGi eine bestehende Technologie ist und daher eine detaillierte Beschreibung davon ausgelassen wird. Die CPU 31 kann Steuerprogramme auch unter Einsatz einer anderen Technologie als OSGi aktualisieren.
  • Wenn das Aktualisieren des Steuerprogramms abgeschlossen ist, liest die CPU 31 der ECU 30 das Antwortprogramm, das in den Aktualisierungsdaten enthalten ist, in den RAM 32 ein, führt das Antwortprogramm aus (Schritt S26) und veranlasst die ECU 30, als Mittel zum Berechnen eines Digest-Werts in Bezug auf das Aktualisierungskontrollprogramm, Mittel zum Bestimmen, ob der Betrieb nach der Aktualisierung normal ist, und Mittel zum Übertragen eines Ergebnisses der Bestimmung an das Gateway 10 zu funktionieren.
  • Die CPU 31 der ECU 30, die das Antwortprogramm ausgeführt hat, berechnet einen Digest-Wert für das Aktualisierungssteuerprogramm (Schritt S27). Der Digest-Wert, den die CPU 31 berechnet, kann ein Digest-Wert (Hashwert) sein, der mittels einer bekannten Hashfunktion abgeleitet ist, oder ein Digest-Wert, der mittels eines anderen Algorithmus wie etwa MD5 abgeleitet ist. Außerdem kann, falls das Aktualisierungssteuerprogramm durch eine Programmgruppe gebildet ist, die aus mehreren Programmen zusammengesetzt ist, der Digest-Wert nur eines vorbestimmten Programms berechnet werden. Der Digest-Wert kann aus Programmen einschließlich des Steuerprogramms nach Aktualisierung berechnet werden. Es sei angemerkt, dass davon ausgegangen wird, dass der Bereich zum Berechnen des Digest-Werts durch das Antwortprogramm definiert wird.
  • Als Nächstes bedient die CPU 31 eine Grundfunktion der ECU 30 und bestimmt, ob die Einrichtung, zu der sie gehört (die ECU 30 selbst) normal arbeitet (Schritt S28). Wird normaler Betrieb der Einrichtung festgestellt, zu der sie gehört (S28: JA), überträgt die CPU 31 den bei Schritt S27 berechneten Digest-Wert über die Kommunikationseinheit 34 zusammen mit einem Ergebnis der Bestimmung an das Gateway 10 (Schritt S29). Falls die Einrichtung, zu der sie gehört, nicht normal arbeitet (S28: NEIN), beendet die CPU 31 die Verarbeitung aus diesem Ablaufdiagramm.
  • Empfängt die CPU 11 des Gateways 10 ein Ergebnis der Bestimmung und den Digest-Wert, die von der ECU 30 mittels der Einheit 14 für fahrzeuginterne Kommunikation übertragen werden (Schritt S30), wird der empfangene Digest-Wert verschlüsselt (Schritt S31), und der verschlüsselte Digest-Wert wird über die Einheit 15 für drahtlose Kommunikation an die Servereinrichtung 5 übertragen (Schritt S32).
  • Es sei angemerkt, dass bei der vorliegenden Ausführungsform eine Konfiguration gewählt ist, bei welcher ein Digest-Wert für das Aktualisierungssteuerprogramm in der ECU 30 berechnet wird, und, falls beurteilt wird, dass die ECU 30 normal arbeitet, der berechnete Digest-Wert an das Gateway 10 übertragen wird, es kann aber auch eine Konfiguration gewählt werden, bei welcher unter Verwendung des Steuerprogramms nach Aktualisierung bestimmt wird, ob die ECU 30 normal arbeitet, und lediglich eine Verarbeitung zum Übertragen eines Ergebnisses der Bestimmung als Antwort an das Gateway 10 ausgeführt wird. In diesem Fall kann eine Konfiguration gewählt werden, bei welcher, wenn das Gateway 10 von der ECU 30 eine Antwort empfängt, die normalen Betrieb der ECU 30 angibt, das Gateway 10 den Digest-Wert für das Aktualisierungssteuerprogramm berechnet, das in den in Schritt S21 empfangenen Aktualisierungsdaten enthalten ist, und nachdem es den berechneten Digest-Wert verschlüsselt hat, den verschlüsselten Digest-Wert an die Servereinrichtung 5 überträgt.
  • 7 ist ein Ablaufdiagramm, das den Ablauf der Verarbeitung zum Verifizieren eines Digest-Werts zeigt. Wird der von dem Gateway 10 des Fahrzeugs 1 übermittelte verschlüsselte Digest-Wert mit der Kommunikationseinheit 55 empfangen (Schritt S41), entschlüsselt die CPU 51 der Servereinrichtung 5 den verschlüsselten Digest-Wert (Schritt S42). Es sei angemerkt, dass als Technik zum Verschlüsseln des Digest-Werts im Gateway 10 und Entschlüsseln des verschlüsselten Digest-Werts in der Servereinrichtung 5 eine bekannte Technik wie etwa ein Public-Key-Verschlüsselungsschema benutzt werden kann.
