RU2595967C2 - Способ функционирования тахографа и тахограф - Google Patents

Способ функционирования тахографа и тахограф Download PDF

Info

Publication number
RU2595967C2
RU2595967C2 RU2012122222/08A RU2012122222A RU2595967C2 RU 2595967 C2 RU2595967 C2 RU 2595967C2 RU 2012122222/08 A RU2012122222/08 A RU 2012122222/08A RU 2012122222 A RU2012122222 A RU 2012122222A RU 2595967 C2 RU2595967 C2 RU 2595967C2
Authority
RU
Russia
Prior art keywords
program code
controller
program
memory
epc
Prior art date
Application number
RU2012122222/08A
Other languages
English (en)
Other versions
RU2012122222A (ru
Inventor
Клаус ХОФФМАНН
Андреас ЛИНДИНГЕР
Original Assignee
Континенталь Аутомотиве Гмбх
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Континенталь Аутомотиве Гмбх filed Critical Континенталь Аутомотиве Гмбх
Publication of RU2012122222A publication Critical patent/RU2012122222A/ru
Application granted granted Critical
Publication of RU2595967C2 publication Critical patent/RU2595967C2/ru

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0841Registering performance data
    • G07C5/085Registering performance data using electronic data carriers
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/23Pc programming
    • G05B2219/23464Use signatures to know module is not corrupt, cfc, control flow checking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Storage Device Security (AREA)
  • Navigation (AREA)

Abstract

Изобретения относятся к способу функционирования тахографа. Технический результат - защита тахографа от манипуляций, повышение надежности. Тахограф содержит контроллер (2) приложений и контроллер (3) безопасности. С контроллером (2) приложений ассоциирована память (5), и с контроллером (3) безопасности ассоциирована другая память (6). Зашифрованный программный код (DPC) с по меньшей мере одной ассоциированной цифровой подписью предоставляется в распоряжение контроллеру (3) безопасности. Посредством контроллера (3) безопасности зашифрованный программный код (DPC) дешифруется и верифицируется посредством по меньшей мере одной цифровой подписи. Определяется, является ли дешифрованный программный код предназначенным для контроллера (2) приложений или контроллера (3) безопасности. В зависимости от определения, программа в памяти (5) и/или другая программа в другой памяти (6) посредством дешифрованного программного кода (ЕРС) по меньшей мере частично заменяется, и в зависимости от результата верификации, по меньшей мере частично замененная программа и/или по меньшей мере частично замененная другая программа деблокируются для выполнения. 2 н. и 9 з.п. ф-лы, 2 ил.

Description

Изобретение относится к способу функционирования тахографа и тахографу с контроллером приложений и контроллером безопасности.
Путевые регистраторы или тахографы могут являться приборами контроля, которые предусмотрены для того, чтобы устанавливаться в автомобиле, в частности грузовом или легковом автомобиле, чтобы обеспечивать возможность контроля действий водителя автомобиля или его напарника.
В WO 2006/053998 А1 описан, например, тахограф, с контроллером безопасности и отдельным контроллером приложений для контроля действий водителя автомобиля и его напарника.
Задачей изобретения является создание способа функционирования тахографа, который отвечает высоким требованиям по защите от манипуляций и является максимально надежным.
Эта задача решается признаками независимых пунктов формулы изобретения. Предпочтительные формы выполнения изобретения следуют из зависимых пунктов формулы изобретения.
Изобретение характеризуется способом функционирования тахографа и соответствующим тахографом с контроллером приложений и контроллером безопасности. С контроллером приложений сопоставлена память, в которой сохранена исполняемая контроллером приложений программа. С контроллером безопасности сопоставлена другая память, в которой сохранена исполняемая контроллером безопасности другая программа. Контроллер приложений соединен с контроллером безопасности. При этом зашифрованный программный код с по меньшей мере одной цифровой подписью предоставляется в распоряжение контроллеру безопасности. Посредством контроллера безопасности зашифрованный программный код дешифруется и верифицируется посредством по меньшей мере одной цифровой подписи. Определяется, является ли дешифрованный программный код предназначенным для контроллера приложений или контроллера безопасности. В зависимости от определения, программа в памяти и/или другая программа в другой памяти по меньшей мере частично заменяется посредством дешифрованного программного кода. В зависимости от результата, верификации, по меньшей мере частично замененная программа и/или по меньшей мере частично замененная другая программа деблокируются для выполнения.
Это позволяет также при защищенном от манипуляций тахографе выполнять актуализацию исполняемой программы для контроллера приложений и/или контроллера безопасности. Преимущества тахографа с подобной архитектурой контроллера безопасности и взаимодействие с контроллером приложений состоят прежде всего в существенной интеграции функций безопасности в контроллере безопасности.
Программный код может включать в себя часть соответствующей исполняемой программы или полную соответствующую исполняемую программу. Исполняемую программу в этом отношении следует понимать так, что она процессором соответствующего контроллера может интерпретироваться как последовательность команд и, тем самым, исполняется и реализует одну или несколько функций тахографа. В противоположность этому, данные не представляют никакой интерпретируемой последовательности команд. Данные могут применяться во время выполнения заданной команды. Предпочтительным образом данные обрабатываются соответствующей программой.
По меньшей мере одна цифровая подпись может служить для верификации дешифрованного программного кода или для верификации зашифрованного программного кода.
Программный код может предоставляться контроллеру безопасности также в незашифрованной форме, причем контроллер безопасности тогда предпочтительным образом больше не выполняет дешифрование, а выполняет только верификацию. Незашифрованный программный код соответствует тогда дешифрованному программному коду. Также возможно предоставление частично зашифрованного программного кода.
В другой памяти, которая также может содержаться в контроллере безопасности, наряду с другой программой, сохранены, например, криптологические ключи, с помощью которых блок шифрования зашифровывает и/или подписывает рабочие данные транспортного средства. Другая программа и криптологические ключи предпочтительно сохранены способом, защищенным от манипулирования и от несанкционированного доступа, в другой памяти.
Верификация посредством цифровой подписи может включать в себя проверку целостности зашифрованного или дешифрованного программного кода, то есть проверку целостности и неизменности программного кода. В качестве альтернативы или дополнительно, можно посредством верификации также проверять происхождение зашифрованного или дешифрованного программного кода. При этом программный код может содержать только цифровую подпись или также несколько цифровых подписей, которые, например, ассоциированы с заданными частями программного кода и позволяют верифицировать только эти заданные части. Для этого могут применяться симметричные и/или асимметричные сигнатурные способы, так, например, RSA-, MDS- или SHA-способы.
В предпочтительном выполнении посредством контроллера безопасности идентифицируется и/или аутентифицируется источник зашифрованного программного кода зашифрованного программного кода. В зависимости от идентификации и/или аутентификации, зашифрованный программный код предоставляется контроллеру безопасности. За счет этого уже перед предоставлением зашифрованного программного кода устанавливается, является ли источник достоверным. Источник представляет предпочтительно отдельный и внешний прибор и может, например, представлять собой диагностический прибор или компьютер и осуществлять связь посредством проводного или беспроводного соединения с тахографом.
В другом предпочтительном выполнении дешифрованный программный код промежуточным образом сохраняется в контроллере приложений и/или контроллере безопасности. Программа в памяти и/или другая программа в другой памяти заменяются посредством промежуточно сохраненного дешифрованного программного кода, если верификация успешна. Предпочтительно промежуточным образом сохраняется полный программный код. Это обеспечивает возможность особенно надежной актуализации соответствующей программы. При успешной верификации соответствующая программа предпочтительно не заменяется, а текущая программа продолжает исполняться. Тем самым полная предшествующая функциональность тахографа предоставляется пользователю в распоряжение и после успешной актуализации.
В другом предпочтительном выполнении зашифрованный программный код дешифруется пакетами (попакетно) посредством контроллера безопасности. Программа в памяти и/или другая программа в другой памяти попакетно заменяются соответствующими пакетами дешифрованного программного кода. По меньшей мере частично замененная программа и/или по меньшей мере частично замененная другая программа деблокируются для выполнения, если верификация успешна. Это допускает особенно незначительную потребность в памяти в соответствующем контроллере и к тому же особенно быструю актуализацию соответствующей программы.
Примеры выполнения изобретения далее более подробно поясняются со ссылками на чертежи, на которых показано следующее:
Фиг. 1 - схематичное представление тахографа,
Фиг. 2 - блок-схема последовательности операций способа.
Элементы одинаковой конструкции или функции снабжены на чертежах одинаковыми ссылочными позициями.
На фиг. 1 показано схематичное представление тахографа 1, который включает в себя контролер 2 приложений и контроллер 3 безопасности.
Контролер 2 приложений имеет интерфейс 7 и память 5, которая, например, выполнена как энергонезависимая память, таким образом, например, как флэш-память, как SRAM (статическое запоминающее устройство с произвольной выборкой) или FRAM (ферроэлектрическое запоминающее устройство) с батарейной поддержкой. В памяти 5 сохранена программа, в частности, прикладная программа, которая может выполняться процессором контролера 2 приложений. Посредством программы могут быть реализованы основные функции тахографа 1. Наряду с этой программой, в памяти 5 могут быть также сохранены коммуникационные программы, которые обеспечивают возможность коммуникации с контроллером 3 безопасности и/или с внешними приборами через интерфейс 7. Кроме того, в памяти 5 сохранены программы управления памятью, которые обеспечивают возможность стирания, управления и/или перепрограммирования памяти 5. Кроме того, в памяти 5 могут быть также сохранены данные, например, данные о транспортном средстве и/или о водителе. Предпочтительным образом контролер 2 приложений выполнен с возможностью заменять только программу в памяти 5 по меньшей мере частично посредством соответствующего дешифрованного программного кода ЕРС.
Контроллер 3 безопасности имеет другой интерфейс 8 и другую память 6, которая, например, также выполнена как энергонезависимая память, так например, как флэш-память или EEPROM (электрически стираемое программируемое постоянное запоминающее устройство). В другой памяти 6 сохранена другая программа, которая может выполняться другим процессором контроллера 3 безопасности. Посредством другой программы могут быть реализованы функции безопасности тахографа 1. Для этого, наряду с другой программой, в другой памяти 6 могут быть сохранены также криптологические функции и криптологические данные, например, криптологические ключи. Кроме того, ассоциированные с контроллером 3 безопасности данные и программы также в зашифрованном виде могут быть сохранены в другой памяти 6. Например, контроллер 3 безопасности выполнен как контроллер, который также применяется на чип-картах и оптимизирован для выполнения криптологических операций. Другая программа предпочтительно не включает в себя никаких криптологических вычислительных операций, а они предоставляются в распоряжение, например, только посредством криптологических функций, которые, например, вызываются другой программой. Кроме того, в другой памяти 6 могут быть сохранены программы управления памятью для другой памяти 6 и коммуникационные программы. Предпочтительным образом контроллер 3 безопасности выполнен с возможностью заменять только другую программу в другой памяти 6 по меньшей мере частично посредством соответствующего дешифрованного программного кода ЕРС.
Интерфейс 7 электрически связан с другим интерфейсом 8, так что возможна коммуникация между контролером 2 приложений контроллером 3 безопасности. Коммуникация между обоими контролерами 2, 3 может, например, быть последовательной и/или параллельной и осуществляться в смысле коммуникации типа «задающий-подчиненный». При этом контролер 2 приложений представляет, например, «задающий» контролер, а контроллер 3 безопасности представляет «подчиненный» контроллер. Кроме того, контролер 2 приложений может также быть выполнен с возможностью связывания с внешним прибором и коммуникации с ним. Дополнительно, контролер 2 приложений для коммуникации с внешним прибором 4 может также иметь дополнительный интерфейс.
Коммуникация с внешним прибором 4 может осуществляться проводным способом, последовательно и/или параллельно. Также была бы возможной беспроводная коммуникация между контроллером 2 приложений и внешним прибором 4 или между контроллером 3 безопасности и внешним прибором 4.
Посредством внешнего прибора 4, который выполнен, например, как диагностический прибор или как портативный компьютер, контроллер 2 приложений может предоставлять зашифрованный и снабженный цифровой подписью программный код DPC на интерфейс 7. Зашифрованный программный код DPC содержит программный код, который должен заменять текущую программу в памяти 5 или текущую другую программу в другой памяти 6 в рамках актуализации программного обеспечения. Так как контроллер 2 приложений не выполнен с возможностью исполнения криптологических вычислительных операций, то предоставленный зашифрованный программный код DPC не может непосредственно интерпретироваться процессором контроллера 2 приложений. Поэтому контроллер 2 приложений выполнен с возможностью распознавания зашифрованного программного кода DPC, например, на основе данных заголовка, которые ассоциированы с зашифрованным программным кодом DPC и, например, являются незашифрованными и на контроллер 3 безопасности передаются, в частности, без изменений.
Контроллер 3 безопасности выполнен с возможностью принимать зашифрованный программный код DPC, дешифровать его и проверять программный код, посредством ассоциированной цифровой подписи, на целостность и/или аутентичность. Для этого контроллер 3 безопасности дешифрует зашифрованный программный код DPC, например, побайтно или по каждому слову данных. Кроме того, контроллер 3 безопасности выполнен с возможностью определять, предназначен ли дешифрованный программный код ЕРС для контроллера 2 приложений и/или для контроллера 3 безопасности. Затем, в зависимости от этого определения, дешифрованный программный код ЕРС передается пакетами на контроллер 2 приложений или другая программа в другой памяти 6 попакетно заменяется на попакетно дешифрованный программный код ЕРС.
Интерфейсы 7, 8 выполнены, например, как SPI- или SCI-,
CAN-, RS-232-, PC- или ISO 9018.3-интерфейсы.
Дешифрованный программный код ЕРС может попакетно заменять программу в памяти 5 и/или другую программу в другой памяти 6, то есть пакет дешифрованного программного кода ЕРС сохраняется по адресу, ассоциированному с этим пакетом, в соответствующей памяти. Для этого может потребоваться перед этим по меньшей мере частично стереть область памяти, ассоциированную с программой в соответствующей памяти.
Попакетная замена программы и/или другой программы посредством соответствующего дешифрованного программного кода ЕРС имеет преимущество, состоящее в том, что потребность в памяти является очень незначительной, и актуализация может осуществляться особенно быстро. Если верификация цифровой подписи безуспешна, то это сообщается контроллеру 2 приложений. Контроллер 3 безопасности и контроллер 2 приложений выполнены, соответственно, таким образом, чтобы выполнять замененный программный код или разрешать к использованию, если верификация успешна, а в противном случае - блокировать выполнение. За счет этого предотвращается то, что выполняется программный код, для которого требуемая аутентичность и/или целостность не верифицирована успешным образом, и который не является достоверным. Если в этом случае не предоставляется достоверный программный код, то контроллер 3 безопасности и/или контроллер 2 приложений остаются в режиме блокировки, в котором могут выполняться только коммуникационные программы, программы дешифрования и/или программы управления памятью, но не программа и/или другая программа, сохраненные в соответствующей памяти.
Альтернативно или дополнительно, дешифрованный программный код ЕРС сначала полностью сохраняется промежуточным образом в контроллере 3 безопасности или контроллере 2 приложений, например, в соответствующей памяти RAM. В этом случае программа в памяти 5 и/или другая программа в другой памяти 6 могут заменяться только посредством дешифрованного программного кода ЕРС, если верификация успешна. Это имеет преимущество, состоящее в том, что текущая программа и/или текущая другая программа так долго сохраняются в соответствующей памяти, пока она не будет заменена соответствующим достоверным программным кодом. При безуспешной верификации промежуточно сохраненный программный код может быть стерт или оставлен без внимания. Текущая программа и/или текущая другая программа остаются, таким образом, неизменными и могут продолжать выполняться. Тем самым тахограф 1 остается полностью работоспособным и тогда, когда пытаются недостоверный программный код перенести в контроллер 2 приложений и/или контроллер 3 безопасности. В другой форме выполнения внешний прибор 4 может быть также непосредственно электрически связан с другим интерфейсом 8 контроллера 3 безопасности, чтобы обеспечить возможность коммуникации и непосредственно предоставлять зашифрованный и снабженный цифровой подписью программный код DPC контроллеру 3 безопасности. Контроллер 3 безопасности может для этой цели также иметь другой дополнительный интерфейс.
На фиг. 2 показан способ функционирования тахографа 1 с помощью диаграммы последовательности операций способа. Способ начинается на этапе S0. На этапе S2 выполняется конфигурирование CONF, которое, например, конфигурирует интерфейсы 7, 8, так что через внешний прибор 4 зашифрованный программный код DPC может предоставляться в распоряжение. Кроме того, может устанавливаться соединение между внешним прибором 4 и соответствующим интерфейсом. Если контроллер 3 безопасности выполнен для этого, то альтернативно может также конфигурироваться коммуникация между контроллером 3 безопасности и внешним прибором 4.
На этапе S4 посредством контроллера 3 безопасности непосредственно через интерфейс 7 контроллера 2 приложений внешний прибор 4 идентифицирует и/или аутентифицирует себя. Внешний прибор 4 может также обозначаться как источник зашифрованного программного кода DPC. Если идентификация ID и/или аутентификация внешнего прибора 4 безуспешна, то на этапе S14 актуализация завершается. Если, напротив, внешний прибор 4 успешно идентифицируется и/или аутентифицируется, то на этапе S6 зашифрованный программный код DPC предоставляется в распоряжение контроллеру 3 безопасности и с помощью него дешифруется и определяется, с каким контроллером 2, 3 следует ассоциировать дешифрованный программный код ЕРС. С зашифрованным программным кодом DPC могут быть также ассоциированы зашифрованные или дешифрованные данные заголовка, которые перед дешифрованием DECRYPT зашифрованного программного кода DPC оцениваются, например, с помощью контроллера 2 приложений и/или контроллера 3 безопасности. В рамках этой проверки данных заголовка могут, например, сравниваться номера версий программного кода с номерами версий текущей программы. Если проверка данных заголовка безуспешна, то на этапе S14 актуализация завершается. В противном случае, в зависимости от определения цели программного кода, дешифрованный программный код ЕРС на этапе S8 подается на другую память 6 и/или на этапе S9 через интерфейс 7 предоставляется в распоряжение памяти 5 контроллера 2 приложений. При этом дешифрованный программный код ЕРС попакетно заменяет соответствующую программу в соответствующей памяти. Зашифрованный или дешифрованный программный код DPC, ЕРС может также полностью сохраняться промежуточным образом в соответствующем контроллере.
На этапе S10 затем верифицируется цифровая подпись с помощью контроллера 3. Если верификация VERIFY безуспешна, то на этапе S14 актуализация завершается. Промежуточно сохраненный программный код может на этапе S10 стираться, и для контроллера 3 безопасности и/или контроллера 2 приложений может задаваться режим блокировки. В качестве альтернативы, актуализация при успешной верификации VERIFY может снова выполняться на этапе S2 или S4.
Если верификация VERIFY, напротив, успешна, то на этапе S12 выполнение ЕХЕ соответствующей замененной программы разблокируется или соответствующая программа заменяется промежуточно сохраненным программным кодом и затем разблокируется для выполнения ЕХЕ. На этапе S14 актуализация завершается. Верификация цифровой подписи может также выполняться уже на этапе S6, причем затем этап S10 следует игнорировать.
Внешний прибор 4 может также предоставлять контроллеру 2 приложений или контроллеру 3 безопасности незашифрованный или частично зашифрованный программный код.

Claims (11)

1. Способ функционирования тахографа (1) с контроллером (2) приложений и контроллером (3) безопасности, причем с контроллером (2) приложений ассоциирована память (5), в которой сохранена исполняемая контроллером (2) приложений программа, и с контроллером (3) безопасности ассоциирована другая память (6), в которой сохранена исполняемая контроллером (3) безопасности другая программа, причем контроллер (2) приложений соединен с контроллером (3) безопасности, при этом
зашифрованный программный код (DPC) с по меньшей мере одной ассоциированной цифровой подписью предоставляют в распоряжение контроллеру (3) безопасности,
оценивают данные заголовка зашифрованного программного кода путем сравнения номера версий программного кода с номерами версий текущей программы, причем данные заголовка являются одними из: зашифрованных и незашифрованных,
посредством контроллера (3) безопасности зашифрованный программный код (DPC) дешифруют, если оценка данных заголовка успешна,
верифицируют зашифрованный программный код посредством по меньшей мере одной цифровой подписи,
определяют, является ли дешифрованный программный код предназначенным по меньшей мере для одного из: контроллера (2) приложений и контроллера (3) безопасности,
в зависимости от определения по меньшей мере частично заменяют посредством дешифрованного программного кода (ЕРС) по меньшей мере одно из: программы в памяти (5) и другой программы в другой памяти (6), и
в зависимости от результата верификации деблокируют для выполнения по меньшей мере одно из: по меньшей мере частично замененной программы и по меньшей мере частично замененной другой программы.
2. Способ по п. 1, в котором дополнительно
посредством контроллера (3) безопасности выполняют по меньшей мере одно из: идентификации и аутентификации источника (4) зашифрованного программного кода (DPC),
в зависимости от по меньшей мере одно из: идентификации и аутентификации, зашифрованный программный код (DPC) предоставляют контроллеру (3) безопасности.
3. Способ по п. 1 или 2, в котором дополнительно
дешифрованный программный код (ЕРС) промежуточным образом сохраняют по меньшей мере в одном из: контроллере (2) приложений и контроллере (3) безопасности, и
по меньшей мере одно из: программы в памяти (5) и другой программы в другой памяти (6) заменяют посредством промежуточно сохраненного дешифрованного программного кода (ЕРС), если верификация успешна.
4. Способ по п. 1 или 2, в котором дополнительно
зашифрованный программный код (DPC) дешифруют попакетно посредством контроллера (3) безопасности,
по меньшей мере одно из: программы в памяти (5) и другой программы в другой памяти (6) попакетно заменяют соответствующим попакетно дешифрованным программным кодом (ЕРС),
по меньшей мере одно из: по меньшей мере частично замененной программы и по меньшей мере частично замененной другой программы деблокируют для выполнения, если верификация успешна.
5. Тахограф (1), содержащий
контроллер (2) приложений, соединенный с контроллером (3) безопасности, причем с контроллером (2) приложений ассоциирована память (5), в которой сохранена исполняемая контроллером (2) приложений программа, и
с контроллером (3) безопасности ассоциирована другая память (6), в которой сохранена исполняемая контроллером (3) безопасности другая программа,
при этом контроллер (3) безопасности выполнен с возможностью:
оценивать данные заголовка зашифрованного программного кода, причем данные заголовка являются одними из: зашифрованных и незашифрованных,
дешифровать упомянутый зашифрованный программный код (DPC), предоставленный контроллеру (3) безопасности, если оценка данных заголовка успешна, причем зашифрованный программный код (DPC) включает в себя по меньшей мере одну ассоциированную с программным кодом цифровую подпись, и верифицировать его посредством по меньшей мере одной цифровой подписи,
определять, является ли дешифрованный программный код (ЕРС) предназначенным по меньшей мере для одного из: контроллера (3) безопасности и контроллера (2) приложений,
в зависимости от определения, заменять другую программу в другой памяти (6) посредством дешифрованного программного кода (ЕРС) по меньшей мере частично и,
в зависимости от результата верификации, по меньшей мере частично замененную другую программу деблокировать по меньшей мере для одного из: выполнения и предоставления дешифрованного программного кода (ЕРС) и результата верификации контроллеру (2) приложений, и
контроллер (2) приложений выполнен с возможностью:
в зависимости от предоставленного дешифрованного программного кода (ЕРС), заменять программу в памяти (5) по меньшей мере частично посредством дешифрованного программного кода (ЕРС), и
в зависимости от предоставленного результата верификации, деблокировать для выполнения по меньшей мере частично замененную программу в памяти (5).
6. Тахограф по п. 5, в котором контроллер (3) безопасности выполнен с возможностью для по меньшей мере одного из: идентификации и аутентификации источника (4) зашифрованного программного кода (DPC) и, в зависимости от по меньшей мере одного из: идентификации и аутентификации для дешифровки и верификации зашифрованного программного кода (DPC).
7. Тахограф по п. 5, в котором контроллер (3) безопасности выполнен с возможностью промежуточно сохранять дешифрованный программный код (ЕРС) и, в зависимости от определения, выполнять по меньшей мере одно из: замены другой программы в другой памяти (6) по меньшей мере частично посредством промежуточно сохраненного дешифрованного программного кода (ЕРС), если верификация успешна, и предоставления промежуточно сохраненного дешифрованного программного кода (ЕРС) контроллеру (2) приложений, если верификация успешна.
8. Тахограф по п. 6, в котором контроллер (3) безопасности выполнен с возможностью промежуточно сохранять дешифрованный программный код (ЕРС) и, в зависимости от определения, выполнять по меньшей мере одно из: замены другой программы в другой памяти (6) по меньшей мере частично посредством промежуточно сохраненного дешифрованного программного кода (ЕРС), если верификация успешна, и предоставления промежуточно сохраненного дешифрованного программного кода (ЕРС) контроллеру (2) приложений, если верификация успешна.
9. Тахограф по любому из п.п. 5-8, в котором контроллер (2) приложений выполнен с возможностью промежуточно сохранять предоставленный дешифрованный программный код (ЕРС) и по меньшей мере частично заменять программу в памяти (5) посредством промежуточно сохраненного дешифрованного программного кода (ЕРС), если имеет место положительный результат верификации.
10. Тахограф по любому из п.п. 5-8, в котором контроллер (3) безопасности выполнен с возможностью попакетно дешифровать зашифрованный программный код (DPC) и выполнять по меньшей мере одно из: попакетной замены другой программы в другой памяти (6) и деблокировки для выполнения по меньшей мере частично замененной другой программы, если верификация успешна, и попакетного предоставления попакетно дешифрованного программного кода (ЕРС) контроллеру (2) приложений.
11. Тахограф по п. 10, в котором контроллер (2) приложений выполнен с возможностью заменять программу в памяти (5) посредством попакетно предоставленного дешифрованного программного кода (ЕРС) и деблокировать для выполнения по меньшей мере частично замененную программу, если имеет место положительный результат верификации.
RU2012122222/08A 2009-10-30 2010-10-18 Способ функционирования тахографа и тахограф RU2595967C2 (ru)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102009051350.7 2009-10-30
DE102009051350A DE102009051350A1 (de) 2009-10-30 2009-10-30 Verfahren zum Betreiben eines Tachographen und Tachograph
PCT/EP2010/065605 WO2011051128A1 (de) 2009-10-30 2010-10-18 Verfahren zum betreiben eines tachographen und tachograph

Publications (2)

Publication Number Publication Date
RU2012122222A RU2012122222A (ru) 2013-12-10
RU2595967C2 true RU2595967C2 (ru) 2016-08-27

Family

ID=43302021

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2012122222/08A RU2595967C2 (ru) 2009-10-30 2010-10-18 Способ функционирования тахографа и тахограф

Country Status (6)

Country Link
US (1) US8931091B2 (ru)
EP (1) EP2494526B1 (ru)
BR (1) BR112012010135A2 (ru)
DE (1) DE102009051350A1 (ru)
RU (1) RU2595967C2 (ru)
WO (1) WO2011051128A1 (ru)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008061710A1 (de) * 2008-12-12 2010-06-17 Continental Automotive Gmbh Verfahren zum Betreiben einer Sensorvorrichtung und Sensorvorrichtung
DE102011084569B4 (de) * 2011-10-14 2019-02-21 Continental Automotive Gmbh Verfahren zum Betreiben eines informationstechnischen Systems und informationstechnisches System
DE102013100665A1 (de) 2013-01-23 2014-07-24 Intellic Germany Gmbh Digitaler Tachograph
US10031502B2 (en) 2015-03-27 2018-07-24 Rockwell Automation Germany Gmbh & Co. Kg I/O expansion for safety controller
US9897990B2 (en) * 2015-05-04 2018-02-20 Rockwell Automation Germany Gmbh & Co. Kg Safety controller with rapid backup and configuration
DE102015214791A1 (de) * 2015-08-03 2017-02-09 Continental Automotive Gmbh Verfahren zur Betriebsvalidierung einer Sensoreinheit, Sensoreinheit und Tachographsystem
US10197985B2 (en) 2015-10-29 2019-02-05 Rockwell Automation Germany Gmbh & Co. Kg Safety controller module
CN106855927A (zh) * 2015-12-08 2017-06-16 展讯通信(上海)有限公司 终端设备及其启动方法
US10623385B2 (en) 2018-03-16 2020-04-14 At&T Mobility Ii Llc Latency sensitive tactile network security interfaces
DE102020215964B3 (de) * 2020-12-15 2022-01-13 Continental Automotive Gmbh Tachographensystem, Tachographeneinrichtung und Verfahren zum Betreiben eines Tachographensystems
CN113147613A (zh) * 2021-04-26 2021-07-23 深圳市金诚联创科技有限公司 一种具有防抖功能便于清洁的多视角行车记录仪

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5956408A (en) * 1994-09-15 1999-09-21 International Business Machines Corporation Apparatus and method for secure distribution of data
EP1605410A2 (de) * 2004-06-11 2005-12-14 Siemens Aktiengesellschaft Tachograph
RU2313126C2 (ru) * 2002-06-07 2007-12-20 Интел Корпорейшн Система и способ для защиты от недоверенного кода режима управления с системой с помощью переадресации прерывания режима управления системой и создания контейнера виртуальной машины
RU2007102685A (ru) * 2004-06-25 2008-07-27 Сименс Акциенгезелльшафт (DE) Передача данных в устройстве с тахографом

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10008974B4 (de) 2000-02-25 2005-12-29 Bayerische Motoren Werke Ag Signaturverfahren
US9489496B2 (en) 2004-11-12 2016-11-08 Apple Inc. Secure software updates
FR2878355B1 (fr) 2004-11-22 2007-02-23 Actia Sa Unite de tachigraphe electronique pour vehicule automobile
DE102005024609A1 (de) * 2005-05-25 2006-11-30 Siemens Ag Bestimmung einer modularen Inversen
US20070050622A1 (en) * 2005-09-01 2007-03-01 Rager Kent D Method, system and apparatus for prevention of flash IC replacement hacking attack
DE102007004645A1 (de) * 2007-01-25 2008-07-31 Siemens Ag Tachograph
DE102007058163A1 (de) * 2007-09-28 2009-04-23 Continental Automotive Gmbh Tachograph, Maut-On-Board-Unit, Anzeigeinstrument und System

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5956408A (en) * 1994-09-15 1999-09-21 International Business Machines Corporation Apparatus and method for secure distribution of data
RU2313126C2 (ru) * 2002-06-07 2007-12-20 Интел Корпорейшн Система и способ для защиты от недоверенного кода режима управления с системой с помощью переадресации прерывания режима управления системой и создания контейнера виртуальной машины
EP1605410A2 (de) * 2004-06-11 2005-12-14 Siemens Aktiengesellschaft Tachograph
RU2007102685A (ru) * 2004-06-25 2008-07-27 Сименс Акциенгезелльшафт (DE) Передача данных в устройстве с тахографом

Also Published As

Publication number Publication date
US8931091B2 (en) 2015-01-06
EP2494526A1 (de) 2012-09-05
WO2011051128A1 (de) 2011-05-05
DE102009051350A1 (de) 2011-05-05
US20120269341A1 (en) 2012-10-25
BR112012010135A2 (pt) 2016-06-07
EP2494526B1 (de) 2014-05-14
RU2012122222A (ru) 2013-12-10

Similar Documents

Publication Publication Date Title
RU2595967C2 (ru) Способ функционирования тахографа и тахограф
TWI438686B (zh) 用於使用狀態確認來保護作業系統啟動過程的系統及方法
US20100058073A1 (en) Storage system, controller, and data protection method thereof
US10305679B2 (en) Method for implementing a communication between control units
US8843766B2 (en) Method and system for protecting against access to a machine code of a device
US8867746B2 (en) Method for protecting a control device against manipulation
CN105892348B (zh) 用于运行控制设备的方法
US10762177B2 (en) Method for preventing an unauthorized operation of a motor vehicle
JP2001356963A (ja) 半導体装置およびその制御装置
CN109583162B (zh) 一种基于国密算法的身份识别方法及系统
US8095801B2 (en) Method of protecting microcomputer system against manipulation of data stored in a memory assembly of the microcomputer system
JP6636028B2 (ja) セキュア素子
CN110020561A (zh) 半导体装置和操作半导体装置的方法
CN105868657A (zh) 装置和用于安全地操作该装置的方法
CN105095766B (zh) 用于处理控制设备中的软件功能的方法
JP4589017B2 (ja) マイクロプロセッサシステム及びシステムにおけるモジュールの交換検出方法
US20150323919A1 (en) Method for operating a control unit
CN111695164A (zh) 电子设备及其控制方法
CN110023940A (zh) 适合于在受保护的和/或开放的运行状态下运行的设备单元以及所属的方法
CN107943721B (zh) 一种电子设备的数据加密方法及装置
JP5358599B2 (ja) ソフトウエア書き換え装置およびその装置を用いたソフトウエアの書き換え方法
JP2021184597A (ja) データを管理するための方法および装置
US8627406B2 (en) Device for protection of the data and executable codes of a computer system
JP2015130001A (ja) 可搬型電子媒体、及び入出力制御方法
JP2008033549A (ja) 携帯可能電子装置、icカードおよび携帯可能電子装置の重要データ隠匿方法

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20191019