ES2209349T3 - Procedimiento de verificacion de la coherencia de informaciones telecargadas en un calculador. - Google Patents

Procedimiento de verificacion de la coherencia de informaciones telecargadas en un calculador.

Info

Publication number
ES2209349T3
ES2209349T3 ES99400426T ES99400426T ES2209349T3 ES 2209349 T3 ES2209349 T3 ES 2209349T3 ES 99400426 T ES99400426 T ES 99400426T ES 99400426 T ES99400426 T ES 99400426T ES 2209349 T3 ES2209349 T3 ES 2209349T3
Authority
ES
Spain
Prior art keywords
information
calculator
validation
word
procedure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES99400426T
Other languages
English (en)
Inventor
Yves Loubeyre
Eric Abadie
Pierre Vaillard
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Automobiles Peugeot SA
Automobiles Citroen SA
Renault SAS
Original Assignee
Automobiles Peugeot SA
Automobiles Citroen SA
Renault SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Automobiles Peugeot SA, Automobiles Citroen SA, Renault SAS filed Critical Automobiles Peugeot SA
Application granted granted Critical
Publication of ES2209349T3 publication Critical patent/ES2209349T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/01Fittings or systems for preventing or indicating unauthorised use or theft of vehicles operating on vehicle systems or fittings, e.g. on doors, seats or windscreens
    • B60R25/04Fittings or systems for preventing or indicating unauthorised use or theft of vehicles operating on vehicle systems or fittings, e.g. on doors, seats or windscreens operating on the propulsion system, e.g. engine or drive motor
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1408Protection against unauthorised use of memory or access to memory by using cryptography

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Mechanical Engineering (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)
  • Charge And Discharge Circuits For Batteries Or The Like (AREA)

Abstract

ESTE PROCEDIMIENTO DE VERIFICACION DE LA COHERENCIA DE INFORMACIONES (7) TELECARGADAS POR UNA HERRAMIENTA DE TELECARGA, EN UN ORDENADOR (2) DE CONTROL DEL FUNCIONAMIENTO DE UN ELEMENTO FUNCIONAL DE UN VEHICULO A MOTOR, SE CARACTERIZA PORQUE COMPRENDE LAS SIGUIENTES ETAPAS: - CALCULO POR EL ORDENADOR (2) DE UNA PALABRA DE VALIDACION DE LAS INFORMACIONES (7) A PARTIR DE ELLA, - COMPARACION POR EL ORDENADOR (2) DE ESTA PALABRA DE VALIDACION CALCULADA CON UNA PALABRA DE VALIDACION CORRESPONDIENTE (8) ALMACENADA EN ESTE ORDENADOR Y NO ACCESIBLE A LA HERRAMIENTA DE TELECARGA Y - VALIDACION O INVALIDACION POR EL ORDENADOR (2) DE LAS INFORMACIONES TELECARGADAS (7) EN CASO DE CONCORDANCIA O DE DISCORDANCIA ENTRE LAS PALABRAS DE VALIDACION CALCULADA Y ALMACENADA.

Description

Procedimiento de verificación de la coherencia de informaciones telecargadas en un calculador.
La presente invención se refiere a un procedimiento de verificación de la coherencia de informaciones telecargadas por una herramienta de telecarga en un calculador de control del funcionamiento de un órgano funcional de vehículo automóvil.
Se conocen ya en el estado de la técnica, unos calculadores de pilotaje de este tipo que comprenden una unidad de microprocesador asociada a unos medios de memorización de datos.
Los progresos de la tecnología informática han permitido, por una utilización de circuitos electrónicos cada vez más perfeccionados, aportar mucha más flexibilidad a la realización de los sistemas informáticos, en particular embarcados a bordo de los vehículos automóviles.
Sin embargo, la creciente introducción de programas en los equipos, se acompaña de nuevos problemas ligados a la naturaleza específica del producto lógico y a su elaboración.
La flexibilidad de modificación es tal que absorbe la mayor parte de las adaptaciones del sistema, pero esta flexibilidad sólo es aparente puesto que una modificación menor de código puede tener repercusiones sobre el conjunto de la lógica.
Los problemas de mantenimiento de las lógicas son de un orden diferente de los del material.
En efecto, una lógica no se avería, pero es preciso para corregirla o modificarla, el mismo nivel de competencia que para elaborarla.
Se han desarrollado por tanto en el estado de la técnica diferentes procedimientos y sistemas que permiten telecargar unas informaciones por ejemplo de puesta al día en dichos calculadores.
Estas operaciones de telecarga son realizadas por unas herramientas de telecarga que están adaptadas para ser conectadas por ejemplo a una toma cualquiera del vehículo y para tener acceso al calculador y a sus medios de memorización de datos a fin por ejemplo de cargar en éstos nuevas informaciones.
Sin embargo, la estructura actual de los calculadores y los procedimientos de acceso a éstos, son tales que éstos están protegidos eficazmente contra las modificaciones de datos no autorizadas.
Se han desarrollado entonces en el estado de la técnica, un cierto número de procedimientos de control del acceso a estos calculadores.
Un ejemplo de un procedimiento de este tipo podrá ser encontrado en el documento FR-A-2 719 924, (preámbulo de la reivindicación 1) y el documento FR-A-2 719 919 describe una estructura del calculador de este tipo.
Por otra parte, se plantea también el problema de la coherencia de las informaciones telecargadas en el calculador.
En efecto, se ha propuesto hasta la presente, para verificar esta coherencia, calcular una palabra de validación a partir de las informaciones a telecargar y añadir esta palabra de validación a las informaciones a telecargar en el calculador, por la herramienta de telecarga.
A la recepción de este mensaje que comprende estas informaciones y esta palabra de validación, el calculador procede a su propio cálculo de una palabra de validación a partir de las informaciones y compara esta palabra de validación calculada por el mismo con la palabra de validación contenida en el mensaje a fin de verificar la coherencia de las informaciones.
Sin embargo, un procedimiento de este tipo no permite garantizar que las informaciones telecargadas no han sido manipuladas puesto que el calculador solamente verifica la concordancia entre una palabra de validación calculada sobre las informaciones y una palabra de validación adjunta a estas informaciones y por tanto accesible.
El objetivo de la invención es por tanto resolver estos problemas.
A este fin, la invención tiene por objeto un procedimiento de verificación de la coherencia de informaciones telecargadas por una herramienta de telecarga, en un calculador de control del funcionamiento de un órgano funcional de un vehículo automóvil, caracterizado porque comprende las etapas siguientes:
- cálculo por el calculador de una palabra de validación de las informaciones a partir de éstas,
- comparación por el calculador de esta palabra de validación calculada con una palabra de validación correspondiente, almacenada en este calculador, y no accesible a la herramienta de telecarga, y
- validación o invalidación por el calculador de las informaciones telecargadas en caso de concordancia o de discordancia entre las palabras de validación calculada y almacenada.
La invención se comprenderá mejor con la ayuda de la descripción que sigue, dada únicamente a título de ejemplo y con referencia a los planos anexos, en los cuales:
- la Fig. 1 representa un esquema sinóptico que ilustra la conexión de una herramienta de telecarga a un calculador;
- la Fig. 2 representa un esquema sinóptico que ilustra un procedimiento de verificación del estado de la técnica; y
- la Fig. 3 representa un esquema sinóptico que ilustra un procedimiento de verificación según la invención.
Se conocen en efecto, en el estado de la técnica, unos sistemas de telecarga de informaciones por una herramienta de telecarga designada por la referencia general 1 en la figura 1, en un calculador designado por la referencia general 2 en esta figura, de control del funcionamiento de un órgano funcional de un vehículo automóvil.
Unos medios de conexión designados por la referencia general 3 son entonces utilizados para conectar estos dos órganos uno al otro, pudiendo estos medios de conexión por ejemplo comprender unos conectores complementarios y una parte de haz eléctrico del vehículo.
En el estado de la técnica, y como está representado en la figura 2, la herramienta de telecarga emite con destino al calculador, un mensaje designado por la referencia general 4.
Este mensaje comprende unas informaciones a telecargar en el calculador 2, estando estas informaciones designadas por la referencia general 5, y una palabra de validación 6 que es calculada por ejemplo por la herramienta de telecarga u otro, a partir de las informaciones 5.
Cuando el calculador 2 desea verificar la coherencia de las informaciones telecargadas, procede a un cálculo de una palabra de validación sobre las informaciones 5 telecargadas y compara esta palabra calculada con la palabra 6 trasmitida en el mensaje, a fin de validar o de invalidar las informaciones 5 en caso de concordancia o de discordancia entre la palabra calculada sobre las informaciones 5 y esta palabra de validación 6 del mensaje.
Se concibe sin embargo que en una estructura de este tipo de mensaje puede ser fácilmente manipulada.
Para resolver estos problemas y según el procedimiento según la invención, tal como se ha ilustrado en la figura 3, la herramienta de telecarga emite en dirección al calculador 2, únicamente las informaciones a telecargar, estando estas informaciones designadas por la referencia general 7 en esta figura 3.
El calculador 2 procede entonces al cálculo de una palabra de validación de las informaciones 7 a partir de éstas.
A continuación, este calculador 2 compara esta palabra de validación calculada sobre la base de las informaciones 7, con una palabra de validación 8 almacenada por ejemplo previamente en este calculador, y no accesible a la herramienta de telecarga para validar o invalidar las informaciones en caso de concordancia o de discordancia entre estas palabras.
Es así, por ejemplo, que esta palabra de validación 8 puede ser almacenada en alguna parte en memoria no volátil del calculador por ejemplo cuando tiene lugar la fabricación o la activación de éste.
Se concibe entonces que dicho procedimiento permite verificar de forma relativamente segura la coherencia de las informaciones telecargadas en el calculador.
En efecto, siendo la palabra de validación 8 almacenada en el calculador inaccesible a la herramienta de telecarga, los riesgos de manipulación del calculador por carga en éste de informaciones fraudulentas, son pequeños en razón del hecho de que es extremadamente difícil e incluso imposible generar unas informaciones con una palabra de validación correcta mientras que ésta y su procedimiento de cálculo a partir de las informaciones son desconocidos por la herramienta de telecarga.
Además, unos datos de relleno pueden también ser integrados en las informaciones 7 para mejorar aún la seguridad de la verificación.
Desde luego queda entendido que diferentes algoritmos de cálculo pueden ser utilizados para el calculador para obtener la palabra de validación de las informaciones a partir de éstas, de forma clásica.

Claims (2)

1. Procedimiento de verificación de la coherencia de informaciones (7) telecargadas por una herramienta de telecarga (1), en un calculador (2) de control del funcionamiento de un órgano funcional de un vehículo automóvil, caracterizado porque comprende las etapas siguientes:
- calculo por el calculador (2) de una palabra de validación de las informaciones (7) a partir de éstas,
- comparación por el calculador (2) de esta palabra de validación calculada con una palabra de validación correspondiente (8), almacenada en este calculador, y no accesible para la herramienta de telecarga (1),
- validación o invalidación por el calculador (2) de las informaciones telecargadas en caso de concordancia o de discordancia entre las palabras de validación calculada y almacenada.
2. Procedimiento según la reivindicación 1, caracterizado porque las informaciones (7) comprenden unos datos de relleno.
ES99400426T 1998-02-26 1999-02-22 Procedimiento de verificacion de la coherencia de informaciones telecargadas en un calculador. Expired - Lifetime ES2209349T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR9802358 1998-02-26
FR9802358A FR2775372B1 (fr) 1998-02-26 1998-02-26 Procede de verification de la coherence d'informations telechargees dans un calculateur

Publications (1)

Publication Number Publication Date
ES2209349T3 true ES2209349T3 (es) 2004-06-16

Family

ID=9523416

Family Applications (1)

Application Number Title Priority Date Filing Date
ES99400426T Expired - Lifetime ES2209349T3 (es) 1998-02-26 1999-02-22 Procedimiento de verificacion de la coherencia de informaciones telecargadas en un calculador.

Country Status (4)

Country Link
EP (1) EP0939012B1 (es)
DE (1) DE69912494T2 (es)
ES (1) ES2209349T3 (es)
FR (1) FR2775372B1 (es)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10008974B4 (de) * 2000-02-25 2005-12-29 Bayerische Motoren Werke Ag Signaturverfahren
DE10043499A1 (de) 2000-09-01 2002-03-14 Bosch Gmbh Robert Verfahren zur Datenübertragung
DE10131576A1 (de) * 2001-07-02 2003-01-16 Bosch Gmbh Robert Verfahren zum Schutz eines Mikrorechner-Systems gegen Manipulation seines Programms
DE10140721A1 (de) * 2001-08-27 2003-03-20 Bayerische Motoren Werke Ag Verfahren zur Bereitstellung von Software zur Verwendung durch ein Steuergerät eines Fahrzeugs

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2205667B (en) * 1987-06-12 1991-11-06 Ncr Co Method of controlling the operation of security modules
FR2647924B1 (fr) * 1989-06-06 1994-06-17 Bull Cp8 Procede pour verifier l'integrite d'un logiciel ou de donnees, et systeme pour la mise en oeuvre de ce procede
DE4333474C2 (de) * 1993-08-20 1995-09-21 Siemens Ag Wegfahrsperre für ein Kraftfahrzeug
FR2719924B1 (fr) * 1994-05-11 1996-08-14 Peugeot Procédé de déverrouillage de l'accès d'un outil de téléchargement d'un fichier, à un calculateur.
FR2719919B1 (fr) * 1994-05-11 1996-08-02 Peugeot Calculateur de pilotage du fonctionnement d'au moins un organe fonctionnel d'un véhicule automobile.

Also Published As

Publication number Publication date
DE69912494T2 (de) 2004-09-02
EP0939012B1 (fr) 2003-11-05
EP0939012A1 (fr) 1999-09-01
FR2775372A1 (fr) 1999-08-27
DE69912494D1 (de) 2003-12-11
FR2775372B1 (fr) 2001-10-19

Similar Documents

Publication Publication Date Title
ES2209349T3 (es) Procedimiento de verificacion de la coherencia de informaciones telecargadas en un calculador.
CN109923518B (zh) 用于安全关键系统的软件更新机制
US9558342B2 (en) Secured repair data package
US9021246B2 (en) Method to replace bootloader public key
US20210397441A1 (en) Firmware updating system and method
CN105122214A (zh) 对非易失性存储器中损坏的系统数据的修复
ES2199808T3 (es) Sistema de direccion y de freno para un vehiculo automovil.
US20150220456A1 (en) Method for protecting a program code, corresponding system and processor
US7748043B2 (en) Method for authenticating, in particular, software components that can be loaded into a control unit of a motor vehicle
US20140074316A1 (en) Electronic control unit of vehicle
ES2786635T3 (es) Método para transmitir y verificar la validez de los datos de configuración en un sistema electrónico, sistema electrónico asociado y producto de programa informático
US20070061024A1 (en) Device for programming a controller
US11296894B2 (en) Storage medium including computing capability for authentication
KR20110063245A (ko) 차량의 소프트웨어 플랫폼 검증 방법 및 그 시스템
DE10359487A1 (de) Steuergerät mit außer Funktion setzbarer Schnittstelle
ES2227039T3 (es) Sistema de mando para un miembro de ajuste enu vehiculo automovil.
ES2230338T3 (es) Procedimiento para la fabricacion de un aparato electronico.
JP2001242917A (ja) 車両内の駆動シーケンスの制御方法及びその装置,メモリ手段
ES2238311T3 (es) Sistema de bajada de datos en varios ordenadores a bordo de un vehiculo automovil.
JP2007290569A (ja) 電子制御システム
CN112100580A (zh) 一种小内存控制器的验签方法、装置及介质
WO2023171443A1 (ja) 電子制御装置及び認証方法
CN109697172A (zh) 用于暂存存储内容的存储器装置和方法
ES2713448T3 (es) Procedimiento para verificar un estado de funcionamiento seguro de un ordenador
JP2009078643A (ja) ネットワーク方式連動システムの現場機器及び現場機器のアドレス設定方法