DE102017221335A1 - Fahrzeuginterne elektronische steuereinheit, fahrzeuginternes elektronisches steuersystem und repeater - Google Patents

Fahrzeuginterne elektronische steuereinheit, fahrzeuginternes elektronisches steuersystem und repeater Download PDF

Info

Publication number
DE102017221335A1
DE102017221335A1 DE102017221335.3A DE102017221335A DE102017221335A1 DE 102017221335 A1 DE102017221335 A1 DE 102017221335A1 DE 102017221335 A DE102017221335 A DE 102017221335A DE 102017221335 A1 DE102017221335 A1 DE 102017221335A1
Authority
DE
Germany
Prior art keywords
node
external device
route
repeater
rewrite
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017221335.3A
Other languages
English (en)
Inventor
Kazuhiro Uehara
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Publication of DE102017221335A1 publication Critical patent/DE102017221335A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Small-Scale Networks (AREA)

Abstract

Ein Repeater beinhaltet einen Empfänger und einen Bestätiger. Der Empfänger empfängt einen Authentifizierungsanforderungs-Datenübertragungsblock, der von einer externen Vorrichtung (70, 80) an ein Fahrzeugnetzwerk übertragen und von einem Weiterleitungsknoten (30, 40, 50) hin zu einem Weiterleitungsknoten (20) mit einem wiederbeschreibbaren ROM (25) für eine Authentifizierung der externen Vorrichtung (70, 80) übertragen wird. Der Empfänger empfängt darüber hinaus Routeninformation über eine Weiterleitungsroute des Authentifizierungsanforderungs-Datenübertragungsblocks, der von dem Weiterleitungsknoten (30, 40, 50) zu dem Fahrzeugnetzwerk übertragen wird. Der Bestätiger bestätigt, dass die von dem Empfänger empfangene Routeninformation angibt, dass eine Zugriffsroute der externen Vorrichtung zu einer Subjektvorrichtung (d.h. dem Wiederbeschreibeknoten bzw. Weiterleitungsknoten) (20) eine legitime Route über das Fahrzeugnetzwerk ist.

Description

  • Die Erfindung betrifft allgemein eine fahrzeuginterne elektronische Steuereinheit (ECU) als Teil eines Fahrzeugnetzwerks, ein fahrzeuginternes elektronisches Steuersystem, das eine solche fahrzeuginterne elektronische Steuereinheit verwendet, und einen Repeater als Teil des Fahrzeugnetzwerks.
  • In den vergangenen Jahren können Kraftfahrzeuge von Bedarfsträgern Konfigurationen für externe Kommunikation und externe Softwareaktualisierungen beinhalten, das heißt, eine ECU in einem selbstfahrenden Fahrzeug kann in die Lage versetzt sein, mit einer externen Vorrichtung oder einem Computer zu kommunizieren, um die Programmierung oder von der ECU ausgeführte Programme zu aktualisieren und ebenso eine funktionelle diagnostische Prüfung der ECU durchzuführen, welche über des Fahrzeugnetzwerk durchgeführt werden können. Ein Fahrzeug mit einem Fahrzeugnetzwerk kann für unberechtigte Zugangsversuche bzw. Hacking und ähnliche Angriffe unter Verwendung von Hardware und ähnlichen Werkzeugen, die für solche Angriffe konfiguriert sind, anfällig sein, das heißt, Hardware/Werkzeuge können von Hackern oder anderen nicht autorisierten Beteiligten verwendet werden, um Zugriff auf das Fahrzeugnetzwerk zu erlangen, um unrechtmäßig das Programm in der ECU zu modifizieren, d.h. neu zu schreiben bzw. überschreiben, um einen Betriebsablauf oder Betriebsabläufe durchzuführen, die sich von den ursprünglich beabsichtigten, d.h. ursprünglich programmierten, Betriebsabläufen unterscheiden. Daher ist zum Verhindern der nicht autorisierten Modifikation der ECU-Programmierung eine Überwachungsfunktion zum Überwachen eines nicht autorisierten Umschreibens von Daten in der ECU vorgeschlagen, zum Beispiel in einem Patentdokument 1 (d.h. der japanischen Patentoffenlegung Nr. 2013-150059), welches ein mit einer solchen Überwachungsfunktion ausgerüstetes Fahrzeugnetzwerk offenbart.
  • Das in dem Patentdokument 1 offenbarte Fahrzeugnetzwerk beinhaltet einen Repeater bzw. Wiederholer, d.h. einen Netzwerkvermittler, der die Kommunikation zwischen der ECU und der externen Vorrichtung wiederholt/weiterleitet. Der Repeater erfasst, dass ein ECU-Reprogrammierungsdatenübertragungsblock an das Fahrzeugnetzwerk übertragen wird, und erfasst, ob ein solcher Datenübertragungsblock von einer Subjektvorrichtung (d.h. einem Subjektrepeater, oder einer Subjektvorrichtung) übertragen wird. Dann behandelt der Repeater den ECU-Reprogrammierungsdatenübertragungsblock als einen gefälschten Datenübertragungsblock, d.h. einen Datenübertragungsblock, der von dem illegalen Werkzeug übertragen wurde, und ergreift eine geeignete Maßnahme für solch einen Datenübertragungsblock, wenn ermittelt wird, dass der Datenübertragungsblock nicht von dem Subjektrepeater übertagen wird.
  • In dem in dem Patentdokument 1 beschriebenen Fahrzeugnetzwerk überwacht der Repeater fortlaufend die Datenübertragungsblöcke auf einer Vielzahl von Kommunikationsrouten, die den Subjektrepeater durchlaufen, d.h. durch diesen wiederholt werden. Das heißt, die fortlaufende Überwachung der Datenübertragungsblöcke erhöht die Verarbeitungslast des Repeaters und kann eine Verzögerung und/oder einen Fehler in der Verarbeitung und/oder den Signalverstärkungs- bzw. Wiederholungsfunktionen des Repeaters verursachen.
  • Für einen Repeater ist die Rolle des Verarbeitens und/oder Wiederholens wichtiger als Überwachen.
  • Der Erfindung liegt als eine Aufgabe zugrunde, eine fahrzeuginterne elektronische Steuereinheit bereitzustellen, die in der Lage ist, zu bestätigen, dass eine Zugriffsroute von einer externen Vorrichtung zu einem Wiederbeschreibeobjekt bzw. Wiederbeschreibeziel eine legitime Route ist, während eine Last des Repeaters reduziert wird. Die Erfindung beschreibt darüber hinaus ein fahrzeuginternes elektronisches Steuersystem, das eine solche fahrzeuginterne elektronische Steuereinheit verwendet, und einen Repeater, der in der Lage ist, dasselbe zu tun.
  • In einem Aspekt der Erfindung weist eine fahrzeuginterne elektronische Steuereinheit (20) als Teil eines Fahrzeugnetzwerks einen wiederbeschreibbaren Speicher (25) auf und beinhaltet einen Empfänger (S210) und einen Bestätiger bzw. Confirmer (S220). Der Empfänger (S210) empfängt einen Authentifizierungsanforderungs-Datenübertragungsblock und Routeninformation. Der Authentifizierungs-Datenübertragungsblock ist eine Anforderung von einer Subjektvorrichtung (20) für eine Authentifizierung der externen Vorrichtung (70, 80), das heißt, einer gegenüber dem Fahrzeugnetzwerk externen Vorrichtung. Der Authentifizierungs-Datenübertragungsblock wird von der externen Vorrichtung (70, 80) zu dem Fahrzeugnetzwerk übertragen und durch einen Signalverstärker bzw. Repeater (30, 40, 50) weitergeleitet. Die Routeninformation ist Information über eine Weiterleitungsroute des Authentifizierungs-Datenübertragungsblocks, der dem Fahrzeugnetzwerk von dem Repeater bereitgestellt wird. Der Bestätiger (S220) bestätigt auf der Grundlage der empfangenen Routeninformation, die von dem Repeater empfangen wurde, dass eine Zugriffsroute der externen Vorrichtung zu der Subjektvorrichtung (20) eine legitime Route zum Wiederbeschreiben über das Fahrzeugnetzwerk ist.
  • Der Repeater stellt dem Fahrzeugnetzwerk die Routeninformation über eine Weiterleitungsroute des Datenübertragungsblocks von der externen Vorrichtung zu der Subjektvorrichtung bereit. Dann bestätigt die Subjektvorrichtung auf der Grundlage der empfangenen Routeninformation, dass die Zugriffsroute von der externen Vorrichtung zu der Subjektvorrichtung eine legitime Route ist. Das heißt, der Repeater stellt ganz einfach die Routeninformation bereit, und die Subjektvorrichtung bestätigt, dass die Route legitim ist. Wie hierin verwendet, kann die Subjektvorrichtung eine fahrzeuginterne elektronische Steuereinheit mit einem in einem neu zu beschreibenden/neu zu programmierenden Speicher gespeicherten Programm bedeuten. In dieser Weise wird die Verarbeitungslast des Repeaters reduziert, und kann die Zugriffsroute von der externen Vorrichtung zu der Subjektvorrichtung als eine legitime Route bestätigt werden.
  • In einem anderen Aspekt der Erfindung beinhaltet ein Repeater eine Wiederholeinheit (100) und einen Routenbereitsteller (S90). Die Wiederholeinheit (S100) empfängt einen Datenübertragungsblock von einer externen Vorrichtung und leitet diesen zu einer Subjektvorrichtung in dem Fahrzeugnetzwerk weiter, um den Speicher der Subjektvorrichtung wiederzubeschreiben bzw. neu zu beschreiben. Der Routenbereitsteller (S90) versorgt das Fahrzeugnetzwerk mit Routeninformation über eine Weiterleitungsroute des Datenübertragungsblocks, wenn die Wiederholeinheit den Datenübertragungsblock weiterleitet.
  • Wenn der Datenübertragungsblock weitergeleitet wird, wird die Routeninformation über die Weiterleitungsroute des Datenübertragungsblocks dem Fahrzeugnetzwerk bereitgestellt. In derartiger Weise ist die Subjektvorrichtung in der Lage, ausgehend von der Routeninformation zu prüfen bzw. bestätigen, dass die Zugriffsroute von der externen Vorrichtung zu der Subjektvorrichtung eine legitime Route ist. Da der Repeater dem Netzwerk lediglich die Routeninformation bereitstellt, ist die Verarbeitungslast des Repeaters viel geringer als in einer Situation, in der der Repeater fortlaufend die Zugriffsroute der weitergeleiteten Datenübertragungsblöcke überwacht.
  • Die in Klammern gesetzten Bezugszeichen in diesem Abschnitt und in den Ansprüchen zeigen beispielhafte Beziehungen zwischen den Elementen in den Ansprüchen und den Komponenten/Konfigurationen in dem Ausführungsbeispiel.
  • Ziele, Merkmale und Vorteile der Erfindung sind der folgenden detaillierten Beschreibung, die unter Bezugnahme auf die beigefügten Zeichnungen erfolgt, deutlicher zu entnehmen.
    • 1 stellt ein Blockdiagramm eines fahrzeuginternen elektronischen Steuersystems in einem Ausführungsbeispiel der Erfindung dar;
    • 2 stellt Speicherinhalte eines Speichers in der fahrzeuginternen elektronischen Steuereinheit dar;
    • 3 stellt ein Datenbankspeicherungsdiagramm als eine nach Wiederbeschreibtypen, legitimen Routen und Verwaltungsnummern von Weiterleitungsknoten auf legitimen Routen sortierte Liste dar;
    • 4 stellt ein Prozesssequenzdiagramm eines Authentifizierungsanforderungsprozesses zum Anfordern einer Authentifizierung von einer externen Vorrichtung zu einem Wiederbeschreibezielknoten dar;
    • 5 stellt die Dateninhalte des Authentifizierungsanforderungs-Datenübertragungsblocks dar;
    • 6 ist ein Ablaufdiagramm eines Weiterleitungsprozesses durch den Weiterleitungsknoten zum Weiterleiten des Authentifizierungsanforderungs-Datenübertragungsblocks hin zu dem Wiederbeschreibeknoten; und
    • 7 ist ein Ablaufdiagramm eines Authentifizierungsprozesses durch den Wiederbeschreibezielknoten.
  • <Konfiguration>
  • <Systemkonfiguration>
  • Nachstehend wird die Konfiguration eines fahrzeuginternen elektronischen Steuersystems 10 unter Bezugnahme auf 1 beschrieben. Das fahrzeuginterne elektronische Steuersystem 10 ist mit einer A-ECU 20, einer B-ECU 30, einer DCM-ECU 40 und einer zentralen Schnittstelle bzw. Netzübergangseinheit (Gateway) C-GW 50 versehen. Die A-ECU 20, die B-ECU 30, die DCM-ECU 40 und die C-GW 50 sind die „Knoten“ eines Fahrzeugnetzwerks, das heißt, Komponenten oder Komponentenvorrichtungen, die durch Kommunikationsleitungen verbunden sind, um ein Fahrzeugnetzwerk zu bilden. Das Fahrzeugnetzwerk und die das Fahrzeugnetzwerk bildenden Komponenten können CAN- und/oder Ethernet-Standards entsprechen. CAN und Ethernet sind eingetragene Marken.
  • Die A-ECU 20 ist eine elektrische Steuereinheit, welche ein in einem Fahrzeug angeordnetes Steuerungsobjekt, wie beispielsweise einen Motor, eine Bremse und dergleichen, steuert. Die A-ECU 20 weist einen Mikrocomputer 21 als eine Hauptkomponente, welche eine CPU 23, ein RAM 24, ein ROM 25 und einen Datenübertragungs- und -empfangsteil 22 auf. Eine Zahl, zum Beispiel „0×06“, kann der A-ECU 20 als eine Knotenverwaltungsnummer zugewiesen sein, die eine Nummer ist zum Verwalten jedes Knotens des Fahrzeugnetzwerks. Die Verwaltungsnummer kann eine vorab zugewiesene Identifikationsnummer sein, die dazu verwendet wird, jeden Knoten des Fahrzeugnetzwerks zu identifizieren.
  • Die CPU 23 ist eine Arithmetikeinheit bzw. Recheneinheit, die dazu konfiguriert ist, Anweisungen eines Programms durch Durchführen von arithmetischen, logischen, steuernden und eingebenden/ausgebenden Operationen, d.h. Berechnungen, auszuführen. Das RAM 24 ist ein flüchtiger Speicher, der dazu verwendet werden kann, vorübergehend die Berechnungsergebnisse der CPU 23 zu speichern. Das ROM 25 ist ein nichtflüchtiger Speicher mit einem wiederbeschreibbaren Speicherbereich, welcher zum Beispiel ein EEPROM sein kann. Das von der CPU 23 ausgeführte Programm kann von dem ROM 25 gespeichert sein. Der Datenübertragungs- und -empfangsteil 22 sendet und empfängt Daten über die Kommunikationsleitungen, die jede dieser Vorrichtungen verbindet. Die Einzelzeiten der Konfiguration des ROM 25 werden untenstehend in größerem Detail beschrieben.
  • Die B-ECU 30 ist eine elektronische Steuereinheit, die ein anderes Steuerungsobjekt als das von der A-ECU 20 gesteuerte Steuerungsobjekt steuert. Ein (nicht gezeigter) Mikrocomputer dient ebenfalls als die Hauptkomponente der B-ECU 30. Der B-ECU 30 kann zum Beispiel eine Zahl „0×05“ als eine Knotenverwaltungsnummer zugewiesen sein.
  • Die DCM-ECU 40 ist eine elektrische Steuereinheit, die ein fahrzeuginternes Kommunikationsmodul als das Steuerungsziel steuert. Ein (nicht gezeigter) Mikrocomputer dient als eine Hauptkomponente der DCM-ECU 40. Ein fahrzeuginternes Kommunikationsmodul ist eine Kommunikationsvorrichtung, die Daten sendet und empfängt und darüber hinaus eine drahtlose Verbindung zu einer externen Vorrichtung außerhalb des Fahrzeugnetzwerks herstellen kann. Eine Zahl „0×03“ kann zum Beispiel der DCM-ECU 40 als eine Knotenverwaltungsnummer zugewiesen sein. Verschiedenartige (nicht gezeigte) ECUs außer der A-ECU 20, die B-ECU 30 und die DCM-ECU 40 sind in dem Fahrzeugnetzwerk als Steuerungsobjekte enthalten.
  • Die DCM-ECU 40 kann eine drahtlose Verbindung zu einer externen Vorrichtung, zum Beispiel einem Zentrum 80, über das fahrzeuginterne Kommunikationsmodul herstellen, um Daten zu dem Zentrum 80 zu senden und von diesem zu empfangen. Das Zentrum 80 ist so bereitgestellt, dass ein Programm (d.h. eine Software), die von einem Knoten in dem Fahrzeugnetzwerk gespeichert wird, aktualisiert werden kann, ohne dass ein Fahrzeugbenutzer das Fahrzeug für eine Softwareaktualisierung zu einem Händler, zu einer Werkstatt oder dergleichen bringen muss. Wenn Softwareaktualisierungen für von den Knoten des Fahrzeugnetzwerks gespeicherte Programme notwendig sind, überträgt das Zentrum 80 ein neues Programm über das Fahrzeugnetzwerk an den entsprechenden Knoten, und das an dem Knoten gespeicherte alte Programm wird auf das neue Programm umgeschrieben bzw. überschrieben (d.h. aktualisiert). Wie hierin verwendet kann Neuschreiben bzw. Umschreiben bzw. Überschreiben eines Programms oder von Daten, die in dem Speicher eines Knotens gespeichert sind, auch als Wiederbeschreiben des Speichers bezeichnet sein. Eine Zahl „0×01“ kann dem Zentrum 80, welches ein externer Knoten ist, zum Beispiel als eine Knotenverwaltungsnummer zugewiesen sein.
  • Die C-GW 50 ist eine zentrale Schnittstelle bzw. ein Netzwerkübergang, die bzw. der Netzwerkvorrichtungen, die unter dem CAN-Standard arbeiten, und Netzwerkvorrichtungen, die unter dem Ethernet-Standard arbeiten, miteinander verbindet. Die zentrale Schnittstelle C-GW 50 führt eine schnelle Datenübertragung über das gesamte Fahrzeugnetzwerk durch. Eine Zahl „0×04“ kann der zentralen Schnittstelle C-GW 50 zum Beispiel als eine Knotenverwaltungsnummer zugewiesen sein.
  • Die zentrale Schnittstelle C-GW 50 weist eine Kommunikationsleitung in Übereinstimmung mit einem CAN und/oder Ethernet-Standard auf, um eine verdrahtete Verbindung mit einem Diagnostizierer bzw. einer Diagnostiziervorrichtung 70 bereitzustellen. Die zentrale Schnittstelle C-GW 50 weiterleitet, d.h. sendet und empfängt, Daten zwischen dem Diagnostizierer 70 und jedem Knoten des Fahrzeugnetzwerks.
  • Der Diagnostizierer 70 ist eine gegenüber dem Fahrzeugnetzwerk externe Vorrichtung, die eine Diagnoseprüfung des Fahrzeugs durch Empfangen von Steuerungsobjektdaten von jedem Knoten und erforderlichenfalls Neuschreiben der durch die Knoten gespeicherten Daten auf der Grundlage des Diagnoseergebnisses durchführt. Eine Zahl „0×02“ kann dem Diagnostizierer 70 zum Beispiel als eine Knotenverwaltungsnummer zugewiesen sein.
  • In dem vorliegenden Ausführungsbeispiel kann die A-ECU 20 ein Wiederbeschreibeknoten sein, das heißt, eine Objektvorrichtung bzw. Zielvorrichtung eines Speicherwiederbeschreibeprozesses. Die A-ECU 20 kann hierin als eine fahrzeuginterne elektronische Steuervorrichtung und eine Zielvorrichtung bezeichnet sein. Das ROM 25 kann hierin als ein wiederbeschreibbarer Speicher bezeichnet sein. Die A-ECU 20 kann die Funktionen eines Empfängers, einer Bestätigungsvorrichtung und einer Authentifizierungsvorrichtung unter Verwendung von Software, Hardware oder einer Kombination von sowohl Software als auch Hardware durchführen. In dem vorliegenden Ausführungsbeispiel dienen die B-ECU 30, die DCM-ECU 40 und die C-GW 50 als Weiterleitungsknoten, die den von der externen Vorrichtung übertragenen Datenübertragungsblock über das Fahrzeugnetzwerk zu der A-ECU weiterleiten. Jeder Weiterleitungsknoten kann hierin als ein Repeater Betätigungszeitpunkt sein. Die B-ECU 30, die DCM-ECU 40 und die C-GW 50 können die Funktion einer Repeater-/Weiterleitungs-Einheit, eines Routenzuweisungsbereitstellers und eines Negators (Negationseinheit) unter Verwendung von Software, Hardware oder einer Kombination von Software und Hardware durchführen. In gewissen Situationen kann die A-ECU 20 als ein Weiterleitungsknoten dienen, und können die B-ECU 30 oder die DCM-ECU 40 als ein Wiederbeschreibeknoten dienen. Jede ECU in dem Fahrzeugnetzwerk kann als sowohl ein Weiterleitungsknoten als auch ein Wiederbeschreibeknoten dienen. Die Knoten in dem Fahrzeugnetzwerk können hierin auch als Komponentenvorrichtungen bezeichnet sein.
  • <Konfiguration des ROM eines Wiederbeschreibeknotens>
  • Die Konfiguration des ROM 25 der A-ECU 20 wird nachstehend unter Bezugnahme auf 2 und 3 beschrieben. Das ROM 25 beinhaltet einen wiederbeschreibbaren Speicherbereich. Das ROM 25 kann ein Steuerprogramm, ein Modusänderungsflag, eine Knotenverwaltungsnummer eines Subjektknotens und Information einer Nummerndatenbank (DB) in dem wiederbeschreibbaren Speicherbereich speichern. Die Datenbank kann hierin als „DB“ abgekürzt sein.
  • Das Steuerprogramm ist ein Programm, das das Steuerungsobjekt der A-ECU 20 steuert, wenn das Programm von der CPU 23 ausgeführt wird. Verschiedenartige ECUs speichern ein Steuerprogramm zum Steuern ihr entsprechendes Steuerungsobjekt. Die Knotenverwaltungsnummer eines Subjektknotens wird in dem wiederbeschreibbaren Speicher jedes Knotens des Fahrzeugnetzwerks gespeichert und ist durch die externe Vorrichtung wiederbeschreibbar. Wenn ein Knoten zu dem Fahrzeugnetzwerk hinzugeführt wird oder ein Knoten aus dem Netzwerk entfernt wird, kann jedem Knoten eine neue Knotenverwaltungsnummer zugewiesen werden.
  • Das Modusänderungsflag ist ein Flag bzw. Kennzeichenbit, das zum Steuern oder Anzeigen des Zustands eines von zwei Wiederschreibemodi zum Wiederschreiben bzw. Neuschreiben der in dem ROM 25 gespeicherten Daten und Programme verwendet wird. Die beiden Wiederschreibemodi sind ein Systemwiederschreibemodus und ein Einheitenwiederschreibemodus. Wenn das Modusänderungsflag AUS ist, ist der Systemwiederschreibemodus in einem wirksamen Zustand, und wenn das Modusänderungsflag EIN ist, ist der Einheitenwiederschreibemodus in einem wirksamen Zustand.
  • Der Systemwiederschreibemodus ist ein Modus bzw. eine Betriebsart, in welchem bzw. welcher das ROM 25 von der externen Vorrichtung wiederbeschreibbar ist, wenn ein Zugriff von der externen Vorrichtung auf die A-ECU 20 über eine legitime Route erfolgt. Die legitime Route ist eine regelmäßige, autorisierte Wiederschreiberoute durch das Fahrzeugnetzwerk von der externen Vorrichtung zu der A-ECU 20. Das heißt, in dem Systemwiederschreibemodus bestimmt die legitime Route eine vorbestimmte Reihenfolge, in welcher Daten von der externen Vorrichtung über den/die Weiterleitungsknote(n) zu der A-ECU 20 übertragen werden. In dem Systemwiederschreibemodus kann dann, wenn sich eine Datenroute von der externen Vorrichtung zu der A-ECU 20 von der legitimen Route unterscheidet, das ROM 25 von der externen Vorrichtung nicht wieder beschrieben werden. Auf diese Weise kann auch dann, wenn nicht autorisierte Hardware oder Werkzeuge verwendet werden, um direkt zu der A-ECU 20 zu verbinden, um einen direkten Zugriff auf die A-ECU 20 herzustellen, ohne über andere Knoten in dem Fahrzeugnetzwerk zu gehen, das nicht autorisierte Wiederschreiben des ROM 25 verhindert oder gesteuert werden.
  • Andererseits ist der Einheitenwiederschreibemodus, in welchem die externen Vorrichtung derart direkt mit der A-ECU 20 verbunden ist, ohne über das Fahrzeugnetzwerk zu gehen, dass das ROM 25 durch die externe Vorrichtung wiederbeschreibbar ist. Normalerweise wird standardmäßig der Systemwiederschreibemodus in einen wirksamen Zustand gesetzt, um die nicht autorisierte Modifikation der A-ECU 20 zu verhindern. Jedoch kann in Fällen, in denen die A-ECU 20 für eine Reprogrammierung, beispielsweise bei dem Händler, einer Wartungseinrichtung, einer Herstellungseinrichtung oder dergleichen, aus dem Fahrzeug entfernt werden muss, der Systemwiederschreibemodus für das Wiederbeschreiben des ROM 25 nicht funktionieren, wenn die A-ECU 20 aus dem Fahrzeugnetzwerk entfernt ist.
  • Folglich ist zusätzlich zu dem Systemwiederschreibemodus der Einheitenwiederschreibemodus bereitgestellt, und wird der Einheitenwiederschreibemodus nur dann in einen wirksamen Zustand gesetzt, wenn die A-ECU 20 individuell, d.h. als eine Einheit, wiederbeschrieben werden muss. Das Wechseln aus dem Systemwiederschreibemodus zu dem Einheitenwiederschreibemodus durch Ändern des Modusänderungsflags von AUS auf EIN ist jedoch nur dann zulässig, wenn der Systemwiederschreibemodus in einem wirksamen Zustand ist und die Flagänderungsanforderung von der externen Vorrichtung zu der A-ECU 20 einer legitimen Route folgt. In derartiger Weise wird mit der A-ECU 20 verbundene, nicht autorisierte Hardware daran gehindert, das Modusänderungsflag von AUS auf EIN zu ändern, um das nicht autorisierte Wiederbeschreiben des ROM 25 zu verhindern.
  • Die Nummern-DB speichert die legitimen Routen auf der Grundlage der Wiederschreibetypen, erster Schlüsselinformation und zweiter Schlüsselinformation. In der näheren Praxis speichert, wie in 3 gezeigt, die Nummern-DB für jedes Wiederschreibeverwaltungsnummer einen Wiederschreibetyp, eine legitime Route von einer externen Vorrichtung zu einem Wiederschreibeknoten, Knotenverwaltungsnummern der legitimen Route, die erste Schlüsselinformation und die zweite Schlüsselinformation. Die Information in der Nummern-DB ist durch die externe Vorrichtung ebenfalls wiederschreibbar.
  • Der Wiederschreibetyp zeigt den Typ der zum Durchführen des Wiederschreibens verwendeten Verbindung, d.h. eine drahtgebundene oder drahtlose Verbindung, die einem Ethernet- oder CAN-Standard folgt. Die legitime Route von der externen Vorrichtung zu dem Wiederschreibeknoten ist für jeden der Wiederschreibetypen definiert. Die Knotenverwaltungsnummer einer legitimen Route ist eine Knotenverwaltungsnummer jedes Knotens auf der legitimen Route, angeordnet in der Reihenfolge von stromauf bzw. vor nach stromab bzw. hinter, d.h. von der externen Vorrichtung zu dem Wiederschreibeknoten.
  • Die erste Schlüsselinformation ist Schlüsselinformation, die zum Authentifizieren der externen Vorrichtung verwendet wird. Die zweite Schlüsselinformation ist Schlüsselinformation, die zum Authentifizieren eines vorangehenden bzw. früheren Knotens verwendet wird. Der frühere Knoten eines bestimmten Knotens kann als ein Knoten definiert sein, der stromauf des bestimmten Knotens bzw. vor dem bestimmten Knoten liegt und durch eine Kommunikationsleitung direkt mit dem bestimmten Knoten verbunden ist. Der vorangehende Knoten sendet den Datenübertragungsblock zu dem bestimmten Knoten. Ein nachfolgender Knoten kann darüber hinaus in ähnlicher Weise definiert sein, d.h. ist ein Knoten, der sich stromab des bestimmten Knotens bzw. hinter dem bestimmten Knoten befindet und durch eine Kommunikationsleitung direkt mit dem bestimmten Knoten verbunden ist und einen von dem bestimmten Knoten übertragenen Datenübertragungsblock empfängt. In dem vorliegenden Ausführungsbeispiel dient die B-ECU 30 oder die zentrale Schnittstelle C-GW 50 als ein der A-ECU 20 vorangehender Knoten. Ein vorangehender Knoten kann auch als eine vorangehende Vorrichtung bezeichnet werden.
