用于車輛信息完整性驗證的方法和系統(tǒng)的制作方法
【專利摘要】一種車輛網絡系統(tǒng)被配置使得允許修改內部數(shù)據(jù)的多個ECU(11至18)連接到網絡(19),以便能夠彼此進行通信����。系統(tǒng)基于在組合數(shù)據(jù)(UV)和檢查值(CV)之間的比較來確定第一ECU(11)的內部數(shù)據(jù)是否已經被修改。通過收集和組合多個分割數(shù)據(jù)(A至E)來創(chuàng)建組合數(shù)據(jù)(UV)�����,多個分割數(shù)據(jù)(A至E)是從基于第一ECU(11)的內部數(shù)據(jù)生成的原始數(shù)據(jù)分割的并且在多個ECU(12和14至17)中被分配和保存?��;谠诿恳粋€時間點在第一ECU(11)中保存的內部數(shù)據(jù)來生成檢查值(CV)。
【專利說明】用于車輛信息完整性驗證的方法和系統(tǒng)
【技術領域】
[0001]本發(fā)明涉及車輛網絡系統(tǒng)和使用該網絡系統(tǒng)的車輛信息處理方法���。
【背景技術】
[0002]在車輛網絡系統(tǒng)中����,多個電子控制單元(E⑶)每一個被連接到網絡�����。然后���,可以在ECU之間交換在相應的ECU中的多個信息����。
[0003]然而����,對于通過網絡連接到上述的車輛網絡系統(tǒng)的E⑶中的每一個,通常經由在外部連接到車輛網絡的����、諸如測試器的維護裝置來執(zhí)行用于ECU的程序的維護和更新的工作�。即���,通過經由連接到車輛網絡的維護裝置進行重寫���,即重新編程,來更新E⑶的程序��。
[0004]另一方面��,可以經由網絡來改變每一個網絡連接的E⑶的程序內容���。S卩�����,這樣的ECU的程序可能通過例如由非法連接到網絡的維護裝置不適當?shù)貓?zhí)行的重新編程而被篡改����,或者可能利用某種手段通過對于網絡未經授權的訪問而被篡改���。因此�,提出了一種系統(tǒng),該系統(tǒng)檢測連接到車輛網絡的ECU的程序是否已經被篡改�,并且在日本專利申請公布N0.2005-242871 (JP2005-242871A)中描述了該系統(tǒng)的一個示例。
[0005]在JP2005-242871A中描述的系統(tǒng)中�,多個E⑶和一個網關連接到車輛網絡,以便能夠彼此進行通信����。當關斷點火開關(IG)����,每個ECU將包含在其本身中的數(shù)據(jù)的散列值傳送到網關。在接收到該散列值時�����,該網關將所傳送的每個ECU的散列值作為比較數(shù)據(jù)存儲在EEPROM中�����。另一方面�����,當每個E⑶在接通IG時開始操作時�,每個E⑶將包含在其本身中的數(shù)據(jù)的散列值傳送到網關�。通過這樣做��,該網關將所傳送的散列值與在用于每個ECU的EEPROM中所存儲的相應的比較數(shù)據(jù)作比較����。然后,當在所傳送的散列值和相應的比較數(shù)據(jù)之間出現(xiàn)失配時����,網關確定該ECU的數(shù)據(jù)已經被篡改。
[0006]期望利用如上所述的確定數(shù)據(jù)是否已經被篡改的裝置和每一個E⑶本身來防止篡改(篡改防止)��。因此����,已經研究了例如在那些裝置中采用防篡改的存儲器。然而����,如果采用這樣的存儲器,則使得用于包括重新編程等的處理數(shù)據(jù)的車輛網絡系統(tǒng)變得復雜�����,并且由于昂貴存儲器的使用而導致不可避免地增加車輛網絡系統(tǒng)的成本�。
【發(fā)明內容】
[0007]本發(fā)明提供了一種車輛網絡系統(tǒng)和使用該網絡系統(tǒng)的車輛信息處理方法�,車輛網絡系統(tǒng)能夠確定是否已經在連接到車輛網絡的電子控制單元中修改了內部數(shù)據(jù)��。
[0008]本發(fā)明的第一方面提供了一種車輛網絡系統(tǒng)����。該車輛網絡系統(tǒng)包括多個電子控制單元,該多個電子控制單元被連接到車輛網絡以便于能夠彼此進行通信�,并且允許內部數(shù)據(jù)被修改,其中�,作為多個電子控制單元中的一個的預定電子控制單元基于在預定電子控制單元中保存的內部數(shù)據(jù)來生成第一數(shù)據(jù),多個電子控制單元包括:分配單元�,該分配單元向多個電子控制單元分配從第一數(shù)據(jù)分割的多個分割數(shù)據(jù)�����;以及確定單元�,該確定單元基于由多個電子控制單元的至少一個作出的在第二數(shù)據(jù)和第三數(shù)據(jù)之間的比較來確定在預定電子控制單元中保存的內部數(shù)據(jù)是否已經被修改,其中�,通過組合在多個電子控制單元中保存的所收集的多個分割數(shù)據(jù)來創(chuàng)建第二數(shù)據(jù),并且基于由預定電子控制單元每次保存的內部數(shù)據(jù)來生成第三數(shù)據(jù)��。
[0009]本發(fā)明的第二方面提供了一種在車輛網絡系統(tǒng)中使用的車輛信息處理方法��,在車輛網絡系統(tǒng)中���,多個電子控制單元被連接以便能夠彼此進行通信���。車輛信息處理方法包括:基于在預定電子控制單元中保存的內部數(shù)據(jù)來預先生成第一數(shù)據(jù)���;將所生成的第一數(shù)據(jù)分割為多個分割數(shù)據(jù);在多個電子控制單元當中分配多個分割數(shù)據(jù)����;通過恢復和組合多個分割數(shù)據(jù)來生成第二數(shù)據(jù);基于在每個時間點在預定電子控制單元中保存的內部數(shù)據(jù)來生成第三數(shù)據(jù)�����;以及通過在第二數(shù)據(jù)和第三數(shù)據(jù)之間的比較來確定在預定電子控制單元中保存的內部數(shù)據(jù)是否已經被修改��。
[0010]根據(jù)第一和第二方面����,基于在第二數(shù)據(jù)和第三數(shù)據(jù)之間的比較來確定電子控制單元的內部數(shù)據(jù)是否已經被修改。因為從在多個電子控制單元之間分割和分配的多個分割數(shù)據(jù)而創(chuàng)建了第二數(shù)據(jù)��,所以那些多個分割數(shù)據(jù)不太可能被單獨地修改�。即,難以修改多個分割數(shù)據(jù)�,因此維護了從多個分割數(shù)據(jù)創(chuàng)建的第二數(shù)據(jù)的高度安全性��。另外�,利用該配置�����,即使在使用與現(xiàn)有技術等同的電子控制單元的系統(tǒng)中�,也能夠以比現(xiàn)有技術更高的安全性確定是否已經修改了內部數(shù)據(jù)。以這種方式����,通過將具有改善的安全性的第二數(shù)據(jù)與第三數(shù)據(jù)作比較,能夠確定是否已經修改了連接到車輛網絡的電子控制單元的內部數(shù)據(jù)�。
[0011]另外,即使當更新或重新編程預定電子控制單元的內部數(shù)據(jù)時�����,也能夠確定是否已經修改了內部數(shù)據(jù)��。即��,從基于更新的內部數(shù)據(jù)生成的第一數(shù)據(jù)分割的多個分割數(shù)據(jù)被分配和保存在多個電子控制單元中�����。通過如此進行����,能夠將第二數(shù)據(jù)與第三數(shù)據(jù)作比較。
[0012]在上面的配置中����,預定電子控制單元可以在第二數(shù)據(jù)和第三數(shù)據(jù)之間作出比較。
[0013]在上面的方法中�����,通過預定電子控制單元來作出在第二數(shù)據(jù)和第三之間之間的比較��。
[0014]利用上面的配置或方法�,意圖用于關于是否已經修改了內部數(shù)據(jù)的確定的預定電子控制單元本身確定是否已經修改了內部數(shù)據(jù)。即�,意圖用于修改確定的電子控制單元和進行修改確定的電子控制單元是同一預定電子控制單元,因此能夠響應于是否已經修改了內部數(shù)據(jù)而在預定電子控制單元中迅速地執(zhí)行處理等����。
[0015]在上面的配置中,預定電子控制單元可以保存第二數(shù)據(jù)和第三數(shù)據(jù)���。
[0016]在上面的方法中��,可以通過預定電子控制單元來保存第二數(shù)據(jù)和第三數(shù)據(jù)���。
[0017]利用上面的配置或方法����,當確定是否已經修改了預定電子控制單元時���,能夠從意圖的預定電子控制單元獲取第二數(shù)據(jù)和第三數(shù)據(jù)�,因此容易獲取那些第二數(shù)據(jù)和第三數(shù)據(jù)��。
[0018]在上面的配置中����,預定電子控制單元可以生成第一數(shù)據(jù)和第三數(shù)據(jù)。
[0019]在上面的方法中���,可以通過預定電子控制單元來生成第一數(shù)據(jù)和第三數(shù)據(jù)。
[0020]利用上面的配置或方法���,通過具有基于其生成第一數(shù)據(jù)和第三數(shù)據(jù)的內部數(shù)據(jù)的預定電子控制單元來生成第一數(shù)據(jù)和第三數(shù)據(jù)�����,因此容易生成那些第一數(shù)據(jù)和第三數(shù)據(jù)�。另外,通過具有內部數(shù)據(jù)的預定電子控制單元來適當?shù)貓?zhí)行基于內部數(shù)據(jù)的第一數(shù)據(jù)和第三數(shù)據(jù)的生成�����。通過如此進行�����,適當?shù)卮_定內部數(shù)據(jù)是否已經被修改��。
[0021]在上面的配置中���,預定電子控制單元可以在多個電子控制單元之間分配從第一數(shù)據(jù)分割的多個分割數(shù)據(jù)���。[0022]在上面的方法中,通過預定電子控制單元可以在多個電子控制單元之間分配從第一數(shù)據(jù)分割的多個分割數(shù)據(jù)����。
[0023]利用上面的配置或方法,通過預定電子控制單元來分割和分配多個分割數(shù)據(jù)���,因此預定電子控制單元本身能夠恢復確定內部數(shù)據(jù)所需的多個分割數(shù)據(jù)是否已經被修改�。另夕卜,預定電子控制單元例如能夠在需要時響應于內部數(shù)據(jù)的修改而分配分割數(shù)據(jù)����,因此,分割數(shù)據(jù)的分配的靈活性改善��。通過如此進行��,適當?shù)卮_定內部數(shù)據(jù)是否已經被修改���。
[0024]在上面的配置中���,也可以向預定電子控制單元分配分割數(shù)據(jù)。
[0025]在上面的方法中�����,也可以向預定電子控制單元分配分割數(shù)據(jù)����。
[0026]利用上面的配置或方法,預定電子控制單元能夠不僅保存其本身的分割數(shù)據(jù)����,而且例如也保存其他電子控制單元之一的分割數(shù)據(jù)。通過如此進行�,能夠使得車輛網絡系統(tǒng)能夠與關于內部數(shù)據(jù)是否已經被修改的確定廣泛地兼容。
[0027]在上面的配置中���,當修改預定電子控制單元的內部數(shù)據(jù)時����,在預定電子控制單元中保存的分割數(shù)據(jù)可以被移動到其他電子控制單元之一����。
[0028]上面的方法可以進一步包括:當修改預定電子控制單元的內部數(shù)據(jù)時,將在預定電子控制單元中保存的分割數(shù)據(jù)移動到其他電子控制單元之一�����。
[0029]利用上面的配置或方法��,響應于內部數(shù)據(jù)的修改或重新編程��,在預定電子控制單元中保存的分割數(shù)據(jù)被移動到其他電子控制單元之一�����,因此甚至通過預定電子控制單元的重新編程來維護分割數(shù)據(jù)。即����,在車輛網絡系統(tǒng)中,即使在重新編程后也能夠使用分割數(shù)據(jù)����。要移動的分割數(shù)據(jù)可以是從其他電子控制單元之一分配的分割數(shù)據(jù)。通過如此進行�,車輛網絡系統(tǒng)的配置的靈活性改善。
[0030]在上面的配置中��,在已經修改了內部數(shù)據(jù)后�����,其他電子控制單元的一個可以將被移動到其他電子控制單元的這一個的分割數(shù)據(jù)移動到預定電子控制單元�。
[0031]上面的方法可以進一步包括:在已經修改了內部數(shù)據(jù)后,將被移動到其他電子控制單元的一個的分割數(shù)據(jù)移動到預定電子控制單元��。
[0032]利用上面的配置或方法����,分割數(shù)據(jù)被返回到預定電子控制單元,因此�,在重新編程后能夠使用分割數(shù)據(jù)�����。這改善了在關于內部數(shù)據(jù)是否已經被修改的確定方面的方便性。此時被返回到原始狀態(tài)的分割數(shù)據(jù)是從其他電子控制單元之一分配的分割數(shù)據(jù)�����,因此���,即使當重新編程預定電子控制單元時��,也能夠確定其他電子控制單元的一個的內部數(shù)據(jù)是否已經被修改����。通過如此進行���,車輛網絡系統(tǒng)的配置的靈活性改善�����。
[0033]本發(fā)明的第三方面提供了一種車輛網絡系統(tǒng)����。車輛網絡系統(tǒng)包括多個電子控制單元,該多個電子控制單元連接到車輛網絡使得能夠彼此進行通信����,并且允許修改內部數(shù)據(jù),其中��,多個電子控制單元基于在作為多個電子控制單元之一的第一電子控制單元中保存的內部數(shù)據(jù)來生成第一數(shù)據(jù)�,多個電子控制單元生成通過收集和組合從第一數(shù)據(jù)分割并且在多個電子控制單元中分配和保存的多個分割數(shù)據(jù)而創(chuàng)建的第二數(shù)據(jù),并且多個電子控制單元通過由多個電子控制單元的至少一個進行的在第一數(shù)據(jù)與第二數(shù)據(jù)之間的比較來確定在第一電子控制單元中保存的內部數(shù)據(jù)是否已經被修改����。
[0034]本發(fā)明的第四方面提供了一種車輛網絡系統(tǒng)。車輛網絡系統(tǒng)包括多個電子控制單元���,該多個電子控制單元連接到車輛網絡使得能夠彼此進行通信����,并且允許修改內部數(shù)據(jù)�,其中,作為多個電子控制單元之一的第一電子控制單元包括:生成單元�,該生成單元基于在預定電子控制單元中保存的內部數(shù)據(jù)來生成第一數(shù)據(jù);分割單元�,該分割單元分割所生成的第一數(shù)據(jù)以生成多個分割數(shù)據(jù);分配單元����,該分配單元在多個電子控制單元之間分配多個分割數(shù)據(jù)�����,并且使得多個電子控制單元保存多個分割數(shù)據(jù)�����;組合單元,該組合單元收集和組合在多個電子控制單元中分配和保存的多個分割數(shù)據(jù)以生成第二數(shù)據(jù)��;以及�,確定單元,該確定單元基于在第二數(shù)據(jù)和第三數(shù)據(jù)之間的比較來確定在預定電子控制單元中保存的內部數(shù)據(jù)是否已經被修改�,第三數(shù)據(jù)是基于在每一個時間點在預定電子控制單元中保存的內部數(shù)據(jù)而生成的。
[0035]根據(jù)第三和第四方面���,即使在使用與現(xiàn)有技術等同的電子控制單元的系統(tǒng)中����,也能夠以比現(xiàn)有技術更高的安全性確定是否已經修改了內部數(shù)據(jù)����。
【專利附圖】
【附圖說明】
[0036]下面將參考附圖來描述本發(fā)明的示例性實施例的特征���、優(yōu)點與技術和工業(yè)意義,在附圖中�,相似的附圖標記表示相似的元件,并且在附圖中:
[0037]圖1是根據(jù)本發(fā)明的第一實施例的車輛網絡系統(tǒng)的示意配置的框圖��;
[0038]圖2是示出在根據(jù)第一實施例的車輛網絡系統(tǒng)中執(zhí)行的數(shù)據(jù)修改確定的過程的流程圖�����;
[0039]圖3是示出根據(jù)本發(fā)明的第二實施例的車輛網絡系統(tǒng)的示意配置的框圖�;
[0040]圖4是示出被配置為即使在根據(jù)第二實施例的車輛網絡系統(tǒng)中出現(xiàn)重新編程時也能夠維護修改確定的過程的流程圖;
[0041]圖5是示出根據(jù)本發(fā)明的第三實施例的車輛網絡系統(tǒng)的示意配置的框圖��;
[0042]圖6是示意地示出在第三實施例中的多個分割數(shù)據(jù)的示意圖��;
[0043]圖7是示意地示出在第三實施例中的多個分割數(shù)據(jù)的收集的示意圖���;
[0044]圖8是示意地示出在根據(jù)本發(fā)明的一個替代實施例的車輛網絡系統(tǒng)中確認分割數(shù)據(jù)的必要性的示意圖���;以及
[0045]圖9是示意地示出在根據(jù)本發(fā)明的一個替代實施例的車輛網絡系統(tǒng)中的多個分割數(shù)據(jù)的示意圖。
【具體實施方式】
[0046]第一實施例
[0047]將參考圖1和圖2來描述根據(jù)本發(fā)明的第一實施例的車輛網絡系統(tǒng)�����。
[0048]車輛10包括車輛網絡系統(tǒng)。該車輛網絡系統(tǒng)包括第一至第八電子控制單元(ECT)11至18和網絡19��。網絡19連接那些第一至第八E⑶11至18���,使得第一至第八E⑶11至18能夠彼此進行通信���。
[0049]網絡19例如由諸如控制器區(qū)域網絡(CAN)的車輛網絡形成,并且允許連接到網絡19的第一至第八E⑶11至18彼此執(zhí)行信息通信��。S卩�����,第一至第八E⑶11至18的每一個包括發(fā)送單元和接收單元(未示出)����,該發(fā)送單元和接收單元能夠交換符合網絡19的通信協(xié)議的通信信號���,以便允許經由網絡19的相互通信����。因此,第一至第八E⑶11至18的每一個被配置為經由發(fā)送單元向網絡19發(fā)送各種控制數(shù)據(jù)等�,并且也經由接收單元從網絡19接收各種控制數(shù)據(jù)等。[0050]第一至第八E⑶11至18的每一個是在車輛10上的各種控件中使用的控制單元�����,并且是意圖用于對例如驅動系統(tǒng)�����、行駛系統(tǒng)����、車輛主體系統(tǒng)、信息裝置系統(tǒng)等進行控制的ECU�����。例如���,意圖用于對驅動系統(tǒng)進行控制的ECU是發(fā)動機ECU���,意圖用于對行駛系統(tǒng)進行控制的ECU是駕駛ECU或制動ECU,意圖用于對車輛主體系統(tǒng)進行控制的ECU是燈ECU或窗ECU,并且意圖用于對信息裝置系統(tǒng)進行控制的ECU是汽車導航ECU�。
[0051]第一至第八E⑶11至18的每一個被配置為包括微計算機����,該微計算機具有處理單元和存儲裝置���。即���,第一至第八E⑶11至18的每一個包括處理單元(CPU)、只讀存儲器(ROM)和易失性存儲器(RAM)����。處理單元執(zhí)行控制程序的算術處理。只讀存儲器存儲控制所需的控制程序��、數(shù)據(jù)等�����。易失性存儲器暫時存儲CPU的處理結果��。通過如此進行�����,第一至第八ECUll至18的每一個以下面的方式來執(zhí)行意圖的控制���。在存儲裝置中保存的控制程序等被加載到處理單元上��,并且被執(zhí)行�。此時��,第一至第八E⑶11至18經由網絡19來彼此交換對應的控制所需的數(shù)據(jù)��。
[0052]另外���,在本實施例中的用作第一單元電子控制單元的第一 ECUll進一步包括作為存儲控制所需的控制程序��、數(shù)據(jù)等的存儲器的非易失性存儲器(EEPROM)���。S卩,第一 ECUll以下面的方式來執(zhí)行意圖的控制�����。在EEPROM中保存的控制程序等也被加載到處理單元上�,并且被執(zhí)行。在EEPROM中保存的控制程序等是可重新編程的�。因此,第一 E⑶11允許通過例如在經銷商處重新編程控制程序等來將在EEPROM中保存的控制程序等更新為最新狀態(tài)�。
[0053]如下執(zhí)行重新編程��。當諸如測試器的維護裝置(未示出)連接到網絡19以便經由網絡19與第一ECUll可進行通信時���,基于預定過程通過維護裝置來將新的軟件程序寫入到第一 E⑶11的EEPROM內。另一方面�,因為第一 E⑶11允許修改EEPROM的數(shù)據(jù)內容,所以數(shù)據(jù)內容可能經歷所謂的篡改����,即,通過不適當?shù)木S護裝置來執(zhí)行不適當?shù)闹匦戮幊?,或者,利用某種手段通過經由網絡19未經授權的訪問或病毒等來重寫程序的一部分��。因此�,在本實施例中,確定第一 ECUll的內部數(shù)據(jù)是否已經被修改���。
[0054]第一 E⑶11包括基于由控制程序執(zhí)行的處理的計算單元111�、組合單元112和驗證單元113�,并且確保每個時間檢查值CV的保存區(qū)域和組合數(shù)據(jù)UV的保存區(qū)域����。組合數(shù)據(jù)UV對應于第二數(shù)據(jù)��。每個時間檢查值CV對應于第三數(shù)據(jù)����。
[0055]計算單元111基于在EEPROM中存儲的控制程序等將與第一 E⑶11的當前內部數(shù)據(jù)對應的每個時間檢查值CV計算為散列值�����。S卩�,計算單元111基于預定散列函數(shù)來計算作為每個時間檢查值CV的內部數(shù)據(jù)的散列值,通過該散列值確定內部數(shù)據(jù)是否已經被修改�。該散列函數(shù)從內部數(shù)據(jù)生成偽隨機數(shù)(散列值�����、消息摘要)���。注意�����,在理論上�,極難生成具有相同的散列值的不同內部數(shù)據(jù)(例如��,所操縱的內部數(shù)據(jù)),因此通過散列函數(shù)創(chuàng)建的散列值保證該散列值唯一地對應于創(chuàng)建時(當前時間)的內部數(shù)據(jù)��。
[0056]組合單元112收集在第二 E⑶12和第四至第七E⑶14至17中分別保存的多個分割數(shù)據(jù)A至E����,并且組合所收集的多個分割數(shù)據(jù)A至E。通過將原始數(shù)據(jù)FV分割為5個來生成多個分割數(shù)據(jù)A至E��。原始數(shù)據(jù)FV對應于在創(chuàng)建多個分割數(shù)據(jù)A至E時的內部數(shù)據(jù)�����。原始數(shù)據(jù)FV被分割的順序匹配多個分割數(shù)據(jù)A至E的字母順序�����。原始數(shù)據(jù)FV對應于第一數(shù)據(jù)��。此時����,利用與計算單元111使用來計算每個時間檢查值CV的散列函數(shù)相同的散列函數(shù)來計算原始數(shù)據(jù)FV,即����,原始數(shù)據(jù)FV由基于在當創(chuàng)建多個分割數(shù)據(jù)A至E時的內部數(shù)據(jù)通過散列函數(shù)獲得的散列值形成。通過如此進行���,組合單元112組合多個分割數(shù)據(jù)A至E以生成與原始原始數(shù)據(jù)FV對應的組合數(shù)據(jù)UV����。
[0057]而且���,組合單元112具有順序列表,該順序列表存儲多個分割數(shù)據(jù)A至E分別被分配到哪些E⑶�。即���,順序列表存儲向第五E⑶15分配分割數(shù)據(jù)A���,向第六E⑶6分配分割數(shù)據(jù)B����,向第二 E⑶12分配分割數(shù)據(jù)C,向第四E⑶14分配分割數(shù)據(jù)D����,并且向第七E⑶17分配分割數(shù)據(jù)E���。通過如此進行,組合單元112根據(jù)順序列表以字母順序從ECU收集多個分割數(shù)據(jù)A至E�,并且根據(jù)所收集的順序來組合多個分割數(shù)據(jù)A至E以創(chuàng)建組合數(shù)據(jù)UV�����。
[0058]驗證單元113基于在由計算單元111生成的當前時間(每個時間)檢查值CV和由組合單元112生成的組合數(shù)據(jù)UV之間的比較來確定內部數(shù)據(jù)是否已經被修改��。S卩��,當每個時間檢查值CV與組合數(shù)據(jù)UV匹配時,驗證單元113確定尚未修改內部數(shù)據(jù)�����;而當每個時間檢查值CV與組合數(shù)據(jù)UV不匹配時���,驗證單元113確定已經修改了內部數(shù)據(jù)�。
[0059]第二至第八E⑶12至18每一個具有基于由對應的控制程序執(zhí)行的處理來管理分割數(shù)據(jù)的功能�����,并且每一個在需要時使用該管理分割數(shù)據(jù)的功能來確保在諸如EEPROM的非易失性存儲器中的分割數(shù)據(jù)保存區(qū)域(121、141�����、151����、161��、171等)���。那么���,在本實施例中,第二 ECU12的分割數(shù)據(jù)保存區(qū)域121保存分割數(shù)據(jù)C��,第四ECU14的分割數(shù)據(jù)保存區(qū)域141保存分割數(shù)據(jù)D���,并且第五ECU15的分割數(shù)據(jù)保存區(qū)域151保存分割數(shù)據(jù)A。另外���,第六ECU16的分割數(shù)據(jù)保存區(qū)域161存儲分割數(shù)據(jù)B��,并且第七ECU17的分割數(shù)據(jù)保存區(qū)域171保存分割數(shù)據(jù)E��。注意�,預先在分割數(shù)據(jù)保存區(qū)域121、141�、151、161和171中注冊這些多個分割數(shù)據(jù)A至E�。在此,第三E⑶13和第八E⑶18不保存分割數(shù)據(jù)�����;替代地�����,那些第三E⑶13和第八ECU18也可以取代或補充其他ECU而保存分割數(shù)據(jù)��。
[0060]第二至第八E⑶12至18的每一個具有注冊功能�����、發(fā)送功能和刪除功能���,作為管理分割數(shù)據(jù)的功能�。當?shù)诙恋诎薊⑶12至18等從第一 E⑶11接收指令以收集多個分割數(shù)據(jù)時,發(fā)送功能分別從對應的保存區(qū)域獲取與第一 ECUll相關聯(lián)的多個分割數(shù)據(jù)���,并且向第一 E⑶11發(fā)送該多個分割數(shù)據(jù)��。當?shù)诙恋诎薊⑶12至18從第一 E⑶11接收指令以注冊多個分割數(shù)據(jù)時�,注冊功能分別將多個分割數(shù)據(jù)與第一 ECUll相關聯(lián)地保存在對應的保存區(qū)域中�。當?shù)诙恋诎薊⑶12至18從第一 E⑶11接收指令以刪除多個分割數(shù)據(jù)時����,刪除功能分別從對應的保存區(qū)域刪除與第一 ECUll相關聯(lián)地保存的多個分割數(shù)據(jù)。在第一實施例中�����,第二至第八E⑶12至18每一個不必具有刪除功能����。
[0061]操作
[0062]接下來,將參考圖2來描述修改確定處理�。注意,第一 E⑶11被配置為例如當接通車輛10的點火時確定內部數(shù)據(jù)是否已經被修改�����。
[0063]如圖2中所示,當開始修改確定處理時����,第一 E⑶11的組合單元112從分別保存多個分割數(shù)據(jù)A至E的E⑶依序收集多個分割數(shù)據(jù)A至E(SIO),并且組合所收集的檢查值以生成組合數(shù)據(jù)(SI I)�。S卩,第一 E⑶11從第五E⑶15收集分割數(shù)據(jù)A���,從第六E⑶16收集分割數(shù)據(jù)B�,從第二 E⑶12收集分割數(shù)據(jù)C����,從第四E⑶14收集分割數(shù)據(jù)D,并且從第七E⑶17收集分割數(shù)據(jù)E�,并且以適當?shù)捻樞蚪M合所收集的多個分割數(shù)據(jù)A至E,以生成組合數(shù)據(jù)�。
[0064]隨后,第一 E⑶11使用驗證單元113來確定由計算單元111計算的檢查值CV是否匹配由組合單元112創(chuàng)建的組合數(shù)據(jù)UV(S12)����。然后,當確定每個時間檢查值CV與組合數(shù)據(jù)UV匹配時(在S12中的是)���,第一 E⑶11確定尚未修改第一 ECUll的內部數(shù)據(jù)(S13)�����。然后���,在存儲器等中設置確定結果��,并且結束修改確定處理�。[0065]另一方面��,當確定每個時間檢查值CV不匹配組合數(shù)據(jù)UV (在S12中的否)時�,第一E⑶11確定已經修改了第一 E⑶11的內部數(shù)據(jù)(S14)�����。然后�����,在存儲器等中設置確定結果��,并且結束修改確定處理��。
[0066]第一 E⑶11通過該確定結果來識別內部數(shù)據(jù)是否已經被修改。當內部數(shù)據(jù)已經被修改時����,第一 ECUll向其他ECU提供警告,或采取補救�,諸如本身停止處理。與關于內部數(shù)據(jù)是否已經被修改的確定對應的必要的最小函數(shù)可以被保存在ROM中�,并且被執(zhí)行。通過如此進行����,第一 E⑶11能夠進一步適當?shù)夭扇τ趦炔繑?shù)據(jù)的修改的補救。
[0067]如上所述�,使用根據(jù)本實施例的車輛網絡系統(tǒng),獲得如下列出的有益效果��。
[0068](I)基于在組合數(shù)據(jù)UV和每個時間檢查值CV之間的比較來確定第一 E⑶11的內部數(shù)據(jù)是否已經被修改���。從分別向第二和第四至第七E⑶12和14至17分配的多個分割數(shù)據(jù)A至E創(chuàng)建組合數(shù)據(jù)UV�,因此不太可能單獨地修改那些多個分割數(shù)據(jù)A至E�����。即�����,難以修改多個分割數(shù)據(jù)A至E,因此維護了從多個分割數(shù)據(jù)A至E創(chuàng)建的組合數(shù)據(jù)UV的高度安全性�����。另外���,利用該配置�����,即使在使用與現(xiàn)有技術的那些等同的ECU的系統(tǒng)中,也能夠以比現(xiàn)有技術中更高的安全性確定那些E⑶的每個的內部數(shù)據(jù)是否已經被修改��。以這種方式����,通過將具有改善的安全性的組合數(shù)據(jù)UV與每個時間檢查值CV作比較�����,能夠確定連接到車輛網絡的E⑶的每個的內部數(shù)據(jù)是否已經被修改���。
[0069]另外���,即使第一 E⑶11的內部數(shù)據(jù)被更新��,即重新編程時����,也能夠確定更新的內部數(shù)據(jù)是否已經被修改。即�����,從基于更新的內部數(shù)據(jù)生成的原始數(shù)據(jù)FV分割的多個分割數(shù)據(jù)A至E在多個電子控制單元中被分配和保存。通過如此進行���,能夠將組合數(shù)據(jù)UV與每個時間檢查值CV作比較。
[0070](2)意圖用于確定內部數(shù)據(jù)是否已經被修改的第一 E⑶11本身確定內部數(shù)據(jù)是否已經被修改���。即,意圖用于修改確·定的E⑶和進行修改確定的E⑶是同一第一 E⑶11����,因此能夠響應于內部數(shù)據(jù)是否已經被修改而迅速地在第一 E⑶11中執(zhí)行處理等�。
[0071](3)當確定已經修改了第一 E⑶11的內部數(shù)據(jù)時,能夠從意圖的第一 E⑶11獲取組合數(shù)據(jù)UV和每個時間檢查值CV��,因此容易獲取那些組合數(shù)據(jù)UV和每個時間檢查值CV。
[0072]第二實施例
[0073]將參考圖3和圖4描述根據(jù)本發(fā)明的第二實施例的車輛網絡系統(tǒng)��。
[0074]本實施例與第一實施例不同在于提供了重新編程裝置20���,并且取代第一 E⑶11提供了第十一 E⑶21�,并且�,其他配置相同�����。因此����,在本實施例中具體描述了上面的差別�,并且為了說明方便,相似的附圖標號表示與第一實施例的那些類似的組件�����,并且省略其詳細說明���。
[0075]在本實施例中,取代根據(jù)第一實施例的第一 E⑶11�,提供了第十一 E⑶21作為預定電子控制單元���。第十一 E⑶21也和第一 E⑶11 一樣包括發(fā)送單元和接收單元(未示出),該發(fā)送單元和接收單元能夠交換符合網絡19的通信協(xié)議的通信信號�����。另外����,第十一 ECU21包括與第一 E⑶11的計算單元111類似的計算單元211、與第一 E⑶11的組合單元112類似的組合單元212和與第一 E⑶11的驗證單元113類似的驗證單元213����,并且確保每個時間檢查值CV的保存區(qū)域和組合數(shù)據(jù)UV的保存區(qū)域。
[0076]而且��,第十一 E⑶21包括分配單元214���、重新編程處置單元215和管理單元216��。分配單元214將原始數(shù)據(jù)FV分割為5以生成多個分割數(shù)據(jù)A至E���,并且將所生成的多個分割數(shù)據(jù)A至E以預定順序分配到其他ECU (分配功能)。原始數(shù)據(jù)FV由第十一 ECU21的內部數(shù)據(jù)的散列值形成�����。計算單元211以與計算每個時間檢查值CV相同的方式來計算該散列值。注意�����,在本實施例中,該預定順序是在順序列表中預設的順序���,并且該順序列表設置分配目的地:第五E⑶15是第一個�,第六E⑶16是第二個����,第二 E⑶12是第三個���,第四E⑶14是第四個���,并且第七E⑶17是第五個�����。
[0077]重新編程處置單元215在通過重新編程裝置20經由網絡19重新編程第十一E⑶21的EEPROM中保存的控制程序之前和之后執(zhí)行預定處理。該預定處理例如是向其他ECU之一移動與修改確定處理相關聯(lián)的數(shù)據(jù)的處理�、向原始ECU移動被移動到其他ECU之一的數(shù)據(jù)的處理等��。
[0078]在執(zhí)行重新編程之前,重新編程處置單元215向未經歷重新編程的其他E⑶之一���,諸如第四ECU14,移動在修改確定處理中使用的數(shù)據(jù)��,諸如順序列表和從其本身或其他ECU之一分配的分割數(shù)據(jù)��,作為儲存的數(shù)據(jù)143�����。另外,在重新編程后���,重新編程處置單元215從其他ECU之一收集所移動的數(shù)據(jù)���。例如,從第四ECU14收集所移動的儲存的數(shù)據(jù)143�����。然后�����,重新編程處置單元215將在所收集的儲存的數(shù)據(jù)143中包括的數(shù)據(jù)返回到在重新編程之前的狀態(tài),即���,所謂的原始狀態(tài)�����。例如,當所收集的儲存的數(shù)據(jù)143包含基于其他ECU之一的內部數(shù)據(jù)生成的分割數(shù)據(jù)時�����,重新編程處置單元215在響應于來自其他ECU的一個的請求而能夠發(fā)送分割數(shù)據(jù)的模式中保存分割數(shù)據(jù)���。另外��,當所收集的數(shù)據(jù)包含自檢查值CV和順序列表時����,重新編程處置單元215在自檢查值CV和順序列表能夠被其本身使用的模式中保存它們�����。另外,當已經完成重新編程時�,為了在重新編程之前刪除基于原始數(shù)據(jù)FV生成的�����、所分配的舊的多個分割數(shù)據(jù)A至E,重新編程處置單元215指令保存那些舊的多個分割數(shù)據(jù)A至E的E⑶刪除多個分割數(shù)據(jù)A至E����。此時����,可以基于順序列表來指定要被指令刪除的ECU�����。這防止了在相應的 分配目的地ECU中舊的多個分割數(shù)據(jù)的累積����,這通過重新編程而變得不必要��。
[0079]管理單元216被配置為管理所分配的多個分割數(shù)據(jù)。管理單元216具有與在第一實施例中的管理第二 ECU12的多個分割數(shù)據(jù)等的功能類似的功能���,并且具有注冊功能、發(fā)送功能和刪除功能����。即���,響應于來自主E⑶或其他E⑶之一的分割數(shù)據(jù)的發(fā)送請求����,當存在與請求的ECU對應的分割數(shù)據(jù)時��,發(fā)送功能發(fā)送與請求的ECU對應的分割數(shù)據(jù)�����。響應于來自主E⑶或其他E⑶之一的注冊分割數(shù)據(jù)的請求,注冊功能與請求的E⑶相關聯(lián)地在保存區(qū)域中注冊從請求的ECU接收的分割數(shù)據(jù)����。響應于來自主ECU或其他ECU之一的刪除分割數(shù)據(jù)的請求��,刪除功能從保存區(qū)域刪除與請求的ECU相關聯(lián)的分割數(shù)據(jù)��。即�����,第十一 ECU21能夠維護和管理不僅從主E⑶分配的分割數(shù)據(jù)�,而且從其他E⑶之一分配的分割數(shù)據(jù)�����。注意�����,在第十一 ECU21中�,還可以在EEPROM中存儲分割數(shù)據(jù)和順序列表;然而��,在意圖用于修改確定的第十一 ECU21的內部數(shù)據(jù)中不包含分割數(shù)據(jù)和順序列表�。即��,計算單元211計算原始數(shù)據(jù)FV或每個時間檢查值CV,使得原始數(shù)據(jù)FV或每個時間檢查值CV不包含分割數(shù)據(jù)或順序列表��。
[0080]重新編程裝置20連接到第十一 E⑶21��,以便經由網絡19能夠進行通信�����。到網絡的連接可以是有線的或無線的。重新編程裝置20用于通過重寫��,即所謂的重新編程,來更新在與其連接的第十一 E⑶21的EEPROM中保存的控制程序等��。第H^一 E⑶21被配置為使得通過在汽車經銷商等處由重新編程裝置20執(zhí)行的授權的重新編程將控制程序和數(shù)據(jù)更新為最新狀態(tài)。更具體地,當重新編程裝置20連接到網絡19并且經由網絡19可通信地連接到第十一 ECU21時���,在重新編程裝置20中保存的新的控制程序基于預定過程被寫入第十一ECU21 的 EEPROM 內。
[0081]另一方面����,能夠重新編程的第十一 E⑶21允許修改數(shù)據(jù)內容�����,因此可能利用某種手段經由網絡19通過不適當?shù)貓?zhí)行的重新編程或未經授權的訪問或操縱���,即所謂的篡改�,來重寫數(shù)據(jù)內容����。那么,在本實施例中�����,確定第十一 E⑶21的內部數(shù)據(jù)是否已經被修改����。
[0082]操作
[0083]接下來,將參考圖4來描述對于重新編程的補救�。在第十一 E⑶21中����,對于在執(zhí)行重新編程之前和之后的時間段上的重新編程采取補救。
[0084]當重新編程裝置20連接到網絡19并且準備對于第十一 E⑶21重新編程時����,第十一 E⑶21開始對于重新編程的補救�。首先,在重新編程之前��,第十一 E⑶21使用重新編程處置單元215來執(zhí)行數(shù)據(jù)存儲,通過該數(shù)據(jù)存儲��,包括用于修改確定處理的數(shù)據(jù)的儲存的數(shù)據(jù)143被移動到第四E⑶14 (S20)��。當已經完成數(shù)據(jù)存儲時����,將第十一 E⑶21重新編程(S21)�����。
[0085]當已經完成重新編程時��,第十一 E⑶21收集已經通過重新編程處置單元215移動到第四E⑶14的儲存的數(shù)據(jù)143(S22)���。然后���,重新編程處置單元215指令第二和第四至第七E⑶12和14至17從第二和第四至第七E⑶12和14至17刪除基于在所收集的儲存的數(shù)據(jù)143中包括的順序列表在重新編程之前分配的舊的多個分割數(shù)據(jù)A至E(S23)。另外�,重新編程處置單元215使得計算單元211基于第十一 ECU21的重新編程的內部數(shù)據(jù)來計算新的原始數(shù)據(jù)FV,分割原始數(shù)據(jù)FV以生成新的5個分割數(shù)據(jù)A至E�,并且基于順序列表來分配那些新的多個分割數(shù)據(jù)A至E (S24)���。
[0086]以這種方式,通過對于重新編程采取補救�����,與它是否在重新編程之前或之后無關���,第十一 ECU21能夠確定在車輛網絡系統(tǒng)中內部數(shù)據(jù)是否已經被修改�。
[0087]如上所述����,利用根據(jù)本實施例的車輛網絡系統(tǒng),除了在第一實施例中描述的有益效果(I)至(3 )之外�,還獲得下面列出的有益效果。
[0088](4)在具有作為從其生成原始數(shù)據(jù)FV和每個時間檢查值CV的來源的內部數(shù)據(jù)的第H^一 E⑶21中生成原始數(shù)據(jù)FV和每個時間檢查值CV����,因此容易生成那些原始數(shù)據(jù)FV和每個時間檢查值CV。另外�����,在具有內部數(shù)據(jù)的第十一 ECU21中可靠地且適當?shù)貓?zhí)行基于內部數(shù)據(jù)的原始數(shù)據(jù)FV和每個時間檢查值CV的生成�。通過如此進行��,適當?shù)卮_定內部數(shù)據(jù)是否已經被修改��。
[0089](5)因為第十一 ECU21分割和分配多個分割數(shù)據(jù)A至E,所以第十一 E⑶21能夠本身收集修改確定所需的多個分割數(shù)據(jù)A至E���。另外���,第十一 ECU21能夠在需要時響應于內部數(shù)據(jù)的修改而分配多個分割數(shù)據(jù)A至E,因此����,多個分割數(shù)據(jù)A至E的分配的靈活性改善。通過如此進行�,適當?shù)卮_定內部數(shù)據(jù)是否已經被修改。
[0090](6)第十一 ECU21可以保存不僅其本身的分割數(shù)據(jù)����,而且例如其他E⑶之一的分割數(shù)據(jù)。通過如此進行�,能夠廣泛地確定對于構成車輛網絡系統(tǒng)的多個電子控制單元的每一個內部數(shù)據(jù)是否已經被修改。
[0091](7)當在內部數(shù)據(jù)的修改����,即所謂的重新編程�����,之前在第十一 E⑶21中保存分割數(shù)據(jù)時����,分割數(shù)據(jù)被移動到其他ECU之一�����,因此���,甚至通過第十一 ECU21的重新編程來維護分割數(shù)據(jù)���。即,在車輛網絡系統(tǒng)中�,即使在重新編程后也可使用分割數(shù)據(jù)。例如��,如果儲存的分割數(shù)據(jù)是從其他ECU之一分配的分割數(shù)據(jù)��,則其他ECU的一個能夠基于所儲存的分割數(shù)據(jù)來確定內部數(shù)據(jù)是否已經被修改�����,即使當重新編程預定的電子控制單元時。通過如此進行�����,車輛網絡系統(tǒng)的配置的靈活性改善�。
[0092](8)因為被移動到其他ECU之一的分割數(shù)據(jù)被移動到原始ECU,所以分割數(shù)據(jù)可以在重新編程之前和之后類似地被用于修改確定��。這改善了在關于內部數(shù)據(jù)是否已經被修改的確定中的方便性�。當被移動到原始ECU的分割數(shù)據(jù)此時是從其他ECU之一分配的分割數(shù)據(jù)時����,其他ECU之一能夠進行修改確定,即使當重新編程第十一 ECU21時�����。通過如此進行�����,車輛網絡系統(tǒng)的配置的靈活性改善�����。
[0093]第三實施例
[0094]將參考圖5至圖7來描述根據(jù)本發(fā)明的第三實施例的車輛網絡系統(tǒng)。
[0095]本實施例與第一實施例不同在于提供了分配單元314����,并且其他配置相同。以下����,將具體描述差別,并且為了說明方便�,相似的附圖標號表示與第一實施例的組件類似的組件,并且餐略其說明��。
[0096]分配單元314具有與根據(jù)第二實施例的第十一 E⑶21的分配單元214的功能類似的功能�,并且將與第一 ECUll的內部數(shù)據(jù)對應并且由計算單元111計算的原始數(shù)據(jù)FV分割為三個以生成分割數(shù)據(jù)I至3。如圖6中所示�,通過以固定長度將原始數(shù)據(jù)FV分割為3個來生成分割數(shù)據(jù)I至3。原始數(shù)據(jù)FV由基于第一 ECUll的內部數(shù)據(jù)計算的散列值形成���。注意���,當向其他E⑶分配三個分割數(shù)據(jù)I至3時,向三個分割數(shù)據(jù)I至3的每一個指配用于指示這多個分割數(shù)據(jù)對應于第一 E⑶11的ID��。該ID例如是在網絡中的第一 E⑶11的標識號。
[0097]另外����,分配單元314以循環(huán)調度向其他E⑶分配所生成的多個分割數(shù)據(jù)I至3。即�����,以所陳述的順序向第二至第八E⑶12至18依序分配多個分割數(shù)據(jù)I至3��?�;诶缦蛎恳粋€ECU指配的�����、在網絡中的標識號的量值來確定第二至第八ECU12至18的順序�����,并且以與第二至第八的順序相同的順序來識別第`二至第八E⑶12至18�。另外��,在本實施例中��,從分配目的地排除主第一 E⑶11 ;然而,主第一 E⑶11也可以被包括在分配目的地中���。而且�,分配單元314被配置為兩個兩個地分配分多個割數(shù)據(jù)I至3�。因此,分配單元314以所陳述的順序向E⑶兩次分配分割數(shù)據(jù)I至3����。具體地,在第一次分配中�,向第二 E⑶12分配分割數(shù)據(jù)1,向第三E⑶13分配分割數(shù)據(jù)2�����,并且向第四E⑶14分配分割數(shù)據(jù)3��。隨后�����,在第二分配中�,向第五E⑶15分配分割數(shù)據(jù)1,向第六E⑶16分配分割數(shù)據(jù)2���,并且向第七E⑶17分配分割數(shù)據(jù)3�。當兩次分配多個分割數(shù)據(jù)I至3時,已經完成了分割數(shù)據(jù)的分配���。
[0098]即分配單元314使得第二 E⑶12的保存區(qū)域122保存具有ID的分割數(shù)據(jù)1����,使得第三E⑶13的保存區(qū)域132保存具有ID的分割數(shù)據(jù)2��,并且使得第四E⑶14的保存區(qū)域142保存具有ID的分割數(shù)據(jù)3�����。另外��,分配單元314使得第五ECU15的保存區(qū)域152保存具有ID的分割數(shù)據(jù)1��,使得第六ECU16的保存區(qū)域162保存具有ID的分割數(shù)據(jù)2�,并且使得第七E⑶17的存儲區(qū)域172保存具有ID的分割數(shù)據(jù)3�。
[0099]分割數(shù)據(jù)I至3每一個以這種方式被保存在兩個E⑶中。通過如此進行��,在車輛網絡系統(tǒng)中�����,在保存分割數(shù)據(jù)I至3的每一個方面提供了冗余。
[0100]操作
[0101]接下來���,將參考圖7來描述冗余���。如圖7中所示,如果在第二 E⑶12中出現(xiàn)某些不便等并且因此第一 E⑶11不能與第二 E⑶12進行通信���,則第一 E⑶11的組合單元112不能收集在第二 ECU12中保存的分割數(shù)據(jù)I�����。以這種方式����,當不能收集分割數(shù)據(jù)I時��,第一 ECUll不能確定第一 E⑶11的內部數(shù)據(jù)是否已經被修改��。因此��,在這樣的情況下���,第一 E⑶11從第五E⑶15收集另一分割數(shù)據(jù)1�����,從第六E⑶16收集另一分割數(shù)據(jù)2�����,并且從第七E⑶17收集另一分割數(shù)據(jù)3���。通過如此進行���,即使當保存分割數(shù)據(jù)I的第二 ECU12變得不可通信時,第一 ECUll也能夠確定內部數(shù)據(jù)是否已經被修改����。注意通過查閱順序列表來了解下述情況:也分別向第五至第七E⑶15分配多個分割數(shù)據(jù)I至3。
[0102]如上所述�����,利用根據(jù)本實施例的車輛網絡系統(tǒng)����,除了在第一實施例中描述的有益效果(I)至(3 )之外,也獲得下面列出的有益效果�。
[0103](9)因為在車輛網絡系統(tǒng)中兩個兩個地分配第一 E⑶11的多個分割數(shù)據(jù)I至3的每個,所以即使當?shù)诙恋谄逧CU12至17之一變得不能與第一 ECUll進行通信時�,也能夠收集多個分割數(shù)據(jù),因此能夠確定內部數(shù)據(jù)是否已經被修改����。因此,網絡系統(tǒng)的可靠性改
盡
口 ο
[0104]替代實施例
[0105]注意可以將上述實施例修改為下面的實施例�。在上述實施例中,網絡19由控制器區(qū)域網絡(CAN)形成���。然而�����,配置不限于此�����。只要網絡允許在連接到網絡的E⑶等之間的相互通信(網絡通信)�,則該網絡可以由諸如Ethernet (以太網�����,商標)、Flex Ray (商標)和IEEE1394 (FireWire (商標))的另一種網絡形成��。通過如此進行���,車輛網絡系統(tǒng)的配置的靈活性改善�����。
[0106]在上述第二實施例中·���,對于第十一E⑶21刪除由作為其他E⑶的第二至第七E⑶12至17保存的分割數(shù)據(jù)I至3的情況進行了說明。然而�����,配置不限于此���。適用的是����,保存分割數(shù)據(jù)的其他ECU確定所保存的分割數(shù)據(jù)的必要性���,并且當確定不必要時���,刪除所保存的分割數(shù)據(jù)。例如�����,如圖8中所示���,第五ECU15可以具有必要性檢查功能��,作為管理分割數(shù)據(jù)的功能��。即��,必要性檢查功能向與分割數(shù)據(jù)I對應的第一 ECUll查詢關于分割數(shù)據(jù)I的必要性����,并且響應于對于該查詢的答復而維護或刪除分割數(shù)據(jù)I��。即��,第五E⑶15向第一 E⑶11查詢關于分割數(shù)據(jù)I的必要性�����,并且當從第一ECUll獲得肯定答復時,繼續(xù)保存分割數(shù)據(jù)I���。另一方面����,當?shù)谖錏CU15獲得對于來自第一 ECUll的查詢的否定答復時或者沒有來自第一E⑶11的響應持續(xù)預定次數(shù)時���,第五E⑶15刪除分割數(shù)據(jù)I��。這防止在第五E⑶15中的不必要的分割數(shù)據(jù)的累積��。注意����,可以對于任何ECU等提供上面的必要性檢查功能��,只要該ECU等保存分割數(shù)據(jù)����。通過如此進行,車輛網絡系統(tǒng)的配置的靈活性改善��。
[0107]在上述第三實施例中,對于將原始數(shù)據(jù)FV以固定長度劃分為3個以生成多個分割數(shù)據(jù)I至3的情況進行了說明�����。然而���,配置不限于此??梢酝ㄟ^以可變長度將原始數(shù)據(jù)劃分為3個來生成多個分割數(shù)據(jù)。例如��,如圖9中所示�����,通過分割原始數(shù)據(jù)FV使得多個分割數(shù)據(jù)具有至少兩個或更多類型的長度(數(shù)據(jù)長度)����,生成由至少兩種或更多類型的長度形成的分割數(shù)據(jù)1A、分割數(shù)據(jù)2A和分割數(shù)據(jù)3A�����。此時����,可以預設或可以每次使用隨機數(shù)等來計算劃分長度(數(shù)據(jù)長度)��。當以這種方式改變分割數(shù)據(jù)的數(shù)據(jù)長度時�,變得更難生成分割數(shù)據(jù)�,因此能夠以更高的安全性使用分割數(shù)據(jù)來進行修改確定。通過如此進行�����,車輛網絡系統(tǒng)的配置的靈活性改善���。
[0108]在上述實施例中��,對于在經銷商處通過連接到網絡19的重新編程裝置20來執(zhí)行重新編程的情況進行了說明��。然而��,配置不限于此��。重新編程裝置20可以是小型的裝置����,諸如測試器����,或者可以是大型的裝置���,諸如中心。通過如此進行����,車輛網絡系統(tǒng)的配置的靈活性改善。
[0109]在上述的第二實施例中��,對于將原始數(shù)據(jù)FV分割為5個的情況進行了說明����,并且在上述的第三實施例中��,對于原始數(shù)據(jù)FV被劃分為3個的情況進行了說明���。然而����,配置不限于此����。原始數(shù)據(jù)的分割的數(shù)量可以大于5或3或可以小于5或3�。通過如此進行�����,車輛網絡系統(tǒng)的配置的靈活性改善���。
[0110]在上述的第三實施例中����,對于以循環(huán)調度向ECU分配多個分割數(shù)據(jù)的情況進行了說明�;然而,配置不限于此�����。只要能夠當確定內部數(shù)據(jù)是否已經被修改時收集多個分割數(shù)據(jù)���,則可以通過諸如另一種分配算法和隨機方法的另一種分配方法來多個分配分割數(shù)據(jù)��。通過如此進行���,車輛網絡系統(tǒng)的配置的靈活性改善。
[0111]順便提及��,如在上述的第三實施例的情況中一樣,當?shù)谝?E⑶11不能與第二 E⑶12進行通信時�,第一 E⑶11可以向第三至第八E⑶13至18重新分多個發(fā)分割數(shù)據(jù)。通過如此進行����,能夠維護分割數(shù)據(jù)的冗余。
[0112]在上述實施例中���,對于以收集的順序來組合所收集的多個分割數(shù)據(jù)的情況進行了說明����;然而�����,配置不限于此��。通過向多個分割數(shù)據(jù)增加經由其能夠識別順序的信息�,能夠正確地組合多個分割數(shù)據(jù)�����,而與收集的順序無關����。通過如此進行�����,車輛網絡系統(tǒng)的配置的靈活性改善����。
[0113]在上述實施例中��,對于意圖用于確定內部數(shù)據(jù)是否已經被修改的第一 E⑶11或第十一 ECU21未保存基于其本身的原始數(shù)據(jù)FV的分割數(shù)據(jù)的情況進行了說明�����。然而�,配置不限于此。諸如第一 E⑶11 (或第十一 E⑶21)的意圖用于修改確定的E⑶可以保存多個分割數(shù)據(jù)的一部分��。通過如此進行�����,車輛網絡系`統(tǒng)的配置的靈活性改善��。
[0114]在上述實施例中,對于第二 E⑶12和第四至第七E⑶14至17每一個保存一個分割數(shù)據(jù)的情況進行了說明����。然而,配置不限于此�。每一個E⑶可以保存多個分割數(shù)據(jù)。此時���,當能夠識別對應的ECU時��,能夠保存多個ECU的多個分割數(shù)據(jù)�。另外����,只要能夠識別多個分害擻據(jù)的順序,則能夠也在一個ECU中保存多個分割數(shù)據(jù)�。通過如此進行,車輛網絡系統(tǒng)的配置的靈活性改善����。
[0115]在上述第二實施例中����,對于第十一E⑶21包括分配單元214的情況進行了說明。然而,配置不限于此�。在除了第十一 E⑶21的E⑶中可以包括分配單元。即����,只要分配單元能夠獲取第十一 ECU21的原始數(shù)據(jù)FV并且向其他ECU分配多個分割數(shù)據(jù),則可以在任何ECU中包括該分配單元���。通過如此進行���,車輛網絡系統(tǒng)的配置的靈活性改善。
[0116]在上述實施例中�,對于在第一 E⑶11或第十一 E⑶21中保存每個時間(當前時間)檢查值CV的情況進行了說明;然而��,配置不限于此��。只要能夠在確定內部數(shù)據(jù)是否已經被修改時獲取每個時間檢查值CV��,就可以在除了第一 E⑶11 (或第十一 E⑶21)的其他E⑶之一等中保存每個時間檢查值CV��。通過如此進行����,車輛網絡系統(tǒng)的配置的靈活性改善。
[0117]在上述實施例中,對于第一 E⑶11包括計算單元111�����、組合單元112和驗證單元113的情況或第十一 E⑶21包括計算單元211����、組合單元212和驗證單元213進行了說明。然而����,配置不限于此?����?梢栽诔说谝?E⑶11 (或第十一 E⑶21)之外的E⑶中包括計算單元�����、組合單元和驗證單元的至少一個����。即,可以在任何位置包括計算單元��,只要該計算單元能夠獲取第一 E⑶11 (或第十一 E⑶21)的內部數(shù)據(jù)���?��?梢栽谌魏挝恢冒ńM合單元,只要該組合單元能夠收集多個分割數(shù)據(jù)�。可以在任何位置包括驗證單元�,只要該驗證單元能夠獲得意圖用于修改確定的ECU的每個時間檢查值CV和組合數(shù)據(jù)UV。通過如此進行����,車輛網絡系統(tǒng)的配置的靈活性改善。
[0118]在上述實施例中���,對于原始數(shù)據(jù)FV和檢查值CV是散列值的情況進行了說明���;然而,配置不限于此�。原始數(shù)據(jù)FV和檢查值CV可以是允許關于ECU的內部數(shù)據(jù)的識別的確定的任何值,該ECU意圖用于關于內部數(shù)據(jù)是否已經被修改的確定���。例如�,通過與散列函數(shù)不同的算法獲得的諸如校驗和的值可以被用作檢查值CV。通過如此進行�����,車輛網絡系統(tǒng)的配置的靈活性改善����。
[0119]在上述實施例中,對于第一 E⑶11或第十一 E⑶21進行關于內部數(shù)據(jù)是否已經被修改的確定的情況進行了說明����。然而,配置不限于此�����。只要能夠經由網絡獲取意圖用于確定內部數(shù)據(jù)是否已經被修改的ECU等的檢查值CV和組合數(shù)據(jù)UV��,則包括網關裝置等的其他ECU之一可以基于那些獲取的檢查值CV和組合數(shù)據(jù)UV來確定意圖的ECU的內部數(shù)據(jù)是否已經被修改����。通過如此進行,車輛網絡系統(tǒng)的配置的靈活性改善��。
[0120]在上述實施例中�����,對于第一 E⑶11或第^^一 E⑶21的配置與第二至第八E⑶12至18的配置不同的情況進行了說明���。然而����,配置不限于此�。第二至第八E⑶12至18的每一個的配置可以與第一 E⑶11或第^^一 E⑶21的配置相同。當?shù)诙恋诎薊⑶12至18的每一個具有與第一 E⑶11類似的配置時�����,第二至第八E⑶12至18每一個也能夠確定內部數(shù)據(jù)是否已經被修改��。通過如此進行���,車輛網絡系統(tǒng)的配置的靈活性改善���。
[0121]在上述實施例中,對于在車輛10上安裝車輛網絡系統(tǒng)的情況進行了說明��;然而���,配置不限于此���?��?梢栽谲囕v外部提供車輛網絡系統(tǒng)的一部分。即�����,可以通過無線通信在車輛外部提供車輛網絡系統(tǒng)的E·CU的一部分��。通過如此進行�,車輛網絡系統(tǒng)的配置的靈活性改善。
[0122]在上述實施例中�����,第一數(shù)據(jù)可以被用作第三數(shù)據(jù)���。通過如此進行���,車輛網絡系統(tǒng)的配置的靈活性改善。
【權利要求】
1.一種車輛網絡系統(tǒng),包括: 多個電子控制單元�,所述多個電子控制單元被連接到車輛網絡以便于能夠彼此進行通信��,并且允許內部數(shù)據(jù)被修改�,其中���, 作為所述多個電子控制單元中的一個的預定電子控制單元基于在所述預定電子控制單元中所保存的內部數(shù)據(jù)來生成第一數(shù)據(jù)���, 所述多個電子控制單元中的至少一個將第二數(shù)據(jù)與第三數(shù)據(jù)作比較����,所述第二數(shù)據(jù)是通過收集和組合從所述第一數(shù)據(jù)分割并且在所述多個電子控制單元中分配和保存的多個分割數(shù)據(jù)來創(chuàng)建的,所述第三數(shù)據(jù)是基于在每個時間點由所述預定電子控制單元所保存的內部數(shù)據(jù)來生成的�����,并且 基于比較的結果來確定在所述預定電子控制單元中所保存的內部數(shù)據(jù)是否已經被修改�。
2.根據(jù)權利要求1所述的車輛網絡系統(tǒng),其中�����, 所述預定電子控制單元進行在所述第二數(shù)據(jù)和所述第三數(shù)據(jù)之間的比較����。
3.根據(jù)權利要求1或2所述的車輛網絡系統(tǒng)����,其中���, 所述預定電子控制單元保存所述第二數(shù)據(jù)和所述第三數(shù)據(jù)��。
4.根據(jù)權利要求1至3中的任何一項所述的車輛網絡系統(tǒng)�,其中����,所述預定電子控制單元生成所述第一數(shù)據(jù)和所述第三數(shù)據(jù)。
5.根據(jù)權利要求1至4中的任何一項所述的車輛網絡系統(tǒng)�,其中,所述預定電子控制單元將所述第一數(shù)據(jù)分割成多個分割數(shù)據(jù)�,并且在所述多個電子控制單元當中分配所述多個分割數(shù)據(jù)。
6.根據(jù)權利要求1至5中的任何一項所述的車輛網絡系統(tǒng)�����,其中�����,所述分割數(shù)據(jù)也被分配給所述預定電子控制單元。
7.根據(jù)權利要求6所述的車輛網絡系統(tǒng)��,其中�, 所述預定電子控制單元允許內部數(shù)據(jù)通過通信被修改,并且 當所述預定電子控制單元的內部數(shù)據(jù)被修改時���,將在所述預定電子控制單元中所保存的分割數(shù)據(jù)移動到其他電子控制單元中的一個電子控制單元��。
8.根據(jù)權利要求7所述的車輛網絡系統(tǒng)�,其中�����, 在所述預定電子控制單元的內部數(shù)據(jù)已經被修改之后����,所述其他電子控制單元中的所述一個電子控制單元將被移動到所述其他電子控制單元中的所述一個電子控制單元的分割數(shù)據(jù)移動到所述預定電子控制單元��。
9.一種在車輛網絡系統(tǒng)中使用的車輛信息處理方法����,在所述車輛網絡系統(tǒng)中,多個電子控制單元被連接以便于能夠彼此進行通信���,所述車輛信息處理方法包括: 基于在預定電子控制單元中所保存的內部數(shù)據(jù)來預先生成第一數(shù)據(jù)�; 將所生成的第一數(shù)據(jù)分割成多個分割數(shù)據(jù); 在所述多個電子控制單元當中分配所述多個分割數(shù)據(jù)�; 通過收集和組合所述多個分割數(shù)據(jù)來生成第二數(shù)據(jù); 基于在每個時間點在所述預定電子控制單元中所保存的內部數(shù)據(jù)來生成第三數(shù)據(jù)�;以及 通過在所述第二數(shù)據(jù)和所述第三數(shù)據(jù)之間的比較來確定在所述預定電子控制單元中所保存的內部數(shù)據(jù)是否已經被修改。
10.根據(jù)權利要求9所述的車輛信息處理方法���,其中��, 由所述預定電子控制單元來進行在所述第二數(shù)據(jù)和所述第三數(shù)據(jù)之間的比較�����。
11.根據(jù)權利要求9或10所述的車輛信息處理方法��,其中��, 由所述預定電子控制單元來保存所述第二數(shù)據(jù)和所述第三數(shù)據(jù)��。
12.根據(jù)權利要求9至11中的任何一項所述的車輛信息處理方法�,其中���, 由所述預定電子控制單元來生成所述第一數(shù)據(jù)和所述第三數(shù)據(jù)�。
13.根據(jù)權利要求9至12中的任何一項所述的車輛信息處理方法,其中�, 由所述預定電子控制單元在所述多個電子控制單元當中分配從所述第一數(shù)據(jù)分割的所述多個分割數(shù)據(jù)。
14.根據(jù)權利要求9至13中的任何一項所述的車輛信息處理方法��,其中��, 所述分割數(shù)據(jù)也被分配給所述預定電子控制單元��。
15.根據(jù)權利要求14所述的車輛信息處理方法����,其中, 所述預定電子控制單元允許內部數(shù)據(jù)通過通信被修改�,所述信息處理方法進一步包括: 當所述內部數(shù)據(jù)被修改時,將分配給所述預定電子控制單元的所述分割數(shù)據(jù)移動到其他電子控制單元中的一個電子控制單元��。
16.根據(jù)權利要求15所述的車輛信息處理方法����,進一步包括: 在所述內部數(shù)據(jù)已經被修改之后���,將被移動到所述其他電子控制單元中的所述一個電子控制單元的分割數(shù)據(jù)移動到所述預定電子控制單元�。
17.一種車輛網絡系統(tǒng)�����,包括: 多個電子控制單元,所述多個電子控制單元被連接到車輛網絡以便于能夠彼此進行通信�����,并且允許內部數(shù)據(jù)被修改���,其中�, 所述多個電子控制單元基于在作為所述多個電子控制單元中的一個的第一電子控制單元中所保存的內部數(shù)據(jù)來生成第一數(shù)據(jù)�, 所述多個電子控制單元生成第二數(shù)據(jù),所述第二數(shù)據(jù)是通過收集和組合從所述第一數(shù)據(jù)分割并且在所述多個電子控制單元中分配和保存的多個分割數(shù)據(jù)來創(chuàng)建的�����,并且 所述多個電子控制單元通過在所述第一數(shù)據(jù)與所述第二數(shù)據(jù)之間的比較來確定在所述第一電子控制單元中所保存的內部數(shù)據(jù)是否已經被修改�,所述比較是由所述多個電子控制單元中的至少一個進行的。
18.一種車輛網絡系統(tǒng)����,包括: 多個電子控制單元,所述多個電子控制單元被連接到車輛網絡以便于能夠彼此進行通信�����,并且允許內部數(shù)據(jù)被修改,其中�����, 作為所述多個電子控制單元中的一個的第一電子控制單元包括: 生成單元����,所述生成單元基于在預定電子控制單元中所保存的內部數(shù)據(jù)來生成第一數(shù)據(jù); 分割單元�����,所述分割單元分割所生成的第一數(shù)據(jù)以生成多個分割數(shù)據(jù)���; 分配單元��,所述分配單元在所述多個電子控制單元當中分配所述多個分割數(shù)據(jù)���,并且使得所述多個電子控制單元保存所述多個分割數(shù)據(jù);組合單元����,所述組合單元收集和組合在所述多個電子控制單元中分配和保存的所述多個分割數(shù)據(jù)���,以生成第二數(shù)據(jù)�����;以及 確定單元�,所述確定單元基于在所述第二數(shù)據(jù)和第三數(shù)據(jù)之間的比較來確定在所述預定電子控制單元中所保存的內部數(shù)據(jù)是否已經被修改,所述第三數(shù)據(jù)是基于在每個時間點在所述預定電子控制單元中所保存`的內`部`數(shù)據(jù)來生成的�����。
【文檔編號】H04L29/08GK103796894SQ201280044380
【公開日】2014年5月14日 申請日期:2012年9月11日 優(yōu)先權日:2011年9月12日
【發(fā)明者】馬渕充啟 申請人:豐田自動車株式會社