專利名稱:用于車輛控制器的存儲器重寫系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種借助于從外部重寫裝置傳送的另一種數(shù)據(jù)來重寫存儲在車輛控制器的存儲器中的數(shù)據(jù)的存儲器重寫系統(tǒng)。
車輛經(jīng)受通過一個(gè)電子控制單元(下文稱作“ECU”)的各種類型的控制���。這樣的控制包括用于空氣燃料比率����、燃料噴射量���、和排放的發(fā)動(dòng)機(jī)相關(guān)控制����;以及用于動(dòng)力窗戶、氣囊���、和ABS的車體有關(guān)控制����。ECU根據(jù)由安裝在車輛上的各種傳感器檢測的當(dāng)前條件和車輛行駛狀態(tài)�,提供對車輛的各種類型控制����。
另一方面,車輛可以包括一個(gè)防盜系統(tǒng)���。一般地說����,防盜系統(tǒng)電子檢查由駕駛員用來啟動(dòng)發(fā)動(dòng)機(jī)的點(diǎn)火鑰匙是否是真的�����。如果確定鑰匙是真的�����,則防盜系統(tǒng)把一個(gè)用來允許車輛操作的信號傳送到ECU。另一方面���,如果確定點(diǎn)火鑰匙不是真的�,則判斷駕駛員不是授權(quán)人���,并且他不能操作車輛�����。因而�����,在接收到允許信號以前���,ECU通過例如停止燃料噴射不允許發(fā)動(dòng)機(jī)啟動(dòng)。
ECU包括一個(gè)中央處理單元(CPU)�、一個(gè)存儲要完成的程序和數(shù)據(jù)的ROM(只讀存儲器)、一個(gè)為執(zhí)行提供工作區(qū)域和存儲計(jì)算結(jié)果的RAM(隨機(jī)存取存儲器)�����、及一個(gè)用來從各傳感器接收信號和把控制信號傳送到發(fā)動(dòng)機(jī)各部分的I/O接口。
ROM常常包括一個(gè)諸如閃爍存儲器��、一個(gè)EEPROM�����、或一個(gè)EPROM之類的可重寫存儲器��,以允許在其中重寫程序或數(shù)據(jù)�。日本專利申請公開No.63-223901描述了一種借助于安裝在車輛上的ECU響應(yīng)來自外部裝置的請求來改變存儲在ECU的EEPROM中的程序的方法。
改變存儲在ECU的ROM中的程序或數(shù)據(jù)的這樣一種功能����,使得有必要保護(hù)程序或數(shù)據(jù)免于由外部裝置存取�����,因而防止用戶或其他第三方?jīng)]有適當(dāng)授權(quán)而重寫存儲在ROM中的程序或數(shù)據(jù)�����。日本專利申請公開No.3-238541描述了一種使用一個(gè)檢查數(shù)據(jù)機(jī)構(gòu)來確定在ECU的ROM中的程序或數(shù)據(jù)是否被篡改的車輛控制器���。根據(jù)該機(jī)構(gòu)���,事先存儲基于存儲在ROM中的數(shù)據(jù)的檢查數(shù)據(jù)��。在車輛裝運(yùn)之后���,ECU根據(jù)存儲在ROM中的數(shù)據(jù)建立新的檢查數(shù)據(jù)。ECU然后把新的檢查數(shù)據(jù)與以前存儲的檢查數(shù)據(jù)相比較����,如果他們不相同就確定數(shù)據(jù)已經(jīng)被篡改數(shù)據(jù)并且接通報(bào)警燈。
用來釋放上述安全特性的密鑰僅對于在與汽車制造商的合同下的重寫裝置制造商是已知的�。因而,只有由汽車制造商授權(quán)的重寫裝置能使用“密鑰”和改變存儲在該汽車ECU的ROM中的數(shù)據(jù)�。
將簡要描述用來改變ROM中的程序的一種典型過程。上述密鑰一般由某一函數(shù)表示��,該函數(shù)既提供在重寫裝置中又提供在ECU中��。重寫裝置被連接到ECU上���,并且然后使用其自己的函數(shù)(即密鑰)對于從ECU傳送的一個(gè)任意數(shù)字值計(jì)算一個(gè)函數(shù)值��。重寫裝置然后把該函數(shù)值傳送到ECU���。同時(shí)����,ECU使用其自己的函數(shù)(即密鑰)對于相同的數(shù)字值計(jì)算一個(gè)函數(shù)值�。ECU把從重寫裝置接收的函數(shù)值與由其本身確定的函數(shù)值相比較。如果他們相等���,則ECU釋放安全特性��。因而�,允許重寫裝置重寫存儲在ROM中的數(shù)據(jù)��。如果他們不相等�,那么判斷該重寫裝置不是真的,因?yàn)橹貙懷b置和ECU具有不同的函數(shù)(密鑰)�。因此��,不釋放安全特性�,并且重寫裝置不能重寫存儲在ROM中的數(shù)據(jù)。
然而�,用來釋放安全特性的密鑰按常規(guī)存儲在ECU中的ROM的不可重寫區(qū)域中,從而在車輛已經(jīng)裝運(yùn)之后����,不可能用重寫裝置改變密鑰���。因而,如果密鑰偶然泄密到用戶或沒有授權(quán)的另外第三方�����,則除授權(quán)的之外的重寫裝置能重寫ROM中的密鑰�����,由此破壞安全特性�。
