專利名稱:完整性和兼容性驗證裝置和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于驗證電子控制單元中的軟件組件的完整性和兼容性的裝置�。
本發(fā)明還涉及用于驗證電子控制單元中的軟件組件的完整性和兼容性的方法。
背景技術(shù):
當將軟件下載到車輛的電子控制單元(ECU)時���,存在一些軟件出現(xiàn)問題的風險�����。如果一些軟件出現(xiàn)問題�����,則還會存在ECU軟件的總量不完整或可能軟件的不同部分彼此不兼容的風險��。例如�����,這可能是中斷的編程事件的結(jié)果���,從而使得ECU僅部分地編程����。如果E⑶的軟件不完整或其組件不兼容�����,這可能導致E⑶不能適當?shù)赝ㄐ乓云饎有碌木幊淌录?。在一些當今的軟件下載概念中,僅存在對應(yīng)用程序是否有效的簡單檢測���。該檢測不包括ECU的軟件的總量�,該檢測也不包括對存儲在ECU中的軟件的不同部分彼此兼容的檢驗�。一種明顯的防護會使E⑶的引導加載器(bootloader)在每次啟動時執(zhí)行E⑶的軟件組件完整并且彼此兼容的檢驗。然而����,由于E⑶的引導加載器通常是固定并且被燒入E⑶的存儲器電路中,所以通常在不更換ECU的硬件的情況下無法改變引導加載器����。因此,要檢驗完整性和兼容性的軟件組件的數(shù)目將是固定的���,除非ECU被更換���。然而,每當需要包括附加的軟件組件時就更換E⑶不是切實可行的�����。因此���,需要引入一種用于驗證E⑶的軟件組件是否完整且彼此兼容的更受控的應(yīng)用程序的啟動���。
發(fā)明內(nèi)容
本申請的一個目的是提供一種用于驗證電子控制單元中的軟件組件的完整性和兼容性的改進裝置。通過設(shè)置引導加載器(bootloader)以及完整兼容驗證組件(CompleteCompatible verification component)����,提供了一種允許下載和更新具有經(jīng)修改或甚至附加的軟件組件的ECU的軟件、同時保持了相同引導加載器和相同ECU單元的裝置����,其中,引導加載器被配置為在啟動電子控制單元時驗證完整兼容驗證組件的完整性和兼容性�����,并且在該驗證為肯定時起動該完整兼容驗證組件;并且其中�����,該完整兼容驗證組件被配置為在其運行時驗證電子控制單元中的另外的軟件組件的完整性和兼容性���。其中����,該完整兼容驗證組件可以進一步被配置為將表示是否電子控制單元中的所有軟件組件完整且兼容以使得電子控制單元能夠以完全操作功能性啟動的值返回至引導加載器�����。該引導加載器可以被配置為通過從相關(guān)聯(lián)存儲器中的預定存儲器地址讀取開始完整兼容簽名和結(jié)束完整兼容簽名�,來驗證完整兼容驗證組件的完整性和兼容性,其中�����,對于肯定的驗證����,需要開始完整兼容簽名和結(jié)束完整兼容簽名均存在����。該完整兼容驗證組件可以被配置為通過檢驗各個另外的軟件組件的各自開始和停止地址是否正確�����,來驗證另外的軟件組件的完整性����。該完整兼容驗證組件可以被配置為通過檢驗各個另外的軟件組件的版本號是否正確���,來驗證另外的軟件組件的兼容性���。該完整兼容驗證組件被配置為通過計算各個另外的軟件組件的檢驗和并將檢驗和與存儲在相關(guān)聯(lián)存儲器中的參考值相比較,來驗證另外的軟件組件的完整性和兼容性�。本申請的另一目的是提供一種用于機動車輛的電子控制單元,該電子控制單元包括上述用于驗證電子控制單元中的軟件組件的完整性和兼容性的裝置�。本申請的另一目的是提供一種用于驗證電子控制單元中的軟件組件的完整性和兼容性的改進方法。 通過設(shè)置以下步驟����,提供了一種允許下載和更新具有經(jīng)修改或甚至附加的軟件組件的ECU的軟件、同時保持了相同引導加載器和相同ECU單元的方法��,這些步驟為在啟動電子控制單元時,驗證完整兼容驗證組件的完整性和兼容性�����,并且在該驗證為肯定時運行完整兼容驗證組件以驗證電子控制單元中的另外的軟件組件的完整性和兼容性�。其中,該方法可以進一步包括以下步驟返回表示是否電子控制單元中的所有軟件組件完整且兼容的值��。該方法可以進一步包括以下步驟通過從相關(guān)聯(lián)存儲器中的預定存儲器地址讀取開始完整兼容簽名和結(jié)束完整兼容簽名�����,來驗證完整兼容驗證組件的完整性和兼容性��,其中���,對于肯定的驗證�,需要開始完整兼容簽名和結(jié)束完整兼容簽名均存在�。該方法可以進一步包括以下步驟通過檢驗各個另外的軟件組件的各自開始和停止地址是否正確,來驗證另外的軟件組件的完整性��。該方法可以進一步包括以下步驟通過檢驗各個另外的軟件組件的版本號是否正確�����,來驗證另外的軟件組件的兼容性。該方法可以進一步包括以下步驟通過計算各個另外的軟件組件的檢驗和并將檢驗和與存儲在相關(guān)聯(lián)存儲器中的參考值相比較�,來驗證另外的軟件組件的完整性和兼容性。該方法可以進一步包括以下步驟在驗證另外的軟件組件完整且兼容時����,從相關(guān)聯(lián)存儲器讀取用于執(zhí)行電子控制單元中的另外的軟件組件的應(yīng)用程序開始地址,并且跳至應(yīng)用程序開始地址�����。
在下文中���,將僅參考附圖以實例的方式更詳細地描述本發(fā)明,其中圖I是示出了根據(jù)本發(fā)明實施方式的用于驗證電子控制單元中的軟件組件的完整性和兼容性的方法的示意性順序圖����。本發(fā)明的另外的目的和特征將從結(jié)合附圖所考慮的以下詳細描述中變得顯而易見。然而�,應(yīng)當理解,該附圖僅為了說明的目的而設(shè)計�,并且不作為對本發(fā)明的限制,而對本發(fā)明的限制應(yīng)當參考所附權(quán)利要求�。
具體實施例方式總體而言,本申請涉及一種用于驗證電子控制單元(ECT)中的軟件組件的完整性和兼容性的裝置1����,并且具體地����,涉及機動車輛的ECU���。該裝置I包括引導加載器和完整兼容驗證組件����。所提出的方案是為了引入在引導加載器和完整兼容驗證組件之間分配的驗證功能性����,該完整兼容驗證組件可以是軟件組件或間接指令的下載列表,通過該驗證功能性���,E⑶可以確定其是否能夠以完全操作功能性而啟動����。該組件(下文中��,被稱作完整兼容驗證組件)負責檢驗ECU的另外的軟件組件的總量完整并且檢驗其組件彼此兼容���。驗證不適于僅由引導加載器執(zhí)行�,因為引導加載器通常是固定的,并且被燒至E⑶的存儲器電路�����,因此不容易改變����。為引入如上述所分配的驗證功能性,所提出的方案允許下載和更新具有經(jīng)修改或甚至附加的軟件組件的ECU的軟件���,同時保持了相同引導加載器和相同ECU單元。各個應(yīng)用程序開發(fā)者應(yīng)當負責確保該功能性在所有修改或附加的軟件組件中實現(xiàn)�。 引導加載器被配置為在啟動電子控制單元時驗證完整兼容驗證組件的完整性和兼容性。在該驗證為肯定時�,起動該完整兼容驗證組件。每當啟動ECU時就進行該驗證��。因此��,ECU的引導加載器應(yīng)在每次啟動時�,在開始執(zhí)行軟件應(yīng)用程序之前檢驗ECU的軟件組件是否完整且是否彼此兼容。完整兼容驗證組件被配置為在其運行時驗證電子控制單元中的另外的軟件組件的完整性和兼容性���。由此需要該完整兼容驗證組件檢測是否軟件的任一部分丟失或損壞���,例如�����,僅部分數(shù)據(jù)被下載�。完整兼容驗證組件還負責決定所存儲的軟件部分是否彼此兼容��。因此�����,引導加載器首先起動最初檢驗其自身的完整兼各驗證組件���,然后啟動E⑶的所有其他軟件組件���。為了避免引導加載器的更新,例如����,如果完整兼容驗證組件的軟件應(yīng)用程序的開始地址改變,則應(yīng)當定義引導加載器將從中讀取信息的存儲器位置���。因此�����,E⑶的引導加載器和軟件程序之間的相關(guān)為完整兼容驗證組件所開始的存儲器地址�。完整兼容驗證組件可以進一步被配置為將表示是否電子控制單元中的所有軟件組件完整和兼容的值返回至引導加載器。如果所返回的值表示電子控制單元中的所有軟件組件完整并兼容�����,則電子控制單元能夠以完全操作功能性來啟動�。因此,如果完整兼容驗證組件將正確值返回至引導加載器��,則將啟動E⑶的軟件的執(zhí)行��。完整兼容驗證組件例如可經(jīng)由例程標識符(routineidentifier)或在起始化階段(Init phase)期間通過調(diào)用(call-out)而從引導加載器起動���。用于執(zhí)行完整兼容驗證的時間應(yīng)當是有限的。如果引導加載器沒有在該時間內(nèi)接收到響應(yīng)值�����,則引導加載器將其認為是軟件組件不完整或不兼容的指不���。引導加載器可以進一步被配置為通過從相關(guān)聯(lián)存儲器中的預定存儲器地址讀取開始完整兼容簽名(StartCompleteCompatibleSignature)和結(jié)束完整兼容簽名(EndCompIeteCompatibleSignature),來驗證完整兼容驗證組件的完整性和兼容性�����。對于肯定的驗證��,需要開始完整兼容簽名和結(jié)束完整兼容簽名都存在����。引導加載器和軟件組件之間的唯一相關(guān)是完整且兼容的塊結(jié)構(gòu)、開始完整兼容簽名和結(jié)束完整兼容簽名����。
開始完整兼容簽名應(yīng)當是由引導加載器已知的定義簽名值。引導加載器應(yīng)知道開始完整兼容簽名所在的存儲器地址��。開始完整兼容簽名的可能值為0x5374617274536967 (ASCII 形式的開始簽名(StartSig))�。OxFFFFFFFFFFFFFFFF 的值不應(yīng)被允許。結(jié)束完整兼容簽名的可能值為0x456e64536976e61 (ASCII形式的結(jié)束符號(EndSigna))��。OxFFFFFFFFFFFFFFFF 的值不應(yīng)被允許�。完整兼容驗證組件可進一步配置為通過檢驗各個另外的軟件組件的各自開始和結(jié)束地址是否正確,來驗證該另外的軟件組件的完整性�����。因此,為了確定是否整個組件存在�����,至少完整兼容驗證組件檢驗各個另外的軟件組件的開始和結(jié)束地址是否正確�。完整兼容驗證組件可以進一步被配置為通過檢驗各個另外的軟件組件的版本號是否正確,來驗證另外的軟件組件的兼容性���。通過檢查版本號����,例如能夠驗證所有另外的軟件組件已使用相同的規(guī)格而創(chuàng)建���?�?蛇x地�,完整兼容驗證組件可進一步被配置為根據(jù)例程控制(RoutineControl)請求消息和對該消息的響應(yīng)���,通過使用例程標識符來驗證另外的軟件組件的兼容性����。完整兼容驗證組件可以進一步被配置為通過計算各個另外的軟件組件的檢驗和(checksum)并將該檢驗和與存儲在相關(guān)聯(lián)存儲器中的參考值相比較�����,來驗證另外的軟件組件的完整性和兼容性����。由于ECU通常期望在20ms至25ms以內(nèi)啟動,所以該檢驗和計算必須執(zhí)行得非?���?臁M暾嫒蒡炞C組件可以進一步被配置為在驗證到另外的軟件組件完整且兼容時�,從相關(guān)聯(lián)存儲器中讀取用于執(zhí)行電子控制單元中的另外的軟件組件的應(yīng)用程序開始地址,并且跳至該應(yīng)用程序開始地址�。本申請還涉及一種用于機動車輛的電子控制單元,其包括如上所述的用于驗證電子控制單元中的軟件組件的完整性和兼容性的裝置����。本發(fā)明還涉及一種用于驗證電子控制單元中的軟件組件的完整性和兼容性的方 法。該方法包括以下步驟在啟動電子控制單元時���,驗證完整兼容驗證組件的完整性和兼容性�,并且在該驗證為肯定時起動完整兼容驗證組件����,以驗證電子控制單元中的另外的軟件組件的完整性和兼容性�。該方法可以進一步包括以下步驟返回表示是否電子控制單元中的所有軟件組件完整且兼容的值�。該方法還可以進一步包括以下步驟通過從存儲在相關(guān)聯(lián)存儲器中的預定存儲器地址讀取開始完整兼容簽名和結(jié)束完整兼容簽名,來驗證完整兼容驗證組件的完整性和兼容性�����,其中�����,對于肯定的驗證�����,需要開始完整兼容簽名和結(jié)束完整兼容簽名均存在��。該方法還可以進一步包括以下步驟通過檢驗各個另外的軟件組件的各自開始和結(jié)束地址是否正確���,來驗證另外的軟件組件的完整性���。此外,該方法可以包括以下步驟通過檢驗各個另外的軟件組件的版本號是否正確����,來驗證另外的軟件組件的兼容性。此外�����,該方法還可以包括以下步驟通過計算各個另外的軟件組件的檢驗和并將該檢驗和與相關(guān)聯(lián)存儲器中的參考值相比較����,來驗證另外的軟件組件的完整性和兼容性。最后���,該方法可以包括以下步驟在驗證另外的軟件組件完整且兼容時���,從相關(guān)聯(lián)存儲器中讀取用于執(zhí)行電子控制單元中的另外的軟件組件的應(yīng)用程序開始地址,并跳至該應(yīng)用程序開始地址����。圖I是示出了根據(jù)本發(fā)明實施方式的用于驗證電子控制單元中的軟件組件的完整性和兼容性的方法的示意性順序圖??梢匀缦旅枋鲈摿鞒涕_始E⑶的啟動,隨之引導加載器讀取開始完整兼容簽名���。此后��,執(zhí)行開始完整兼容簽名是否有效的檢驗���。如果發(fā)現(xiàn)開始完整兼容簽名無效����,則結(jié)束流程���。如果發(fā)現(xiàn)開始完整兼容簽名有效���,則引導加載器讀取結(jié)束完整兼容簽名地址(EndCompIeteCompatibIeSignatureAdress)。一旦已獲得結(jié)束完整兼容簽名地址���,則由引導加載器讀取結(jié)束完整兼容簽名�。此后���,執(zhí)行結(jié)束完整兼容簽名是否有效的檢驗�。如果發(fā)現(xiàn)結(jié)束完整兼容簽名無效�����, 則流程結(jié)束���。如果發(fā)現(xiàn)結(jié)束完整兼容簽名有效��,則調(diào)用完整兼容函數(shù)O(CompleteCompatibleFunction O),即����,起動完整兼容驗證組件����,并將表示是否電子控制單元中的所有軟件組件均完整且兼容的值返回至引導加載器。因此�,如果返回的值表示軟件的任一組件不完整或不兼容,則流程結(jié)束���。S卩���,另外如果由此返回的值表示軟件的所有組件均完整和兼容,則讀取用于執(zhí)行EQJ的另外的軟件組件的應(yīng)用程序開始地址(ApplicationStartAdress)�。最后,執(zhí)行到由此讀取的應(yīng)用程序開始地址的跳轉(zhuǎn)�,并且執(zhí)行E⑶的另外的軟件組件。如果完整兼容驗證組件為間接指令的下載列表�,則該列表可被認為是諸如以下的控制數(shù)據(jù)的表格值YY應(yīng)在地址XX找到;在地址XX和YY之間檢驗和應(yīng)為ZZ ;或者地址XX和YY應(yīng)具有相同的值�����。所有這些都集中在可下載表格中,例如�,對于各操作類型的一個字節(jié)、一個或兩個地址����、預期結(jié)果、如果測試失敗的錯誤碼��,并且針對與相關(guān)執(zhí)行的所有測試重復該表格��。因此���,可以實現(xiàn)可配置控制��。用于驗證一些事件是否被編程的一種方案是如上所述添加開始和停止簽名���。較不完整的可選方案是僅驗證存儲器不是空的/沒有被擦除。更任意的可選方案是針對各個塊來驗證從開始到結(jié)束的檢驗和����。本發(fā)明不限于上述實施方式,但可以在所附權(quán)利要求的范圍內(nèi)改變��。因此,盡管已經(jīng)示出��、描述并且指出了如應(yīng)用于其優(yōu)選實施方式的本發(fā)明的基本新穎特征�,但應(yīng)當理解,本領(lǐng)域技術(shù)人員在可以對所示出的裝置的形式和細節(jié)��、以及對它們的操作進行各種省略��、替換和改變��。例如���,本發(fā)明旨在清楚地表示這些要素的所有組合和/或為實現(xiàn)相同結(jié)果而以基本相同的方式執(zhí)行基本相同的功能的方法步驟均在本發(fā)明的范圍內(nèi)。此外����,應(yīng)當了解,結(jié)合本發(fā)明的任何公開形式或?qū)嵤┓绞剿境龊?或描述的結(jié)構(gòu)和/或要素和/或方法步驟可以以任何其他公開或描述或建議的形式或?qū)嵤┓绞蕉Y(jié)合以作為設(shè)計選擇的一般主題���。因此�,本發(fā)明旨在僅通過由所附權(quán)利要求的范圍所指示的范圍限制�����。
權(quán)利要求
1.一種用于驗證電子控制單元中的軟件組件的完整性和兼容性的裝置,其特征在干�,所述裝置包括 弓I導加載器和完整兼容驗證組件, 其中�,所述引導加載器被配置為在啟動所述電子控制單元時,驗證所述完整兼容驗證組件的完整性和兼容性��,并且在該驗證為肯定時起動所述完整兼容驗證組件�����,其中�,所述完整兼容驗證組件被配置為在其運行時驗證所述電子控制單元中的另外的軟件組件的完整性和兼容性。
2.根據(jù)權(quán)利要求I所述的裝置�,其特征在于,所述完整兼容驗證組件進一歩被配置為將表示是否所述電子控制單元中的所有軟件組件完整且兼容以使得所述電子控制單元能夠以完全操作功能性啟動的值返回至所述引導加載器�����。
3.根據(jù)權(quán)利要求I或2所述的裝置�����,其特征在于�,所述引導加載器被配置為通過從相關(guān)聯(lián)存儲器中的預定存儲器地址讀取開始完整兼容簽名和結(jié)束完整兼容簽名,來驗證所述完整兼容驗證組件的完整性和兼容性���,其中��,對于肯定的驗證���,需要所述開始完整兼容簽名和所述結(jié)束完整兼容簽名均存在���。
4.根據(jù)權(quán)利要求I至3中的任一項所述的裝置,其特征在于����,所述完整兼容驗證組件被配置為通過檢驗各個另外的軟件組件的各自開始和停止地址是否正確,來驗證所述另外的軟件組件的完整性����。
5.根據(jù)權(quán)利要求I至4中的任一項所述的裝置��,其特征在于����,所述完整兼容驗證組件被配置為通過檢驗各個另外的軟件組件的版本號是否正確,來驗證所述另外的軟件組件的兼容性�����。
6.根據(jù)權(quán)利要求I至5中的任一項所述的裝置,其特征在于���,所述完整兼容驗證組件被配置為通過計算各個另外的軟件組件的檢驗和并將所述檢驗和與存儲在相關(guān)聯(lián)存儲器中的參考值相比較���,來驗證所述另外的軟件組件的完整性和兼容性。
7.根據(jù)權(quán)利要求I至6中的任一項所述的裝置�,其特征在于,所述完整兼容驗證組件被配置為在驗證到所述另外的軟件組件完整且兼容時���,從相關(guān)聯(lián)存儲器讀取用于執(zhí)行所述電子控制單元中的所述另外的軟件組件的應(yīng)用程序開始地址���,并且跳至所述應(yīng)用程序開始地址。
8.一種用于機動車輛的電子控制単元��,其特征在于�����,所述電子控制單元包括根據(jù)前述任ー權(quán)利要求的用于驗證所述電子控制單元中的軟件組件的完整性和兼容性的裝置���。
9.一種用于驗證電子控制單元中的軟件組件的完整性和兼容性的方法���,其特征在干�����,所述方法包括以下步驟在啟動所述電子控制單元吋��,驗證完整兼容驗證組件的完整性和兼容性�����,并且在該驗證為肯定時起動所述完整兼容驗證組件以驗證所述電子控制單元中的另外的軟件組件的完整性和兼容性�。
10.根據(jù)權(quán)利要求9所述的方法���,其特征在于���,所述方法進ー步包括以下步驟返回表示是否所述電子控制單元中的所有軟件組件完整且兼容的值。
11.根據(jù)權(quán)利要求9或10所述的方法��,其特征在于����,所述方法進ー步包括以下步驟通過從相關(guān)聯(lián)存儲器中的預定存儲器地址讀取開始完整兼容簽名和結(jié)束完整兼容簽名��,來驗證所述完整兼容驗證組件的完整性和兼容性�����,其中,對于肯定的驗證���,需要所述開始完整兼容簽名和所述結(jié)束完整兼容簽名均存在�����。
12.根據(jù)權(quán)利要求9至11中的任一項所述的方法��,其特征在于�����,所述方法進ー步包括以下步驟通過檢驗各個另外的軟件組件的各自開始和停止地址是否正確��,來驗證所述另外的軟件組件的完整性�。
13.根據(jù)權(quán)利要求9至12中的任一項所述的方法�,其特征在于,所述方法進ー步包括以下步驟通過檢驗各個另外的軟件組件的版本號是否正確��,來驗證所述另外的軟件組件的兼容性��。
14.根據(jù)權(quán)利要求9至13中的任一項所述的方法��,其特征在于,所述方法進ー步包括以下步驟通過計算各個另外的軟件組件的檢驗和并將所述檢驗和與存儲在相關(guān)聯(lián)存儲器中的參考值相比較����,來驗證所述另外的軟件組件的完整性和兼容性。
15.根據(jù)權(quán)利要求9至14中的任一項所述的方法��,其特征在于�����,所述方法進ー步包括以下步驟在驗證到所述另外的軟件組件完整且兼容時����,從相關(guān)聯(lián)存儲器讀取用于執(zhí)行所述電子控制単元中的所述另外的軟件組件的應(yīng)用程序開始地址,并且跳至所述應(yīng)用程序開始地址���。
全文摘要
本發(fā)明涉及完整性和兼容性驗證裝置和方法����,用于驗證電子控制單元(ECU)中的軟件組件的完整性和兼容性����。該裝置包括引導加載器和完整兼容驗證組件����。該引導加載器被配置為在啟動電子控制單元時驗證完整兼容驗證組件的完整性和兼容性�����,并且在該驗證為肯定時起動該完整兼容驗證組件�����。該完整兼容驗證組件被配置為在其運行時驗證電子控制單元中的另外的軟件組件的完整性和兼容性����,并且在該驗證為肯定時執(zhí)行另外的軟件組件���。
文檔編號G06F9/44GK102708044SQ201210054289
公開日2012年10月3日 申請日期2012年3月2日 優(yōu)先權(quán)日2011年3月23日
發(fā)明者托馬斯·約翰松, 芒努斯·佩爾松 申請人:沃爾沃汽車公司