编程认证方法、具有用于执行该编程认证方法的结构的蓄电池以及具有这种蓄电池的机动车.pdf

摘要
申请专利号：	CN201380016434.4	申请日：	2013.01.28
公开号：	CN104205121A	公开日：	2014.12.10
当前法律状态：	实审	有效性：	审中
法律详情：	实质审查的生效IPC(主分类):G06F 21/64申请日:20130128\|\|\|公开
IPC分类号：	G06F21/64; H04L9/08	主分类号：	G06F21/64
申请人：	罗伯特·博世有限公司; 三星SDI株式会社
发明人：	A·伯姆; C·布罗夏奥斯
地址：	德国斯图加特
优先权：	2012.03.28 DE 102012205010.8
专利代理机构：	北京市金杜律师事务所 11256	代理人：	郑立柱
PDF下载：	PDF下载

内容摘要

本发明涉及一种编程认证方法，与用于执行该编程认证方法的结构相连接的蓄电池以及一种具有这种蓄电池的机动车，该方法尤其能够使用于对控制装置的并行的受保护的编程。在此提供一种编程认证方法，其中，由第一数据处理装置对该至少两个第二数据处理装置编程。在该编程认证方法中由该至少两个第二数据处理装置分别向该第一数据处理装置发送第一认证信息，根据多个第一认证信息分别产生第二认证信息且向该至少两个第二数据处理装置传送该第二认证信息。在校验该第二认证信息之后分别由该至少两个第二数据处理装置对该至少两个第二数据处理装置进行编程。其中规定，由该第一数据处理装置通过一次性发送一起向该至少两个第二数据处理装置传送该至少两个第二认证信息。

权利要求书

1.  编程认证方法，其中，由第一数据处理装置对至少两个第二数据处理装置编程，并且其中，由所述至少两个第二数据处理装置分别向所述第一数据处理装置发送第一认证信息，根据多个所述第一认证信息分别产生第二认证信息并且向所述至少两个第二数据处理装置传送所述第二认证信息，并且在校验多个所述第二认证信息后分别由所述至少两个第二数据处理装置实施对所述至少两个第二数据处理装置的编程，其特征在于，至少两个所述第二认证信息由所述第一数据处理装置通过一次性发送一起向所述至少两个第二数据处理装置传送。

2.  根据权利要求1所述的编程认证方法，其中，通过所述一次性发送与所述至少两个第二认证信息一起地传送用于对所述至少两个第二数据处理装置进行编程的数据。

3.  根据权利要求1或2所述的编程认证方法，其中，向所述第一数据处理装置传送的多个所述第一认证信息用于对所述至少两个第二数据处理装置的多个后续的编程。

4.  根据前述权利要求中任一项所述的编程认证方法，其中，通过对用于编程的数据的特征进行加密来产生多个所述第二认证消息中的至少一部分。

5.  根据权利要求4所述的编程认证方法，其中，用于所述至少两个第二数据处理装置的至少一部分的多个所述第一认证信息相互不同并且通过多个不同的第一认证信息加密所述用于编程的数据。

6.  根据前述权利要求中任一项所述的编程认证方法，其中，所述至少两个第二数据处理装置的至少一部分接收所述用于编程的数据、以其自身的第一认证消息进行加密的所述用于编程的数据的特征和以所述至少两个第二数据处理装置中的另一个的多个所述第一认证消息进行加密的用于所述编程的数据的特征，以及在校验以其自身的第一认证消息进行加密的所述特征后实施对相应的多个所述第二数据处理装置的编程。

7.  根据前述权利要求中任一项所述的编程认证方法，其中，所述至少两个第二数据处理装置是相同的数据处理装置。

8.  根据前述权利要求中任一项所述的编程认证方法，其中，所述第一数据处理装置是蓄电池系统的控制装置和/或所述至少两个第二数据处理装置是对应于用于获取多个蓄电池单池的测量数据的多个传感器的多个控制装置。

9.  蓄电池，所述蓄电池与结构相连接，其中，所述结构包括第一数据处理装置和至少两个第二数据处理装置，并且其中，所述结构如此设置，以执行根据权利要求1到8中任一项所述的编程认证方法。

10.  机动车，其具有用于驱动所述机动车的电驱动发动机以及与所述电驱动发动机相连接的或者可连接的根据权利要求9所述的蓄电池。

说明书

编程认证方法、具有用于执行该编程认证方法的结构的蓄电池以及具有这种蓄电池的机动车
技术领域
本发明涉及一种编程认证方法、一种与用于执行该编程认证方法的结构相连接的蓄电池以及一种具有这种蓄电池的机动车，该方法尤其能够用于控制装置的并行的受保护的编程。
背景技术
在对控制装置闪存编程时为了安全通常使用一种所谓的请求-响应方法(质询-回应方法)，以避免未经授权的人获取在该控制装置的闪存上的写访问，以有可能在那里引入自身的代码：
-一种数据处理装置，例如一种所谓的测试仪，由待编程的控制装置请求所谓的种子(seed)x，例如n个字节的随机数，
-该待编程的控制装置向该测试仪发送种子x，
-该测试仪根据该种子x通过函数f(x)计算所谓的密匙(密码)，
-该待编程的控制装置根据该种子x通过f(x)同样计算所属的密匙，其中在测量仪上和在该待编程的控制装置上该函数f(x)是相同的，
-该测量仪向该待编程的控制装置发送该密匙，
-当向该待编程的控制装置发送的密匙与在该待编程的控制装置上计算的密匙一致时，该测量仪被授权，以对该控制装置编程。
该待编程的控制装置对在其闪存上的写访问解锁。
在蓄电池组、例如用于电动车的蓄电池组中通常使用中央的控制装置102，该中央的控制装置102协调一定数量n的下属控制装置 104-1、104-2、...、104-n。该下属控制装置104-1、104-2、...、104-n获取接近多个蓄电池单池106-1、106-2、...、106-n处的测量数据，如单池电压和/或单池温度等。该中央的控制装置102和该下属控制装置104-1、104-2、...、104-n通过通信总线108连接，例如CAN总线。
在对多个控制装置闪存编程时必须对每个控制装置执行上述方法(参见图2)。以相同的程序代码对多个相似的下属控制装置(目标装置)104-1、104-2、...、104-n安全并行地编程202，而不需要事先协商204-1、204-2、...、204-n与每个目标装置104-1、104-2、...、104-n的种子/密匙是不可能的。
当在控制装置连接中存在多个相似的以相同的软件运行的控制装置时，如在具有一个主控制装置和多个下属传感控制装置的蓄电池管理系统中的情况，那么根据现有技术没有实施并行地编程并同时保护闪存过程以防止未授权的访问的已知的方法。
根据欧洲专利文献EP 1 055 938 B1已经已知了一种具有至少两个控制单元的控制装置，其中用于对该至少两个控制单元编程的数据同时向该至少两个控制单元传送。然而在根据EP 1 055 983 B1的方法中该编程未被保护。
根据公开文本DE 199 50 159 A1已知了一种用于对微控制器编程的方法。该方案还提出了一种未保护的对微控制器的存储区的编程，其中该设置用于编程的中间存储器的使用数据同时被传送到该微控制器的待编程的存储器范围。
发明内容
发明的一个主要优点在于，由并行的、受保护的编程代替对多个目标控制装置的串行编程，这导致编程过程极大地加速了例如因子“待编程的控制装置的数目”。这由此实现，通过根据本发明由第一数据处理装置对至少两个第二数据处理装置编程，并且其中，由至少两个第二数据处理装置分别向该第一数据处理装置发送第一认证信息。该第一数据处理装置能够是例如中央的控制装置，尤其是车辆的蓄电池管理系统的主控制装置。该至少两个第二数据处理装置例如是控制装置，其隶属于第一数据处理装置。在一个优选的实施方式中设置，该至少两个第二数据处理装置是蓄电池管理系统的传感控制装置。由这样的传感控制装置能够采集例如蓄电池单池的测量数据。
优选地由该至少两个第二数据处理装置发送的第一认证信息是非对称加密方法的公匙，例如是在请求-响应方法中使用的种子。
优选地根据多个第一认证信息通过该第一数据处理装置分别产生第二认证信息以及向该至少两个第二数据处理装置传送该第二认证信息。由该至少两个第二数据处理装置中的每个执行以下内容：
校验该第二认证信息，该第二认证信息根据由相应的第二数据处理装置发送的第一认证信息产生，并且对相应的第二数据处理装置根据该校验的结果编程。
根据本发明进一步设置，由该第一数据处理装置通过一次性发送向该至少两个第二数据处理装置一起发送该至少两个第二认证信息。优选地该至少两个第二认证信息由该第一数据处理装置以数据流的形式同时向该至少两个第二数据处理装置传送。在一个优选的实施方式中设置，根据广播方法实现该传送。
在另一优选的实施方式中设置，由该第一数据处理装置向该至少两个第二数据处理装置实现相同的询问，优选地同时以广播方法，以请求多个第一认证信息。替代方案也能够以单个数据流的形式串行地向该至少两个第二数据处理装置中的每个实现该询问。
另一优选的实施方式规定，通过一次性发送将用于对该至少两个第二数据处理装置编程的数据与至少两个第二认证信息一起发送。
另一优选的实施方式还规定，由该至少两个第二数据处理装置通过该第一数据处理装置一次性请求该至少两个第一认证信息。优选地由该至少两个第二数据处理装置接收的第一认证信息永久地储存在存储区，该第一数据处理装置在该存储区上具有访问权。这具有以下优点，即在应当对该至少两个第二数据处理装置编程时，不必每次重新请求该第一认证信息。相反地当该至少两个第二数据处理装置应被重新编程时，该永久储存的第一认证信息被该第一数据处理装置使用，以产生该至少两个第二认证信息。通过这种方式能够对该至少两个第二数据处理装置进行多次(重新)编程，而不需要由该至少两个第二数据处理装置事先明确请求该第一认证信息。
另一优选的实施方式规定，通过对用于编程的数据的特征加密，产生该至少两个第二认证信息的至少部分、优选地为全部。该特征能够是关于用于编程的数据的校验和。优选地该第一认证信息被用作(公开的)密匙。当该特征以所有至少两个第二认证信息加密时，表明其是有利的。在一个优选的实施方式中规定，该至少两个第二数据处理装置的至少一部分具有不同的第一认证信息且向第一数据处理装置发送该第一认证信息。向该至少两个第二数据处理装置传送所产生的至少两个第二认证信息。在接收该至少两个第二认证信息后该至少两个第二数据处理装置通过(私有)密匙对所接收的的第二认证信息解密。当所接收的多个第二认证信息中的一个，尤其是用于编程的数据的特征能够被校验时，则意味着对相应的第二数据处理装置的编程是可靠的，且执行该编程。
当该至少两个第二数据处理装置是相似的或者相同的数据处理装置和/或用于为该至少两个第二数据处理装置中的每个进行编程的数据是相同的数据时，这表示是有利的。
本发明的另一个方面涉及一种蓄电池，该蓄电池与结构相连接，其中，该结构包括第一数据处理装置和至少两个第二数据处理装置，并且其中，该结构如此设置，以执行编程认证方法，其中，由该第一数据处理装置对该至少两个第二数据处理装置编程，并且其中，由该至少两个第二数据处理装置分别向该第一数据处理装置发送第一认证信息，根据多个第一认证信息分别产生第二认证信息并且向该至少两个第二数据处理装置传送该第二认证信息，并且在校验该第二认证信息后分别通过该至少两个第二数据处理装置实施对该至少两个第二数据处理装置的编程。其中根据本发明规定，由该第一数据处理装置向该至少两个第二数据处理装置通过一次性发送一起传送该至少两个第二认证信息。优选地该蓄电池是锂离子蓄电池或者该蓄电池包括由锂离子蓄电池单池构造的电化学单池。该结构能够是例如蓄电池管理系统，或者该结构能够集成在蓄电池管理系统中。
本发明的另一个方面涉及一种具有用于驱动机动车的电驱动发动机以及与该电驱动发动机相连接或者可连接的根据前文中所述的发明主题的蓄电池的车辆。但是该蓄电池不限于这种使用目的，而是也能够使用在其他的电气系统中。
本发明的一个重要方面在于，控制装置或者测试仪的广播方法中仅有唯一的数据流向下属的、优选地是相似的控制装置、例如在电动车中使用的传感控制装置发送。对所有的目标装置并行编程，其中根据本发明的方法确保，通过传送加密的校验和，没有未经授权的人能够向该控制装置中引入自身编程代码，例如用于整定组件。在校验该校验和后在目标装置中该方法将该软件标记为“认证的”并执行该新的软件。在发送错误的校验和时，例如由未授权的第三方，在该目标控制装置中不执行该软件。因此试图在目标控制装置中对自身的软件进行编程的未经授权的第三方，在不了解加密方法的情况下不能够生成被该目标控制装置接受的有效的加密的校验和。因此未经授权的软件不被标记为“有效的”且不被执行。
因此本发明具有以下优点：
-通过对相似的多个控制装置，例如多个传感控制装置并行编程，在闪存编程时实现加速。
-因为仅仅一次性地同时向所有的控制装置发送闪存编程数据，所以相对于串行的闪存编程来说能够实现更快的闪存，此外，在闪存编程时待传送的数据量减少。
-通过使用加密的校验和保护该闪存过程，并且防止未经授权的人引入其自身的编程代码。
-使用来自非对称加密(公匙加密)的领域的被证明的和流行的加密算法。
-能够选择加密的强度，这在调整加密所需的已有资源的计算消耗时是尤其有利的。
在从属权利要求中说明并在说明书中描述本发明的有利的改进。
附图说明
根据附图和以下说明书进一步阐述本发明的实施例。其中：
图1示出了蓄电池管理系统的示意图；
图2示出了具有根据现有技术的前述单个请求-响应方法的串行的闪存编程的示图；以及
图3示出了通过广播通信的示例性的闪存编程的示意图。
具体实施方式
类似于种子-密匙方法(种子&密匙方法)在本发明的示例性的实施方式中
-传送种子——在此为公匙，以及
-计算并传送密匙，在示例性的实施方式中该密匙至少包括用于编程的数据的以该种子加密的校验。
在此本发明不限于该具体的实施例。相反地本发明中还能够使用其他的认证方法，例如尤其是各非对称的加密。此外，虽然以具有中央的控制装置和多个传感控制装置的蓄电池管理系统的示例阐述本发明。然而本发明还包括对每个数据处理装置并行地安全地编程，只要该编程认证方法满足每个从属权利要求的所有特征。
首先应当以通过控制装置或者测试仪对目标控制装置编程的示例从原理上阐述用于对控制装置编程的方法。
待编程的目标控制装置使用固定的私匙和固定的公匙。该公匙由编程的控制装置/测试仪询问且之后由待编程的目标控制装置向编程的控制装置/测试仪发送。该编程的控制装置计算关于待闪存的软件的校验和并且以该目标控制装置的公匙对该校验和加密。为此所有已知的加密方法能够在公钥加密的情况下使用。然后，与该加密的校验和一起向该目标控制装置发送该待闪存的软件。借助于私匙该目标控制装置对该校验和解密并且将该校验和与其自身计算的关于所接收的软件数据的校验和比较。如果两个校验和一致，在该目标控制装置上将该软件标记为“有效的”且执行该软件。反之则阻止执行。
在本发明的一个示例性的实施方式中多个目标控制装置104-1、104-2、…、104-n(例如数量为n的目标控制装置104-1、104-2、…、104-n)，例如多个相似的传感控制装置，由中央的控制装置102，例如蓄电池控制装置，或者由测试仪110协调，尤其是编程。例如由该传感控制装置能够采集测试数据，如蓄电池单池106-1、106-2、…、106-n的温度、电压等。
每个待编程的目标控制装置104-1、104-2、…、104-n具有固定的私匙和公匙。该公匙由该编程的中央的控制装置102/测试仪110询问且然后由该待编程的目标控制装置104-1、104-2、…、104-n向该中央的控制装置102或者测试仪110发送。该编程的中央的控制装置102计算关于该待闪存的软件302的校验和并且分别以目标控制装置104-1、104-2、…、104-n的公匙对该校验和进行加密。由此产生n个加密的校验和304-1、304-2、…、304-n。该编程的中央的控制装置102或者测试仪110向所有n个待编程的目标控制装置104-1、104-2、…、104-n以数据流的形式同时发送该编程数据306，即该待闪存的软件302与该n个加密的校验和304-1、304-2、…、304-n一起(参见图3)。每个目标控制装置104-1、104-2、…、104-n使用私匙解密为其确定的的校验和且将该校验和与其自身计算的关于软件302的校验和进行比较。(该与所涉及的目标控制装置无关的加密的校验和，在图3中以阴影表示。)如果两个校验和一致，则在该目标控制装置上将该软件标记为“有效的”且执行该软件。否则阻止执行。优选地在闪存编程后分别检验，所有目标控制装置104-1、104-2、…、104-n中的闪存编程是否成功。
在另一个示例性的实施方式中设置用于闪存编程的快速方法。如果该编程一直使用相同的中央的控制装置102，例如与在具有主控制装置和多个传感控制装置的蓄电池管理系统的情况一样，则在第一加速阶段训练该中央的控制装置102。由所有下属目标控制装置104-1、104-2、…、104-n询问其公匙并将其永久地储存在其本身的闪存中。由此在每次闪存过程之前取消交换公匙。如果更换下属目标控制装置104-i(i＝1，2，…，n)，这在蓄电池系统中很少发生，并且其具有其他的公匙，那么具有与此有关的私匙的校验和解密失败。该下属目标控制装置104-i(i＝1，2，…，n)将该失败报告给中央的编程的控制装置102，该中央的编程的控制装置102接着重新请求该公匙(“训练”)。
为了对该目标控制装置104-1、104-2、…、104-n编程，该中央的控制装置102或者该测试仪110向所有n个待编程的目标控制装置104-1、104-2、…、104-n以数据流的形式同时发送与该n个加密的校验和304-1、304-2、…、304-3一起的待闪存的软件302(参见图3)。每个目标控制装置104-1、104-2、…、104-n通过私匙对为其确定的校验和解密并将该校验和与其自身计算的关于该软件302的校验和比较。如果这两个校验和一致，则在该目标控制装置上将该软件标记为“有效的”并且执行该软件。否则阻止执行。
关于该常规的方法本发明的特征尤其在于，由该中央的控制装置102向该下属的目标控制装置104-1、104-2、…、104-n的通信以广播方法实现。因此对每个目标控制装置104-1、104-2、…、104-n来说单个数据流是必要的。该编程的控制装置102发送所有加密的校验和304-1、304-2、…、304-n且通过广播向所有的目标控制装置104-1、104-2、…、104-n发送该待闪存的软件302，这些目标控制装置104-1、104-2、…、104-n仅仅解密为其确定的校验和。因为不必与每个目标控制装置104-1、104-2、…、104-n分别协商，因此该通过广播的发送大大简化了通信。
因此本发明提供了一种方法，其中以单个数据流的形式由主控制装置将用于编程的数据(闪存数据)传送给所有下属的控制装置且同时确保，没有未经授权的人获取在控制装置的闪存上的访问，以在那里引入任何修改了的软件代码。
通过该并行编程，对下属控制装置的闪存过程相比于控制装置的串行闪存基本上加速了一个因子“待闪存的控制装置的数目”。
根据本发明的方法基于具有公匙(公钥加密)的非对称加密措施，其中用户以公开的(已知的)密匙加密消息，该消息仅仅能够由接收者以其私密的(私人的)密匙解密。
本发明的实施方式不限于前述说明的优选实施例。相反地能够想象多个变型方案，其使用根据本发明的方法、根据本发明的蓄电池和根据本发明的机动车，也在基本不同类型的实施中使用。

资源描述

《编程认证方法、具有用于执行该编程认证方法的结构的蓄电池以及具有这种蓄电池的机动车.pdf》由会员分享，可在线阅读，更多相关《编程认证方法、具有用于执行该编程认证方法的结构的蓄电池以及具有这种蓄电池的机动车.pdf（9页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104205121A43申请公布日20141210CN104205121A21申请号201380016434422申请日20130128102012205010820120328DEG06F21/64200601H04L9/0820060171申请人罗伯特博世有限公司地址德国斯图加特申请人三星SDI株式会社72发明人A伯姆C布罗夏奥斯74专利代理机构北京市金杜律师事务所11256代理人郑立柱54发明名称编程认证方法、具有用于执行该编程认证方法的结构的蓄电池以及具有这种蓄电池的机动车57摘要本发明涉及一种编程认证方法，与用于执行该编程认证方法的结构相连接的蓄电池以及一种具有这种。

2、蓄电池的机动车，该方法尤其能够使用于对控制装置的并行的受保护的编程。在此提供一种编程认证方法，其中，由第一数据处理装置对该至少两个第二数据处理装置编程。在该编程认证方法中由该至少两个第二数据处理装置分别向该第一数据处理装置发送第一认证信息，根据多个第一认证信息分别产生第二认证信息且向该至少两个第二数据处理装置传送该第二认证信息。在校验该第二认证信息之后分别由该至少两个第二数据处理装置对该至少两个第二数据处理装置进行编程。其中规定，由该第一数据处理装置通过一次性发送一起向该至少两个第二数据处理装置传送该至少两个第二认证信息。30优先权数据85PCT国际申请进入国家阶段日2014092586PCT。

3、国际申请的申请数据PCT/EP2013/0515702013012887PCT国际申请的公布数据WO2013/143717DE2013100351INTCL权利要求书1页说明书5页附图2页19中华人民共和国国家知识产权局12发明专利申请权利要求书1页说明书5页附图2页10申请公布号CN104205121ACN104205121A1/1页21编程认证方法，其中，由第一数据处理装置对至少两个第二数据处理装置编程，并且其中，由所述至少两个第二数据处理装置分别向所述第一数据处理装置发送第一认证信息，根据多个所述第一认证信息分别产生第二认证信息并且向所述至少两个第二数据处理装置传送所述第二认证信息，并且。

4、在校验多个所述第二认证信息后分别由所述至少两个第二数据处理装置实施对所述至少两个第二数据处理装置的编程，其特征在于，至少两个所述第二认证信息由所述第一数据处理装置通过一次性发送一起向所述至少两个第二数据处理装置传送。2根据权利要求1所述的编程认证方法，其中，通过所述一次性发送与所述至少两个第二认证信息一起地传送用于对所述至少两个第二数据处理装置进行编程的数据。3根据权利要求1或2所述的编程认证方法，其中，向所述第一数据处理装置传送的多个所述第一认证信息用于对所述至少两个第二数据处理装置的多个后续的编程。4根据前述权利要求中任一项所述的编程认证方法，其中，通过对用于编程的数据的特征进行加密来产生。

5、多个所述第二认证消息中的至少一部分。5根据权利要求4所述的编程认证方法，其中，用于所述至少两个第二数据处理装置的至少一部分的多个所述第一认证信息相互不同并且通过多个不同的第一认证信息加密所述用于编程的数据。6根据前述权利要求中任一项所述的编程认证方法，其中，所述至少两个第二数据处理装置的至少一部分接收所述用于编程的数据、以其自身的第一认证消息进行加密的所述用于编程的数据的特征和以所述至少两个第二数据处理装置中的另一个的多个所述第一认证消息进行加密的用于所述编程的数据的特征，以及在校验以其自身的第一认证消息进行加密的所述特征后实施对相应的多个所述第二数据处理装置的编程。7根据前述权利要求中任一项。

6、所述的编程认证方法，其中，所述至少两个第二数据处理装置是相同的数据处理装置。8根据前述权利要求中任一项所述的编程认证方法，其中，所述第一数据处理装置是蓄电池系统的控制装置和/或所述至少两个第二数据处理装置是对应于用于获取多个蓄电池单池的测量数据的多个传感器的多个控制装置。9蓄电池，所述蓄电池与结构相连接，其中，所述结构包括第一数据处理装置和至少两个第二数据处理装置，并且其中，所述结构如此设置，以执行根据权利要求1到8中任一项所述的编程认证方法。10机动车，其具有用于驱动所述机动车的电驱动发动机以及与所述电驱动发动机相连接的或者可连接的根据权利要求9所述的蓄电池。权利要求书CN104205121。

7、A1/5页3编程认证方法、具有用于执行该编程认证方法的结构的蓄电池以及具有这种蓄电池的机动车技术领域0001本发明涉及一种编程认证方法、一种与用于执行该编程认证方法的结构相连接的蓄电池以及一种具有这种蓄电池的机动车，该方法尤其能够用于控制装置的并行的受保护的编程。背景技术0002在对控制装置闪存编程时为了安全通常使用一种所谓的请求响应方法质询回应方法，以避免未经授权的人获取在该控制装置的闪存上的写访问，以有可能在那里引入自身的代码0003一种数据处理装置，例如一种所谓的测试仪，由待编程的控制装置请求所谓的种子SEEDX，例如N个字节的随机数，0004该待编程的控制装置向该测试仪发送种子X，00。

8、05该测试仪根据该种子X通过函数FX计算所谓的密匙密码，0006该待编程的控制装置根据该种子X通过FX同样计算所属的密匙，其中在测量仪上和在该待编程的控制装置上该函数FX是相同的，0007该测量仪向该待编程的控制装置发送该密匙，0008当向该待编程的控制装置发送的密匙与在该待编程的控制装置上计算的密匙一致时，该测量仪被授权，以对该控制装置编程。0009该待编程的控制装置对在其闪存上的写访问解锁。0010在蓄电池组、例如用于电动车的蓄电池组中通常使用中央的控制装置102，该中央的控制装置102协调一定数量N的下属控制装置1041、1042、104N。该下属控制装置1041、1042、104N获取。

9、接近多个蓄电池单池1061、1062、106N处的测量数据，如单池电压和/或单池温度等。该中央的控制装置102和该下属控制装置1041、1042、104N通过通信总线108连接，例如CAN总线。0011在对多个控制装置闪存编程时必须对每个控制装置执行上述方法参见图2。以相同的程序代码对多个相似的下属控制装置目标装置1041、1042、104N安全并行地编程202，而不需要事先协商2041、2042、204N与每个目标装置1041、1042、104N的种子/密匙是不可能的。0012当在控制装置连接中存在多个相似的以相同的软件运行的控制装置时，如在具有一个主控制装置和多个下属传感控制装置的蓄电池管。

10、理系统中的情况，那么根据现有技术没有实施并行地编程并同时保护闪存过程以防止未授权的访问的已知的方法。0013根据欧洲专利文献EP1055938B1已经已知了一种具有至少两个控制单元的控制装置，其中用于对该至少两个控制单元编程的数据同时向该至少两个控制单元传送。然而在根据EP1055983B1的方法中该编程未被保护。0014根据公开文本DE19950159A1已知了一种用于对微控制器编程的方法。该方说明书CN104205121A2/5页4案还提出了一种未保护的对微控制器的存储区的编程，其中该设置用于编程的中间存储器的使用数据同时被传送到该微控制器的待编程的存储器范围。发明内容0015发明的一个主。

11、要优点在于，由并行的、受保护的编程代替对多个目标控制装置的串行编程，这导致编程过程极大地加速了例如因子“待编程的控制装置的数目”。这由此实现，通过根据本发明由第一数据处理装置对至少两个第二数据处理装置编程，并且其中，由至少两个第二数据处理装置分别向该第一数据处理装置发送第一认证信息。该第一数据处理装置能够是例如中央的控制装置，尤其是车辆的蓄电池管理系统的主控制装置。该至少两个第二数据处理装置例如是控制装置，其隶属于第一数据处理装置。在一个优选的实施方式中设置，该至少两个第二数据处理装置是蓄电池管理系统的传感控制装置。由这样的传感控制装置能够采集例如蓄电池单池的测量数据。0016优选地由该至少两。

12、个第二数据处理装置发送的第一认证信息是非对称加密方法的公匙，例如是在请求响应方法中使用的种子。0017优选地根据多个第一认证信息通过该第一数据处理装置分别产生第二认证信息以及向该至少两个第二数据处理装置传送该第二认证信息。由该至少两个第二数据处理装置中的每个执行以下内容0018校验该第二认证信息，该第二认证信息根据由相应的第二数据处理装置发送的第一认证信息产生，并且对相应的第二数据处理装置根据该校验的结果编程。0019根据本发明进一步设置，由该第一数据处理装置通过一次性发送向该至少两个第二数据处理装置一起发送该至少两个第二认证信息。优选地该至少两个第二认证信息由该第一数据处理装置以数据流的形式。

13、同时向该至少两个第二数据处理装置传送。在一个优选的实施方式中设置，根据广播方法实现该传送。0020在另一优选的实施方式中设置，由该第一数据处理装置向该至少两个第二数据处理装置实现相同的询问，优选地同时以广播方法，以请求多个第一认证信息。替代方案也能够以单个数据流的形式串行地向该至少两个第二数据处理装置中的每个实现该询问。0021另一优选的实施方式规定，通过一次性发送将用于对该至少两个第二数据处理装置编程的数据与至少两个第二认证信息一起发送。0022另一优选的实施方式还规定，由该至少两个第二数据处理装置通过该第一数据处理装置一次性请求该至少两个第一认证信息。优选地由该至少两个第二数据处理装置接收。

14、的第一认证信息永久地储存在存储区，该第一数据处理装置在该存储区上具有访问权。这具有以下优点，即在应当对该至少两个第二数据处理装置编程时，不必每次重新请求该第一认证信息。相反地当该至少两个第二数据处理装置应被重新编程时，该永久储存的第一认证信息被该第一数据处理装置使用，以产生该至少两个第二认证信息。通过这种方式能够对该至少两个第二数据处理装置进行多次重新编程，而不需要由该至少两个第二数据处理装置事先明确请求该第一认证信息。0023另一优选的实施方式规定，通过对用于编程的数据的特征加密，产生该至少两个第二认证信息的至少部分、优选地为全部。该特征能够是关于用于编程的数据的校验和。优选地该第一认证信息。

15、被用作公开的密匙。当该特征以所有至少两个第二认证信息加密说明书CN104205121A3/5页5时，表明其是有利的。在一个优选的实施方式中规定，该至少两个第二数据处理装置的至少一部分具有不同的第一认证信息且向第一数据处理装置发送该第一认证信息。向该至少两个第二数据处理装置传送所产生的至少两个第二认证信息。在接收该至少两个第二认证信息后该至少两个第二数据处理装置通过私有密匙对所接收的的第二认证信息解密。当所接收的多个第二认证信息中的一个，尤其是用于编程的数据的特征能够被校验时，则意味着对相应的第二数据处理装置的编程是可靠的，且执行该编程。0024当该至少两个第二数据处理装置是相似的或者相同的数据。

16、处理装置和/或用于为该至少两个第二数据处理装置中的每个进行编程的数据是相同的数据时，这表示是有利的。0025本发明的另一个方面涉及一种蓄电池，该蓄电池与结构相连接，其中，该结构包括第一数据处理装置和至少两个第二数据处理装置，并且其中，该结构如此设置，以执行编程认证方法，其中，由该第一数据处理装置对该至少两个第二数据处理装置编程，并且其中，由该至少两个第二数据处理装置分别向该第一数据处理装置发送第一认证信息，根据多个第一认证信息分别产生第二认证信息并且向该至少两个第二数据处理装置传送该第二认证信息，并且在校验该第二认证信息后分别通过该至少两个第二数据处理装置实施对该至少两个第二数据处理装置的编程。

17、。其中根据本发明规定，由该第一数据处理装置向该至少两个第二数据处理装置通过一次性发送一起传送该至少两个第二认证信息。优选地该蓄电池是锂离子蓄电池或者该蓄电池包括由锂离子蓄电池单池构造的电化学单池。该结构能够是例如蓄电池管理系统，或者该结构能够集成在蓄电池管理系统中。0026本发明的另一个方面涉及一种具有用于驱动机动车的电驱动发动机以及与该电驱动发动机相连接或者可连接的根据前文中所述的发明主题的蓄电池的车辆。但是该蓄电池不限于这种使用目的，而是也能够使用在其他的电气系统中。0027本发明的一个重要方面在于，控制装置或者测试仪的广播方法中仅有唯一的数据流向下属的、优选地是相似的控制装置、例如在电动。

18、车中使用的传感控制装置发送。对所有的目标装置并行编程，其中根据本发明的方法确保，通过传送加密的校验和，没有未经授权的人能够向该控制装置中引入自身编程代码，例如用于整定组件。在校验该校验和后在目标装置中该方法将该软件标记为“认证的”并执行该新的软件。在发送错误的校验和时，例如由未授权的第三方，在该目标控制装置中不执行该软件。因此试图在目标控制装置中对自身的软件进行编程的未经授权的第三方，在不了解加密方法的情况下不能够生成被该目标控制装置接受的有效的加密的校验和。因此未经授权的软件不被标记为“有效的”且不被执行。0028因此本发明具有以下优点0029通过对相似的多个控制装置，例如多个传感控制装置并。

19、行编程，在闪存编程时实现加速。0030因为仅仅一次性地同时向所有的控制装置发送闪存编程数据，所以相对于串行的闪存编程来说能够实现更快的闪存，此外，在闪存编程时待传送的数据量减少。0031通过使用加密的校验和保护该闪存过程，并且防止未经授权的人引入其自身的编程代码。0032使用来自非对称加密公匙加密的领域的被证明的和流行的加密算法。说明书CN104205121A4/5页60033能够选择加密的强度，这在调整加密所需的已有资源的计算消耗时是尤其有利的。0034在从属权利要求中说明并在说明书中描述本发明的有利的改进。附图说明0035根据附图和以下说明书进一步阐述本发明的实施例。其中0036图1示出了。

20、蓄电池管理系统的示意图；0037图2示出了具有根据现有技术的前述单个请求响应方法的串行的闪存编程的示图；以及0038图3示出了通过广播通信的示例性的闪存编程的示意图。具体实施方式0039类似于种子密匙方法种子密匙方法在本发明的示例性的实施方式中0040传送种子在此为公匙，以及0041计算并传送密匙，在示例性的实施方式中该密匙至少包括用于编程的数据的以该种子加密的校验。0042在此本发明不限于该具体的实施例。相反地本发明中还能够使用其他的认证方法，例如尤其是各非对称的加密。此外，虽然以具有中央的控制装置和多个传感控制装置的蓄电池管理系统的示例阐述本发明。然而本发明还包括对每个数据处理装置并行地安。

21、全地编程，只要该编程认证方法满足每个从属权利要求的所有特征。0043首先应当以通过控制装置或者测试仪对目标控制装置编程的示例从原理上阐述用于对控制装置编程的方法。0044待编程的目标控制装置使用固定的私匙和固定的公匙。该公匙由编程的控制装置/测试仪询问且之后由待编程的目标控制装置向编程的控制装置/测试仪发送。该编程的控制装置计算关于待闪存的软件的校验和并且以该目标控制装置的公匙对该校验和加密。为此所有已知的加密方法能够在公钥加密的情况下使用。然后，与该加密的校验和一起向该目标控制装置发送该待闪存的软件。借助于私匙该目标控制装置对该校验和解密并且将该校验和与其自身计算的关于所接收的软件数据的校验。

22、和比较。如果两个校验和一致，在该目标控制装置上将该软件标记为“有效的”且执行该软件。反之则阻止执行。0045在本发明的一个示例性的实施方式中多个目标控制装置1041、1042、104N例如数量为N的目标控制装置1041、1042、104N，例如多个相似的传感控制装置，由中央的控制装置102，例如蓄电池控制装置，或者由测试仪110协调，尤其是编程。例如由该传感控制装置能够采集测试数据，如蓄电池单池1061、1062、106N的温度、电压等。0046每个待编程的目标控制装置1041、1042、104N具有固定的私匙和公匙。该公匙由该编程的中央的控制装置102/测试仪110询问且然后由该待编程的目标。

23、控制装置1041、1042、104N向该中央的控制装置102或者测试仪110发送。该编程的中央的控制装置102计算关于该待闪存的软件302的校验和并且分别以目标控制装置1041、1042、104N的公匙对该校验和进行加密。由此产生N个加密的校验和3041、说明书CN104205121A5/5页73042、304N。该编程的中央的控制装置102或者测试仪110向所有N个待编程的目标控制装置1041、1042、104N以数据流的形式同时发送该编程数据306，即该待闪存的软件302与该N个加密的校验和3041、3042、304N一起参见图3。每个目标控制装置1041、1042、104N使用私匙解密为。

24、其确定的的校验和且将该校验和与其自身计算的关于软件302的校验和进行比较。该与所涉及的目标控制装置无关的加密的校验和，在图3中以阴影表示。如果两个校验和一致，则在该目标控制装置上将该软件标记为“有效的”且执行该软件。否则阻止执行。优选地在闪存编程后分别检验，所有目标控制装置1041、1042、104N中的闪存编程是否成功。0047在另一个示例性的实施方式中设置用于闪存编程的快速方法。如果该编程一直使用相同的中央的控制装置102，例如与在具有主控制装置和多个传感控制装置的蓄电池管理系统的情况一样，则在第一加速阶段训练该中央的控制装置102。由所有下属目标控制装置1041、1042、104N询问其。

25、公匙并将其永久地储存在其本身的闪存中。由此在每次闪存过程之前取消交换公匙。如果更换下属目标控制装置104II1，2，N，这在蓄电池系统中很少发生，并且其具有其他的公匙，那么具有与此有关的私匙的校验和解密失败。该下属目标控制装置104II1，2，N将该失败报告给中央的编程的控制装置102，该中央的编程的控制装置102接着重新请求该公匙“训练”。0048为了对该目标控制装置1041、1042、104N编程，该中央的控制装置102或者该测试仪110向所有N个待编程的目标控制装置1041、1042、104N以数据流的形式同时发送与该N个加密的校验和3041、3042、3043一起的待闪存的软件302参。

26、见图3。每个目标控制装置1041、1042、104N通过私匙对为其确定的校验和解密并将该校验和与其自身计算的关于该软件302的校验和比较。如果这两个校验和一致，则在该目标控制装置上将该软件标记为“有效的”并且执行该软件。否则阻止执行。0049关于该常规的方法本发明的特征尤其在于，由该中央的控制装置102向该下属的目标控制装置1041、1042、104N的通信以广播方法实现。因此对每个目标控制装置1041、1042、104N来说单个数据流是必要的。该编程的控制装置102发送所有加密的校验和3041、3042、304N且通过广播向所有的目标控制装置1041、1042、104N发送该待闪存的软件30。

27、2，这些目标控制装置1041、1042、104N仅仅解密为其确定的校验和。因为不必与每个目标控制装置1041、1042、104N分别协商，因此该通过广播的发送大大简化了通信。0050因此本发明提供了一种方法，其中以单个数据流的形式由主控制装置将用于编程的数据闪存数据传送给所有下属的控制装置且同时确保，没有未经授权的人获取在控制装置的闪存上的访问，以在那里引入任何修改了的软件代码。0051通过该并行编程，对下属控制装置的闪存过程相比于控制装置的串行闪存基本上加速了一个因子“待闪存的控制装置的数目”。0052根据本发明的方法基于具有公匙公钥加密的非对称加密措施，其中用户以公开的已知的密匙加密消息，该消息仅仅能够由接收者以其私密的私人的密匙解密。0053本发明的实施方式不限于前述说明的优选实施例。相反地能够想象多个变型方案，其使用根据本发明的方法、根据本发明的蓄电池和根据本发明的机动车，也在基本不同类型的实施中使用。说明书CN104205121A1/2页8图1图2说明书附图CN104205121A2/2页9图3说明书附图CN104205121A。

展开阅读全文