DE102009058754B4 - Verfahren zur Reprogrammierung eines oder mehrerer Steuergeräte eines Fahrzeugs und Steuergerät - Google Patents

Verfahren zur Reprogrammierung eines oder mehrerer Steuergeräte eines Fahrzeugs und Steuergerät Download PDF

Info

Publication number
DE102009058754B4
DE102009058754B4 DE102009058754.3A DE102009058754A DE102009058754B4 DE 102009058754 B4 DE102009058754 B4 DE 102009058754B4 DE 102009058754 A DE102009058754 A DE 102009058754A DE 102009058754 B4 DE102009058754 B4 DE 102009058754B4
Authority
DE
Germany
Prior art keywords
reprogramming
vehicle
control unit
control device
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102009058754.3A
Other languages
English (en)
Other versions
DE102009058754A1 (de
Inventor
Oliver Lehner
Dr. Steininger Bärbel
Mike Vogel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Vitesco Technologies GmbH
Original Assignee
Continental Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH filed Critical Continental Automotive GmbH
Priority to DE102009058754.3A priority Critical patent/DE102009058754B4/de
Publication of DE102009058754A1 publication Critical patent/DE102009058754A1/de
Application granted granted Critical
Publication of DE102009058754B4 publication Critical patent/DE102009058754B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/01Fittings or systems for preventing or indicating unauthorised use or theft of vehicles operating on vehicle systems or fittings, e.g. on doors, seats or windscreens
    • B60R25/04Fittings or systems for preventing or indicating unauthorised use or theft of vehicles operating on vehicle systems or fittings, e.g. on doors, seats or windscreens operating on the propulsion system, e.g. engine or drive motor

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Verfahren zur Reprogrammierung eines oder mehrerer Steuergeräte (14, 16, 18) eines Fahrzeugs, bei dem- eine Überprüfung durchgeführt wird, ob eine gültige Authentifizierung eines Berechtigungstokens (10) gegenüber dem Fahrzeug vorliegt,- ausschließlich in dem Fall, dass eine gültige Authentifizierung des Berechtigungstokens (10) gegenüber dem Fahrzeug vorliegt, eine Reprogrammierung eines jeweiligen Steuergeräts (14, 16, 18) durchgeführt wird, wobeizumindest eines der Steuergeräte (14, 16, 18) eine erste Softwarekomponente (52) mit einer Funktionalität bezüglich der Steuerung wenigstens einer Fahrzeugfunktion und eine zweite Softwarekomponente (54) mit Wegfahrsperrenfunktionalität umfasst, und wobeidurch ein jeweiliges Steuergerät (14, 16, 18)überprüft wird, ob eine gültige Authentifizierung des Berechtigungstokens (10) gegenüber dem zu reprogrammierenden Steuergerät (14, 16, 18) vorliegt.

Description

  • Die Erfindung betrifft ein Verfahren zur Reprogrammierung eines oder mehrerer Steuergeräte eines Fahrzeugs. Die Erfindung betrifft weiterhin ein Steuergerät für ein Fahrzeug.
  • In modernen Kraftfahrzeugen sind sog. elektronische Wegfahrsperren realisiert, die verhindern sollen, dass die Kraftfahrzeuge unbefugt in Betrieb genommen werden können. Die Wegfahrsperre wird üblicherweise nach Abschaltung der Zündung automatisch aktiviert. Um sie beim Einschalten der Zündung wieder außer Betrieb zu setzen, wird meist ein in einem Berechtigungstoken (Token) integrierter RFID-Chip verwendet, der sich gegenüber dem Fahrzeug authentifiziert. Der Token ist beispielsweise ein Fahrzeugschlüssel, eine Chipkarte oder dergleichen. Bekannt sind auch Schlüsselanhänger mit galvanischen Kontakten, die in einen entsprechenden Steckplatz des Fahrzeugs eingesteckt werden müssen, oder eine Zahlentastatur im Fahrzeug, in die ein PIN-Code zur Deaktivierung der Wegfahrsperre eingegeben werden muss.
  • Moderne Wegfahrsperren erteilen einem oder mehreren Steuergeräten, z.B. einem Motorsteuergerät (ECU - Electronic Control Unit) und/oder einem Getriebesteuergerät, über eine elektronische Kommunikation eine Freigabe, ohne die der Motor nicht anspringt oder ein Gang nicht eingelegt werden kann. Diese Kommunikation erfolgt meist über ein Fahrzeug-Bussystem und ist mehr oder weniger stark verschlüsselt. Eine Freigabe wird durch das jeweilige Steuergerät dann erteilt, wenn eine erfolgreiche Authentifizierung des Berechtigungstokens gegenüber der Wegfahrsperre vorliegt. Bei Wegfahrsperren aktueller Generation ist sowohl die Kommunikation zwischen dem Token und der Wegfahrsperre zur Authentifizierung eines berechtigten Fahrers anhand seines Tokens als auch die Kommunikation zwischen Wegfahrsperre und Motorsteuergerät zur Freigabe des Fahrzeugs kryptographisch abgesichert.
  • Neben einer ersten Softwarekomponente mit Funktionalität bezüglich der Steuerung wenigstens einer Fahrzeugfunktion umfasst zumindest eines der Steuergeräte üblicherweise eine zweite Softwarekomponente mit Wegfahrsperrenfunktionalität. Die erste und die zweite Softwarekomponente sind in dem Steuergerät in einem Speicher hinterlegt, welcher mehrfach beschrieben werden kann. Eine Reprogrammierung eines Steuergeräts findet beispielsweise dann statt, wenn die erste Softwarekomponente einen Fehler aufweist, um eine Funktionalität erweitert wird oder allgemein aktualisiert wird. Prinzipbedingt wird dabei auch immer die zweite Softwarekomponente, welche die Wegfahrsperrenfunktionalität umfasst, neu in den Speicher eines jeweiligen Steuergeräts eingeschrieben. Das Austauschen des Software-Codes der ersten und zweiten Softwarekomponente wird als Reprogrammierung bezeichnet.
  • Aus Gründen des Manipulationsschutzes muss die Reprogrammierung eines Steuergeräts gegen nicht autorisierte Reprogrammierungsversuche abgesichert werden. Beispielsweise könnte die prinzipielle Möglichkeit der Reprogrammierung durch unbefugte Dritte dazu genutzt werden, die Wegfahrsperrenfunktionalität der zweiten Softwarekomponente dahingehend zu ändern, dass eine Authentifizierung gegenüber anderen, an sich nicht berechtigten, Berechtigungstokens ermöglicht wird. Es muss deshalb unter allen Umständen verhindert werden, dass eine „fremde“ Software auf ein Steuergerät aufgespielt werden kann, um Manipulationen beim Authentifizierungsvorgang, bei dem sich der Berechtigungstoken gegenüber einem jeweiligen Steuergerät authentifiziert, zu verhindern.
  • Es ist in diesem Zusammenhang bekannt, die neu auf das Steuergerät aufzubringende Software mit einer Signatur zu versehen, um gegenüber dem Steuergerät anzuzeigen, dass eine gültige Software vorliegt. Hierdurch wird zwar ein verbesserter Manipulationsschutz bereitgestellt, allerdings ist es auch möglich, die Signatur zu fälschen.
  • Die DE 102 55 805 A1 beschreibt ein einfaches Verfahren zur Authentifizierung eines Diagnosetestgerätes zur Änderung der Programmierung eines Steuergerätes, insbesondere Wegfahrsperren-Steuergerätes, indem ein externes Diagnosetestgerät zunächst aus dem Wegfahrsperren-Steuergerät eine Information ausliest, daraus einen Schlüssel-Code berechnet und diesen an das Wegfahrsperren-Steuergerät sendet. Das Wegfahrsperren-Steuergerät verifiziert anschließend diesen Schlüssel-Code.
  • Die DE 100 07 610 A1 beschreibt ein Verfahren zur Programmierung eines Steuergerätes, insbesondere eines Kraftfahrzeuges, welches durch ein extern dem Steuergerat zugeführtes Signal von einem Betriebsmode in einen Programmiermode umgeschaltet wird, wobei dem zu programmierenden Steuergerät während dessen Nachlaufphase das externe Signal über eine, das Steuergerät mit weiteren Steuergeräten vernetzende Datenleitung zugeführt wird, wobei die weiteren Steuergeräte von der Datenleitung abgeschaltet sind.
  • Es ist daher Aufgabe der vorliegenden Erfindung, ein Verfahren anzugeben, mit dem eine Manipulation der Wegfahrsperre beim Reprogrammieren eines Steuergeräts eines Fahrzeugs verhindert werden kann. Es ist weiterhin Aufgabe der vorliegenden Erfindung, ein Steuergerät anzugeben, bei dem bei einer Reprogrammierung ein erhöhter Schutz gegenüber Manipulation gegeben ist.
  • Diese Aufgaben werden gelöst durch ein Verfahren gemäß den Merkmalen des Patentanspruchs 1 und ein Steuergerät gemäß den Merkmalen des Patentanspruchs 10. Vorteilhafte Ausgestaltungen ergeben sich aus den jeweiligen abhängigen Patentansprüchen.
  • Die Erfindung schafft ein Verfahren zur Reprogrammierung eines oder mehrerer Steuergeräte eines Fahrzeugs. Bei diesem wird eine Überprüfung durchgeführt, ob eine gültige Authentifizierung eines Berechtigungstokens gegenüber dem Fahrzeug vorliegt. Ein Berechtigungstoken im Sinne der Erfindung ist beispielsweise ein Fahrzeugschlüssel oder eine Chipkarte, welche entweder drahtlos mit dem Fahrzeug kommuniziert oder in ein korrespondierendes Zündschloss bzw. eine Lesevorrichtung zur Kommunikation eingesteckt werden kann. Im Rahmen der Authentifizierung werden zwischen dem Berechtigungstoken und dem Fahrzeug Daten ausgetauscht, wobei überprüft wird, ob ein in dem Berechtigungstoken gespeichertes Geheimnis durch das Fahrzeug verifiziert werden kann. In einem weiteren Schritt wird ausschließlich in dem Fall, dass eine gültige Authentifizierung des Berechtigungstokens gegenüber dem Fahrzeug vorliegt, eine Reprogrammierung eines jeweiligen Steuergeräts durchgeführt.
  • Bei dem erfindungsgemäßen Verfahren wird der Reprogrammierungsablauf erst dann ermöglicht, wenn eine erfolgreiche Authentifizierung zwischen dem Berechtigungstoken und dem Fahrzeug stattgefunden hat, d.h. eine Entriegelung der Wegfahrsperre vorliegt.
  • Hierdurch erhöht sich die Sicherheit des Austauschs von Softwarekomponenten im Rahmen der Reprogrammierung. Es wird verhindert, dass unberechtigte Dritte, welche nicht über den Berechtigungstoken verfügen, eine Reprogrammierung eines oder mehrerer Steuergeräte vornehmen können, um die darin gespeicherte Software zu manipulieren. Gegenüber der Signatur-Überprüfung des im Rahmen der Reprogrammierung an das Steuergerät übertragenen Software-Codes ergibt sich eine deutlich einfachere Handhabung. Insbesondere ist keine Erstellung und Weiterleitung von Steuergeräte-individuellen Signaturen erforderlich. Hierdurch kann Arbeitszeit eingespart werden. Ferner ist die logistische Infrastruktur für den Reprogrammierungsprozess einfacher bereitstellbar. Dies ergibt sich dadurch, dass keinerlei Anpassungen des Reprogrammierungsablaufs gegenüber dem derzeit gebräuchlichen Vorgehen vorgenommen werden müssen.
  • Im Sinne der Erfindung wird durch ein jeweiliges Steuergerät überprüft, ob eine gültige Authentifizierung des Berechtigungstokens gegenüber dem zu reprogrammierenden Steuergerät vorliegt. Die Durchführung der Reprogrammierung kann bereits dann unterbunden werden, wenn sich der Berechtigungstoken gegenüber lediglich einem einzigen zu reprogrammierenden Steuergerät nicht authentifizieren konnte. Alternativ kann eine Reprogrammierung auch lediglich bezüglich derjenigen Steuergeräte verhindert werden, gegenüber denen eine gültige Authentifizierung nicht vorliegt.
  • Zweckmäßigerweise erfolgt die Überprüfung der Authentifizierung und/oder die Reprogrammierung unter Steuerung eines jeweiligen, zu reprogrammierenden Steuergeräts. Da die Entscheidung, ob eine Reprogrammierung zugelassen wird oder nicht, durch das Steuergerät selbst getroffen wird, ist eine maximale Sicherheit gegenüber Manipulationen gegeben. Insbesondere brauchen dadurch keine weiteren, besonders gesicherten Rechner zur Durchführung des erfindungsgemäßen Verfahrens bereitgestellt werden, wodurch sich dieses auf einfache und kostengünstige Weise in den Arbeitsprozess der Hersteller der Fahrzeuge einbinden lässt.
  • Es ist insbesondere vorgesehen, dass bei einer gültigen Authentifizierung des Berechtigungstokens gegenüber dem Fahrzeug oder einem jeweiligen Steuergerät eine die Authentifizierung repräsentierende Information in zumindest einem der Steuergeräte gespeichert wird, deren Vorhandensein oder Inhalt durch ein jeweiliges zu reprogrammierendes Steuergerät überprüft wird. Hierdurch ist zur Überprüfung der Authentifizierung eine Datenkommunikation mit Rechnern oder Vorrichtungen außerhalb des Fahrzeugs notwendig, wodurch ein weiter verbesserter Manipulationsschutz geschaffen ist.
  • Weiterhin wird bei der Reprogrammierung eines jeweiligen Steuergeräts ein individuelles Datum an das zu reprogrammierende Steuergerät übertragen, dessen Existenz und/oder individueller Wert für eine erfolgreiche Reprogrammierung eines jeweiligen Steuergeräts erforderlich ist. Hierdurch wird verhindert, dass Daten, die beispielsweise durch das Aufzeichnen eines erfolgreichen Code-Austausches im Rahmen einer Reprogrammierung gewonnen wurden, bei einem anderen Steuergerät, insbesondere einem identischen Steuergerät eines anderen Fahrzeugs, ebenfalls zum Austauschen des Software-Codes verwendet werden können. Hierdurch ergibt sich eine weiter erhöhte Sicherheit, da für jede Reprogrammierung eines Steuergeräts um das individuelle Datum unterschiedliche Daten ausgetauscht werden können. Das individuelle Datum wird wiederum für die Durchführung der bestimmungsgemäßen Funktionalität des Steuergeräts benötigt.
  • Insbesondere ist das individuelle Datum eine in dem Berechtigungstoken gespeicherte Information. Es kann sich beispielsweise um eine Schlüssel-ID des Berechtigungstokens handeln, welcher beispielsweise für jedes Fahrzeug eineindeutig ist.
  • Es kann weiterhin vorgesehen sein, dass das individuelle Datum bei der Authentifizierung des Berechtigungstokens gegenüber dem Fahrzeug (oder einem jeweiligen Steuergerät) an das Fahrzeug bzw. ein jeweiliges Steuergerät übertragen wird.
  • Es ist weiterhin vorteilhaft, wenn die Authentifizierung des Berechtigungstokens gegenüber dem Fahrzeug bzw. einem jeweiligen Steuergerät Bestandteil des Reprogrammierungsprozesses ist. Bevorzugt erfolgt die Übertragung des individuellen Datums an das zu reprogrammierende Steuergerät deshalb zu Beginn der Reprogrammierung.
  • In einer weiteren Ausgestaltung ist vorgesehen, dass auf einem jeweiligen zu reprogrammierenden Steuergerät eine erste Softwarekomponente, welche zur Steuerung wenigstens einer Fahrzeugfunktion ausgebildet ist, und eine zweite Softwarekomponente zur Bereitstellung einer Wegfahrsperre gespeichert sind, wobei die Reprogrammierung einen Austausch der ersten und der zweiten Softwarekomponente umfasst.
  • Es ist weiterhin zweckmäßig, wenn in einem jeweiligen Steuergerät eine nicht-beschreibbare und nicht-änderbare dritte Softwarekomponente vorgesehen ist, durch welche die Steuerung der Reprogrammierung erfolgt. Die dritte Softwarekomponente kann Bestandteil eines sog. Boot-Loaders (Urlader) sein, der beispielsweise durch die Firmware des Steuergeräts von einem bootfähigen Speicher geladen und anschließend ausgeführt wird. Der Boot-Loader lädt dann weitere Teile des Betriebssystems des Steuergeräts. Üblicherweise ist die Architektur eines Steuergeräts derart ausgestaltet, dass die dritte Softwarekomponente durch Dritte nicht auslesbar und/oder manipulierbar ist.
  • Die Erfindung schafft weiterhin ein Steuergerät für ein Fahrzeug. Dieses umfasst ein erstes Mittel zur Überprüfung, ob eine gültige Authentifizierung eines Berechtigungstokens gegenüber dem Fahrzeug vorliegt. Es umfasst weiter ein zweites Mittel, dass dazu ausgebildet ist, ausschließlich in dem Fall, dass eine gültige Authentifizierung des Berechtigungstokens gegenüber dem Fahrzeug vorliegt, eine Reprogrammierung eines jeweiligen Steuergeräts durchzuführen.
  • Das erfindungsgemäße Steuergerät weist die gleichen Vorteile auf, wie diese vorstehend in Verbindung mit dem erfindungsgemäßen Verfahren erläutert wurden.
  • Insbesondere weist das erfindungsgemäße Steuergerät weitere Mittel zur Durchführung des oben beschriebenen Verfahrens auf.
  • Die Erfindung wird nachfolgend näher anhand eines Ausführungsbeispiels in der Zeichnung beschrieben. Es zeigen:
    • 1 eine schematische Darstellung eines Fahrzeugs, in dem das erfindungsgemäße Verfahren verwirklicht ist, und
    • 2 eine schematische Darstellung der in einem erfindungsgemäßen Steuergerät vorgesehenen Softwarekomponenten.
  • 1 zeigt die aus dem Stand der Technik bekannten Komponenten eines Steuergerät-Netzwerks. An ein Kommunikationsnetzwerk 20, z.B. einen Bus, sind beispielhaft vier Steuergeräte 12, 14, 16, 18 angeschlossen. Das Steuergerät 12 stellt die Funktionalität eines Zündschlosses bereit. Das Steuergerät 12 ist zur Datenkommunikation 22 mit einem Token 10 ausgebildet. Der Token 10 kann beispielsweise ein Schlüssel oder eine Chipkarte sein. Die Datenkommunikation zwischen dem Token 10 und dem Steuergerät 12 kann wahlweise kontaktlos oder kontaktbehaftet erfolgen. Das Steuergerät 14 ist beispielsweiseein Motorsteuergerät (Electronic Control Unit - ECU). Das Steuergerät 16 stellt beispielsweise ein Getriebesteuergerät für ein Automatikgetriebe dar, welches vermittels elektronischer Steuersignale einen Gangwechsel des Getriebes vornimmt. Das Steuergerät 18 dient beispielsweise zur mechanischen Lenkungsverriegelung.
  • Jedes der Steuergeräte 14, 16, 18 weist eine erste Softwarekomponente 52 mit Funktionalität bezüglich der Steuerung seiner jeweiligen Fahrzeugfunktion (Motorsteuerung, Getriebesteuerung, Lenkungsverriegelung) auf. Ferner ist jeweils eine zweite Softwarekomponente 54 mit Wegfahrsperrenfunktionalität vorgesehen. Die erste und zweite Softwarekomponente 52, 54 sind üblicherweise in einem Speicher oder einem Teilbereich eines gemeinsamen Speichers eines jeweiligen Steuergeräts angeordnet, welcher bei Softwarefehlern oder neuen Features mit einer aktualisierten Software beschrieben werden kann. Dieser Vorgang wird als Reprogrammierung bezeichnet.
  • In jedem der Steuergeräte 14, 16, 18 ist ferner eine dritte Softwarekomponente 56 vorgesehen, welche einen sog. Boot-Loader umfasst. Ein Boot-Loader ist ein Urlader, eine spezielle Software, die gewöhnlich durch die Firmware des Steuergeräts von einem bootfähigen Medium geladen und anschließend ausgeführt wird. Der Boot-Loader lädt dann weitere Teile des Betriebssystems. Die dritte Softwarekomponente 56 ist in einem besonders geschützten, nicht-manipulierbaren Bereich eines Speichers des jeweiligen Steuergeräts 14, 16, 18 vorgesehen.
  • Die in einem jeweiligen Steuergerät vorgesehenen Softwarekomponenten sind in 2 schematisch dargestellt und in ihrer Gesamtheit mit 50 gekennzeichnet.
  • Die in 1 dargestellten Komponente zeigen beispielhaft die für die Realisierung der Funktionalität einer Wegfahrsperre notwendigen Elemente. In einer einfacheren Ausgestaltung könnte die Wegfahrsperre auch lediglich durch ein einziges der Steuergeräte 14, 16, 18 ausgebildet sein.
  • Die Wegfahrsperre wird üblicherweise nach Abschalten der Zündung, d.h. nach einer Unterbrechung der Datenkommunikation zwischen dem Token 10 und dem Steuergerät 12, automatisch aktiviert. Um beim Einschalten der Zündung, d.h. bei einer Kommunikation zwischen dem Token 10 und dem Steuergerät 12 die Wegfahrsperre außer Betrieb zu setzen, findet eine Authentifizierung des Tokens 10 gegenüber einem jeweiligen, Wegfahrsperrenfunktionalität aufweisenden Steuergerät, statt. Im vorliegenden Ausführungsbeispiel sind dies sämtliche der Steuergeräte 14, 16, 18. Da der Vorgang der Authentifizierung aus dem Stand der Technik prinzipiell bekannt ist, wird auf eine eingehendere Beschreibung an dieser Stelle verzichtet.
  • Bei einer gültigen Authentifizierung des Tokens 10 gegenüber einem jeweiligen der Steuergeräte 14, 16, 18 wird eine die Authentifizierung repräsentierende Information in einem jeweiligen der Steuergeräte gespeichert, deren Vorhandensein oder Inhalt durch ein jeweiliges zu reprogramierendes Steuergerät überprüft wird, um seine bestimmungsgemäße Funktionalität auszuführen. Ist diese Information in einem jeweiligen Steuergerät (oder einem zentralen Speicher) nicht vorhanden, so wird die Funktionalität der Motorsteuerung und/oder der Getriebesteuerung und/oder der Lenkradentriegelung unterbunden. Die zweite Softwarekomponente 54 eines jeweiligen Steuergeräts 14, 16, 18 erteilt der ersten Softwarekomponente 52 des betreffenden Steuergeräts nur dann eine Freigabe bezüglich der Steuerung einer Fahrzeugfunktion, wenn eine gültige Authentifizierung des Berechtigungstokens 10 vorliegt.
  • Um eine unbefugte Reprogrammierung eines jeweiligen Steuergeräts 14, 16, 18 zu verhindern, wird durch ein jeweiliges Steuergerät überprüft, ob eine gültige Authentifizierung des Tokens 10 gegenüber dem betreffenden Steuergerät 14, 16, 18 vorliegt. Ausschließlich in dem Fall, dass eine gültige Authentifizierung des Tokens 10 gegenüber dem zu reprogrammierenden Steuergerät vorliegt, wird eine Reprogrammierung dieses Steuergeräts durch das Steuergerät selbst zugelassen.
  • Der Vorgang der Authentifizierung, der Überprüfung, ob eine Authentifizierung erfolgt ist und die Steuerung des gesamten Reprogrammierungsprozesses erfolgt somit durch ein jeweiliges Steuergerät selbst. Durch die Kopplung der Wegfahrsperrenfunktionalität und der Reprogrammierung ergibt sich ein verbesserter Manipulationsschutz gegenüber einer unbefugten Reprogrammierung. Da der Reprogrammierungsablauf hierdurch nicht beeinflusst wird, ist der Handling- und Implementierungsaufwand minimal. Darüber hinaus ist die Logistik zur Verteilung passenden Software-Codes einfacher, da auf die Verwendung von Signaturen verzichtet werden kann.
  • Der Reprogrammierungsablauf wird durch das Steuergerät selbst erst dann freigegeben, wenn bereits eine erfolgreiche Entriegelung der Wegfahrsperre durch die Authentifizierung des Tokens gegenüber dem betreffenden Steuergerät stattgefunden hat.
  • Wird die Authentifizierung in den Reprogrammierungsprozess einbezogen, so ist der Reprogrammierungsprozess individualisiert, wodurch eine weitere Erhöhung der Sicherheit erreicht ist. Es wird sichergestellt, dass bei der Reprogrammierung identischer Steuergeräte (z.B. einer Anzahl an identischen Motorsteuergeräten verschiedener Fahrzeuge) um die Authentifizierung unterschiedliche Informationen zwischen einem Reprogrammierungs-Rechner und dem zu reprogrammierenden Steuergerät übertragen werden. Hierdurch wird verhindert, dass Daten, die durch das Aufzeichnen eines erfolgreichen Code-Austausches durch einen Angreifer gewonnen wurden, bei einem anderen Steuergerät zum Austauschen des Software-Codes verwendet werden können.
  • Nachdem die Fahrzeugsperralgorithmen und -kennungen ihrer Natur nach individuell pro Fahrzeug und Steuergerät sind, ist durch die Kopplung der Mechanismen der Wegfahrsperre und der Reprogrammierung auch der Reprogrammierungsablauf individualisiert.

Claims (11)

  1. Verfahren zur Reprogrammierung eines oder mehrerer Steuergeräte (14, 16, 18) eines Fahrzeugs, bei dem - eine Überprüfung durchgeführt wird, ob eine gültige Authentifizierung eines Berechtigungstokens (10) gegenüber dem Fahrzeug vorliegt, - ausschließlich in dem Fall, dass eine gültige Authentifizierung des Berechtigungstokens (10) gegenüber dem Fahrzeug vorliegt, eine Reprogrammierung eines jeweiligen Steuergeräts (14, 16, 18) durchgeführt wird, wobei zumindest eines der Steuergeräte (14, 16, 18) eine erste Softwarekomponente (52) mit einer Funktionalität bezüglich der Steuerung wenigstens einer Fahrzeugfunktion und eine zweite Softwarekomponente (54) mit Wegfahrsperrenfunktionalität umfasst, und wobei durch ein jeweiliges Steuergerät (14, 16, 18)überprüft wird, ob eine gültige Authentifizierung des Berechtigungstokens (10) gegenüber dem zu reprogrammierenden Steuergerät (14, 16, 18) vorliegt.
  2. . Verfahren nach Anspruch 1, bei dem die Überprüfung der Authentifizierung und/oder die Reprogrammierung unter Steuerung eines jeweiligen, zu reprogrammierenden Steuergeräts (14, 16, 18) erfolgt.
  3. . Verfahren nach einem der vorhergehenden Ansprüche, bei dem bei einer gültigen Authentifizierung des Berechtigungstokens (10) gegenüber dem Fahrzeug eine die Authentifizierung repräsentierende Information in zumindest einem der Steuergeräte (14, 16, 18) gespeichert wird, deren Vorhandensein oder Inhalt durch ein jeweiliges zu reprogrammierendes Steuergerät (14, 16, 18) überprüft wird.
  4. . Verfahren nach einem der vorhergehenden Ansprüche, bei dem bei der Reprogrammierung eines jeweiligen Steuergeräts (14, 16, 18) ein individuelles Datum an das zu reprogrammierende Steuergerät (14, 16, 18) übertragen wird, dessen Existenz und/oder individueller Wert für eine erfolgreiche Reprogrammierung eines jeweiligen Steuergeräts (14, 16, 18) erforderlich ist.
  5. . Verfahren nach Anspruch 4 , bei dem das individuelle Datum eine in dem Berechtigungstoken (10) gespeicherte Information ist.
  6. . Verfahren nach Anspruch 4 oder 5 , bei dem das individuelle Datum bei der Authentifizierung des Berechtigungstokens gegenüber dem Fahrzeug an das Fahrzeug übertragen wird.
  7. . Verfahren nach einem der Ansprüche 4 bis 6 , bei dem die Authentifizierung des Berechtigungstokens gegenüber dem Fahrzeug Bestandteil des Reprogrammierungsprozesses ist.
  8. . Verfahren nach einem der vorhergehenden Ansprüche, bei dem auf einem jeweiligen zu reprogrammierenden Steuergerät (14, 16, 18) eine erste Softwarekomponente (52), welche zur Steuerung wenigstens einer Fahrzeugfunktion ausgebildet ist, und eine zweite Softwarekomponente (54) zur Bereitstellung einer Wegfahrsperre gespeichert sind, wobei die Reprogrammierung einen Austausch der ersten und der zweiten Softwarekomponente (52, 54) umfasst.
  9. . Verfahren nach einem der vorhergehenden Ansprüche, bei dem in einem jeweiligen Steuergerät (14, 16, 18) eine nichtüberschreibbare und nicht-änderbare dritte Softwarekomponente (56) vorgesehen ist, durch welche die Steuerung der Reprogrammierung erfolgt.
  10. . Steuergerät (14, 16, 18) für ein Fahrzeug, umfassend: - ein erstes Mittel zur Überprüfung, ob eine gültige Authentifizierung eines Berechtigungstokens (10) gegenüber dem Fahrzeug vorliegt, - ein zweites Mittel, das dazu ausgebildet ist, ausschließlich in dem Fall, dass eine gültige Authentifizierung des Berechtigungstokens (10) gegenüber dem Fahrzeug vorliegt, eine Reprogrammierung eines jeweiligen Steuergeräts (14, 16, 18) durchzuführen, wobei zumindest ein Steuergerät (14, 16, 18) eine erste Softwarekomponente (52) mit einer Funktionalität bezüglich der Steuerung wenigstens einer Fahrzeugfunktion und eine zweite Softwarekomponente (54) mit Wegfahrsperrenfunktionalität umfasst, und wobei durch ein jeweiliges Steuergerät (14, 16, 18)überprüfbar ist, ob eine gültige Authentifizierung des Berechtigungstokens (10) gegenüber dem zu reprogrammierenden Steuergerät (14, 16, 18) vorliegt.
  11. . Steuergerät nach Anspruch 10 , das weitere Mittel zur Durchführung des Verfahrens gemäß einem der Ansprüche 2 bis 9 aufweist.
DE102009058754.3A 2009-12-17 2009-12-17 Verfahren zur Reprogrammierung eines oder mehrerer Steuergeräte eines Fahrzeugs und Steuergerät Active DE102009058754B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102009058754.3A DE102009058754B4 (de) 2009-12-17 2009-12-17 Verfahren zur Reprogrammierung eines oder mehrerer Steuergeräte eines Fahrzeugs und Steuergerät

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102009058754.3A DE102009058754B4 (de) 2009-12-17 2009-12-17 Verfahren zur Reprogrammierung eines oder mehrerer Steuergeräte eines Fahrzeugs und Steuergerät

Publications (2)

Publication Number Publication Date
DE102009058754A1 DE102009058754A1 (de) 2011-06-22
DE102009058754B4 true DE102009058754B4 (de) 2018-06-07

Family

ID=44311129

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102009058754.3A Active DE102009058754B4 (de) 2009-12-17 2009-12-17 Verfahren zur Reprogrammierung eines oder mehrerer Steuergeräte eines Fahrzeugs und Steuergerät

Country Status (1)

Country Link
DE (1) DE102009058754B4 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014208838A1 (de) * 2014-05-12 2015-11-12 Robert Bosch Gmbh Verfahren zum Betreiben eines Steuergeräts
FR3071079B1 (fr) * 2017-09-08 2019-09-13 Alstom Transport Technologies Procede de transmission et de verification de validite de donnees de configuration dans un systeme electronique, systeme electronique et produit programme d'ordinateur associes

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10007610A1 (de) 1999-12-22 2002-03-28 Mannesmann Vdo Ag Verfahren zur Programmierung eines Steuergerätes
DE10255805A1 (de) 2002-11-29 2004-06-09 Adam Opel Ag Verfahren zur Änderung der Programmierung eines Steuergerätes eines Kraftfahrzeuges

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10007610A1 (de) 1999-12-22 2002-03-28 Mannesmann Vdo Ag Verfahren zur Programmierung eines Steuergerätes
DE10255805A1 (de) 2002-11-29 2004-06-09 Adam Opel Ag Verfahren zur Änderung der Programmierung eines Steuergerätes eines Kraftfahrzeuges

Also Published As

Publication number Publication date
DE102009058754A1 (de) 2011-06-22

Similar Documents

Publication Publication Date Title
EP1959606B1 (de) Sicherheitseinheit
DE102008021030B4 (de) Verfahren zum Betreiben eines Fahrzeugs sowie entsprechende Vorrichtung und entsprechendes Fahrzeug
DE102013003040B4 (de) Kraftfahrzeug mit nachträglich per Anwendungsprogramm veränderbarem Fahrverhalten sowie Verfahren hierzu
DE102005005436A1 (de) Sicherheitseinrichtung für einen Transponder
DE102018214999A1 (de) Vorrichtung zur Absicherung von Diagnosebefehlen an ein Steuergerät und entsprechendes Kraftfahrzeug
DE102015213412A1 (de) Verfahren und Anordnung zum sicheren Austausch von Konfigurationsdaten einer Vorrichtung
EP1524803B1 (de) Verfahren und Vorrichtung zur Umstellung eines ersten Modus einer Steuereinrichtung in einen zweiten Modus über einen Daten-Bus
EP1760623A2 (de) Sicherheitseinrichtung für elektronische Geräte
EP2326959B1 (de) Verfahren zum freischalten von funktionen eines tachographen
DE102009058754B4 (de) Verfahren zur Reprogrammierung eines oder mehrerer Steuergeräte eines Fahrzeugs und Steuergerät
EP2628706B1 (de) Gewerbliches Fahrzeug, insbesondere Gabelstapler oder Flurförderzeug, mit einem fahrzeugseitig fest angebrachten Datenspeicher in Zuordnung zu einer parametrierbaren elektronischen Steueranordnung
DE102007036094A1 (de) Verfahren zur Diebstahlsicherung eines elektronischen Gerätes in einem Kraftfahrzeug und Diebstahlschutzvorrichtung für ein solches Gerät
DE102010009257A1 (de) Steuergerät und Verfahren zum Betrieb des Steuergeräts
EP3556122A1 (de) Verfahren zum betreiben einer sendeeinrichtung eines kraftfahrzeugs, sendeeinrichtung für ein kraftfahrzeug sowie kraftfahrzeug
EP2753042B1 (de) Authentifizierung von mindestens zwei über einen Datenbus gekoppelten, landwirtschaftlichen Geräten
DE102009057926B4 (de) Verfahren und Vorrichtung zum Schutz eines Fahrzeugs vor Diebstahl
WO2011085960A1 (de) Verfahren zum bereitstellen eines sicheren zählers auf einem endgerät
WO2012048859A1 (de) Fahrzeugschlüssel mit einer elektronischen wegfahrsperre
DE10130493B4 (de) Verfahren zur Freigabe eines Zugriffs auf ein elektronisches Steuergerät
DE102008039121A1 (de) Verfahren zur Codierung einer Zeichenkette für ein Fahrzeug sowie entsprechend ausgestaltetes Steuergerät und Fahrzeug
DE102016209379A1 (de) Verfahren und System zur Autorisierung einer Bedienung eines Fahrzeugs
EP1785955A1 (de) Verfahren zur Freigabe des Zugriffs auf eine durch einen persönlichen Identifikationscode gesicherte Anwendung und/oder Einrichtung
DE102012018613A1 (de) Verfahren und Vorrichtung für einen gesicherten Zugriff auf zumindest ein Steuergerät eines Fahrzeugs
DE102022117149A1 (de) Verfahren zum Betrieb eines Steuergeräts eines Kraftfahrzeugs für einen Produktionsvorgang des Kraftfahrzeugs und Steuergerät
DE102022123487A1 (de) System, Verfahren und Computerprogrammprodukt zum kontrollierten Updaten einer Software für eine Steuerungseinrichtung

Legal Events

Date Code Title Description
R016 Response to examination communication
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R081 Change of applicant/patentee

Owner name: VITESCO TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE

R084 Declaration of willingness to licence
R081 Change of applicant/patentee

Owner name: VITESCO TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: VITESCO TECHNOLOGIES GMBH, 30165 HANNOVER, DE