[发明专利]用于将程序代码包安装到设备中的方法以及设备和机动车

说明书

本发明涉及用于安装程序代码包(19)到设备(10)中的方法，设备(10)的处理器装置(12)通过第一数据连接(26)从设备外部的数据源(20)接收程序代码包(19)且为所接收的程序代码包(19)形成校验和值(22)。本发明设定，在设备(10)中运行有别于处理器装置(12)的控制装置(12’)，由控制装置(12’)从预定的、设备外部的更新服务器装置(24)通过与第一数据连接(26)不同的第二数据连接(26’)接收参考校验和值(25)，并从处理器装置(12)接收由其形成的校验和值(22)，仅仅在校验和值(22)与参考校验和值(25)相同的情况下，才通过控制装置(12’)在处理器装置(12)中触发预定的用于在处理器装置(12)中安装程序代码包(19)的安装程序(29)。

技术领域

本发明涉及一种用于把程序代码包录入或安装到设备、例如移动终端设备或机动车的控制设备中的方法。通过录入程序代码包，使得该程序代码包可在设备中作为可执行的软件供使用。程序代码包例如可以包含用于设备的操作系统，和/或通过录入得到设备中的操作软件或操作系统的更新。本发明也包括可按照方法运行的设备以及带有这样的设备的机动车。

背景技术

在机动车的控制设备中可以设有或提供处理器装置，处理器装置可以设有一个微处理器或多个微处理器且对于运行可使用操作系统、如例如Linux或Posix或为了更新操作系统或一般地说处理器装置的软件，可以设有如下流程。首先通过数据连接从设备外部的数据源接收包括参考校验和值(例如HASH值)在内的程序代码包、例如所谓的刷新文件/flash文件(Flashfile)。数据连接例如可以基于以太网和/或CAN总线(CAN-Controller Area Network)和/或Flexray总线形成。在完全接收程序代码包且将其存储在处理器装置中之后，通过该处理器装置自身计算用于程序代码包的校验和值、将该校验和值与连同程序代码包一起接收的参考校验和值进行比较，并因此进行检验。由此可以确认：程序代码包是否已被完整无损地、即无错误地传输且/或未被篡改过。如果程序代码包是完整无损的，则处理器装置启动安装程序，安装程序可以规定：更新标志或更新位被设置且处理器装置随后实施复位。在复位之后，在重新启动期间通过引导加载器引导(booten)处理器装置。引导加载器在此识别所设的更新标志且启动更新过程，该更新过程可以设定为，处理器装置的操作软件或一般地说现有软件的至少一部分借助于程序代码包来代替或补充。该过程也称为刷新(Flashen)。所述基于校验和的检验在此备选地也可以在引导加载器自身中实现。

假如成功地在运行的操作系统中篡改校验和值的比较机制，以便伪装处理器装置，使得校验和值和参考校验和值一致，即使实际上根本不一致，则由现有技术已知的借助于校验和值的检验和安装程序可用于对设备的有针对性的篡改。然后被篡改的程序代码包也可以在设备中传输，且该被篡改的程序代码包随后借助于安装程序安装在设备中。

程序代码包在机动车控制设备中的录入例如在文献DE 10 2016 200 775 A1中描述。为了在此保护程序代码包不被篡改，规定，借助于控制设备识别通过对于车辆的网络攻击引起的可能的风险且对该风险进行分析，其中尤其是识别出以新的固件对各个控制设备的闪存器的未经计划的写入。在该方法中不利的是，需要带有自身的、运算增强的处理器装置的附加的控制设备，以便可以识别其他控制设备的处理器装置的篡改。

由文献DE 103 19 365 A1已知的是，在单个控制设备内借助于其处理器装置执行分开的运行时环境，其中可以执行来自接收的程序代码包的软件。由此，在程序代码包中可能包含的恶意代码不能蔓延到设备的其他部分上。在该方法中不利的是，对于控制设备的操作系统，无法在自身的运行时环境中运行，从而不存在对操作系统自身的保护。

由文献DE 10 2014 219 322 A1已知一种用于更新车辆控制系统的方法，其中在安装程序代码包之后，控制设备的由程序代码包的安装涉及的部分首先与其余部分隔离地运行，以便实施测试，且在识别到完好的安装之后才通过释放又重新利用控制设备的该部分。在该方法中不利的是，不能动用借助于校验和值进行的简单和快速的检查。这使得安装程序变得高成本。

发明内容