-
Hintergrund
-
(Technisches Gebiet)
-
Die vorliegende Erfindung betrifft eine Kommunikationsweiterleitungsvorrichtung zum Weiterleiten von Kommunikationen zwischen einer elektronischen Steuereinheit (ECU), die mit der Vorrichtung mittels eines fahrzeuggebundenen lokalen Netzwerks (Local Area Network, LAN) verbunden ist, und einer externen Einrichtung, die mit der Vorrichtung mittels eines Kommunikationspfads verbunden ist, der sich von dem fahrzeuggebundenen LAN unterscheidet.
-
(Stand der Technik)
-
Eine Wegfahrsperre, wie sie in der japanischen Patentanmeldungsoffenlegung mit der Veröffentlichungsnummer
JP H08 -30 873 A offenbart ist, ist ein fahrzeuggebundenes Antidiebstahlsystem, das einen Fahrzeugbenutzer mit einem verschlüsselten Code authentifiziert, der von einem Benutzerschlüssel empfangen wird, und es einem Motor nur erlaubt zu starten, wenn der Benutzer erfolgreich authentifiziert ist. Das Verwenden der Wegfahrsperre kann Fahrzeugdiebstahl beispielsweise sogar vermeiden, wenn eine Fahrzeugtür gewaltsam geöffnet wird.
-
Eine ECU, die als die Wegfahrsperre dient (nachfolgend als eine Wegfahrsperre-ECU bezeichnet), ist mit einem fahrzeuggebundenen LAN wie beispielsweise einem sogenannten Controller Area Network (CAN) oder dergleichen verbunden. In den letzten Jahren ist eine ansteigende Anzahl von Fahrzeugen, die mit einem dedizierten Port zum Verbinden eines externen Werkzeugs mit dem fahrzeuggebundenen LAN versehen sind, in Umlauf. In jedem dieser Fahrzeuge kommuniziert das externe Werkzeug mit der Wegfahrsperre-ECU mittels eines derartigen dedizierten Ports, um die Wegfahrsperre-ECU zu testen oder die Wegfahrsperre-ECU zum Korrigieren eines Fehlers in dieser oder um diese für eine Versionsaktualisierung umzuprogrammieren.
-
In den letzten Jahren war jedoch ein hinterhältiges Werkzeug (bekannt als ein sogenannter „Immobilizer Cutter“ oder Wegfahrsperrenunterbrecher) im Umlauf, das die Antidiebstahlfunktion der Wegfahrsperre in kurzer Zeit deaktivieren kann. Das hinterhältige Werkzeug kann mit dem fahrzeuggebundenen LAN mittels des dedizierten Ports verbunden werden, um auf die Wegfahrsperre-ECU zuzugreifen, und kann die Antidiebstahlfunktion durch Umprogrammieren der Wegfahrsperre-ECU deaktivieren.
-
Wie vorstehend beschrieben, kann das Umprogrammieren der Wegfahrsperre-ECU mittels des fahrzeuggebundenen LANs für Fahrzeugdiebstahl missbraucht werden. Darüber hinaus können an der Wegfahrsperre-ECU auf ähnliche Art und Weise unerlaubte Änderungen vorgenommen werden.
-
Es wird ferner auf die
DE 102 30 351 A1 verwiesen, die als Stand der Technik ermittelt wurde.
-
Hinsichtlich des Vorstehenden wäre es deshalb eine Aufgabe der Erfindung, eine Kommunikationsweiterleitungsvorrichtung bereitzustellen, die unauthorisiertem Umprogrammieren einer ECU vorbeugen kann.
-
Diese Aufgabe wird gelöst durch die Merkmale des unabhängigen Anspruchs 1.
-
Überblick über die Erfindung
-
Gemäß der vorliegenden Erfindung wird eine Kommunikationsweiterleitungsvorrichtung zum Weiterleiten von Kommunikationen zwischen einer elektronischen Steuereinheit (ECU), die mit der Vorrichtung mittels eines fahrzeuggebundenen lokalen Netzwerks (LAN) verbunden ist, und einer externen Einrichtung, die mit der Vorrichtung mittels eines Kommunikationspfads verbunden ist, der sich von dem fahrzeuggebundenen LAN unterscheidet, bereitgestellt.
-
Die Vorrichtung beinhaltet: eine Datenübertragungseinheit die Weiterleitungsdaten, die von der ECU empfangen werden, an den Kommunikationspfad weitergibt, und Weiterleitungsdaten, die von der externen Einrichtung empfangen werden, an das fahrzeuggebundene LAN weitergibt, wobei die Datenübertragungseinheit gehindert ist, Umprogrammierungsdaten zum Umprogrammieren der ECU, die von der externen Einrichtung empfangen werden, an das fahrzeuggebundene LAN weiterzugeben; und eine Authentifizierungseinheit, die einen Fahrzeugbenutzer authentifiziert, und wenn der Fahrzeugbenutzer erfolgreich authentifiziert ist, der Datenübertragungseinheit erlaubt, die Umprogrammierungsdaten an das fahrzeuggebundene LAN weiterzugeben.
-
In der vorstehenden Ausführungsform dürfen die Umprogrammierungsdaten von der externen Einrichtung an die ECU übertragen zu werden, wenn der Fahrzeugbenutzer erfolgreich authentifiziert ist, während ein Weiterleiten der Umprogrammierungsdaten ausgehend von der externen Einrichtung an die ECU anfänglich verhindert wird. Dies kann unterbinden, dass ein Dritter in betrügerischer Weise die ECU umprogrammiert und dabei verlässlich Fahrzeugdiebstahl unterbinden.
-
Erfindungsgemäß beinhaltet die Vorrichtung ferner eine Erfassungseinheit, die eine Sequenz aus Operationen erfasst, die an einem vorbestimmten Satz aus Operationseinheiten eines Fahrzeugs ausgeführt werden. Die Authentifizierungseinheit bestimmt aus Erfassungen der Erfassungseinheit, ob oder nicht die erfasste Sequenz aus Operationen mit einer vorbestimmten Authentifizierungsprozedur übereinstimmt, und wenn bestimmt wird, dass die erfasste Sequenz aus Operationen mit der vorbestimmten Authentifizierungsprozedur übereinstimmt, der Fahrzeugbenutzer erfolgreich authentifiziert wird.
