将至少一个数据组从一个外部数据源转录到一个计算装置的方法,以及计算装置.pdf

将至少一个数据组从一个外部数据源转录到 一个计算装置的方法，以及计算装置
    现有技术

    本发明是关于，例如像从DE 100 43 499 A1所知道的那样，从一个外部数据源将至少一个数据组接收到一个计算装置的一种方法，以及关于一种相应配置的计算装置。

    按照在DE 100 43 499 A1中所阐述的方法，将至少一个数据组-该数据组例如能是程序代码或在一个程序运行时所利用的信息，为了继续使用将这些信息存储在一个计算装置的一个存储器中-传送给一个计算装置，如传送给一辆汽车的一个控制仪。此时，将该至少一个数据组与例如作为所属数据包的附加信息一起，从数据源传送到计算装置。计算装置将所传送的数据置入一个分配给它的中间存储器中。随后，计算装置尤其要借助于数据传输与一个外部的传输装置建立联系，在外部检验装置时计算装置要参加到其中并给该装置至少传送一部分附加信息。外部检验装置用所传送的附加信息部分和计算装置的同一性来验证，是否允许在计算装置中应用该至少一个数据组。相应于检验的结果，给计算装置传送一个放行信号或一个阻塞信号。在传送阻塞信号的情况时，从中间存储器中将该至少一个数据组清除。在另一种情况，则在计算装置中应用所传送的该至少一个数据组。

    如果在像汽车控制仪那样的计算装置中，可从外面改变放置在那里的数据组，那是很希望的。这能例如用来对这种控制仪进行更改，从而避免更换控制仪。向计算装置传输数据组，此时能通过远程数据传输或经过一个相应的与计算装置连接地接口进行，如一辆汽车的诊断接口。在一个数据源上准备好数据组，数据源既能是数据存储器也能是数据处理装置。

    在这种情况，有一点要保证，就是只将正式许可的数据组传输到计算装置并由它使用。要阻止对数据组进行不允许的改变或演示未经放行的数据组，因为使用未经放行的数据组能导致对计算装置或与计算装置连接的其它计算装置运行的干扰。另一方面，要使演示过程以尽可能简单的方式做到。

    本发明的优点

    在按照本发明权利要求1的特征，将一个外部数据源的至少一个数据组转录到一个计算装置的方法时，至少将外部数据源的一个数据组与附加信息一起，传输到计算装置的一个中间存储器中。基于附加信息，要对应用该至少一个数据组的合法性进行检验。如果检验得出应用该至少一个数据组是不允许的，则将产生一个阻塞信号。就将该至少一个数据组从中间存储器中清除。按照本发明，附加信息包括一个单独分配给计算装置的特征标记，此时要在计算装置中进行有效性检验。

    就是说，往数据组上添一个包括有一个特征标记的附加信息。然后在计算装置中检验特征标记是否有效，即是否符合相应的检验规范。如果情况是肯定的，则产生放行信号，否则产生阻塞信号。此时，特征标记单独分配给计算装置，一个对于一个计算装置有效的特征标记，对所有其它计算装置无效，即使对于相同的结构系列也不行。这样，就能为每个单个计算装置单独进行数据组转录，不能将数据组从一个计算装置复制到结构相同的另一个计算装置上。特征标记此时主要是在一个关键字发生器中产生的数据字，关键字发生器尤其是一个随机数发生器。在关键字发生器中产生的数据字，例如是一个符号序列或一序列数字，如一序列十六进制数字。

    上述方式有优点，即有效性检验在计算装置中自己进行，在检验时不要求与其它外部的装置有可操纵的数据通讯。除此之外，能用特征标记在计算装置中连续地和周期性地检验所应用的版本是否有效。即使在检验与附加信息在一起的该至少一个数据组的时候，也不需要到计算装置上有通讯装置的其它参与。如果一个远程数据传输例如暂时没有可能从一个车辆发出，则能进行一个更改并将前提是有有效性的该至少一个数据组接收。

    本发明的一个优选扩展方案在于，一个文件地址(Signatur)是附加信息的组成部分，文件地址也能将所应用的特征标记包括在内，以便阻止用一个其它的尤其是无效的数据组，去更换要与一个附加信息一起传输的至少一个数据组。文件地址的完整性和归属性检验，尤其就是被传送数据有效性检验的组成部分。

    按照本发明的优选扩展方案，为了检验在中间存储器中放置的至少一个被传送的数据组，一个特征标记只一次有效。这个措施阻止在传送时窃听或捕捉该特征标记，然后应用到转录其它未经允许的数据组。