  • Jede der B-ECU 30, der DCM-ECU 40 und der zentralen Schnittstelle C-GW 50 hat ihre eigene Nummern-DB für den Weiterleitungsknoten, der die entsprechende Weiterleitungsroute von der externen Vorrichtung zu einem Subjektknoten, die Verwaltungsnummern der Knoten auf der Weiterleitungsroute, die erste Schlüsselinformation und die zweite Schlüsselinformation speichert. Die Nummern-DBs der B-ECU 30, der DCM-ECU 40 und der zentralen Schnittstelle C-GW 50 sind als sortierte Listen basierend auf den Wiederschreibetypen bereitgestellt. Jeder Knoten des Fahrzeugnetzwerks ist mit sowohl i) der Nummern-DB für den Wiederschreibeknoten, der verwendet wird, wenn der Subjektknoten als ein Wiederschreibeknoten dient, als auch ii) der Nummern-DB für den Weiterleitungsknoten, der verwendet wird, wenn ein Subjektknoten als ein Weiterleitungsknoten dient, versehen.
  • Wie hierin verwendet kann sich die Zugriffsroute auf die Kommunikationsroute von der externen Vorrichtung zu dem Wiederschreibeknoten beziehen. Die Weiterleitungsroute kann sich auf die Kommunikationsroute von einem Repeater zu einem anderen, das heißt, eine teilweise Zugriffsroute, beziehen. Eine legitime Route kann eine beliebige Route sein, die von dem System und Komponentenvorrichtungen als legitim identifiziert wird, zum Beispiel eine legitime Zugriffsroute.
  • <Verarbeitung>
  • <Authentifizierungssequenz>
  • Nachstehend wird der Authentifizierungsprozess einer externen Vorrichtung durch einen Wiederschreibeknoten unter Bezugnahme auf 4 beschrieben. Die folgende Beschreibung beruht auf einer Annahme, dass die Anzahl von Weiterleitungsknoten eins ist, und das Modusänderungsflag AUS ist. Das heißt, das folgende Beispiel nimmt an, dass die A-ECU 20 ein Wiederschreibezielknoten ist, der Diagnostizierer 70 eine externe Vorrichtung ist, und die zentrale Schnittstelle C-GW 50 ein Weiterleitungsknoten ist.
  • Bei A1 überträgt eine externe Vorrichtung einen Authentifizierungsanforderungs-Datenübertragungsblock R1 und eine Knotenverwaltungsnummer der externen Vorrichtung an einen Weiterleitungsknoten. Der Authentifizierungsanforderungs-Datenübertragungsblock R1 fordert eine Authentifizierung der externen Vorrichtung durch den Weiterleitungsknoten an. Der Authentifizierungsanforderungs-Datenübertragungsblock R1 beinhaltet „freie“ Daten in dem Datenübertragungsblock. Als solche ist die Knotenverwaltungsnummer, d.h. sind die Knotenverwaltungsnummerdaten, in dem Bereich für „freie“ Daten als ein Teil der Daten zur weiteren Übertragung an den Weiterleitungsknoten gespeichert. Der Authentifizierungsanforderungs-Datenübertragungsblock R1 kann hierin auch als ein Repeaterauthentifizierungsdatenübertragungsblock bezeichnet sein.
  • Bei A2 bestätigt bzw. prüft der Weiterleitungsknoten durch Vergleichen der Knotenverwaltungsnummer von der externen Vorrichtung mit der Nummern-DB für den Weiterleitungsknoten, um zu ermitteln, ob die Knotenverwaltungsnummer des vorangehenden Knotens mit der Information in der Nummern-DB übereinstimmt. Das heißt, der Weiterleitungsknoten prüft und bestätigt, ob die Zugriffsroute von der externen Vorrichtung zu dem Subjektknoten eine legitime Route ist.
  • Bei A3 überträgt der Weiterleitungsknoten eine SEED bzw. einen Startwert an die externe Vorrichtung. Bei A4 empfängt die externe Vorrichtung die SEED, verschlüsselt die SEED durch einen Verschlüsselungsalgorithmus, um einen SCHLÜSSEL zu generieren, und überträgt den SCHLÜSSEL an den Weiterleitungsknoten. Bei A5 authentifiziert der Weiterleitungsknoten die externe Vorrichtung. Genauer verschlüsselt der Weiterleitungsknoten die SEED mittels desselben Verschlüsselungsalgorithmus wie dem der externen Vorrichtung, generiert einen Authentifizierungs-SCHLÜSSEL und vergleiche den Authentifizierungs-SCHLÜSSEL mit dem SCHLÜSSEL von der externen Vorrichtung. Bei A6 überträgt bei einer Bestätigung, dass der Authentifizierungs-SCHLÜSSEL mit dem SCHLÜSSEL von der externen Vorrichtung übereinstimmt, der Weiterleitungsknoten eine Bestätigung (d.h. ACK RES bzw. ACK-Antwort), dass die Authentifizierung beendet ist, an die externe Vorrichtung.
  • Bei A7 überträgt die externe Vorrichtung den Authentifizierungsanforderungs-Datenübertragungsblock R2 an den Weiterleitungsknoten. Der Authentifizierungsanforderungs-Datenübertragungsblock R2 fordert eine Authentifizierung der externen Vorrichtung durch den Wiederschreibeknoten an, nachdem er dem Datenübertragungsblock R2 die Knotenverwaltungsnummer der externen Vorrichtung bereitgestellt hat. Die sich auf die Knotenverwaltungsnummer der externen Vorrichtung beziehenden Daten sind als ein Teil der Daten in dem Authentifizierungsanforderungs-Datenübertragungsblock R2 gespeichert. In anderen Worten enthalten die Daten des Authentifizierungsanforderungs-Datenübertragungsblocks R2 die Knotenverwaltungsnummerdaten von der externen Vorrichtung.
  • Bei A8 stellt der Weiterleitungsknoten dem Authentifizierungsanforderungs-Datenübertragungsblock R2, den der Weiterleitungsknoten von der externen Vorrichtung empfängt, die Knotenverwaltungsnummer des Weiterleitungsknotens selbst bereit. Die Knotenverwaltungsnummerdaten des Weiterleitungsknotens werden als ein Teil der Daten in dem Authentifizierungsanforderungs-Datenübertragungsblock R2 gespeichert.
  • Wie in 5 gezeigt, sind die Daten mit Bezug zu der Wiederschreibeverwaltungsnummer, der Knotenverwaltungsnummer des externen Knotens und die Knotenverwaltungsnummer des bzw. der Weiterleitungsknoten(s), durch welche der Authentifizierungsanforderungs-Datenübertragungsblock R2 gelaufen ist, als Daten in dem Authentifizierungsanforderungs-Datenübertragungsblock R2 enthalten.
  • Wenn der Authentifizierungsanforderungs-Datenübertragungsblock R2 durch zwei oder mehr Weiterleitungsknoten läuft, wird jedes Mal, wenn der Authentifizierungsanforderungs-Datenübertragungsblock R2 durch einen Weiterleitungsknoten läuft, eine Knotenverwaltungsnummer nacheinander zu dem Datenübertragungsblock R2 hinzugefügt, beispielsweise ein Weiterleitungsknoten 2, ein Weiterleitungsknoten 3 und dergleichen. Die Knotenverwaltungsnummern und eine Reihenfolge der Knotenverwaltungsnummern in dem Authentifizierungsanforderungs-Datenübertragungsblock R2 dienen als die Routeninformation über die Weiterleitungsroute von der externen Vorrichtung zu dem Wiederschreibeknoten. Die Routeninformation ist verschlüsselt, um einen nicht autorisierten Zugriff auf die Routeninformation von außerhalb des Systems zu verhindern und/oder zu begrenzen. Das heißt, die externen Vorrichtung und der bzw. die Weiterleitungsknoten stellen dem Authentifizierungsanforderungs-Datenübertragungsblock R2 die verschlüsselten Knotenverwaltungsnummerdaten bereit und speichern diese.
  • Erneut auf 4 Bezug nehmend überträgt bei A9 der Weiterleitungsknoten den Authentifizierungsanforderungs-Datenübertragungsblock R2, der die Knotenverwaltungsnummer des Weiterleitungsknotens selbst beinhaltet, an den Wiederschreibeknoten.
  • Bei A10 entschlüsselt der Wiederschreibeknoten die in dem Authentifizierungsanforderungs-Datenübertragungsblock enthaltene Routeninformation und bestätigt durch Vergleichen der entschlüsselten Routeninformation mit der in dem ROM 25 gespeicherten Nummern-DB, dass die Zugriffsroute von der externen Vorrichtung zu dem Wiederschreibeknoten eine legitime Route ist. Genauer prüft bzw. bestätigt der Wiederschreibeknoten, ob zumindest eines i) der Knotenverwaltungsnummer des vorangehenden Knotens und ii) der Reihenfolge, in welcher der Authentifizierungsanforderungs-Datenübertragungsblock R2 durch die Weiterleitungsknoten weitergeleitet wird, mit der Information in der Nummern-DB übereinstimmt, um zu ermitteln, ob die Zugriffsroute eine legitime Route ist.
  • Bei A11 überträgt der Wiederschreibeknoten auf der Grundlage der Bestätigung, dass die Zugriffsroute eine legitime Route ist, eine SEED für den Weiterleitungsknoten an den Weiterleitungsknoten (d.h. den vorangehenden Knoten). Bei A12 generiert der Weiterleitungsknoten einen SCHLÜSSEL aus der SEED und überträgt den SCHLÜSSEL an den Wiederschreibeknoten. Bei A12 vergleicht der Wiederschreibeknoten den Authentifizierungs-SCHLÜSSEL mit dem SCHLÜSSEL von dem Weiterleitungsknoten, um den Weiterleitungsknoten, d.h. den vorangehenden Knoten, zu authentifizieren. Bei A14 überträgt nach dem bestätigen, dass der Authentifizierungs-SCHLÜSSEL mit dem SCHLÜSSEL von dem Weiterleitungsknoten übereinstimmt bzw. zu diesem passt, der Wiederschreibeknoten eine Bestätigung (d.h. ACK RES bzw. ACK-Antwort) an den Weiterleitungsknoten, dass die Authentifizierung abgeschlossen ist.
  • Bei A15 überträgt der Wiederschreibeknoten die SEED für die externe Vorrichtung an den Weiterleitungsknoten, und bei A16 leitet der Weiterleitungsknoten die SEED an die externe Vorrichtung weiter. Bei A17 generiert die externe Vorrichtung einen SCHLÜSSEL für den Wiederschreibeknoten aus der empfangenen SEED und überträgt den SCHLÜSSEL an den Weiterleitungsknoten. Bei A18 leitet der Weiterleitungsknoten den SCHLÜSSEL an den Wiederschreibeknoten weiter.
  • Bei A19 vergleicht der Wiederschreibeknoten den Authentifizierung-SCHLÜSSEL mit dem SCHLÜSSEL von der externen Vorrichtung, um die externe Vorrichtung zu authentifizieren. Dann überträgt bei A20, wenn der Authentifizierungs-SCHLÜSSEL mit dem SCHLÜSSEL von der externen Vorrichtung übereinstimmt, der Wiederschreibeknoten eine Bestätigung (d.h. ACK RES) der abgeschlossenen Authentifizierung an den Weiterleitungsknoten. Bei A21 leitet der Weiterleitungsknoten die Bestätigung, dass die Authentifizierung abgeschlossen ist, an die externe Vorrichtung.
  • Nachdem die vorstehenden Prozesse beendet sind, wird eine Vielzahl von Prozessanforderungs-Datenübertragungsblöcken zur Wiederschreibeverarbeitung sequenziell von der externen Vorrichtung an den Wiederschreibeknoten übertragen. Die Vielzahl von Prozessanforderungs-Datenübertragungsblöcken können zum Beispiel Löschanforderungs-Datenübertragungsblöcke zum Anfordern des Löschens von Daten an dem Wiederschreibeknoten, Schreibanforderungs-Datenübertragungsblöcke zum Anfordern des Schreibens von Daten in den Speicherbereich des Wiederschreibeknotens nach dem Löschen von Daten, und ebenso andere, vergleichbare Prozesse sein.
  • Wenn es zwei oder mehr Weiterleitungsknoten gibt, nimmt der Austausch von Datenübertragungsblöcken zwischen den Weiterleitungsknoten zu. Der Austausch der Datenübertragungsblöcke unter den Weiterleitungsknoten ist jedoch derselbe wie der Austausch der Datenübertragungsblöcke zwischen dem Weiterleitungsknoten, d.h. dem vorangehenden Knoten, und dem Wiederschreibezielknoten. Zum Beispiel sei unter Bezugnahme auf 4 dann, wenn die Anzahl der Weiterleitungsknoten auf zwei ansteigt, angenommen, dass das in 4 gezeigte Wiederschreibeobjekt bzw. Wiederschreibeziel zu einem Weiterleitungsknoten, und dass ein neuer Wiederschreibezielknoten stromab bzw. hinter diesem neuen Weiterleitungsknoten hinzugefügt wird. In diesem Szenario wird der Authentifizierungsanforderungs-Datenübertragungsblock R2 zu einem Authentifizierungsanforderungs-Datenübertragungsblock an den Weiterleitungsknoten in der Stromabrichtung, und wird nach dem Prozess bei A21 der Authentifizierungs-Datenübertragungsblock R3 an den Wiederschreibeknoten von der externen Vorrichtung an den Weiterleitungsknoten übertragen. Dann werden die Daten mit Bezug zu der Knotenverwaltungsnummer zweiter Weiterleitungsknoten als Daten in dem Authentifizierungsanforderungs-Datenübertragungsblock R3 bereitgestellt, und wird der Datenübertragungsblock R3 an den Wiederschreibezielknoten übertragen. Ähnlich zu dem Prozess mit einem Weiterleitungsknoten, der vorstehend beschrieben wurde, bestätigt der Wiederschreibezielknoten in diesem Szenario die Knotenverwaltungsnummer, authentifiziert den vorangehenden Knoten, und authentifiziert die externe Vorrichtung.
  • <Weiterleitungsprozess eines Authentifizierungsanforderungs-Datenübertragungsblocks>
  • Nachstehend wird die Prozedur des Weiterleitungsprozesses, d.h. des Authentifizierungsanforderungs-Datenübertragungsblocks R2 zu dem/in Richtung des Wiederschreibeknotens durch den Weiterleitungsknoten unter Bezugnahme auf das Ablaufdiagramm von 6 beschrieben. Die folgende Beschreibung des beispielhaften Weiterleitungsprozesses nimmt an, dass der Datenübertragungsblock R2 durch einen Weiterleitungsknoten weitergeleitet wird.
  • Wenn der Prozess bei S10 beginnt, wird eine Ermittlung dahingehend durchgeführt, ob der Authentifizierungsanforderungs-Datenübertragungsblock R1, der an einen Weiterleitungsknoten gerichtet ist, empfangen wird. Bei S10 erfolgt dann, wenn der Authentifizierungsanforderungs-Datenübertragungsblock R1 nicht empfangen wird, eine negative bzw. verneinende Ermittlung, und der Prozess schreitet zu S20 fort. Bei S20 wird ermittelt, ob der an einen sich stromab befindenden Knoten (hierin auch als ein nachgeordneter bzw. untergeordneter Knoten oder „Unterknoten“ bezeichnet) gerichtete Authentifizierungsanforderungs-Datenübertragungsblock R1 empfangen wird. Das heißt, S20 ermittelt, ob der Datenübertragungsblock R2 an einen Unterknoten hinter dem Weiterleitungsknoten von dem Weiterleitungsknoten empfangen wird. In diesem Beispiel ist der untergeordnete Knoten der Wiederschreibeknoten. Bei S20 erfolgt dann, wenn der Authentifizierungsanforderungs-Datenübertragungsblock R2 nicht empfangen wird, eine negative Ermittlung, d.h. NEIN, und der Prozess kehrt zu S10 zurück. Andererseits kann dann, wenn der Authentifizierungsanforderungs-Datenübertragungsblock R1 in S20 empfangen wird, dieses eine Anzeige eines nicht autorisierten Zugriffs ausgehend von nicht autorisierter Hardware sein. Das heißt, wenn der Authentifizierungsanforderungs-Datenübertragungsblock R2 von der externen Vorrichtung an einen untergeordneten Knoten übertragen wird, bevor der Weiterleitungsknoten die externe Vorrichtung authentifiziert, zeigt dies eine Abweichung von der normalen, vordefinierten Prozedur an. Der Prozess schreitet zu S30 fort und eine Verneinungsantwort, d.h. eine negative Bestätigung (d.h. NACK RESPONSE bzw. NACK-Antwort), die die Authentifizierung verweigert, wird an die externe Vorrichtung übertragen.
  • Bei S10 erfolgt dann, wenn der Authentifizierungsanforderungs-Datenübertragungsblock R1 empfangen wird, eine bestätigende bzw. bejahende Ermittlung und der Prozess schreitet zu S40 fort. Bei S40 wird die Knotenverwaltungsnummer der externen Vorrichtung bestätigt, und wird ermittelt, ob die Knotenverwaltungsnummer mit der Information in der Nummern-DB für den Weiterleitungsknoten übereinstimmt. Bei S40 erfolgt dann, wenn die Knotenverwaltungsnummer der externen Vorrichtung nicht mit der Information in der Nummern-DB übereinstimmt, eine negative Ermittlung, d.h. NEIN, und der Prozess schreitet zu S30 zum Übertragen einer negativen Bestätigung an die externe Vorrichtung fort. Andererseits erfolgt dann, wenn die Knotenverwaltungsnummer der externen Vorrichtung mit der Information in der Nummern-DB übereinstimmt, bei S40 eine bestätigende Ermittlung und schreitet der Prozess zu S50 fort. Bei S50 wird die SEED an die externe Vorrichtung übertragen, wird die SEED dazu verwendet, den SCHLÜSSEL zu generieren, und wird der SCHLÜSSEL von der externen Vorrichtung an den Weiterleitungsknoten übertragen, um die externe Vorrichtung zu authentifizieren.
  • Bei S60 wird ermittelt, ob die Authentifizierung der externen Vorrichtung abgeschlossen ist. Bei S60 erfolgt dann, wenn die externe Vorrichtung nicht authentifiziert ist, eine negative Ermittlung, d.h. NEIN, schreitet der Prozess zu Schritt S30 fort, und wird eine negative Bestätigung an die externe Vorrichtung übertragen. Andererseits erfolgt dann, wenn die externe Vorrichtung bei S60 authentifiziert wird, eine bestätigende Ermittlung, d.h. JA, schreitet der Prozess zu S70 fort, und wird eine Bestätigung, dass die Authentifizierung abgeschlossen ist, an die externe Vorrichtung übertragen.
  • Bei S80 wird ermittelt, ob der an einen Unterknoten gerichtete Authentifizierungsanforderungs-Datenübertragungsblock R2 empfangen wird. Bei S80 erfolgt dann, wenn der Authentifizierungsanforderungs-Datenübertragungsblock R2 nicht empfangen wird, eine negative Ermittlung, d.h. NEIN, und wartet der Prozess, bis der Authentifizierungsanforderungs-Datenübertragungsblock R2 empfangen wird. Andererseits erfolgt dann, wenn der Authentifizierungsanforderungs-Datenübertragungsblock R2 empfangen wird, bei S80 eine bestätigende Ermittlung, d.h. JA, und schreitet der Prozess zu S90 fort.
  • Bei S90 werden die Knotenverwaltungsnummerdaten des Weiterleitungsknotens zu den Daten des Authentifizierungsanforderungs-Datenübertragungsblock R2 hinzugefügt. Dann wird bei S100 der Authentifizierungsanforderungs-Datenübertragungsblock R2 mit den Knotenverwaltungsnummerdaten an den Unterknoten weitergeleitet.
  • Bei S110 wird die SEED für den Weiterleitungsknoten von dem Unterknoten empfangen, wird der SCHLÜSSEL generiert, und wird der SCHLÜSSEL an den Unterknoten übertragen.
  • Bei S120 wird ermittelt, ob die Bestätigung der Authentifizierungsbeendigung durch den Unterknoten von dem Weiterleitungsknoten empfangen wird. Bei S120 erfolgt dann, wenn die Bestätigung über die Authentifizierungsbeendigung nicht empfangen wird, eine negative Ermittlung, d.h. NEIN, und wartet der Prozess, bis die Bestätigung über die Authentifizierungsbeendigung empfangen wird. Andererseits erfolgt dann, wenn die Bestätigung über die Authentifizierungsbeendigung bei S120 empfangen wird, eine bestätigende Ermittlung, d.h. JA, und schreitet der Prozess zu S130 fort.
  • Bei S130 empfängt der Weiterleitungsknoten die SEED von dem Unterknoten und leitet die SEED an die externe Vorrichtung weiter. Nach Verarbeiten der SEED stellt die externe Vorrichtung dem Weiterleitungsknoten den SCHLÜSSEL bereit und leitet der Weiterleitungsknoten den SCHLÜSSEL an den Unterknoten weiter.
  • Bei S140 wird ermittelt, ob die externe Vorrichtung die Bestätigung über die Authentifizierungsbeendigung von dem Unterknoten empfängt. Bei S140 erfolgt dann, wenn die Bestätigung der Authentifizierungsbeendigung nicht empfangen wird, eine negative Ermittlung, d.h. NEIN, und wartet der Prozess, bis die Bestätigung über die Authentifizierungsbeendigung empfangen wird. Andererseits wird dann, wenn die Bestätigung über die Authentifizierungsbeendigung in S140 empfangen wird, die Bestätigung über die Authentifizierungsbeendigung an die externe Vorrichtung weitergeleitet, und endet der Prozess des Weiterleitens des Authentifizierungsanforderungs-Datenübertragungsblocks.
  • Wie vorstehend beschrieben wurde, prüft und bestätigt der Weiterleitungsknoten, dass die Zugriffsroute von der externen Vorrichtung zu dem Wiederschreibeknoten eine legitime Route ist, und authentifiziert die externe Vorrichtung. Der Weiterleitungsknoten wird durch einen (d.h., empfängt Authentifizierung von einem) nachfolgenden Knoten, der sich als der nächste Knoten stromab des Weiterleitungsknotens bzw. hinter dem Weiterleitungsknoten befindet, authentifiziert. Der Weiterleitungsknoten leitet einen Austausch von Datenübertragungsblöcken zwischen dem Unterknoten und der externen Vorrichtung weiter. Wenn zwei oder mehr Weiterleitungsknoten die Datenübertragungsblöcke weiterleiten, kann der am weitesten stromauf bzw. vorne liegende Weiterleitungsknoten die bei S80-S100 und S130-S150 beschriebenen Prozesse, d.h. die Weiterleitung der Datenübertragungsblöcke, nach Durchführen des bei S150 beschriebenen Prozesses wiederholen. Die von einem stromab liegenden Weiterleitungsknoten durchgeführte Verarbeitung wird nachstehend in größerem Detail beschrieben.
  • Die Hardware und die strukturellen Komponenten des fahrzeuginternen elektronischen Steuersystems 10, die die bei S10-S30 beschriebenen Prozesse implementieren, und ebenso wie die Prozesse selbst, können hierin als ein Negator bzw. Verneiner bezeichnet werden. Die Hardware und die strukturellen Komponenten des fahrzeuginternen elektronischen Steuersystems 10, die den bei S90 beschriebenen Prozess implementieren, und ebenso wie der Prozess selbst, können hierin als ein Routenbereitsteller bezeichnet werden. Die Hardware und die strukturellen Komponenten des fahrzeuginternen elektronischen Steuersystems 10, die den bei S100 beschriebenen Prozess implementieren, und ebenso wie der Prozess selbst, können hierin als eine Wiederholeinheit bezeichnet werden.
  • <Authentifizierungsprozess der externen Vorrichtung>
  • Nachstehend wird der Authentifizierungsprozess der externen Vorrichtung durch den Wiederschreibeknoten unter Bezugnahme auf 7 beschrieben.
  • Wenn der Prozess beginnt, bei S200, wird ermittelt, ob der an den Wiederschreibeknoten gerichtete Authentifizierungsanforderungs-Datenübertragungsblock R2 empfangen wird. Bei S200 erfolgt dann, wenn der Authentifizierungsanforderungs-Datenübertragungsblock R2 nicht empfangen wird, eine negative Ermittlung, d.h. NEIN, und wartet der Prozess, bis der Authentifizierungsanforderungs-Datenübertragungsblock R2 empfangen wird. Bei S200 erfolgt dann, wenn der Authentifizierungsanforderungs-Datenübertragungsblock R2 empfangen wird, eine bestätigende Ermittlung, d.h. JA, und schreitet der Prozess zu S210 fort.
  • Bei S210 wird ermittelt, ob das Modusänderungsflag EIN ist. Wenn das Modusänderungsflag EIN ist (d.h. wenn der Einheitenwiederschreibemodus in einem wirksamen Zustand ist), erfolgt eine bestätigende Ermittlung, d.h. JA, wird die Bestätigung einer legitimen Route ausgelassen, und schreitet der Prozess zu S270 fort. Andererseits erfolgt dann, wenn bei S210 das Modusänderungsflag AUS ist (d.h. wenn der Systemwiederschreibemodus in einem wirksamen Zustand ist), erfolgt eine negative Ermittlung, d.h. NEIN, und schreitet der Prozess zu S220.
  • Bei S220 wird geprüft bzw. bestätigt, ob zumindest i) die Knotenverwaltungsnummer eines vorangehenden Knotens und/oder ii) die Reihenfolge des Weiterleitungsknotens mit der in der Nummern-DB gespeicherten Information übereinstimmt, um zu ermitteln, ob die Zugriffsroute von der externen Vorrichtung zu dem Subjektknoten eine legitime Route ist. Bei S220 schreitet dann, wenn ermittelt wird, dass die Zugriffsroute keine legitime Route ist, der Prozess zu S230 fort, und wird eine negative Bestätigung an den vorangehenden Knoten übertragen. Andererseits schreitet dann, wenn bei S220 ermittelt wird, dass die Zugriffsroute eine legitime Route ist, der Prozess zu S240 fort.
  • Bei S240 wird die SEED an den vorangehenden Knoten übertragen, verwendet der vorangehende Knoten die SEED dazu, einen SCHLÜSSEL zu generieren, und wird der SCHLÜSSEL von dem vorangehenden Knoten übertragen, um den vorangehenden Knoten zu authentifizieren. Dann wird bei S250 ermittelt, ob die Authentifizierung des vorangehenden Knotens abgeschlossen ist. Bei S250 erfolgt dann, wenn der vorangehende Knoten nicht authentifiziert worden ist, eine negative Ermittlung, d.h. NEIN, schreitet der Prozess zu S230 fort, und wird eine negative Bestätigung an den vorangehenden Knoten übertragen. Andererseits erfolgt dann, wenn der vorangehende Knoten bei S250 authentifiziert worden ist, eine bestätigende Ermittlung, d.h. JA, schreitet der Prozess zu S260 fort, und wird eine Bestätigung, dass die Authentifizierung abgeschlossen worden ist, an den vorangehenden Knoten übertragen.
  • Bei S270 wird die SEED für die externe Vorrichtung von dem Wiederschreibeknoten an den vorangehenden Knoten und weiter an die externe Vorrichtung übertragen. Die externe Vorrichtung verwendet die SEED dazu, den SCHLÜSSEL zu generieren, und überträgt den SCHLÜSSEL über den vorangehenden Knoten an den Wiederschreibeknoten, so dass der Wiederschreibeknoten die externe Vorrichtung authentifizieren kann.
  • Bei S280 wird ermittelt, ob die Authentifizierung der externen Vorrichtung abgeschlossen ist. Bei S280 erfolgt dann, wenn die externe Vorrichtung nicht authentifiziert ist, eine negative Ermittlung, d.h. NEIN, und wartet der Prozess, bis die Authentifizierung der externen Vorrichtung abgeschlossen ist. Andererseits erfolgt dann, wenn die externe Vorrichtung bei S280 authentifiziert wird, eine bestätigende Ermittlung, d.h. JA, schreitet der Prozess zu S290 fort, und wird eine Bestätigung, dass die Authentifizierung der externen Vorrichtung abgeschlossen worden ist, an den vorangehenden Knoten übertragen, und endet der Prozess des Authentifizierens der externen Vorrichtung.
  • Wie vorstehend beschrieben wurde, führt der Wiederschreibeknoten eine Authentifizierung der externen Vorrichtung durch, nachdem der Wiederschreibeknoten prüft und bestätigt, dass die Zugriffsroute von der externen Vorrichtung zu dem Wiederschreibeknoten eine legitime Route ist, und den vorangehenden Knoten authentifiziert. Wenn zwei oder mehr Repeater existieren, kann der Weiterleitungsknoten, der am weitesten stromab von der externen Vorrichtung liegt, die Prozesse bei S220-S290 nach Durchführen von S10-S30 durchführen, und kann danach die Prozesse bei S80-S150 durchführen.
  • Die Hardware und die strukturellen Komponenten des fahrzeuginternen elektronischen Steuersystems 10, die den bei S200 beschriebenen Prozess implementieren, und ebenso wie der Prozess selbst, können hierin als ein Empfänger bezeichnet werden. Die Hardware und die strukturellen Komponenten des fahrzeuginternen elektronischen Steuersystems 10, die den bei S20 beschriebenen Prozess implementieren, und ebenso wie der Prozess selbst, können hierin als ein Bestätiger bezeichnet werden. Die Hardware und die strukturellen Komponenten des fahrzeuginternen elektronischen Steuersystems 10, die die bei S230-S260 beschriebenen Prozesse implementieren, und ebenso wie die Prozesse selbst, können hierin als ein Authentifizierer bzw. Authentifikator bezeichnet werden.
  • <Wirkungen>
  • Die folgenden Wirkungen können durch die hierin beschriebenen Ausführungsbeispiele erzielt werden.
  • Die Routeninformation eines Datenübertragungsblocks von der externen Vorrichtung zu dem Wiederschreibeknoten wird dem Fahrzeugnetzwerk von dem Weiterleitungsknoten bereitgestellt, und die Routeninformation wird von dem Wiederschreibeknoten empfangen. Der Wiederschreibeknoten kann dann durch Prüfen und Bestätigen der Routeninformation von dem Weiterleitungsknoten ermitteln, ob die Zugriffsroute von der externen Vorrichtung zu dem Wiederschreibeknoten eine legitime Route ist. In anderen Worten stellt der Weiterleitungsknoten dem Wiederschreibeknoten die Routeninformation bereit, und prüft und bestätigt der Wiederschreibeknoten selbst, dass die Zugriffsroute eine legitime Route ist. In einer solchen Weise kann die Verarbeitungslast des Weiterleitungsknotens reduziert werden. Während noch immer eine Authentifizierung der Weiterleitungsroute von der externen Vorrichtung zu dem Wiederschreibeknoten bereitgestellt wird.
  • Durch Verwenden zumindest eines von i) der Verwaltungsnummer eines vorangehenden Knotens, d.h. des Knotens vor dem Wiederschreibeknoten, und ii) der Weiterleitungsreihenfolgeninformation des von dem Weiterleitungsknoten bereitgestellten Authentifizierungsanforderungs-Datenübertragungsblocks kann die Legitimität der Zugriffsroute von der externen Vorrichtung zu dem Wiederschreibeknoten, das heißt, ob die Verbindung zwischen der externen Vorrichtung und dem Wiederschreibeknoten eine legitime Route ist, bestätigt werden.
  • Nach dem bestätigen, dass eine Zugriffsroute eine legitime Route ist, und durch separates Authentifizieren des vorangehenden Knotens, um zu ermitteln, dass der vorangehende Knoten ein legitimer Weiterleitungsknoten ist, kann der Wiederschreibeknoten die Verlässlichkeit des Zugriffs auf sich selbst erhöhen.
  • Durch Hinzufügen der Routeninformationsdaten zu den Daten des Authentifizierungsanforderungs-Datenübertragungsblocks ist es nicht notwendig, einen dedizierten Datenübertragungsblock mit nur den Routeninformationsdaten zu generieren. Infolge dessen ist es nicht notwendig, die Prozesssequenz der externen Vorrichtung zu ändern.
  • Auch wenn zwei oder mehr legitime Routen auf der Grundlage der Wiederschreibetypen existieren, ist durch Bereitstellen der Nummern-DB, die die Knotenverwaltungsnummern entsprechend jeder der legitimen Route speichert, die Legitimität der Zugriffsroute auf der Grundlage des Vergleichs zwischen der Nummern-DB und der Routeninformation bestätigbar.
  • Dadurch, dass nicht nur der Systemwiederschreibemodus, sondern auch der Einheitenwiederschreibemodus vorhanden ist, kann das ROM 25 der A-ECU 20 durch Versetzen des Einheitenschreibemodus in einen effektiven bzw. wirksamen Zustand auch dann neu beschrieben werden, wenn die A-ECU 20 aus dem Fahrzeugnetzwerk entfernt ist, zum Beispiel dann, wenn das Fahrzeug für Reparaturarbeiten und Softwareaktualisierungen zu dem Händler oder einer ähnlichen Wartungseinrichtung verbracht ist.
  • Das Modusänderungsflag zum Umschalten des wirksamen Zustands von dem Systemwiederschreibemodus auf den Einheitenwiederschreibemodus ist nur dann änderbar, wenn die Zugriffsroute von der externen Vorrichtung zu dem Wiederschreibeknoten als eine legitime Route bestätigt ist. In einer derartigen Weise wird das nicht autorisierte Ändern des wirksamen Zustands auf den Einheitenwiederschreibemodus verhindert, um das nicht autorisierte Neuschreiben von in dem ROM 25 gespeicherten Programmen zu verhindern.
  • Da die Knotenverwaltungsnummer jedes Knotens wiederschreibbar bzw. neu schreibbar ist, ist das fahrzeuginterne elektronische Steuersystem 10 dazu konfiguriert, ein erweiterbares und flexibles System zu sein.
  • In Fällen, in denen der Weiterleitungsknoten den Authentifizierungsanforderungs-Datenübertragungsblock R2 vor dem Empfangen des Authentifizierungsanforderungs-Datenübertragungsblocks R1 empfängt, wird der Prozess als illegitim erkannt. In solchen Fällen wird die Negationsantwort, d.h. die negative Bestätigung, von dem Weiterleitungsknoten an die externe Vorrichtung übertragen, um die Authentifizierung der externen Vorrichtung abzulehnen/zu verweigern. In einer derartigen Weise kann ein nicht autorisierter Zugriff auf das System unter Verwendung einer Prozedur, die s ich von einer regelmäßigen/legitimen Prozedur unterscheidet, als eine nicht autorisierte Prozedur identifiziert und von dem System zurückgewiesen werden.
  • (Andere Ausführungsbeispiele)
  • Das vorstehend beschriebene Ausführungsbeispiel der Erfindung kann ferner auf verschiedene Weisen modifiziert werden.
  • In dem vorstehend erwähnten Ausführungsbeispiel wird die Routeninformation dem Authentifizierungsanforderungs-Datenübertragungsblock R2 der externen Vorrichtung zu dem Wiederschreibeknoten (d.h. dem von dem Wiederschreibeknoten gesendeten und die Authentifizierung der externen Vorrichtung anfordernden Datenübertragungsblock R2) bereitgestellt, d.h. diesem hinzugefügt. Die Routeninformationsdaten können jedoch auch zu den Daten zumindest eines der Vielzahl von Prozessanforderungsdatenblöcken, die von der externen Vorrichtung zu dem Wiederschreibeknoten nach der Authentifizierung der externen Vorrichtung übertragen wird, hinzugefügt werden. In einer derartigen Weise kann jedes Mal dann, wenn der Wiederschreibeknoten die Routeninformation zu einer Löschanforderungszeit oder einer Schreibanforderungszeit während der Wiederschreibeverarbeitung empfängt, die Zugriffsroute von der externen Vorrichtung zu einem Subjektknoten als eine legitime Route bestätigt werden. Infolge dessen kann auch dann, wenn ein nicht autorisierter Zugriff nach einer Authentifizierung der externen Vorrichtung versucht wird, ein nicht autorisierter Zugriff erfasst und ein nicht autorisiertes Neuschreiben gespeicherter Programme verhindert werden.
  • Als die jedem der Knoten zugewiesene Knotenverwaltungsnummer kann eine vorbestimmte ID-Nummer wie beispielsweise eine CAN-Kommunikations-ID-Nummer, welche zum Identifizieren jedes der Knoten in dem Fahrzeugnetzwerk und zum Identifizieren der externen Vorrichtung verwendet wird, verwendet werden. In einer derartigen Weise kann Zuweisungsarbeit zum Neuzuweisen der Knotenverwaltungsnummern eingespart werden.
  • Obwohl die Bestätigung der Zugriffsroute (d.h. ob die Zugriffsroute eine legitime Route ist) für alle Knoten einschließlich der Weiterleitungsknoten durchgeführt werden kann, kann die Bestätigung der Zugriffsroute für die Weiterleitungsknoten weggelassen/übersprungen werden. Die Bestätigung der Zugriffsroute kann zumindest für den Wiederschreibeknoten durchgeführt werden müssen.
  • Obwohl der Wiederschreibemodus zwei Modi aufweisen kann, d.h. den Systemwiederschreibemodus und den Einheitenwiederschreibemodus, kann der Einheitenwiederschreibemodus verzichtbar sein. In einem solchen Fall braucht das Modusänderungsflag nicht in dem ROM 25 gespeichert zu werden.
  • Obwohl die Knotenverwaltungsnummer zu einem Datenübertragungsblock als ein Teil der Daten der Authentifizierungsanforderungs-Datenübertragungsblöcke R1 und R2 zur Übertragung hinzugefügt sein kann, kann die Knotenverwaltungsnummer unter Verwendung eines dedizierten Datenübertragungsblocks, d.h. durch Verwenden eines Datenübertragungsblocks nur für die Übertragung der Knotenverwaltungsnummer, übertragen werden.
  • Außer der fahrzeuginternen elektronischen Steuereinheit, dem fahrzeuginternen elektronischen Steuersystem und dem Repeater, die vorstehend erwähnt wurden, können auch ein Programm zu Betreiben eines Computers dazu, als die fahrzeuginterne elektronische Steuereinheit oder der Repeater zu dienen, ein Speichermedium intransitiver und substantiver Natur, wie beispielsweise ein Halbleiterspeicher zum Speichern eines solchen Programms, im Rahmen der Erfindung enthalten sein.
  • Obwohl die Erfindung in Verbindung mit einem bevorzugten Ausführungsbeispiel derselben vollständig beschrieben wurde, wird angemerkt, dass sich dem Fachmann verschiedenartige Änderungen und Modifikationen ergeben werden, und dass solche Änderungen, Modifikationen und zusammengefassten Schemata als innerhalb des Schutzumfangs der Erfindung wie durch die beigefügten Ansprüche definiert liegen können.
  • Wie vorstehend beschrieben wurde, beinhaltet ein Repeater einen Empfänger und einen Bestätiger. Der Empfänger empfängt einen Authentifizierungsanforderungs-Datenübertragungsblock, der von einer externen Vorrichtung (70, 80) an ein Fahrzeugnetzwerk übertragen und von einem Weiterleitungsknoten (30, 40, 50) hin zu einem Weiterleitungsknoten (20) mit einem wiederbeschreibbaren ROM (25) für eine Authentifizierung der externen Vorrichtung (70, 80) übertragen wird. Der Empfänger empfängt darüber hinaus Routeninformation über eine Weiterleitungsroute des Authentifizierungsanforderungs-Datenübertragungsblocks, der von dem Weiterleitungsknoten (30, 40, 50) zu dem Fahrzeugnetzwerk übertragen wird. Der Bestätiger bestätigt, dass die von dem Empfänger empfangene Routeninformation angibt, dass eine Zugriffsroute der externen Vorrichtung zu einer Subjektvorrichtung (d.h. dem Wiederbeschreibeknoten bzw. Weiterleitungsknoten) (20) eine legitime Route über das Fahrzeugnetzwerk ist.

Claims (13)

  1. Fahrzeuginterne elektronische Steuereinheit (20) mit einem wiederbeschreibbaren Speicher zum Arbeiten in einem Fahrzeugnetzwerk, wobei die fahrzeuginterne elektronische Steuereinheit umfasst: einen Empfänger (S210), der dazu konfiguriert ist, einen Authentifizierungsanforderungs-Datenübertragungsblock und Routeninformation zu empfangen; und einen Bestätiger (S220), der dazu konfiguriert ist, auf der Grundlage der von dem Empfänger empfangenen Routeninformation zu bestätigen, dass eine Zugriffsroute des Fahrzeugnetzwerks von einer externen Vorrichtung auf die Steuereinheit (20) legitim ist, wobei der Authentifizierungsanforderungs-Datenübertragungsblock die Steuereinheit dazu auffordert, die externe Vorrichtung zu authentifizieren, wobei der Authentifizierungsanforderungs-Datenübertragungsblock von einer externen Vorrichtung (70, 80) außerhalb des Fahrzeugnetzwerks an das Fahrzeugnetzwerk übertragen und durch einen Repeater (39, 40, 50) über eine Weiterleitungsroute des Fahrzeugnetzwerks weitergeleitet wurde, und die Routeninformation von dem Repeater bereitgestellte Daten über die Weiterleitungsroute des Authentifizierungsanforderungs-Datenübertragungsblocks sind.
  2. Fahrzeuginterne elektronische Steuereinheit nach Anspruch 1, bei der dann, wenn ein Repeater über eine Kommunikationsleitung direkt mit der Steuereinheit verbunden und dazu konfiguriert ist, den Authentifizierungsanforderungs-Datenübertragungsblock von dem Empfänger zu senden, der Repeater als ein der Steuereinheit vorangehender Knoten bestimmt ist, und die Routeninformation zumindest eines ist von: einer dem vorangehenden Knoten zugewiesene Verwaltungsnummer, und Reihenfolgeninformation, die eine Reihenfolge von Repeatern angibt, die den Authentifizierungsanforderungs-Datenübertragungsblock auf der Weiterleitungsroute weiterleiten.
  3. Fahrzeuginterne elektronische Steuereinheit nach Anspruch 1 oder 2, bei der dann, wenn ein Repeater über eine Kommunikationsleitung direkt mit der Steuereinheit verbunden und dazu konfiguriert ist, den Authentifizierungsanforderungs-Datenübertragungsblock von dem Empfänger zu senden, der Repeater als ein der Steuereinheit vorangehender Knoten bestimmt ist, und ein Authentifikator (S230-S260) dazu konfiguriert ist, den vorangehenden Knoten nach Empfangen einer Bestätigung durch den Bestätiger, dass die Zugriffsroute legitim ist, zu authentifizieren.
  4. Fahrzeuginterne elektronische Steuereinheit nach einem der Ansprüche 1 bis 3, bei der die Routeninformationsdaten zu Daten des Authentifizierungsanforderungs-Datenübertragungsblocks hinzugefügt sind.
  5. Fahrzeuginterne elektronische Steuereinheit einem der Ansprüche 1 bis 4, bei der die Routeninformationsdaten verschlüsselt sind, der Empfänger dazu konfiguriert ist, die verschlüsselten Routeninformationsdaten zu entschlüsseln, und der Bestätiger die entschlüsselten Routeninformationsdaten verwendet.
  6. Fahrzeuginterne elektronische Steuereinheit nach einem der Ansprüche 1 bis 5, bei der die Routeninformationsdaten eine Verwaltungsnummer beinhalten, die dem Repeater auf der Weiterleitungsroute zugewiesen sind, eine Nummerndatenbank die Verwaltungsnummer jeder der Repeater auf jeder der legitimen Zugriffsrouten von den externen Vorrichtungen zu der Steuereinheit speichert, und der Bestätiger durch Vergleichen der in der Routeninformation enthaltenen Verwaltungsnummer mit der in der Nummerndatenbank gespeicherten Verwaltungsnummer bestätigt, dass die Zugriffsroute legitim ist.
  7. Fahrzeuginterne elektronische Steuereinheit nach einem der Ansprüche 1 bis 6, bei der der Empfänger empfängt eine Vielzahl von Prozessanforderungs-Datenübertragungsblock, die von der externen Vorrichtung zu dem Fahrzeugnetzwerk übertragen und durch den Repeater weitergeleitet wurden, zum Anfordern eines Speicherwiederbeschreibeprozesses, und die Routeninformation von zumindest einem einer Vielzahl von Prozessanforderungs-Datenübertragungsblock, die von dem Repeater dem Fahrzeugnetzwerk bereitgestellt wurden, und der Bestätiger auf der Grundlage der empfangenen Routeninformation bestätigt, dass die Zugriffsroute legitim ist, wenn der Empfänger die Routeninformation empfängt.
  8. Fahrzeuginterne elektronische Steuereinheit nach einem der Ansprüche 1 bis 7, bei der die Steuereinheit zum Wiederbeschreiben des Speichers zumindest zwei Wiederschreibemodi verwendet, wobei die Wiederschreibemodi einen Einheitenschreibemodus und einen Systemwiederschreibemodus verwendet, wobei der Einheitenschreibemodus der externen Vorrichtung erlaubt, den Speicher über eine direkte Verbindung zwischen der externen Vorrichtung und der Steuereinheit wiederzubeschreiben, ohne das Fahrzeugnetzwerk zu verwenden, und der Systemwiederschreibemodus der externen Vorrichtung erlaubt, den Speicher unter der Bedingung wiederzubeschreiben, dass die externe Vorrichtung über die legitime Zugriffsroute auf den Speicher zuzugreifen, und der Speicher ein Flag speichert, das zeigt, dass einer des Einheitenschreibemodus und des Systemwiederschreibemodus in einem wirkenden Zustand ist, und das in dem Speicher gespeicherte Flag von einem Zeigen eines wirkenden Zustands des Systemwiederschreibemodus auf ein Zeigen eines wirkenden Zustands des Einheitenwiederschreibemodus geändert wird, wenn der Systemwiederschreibemodus in einem wirkenden Zustand ist und die Änderung des Flags von der externen Vorrichtung über die legitime Zugriffsroute angefordert wird.
  9. Fahrzeuginternes elektronisches Steuersystem (10), umfassend: die fahrzeuginterne elektronische Steuereinheit nach einem der Ansprüche 1 bis 8, und den Repeater nach einem der Ansprüche 1 bis 8, wobei die fahrzeuginterne elektronische Steuereinheit und der Repeater das Fahrzeugnetzwerk bilden, jede der Komponentenvorrichtungen, die das Fahrzeugnetzwerk bilden, eine ihr zugewiesene Verwaltungsnummer hat, und die Verwaltungsnummer in einem wiederbeschreibbaren Speicher der entsprechenden Komponentenvorrichtung gespeichert ist, und von der externen Vorrichtung neu schreibbar ist.
  10. Fahrzeuginternes elektronisches Steuersystem (10) nach Anspruch 9, bei dem der Repeater beinhaltet: eine Wiederholeinheit (S100), die dazu konfiguriert ist, zu empfangen einen Repeaterauthentifizierungsdatenübertragungsblock, der den Repeater auffordert, die externe Vorrichtung zu authentifizieren, und den Authentifizierungsanforderungs-Datenübertragungsblock, der die fahrzeuginterne elektronische Steuereinheit dazu auffordert, die externe Vorrichtung zu authentifizieren, und einen Negator (S10 - S30), der dazu konfiguriert ist, eine Negationsantwort zum Negieren der Authentifizierung der externen Vorrichtung zu senden, wenn der Authentifizierungsanforderungs-Datenübertragungsblock von der Wiederholeinheit vor dem Empfang des Repeaterauthentifizierungsdatenübertragungsblocks empfangen wird.
  11. Fahrzeuginternes elektronisches Steuersystem (10) nach Anspruch 9 oder 10, bei dem jede der Komponentenvorrichtungen des Fahrzeugnetzwerks eine vorab zugewiesene Identifikationsnummer hat zum Identifizieren jeder der Komponentenvorrichtungen des Fahrzeugnetzwerks, und die Identifikationsnummer als die Verwaltungsnummer verwendet wird.
  12. Repeater (30, 40, 50), der als eine Objektvorrichtung des Wiederbeschreibens dient, umfassend: eine Wiederholeinheit (S100), die dazu konfiguriert ist, einen Datenübertragungsblock zu empfangen und weiterzuleiten, wobei der Datenübertragungsblock von einer externen Vorrichtung außerhalb des Fahrzeugnetzwerks hin zu der Objektvorrichtung des Fahrzeugnetzwerks zum Wiederbeschreiben eines Speichers der Objektvorrichtung durch die externe Vorrichtung übertragen wurde; und einen Routenbereitsteller (S90), der dazu konfiguriert ist, dem Fahrzeugnetzwerk Routeninformation bereitzustellen, wobei die Routeninformation Weiterleitungsroutendaten sind, die zu dem Datenübertragungsblock hinzugefügt werden, wenn die Wiederholeinheit den Datenübertragungsblock weiterleitet.
  13. Repeater (30, 40, 50) nach Anspruch 12, bei dem die Wiederholeinheit einen Authentifizierungsanforderungs-Datenübertragungsblock und einen Repeaterauthentifizierungsdatenübertragungsblock empfängt, wobei der Authentifizierungsanforderungs-Datenübertragungsblock die Objektvorrichtung dazu auffordert, die externe Vorrichtung zu authentifizieren, und der Repeaterauthentifizierungsdatenübertragungsblock eine Subjektvorrichtung dazu auffordert, die externe Vorrichtung zu authentifizieren, und der Repeater mit einem Negator (S10 - S30) versehen ist, der dazu konfiguriert ist, eine Negationsantwort zum Negieren der Authentifizierung der externen Vorrichtung zu senden, wenn der Authentifizierungsanforderungs-Datenübertragungsblock von der Wiederholeinheit vor dem Empfang des Repeaterauthentifizierungsdatenübertragungsblocks empfangen wird.
DE102017221335.3A 2016-12-02 2017-11-28 Fahrzeuginterne elektronische steuereinheit, fahrzeuginternes elektronisches steuersystem und repeater Pending DE102017221335A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2016-235296 2016-12-02
JP2016235296A JP6769270B2 (ja) 2016-12-02 2016-12-02 車載電子制御装置、車載電子制御システム、中継装置

Publications (1)

Publication Number Publication Date
DE102017221335A1 true DE102017221335A1 (de) 2018-06-07

Family

ID=62163873

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017221335.3A Pending DE102017221335A1 (de) 2016-12-02 2017-11-28 Fahrzeuginterne elektronische steuereinheit, fahrzeuginternes elektronisches steuersystem und repeater

Country Status (2)

Country Link
JP (1) JP6769270B2 (de)
DE (1) DE102017221335A1 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7003976B2 (ja) * 2018-08-10 2022-01-21 株式会社デンソー 車両用マスタ装置、更新データの検証方法及び更新データの検証プログラム
JP6969528B2 (ja) * 2018-09-25 2021-11-24 株式会社オートネットワーク技術研究所 中継装置システム
JP2020050048A (ja) 2018-09-25 2020-04-02 株式会社オートネットワーク技術研究所 中継装置システム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4805115B2 (ja) * 2006-12-11 2011-11-02 日本電信電話株式会社 データ配信方法および中継装置
JP5776561B2 (ja) * 2012-01-17 2015-09-09 株式会社デンソー 中継装置
JP6310874B2 (ja) * 2015-03-12 2018-04-11 株式会社日立製作所 インシデント検知システム

Also Published As

Publication number Publication date
JP2018093370A (ja) 2018-06-14
JP6769270B2 (ja) 2020-10-14

Similar Documents

Publication Publication Date Title
DE112014005412B4 (de) Programmaktualisierungssystem und Programmaktualisierungsverfahren
DE102012224421A1 (de) Fahrzeuggebundenes system und kommunikationsverfahren
DE102020124163A1 (de) Verifizierung von fahrzeugdaten
DE602005000943T2 (de) Verfahren und Vorrichtung zur sicheren Übertragung von Inhalten mit Urheberschutz
DE102017125826A1 (de) Nachrichtenauthentifizierung über controller area network
DE102017212618B3 (de) Hardwaresystem mit Blockchain
DE102015220489B4 (de) Verfahren zur Autorisierung einer Softwareaktualisierung in einem Kraftfahrzeug
DE112011103745T5 (de) Fahrzeugmontiertes Netzwerksystem
DE112017007755B4 (de) Schlüsselverwaltungsvorrichtung und kommunikationsgerät
DE102020103424A1 (de) Hybrides Kryptographiesystem und -verfahren zum Verschlüsseln von Daten für eine gemeinsame Flotte von Fahrzeugen
DE102017119373A1 (de) Aktualisierung der servers der netzwerkadresse der mobilvorrichtung
EP3649625B1 (de) Verfahren zur delegation von zugriffsrechten
DE102017221335A1 (de) Fahrzeuginterne elektronische steuereinheit, fahrzeuginternes elektronisches steuersystem und repeater
DE102015209108A1 (de) Verfahren und Entscheidungsgateway zum Autorisieren einer Funktion eines eingebetteten Steuergerätes
DE102006040836A1 (de) System aus Steuergeräten in einem Kraftfahrzeug mit geschütztem Diagnosezugriff
DE102019004726A1 (de) Verfahren, Vorrichtung, System, elektronisches Schloss, digitaler Schlüssel und Speichermedium für die Autorisierung
EP3595238B1 (de) Nachladen kryptographischer programminstruktionen
DE102018211597A1 (de) Verfahren zur Einrichtung eines Berechtigungsnachweises für ein erstes Gerät
DE102018213616A1 (de) Kryptografiemodul und Betriebsverfahren hierfür
DE112020001126T5 (de) Fahrzeugsteuergerät
DE102023110645A1 (de) Sicherheitsverfahren und Sicherheitsvorrichtung
DE102018102608A1 (de) Verfahren zur Benutzerverwaltung eines Feldgeräts
DE102022102092A1 (de) Sicheres übertragen von befehlen an ein fahrzeug während der montage
EP3573034B1 (de) Aufbau eines drahtlosen kommunikationspfades zwischen einer ersten vorrichtung für ein nutzfahrzeug und einer zweiten vorrichtung
EP1455312B1 (de) Verfahren und Einrichtung zur Wartung von sicherheitsrelevanten Programmcode eines Kraftfahrzeuges

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication