申请/专利权人：福特全球技术公司

申请日：2017-08-07

公开（公告）日：2024-05-17

公开（公告）号：CN107729757B

主分类号：G06F21/57

分类号：G06F21/57

优先权：["20160810 US 15/233,708"]

专利状态码：有效-授权

法律状态：2024.05.17#授权;2019.08.16#实质审查的生效;2018.02.23#公开

摘要：本公开涉及软件更新之前的软件认证。可由更新装置对车辆电子控制单元发起编程会话。可由更新装置使用认证密钥对电子控制单元的软件更新进行认证。当认证结果指示认证成功时，由更新装置通过车载网络将电子控制单元的软件更新发送到电子控制单元。电子控制单元随后可将电子控制单元的软件更新闪存至存储器。可从电子控制单元获取认证密钥。更新装置可以是车辆远程信息处理控制单元或连接到车辆的连接器的检修工具。

主权项：1.一种用于认证车辆电子控制单元的软件更新的方法，包括：由与车辆电子控制单元通信的检修工具通过与车辆总线的诊断端口连接发起车辆电子控制单元的编程会话；由检修工具使用从车辆电子控制单元接收的认证密钥对将被安装到车辆电子控制单元的软件更新进行认证；响应于认证成功，通过车辆总线将来自检修工具的软件更新发送到车辆电子控制单元。

全文数据：软件更新之前的软件认证技术领域[0001]本公开涉及用于车辆的软件更新，特别是涉及在执行软件更新之前执行软件认证。背景技术[0002]车载软件可利用各种安全措施，这是因为未授权软件的安装可能是不期望的。常用的措施是应用数字签名方案以确保软件是可信的且尚未被篡改。当车载电子控制单元ECU软件准备进行更新时，更新程序可包括将新软件闪存至ECU，并且随后使用ECU对新安装的软件进行认证。发明内容[0003]在一个或更多个说明性实施例中，一种用于对车辆的电子控制单元ECU的软件进行更新的方法包括：由与车辆的电子控制单元ECU通信的更新装置通过车辆总线发起ECU的编程会话；由更新装置使用从ECU接收的认证密钥对将被安装到ECU的软件更新进行认证;响应于认证成功，通过车辆总线发送来自更新装置的软件更新，以将所述软件更新应用到ECU。[0004]所述方法还可包括：由更新装置通过车辆总线向E⑶请求认证密钥；响应于ECU接收到软件更新，由ECU对软件更新的校验和进行验证。所述方法还可包括:产生指示认证结果的通知。所述认证的步骤可包括:使用认证密钥对软件更新的数字签名进行认证，所述认证密钥为公钥，所述数字签名由软件更新的发布者使用与所述认证密钥对应的私钥应用到软件更新。[0005]所述方法还可包括:确定ECU软件更新的更新版本;确定当前安装在ECU中的ECU软件的当前版本;将所述更新版本与所述当前版本进行比较，以获得比较结果;基于比较结果，确定是否将认证密钥从ECU发送到闪存设备（flashingapparatus。所述方法还可包括:输出基于比较结果的消息。所述方法还可包括：响应于软件更新的更新版本与安装在ECU中的软件的当前版本不匹配，由更新装置向ECU请求认证密钥。[0006]所述闪存设备可使用车载诊断20BD2连接器连接到车辆的车载网络。所述方法还可包括:通过无线网络使用远程信息处理控制单元TCU接收ECU软件更新。所述闪存设备可以是T⑶。[0007]在一个或更多个说明性实施例中，一种车辆系统包括：远程信息处理控制单元TCU，连接到车载网络，并且被配置为:通过无线网络接收针对电子控制单元ECU的软件更新;经由车载网络发起与ECU的编程会话;使用经由车载网络从ECU接收的认证密钥对软件更新进行认证，以获得认证结果；响应于认证结果指示认证成功，通过车载网络将软件更新发送到E⑶，以使得E⑶将软件更新闪存至E⑶的存储器。[0008]T⑶还可被配置为：从TCU的存储器中获取来自ECU的认证密钥，其中，认证密钥从先前的软件更新从TCU应用到ECU开始被存储到所述存储器。TCU还可被配置为：显示指示认证结果的通知。T⑶还可被配置为:使用认证密钥对软件更新的数字签名进行认证，所述认证密钥为公钥，所述数字签名由软件更新的发布者使用与所述认证密钥对应的私钥应用到软件更新。[0009]TCU还被配置为:在接收软件更新之前确定软件更新的更新版本;确定当前安装在ECU中的软件的当前版本;将所述更新版本与所述当前版本进行比较，以获得比较结果;基于比较结果，确定是否接收软件更新。TCU还可被配置为：响应于软件的更新版本与安装在电子控制单元中的软件的当前版本不兼容，拒绝软件更新。所述无线网络为蜂窝网络、WiFi网络和蓝牙网络中的至少一种。[0010]在一个或更多个说明性实施例中，一种对车辆的电子控制单元ECU的软件进行闪存的设备包括:连接器，被配置为将所述设备连接到车辆的车载网络;存储器，被配置为存储电子控制单元ECU软件更新;处理器，被配置为:经由所述连接器发起对ECU的编程会话;使用认证密钥对ECU软件更新进行认证，以获得认证结果；当认证结果指示认证成功时，通过车载网络将E⑶软件更新发送到E⑶，以将E⑶软件更新闪存至E⑶。[0011]所述设备还可包括通信装置，所述通信装置被配置为下载电子控制单元的软件更新。处理器还可被配置为:使用认证密钥对ECU软件更新的数字签名进行认证，所述认证密钥为公钥，所述数字签名由软件更新的发布者使用与所述认证密钥对应的私钥应用到软件更新。处理器还可被配置为：响应于确定ECU软件更新的版本高于安装到ECU的软件的当前版本，确定从ECU获取认证密钥。[0012]在以下附图和描述中阐述了一个或更多个实施方式的细节。其它特征和优点将通过描述、附图和权利要求变得清楚。附图说明[0013]为了更好地理解本发明并且示出如何执行本发明，现在将参照附图仅通过非限制示例来描述本发明的实施例，其中：[0014]图1示出了本公开的一个实施例的示例性车载系统；[0015]图2A示出了本公开的一个实施例的被配置为执行ECU更新的车载系统的示例性拓扑图；[0016]图2B示出了本公开的可选实施例的被配置为执行ECU更新的车载系统的示例性拓扑图；[0017]图3示出了本公开的一个实施例的被配置为执行ECU更新的车载系统的示例性数据流图；[0018]图4示出了本公开的一个实施例的执行ECU更新的方法的示例性流程图。具体实施方式[0019]根据需要，在此公开本发明的具体实施例；然而，应当理解的是，所公开的实施例仅为本发明的示例，其可以以多种和替代形式实施。附图无需按比例绘制;可夸大或最小化一些特征以示出特定组件的细节。因此，此处所公开的具体结构和功能细节不应被解释为限制，而仅仅作为用于教导本领域技术人员以多种形式利用本发明的代表性基础。[0020]车辆E⑶具有有限的计算资源例如，有限的存储器和处理能力）。这些限制可能会增大在ECU内部实现资源密集型安全措施诸如，公钥基础设施）的难度。另外，当软件更新在软件已被安装到ECU之后被认证时，如果软件更新认证失败，则这样的系统限制ECU继续操作的能力。相反如果认证失败，则系统反而可重新启动更新处理并且尝试将软件再闪存至ECU。这可能是低效的，并且如果更新处理失败，则E⑶可能无法正确启动boot。另外，在未在安装之前进行验证的情况下，可能将未认证的软件安装到ECU。[0021]可通过检修工具来执行改进的ECU软件更新程序，所述检修工具经由诊断连接器诸如，车载诊断20BD2端口）连接到车载网络诸如，控制器局域网（CAN。可选地，检修工具可经由其它有线连接和或无线连接诸如，经由USB、蓝牙、Wi-Fi、卫星和或被配置为连接到车载网络的任何其它方式连接到车载网络。检修工具可以是具有加载在其上的必要软件的计算机。如果更新成功，则检修工具可完成处理并且将更新成功通知给用户。如果更新在任何步骤失败，则暂停更新并且将更新的状态通知给用户检修人员。用户可决定接下来做什么。[0022]在可选示例中，车载系统可包括远程信息处理控制单元TCUJ⑶可被配置为经由无线连接诸如，经由蜂窝网络无线地从软件库下载ECU软件更新。响应于完成下载，车载系统可将更新的可用性通知给用户，并且可向用户请求同意以执行更新。可经由用户界面诸如，车辆的人机界面HMI来请求同意。可选地，车载系统可在适当的时间（诸如，当车辆停车或者点火开关断开时）自动执行更新。与更新有关的成功、失败或其它状态信息可通过用户界面被提供给用户。在此进一步详细描述本公开的其它方面。[0023]图1示出了本公开的一个实施例的示例性车载系统100。如示出的，车载系统100包括车载网络l〇2、TCU104、网关装置106、诊断连接器108、信息娱乐系统110、用户界面112、一个或更多个ECU114为了清楚仅示出了一个）、USB连接器116以及无线收发器118。车载网络102可被配置为连接车载系统100的其它装置。作为一些示例，车载网络102可以是CAN、以太网或面向媒体的系统传输MOST。信息娱乐系统110可包括用户界面112。作为示例，用户界面112可包括显示屏、触摸屏、一组分段显示器以及一个或更多个按钮或其它控制件。USB连接器116可提供存储装置到信息娱乐系统110的连接。应该注意的是，车载系统100的模块化仅仅是示例性的，并且可使用更多、更少和或不同划分的车载系统100的装置。在一个示例中，网关装置106可以是被配置为在不同的系统总线之间进行连接并传输消息（诸如，高速CAN、低速CAN和或以太网之间的消息互连）的ECU。在一些示例中，网关装置106可以是通过诊断连接器108连接到车辆的外部装置。诊断连接器108可以是例如0BD2连接器。[0024]图2A示出了被配置为执行ECU更新的车载系统100的示例性拓扑图。在系统100中，诊断连接器108经由车载网络102连接到网关装置106。另外，网关装置106经由车载网络102连接到E⑶114。[0025]检修工具206可被配置为从软件库204向车辆202提供软件更新。为此，检修工具206可被配置为连接到车载系统100的车载网络102。在很多示例中，如由212所示，检修工具206可被配置为经由诊断连接器108连接到车载网络102。检修工具206可通过通信网络经由有线连接210和或无线连接208从软件库204接收车辆202的软件更新。可选地，软件更新可被预先安装到检修工具206。作为示例，检修工具206可被实施为各种类型的计算装置诸如，膝上型计算机、台式计算机、平板电脑、专用装置、车辆诊断工具扫描仪、个人数字助理PDA、集成诊断服务IDS装置和或可被配置为连接到诊断连接器108并且能够将软件下载和提供给E⑶114的任何装置）。[0026]网关装置106可被配置为控制通过车载网络102的检修工具206与ECU114之间的通信。可选地，检修工具206可被配置为经由车载网络102连接到ECU114而不通过网关装置106进行连接。例如，检修工具206可被配置为经由USB连接器116连接到车载网络102,经由无线收发器118连接到车载网络102或者经由可通过其提供软件更新的另一车辆连接器连接到车载网络102。[0027]检修工具206可被配置为从ECU114获取认证密钥以用于对软件更新进行认证。在示例中，认证密钥可以是存储在ECU114中的公钥，所述公钥用于对使用由软件更新的发布者安全保存的对应的私钥签名的软件更新进行验证。如果认证处理成功，则检修工具206可被配置为将软件更新发送到ECU114以使更新继续。如果认证处理失败，则检修工具206可被配置为暂停更新处理并且通知用户认证失败。