DE102021129124A1 - Center, informationsüberschreibungsverfahren und nicht-transitorisches speichermedium - Google Patents

Center, informationsüberschreibungsverfahren und nicht-transitorisches speichermedium Download PDF

Info

Publication number
DE102021129124A1
DE102021129124A1 DE102021129124.0A DE102021129124A DE102021129124A1 DE 102021129124 A1 DE102021129124 A1 DE 102021129124A1 DE 102021129124 A DE102021129124 A DE 102021129124A DE 102021129124 A1 DE102021129124 A1 DE 102021129124A1
Authority
DE
Germany
Prior art keywords
vehicle
center
key
information
electronic control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021129124.0A
Other languages
English (en)
Inventor
Jun HAMASAKI
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Publication of DE102021129124A1 publication Critical patent/DE102021129124A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/30Detection related to theft or to other events relevant to anti-theft systems
    • B60R25/34Detection related to theft or to other events relevant to anti-theft systems of conditions of vehicle components, e.g. of windows, door locks or gear selectors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C2009/00753Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mechanical Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Stored Programmes (AREA)

Abstract

Center, das so konfiguriert ist, dass es mit einem OTA-Master kommuniziert, der so konfiguriert ist, dass er eine Softwareaktualisierung einer elektronischen Steuereinheit über ein erstes Netzwerk steuert, weist einen Prozessor (11) auf. Die elektronische Steuereinheit ist in einem Fahrzeug installiert. Der Prozessor (11) ist so konfiguriert, dass er Fahrzeugmanagementinformationen einschließlich Schlüsselinformationen speichert, die zur Authentifizierung des Fahrzeugs verwendet werden, und ein Authentifizierungssignal vom Fahrzeug über das erste Netzwerk empfängt. Das Authentifizierungssignal wird unter Verwendung eines eindeutigen Schlüssels signiert, der der im Fahrzeug installierten vorbestimmten Ausstattung zugewiesen ist. Der Prozessor (11) ist so konfiguriert, dass er die Authentifizierung des Fahrzeugs auf der Grundlage der Fahrzeugmanagementinformationen und des Authentifizierungssignals durchführt, und wenn der Prozessor (11) die Schlüsselinformationen vom Fahrzeug empfängt, die vom Prozessor (11) gespeicherten Fahrzeugmanagementinformationen auf der Grundlage der Schlüsselinformationen überschreibt.