另一方面,如果車輛包括一個(gè)防盜系統(tǒng)�����,并且如果重寫用來操作防盜系統(tǒng)的程序�,那么會(huì)使防盜系統(tǒng)失效。因而����,用來重寫存儲在ROM中的程序或數(shù)據(jù)的系統(tǒng)需要比防盜系統(tǒng)高的安全性。
本發(fā)明的一個(gè)目的在于提供一種用于車輛控制器的存儲器重寫系統(tǒng)�����,該存儲器重寫系統(tǒng)即使在車輛裝運(yùn)之后,也能改變用來釋放防止存儲在ECU的ROM中的程序或數(shù)據(jù)被篡改的安全特性的密鑰���。即使密鑰已經(jīng)泄密到?jīng)]有授權(quán)的第三方�,制造商也能使用該重寫裝置改變密鑰��,由此能夠使安全特性容易地恢復(fù)�。
本發(fā)明的另一個(gè)目的在于提供一種用于車輛控制器的存儲器重寫系統(tǒng),該存儲器重寫系統(tǒng)能與防盜系統(tǒng)一起操作�����。
根據(jù)本發(fā)明的一個(gè)方面����,提供一種包括一個(gè)可重寫存儲器的車輛控制器?���?芍貙懘鎯ζ鞔鎯τ脕泶_定是否允許對可重寫存儲器重寫的第一安全性數(shù)據(jù)��。把車輛控制器配置成�����,響應(yīng)來自一個(gè)外部重寫裝置的新安全性數(shù)據(jù)的接收,刪除第一安全性數(shù)據(jù)�、和把新安全性數(shù)據(jù)寫入可重寫存儲器中??芍貙懘鎯ζ髂茉谥T如閃爍存儲器、EPROM���、和EEPROM之類的非易失性存儲器中實(shí)現(xiàn)�。因而�,通過重寫存儲在可重寫存儲器中的安全性數(shù)據(jù)能容易地恢復(fù)安全特性,即使安全性數(shù)據(jù)已經(jīng)泄密到第三方也防止非法重寫擴(kuò)散�。
在本發(fā)明的一個(gè)實(shí)施例中,車輛控制器也包括一個(gè)非可重寫存儲器�����,其中存儲用來刪除第一安全性數(shù)據(jù)并且寫入新安全性數(shù)據(jù)的程序����。因而,防止重寫安全性數(shù)據(jù)的程序免于被篡改�����。
在本發(fā)明的另一個(gè)實(shí)施例中,在單個(gè)存儲器中實(shí)現(xiàn)可重寫存儲器和非可重寫存儲器���。
在本發(fā)明的另一個(gè)實(shí)施例中��,把一個(gè)防盜系統(tǒng)連接到車輛控制器上����。在這種情況下�����,如果防盜系統(tǒng)允許關(guān)于車輛的操作�,則允許對可重寫存儲器的重寫。
根據(jù)本發(fā)明的另一個(gè)方面�,提供一種用來重寫包括在一個(gè)車輛控制器中的可重寫存儲器的重寫裝置。重寫裝置包括一個(gè)用來存儲新安全性數(shù)據(jù)的存儲器和一個(gè)用來傳送新安全性數(shù)據(jù)的通信裝置�����。把傳送的新安全性數(shù)據(jù)寫入可重寫存儲器中�����。寫入可重寫存儲器中的安全性數(shù)據(jù)用來確定是否允許對可重寫存儲器重寫。重寫裝置提供一個(gè)使用戶能夠建立新安全性數(shù)據(jù)的用戶接口���。況且,控制器能匯編來自新安全性數(shù)據(jù)的數(shù)據(jù)塊��。每個(gè)數(shù)據(jù)塊包括一個(gè)用于新安全性數(shù)據(jù)的部分程序代碼的程序代碼字段�����、和一個(gè)用于其中存儲部分程序代碼的可重寫存儲器的前導(dǎo)地址的地址字段�����。通信裝置通過串行通信傳送數(shù)據(jù)塊����。
在本發(fā)明的一個(gè)實(shí)施例中,重寫裝置進(jìn)一步向車輛控制器發(fā)送一個(gè)請求��,以刪除第一安全性數(shù)據(jù)和把傳送的新安全性數(shù)據(jù)寫入可重寫存儲器中���。
根據(jù)本發(fā)明的另一個(gè)方面��,重寫裝置存儲第二安全性數(shù)據(jù)�。車輛控制器把在其中安裝的可重寫存儲器中存儲的第一安全性數(shù)據(jù)與從重寫裝置傳送的第二安全性數(shù)據(jù)相比較����。如果第一安全性數(shù)據(jù)與第二安全性數(shù)據(jù)相匹配���,則車輛控制器允許重寫裝置對可重寫存儲器重寫。
在本發(fā)明的一個(gè)實(shí)施例中�����,第一安全性數(shù)據(jù)和第二安全性數(shù)據(jù)具有相同的函數(shù)���。重寫裝置包括一個(gè)程序���,以便根據(jù)第一安全性數(shù)據(jù)的函數(shù)對一個(gè)數(shù)計(jì)算一個(gè)第一函數(shù)值。車輛控制器根據(jù)第二安全性數(shù)據(jù)的函數(shù)對于該數(shù)計(jì)算一個(gè)第二函數(shù)值�。車輛控制器把第一函數(shù)值與從重寫裝置傳送的第二函數(shù)值相比較。如果第一函數(shù)值等于第二函數(shù)值�����,則車輛控制器允許重寫裝置對可重寫存儲器重寫�。
圖1表示根據(jù)本發(fā)明一個(gè)實(shí)施例的一種存儲器重寫系統(tǒng)的外觀;圖2是方塊圖����,表示根據(jù)本發(fā)明一個(gè)實(shí)施例的整個(gè)存儲器重寫系統(tǒng)���;圖3表示在根據(jù)本發(fā)明一個(gè)實(shí)施例的存儲器重寫系統(tǒng)中的ECU的一個(gè)ROM和一個(gè)CPU的形式的例子;圖4表示根據(jù)本發(fā)明一個(gè)實(shí)施例的存儲器重寫系統(tǒng)的操作過程�;圖5是由根據(jù)本發(fā)明一個(gè)實(shí)施例的存儲器重寫系統(tǒng)執(zhí)行的一個(gè)驗(yàn)證過程��;圖6是流程圖����,表示由根據(jù)本發(fā)明一個(gè)實(shí)施例的存儲器重寫系統(tǒng)執(zhí)行的一個(gè)用來釋放安全性的過程;
圖7是流程圖�,表示由根據(jù)本發(fā)明一個(gè)實(shí)施例的存儲器重寫系統(tǒng)的ECU執(zhí)行的一個(gè)用來釋放安全性的過程;圖8是流程圖���,表示由根據(jù)本發(fā)明一個(gè)實(shí)施例的存儲器重寫系統(tǒng)的重寫裝置執(zhí)行的一個(gè)用來重寫的過程����;及圖9是流程圖�����,表示由根據(jù)本發(fā)明一個(gè)實(shí)施例的存儲器重寫系統(tǒng)的ECU執(zhí)行的一個(gè)用來重寫的過程����。
參照附圖將描述用來重寫存儲在車輛控制器的非易失性存儲器中的安全性程序的本發(fā)明�。然而��,本發(fā)明不限于用來重寫安全性程序的系統(tǒng)����,而是適用于用來重寫存儲在一個(gè)非易失性存儲存儲器中的數(shù)據(jù)的各種系統(tǒng)。
圖1表示根據(jù)本發(fā)明一個(gè)實(shí)施例的一種存儲器重寫系統(tǒng)的外觀����。存儲器重寫系統(tǒng)包括一個(gè)安裝在一個(gè)車輛1上的電子控制單元(ECU)10和一個(gè)重寫裝置11。重寫裝置11由車輛1的制造商授權(quán)�����。ECU 10包括一個(gè)可重寫ROM(未表示)�����。如圖中所示�����,當(dāng)把重寫裝置11連接到ECU 10上��,并且進(jìn)行對于重寫裝置11的一些適當(dāng)操作時(shí),釋放用來防止存儲在ECU 10的ROM中的程序或數(shù)據(jù)免于沒有適當(dāng)授權(quán)而被重寫的安全特性���。因而�,允許重寫裝置重寫存儲在ROM中的程序或數(shù)據(jù)�。
通過在ECU 10與重寫裝置11之間的串行通信執(zhí)行重寫。用戶通過操作在重寫裝置11上的操作按鈕和/或與提供在重寫裝置11上的顯示屏幕交互作用���,能把用來重寫的數(shù)據(jù)發(fā)送到ECU 10����。然而���,重寫裝置不限圖中所示的形式,而是可以是具有能夠與ECU 10通信的協(xié)議的另一種形式�����。
圖2是功能方塊圖��,表示根據(jù)本發(fā)明一個(gè)實(shí)施例的整個(gè)存儲器重寫系統(tǒng)�����。如上所述,存儲器重寫系統(tǒng)包括安裝在車輛上的ECU 10和重寫裝置11����。重寫裝置11提供在ECU 10外面,并且經(jīng)串行通信連接到其上��?��?蛇x擇地����,在重寫裝置11與ECU 10之間可以使用并行通信��。
ECU 10包括一個(gè)中央處理單元14(下文稱作CPU)�,包括一個(gè)微型計(jì)算機(jī)和有關(guān)的電路元件;ROM 16和18�����,他們是非易失性存儲器并且存儲程序和數(shù)據(jù)���;一個(gè)RAM 37(隨機(jī)存取存儲器)����,為執(zhí)行提供工作區(qū)域,并且存儲計(jì)算結(jié)果����;及一個(gè)I/O接口38,用來從各傳感器39接收信號和把控制信號傳送到發(fā)動(dòng)機(jī)的各部分��。來自各傳感器39的信號包括發(fā)動(dòng)機(jī)轉(zhuǎn)動(dòng)速度(Ne)�、發(fā)動(dòng)機(jī)水溫(Tw)、吸入空氣溫度(Ta)�����、電池電壓(VB)�����、及點(diǎn)火開關(guān)(IGSW)�。因而�,根據(jù)從I/O接口38輸入的一個(gè)信號,CPU 14從ROM 16和18調(diào)用一個(gè)控制程序和數(shù)據(jù)以執(zhí)行計(jì)算��,并且經(jīng)I/O接口38把結(jié)果輸出到車輛的各部分以控制車輛的各種功能�。
ECU 10也包括一個(gè)接口12。接口12帶有用來與重寫裝置11通信的協(xié)議��,以便在ECU 10與重寫裝置11之間能夠?qū)崿F(xiàn)串行通信。
可重寫ROM 16是一個(gè)從其能刪除存儲數(shù)據(jù)和對其能寫新數(shù)據(jù)的存儲器�。可重寫ROM 16例如能是閃爍存儲器或EEPROM�����。通過把可重寫ROM的存儲器區(qū)域的一部分指定為不可改變區(qū)域�����、或通過使用對其在制造期間固化數(shù)據(jù)且以后不能從其刪除或?qū)ζ鋵憯?shù)據(jù)的掩模ROM�����,能實(shí)現(xiàn)非可重寫ROM 18�。可選擇地��,借助于對其僅能寫一次數(shù)據(jù)的一個(gè)PROM能實(shí)現(xiàn)ROM 18�。
ROM 16和18能作為物理分離的兩個(gè)存儲器實(shí)現(xiàn)。另外���,可以把單個(gè)存儲器的存儲器區(qū)域劃分成兩個(gè)區(qū)域����,從而區(qū)域之一用作可重寫區(qū)域,而其他用作非可重寫區(qū)域����。在后一種情況下,例如�����,在EEPROM中已經(jīng)指定其中存儲程序等的一個(gè)非可重寫區(qū)域之后���,在存儲器的未填充空間中借助于一個(gè)開始地址和一個(gè)結(jié)束地址指定一個(gè)可重寫區(qū)域�����。
現(xiàn)在�,參照圖3描述ROM 16和18及CPU的一種形式的例子���。在該圖中,ROM 16和18使用一個(gè)閃爍存儲器實(shí)現(xiàn)���。圖3(a)表示與CPU分離地提供閃爍存儲器的一種形式��。當(dāng)通過與重寫裝置11的通信輸入重寫操作模式時(shí)�����,CPU從重寫裝置11接收數(shù)據(jù)���,并且借助于接收的數(shù)據(jù)調(diào)用用來重寫閃爍存儲器的一個(gè)程序����。
另一方面���,圖3(b)表示具有一個(gè)與CPU結(jié)合構(gòu)成一個(gè)芯片的內(nèi)裝閃爍存儲器的一種形式���。當(dāng)響應(yīng)來自重寫裝置的一個(gè)信號進(jìn)入重寫操作模式時(shí),使用包括在CPU中的功能從重寫裝置傳送的數(shù)據(jù)自動(dòng)重寫到該閃爍存儲器�。根據(jù)本發(fā)明的存儲器重寫裝置適用于以上形式的任一種。
再參照圖2�����,可重寫ROM 16存儲一個(gè)安全性函數(shù)f2��。安全性函數(shù)f2實(shí)現(xiàn)用來防止存儲在ROM 16中的數(shù)據(jù)被非法重寫的安全特性�。
非可重寫ROM 18存儲用來實(shí)現(xiàn)一個(gè)驗(yàn)證部分31、一個(gè)隨機(jī)數(shù)發(fā)生器33、及一個(gè)重寫部分35的程序����。驗(yàn)證部分31響應(yīng)用來從重寫裝置11釋放安全性的請求,并且使用安全性函數(shù)f2和由隨機(jī)數(shù)發(fā)生器33產(chǎn)生的一個(gè)隨機(jī)數(shù)R確定重寫裝置11是否是真的��。使用隨機(jī)數(shù)R能夠?qū)崿F(xiàn)要提高的安全特性�����。如果確定重寫裝置是真的��,則驗(yàn)證部分31釋放安全持性��。
此后����,重寫部分35刪除安全性函數(shù)f2,并且從重寫裝置11接收一個(gè)新的安全性函數(shù)f3���,以把它重寫到ROM 16中�。安全性函數(shù)f2可以物理或邏輯地刪除�����。邏輯刪除可以使用一個(gè)刪除標(biāo)志實(shí)現(xiàn)�����。更具體地說�,帶設(shè)置的刪除標(biāo)志的安全性函數(shù)f2認(rèn)為在以后的過程中刪除。
重寫裝置11帶有一個(gè)安全性函數(shù)f1和一個(gè)新的安全性函數(shù)f3�。安全性函數(shù)f1和存儲在ECU 10的ROM 16中的安全性函數(shù)f2合作實(shí)現(xiàn)安全特性。如果安全性函數(shù)f2沒有由任何第三人改變����,則重寫裝置11的安全性函數(shù)f1與ECU 10的安全性函數(shù)f2相同。在另一個(gè)實(shí)施例中���,安全性函數(shù)f1和f2具有一定的關(guān)系����。如果該關(guān)系保持���,則確定安全性函數(shù)f2沒有被篡改����。
在重寫存儲在ROM 16中的安全性函數(shù)f2之前準(zhǔn)備新的安全性函數(shù)f3��。新的安全性函數(shù)f3能通過對當(dāng)前安全性函數(shù)f1進(jìn)行一些變化建立。根據(jù)一個(gè)例子�,新的安全性函數(shù)f3是一個(gè)與安全性函數(shù)f1具有不同表達(dá)式的函數(shù)。根據(jù)另一個(gè)例子�,新的安全性函數(shù)f3是一個(gè)在函數(shù)表達(dá)式中具有與安全性函數(shù)f1不同的常數(shù)的函數(shù)。例如��,當(dāng)函數(shù)f1和f2是f1=f2=A×R+B(A=10和B=5)時(shí)����,把新的安全性函數(shù)f3設(shè)置成f3=A+R×B(A=10和B=5)?���?蛇x擇地,可以把函數(shù)f1和f2的常數(shù)A和B的值分別改變到5和10����。
重寫裝置11也包括一個(gè)安全性釋放請求部分21、一個(gè)重寫請求部分23��、及一個(gè)數(shù)據(jù)塊匯編部分25����,這些可以作為程序存儲在重寫裝置11的一個(gè)存儲器中。安全性釋放請求部分21使用安全性函數(shù)f1請求ECU 10釋放安全特性�����。
數(shù)據(jù)塊匯編部分25從安全性函數(shù)f3的程序代碼匯編適用于串行通信的數(shù)據(jù)塊�。每個(gè)數(shù)據(jù)塊包括一個(gè)地址字段和一個(gè)程序代碼字段。程序代碼字段包含一個(gè)部分程序代碼��,而地址字段包含一個(gè)其中存儲部分程序代碼的區(qū)域的前導(dǎo)地址�。數(shù)據(jù)塊匯編部分25把安全性函數(shù)f3的程序代碼劃分成多片,其每一片具有一定的長度(例如8位)���。程序代碼的每片或每個(gè)部分程序代碼�����,放置在一個(gè)數(shù)據(jù)塊的程序代碼字段中�。每個(gè)部分程序代碼的一個(gè)前導(dǎo)地址放置在數(shù)據(jù)塊的地址字段中����。因而,匯編數(shù)據(jù)塊��。
在已經(jīng)釋放安全特性之后�����,重寫請求部分23串行地把表示由數(shù)據(jù)塊匯編部分25匯編的新安全性函數(shù)f3的數(shù)據(jù)塊傳送到ECU 10。
一個(gè)防盜系統(tǒng)81連接到ECU 10上���,從而存儲器重寫系統(tǒng)能與防盜系統(tǒng)81交換信息��。防盜系統(tǒng)81從當(dāng)發(fā)動(dòng)機(jī)要啟動(dòng)時(shí)插入在一個(gè)鑰匙孔內(nèi)的點(diǎn)火鑰匙抽取一個(gè)電子代碼�,并且把該電子代碼與一個(gè)預(yù)定授權(quán)代碼相比較�,以檢查插入的點(diǎn)火鑰匙是否是真的。如果確定點(diǎn)火鑰匙是真的�����,則防盜系統(tǒng)81經(jīng)一個(gè)I/O接口38把一個(gè)指示允許發(fā)動(dòng)機(jī)啟動(dòng)的信號傳送到ECU 10����。在接收到該允許信號時(shí),ECU 10設(shè)置可以存儲在RAM 37或ROM 16中的發(fā)動(dòng)機(jī)啟動(dòng)允許標(biāo)志���,并且啟動(dòng)發(fā)動(dòng)機(jī)�����。如果確定插入的點(diǎn)火鑰匙不是真的�,則不輸出允許信號����。因而�����,ECU 10不能啟動(dòng)發(fā)動(dòng)機(jī)����。盡管防盜系統(tǒng)81和ECU 10分別表示在圖2中���,但防盜系統(tǒng)81的一些功能可以包括在ECU 10中。例如����,點(diǎn)火鑰匙的授權(quán)可以由ECU 10完成。
參照圖4和5描述表示在圖2中的存儲器重寫系統(tǒng)的操作�����。例如�,當(dāng)在把重寫裝置11已經(jīng)連接到ECU 10上之后按下重寫裝置11的操作按鈕時(shí),開始重寫操作�����。可選擇地�,重寫操作可以通過操作ECU 10開始。
在步驟41����,重寫裝置11的安全性釋放請求部分21把一個(gè)指示用于釋放安全性請求的信號傳送到ECU 10。ECU 10響應(yīng)該信號啟動(dòng)一個(gè)驗(yàn)證過程��,以便證實(shí)授權(quán)重寫裝置連接到其上�����。下面參照圖5將描述驗(yàn)證過程��。
如果ECU驗(yàn)證重寫裝置11����,并且允許它對可重寫ROM 16重寫,則過程前進(jìn)到步驟42�。重寫裝置11的重寫請求部分23把一個(gè)指示重寫開始的信號傳送到ECU 10,并且當(dāng)準(zhǔn)備重寫時(shí)��,ECU 10的重寫部分35返回一個(gè)開始允許信號�。在步驟43,重寫裝置11把一個(gè)用來轉(zhuǎn)移到一個(gè)重寫操作模式的請求傳送到ECU 10��,并且然后ECU 10的重寫部分35執(zhí)行一個(gè)用來轉(zhuǎn)移到重寫操作模式的過程。在步驟44��,重寫請求部分23詢問ECU 10是否已經(jīng)完成操作模式的轉(zhuǎn)移�。如果已經(jīng)完成轉(zhuǎn)移,則重寫部分35把一個(gè)指示轉(zhuǎn)移完成的信號傳送到重寫裝置11��。
在步驟45�����,重寫請求部分23請求刪除存儲在可重寫ROM 16中的安全性函數(shù)f2����,并且響應(yīng)這點(diǎn)���,重寫部分35從ROM 16刪除安全性函數(shù)f2����。
在這時(shí)�,在重寫裝置11中,已經(jīng)準(zhǔn)備新的安全性函數(shù)f3���。函數(shù)f3已經(jīng)由數(shù)據(jù)塊匯編部分25提供�,作為用于傳送到ECU 10的串行數(shù)據(jù)塊。一般在重寫裝置11把用來釋放安全性或通知重寫開始的請求傳送到ECU 10之前�����,建立安全性函數(shù)f3���。然而�����,對于新安全性函數(shù)f3的這種準(zhǔn)備可以在步驟45之前立即執(zhí)行��。
可以準(zhǔn)備新安全性函數(shù)f3����,例如從以前保存在重寫裝置11中的多個(gè)函數(shù)選擇一個(gè)�。可選擇地�����,用戶可以通過操縱重寫裝置11建立新安全性函數(shù)f3��。
在步驟46,重寫請求部分23把表示新安全性函數(shù)f3的數(shù)據(jù)塊的第一個(gè)與指示請求對可重寫ROM 16重寫的一個(gè)信號一起傳送到ECU 10����。重寫部分35從重寫裝置11接收數(shù)據(jù)塊,并且把包括在數(shù)據(jù)塊中的一個(gè)部分程序代碼寫到可重寫ROM 16����。把部分程序代碼寫入由數(shù)據(jù)塊的地址字段指示的一個(gè)地址中。一旦已經(jīng)完成部分程序代碼的寫�,重寫部分35就把寫完成的通知傳送到重寫裝置11。作為對此的響應(yīng)�����,重寫裝置11把下一個(gè)數(shù)據(jù)塊傳送到ECU 10�����。重復(fù)該步驟46����,直到把安全性函數(shù)f3的所有程序代碼寫入到ROM 16中����。
一旦已經(jīng)完成所有程序代碼的寫,重寫請求部分23就把一個(gè)用來釋放重寫操作模式的請求傳送到ECU 10(步驟47)。作為對此的響應(yīng)��,重寫部分35釋放重寫操作模式�����。由于重寫裝置11已經(jīng)把存儲在ROM 16中的安全性函數(shù)變化到f3����,所以把由重寫裝置11使用的函數(shù)也設(shè)置到f3,從而以后借助于安全性函數(shù)f3能實(shí)現(xiàn)安全特性�。在把新安全性函數(shù)f3已經(jīng)寫到ROM 16之后,可以刪除以前的安全性函數(shù)f1����。
圖5表示與圖4中步驟41相對應(yīng)的驗(yàn)證過程的一個(gè)例子。在步驟51����,重寫裝置11的安全性釋放請求部分21請求ECU 10傳送一個(gè)任意數(shù)R。作為對此的響應(yīng)����,調(diào)用ECU 10的驗(yàn)證部分31。驗(yàn)證部分31調(diào)用產(chǎn)生隨機(jī)數(shù)的隨機(jī)數(shù)發(fā)生器33����。驗(yàn)證部分31從由隨機(jī)數(shù)發(fā)生器33產(chǎn)生的隨機(jī)數(shù)選擇數(shù)R��,并且把數(shù)R傳送到重寫裝置11(步驟52)��??蛇x擇地���,可以使用一個(gè)不同的機(jī)構(gòu)來設(shè)置任意數(shù)R�。重寫裝置11使用已經(jīng)存儲在其中的安全性函數(shù)f1��,以便根據(jù)K1=f1(R)對于數(shù)據(jù)R確定函數(shù)f1的函數(shù)值K1(步驟53)��。
另一方面�����,ECU 10的驗(yàn)證部分31使用存儲在可重寫ROM 16中的安全性函數(shù)f2���,以便根據(jù)K2=f2(R)對于數(shù)R確定一個(gè)函數(shù)值K2(步驟54)。重寫裝置11的安全性釋放請求部分21把函數(shù)值K1傳送到ECU 10(步驟55)�。驗(yàn)證部分31把來自重寫裝置11的函數(shù)值K1與內(nèi)部確定的函數(shù)值K2相比較(步驟56),并且如果他們相等�����,則確定重寫裝置11是真的。以后��,驗(yàn)證部分31檢查存儲在RAM 37中的發(fā)動(dòng)機(jī)啟動(dòng)允許標(biāo)志是否是值一(步驟57)。如果允許標(biāo)志是一��,則這意味著已經(jīng)從防盜系統(tǒng)81輸出了發(fā)動(dòng)機(jī)啟動(dòng)允許信號����,并且把一個(gè)指示重寫允許的信號傳送到重寫裝置11(步驟58)�。
因而��,安全特性需要釋放以便重寫存儲在可重寫ROM中的數(shù)據(jù)����,從而使用當(dāng)前安全性函數(shù)f1和f2用來釋放安全特性。借助于安裝在車輛中的防盜系統(tǒng)����,只有已經(jīng)釋放了防盜系統(tǒng)����,才釋放用于存儲器重寫系統(tǒng)的安全特性,由此防止非法駕駛員重寫數(shù)據(jù)�����。
圖6是流程圖��,表示由存儲器重寫裝置11執(zhí)行的一個(gè)用來釋放安全性的過程�����。在步驟61,重寫裝置11從ECU 10請求一個(gè)數(shù)R���。重寫裝置11以后從ECU 10接收數(shù)R(步驟62)�。在接收到數(shù)R時(shí)�����,重寫裝置11使用已經(jīng)保持在其中的安全性函數(shù)f1對于數(shù)R計(jì)算函數(shù)值K1(步驟63)�。以后�,重寫裝置11把函數(shù)值K1傳送到ECU 10(步驟64)。
圖7是流程圖��,表示由ECU 10執(zhí)行的一個(gè)用來釋放安全性的過程�。ECU 10從重寫裝置11接收對于數(shù)R的請求��。在接收到該請求時(shí)�,ECU 10設(shè)置來自隨機(jī)數(shù)的數(shù)R(步驟72),并且把它傳送到重寫裝置11(步驟73)�����。ECU然后使用已經(jīng)保持在其中的安全性函數(shù)f2對于數(shù)R計(jì)算函數(shù)值K2(步驟74)。
ECU 10從重寫裝置11接收函數(shù)值K1(步驟75)���,并且把值K1與值K2相比較(步驟74)���。如果他們相等,則ECU 10檢查發(fā)動(dòng)機(jī)啟動(dòng)允許標(biāo)志是否是一(步驟77)。如果標(biāo)志是一����,則過程前進(jìn)到步驟78以設(shè)置一個(gè)重寫允許標(biāo)志���,由此指示允許重寫裝置11重寫�。如果在步驟76值不相等��,或者在步驟77沒有把發(fā)動(dòng)機(jī)啟動(dòng)允許標(biāo)志設(shè)置到值一,那么把重寫允許標(biāo)志設(shè)置到零(步驟79)��,以指示不允許重寫裝置重寫。
圖8是流程圖�,表示重寫裝置11執(zhí)行的一個(gè)用來重寫的過程���。在步驟81,重寫裝置11傳送用來重寫到ECU 10的請求�����。該請求實(shí)際可以包括表示在圖4中的用于重寫開始的通知、用來轉(zhuǎn)移到重寫操作模式的請求等。在響應(yīng)用來重寫的請求接收由ECU 10提供的重寫允許時(shí)(步驟82)����,重寫裝置11建立新安全性函數(shù)f3的數(shù)據(jù)塊(步驟83)。使用上述的重寫裝置11能任意建立新安全性函數(shù)f3���。重寫裝置11然后把表示新安全性函數(shù)f3的數(shù)據(jù)塊傳送到ECU 10(步驟84)�����。
圖9是流程圖,表示由ECU 10執(zhí)行的一個(gè)用來重寫的過程��。在從重寫裝置11接收到用來重寫的請求時(shí)(步驟91)���,ECU 10檢查把重寫允許標(biāo)志是否設(shè)置到一(步驟92)�。如果把標(biāo)志設(shè)置到一����,這意味著已經(jīng)證明重寫裝置11是真的��,那么ECU等待從重寫裝置11傳送的新安全性函數(shù)f3�。事實(shí)上�����,在步驟92與93之間能執(zhí)行諸過程�,如圖4中所示的至重寫操作模式的轉(zhuǎn)移或從可重寫ROM刪除當(dāng)前安全性函數(shù)f2。
以后�����,在接收到新安全性函數(shù)f3時(shí)(步驟93)時(shí)��,ECU把該函數(shù)f3寫到可重寫ROM 16���。因而,借助于新安全性函數(shù)f3重寫已經(jīng)存儲在可重寫ROM 16中的安全性函數(shù)f2����。
權(quán)利要求
1.一種車輛控制器,包括一個(gè)用來存儲用于確定是否允許對可重寫存儲器重寫的第一安全性數(shù)據(jù)的可重寫存儲器�����;其中把車輛控制器配置成,響應(yīng)來自一個(gè)外部重寫裝置的新安全性數(shù)據(jù)的接收���,刪除第一安全性數(shù)據(jù)�����、和把新安全性數(shù)據(jù)寫入可重寫存儲器中����。
2.根據(jù)權(quán)利要求1所述的車輛控制器��,其中用來刪除第一安全性數(shù)據(jù)和寫新安全性數(shù)據(jù)的程序存儲在一個(gè)非易失性存儲器中���。
3.根據(jù)權(quán)利要求1所述的車輛控制器�����,其中防盜系統(tǒng)連接到車輛控制器上����;及其中如果防盜系統(tǒng)允許關(guān)于車輛的操作����,則允許對可重寫存儲器的重寫���。
4.根據(jù)權(quán)利要求1所述的車輛控制器,其中以閃爍存儲器�����、EPROM����、和EEPROM的任何形式實(shí)現(xiàn)可重寫存儲器����。
5.根據(jù)權(quán)利要求2所述的車輛控制器,其中以單個(gè)存儲器的形式實(shí)現(xiàn)可重寫存儲器和非可重寫存儲器���。
6.一種重寫裝置����,用來重寫包括在一個(gè)車輛控制器中的一個(gè)可重寫存儲器�����;一個(gè)存儲器,用來存儲新安全性數(shù)據(jù)���;一個(gè)通信裝置���,用來傳送新安全性數(shù)據(jù)����,以把新安全性數(shù)據(jù)寫入可重寫存儲器中;及其中寫入可重寫存儲器中的安全性數(shù)據(jù)用來確定是否允許對可重寫存儲器重寫�。
7.根據(jù)權(quán)利要求6所述的重寫裝置��,其中可重寫存儲器存儲用于確定是否允許對可重寫存儲器的重寫的第一安全性數(shù)據(jù)���;及重寫裝置請求車輛控制器刪除第一安全性數(shù)據(jù)�����、和把傳送的新安全性數(shù)據(jù)寫入可重寫存儲器中。
8.根據(jù)權(quán)利要求6所述的重寫裝置���,進(jìn)一步包括一個(gè)使用戶能夠建立新安全性數(shù)據(jù)的用戶接口。
9.根據(jù)權(quán)利要求6所述的重寫裝置,其中把控制器進(jìn)一步配置成匯編來自新安全性數(shù)據(jù)的串行數(shù)據(jù)塊��;及其中通信裝置通過串行通信傳送串行數(shù)據(jù)塊。
10.一種用于車輛控制器的存儲器重寫系統(tǒng)�����,包括一個(gè)可重寫存儲器,安裝在車輛控制器上�����,可重寫存儲器存儲第一安全性數(shù)據(jù)���,第一安全性數(shù)據(jù)用來確定是否允許對可重寫存儲器的重寫���;一個(gè)重寫裝置���,用來把新安全性數(shù)據(jù)傳送到車輛控制器;及其中把車輛控制器配置成刪除第一安全性數(shù)據(jù)�、和把新安全性數(shù)據(jù)寫入可重寫存儲器中。
11.根據(jù)權(quán)利要求10所述的存儲器重寫系統(tǒng)��,其中用來刪除第一安全性數(shù)據(jù)和用來寫新安全性數(shù)據(jù)的程序存儲在一個(gè)非可重寫存儲器中�。
12.根據(jù)權(quán)利要求10所述的存儲器重寫系統(tǒng),其中使用重寫裝置任意建立新安全性數(shù)據(jù)��。
13.根據(jù)權(quán)利要求10所述的存儲器重寫系統(tǒng)��,其中一個(gè)防盜系統(tǒng)連接到車輛控制器上����;及其中如果防盜系統(tǒng)允許關(guān)于車輛的操作,則允許對可重寫存儲器的重寫��。
14.根據(jù)權(quán)利要求10所述的存儲器重寫系統(tǒng)�����,其中重寫裝置存儲第二安全性數(shù)據(jù);及把車輛控制器配置成把第一安全性數(shù)據(jù)與從重寫裝置傳送的第二安全性數(shù)據(jù)相比較�,并且如果第一安全性數(shù)據(jù)與第二安全性數(shù)據(jù)相匹配則允許對可重寫存儲器重寫。
15.根據(jù)權(quán)利要求10所述的存儲器重寫系統(tǒng)�����,其中第一安全性數(shù)據(jù)和第二安全性數(shù)據(jù)具有相同的函數(shù)���;重寫裝置包括一個(gè)程序��,以便根據(jù)第一安全性數(shù)據(jù)的函數(shù)對一個(gè)數(shù)計(jì)算一個(gè)第一函數(shù)值���;及把車輛控制器配置成,根據(jù)第二安全性數(shù)據(jù)的函數(shù)對于該數(shù)計(jì)算一個(gè)第二函數(shù)值�、把第一函數(shù)值與從重寫裝置傳送的第二函數(shù)值相比較、及如果第一函數(shù)值等于第二函數(shù)值則允許重寫裝置對可重寫存儲器重寫���。
16.根據(jù)權(quán)利要求15所述的存儲器重寫系統(tǒng)�����,其中該數(shù)在車輛控制器中從隨機(jī)數(shù)產(chǎn)生�,并且把該數(shù)從車輛控制器傳送到重寫裝置���。
17.根據(jù)權(quán)利要求10所述的存儲器重寫系統(tǒng)����,其中經(jīng)串行通信傳送新安全性數(shù)據(jù)。
18.一種用來重寫在車輛控制器中的可重寫存儲器中存儲的數(shù)據(jù)的方法���,該方法包括接收從一個(gè)外部重寫裝置傳送到車輛控制器的新安全性數(shù)據(jù);刪除存儲在可重寫存儲器中的第一安全性數(shù)據(jù)��,第一安全性數(shù)據(jù)用來確定是否允許對可重寫存儲器的重寫��;及把新安全性數(shù)據(jù)寫入可重寫存儲器中���。
19.根據(jù)權(quán)利要求18所述的方法����,其中由在安裝在車輛控制器上的一個(gè)可重寫存儲器中存儲的程序��,進(jìn)行刪除第一安全性數(shù)據(jù)和寫新安全性數(shù)據(jù)�����。
20.根據(jù)權(quán)利要求18所述的方法���,其中防盜系統(tǒng)連接到車輛控制器上��;及其中如果防盜系統(tǒng)允許關(guān)于車輛的操作�����,則允許對可重寫存儲器的重寫���。
21.根據(jù)權(quán)利要求18所述的方法�,其中重寫裝置存儲第二安全性數(shù)據(jù)��;及允許對可重寫存儲器的重寫的確定包括把第一安全性數(shù)據(jù)與從重寫裝置傳送的第二安全性數(shù)據(jù)相比較��;如果第一安全性數(shù)據(jù)與第二安全性數(shù)據(jù)相匹配���,則允許對可重寫存儲器的重寫�����。
22.根據(jù)權(quán)利要求21所述的方法��,其中第一安全性數(shù)據(jù)和第二安全性數(shù)據(jù)具有相同的函數(shù)��;其中允許對可重寫存儲器的重寫的確定包括根據(jù)在車輛控制器中的第一安全性數(shù)據(jù)的函數(shù)對一個(gè)數(shù)計(jì)算一個(gè)第一函數(shù)值�����;根據(jù)在可重寫裝置中的第二安全性數(shù)據(jù)的函數(shù)對該數(shù)計(jì)算一個(gè)第二函數(shù)值����;把第一函數(shù)值與第二函數(shù)值相比較;及如果第一函數(shù)值等于第二函數(shù)值����,則允許重寫裝置對可重寫存儲器的重寫����。
全文摘要
一種用于一個(gè)車輛控制器的存儲器重寫系統(tǒng),包括車輛控制器和外部重寫裝置。車輛控制器包括一個(gè)存儲第一安全性數(shù)據(jù)的可重寫存儲器��。第一安全性數(shù)據(jù)用來確定是否允許對可重寫存儲器重寫�����。重寫裝置把新安全性數(shù)據(jù)傳送到車輛控制器��。車輛控制器刪除第一安全性數(shù)據(jù),并且把新安全性數(shù)據(jù)寫入可重寫存儲器中����。重寫新安全性數(shù)據(jù)由存儲在一個(gè)非可重寫存儲器中的一個(gè)程序進(jìn)行����。
文檔編號G06F12/14GK1315275SQ0111161
公開日2001年10月3日 申請日期2001年3月16日 優(yōu)先權(quán)日2000年3月16日
發(fā)明者屋敷哲也, 松浦正典, 水尾直彥 申請人:本田技研工業(yè)株式會(huì)社