在一个示例中，检修工具206可利用内置屏幕和或扬声器将失败状况通知给用户。可选地，车载系统100可被配置为通过信息娱乐系统110的用户界面112通知用户。[0028]图2B示出了被配置为执行ECU更新的车载系统100的替代示例性拓扑图。与图2A中示出的示例相比，在图2B的示例中，可由TCU104执行更新而无需连接检修工具206。替代地，T⑶104可被配置为执行检修工具206的角色并且经由无线连接214从软件库204接收软件更新。作为一个示例，无线连接214可以是蜂窝网络。可选地，无线连接214可以是蓝牙、Wi-Fi连接、卫星和或可通过其提供软件更新的任何其它无线连接。T⑶104可经由车载网络102通过网关装置106连接到E⑶114。可选地，T⑶104可被配置为经由车载网络102连接至IjE⑶114而不通过网关装置106进行连接。[0029]在一个示例中，T⑶104可以是具有蜂窝调制解调器且连接到车载网络102的独立装置。可选地，在此讨论的由TCU104执行的操作可由车辆的信息娱乐系统全部或部分地执行。例如，由福特汽车公司开发的FordSYNC®系统可利用配对且连接的移动电话来进行下载、认证并且将认证的更新提供给E⑶114。[0030]继续TCU104的示例，T⑶104可被配置为从ECU114获取认证密钥并使用认证密钥对软件更新进行认证。如果认证处理成功，则TCU104可被配置为将软件更新发送到ECU114以使更新继续。如果认证处理失败，则TCU104可被配置为暂停更新处理并且将失败状况通知给用户。在一些示例中，T⑶104可被配置为通过信息娱乐系统110的用户界面112例如，通过使用视觉警报或音频警报将失败状况通知给用户。[0031]图3示出了T⑶104对E⑶114执行软件更新的操作的示例性数据流300。虽然在该示例中特定操作被讨论为由TCU104执行，但是应该注意的是，在其它示例中，连接到诊断连接器108的检修工具206可执行被指示为由T⑶104执行的操作。[0032]在302,数据流300可从T⑶104经由车载网络102向ECU114请求E⑶114的认证密钥开始。认证密钥请求可响应于从请求开始更新处理的用户技术人员提供到用户界面112的输入而被触发。在可选示例中，可将TCU104整合到车辆202的远程信息处理系统中，使得T⑶104可经由远程信息处理控制单元的输入装置诸如，主机单元显示器接收用户技术人员的输入。作为另一示例，可由T⑶104或车载系统100自动地响应于车辆202确定车辆系统未在使用中（诸如，当车辆202停车或点火开关断开时而触发认证密钥请求。应该注意的是，在请求认证密钥302之前，软件更新可能先前已经被下载到T⑶104。所述下载可能已经响应于TCU104针对更新的周期性检查或者响应于用户命令例如，经由用户界面112输入的用户命令而发生。[0033]响应于针对认证密钥的请求302，ECU114可向TCU104发送认证密钥304。在一个示例中，认证密钥304可以是存储到ECU114的用于对软件更新的数字签名进行认证的公钥。响应于从ECU114接收到认证密钥304,TCU104可对软件更新的数字签名进行认证，以确定软件更新是否是可信且未被修改的。应该注意的是，由于认证处理是在TCU104中进行的，并且在很多情况下TCU104可能比E⑶114包含更多的计算资源，因此使用T⑶104能够比使用ECU114的计算资源进行软件更新认证的方法在更短的时间量内执行更复杂的认证。[0034]响应于通过TCU104对软件更新的成功认证，T⑶104发起与ECU114的编程会话305。在示例中，编程会话305可允许进行统一诊断服务UDS。另外或可选地，编程会话305可定义在ECU114可进入可在其期间向ECU114应用软件更新的模式之前将要满足的各种条件。例如，响应于从TCU104接收到用于进入编程会话305的请求，E⑶114可确认针对将被进入的编程会话305设置的一个或更多个条件。在示例中，ECU114可被配置为避免在车辆点火开关接通和或移动时进入编程会话305，以确保ECU114的功能在车辆202的使用期间保持可用。响应于ECU114进入编程会话305,TCU104可向ECU114发送将被应用到ECU114的存储器的软件更新306^〇]114可接收软件更新，并且可利用已经由TCU104认证的软件更新306来代替安装到ECU114的存储器的当前版本的软件。响应于ECU114完成将新的软件更新306闪存至E⑶114的存储器，E⑶114可执行完整性验证以验证软件更新306已被正确地安装。在一个示例中，完整性验证可包括软件更新的校验和与同软件更新一起被提供给E⑶114的校验和值的验证。响应于成功完成完整性验证，E⑶114可向T⑶104发送结束会话310的消息以结束编程会话305。[0035]应该注意的是，尽管在该示例中使用TCU104来更新ECU114,但是也可使用其它组件诸如，检修工具206来执行更新。另外，具有可用计算资源且连接到车载网络102的车载系统100的其它组件和或部件可与T⑶104或检修工具206组合使用来执行对ECU114的软件更新的验证和控制，以代替使用ECU114的计算资源对软件更新进行认证。[0036]图4示出了用于执行ECU114的软件更新的方法的示例性流程图400。在示例中，可由TCU104执行该方法。然而，应该再次注意的是，在其它示例中，被描述为由TCU104执行的方法的操作可由检修工具206和或车载系统100的其它组件和或部件来执行。[0037]在S402,该方法可在TCU104通电之后开始。在S404，T⑶104可经由无线连接214从软件库204接收软件更新。响应于接收到软件更新，TCU104可向ECU114发起软件更新查询。响应于软件更新查询，E⑶114可向TCU104发送当前安装到E⑶114的软件的版本标识符。在S406,版本标识符可被T⑶104使用，以通过将当前安装到E⑶114的软件的版本标识符与软件更新的版本进行比较从而确定软件更新是否具有更高的版本并且因此适合于安装，来为更新做准备。可选地，TCU104可提前获取当前安装到ECU114的软件版本的版本标识符例如，作为由TCU104周期性查询可用软件更新的一部分），以允许TCU104使用版本标识符来查询最新的软件版本是否可用于下载以安装到ECU114。[0038]如果TCU104确定软件更新是兼容的和或必需的，则TCU104可通知用户更新可用。在示例中，T⑶104可经由信息娱乐系统110和或用户界面112向用户提供通知，以通知用户软件更新是可用的。使用该通知，用户可例如经由用户界面112做出响应，并且提供确认以使更新继续S408。可选地，TCU104可在车辆未在使用中时诸如，当车辆停车和或点火开关断开时）自动地执行软件更新。如果TCU104或用户选择不继续进行更新，则在S424，T⑶104可暂停更新处理并且可将可用软件更新的未许可状态通知给用户。处理可在操作S430结束。[0039]如果用户决定继续将软件更新应用到E⑶114,则TCU104可在S410从ECU114获取认证密钥。在示例中，认证密钥可能已经被存储到ECU114例如，在制造期间存储在ECU114的只读存储器内、作为先前的软件更新的一部分被存储等）。作为另一示例，认证密钥可能先前已经从ECU114被获取例如，在先前的软件更新循环期间）并且保存在TCU104的存储器中。在这样的示例中，在S410,T⑶104可确定认证密钥已经可用，并且可继续进行而不向ECU114请求认证密钥。在S412,响应于TCU104已经获取认证密钥，TCU104可执行软件更新的认证。在一个示例中，T⑶104可对软件更新的数字签名进行认证，以验证软件更新是可信且未被破坏或篡改的（例如，使用与认证密钥对应且对其它方不可用的软件更新创建者的私钥正确地被签名）。在一个示例中，认证处理可涉及数字签名方案DSS、椭圆曲线数字签名算法和或另一对称密钥算法中的一种或更多种。如果在S414认证处理失败，则在S424,更新处理可被暂停并且可通知用户。由于在该方法的这一点处软件更新尚未被传输至IjE⑶114,因此ECU114受到保护免受软件更新接收失败的潜在问题的影响。因此，即使TCU104下载带来损坏车辆并且使用户不方便或陷于困境的潜在危险的不可信的软件更新，也可通过当前的方法避免这些问题。[0040]如果在S414认证成功，则处理继续进行并且ECU114可在S415进入编程会话以接收软件更新。在编程会话中，在S416，T⑶104可使得ECU114利用已更新的软件替代当前版本的软件。一般来说，在可信的软件更新的情况下，闪存步骤是稳定且安全的。然而，在S418,在闪存步骤由于诸如通信故障的任何原因而失败的情况下，TCU104可响应于通信问题而在S424暂停更新处理并且将失败通知给用户。在这种情况下，由于软件更新已经被下载到TCU104中，因此用户可选择从步骤S406重新开始更新处理。可选地，可向用户提供从步骤S416重新开始以重新闪存已经认证的软件更新的选项。作为另一种可行方式，还可给予用户从开始步骤S402重新开始处理的选项。[0041]如果在S418闪存步骤S416成功，则在S420，E⑶114可执行完整性验证以验证软件更新被正确地安装。在一个示例中，完整性验证可以是校验和计算。作为一些非限制性可行方式，在这种验证中使用的示例性的校验和可包括CRC、MD5、SHA1SUM或SHA2SUM。如果E⑶完整性验证步骤S420失败，则软件更新未被正确地安装并且ECU114可在S424将失败通知给用户。如果发生这样的失败，则用户可选择重新开始处理。如果在步骤S422安装的软件更新通过了验证，则T⑶104可以可选地向用户指示更新处理已经成功，并且处理在S430结束。[0042]尽管上面描述了示例性实施例，但并不意在这些实施例描述本发明的所有可能形式。更确切地，说明书中使用的词语为描述性词语而非限制性词语，并且应理解的是，可在不脱离本发明的精神和范围的情况下作出各种改变。此外，可组合各种实现的实施例的特征以形成本发明的进一步的实施例。

权利要求：1.一种方法，包括：由与车辆电子控制单元ECU通信的更新装置通过车辆总线发起车辆电子控制单元的编程会话；由更新装置使用从车辆电子控制单元接收的认证密钥对将被安装到车辆电子控制单元的软件更新进行认证；响应于认证成功，通过车辆总线发送来自更新装置的软件更新，以将所述软件更新应用到车辆电子控制单元。2.如权利要求1所述的方法，还包括：由更新装置通过车辆总线向车辆电子控制单元请求认证密钥；响应于车辆电子控制单元接收到所述软件更新，由车辆电子控制单元对所述软件更新的校验和进行验证。3.如权利要求1所述的方法，还包括:产生指示认证结果的通知。4.如权利要求1所述的方法，其中，认证的步骤包括:使用认证密钥对所述软件更新的数字签名进行认证，所述认证密钥为公钥，所述数字签名由软件更新的发布者使用与所述认证密钥对应的私钥应用到软件更新。5.如权利要求1所述的方法，还包括：确定所述软件更新的更新版本；确定安装在车辆电子控制单元中的软件的当前版本；将所述更新版本与所述当前版本进行比较，以获得比较结果；基于所述比较结果，确定更新装置是否向车辆电子控制单元请求认证密钥。6.如权利要求5所述的方法，还包括:输出基于所述比较结果的消息。7.如权利要求1所述的方法，还包括:响应于软件更新的更新版本与安装在车辆电子控制单元中的软件的当前版本不匹配，由更新装置向车辆电子控制单元请求认证密钥。8.如权利要求1所述的方法，其中，更新装置使用车载诊断20BD2连接器连接到车辆的车辆总线。9.如权利要求1所述的方法，还包括:通过无线链路使用远程信息处理控制单元TCU接收软件更新。10.如权利要求9所述的方法，其中，更新装置是远程信息处理控制单元。11.一种车辆系统，包括：远程信息处理控制单元TCU，连接到车载网络，并且被配置为：通过无线网络接收针对电子控制单元ECU的软件更新；经由车载网络发起与电子控制单元的编程会话；使用经由车载网络从电子控制单元接收的认证密钥对软件更新进行认证，以获得认证结果；响应于所述认证结果指示认证成功，通过车载网络将软件更新发送到电子控制单元，以使得电子控制单元将软件更新闪存至电子控制单元的存储器。12.如权利要求11所述的车辆系统，其中，远程信息处理控制单元还被配置为：从远程信息处理单元的存储器获取来自电子控制单元的认证密钥，其中，认证密钥从先前的软件更新从远程信息处理控制单元应用到电子控制单元开始被存储到所述存储器。13.如权利要求11所述的车辆系统，其中，远程信息处理控制单元还被配置为：显示指示所述认证结果的通知。14.如权利要求11所述的车辆系统，其中，远程信息处理控制单元还被配置为:使用认证密钥对软件更新的数字签名进行认证，所述认证密钥为公钥，所述数字签名由软件更新的发布者使用与所述认证密钥对应的私钥应用到软件更新。15.如权利要求11所述的车辆系统，其中，远程信息处理控制单元还被配置为：在接收软件更新之前确定软件更新的更新版本；确定当前安装在电子控制单元中的软件的当前版本；将所述更新版本与所述当前版本进行比较，以获得比较结果；基于所述比较结果，确定是否接收软件更新。16.如权利要求11所述的车辆系统，其中，远程信息处理控制单元还被配置为：响应于软件的更新版本与安装在电子控制单元中的软件的当前版本不兼容，拒绝软件更新。17.如权利要求11所述的车辆系统，其中，无线网络为蜂窝网络、Wi-Fi网络和蓝牙网络中的至少一种。18.—种对车辆的电子控制单元ECU的软件进行闪存的设备，包括：连接器，被配置为将所述设备连接到车辆的车载网络；存储器，被配置为存储电子控制单元软件更新；处理器，被配置为：经由所述连接器发起对电子控制单元的编程会话；使用认证密钥对电子控制单元软件更新进行认证，以获得认证结果；当所述认证结果指示认证成功时，通过车载网络将电子控制单元软件更新发送到电子控制单元，以将电子控制单元软件更新闪存至电子控制单元。19.如权利要求18所述的设备，所述设备还包括通信装置，所述通信装置被配置为下载电子控制单元软件更新。20.如权利要求18所述的设备，其中，处理器还被配置为：使用认证密钥对电子控制单元软件更新的数字签名进行认证，所述认证密钥为公钥，所述数字签名由软件更新的发布者使用与所述认证密钥对应的私钥应用到软件更新。21.如权利要求18所述的设备，其中，处理器还被配置为：响应于确定电子控制单元软件更新的版本高于安装到电子控制单元的软件的当前版本，确定从电子控制单元获取认证密钥。

百度查询： 福特全球技术公司 软件更新之前的软件认证

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD