本出願におけるいくつかの要素が最初に説明される。
1.アップグレードの観点から、車載デバイスは、以下の1~5のサブタイプに分類され得る。
(1)独立した車載デバイス:独立したデバイスのアップグレードは、他の車載デバイスのアップグレードの完了に依存せず、別の車載デバイスとともにアップグレードされる必要がない。
(2)依存車載デバイス:依存車載デバイスのアップグレードは、少なくとも1つの他の車載デバイスのアップグレードの完了に依存する必要がある。ここでの少なくとも1つの他の車載デバイスは、依存車載デバイスのアップグレードが依存するデバイスである。依存車載デバイスのアップグレードが依存するデバイスは、本実施形態では被依存車載デバイスと呼ばれる。言い換えれば、被依存車載デバイスのアップグレードが完了した後にのみ依存車載デバイスはアップグレードされ得る。例えば、車載デバイスAのアップグレードは、車載デバイスBおよび車載デバイスCのアップグレードの完了に依存する必要がある。車載デバイスBと車載デバイスCとの両方は、車載デバイスAの被依存デバイスである。
(3)被依存車載デバイス:車載デバイスAがアップグレードされた後にのみ別の車載デバイスがアップグレードされ得る場合、車載デバイスAは被依存デバイスである。
(4)同種車載デバイス:車載デバイスAに関して、車両が、車載デバイスAと同じタイプの少なくとも1つの他の車載デバイスBをさらに含み、車載デバイスAと少なくとも1つの車載デバイスBとが同時にアップグレードされる必要がある場合、車載デバイスAと少なくとも1つの車載デバイスBとは互いに同種車載デバイスである。例えば、車両には複数のマイクロフォンが配置され、複数のマイクロフォンは互いに同種車載デバイスである。
(5)異種デバイス:車載デバイスAに関して、車両が、車載デバイスAとは異なるタイプの少なくとも1つの他の車載デバイスBをさらに含む場合、車載デバイスAと少なくとも1つの車載デバイスBとは同時にアップグレードされる必要がある。この場合、車載デバイスAと少なくとも1つの車載デバイスBとは互いに異種の装置である。
車載デバイスのタイプは、前述の1~5のサブタイプのうちの1つを含み得、車載デバイスのタイプは、前述の2~5のサブタイプのうちの少なくとも2つをさらに含み得ることが理解されよう。例えば、車載デバイスは、依存車載デバイスかつ同種車載デバイスであるか、または依存車載デバイスかつ異種デバイスであるか、または同種車載デバイスかつ異種デバイスであるか、または依存車載デバイス、同種車載デバイス、かつ異種デバイスであるか、または被依存デバイスかつ依存デバイスである。
2.アップグレードファイルは、ファイルヘッダおよびファイルコンテンツを含み、ファイルヘッダは、以下のうちの少なくとも1つ、すなわち、デバイス識別子、バージョン番号、およびファイルコンテンツのサイズのうちの少なくとも1つを少なくとも含む。
図1は、一実施形態によるシステムのアーキテクチャ図である。図1を参照されたい。システムアーキテクチャは、サーバ、車両、および車載デバイスを含む。車両のオーバ・ザ・エア(over the air、略してOTA)オーケストレータ(orchestrator)は、車載デバイスのアップグレードを制御するために使用される。OTAオーケストレータは、電子制御ユニット(electronic control unit、略してECU)、ヒューマンマシンインターフェース(human machine interface、略してHMI)、およびBMS(battery management system、略してBMS)を含み得る。
一方法では、サーバはアップグレード管理ノードおよびキー管理ノードを含み得、車載デバイスは車両に配置される。
以下では、特定の実施形態を使用して、本出願における車載デバイスアップグレード方法について説明する。本出願の本実施形態では、対称キー技術が使用され、すなわち、アップグレードファイルの暗号文を取得するためにアップグレードファイルを暗号化するためのキーは、暗号文を復号化するためのキーと同じである。
図2Aおよび図2Bは、本出願の一実施形態による車載デバイスアップグレード方法の相互作用図1である。本実施形態は、任意の依存デバイスのアップグレード方法に関する。本実施形態では、任意の依存デバイスは第1の車載デバイスと呼ばれる。図2Aおよび図2Bを参照されたい。本実施形態の方法は、以下のステップを含む。
ステップS201:サーバは、第1の暗号文および第2の暗号文を生成し、第1の暗号文は、第1の車載デバイスの第1のアップグレードファイルを暗号化することによって取得され、第2の暗号文は、情報の第1の部分を暗号化することによって取得され、情報の第1の部分は、第2の車載デバイスの第2のアップグレードファイルおよび第1のサブキーを含み、第1のサブキーは、第1の暗号文を復号化するための第1のキーを構築するために使用される。
本実施形態では、第1の車載デバイスは依存デバイスであり、第2の車載デバイスは被依存デバイスであり、第1の車載デバイスのアップグレードは、少なくとも第2の車載デバイスのアップグレードの完了に依存する。車載デバイスのタイプは複数のサブタイプを含み得るため、第1の車載デバイスは被依存デバイスでもあり得、第2の車載デバイスは依存デバイスでもあり得ることが理解されよう。第1の車載デバイスおよび第2の車載デバイスは、車両上のアップグレードされるべき車載デバイスのうちの車載デバイスである。
以下では、サーバによって第1の暗号文および第2の暗号文を生成するための方法について説明する。
第1の車載デバイスの第1のアップグレードファイルを取得した後、サーバは、第1のアップグレードファイルを暗号化するために使用される第1のキーを生成する。第1のアップグレードファイルは図3に示されているものであり得る。図3を参照されたい。第1のアップグレードファイルは、ファイルヘッダおよびファイルコンテンツを含む。次に、第1のキーは、M個のサブキーに分割され、Mは、1と、第1の車載デバイスのアップグレードが依存する車載デバイスの数とを加算することによって取得される値であり、すなわち、第1の車載デバイスのアップグレードは、M-1個の車載デバイスのアップグレードの完了に依存し、M個のサブキーは、第1のサブキーを含む。例えば、車載デバイス1が車載デバイス2および車載デバイス3のアップグレードの完了に依存する場合、車載デバイス1のアップグレードファイルの第1のキーは、3つのサブキーに分割される。別の例では、車載デバイス1が、車載デバイス2、車載デバイス3、および車載デバイス4のアップグレードの完了に依存する場合、車載デバイス1のアップグレードファイルの第1のキーは、4つのサブキーに分割される。M個のサブキーのうちのM-1個のサブキーは、第1の車載デバイスのアップグレードが依存するM-1個の他の車載デバイスのアップグレードファイルの暗号文を生成するためにそれぞれ使用され、M-1個のサブキー以外のM個のサブキーのうちの第2のサブキーは、サーバに記憶される。サーバがアップグレード管理ノードおよびキー管理ノードを含む場合、第2のサブキーはキー管理ノードに記憶される。
例えば、第1の車載デバイスのアップグレードは、4つの車載デバイスのアップグレードの完了に依存する。この場合、第1のキーは5つのサブキーに分割され、第2のサブキーはサーバに記憶され、第2のサブキー以外の4つのサブキーは、1つの車載デバイスのアップグレードが依存する4つの車載デバイスのアップグレードファイルの暗号文を生成するためにそれぞれ使用される。
第2の車載デバイスは、第1の車載デバイスのアップグレードが依存するM-1個の他の車載デバイスのうちの1つであり、M-1個のサブキーは第1のサブキーを含み、第1のサブキーは、第2の車載デバイスの第2のアップグレードファイルの第2の暗号文を生成するために使用される。以下では、サーバが第1のサブキーを使用して第2の暗号文を生成するために使用されることについて説明する。
第2の車載デバイスの第2のアップグレードファイルを取得した後、サーバは、第2の暗号文を生成する。第2のアップグレードファイルも図3に示されている。
サーバは、第2の暗号文を生成する前に情報の第1の部分を生成する。情報の第1の部分は、第2の車載デバイスの第2のアップグレードファイルと、M個のサブキーのうちの第1のサブキーとを含む。情報の第1の部分は、第1の車載デバイスの第1の識別子をさらに含み、第1の識別子は第1のサブキーに関連付けられ、第1の識別子および第1のサブキーは、信頼キーサブユニットと呼ばれ得る。他の依存車載デバイスのアップグレードが第2の車載デバイスのアップグレードの完了に依存する必要がある場合、他の依存車載デバイスの各々に関して、情報の第1の部分は、他の依存車載デバイスの各々のアップグレードファイルの暗号文を復号化するためのキーを構築するために使用されるサブキーと、サブキーに関連付けられた他の依存車載デバイスの各々の識別子とをさらに含むことが理解されよう。サブキー、およびサブキーに関連付けられた他の依存車載デバイスの各々の識別子も信頼キーサブユニットである。言い換えれば、N個の依存車載デバイスのアップグレードが、第2の車載デバイスのアップグレードの完了に依存する必要がある場合、情報の第1の部分は、N個の信頼キーユニットを含む。一方法では、N個の信頼キーユニットは、第2のアップグレードファイルのファイルコンテンツの末尾に隣接してもよい。
図4は、N個の信頼キーユニットの概略図である。図4を参照されたい。アップグレードが第2の車載デバイスのアップグレードの完了に依存する依存車載デバイスの数は、依存車載デバイス1、依存車載デバイス2、および依存車載デバイス3の3つであり、N=3である。依存車載デバイス1のアップグレードファイルの暗号文を復号化するために使用される第1のキーは、サブキー11、サブキー12、サブキー13、およびサブキー14の4つの部分に分割される。依存車載デバイス2のアップグレードファイルの暗号文を復号化するために使用される第1のキーは、サブキー21およびサブキー22の2つの部分に分割される。依存車載デバイス3のアップグレードファイルの暗号文を復号化するために使用される第1のキーは、サブキー31、サブキー32、およびサブキー33の3つの部分に分割される。各信頼キーユニットは、アップグレードが第2の車載デバイスのアップグレードの完了に依存する依存車載デバイスの識別子と、分割によって取得された複数のサブキーのうちの1つとを含む。
任意選択で、情報の第1の部分は指示情報をさらに含んでもよく、指示情報は、アップグレードが第2の車載デバイスのアップグレードの完了に依存する依存車載デバイスの数Nを示す。一方法では、指示情報は、第2のアップグレードファイルのファイルコンテンツの末尾に隣接し、N個の信頼キーユニットは、指示情報に隣接する。
情報の第1の部分が指示情報を含まないとき、N個の信頼キーユニットは、信頼キーコンテンツと呼ばれ得る。情報の第1の部分が指示情報を含むとき、N個の信頼キーユニットおよび指示情報は、信頼キーコンテンツと呼ばれ得る。
任意選択で、情報の第1の部分は、第2の車載デバイスのタイプ識別子をさらに含んでもよい。第2の車載デバイスのタイプが複数のサブタイプを含むとき、第2の車載デバイスのタイプ識別子は、複数のサブタイプのうちで相対的に高い優先度を有するサブタイプの識別子である。一方法では、依存デバイスのサブタイプの優先度は、異種デバイスのサブタイプの優先度よりも高く、異種デバイスのサブタイプの優先度は、同種デバイスのサブタイプの優先度よりも高く、同種デバイスのサブタイプの優先度は、被依存デバイスのサブタイプの優先度よりも高い。任意選択で、第2の車載デバイスのタイプ識別子は、新しいファイルヘッダを取得するために、第2のアップグレードファイルのヘッダに追加されてもよい。
任意選択で、第2のアップグレードファイルのファイルコンテンツの完全性を保証するために、情報の第1の部分は、第1のメッセージ認証コード(message authentication code、略してMAC)をさらに含んでもよい。一方法では、第1のメッセージ認証コードは、第2のアップグレードファイルのファイルコンテンツおよび信頼キーコンテンツのハッシュ値であり得る。別の方法では、第1のメッセージ認証コードはまた、第1のコンテンツおよび第2のコンテンツのハッシュ値であり得、第1のコンテンツは、暗号化された第2のアップグレードファイルのファイルコンテンツであり、第2のコンテンツは、暗号化された信頼キーのコンテンツである。さらに別の方法では、第1のメッセージ認証コードはさらに、第3のコンテンツのハッシュ値であり得、第3のコンテンツは、第2のアップグレードファイルのファイルコンテンツおよび信頼キーコンテンツが暗号化された後に取得されるコンテンツである。
図5は、本出願の一実施形態による、アップグレードファイルの暗号文を生成するために使用される情報の第1の部分に含まれるコンテンツの概略図である。図5を参照されたい。情報の第1の部分は、第2の車載デバイスのタイプ識別子と、第2のアップグレードファイルのファイルヘッダと、第2のアップグレードファイルのファイルコンテンツと、命令情報と、N個の信頼キーユニットとを含む。タイプ識別子は、ファイルヘッダとファイルコンテンツとの間に配置され、指示情報は、第2のアップグレードファイルのファイルコンテンツの末尾に隣接し、N個の信頼キーユニットは、指示情報に隣接する。
図6は、本出願の一実施形態による、アップグレードファイルの暗号文を生成するために使用される情報の第1の部分に含まれるコンテンツの別の概略図である。図6を参照されたい。情報の第1の部分は、第2の車載デバイスのタイプ識別子と、第2のアップグレードファイルのファイルヘッダと、第2のアップグレードファイルのファイルコンテンツと、指示情報と、N個の信頼キーユニットと、第1のメッセージ認証コードとを含む。タイプ識別子は、ファイルヘッダとファイルコンテンツとの間に配置され、第1のメッセージ認証コードは、第2のアップグレードファイルのファイルコンテンツの末尾に隣接し、指示情報は、第1のメッセージ認証コードに隣接し、N個の信頼キーユニットは、指示情報に隣接する。
図7は、本出願の一実施形態による、アップグレードファイルの暗号文を生成するために使用される情報の第1の部分に含まれるコンテンツのさらに別の概略図である。図7を参照されたい。情報の第1の部分は、第2の車載デバイスのタイプ識別子と、第2のアップグレードファイルのファイルヘッダと、第2のアップグレードファイルのファイルコンテンツと、指示情報と、N個の信頼キーユニットと、第1のメッセージ認証コードとを含む。タイプ識別子は、ファイルヘッダとファイルコンテンツとの間に配置され、指示情報は、第2のアップグレードファイルのファイルコンテンツの末尾に隣接し、N個の信頼キーユニットは、指示情報に隣接し、第1のメッセージ認証コードは、N個の信頼キーユニットに隣接する。
情報の第1の部分を取得した後、サーバは、情報の第1の部分に基づいて第2の暗号文を生成する。
第1の実施態様では、サーバが情報の第1の部分に基づいて第2の暗号文を生成することは、以下のa1~a3を含む。
a1:サーバは、第1のコンテンツを取得するために第2のキーを使用して第2のアップグレードファイルのファイルコンテンツを暗号化し、第2のキーはサーバによってランダムに選択される。
a2:サーバは、第2のコンテンツを取得するために、第2のキーを使用して信頼キーコンテンツを暗号化する。
a3:サーバは、第1のコンテンツ、第2のコンテンツ、および新しいファイルヘッダに基づいて第2の暗号文を取得する。すなわち、第2の暗号文は、第1のコンテンツ、第2のコンテンツ、および新しいファイルヘッダを含む。
この実施態様で第2の暗号文を取得する効率は高い。
第2の実施態様では、サーバが情報の第1の部分に基づいて第2の暗号文を生成することは、以下のb1およびb2を含む。
b1:サーバは、第3のコンテンツを取得するために、第2のキーを使用して第2のアップグレードファイルのファイルコンテンツおよび信頼キーコンテンツを暗号化する。
b2:サーバは、第3のコンテンツおよび新しいファイルヘッダに基づいて第2の暗号文を取得する。すなわち、第2の暗号文は、第3のコンテンツおよび新しいファイルヘッダを含む。
この実施態様で第2の暗号文を取得する効率は高い。
第3の実施態様では、サーバが情報の第1の部分に基づいて第2の暗号文を生成することは、以下のc1~c4を含む。
c1:サーバは、第1のコンテンツを取得するために、第2のキーを使用して第2のアップグレードファイルのファイルコンテンツを暗号化する。
c2:サーバは、第2のコンテンツを取得するために、第2のキーを使用して信頼キーコンテンツを暗号化する。
c3:サーバは、第4のコンテンツを取得するために第3のキーを使用して第1のメッセージ認証コードを暗号化し、第2のキーと第3のキーとは同じであっても同じでなくてもよく、第3のキーはまた、ランダムに選択されてもよい。
c4:サーバは、第1のコンテンツ、第2のコンテンツ、第4のコンテンツ、および新しいファイルヘッダに基づいて第2の暗号文を取得する。すなわち、第2の暗号文は、第1のコンテンツ、第2のコンテンツ、第4のコンテンツ、および新しいファイルヘッダを含む。
この実施態様は、第2のアップグレードファイルの完全性を保証し得る。
第4の実施態様では、サーバが情報の第1の部分に基づいて第2の暗号文を生成することは、以下のd1~d3を含む。
d1:サーバは、第3のコンテンツを取得するために、第2のキーを使用して第2のアップグレードファイルのファイルコンテンツおよび信頼キーコンテンツを暗号化する。
d2:サーバは、第4のコンテンツを取得するために、第3のキーを使用して第1のメッセージ認証コードを暗号化する。
d3:サーバは、第3のコンテンツ、第4のコンテンツ、および新しいファイルヘッダに基づいて第2の暗号文を取得する。すなわち、第2の暗号文は、第3のコンテンツ、第4のコンテンツ、および新しいファイルヘッダを含む。
この実施態様は、第2のアップグレードファイルの完全性を保証し得る。
第1の暗号文の生成に関して、第1の車載デバイスが被依存車載デバイスではなく依存車載デバイスである場合、サーバは、情報の第2の部分に基づいて第1の暗号文を生成する。情報の第2の部分は、第1の車載デバイスの第1のアップグレードファイルを含む。
任意選択で、情報の第2の部分は、第1の車載デバイスのタイプ識別子をさらに含む。第1の車載デバイスのタイプが複数のサブタイプを含むとき、第1の車載デバイスのタイプ識別子は、複数のサブタイプのうちで相対的に高い優先度を有するサブタイプの識別子である。一方法では、依存デバイスのサブタイプの優先度は、異種デバイスのサブタイプの優先度よりも高く、異種デバイスのサブタイプの優先度は、同種デバイスのサブタイプの優先度よりも高く、同種デバイスのサブタイプの優先度は、被依存デバイスのサブタイプの優先度よりも高い。任意選択で、第1の車載デバイスのタイプ識別子は、新しいファイルヘッダを取得するために、第1のアップグレードファイルのヘッダに追加されてもよい。
任意選択で、情報の第2の部分は第2のメッセージ認証コードをさらに含む。第2のメッセージ認証コードは、第1のアップグレードファイルのファイルコンテンツのハッシュ値であってもよいし、第5のコンテンツのハッシュ値であってもよく、第5のコンテンツは第1のアップグレードファイルの暗号化ファイルコンテンツである。
図8は、本出願の一実施形態による、アップグレードファイルの暗号文を生成するために使用される情報の第2の部分の概略図である。図8を参照されたい。情報の第2の部分は、第1の車載デバイスのタイプ識別子と、第1のアップグレードファイルのファイルヘッダと、第1のアップグレードファイルのファイルコンテンツと、メッセージ認証コードとを含む。タイプ識別子は、ファイルヘッダとファイルコンテンツとの間に配置され、メッセージ認証コードは、第1のアップグレードファイルのファイルコンテンツの末尾に隣接する。
情報の第2の部分を取得した後、サーバは、情報の第2の部分に基づいて第1の暗号文を生成する。
第1の実施態様では、サーバが情報の第2の部分に基づいて第1の暗号文を生成することは、以下のe1およびe2を含む。
e1:サーバは、第5のコンテンツを取得するために、第1のキーを使用して第1のアップグレードファイルのファイルコンテンツを暗号化する。
e2:サーバは、第5のコンテンツおよび新しいファイルヘッダに基づいて第1の暗号文を取得する。すなわち、第1の暗号文は、第5のコンテンツおよび新しいファイルヘッダを含む。
この実施態様で第1の暗号文を取得する効率は高い。
第2の実施態様では、サーバが情報の第2の部分に基づいて第1の暗号文を生成することは、以下のb1およびb2を含む。
f1:サーバは、第5のコンテンツを取得するために、第1のキーを使用して第2のアップグレードファイルのファイルコンテンツを暗号化する。
f2:サーバは、第6のコンテンツを取得するために第4のキーを使用して第2のメッセージ認証コードを暗号化し、第1のキーと第4のキーとは同じであっても同じでなくてもよく、第4のキーはまた、ランダムに選択されてもよい。
f3:サーバは、第5のコンテンツ、第6のコンテンツ、および新しいファイルヘッダに基づいて第1の暗号文を取得する。すなわち、第1の暗号文は、第5のコンテンツ、第6のコンテンツ、および新しいファイルヘッダを含む。
この実施態様は、第1のアップグレードファイルの完全性を保証し得る。
第1の暗号文の生成に関して、第1の車載デバイスが依存車載デバイスと被依存車載デバイスとの両方である場合、サーバによって第1の暗号文を生成するための方法は、サーバによって第2の暗号文を生成するための方法と同じである。
車両上のアップグレードされるべき各車載デバイスが、第1の車載デバイスおよび第2の車載デバイスに加えて別の車載デバイスを含むとき、第1の暗号文および第2の暗号文を生成することに加えて、サーバは、別の車載デバイスのアップグレードファイルの暗号文をさらに生成することが理解されよう。車両上のアップグレードされるべきすべての車載デバイスにおいて、依存車載デバイスであるが被依存車載デバイスではない車載デバイスは、第1の車載デバイスが依存車載デバイスであるが被依存デバイスではないとき、第1のアップグレードファイルの第1の暗号文を生成するための前述の方法に従って、対応するアップグレードファイルの暗号文を生成し得ることが理解されよう。車両上のアップグレードされるべきすべての車載デバイスのうちの被依存車両デバイスは、第2の車載デバイスの第2のアップグレードファイルの第2の暗号文を生成するための方法に従って、対応するアップグレードファイルの暗号文を生成し得る。サーバは、各車両上のアップグレードされるべき各車載デバイスのアップグレードファイルの暗号文に基づいてアップグレードパッケージを生成し得る。
一方法では、サーバは、アップグレードポリシーをさらに取得し得る。この場合、車両上のアップグレードされるべき各車載デバイスのアップグレードファイルの暗号文に加えて、アップグレードパッケージは、アップグレードポリシーをさらに含む。アップグレードポリシーは、車両上のアップグレードされるべき車載デバイス間のアップグレード依存関係を含み、アップグレードポリシーは、第1の車載デバイスのアップグレードが第2の車載デバイスのアップグレードの完了に依存することを少なくとも示し得る。任意選択で、アップグレードポリシーは、車両上のアップグレードされるべき各車載デバイスのタイプおよび/またはアップグレードされるべき各車載デバイスのアップグレード順序をさらに含んでもよい。加えて、アップグレードパッケージの安全な送信を保証するために、サーバは、アップグレードパッケージのデジタル署名をさらに生成し得る。
特定の実施態様では、サーバは、アップグレード管理ノードおよびキー管理ノードを含む。アップグレード管理ノードは、アップグレードパッケージを生成し、アップグレードされるべき車載デバイスのアップグレードファイルの暗号文を復号化するために使用されるキー、またはキーを分割することによって取得されたサブキーを記憶のためにキー管理ノードに送信するように構成される。アップグレードされるべき車載デバイスが依存デバイスでないとき、キー管理ノードに送信されるキーは、アップグレードされるべき車載デバイスのアップグレードファイルの暗号文を復号化するために使用されるキーであることが理解されよう。アップグレードされるべき車載デバイスが依存デバイスであるとき、キー管理ノードに送信されるキーは、アップグレードされるべき車載デバイスのアップグレードファイルの暗号文を復号化するために使用されるキーを分割することによって取得された複数のサブキーのうちの1つである。アップグレードされるべき車載デバイスのアップグレードファイルの暗号文が暗号化されたメッセージ認証コードをさらに含む場合、アップグレード管理ノードは、メッセージ認証コードを暗号化するために使用されるキーを記憶のためにキー管理ノードにさらに送信する。
ステップS202:サーバは、第1の暗号文および第2の暗号文を車両に送信する。
一方法では、サーバは、アップグレードパッケージを車両に送信し、アップグレードパッケージは、第1の暗号文および第2の暗号文を含む。サーバがアップグレード管理ノードおよびキー管理ノードを含む場合、アップグレード管理ノードは、アップグレードパッケージを車両に送信し、アップグレードパッケージは、第1の暗号文および第2の暗号文を含む。
ステップS203:サーバは第2のサブキーを車両に送信し、第2のサブキーは第1のキーを構築するために使用される。
サーバがアップグレード管理ノードおよびキー管理ノードを含むとき、キー管理ノードは、安全なチャネルを介して第2のサブキーを車両に送信する。加えて、キー管理ノードは、アップグレードされるべき別の車載デバイスのアップグレードファイルの暗号文を復号化するために使用される車両のキー、またはキーを分割することによって取得されたサブキーを車両にさらに送信する。
加えて、第1の暗号文が暗号化された第2のメッセージ認証コードを含むとき、本方法は、サーバが第4のキーを車両に送信することをさらに含む。サーバがアップグレード管理ノードおよびキー管理ノードを含むとき、アップグレード管理ノードは、第4のキーをキー管理ノードに送信し、キー管理ノードは、安全なチャネルを介して第4のキーを車両に送信する。言い換えれば、アップグレードされるべき車載デバイスのアップグレードファイルの暗号文が暗号化されたメッセージ認証コードを含むとき、本方法は、サーバが、暗号化されたメッセージ認証コードを復号化するために使用されるキーを車両に送信することをさらに含む。サーバがアップグレード管理ノードおよびキー管理ノードを含むとき、キー管理ノードは、安全なチャネルを介して、暗号化されたメッセージ認証コードを復号化するために使用されるキーを車両に送信する。
ステップS204:車両は、第1の暗号文を第1の車載デバイスに送信する。
車両が、アップグレードされるべき各車載デバイスのアップグレードファイルの暗号文に基づいてアップグレードパッケージを取得するとき、サーバによって送信されたアップグレードパッケージを受信した後、車両は、アップグレードパッケージのデジタル署名を使用してアップグレードパッケージを検証し得る。検証が成功した後、車両は、アップグレードパッケージ内の第1の暗号文を取得し、第1の暗号文を第1の車載デバイスに送信する。
第1の車載デバイスは依存デバイスであるため、第1の暗号文は、第1の車載デバイスが依存デバイスであることを示すタイプ識別子を含む。任意選択の方法では、車両は、アップグレードポリシーに含まれるアップグレード依存関係に基づいて、第1の車載デバイスが依存する各車載デバイスを取得し、第1の車載デバイスが依存する各車載デバイスの識別子を第1の車載デバイスに送信し得、これにより、第1の車載デバイスは、第1の車載デバイスのアップグレードが依存する車載デバイスを知る。第1の車載デバイスが依存する車載デバイスは、第2の車載デバイスを含む。
ステップS205:車両は、第2のサブキーを第1の車載デバイスに送信する。
第1の暗号文が暗号化された第2のメッセージ認証コードを含むとき、車両は、第4のキーを第1の車載デバイスにさらに送信する。
ステップS206:車両は、第2の暗号文を第2の車載デバイスに送信する。
車両が、アップグレードされるべき各車載デバイスのアップグレードファイルの暗号文に基づいてアップグレードパッケージを取得するとき、サーバによって送信されたアップグレードパッケージを受信した後、車両は、アップグレードパッケージのデジタル署名を使用してアップグレードパッケージを検証し得る。検証が成功した後、車両は、アップグレードパッケージ内の第2の暗号文を取得し、第2の暗号文を第2の車載デバイスに送信する。
ステップS207:第2の車載デバイスは、第2のアップグレードファイルおよび第1のサブキーを取得するために第2の暗号文を復号化する。
第2の車載デバイスは、第2の暗号文を受信する。第2の暗号文は情報の第1の部分に基づいて生成され、情報の第1の部分は第2のアップグレードファイルおよび第1のサブキーを含む。したがって、第2の暗号文は、第2のアップグレードファイルおよび第1のサブキーを取得するために復号化され得る。
第2の車載デバイスが依存デバイスでない場合、第2の暗号文を復号化するための第2のキーまたは第2のキーおよび第3のキーは、車両によって第2の車載デバイスに送信されることが理解されよう。第2の車載デバイスが依存デバイスである場合、第2の暗号文を復号化するために使用される第2のキーを第2の車載デバイスによって取得するための方法については、第1の暗号文を復号化するために使用される第1のキーを第1の車載デバイスによって取得するための方法を参照されたく、第3のキーは、車両によって第2の車載デバイスに送信される。
ステップS208:第2の車載デバイスは、第2のアップグレードファイルに基づいてアップグレードを実行する。
第2の暗号文が暗号化された第1のメッセージ認証コードをさらに含む場合、第1の車載デバイスは、第3のキーを使用して、暗号化されたメッセージ認証コードをさらに復号化し、メッセージ認証コードに基づいて、取得された第2のアップグレードファイルおよび信頼キーコンテンツの完全性を検証し、検証が成功した場合、第2のアップグレードファイルに基づいてアップグレードを実行し得る。
ステップS209:第2の車載デバイスは、アップグレードが成功したと判定した後に、第1のサブキーを第1の車載デバイスに送信する。
ステップS210:第1の車載デバイスは、第1のサブキー、第2のサブキー、および第1の暗号文に基づいてアップグレードを実行する。
第1の車載デバイスは、第1のサブキー、第2のサブキー、および第1の暗号文を受信し、第1のサブキー、第2のサブキー、および第1の暗号文に基づいてアップグレードを実行する。
第1の車載デバイスのアップグレードが、第2の車載デバイス以外の別の被依存車載デバイスのアップグレードの完了にさらに依存する場合、第1の車載デバイスは、別の被依存車載デバイスによって送信される別のサブキーをさらに受信し、別のサブキーは、第1のキーを構築するために使用されることが理解されよう。例えば、第1の車載デバイスのアップグレードが、第2の車載デバイスおよび第3の車載デバイスのアップグレードの完了に依存する場合、第1のキーは、第1のサブキー、第2のサブキー、および第3のサブキーの3つのサブキーに分割され、第1の車載デバイスは、第3の車載デバイスによって送信される第3のサブキーをさらに受信する。第3の車載デバイスによって第3のサブキーを取得するための方法は、第2の車載デバイスによって第2のサブキーを取得するための方法と同じである。すなわち、第3の車載デバイスは、第3のアップグレードファイルおよび第3のサブキーを取得するために第3の暗号文を復号化する。第3の暗号文を取得するための方法は、第2の暗号文を取得するための方法と同じである。すなわち、第3の暗号文は、第3の情報を暗号化することによって取得され、第3の情報は、第3の車載デバイスの第3のアップグレードファイルと第3のサブキーとを少なくとも含む。言い換えれば、第1の車載デバイスのアップグレードがM-1個の被依存車載デバイスのアップグレードの完了に依存する場合、第1の車載デバイスは、M-1個の被依存車載デバイスから、第1のキーを分割することによって取得されたM個のサブキーのうちの1つを別々に受信し、車両から1つのサブキーを受信し、合計でM個のサブキーを受信する。
第1の暗号文を受信した後、第1の車載デバイスは、第1の暗号文に含まれる新しいファイルヘッダ内の、第1の車載デバイスが依存デバイスであることを示すタイプ識別子に基づいて、第1の車載デバイスが、アップグレードを実行するために、第1の車載デバイスが依存する各車載デバイスによって送信される、第1のキーを分割することによって取得される1つのサブキーを待つ必要があると判定する。
第1のサブキーおよび第2のサブキーを受信した後、第1の車載デバイスは、第1のサブキーおよび第2のサブキーに基づいて第1のキーを復元する、すなわち、受信されたM個のサブキーに基づいて第1のキーを復元する。第1の暗号文は、第1のアップグレードファイルを取得するために、第1のキーを使用して復号化される。第1の暗号文が、暗号化された信頼キーコンテンツをさらに含む場合、第1の暗号文が復号化された後に、信頼キーコンテンツがさらに取得される。
第1の暗号文が暗号化された第2のメッセージ認証コードをさらに含む場合、第1の車載デバイスは、第4のキーを使用して、暗号化された第2のメッセージ認証コードをさらに復号化し、第2のメッセージ認証コードに基づいて、取得された第1のアップグレードファイルの完全性または取得された第1のアップグレードファイルおよび信頼キーコンテンツの完全性を検証する。検証が成功した場合、第1の車載デバイスは、第1のアップグレードファイルに基づいてアップグレードを実行し得る。
本実施形態では、依存車載デバイスのアップグレードファイルの暗号文を復号化するために使用されるキーは複数のサブキーに分割され、1つのサブキーを除く複数のサブキーのうちの他のサブキーは、依存車載デバイスが依存する車載デバイスのアップグレードファイルを生成するために別々に使用され、これにより、他のサブキーは、依存車載デバイスが依存する車載デバイスが正常にアップグレードされた後に依存車載デバイスに送信され、依存車載デバイスは、アップグレードを完了するために、キーを分割することによって取得されたサブキーに基づいてキーを復元し得る。言い換えれば、本実施形態の方法によれば、依存車載デバイスが依存する車載デバイスのアップグレードが完了した後にのみ、依存車載デバイスがアップグレードされることが保証され、その結果、正しいアップグレード順序が保証され、各車載デバイスの正常な動作がさらに保証される。
加えて、依存車載デバイスが依存する各車載デバイスが正常にアップグレードされた後、別のサブキーが依存車載デバイスに自動的に送信され、車両は、依存車載デバイスが依存する各車載デバイスが正常にアップグレードされたかどうかを判定する必要がなく、その結果、車両の負荷が軽減される。
以下では、図9Aおよび図9Bに示されている実施形態を参照して、別の車載デバイスアップグレード方法について説明する。
図9Aおよび図9Bは、本出願の一実施形態による車載デバイスアップグレード方法の相互作用図2である。本実施形態は、依存デバイスをアップグレードするための方法に関する。本実施形態では、任意の依存デバイスは第1の車載デバイスと呼ばれる。図9Aおよび図9Bを参照されたい。本実施形態の方法は、以下のステップを含む。
ステップS901:サーバは、第1の暗号文および第2の暗号文を生成し、第1の暗号文は、第1の車載デバイスの第1のアップグレードファイルを暗号化することによって取得され、第2の暗号文は、情報の第1の部分を暗号化することによって取得され、情報の第1の部分は、第2の車載デバイスの第2のアップグレードファイルおよび第1のサブキーを含み、第1のサブキーは、第1の暗号文を復号化するための第1のキーを構築するために使用される。
このステップの具体的な実施態様については、図2Aに示されている実施形態のステップS201の説明を参照されたい。ここでは詳細は再び説明されない。
ステップS902:サーバは、第1の暗号文および第2の暗号文を車両に送信する。
このステップの具体的な実施態様については、図2Aに示されている実施形態のステップS202の説明を参照されたい。ここでは詳細は再び説明されない。
ステップS903:サーバは第2のサブキーを車両に送信し、第2のサブキーは第1のキーを構築するために使用される。
このステップの具体的な実施態様については、図2Aに示されている実施形態のステップS203の説明を参照されたい。ここでは詳細は再び説明されない。
ステップS904:車両は、第1の暗号文を第1の車載デバイスに送信する。
このステップと、図2Aに示されている実施形態のステップS204との違いは、本実施形態では、車両は、第1の車載デバイスが依存する車載デバイスの識別子を第1の車載デバイスに送信する必要がない場合があることにある。他の具体的な実施態様については、ステップS204を参照されたい。
第1の暗号文が暗号化された第2のメッセージ認証コードを含むとき、車両は、第4のキーを第1の車載デバイスにさらに送信する。
ステップS905:車両は、第2の暗号文を第2の車載デバイスに送信する。
このステップの具体的な実施態様については、図2Aに示されている実施形態のステップS205の説明を参照されたい。ここでは詳細は再び説明されない。
ステップS906:第2の車載デバイスは、第2のアップグレードファイルおよび第1のサブキーを取得するために第2の暗号文を復号化する。
このステップの具体的な実施態様については、図2Bに示されている実施形態のステップS207の説明を参照されたい。ここでは詳細は再び説明されない。
ステップS907:第2の車載デバイスは、第2のアップグレードファイルに基づいてアップグレードを実行する。
ステップS908:第2の車載デバイスは、アップグレードが成功したと判定した後に、第1のサブキーを車両に送信する。
ステップS909:車両は、第1のサブキーおよび第2のサブキーに基づいて第1のキーを復元する。
車両は、第1のサブキーおよび第2のサブキーを受信し、第1のサブキーおよび第2のサブキーに基づいて第1のキーを復元する。
第1の車載デバイスのアップグレードが、第2の車載デバイス以外の別の被依存車載デバイスのアップグレードの完了にさらに依存する場合、車両は、別の被依存車載デバイスによって送信される別のサブキーをさらに受信し、別のサブキーは、第1のキーを構築するために使用されることが理解されよう。例えば、第1の車載デバイスのアップグレードが、第2の車載デバイスおよび第3の車載デバイスのアップグレードの完了に依存する場合、第1のキーは、第1のサブキー、第2のサブキー、および第3のサブキーの3つのサブキーに分割され、車両は、第3の車載デバイスによって送信される第3のサブキーをさらに受信する。第3の車載デバイスによって第3のサブキーを取得するための方法は、第2の車載デバイスによって第2のサブキーを取得するための方法と同じである。すなわち、第3の車載デバイスは、第3のアップグレードファイルおよび第3のサブキーを取得するために第3の暗号文を復号化する。第3の暗号文を取得するための方法は、第2の暗号文を取得するための方法と同じである。すなわち、第3の暗号文は、第3の情報を暗号化することによって取得され、第3の情報は、第3の車載デバイスの第3のアップグレードファイルと第3のサブキーとを少なくとも含む。すなわち、第1の車載デバイスのアップグレードがM-1個の被依存車載デバイスのアップグレードの完了に依存する場合、車両は、M-1個の被依存車載デバイスから、第1のキーを分割することによって取得されたM個のサブキーのうちの1つを別々に受信し、サーバから1つのサブキーを受信し、合計でM個のサブキーを受信し、M個のサブキーに基づいて第1のキーを復元する。
ステップS910:車両は、第1のキーを第1の車載デバイスに送信する。
ステップS911:第1の車載デバイスは、第1のキーおよび第1の暗号文に基づいてアップグレードを実行する。
第1の車載デバイスは、第1のキーおよび第1の暗号文を受信する。第1の車載デバイスは、第1のアップグレードファイルを少なくとも取得するために、第1のキーを使用して第1の暗号文を復号化する。第1の暗号文が、暗号化された信頼キーコンテンツをさらに含む場合、第1の暗号文が復号化された後に、信頼キーコンテンツがさらに取得される。
第1の暗号文が暗号化された第2のメッセージ認証コードをさらに含む場合、第1の車載デバイスは、第4のキーを使用して、暗号化された第2のメッセージ認証コードをさらに復号化し、第2のメッセージ認証コードに基づいて、取得された第1のアップグレードファイルのファイルコンテンツの完全性または取得された第1のアップグレードファイルのファイルコンテンツおよび信頼キーコンテンツの完全性を検証する。検証が成功した場合、第1の車載デバイスは、第1のアップグレードファイルに基づいてアップグレードを実行し得る。
本実施形態では、依存車載デバイスのアップグレードファイルの暗号文を復号化するために使用されるキーは複数のサブキーに分割され、1つのサブキーを除く複数のサブキーのうちの他のサブキーは、車載デバイスが依存する車載デバイスのアップグレードファイルを生成するために別々に使用され、これにより、他のサブキーは、車載デバイスが依存する車載デバイスが正常にアップグレードされた後に車両に送信され、車両は、依存車載デバイスのアップグレードを完了するために、キーの分割によって取得されたサブキーに基づいてキーを復元し、キーを依存車載デバイスに送信し得る。言い換えれば、本実施形態の方法によれば、依存車載デバイスが依存する車載デバイスのアップグレードが完了した後にのみ、依存車載デバイスがアップグレードされることが保証され、その結果、正しいアップグレード順序が保証され、各車載デバイスの正常な動作がさらに保証される。
加えて、依存車載デバイスが依存する各車載デバイスが正常にアップグレードされた後、別のサブキーが車両に自動的に送信され、車両は、依存車載デバイスが依存する各車載デバイスが正常にアップグレードされたかどうかを判定する必要がなく、その結果、車両の負荷が軽減される。
以下では、図10Aおよび図10Bに示されている実施形態を参照して、さらに別の車載デバイスアップグレード方法について説明する。
図10Aおよび図10Bは、本出願の一実施形態による車載デバイスアップグレード方法の相互作用図3である。本実施形態は、任意の依存デバイスのアップグレード方法に関する。本実施形態では、任意の依存デバイスは第1の車載デバイスと呼ばれる。図10Aおよび図10Bを参照されたい。本実施形態による方法は、以下を含む。
ステップS1001:サーバは、第1の暗号文および第2の暗号文を生成し、第1の暗号文は、第1の車載デバイスの第1のアップグレードファイルを暗号化することによって取得され、第2の暗号文は、情報の第1の部分を暗号化することによって取得され、情報の第1の部分は、第2の車載デバイスの第2のアップグレードファイルおよび第1のサブキーを含み、第1のサブキーは、第1の暗号文を復号化するための第1のキーを構築するために使用される。
このステップの具体的な実施態様と、図2Aに示されている実施形態のステップS201との違いは、第1の車載デバイスのアップグレードがM-1個の被依存車載デバイスのアップグレードの完了に依存する場合に、第1のキーが、M個のサブキーの代わりにM-1個のサブキーに分割され、M-1個のサブキーが、第1の車載デバイスのアップグレードが依存するM-1個の他の車載デバイスのアップグレードファイルの暗号文を生成するためにそれぞれ使用されることにある。したがって、本実施形態では、サーバがキー管理ノードおよびアップグレード管理ノードを含む場合、キー管理ノードは、依存車載デバイスの暗号文を復号化するために使用されるキーを分割することによって取得される複数のサブキーのうちのいずれのサブキーも記憶せず、キー管理ノードは、独立した車載デバイスのアップグレードファイルの暗号文を復号化するために使用されるキーを記憶し得る。アップグレードされるべき車載デバイスのアップグレードファイルの暗号文が暗号化されたメッセージ認証コードをさらに含む場合、アップグレード管理ノードは、メッセージ認証コードを暗号化するために使用されるキーを記憶のためにキー管理ノードにさらに送信する。
言い換えれば、本実施形態とステップS201との違いは、第2の暗号文を生成するために使用される情報の第1の部分内の第1のサブキーが、第1のキーを分割することによって取得されるM-1個のサブキーのうちの1つであることにある。
このステップの他の具体的な実施態様は、図2Aに示されている実施形態のステップS201と同じである。ここでは詳細は再び説明されない。
ステップS1002:サーバは、第1の暗号文および第2の暗号文を車両に送信する。
サーバがアップグレード管理ノードおよびキー管理ノードを含む場合、アップグレード管理ノードは、第1の暗号文および第2の暗号文を車両に送信する。
本方法は、サーバが、独立した車載デバイスのアップグレードファイルの暗号文を復号化するために使用されるキーを車両に送信することをさらに含み得ることが理解されよう。サーバがアップグレード管理ノードおよびキー管理ノードを含むとき、キー管理ノードは、安全なチャネルを介して、独立した車載デバイスのアップグレードファイルの暗号文を復号化するために使用されるキーを車両に送信する。
加えて、第1の暗号文が暗号化された第2のメッセージ認証コードを含むとき、本方法は、サーバが第4のキーを車両に送信することをさらに含む。サーバがアップグレード管理ノードおよびキー管理ノードを含むとき、アップグレード管理ノードは、第4のキーをキー管理ノードに送信し、キー管理ノードは、安全なチャネルを介して第4のキーを車両に送信する。言い換えれば、アップグレードされるべき車載デバイスのアップグレードファイルの暗号文が暗号化されたメッセージ認証コードを含むとき、本方法は、サーバが、メッセージ認証コードを復号化するために使用されるキーを車両に送信することをさらに含む。サーバがアップグレード管理ノードおよびキー管理ノードを含むとき、キー管理ノードは、安全なチャネルを介して、暗号化されたメッセージ認証コードを復号化するために使用されるキーを車両に送信する。
ステップS1003:車両は、第1の暗号文を第1の車載デバイスに送信する。
このステップの具体的な実施態様については、図2Aに示されている実施形態のステップS204の説明を参照されたい。ここでは詳細は再び説明されない。
ステップS1004:車両は、第2の暗号文を第2の車載デバイスに送信する。
ステップS1005:第2の車載デバイスは、第2のアップグレードファイルおよび第1のサブキーを取得するために第2の暗号文を復号化する。
このステップの具体的な実施態様については、図2Bに示されている実施形態のステップS207の説明を参照されたい。ここでは詳細は再び説明されない。
ステップS1006:第2の車載デバイスは、第2のアップグレードファイルに基づいてアップグレードを実行する。
このステップの具体的な実施態様については、図2Bに示されている実施形態のステップS208の説明を参照されたい。ここでは詳細は再び説明されない。
ステップS1007:第2の車載デバイスは、アップグレードが成功したと判定した後に、第1のサブキーを第1の車載デバイスに送信する。
ステップS1008:第1の車載デバイスは、第1のサブキーおよび第1の暗号文に基づいてアップグレードを実行する。
第1の車載デバイスは、第1のサブキーおよび第1の暗号文を受信し、第1の車載デバイスは、第1のサブキーおよび第1の暗号文に基づいてアップグレードを実行する。
第1の車載デバイスのアップグレードが、第2の車載デバイス以外の別の被依存車載デバイスのアップグレードの完了にさらに依存する場合、第1の車載デバイスは、別の被依存車載デバイスによって送信される別のサブキーをさらに受信し、別のサブキーは、第1のキーを構築するために使用されることが理解されよう。例えば、第1の車載デバイスのアップグレードが、第2の車載デバイスおよび第3の車載デバイスのアップグレードの完了に依存する場合、第1のキーは、第1のサブキーおよび第2のサブキーの2つのサブキーに分割され、第1の車載デバイスは、第3の車載デバイスによって送信される第2のサブキーをさらに受信する。第3の車載デバイスによって第2のサブキーを取得するための方法は、第2の車載デバイスによって第1のサブキーを取得するための方法と同じである。言い換えれば、第3の車載デバイスは、第3のアップグレードファイルおよび第2のサブキーを取得するために第3の暗号文を復号化する。第3の暗号文を取得するための方法は、第2の暗号文を取得するための方法と同じである。言い換えれば、第3の暗号文は、第3の情報を暗号化することによって取得され、第3の情報は、第3のアップグレードファイルと第3の車載デバイスの第2のサブキーとを少なくとも含む。言い換えれば、第1の車載デバイスのアップグレードがM-1個の被依存車載デバイスのアップグレードの完了に依存する場合、第1の車載デバイスは、M-1個の被依存車載デバイスから、第1のキーを分割することによって取得されたM-1個のサブキーのうちの1つを別々に受信し、合計でM-1個のサブキーを受信する。
第1の暗号文を受信した後、第1の車載デバイスは、第1の暗号文に含まれる新しいファイルヘッダ内の、第1の車載デバイスが依存デバイスであることを示すタイプ識別子に基づいて、第1の車載デバイスが、アップグレードを実行するために、第1の車載デバイスが依存する各車載デバイスによって送信される、第1のキーを分割することによって取得される1つのサブキーを待つ必要があると判定する。
M-1個のサブキーを受信した後、第1の車載デバイスは、M-1個のサブキーに基づいて第1のキーを復元する。第1の暗号文は、第1のアップグレードファイルを取得するために、第1のキーを使用して復号化される。第1の暗号文が、暗号化された信頼キーコンテンツをさらに含む場合、第1の暗号文が復号化された後に、信頼キーコンテンツがさらに取得される。
第1の暗号文が暗号化された第2のメッセージ認証コードをさらに含む場合、第1の車載デバイスは、第4のキーを使用して、暗号化された第2のメッセージ認証コードをさらに復号化し、第2のメッセージ認証コードに基づいて、取得された第1のアップグレードファイルの完全性または取得された第1のアップグレードファイルおよび信頼キーコンテンツの完全性を検証する。検証が成功した場合、第1の車載デバイスは、第1のアップグレードファイルに基づいてアップグレードを実行し得る。
本実施形態では、依存車載デバイスのアップグレードファイルの暗号文を復号化するために使用されるキーは少なくとも1つのサブキーに分割され、少なくとも1つのサブキーは、依存車載デバイスが依存する車載デバイスのアップグレードファイルを生成するために別々に使用され、これにより、少なくとも1つのサブキーのうちの1つは、依存車載デバイスが依存する各車載デバイスが正常にアップグレードされた後に依存車載デバイスに送信され、依存車載デバイスは、アップグレードを完了するために、キーを分割することによって取得されたサブキーに基づいてキーを復元し得る。言い換えれば、本実施形態の方法によれば、依存車載デバイスが依存する車載デバイスのアップグレードが完了した後にのみ、依存車載デバイスがアップグレードされることが保証され、その結果、正しいアップグレード順序が保証され、各車載デバイスの正常な動作がさらに保証される。加えて、依存車載デバイスが依存する各車載デバイスが正常にアップグレードされた後、少なくとも1つのサブキーのうちの1つが依存車載デバイスに自動的に送信され、車両は、依存車載デバイスが依存する各車載デバイスが正常にアップグレードされたかどうかを判定する必要がなく、その結果、車両の負荷が軽減される。加えて、車両は、少なくとも1つのサブキーのサブキーを依存車載デバイスに送信する必要がなく、その結果、車両の消費電力がさらに削減される。加えて、サーバは、少なくとも1つのサブキーのサブキーを車両に送信する必要がなく、その結果、サーバの消費電力が削減される。
以下では、図11Aおよび図11Bに示されている実施形態を参照して、さらに別の車載デバイスアップグレード方法について説明する。
図11Aおよび図11Bは、本出願の一実施形態による車載デバイスアップグレード方法の相互作用図4である。本実施形態は、依存デバイスをアップグレードするための方法に関する。本実施形態では、任意の依存デバイスは第1の車載デバイスと呼ばれる。図11Aおよび図11Bを参照されたい。本実施形態の方法は、以下のステップを含む。
ステップS1101:サーバは、第1の暗号文および第2の暗号文を生成し、第1の暗号文は、第1の車載デバイスの第1のアップグレードファイルを暗号化することによって取得され、第2の暗号文は、情報の第1の部分を暗号化することによって取得され、情報の第1の部分は、第2の車載デバイスの第2のアップグレードファイルおよび第1のサブキーを含み、第1のサブキーは、第1の暗号文を復号化するための第1のキーを構築するために使用される。
このステップの具体的な実施態様については、ステップS1001の説明を参照されたい。ここでは詳細は再び説明されない。
ステップS1102:サーバは、第1の暗号文および第2の暗号文を車両に送信する。
このステップの具体的な実施態様については、図10Aおよび図10Bに示されている実施形態のステップS1002の説明を参照されたい。ここでは詳細は再び説明されない。
ステップS1103:車両は、第1の暗号文を第1の車載デバイスに送信する。
このステップの具体的な実施態様については、図2Aに示されている実施形態のステップS204の説明を参照されたい。ここでは詳細は再び説明されない。
ステップS1104:車両は、第2の暗号文を第2の車載デバイスに送信する。
ステップS1105:第2の車載デバイスは、第2のアップグレードファイルおよび第1のサブキーを取得するために第2の暗号文を復号化する。
このステップの具体的な実施態様については、図2Bに示されている実施形態のステップS207の説明を参照されたい。ここでは詳細は再び説明されない。
ステップS1106:第2の車載デバイスは、第2のアップグレードファイルに基づいてアップグレードを実行する。
ステップS1107:第2の車載デバイスは、アップグレードが成功したと判定した後に、第1のサブキーを車両に送信する。
ステップS1108:車両は、第1のサブキーに基づいて第1のキーを復元する。
車両は、第1のサブキーを受信し、第1のサブキーに基づいて第1のキーを復元する。
第1の車載デバイスのアップグレードが、第2の車載デバイス以外の別の被依存車載デバイスのアップグレードの完了にさらに依存する場合、車両は、別の被依存車載デバイスによって送信される別のサブキーをさらに受信し、別のサブキーは、第1のキーを構築するために使用されることが理解されよう。例えば、第1の車載デバイスのアップグレードが、第2の車載デバイスおよび第3の車載デバイスのアップグレードの完了に依存する場合、第1のキーは、第1のサブキーおよび第2のサブキーの2つのサブキーに分割され、車両は、第3の車載デバイスによって送信される第2のサブキーをさらに受信する。第3の車載デバイスによって第2のサブキーを取得するための方法は、第2の車載デバイスによって第1のサブキーを取得するための方法と同じである。言い換えれば、第3の車載デバイスは、第3のアップグレードファイルおよび第2のサブキーを取得するために第3の暗号文を復号化する。第3の暗号文を取得するための方法は、第2の暗号文を取得するための方法と同じである。言い換えれば、第3の暗号文は、第3の情報を暗号化することによって取得され、第3の情報は、第3のアップグレードファイルと第3の車載デバイスの第2のサブキーとを少なくとも含む。言い換えれば、第1の車載デバイスのアップグレードがM-1個の被依存車載デバイスのアップグレードの完了に依存する場合、車両は、M-1個の被依存車載デバイスから、第1のキーを分割することによって取得されたM-1個のサブキーのうちの1つを別々に受信し、合計でM-1個のサブキーを受信し、M-1個のサブキーに基づいて第1のキーを復元する。
ステップS1109:車両は、第1のキーを第1の車載デバイスに送信する。
ステップS1110:第1の車載デバイスは、第1のキーおよび第1の暗号文に基づいてアップグレードを実行する。
第1の車載デバイスは、第1のキーおよび第1の暗号文を受信し、第1のキーおよび第1の暗号文に基づいてアップグレードを実行する。
本実施形態では、依存車載デバイスのアップグレードファイルの暗号文を復号化するために使用されるキーは少なくとも1つのサブキーに分割され、少なくとも1つのサブキーは、依存車載デバイスが依存する車載デバイスのアップグレードファイルを生成するために別々に使用され、これにより、少なくとも1つのサブキーのうちの1つは、依存車載デバイスが依存する各車載デバイスが正常にアップグレードされた後に車両に送信され、車両は、キーを分割することによって取得されたサブキーに基づいてキーを復元し、キーを依存車載デバイスに送信し得、これにより、車載デバイスはアップグレードを完了する。言い換えれば、本実施形態の方法によれば、依存車載デバイスが依存する車載デバイスのアップグレードが完了した後にのみ、依存車載デバイスがアップグレードされることが保証され、その結果、正しいアップグレード順序が保証され、各車載デバイスの正常な動作がさらに保証される。加えて、依存車載デバイスが依存する各車載デバイスが正常にアップグレードされた後、依存車載デバイスは、少なくとも1つのサブキーのうちの1つを車両に自動的に送信し、車両は第1のキーを復元する。したがって、第1の車載デバイスは、第1のキーを復元する必要がなく、第1の車載デバイスの消費電力が削減される。加えて、サーバは、少なくとも1つのサブキーのサブキーを車両に送信する必要がなく、その結果、サーバの消費電力が削減される。
図2Aから図11Bに示されている実施形態の技術的解決策では、依存車載デバイスのアップグレードファイルの暗号文を復号化するために使用されるキーは複数のサブキーに分割され、複数のサブキーの全部または一部は、依存車載デバイスが依存する車載デバイスのアップグレードファイルの暗号文を生成するために使用される。別の解決策では、依存車載デバイスのアップグレードファイルの暗号文を復号化するために使用されるキーを分割することによって取得された複数のサブキーは、依存車載デバイスが依存する車載デバイスのアップグレードファイルの暗号文を生成するために使用される。以下では、図12A~図13Bに示されている実施形態を使用して別の解決策について説明する。
図12Aおよび図12Bは、本出願の一実施形態による車載デバイスアップグレード方法の相互作用図5である。本実施形態は、任意の依存車載デバイスのアップグレード方法に関する。本実施形態では、任意の依存車載デバイスは第1の車載デバイスと呼ばれる。図12Aおよび図12Bを参照されたい。本実施形態の方法は、以下のステップを含む。
ステップS1201:サーバは、第1の暗号文および第2の暗号文を生成し、第1の暗号文は、第1の車載デバイスの第1のアップグレードファイルを暗号化することによって取得され、第2の暗号文は、第2の車載デバイスの第2のアップグレードファイルを暗号化することによって取得される。
本実施形態では、第1の車載デバイスは依存デバイスであり、第2の車載デバイスは被依存デバイスであり、第1の車載デバイスのアップグレードは、少なくとも第2の車載デバイスのアップグレードの完了に依存する。車載デバイスのタイプは複数のサブタイプを含み得るため、第1の車載デバイスは被依存デバイスでもあり得、第2の車載デバイスは依存デバイスでもあり得ることが理解されよう。第1の車載デバイスおよび第2の車載デバイスは、車両上のアップグレードされるべき車載デバイスのうちの車載デバイスである。
本実施形態において第1の暗号文を生成するための方法および第2の暗号文を生成するための方法の両方は、図2Aおよび図2Bに示されている実施形態において、第1の車載デバイスが、依存車載デバイスであるが被依存車載デバイスではないときに第1のアップグレードファイルの第1の暗号文を生成するための方法と同じである。第1の暗号文および第2の暗号文を生成することに加えて、サーバは、別の車載デバイスのアップグレードファイルの暗号文をさらに生成する。車両上のアップグレードされるべきすべての車載デバイスのアップグレードファイル生成方法は同じであることが理解されよう。サーバは、各車両上のアップグレードされるべき各車載デバイスのアップグレードファイルの暗号文に基づいてアップグレードパッケージを生成し得る。
第1の暗号文を生成するプロセスにおいて、第1の車載デバイスのアップグレードがM-1個の車載デバイスのアップグレードの完了に依存する場合、サーバは、第1のキーをM個のサブキーに分割し、M個のサブキーのすべてがサーバに記憶される。第1の暗号文が暗号化されたメッセージ認証コードを含む場合、サーバは第4のキーをさらに記憶する。第1のキーの意味は、図2Aおよび図2Bに示されている実施形態における第1のキーの意味と同じであり、第4のキーの意味は、図2Aおよび図2Bに示されている実施形態における第4のキーの意味と同じである。
特定の実施態様では、サーバは、アップグレード管理ノードおよびキー管理ノードを含む。アップグレード管理ノードは、各アップグレードファイルの暗号文を生成し、アップグレードされるべき車載デバイスのアップグレードファイルの暗号文を復号化するために使用される各キー、またはキーを分割することによって取得された複数のサブキーを記憶のためにキー管理ノードに送信するように構成される。アップグレードされるべき車載デバイスが依存デバイスでないとき、アップグレード管理ノードは、アップグレードされるべき車載デバイスのアップグレードファイルの暗号文を復号化するために使用されるキーを記憶のためにキー管理ノードに送信することが理解されよう。アップグレードされるべき車載デバイスが依存デバイスであるとき、アップグレード管理ノードは、アップグレードされるべき車載デバイスのアップグレードファイルの暗号文を復号化するために使用されるキーを分割することによって取得された複数のサブキーを記憶のためにキー管理ノードに送信する。アップグレードされるべき車載デバイスのアップグレードファイルの暗号文が暗号化されたメッセージ認証コードを含むとき、アップグレード管理ノードは、暗号化されたメッセージ認証コードを復号化するために使用されるキーを記憶のためにキー管理ノードにさらに送信する。
一方法では、サーバは、アップグレードポリシーをさらに取得し得る。この場合、車両上のアップグレードされるべき各車載デバイスのアップグレードファイルの暗号文に加えて、アップグレードパッケージは、アップグレードポリシーをさらに含む。アップグレードポリシーは、車両上のアップグレードされるべき車載デバイス間のアップグレード依存関係を含み、アップグレードポリシーは、第1の車載デバイスのアップグレードが第2の車載デバイスのアップグレードの完了に依存することを少なくとも示し得る。任意選択で、アップグレードポリシーは、車両上のアップグレードされるべき各車載デバイスのタイプおよび/またはアップグレードされるべき各車載デバイスのアップグレード順序をさらに含んでもよい。加えて、アップグレードパッケージの安全な送信を保証するために、サーバは、アップグレードパッケージのデジタル署名をさらに生成し得る。
ステップS1202:サーバは、第1の暗号文および第2の暗号文を車両に送信する。
サーバがアップグレード管理ノードおよびキー管理ノードを含む場合、アップグレード管理ノードは、第1の暗号文および第2の暗号文を車両に送信する。
一方法では、サーバは、アップグレードパッケージを車両に送信し、アップグレードパッケージは、第1の暗号文および第2の暗号文を含む。サーバがアップグレード管理ノードおよびキー管理ノードを含む場合、アップグレード管理ノードは、アップグレードパッケージを車両に送信し、アップグレードパッケージは、第1の暗号文および第2の暗号文を含む。
ステップS1203:サーバは、第1のキーを分割することによって取得された複数のサブキーを車両に送信する。
サーバがアップグレード管理ノードおよびキー管理ノードを含むとき、キー管理ノードは、安全なチャネルを介して、第1のキーを分割することによって取得された複数のサブキーを車両に送信する。加えて、キー管理ノードは、アップグレードされるべき別の車載デバイスのアップグレードファイルの暗号文を復号化するために使用される車両のキー、またはキーを分割することによって取得された複数のサブキーを車両にさらに送信する。
第1の暗号文が暗号化されたメッセージ認証コードを含む場合、キー管理ノードは、安全なチャネルを介して第4のキーを車両にさらに送信する。言い換えれば、アップグレードされるべき車載デバイスのアップグレードファイルの暗号文が暗号化されたメッセージ認証コードを含むとき、本方法は、サーバが、暗号化されたメッセージ認証コードを復号化するために使用されるキーを車両に送信することをさらに含む。サーバがアップグレード管理ノードおよびキー管理ノードを含むとき、キー管理ノードは、安全なチャネルを介して、暗号化されたメッセージ認証コードを復号化するために使用されるキーを車両に送信する。
ステップS1204:車両は、第1の暗号文を第1の車載デバイスに送信する。
車両が、アップグレードされるべき各車載デバイスのアップグレードファイルの暗号文に基づいてアップグレードパッケージを取得するとき、サーバによって送信されたアップグレードパッケージを受信した後、車両は、アップグレードパッケージのデジタル署名を使用してアップグレードパッケージを検証し得る。検証が成功した後、車両は、アップグレードパッケージ内の第1の暗号文を取得し、第1の暗号文を第1の車載デバイスに送信する。
第1の車載デバイスは依存デバイスであるため、第1の暗号文は、第1の車載デバイスが依存デバイスであることを示すタイプ識別子を含む。任意選択の方法では、車両は、アップグレードポリシーに含まれるアップグレード依存関係に基づいて、第1の車載デバイスが依存する各車載デバイスを取得し、第1の車載デバイスが依存する各車載デバイスの識別子を第1の車載デバイスに送信し得、これにより、第1の車載デバイスは、第1の車載デバイスのアップグレードが依存する車載デバイスを知る。第1の車載デバイスが依存する車載デバイスは、第2の車載デバイスを含む。
ステップS1205:車両は、第1のキーを分割することによって取得された複数のサブキーのうちの第2のサブキーを第1の車載デバイスに送信する。言い換えれば、第2のサブキーは、第1のキーを構築するために使用される。
車両は、第1のキーを分割することによって取得された複数のサブキーを受信し、第1のキーを分割することによって取得された複数のサブキーのうちの第2のサブキーを第1の車載デバイスに送信する。
車両がサーバから第4のキーを受信する場合、車両は、第4のキーを第1の車載デバイスにさらに送信する。
ステップS1206:車両は、第2の暗号文を第2の車載デバイスに送信する。
ステップS1207:車両は、第1のキーを分割することによって取得された複数のサブキーのうちの第1のサブキーを第2の車載デバイスに送信する。言い換えれば、第1のサブキーは、第1のキーを構築するために使用される。
第1の車載デバイスのアップグレードが、第2の車載デバイス以外の別の被依存車載デバイスのアップグレードの完了にさらに依存する場合、車両は、第1のキーを分割することによって取得された複数のサブキーのうちの1つを別の被依存車載デバイスにさらに別々に送信する。
例えば、第1の車載デバイスのアップグレードがM-1個の第2の車載デバイスのアップグレードの完了に依存する場合、第1のアップグレードファイルの第1のキーはM個のサブキーに分割され、車両は、第2のサブキー以外のM個のサブキーの各々をM-1個の第2の車載デバイスに送信し、M-1個の第2の車載デバイスはそれぞれ、M個のサブキーのうちの1つを受信する。
ステップS1208:第2の車載デバイスは、第2のアップグレードファイルを取得するために第2の暗号文を復号化する。
ステップS1209:第2の車載デバイスは、第2のアップグレードファイルに基づいてアップグレードを実行する。
ステップS1210:第2の車載デバイスは、アップグレードが成功したと判定した後に、第1のサブキーを第1の車載デバイスに送信する。
第2の車載デバイスは、第1のサブキーを受信し、アップグレードが成功したと判定した後に第1のサブキーを第1の車載デバイスに送信する。
ステップS1211:第1の車載デバイスは、第1のサブキー、第2のサブキー、および第1の暗号文に基づいてアップグレードを実行する。
第1の車載デバイスは、第1のサブキー、第2のサブキー、および第1の暗号文を受信し、第1のサブキー、第2のサブキー、および第1の暗号文に基づいてアップグレードを実行する。
第1の車載デバイスのアップグレードが、第2の車載デバイス以外の別の被依存車載デバイスのアップグレードの完了にさらに依存する場合、第1の車載デバイスは、別の被依存車載デバイスによって送信される別のサブキーをさらに受信し、別のサブキーは、第1のキーを構築するために使用されることが理解されよう。例えば、第1の車載デバイスのアップグレードが、第2の車載デバイスおよび第3の車載デバイスのアップグレードの完了に依存する場合、第1のキーは、第1のサブキー、第2のサブキー、および第3のサブキーの3つのサブキーに分割される。第1の車載デバイスは、第3の車載デバイスによって送信された第3のサブキーをさらに受信する。第3の車載デバイスによって第1の車載デバイスに送信される第3のサブキーは、車両によって第3の車載デバイスに送信される。言い換えれば、第1の車載デバイスのアップグレードがM-1個の被依存車載デバイスのアップグレードの完了に依存する場合、第1の車載デバイスは、M-1個の被依存車載デバイスから、第1のキーを分割することによって取得されたM個のサブキーのうちの1つを別々に受信し、車両から1つのサブキーを受信し、合計でM個のサブキーを受信する。
第1の暗号文を受信した後、第1の車載デバイスは、第1の暗号文に含まれる新しいファイルヘッダ内の、第1の車載デバイスが依存デバイスであることを示すタイプ識別子に基づいて、第1の車載デバイスが、アップグレードを実行するために、第1の車載デバイスが依存する各車載デバイスによって送信される、第1のキーを分割することによって取得される1つのサブキーを待つ必要があると判定する。
第1のサブキーおよび第2のサブキーを受信した後、第1の車載デバイスは、第1のサブキーおよび第2のサブキーに基づいて第1のキーを復元する、すなわち、受信されたM個のサブキーに基づいて第1のキーを復元する。第1の暗号文は、第1のアップグレードファイルを取得するために、第1のキーを使用して復号化される。第1の暗号文が暗号化された第2のメッセージ認証コードをさらに含む場合、第1の車載デバイスは、第4のキーを使用して、暗号化された第2のメッセージ認証コードをさらに復号化し、第2のメッセージ認証コードに基づいて、取得された第1のアップグレードファイルの完全性を検証する。検証が成功した場合、第1の車載デバイスは、第1のアップグレードファイルに基づいてアップグレードを実行し得る。
本実施形態では、依存車載デバイスのアップグレードファイルの暗号文を復号化するために使用されるキーは複数のサブキーに分割され、1つのサブキーを除く複数のサブキーのうちの他のサブキーは、依存車載デバイスが依存する車載デバイスに別々に送信され、これにより、他のサブキーは、依存車載デバイスが依存する車載デバイスが正常にアップグレードされた後に依存車載デバイスに送信され、依存車載デバイスは、アップグレードを完了するために、キーを分割することによって取得されたサブキーに基づいてキーを復元し得る。言い換えれば、本実施形態の方法によれば、依存車載デバイスが依存する車載デバイスのアップグレードが完了した後にのみ、依存車載デバイスがアップグレードされることが保証され、その結果、正しいアップグレード順序が保証され、各車載デバイスの正常な動作がさらに保証される。加えて、本実施形態の方法によれば、アップグレードパッケージを生成するプロセスは単純であり、アップグレード効率は比較的高い。
図13Aおよび図13Bは、本出願の一実施形態による車載デバイスアップグレード方法の相互作用図6である。本実施形態は、任意の依存デバイスのアップグレード方法に関する。本実施形態では、任意の依存デバイスは第1の車載デバイスと呼ばれる。図13Aおよび図13Bを参照されたい。本実施形態の方法は、以下のステップを含む。
ステップS1301:サーバは、第1の暗号文および第2の暗号文を生成し、第1の暗号文は、第1の車載デバイスの第1のアップグレードファイルを暗号化することによって取得され、第2の暗号文は、第2の車載デバイスの第2のアップグレードファイルを暗号化することによって取得される。
このステップの具体的な実施態様と図12Aに示されている実施形態のステップS1201の具体的な実施態様との違いは、第1の車載デバイスのアップグレードがM-1個の他の車載デバイスのアップグレードの完了に依存する場合に、第1の暗号文を復号化するために使用される第1のキーがM個のサブキーの代わりにM-1個のサブキーに分割されることにある。
このステップの他の具体的な実施態様は、図12Aに示されている実施形態のステップS1201と同じである。ここでは詳細は再び説明されない。
ステップS1302:サーバは、第1の暗号文および第2の暗号文を車両に送信する。
このステップの具体的な実施態様については、図12Aに示されている実施形態のステップS1202の説明を参照されたい。ここでは詳細は再び説明されない。
ステップS1303:サーバは、第1のキーを分割することによって取得された複数のサブキーを車両に送信する。
このステップの具体的な実施態様については、図12Aに示されている実施形態のステップS1203の説明を参照されたい。ここでは詳細は再び説明されない。
ステップS1304:車両は、第1の暗号文を第1の車載デバイスに送信する。
このステップの具体的な実施態様については、図12Aに示されている実施形態のステップS1204の説明を参照されたい。ここでは詳細は再び説明されない。
第1の暗号文が暗号化されたメッセージ認証コードをさらに含む場合、車両は、第4のキーを第1の車載デバイスにさらに送信する。
ステップS1305:車両は、第2の暗号文を第2の車載デバイスに送信する。
ステップS1306:車両は、第1のキーを分割することによって取得された複数のサブキーのうちの第1のサブキーを第2の車載デバイスに送信する。
第1の車載デバイスのアップグレードが、第2の車載デバイス以外の別の被依存車載デバイスのアップグレードの完了にさらに依存する場合、車両は、第1のキーを分割することによって取得された複数のサブキーのうちの1つを別の被依存車載デバイスにさらに別々に送信する。
例えば、第1の車載デバイスのアップグレードがM-1個の第2の車載デバイスのアップグレードの完了に依存する場合、第1のアップグレードファイルの第1のキーはM-1個のサブキーに分割され、車両は、第2のサブキー以外のM-1個のサブキーの各々をM-1個の第2の車載デバイスに送信し、M-1個の第2の車載デバイスはそれぞれ、M-1個のサブキーのうちの1つを受信する。
ステップS1307:第2の車載デバイスは、第2のアップグレードファイルを取得するために第2の暗号文を復号化する。
ステップS1308:第2の車載デバイスは、アップグレードが成功したと判定した後に、第1のサブキーを第1の車載デバイスに送信する。
第2の車載デバイスは、第1のサブキーを受信し、アップグレードが成功したと判定した後に第1のサブキーを第1の車載デバイスに送信する。
ステップS1309:第1の車載デバイスは、第1のサブキーおよび第1の暗号文に基づいてアップグレードを実行する。
第1の車載デバイスは、第1のサブキーおよび第1の暗号文を受信し、第1のサブキーおよび第1の暗号文に基づいてアップグレードを実行する。
第1の車載デバイスのアップグレードが、第2の車載デバイス以外の別の被依存車載デバイスのアップグレードの完了にさらに依存する場合、第1の車載デバイスは、別の被依存車載デバイスによって送信される別のサブキーをさらに受信し、別のサブキーは、第1のキーを構築するために使用されることが理解されよう。例えば、第1の車載デバイスのアップグレードが、第2の車載デバイスおよび第3の車載デバイスのアップグレードの完了に依存する場合、第1のキーは、第1のサブキーおよび第2のサブキーの2つのサブキーに分割され、第1の車載デバイスは、第3の車載デバイスによって送信される第2のサブキーをさらに受信する。第3の車載デバイスによって第1の車載デバイスに送信される第2のサブキーは、車両によって第3の車載デバイスに送信される。言い換えれば、第1の車載デバイスのアップグレードがM-1個の被依存車載デバイスのアップグレードの完了に依存する場合、第1の車載デバイスは、M-1個の被依存車載デバイスから、第1のキーを分割することによって取得されたM-1個のサブキーのうちの1つを別々に受信し、合計でM-1個のサブキーを受信する。
第1の暗号文を受信した後、第1の車載デバイスは、第1の暗号文に含まれる新しいファイルヘッダ内の、第1の車載デバイスが依存デバイスであることを示すタイプ識別子に基づいて、第1の車載デバイスが、アップグレードを実行するために、第1の車載デバイスが依存する各車載デバイスによって送信される、第1のキーを分割することによって取得される1つのサブキーを待つ必要があると判定する。
第1のサブキーを受信した後、第1の車載デバイスは、第1のサブキーに基づいて第1のキーを復元する、すなわち、受信されたM-1個のサブキーに基づいて第1のキーを復元する。第1の暗号文は、第1のアップグレードファイルを取得するために、第1のキーを使用して復号化される。第1の暗号文が暗号化された第2のメッセージ認証コードをさらに含む場合、第1の車載デバイスは、第4のキーを使用して、暗号化された第2のメッセージ認証コードをさらに復号化し、第2のメッセージ認証コードに基づいて、取得された第1のアップグレードファイルの完全性を検証する。検証が成功した場合、第1の車載デバイスは、第1のアップグレードファイルに基づいてアップグレードを実行し得る。
本実施形態では、依存車載デバイスのアップグレードファイルの暗号文を復号化するために使用されるキーは少なくとも1つのサブキーに分割され、少なくとも1つのサブキーのサブキーは、車載デバイスのアップグレードが依存する車載デバイスに別々に送信され、これにより、依存車載デバイスが依存する各車載デバイスが正常にアップグレードされた後に、少なくとも1つのサブキーのうちの1つのサブキーは、依存車載デバイスに送信され、依存車載デバイスは、アップグレードを完了するために、キーを分割することによって取得された少なくとも1つのサブキーに基づいてキーを復元し得る。言い換えれば、本実施形態の方法によれば、依存車載デバイスが依存する車載デバイスのアップグレードが完了した後にのみ、依存車載デバイスがアップグレードされることが保証され、その結果、正しいアップグレード順序が保証され、各車載デバイスの正常な動作がさらに保証される。加えて、本実施形態の方法によれば、アップグレードパッケージを生成するプロセスは単純であり、アップグレード効率は比較的高い。
以上、車両上のアップグレードされるべき各車載デバイスの依存車載デバイスアップグレード方法について説明した。以下では、依存車載デバイスではない独立した車載デバイスのアップグレード方法について説明する。
独立した車載デバイスについては、受信されたアップグレードパッケージから独立した車載デバイスのアップグレードファイルを取得した後、車両は、独立した車載デバイスのアップグレードファイルを独立した車載デバイスに送信する。サーバから独立した車載デバイスのアップグレードファイルのキーを受信した後、車両は、独立したデバイスのアップグレードファイルのキーを独立した車載デバイスに送信し、これにより、独立した車載デバイスは、アップグレードファイルおよびキーに基づいてアップグレードを実行する。
独立した車載デバイスのうちの独立したデバイスに関して、車両は、独立したデバイスのアップグレードファイルおよびキーを独立したデバイスに1対1の方法で送信し得る。
独立した車載デバイスのうちの同種車載デバイスに関して、車両は、対応するアップグレードファイルを同種車載デバイスにブロードキャストする。車両は、対応するアップグレードファイルのキーを相互に同種の同種車載デバイスに1対1の方法で送信する。相互に同種の同種車載デバイスの中に、アップグレードに失敗した車載デバイスが存在する場合、ロールバックが実行されるか、またはアップグレードに失敗した車載デバイスが再びアップグレードされる。それでも車載デバイスがアップグレードに失敗した場合、ロールバックが実行される。
独立した車載デバイスのうちの相互に異種の異種車載デバイスの複数のグループに関して、車両は、異種車載デバイスのグループのアップグレードファイルおよびキーを異種車載デバイスの各グループに送信する。相互に異種の異種車載デバイスの複数のグループの中に、アップグレードに失敗した車載デバイスが存在する場合、ロールバックが実行されるか、またはアップグレードに失敗した車載デバイスが再びアップグレードされる。それでも車載デバイスがアップグレードに失敗した場合、ロールバックが実行される。異種車載デバイスの各グループは、1つ以上の車載デバイスを含む。異種車載デバイスのグループが複数の車載デバイスを含む場合、複数の車載デバイスは、互いに同種の同種デバイスである。
以上、本出願における車載デバイスアップグレード方法について説明した。以下では、本出願におけるアップグレード装置について説明する。
図14は、本出願の一実施形態によるアップグレード装置の構造の概略図である。図14に示されているように、アップグレード装置は、前述の第1の車載デバイスであってもよいし、前述の第1の車載デバイスの構成要素(例えば、集積回路またはチップ)であってもよい。あるいは、アップグレード装置は、前述の第2の車載デバイスであってもよいし、前述の第2の車載デバイスの構成要素(例えば、集積回路またはチップ)であってもよい。あるいは、アップグレード装置は、前述の車両であってもよいし、車両の構成要素(例えば、集積回路またはチップ)であってもよい。あるいは、アップグレード装置は、前述のサーバであってもよいし、サーバの構成要素(例えば、集積回路またはチップ)であってもよい。あるいは、アップグレード装置は、本出願の方法の実施形態の方法を実施するように構成された別の通信モジュールであってもよい。アップグレード装置1400は、処理モジュール1402(処理ユニット)を含み得る。任意選択で、アップグレード装置1400は、トランシーバモジュール1401(トランシーバユニット)および記憶モジュール1403(記憶ユニット)をさらに含んでもよい。
可能な設計では、図14における1つ以上のモジュールは、1つ以上のプロセッサによって実施されてもよいし、1つ以上のプロセッサおよびメモリによって実施されてもよいし、1つ以上のプロセッサおよびトランシーバによって実施されてもよいし、1つ以上のプロセッサ、メモリ、およびトランシーバによって実施されてもよい。これは、本出願の実施形態では限定されない。プロセッサ、メモリ、およびトランシーバは、別々に配置されてもよいし、統合されてもよい。
アップグレード装置は、本出願の実施形態で説明されている第1の車載デバイスを実施する機能を有する。例えば、アップグレード装置は、本出願の実施形態で説明されている、第1の車載デバイスに関連するステップを第1の車載デバイスが実行するために使用される対応するモジュール、ユニット、または手段(means)を含む。機能、ユニット、または手段(means)は、ソフトウェアを使用して実施されてもよいし、対応するソフトウェアを実行するハードウェアによって実施されてもよいし、ソフトウェアとハードウェアとの組み合わせによって実施されてもよい。詳細については、前述の対応する方法の実施形態の対応する説明を参照されたい。
あるいは、アップグレード装置は、本出願の実施形態で説明されている第2の車載デバイスを実施する機能を有する。例えば、アップグレード装置は、本出願の実施形態で説明されている、第2の車載デバイスに関連するステップを第2の車載デバイスが実行するために使用される対応するモジュール、ユニット、または手段(means)を含む。機能、ユニット、または手段(means)は、ソフトウェアを使用して実施されてもよいし、対応するソフトウェアを実行するハードウェアによって実施されてもよいし、ソフトウェアとハードウェアとの組み合わせによって実施されてもよい。詳細については、前述の対応する方法の実施形態の対応する説明を参照されたい。
あるいは、アップグレード装置は、本出願の実施形態で説明されている車両を実施する機能を有する。例えば、アップグレード装置は、本出願の実施形態で説明されている、車両に関連するステップを車両が実行するために使用される対応するモジュール、ユニット、または手段(means)を含む。機能、ユニット、または手段(means)は、ソフトウェアまたはハードウェアによって実施されてもよいし、対応するソフトウェアを実行するハードウェアによって実施されてもよいし、ソフトウェアとハードウェアとの組み合わせによって実施されてもよい。詳細については、前述の対応する方法の実施形態の対応する説明を参照されたい。
あるいは、アップグレード装置は、本出願の実施形態で説明されているサーバを実施する機能を有する。例えば、アップグレード装置は、本出願の実施形態で説明されている、サーバに関連するステップをサーバが実行するために使用される対応するモジュール、ユニット、または手段(means)を含む。機能、ユニット、または手段(means)は、ソフトウェアまたはハードウェアによって実施されてもよいし、対応するソフトウェアを実行するハードウェアによって実施されてもよいし、ソフトウェアとハードウェアとの組み合わせによって実施されてもよい。詳細については、前述の対応する方法の実施形態の対応する説明を参照されたい。
任意選択で、本出願の本実施形態におけるアップグレード装置1400内のモジュールは、本出願の方法の実施形態で説明された方法を実行するように構成されてもよい。
第1の可能な設計では、アップグレード装置1400は、トランシーバモジュール1401および処理モジュール1402を含み得る。
処理モジュール1402は、アップグレード装置1400が正常にアップグレードされたと判定するステップS209、ステップS1007、ステップS1210、およびステップS1308を実行するように構成される。
トランシーバモジュール1401は、第1のサブキーを第1の車載デバイスに送信するステップS209、ステップS1007、ステップS1210、およびステップS1308を実行し、第1のサブキーは、第1の暗号文を復号化するための第1のキーを構築するために使用され、第1の暗号文は、第1の車載デバイスの第1のアップグレードファイルを暗号化することによって取得される、ように構成される。
任意選択で、第1の車載デバイスのアップグレードは、アップグレード装置1400のアップグレードの完了に依存する。
任意選択で、処理モジュール1402が、アップグレード装置1400が正常にアップグレードされたと判定する前に、トランシーバモジュール1401は、第2の暗号文を受信するステップS207およびステップS1005を実行し、第2の暗号文は、アップグレード装置の第2のアップグレードファイルおよび第1のサブキーを暗号化することによって取得される、ようにさらに構成され、処理モジュール1402は、第1のサブキーを取得するために、第2の暗号文を復号化するステップS207およびステップS1005を実行するようにさらに構成される。
任意選択で、処理モジュール1402が、アップグレード装置1400が正常にアップグレードされたと判定する前に、トランシーバモジュール1401は、第1のサブキーを受信するステップS1308およびステップS1210を実行するようにさらに構成される。
第2の車載デバイスは、復号化された第2のアップグレードファイルに従ってアップグレードのステップS208、ステップS1006、ステップS1209、およびステップS1307をさらに実行する。
第1の可能な設計におけるアップグレード装置1400は、図2Aおよび図2B、図10Aおよび図10B、図12Aおよび図12B、または図13Aおよび図13Bに示されている方法の実施形態における第2の車載デバイスまたは第2の車載デバイスの構成要素であり得る。
第2の可能な設計では、アップグレード装置1400は、トランシーバモジュール1401および処理モジュール1402を含み得る。
トランシーバモジュール1401は、第1の暗号文、第1のサブキー、および第2のサブキーを受信するステップS210、ステップS1008、ステップS1211、およびステップS1309を実行し、第1の暗号文は、アップグレード装置1400の第1のアップグレードファイルを暗号化することによって取得され、第1のサブキーおよび第2のサブキーは、第1の暗号文を復号化するための第1のキーを構築するために使用される、ように構成される。
処理モジュール1402は、第1のサブキー、第2のサブキー、および第1の暗号文に従ってアップグレードのステップS210、ステップS1008、ステップS1211、およびステップS1309を実行するように構成される。
任意選択で、トランシーバモジュール1401は、第1のデバイスから第1のサブキーを受信し、第2のデバイスから第2のサブキーを受信するステップS210およびステップS1211を実行し、第1のデバイスは第2の車載デバイスであり、第2のデバイスは、アップグレード装置が配置された車両である、ように特に構成される。
任意選択で、トランシーバモジュール1401は、第1のデバイスから第1のサブキーを受信し、第2のデバイスから第2のサブキーを受信するステップS1008およびステップS1309を実行し、第1のデバイスは第2の車載デバイスであり、第2のデバイスは第3の車載デバイスである、ように特に構成される。
任意選択で、トランシーバモジュール1401は、第2の車載デバイスの識別子を受信するようにさらに構成されるか、またはトランシーバモジュールは、第2の車載デバイスの識別子および第3の車載デバイスの識別子を受信するようにさらに構成される。
第2の可能な設計におけるアップグレード装置1400は、図2Aおよび図2B、図10Aおよび図10B、図12Aおよび図12B、または図13Aおよび図13Bに示されている方法の実施形態における第1の車載デバイスまたは第1の車載デバイスの構成要素であり得る。
第3の可能な設計では、アップグレード装置1400はトランシーバモジュール1401を含み得る。
トランシーバモジュール1401は、第1の暗号文を第1の車載デバイスに送信するステップS204およびステップS1204を実行し、第1の暗号文は、第1の車載デバイスの第1のアップグレードファイルを暗号化することによって取得され、第2のサブキーを第1の車載デバイスに送信するステップS205およびステップS1205を実行し、第2のサブキーは、第1の暗号文を復号化するための第1のキーを構築するために使用される、ように構成される。
任意選択で、トランシーバモジュール1401は、第1のサブキーを第2の車載デバイスにさらに送信するためにステップS1207を実行し、第1のサブキーは、第1のキーを構築するために使用される、ようにさらに構成される。
任意選択で、トランシーバモジュールは、アップグレードポリシーを受信し、アップグレードポリシーは、第1の車載デバイスのアップグレードが第2の車載デバイスのアップグレードの完了に依存することを示す、ようにさらに構成される。
任意選択で、トランシーバモジュールは、アップグレードポリシーを車両に送信し、アップグレードポリシーは、第1の車載デバイスのアップグレードが第2の車載デバイスのアップグレードの完了に依存することを示す、ようにさらに構成される。
任意選択で、トランシーバモジュール1401は、第2の車載デバイスの識別子を第1の車載デバイスに送信するステップS204およびステップS1204を実行するようにさらに構成される。
任意選択で、トランシーバモジュール1401は、第2の暗号文を第2の車載デバイスに送信するステップS206およびステップS1206を実行するようにさらに構成される。
第3の可能な設計におけるアップグレード装置1400は、図2Aおよび図2B、または図12Aおよび図12Bに示されている方法の実施形態における車両または車両の構成要素であり得る。
第4の可能な設計では、アップグレード装置1400は、トランシーバモジュール1401を含み得る。
第1のアップグレードファイルを第1の車載デバイスに送信するステップS804を実行するように構成されたトランシーバモジュール1401であって、アップグレード装置1400は、第1の車載デバイスが配置された装置である、トランシーバモジュール1401。
トランシーバモジュール1401は、第1のアップグレードファイルの第1のキーの各部分を各第2の車載デバイスに別々に送信するために、ステップS806を実行するようにさらに構成される。
トランシーバモジュール1401は、第1の暗号文を第1の車載デバイスに送信するステップS1304を実行し、第1の暗号文は、第1の車載デバイスの第1のアップグレードファイルを暗号化することによって取得され、第1のサブキーを第2の車載デバイスに送信するステップS1306を実行し、第1のサブキーは、第1の暗号文を復号化するための第1のキーを構築するために使用される、ように構成される。
任意選択で、トランシーバモジュールは、アップグレードポリシーを受信し、アップグレードポリシーは、第1の車載デバイスのアップグレードが第2の車載デバイスのアップグレードの完了に依存することを示す、ようにさらに構成される。
任意選択で、トランシーバモジュールは、アップグレードポリシーを車両に送信し、アップグレードポリシーは、第1の車載デバイスのアップグレードが第2の車載デバイスのアップグレードの完了に依存することを示す、ようにさらに構成される。
任意選択で、トランシーバモジュール1401は、第2の車載デバイスの識別子を第1の車載デバイスに送信するステップS1304を実行するようにさらに構成される。
任意選択で、トランシーバモジュール1401は、第2の暗号文を第2の車載デバイスに送信するステップS1305を実行するようにさらに構成される。
第4の可能な設計におけるアップグレード装置1400は、図13Aおよび図13Bに示されている方法の実施形態における車両または車両の構成要素であり得る。
第5の可能な設計では、アップグレード装置1400は、トランシーバモジュール1401および処理モジュール1402を含み得る。
処理モジュール1402は、情報の第1の部分に基づいて第2の暗号文を生成するステップS201、ステップS901、ステップS1001、およびステップS1101を実行し、情報の第1の部分は、第2の車載デバイスの第2のアップグレードファイルおよび第1のサブキーを含み、第1のサブキーは、第1の暗号文を復号化するための第1のキーを構築するために使用され、第1の暗号文は、第1の車載デバイスの第1のアップグレードファイルを暗号化することによって取得される、ように構成される。
トランシーバモジュール1401は、第2の暗号文を第2の車載デバイスに送信するステップS202、ステップS902、ステップS1002、およびステップS1102を実行するように構成される。
任意選択で、情報の第1の部分は第1の車載デバイスの第1の識別子をさらに含み、第1の識別子は第1のサブキーに関連付けられる。
任意選択で、情報の第1の部分は指示情報をさらに含み、指示情報は依存車載デバイスの数を示し、依存車載デバイスのアップグレードは第2の車載デバイスのアップグレードの完了に依存し、依存デバイスは第1の車載デバイスを含む。
任意選択で、情報の第1の部分は、第2の車載デバイスのタイプ識別子をさらに含む。
任意選択で、トランシーバモジュール1401は、アップグレードポリシーを車両に送信し、アップグレードポリシーは、第1の車載デバイスのアップグレードが第2の車載デバイスのアップグレードの完了に依存することを示す、ようにさらに構成される。
任意選択で、トランシーバモジュール1401は、第2のサブキーを車両に送信するステップS203およびステップS903を実行し、第2のサブキーは、第1のキーを構築するために使用される、ようにさらに構成される。
第5の可能な設計におけるアップグレード装置1400は、図2Aおよび図2B、図9Aおよび図9B、図10Aおよび図10B、または図11Aおよび図11Bの方法の実施形態におけるサーバの構成要素であり得る。
第6の可能な設計では、アップグレード装置1400は、トランシーバモジュール1401および処理モジュール1402を含み得る。
処理モジュール1402は、アップグレード装置1400のアップグレードが成功したと判定するステップS908およびステップS1107を実行するように構成される。トランシーバモジュール1401は、第1のサブキーを車両に送信するステップS903を実行し、第1のサブキーは、第1の暗号文を復号化するための第1のキーを構築するために使用され、第1の暗号文は、第1の車載デバイスの第1のアップグレードファイルを暗号化することによって取得される、ように構成される。
処理モジュール1402がアップグレード装置1400が正常にアップグレードされたと判定する前に、トランシーバモジュール1401は、第2の暗号文を受信し、第2の暗号文は、アップグレード装置1400の第2のアップグレードファイルおよび第1のサブキーを暗号化することによって取得される、ようにさらに構成され、処理モジュールは、第1のサブキーを取得するために第2の暗号文を復号化するようにさらに構成される。
第6の可能な設計におけるアップグレード装置1400は、図9Aおよび図9B、または図11Aおよび図11Bに示されている方法の実施形態における第2の車載デバイスまたは第2の車載デバイスの構成要素であり得る。
第7の可能な設計では、アップグレード装置1400は、トランシーバモジュール1401および処理モジュール1402を含み得る。
トランシーバモジュール1401は、第1のサブキーおよび第2のサブキーを受信するステップS909およびステップS1108を実行し、第1のサブキーおよび第2のサブキーは、第1の暗号文を復号化するための第1のキーを構築するために使用され、第1の暗号文は、第1の車載デバイスの第1のアップグレードファイルを暗号化することによって取得される、ように構成される。処理モジュール1402は、第1のサブキーおよび第2のサブキーに基づいて第1のキーを構築するステップS909およびステップS1108を実行するように構成される。トランシーバモジュール1401は、第1のキーを第1の車載デバイスに送信するステップS910およびステップS1109を実行するようにさらに構成される。
可能な実施態様では、トランシーバモジュールは、第1のデバイスから第1のサブキーを受信し、第2のデバイスから第2のサブキーを受信するステップS909を実行し、第1のデバイスは第2の車載デバイスであり、第2のデバイスはサーバである、ように特に構成される。
可能な実施態様では、トランシーバモジュールは、第1のデバイスから第1のサブキーを受信し、第2のデバイスから第2のサブキーを受信するステップS1108を実行し、第1のデバイスは第2の車載デバイスであり、第2のデバイスは第3の車載デバイスである、ように特に構成される。
第7の可能な設計におけるアップグレード装置1400は、図9Aおよび図9B、または図11Aおよび図11Bに示されている方法の実施形態における車両または車両の構成要素であり得る。
本実施形態の装置は、前述の方法の実施形態の技術的解決策を実行するように構成され得る。本装置の実施原理および技術的効果は、前述の方法の実施形態のものと同様である。ここでは詳細は再び説明されない。
図15は、本出願の一実施形態による電子デバイスの実施態様の概略ブロック図である。本実施形態の電子デバイスは、前述の第1の車載デバイスであってもよいし、前述の第2の車載デバイスであってもよいし、前述の車両であってもよいし、前述のサーバであってもよい。電子デバイスは、前述の方法の実施形態で説明された第1の車載デバイス、第2の車載デバイス、車両、またはサーバに対応する方法を実施するように構成され得る。詳細については、前述の方法の実施形態の説明を参照されたい。
電子デバイスは、1つ以上のプロセッサ1501を含み得、プロセッサ1501は、処理ユニットと呼ばれる場合もあり、特定の制御機能を実施し得る。プロセッサ1501は、汎用プロセッサまたは専用プロセッサなどであり得る。
任意選択の設計では、プロセッサ1501はまた、命令および/またはデータ1503を記憶してもよく、命令および/またはデータ1503は、電子デバイスが前述の方法の実施形態で説明された方法を実行するように、プロセッサ上で実行されてもよい。
別の任意選択の設計では、プロセッサ1501は、送信機能および受信機能を実施するように構成されたトランシーバユニットを含んでもよい。例えば、トランシーバユニットは、トランシーバ回路、インターフェース、またはインターフェース回路であってもよい。送受信機能を実施するように構成されたトランシーバ回路、インターフェース、またはインターフェース回路は分離されてもよいし、統合されてもよい。トランシーバ回路、インターフェース、またはインターフェース回路は、コード/データを読み書きするように構成されてもよい。あるいは、トランシーバ回路、インターフェース、またはインターフェース回路は、信号を送信または転送するように構成されてもよい。
任意選択で、電子デバイスは、1つ以上のメモリ1502を含んでもよく、メモリ1502は、命令1504を記憶してもよい。命令は、電子デバイスが前述の方法の実施形態で説明された方法を実行するように、プロセッサ上で実行されてもよい。任意選択で、メモリはデータをさらに記憶してもよい。任意選択で、プロセッサはまた、命令および/またはデータを記憶してもよい。プロセッサとメモリとは別々に配置されてもよいし、一緒に統合されてもよい。例えば、前述の方法の実施形態で説明された対応関係は、メモリに記憶されてもよいし、プロセッサに記憶されてもよい。
任意選択で、電子デバイスは、トランシーバ1505および/またはアンテナ1506をさらに含んでもよい。プロセッサ1501は、電子デバイスを制御する処理ユニットと呼ばれ得る。トランシーバ1505は、トランシーバユニット、トランシーバデバイス、トランシーバ回路、またはトランシーバなどと呼ばれ得、送受信機能を実施するように構成される。
本実施形態で説明されているプロセッサおよびトランシーバは、相補型金属酸化膜半導体(complementary metal oxide semiconductor、CMOS)、n型金属酸化膜半導体(nMetal-oxide-semiconductor、NMOS)、p型金属酸化膜半導体(positive channel metal oxide semiconductor、PMOS)、バイポーラ接合トランジスタ(Bipolar Junction Transistor、BJT)、バイポーラCMOS(BiCMOS)、シリコンゲルマニウム(SiGe)、およびガリウムヒ素(GaAs)などの様々なICプロセス技術を使用して製造され得る。
本出願の実施形態におけるプロセッサは、集積回路チップであってもよく、信号処理能力を有することを理解されたい。実施プロセスでは、前述の方法の実施形態におけるステップは、プロセッサ内のハードウェア集積論理回路を使用して、またはソフトウェアの形態の命令を使用して実施され得る。前述のプロセッサは、汎用プロセッサ、デジタル信号プロセッサ(digital signal processor、DSP)、特定用途向け集積回路(application specific integrated circuit、ASIC)、フィールドプログラマブルゲートアレイ(field programmable gate array、FPGA)もしくは別のプログラマブル論理デバイス、ディスクリートゲートもしくはトランジスタ論理デバイス、またはディスクリートハードウェア構成要素であり得る。
本出願の実施形態におけるメモリは、揮発性メモリもしくは不揮発性メモリであってもよいし、揮発性メモリと不揮発性メモリとの両方を含んでもよいことが理解されよう。不揮発性メモリは、読み出し専用メモリ(read-only memory、ROM)、プログラマブル読み出し専用メモリ(programmable ROM、PROM)、消去可能プログラマブル読み出し専用メモリ(erasable PROM、EPROM)、電気的消去可能プログラマブル読み出し専用メモリ(electrically EPROM、EEPROM)、またはフラッシュメモリであってもよい。揮発性メモリは、外部キャッシュとして使用されるランダムアクセスメモリ(random access memory、RAM)であってもよい。限定的な説明ではなく例として、多くの形態のRAM、例えば、スタティックランダムアクセスメモリ(static RAM、SRAM)、ダイナミックランダムアクセスメモリ(dynamic RAM、DRAM)、シンクロナス・ダイナミック・ランダム・アクセス・メモリ(synchronous DRAM、SDRAM)、ダブル・データ・レート・シンクロナス・ダイナミック・ランダム・アクセス・メモリ(double data rate SDRAM、DDR SDRAM)、拡張シンクロナス・ダイナミック・ランダム・アクセス・メモリ(enhanced SDRAM、ESDRAM)、シンクリンク・ダイナミック・ランダム・アクセス・メモリ(synchlink DRAM、SLDRAM)、およびダイレクト・ラムバス・ランダム・アクセス・メモリ(direct rambus RAM、DR RAM)が使用されてもよい。本明細書で説明されたシステムおよび方法におけるメモリは、これらのメモリおよび別の適切なタイプの任意のメモリを含むが、これらに限定されないことを意図されていることに留意されたい。
本出願の本実施形態で説明されている電子デバイスの範囲は、これに限定されず、電子デバイスの構造は図15において限定され得ない。本出願の本実施形態で説明されている電子デバイスは、独立したデバイスであってもよいし、より大きなデバイスの一部であってもよい。
図16は、本出願の一実施形態による車載デバイスアップグレードシステムの構造の概略図である。図16を参照されたい。車載デバイスのためのアップグレードシステムは、第1の車載デバイスと、少なくとも1つの第2の車載デバイスと、車両と、サーバとを含む。
一方法では、第1の車載デバイスは、図2Aおよび図2Bに示されている実施形態における第1の車載デバイスに対応する方法を実施し得、第2の車載デバイスは、図2Aおよび図2Bに示されている実施形態における第2の車載デバイスに対応する方法を実施するように構成され得、車両は、図2Aおよび図2Bに示されている実施形態における車両に対応する方法を実施するように構成され得、サーバは、図2Aおよび図2Bに示されている実施形態におけるサーバに対応する方法を実施し得る。
別の方法では、第1の車載デバイスは、図9Aおよび図9Bに示されている実施形態における第1の車載デバイスに対応する方法を実施し得、第2の車載デバイスは、図9Aおよび図9Bに示されている実施形態における第2の車載デバイスに対応する方法を実施するように構成され得、車両は、図9Aおよび図9Bに示されている実施形態における車両に対応する方法を実施するように構成され得、サーバは、図9Aおよび図9Bに示されている実施形態におけるサーバに対応する方法を実施し得る。
さらに別の方法では、第1の車載デバイスは、図10Aおよび図10Bに示されている実施形態における第1の車載デバイスに対応する方法を実施し得、第2の車載デバイスは、図10Aおよび図10Bに示されている実施形態における第2の車載デバイスに対応する方法を実施するように構成され得、車両は、図10Aおよび図10Bに示されている実施形態における車両に対応する方法を実施するように構成され得、サーバは、図10Aおよび図10Bに示されている実施形態におけるサーバに対応する方法を実施し得る。
さらに別の方法では、第1の車載デバイスは、図11Aおよび図11Bに示されている実施形態における第1の車載デバイスに対応する方法を実施し得、第2の車載デバイスは、図11Aおよび図11Bに示されている実施形態における第2の車載デバイスに対応する方法を実施するように構成され得、車両は、図11Aおよび図11Bに示されている実施形態における車両に対応する方法を実施するように構成され得、サーバは、図11Aおよび図11Bに示されている実施形態におけるサーバに対応する方法を実施し得る。
さらに別の方法では、第1の車載デバイスは、図12Aおよび図12Bに示されている実施形態における第1の車載デバイスに対応する方法を実施し得、第2の車載デバイスは、図12Aおよび図12Bに示されている実施形態における第2の車載デバイスに対応する方法を実施するように構成され得、車両は、図12Aおよび図12Bに示されている実施形態における車両に対応する方法を実施するように構成され得、サーバは、図12Aおよび図12Bに示されている実施形態におけるサーバに対応する方法を実施し得る。
さらに別の方法では、第1の車載デバイスは、図13Aおよび図13Bに示されている実施形態における第1の車載デバイスに対応する方法を実施し得、第2の車載デバイスは、図13Aおよび図13Bに示されている実施形態における第2の車載デバイスに対応する方法を実施するように構成され得、車両は、図13Aおよび図13Bに示されている実施形態における車両に対応する方法を実施するように構成され得、サーバは、図13Aおよび図13Bに示されている実施形態におけるサーバに対応する方法を実施し得る。
本実施形態におけるシステムは、前述の方法の実施形態のいずれか1つにおける技術的解決策を実行するように構成され得、本システムの実施原理および技術的効果は、前述の方法の実施形態におけるものと同様である。ここでは詳細は再び説明されない。
本出願は、コンピュータ可読媒体をさらに提供する。コンピュータ可読媒体は、コンピュータプログラムを記憶する。コンピュータプログラムがコンピュータによって実行されるとき、前述の方法の実施形態のいずれか1つにおける第1の車載デバイスの機能、第2の車載デバイスの機能、サーバの機能、または車両の機能が実施される。
本出願は、コンピュータプログラム製品をさらに提供する。コンピュータプログラム製品がコンピュータによって実行されるとき、前述の方法の実施形態のいずれか1つにおける第1の車載デバイスの機能、第2の車載デバイスの機能、サーバの機能、または車両の機能が実施される。
ソフトウェアが前述の実施形態を実施するために使用されるとき、前述の実施形態は、完全にまたは部分的にコンピュータプログラム製品の形態で実施されてもよい。コンピュータプログラム製品は、1つ以上のコンピュータ命令を含む。コンピュータ命令がコンピュータ上でロードされて実行されるとき、本出願の実施形態による手順または機能がすべてまたは部分的に生成される。コンピュータは、汎用コンピュータ、専用コンピュータ、コンピュータネットワーク、または別のプログラマブル装置であってもよい。コンピュータ命令は、コンピュータ可読記憶媒体に記憶されてもよいし、あるコンピュータ可読記憶媒体から別のコンピュータ可読記憶媒体に送信されてもよい。例えば、コンピュータ命令は、有線(例えば、同軸ケーブル、光ファイバ、もしくはデジタル加入者回線(digital subscriber line,DSL))方式またはワイヤレス(例えば、赤外線、無線、もしくはマイクロ波)方式で、あるウェブサイト、コンピュータ、サーバ、またはデータセンタから別のウェブサイト、コンピュータ、サーバ、またはデータセンタに送信されてもよい。コンピュータ可読記憶媒体は、コンピュータによってアクセス可能な任意の使用可能な媒体、または1つ以上の使用可能な媒体を組み込んだ、サーバもしくはデータセンタなどのデータ記憶デバイスであってもよい。使用可能な媒体は、磁気媒体(例えば、フロッピーディスク、ハードディスクドライブ、もしくは磁気テープ)、光学媒体(例えば、高密度デジタルビデオディスク(digital video disc、DVD))、または半導体媒体(例えば、ソリッドステートドライブ(solid-state disk、SSD))などであってもよい。
本出願で提供されるいくつかの実施形態では、開示されたシステム、装置、および方法が他の方法で実施されてもよいことを理解されたい。例えば、前述の装置の実施形態は例にすぎない。例えば、ユニットの分割は、論理的な機能の分割にすぎず、実際の実施時には他の分割であってもよい。例えば、複数のユニットまたは構成要素は別のシステムに組み合わされても統合されてもよく、または一部の機能は無視されてもよいし、実行されなくてもよい。加えて、提示されたまたは述べられた相互結合または直接的な結合もしくは通信接続は、いくつかのインターフェースを使用して実施されてもよい。装置またはユニット間の間接的な結合または通信接続は、電気的な、機械的な、または別の形態で実施されてもよい。
別個の部分として説明されているユニットは、物理的に分離されていてもいなくてもよく、ユニットとして提示されている部分は物理ユニットであってもなくてもよいし、1つの位置に配置されてもよいし、複数のネットワークユニットに分散されてもよい。実施形態における解決策の目的を達成するために、実際の要件に基づいて、ユニットの一部または全部が選択されてもよい。
加えて、本出願の実施形態における機能ユニットは、1つの処理ユニットに統合されてもよいし、各ユニットは物理的に単独で存在してもよいし、2つ以上のユニットが1つのユニットに統合されてもよい。
機能が、ソフトウェア機能ユニットの形態で実施され、独立した製品として販売または使用されるとき、機能は、コンピュータ可読記憶媒体に記憶されてもよい。このような理解に基づいて、本質的に本出願の技術的解決策、現在の技術に寄与する部分、または技術的解決策の一部は、ソフトウェア製品の形態で実施されてもよい。コンピュータソフトウェア製品は、記憶媒体に記憶され、本出願の実施形態の方法のステップの全部または一部を実行するようにコンピュータデバイス(パーソナルコンピュータ、サーバ、またはネットワークデバイスなどであり得る)に命令するためのいくつかの命令を含む。
前述の説明は、本出願の特定の実施態様にすぎず、本出願の保護範囲はこれに限定されない。本出願に開示された技術的範囲内で当業者によって容易に考え出されるいかなる変形または置換も、本出願の保護範囲内にあるものとする。したがって、本出願の保護範囲は、特許請求の範囲の保護範囲に従うものとする。
本明細書の全体にわたって言及されている「実施形態」は、実施形態に関連する特定の特徴、構造、または特性が本出願の少なくとも1つの実施形態に含まれることを意味することを理解されたい。したがって、本明細書全体の実施形態は、必ずしも同じ実施形態を指さない。さらに、特定の特徴、構造、または特性は、任意の適切な方法で1つ以上の実施形態において組み合わされてもよい。前述のプロセスの連続番号は、本出願の様々な実施形態における実行順序を意味しないことを理解されたい。プロセスの実行順序は、プロセスの機能および内部論理に基づいて決定されるべきであり、本出願の実施形態の実施プロセスに対する限定として解釈されるべきではない。
本出願では、「とき」、「場合」、および「場合」はすべて、端末デバイスまたはサーバが、目的の場合に、対応する処理を実行し、時間的に限定されず、端末デバイスまたはサーバは、実施中に決定動作を実行する必要が必ずしもないことを意味し、これは、別の限定があることを意味しないことがさらに理解されるべきである。
本出願では、特に明記されない限り、単数形で表される要素は、「1つ以上」を表すことを意図されているが、「唯一」を表すことを意図されていない。本出願では、特に明記されない限り、「少なくとも1つ」は「1つ以上」を表すことを意図されており、「複数」は「2つ以上」を表すことを意図されている。
加えて、本明細書における用語「および/または」は、関連付けられた対象を説明するための関連付け関係のみを説明しており、3つの関係が存在し得ることを表す。例えば、Aおよび/またはBは、以下の3つのケース、すなわち、Aのみが存在するケース、AとBとの両方が存在するケース、およびBのみが存在するケースを表し得る。Aは単数であっても複数であってもよく、Bは単数であっても複数であってもよい。
記号「/」は通常、関連付けられた対象間の「または」関係を示す。
本明細書における「…のうちの少なくとも1つ」という用語は、列挙されたもののすべてまたは任意の組み合わせを示す。例えば、「A、B、およびCのうちの少なくとも1つ」は、以下の6つのケース、すなわち、Aのみが存在するケース、Bのみが存在するケース、Cのみが存在するケース、AとBとの両方が存在するケース、BとCとの両方が存在するケース、ならびにA、B、およびCが存在するケースを示し得る。Aは単数であっても複数であってもよく、Bは単数であっても複数であってもよく、Cは単数であっても複数であってもよい。
本出願の実施形態では、「Aに対応するB」は、BがAに関連付けられ、BがAに基づいて決定され得ることを示すことを理解されたい。しかしながら、Aに基づいてBを決定することは、BがAのみに基づいて決定されることを意味しないことがさらに理解されるべきである。すなわち、Bはまた、Aおよび/または他の情報に基づいて決定されてもよい。
前述の説明は、本発明の特定の実施態様にすぎず、本発明の保護範囲を限定することを意図されていない。本発明に開示されている技術的範囲内で当業者によって容易に考え出されるいかなる変形または置換も、本発明の保護範囲内にあるものとする。したがって、本発明の保護範囲は、特許請求の範囲の保護範囲に従うものとする。