    按照本发明的另一个扩展方案，如果产生放行信号，将至少一个数据组从中间存储器传输到一个功能存储器，可从该功能存储器中为处理目的读出数据组。这个措施以有利的方式确保，只有在其有效性已经作为肯定检验过的时间点，才将数据组传给到功能存储器。这样，直至转录另一个作为有效确认的数据组，总是将作为有效确认的数据组的最后版本存储在功能存储器中，并可在那里为了应用读出。通过试验转录无效的数据组，对存储在功能存储器中的数据组没有影响。因此，计算装置的可使用性总有保证。此外，也有可能将特征标记与至少一个数据组一起存储在功能存储器中，并在从功能存储器调出一个数据组时检验所属特征标记的有效性。如果特征标记只适用于一次检验一个被转录的数据组，这也有可能，因为数据组现在放置在功能存储器中，没有在中间存储器中，只为检验在中间存储器中放置的数据需要一个新的特征标记。以这种方式，能预防操纵在功能存储器中放置的数据组，例如通过更换功能存储器的存储器标准组件。这种检验完全能以周期性的间隔进行，例如总是在车辆发动后或在调出预先规定的数量之后。

    本发明方法的另一个优选扩展方案，是在计算装置的一个关键字存储器中放置一个关键字一览表。将与至少一个数据组一起传送的特征标记和关键字进行比较。如果与至少一个数据组一起传送的附加信息的特征标记和关键字一致或特征标记与关键字的组合满足要检验的规范要求，就认为有效。特征标记和关键字例如就能是一个代码的两个关键部分，此时关键字和特征标记一起的组合有可能使一个编了码的数据序列进行编码和/或译码，就可检验关键字和特征标记的配合。在这种情况，在继续进行的扩展方案中，有一个计数器在计算装置中形成，将其计数器读数(Zhlerstand)存储起来。计数器读数让注意关键字存储器的一个关键字。在每次检验放置在中间存储器中的至少一个数据组的一个特征标记之前，要将计数器增量，使一个关键字只能一次应用于新转录的数据组。

    此时重要的是，关键字一览表是不可读出或不可写上的。为此预先规定，在计算装置中没有协议指令(Protokollbefehle)，这些指令允许经过外部接口读出或写入带有编号的存储范围。能补充或可选择地预先规定的是，通过浇注保护不让经过硬件-管脚接入计算装置。计数器读数必须存储好，即使没有电源也要保持。为此，尤其能将计数器读数放置到一个EEPROM上。

    按照关键字一览表的优先扩展方案，它要在计算装置中要求尽可能小的存储容量，另一方面，关键字长要选择的使它不能通过猜测或试验就找出来。例如32位，即4个字节或2个十六进制数的关键字长，可以是安全性与存储容量之间的一个可能的折中。为一个256个关键字的关键字一览表要求的存储需求约为一千字节。因为存储容量在1兆字节和以上范围也可在车辆的控制仪中使用，1千字节的容量是个相对小的容量。在优选的扩展方案中，还要将一览表中关键字的个数选的尽可能少，然而在其寿命期间内要和将数据组转录到计算装置上的需求相匹配。关键字一览表的周期性运行虽然也有可能，但是通过关键字的多次使用能让第三者发现它们，这就造成偏离安全性的某种后果。

    作为对所要求的要转录的特征标记不被发现的保护，能预先规定，在每次转录尝试时至少一个数据组要求一个新的特征标记。另一方面要注意，数据传输也可能受到干扰，因此有时需要多个传输尝试，直至至少一个数据组和附加信息传输进中间存储器。与此同时，不必在每个传输尝试时引进一个新的特征标记到附加信息中，同时又消耗大量的关键字，能预先规定只有当确定数据传输到中间存储器的完整性和正确性时，才进行特征标记的检验。为此，尤其能将在中间存储器中放置的数据或由此推导出的文件地址与数据源的数据进行比较。在进行特征标记检验前，也能询问应该将传输作为正常而签收的操作人员的确认。在每次检验计算装置中的特征标记时要应用，从而也消耗另一个关键字，以这种方式不可能通过系统的试验发现所要求的特征标记。

    为此，补充或可选择的是，也有可能预先规定，在规定数量的错误试验之后必须立即将多个连续的特征标记作为附加信息随着传输，并对有效性进行检验。也可以设想设置一个延迟元件，它将用于各个试验所要求的时间提高，使在一个可预见的时间内不能去试验所有的可能性。

    按照本发明方法的优选扩展方案，计算装置可经过一个识别序列识别。识别序列主要也是附加信息部分，能在检验至少一个数据组的有效性时应用。通过将识别序列引入到附加信息中，可以检验是否至少一个数据组也是为引入到计算装置而确定的。识别序列尤其在计算装置中可以读出，但不是可改写的符号序列，它是单独分配给计算装置的，而且是一次性的分配，从而计算装置区别于所有其它结构相同的计算装置。

    为了实施本发明方法，按照优选扩展方案规定，为了至少一个控制仪，但优先为了一个特征标记服务器中的大量控制仪，例如经过识别序列，分配给相应计算装置的有效特征标记，优先是以一览表形式存储的。在这种情况，计算装置计数器的计数器读数优先与特征标记共同存储，使关键字服务器知道的总是最近要应用的特征标记，能将该特征标记按照请求传送给一个有资格者。此时，有资格者有可能在特征标记服务器那里询问所要求特征标记，然后将特征标记与其它附加信息以及至少一个数据组进行连接；也有可能使有资格者将其所需要的数据传送到特征标记服务器，然后尤其是在应用一些诸如编码和附加文件地址的安全措施的情况下，将至少一个数据组和附加信息提供在特征标记服务器中。要产生一个在中间存储器中要传送的公用数据组，然后为了调整到计算装置中传送给有资格者或直接传送到计算装置中。在后一种可能性时，能在特征标记服务器中检验，在将特征标记加给附加信息之前，是否允许将至少一个数据组转录到计算装置上。

    如果能将特征标记传送到数据源上，只检验是否它是为产生和/或转录允许的数据组而加上的。为了问明要求的特征标记，通过在特征标记服务器要求的询问，有可能在特征标记服务器中记录存取的历史。就有可能追溯跟踪存取。因此，例如在滥用给出的特征标记情况，就能确定出滥用的源泉。

    按照本发明的计算装置，有一个中间存储器和一个可改写的功能存储器，二者用于存放至少一个数据组。在计算装置的运行期间，到功能存储器上去存取。经过一个接口，能将至少一个数据组与附加信息一起传送到中间存储器。在计算装置中有一个检验装置，用一个按照上述方法之一、包括在附加信息中的特征标记，去检验至少一个数据组的有效性。按照本发明的优选扩展方案，计算装置有个只读关键字存储器。在关键字存储器中放置有一些关键字。此时，优先给关键字存储器配置一个带有可增量计数器读数的计数器。计数器指明注意主要是一个一览表内的一个关键字，尤其是关键字存储器的只可一次性利用的关键字。计算装置尤其是经过一个识别序列来识别。按照本发明的计算装置，优先是汽车的控制仪。

    附图简述

    除了权利要求外，还能从说明书中了解本发明的其它优选实施形式。此外，按照下面图中示出的实施例来详细阐述本发明；示出的有：

    图1：特征标记服务器、数据源和计算装置的方块图的示意表示；和

    图2：本发明一种方法的流程图。

    【具体实施方式】

    图1示出的是，在实施本发明的一种方法时，要参与的功能元件的示意图。要将至少一个数据组12从数据源10传输到计算装置20。数据源10例如是在一个车间提供的数据处理装置，而计算装置20能是一辆汽车的控制仪。其次，还要求有一个特征标记服务器18，它例如集中由汽车制造厂提供和管理，因此确保对关键字有个良好和安全的存取控制。

    计算装置20有个用于转录数据的接口21。为了存储进入到接口21的数据，有中间存储器22。接口存储的数据的有效性，在检验装置23中进行检验，此时检验装置为此经过计数器24到关键字存储器25的关键字25a，25b，25c，25d一览表的一个元素上去存取。如果确认数据有效，则能将它们受控制地通过检验装置从中间存储器22传递到功能存储器26。计算装置的中央计算器27即CPU，动用功能存储器26，以便处理任务。在这种情况，在功能存储器26中，放置的既能是以相应编码在CPU 27上可做完的程序，也能是在做完一个程序时要求的信息，诸如参数值、标识字段和这一类的。所以，借助于本发明的一个方法，既能将程序也能将在做完程序时应用的信息转录到计算装置20上。计算装置20通过可读出、放置的识别序列14，使其可识别地个性化。

    数据源10提供一个要转录到计算装置20上的公用数据组11。数据源10既能是数据处理装置、车间工具，也能是数据载体，尤其是只读数据载体。公用数据组11划分为至少一个数据组12和附加信息13，数据组12要进入到功能存储器26中并包括有程序代码和/或在做完一个程序时要求的信息。附加信息有至少一个特征标记15b的内容，此外还能包括诸如一个识别序列14那样的另外信息。

    在特征标记服务器18中，为大量的计算装置20各放置一个特征标记数据组19。特征标记数据组19经过识别序列14可各个识别，并用相同的识别序列14可分配给计算装置20。一个特征标记数据组19总包括有一个计数器24，其计数器读数在从特征标记存储器10的特征标记15a，15b，15c，15d一览表中每次调用一个元素时被增量。此外，有一个运行记录文件16，在其中将向一个数据源发送的每个特征标记15a，15b，15c，15d与例如接收者、传送路径以及传送时间一起记录下来。在特征标记服务器18与数据源10之间的信息传送，能通过诸如无线电、因特网或这一类方式的数据传输进行。关键字存储器15的特征标记15a，…，15d一览表和关键字存储器25的关键字25a，…，25d一览表，在计算装置20的第一个例子中都是用数据产生，并放置在相应的存储器15，25中。

    图2示出的是传输至少一个数据组12到计算装置20的一种方法的流程图，就像例如按照图1在配置计算装置20、数据源10和特征标记服务器18时可实施的那样。此时，步骤201至205示出的是真正传输至少一个数据组12之前进行的步骤，而步骤206至212是在真正数据传输时进行的步骤。

    按照方法的步骤201，提供一个要在计算装置20中传输的至少一个数据组12。按照步骤202，接着通过读出经过接口21的识别序列14去识别计算装置20。识别也能可替代地用手工进行，此时将可读出的、安排在计算装置20上的识别序列14读出，并用手工或经过一个光学阅读器采集。

    随后，按照步骤203，对要求的特征标记询问特征标记服务器18。为此，事先要将读出的识别序列14传送给特征标记服务器18。基于识别序列，在识别服务器中到特征标记数据组19上去存取，该数据组是分配给专用计算装置20的。在这种情况，也有可能为了计数器读数的同步目的，将计数器24的现实计数器读数传送给计算装置。要检验，是否允许将特征标记传送给询问者，如果是不允许情况，则拒绝存取，方法就结束。也能检验，是否放行预期数据组12的转录和允许转录。因而，这个传送只在一个有资格的、授权的和验明过的询问者那里进行。

    只要允许，之后就按照方法的步骤204输出特征标记一览表15的下一个有效的特征标记15b。为此，首先将特征标记服务器18的计数器24增量，事先要能进行对一个传送的计数器读数的调整，使计数器读数指明下一个尚未利用的特征标记。按照这样出现的计数器读数，它在图1示出的例子中是2，读出一个分配给计数器读数的特征标记存储器15的特征标记15b，并传送到数据源。同时，将运行记录文件16相应地补充分配给特征标记新询问的信息。

    接着，按照步骤205在数据源10中产生总数据包11。总数据包由至少一个数据组12和所属的附加信息组成，在图1示出的实施例中它是由从特征标记服务器18传送的特征标记15b和识别序列14组成，附加信息还能包括其它数据。随着步骤205的结束，即准备好一个可传送到计算装置20的总数据包11。

    将至少一个数据组真正转录到计算装置20，能在时间上和空间上与这些准备步骤分开进行。对此，按照步骤206首先将总数据包11经过接口21传输到中间存储器22上。传输结束后，和有时在卓有成效的结束传输过程的确认后，该传输过程例如也能由一个操作人员发出，通过检验装置23起动检验传输数据的有效性。

    为此，按照步骤207，检验装置23首先到计数器24上存取，其计数器读数在该存取时相应地被增量。基于计数器读数，按照步骤208使注意关键字一览表25的一个关键字25a，25b，25c，25d，在图1示出的情况计数器读数为2时是关键字25b。然后将它传送回到检验装置23。

    按照步骤209用关键字25b和特征标记15b检验，是否至少一个数据组有效并可以存储在计算装置中。检验尤其能经受住关键字25b与特征标记15b之间一致性的比较。如果按照步骤210确定出没有有效性存在，则产生阻塞信号并跳到步骤211。按照步骤211，将在中间存储器22中存储的数据清除，不将至少一个数据组接收到功能存储器26中，方法就结束。从而，将所传送的至少一个数据组12在计算装置20的中央计算器(CPU)27中的应用排除在外。传输方法以无结果而告终。

    在步骤210中识别有效性时，产生放行信号并跳到步骤212，将至少一个数据组从中间存储器21传输给功能存储器26。计算装置的中央计算器27在其工作时到功能存储器26上存取，并在此时顾全在功能存储器中存储的数据，这些数据既能是用于中央计算器27的程序代码，也能是在实施一个程序时放置的诸如标识字段和控制参数那样的信息。在这个传输过程期间，在功能存储器中包括的要替代的数据，能被改写。对此，功能存储器27尤其是一个所谓的快速存储器，它能通过闪入提供新的数据。传输方法因而就结束。