Description

  • HINTERGRUND DER ERFINDUNG
  • 1. Gebiet der Erfindung
  • Die vorliegende Offenbarung bezieht sich auf ein Center, ein Informationsüberschreibungsverfahren und ein nicht-transitorisches Speichermedium zur Steuerung einer Softwareaktualisierung einer in einem Fahrzeug installierten elektronischen Steuereinheit.
  • 2. Beschreibung des Standes der Technik
  • Fahrzeuge haben eine Vielzahl von elektronischen Steuereinheiten an Bord installiert, um den Betrieb des Fahrzeugs zu steuern. Eine elektronische Steuereinheit weist einen Prozessor, eine temporäre Speichereinheit, wie z.B. einen Direktzugriffsspeicher (RAM), und einen nichtflüchtigen Speicher auf, der eine nichtflüchtige Speichereinheit ist, wie z.B. einen Festwertspeicher (ROM). Der Prozessor führt die Steuerfunktionen der elektronischen Steuereinheit aus, indem er die im nichtflüchtigen Speicher gespeicherte Software ausführt. Die in jeder elektronischen Steuereinheit gespeicherte Software ist überschreibbar. Die Aktualisierung auf eine neuere Version der Software ermöglicht es, die Funktionen der elektronischen Steuereinheit zu verbessern, neue Fahrzeugsteuerungsfunktionen hinzuzufügen und so weiter.
  • Die Over-the-air (OTA)-Technologie ist als Technologie zur Aktualisierung der Software von elektronischen Steuereinheiten bekannt. Bei der OTA-Technologie sind eine Kommunikationsausstattung im Fahrzeug, die mit einem Fahrzeugnetzwerk verbunden ist, und ein Kommunikationsnetzwerk, wie bspw. das Internet oder dergleichen, drahtlos miteinander verbunden. Eine Vorrichtung, die den Aktualisierungsprozess der Software des Fahrzeugs durchführt, lädt die Software von einem Center mit Serverfunktion über drahtlose Kommunikation herunter. Die Installation der heruntergeladenen Software in der elektronischen Steuereinheit ermöglicht die Aktualisierung und Ergänzung der Software der elektronischen Steuereinheit. Siehe z.B. die JP 2004 - 326 689 A .
  • Bei der Durchführung eines Softwareaktualisierungsprozesses unter Verwendung dieser OTA-Technologie werden ein vom Fahrzeug gehaltener Schlüssel (fahrzeugseitiger Schlüssel) und ein von dem Center verwalteter / gesteuerter Schlüssel (centerseitiger Schlüssel) als Paar für jedes Fahrzeug verwendet und es wird ein Authentifizierungsprozess unter Verwendung des Schlüssels zwischen dem Fahrzeug und dem Center durchgeführt.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Wenn ein fahrzeugseitiger Schlüssel, der für den Authentifizierungsprozess verwendet wird, wie z.B. ein Datenkommunikationsmodul (DCM), bspw. aufgrund einer Fehlfunktion oder ähnlichem ausgetauscht wird, wird auch der Schlüssel, der dem Kommunikationsmodul im Voraus zugewiesen wurde, mit ausgetauscht. Das Center hat jedoch keine Möglichkeit, von dem Austausch des Kommunikationsmoduls zu erfahren. Dementsprechend erkennt das Center den neuen Schlüssel, der dem Kommunikationsmodul nach dem Austausch im Voraus zugewiesen wurde, nicht als den rechtmäßigen Schlüssel des Fahrzeugs und kann daher das Fahrzeug nicht authentifizieren. Es besteht somit das Problem, dass eine Softwareaktualisierung per OTA nicht durchgeführt werden kann.
  • Die vorliegende Offenbarung stellt ein Center, ein Informationsüberschreibungsverfahren und ein nicht-transitorisches Speichermedium bereit, das in der Lage ist, ein Fahrzeug zu authentifizieren, selbst wenn eine fahrzeuginterne Ausstattung / Ausrüstung / Einrichtung, die einen für den Authentifizierungsprozess verwendeten Schlüssel hält, ersetzt wird.
  • Nach einem ersten Aspekt der Technologie gemäß der vorliegenden Offenbarung weist ein Center, das so konfiguriert ist, dass es mit einem OTA-Master kommuniziert, der die Softwareaktualisierung einer elektronischen Steuereinheit über ein erstes Netzwerk steuert, einen Prozessor auf. Die elektronische Steuereinheit ist in einem Fahrzeug installiert. Der Prozessor ist so konfiguriert, dass er Fahrzeugmanagementinformationen einschließlich Schlüsselinformationen speichert, die zur Authentifizierung des Fahrzeugs verwendet werden. Der Prozessor ist so konfiguriert, dass er ein Authentifizierungssignal von dem Fahrzeug über das erste Netzwerk empfängt. Das Authentifizierungssignal wird unter Verwendung eines eindeutigen Schlüssels signiert, der der im Fahrzeug installierten vorbestimmten Ausstattung zugewiesen ist. Der Prozessor ist so konfiguriert, dass er die Authentifizierung des Fahrzeugs auf der Grundlage der Fahrzeugmanagementinformationen und des Authentifizierungssignals durchführt. Der Prozessor ist so konfiguriert, dass er, wenn der Prozessor die Schlüsselinformationen vom Fahrzeug empfängt, die vom Prozessor gespeicherten Fahrzeugmanagementinformationen auf der Grundlage der Schlüsselinformationen überschreibt.
  • In dem Center gemäß dem ersten Aspekt der Technologie gemäß der vorliegenden Offenbarung kann der Prozessor so konfiguriert sein, dass er, wenn der Prozessor die Schlüsselinformationen von dem Fahrzeug über ein zweites Netzwerk empfängt, die von dem Prozessor gespeicherten Fahrzeugmanagementinformationen auf der Grundlage der Schlüsselinformationen überschreibt. Das zweite Netzwerk kann ein anderes sein als das erste Netzwerk.
  • In dem Center gemäß dem ersten Aspekt der Technologie gemäß der vorliegenden Offenbarung kann die vorbestimmte Ausstattung ein Kommunikationsmodul sein, das dazu konfiguriert ist, die Kommunikation zwischen dem Center und dem OTA-Master zu vermitteln.
  • In dem Center gemäß dem ersten Aspekt der Technologie gemäß der vorliegenden Offenbarung können die Schlüsselinformationen Identifizierungsinformationen zur Identifizierung des Schlüssels, der der vorbestimmten Ausstattung zugewiesen ist, und Identifizierungsinformationen zur Identifizierung des Fahrzeugs, in dem die vorbestimmte Ausstattung installiert ist, aufweisen.
  • In einem zweiten Aspekt der Technologie gemäß der vorliegenden Offenbarung wird das Informationsüberschreibungsverfahren von einem Computer eines Centers ausgeführt, das einen Prozessor und einen Speicher aufweist. Das Center ist so konfiguriert, dass sie mit einem OTA-Master kommuniziert, der so konfiguriert ist, dass er eine Softwareaktualisierung einer elektronischen Steuereinheit über ein erstes Netzwerk steuert. Die elektronische Steuereinheit ist in einem Fahrzeug installiert. Das Informationsüberschreibungsverfahren umfasst das Speichern von Fahrzeugmanagementinformationen einschließlich Schlüsselinformationen, die zur Authentifizierung des Fahrzeugs verwendet werden, und das Empfangen eines Authentifizierungssignals vom Fahrzeug über das erste Netzwerk. Das Authentifizierungssignal wird mit einem eindeutigen Schlüssel signiert, der der im Fahrzeug installierten vorbestimmten Ausstattung zugewiesen ist. Das Informationsüberschreibungsverfahren umfasst die Durchführung der Authentifizierung des Fahrzeugs auf der Grundlage der Fahrzeugmanagementinformationen und des Authentifizierungssignals und das Überschreiben der Fahrzeugmanagementinformationen auf der Grundlage der Schlüsselinformationen, wenn die Schlüsselinformationen vom Fahrzeug empfangen werden.
  • In einem dritten Aspekt der Technologie gemäß der vorliegenden Offenbarung speichert ein nicht-transitorisches Speichermedium Anweisungen, die von einem Computer eines Centers mit einem Prozessor und einem Speicher ausführbar sind und den Computer veranlassen, Funktionen auszuführen. Das Center ist so konfiguriert, dass es mit einem OTA-Master kommuniziert, der eine Softwareaktualisierung einer elektronischen Steuereinheit über ein erstes Netzwerk steuert. Die elektronische Steuereinheit ist in einem Fahrzeug installiert. Zu den Funktionen gehören das Speichern von Fahrzeugmanagementinformationen einschließlich Schlüsselinformationen, die zur Authentifizierung des Fahrzeugs verwendet werden, und das Empfangen eines Authentifizierungssignals vom Fahrzeug über das erste Netzwerk. Das Authentifizierungssignal wird mit einem eindeutigen Schlüssel signiert, der der im Fahrzeug installierten vorbestimmten Ausstattung zugewiesen ist. Die Funktionen umfassen die Durchführung der Authentifizierung des Fahrzeugs auf der Grundlage der Fahrzeugmanagementinformationen und des Authentifizierungssignals und das Überschreiben der Fahrzeugmanagementinformationen auf der Grundlage der Schlüsselinformationen, wenn die Schlüsselinformationen vom Fahrzeug empfangen werden.
  • Gemäß dem Center usw. der vorliegenden Offenbarung kann das Fahrzeug auch dann authentifiziert werden, wenn die bordeigene Ausstattung / Fahrzeugausstattung, die den für den Authentifizierungsprozess verwendeten Schlüssel hält, ausgetauscht wird.
  • Figurenliste
  • Merkmale, Vorteile und technische und industrielle Bedeutung von beispielhaften Ausführungsformen der Erfindung werden im Folgenden unter Bezugnahme auf die beigefügten Zeichnungen beschrieben, in denen gleiche Bezugszeichen gleiche Elemente bezeichnen und wobei:
    • 1 ein Blockdiagramm ist, das eine Gesamtkonfiguration eines Netzwerksystems mit einem Center gemäß einer Ausführungsform darstellt;
    • 2 ein Blockdiagramm ist, das eine schematische Konfiguration des Centers zeigt;
    • 3 ein funktionelles Blockdiagramm des Centers ist;
    • 4 ein Diagramm ist, das ein Beispiel einer Schlüsselinformations-Datenbank zeigt;
    • 5 ein Diagramm ist, das ein Beispiel für individuelle Fahrzeugschlüsselinformationen zeigt;
    • 6 ein Blockdiagramm ist, das eine schematische Konfiguration eines OTA-Masters zeigt; und
    • 7 ein Flussdiagramm eines Information-Überschreibungsprozesses ist, der in einer Verarbeitungsvorrichtung und in dem Center ausgeführt wird.
  • DETAILLIERTE BESCHREIBUNG DER AUSFÜHRUNGSFORMEN
  • Wenn eine Fahrzeugausstattung / bordeigene Ausstattung, die einen Schlüssel für den Authentifizierungsprozess hält, in einem Fahrzeug ausgetauscht wird, erhält ein Center gemäß der vorliegenden Offenbarung eine Schlüssel-ID / Key-ID, die der ausgetauschten Fahrzeugausstattung zugewiesen ist, und eine ID des Fahrzeugs, dessen Fahrzeugausstattung ausgetauscht wurde, als schlüsselbezogene Informationen über ein Netzwerk, das sich von einem Netzwerk unterscheidet, das die Fahrzeug-Authentifizierung ausführt. Das Center aktualisiert dann die schlüsselbezogenen Informationen für die Fahrzeug-Authentifizierung auf der Grundlage der schlüsselbezogenen Informationen auf die neuesten Inhalte. Eine Ausführungsform der vorliegenden Offenbarung wird im Folgenden unter Bezugnahme auf die Zeichnungen im Detail beschrieben.
  • Ausführungsform
  • Konfiguration
  • 1 ist ein Blockdiagramm, das eine Gesamtkonfiguration eines Netzwerksystems einschließlich des Centers gemäß der Ausführungsform der vorliegenden Offenbarung zeigt. Das in 1 dargestellte Netzwerksystem ist ein System zum Aktualisieren der Software einer Vielzahl von elektronischen Steuereinheiten 40a bis 40d, die in einem Fahrzeug installiert sind. Das Netzwerksystem ist mit einem Center 10, das sich außerhalb des Fahrzeugs befindet, einem innerhalb des Fahrzeugs aufgebauten Fahrzeugnetzwerk 20 und einer Verarbeitungsvorrichtung 80 versehen.
  • 1. Center
  • Das Center 10 ist in der Lage, mit einem später beschriebenen OTA-Master 30, der dem Fahrzeugnetzwerk 20 zur Verfügung gestellt wird, über ein erstes Netzwerk 70 zu kommunizieren. Das Center 10 ist in der Lage, eine Softwareaktualisierung der elektronischen Steuereinheiten 40a bis 40d, die mit dem OTA-Master 30 verbunden sind, zu steuern / verwalten, indem sie eine Kommunikation, wie z.B. eine Fahrzeug-Authentifizierung, und eine Übertragung von Aktualisierungsdaten der elektronischen Steuereinheiten durchführt. Ferner ist das Center 10 in der Lage, mit der Verarbeitungsvorrichtung 80 über ein zweites Netzwerk 90 zu kommunizieren, das sich von dem ersten Netzwerk 70 unterscheidet. Das Center 10 steuert / verwaltet den Fahrzeugschlüssel, indem sie die Kommunikation von später beschriebenen schlüsselbezogenen Informationen des Fahrzeugs über das zweite Netzwerk 90 durchführt. Das Center 10 hat dabei die Funktion eines Servers.
  • 2 ist ein Blockdiagramm, das eine schematische Konfiguration des Centers 10 in 1 zeigt. Wie in 2 dargestellt, weist das Center 10 ein Center Verarbeitungseinheit (CPU) 11, einen Direktzugriffsspeicher (RAM) 12, eine Speichervorrichtung 13 und eine Kommunikationsvorrichtung 14 auf. Die Speichervorrichtung 13 ist eine Vorrichtung, die ein lesbares/schreibbares Speichermedium, wie bspw. ein Festplattenlaufwerk (HDD) oder ein Solid State Drive (SSD), aufweist. Die Speichervorrichtung 13 speichert Programme zur Ausführung einer Softwareaktualisierungssteuerung, Informationen, die für die Softwareaktualisierungssteuerung verwendet werden, Aktualisierungsdaten jeder elektronischen Steuereinheit, Fahrzeugmanagementinformationen einschließlich Schlüsselinformationen, die für die Fahrzeug-Authentifizierung verwendet werden, und so weiter. In dem Center 10 führt die CPU 11 das aus der Speichervorrichtung 13 ausgelesene Programm aus, wobei sie den RAM 12 als einen Arbeitsbereich nutzt. Somit führt das Center 10 einen vorbestimmten Prozess in Bezug auf die Softwareaktualisierung aus. Die Kommunikationsvorrichtung 14 ist eine Vorrichtung zur Kommunikation mit dem OTA-Master 30 über das erste Netzwerk 70 und zur Kommunikation mit der Verarbeitungsvorrichtung 80 über das zweite Netzwerk 90.
  • 3 ist ein Funktionsblockdiagramm des in 2 dargestellten Centers 10. Das in 3 dargestellte Center 10 weist eine Speichereinheit 16, eine Kommunikationseinheit 17 und eine Steuereinheit 18 auf. Die Speichereinheit 16 ist durch die in 2 dargestellte Speichervorrichtung 13 realisiert. Die Kommunikationseinheit 17 und die Steuereinheit 18 sind durch die in 2 dargestellte CPU 11 realisiert, die ein in der Speichervorrichtung 13 gespeichertes Programm unter Verwendung des RAMs 12 ausführt.
  • Die Speichereinheit 16 speichert Informationen in Bezug auf den Softwareaktualisierungsprozess einer oder mehrerer im Fahrzeug installierter elektronischer Steuereinheiten. Die Speichereinheit 16 speichert Aktualisierungssteuerungsinformationen und Softwareaktualisierungsdaten der elektronischen Steuereinheit als Informationen in Zusammenhang mit dem Softwareaktualisierungsprozess. Bei den Aktualisierungssteuerungsinformationen handelt es sich um Informationen, in denen jedem Fahrzeug Identifizierungsinformationen (Fahrzeug-ID), die das Fahrzeug identifizieren, zugeordnet sind, die auf die von der elektronischen Steuereinheit nutzbare Software hinweisen. Eine Kombination der neuesten Versionsinformationen von Software jeder der elektronischen Steuereinheiten ist beispielsweise als Information definiert, die auf Software hinweist, die von der elektronischen Steuereinheit verwendet werden kann.
  • Außerdem speichert die Speichereinheit 16 im Voraus Informationen, die sich auf den centerseitigen Schlüssel beziehen, der mit dem fahrzeugseitigen Schlüssel gekoppelt ist / ein Paar ausbildet, der von einer vorbestimmten Entität / Einheit ausgegeben wird, als eine Schlüsselinformation-Datenbank. Die vorbestimmte Entität steuert / verwaltet den Schlüssel, der zur Authentifizierung des Fahrzeugs verwendet wird. 4 zeigt ein Beispiel für die in der Speichereinheit 16 gespeicherte Schlüsselinformation-Datenbank. Eine Haupteinheit des fahrzeugseitigen Schlüssels, die von der vorbestimmten Entität ausgestellt wird, wird der für den Fahrzeug-Authentifizierungsprozess verwendeten Ausstattung, wie z.B. dem Kommunikationsmodul 50, im Voraus zum Zeitpunkt der Herstellung der Ausstattung heimlich mitgeteilt / zugewiesen. Andererseits wird das Center 10 mit einer Schlüssel-ID / Key-ID, die eine Identifizierungsinformation zur Identifizierung der Haupteinheit des fahrzeugseitigen Schlüssels ist, und Informationen bezüglich einer Haupteinheit des centerseitigen Schlüssels, der mit dem fahrzeugseitigen Schlüssel gekoppelt ist, versehen. Das Beispiel in 4 zeigt, dass der centerseitige Schlüssel (Haupteinheit) KEY-A mit dem fahrzeugseitigen Schlüssel gekoppelt ist, der durch die Schlüssel-ID aaaa identifiziert ist.
  • Ferner speichert die Speichereinheit 16 individuelle Fahrzeugschlüsselinformationen. Bei den individuellen Fahrzeug-Schlüsselinformationen handelt es sich um Informationen, (mit) denen die Fahrzeug-Identifizierungsinformationen (Fahrzeug-ID) zur Identifizierung des Fahrzeugs und der centerseitige Schlüssel zugeordnet sind / zusammenhängen. Der centerseitige Schlüssel wird zur Verifizierung von Authentifizierungssignalen verwendet, die mit dem fahrzeugseitigen Schlüssel signiert wurden. 5 zeigt ein Beispiel für individuelle Fahrzeugschlüsselinformationen, die in der Speichereinheit 16 gespeichert sind. Das Beispiel in 5 zeigt, dass der centerseitige Schlüssel KEY-A verwendet wird, um Authentifizierungssignale vom Fahrzeug mit der Fahrzeug-ID A zu verifizieren. Diese individuellen Fahrzeug-Schlüsselinformationen können verwaltet werden, indem sie ein Teil von anderen Informationen sind, wie z. B. die oben erwähnten Aktualisierungssteuerungsinformationen. Die individuellen Fahrzeug-Schlüsselinformationen werden durch Kommunikation über das später beschriebene zweite Netzwerk 90 entsprechend überschrieben.
  • Die Kommunikationseinheit 17 ist in der Lage, Softwareaktualisierungs-Bestätigungsanforderungen vom OTA-Master 30 zu empfangen. Ein Beispiel für eine Aktualisierungs-Bestätigungsanforderung ist eine Information, die vom OTA-Master 30 an das Center 10 übertragen wird, wenn die Energie (Stromversorgung) oder die Zündung (IGN) des Fahrzeugs eingeschaltet wird. Aktualisierungs-Bestätigungsanforderungen sind Informationen zur Aufforderung an das Center 10, zu bestätigen, ob es Aktualisierungsdaten für die elektronischen Steuereinheiten gibt. Darüber hinaus ist die Kommunikationseinheit 17 in der Lage, Übertragungsanforderungen (Download-Anforderungen) für Verteilungspakete vom OTA-Master 30 zu empfangen. Beim Empfangen einer Download-Anforderung für ein Verteilungspaket übermittelt die Kommunikationseinheit 17 das Verteilungspaket an den OTA-Master 30. Das Verteilungspaket weist Softwareaktualisierungsdaten auf, die von der später beschriebenen Steuereinheit 18 für die elektronische Steuereinheit erzeugt werden.
  • Wenn die Kommunikationseinheit 17 die Aktualisierungsbestätigungsanforderung vom OTA-Master 30 empfängt, bestimmt die Steuereinheit 18 auf der Grundlage der in der Speichereinheit 16 gespeicherten Aktualisierungssteuerungsinformationen, ob Softwareaktualisierungsdaten für die elektronischen Steuereinheiten vorhanden sind, die in dem Fahrzeug installiert sind, das durch die in der Aktualisierungsbestätigungsanforderung enthaltene Fahrzeug-ID identifiziert wird. Nach der Feststellung, dass es Softwareaktualisierungsdaten für die elektronische Steuereinheit gibt und nach dem Empfangen einer Download-Anforderung für das Verteilungspaket vom OTA-Master 30 erzeugt die Steuereinheit 18 ein Verteilungspaket, das die entsprechenden in der Speichereinheit 16 gespeicherten Aktualisierungsdaten enthält.
  • 2. Fahrzeugnetzwerk
  • Das Fahrzeugnetzwerk 20 weist den OTA-Master 30, die elektronischen Steuereinheiten 40a bis 40d und das Kommunikationsmodul 50 auf. Der OTA-Master 30 und das Kommunikationsmodul 50 sind über einen Bus 60a miteinander verbunden. Der OTA-Master 30 und die elektronischen Steuereinheiten 40a und 40b sind über einen Bus 60b miteinander verbunden. Der OTA-Master 30 und die elektronischen Steuereinheiten 40c und 40d sind über einen Bus 60c miteinander verbunden.
  • Der OTA-Master 30 ist in der Lage, über das Kommunikationsmodul 50 drahtlos mit dem Center 10 über das erste Netzwerk 70 zu kommunizieren. Der OTA-Master 30 ist eine Vorrichtung, die die Funktion hat, den OTA-Zustand zu steuern / verwalten, die Softwareaktualisierungssequenz zu steuern und die Softwareaktualisierung der elektronischen Steuereinheit durchzuführen, deren Software ein Ziel der Aktualisierung ist (im Folgenden als „elektronische Ziel-Steuereinheit“ bezeichnet). Der OTA-Master 30 steuert die Softwareaktualisierung der elektronischen Ziel-Steuereinheit aus den elektronischen Steuereinheiten 40a bis 40d, basierend auf den von dem Center 10 erfassten Aktualisierungsdaten. Der OTA-Master 30 kann auch als „zentrales Gateway (CGW)“ bezeichnet werden.
  • 6 ist ein Blockdiagramm, das eine schematische Konfiguration des OTA-Masters 30 in 1 zeigt. Wie in 6 dargestellt, weist der OTA-Master 30 eine CPU 31, RAM 32, ROM 33, eine Speichervorrichtung 34 und eine Kommunikationsvorrichtung 36 auf. Die CPU 31, der RAM 32, der ROM 33 und die Speichervorrichtung 34 bilden einen Mikrocomputer 35 aus. Im OTA-Master 30 führt die CPU 31 die aus dem ROM 33 ausgelesenen Programme aus, wobei der RAM 32 als ein Arbeitsbereich dient. Dementsprechend führt die CPU 31 einen vorbestimmten Prozess im Zusammenhang mit der Softwareaktualisierung aus. Die Kommunikationsvorrichtung 36 ist eine Vorrichtung zur Kommunikation mit dem Kommunikationsmodul 50 und den elektronischen Steuereinheiten 40a bis 40d über die in 1 dargestellten Busse 60a bis 60c.
  • Bei den elektronischen Steuereinheiten 40a bis 40d handelt es sich um Vorrichtungen (ECUs) zur Steuerung des Betriebs verschiedener Teile des Fahrzeugs. Obwohl in 1 vier elektronische Steuereinheiten 40a bis 40d dargestellt sind, ist die Anzahl der elektronischen Steuereinheiten nicht besonders begrenzt. An den OTA-Master 30 kann eine Anzeigevorrichtung (Human-Machine-Interface (HMI)) angeschlossen werden, die verschiedene Arten von Anzeigen durchführen kann. Beispiele für die verschiedenen Arten der Anzeige umfassen eine Anzeige, die angibt, dass Aktualisierungsdaten während des Softwareaktualisierungsprozesses der elektronischen Steuereinheiten 40a bis 40d vorhanden sind, eine Anzeige eines Zustimmungs-Anfrage-Bildschirms mit der Aufforderung an einen Benutzer oder Administrator des Fahrzeugs, einer Softwareaktualisierung zuzustimmen, eine Anzeige der Ergebnisse der Softwareaktualisierung usw. Für die Anzeigevorrichtung kann ein Kfz-Navigationssystem oder ähnliches verwendet werden. Darüber hinaus ist die Anzahl der Busse, die die elektronische Steuereinheit mit dem OTA-Master 30 verbinden, nicht besonders begrenzt. Beispielsweise kann die vorgenannte Anzeigevorrichtung über einen anderen Bus als die Busse 60a bis 60c mit dem OTA-Master 30 verbunden sein.
  • Das Kommunikationsmodul 50 ist eine Einheit, die eine Funktion zur Steuerung der Kommunikation zwischen dem Center 10 und dem Fahrzeug hat. Das Kommunikationsmodul 50 ist eine Kommunikationsausstattung zur Verbindung des Fahrzeugnetzwerks 20 mit dem Center 10. Das Kommunikationsmodul 50 ist über das erste Netzwerk 70 drahtlos mit dem Center 10 verbunden. Die Fahrzeug-Authentifizierung, das Herunterladen von Aktualisierungsdaten usw. werden durch den OTA-Master 30 über eine drahtlose Verbindung durchgeführt. Darüber hinaus kann das Kommunikationsmodul 50 so konfiguriert sein, dass es drahtlos mit der Verarbeitungsvorrichtung 80 verbunden ist, um Informationen über den vom Fahrzeug gehaltenen Schlüssel zu liefern. Die Schlüsselinformationen umfassen Identifizierungsinformationen (Schlüssel-ID/Key-ID), die einen Schlüssel 51 identifizieren, der dem Kommunikationsmodul 50 eindeutig zugeordnet ist, und Identifizierungsinformationen (Fahrzeug-ID), die das Fahrzeug identifizieren, in dem das Kommunikationsmodul 50 installiert ist. Es ist zu beachten, dass eine Konfiguration vorgenommen werden kann, bei der das Kommunikationsmodul 50 im OTA-Master 30 aufgenommen ist.
  • Die Verarbeitungsvorrichtung 80 ist beispielsweise ein Informationseingabeterminal, wie bspw. ein persönlicher Computer oder dergleichen, der bei einem Händler des Fahrzeugs oder dergleichen installiert ist. Die Verarbeitungsvorrichtung 80 ist über das zweite Netzwerk 90, das sich von dem ersten Netzwerk 70 unterscheidet, mit dem Center 10 verbunden. Die Verarbeitungsvorrichtung 80 führt die Kommunikation der oben beschriebenen Schlüsselinformationen und so weiter durch. Es ist zu beachten, dass die Verbindung zwischen der Verarbeitungsvorrichtung 80 und dem Center 10 über das zweite Netzwerk 90 über einen Erstausrüster (OEM) 100, d.h. einen Fertigfahrzeughersteller, erfolgen kann. Bei dieser Konfiguration können die Schlüsselinformationen von dem Center 10 und dem OEM 100 gemeinsam genutzt und verwaltet werden.
  • Überblick über den Softwareaktualisierungsprozess
  • Der OTA-Master 30 sendet eine Softwareaktualisierung-Bestätigungsanforderung an das Center 10, wobei als Auslöser z.B. das Einschalten der Energie (Stromversorgung) oder der Zündung (IGN) des Fahrzeugs dient. Die Aktualisierungsbestätigungsanforderung umfasst die Fahrzeug-ID zur Identifizierung des Fahrzeugs und Softwareversionen für die an das Fahrzeugnetzwerk 20 angeschlossenen elektronischen Steuereinheiten 40a bis 40d. Die Fahrzeug-ID und die Softwareversionen für die elektronischen Steuereinheiten 40a bis 40d werden verwendet, um festzustellen, ob es Softwareaktualisierungsdaten für die elektronischen Steuereinheiten gibt, indem ein Vergleich mit der neuesten Softwareversion durchgeführt wird, die von dem Center 10 für jede Fahrzeug-ID gehalten wird. Ferner erhält der OTA-Master 30 als Antwort auf die Aktualisierungsbestätigungsanforderung eine Meldung von dem Center 10, die anzeigt, ob Aktualisierungsdaten vorliegen. Wenn es Softwareaktualisierungsdaten für die elektronische Steuereinheit gibt, sendet der OTA-Master 30 eine Download-Anforderung für ein Verteilungspaket an das Center 10. Daraufhin empfängt der OTA-Master 30 das von dem Center 10 übermittelte Verteilungspaket. Das Verteilungspaket kann zusätzlich zu den Aktualisierungsdaten Verifizierungsdaten zur Überprüfung der Authentizität der Aktualisierungsdaten, die Stückzahl der Aktualisierungsdaten, die Reihenfolge der Installation, verschiedene Arten von Steuerinformationen, die während der Softwareaktualisierung zu verwenden sind, usw. aufweisen.
  • Der OTA-Master 30 bestimmt, ob es Softwareaktualisierungsdaten für die elektronischen Steuereinheiten gibt, basierend auf der Antwort auf die empfangene Aktualisierungsbestätigungsanfrage von dem Center 10. Darüber hinaus prüft der OTA-Master 30 die Echtheit / Authentizität des von dem Center 10 empfangenen und in der Speichervorrichtung 13 gespeicherten Verteilungspakets. Ferner überträgt der OTA-Master 30 eine oder mehrere Stück von Aktualisierungsdaten, die mit dem Verteilungspaket heruntergeladen wurden, an die elektronische Ziel-Steuereinheit und veranlasst die elektronische Ziel-Steuereinheit, die Aktualisierungsdaten zu installieren. Nach Abschluss der Installation weist der OTA-Master 30 die elektronische Ziel-Steuereinheit an, die installierte Aktualisierungsversion der Software zu aktivieren.
  • Als Zustimmungs-Anfrageprozess veranlasst der OTA-Master 30 die Anzeigevorrichtung, eine Benachrichtigung, dass eine Zustimmung zur Softwareaktualisierung erforderlich ist, und eine Benachrichtigung auszugeben, die zur Eingabe der Zustimmung zur Softwareaktualisierung auffordert. Als Anzeigevorrichtung kann eine Anzeigevorrichtung, die eine Benachrichtigung per Display ausgibt, eine Audio-Anzeigevorrichtung, die eine Benachrichtigung per Audio ausgibt, oder ähnliches verwendet werden. Wenn beispielsweise die Anzeigevorrichtung als Anzeigevorrichtung im Zustimmungs-Anfrageprozess verwendet wird, veranlasst der OTA-Master 30 die Anzeigevorrichtung, einen Zustimmungs-Anfrage-Bildschirm zur Aufforderung der Annahme der Softwareaktualisierung anzuzeigen. Die Anzeigevorrichtung ist in der Lage, eine Benachrichtigung anzuzeigen, die zu einer bestimmten Eingabeoperation / - betätigung auffordert, wie z.B. das Drücken einer Zustimmungstaste durch den Benutzer oder den Administrator bei der Zustimmung. Darüber hinaus kann der OTA-Master 30 im Zustimmungs-Anfrageprozess auf der Anzeigevorrichtung Text, Symbole oder ähnliches anzeigen, um darauf hinzuweisen, dass Softwareaktualisierungsdaten für die elektronischen Steuereinheiten vorliegen, um auf der Anzeigevorrichtung Einschränkungen anzuzeigen, während der Softwareaktualisierungsprozess ausgeführt wird, und so weiter. Nach Erhalt der Eingabe, die die Zustimmung durch den Benutzer oder den Administrator anzeigt, dass der OTA-Master 30 zugestimmt hat, führt der OTA-Master 30 den obigen Installierungs- und Aktivierungssteuerprozess aus und aktualisiert die Software der elektronischen Ziel-Steuereinheit.
  • Der Softwareaktualisierungsprozess weist eine Downloadphase, eine Installationsphase und eine Aktivierungsphase auf. Die Downloadphase ist eine Phase, in der der OTA-Master 30 Aktualisierungsdaten von dem Center 10 herunterlädt. Die Installationsphase ist eine Phase, in der der OTA-Master 30 die heruntergeladenen Aktualisierungsdaten auf die elektronische Ziel-Steuereinheit überträgt und die Aktualisierungsdaten im Speicherbereich der elektronischen Ziel-Steuereinheit installiert. Die Aktivierungsphase ist eine Phase, in der die Aktualisierungsversion der von der elektronischen Ziel-Steuereinheit installierten Software aktiviert wird.
  • Der Download / das Herunterladen ist ein Prozess, in dem der OTA-Master 30 die Aktualisierungsdaten zur Aktualisierung der Software für die elektronische Steuereinheit erhält, die von dem Center 10 in Form eines Verteilungspakets übermittelt werden und die Aktualisierungsdaten in der Speichervorrichtung 13 speichert. Die Download-Phase umfasst nicht nur die Ausführung des Downloads, sondern auch die Steuerung einer Reihe von Prozessen im Zusammenhang mit dem Download, wie z.B. die Beurteilung, ob der Download ausgeführt werden kann, die Überprüfung der Aktualisierungsdaten, usw.
  • Die von dem Center 10 an den OTA-Master 30 übertragenen Aktualisierungsdaten können eine beliebige Aktualisierungssoftware für die elektronische Steuereinheit, komprimierte Daten, in denen die Aktualisierungssoftware komprimiert wurde, und geteilte Daten, in denen die Aktualisierungssoftware oder die komprimierten Daten geteilt wurden, aufweisen. Darüber hinaus können die Aktualisierungsdaten eine Nummer der elektronischen Ziel-Steuereinheit (ECU_ID) und eine Nummer zur Identifizierung der Software der elektronischen Steuereinheit vor der Aktualisierung (ECU_Software_ID) aufweisen. Die Aktualisierungsdaten werden als das vorgenannte Verteilungspaket heruntergeladen, das Aktualisierungsdaten für eine oder mehrere elektronische Steuereinheiten enthält.
  • Die Installation ist ein Prozess, bei dem der OTA-Master 30 auf der Grundlage der von dem Center 10 heruntergeladenen Aktualisierungsdaten eine Aktualisierungssoftware (ein Aktualisierungsversionsprogramm) in die elektronische Ziel-Steuereinheit schreibt. Die Installationsphase umfasst nicht nur die Ausführung der Installation, sondern auch die Steuerung einer Reihe von Prozessen im Zusammenhang mit der Installation, wie z.B. die Beurteilung, ob die Installation ausgeführt werden kann, die Übertragung der Aktualisierungsdaten, die Überprüfung der Aktualisierungssoftware usw.
  • Wenn die Aktualisierungsdaten die Aktualisierungssoftware selbst aufweisen, überträgt der OTA-Master 30 die Aktualisierungsdaten (Aktualisierungssoftware) in der Installationsphase an die elektronische Ziel-Steuereinheit. Wenn die Aktualisierungsdaten komprimierte Daten, Differenzdaten oder geteilte Daten der Aktualisierungssoftware aufweisen, kann der OTA-Master 30 die Aktualisierungsdaten an die elektronische Ziel-Steuereinheit übertragen und die elektronische Ziel-Steuereinheit kann die Aktualisierungssoftware aus den Aktualisierungsdaten erzeugen. Alternativ kann die Aktualisierungssoftware an die elektronische Ziel-Steuereinheit übertragen werden, nachdem der OTA-Master 30 die Aktualisierungssoftware aus den Aktualisierungsdaten erzeugt hat. Die Aktualisierungssoftware kann nun durch Dekomprimieren komprimierter Daten oder durch Zusammensetzen von Differenzdaten oder geteilten Daten erzeugt werden.
  • Die Aktualisierungssoftware kann von der elektronischen Ziel-Steuereinheit auf der Grundlage einer Installationsanforderung des OTA-Masters 30 installiert werden. Alternativ kann die elektronische Ziel-Steuereinheit, die die Aktualisierungsdaten erhalten hat, die Installation selbständig durchführen, ohne eine ausdrückliche Anweisung vom OTA-Master 30 zu erhalten.
  • Die Aktivierung ist ein Prozess, in dem die elektronische Ziel-Steuereinheit die installierte Aktualisierungssoftware aktiviert. Die Aktivierungsphase umfasst nicht nur die Ausführung der Aktivierung, sondern auch eine Reihe einer Steuerung, die sich auf die Aktivierung bezieht, wie z. B. die Beurteilung, ob die Aktivierung ausgeführt werden kann, die Überprüfung der Ergebnisse der Ausführung und so weiter.
  • Die Aktivierung der Aktualisierungssoftware kann von der elektronischen Ziel-Steuereinheit auf der Grundlage einer Aktivierungsanforderung vom OTA-Master 30 durchgeführt werden. Alternativ kann die elektronische Ziel-Steuereinheit, die die Aktualisierungsdaten erhalten hat, die Aktualisierungssoftware nach Abschluss der Installation selbständig aktivieren, ohne eine ausdrückliche Anweisung vom OTA-Master 30 zu erhalten.
  • Es ist zu beachten, dass der Softwareaktualisierungsprozess nacheinander oder parallel für jede der elektronischen Steuereinheiten durchgeführt werden kann.
  • Ferner umfasst der „Softwareaktualisierungsprozess“ in der vorliegenden Spezifikation nicht nur den Prozess der sukzessiven Durchführung sowohl des Herunterladens, der Installation als auch der Aktivierung, sondern auch einen Prozess der Durchführung nur eines Teils aus dem Herunterladen, der Installation und der Aktivierung.
  • Prozess
  • Als Nächstes wird der Prozess, der im Netzwerksystem gemäß der vorliegenden Ausführungsform ausgeführt wird, unter Bezugnahme auf 7 näher beschrieben. 7 ist ein Flussdiagramm, das die Abläufe eines Information-Überschreibungsprozesses zeigt, der von der Verarbeitungsvorrichtung 80, die bei einem Autohändler oder dergleichen installiert ist, und von dem Center 10 ausgeführt wird.
  • Der in 7 gezeigte Information-Überschreibungsprozess wird durchgeführt, wenn eine Änderung bei der Fahrzeugausstattung auftritt, die einen Schlüssel hat, der aus der im Fahrzeug installierten Ausstattung für die Fahrzeug-Authentifizierung verwendet wird, z.B. wenn das Kommunikationsmodul 50 ausgetauscht wird, oder ähnliches.
  • Schritt S701
  • Nach dem Austausch des Kommunikationsmoduls 50 erfasst die Verarbeitungsvorrichtung 80 die ID (Schlüssel-ID/Key-ID) des dem Kommunikationsmodul 50 zugewiesenen Schlüssels (fahrzeugseitiger Schlüssel). Für diese Erfassung kann z.B. ein Mitarbeiter o.ä. des Händlers, der den Austausch des Kommunikationsmoduls 50 durchgeführt hat, die ID des dem Kommunikationsmodul 50 zugeordneten Schlüssels, der durch den Austausch neu in das Fahrzeug eingebaut wurde, in die Verarbeitungsvorrichtung 80 eingeben. Alternativ kann eine Anordnung getroffen werden, bei der die Schlüssel-ID/Key-ID beim ersten Einschalten der Energie (Stromversorgung) nach dem Austausch vom Fahrzeug an die Verarbeitungsvorrichtung 80 übertragen wird. Nachdem die fahrzeugseitige Schlüssel-ID/Key-ID erfasst wurde, geht der Prozess zu Schritt S702 über.
  • Schritt S702
  • Die Verarbeitungsvorrichtung 80 erfasst die ID des Fahrzeugs, dessen Kommunikationsmodul 50 ausgetauscht worden ist. Für die Fahrzeug-ID kann eine Fahrzeugidentifikationsnummer (VIN) verwendet werden, die ein eindeutiger Code einschließlich einer Seriennummer zur Identifizierung jedes Fahrzeugs ist. Diese Erfassung kann von dem Mitarbeiter des Händlers o.ä. durchgeführt werden, der im obigen Schritt S701 die Schlüssel-ID eingegeben hat, indem er die Fahrzeug-ID eingibt. Alternativ kann eine Anordnung getroffen werden, bei der die Fahrzeug-ID beim ersten Einschalten der Energie (Stromversorgung) nach dem Austausch vom Fahrzeug an die Verarbeitungsvorrichtung 80 übertragen wird. Nachdem die ID des Fahrzeugs erfasst wurde, geht der Prozess zu Schritt S703 über.
  • Schritt S703
  • Die Verarbeitungsvorrichtung 80 überträgt die Schlüsselinformationen einschließlich der fahrzeugseitigen Schlüssel-ID und der Fahrzeug-ID, die über das zweite Netzwerk 90 vom Center 10 erfasst wurden. Es ist zu beachten, dass die Schlüsselinformationen auch dem OEM 100, der ein Hersteller von Fertigfahrzeugen ist, zur Verfügung gestellt werden können, um die Informationen mit dem Center 10 zu teilen, zu steuern/verwalten und so weiter. Wenn die fahrzeugseitige Schlüssel-ID und die Fahrzeug-ID an das Center 10 übermittelt werden, schreitet der Prozess mit Schritt S704 fort.
  • Schritt S704
  • Das Center 10 empfängt die fahrzeugseitige Schlüssel ID und die Fahrzeug ID von der Verarbeitungsvorrichtung 80 über das zweite Netzwerk 90. Wenn das Center 10 die fahrzeugseitige Schlüssel-ID und die Fahrzeug-ID empfängt, schreitet der Prozess mit Schritt S705 fort.
  • Schritt S705
  • Das Center 10 identifiziert den centerseitigen Schlüssel, der mit dem fahrzeugseitigen Schlüssel gekoppelt werden soll, basierend auf der von der Verarbeitungsvorrichtung 80 empfangenen fahrzeugseitigen Schlüssel-ID. Diese Identifizierung kann durch Durchsuchen der Schlüsselinformations-Datenbank unter Verwendung der ID des fahrzeugseitigen Schlüssels und durch Extrahieren des mit der ID des fahrzeugseitigen Schlüssels in Zusammenhang stehenden centerseitigen Schlüssels erfolgen. Wenn der centerseitige Schlüssel, der mit dem fahrzeugseitigen Schlüssel gekoppelt werden soll, identifiziert ist, geht der Prozess zu Schritt S706 über.
  • Schritt S706
  • Das Center 10 überschreibt die von der Speichereinheit 16 gesteuerten/verwalteten Fahrzeuginformationen auf der Grundlage des identifizierten centerseitigen Schlüssels und der von der Verarbeitungsvorrichtung 80 empfangenen Fahrzeug-ID. Insbesondere wird der centerseitige Schlüssel zu einer Überprüfung, die in Zusammenhang mit dem Fahrzeug in den in 5 dargestellten individuellen Fahrzeugschlüsselinformationen steht, überschrieben und aktualisiert. Damit ist der Information-Überschreibungsprozess beendet.
  • Vorgänge und Auswirkungen
  • Wenn, wie oben beschrieben, eine Fahrzeugausstattung (Kommunikationsmodul oder dergleichen) im Fahrzeug, die einen für den Authentifizierungsprozess verwendeten Schlüssel hält, ausgetauscht wird, erfasst das Center gemäß der Ausführungsform der vorliegenden Offenbarung die ID des Schlüssels, der der durch den Austausch neu in das Fahrzeug eingebauten Fahrzeugausstattung zugewiesen ist, und die ID des Fahrzeugs, dessen Fahrzeugausstattung ausgetauscht wurde, als schlüsselbezogene Informationen von der Verarbeitungsvorrichtung über ein zweites Netzwerk, das sich von dem ersten Netzwerk unterscheidet, das die Fahrzeug-Authentifizierung ausführt.
  • Auf diese Weise kann eine Aktualisierung auf die neuesten Inhalte der einzelnen Fahrzeugschlüsselinformationen gemacht werden, mit denen der centerseitige Schlüssel und die Fahrzeug-ID zusammenhängen, und zwar auf der Grundlage der schlüsselbezogenen Informationen, die im Voraus von der Verarbeitungsvorrichtung erfasst werden, bevor die Fahrzeug-Authentifizierung über das erste Netzwerk im Softwareaktualisierungsprozess unter Verwendung der OTA-Technologie durchgeführt wird. Der centerseitige Schlüssel wird verwendet, um vom fahrzeugseitigen Schlüssel signierte Authentifizierungssignale zu verifizieren. Damit kann eine Situation umgangen werden, in der das Center das Fahrzeug nicht mit dem neuen Schlüssel der ausgetauschten Fahrzeugausstattung authentifizieren kann und ein Update der Software per OTA nicht durchgeführt werden kann.
  • Nun kann ein OEM-Backoffice-System, das Schlüsselinformationen steuert/verwaltet, als zweites Netzwerk verwendet werden. Die Sicherheit des Schlüssels kann durch die Verwendung des OEM-Backoffice-Systems gewährleistet werden.
  • Obwohl eine Ausführungsform der Technologie gemäß der vorliegenden Offenbarung oben beschrieben wurde, kann die vorliegende Offenbarung zusätzlich zu einem Center als ein Aktualisierungsverfahren, das von einem Center ausgeführt wird, das mit einem Prozessor und einem Speicher versehen ist, als ein Programm, als ein computerlesbares nicht-transitorisches Speichermedium, das das Programm speichert, usw. verstanden werden.
  • Die Technologie gemäß der vorliegenden Offenbarung kann in einem Netzwerksystem zum Aktualisieren von Software einer elektronischen Steuereinheit verwendet werden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2004326689 A [0003]

Claims (6)

  1. Center, das konfiguriert ist, mit einem OTA-Master zu kommunizieren, der konfiguriert ist, eine Softwareaktualisierung einer elektronischen Steuereinheit über ein erstes Netzwerk zu steuern, wobei die elektronische Steuereinheit in einem Fahrzeug installiert ist, wobei das Center einen Prozessor (11) aufweist, der konfiguriert ist, Fahrzeugmanagementinformationen einschließlich Schlüsselinformationen, die für die Authentifizierung des Fahrzeugs verwendet werden, zu speichern; ein Authentifizierungssignal von dem Fahrzeug über das erste Netzwerk zu empfangen, wobei das Authentifizierungssignal unter Verwendung eines eindeutigen Schlüssels signiert ist, der einer in dem Fahrzeug installierten vorbestimmten Ausstattung zugewiesen ist; eine Authentifizierung des Fahrzeugs auf der Grundlage der Fahrzeugmanagementinformationen und des Authentifizierungssignals durchzuführen; und die von dem Prozessor (11) gespeicherten Fahrzeugmanagementinformationen auf der Grundlage der Schlüsselinformationen zu überschreiben, wenn der Prozessor (11) die Schlüsselinformationen von dem Fahrzeug empfängt.
  2. Center nach Anspruch 1, wobei der Prozessor (11) so konfiguriert ist, dass er, wenn der Prozessor (11) die Schlüsselinformationen von dem Fahrzeug über ein zweites Netzwerk empfängt, das sich von dem ersten Netzwerk unterscheidet, die von dem Prozessor (11) gespeicherten Fahrzeugmanagementinformationen auf der Grundlage der Schlüsselinformationen überschreibt.
  3. Center nach Anspruch 1 oder 2, wobei die vorbestimmte Ausstattung ein Kommunikationsmodul ist, das konfiguriert ist, die Kommunikation zwischen dem Center und dem OTA-Master zu vermitteln.
  4. Center nach einem der Ansprüche 1 bis 3, wobei die Schlüsselinformationen Identifizierungsinformationen zur Identifizierung des Schlüssels, der der vorbestimmten Ausstattung zugewiesen ist, und Identifizierungsinformationen zur Identifizierung des Fahrzeugs, in dem die vorbestimmte Ausstattung installiert ist, aufweisen.
  5. Informationsüberschreibungsverfahren, das von einem Computer eines Centers ausgeführt wird, das einen Prozessor (11) und einen Speicher aufweist, wobei das Center so konfiguriert ist, dass es mit einem OTA-Master kommuniziert, der so konfiguriert ist, dass er eine Softwareaktualisierung einer elektronischen Steuereinheit über ein erstes Netzwerk steuert, wobei die elektronische Steuereinheit in einem Fahrzeug installiert ist, wobei das Informationsüberschreibungsverfahren folgende Schritte aufweist: Speichern von Fahrzeugmanagementinformationen einschließlich Schlüsselinformationen, die zur Authentifizierung des Fahrzeugs verwendet werden; Empfangen eines Authentifizierungssignals von dem Fahrzeug über das erste Netzwerk, wobei das Authentifizierungssignal unter Verwendung eines eindeutigen Schlüssels signiert ist, der einer in dem Fahrzeug installierten vorbestimmten Ausstattung zugewiesen ist; Durchführen einer Authentifizierung des Fahrzeugs auf der Grundlage der Fahrzeugmanagementinformationen und des Authentifizierungssignals; und Überschreiben der Fahrzeugmanagementinformationen auf der Grundlage der Schlüsselinformationen, wenn die Schlüsselinformationen vom Fahrzeug empfangen werden.
  6. Nicht-transitorisches Speichermedium, das Befehle speichert, die von einem Computer eines Centers, das einen Prozessor (11) und einen Speicher aufweist, ausführbar sind und die den Computer veranlassen, Funktionen auszuführen, wobei das Center so konfiguriert ist, dass es mit einem OTA-Master kommuniziert, der so konfiguriert ist, dass er die Softwareaktualisierung einer elektronischen Steuereinheit über ein erstes Netzwerk steuert, wobei die elektronische Steuereinheit in einem Fahrzeug installiert ist, wobei die Funktionen aufweisen: Speichern von Fahrzeugmanagementinformationen einschließlich Schlüsselinformationen, die zur Authentifizierung des Fahrzeugs verwendet werden; Empfangen eines Authentifizierungssignals von dem Fahrzeug über das erste Netzwerk, wobei das Authentifizierungssignal unter Verwendung eines eindeutigen Schlüssels signiert ist, der einer in dem Fahrzeug installierten vorbestimmten Ausstattung zugewiesen ist; Durchführen einer Authentifizierung des Fahrzeugs auf der Grundlage der Fahrzeugmanagementinformationen und des Authentifizierungssignals; und Überschreiben der Fahrzeugmanagementinformationen auf der Grundlage der Schlüsselinformationen, wenn die Schlüsselinformationen vom Fahrzeug empfangen werden.
DE102021129124.0A 2021-02-02 2021-11-09 Center, informationsüberschreibungsverfahren und nicht-transitorisches speichermedium Pending DE102021129124A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2021015061A JP2022118493A (ja) 2021-02-02 2021-02-02 センタ、情報書き換え方法、及び情報書き換えプログラム
JP2021-015061 2021-02-02

Publications (1)

Publication Number Publication Date
DE102021129124A1 true DE102021129124A1 (de) 2022-08-04

Family

ID=82403143

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021129124.0A Pending DE102021129124A1 (de) 2021-02-02 2021-11-09 Center, informationsüberschreibungsverfahren und nicht-transitorisches speichermedium

Country Status (4)

Country Link
US (1) US11941126B2 (de)
JP (1) JP2022118493A (de)
CN (1) CN114840228A (de)
DE (1) DE102021129124A1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004326689A (ja) 2003-04-28 2004-11-18 Nissan Motor Co Ltd 車載機器のソフトウェア書き換え方法、テレマティクスシステムおよびテレマティクス装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004326689A (ja) 2003-04-28 2004-11-18 Nissan Motor Co Ltd 車載機器のソフトウェア書き換え方法、テレマティクスシステムおよびテレマティクス装置

Also Published As

Publication number Publication date
JP2022118493A (ja) 2022-08-15
US11941126B2 (en) 2024-03-26
CN114840228A (zh) 2022-08-02
US20220242372A1 (en) 2022-08-04

Similar Documents

Publication Publication Date Title
DE112017006980T5 (de) Steuereinrichtung, Programmaktualisierungsverfahren und Computerprogramm
DE112017005384T5 (de) Fahrzeuggebundenes Vorrichtungsermittlungssystem und Informationssammelvorrichtung
DE112017006978T5 (de) Steuervorrichtungen, Programmaktualisierungsverfahren und Computerprogramm
DE102013108022A1 (de) Verfahren zum Aktivieren des Entwicklungsmodus eines gesicherten elektronischen Steuergeräts
DE102008021030B4 (de) Verfahren zum Betreiben eines Fahrzeugs sowie entsprechende Vorrichtung und entsprechendes Fahrzeug
DE112014005412T5 (de) Programmaktualisierungssystem und Programmaktualisierungsverfahren
DE102016106802A1 (de) Fahrzeugsteuerungsspeichermethoden und -systeme
DE102013108020A1 (de) Authentifizierungsschema zum Aktivieren eines Spezial-Privileg-Modus in einem gesicherten elektronischen Steuergerät
DE112012003795T5 (de) Fahrzeugnetwerksystem und Fahrzeug-Informationsverarbeitungsverfahren
EP1421460B1 (de) Verfahren zur bereitstellung von software zur verwendung durch ein steuergerät eines fahrzeugs
DE112014004313T5 (de) Überschreiboperation-Erkennungssystem, Überschreiboperation-Erkennungseinrichtung und Informationsverarbeitungseinrichtung
DE112012005973T5 (de) Informationsverarbeitungsvorrichtung, elektronische Steuereinheit, Informationsverarbeitungsverfahren und Programm
DE112018001894T5 (de) Steuervorrichtung, Übertragungsverfahren und Computerprogramm
DE102020104551A1 (de) Sicherung und wiederherstellung einer fahrzeugsteuerungskonfiguration unter verwendung von datenschnappschüssen
DE102019135012A1 (de) Auf richtlinie und token basierender autorisierungsrahmen für konnektivität
DE112018001985T5 (de) Relais-Einrichtung, Transferverfahren und Computerprogramm
DE102019100114A1 (de) Fahrzeugsteuervorrichtung, Programmupdateverfahren und Programm für Programmupdate speicherndes, computerlesbares, nichtflüchtiges Speichermedium
DE112020001126T5 (de) Fahrzeugsteuergerät
DE102022110251A1 (de) Ota-master, center, system, verfahren, nicht-transitorisches speichermedium und fahrzeug
DE102022104321A1 (de) Center, aktualisierungsmanagementverfahren und nicht-transitorisches speichermedium
DE102022106827A1 (de) Zentrum, verteilungssteuerverfahren und nicht-transitorisches speichermedium
DE102022113922A1 (de) Ota-master, system, verfahren, nicht-transitorisches speichermedium und fahrzeug
DE102022109778A1 (de) Ota-master, verfahren und nicht-transitorisches speichermedium
DE112020001385T5 (de) Elektronische Steuerungsvorrichtung und Verfahren zum Einstellen von Steuerungsdaten
DE102022106659A1 (de) Ota-master, aktualisierungssteuerungsverfahren und nicht-transitorisches speichermedium

Legal Events

Date Code Title Description
R012 Request for examination validly filed