  • Als Nächstes vergleicht die CPU 51 der Servereinrichtung 5 den verschlüsselten Digest-Wert mit dem zuvor in der Speichereinheit 54 gespeicherten erwarteten Wert (Schritt S43) und beurteilt, ob die beiden Werte übereinstimmen (Schritt S44).
  • Falls beurteilt wird, dass die beiden Werte übereinstimmen (S44: JA), bestimmt die CPU 51, dass das Aktualisieren des Steuerprogramms in der ECU 30, die Zielobjekt der Aktualisierung ist, normal geendet hat (Schritt S45). Wird beurteilt wird, dass die beiden Werte nicht übereinstimmen (S44: NEIN), bestimmt die CPU 51, dass das Aktualisieren des Steuerprogramms in der ECU 30 nicht normal war (Schritt S46).
  • War das Aktualisieren des Steuerprogramms in der ECU 30 nicht normal, kann die Servereinrichtung 5 dazu eingerichtet sein, in der Speichereinheit 54 gespeicherte Aktualisierungsdaten erneut an die ECU 30 zu senden.
  • In dem Fall, dass das Aktualisieren des Steuerprogramms in der ECU 30 nicht normal war, könnten außerdem von der ECU 30 Operationen ausgeführt werden, die von der Verteilungsquelle des Steuerprogramms nicht beabsichtigt sind, und daher kann eine Konfiguration gewählt werden, bei welcher von der Servereinrichtung 5 an die Seite des Fahrzeugs 1 eine Meldung darüber gegeben wird, dass das Steuerprogramm zu beenden ist, und das Steuerprogramm beendet wird.
  • Weiterhin kann in dem Fall, dass das Aktualisieren des Steuerprogramms in der ECU 30 nicht normal war, die Servereinrichtung 5 dazu eingerichtet sein, über das Gateway 10 eine Meldung darüber zu übertragen, dass auf der ECU 30 das Steuerprogramm vor Aktualisierung wiederherzustellen ist, um das Steuerprogramm nach Aktualisierung, das in der Speichereinheit 33 der ECU 30 gespeichert ist, auf das Steuerprogramm vor Aktualisierung zurückzusetzen. Es sei angemerkt, dass das Steuerprogramm vor Aktualisierung in der Speichereinheit 54 der Speichereinrichtung 5, der Speichereinheit 13 des Gateways 10 oder der Speichereinheit 33 der ECU 30 gehalten werden kann. Erhält die ECU 30 die Meldung, die von der Servereinrichtung 5 übertragen wird, ist es möglich, den Originalzustand wiederherzustellen, indem die ECU 30 das Steuerprogramm vor Aktualisierung von seiner eigenen Speichereinheit 33, der Speichereinheit 13 des Gateways 10 oder der Speichereinheit 54 der Servereinrichtung 5 erfasst und das Steuerprogramm nach Aktualisierung mit dem Steuerprogramm vor Aktualisierung überschreibt.
  • Wie vorstehend beschrieben wurde, kann ein auszuführendes Computerprogramm (Antwortprogramm), das eine Verarbeitung zum Berechnen eines Digest-Werts des Steuerprogramms veranlasst sowie eine Verarbeitung zum Bestimmen, ob der Betrieb der ECU 30 normal ist, und eine Verarbeitung zum Übertragen des Digest-Werts an das Gateway 10, falls die ECU 30 normal arbeitet, bei der vorliegenden Erfindung in Aktualisierungsdaten zum Aktualisieren eines Steuerprogramms eingebunden sein, so dass es schwieriger wird, das Antwortprogramm zu manipulieren, als wenn das Antwortprogramm im Voraus in der ECU 30 gespeichert ist. Da außerdem das Antwortprogramm auf der Seite erstellt werden kann, die die Aktualisierungsdaten verteilt, kann bei jeder Durchführung einer Aktualisierung der erwartete Wert für den Digest-Wert verändert werden, und dadurch können Manipulationen und Spoofing verhindert werden.
  • Die vorliegend offenbarten Ausführungsformen sind in jeder Hinsicht veranschaulichend und nicht einschränkend zu verstehen. Der Schutzumfang der Erfindung wird durch die beigefügten Ansprüche und nicht durch die vorausgegangene Beschreibung angegeben, und alle Änderungen, die in die Bedeutung und den Äquivalenzbereich der Ansprüche fallen, gelten als darin eingeschlossen.
  • Bezugszeichenliste
    • 1
    Fahrzeug
    10
    Gateway
    11
    CPU
    12
    RAM
    13
    Speichereinheit
    14
    Einheit für fahrzeuginterne Kommunikation
    15
    Einheit für drahtlose Kommunikation
    30
    ECU
    31
    CPU
    32
    RAM
    33
    Speichereinheit
    34
    Kommunikationseinheit
    5
    Servereinrichtung
    51
    CPU
    52
    ROM
    53
    RAM
    54
    Speichereinheit
    55
    Kommunikationseinheit