-
Wenn mit dieser Konfiguration bestimmt wird, dass die erfasste Sequenz aus Operationen, die an dem vorbestimmten Satz aus Operationseinheiten ausgeführt wird, mit der vorbestimmten Authentifizierungsprozedur übereinstimmt (der Benutzer wird dabei erfolgreich authentifiziert), dürfen die Umprogrammierungsdaten von der externen Einrichtung an die ECU übertragen werden.
-
Der vorbestimmte Satz aus Operationseinheiten des Fahrzeugs kann aus einer Gruppe äußerer und innerer Türgriffe entsprechender Türen des Fahrzeugs, einem Türfensteröffnungs/schließschalter, einem Lenkrad, einem Gaspedal, einem Bremspedal, einem Bedienungsknopf für Fahrzeugausstattung (wie beispielsweise einer Autoklimaanlage, einer Navigationseinrichtung oder dergleichen), einem berührungsempfindlichen Schalter zum Erfassen, dass eine Benutzerhand einen Türgriff berührt hat, und einem Türverriegelungsschalter ausgewählt werden, der zum Entriegeln einer Fahrzeugtür ohne einen Schlüssel verwendet wird.
-
Beispielsweise kann die Authentifizierungsprozedur durch die folgende Operationssequenz gegeben sein, die beinhaltet:
- ein Fahrer bedient einen äußeren Türgriff für einen Fahrersitz einmal, der Fahrer bedient einen Türverriegelungsschalter in der Nähe des Fahrersitzes zweimal und dann bedient der Fahrer oder ein anderer Passagier einen äußeren Türgriff für einen Beifahrersitz einmal. In diesem Beispiel beinhaltet der vorbestimmte Satz aus Operationseinheiten den äußeren Türgriff für den Fahrersitz beziehungsweise für die Fahrertür, den äußeren Türgriff für den Beifahrersitz bzw. für die Beifahrertür und den Türverriegelungsschalter in der Nähe des Fahrersitzes. Alternativ kann die Authentifizierungsprozedur durch eine Sequenz aus Operationen gegeben sein, die an einem Türfensteröffnungs/schließschalter, einem Lenkrad, einem spezifischen Bedienungsknopf für eine Autoklimaanlage und anderen Operationseinheiten ausgeführt werden.
-
Mit dieser Konfiguration ist es der externen Einrichtung (beispielsweise einem externen Werkzeug) nur erlaubt, die ECU umzuprogrammieren, wenn eine Sequenz aus Operationen, die an dem vorbestimmten Satz aus Operationseinheiten des Fahrzeugs ausgeführt werden, mit der vorbestimmten Authentifizierungsprozedur übereinstimmt. Dadurch kann unterbunden werden, dass ein Dritter ohne Kenntnis der Authentifizierungsprozedur in betrügerischer Weise die ECU umprogrammiert.
-
Darüber hinaus kann ein Dritter, der die vorstehende Authentifizierungsprozedur nicht kennt, die ECU der Wegfahrsperre nicht umprogrammieren, sogar wenn er das vorstehend erläuterte hinterhältige Werkzeug (Wegfahrsperrenunterbrecher) verwendet. Dadurch kann unterbunden werden, dass die Wegfahrsperre deaktiviert wird, und somit verlässlich Fahrzeugdiebstahl unterbunden werden.
-
Gemäß einer Ausführungsform ist die Datenübertragungseinheit ausgelegt, nur vorregistrierte Weiterleitungsdaten, die von der externen Einrichtung empfangen werden, an das fahrzeuggebundene LAN weiterzugeben, ungeachtet dessen, ob oder nicht der Fahrzeugbenutzer erfolgreich authentifiziert ist. Die Umprogrammierungsdaten sind in den vorregistrierten Weiterleitungsdaten beinhaltet. Die vorregistrierten Weiterleitungsdaten mit Ausnahme der Umprogrammierungsdaten werden als grundlegende Weiterleitungsdaten bezeichnet. Die Datenübertragungseinheit darf somit nur die grundlegenden Weiterleitungsdaten, die von dem externen Werkzeug empfangen werden, an das fahrzeuggebundene LAN weitergeben, sofern der Fahrzeugbenutzer nicht erfolgreich authentifiziert ist.
-
Dies ermöglicht der externen Einrichtung unterschiedliche Verarbeitungen außer dem Umprogrammieren der ECU wie beispielsweise ECU-Testen auszuführen.
-
Gemäß einer Ausführungsform erfasst die Erfassungseinheit die Sequenz aus Operationen, die an dem vorbestimmten Satz aus Operationseinheiten ausgeführt werden, auf der Basis von Daten, die von der ECU mittels des fahrzeuggebundenen LAN ausgeführt werden.
-
Dies ermöglicht, eine Vielzahl von Operationen zu erfassen, die an den Operationseinheiten auszuführen sind, was zu einer größeren Vielfalt der Sequenzen aus an den Operationseinheiten auszuführenden Operationen führt, die für die Authentifizierungsprozedur verwendet werden können. Dadurch kann verlässlicher verhindert werden, dass die Authentifizierungsprozedur durch einen Dritten gefährdet wird.
-
Gemäß einer Ausführungsform kann der Kommunikationspfad ein verdrahteter Kommunikationspfad sein. Gemäß einer Ausführungsform kann der Kommunikationspfad ein drahtloser Kommunikationspfad sein.
-
Jede der vorstehenden Ausführungsformen kann unterbinden, dass ein Dritter in betrügerischer Weise die ECU umprogrammiert.
-
Figurenliste
-
Es zeigen:
- 1 ein schematisches Blockschaltbild eines Kommunikationsweiterleitungssystems, das eine GW-ECU und ein externes Werkzeug beinhaltet, gemäß einer ersten Ausführungsform der vorliegenden Erfindung;
- 2A ein schematisches Blockdiagramm beziehungsweise Blockschaltbild der GW-ECU;
- 2B ein schematisches Blockschaltbild eines Hauptcontrollers der GW-ECU;
- 3 ein Ablaufdiagramm für eine Kommunikationsweiterleitungsverarbeitung, die in der GW-ECU ausgeführt wird;
- 4A ein schematisches Blockschaltbild eines Kommunikationsweiterleitungssystems, das ein DCM und einen externen Server beinhaltet, gemäß einer zweiten Ausführungsform der vorliegenden Erfindung;
- 4B ein schematisches Blockschaltbild des DCM; und
- 4C ein schematisches Blockschaltbild eines Hauptcontrollers des DCM.
-
Beschreibung spezieller Ausführungsformen
-
Die vorliegenden Erfindungen werden nachfolgend mit Bezug auf die Zeichnungen erläutert. Gleiche Zahlen beziehen sich auf gleiche Elemente.
-
(Erste Ausführungsform)
-
(Hardware-Konfiguration)
-
Es wird nachfolgend eine Netzkopplersteuereinheit (beziehungsweise eine sogenannte Gateway Electronic Control Unit, GW-ECU) 10 gemäß einer ersten Ausführungsform der vorliegenden Erfindung erläutert. Wie in 1 dargestellt ist, ist die GW-ECU 10 mit einem oder mehreren ECUs (beispielsweise A-ECU 40, B-ECU 50 und C-ECU 60) mittels eines fahrzeuggebundenen lokalen Netzwerks (LAN) 70 und mit einem externen Werkzeug 30 mittels eines Kommunikationspfads 20 verbunden, um Kommunikationen zwischen den ECUs, die mit dem fahrzeuggebundenen LAN 70 verbunden sind, und dem externen Werkzeug 30 weiterzuleiten.
-
Das fahrzeuggebundene LAN 70 und der Kommunikationspfad 20 erfüllen denselben Kommunikationsstandard wie beispielsweise den CAN-Standard. Das externe Werkzeug 30 kann mit dem Kommunikationspfad 20 mittels eines allgemein bekannten sogenannten On-Board Diagnostics II (OBD-II)-Ports 25 wenn benötigt verbunden sein und kann mit der A-ECU 40, der B-ECU 50 und der C-ECU 60 mittels der GW-ECU 10 zum Testen oder Umprogrammieren dieser verbunden sein.
-
Jede der A-ECU 40, der B-ECU 50 und der C-ECU 60 ist ausgelegt, um die Operation einer jeweils entsprechenden Operationseinheit 41 bis 61 (die später im Detail erläutert werden) zu erfassen, wie beispielsweise einem Türgriff, einem Fensteröffnungs-/schließschalter und dergleichen, die an einem Fahrzeug angebracht sind.
-
Wie in 2A dargestellt ist, beinhaltet die GW-ECU 10 einen allgemein bekannten Mikrocomputer, der durch eine CPU (nicht dargestellt), einen ROM (nicht dargestellt), einen RAM (nicht dargestellt), Eingabe/Ausgabe-Ports (nicht dargestellt) und eine Busleitung (nicht dargestellt) ausgebildet ist, die diese verbindet. Die GW-ECU 10 beinhaltet ferner einen Hauptcontroller 13, der die Gesamtsteuerung der GW-ECU 10 gemäß Programmen beeinflusst, die in dem ROM oder dergleichen gespeichert sind, einen ersten Sendepuffer 11a, einen ersten Empfangspuffer 11b und einen ersten Kommunikationscontroller 12 zum Kommunizieren mit den anderen ECUs (der A-ECU 40, der B-ECU 50 und der C-ECU 60) mittels des fahrzeuggebundenen LAN 70 und einen zweiten Empfangspuffer 15a, einen zweiten Sendepuffer 15b und einen zweiten Kommunikationscontroller 14 zum Kommunizieren mit dem externen Werkzeug 30 mittels des Kommunikationspfads 20.
-
(Operationen)
-
Nachfolgend wird die Operation der GW-ECU 10 der ersten Ausführungsform erläutert.
-
Wie vorstehend beschrieben ist, ist die GW-ECU 10 ausgelegt, um Kommunikationen zwischen dem externen Werkzeug 30, das mit dem On-Board Diagnose II (OBD-II)-Port 25 verbunden ist, und den anderen ECUs weiterzuleiten, die mit dem fahrzeuggebundenen LAN 70 verbunden sind, wobei das fahrzeuggebundene LAN 70 und der Kommunikationspfad 20 beide den CAN-Standard erfüllen (der in manchen anderen Ausführungsformen durch eine andere Art eines Kommunikationsstandards ersetzt sein kann). Die GW-ECU 10 ist ferner ausgelegt, vorregistrierte Rahmen der Rahmen, die durch die anderen ECUs an das fahrzeuggebundene LAN 70 übergeben werden, an den Kommunikationspfad 20 weiterzugeben, und vorregistrierte Rahmen der Rahmen, die durch das externe Werkzeug 30 an den Kommunikationspfad 20 übergeben werden, an das fahrzeuggebundene LAN 70 weiterzugeben.
-
In der vorliegenden Ausführungsform wird die GW-ECU 10 jedoch gehindert, Umprogrammierungsrahmen, von denen jeder zum Umprogrammieren einer der anderen ECUs dient, die durch das externe Werkzeug 30 an den Kommunikationspfad 20 übergeben werden, weiterzuleiten, wobei jeder Umprogrammierungsrahmen eine Art eines vorregistrierten Rahmens ist. Das Weiterleiten der Umprogrammierungsrahmen wird nur erlaubt, wenn ein Fahrzeugbenutzer erfolgreich durch eine Sequenz aus Operationen authentifiziert wird, die an einem vorbestimmten Satz aus Operationseinheiten 41, 51, 61 durchgeführt werden, die an seinem/ihrem eigenen Fahrzeug angebracht sind. Das heißt, jeder der vorregistrierten Rahmen ist ein anfangs weiterleitungsgehinderter oder weiterleitungserlaubter Rahmen und der weiterleitungsgehinderte Rahmen kann ausgehend von der erfolgreichen Authentifizierung sich zu einem weiterleitungserlaubten Rahmen ändern.
-
Jeder der vorregistrierten Rahmen mit Ausnahme der Umprogrammierungsrahmen wird als ein grundlegender Weiterleitungsrahmen bezeichnet. In einigen Ausführungsformen ist es möglich, dass nur die Umprogrammierungsrahmen in der GW-ECU 10 vorregistriert sind, sodass die GW-ECU 10 nur die Umprogrammierungsrahmen nach der erfolgreichen Authentifizierung weiterleiten kann.
-
Jede der Operationseinheiten 41, 51, 61 kann alles sein, was eine Operation, die daran ausgeführt wird, durch Rahmen erfassen kann, die durch die anderen ECUs an das fahrzeuggebundene LAN 70 übergeben werden. Insbesondere kann beispielsweise der vorbestimmte Satz aus Operationseinheiten 41, 51, 61 aus einer Gruppe von Türgriffen, die sich an inneren Abschnitten (das heißt, innere Türgriffe) entsprechender Türen des Fahrzeugs befinden, Türgriffen, die sich an äußeren Abschnitten (das heißt, äußere Türgriffe) entsprechender Türen des Fahrzeugs befinden, eines Türfensteröffnungs-/schließschalters, eines Lenkrads, eines Gaspedals, eines Bremspedals, eines Bedienungsknopfs für Fahrzeugausstattung (wie beispielsweise eine Autoklimaanlage, eine Navigationseinrichtung oder dergleichen) ausgewählt werden. Der vorbestimmte Satz aus Operationseinheiten 41, 51, 61 kann ebenso einen berührungsempfindlichen Schalter zum Erfassen, dass eine Benutzerhand einen Türgriff berührt hat, der zum Entriegeln einer Tür eines Fahrzeugs verwendet wird, das mit einem schlüssellosen Authentifizierungssystem ausgestattet ist (als sogenanntes „Smart Entry System“ bekannt), und/oder einen Türverriegelungsschalter beinhalten, der verwendet wird, um eine Fahrzeugtür ohne einen Schlüssel zu entriegeln.
-
Gemäß 2B beinhaltet der Hauptcontroller 13 eine Erfassungseinheit 131 (als ein Erfassungsmittel), eine Authentifizierungseinheit 133 (als ein Authentifizierungsmittel), eine Datentransfereinheit 135 (als ein Datentransfermittel), eine Festlegungseinheit 137 (als ein Festlegungsmittel ) und eine Speichereinheit 139 (als ein Speichermittel), die zum Speichern einer Authentifizierungsprozedur dient.
-
Die Erfassungseinheit 131 erfasst eine Sequenz aus Operationen, die an den vorbestimmten Operationseinheiten 41, 51, 61 ausgeführt werden, aus Rahmen, die von der A-ECU 40, der B-ECU 50 und der C-ECU 60 mittels des fahrzeuggebundenen LANs 70 empfangen werden.
-
Die Authentifizierungseinheit 133 bestimmt, ob oder nicht die Sequenz aus Operationen, die durch die Erfassungseinheit 131 erfasst werden, mit der Authentifizierungsprozedur übereinstimmt, die in der Speichereinheit 139 festgelegt und gespeichert wird, und nur wenn bestimmt wird, dass die erfasste Sequenz aus Operationen mit der Authentifizierungsprozedur übereinstimmt, erlaubt sie der Datenübertragungseinheit 135, die vorregistrierten Rahmen (einschließlich der Umprogrammierungsrahmen), die von dem externen Werkzeug 30 empfangen werden, weiterzugeben. Das heißt, die Authentifizierungseinheit 133 bleibt daran gehindert, die Umprogrammierungsrahmen, die von dem externen Werkzeug 30 empfangen werden, weiterzuleiten, sofern nicht die erfasste Sequenz aus Operationen mit der Authentifizierungsprozedur übereinstimmt.
-
Die Datenübertragungseinheit 135 wird daran gehindert, die Umprogrammierungsrahmen, die von dem externen Werkzeug 30 empfangen werden, weiterzugeben, und es ist ihr nur erlaubt, die vorregistrierten Rahmen mit Ausnahme der Umprogrammierungsrahmen, die von dem externen Werkzeug 30 empfangen werden, weiterzugeben, sofern nicht die Sequenz aus Operationen, die durch die Erfassungseinheit 31 erfasst werden, mit der Authentifizierungsprozedur übereinstimmt. Der Datenübertragungseinheit 135 ist es nur erlaubt, die Umprogrammierungsrahmen weiterzugeben, die von dem externen Werkzeug 30 empfangen werden, wenn durch die Authentifizierungseinheit 133 bestimmt wird, dass die erfasste Sequenz aus Operationen mit der Authentifizierungsprozedur übereinstimmt.
-
Die Festlegungseinheit 137 bestimmt, ob oder nicht eine Authentifizierungsprozedur zum Erlauben des Weiterleitens der Umprogrammierungsrahmen, die von dem externen Werkzeug 30 empfangen werden, in der Speichereinheit 139 festgelegt ist, und wenn bestimmt wird, dass keine Authentifizierungsprozedur in der Speichereinheit 139 festgelegt ist, legt sie eine Authentifizierungsprozedur auf der Basis von Daten fest, die in dem ROM oder dergleichen gespeichert sind. Die Festlegungseinheit 137 kann die Authentifizierungsprozedur in Antwort auf eine Benutzeranweisung aktualisieren. In manchen Ausführungsformen kann der RAM oder dergleichen in der GW-ECU 10 als die Speichereinheit 139 dienen.
-
Eine Kommunikationsweiterleitungsverarbeitung, die in der GW-ECU 10 ausgeführt wird, wird nachfolgend mit Bezug auf ein Ablaufdiagramm, das in 3 dargestellt ist, erläutert, in dem die GW-ECU 10 einen Fahrzeugbenutzer unter Verwendung einer Sequenz aus Operationen authentifiziert, die an einem vorbestimmten Satz aus Operationseinheiten des Fahrzeugs ausgeführt werden, und wenn der Benutzer erfolgreich authentifiziert ist, Weiterleiten der Umprogrammierungsrahmen erlaubt, die durch das externe Werkzeug 30 zum Weitergeben der Umprogrammierungsrahmen an das fahrzeuggebundene LAN übergeben werden.
-
Im Schritt S105 bestimmt der Hauptcontroller 13 der GW-ECU 10, ob oder nicht eine Authentifizierungsprozedur (Operationsprozedur) zum Erlauben des Weiterleitens der Umprogrammierungsrahmen, die durch das externe Werkzeug 30 übergeben werden, in dem Hauptcontroller 13 festgelegt ist. Wird in Schritt S105 bestimmt, dass die Authentifizierungsprozedur festgelegt ist, fährt die Verarbeitung mit Schritt S120 fort. Wird im Schritt S105 bestimmt, dass die Authentifizierungsprozedur noch nicht festgelegt ist, fährt die Verarbeitung mit Schritt S110 fort.
-
In Schritt S110 legt der Hauptcontroller 13 eine Authentifizierungsprozedur auf der Basis von Daten fest, die in dem ROM oder dergleichen gespeichert sind. Danach fährt die Verarbeitung mit Schritt S115 fort.
-
Beispielsweise kann die Authentifizierungsprozedur durch die folgende Sequenz aus Operationen gegeben sein, die beinhaltet: ein Fahrer bedient einen äußeren Türgriff für einen Fahrersitz einmal, der Fahrer bedient einen Türverriegelungsschalter in der Nähe des Fahrersitzes zweimal und dann bedient der Fahrer oder ein anderer Passagier einen äußeren Türgriff für einen vorderen Beifahrersitz einmal. Eine andere Sequenz aus Operationen, die an einem Türfensteröffnungs/schließschalter, einem Lenkrad, einem spezifischen Bedienungsknopf für eine Autoklimaanlage oder dergleichen und anderen Operationseinheiten ausgeführt werden, kann ebenso für die Authentifizierungsprozedur verwendet werden. Die Authentifizierungsprozedur kann in Antwort auf eine Benutzeranweisung aktualisiert werden.
-
Nachfolgend bestimmt der Hauptcontroller 13 im Schritt S115, ob oder nicht eine Authentifizierungsprozedur festgelegt oder eingeführt wurde. Wird bei Schritt S115 bestimmt, dass eine Authentifizierungsprozedur festgelegt wurde, fährt die Verarbeitung mit Schritt S120 fort. Wird bei Schritt S115 bestimmt, dass eine Authentifizierungsprozedur noch nicht festgelegt wurde, fährt die Verarbeitung mit Schritt S140 fort.
-
In Schritt S120 erfasst der Hauptcontroller 13 eine Sequenz aus Operationen, die an dem Satz aus Operationseinheiten 41, 51, 61 ausgeführt werden, auf der Basis von Rahmen, die von der A-ECU 40, der B-ECU 50 und der C-ECU 60 mittels des fahrzeuggebundenen LAN 70 empfangen werden. Wird eine Sequenz aus Operationen erfasst, fährt die Verarbeitung mit Schritt S125 fort. Werden keine Operationen erfasst, fährt die Verarbeitung mit Schritt S140 fort.
-
In Schritt S125 bestimmt der Hauptcontroller 13, ob oder nicht die erfasste Sequenz aus Operationen mit der Authentifizierungsprozedur übereinstimmt. Wird in Schritt S125 bestimmt, dass die erfasste Sequenz aus Operationen mit der Authentifizierungsprozedur übereinstimmt, erlaubt der Hauptcontroller 13 das Weiterleiten der Umprogrammierungsrahmen, die durch das externe Werkzeug 30 übergeben werden. Danach fährt die Verarbeitung zu Schritt S130 fort. Wird im Schritt S125 bestimmt, dass die erfasste Sequenz aus Operationen nicht mit der Authentifizierungsprozedur übereinstimmt, fährt die Verarbeitung mit Schritt S140 fort.
-
Im Schritt S130 bestimmt der Hauptcontroller 13, ob oder nicht sich die GW-ECU 10 in einem aktivierten Kommunikationszustand befindet, das heißt, ob oder nicht die GW-ECU 10 von einem deaktivierten Kommunikationszustand zu einem aktivierten Kommunikationszustand übergegangen ist. Wird in Schritt S130 bestimmt, dass die GW-ECU 10 den aktivierten Kommunikationszustand aufweist, fährt die Verarbeitung mit Schritt S135 fort. Wird in Schritt S130 bestimmt, dass die GW-ECU 10 den aktivierten Kommunikationszustand aufweist, fährt die Verarbeitung zu Schritt S125 fort. In der vorliegenden Ausführungsform geht die GW-ECU 10 vom deaktivierten Kommunikationszustand in den aktivierten Kommunikationszustand gemäß der Gesamtentscheidung über, die aus der gemeinsamen Betrachtung eines Energieversorgungszustands jeder der anderen ECUs, eines Ansteuerzustands eines Kommunikationsbusses und eines Ansteuerzustands jedes Rahmens und der gleichen getroffen wird.
-
In Schritt S135 gibt der Hauptcontroller 13 die Umprogrammierungsrahmen sowie die grundlegenden Weiterleitungsrahmen, die durch das externe Werkzeug 30 an den Kommunikationsrahmen 20 übergeben werden, an das fahrzeuggebundene LAN 70 weiter und gibt die grundlegenden Weiterleitungsrahmen, die durch die andere ECUs an das Fahrzeug gebundene LAN 70 übergeben werden, an den Kommunikationspfad 20 weiter.
-
Somit, wenn die Umprogrammierungsrahmen zum Umprogrammieren einer der anderen ECUs durch das externe Werkzeug 30 übergeben werden, werden Kommunikationen zwischen dem externen Werkzeug 30 und der einen der anderen ECUs hergestellt. Die eine der ECUs wird somit umprogrammiert.
-
Andererseits gibt in Schritt S140 der Hauptcontroller 13 die grundlegenden Weiterleitungsrahmen (die vorregistrierten Rahmen mit Ausnahme der Umprogrammierungsrahmen), die durch das externe Werkzeug 30 an den Kommunikationspfad 20 übergeben werden, an das fahrzeuggebundene LAN 70 weiter und gibt die grundlegenden Weiterleitungsrahmen, die durch die anderen ECUs an das fahrzeuggebundene LAN 70 übergeben werden, an den Kommunikationspfad 20 weiter.
-
Somit werden, sogar wenn die Umprogrammierungsrahmen zum Umprogrammieren einer der anderen ECUs durch das externe Werkzeug 30 übergeben werden, keine Kommunikationen zwischen dem externen Werkzeug 30 und der einen der anderen ECUs hergestellt. Die eine der anderen ECUs wird nicht umprogrammiert.
-
(Vorteile)
-
In der GW-ECU 10 der ersten Ausführungsform ist es dem externen Werkzeug 30 nur erlaubt, die anderen ECUs umzuprogrammieren, wenn eine Sequenz aus Operationen, die an dem vorbestimmten Satz aus Operationseinheiten des Fahrzeugs (beispielsweise Türgriffe) ausgeführt werden mit der Authentifizierungsprozedur übereinstimmen. Dies kann unterbinden, dass ein Dritter auf betrügerische Weise die anderen ECUs umprogrammiert.
-
(Zweite Ausführungsform)
-
Nachfolgend wird eine zweite Ausführungsform der vorliegenden Erfindung erläutert. Ein Datenkommunikationsmodul (Data Communication Module, DCM) das zum Zugreifen auf das Internet mittels drahtloser Kommunikationen verwendet wird, um mit unterschiedlichen Diensten versorgt zu werden, ist bekannt. In der zweiten Ausführungsform kommuniziert das DCM 80 drahtlos mit einem externen Server 90, um die anderen ECUs, die mit einem fahrzeuggebundenen LAN 70 verbunden sind, fernzutesten oder umzuprogrammieren. Es werden lediglich Unterschiede der zweiten Ausführungsform zur ersten Ausführungsform erläutert.
-
(Hardwarekonfiguration)
-
Wie in 4A dargestellt ist, ist das DCM 80 mit einer oder mehreren ECUs (beispielsweise A-ECU 40, B-ECU 50 und C-ECU 60) mittels des fahrzeuggebundenen LAN 70 verbunden, wie in der ersten Ausführungsform. Das DCM 80 ist drahtlos kommunizierbar mit dem externen Server 90 über das Internet verbunden. Der externe Server 90 kommuniziert mit den ECUs (A-ECU 40, B-ECU 50 und C-ECU 60) mittels des DCM 80, um diese fernzutesten oder umzuprogrammieren.
-
Wie in 4B dargestellt ist, beinhaltet das DCM 80 einen allgemein bekannten Mikrocomputer, der durch eine CPU (nicht dargestellt), einen ROM (nicht dargestellt) und einen RAM (nicht dargestellt), Eingabe/Ausgabe (I/O) Ports (nicht dargestellt) und eine Busleitung (nicht dargestellt) ausgebildet ist, die diese verbindet. Das DCM 80 beinhaltet ferner einen Hauptcontroller 83, der die Gesamtsteuerung des DCM 80 gemäß Programmen beeinflusst, die in dem ROM oder dergleichen gespeichert sind, einen Sendepuffer 81a zum Kommunizieren mit den anderen ECUs mittels des fahrzeuggebundenen LANs 70, einen Empfangspuffer 81b, einen Kommunikationscontroller 82 und eine drahtlosen Kommunikationseinheit 84 zum Zugreifen auf das Internet mittels drahtloser Kommunikationen, um mit dem externen Server 90 zu kommunizieren.
-
(Operationen)
-
Nachfolgend wird die Operation des DCM 80 der zweiten Ausführungsform erläutert.
-
Das DCM 80 ist ausgelegt, um vorregistrierte Rahmen der von den anderen ECUs (A-ECU 40, B-ECU 50 und C-ECU 60) mittels des fahrzeuggebundenen LAN 70 empfangenen Rahmen zu konvertieren und die konvertierten Rahmen an den externen Server 90 weiterzugeben, und ist ferner ausgelegt, vorregistrierte Rahmen der von dem externen Server 90 empfangenen Rahmen zu konvertieren und die konvertierten Rahmen an das fahrzeuggebundene LAN 70 weiterzugeben. Dies erlaubt jeder der anderen ECUs, auf den externen Server 90 mittels des DCM 80 zuzugreifen und erlaubt somit dem Fahrer oder den anderen Passagieren mit unterschiedlichen Diensten mittels des Internets versorgt zu werden.
-
In der vorliegenden Ausführungsform kann der externe Server ein Testserver oder ein Umprogrammierungsserver sein. Der Testserver kommuniziert mit den anderen ECUs mittels des DCM 80, um diese zu testen. Der Umprogrammierungsserver kommuniziert mit den ECUs mittels des DCM 80, um diesen umzuprogrammieren.
-
Jedoch wird der DCM 80, wie in der ersten Ausführungsform geschildert, gehindert, die Umprogrammierungsrahmen weiterzuleiten, die von dem externen Server 90 empfangen werden. Das Weiterleiten von Umprogrammierungsrahmen ist nur erlaubt, wenn ein Benutzer erfolgreich durch eine Sequenz aus Operationen authentifiziert ist, die an dem Satz aus Operationseinheiten 41, 51, 61 ausgeführt werden, die an dessen/deren eigenem Fahrzeug angebracht sind.
-
Ähnlich zum Hauptkontroller 13 der GW-ECU 10, beinhaltet der Hauptkontroller 83 des DCM 80, wie in 4C dargestellt ist, eine Erfassungseinheit 831 (als ein Erfassungsmittel), eine Authentifizierungseinheit 833 (als ein Authentifizierungsmittel), eine Datenkonversions- und Übertragungseinheit 835 (Datenkonversions- und Übertragungsmittel), eine Festlegungseinheit 837 (als ein Festlegungsmittel) und eine Speichereinheit 839 (als ein Speichermittel) zum Speichern einer Authentifizierungsprozedur.
-
Die Erfassungseinheit 831 erfasst eine Sequenz aus Operationen, die an einen vorbestimmten Satz aus Operationseinheiten 41, 51, 61 ausgeführt werden, von Rahmen, die von der A-ECU 40, der B-ECU 50 und der C-ECU 60 mittels des fahrzeuggebundenen LAN 70 empfangen werden.
-
Die Authentifizierungseinheit 833 bestimmt, ob oder nicht die Sequenz aus Operationen, die durch die Erfassungseinheit 831 erfasst wird, mit der Authentifizierungsprozedur übereinstimmt, die in der Speichereinheit 839 festgelegt und gespeichert ist, und nur wenn bestimmt wird, dass die erfasste Sequenz aus Operationen, mit der Authentifizierungsprozedur übereinstimmt, erlaubt die Authentifizierungseinheit 833 der Datenkonversions- und Übertragungseinheit 835 die vorregistrierten Rahmen (einschließlich der Umprogrammierungsrahmen), die von dem externen Server 90 empfangen werden, weiterzugeben. Das heißt, die Authentifizierungseinheit 833 wird weiterhin gehindert, die Umprogrammierungsrahmen, die von dem externen Server 90 empfangen werden, weiterzugeben, sofern nicht die erfasste Sequenz aus Operationen mit der Authentifizierungsprozedur übereinstimmt.
-
Die Datenkonversions- und Übertragungseinheit 835 wird gehindert, die Umprogrammierungsrahmen, die von dem externen Server 90 empfangen werden, zu konvertieren und weiterzugeben, und es ist ihr nur erlaubt, die vorregistrierten Rahmen mit Ausnahme der Umprogrammierungsrahmen (das heißt, die grundlegenden Weiterleitungsrahmen), die von dem externen Server 90 empfangen werden, weiterzuleiten, sofern nicht die Sequenz aus Operationen, die durch die Erfassungseinheit 831 erfasst werden, mit der Authentifizierungsprozedur übereinstimmen. Die Datenkonversions- und Übertragungseinheit 835 darf die Umprogrammierungsrahmen, die von dem externen Server 90 empfangen werden, nur konvertieren und weitergeben, wenn durch die Authentifizierungseinheit 833 bestimmt wird, dass die erfasste Sequenz aus Operationen mit der Authentifizierungsprozedur übereinstimmt.
-
Die Festlegungseinheit 837 bestimmt, ob oder nicht eine Authentifizierungsprozedur zum Erlauben des Weiterleitens der Umprogrammierungsrahmen, die von dem externen Server 90 empfangen werden, in der Speichereinheit 839 festgelegt wird, und legt dann, wenn bestimmt wird, dass keine Authentifizierungsprozedur in der Speichereinheit 839 festgelegt ist, eine Authentifizierungsprozedur auf der Basis von Daten fest, die in dem ROM oder dergleichen gespeichert sind. Die Festlegungseinheit 837 kann die Authentifizierungsprozedur in Antwort auf eine Benutzeranweisung aktualisieren. In manchen Ausführungsformen kann der RAM oder dergleichen in dem DCM 80 als die Speichereinheit 839 dienen.
-
Wie in der ersten Ausführungsform wird jeder der vorregistrierten Rahmen mit Ausnahme der Umprogrammierungsrahmen als ein grundsätzlicher Weiterleitungsrahmen bezeichnet. In manchen Ausführungsformen ist es möglich, dass nur die Umprogrammierungsrahmen in dem DCM 80 vorregistriert sind, so dass das DCM 80 nur die Umprogrammierungsrahmen nach der erfolgreichen Authentifizierung weiterleiten kann.
-
Authentifizierung für derartiges Fernumprogrammieren wird auf ähnliche Weise wie die vorstehend erläuterte Kommunikationsweiterleitungsverarbeitung der ersten Ausführungsform ausgeführt. Die Kommunikationsweiterleitungsverarbeitung, die in dem DCM 80 gemäß der zweiten Ausführungsform ausgeführt wird, wird ebenso mit Bezug auf dasselbe Ablaufdiagramm erläutert, das in 3 dargestellt ist. Nur Unterschiede der zweiten Ausführungsform zur ersten Ausführungsform werden erläutert.
-
In den Schritten S105 bis S130 werden ähnliche Operationen wie die der ersten Ausführungsform in dem Hauptkontroller 83 des DCM 80 ausgeführt.
-
Danach konvertiert in Schritt S135 der Hauptkontroller 83 vorregistrierte Rahmen, die von dem externen Server 90 empfangen werden, von denen jeder ein grundlegender Weiterleitungsrahmen oder ein Umprogrammierungsrahmen ist, in Rahmen mit einem Format für das fahrzeuggebundene LAN 70 und gibt die konvertierten Rahmen an das fahrzeuggebundene LAN 70 weiter. Darüber hinaus konvertiert der Hauptkontroller 83 vorregistrierte Rahmen der Rahmen, die durch die anderen ECUs an das fahrzeuggebundene LAN 70 übergeben werden, in Rahmen mit einem Format für drahtlose Kommunikationen und gibt die konvertierten Rahmen an den externen Server 90 mittels des Internets weiter.
-
Somit werden sogar wenn die Umprogrammierungsrahmen zum Umprogrammieren einer der ECUs durch den Umprogrammierungsserver übergeben werden (wenn der externe Server 90 der Umprogrammierungsserver ist), Kommunikationen zwischen dem Umprogrammierungsserver und der einen der ECUs hergestellt. Die eine der ECUs wird somit umprogrammiert.
-
Andererseits konvertiert in Schritt S140 der Hauptkontroller 83 nur grundlegende Weiterleitungsrahmen der Rahmen, die von dem externen Server 90 empfangen werden, in Rahmen mit einem Format für das fahrzeuggebundene LAN 70 und gibt die konvertierten Rahmen an das fahrzeuggebundene LAN 70 weiter. Darüber hinaus konvertiert der Hauptkontroller 83 nur grundlegende Weiterleitungsrahmen der Rahmen, die durch die anderen ECUs an das fahrzeuggebundene LAN 70 übergeben werden, in Rahmen mit einem Format für drahtlose Kommunikationen und gibt den konvertierten Rahmen an den externen Server 90 mittels des Internets weiter.
-
Somit werden sogar, wenn die Umprogrammierungsrahmen zum Umprogrammieren von einem der anderen ECUs durch den Umprogrammierungsserver übergeben werden (wenn der externe Server 90 der Umprogrammierungsserver ist), keine Kommunikationen zwischen dem Umprogrammierungsserver und der einen der anderen ECUs hergestellt. Die eine der ECUs wird nicht umprogrammiert.
-
(Vorteile)
-
In dem DCM 80 der zweiten Ausführungsform ist es wie in der ersten Ausführungsform nur, wenn eine Sequenz aus Operationen, die an den vorbestimmten Satz aus Operationseinheiten des Fahrzeugs ausgeführt werden, mit der Authentifizierungsprozedur überstimmt, dem Umprogrammierungsserver erlaubt, der den externen Server 90 darstellt, die anderen ECUs umzuprogrammieren. Dies unterbindet, dass ein Dritter auf betrügerische Weise die anderen ECUs umprogrammiert.
-
(Einige Modifikationen)
-
Nachfolgend werden einige Modifikationen der ersten und zweiten Ausführungsform erläutert, die konzipiert werden können, ohne vom Geist und Umfang der vorliegenden Erfindung abzuweichen.
-
(i) In der Kommunikationsweiterleitungsverarbeitung der ersten/zweiten Ausführungsform authentifiziert die GW-ECU 10/ das DCM 80 als erstes einen Fahrzeugbenutzer unter Verwendung einer Sequenz aus Operationen, die an einem vorbestimmten Satz aus Operationseinheiten ausgeführt werden wie beispielsweise Türgriffen des eigenen Fahrzeugs des Benutzers oder der Benutzerin. Alternativ kann die GW-ECU 10/ das DCM 80 den Fahrzeugbenutzer nach Empfangen der Umprogrammierungsrahmen von dem externen Werkzeug 30/ dem Umprogrammierungsserver authentifizieren.
-
Das heißt, die GW-ECU 10/ das DCM 80 kann temporär darin Umprogrammierungsrahmen speichern, die von dem externen Werkzeug 30/ dem Umprogrammierungsserver empfangen werden, und einen Fahrzeugbenutzer unter Verwendung einer Sequenz aus Operationen authentifizieren, die an dem vorbestimmten Satz aus Operationseinheiten dessen eigenen Fahrzeugs ausgeführt werden. Der GW-ECU 10/dem DCM 80 kann es erlaubt sein, die gespeicherten Umprogrammierungsrahmen an das fahrzeuggebundene LAN 70 in der Reihenfolge weiterzugeben, in der sie empfangen werden, nur wenn der Fahrzeugbenutzer erfolgreich mit der Sequenz aus Operationen authentifiziert ist, die an dem Satz aus Operationseinheiten seines eigenen Fahrzeugs ausgeführt werden.
-
Ebenso ist es in einer derartigen alternativen Ausführungsform nur, wenn eine Sequenz aus Operationen, die an dem vorbestimmten Satz aus Operationseinheiten aufgeführt wird, mit der Authentifizierungsprozedur übereinstimmt, dem externen Werkzeug 30/Umprogrammierungsserver erlaubt die anderen ECUs umzuprogrammieren. Dies führt zu ähnlichen Vorteilen wie bei der ersten und zweiten Ausführungsform.
-
(ii) In der ersten/zweiten Ausführungsform erfasst die GW-ECU 10/ das DCM 80 eine Sequenz aus Operationen, die an dem vorbestimmten Satz aus Operationseinheiten ausgeführt werden, aus Daten, die mittels des fahrzeuggebundenen LAN 70 empfangen werden. Alternativ kann die GW-ECU 10/ das DCM 80 eine Sequenz aus Operationen, die an dem vorbestimmten Satz aus Operationseinheiten ausgeführt werden, aus Daten erfassen, die mittels eines anderen Kommunikationspfads empfangen werden, oder aus Daten, die von Sensoren empfangen werden, die Operationen erfassen können, die an den entsprechenden Operationseinheiten ausgeführt werden. Dies führt ebenso zu ähnlichen Vorteilen wie die erste und zweite Ausführungsform.
-
Viele Modifikationen und weitere Ausführungsformen der Erfindung werden dem Fachmann für diese Erfindung in den Sinn kommen, mit den Vorteilen der Lehren, die in den vorherigen Beschreibungen und den zugehörigen Zeichnungen präsentiert werden. Demnach ist es ersichtlich, dass die Erfindung nicht auf die spezifischen Ausführungsformen beschränkt ist, die offenbart sind, und dass Modifikationen und andere Ausführungsformen im Umfang der Ansprüche beinhaltet sein sollen. Obwohl spezifische Ausdrücke darin verwendet werden, sind sie nur in einem allgemeinen und beschreibenden Sinn verwendet und sollen nicht beschränkend wirken.
-
Die Erfindung lässt sich folgendermaßen zusammenfassen. Eine Kommunikationsweiterleitungsvorrichtung zum Weiterleiten von Kommunikationen zwischen einer elektronischen Steuereinheit (ECU), die mit der Vorrichtung mittels eines fahrzeuggebundenen lokalen Netzwerks (LAN) verbunden ist, und einer externen Einrichtung, die mit der Vorrichtung mittels eines Kommunikationspfads verbunden ist, der sich von dem fahrzeuggebundenen LAN unterscheidet, wird bereitgestellt. In der Vorrichtung, gibt eine Datentransfereinheit, Weiterleitungsdaten, die von der ECU empfangen werden, an den Kommunikationspfad weiter, und gibt Weiterleitungsdaten, die von der externen Einrichtung empfangen werden, an das fahrzeuggebundene LAN weiter. Jedoch wird die Datenübertragungseinheit gehindert, Umprogrammierungsdaten zum Umprogrammieren der ECU, die von der externen Einrichtung empfangen werden, an das fahrzeuggebundene LAN weiterzugeben. Eine Authentifizierungseinheit authentifiziert einen Fahrzeugbenutzer, und wenn der Fahrzeugbenutzer erfolgreich authentifiziert ist, erlaubt sie der Datenübertragungseinheit, die Umprogrammierungsdaten an das fahrzeuggebundene LAN weiterzugeben.