CN104572320B - 用于确认校正程序的方法以及信息处理设备 - Google Patents
用于确认校正程序的方法以及信息处理设备 Download PDFInfo
- Publication number
- CN104572320B CN104572320B CN201410525010.7A CN201410525010A CN104572320B CN 104572320 B CN104572320 B CN 104572320B CN 201410525010 A CN201410525010 A CN 201410525010A CN 104572320 B CN104572320 B CN 104572320B
- Authority
- CN
- China
- Prior art keywords
- information
- unit
- program
- software
- update
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000010365 information processing Effects 0.000 title claims abstract description 12
- 238000012545 processing Methods 0.000 claims abstract description 53
- 230000005540 biological transmission Effects 0.000 claims abstract description 25
- 238000012937 correction Methods 0.000 abstract description 8
- 230000006870 function Effects 0.000 description 31
- 238000004891 communication Methods 0.000 description 26
- 230000007547 defect Effects 0.000 description 17
- 230000015654 memory Effects 0.000 description 14
- 238000012360 testing method Methods 0.000 description 13
- 238000009434 installation Methods 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 9
- 238000002360 preparation method Methods 0.000 description 7
- 239000004065 semiconductor Substances 0.000 description 6
- 238000011900 installation process Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000002950 deficient Effects 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1415—Saving, restoring, recovering or retrying at system level
- G06F11/1433—Saving, restoring, recovering or retrying at system level during software upgrading
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
- G06F8/654—Updates using techniques specially adapted for alterable solid state memories, e.g. for EEPROM or flash memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Quality & Reliability (AREA)
- Stored Programmes (AREA)
Abstract
本申请涉及用于确认校正程序的方法以及信息处理设备。第一接收单元从控制单元接收第一信息即关于控制程序的信息,该控制单元执行用于对装载到汽车上的装备进行控制的控制程序。计算单元基于所接收的第一信息计算第二信息,该第二信息是当将关于控制程序的校正程序应用到控制单元时控制程序的状态。发送单元将校正程序发送到控制单元。第二接收单元从控制单元接收第三信息,该第三信息是在将所发送的校正程序应用到控制单元之后关于控制程序的状态的信息。比较单元将所接收的第三信息与计算的第二信息进行比较。判断单元基于比较的结果来判断将校正程序应用到控制单元的处理是否已成功。
Description
技术领域
本文中讨论的实施方式涉及用于经由网络来更新软件的方法。
背景技术
用于更新信息处理器的软件的方法的示例包括其中信息处理器从经由网络连接的更新服务器获取更新软件并且将所获取的更新软件应用到该信息处理器的方法。用于经由网络来更新软件的方法的示例包括下述第一技术和第二技术这两个技术。
在第一技术中,首先,在供应商系统中获取包括在用户系统中安装的软件信息和硬件信息的用户系统信息。接着,基于所获取的用户系统信息来构造测试环境,在测试环境中对应用了软件更新补丁的系统的操作进行验证,并确认在测试环境中系统是否正常工作。当确认正常操作时,将软件更新补丁发送到用户系统,并且用户系统通过应用软件更新补丁来更新自己的系统。
在第二技术中,客户系统信息被保留,客户系统信息包括指示引入客户系统的OS(操作系统)和应用的信息以及补丁详细信息,补丁详细信息包括指定可以应用该补丁的OS和应用的条件的独有条件。然后,基于客户系统信息和补丁详细信息来确定将补丁应用到客户系统的有效性或者无效性。当确定了应用该补丁有效时,将该补丁发送到客户系统,并且发出应用补丁的指示。
下述文献中的每个文献中所描述的技术是公知的。
公开号为2005-107803的日本特许公开专利申请。
公开号为2004-102379的日本特许公开专利申请。
发明内容
在对汽车上的更新目标的软件进行操作时,可以装载到汽车中的计算机的资源很少,因此,当更新处理失败时,难以保护用于恢复的资源。而且,人们希望减少施加到装载到汽车中的计算机上的负担。因此,以可靠的方式确认软件的更新处理是成功还是失败变得很重要。
然而,上述第一技术和第二技术没有公开在更新服务器端对汽车上的软件操作是成功还是失败进行确认。
因此,本实施方式的一个方面提供了如下方法:更新服务器对应用更新软件是成功还是失败进行确认,其中,更新服务器将该更新软件发送到汽车以应用该更新软件。
根据实施方式的一个方面,提供了用于确认由计算机执行的校正程序的方法,该方法包括:从控制单元接收第一信息即关于控制程序的信息,该控制单元执行用于对装载到汽车上的装备进行控制的控制程序,该控制单元被装载在汽车上;基于所接收的第一信息计算第二信息,该第二信息是当将关于控制程序的校正程序应用到控制单元时控制程序的状态;将校正程序发送到控制单元;从控制单元接收第三信息,该第三信息是在将所发送的校正程序应用到控制单元之后关于控制程序的状态的信息;将所接收的第三信息与计算的第二信息进行比较;以及基于比较的结果来判断将校正程序应用到控制单元的处理是否已成功。
附图说明
图1是示出了信息处理器的示例的配置的功能框图。
图2示出了根据本实施方式的信息处理系统的配置的示例。
图3示出了汽车和更新服务器的顺序图的示例。
图4示出了根据本实施方式的更新服务器的配置的示例。
图5示出了白名单X的配置的示例。
图6示出了白名单Y的配置的示例。
图7示出了白名单Z的配置的示例。
图8示出了状态信息的数据配置的示例。
图9示出了更新指示的数据配置的示例。
图10示出了最终指示的数据配置的示例。
图11示出了密钥管理信息的示例,认证单元针对该密钥管理信息对公用密钥和车载装备的散列函数进行管理。
图12示出了根据本实施方式的车载装备的配置的示例。
图13示出了根据本实施方式的ECU的配置的示例。
图14是示出了更新服务器的处理内容的流程图。
图15是示出了车载装备的处理内容的流程图。
图16是示出了ECU的处理内容的流程图。
图17示出了更新服务器的硬件配置的示例。
图18示出了车载装备的硬件配置的示例。
图19示出了用于实现ECU的软件的更新功能的方法的示例(1号)。
图20示出了用于实现ECU的软件的更新功能的方法的示例(2号)。
图21示出了信息处理系统的修改的示例的配置的示例。
具体实施方式
图1是示出了信息处理器的示例的配置的功能框图。在图1中,信息处理器10包括第一接收单元1、计算单元2、发送单元3、第二接收单元 4、比较单元5、判断单元6、最终指示单元7以及状态确定单元8。
第一接收单元1是执行控制程序以控制装载到汽车上的装备的控制单元,并且第一接收单元1从装载到汽车上的控制单元接收第一信息即关于控制程序的状态的信息。
计算单元2基于所接收的第一信息计算第二信息,该第二信息是在将关于控制程序的校正程序应用到控制单元时控制程序的状态。
发送单元3将校正程序发送到控制单元。
第二接收单元4从控制单元接收第三信息,该第三信息是在将所发送的校正程序应用到控制单元时关于控制程序的状态的信息。
比较单元5将由第二接收单元4接收的第三信息与由计算单元2计算的第二信息进行比较。
判断单元6基于由比较单元5比较的结果来判断将校正程序应用到控制单元的处理是否已成功。
当判断单元6判断将校正程序应用到控制单元的处理已成功时,最终指示单元7向控制单元发送用于使应用了校正程序的控制程序生效的指示。当由判断单元6判断将校正程序应用到控制单元的处理已失败时,最终指示单元7向控制单元发送用于对应用校正程序的回退处理的指示。
状态确定单元8基于由第一接收单元1接收的第一信息来确定控制程序的状态是否正常。当状态确定单元8确定控制程序的状态正常时,发送单元3将校正程序发送到控制单元。
第一信息和第三信息是由被装载到TPM(可信平台模块)上的功能确认了可靠性的软件准备的信息。
图2示出了根据本实施方式被装载到汽车上的ECU(电子控制单元) 的更新系统的示例。
在图2中,更新系统20包括汽车21和更新服务器22。汽车21包括车载装备23和ECU24A、ECU24B以及ECU24C。更新服务器22和车载装备23经由网络连接。车载装备23和ECU24经由网络或者总线连接。连接更新服务器22和车载装备23的网络的示例包括例如无线网络。连接 ECU24和车载装备23的网络的示例包括例如CAN(控制器局域网)和 FlexRay。在下述说明中,当不对ECU24A、ECU24B以及ECU24C进行特别区分时,将ECU24A、ECU24B以及ECU24C简称为ECU24。
车载装备23是能够经由网络与更新服务器22进行信息通信的装备。车载装备23从更新服务器22接收更新软件并且给出将所接收的更新软件应用到更新目标的ECU24的指示。车载装备23进一步收集指示在每个 ECU处工作的软件的状态的配置信息,并且将该配置信息发送到更新服务器22。对车载装备23不进行具体限定,只要车载装备23能够与更新服务器22和每个ECU通信,车载装备23可以是能够安装在汽车21上的导航装置或者智能电话。
ECU24控制包括用于控制引擎和引擎操作的各种类型的传感器的传感器系统。当ECU24从车载装备23接收收集配置信息的指示时,ECU24 获取ECU24自己的配置信息并且将该配置信息报告给车载装备23。ECU 24进一步从车载装备23接收更新软件的指示,并且根据被指示的内容来更新ECU24自己的软件。软件的更新分两个阶段进行,即,安装更新软件的处理和使更新软件生效的处理。使更新软件生效是在从更新服务器 22接收到使更新生效的指示之后进行的。软件的配置信息包括例如用于软件的每种类型的参数,当这些参数正常时,由这些参数来保障软件的正常性。
更新服务器22向车载装备23发送获取ECU24的配置信息的请求,并且作为对该请求的响应,更新服务器22接收ECU24的配置信息。更新服务器22基于所接收的配置信息来掌握汽车21的每个ECU24的状态并且选择最适当的更新软件。更新服务器22通过使用具有与该交通工具相似的配置的真机或者根据配置信息而准备了的模拟器来计算白名单,在该白名单中,当应用所选择的软件成功时的每个软件的配置信息的值被存储。然后,更新服务器22向车载装备23发送用于应用所选择的更新软件的指示。此后,更新服务器22从车载装备23接收应用了更新软件之后的配置信息,并且基于所接收的配置信息与白名单来确定软件的更新是否已成功。当确定软件的更新已成功时,更新服务器22指示车载装备23使更新软件生效,并且当确定软件的更新已失败时,更新服务器22指示车载装备23对更新处理进行回退。
同时,更新软件可以是具有被应用到其中发现了缺陷的软件的格式的软件;或者可以是具有用其中发现了缺陷的软件来替换的软件的格式的软件。具体而言,更新软件是软件补丁。
通过采用这种配置,软件的更新是成功还是失败由更新服务器22来确定,并且当确定更新已成功时,实际更新被体现,因此,更新后的ECU 24的可靠性得到改进并且可以事先防止更新后的ECU24的任何缺陷。而且,因为更新服务器22选择适当的更新软件,所以可以减少由汽车21 的每个ECU24的软件的更新对ECU24和车载装备23造成的负担。
图3示出了根据本实施方式的汽车21和更新服务器22的顺序图的示例。
首先,更新服务器22向汽车21发送获取ECU24的配置信息的请求 (S101)。汽车21在接收获取配置信息的请求时从每个ECU24收集配置信息并且将所收集的配置信息发送到更新服务器22(S102)。更新服务器 22在接收配置信息时基于所接收的配置信息来确定软件是否可以被更新。当确定软件可以被更新时,更新服务器22选择更新软件并且计算白名单,在该白名单中,当应用所选择的软件成功时的软件的每个单元的配置信息的值被存储。然后,更新服务器22将所选择的更新软件发送到汽车21(S103)。汽车21在接收更新软件时进行安装该软件的处理。然而此时汽车21没有使软件的更新内容生效。接着,汽车21获取安装该更新软件的处理之后的配置信息并且将该配置信息发送到更新服务器22 (S104)。更新服务器22在接收安装该更新软件的处理之后的配置信息时,通过将所接收的配置信息与白名单的值进行比较来验证软件是否已经被正常地更新。然后,更新服务器22基于软件的更新是成功还是失败向汽车21发送最终指示(S105)。在最终指示中,当确定安装该更新软件的处理已经被正常地进行时给出用于使更新内容生效的指示。另一方面,在最终指示中,当确定安装该更新软件的处理没有被正常地进行时向汽车 21给出用于回退的指示。汽车21在接收最终指示时根据所指示的内容进行固定该更新的处理。即,汽车21在接收使更新软件生效的指示时,汽车21使更新软件生效,并且汽车21在接收用于回退的指示时,汽车21进行回退。
图4示出了根据本实施方式的更新服务器的配置的示例。
更新服务器22包括管理单元31、认证单元32、状态信息获取单元 33、确定单元34、选择单元35、验证单元36,存储单元37以及历史管理单元38。更新服务器22是信息处理器10的示例。状态信息获取单元 33是第一接收单元1和第二接收单元4的示例。选择单元35是计算单元 2和发送单元3的示例。验证单元36是比较单元5、判断单元6以及最终指示单元7的示例。确定单元34是状态确定单元8的示例。
管理单元31在存储单元37中存储在更新服务器22的管理目标交通工具被装运的时刻之前软件的配置信息。在下述说明中,其中存储了装运前的每个ECU24的软件的配置信息的软件管理信息被称为白名单X (40)。
图5中示出了白名单X(40)的配置的示例。白名单X(40)包括的数据项中包括软件名称41、制造商42、类型43、散列值44、散列值获取方法45、软件实体46以及注册日期47。假设白名单X(40)针对每个交通工具来进行管理。
软件名称41是用于唯一地标识可以被装载到交通工具上的软件的信息。制造商42是软件的制造商的名称的信息。类型43是表示软件在其中工作的ECU24的类型的信息。散列值44是作为散列值获取方法45的结果而获取的值,该散列值获取方法45用于获取软件的配置信息的散列值。散列值44被用于确定软件是否处于正常状态。当从软件获取的配置信息的散列值与散列值44的值匹配时,软件被确定为正常。散列值获取方法 45是用于获取散列值44的方法。散列值获取方法45进一步通过将车载装备23与软件名称关联来保持车载装备23。软件实体46存储软件的实体,即,软件的二进制数据。注册日期47是记录的软件在软件管理信息中注册的日期。在软件实体46中还可以将存储区域的地址进行存储,在该存储区域的地址中存储软件的真实文件。
当在软件中发现了缺陷时,管理单元31获取更新软件,即用于对其中发现了缺陷的软件进行校正的软件。例如,管理单元31从其中发现了缺陷的软件的制造商获取更新目标软件的名称41以及该更新软件。然后,管理单元31准备新的白名单Y,该白名单Y是白名单X(40)的复制品,并且从白名单Y中提取与获取了的更新目标软件名称41匹配的记录。然后,管理单元31将所提取的记录的每个字段的信息更新到所获取的更新软件的信息中。更新软件可以从连接到更新服务器22的另一信息处理器输入,或者可以由用户输入。管理单元31将准备的白名单Y存储在存储单元37中。
图6示出了白名单Y(50)的配置的示例。白名单Y(50)的数据结构与白名单X(40)的数据结构相似。在图6的示例中,示出了下述示例:在该示例中发现了针对“A-FF03”的缺陷,该“A-FF03”是图5的白名单X(40)中的软件名称41,并且获取了作为“A-FF03”的更新软件的“A-FF04”。与图5的白名单X(40)相比,在图6的白名单Y(50)中,软件名称41为“A-FF03”的记录信息被更新成“A-FF04”的信息。
管理单元31进一步指定其中当将更新软件应用到其中发现了缺陷的软件时受到影响的软件的软件的范围。
当有缺陷的软件被校正时,该软件的输出值可能会改变。因此,管理单元31指定当应用更新软件时受到影响的例如下述软件。此处,为了说明的目的,请考虑在ECU24的指定软件中发现了缺陷并且将其中发现了该缺陷的软件称为软件X的情况。管理单元31指定其中将来自软件X的输出值定义为输入的软件(称为软件Y),该来自软件X的输出值根据对软件X的校正而改变。管理单元31还指定其中将来自软件Y的输出值定义为输入的软件,该来自软件Y的输出值根据对软件X的校正而改变。类似地,管理单元31还指定其中将来自新指定的软件的输出值定义为输入的软件,该来自新指定的软件的输出值根据对软件X的校正而改变。以这种方式,管理单元31指定受到对软件X的校正的影响的软件。
而且,当有必要校正时,管理单元31针对受到对软件X的校正的影响的软件的每个单元从外部获取该软件的更新软件。然后,如果有必要校正软件,则管理单元31还指定针对所获取的更新软件的单元中的每个单元而受到影响的软件,并且获取针对软件的指定单元中的每个单元的更新软件。
在下述说明中,将由管理单元31指定的其中发现了缺陷的软件以及受到对其中发现了缺陷并且有必要对其进行校正的软件进行更新的影响的一组软件称为一组更新目标软件。
而且,管理单元31准备新的管理信息,在新的管理信息中,包括在白名单Y中的一组更新目标软件的软件的记录被更新成更新软件的信息。在下述说明中,其中白名单Y中的更新目标软件的记录被更新成更新软件的信息的新的管理信息被称为白名单Z。管理单元31将准备的白名单 Z存储在存储单元37中。
图7示出了白名单Z的配置的示例。白名单Z(60)的数据结构与白名单X(40)的数据结构类似。图7示出了在图5的白名单X(40)的示例中的“A-FF03”中发现了缺陷,并且“A-FF03”被更新成“A-FF04”的示例性的情况。在该示例中,假设“B-TT77”将“A-FF03”的输出值定义为输入,并且“A-FF03”和“B-TT77”协同操作。例如,在该示例中,管理单元31确定“B-TT77”是更新目标软件,并且将确定结果输出到输出装置。之后,作为被称为确定结果的A公司与B公司之间的讨论的结果,B公司接受对“B-TT77”的更新以解决当前的变化并且准备“B-TT77”的更新软件“B-TT78”。应该认为,确认由“A-FF03”造成的缺陷伴随“B-TT77”与“A-FF03”的组合而发生,并且通过同时将“A-FF03”更新成“A-FF04”并且将“B-TT77”更新成“B-TT78”来解决缺陷。然后,管理单元31从例如B公司获取“B-TT78”,并且通过将其中白名单Y中软件名称41是“B-TT77”的记录的每个字段的信息更新成相应的“B-TT78”的信息来准备白名单Z。
还可以考虑如下情况,与上述示例不同的是,软件的单个单元没有发生缺陷,但是在该软件与其他软件的单元组合的特定条件下发生缺陷。还可以进一步考虑即使对于相同类型的交通工具来说软件版本与装运时的版本不同的情况。因此,可以鉴于软件版本或者实际交通工具的软件之间的关系来确定更新目标软件。在本实施方式中,管理单元31在存储单元 37中针对假设的所有目标交通工具的每个状态存储一组更新目标软件。此处,假设的所有目标交通工具的状态指代考虑了其中交通工具中工作的软件的类型、版本、多个软件单元之间的连接关系等的所有假设的状态。
白名单Z(60)是针对假设的所有目标交通工具中的每个状态而准备的。由真机验证过的产生假设的目标交通工具或者模拟器中的每个目标交通工具或者模拟器的每个状态的值被存储在白名单Z中的更新目标软件的记录的散列值44的值中。
在准备白名单Z(60)的过程中,可以准备针对每个交通工具类型的通用形式,并且在获取更新目标交通工具的状态信息之后,可以基于该交通工具的状态信息通过使用真机或者模拟器来准备准确的白名单Z(60)。
在本实施方式中,尽管更新软件被应用于对软件进行校正,但是这种更新软件可以包括改变软件的设定值(参数)的程序。
而且,在形成白名单Y(50)和白名单Z(60)中的更新软件的记录的散列值44的基础的配置信息中,可以包括应用更新软件时的日志信息,例如可以包括将更新软件应用到真机或者模拟器时的返回值。
认证单元32提供用于确保更新服务器22与车载装备23之间的通信安全性的机制。稍后将对确保更新服务器22与车载装备23之间的通信安全性进行说明。
状态信息获取单元33向指定的交通工具发送获取状态信息的请求,在该请求中收集了在交通工具中工作的软件的各条配置信息。然后,状态信息获取单元33从获取目标的交通工具的车载装备23接收该状态信息。
图8示出了状态信息的数据配置的示例。状态信息70包括软件名称 71和散列值72。名称软件71是用于唯一地标识软件的信息。散列值72 是通过使用散列函数根据配置信息而计算得到的散列值的信息。
确定单元34基于从车载装备23接收的状态信息70来确定更新软件是否可应用于交通工具。例如,当目标交通工具的更新目标软件被非法改动时,则在进行更新处理时可能发生新的故障。为了防止这种情况,在更新之前,确认被装载到交通工具上的软件是否正常。当确定更新软件不可应用时,确定单元34指示车载装备23显示警告。警告显示的内容可以包括例如对软件的远程更新不可应用,或者该内容可以包括用于召回该交通工具等的若干条建议。
具体而言,例如,确定单元34确定对于每个更新目标的软件来说,配置信息的散列值与白名单X(40)的散列值44是否匹配。当更新目标软件的所有散列值在配置信息与白名单X(40)之间匹配时,确定单元 34确定更新软件可应用于目标交通工具。当某些更新目标软件的散列值在配置信息与白名单X(40)之间不匹配时,确定单元34确定更新软件不可应用于目标交通工具。
更具体而言,确定单元34从状态信息70中针对更新目标软件的每个单元提取其中软件名称71与更新目标软件的软件名称匹配的记录。然后,确定单元34确定所提取的记录的散列值72与其中与白名单X(40)中的软件名称41相同的记录的散列值44是否相同。当确认针对所有更新目标软件来说状态信息70的记录与白名单X(40)的记录之间的散列值匹配时,确定单元34确定更新软件可应用于目标交通工具。
因为存储在白名单X(40)中的信息是交通工具装运时的信息,因此在当交通工具的软件被更新成例如装运时间之后的最新版本时,散列值可能不匹配。因此,例如,管理单元31事先准备假设装载到交通工具上的软件的所有的组合的白名单,其中,交通工具被判断为正常。当作为将从交通工具获取的配置信息与白名单进行比较的结果来说,所有相应软件的散列值都匹配时,确定单元34可以确定更新软件可应用。
选择单元35基于状态信息70来选择更新目标软件和白名单Z(60),并且向车载装备23发送更新软件的指示。即,选择单元35基于状态信息 70从针对所有假设的目标交通工具的状态中的每个状态而关联的并且存储在存储单元37中的各组更新软件中指定与目标交通工具的状态对应的一组更新软件。接着,选择单元35基于状态信息70从为所有假设的目标交通工具每个状态准备的白名单(60)中指定与目标交通工具的状态对应的白名单Z(60)。在下述说明中,假设“更新目标软件”和“白名单Z (60)”指代根据更新目标交通工具的状态信息70而选择的“更新目标软件”和“白名单Z(60)”。
图9示出了更新指示80的数据配置的示例。更新指示80包括的数据项中包括目标软件名称81、ECU名称82以及更新软件实体83。目标软件名称81是用于唯一地标识更新目标软件的信息。ECU的名称82是用于唯一地标识目标软件在其中工作的ECU24的信息。更新软件实体83 是更新软件的实体。选择单元35准备与包括在各组更新目标软件中的所有软件对应的记录并且将该记录存储在更新指示中。
在图9的示例中,目标软件名称81、ECU名称82以及更新软件实体83作为“A-FF03”、“ECU201”以及“A-FF04”的实体的记录而被分别存储在更新指示80中。而且,目标软件名称81、ECU名称82以及更新软件实体83作为“B-TT77”、“ECU202”以及“B-TT78”的实体的记录而被分别存储在更新指示80中。
验证单元36验证更新软件是否被正常地安装(应用)。具体而言,验证单元36通过使用白名单Z(60)的信息和从安装了更新软件之后的车载装备23发送的状态信息70来进行验证。从应用了更新软件之后的车载装备23发送的状态信息的格式与图8的状态信息70的格式相同。
验证单元36确定包括在接收的状态信息70中的更新目标软件的散列值72是否与白名单Z(60)中相应的软件的散列值44匹配。当所有更新目标软件的散列值在状态信息70的记录与白名单Z(60)的记录之间匹配时,验证单元36确定目标交通工具的更新软件的应用已被进行正常。当某些更新目标软件的散列值在状态信息70的记录与白名单Z(60)的记录之间不匹配时,验证单元36确定目标交通工具的更新软件的应用已失败。即使当验证单元36确定应用已失败,但是当规定的条件被满足时,验证单元36仍将可以再次确定应用被正常地进行。这种条件包括例如当存在两种类型的更新目标软件,即影响乘坐汽车行驶的第一类型软件和不直接影响乘坐汽车行驶的第二类型软件时,其中针对所有第一类型软件来说散列值在状态信息70的记录与白名单Z(60)的记录之间匹配的条件。
验证单元36根据安装更新软件是成功还是失败的确定结果将最终指示发送到车载装备。图10示出了最终指示的数据配置的示例。在图10 中,最终指示85包括的数据项包括目标软件名称86、ECU名称87以及指示内容88。目标软件名称86是用于唯一地标识更新目标软件的信息。 ECU名称87是用于唯一地标识目标软件在其中工作的ECU24的信息。指示内容88是针对目标软件的指示内容。当软件的更新被确定为已成功时,验证单元36建立使指示内容88中的更新生效。另一方面,当软件的更新被确定为已失败时,验证单元36在指示内容88中建立对更新处理的回退。当更新被确定为已失败时,验证单元36可以通过再次将更新软件连同回退指示一起发送到车载装备23来再次发送更新指示80。验证单元 36准备与包括在各组更新目标软件中的所有软件对应的记录并且将该记录存储在最终指示85中。
存储单元37存储白名单X(40)、白名单Y(50)、白名单Z(60) 以及一组更新目标软件。存储单元37进一步存储更新软件的安装工作日志。
历史管理单元38从车载装备23接收软件的更新处理的工作日志并且将所接收的工作日志记录在存储单元37中。
接着,对确保车载装备23与更新服务器22之间的通信安全性进行说明。
在本实施方式中,为了确保更新服务器22与车载装备23之间的通信安全性,使用了加密和数字签名。针对更新服务器和车载装备的每个组合生成针对数字签名的各对公用密钥和私用密钥,并且车载装备的各密钥对是在各交通工具中的每个交通工具装运时生成的。加密目标数据由另一方的公用密钥加密,并且由加密目标数据自己的私用密钥来解码。由被更新服务器和车载装备分别保留的私密密钥进行数字签名。因此,有多对公用密钥和私用密钥,并且对于第一对(更新服务器的密钥对)来说,更新服务器22保持更新服务器22的私用密钥,而车载装备23保持更新服务器 22的公用密钥,并且对于第二对(车载装备的密钥对)来说,车载装备 23保持车载装备23的私用密钥,并且更新服务器22保持车载装备23的公用密钥。
作为车载装备的密钥对,可以使用由包括在每个车载装备23中的 TPM准备的车载装备的密钥对。
更新服务器22的认证单元32保持更新服务器22的私用密钥。更新服务器22进一步针对每个车载装备来管理车载装备23的公用密钥和用于将发送数据与数字签名进行比较的散列函数。图11示出了认证单元32用来管理车载装备23的公用密钥和散列函数的密钥管理信息90的示例。密钥管理信息90包括的数据项包括车载装备标识信息91、公用密钥92以及散列函数93。车载装备标识信息91是用于唯一地标识车载装备23的标识信息。公用密钥92是由车载装备标识信息91标识的车载装备23的公用密钥92的信息。公用密钥92对应于车载装备标识信息91的车载装备23的私用密钥。散列函数93用于将发送数据与数字签名进行比较。对于散列函数93来说,相同的散列函数还被存储在车载装备标识信息91 的车载装备23中。在每个交通工具被装运时这些项被注册在密钥管理信息90中。
接着,对使用数字签名的方法进行说明,以作为用于由认证单元32 对车载装备23进行认证以及用于对来自车载装备23的数据的可靠性进行确认的方法的示例。用于认证和用于确认可靠性的方法不限于在下文中将要说明的使用数字签名的实施方式,而是可以使用各种方法。此处,对其中将认证单元32与车载装备23之间的交换的数据加密的示例进行说明。
在认证的过程中,首先,车载装备23通过使用存储在车载装备23 中的散列函数来计算发送目标数据的散列值。接着,车载装备23通过使用车载装备23自己的私用密钥将计算的散列值进行加密并且准备数字签名。然后,车载装备23通过使用服务器22的公用密钥将准备的数字签名和发送目标数据进行加密。然后,车载装备23将加密的发送目标数据和数字签名发送到更新服务器22。
当从车载装备23接收加密的发送目标数据和数字签名时,认证单元 32通过使用服务器22的私用密钥将所接收的信息进行解密。接着,认证单元32从密钥管理信息90获取车载装备23的公用密钥92,并且通过用公用密钥92将数字签名进行解密来获取散列值。接着,认证单元32从密钥管理信息90获取与车载装备23对应的散列函数93并且通过使用获取的散列值93来计算发送目标数据的散列值。然后,认证单元32将计算的散列值与通过将数字签名进行解密而获取的散列值进行比较,并且当比较结果匹配时,确定车载装备23是可靠的并且从车载装备23接收的数据没有被篡改。
同时,为了将在认证单元32与车载装备23之间交换的数据进行加密,可以使用其中将通用密钥加密和公用密钥加密进行组合的混合加密方案,或者也可以使用其他的各种方法。
这样,更新服务器22的认证单元32对车载装备23进行认证并且确认从车载装备23接收的信息没有被篡改。
接着,对车载装备23的配置进行说明。图12示出了根据本实施方式的车载装备的配置的示例。
车载装备23包括认证信息存储单元201、服务器认证单元202、配置信息收集单元203、更新软件应用单元204以及可靠性检查单元205。
认证信息存储单元201存储用于确保与更新服务器的通信安全性的更新服务器22的公用密钥、车载装备23的私用密钥以及散列函数。更新服务器22的公用密钥、车载装备23的私用密钥以及散列函数在交通工具装运前被存储。车载装备23的私用密钥和散列函数对应于密钥管理信息 90的公用密钥92和散列函数93。
服务器认证单元202确保更新服务器22与车载装备23之间的通信安全性。与由上述认证单元32对车载装备23的认证相似,进行对更新服务器22的认证以及由服务器认证单元202对从更新服务器22接收的信息没有被篡改进行确定。即,在认证的过程中,首先,更新服务器22的认证单元32通过使用散列函数来计算发送目标数据的散列值。接着,认证单元32通过使用服务器22的私用密钥将计算的散列值进行加密并且准备数字签名。然后,服务器22通过使用车载装备23的公用密钥将准备的数字签名和发送目标数据进行加密。然后,服务器22将经加密的发送目标数据和数字签名发送到车载装备23。
当从更新服务器22接收经加密的发送目标数据和数字签名时,服务器认证单元202通过使用车载装备23的私用密钥将所接收的信息进行解密。接着,服务器认证单元202通过使用服务器22的公用密钥将数字签名进行解密并且获取散列值。接着,服务器认证单元202通过使用存储在认证信息存储单元201中的散列函数来计算发送目标数据的散列值。然后,服务器认证单元202将计算的散列值与通过将数字签名进行解密而获取的散列值进行比较,并且当比较结果匹配时,服务器认证单元202确定更新服务器22是可靠的并且从更新服务器22接收的发送目标数据没有被篡改。
配置信息收集单元203获取交通工具的每个ECU24的软件的配置信息,基于所获取的配置信息来准备状态信息70并且将状态信息70发送到更新服务器22。即,配置信息收集单元203首先向每个ECU24发送获取软件的配置信息的请求。随后,配置信息收集单元203响应于该获取请求而从每个ECU24获取软件的配置信息。接着,配置信息收集单元203根据所获取的配置信息来准备状态信息70。然后,配置信息收集单元203 将准备的状态信息70发送到更新服务器22。
关于状态信息70的准备,具体而言,配置信息收集单元203准备针对从每个ECU24接收的软件的记录。然后,配置信息收集单元203将与已收集的配置信息对应的软件的名称存储在软件名称71中,并且将通过使用与该软件关联的散列值获取方法45而计算的软件的散列值存储在散列值72中。
当从更新服务器22接收到配置信息获取请求时以及紧接着应用该软件的处理完成之后,进行对配置信息的收集。
更新软件应用单元204从更新服务器22接收软件的更新指示80,并且指示由更新指示80针对其给出了指示的每个ECU24更新软件。具体而言,更新软件应用单元204将目标软件名称81与针对所接收的更新指示80的每个记录的ECU名称82的ECU24的软件实体83关联,并且将该软件实体83进行发送。
而且,更新软件应用单元204从更新服务器22接收最终指示85,并且将该指示内容发送到由最终指示85指示的每个ECU24。具体而言,更新软件应用单元204将与记录的目标软件名称86与针对所接收的最终指示85的每个记录的ECU名称87的ECU24的指示内容88关联,并且将该指示内容88进行发送。而且,当最终指示85的指示内容88被回退时,更新软件应用单元204可以向用户显示警告。警告显示的内容可以包括对软件的更新已失败的信息或者用于召回该交通工具的建议。
可靠性检查单元205检查在车载装备23中工作的应用的可靠性。具体而言,可靠性检查单元205将用于确认在车载装备23处启动的每个应用的可靠性的散列值存储在指定的存储区域中。然后,可靠性检查单元 205将上述散列值与用于确认可靠性的散列值进行比较,该用于确认可靠性的散列值在启动应用时该应用的散列值被获取之后被存储。当散列值匹配时,可靠性检查单元205确定应用是可靠的。由可靠性检查单元205 检查了可靠性的应用包括提供服务器认证单元202、配置信息收集单元 203以及更新软件应用单元204的功能的应用。类似地,可靠性检查单元 205基于对散列值的比较来检查与配置信息收集单元203通信的ECU24 的应用的可靠性。同时,可靠性检查单元205的功能可以由TPM提供。 TPM是具有防硬件篡改功能的安全性芯片并且可以作为可靠性标准而被用于确保对散列值进行检查的每个应用的可靠性。
可靠性检查单元205可以确保通过配置信息收集单元203发送到更新服务器22的状态信息70的可靠性,来检查配置信息收集单元203和与配置信息收集单元203进行通信的应用ECU24的可靠性。而且,状态信息 70的可靠性由数字签名来确保。因此,由更新服务器22从车载装备23 接收的状态信息70的安全性得到确保。
接着,对ECU24的配置进行说明。图13示出了根据本实施方式的 ECU24的示例。
ECU24包括配置信息获取单元301和软件更新单元302。
配置信息获取单元301获取在ECU24中工作的软件的配置信息,并且将所获取的配置信息发送到车载装备23。获取配置信息是在接收到配置信息获取请求以及紧接着软件的应用处理完成之后时进行的。配置信息包括用于唯一地标识软件的软件名称的信息和与该软件名称关联的配置信息。
软件更新单元302从车载装备23接收更新软件的指示。然后,软件更新单元302将接收的更新软件进行安装。即,软件更新单元302将更新软件应用到包括在更新指示中的目标软件的名称的软件。然而,在更新软件的应用处理中,假设没有使更新生效(例如,由更新后的软件来启动),而是在从车载单元23接收生效指示之后使更新后的软件生效。当软件更新单元302从车载装备23接收回退指示时,软件更新单元302丢弃被应用的信息并且将软件返回到紧接着该应用处理之前的状态。
而且,软件更新单元302向车载装备23发送工作日志。此处,工作日志是由软件更新单元302进行的安装处理以及在安装处理之后的生效处理或回退处理的工作日志的数据。
回退处理可以通过在指定的存储区域中将紧接着安装更新软件的处理开始之前的软件的状态进行备份(或者获取软件快照)来实现。在该示例中,当从车载装备23接收软件的更新指示时,首先,软件更新单元302 获取更新目标软件的备份。当获取备份已完成时,软件更新单元302安装更新软件。此后,当软件更新单元302从车载装备23接收回退指示时,软件更新单元302通过返回备份的数据来将更新目标软件恢复到紧接着安装处理开始之前的状态。
而且,使软件生效可以通过重新启动针对其进行了安装更新软件的处理的软件来实现。在该示例中,软件更新单元302在更新软件的安装处理中并不启动处于完成了安装处理的状态的软件。此后,当从车载装备23 接收生效指示时,软件更新单元302通过启动处于完成了安装处理的状态的软件来使更新目标软件生效。
在本实施方式中,假设确保了车载装备23与ECU24之间的通信安全性。当没有确保车载装备23与ECU24之间的通信安全性时,类似于车载装备23与更新服务器22之间的通信,可以通过将签名附着到通信数据来确保车载装备23与ECU24之间的通信安全性。
接着,对更新服务器22的工作流程进行说明。图14是示出了更新服务器22的处理内容的流程图。
在图14的流程中,首先,状态信息获取单元33向车载装备23发送获取目标交通工具的状态信息70的请求,并且作为对获取请求的响应,状态信息获取单元33接收状态信息70(S401)。当接收状态信息70时,认证单元32对作为状态信息70的发送源的车载装备23进行认证,并且确认状态信息70的可靠性得到了确保。
接着,确定单元34基于状态信息70来确定更新软件是否可应用于目标交通工具(S402)。当确定单元34确定更新软件不可应用于目标交通工具时(S402中为否),确定单元34指示目标交通工具的车载装备23显示警告(S403)。然后,处理结束。
另一方面,在S402中,当确定单元34确定更新软件可应用于目标交通工具时(S402中为是),管理单元31基于状态信息70来计算白名单Z (60)(S404)。
接着,确定单元34向目标交通工具发送更新指示80,并且发送目标交通工具的ECU24的软件的更新指示80(S405)。在发送更新指示80 的过程中,签名被附着以确保更新软件的可靠性。
接着,验证单元36从目标交通工具接收更新后的状态信息70(S406)。当接收状态信息70时,验证单元36对作为状态信息70的发送源的车载装备23进行认证并且确认状态信息70的可靠性得到了确保。
接着,验证单元36基于更新后的状态信息70以及白名单Z(60)来确定目标交通工具的软件的更新是否已成功(S407)。当验证单元36确定软件的更新已失败时(S407中为否),验证单元36向车载装备23发送回退指示作为最终指示(S408)。然后,处理转换到S410。
另一方面,当验证单元36确定软件的更新已成功时(S407中为是),验证单元36向车载装备23发送使软件的更新生效的指示作为最终指示 (S409)。
然后,历史管理单元38从车载装备23接收工作日志,并且将所接收的工作日志存储在指定的存储区域中(S410)。然后,处理结束。
接着,对车载装备23的工作流程进行说明。图15是示出了车载装备的处理内容的流程图。
在图15的流程中,首先,配置信息收集单元203从更新服务器22 接收获取状态信息70的请求(S501)。当接收获取状态信息70的请求时,服务器认证单元202对作为获取请求的发送源的更新服务器22进行认证。
接着,配置信息收集单元203从装载到交通工具中的所有ECU24收集配置信息,基于所收集的配置信息来准备状态信息70,并且将该状态信息70发送到更新服务器22(S502)。在发送状态信息70的过程中,服务器认证单元202附着用于对发送源进行认证并且确保状态信息70的可靠性的签名,并且发送状态信息70。
接着,更新软件应用单元204从更新服务器22接收包括更新软件的软件的更新指示80(S503)。当接收软件的更新指示80时,服务器认证单元202对作为更新指示的发送源的更新服务器22进行认证,并且确认所接收的更新指示80的可靠性得到了确保。
接着,更新软件应用单元204将更新指示连同更新目标软件在其中工作的每个ECU24的更新软件一起进行发送(S504)。
接着,配置信息收集单元203从在S504中给出了更新指示的ECU24 接收更新之后的配置信息,基于更新后的配置信息来准备状态信息70,并且将该状态信息70发送到更新服务器22(S505)。在S505中收集信息的过程中,可以从所有的ECU24获取配置信息。
接着,更新软件应用单元204从更新服务器22接收最终指示85 (S506)。当接收最终指示85时,服务器认证单元202对作为最终指示 85的发送源的更新服务器22进行认证,并且确认所接收的最终指示的可靠性得到了确保。
接着,更新软件应用单元204将最终指示发送到由最终指示85所指示的每个ECU24(S507)。
接着,更新软件应用单元204从每个ECU24接收工作日志并且将该工作日志发送到更新服务器22。而且,更新软件应用单元204可以向显示装置输出例如包括在工作日志中的最终指示的处理结果(S508)。然后,处理结束。
对ECU24的工作流程进行说明。图16是其中示出了ECU24的处理内容的流程图。
在图16的流程中,首先,配置信息获取单元301从车载装备23接收配置信息获取请求(S601)。
接着,配置信息获取单元301收集在ECU24中工作的所有软件的配置信息并且将所收集的配置信息发送到车载装备23(S602)。
接着,软件更新单元302从车载装备23接收更新指示(S603)。然后,软件更新单元302进行安装更新软件的处理(S604)。当安装该软件的处理已完成时,配置信息获取单元301收集安装的处理已完成的软件的配置信息并且将该配置信息发送到车载装备23(S605)。
接着,软件更新单元302从车载装备23接收最终指示(S606)。软件更新单元302确认最终指示的内容(S607)并且当指示内容是回退(在 S607中为回退)时,进行对软件的回退(S608)。然后,处理转换到S610。
另一方面,当指示内容是使更新生效时(在S607中为生效),软件更新单元302使软件生效(S609)。此后,软件更新单元302向车载装备发送工作日志(S610)。然后,处理结束。
接着,对更新服务器22的配置进行说明。图17示出了更新服务器 22的硬件配置的示例。
更新服务器22包括CPU(中央处理单元)401、存储器402、存储装置403、读取装置404、通信接口405以及输入和输出装置406。CPU401、存储器402、存储装置403、读取装置404、通信接口405以及输入和输出装置406经由总线连接。
CPU401通过使用存储器402并且执行其中描述了上述流程图的工作过程的程序来提供管理单元31、认证单元32、状态信息获取单元33、确定单元34、选择单元35、验证单元36以及历史管理单元38的一部分或者全部功能。
存储器402是例如半导体存储器,并且被配置成包括RAM(随机存取存储器)区域和ROM(只读存储器)区域。存储装置403是例如硬盘,并且提供存储单元37的一部分或者全部功能。存储装置403可以是半导体存储器如闪存存储器等。存储装置403还可以是外部存储装置。
读取装置404根据CPU401的指示来访问可移动存储介质450。可移动存储介质450通过例如半导体装置(例如,USB存储器)、其中通过磁作用来输入和输出信息的介质(例如,磁盘),其中通过光学作用来输入和输出信息的介质(例如,CD-ROM和DVD)等来实现。更新服务器22 中不必包括读取装置404。
通信接口405被连接到车载装备23并且根据CPU401的指示经由网络与车载装备23交换数据。而且,通信接口405可以被连接到其他信息处理器。由例如管理单元31经由通信接口405来获取更新软件。
输入和输出装置406是例如从用户接收指示的装置、显示信息的显示装置等。更新服务器22中不必包括输入和输出装置406。
可以以下述形式向更新服务器22提供根据本实施方式的程序。
(1)事先安装在存储装置403中。
(2)由可移动存储介质450提供。
(3)从程序服务器(未示出)经由通信接口405来提供。
而且,本实施方式的更新服务器22的一部分可以通过硬件来实现。可替换地,本实施方式的更新服务器22可以通过软件和硬件的组合来实现。
接着,对车载装备23的配置进行说明。图18示出了车载装备的硬件配置的示例。
车载装备23包括CPU501、存储器502、存储装置503、读取装置 504、通信接口505、输出装置506以及TPM507。CPU501、存储器502、存储装置503、读取装置504、通信接口505、输出装置506以及TPM507 经由总线等来连接。
CPU501通过使用存储器502并且执行其中描述了上述流程图的工作过程的程序来提供服务器认证单元202、配置信息收集单元203以及更新软件应用单元204的一部分或者全部功能。
存储器502是例如半导体存储器,并且被配置成包括RAM区域和 ROM区域。存储装置503是例如硬盘,存储装置503提供认证信息存储单元201的一部分或者全部功能并且存储本实施方式的程序。存储装置 503可以是半导体存储器如闪存存储器等。存储装置503可以是外部存储装置。
读取装置504根据CPU501的指示来访问可移动存储介质550。可移动存储介质550通过例如半导体装置(例如,USB存储器)、其中通过磁作用来输入和输出信息的介质(例如,磁盘),其中通过光学作用来输入和输出信息的介质(例如,CD-ROM和DVD)等来实现。车载装备23 中不必包括读取装置504。
通信接口505被连接到更新服务器22并且根据CPU501的指示经由网络交换数据。而且,通信接口505被连接到ECU24并且根据CPU501 的指示经由网络交换数据。
输出装置506是例如显示信息的显示装置。对用户的警告或者更新软件的更新结果被输出到输出装置506。
TPM507是可以检查在CPU501中工作的程序的可靠性并且提供可靠性检查单元205的一部分或者全部功能的安全性芯片。由可靠性检查单元205用来检查应用的可靠性的散列值被存储在TPM507中的指定的存储器区域中。
可以以下述形式向车载装备23提供根据本实施方式的程序。
(1)事先安装在存储装置503中。
(2)由可移动存储介质550提供。
(3)从程序服务器(未示出)或者更新服务器22经由通信接口505 来提供。
而且,本实施方式的车载装备23的一部分可以通过硬件来实现。可替换地,本实施方式的车载装备23可以通过软件和硬件的组合来实现。
接着,对用于实现ECU24的软件的更新功能的方法进行说明。图 19和图20示出了用于实现ECU的软件的更新功能的方法的示例。
在图19中的ECU24处,引导加载程序601实现配置信息获取单元 301和软件更新单元302的功能。在本示例的情况下,软件的更新操作在启动更新目标软件之前进行。即,在对针对更新目标软件的更新软件进行安装的处理之后,更新目标软件被启动以使更新生效。因此,在图16中,可以配置成使得直到在S604至S608中安装更新软件的处理被进行时更新目标软件才被启动,以使得在S609中当更新生效时更新软件被启动。
另一方面,虚拟机管理器602在图20中的ECU24处工作,并且配置信息获取单元301和软件更新单元302的功能由虚拟机管理器上的虚拟机来实现。而且,通过由虚拟机进行更新目标软件操作,可以使与工作期间的更新目标软件的配置相同的安装软件工作。并且在图16中,可以配置成使得在用于更新的软件上进行S604的安装更新软件的处理,并且在S609的使更新生效的过程中,工作期间的虚拟机可以被切换成安装虚拟机。在该示例中,当进行S608的回退的处理时,安装虚拟机可以被丢弃。
[修改的示例]
还可以配置成使得TPM被装载到汽车21的每个ECU24上并且使得车载装备23不介入更新服务器22与ECU24之间的通信。
图21示出了对信息处理系统进行修改的示例的配置的示例。与如图 21中所示的信息处理系统29的第一实施方式的差别是在没有车载装备23 介入的情况下每个ECU24都与更新服务器22通信。在第二实施方式中,根据第一实施方式的车载装备23的每个功能都被包括在每个ECU24中。然而,因为更新服务器22与ECU24直接通信,所以配置信息收集单元203的功能可以被忽略。TPM507A被包括在ECU24A中,TPM507B 被包括在ECU24B中,TPM507C被包括在ECU24C中。
本实施方式不限于目前在以上提及的实施方式,并且可以在不脱离本实施方式的主旨的范围内进行配置或者实施。
根据实施方式,将更新软件发送并且应用到汽车的更新服务器可以提供用于确认对更新软件的应用是成功还是失败的方法。
Claims (10)
1.一种由计算机执行的用于确认校正程序的方法,所述方法包括:
所述计算机从控制单元接收第一信息即关于多个控制程序中的每个控制程序的信息,所述控制单元执行用于对装载到汽车上的装备进行控制的所述多个控制程序,所述控制单元被装载在所述汽车上;
所述计算机基于所接收的第一信息从所述多个控制程序中选择第一目标控制程序,并且所述计算机进一步选择其中将来自所述第一目标控制程序的输出值定义为输入的第二目标控制程序,其中,所述第一目标控制程序与所述第二目标控制程序协同操作;
所述计算机计算第二信息,所述第二信息是当将关于所述第一目标控制程序和所述第二目标控制程序中的每个的各自的校正程序应用到所述控制单元时所述第一目标控制程序和所述第二目标控制程序中的每个的状态;
所述计算机将所述校正程序发送到所述控制单元;
所述计算机从所述控制单元接收第三信息,所述第三信息是在将所发送的校正程序应用到所述控制单元之后关于所述控制程序中的每个控制程序的状态的信息;
所述计算机针对所述第一目标控制程序和所述第二目标控制程序中的每个控制程序,将所接收的第三信息与计算的第二信息进行比较;以及
所述计算机基于比较的结果是否指示对于所述第一目标控制程序和所述第二目标控制程序两者而言所述第二信息与所述第三信息匹配或者所述比较的结果是否指示对于所述第一目标控制程序和所述第二目标控制程序中的指定控制程序而言所述第二信息与所述第三信息匹配,判断将所述校正程序应用到所述控制单元的处理是否已成功。
2.根据权利要求1所述的方法,其中,所述第一信息和所述第三信息是由被确认了可靠性的软件准备的信息。
3.根据权利要求2所述的方法,其中,所述第一信息和所述第三信息是由被装载到可信平台模块上的功能确认了可靠性的软件准备的信息。
4.根据权利要求1至3中任一项所述的方法,还包括:当判断出将所述校正程序应用到所述控制单元的处理已成功时,向所述控制单元发送使已经应用了所述校正程序的所述控制程序生效的指示。
5.根据权利要求1至3中任一项所述的方法,还包括:当判断出将所述校正程序应用到所述控制单元的处理已失败时,向所述控制单元发送对应用所述校正程序进行回退处理的指示。
6.根据权利要求1至3中任一项所述的方法,还包括:基于接收的第一信息来确定所述控制程序的状态是否正常,其中,发送的处理包括当确定出所述控制程序的状态正常时将所述校正程序发送到所述控制单元。
7.一种信息处理设备,包括:
第一接收单元,所述第一接收单元从控制单元接收第一信息即关于多个控制程序中的每个控制程序的信息,所述控制单元执行用于对装载到汽车上的装备进行控制的所述多个控制程序,所述控制单元被装载在所述汽车上;
管理单元,所述管理单元基于所接收的第一信息从所述多个控制程序中选择第一目标控制程序,并且进一步选择其中将来自所述第一目标控制程序的输出值定义为输入的第二目标控制程序,其中,所述第一目标控制程序与所述第二目标控制程序协同操作;
计算单元,所述计算单元计算第二信息,所述第二信息是当将关于所述第一目标控制程序和所述第二目标控制程序中的每个的各自的校正程序应用到所述控制单元时所述第一目标控制程序和所述第二目标控制程序中的每个的状态;
发送单元,所述发送单元将所述校正程序发送到所述控制单元;
第二接收单元,所述第二接收单元从所述控制单元接收第三信息,所述第三信息是在将所发送的校正程序应用到所述控制单元之后关于所述控制程序中的每个控制程序的状态的信息;
比较单元,所述比较单元针对所述第一目标控制程序和所述第二目标控制程序中的每个控制程序,将所接收的第三信息与计算的第二信息进行比较;以及
判断单元,所述判断单元基于比较的结果是否指示对于所述第一目标控制程序和所述第二目标控制程序两者而言所述第二信息与所述第三信息匹配或者所述比较的结果是否指示对于所述第一目标控制程序和所述第二目标控制程序中的指定控制程序而言所述第二信息与所述第三信息匹配,判断将所述校正程序应用到所述控制单元的处理是否已成功。
8.根据权利要求7所述的信息处理设备,其中,
所述第一信息和所述第三信息是由被确认了可靠性的软件准备的信息。
9.根据权利要求8所述的信息处理设备,其中,
所述第一信息和所述第三信息是由被装载到可信平台模块上的功能确认了可靠性的软件准备的信息。
10.根据权利要求7至9中任一项所述的信息处理设备,所述信息处理设备进一步包括:
最终指示单元,当判断将所述校正程序应用到所述控制单元的处理已成功时,所述最终指示单元发送使已经应用了所述校正程序的所述控制程序生效的指示。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013-217473 | 2013-10-18 | ||
| JP2013217473A JP5864510B2 (ja) | 2013-10-18 | 2013-10-18 | 修正プログラム確認方法、修正プログラム確認プログラム、及び情報処理装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104572320A CN104572320A (zh) | 2015-04-29 |
| CN104572320B true CN104572320B (zh) | 2018-09-14 |
Family
ID=51687781
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410525010.7A Expired - Fee Related CN104572320B (zh) | 2013-10-18 | 2014-10-08 | 用于确认校正程序的方法以及信息处理设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10157050B2 (zh) |
| EP (1) | EP2863303B1 (zh) |
| JP (1) | JP5864510B2 (zh) |
| CN (1) | CN104572320B (zh) |
Families Citing this family (86)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140058532A1 (en) * | 2012-08-23 | 2014-02-27 | GM Global Technology Operations LLC | Method for partial flashing of ecus |
| DE102014116172A1 (de) * | 2014-11-06 | 2016-05-12 | Dr. Ing. H.C. F. Porsche Aktiengesellschaft | Datenübertragungseinheit für ein Fahrzeug |
| US9639344B2 (en) * | 2014-12-11 | 2017-05-02 | Ford Global Technologies, Llc | Telematics update software compatibility |
| DE102015204362A1 (de) * | 2015-03-11 | 2016-09-15 | Robert Bosch Gmbh | Stromtankstelle und Elektrofahrzeug |
| DE102015207795A1 (de) * | 2015-04-28 | 2016-11-03 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Aktualisieren von Software in einem Transportmittel |
| JP6481489B2 (ja) * | 2015-04-30 | 2019-03-13 | 富士通株式会社 | 修正適用情報作成プログラム、修正適用情報作成装置及び修正適用情報作成方法 |
| DE102015214390A1 (de) * | 2015-07-29 | 2017-02-02 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Betreiben wechselnder Gastsysteme unter einem Hypervisor |
| WO2017022022A1 (ja) * | 2015-07-31 | 2017-02-09 | 三菱電機株式会社 | 車両用情報通信システムおよび車両用情報通信方法 |
| US9916151B2 (en) * | 2015-08-25 | 2018-03-13 | Ford Global Technologies, Llc | Multiple-stage secure vehicle software updating |
| US9767318B1 (en) * | 2015-08-28 | 2017-09-19 | Frank Dropps | Secure controller systems and associated methods thereof |
| JP2017090092A (ja) * | 2015-11-04 | 2017-05-25 | 株式会社デンソー | 車載用ダウンロード制御装置、及びダウンロード制御方法 |
| JP6508067B2 (ja) * | 2016-01-14 | 2019-05-08 | 株式会社デンソー | 車両用データ通信システム |
| US10114634B2 (en) * | 2016-01-22 | 2018-10-30 | 2236008 Ontario Inc. | Updating a controller unit in a vehicle |
| JP6784291B2 (ja) * | 2016-04-15 | 2020-11-11 | 日本電気株式会社 | ソフトウェア更新制御装置、ソフトウェア更新制御システム、ソフトウェア更新制御方法、及び、ソフトウェア更新制御プログラム |
| JP6665728B2 (ja) * | 2016-08-05 | 2020-03-13 | 株式会社オートネットワーク技術研究所 | 車載更新装置、車載更新システム及び通信装置の更新方法 |
| WO2018029905A1 (ja) * | 2016-08-10 | 2018-02-15 | Kddi株式会社 | データ提供システム、データ保安装置、データ提供方法、及びコンピュータプログラム |
| JP6585019B2 (ja) | 2016-09-13 | 2019-10-02 | 株式会社東芝 | ネットワーク監視装置、ネットワークシステムおよびプログラム |
| US10055215B2 (en) * | 2016-10-05 | 2018-08-21 | Sap Se | Enabling corrections during upgrade procedure |
| EP4113302B1 (en) * | 2017-01-05 | 2024-01-24 | Guardknox Cyber Technologies Ltd. | Specially programmed computing systems with associated devices configured to implement centralized services ecu based on services oriented architecture and methods of use thereof |
| US11036484B2 (en) * | 2017-01-06 | 2021-06-15 | Ford Global Technologies, Llc | Software update management |
| WO2018139296A1 (ja) * | 2017-01-25 | 2018-08-02 | 日立オートモティブシステムズ株式会社 | 車両制御装置およびプログラム更新システム |
| ES2901207T3 (es) * | 2017-03-02 | 2022-03-21 | Actility | Interfaz de comunicación para una red de área extensa de baja potencia, dispositivo inalámbrico y servidor que usan tal interfaz de comunicación |
| US10908983B2 (en) | 2017-03-31 | 2021-02-02 | Cae Inc. | Method and system for preventing an anomaly in a simulator |
| US10269192B2 (en) | 2017-04-07 | 2019-04-23 | Airbiquity Inc. | Technologies for verifying control system operation |
| US11294661B2 (en) * | 2017-04-25 | 2022-04-05 | Microsoft Technology Licensing, Llc | Updating a code file |
| CN111133412A (zh) | 2017-07-25 | 2020-05-08 | 奥罗拉实验室有限公司 | 基于工具链构建车辆ecu软件的软件增量更新和异常检测 |
| JP6773617B2 (ja) * | 2017-08-21 | 2020-10-21 | 株式会社東芝 | 更新制御装置、ソフトウェア更新システムおよび更新制御方法 |
| US10545751B2 (en) * | 2017-10-03 | 2020-01-28 | Accenture Global Solutions Limited | Automated usage driven engineering |
| EP3690643B1 (en) * | 2017-10-24 | 2023-01-25 | Huawei International Pte. Ltd. | Vehicle-mounted device upgrading method and related device |
| JP6915500B2 (ja) | 2017-11-06 | 2021-08-04 | トヨタ自動車株式会社 | 更新システム、電子制御装置、更新管理装置、及び更新管理方法 |
| JP6861615B2 (ja) | 2017-11-30 | 2021-04-21 | 株式会社日立製作所 | 車載ソフトウェア配信システム、車載ソフトウェア配信サーバ、及び車載ソフトウェア配信方法 |
| US10009325B1 (en) * | 2017-12-07 | 2018-06-26 | Karamba Security | End-to-end communication security |
| CN108460273B (zh) * | 2017-12-27 | 2022-10-14 | 中国银联股份有限公司 | 一种终端的应用管理方法、应用服务器及终端 |
| DE102018200318A1 (de) | 2018-01-11 | 2019-07-11 | Bayerische Motoren Werke Aktiengesellschaft | Absicherung eines Softwareupdates eines Steuergerätes eines Fortbewegungsmittels |
| US11349669B1 (en) | 2018-01-30 | 2022-05-31 | State Farm Mutual Automobile Insurance Company | Cryptographic hash chain for vehicle configuration verification |
| US10409585B2 (en) * | 2018-02-14 | 2019-09-10 | Micron Technology, Inc. | Over-the-air (OTA) update for firmware of a vehicle component |
| JP7311245B2 (ja) * | 2018-03-07 | 2023-07-19 | トヨタ自動車株式会社 | マスタ装置、マスタ、制御方法、プログラム及び車両 |
| EP4099155B1 (en) * | 2018-03-19 | 2023-12-20 | Huawei International Pte. Ltd. | Method and apparatus for updating devices in a remote network |
| US11003537B2 (en) | 2018-05-29 | 2021-05-11 | Micron Technology, Inc. | Determining validity of data read from memory by a controller |
| JP7047819B2 (ja) * | 2018-08-10 | 2022-04-05 | 株式会社デンソー | 電子制御装置、車両用電子制御システム、アクティベートの実行制御方法及びアクティベートの実行制御プログラム |
| JP7031643B2 (ja) | 2018-08-10 | 2022-03-08 | 株式会社デンソー | 車両情報通信システム |
| WO2020032196A1 (ja) * | 2018-08-10 | 2020-02-13 | 株式会社デンソー | 車両情報通信システム |
| US11579865B2 (en) | 2018-08-10 | 2023-02-14 | Denso Corporation | Vehicle information communication system |
| WO2020032192A1 (ja) * | 2018-08-10 | 2020-02-13 | 株式会社デンソー | 電子制御装置、車両用電子制御システム、アクティベートの実行制御方法及びアクティベートの実行制御プログラム |
| US11163549B2 (en) | 2018-08-10 | 2021-11-02 | Denso Corporation | Vehicle information communication system |
| WO2020032195A1 (ja) * | 2018-08-10 | 2020-02-13 | 株式会社デンソー | 車両情報通信システム |
| JP7159989B2 (ja) * | 2018-08-10 | 2022-10-25 | 株式会社デンソー | 車両用マスタ装置、車両用電子制御システム、アクティベート要求の指示方法及びアクティベート要求の指示プログラム |
| KR102529916B1 (ko) * | 2018-09-14 | 2023-05-08 | 현대자동차주식회사 | 가상머신 기반 차량 제어 검증 시스템 및 방법 |
| JP2020088458A (ja) * | 2018-11-16 | 2020-06-04 | 株式会社デンソーテン | 情報処理装置 |
| JP7139971B2 (ja) * | 2019-01-23 | 2022-09-21 | トヨタ自動車株式会社 | ソフトウェア配布システムおよびソフトウェア配布方法 |
| US11665001B1 (en) * | 2019-02-12 | 2023-05-30 | Ethernovia Inc. | Network security using root of trust |
| JP2020140636A (ja) * | 2019-03-01 | 2020-09-03 | 株式会社デンソー | アプリケーションサーバ装置及び電子制御装置 |
| JP7211224B2 (ja) * | 2019-04-09 | 2023-01-24 | 住友電気工業株式会社 | 管理装置、通信システム、車両通信管理方法および車両通信管理プログラム |
| KR20200119601A (ko) * | 2019-04-10 | 2020-10-20 | 현대모비스 주식회사 | 차량의 바이너리 데이터 처리 장치 및 방법 |
| CN110065501B (zh) * | 2019-05-14 | 2022-07-26 | 上汽通用五菱汽车股份有限公司 | 电子控制器的软件控制方法、配置设备及可读存储介质 |
| JP7008661B2 (ja) * | 2019-05-31 | 2022-01-25 | 本田技研工業株式会社 | 認証システム |
| US11615923B2 (en) | 2019-06-07 | 2023-03-28 | Anthony Macaluso | Methods, systems and apparatus for powering a vehicle |
| US11837411B2 (en) | 2021-03-22 | 2023-12-05 | Anthony Macaluso | Hypercapacitor switch for controlling energy flow between energy storage devices |
| US11685276B2 (en) | 2019-06-07 | 2023-06-27 | Anthony Macaluso | Methods and apparatus for powering a vehicle |
| US11641572B2 (en) | 2019-06-07 | 2023-05-02 | Anthony Macaluso | Systems and methods for managing a vehicle's energy via a wireless network |
| US11289974B2 (en) | 2019-06-07 | 2022-03-29 | Anthony Macaluso | Power generation from vehicle wheel rotation |
| JP7063853B2 (ja) * | 2019-07-03 | 2022-05-09 | 本田技研工業株式会社 | ソフトウェア更新装置、サーバ装置、ソフトウェア更新方法、およびプログラム |
| US11409874B2 (en) | 2019-07-03 | 2022-08-09 | International Business Machines Corporation | Coprocessor-accelerated verifiable computing |
| US11366879B2 (en) * | 2019-07-08 | 2022-06-21 | Microsoft Technology Licensing, Llc | Server-side audio rendering licensing |
| CN110413348B (zh) * | 2019-07-31 | 2023-01-06 | 中国工商银行股份有限公司 | 数据处理方法、装置、系统及介质 |
| JP7331931B2 (ja) * | 2019-08-28 | 2023-08-23 | 株式会社デンソー | 車両用電子制御システム |
| JP7346187B2 (ja) * | 2019-09-13 | 2023-09-19 | 東芝テック株式会社 | サーバー装置及びプログラム |
| AU2020352532B2 (en) * | 2019-09-25 | 2023-06-01 | Shift5, Inc. | Passive monitoring and prevention of unauthorized firmware or software upgrades between computing devices |
| US11169795B2 (en) | 2019-10-09 | 2021-11-09 | Toyota Motor North America, Inc. | Management of transport software updates |
| US11422792B2 (en) | 2019-10-09 | 2022-08-23 | Toyota Motor North America, Inc. | Management of transport software updates |
| US11294662B2 (en) | 2019-10-09 | 2022-04-05 | Toyota Motor North America, Inc. | Management of transport software updates |
| JP6970156B2 (ja) * | 2019-10-18 | 2021-11-24 | トヨタ自動車株式会社 | 車両の制御に用いるデータの生成方法、車両用制御装置、車両用制御システム、車載装置および車両用学習装置 |
| JP7392407B2 (ja) * | 2019-11-14 | 2023-12-06 | 株式会社デンソー | センター装置、車両用電子制御システム、プログラム更新の進捗制御方法及びプログラム更新の進捗制御プログラム |
| US12026490B2 (en) * | 2020-05-29 | 2024-07-02 | Launch Tech Co., Ltd | Method for obtaining vehicle diagnosis software, server and diagnosis device |
| CN111769903A (zh) * | 2020-06-09 | 2020-10-13 | 国家数字交换系统工程技术研究中心 | 应用于网络安全防御系统的网络安全防御方法及相关装置 |
| US11281450B2 (en) | 2020-06-23 | 2022-03-22 | Toyota Motor North America, Inc. | Secure transport software update |
| US11880670B2 (en) | 2020-06-23 | 2024-01-23 | Toyota Motor North America, Inc. | Execution of transport software update |
| JP7405033B2 (ja) * | 2020-07-20 | 2023-12-26 | トヨタ自動車株式会社 | サーバ、更新管理方法、更新管理プログラム、ソフトウェア更新装置、サーバ及びソフトウェア更新装置を備えるシステム、センタ、otaマスタ、センタ及びotaマスタを備えるシステム |
| DE102021127600A1 (de) * | 2020-10-22 | 2022-04-28 | Erwin Hymer Group Se | Update-Verfahren für Softwarekomponenten eines Freizeitfahrzeugs |
| JP7509059B2 (ja) | 2021-03-05 | 2024-07-02 | トヨタ自動車株式会社 | センタ、更新管理方法、及び更新管理プログラム |
| CN112925546B (zh) * | 2021-03-10 | 2023-07-25 | 云度新能源汽车股份有限公司 | 一种防止车载ecu刷新出错的多级校验方法及系统 |
| JP7552543B2 (ja) | 2021-09-16 | 2024-09-18 | トヨタ自動車株式会社 | 情報処理システム、情報処理方法、プログラム |
| US11472306B1 (en) | 2022-03-09 | 2022-10-18 | Anthony Macaluso | Electric vehicle charging station |
| US11577606B1 (en) | 2022-03-09 | 2023-02-14 | Anthony Macaluso | Flexible arm generator |
| US20240258823A1 (en) | 2023-01-30 | 2024-08-01 | Anthony Macaluso | Matable energy storage devices |
| US11955875B1 (en) | 2023-02-28 | 2024-04-09 | Anthony Macaluso | Vehicle energy generation system |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7373643B2 (en) * | 2001-03-06 | 2008-05-13 | Cybersoft, Inc. | Apparatus, methods and articles of manufacture for data transmission |
| JP2011108167A (ja) * | 2009-11-20 | 2011-06-02 | Toyota Infotechnology Center Co Ltd | コンピューターシステム |
| US8166341B2 (en) * | 2009-08-31 | 2012-04-24 | Red Hat, Inc. | Systems and methods for testing results of configuration management activity |
| CN102693379A (zh) * | 2011-03-01 | 2012-09-26 | 微软公司 | 保护操作系统配置值 |
| CN102859935A (zh) * | 2010-03-23 | 2013-01-02 | 富士通株式会社 | 利用虚拟机远程维护电子网络中的多个客户端的系统和方法 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002144983A (ja) * | 2000-11-14 | 2002-05-22 | Toyoda Mach Works Ltd | 車両制御装置の制御ソフト変更装置及びその方法 |
| JP2004102379A (ja) | 2002-09-05 | 2004-04-02 | Hitachi Ltd | パッチ適用管理プログラム、方法、およびシステム |
| JP2004326689A (ja) * | 2003-04-28 | 2004-11-18 | Nissan Motor Co Ltd | 車載機器のソフトウェア書き換え方法、テレマティクスシステムおよびテレマティクス装置 |
| JP2005107803A (ja) | 2003-09-30 | 2005-04-21 | Hitachi Ltd | システム更新方法、および、それを実行するための計算機システム |
| US20080222604A1 (en) * | 2005-03-07 | 2008-09-11 | Network Engines, Inc. | Methods and apparatus for life-cycle management |
| JP2006331185A (ja) | 2005-05-27 | 2006-12-07 | Fujitsu Ten Ltd | 制御装置、書換装置、書換方法および書換プログラム |
| US7870379B2 (en) * | 2006-10-10 | 2011-01-11 | Exaflop Llc | Updating a power supply microcontroller |
| JP5024036B2 (ja) | 2007-12-27 | 2012-09-12 | 沖電気工業株式会社 | プログラムの配信サーバ、配信システム、配信方法、および、配信対象プログラム |
| JP2010128844A (ja) | 2008-11-28 | 2010-06-10 | Hitachi Software Eng Co Ltd | ソフトウェア更新システム |
| TWI386847B (zh) * | 2009-02-04 | 2013-02-21 | Novatek Microelectronics Corp | 可安全復原的韌體更新方法及可安全復原之韌體更新的嵌入式電子裝置 |
| US9195455B2 (en) * | 2009-04-01 | 2015-11-24 | Oracle International Corporation | Reducing downtime when patching multiple inter-dependent software components |
| US9189357B2 (en) * | 2010-05-25 | 2015-11-17 | Red Hat, Inc. | Generating machine state verification using number of installed package objects |
| US9464905B2 (en) * | 2010-06-25 | 2016-10-11 | Toyota Motor Engineering & Manufacturing North America, Inc. | Over-the-air vehicle systems updating and associate security protocols |
| WO2014088567A1 (en) * | 2012-12-05 | 2014-06-12 | Bendix Commercial Vehicle Systems Llc | Methods and apparatus for updating software components in coordination with operational modes of a motor vehicle |
| US10509639B2 (en) * | 2014-06-04 | 2019-12-17 | Rimini Street, Inc. | Automatic software-update framework |
-
2013
- 2013-10-18 JP JP2013217473A patent/JP5864510B2/ja not_active Expired - Fee Related
-
2014
- 2014-09-22 EP EP14185730.0A patent/EP2863303B1/en active Active
- 2014-09-24 US US14/495,195 patent/US10157050B2/en active Active
- 2014-10-08 CN CN201410525010.7A patent/CN104572320B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7373643B2 (en) * | 2001-03-06 | 2008-05-13 | Cybersoft, Inc. | Apparatus, methods and articles of manufacture for data transmission |
| US8166341B2 (en) * | 2009-08-31 | 2012-04-24 | Red Hat, Inc. | Systems and methods for testing results of configuration management activity |
| JP2011108167A (ja) * | 2009-11-20 | 2011-06-02 | Toyota Infotechnology Center Co Ltd | コンピューターシステム |
| CN102859935A (zh) * | 2010-03-23 | 2013-01-02 | 富士通株式会社 | 利用虚拟机远程维护电子网络中的多个客户端的系统和方法 |
| CN102693379A (zh) * | 2011-03-01 | 2012-09-26 | 微软公司 | 保护操作系统配置值 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20150113520A1 (en) | 2015-04-23 |
| CN104572320A (zh) | 2015-04-29 |
| JP5864510B2 (ja) | 2016-02-17 |
| EP2863303A1 (en) | 2015-04-22 |
| JP2015079440A (ja) | 2015-04-23 |
| US10157050B2 (en) | 2018-12-18 |
| EP2863303B1 (en) | 2020-01-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104572320B (zh) | 用于确认校正程序的方法以及信息处理设备 | |
| US11204751B2 (en) | Mitigating incompatibilities due to code updates in a system containing multiple networked electronic control units | |
| CN108762783B (zh) | 车辆系统的软件更新方法、装置及车辆系统 | |
| US10937253B2 (en) | Validation of vehicle data via blockchain | |
| US9904531B2 (en) | Apparatus and method for installing vehicle correction program | |
| US20190207813A1 (en) | Device provisioning system | |
| CN110582430B (zh) | 车载认证系统、车辆通信装置、认证管理装置、车载认证方法以及计算机能读取的存储介质 | |
| JP2021500816A (ja) | 車両搭載機器アップグレード方法および関連機器 | |
| CN104904156B (zh) | 认证处理装置、认证处理系统以及认证处理方法 | |
| EP3399691B1 (en) | Onboard computer system, vehicle, management method, and computer program | |
| CN110557452B (zh) | 区块链的节点管理方法、装置、存储介质和计算机设备 | |
| US20130055228A1 (en) | System and Method for Installing a Patch on a Computing System | |
| CN115756908A (zh) | 用于实时ecu崩溃报告和恢复的方法 | |
| CN110597673B (zh) | 存储系统的容灾方法、装置、设备及计算机可读存储介质 | |
| CN113468276A (zh) | 链上预言机的可信数据获取方法、装置及电子设备 | |
| JP6483461B2 (ja) | 管理方法、管理プログラム、管理装置、管理システムおよび情報処理方法 | |
| JP7013921B2 (ja) | 検証端末 | |
| CN115765904A (zh) | 汽车嵌入式系统计时 | |
| CN115761935A (zh) | 用于启用持久性车辆软件接口的系统和方法 | |
| CN115761936A (zh) | 改进的目标单元测试 | |
| CN113169906B (zh) | 信息处理装置、信息处理方法和计算机能读取的存储介质 | |
| JP7229426B2 (ja) | 車載制御システムおよび異常診断方法 | |
| CN110521166B (zh) | 用于确保设备属性的至少一个运行值的真实性的方法、装置和计算机存储介质 | |
| KR20240025970A (ko) | Rxswin 정보를 포함하는 차량 제어 장치 및 그를 포함한 차량 제어 시스템 | |
| CN118796572A (zh) | 智能硬件自动注册方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180914 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |