本发明涉及一种根据权利要求1的前述部分用于授权机动车辆中的软件更新的方法以及一种根据权利要求15的前述部分的机动车辆。
背景技术:
机动车辆具有越来越多数量的基于微处理器的电子系统,基于微处理器的电子系统以以下事实为特征:除了硬件,它们也具有在微处理器上运行的软件。这样的系统也被称为“嵌入式系统”并且几乎涉及机动车辆的电子器件的所有领域,例如特别是用于电动车辆和混合动力车辆的驾驶员辅助系统、信息娱乐系统、传动系统、电池管理系统,以及许多其他领域。随着在此使用的软件的复杂性日益增加,和用于家用计算机的软件的领域一样,提供软件更新的必要性日益增加,确切地讲是为了扩展功能的目的和为了消除漏洞和安全隐患的目的。
在这种情况下,从现有技术中已知的一种可能性提供的是,这样的软件更新当访问授权的车间时被执行,例如,在视察之际。在这样的环境中,则有可能安全并且在很大程度上没有误用风险地执行更新。然而,不能保证的是,所有操作者,或随着机动车辆的使用年限增加,仅大多数机动车辆的操作者访问这样的授权的车间。另外,相应的维修间隔的持续时间经常为一年,其结果是,即使定期访问授权的车间,这样的更新可以仅在相对长的时间之后被进行。相比之下,用于这样的更新的专门召回是非常昂贵的。
为了也能够经由移动数据传输来进行软件更新,来自现有技术的us2015/0128123a1示出了一种用于通过经由无线电的数据传输来更新机动车辆中的电子系统的软件的方法。因此不再需要访问车间。然而,机动车辆中的软件的更新以及因此软件交换的安全性是高度关键的。未经授权的人员操作在机动车辆上运行的软件可以直接不利地影响机动车辆的行车安全。在这种情况下,经由无线电进行更新的做法具有形成这样的操作的网关的风险。us2015/0128123a1没有公开在这种情况下的任何特殊的安全措施。
同样从现有技术中已知的us2015/0121457a1同样描述了一种用于通过经由无线电的数据传输来更新机动车辆中的电子系统的软件的方法。认证更新数据的认证模块被提供用于授权更新。在这种情况下,认证模块可以利用机动车辆中常见的各种无线和有线网络协议与其它模块通信。
从现有技术中已知的方法的缺点是,没有提供防止例如当机动车辆在停放状态被盗时更新被进行的机构的总体事实。刚刚被盗的车辆可以形成网关以便更新行为以及其机构以找到弱点为目的被分析。此外,更新不是合法获得的机动车辆的软件的不可能性用作对小偷和对被盗的车辆的潜在购买者的威慑。
技术实现要素:
因此,本发明的目的是改进从现有技术中已知的相对于未授权的黑客行为用于授权机动车辆中的软件更新的方法。
对于一种根据权利要求1的前序部分用于授权机动车辆中的软件更新的方法,该目的是通过权利要求1的特征部分的特征来实现的。对于一种根据权利要求15的前序部分的机动车辆,该目的是通过权利要求15的特征部分的特征来实现的。
根据本发明的方法被用于授权机动车辆中的软件更新。在这种情况下,授权是指检查软件更新的权利的存在。在这种情况下,授权过程可以包含认证被分配给待授权的过程的数据。在根据建议的方法中,该机动车辆具有电子数据存储器,软件包存储在该电子数据存储器中。电子数据存储器可以属于机动车辆中的任何所需的车辆电子装置。在根据本发明的方法中,对至少部分更新软件包的授权被执行。换句话说,软件包中的至少一些数据因此被更新的数据替换或软件包被更新的数据补充。一旦授权成功,软件包就被更新。当明确地确定权利存在时,授权成功。
根据本发明的方法的特征在于,该机动车辆具有用于近场通信的本地通信装置。这里和在下文中,术语“近场通信”可以被理解为是指通过无线电通信,最大范围为50cm,特别是最大范围为10cm。这是根据在文件etsits102190中制定的国际“近场通信”传输标准通过无线电的优选通信。根据本发明的方法的特征还在于,成功授权是基于以下事实:本地通信装置与便携式移动装置建立近场通信。便携式移动装置可以是具有这样的近场通信功能的任何所需的便携式对象。这里特别考虑具有通信功能的移动电话、pda(个人数字助理)、电子手表或其他机动车辆钥匙或珠宝件。
以这种方式,授权可以被连接到属于机动车辆的所有者的这样的个人物品,在这种情况下,对于物品,可以假定,当近场通信通过所述物品发生时,所有者也在机动车辆中。相反地,可以假定,如果机动车辆以未经授权的方式被盗——例如在停放的机动车辆盗窃的情况下,则该个人物品没有同时被盗,因为当所有者离开机动车辆时,该个人物品通常被所有者携带。因此,与属于车辆所有者的物品的机械连接——为了打开点火装置的目的,其已经已知很长时间——现在被应用于更新,确切地说根据通过无线电的近场通信。
因此,根据本发明的机动车辆包含电子数据存储器——软件包存储在电子数据存储器中——和用于授权软件包的至少部分更新的授权装置。一旦成功授权,软件包就被更新。根据本发明的机动车辆的特征在于,该机动车辆具有用于近场通信的本地通信装置,并且成功授权是基于以下事实:本地通信装置与便携式移动装置建立近场通信。
一个优选配置提供的是,该机动车辆具有用于从更新服务器无线接收用于更新软件包的数据记录的远程装置。该数据记录提供被用于至少部分替换或补充软件包的数据。除了无线接收之外,该远程装置也可以被设置成将数据无线传输至更新服务器。在这种情况下,与更新服务器间接通信也是可能的,其结果是与基站的无线电连接因此被建立,并且进一步地,与更新服务器的通信经由一个或多个其它网络被建立。特别是,无线接收来自更新服务器的数据记录可以包含经由因特网传输。
在此进一步优选的是,更新服务器通过广播将用于更新软件包的数据记录传输至机动车辆的多个远程装置。以这种方式,用于更新软件包的数据记录可以同时被传输至多辆机动车辆,这既加速了传输过程,并且对于传输带宽是有效的。
为了更新软件包,数据优选在远程装置与更新服务器之间进行传输,对被传输的数据进行密码保护,并且至少一个部分密钥由移动装置提供用于对数据进行密码保护。这种传输可以仅在一个方向——就是说从远程装置到更新服务器或从更新服务器到远程装置——上或在两个方向上进行。从根本上讲,密码保护可以包含数据的加密和数据或另一个加密措施的签名。部分密钥也可以形成被分配给密码保护的完全密钥。特别是,这种部分密钥和密码保护可以涉及从远程装置传输到更新服务器的数据和由远程装置接收到的来自更新服务器的数据。从根本上讲,这些被密码保护的数据可以是在远程装置与更新服务器之间传输的任何所需的这样的数据。
在此进一步优选的是,被密码保护的数据包含用于更新软件包的数据记录,密码保护包含加密术,并且授权包含解密用于更新软件包的数据记录。换句话说,在任何情况下,这些也是旨在被用于至少部分替换或补充软件包并且通过加密术进行密码保护的数据。这确保的是,成功授权已经是用于读取非加密数据的先决条件。可以想到的是,授权过程仅由解密用于更新的数据记录组成,就是说只要用于更新的数据记录可以被解密,授权就成功。在这方面,从狭义上讲,因此没有关于授权是否成功的决定的绝对必要,而是这然后仅通过解密的实际成功来衡量。在这样的情况下,移动装置的贡献在于,与它建立近场通信并且移动装置提供部分密钥。
原则上,以上部分密钥可以以任何所需的方式从移动装置被传输至负责处理被密码保护的数据的装置。一个优选的配置提供的是,部分密钥从移动装置经由近场通信被传输至本地通信装置。以这种方式,近场通信可以被用于双重功能,即检测移动装置和传输部分密钥。
为了能够甚至在接收到用于更新的数据记录之前执行授权,优选提供的是,为了更新软件包,远程装置接收更新通知,并且授权在更新通知之后执行。以这种方式,更新服务器因此可以播报即将发生的更新。
由于近场通信仅具有非常短的范围,所以为了与移动装置建立近场通信的目的,移动装置的准确定位是必要的。这样机动车辆的操作者可以在给定的时间进行这种定位,一个优选的实施例提供的是,响应于接收到更新通知,机动车辆的信令装置将操作者信号输出至机动车辆的操作者以便与移动装置建立近场通信。
为了增加授权期间的安全性,作为附加措施并且根据一个优选实施例,提供的是,授权的前提是与移动装置近场通信在接收到更新通知之后预定时间内已被建立。在这种情况下,可以提供的是,近场通信还能够甚至在接收到更新通知之前被建立。
优选提供的是,远程装置将成功授权的确认消息传输至更新服务器。该确认消息可以包含由更新服务器检查的标识符或从移动装置检查的代码。该确认消息因此形成授权服务器中的权利检查的基础。这优选是基于密码质疑-响应方法的原理。仅在更新服务器在权利检查中已检查到确认消息并且已发现它是有效的这样的情况下,授权因此是成功的。可替代地,这样的权利检查也可以发生在机动车辆中,在这种情况下,确认消息将已经成功地进行的权利检查传输至更新服务器。更新服务器中的附加权利检查则是不必要的。
在这两个变体中,提供这样的确认消息的做法使得甚至在传输数据记录之前执行授权成为可能,其结果是,如果权利检查不成功,则数据记录优选不被传输。然而,授权过程也可以整体包含确认消息的权利检查和数据记录的解密,其结果是,仅在确认消息的权利检查显示肯定结果并且数据记录被解密的情况下,推断授权成功。
一个优选变体还提供的是,在软件包已被更新之后,远程装置将结束消息传输至更新服务器。这被用来通知更新服务器更新结束。这允许更新服务器关于机动车辆的两种结果,例如,多个尝试的更新是否失败以及与特定更新——随后的更新可能被应用于的该特定更新——是否尚未被进行相关的信息。
在这种情况下,也优选提供的是,确认消息具有密码保护,并且用于对确认消息进行密码保护的至少一个部分密钥由便携式移动装置来提供。在这种情况下,用于对确认消息进行密码保护的该部分密钥可以与用于解密用于更新的数据记录的部分密钥相同。然而,优选的是,用于对确认消息进行密码保护的部分密钥不同于用于解密用于更新的数据记录的部分密钥。
确认消息的密码保护——例如,通过数字签名和可替代地或附加地通过加密术——进一步提高安全性。一个优选的变体还提供的是,结束消息也相应地具有包含类似相同的特征的这样的密码保护。
为了提高操作者的便利性,授权过程可以被简化到操作者必须仅将移动装置放置在授权提供的位置处进行成功授权的程度。在点火钥匙的情况下,这可以是例如点火开关,或者在移动电话或pda的情况下,这可以是专门提供用于此的支架。因此,一个优选的实施例提供的是,如果移动装置在近场通信所需的范围之内,则本地通信装置自动与移动装置建立近场通信。近场通信的范围的不足容易导致狭窄的布局规范。根据该优选实施例,可以免除对操作者的特定输入的需要。
软件包的更新可以仅涉及参数或有用数据的交换,其结果是,可执行的程序代码保持不变。这方面的一个示例是用于导航的地图数据的更新。然而,优选的是,机动车辆包含处理器装置,软件包具有用于在处理器装置上执行的计算机指令和由计算机指令处理的有用数据,并且软件包的更新至少部分涉及计算机指令。因此,可执行的程序代码也可以被替换或补充,其结果是,例如,漏洞修复并且功能增强可以被进行。
为了进一步增加授权过程的安全性,可以提供的是,本地通信装置以这样的方式被设置在机动车辆的内部,即,接收区域——在该接收区域内,与移动装置近场通信可以被建立——同样地被布置在机动车辆的内部。因此,被授权的操作者也必须接近机动车辆的内部进行授权。
根据本发明的机动车辆包含电子数据存储器,软件包存储在该电子数据存储器中,并且该机动车辆包含用于授权软件包的至少部分更新的授权装置,一旦成功授权,软件包就被更新。
根据本发明的机动车辆的特征在于,该机动车辆具有用于近场通信的本地通信装置,并且其特征在于,成功授权是基于以下事实:本地通信装置与便携式移动装置建立近场通信。
根据本发明的机动车辆的优选配置和变体从根据本发明的方法的优选实施例中显现出来,反之亦然。
附图说明
本发明的进一步特征和优点从以下具体实施方式中显现出来,具体实施方式不应被理解为是限制性的并且以下参考附图进行更详细地说明。在附图中:
图1示意性地示出了根据本发明的机动车辆的示例性实施例;以及
图2示意性地示出了根据本发明的方法的示例性实施例的流程图。
具体实施方式
图1所示的机动车辆1具有机动车辆1的驾驶员辅助装置3的电子数据存储器2。驾驶员辅助装置3同样具有处理器装置4。数据存储器2存储软件包,该软件包包含用于在处理器装置4上执行的计算机指令——从狭义上讲就是说程序代码——和有用数据,该有用数据被这些计算机指令处理并且在这里是驾驶员辅助装置3的参数值。
机动车辆1同样具有本地通信装置5,该本地通信装置5被设置在机动车辆的内部并且根据nfc(近场通信)进行特定通信。便携式移动装置6——其在这里是属于机动车辆1的所有者的智能电话——被设置在机动车辆1的内部的相应的支架(在这里没有单独示出)中并且在这方面在本地通信装置5可以建立近场通信的范围内。在这种情况下,对于自动建立——就是说无需特殊的操作输入——近场通信,满足通过将移动装置6放置在该支架中,移动装置6被带到本地通信装置5的范围内。
机动车辆1的远程装置7通过无线通信协议——这里特别是通过lte(长期演进)协议——与基站8通信,并且通过基站,与更新服务器9保持联络,远程装置7可以从更新服务器接收数据。机动车辆1还具有信令装置10——这里具体是照明装置,其可以被用于输出操作者信号到机动车辆1的操作者。这里具体地,操作者信号具有请求该操作者在移动装置6与本地通信装置5之间建立近场通信的目的,在移动装置6与本地通信装置5之间建立近场通信可以通过将移动装置6放置在提供用于此的支架中而发生。
最后,该机动车辆具有授权装置11,该授权装置11在这里是电子车载计算机。该授权装置11——并且因此电子车载计算机——也可以与驾驶员辅助装置3或具有处理器装置4和电子数据存储器2的任何其他电子系统、远程装置7或本地通信装置5或机动车辆1中作为单独的电子器件的这些和其他电子装置中的任何所需的组合一起呈现。在这方面,在该示例性实施例中实施并且在图1中示出的该分法仅是示例性的。授权装置11被用于执行授权,该授权在下文进行更详细地描述并且授权的成功导致存储在数据存储器2中的软件包被更新。
图2中所示的授权方法现在利用所述图2进行说明。在该方法的这里是第一——通知步骤12,远程装置7接收由更新服务器9传输的更新通知。接收到的通知被转发至授权装置11。授权装置11然后控制信令装置10以便在信令步骤13它生成——这里是光——操作者信号。操作者信号是针对操作者。它通知他软件包的即将进行的更新并且要求他为了授权的目的以这样的方式放置便携式移动装置6——特别是将其放置在为此目的而提供的支架中,即,使得近场通信在移动装置6与本地通信装置5之间建立。
在预定时间——在这里其被设置为例如30秒——已经过去之后,通信检查步骤14检查近场通信是否已在本地通信装置5与移动装置6之间被建立,就是说现在存在。鉴于上述近场通信的自动建立,这是当在发信令之前移动装置6已经在近场通信所需的范围中——例如由于被设置在支架中——或在预定时间内被带到该范围时的情况。
如果近场通信尚未被建立,则在中止步骤15确定授权失败并且更新被中止。如果近场通信已被建立,则在识别步骤16本地通信装置5通过近场通信从移动装置6接收标识符,该标识符识别移动装置6并且通过加密术和通过数字签名进行密码保护。相应的部分密钥是由移动装置6提供并且因此被存储在移动装置6中。特别是,标识符和部分密钥可以由移动装置6中的特殊识别软件提供。除了该标识符之外,本地通信装置5接收提供用于解密用于更新软件包的数据记录的目的的另外的部分密钥。在随后的步骤中执行的该解密过程在下文中进行描述。
在识别步骤16之后的传输步骤17中,授权装置11利用远程装置7将从本地通信装置5接收到的标识符传输至更新服务器9。
在随后的权利步骤18中,更新服务器9检查接收到的标识符——在其解密和数字签名的确认之后——是否提供更新机动车辆1的数据存储器2中的软件包的权利。如果这样的权利不存在,则如上所述在中止步骤15中止更新。于是授权已失败。如果确定更新软件包的权利存在,则在传输步骤19更新服务器9将用于更新软件包的数据记录传输至远程装置7。数据记录通过加密术进行密码保护。
在随后的解密步骤20,授权装置11尝试解密用于更新软件包的数据记录,该数据记录是从远程装置7中在用于解密用于更新软件包的数据记录的部分密钥的帮助下读取,该部分密钥是在识别步骤16中接收。
如果该解密失败,则中止步骤15再次跟随总体上授权的相应失败。如果解密成功,则授权成功并且授权装置11在随后的更新步骤21通过用于更新软件包的数据记录来更新存储在数据存储器2中的软件包。
最后,在结束步骤22,为了通知成功授权和已经进行的更新的目的,授权装置11使远程装置7将结束消息传输至更新服务器9。