Claims (7)

  1. Programmaktualisierungssystem, das umfasst: mehrere Steuereinrichtungen (30) mit: einem Speichermittel (13, 33) zum Speichern eines Steuerprogramms zum Steuern einer in einem Fahrzeug (1) installierten Einrichtung und einem Ausführungsmittel (11, 31, 51) zum Auslesen und Ausführen des Steuerprogramms; eine Vermittlungseinrichtung (10), die über eine Leitung für fahrzeuginterne Kommunikation mit den mehreren Steuereinrichtungen (30) verbunden ist, und eine externe Einrichtung (5), die über ein externes Kommunikationsnetz (N) mit der Vermittlungseinrichtung (10) verbunden ist und zum Speichern von Aktualisierungsdaten dient, die zum Aktualisieren des Steuerprogramms erforderlich sind; und bei welchem die Aktualisierungsdaten von der externen Einrichtung (5) an die Vermittlungseinrichtung (10) übertragen werden und das in dem Speichermittel (13, 33) der Steuereinrichtung (30) gespeicherte Steuerprogramm basierend auf den von der Vermittlungseinrichtung (10) empfangenen Aktualisierungsdaten aktualisiert wird; wobei die Aktualisierungsdaten umfassen: ein Aktualisierungssteuerprogramm für eine Steuereinrichtung (30), die Zielobjekt der Aktualisierung ist, und ein Computerprogramm, das implementiert: ein Mittel zum Berechnen eines Digest-Werts in Bezug auf das Aktualisierungssteuerprogramm, ein Mittel zum Bestimmen, ob der Betrieb der Steuereinrichtung (30) nach der Aktualisierung normal ist, und ein Mittel zum Übertragen eines Ergebnisses der Bestimmung des Bestimmungsmittels als Antwort an die Vermittlungseinrichtung (10); die Vermittlungseinrichtung (10) aufweist: ein Mittel zum Übertragen (14) der von der externen Einrichtung (5) empfangenen Aktualisierungsdaten an die Steuereinrichtung (30), die Zielobjekt der Aktualisierung ist; die Steuereinrichtung (30) aufweist: ein Mittel (34) zum Empfangen der von der Vermittlungseinrichtung (10) übertragenen Aktualisierungsdaten und ein Mittel (31) zum Aktualisieren des in dem Speichermittel (13, 33) gespeicherten Steuerprogramms unter Verwendung des in den empfangenen Aktualisierungsdaten enthaltenen Aktualisierungssteuerprogramms; und die Steuereinrichtung (30) durch Ausführen des in den Aktualisierungsdaten enthaltenen Computerprogramms bestimmt, ob der Betrieb nach der Aktualisierung normal ist, und ein Ergebnis der Bestimmung als Antwort an die Vermittlungseinrichtung (10) überträgt.
  2. Programmaktualisierungssystem nach Anspruch 1, wobei die Vermittlungseinrichtung (10) aufweist: ein Mittel (12) zum Speichern von Einrichtungsidentifikationsinformationen, welche die über die Leitung für fahrzeuginterne Kommunikation verbundenen Steuereinrichtungen (30) identifizieren, und Programmidentifikationsinformationen, welche die in den Steuermitteln der Steuereinrichtungen (30) gespeicherten Steuerprogramme identifizieren, und ein Mittel (15) zum Übertragen der Einrichtungsidentifikationsinformationen der Steuereinrichtung (30), in der ein Steuerprogramm gespeichert ist und die Zielobjekt der Aktualisierung ist, sowie der Programmidentifikationsinformationen des Steuerprogramms an die externe Einrichtung (5); und die externe Einrichtung (5) aufweist: ein Mittel (55) zum Empfangen der von der Vermittlungseinrichtung (10) übertragenen Einrichtungsidentifikationsinformationen und Programmiden tifikationsinformationen, ein Mittel zum Spezifizieren von an die Vermittlungseinrichtung (10) zu übertragenden Aktualisierungsdaten basierend auf den empfangenen Einrichtungsidentifikationsinformationen und Programmidentifikationsinformationen und ein Mittel zum Hinzufügen der Einrichtungsidentifikationsinformationen und der Programminformationsinformationen beim Übertragen der spezifizierten Aktualisierungsdaten an die Vermittlungseinrichtung (10).
  3. Programmaktualisierungssystem nach Anspruch 1 oder 2, wobei die Vermittlungseinrichtung (10) aufweist: ein Mittel zum Erfassen eines Digest-Werts in Bezug auf das Aktualisierungssteuerprogramm, ein Mittel zum Verschlüsseln des erfassten Digest-Werts und ein Mittel (15) zum Übertragen des verschlüsselten Digest-Werts an die externe Einrichtung (5); und die externe Einrichtung (5) aufweist: ein Mittel (55) zum Empfangen des von der Vermittlungseinrichtung (10) übertragenen verschlüsselten Digest-Werts, ein Mittel zum Entschlüsseln des empfangenen Digest-Werts, ein Mittel zum Vergleichen des entschlüsselten Digest-Werts mit einem im Voraus gespeicherten erwarteten Wert und ein Mittel zum Bestimmen einer Legitimität eines Steuerprogramms nach Aktualisierung in der Steuereinrichtung (30) basierend auf einem Ergebnis des Vergleichs.
  4. Programmaktualisierungssystem nach Anspruch 3, wobei die externe Einrichtung (5) aufweist: ein Mittel zum erneuten Übertragen gespeicherter Aktualisierungsdaten und des Computerprogramms über die Vermittlungseinrichtung (10) an die Steuereinrichtung (30), falls beurteilt wird, dass das Steuerprogramm nach Aktualisierung nicht legitim ist.
  5. Programmaktualisierungssystem nach Anspruch 3, wobei die externe Einrichtung (5) aufweist: ein Mittel zum Melden über die Vermittlungseinrichtung (10) an die Steuereinrichtung (30), dass die Ausführung des Steuerprogramms zu beenden ist, falls beurteilt wird, dass das Steuerprogramm nach Aktualisierung nicht legitim ist; und die Steuereinrichtung (30) aufweist: ein Mittel zum Beenden der Ausführung des Steuerprogramms, falls von der externen Einrichtung (5) eine Meldung empfangen wird, die anzeigt, dass die Ausführung des Steuerprogramms zu beenden ist.
  6. Programmaktualisierungssystem nach Anspruch 3, wobei die externe Einrichtung (5) und/oder die Vermittlungseinrichtung (10) und/oder die Steuereinrichtung (30) ein Mittel zum Halten des Steuerprogramms vor Aktualisierung aufweist; die externe Einrichtung (5) aufweist: ein Mittel zum Melden über die Vermittlungseinrichtung (10) an die Steuereinrichtung (30), dass das Steuerprogramm vor Aktualisierung wiederherzustellen ist, falls beurteilt wird, dass das Steuerprogramm nach Aktualisierung nicht legitim ist; und die Steuereinrichtung (30) aufweist: ein Mittel zum Erfassen des Steuerprogramms vor Aktualisierung, falls über die Vermittlungseinrichtung (10) eine Meldung empfangen wird, dass das Steuerprogramm vor Aktualisierung wiederherzustellen ist, und ein Mittel zum Zurücksetzen des in dem Speichermittel (13, 33) gespeicherten Steuerprogramms nach Aktualisierung auf das erfasste Steuerprogramm vor Aktualisierung.
  7. Programmaktualisierungsverfahren, bei welchem eine externe Einrichtung (5) an eine Vermittlungseinrichtung (10), die mit einer Steuereinrichtung (30) verbunden ist, welche Speichermittel (13, 33) zum Speichern eines Steuerprogramms zum Steuern einer in einem Fahrzeug (1) installierten Einrichtung und Ausführungsmittel (11, 31, 51) zum Auslesen und Ausführen des Steuerprogramms aufweist, Aktualisierungsdaten überträgt, die zum Aktualisieren des Steuerprogramms erforderlich sind, und das in dem Speichermittel (13, 33) der Steuereinrichtung (30) gespeicherte Steuerprogramm basierend auf den von der Vermittlungseinrichtung (10) empfangenen Aktualisierungsdaten aktualisiert wird, wobei die Aktualisierungsdaten umfassen: ein Aktualisierungssteuerprogramm für eine Steuereinrichtung (30), die Zielobjekt der Aktualisierung ist, und ein Computerprogramm, das implementiert: ein Mittel zum Berechnen eines Digest-Werts in Bezug auf das Aktualisierungssteuerprogramm, ein Mittel zum Bestimmen, ob der Betrieb der Steuereinrichtung (30) nach der Aktualisierung normal ist, und ein Mittel zum Übertragen eines Ergebnisses der Bestimmung des Bestimmungsmittels als Antwort an die Vermittlungseinrichtung (10); die Vermittlungseinrichtung (10): die von der externen Einrichtung (5) empfangenen Aktualisierungsdaten an die Steuereinrichtung (30), die Zielobjekt der Aktualisierung ist, überträgt; und die Steuereinrichtung (30): die von der Vermittlungseinrichtung (10) übertragenen Aktualisierungsdaten empfängt, das in dem Speichermittel (13, 33) gespeicherte Steuerprogramm unter Verwendung des in den empfangenen Aktualisierungsdaten enthaltenen Aktualisierungssteuerprogramms aktualisiert und durch Ausführen des in den Aktualisierungsdaten enthaltenen Computerprogramms bestimmt, ob der Betrieb nach der Aktualisierung normal ist, und ein Ergebnis der Bestimmung als Antwort an die Vermittlungseinrichtung (10) überträgt.
DE112014005412.7T 2013-11-27 2014-11-26 Programmaktualisierungssystem und Programmaktualisierungsverfahren Expired - Fee Related DE112014005412B4 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2013-245083 2013-11-27
JP2013245083A JP5949732B2 (ja) 2013-11-27 2013-11-27 プログラム更新システム及びプログラム更新方法
PCT/JP2014/081139 WO2015080108A1 (ja) 2013-11-27 2014-11-26 プログラム更新システム及びプログラム更新方法

Publications (2)

Publication Number Publication Date
DE112014005412T5 DE112014005412T5 (de) 2016-08-04
DE112014005412B4 true DE112014005412B4 (de) 2021-05-12

Family

ID=53199048

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112014005412.7T Expired - Fee Related DE112014005412B4 (de) 2013-11-27 2014-11-26 Programmaktualisierungssystem und Programmaktualisierungsverfahren

Country Status (5)

Country Link
US (1) US20160378457A1 (de)
JP (1) JP5949732B2 (de)
CN (1) CN105793824A (de)
DE (1) DE112014005412B4 (de)
WO (1) WO2015080108A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11212087B2 (en) 2016-08-09 2021-12-28 Kddi Corporation Management system, key generation device, in-vehicle computer, management method, and computer program

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015203766A1 (de) * 2015-03-03 2016-09-08 Robert Bosch Gmbh Teilsystem für ein Fahrzeug und entsprechendes Fahrzeug
JP6433844B2 (ja) * 2015-04-09 2018-12-05 株式会社ソニー・インタラクティブエンタテインメント 情報処理装置、中継装置、情報処理システム、およびソフトウェアアップデート方法
JP6477281B2 (ja) * 2015-06-17 2019-03-06 株式会社オートネットワーク技術研究所 車載中継装置、車載通信システム及び中継プログラム
JP6197000B2 (ja) 2015-07-03 2017-09-13 Kddi株式会社 システム、車両及びソフトウェア配布処理方法
JP6281535B2 (ja) * 2015-07-23 2018-02-21 株式会社デンソー 中継装置、ecu、及び、車載システム
US10217299B2 (en) * 2015-07-31 2019-02-26 Mitsubishi Electric Corporation Vehicular information communication system and vehicular information communication method
JP6238939B2 (ja) * 2015-08-24 2017-11-29 Kddi株式会社 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
JP2017049874A (ja) * 2015-09-03 2017-03-09 日本電気株式会社 情報処理装置、情報処理システム、制御方法、および制御プログラム
KR101704569B1 (ko) * 2015-09-09 2017-02-08 현대자동차주식회사 시동 기반 동적 차량 보안 통신 제어 방법 및 그를 위한 장치 및 시스템
JP6723829B2 (ja) * 2015-09-14 2020-07-15 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America ゲートウェイ装置、ファームウェア更新方法及び制御プログラム
EP4113287B1 (de) 2015-09-14 2024-03-06 Panasonic Intellectual Property Corporation of America Gateway-vorrichtung, netzwerksystem in einem fahrzeug und firmware-aktualisierungsverfahren
JP6675271B2 (ja) * 2015-09-14 2020-04-01 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America ゲートウェイ装置、車載ネットワークシステム及びファームウェア更新方法
US10437680B2 (en) 2015-11-13 2019-10-08 Kabushiki Kaisha Toshiba Relay apparatus, relay method, and computer program product
JP6678548B2 (ja) * 2015-11-13 2020-04-08 株式会社東芝 中継装置、中継方法およびプログラム
JP6190443B2 (ja) * 2015-12-28 2017-08-30 Kddi株式会社 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
JP6508067B2 (ja) * 2016-01-14 2019-05-08 株式会社デンソー 車両用データ通信システム
FR3050555B1 (fr) * 2016-04-21 2019-09-27 Thales Procede de traitement d'un fichier de mise a jour d'un equipement avionique d'un aeronef, produit programme d'ordinateur, dispositif electronique de traitement et systeme de traitement associes
JP6665728B2 (ja) 2016-08-05 2020-03-13 株式会社オートネットワーク技術研究所 車載更新装置、車載更新システム及び通信装置の更新方法
CN109314644B (zh) * 2016-08-10 2021-08-27 Kddi株式会社 数据提供***、数据保护装置、数据提供方法以及存储介质
US11212109B2 (en) 2016-08-10 2021-12-28 Kddi Corporation Data provision system, data security device, data provision method, and computer program
JP6696468B2 (ja) * 2016-08-30 2020-05-20 株式会社オートネットワーク技術研究所 車載更新装置及び車載更新システム
JP6658409B2 (ja) * 2016-09-02 2020-03-04 株式会社オートネットワーク技術研究所 車載更新システム、車載更新装置及び通信装置の更新方法
JP6756225B2 (ja) 2016-10-04 2020-09-16 株式会社オートネットワーク技術研究所 車載更新システム、車載更新装置及び更新方法
JP6724717B2 (ja) * 2016-10-25 2020-07-15 株式会社オートネットワーク技術研究所 車載機器判定システム
JP6729305B2 (ja) * 2016-11-01 2020-07-22 株式会社オートネットワーク技術研究所 車載中継装置
WO2018139296A1 (ja) * 2017-01-25 2018-08-02 日立オートモティブシステムズ株式会社 車両制御装置およびプログラム更新システム
JP6784178B2 (ja) * 2017-01-27 2020-11-11 住友電気工業株式会社 車載通信システム、ゲートウェイ、スイッチ装置、通信制御方法および通信制御プログラム
JP6525105B2 (ja) * 2017-02-01 2019-06-05 住友電気工業株式会社 制御装置、プログラム更新方法、およびコンピュータプログラム
EP3399410A1 (de) * 2017-05-04 2018-11-07 Volvo Car Corporation Verfahren und system zur software-installation in einem fahrzeug
US11194562B2 (en) * 2017-05-19 2021-12-07 Blackberry Limited Method and system for hardware identification and software update control
JP6785720B2 (ja) 2017-05-29 2020-11-18 日立オートモティブシステムズ株式会社 車両用制御装置及びプログラム書き換え方法
JP6897417B2 (ja) * 2017-08-16 2021-06-30 住友電気工業株式会社 制御装置、制御方法、およびコンピュータプログラム
JP6440334B2 (ja) * 2017-08-18 2018-12-19 Kddi株式会社 システム、車両及びソフトウェア配布処理方法
JP6773617B2 (ja) * 2017-08-21 2020-10-21 株式会社東芝 更新制御装置、ソフトウェア更新システムおよび更新制御方法
JP6354099B2 (ja) * 2017-09-28 2018-07-11 Kddi株式会社 データ提供システム及びデータ提供方法
JP6454919B2 (ja) * 2017-10-10 2019-01-23 Kddi株式会社 管理システム、データ提供装置、車載コンピュータ、管理方法、及びコンピュータプログラム
JP6554704B2 (ja) * 2017-10-18 2019-08-07 Kddi株式会社 データ提供システム及びデータ提供方法
JP6476462B2 (ja) * 2017-10-30 2019-03-06 Kddi株式会社 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
JP6922667B2 (ja) * 2017-11-06 2021-08-18 株式会社オートネットワーク技術研究所 プログラム更新装置、プログラム更新システム及びプログラム更新方法
EP3742665A4 (de) 2018-01-19 2021-08-18 Renesas Electronics Corporation Halbleiterbauelement, aktualisierungsdatenbereitstellungsverfahren, aktualisierungsdatenempfangsverfahren und programm
JP7006335B2 (ja) 2018-02-06 2022-01-24 トヨタ自動車株式会社 車載通信システム、車載通信方法、およびプログラム
JP7010049B2 (ja) * 2018-02-16 2022-01-26 トヨタ自動車株式会社 車両制御装置、プログラムの更新確認方法および更新確認プログラム
JP7225596B2 (ja) * 2018-07-30 2023-02-21 トヨタ自動車株式会社 プログラム更新システム、プログラム更新サーバーおよび車両
JP2018170806A (ja) * 2018-08-09 2018-11-01 Kddi株式会社 通信システム、通信方法、及びプログラム
JP7003975B2 (ja) * 2018-08-10 2022-01-21 株式会社デンソー 車両情報通信システム,センター装置及びセンター装置のメッセージ送信方法
JP7003976B2 (ja) * 2018-08-10 2022-01-21 株式会社デンソー 車両用マスタ装置、更新データの検証方法及び更新データの検証プログラム
WO2020032198A1 (ja) * 2018-08-10 2020-02-13 株式会社デンソー センター装置,車両情報通信システム,配信パッケージ送信方法及び配信パッケージの送信プログラム
KR102526968B1 (ko) * 2018-09-18 2023-04-28 현대자동차주식회사 차량 및 그 제어 방법
JP6780724B2 (ja) * 2019-03-18 2020-11-04 株式会社オートネットワーク技術研究所 車載更新装置、更新処理プログラム及び、プログラムの更新方法
KR20210158704A (ko) * 2020-06-24 2021-12-31 현대자동차주식회사 데이터 처리 장치, 그를 가지는 차량
JP2022163546A (ja) * 2021-04-14 2022-10-26 日立Astemo株式会社 制御装置及び制御システム
EP4105086A1 (de) 2021-06-14 2022-12-21 Volkswagen Ag Verfahren für ein mobiles relaissystem, verfahren für benutzergerät, verfahren für einen anwendungsserver, einrichtung, fahrzeug und computerprogramm
JP2023002161A (ja) * 2021-06-22 2023-01-10 トヨタ自動車株式会社 センタ、otaマスタ、方法、プログラム、及び車両

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6975612B1 (en) * 1999-06-14 2005-12-13 Sun Microsystems, Inc. System and method for providing software upgrades to a vehicle
US20110197187A1 (en) * 2010-02-08 2011-08-11 Seung Hyun Roh Vehicle software download system and method thereof
US20120124571A1 (en) * 2010-11-12 2012-05-17 Clarion Co., Ltd. Online update method for vehicle-mounted device

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US376711A (en) * 1888-01-17 Chaeles l
US7975305B2 (en) * 1997-11-06 2011-07-05 Finjan, Inc. Method and system for adaptive rule-based content scanners for desktop computers
JP4622177B2 (ja) * 2001-07-06 2011-02-02 株式会社デンソー 故障診断システム、車両管理装置、サーバ装置、及び検査診断プログラム
JP2004326689A (ja) * 2003-04-28 2004-11-18 Nissan Motor Co Ltd 車載機器のソフトウェア書き換え方法、テレマティクスシステムおよびテレマティクス装置
US7366589B2 (en) * 2004-05-13 2008-04-29 General Motors Corporation Method and system for remote reflash
US10289688B2 (en) * 2010-06-22 2019-05-14 International Business Machines Corporation Metadata access in a dispersed storage network
GB0612775D0 (en) * 2006-06-28 2006-08-09 Ibm An apparatus for securing a communications exchange between computers
US7788234B2 (en) * 2007-08-23 2010-08-31 Microsoft Corporation Staged, lightweight backup system
CN101729289B (zh) * 2008-11-03 2012-04-04 华为技术有限公司 平台完整性认证方法及***、无线接入设备和网络设备
JP4655141B2 (ja) * 2008-12-08 2011-03-23 株式会社デンソー 車載無線通信装置及びローミングリスト更新システム
JP2011003020A (ja) * 2009-06-18 2011-01-06 Toyota Infotechnology Center Co Ltd コンピューターシステムおよびプログラム起動方法
CN102236752B (zh) * 2010-05-04 2014-10-22 航天信息股份有限公司 软件安装和升级的可信度量方法
JP2013137729A (ja) * 2011-11-29 2013-07-11 Auto Network Gijutsu Kenkyusho:Kk プログラム書換システム、制御装置、プログラム配信装置、識別情報記憶装置、及びプログラム書換方法
CN102662692B (zh) * 2012-03-16 2015-05-27 北京经纬恒润科技有限公司 一种电子控制单元中应用程序的更新方法及***
US9659175B2 (en) * 2012-05-09 2017-05-23 SunStone Information Defense Inc. Methods and apparatus for identifying and removing malicious applications
US9858064B2 (en) * 2012-08-16 2018-01-02 Ford Global Technologies, Llc Methods and apparatus for vehicle computing system software updates
JP2014241465A (ja) * 2013-06-11 2014-12-25 株式会社東芝 署名生成装置、署名生成方法、署名生成プログラム、及び電力使用量計算システム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6975612B1 (en) * 1999-06-14 2005-12-13 Sun Microsystems, Inc. System and method for providing software upgrades to a vehicle
US20110197187A1 (en) * 2010-02-08 2011-08-11 Seung Hyun Roh Vehicle software download system and method thereof
US20120124571A1 (en) * 2010-11-12 2012-05-17 Clarion Co., Ltd. Online update method for vehicle-mounted device

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11212087B2 (en) 2016-08-09 2021-12-28 Kddi Corporation Management system, key generation device, in-vehicle computer, management method, and computer program

Also Published As

Publication number Publication date
US20160378457A1 (en) 2016-12-29
DE112014005412T5 (de) 2016-08-04
JP5949732B2 (ja) 2016-07-13
CN105793824A (zh) 2016-07-20
WO2015080108A1 (ja) 2015-06-04
JP2015103163A (ja) 2015-06-04

Similar Documents

Publication Publication Date Title
DE112014005412B4 (de) Programmaktualisierungssystem und Programmaktualisierungsverfahren
DE102011081804B4 (de) Verfahren und System zum Bereitstellen von gerätespezifischen Betreiberdaten, welche an ein Authentisierungs-Credential gebunden werden, für ein Automatisierungsgerät einer Automatisierungsanlage
EP1959606B1 (de) Sicherheitseinheit
DE69923466T2 (de) Vorrichtung zur überprüfung der integrität und berechtigung eines computerprogramms vor seiner ausführung auf einer lokalen plattform
DE112014000623T5 (de) Zugriffbeschränkungseinrichtung, Bord-Kommunikationssystem und Verfahren zur Kommunikationsbeschränkung
DE112017005384T5 (de) Fahrzeuggebundenes Vorrichtungsermittlungssystem und Informationssammelvorrichtung
EP3264208B1 (de) Verfahren zum aktualisieren von prozessobjekten in einem engineerings-system
EP2689553B1 (de) Kraftwagen-steuergerät mit kryptographischer einrichtung
DE102015203776A1 (de) Verfahren zur Programmierung eines Steuergeräts eines Kraftfahrzeugs
DE102014205460A1 (de) Fahrzeugeigenes Datenübertragungssystem und fahrzeugeigene Vermittlungsvorrichtung
DE102013108020A1 (de) Authentifizierungsschema zum Aktivieren eines Spezial-Privileg-Modus in einem gesicherten elektronischen Steuergerät
DE112012003795T5 (de) Fahrzeugnetwerksystem und Fahrzeug-Informationsverarbeitungsverfahren
DE102013108022A1 (de) Verfahren zum Aktivieren des Entwicklungsmodus eines gesicherten elektronischen Steuergeräts
DE112016005669T5 (de) Bord-Kommunikationseinrichtung, Bord-Kommunikationssystem und Verfahren zum Verbieten spezieller Verarbeitungen für ein Fahrzeug
DE112018002998T5 (de) Aktualisierungssteuervorrichtung, Steuerverfahren und Computerprogramm
EP3337085B1 (de) Nachladen kryptographischer programminstruktionen
DE112020001126T5 (de) Fahrzeugsteuergerät
WO2020048847A1 (de) Verwalten von lizenzen für soft-ip auf einem partiell rekonfigurierbaren hardware-system
DE102007040094B4 (de) Verfahren und System zur reversiblen Durchführung von Konfigurationsänderungen
DE102018217431A1 (de) Sicherer Schlüsseltausch auf einem Gerät, insbesondere einem eingebetteten Gerät
DE102017221335A1 (de) Fahrzeuginterne elektronische steuereinheit, fahrzeuginternes elektronisches steuersystem und repeater
DE102023110645A1 (de) Sicherheitsverfahren und Sicherheitsvorrichtung
DE102015211668B4 (de) Verfahren und Vorrichtung zur Erhöhung der Sicherheit bei einer Fernauslösung, Kraftfahrzeug
DE102011081803A1 (de) Verfahren und System zum Bereitstellen von gerätespezifischen Eigenschaftsdaten für ein Automatisierungsgerät einer Automatisierungsanlage
EP1455312B1 (de) Verfahren und Einrichtung zur Wartung von sicherheitsrelevanten Programmcode eines Kraftfahrzeuges

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee