JP2008059450A - 車両情報書換えシステム - Google Patents

車両情報書換えシステム Download PDF

Info

Publication number
JP2008059450A
JP2008059450A JP2006237754A JP2006237754A JP2008059450A JP 2008059450 A JP2008059450 A JP 2008059450A JP 2006237754 A JP2006237754 A JP 2006237754A JP 2006237754 A JP2006237754 A JP 2006237754A JP 2008059450 A JP2008059450 A JP 2008059450A
Authority
JP
Japan
Prior art keywords
authentication
rewriting
information
verification code
tool
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006237754A
Other languages
English (en)
Inventor
Masayuki Kishida
昌之 岸田
Aya Kato
彩 加藤
Yuji Mori
勇二 森
Mitsuhiro Natsume
充啓 夏目
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2006237754A priority Critical patent/JP2008059450A/ja
Priority to EP07016853A priority patent/EP1895444A1/en
Priority to US11/892,958 priority patent/US20080059806A1/en
Priority to CNB2007101456011A priority patent/CN100541366C/zh
Publication of JP2008059450A publication Critical patent/JP2008059450A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Lock And Its Accessories (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】 不揮発性メモリに搭載されているソフトウェア等の車両情報を、書換えツールを用いて書き換える際に、より強力な認証が可能な車両情報書換えシステムを提供する。
【解決手段】 書換えツール10側からの入力による認証とは無関係に、書換えツールの使用資格者に随伴する(例えば使用資格者が携行するか、あるいは、作業場所に固定的に設けられた媒体ホルダに保持させるなど)無線認証媒体200を、書換えツール10側からの無線ポーリングにて検出することで、正規の使用資格者をより強力に認証することができる。
【選択図】 図2

Description

この発明は、車両情報書換えシステムに関する。
特開2003−337748号公報 特開2003−172199号公報 特開2001-229014号公報
自動車には、各種機器(被制御要素)を制御するためにECUが搭載されている。ECUは、CPUからなる主制御部を有し、自動車上に搭載される電子機器の制御処理を予め定められたソフトウェアの実行に基づいて実施する。このソフトウェアは、バージョンアップやバグ修正等のために、内容を随時更新できるよう、不揮発性メモリ(例えば、フラッシュメモリ)に記憶される(特許文献1〜3)。アプリケーションの更新処理は、多くの場合、車両持込にて販売店などで行われる。具体的には、ソフトウェアの書換え対象となるECUに専用の書換えツールを通信接続し、該書換えツールを介してオペレーターが書換え作業を行なう。
しかしながら、書換えツールが正規の使用者により使用されているかどうかの認証については、従来、十分に考慮されているとは言い難い側面があった。特に、盗難、なりすましあるいは替え玉などによる書換えツールの不正使用については、パスワード等による周知認証技術よりもさらに強力な認証方式が求められる。
本発明の課題は、不揮発性メモリに搭載されているソフトウェア等の車両情報を、書換えツールを用いて書き換える際に、より強力な認証が可能な車両情報書換えシステムを提供することにある。
課題を解決するための手段及び発明の効果
本発明は、CPUからなる主制御部を有し、自動車上に搭載される電子機器の制御処理を主制御部による予め定められたソフトウェアの実行に基づいて実施する車両用制御ユニットに対し、通信手段を介してデータ送信元として機能する書換え用ツールを着脱可能に接続し、車両用制御ユニット側に不揮発性メモリとして設けられ、ソフトウェアを含む車両情報を格納する車両情報格納部の記憶内容を、通信手段を介して書換え用ツールから転送される書換え用データに基づいて書き換える車両情報書換えシステムにおいて、上記の課題を解決するために、その書換えツールに、
車両情報格納部の記憶内容の書換え動作が許容される書換え許可モードと、該書換え許可モードよりも書換え動作が制限される書換え制限モードとを切替設定する動作モード切替手段と、
当該書換えツールを用いた書換え作業時において、該書換えツールの使用資格者に付随するべき無線認証媒体を検出するために、該無線認証媒体を無線ポーリングする無線ポーリング手段と、
無線ポーリングによる無線認証媒体の検出成功を前提条件として、動作モード切替手段に対し書換え許可モードへの切替を指令するモード切替指令手段と、を設けたことを特徴とする。
上記本発明によると、書換えツール側からの入力による認証とは無関係に、書換えツールの使用資格者に随伴する(例えば使用資格者が携行するか、あるいは、作業場所に固定的に設けられた媒体ホルダに保持させるなど)無線認証媒体を、書換えツール側からの無線ポーリングにて検出することで、正規の使用資格者をより強力に認証することができる。
無線ポーリング手段は無線認証媒体に対する無線ポーリングを定期的に繰り返し実行するものとすることができ、動作モード切替手段が書換え許可モードを設定している状態において、モード切替指令手段は、繰り返し実行される無線ポーリングによる無線認証媒体の一連の検出結果が成功から失敗に移行したことを条件として、動作モード切替手段に対し、書換え許可モードからに書換え制限モードへの切替を指令するものとすることができる。この方式によると、例えば盗難やなりすまし、あるいは替え玉などにより書換えツールが不正使用された場合においても、無線認証媒体の存在監視に基づく認証処理が書換え処理のバックグラウンドで動作しつづけ、無線認証媒体の検出が途中で途切れた場合は書換え制限モードへ移行するので、セキュリティ性を高めることができる。
なお、正規資格者であっても、無線認証媒体を携行してうっかり作業場を離れるなどの要因により、無線認証媒体が一時的に検出不能となることがある。この場合、モード切替指令手段は、動作モード切替手段が書換え許可モードを設定している状態において、無線認証媒体の一連の検出結果が成功から失敗に移行した場合には直ちに、動作モード切替手段に対し、書換え許可モードからに書換え制限モードへの切替を指令するものとすることができる。上記の構成では、無線認証媒体の検出が再開されれば直ちに書換え許可モードへ移行するので、面倒な復帰作業が不要となる。
一方、モード切替指令手段は、動作モード切替手段が書換え許可モードを設定している状態において、無線認証媒体の一連の検出結果が成功から失敗に移行し、かつ、当該移行後の検出失敗を含めて複数回検出失敗が連続した場合に、動作モード切替手段に対し、書換え許可モードから書換え制限モードへの切替を指令するものとして構成することができる。これにより、例えば中座などで無線認証媒体がごく短時間のみ検出不能となった場合でも、いちいち書換え制限モードに移行することがなくなるので、書換え処理の効率低下を防止することができる。
無線認証媒体は、例えばICタグなどを利用した専用の無線IDカードなどで構成することもできるが、車両のスマートキーシステムに使用される携帯機を無線認証媒体に兼用することもできる。スマートキーシステムは、車両毎の固有のIDコードを記録した携帯機と車載機器との間で無線通信を行ない、車載機器が、車両から所定距離範囲内に当該車両用の携帯機が存在するか否かをIDコードによって照合し、その照合結果に基づいて所定の制御を行なうものである。これにより、スマートキーシステムに使用される携帯機を、書換え用の無線認証媒体として書換えツールに登録すればこと足り、ディーラー側では作業員専用の無線IDカードを発行・交付する手間やコストを省くことができる。この場合、該携帯機に記憶されている(スマートキーシステム認証用の)IDコードを、書換えツールの使用資格者を認証するための使用資格者認証情報として使用(流用)すれば、使用資格者専用のIDコードを携帯機に再登録する面倒な作業が不要となる。
また、上記の携帯機は、車両情報の書き換え対象となる車両の携帯機を使用することも可能である。この場合、書換えツールには、該車両の携帯機を当該書換えツールの使用資格者の無線認証媒体として登録する携帯機登録手段を設ける。使用資格者固有の携帯機を用いるのではなく、車両情報の書き換え対象となる車両の携帯機をその都度認証用に利用するので、該携帯機は、その車両の書換えにしか有効でなくなる(携帯機は、ディーラー側が車両のオーナーから借り受ければよい)。従って、使用資格者の専用携帯機を固定的に使用する場合と比較して、携帯機の盗難等による書換えツールへの不正アクセスの防止効果は一層高められることとなる。
書換えツールには、無線認証媒体の検出による認証とは別に使用資格者の認証を行なうための補助認証情報を入力する補助認証情報入力手段と、入力された補助認証情報に基づく補助認証処理の認証結果を取得する認証結果取得手段とを設けることができる。上記のモード切替指令手段は、無線ポーリングによる無線認証媒体の検出成功とともに、補助認証処理の認証結果が認証受理であることを前提条件として、動作モード切替手段に対し書換え許可モードへの切替を指令するものとすることができる。無線認証媒体の検出による認証と、書換えツールへの入力による補助認証処理とを併用することで、無線認証媒体が万一盗難等にあった場合においてもセキュリティ突破しにくいシステム構築が可能となる。
具体的には、書換えツールを認証用サーバーにも接続可能に構成することができる。該認証用サーバーに、書換えツールからの補助認証情報を受信する補助認証情報受信手段と、受信した補助認証情報に基づいて補助認証処理を行なう補助認証処理実行手段と、該補助認証処理の認証結果を書換えツールに送信する認証結果送信手段と、を設けることができる。補助認証処理の実行主体を、書換えツールの外部に設けられる認証用サーバー(例えばディーラー側の固定設置サーバー)に移行することで、書換えツールの持ち去り等による車両情報の不正改変を効果的に防止することができる。なお、認証用サーバーから補助認証処理に対する受理認証結果を一旦書換えツール側で受領すれば、書換えツール側では(無線認証媒体の検出を前提として)書換え許可モードへ移行する処理を行なうことができ、以降は書換えツールを認証用サーバーから切り離しても書換え処理の実行を行なうことができる。また、補助認証処理自体は書換えツールの外でなされるので、書換えツールの処理負荷を軽減することができる。
書換えツールは、補助認証情報としての基本照合コードを入力するための補助認証情報入力手段をなす基本照合コード入力手段と、基本照合コードを暗号化するための暗号化キーを取得する暗号化キー取得手段と、取得した暗号化キーにより入力された基本照合コードを暗号化して暗号化済照合コードを生成する照合コード暗号化手段と、暗号化済照合コードを認証用サーバーに送信する暗号化済照合コード送信手段とを備えたものとして構成できる。認証用サーバーの補助認証処理実行手段は、暗号化キーと対をなす復号化キーの取得手段と、取得した復号化キーにより書換えツールから受信した暗号化済照合コードを復号化する照合コード復号化手段とを備え、復号化された照合コードに基づいて補助認証処理を行なうものとすることができる。基本照合コードを暗号化して認証用サーバーに送り、サーバーではそれを複合化して認証照合を行なう方式により、書換えツールの使用資格者の認証に係るセキュリティ性を一層高めることができる。この場合、認証用サーバーのオペレーターの利便性を考慮し、書換えツール側に与える暗号化キーを秘密キーとし、認証用サーバー側に与える復号化キーを公開キーとする形の公開キー暗号方式を採用することが可能である。
また、基本照合コードは、書換えツールの使用資格者を識別可能な使用資格者固有情報(例えば社員番号など)として、書換えツールを使用するたびにその都度入力されるものとすることができる。この場合、書換えツールの暗号化済照合コード送信手段は、暗号化済照合コードとともに暗号化前の基本照合コードも認証用サーバーに送信するようにしておく。認証用サーバーの補助認証処理実行手段は、暗号化済照合コードから復号化された照合コードと、当該暗号化済照合コードとともに送られてくる暗号化前の基本照合コードとの双方に基づいて補助認証処理を行なう。上記の構成によれば、基本照合情報の入力内容に誤りがある場合と、暗号化キーの入力内容に誤りがある場合とのいずれにおいても認証棄却されるのでセキュリティ性がより向上する。ただし、基本照合コードを書換えツールと認証用サーバーとの双方に固定情報として予め与えておき、書換えツール側の基本照合コードの入力手段(及び送信手段)を省略する構成も可能である。
より具体的な構成として、次のようなものを例示できる。すなわち、暗号化キー作成用ツールを認証用サーバーに接続可能に設け、該暗号化キー作成用ツールには、基本照合コードに対する暗号化キーと、該暗号化キーに対応する復号化キーとを対にして作成する暗号化/復号化キー作成手段と、作成された暗号化キーを書換えツールの使用資格者にのみ公開・出力する暗号化キー公開出力手段と、作成された復号化キーを基本照合コードと対応付けて認証用サーバーに送信する復号化キー送信手段とを設ける。認証用サーバーの復号化キーの取得手段は、送信される復号化キー及び基本照合コードの受信手段と、該受信した復号化キーを基本照合コードと対応付けて記憶する記憶手段とを含むものとする。また、認証用サーバーの補助認証処理実行手段は、受信した基本照合コードに対応する復号化キーを記憶手段から読み出し、これを用いて受信した暗号化済照合コードの復号化を試みるとともに、当該復号化された情報が基本照合コードと照合一致するか否かに基づいて補助認証処理を行なう。
上記の構成によると、暗号化キー作成用ツールが認証用サーバーと別体構成されているので、セキュリティ性はさらに高められる。具体的には、必要に応じて該暗号化キー作成用ツールを認証用サーバーに随時接続して暗号化キーと復号化キーとのペアを生成し、このうちの復号化キーを社員番号等の基本照合コードと対応付けた形で認証用サーバーに配信するとともに、認証用サーバー側では、書換え用ツールから受信した基本照合コードに対応する復号化キーを記憶手段から読み出し、これを用いて受信した暗号化済照合コードの復号化を試み、当該復号化された情報が基本照合コードと照合一致するか否かに基づいて補助認証処理を行なう。従って、基本照合情報の入力内容に誤りがある場合と、暗号化キーの入力内容に誤りがある場合とのいずれにおいても、その照合結果は不一致となり、認証棄却される。
次に、補助認証情報入力手段は、補助認証情報として使用資格者の生体認証情報が入力される生体認証情報入力手段とすることもできる。生体認証処理(いわゆるバイオメトリックス認証処理)では、使用資格者の人体の一部から補助認証情報が取得されるので、なりすましや替え玉による書換えツールの不正使用をより確実に阻止することができる。
具体的には、書換えツールには、入力された生体認証情報から生体特徴情報を抽出する生体特徴情報抽出手段と、抽出された生体特徴情報を認証用サーバーに送信する生体特徴情報送信手段とを設け、認証用サーバーの補助認証処理実行手段は、生体特徴情報の受信手段を備え、受信した生体特徴情報に基づいて補助認証処理を行なう構成が可能である。処理負荷の大きい生体認証処理を書換えツール外の認証用サーバーで実行することで、書換えツールの認証処理負荷を軽減できる。この場合、書換えツールにて、生体認証情報入力手段からマスター登録用に入力された生体認識情報から、生体特徴情報抽出手段によりマスター生体特徴情報を抽出し、生体特徴情報送信手段により該マスター生体特徴情報を認証用サーバーに送信するとともに、認証用サーバーには、受信したマスター生体特徴情報を登録するマスター生体特徴情報登録手段が設けられ、補助認証処理実行手段は、認証用に受信した生体特徴情報をマスター生体特徴情報と照合することにより、補助認証処理を行なう構成が可能である。
なお、補助認証処理をより簡便に行なう構成として、以下のようなものを例示することができる。すなわち、書換えツールに、認証用サーバーにパスワードの発行を要求するパスワード発行要求手段を設け、認証用サーバーには、該パスワード発行要求を受けてパスワードを発行し、書換えツールに送信するパスワード発行手段を設ける。書換えツールには、発行された該パスワードを書換えツールの使用資格者に公開・出力するパスワード公開出力手段と、公開された該パスワードを使用資格者が認証用に入力するためのパスワード認証入力手段と、入力されたパスワードを認証用サーバーに送信するパスワード認証送信手段とを設ける。認証用サーバーの補助認証処理実行手段は、パスワードの受信手段を備え、受信したパスワードに基づいて補助認証処理を行なう。必要となる毎にパスワードをその都度発行して補助認証処理を行なうことにより、簡便でありながら比較的強力なセキュリティ性を確保することができる。このパスワードは、個々の補助認証処理において1回のみ有効となるワンタイムパスワードとして発行することが望ましい。
以下、本発明の実施の形態を、図面を参照して説明する。
図1は、本発明の車両情報書換えシステムが適用されるECUの電気的な構成図である。ECU1は、CPU101からなる主制御部を有し、自動車C上に搭載される電子機器(制御対象機器:被制御要素)の制御処理を該主制御部による予め定められたソフトウェアの実行に基づいて実施するものであり、具体的には、CPU101、ROM103(フラッシュメモリ等の不揮発性メモリからなる)、RAM102及び入出力部(I/Oポート)105がバス接続されたマイコンからなる。
ROM103には、対象機器の制御処理を司り、種々の車載機能を実現するアプリケーション1,2‥が搭載されている。ROM103は不揮発性メモリで構成されているので電気的に記憶内容が書換え可能であり、アプリケーション1,2も、追加、削除、あるいはバージョンアップ等に伴う書き換え処理が必要に応じてなされる。この自動車側での書き換え処理を直接司る書換え用ファームウェア(FW)がROM103内に搭載されている。アプリケーション1,2が書換え対象の車両情報となる。また、これらのアプリケーション1,2が取り扱う各種パラメータ値や、付随情報も書換え対象の車両情報となりうる。
ROM103は本実施形態ではフラッシュメモリとして構成されている。フラッシュメモリは、そのハードウェア原理固有の事情として、追記書込処理はビット単位で可能な一方、消去はブロック単位でしか行なえないようになっている(周知であるので、理由等の詳細は略する)。従って、既に何らかのデータが書き込み済のエリアに別のデータを(見かけ上)上書きするには、そのエリアをブロック単位で消去し、その後、新しいデータを書き込む処理が必要となる。また、フラッシュメモリ上の特定エリアのデータを書換えたい場合は、書換え対象となるデータをRAM102のブロックコピーエリアに一旦コピーして、フラッシュメモリ上の対応エリアをブロック消去し、RAM102上でデータ書換えを行なった後、ブロック単位でフラッシュメモリの対応エリアに書き戻す、といった処理が行なわれる。前述の書換え用ファームウェアは、こうした一連の書換え処理の制御を司るものである。
自動車C上には、上記のようなECUが車載ネットワーク(通信プロトコル:例えばCAN(Controller Area Network))を構築するシリアル通信バス30により、各々シリアルインターフェース107及び受信バッファ107aを介して複数接続されている。シリアル通信バス30には外部機器接続用のコネクタ20も接続され、各ECUの上記車両情報の書換え処理を行なうため、(例えば自動車供給元(ディーラー))のオペレーターが操作する書換えツール10が該コネクタ20に接続される。書換えツール10は、自身に搭載されたファームウェアの実行に伴い、各ECUへの車両情報書換えのための認証(認証入力含む)、及びシリアル通信バス30を介した書換え用データの転送、及び対象ECUからの書換え処理に係るステータス情報の受信などを含む一連の書換え処理を、各ECUと連携して行なうものである。
図2は、書換えツール10の電気的構成を示すブロック図である。書換えツール10は、CPU11、RAM12、ROM13(フラッシュメモリ等の不揮発性メモリからなる)、入出力I/O15及び無線用入出力I/O23がバス接続されたマイコン40からなる。入出力I/O15にはキーボードからなる操作入力部19(以下、キーボード19ともいう:以下の説明では、概念上包含関係にある技術要素に同一の符号を付与する場合がある)、液晶パネル等からなるモニタ41が接続されている。オペレーターは、モニタ41に表示される指示内容に従い、車両情報書換え処理の実行に必要な入力を行なう。この入力情報に基づいて、コネクタ20T,20Aを介した通信により車両情報書換え処理を自動車側の書換え用ファームウェアと連携して実行するための書換え用ファームウェアがROM13に格納されている。また、ROM13は、書換え用の車両情報、ここではアプリケーションプログラムを構成するデータ列(以下、アプリケーションデータともいう)も合わせて格納されている。このアプリケーションデータは、自動車側にて特定のアプリケーションの更新が必要となる毎に用意され、例えば所定のサーバーから通信によりダウンロードしてROM13に格納されるものである。
次に、無線用入出力I/O23には無線通信部42が接続されている。無線通信部42には、コイル状のLFアンテナを介して携帯キー200とLF帯で無線通信するためのLF送信部25と、無線用入出力I/O23に接続された該LF送信部25の変調部24とが設けられている。また、図示しない内蔵アンテナを介して携帯キー200とRF帯で無線通信するためのRF受信部27と、無線用入出力I/O23に接続された該RF受信部27が接続される復調部26とが設けられている。
携帯キー200(携帯機)は、自動車Cに搭載された図示しないスマートキーシステムに使用するためのものである。この携帯キー200は、具体的には、車両毎の固有のIDコードを記録するとともに車載機器との間で無線通信を行ない、車載機器が、車両から所定距離範囲内に当該車両用の携帯機が存在するか否かをIDコードによって照合し、その照合結果に基づいて所定の機能制御(例えば、ドアロック/ロック解除、イモビライザのアンロックなど)を行なうためのものである。携帯キー200と通信する自動車側の無線通信部は、図2に示す書換えツール10の無線通信部42と同様の構造を有している。
以下、図2の符号を援用して説明すると、具体的には、自動車側では変調部24において携帯キーID等が反映されたベースバンド信号によりLF搬送波信号を変調し、LF送受信部25からポーリング電波として定期的に繰り返し送信する。ポーリング電波の到達範囲内に携帯キー200が存在すれば、携帯キー200は該ポーリング電波をLF受信部201にて受信し、復調部204でベースバンド信号を取り出し、マイコン207で内容解析する。解析の結果、自身に対するポーリングであることが確認されれば、携帯キー200は、変調部206において認証用IDが反映されたベースバンド信号によりRF搬送波信号を変調し、RF送信部203から応答電波を自動車側に送信する。自動車側では、応答電波をRF受信部27にて受信し、復調部26で認証用IDを含んだベースバンド信号を取り出して認証処理を行なうとともに、結果が認証受理であった場合に限りドアロック解除やイモビライザアンロック等の機能制御処理を行なう。
次に、本実施形態では、この携帯キー200が、該書換えツール10の使用資格者(例えばディーラーの専任技術者)に付随する(例えば携行する)無線認証媒体に兼用されている。携帯キー200は、本来は使用資格者とは別の、自動車オーナーが保有するものであり、そのオーナーを特定するために上記認証用IDが記憶されている。車両情報書換えのために自動車をディーラーに入庫する際、この携帯キー200は自動車オーナーから書換えツール10の使用資格者に貸し渡される。使用資格者は携帯キー200を上記認証用IDにて書換えツール10(例えばROM13)に登録して使用する。ただし、携帯キー200は、車両情報書換えの対象となる自動車とは無関係の特定の自動車(例えばディーラー側で保有する特定の自動車)のスマートキーシステムに使用するものであってもよい。
図2において書換えツール10の無線通信部42は、書換えツール10を用いた車両情報の書換え作業時において、該書換えツールの使用資格者に付随する携帯キー200(無線認証媒体)を検出するために、該携帯キー200を無線ポーリングする無線ポーリング手段として使用される。この無線ポーリングの制御処理は、ROM13に格納された携帯キーポーリング用ファームウェアが司る。
書換えツール10のマイコン40の内部バス14には、シリアルインターフェース17及び受信バッファ17aを介してコネクタ20Tが接続されている。書換えツール10は、該コネクタ20Tにて自動車側のシリアル通信バス30につながるコネクタ20Aに着脱可能に接続され、書換え対象となるECUと通信可能となる。書換えツール10に搭載された書換え用ファームウェアは、書換え対象となる図1のECU1のROM103(車両情報格納部)の記憶内容(例えばアプリケーション1,2のいずれか)の書換え動作が許容される書換え許可モードと、該書換え許可モードよりも書換え動作が制限される書換え制限モードとを切替設定する動作モード切替手段の機能と、無線ポーリングによる無線認証媒体の検出成功を前提条件として、動作モード切替手段に対し書換え許可モードへの切替を指令するモード切替指令手段の機能とをソフトウェア的に実現する役割を果たす。
以下、書換えツール10を用いたECU1(図1)のアプリケーションの書換え処理を例に取り、その動作の詳細を、フローチャートを用いて説明する。図3は携帯キー200を書換えツール10に登録する処理である。まず、書換えツール10の使用資格者を認証するために、書換えツール10の入力部をなすキーボード19から、認証ID(例えば社員番号)あるいはパスワードなどの登録用認証情報を入力する(S21:認証処理)。書換えツール10では入力された登録用認証情報を、予めROM13等に記憶されているマスター情報と照合する等により周知の認証処理を行ない、認証受理の場合に限りS22に進み、登録モードへの切替を行なう。なお、この認証処理は、後述の補助認証処理と同一の認証処理を行なってもよい。また、既にプログラムの書換え対象車両の携帯キーが書換えツール10に登録済みの場合は、登録不要と判断して以下の処理をスキップする。また、本実施形態では、この登録処理を、書換えツール10と車両とを所定のコネクタにより有線接続して行なうものとする。
登録モードに移行すれば、書換えツール10は、登録するべき携帯キー200に書き込まれているのと同じ認証ID(IDコード)の送信を、有線接続された車両に対し要求する(S23)。車両はこれを受け、認証IDの送信要求であることが確認されれば該認証用IDを書換えツール10側に送信する。書換えツール10側ではこれを受信し(S24)、ROM13内に登録する(S25)。
なお、書換えツール10と携帯キー200との無線通信により、該携帯キー200から認証IDを直接取得できるようにしてもよい。
図4は、携帯キーポーリング用ファームウェア及び書換え用ファームウェアによる書換えツール10側での、アプリケーション書換えに係る主処理の流れを示したものである。図2に示すように、コネクタ20T,20Aにて書換えツール10を自動車側に接続し、図4のS1で書換えツール10の電源を投入する。するとモニタ41にログイン画面が表示される。図2において書換えツール10のRAM12にはログインフラグと操作許可フラグとが形成されており、電源投入によりこれらのフラグはいずれも初期化される(つまり、ログインもツールの操作(ただし、プログラム書換えに関与する特定操作)もいずれも許可しない状態)。S2では、その画面指示に従って補助認証処理を行なう。この補助認証の結果が認証受理であればシステムへのログインが許可され(ログインフラグのみ「許可」状態となる)、S3に進む。他方、補助認証の結果が認証棄却であればログインを拒否しS2へ戻って補助認証のやりなおしを要求する。補助認証処理の詳細については後述する。
以下、S3では、携帯キー200(無線認証媒体)に対する無線ポーリングを定期的に繰り返し実行する。書換用ファームウェア(書換えツール10(図2)及びECU1(図1))によるROM103の、指定されたアプリケーション(あるいは、その他の車両情報)の書換え処理動作に対しては、書換えツール10からECU1への書換え用アプリケーションプログラムデータ(あるいは、その他の書換え用車両情報)の送信が許容される書換え許可モードと、送信が禁止される書換え制限モード(書換えに必要なデータがECU1に送信されないのだから、結果的に書換え処理が制限(禁止)されていることになる)とが、上記の無線ポーリングの応答結果に応じて随時切り替えられることとなる(S4)。以下、その詳細について図5を用いて説明する。
書換え許可モードと書換え制限モードとの切替は、状態遷移型処理として実行される。すなわち、書換え許可モードを設定している状態においては、繰り返し実行される無線ポーリングによる携帯キー200(無線認証媒体)の一連の検出結果が成功から失敗に移行したことを条件として、書換え許可モードから書換え制限モードへ切り替わる。また、書換え制限モードを設定している状態においては、上記の検出結果が失敗から成功に移行したことを条件として、書換え制限モードからに書換え許可モードへの切り替わる(以下、操作許可フラグは、書換え制限モードでは「非許可」状態となり、書換え制限モードでは同じく「許可」状態となる)。
本実施形態では、書換え制限モードを設定している状態において、上記検出結果が失敗から成功に移行した場合には直ちに、書換え許可モードからに書換え制限モードへ切り替わるようになっている。また、書換え許可モードを設定している状態において、上記検出結果が成功から失敗に移行し、かつ、当該移行後の検出失敗を含めて複数回(図5ではN回:例えば2回以上5回以下)検出失敗が連続した場合に、書換え許可モードからに書換え制限モードへの切り替わるようにしている。無線ポーリングのインターバルTは一定に設定してもよいし、ポーリング開始後の経過時間に応じてインターバルTを変えること(例えば、経過時間が長くなるほどインターバルTを大きくすること)も可能である。
図6Aは書換え制限モードにおける書換用ファームウェア(書換えツール10側)の処理の流れを示すものである。先頭のS50で、書換えツール10の使用禁止設定(書換えに必要なデータの送信禁止設定)が行なわれる。次いでポーリングインターバルTを計測するためのソフトタイマーを起動し(S51)、Tが経過すれば携帯キー200のポーリングを開始する(S52→S53)。
無線ポーリング処理は携帯キーポーリング用ファームウェアの実行によりなされる。基本的な処理内容は、前述した自動車側のスマートキーシステムにおける無線ポーリング処理と実質的に同じである。具体的には、図2において、書換えツール10側では変調部24において携帯キーID等が反映されたベースバンド信号によりLF搬送波信号を変調し、LF送受信部25からポーリング電波として定期的に繰り返し送信する。ポーリング電波の到達範囲内に携帯キー200が存在すれば、携帯キー200は該ポーリング電波をLF受信部201にて受信し、復調部204でベースバンド信号を取り出し、マイコン207で内容解析する。解析の結果、自身に対するポーリングであることが確認されれば、携帯キー200は、変調部206において認証用IDが反映されたベースバンド信号によりRF搬送波信号を変調し、RF送信部203から応答電波を書換えツール10側に送信する。書換えツール10側では、応答電波をRF受信部27にて受信し、復調部26で認証用IDを含んだベースバンド信号を取り出して認証処理を行なうとともに、結果が認証受理であった場合は「携帯キーあり」と判断し、認証棄却であった場合は「携帯キーなし」と判断する。
図6Aに戻り、S54において上記のポーリング結果が「携帯キーなし」であれば、S55でタイマーをリセットしてS51に返り(S55)、以下の処理を繰り返す。一方、ポーリング結果が「携帯キーあり」であればS56に進み、書換え許可モードへ移行し、S57でタイマーをリセットして終了する。
一方、図6Bは書換え許可モードにおける書換用ファームウェア(書換えツール10側)の処理の流れを示すものである。先頭のS100で、書換えツール10の使用許可設定(書換えに必要なデータの送信許可設定)が行なわれる。次いで、S101では連続して「携帯キーなし(不存在)」と判定される回数を計数するための不存在カウンタCをリセットし、S51でポーリングインターバルTを計測するためのソフトタイマーを起動する(S102)。S103でインターバルTが経過すればS104に進み、携帯キー200のポーリングを開始する。S106において上記のポーリング結果が「携帯キーあり」であればS108に進み、不存在カウンタCをインクリメントしてS109に進む。そして、S109で不存在カウンタCの係数値がNに到達していなければS107でタイマーをリセットしてS101に返り(S107)、以下の処理を繰り返す。一方、不存在カウンタCの係数値がNに到達していればS110に進んで書換え制限モードへ移行し、S111でタイマーをリセットして終了する。
図4に戻り、書換え許可モードが設定されている場合は、書換えツール10側からアプリケーション(あるいは、その他の車両情報)の書換えに必要なデータが自動車側に転送され、ROM13内の情報の書換え処理がなされる(S4)。書換え処理が終了すればS5に進み、書換えツール10の電源が遮断されればプログラムは終了となり、遮断されない場合はログアウトとなり、S2に戻って次のログインのために待機する。
なお、「書換え制限モード」とは、書換えツール10の使用者の意図によらず、車両側でのアプリケーションプログラムの書換えが結果的に妨げられる(制限される)ものであれば、これをどのような手段で実現するかについては特に制限はない。例えば、書換えツール10の書換えのための操作自体を受け付けなくするようにしてもよいし、操作は受け付けても、アプリケーションプログラムの書換えに必要な車両側とのデータ通信を妨げるようにしてもよい。前者の場合、例えば、書換え用のアプリケーションプログラムのデータを書換えツール10が車両へ送信中に携帯キーの存在を確認できなくなった場合、書換えツール10の操作が禁止状態に移行するが、既に受け付けられた操作に基づくプログラムデータの送信のみは続行可能に処理することも可能である。しかし、この場合も、それ以降の受付拒否された操作にプログラムデータの送信は実行されないのだから、この場合もアプリケーションプログラムの書換えが制限(あるいは禁止)されていることに何ら変わりはない。
次に、前述の補助認証処理の詳細について説明する。書換えツール10には、上記説明した携帯キー200(無線認証媒体)のポーリング検出による認証(以下、「携帯キーポーリング認証」という)とは別に使用資格者の認証を行なうため、本実施形態では携帯キーポーリング認証の開始に先立って行なわれる(図4:S2)。書換えツール10には、補助認証情報を入力する補助認証情報入力手段として、前述のキーボード19や生体認証入力部18が設けられている。これらの補助認証情報入力手段は、採用する認証方式に必要なものを適宜選択して設ければよい(従って、図示した入力手段は、採用する認証方式に特に使用しないものは省略することが可能である)。また、補助認証処理は、図2のROM13に格納された認証用ファームウェアにより実行される。
図4のフローチャートの流れからも明らかな通り、補助認証処理の認証結果が認証受理であることを前提条件として(S2→S3)、携帯キーポーリング認証の結果が認証受理であった場合に限り、書換え許可モードへの切替が可能となる。
以下、補助認証処理の第一例について説明する。ここでは、補助認証処理が公開キー暗号方式に従って実施される。図7に示すように、書換えツール10は認証用サーバー50に接続可能とされている。認証用サーバー50は一般的なコンピューターハードウェアからなり、図2に示すように、コネクタ20Sにて書換えツール10のコネクタ20Tにシリアル通信接続される。図7に示すように、認証用サーバー50には、通信部52(コネクタ20Tにつながるシリアルインターフェースなどからなる:補助認証情報を受信する補助認証情報受信手段と、補助認証処理の認証結果を書換えツールに送信する認証結果送信手段とを構成する)、認証部51(ハードウェア主体であるマイコンからなる:受信した補助認証情報に基づいて補助認証処理を行なう補助認証処理実行手段を構成する)及びデータ格納部53(マイコンと内部バスにより接続された不揮発性メモリ等からなる)などが設けられている。
また、図7に示すように、暗号化キー作成用ツール300が認証用サーバー50に接続可能に設けられている。暗号化キー作成用ツール300は、書換え用ツール10の使用資格者に対し、暗号化キーをなす秘密キーと、これと対を成す復号化キーをなす公開キーとを固有に発行するためのものである。具体的には、図2に示すように、認証用サーバー50のコネクタ20Qと暗号化キー作成用ツール300のコネクタ20Jとにより、両者がシリアル通信可能に接続される。暗号化キー作成用ツール300は、マイコンハードウェアからなる制御主体301、通信部303(コネクタ20Jにつながるシリアルインターフェースなどからなる)、キーボード等の入力部304、液晶パネル等の表示部302及び暗号化キー生成部305(暗号化キー生成ファームウェアの実行に基づき、制御主体301によりソフトウェア的に機能実現される)などからなる。
暗号化キー生成部305は、基本照合コードに対する暗号化キーと、該暗号化キーに対応する復号化キーとを対にして作成する暗号化/復号化キー作成手段として機能する。また、表示部302は、作成された暗号化キーを書換えツールの使用資格者にのみ公開・出力する暗号化キー公開出力手段として機能する。さらに、通信部303は、作成された復号化キーを基本照合コード(後述)と対応付けて認証用サーバー50に送信する復号化キー送信手段として機能する。他方、認証用サーバー50の通信部52は、暗号化キー生成ツール300から復号化キーを取得する手段、及び下記書換えツール10から送信される復号化キー及び基本照合コードの受信手段として機能する。また、データ格納部53は、該受信した復号化キーを基本照合コードと対応付けて記憶する記憶手段として機能する。
上記の秘密キー/公開キーを用いた補助認証処理においては、書換えツール10の入力部19が、補助認証情報としての基本照合コード(本実施形態では、書換えツール10の使用資格者の社員番号)を入力するための補助認証情報入力手段をなす基本照合コード入力手段、及び基本照合コードを暗号化するための暗号化キーを取得する暗号化キー取得手段として機能する。また、暗号部22は、取得した暗号化キーにより入力された基本照合コードを暗号化して暗号化済照合コードを生成する照合コード暗号化手段として機能する。基本照合コードの暗号化のロジックとしては、RSAや楕円曲線暗号等の周知の方式を採用できる。ただし、各方式による暗号化は演算処理負荷が大きいことも多く、図2に示すように、本実施形態では、書換えツール10の内部バスに、基本照合コードを暗号化するための論理回路である暗号化ロジック22を暗号化バッファ21とともに設けてある。該暗号化ロジック22が暗号部22を構成する。
図7に戻り、書換えツール10においては、図2のマイコン10が制御主体10をなし、これに表示部(モニタ)41、入力部(キーボード)19、暗号部(暗号化ロジック)22、通信部(シリアルインターフェース)17などが接続されている。プログラム書換え部13は、書換え用ファームウェアの実行により制御主体10が機能実現するものである。そして、通信部17は、暗号化済照合コードを認証用サーバーに送信する暗号化済照合コード送信手段、及び暗号化キーと対をなす復号化キーの取得手段を構成する。また、認証用サーバー50の認証部51は、取得した復号化キーにより書換えツールから受信した暗号化済照合コードを復号化する照合コード復号化手段を構成し、また、復号化された照合コードに基づいて補助認証処理を行なう役割を果たす。
また、書換えツール10において通信部17は、暗号化済照合コードとともに暗号化前の基本照合コードも認証用サーバーに送信する(暗号化済照合コード送信手段)。そして、認証用サーバー50の認証部(補助認証処理実行手段)51は、暗号化済照合コードから復号化された照合コードと、当該暗号化済照合コードとともに送られてくる暗号化前の基本照合コードとの双方に基づいて補助認証処理を行なう。具体的には、受信した基本照合コードに対応する復号化キーをデータ格納部53(記憶手段)から読み出し、これを用いて受信した暗号化済照合コードの復号化を試みるとともに、当該復号化された情報が基本照合コードと照合一致するか否かに基づいて補助認証処理を行なう。
以下、上記第一例の補助認証処理の流れを、フローチャートを用いて説明する。
図8は、暗号化キー生成ツール300における暗号化キーの作成処理の流れを示すものである。図2において、暗号化キー生成ツール300と認証用サーバー50とをコネクタ20J,20Qにて互いに接続する。この状態でユーザー(使用資格者:従業員)は、暗号化キー生成ツール300の入力部304から、基本照合コードをなす従業員番号を入力する(W1)。暗号化キー生成ツール300の暗号化キー生成部305はこの従業員番号を取得し(K1)、秘密キー(暗号化キー)と公開キー(復号化キー)のペアを作成する(K2)。このうち、秘密キーは表示部302に出力され(K3)、ユーザーはこれを視覚的に読み取って暗記する(W2)。一方、公開キーは入力された従業員番号とともに認証用サーバーに送られ(K4)、認証用サーバー50のデータ格納部53に登録・格納される(V1)。
図9は、上記秘密キーと公開キーとを用いた補助認証処理の流れを示すものである。まず、図2のコネクタ20T、20Sにおいて書換えツール10と認証用サーバー50とを接続する。この状態でユーザー(使用資格者:従業員)は、書換えツール10の入力部19から、基本照合コードをなす従業員番号と暗記している秘密キーとを入力する(W51)。書換えツール10においては、その従業員番号と秘密キーとを取得するとともに(T1)、暗号部22にて該秘密キーにより従業員番号を暗号化する(T2)。そして、暗号化前の従業員番号と、上記秘密キーにて従業員番号を暗号化した暗号文とを認証用サーバー50に送信する(T3)。
認証用サーバー50では、(暗号化前の)従業員番号と上記の暗号文とを受信し(V51)、受信した従業員番号に対応する公開キーをデータ格納部53にて検索する。そして、検索された公開キーにて受信した暗号文の復号化を試み、復号化された結果情報を、対応する従業員番号と照合する(V52)。照合一致の場合は補助認証受理となり書換えツール10の使用を「許可」とする(V53)。一方、照合不一致の場合は補助認証棄却となり書換えツール10の使用を「禁止」とする(V54)。以上の認証結果を書換えツール10に送信する(V55)。書換えツール10ではこの認証結果を受信し(T4)、「使用許可」を示していれば、書換えツール10は車両情報の書換え処理の実行が許可された状態に設定され(T5)、「使用禁止」を示していれば、車両情報の書換え処理の実行が禁止された状態に設定される(T6)。
次に、補助認証処理の第二例について説明する。ここでは、補助認証処理が生体認証方式に従って実施される。図10はこの場合のハードウェア接続ブロック図を示すものである。ただし、図7との共通点も多いため主に相違点について説明し、共通する要素には図7と同一の符号を付与して詳細な説明は略する。まず、書換えツール10側の入力部は生体情報入力部18として構成される。生体認証(バイオメトリックス認証)方式は周知の種々の方式から選択することができ、本実施形態では、音声認証、網膜認証、顔認証、指紋認証及びアイリス(虹彩)認証のいずれか、又はそれらの二種以上を組み合わせた認証方式が採用される。これらの認証方式のいずれを採用するかによって、生体情報入力部18は(上記認証方式の記載順に対応して)、マイクロフォン18A、網膜カメラ18B、顔カメラ18C、指紋検出器18D及びアイリスカメラ18Eの中から必要なものが選択される。
いずれの方式においても、認証用サーバー50の認証部51は、入力された生の生体情報を直接認証に使用するのではなく、該生の生体情報から認証対象者に固有の特徴情報を抽出し、データ格納部53に予め登録されているマスター特徴情報と、上記抽出された特徴情報とを照合することで認証処理を行なう。上記いずれの方式においても、特徴情報抽出のアルゴリズムは公知であるので、詳細な説明は省略する。
また、図10に示すように、生体情報登録装置400が認証用サーバー50に接続可能に設けられている。生体情報登録装置400は、個々の認証方式に必要とされるマスター特徴情報を作成し登録するためのものである。具体的には、図2に示すように、認証用サーバー50のコネクタ20Qと生体情報登録装置400のコネクタ20Bとにより、両者がシリアル通信可能に接続される。入力部404は、書換えツール10に搭載されているのと同様の生体情報入力部である。
以下、上記第二例の補助認証処理の流れを、フローチャートを用いて説明する。
図11は、生体情報登録装置400におけるマスター特徴情報の作成・登録処理の流れを示すものである。図2において、生体情報登録装置400と認証用サーバー50とをコネクタ20B,20Qにて互いに接続する。この状態でユーザー(使用資格者:従業員)は、生体情報登録装置400の入力部404から、生体情報を入力する(W101)。生体情報登録装置400の解析部405はこの生体情報を取得し(B1)、上記公知のアルゴリズムにより分析して特徴情報を抽出し(B2)、これを登録すべきマスター特徴情報として認証用サーバー50に送信する(B3)。認証用サーバー50はこのマスター特徴情報を受信取得し(V101)、データ格納部53に登録・格納される(V102)。登録が完了すれば認証用サーバー50から登録完了のステータスが生体情報登録装置400に返される。生体情報登録装置400では、その結果が表示部402に表示される(B4)。
図12は、生体情報を用いた補助認証処理の流れを示すものである。まず、図2のコネクタ20T、20Sにおいて書換えツール10と認証用サーバー50とを接続する。この状態でユーザー(使用資格者:従業員)は、書換えツール10の生体情報入力部18から生体情報を入力する(W151)。書換えツール10においては、その生体情報を取得するとともに(T51)、上記公知のアルゴリズムにより生体情報内容を分析して特徴情報を抽出する(T52)。そして、その特徴情報を認証用サーバー50に送信する(T53)。
認証用サーバー50では、上記特徴情報を受信し(V151)、受信した特徴情報と一致するマスター特徴情報があるか否かをデータ格納部53にて順次照合・検索する(V152)。そして、照合一致するものが存在する場合は補助認証受理となり書換えツール10の使用を「許可」とする(V153)。一方、照合一致するものが存在しない場合は補助認証棄却となり書換えツール10の使用を「禁止」とする(V154)。以上の認証結果を書換えツール10に送信する(V155)。書換えツール10ではこの認証結果を受信し(T54)、「使用許可」を示していれば、書換えツール10は車両情報の書換え処理の実行が許可された状態に設定され(T55)、「使用禁止」を示していれば、車両情報の書換え処理の実行が禁止された状態に設定され(T56)。T57では、該生体情報による補助認証処理の結果が表示部41に表示される。
最後に、補助認証処理の第三例について説明する。ここでは、補助認証処理がワンタイムパスワード方式に従って実施される。図13はこの場合のハードウェア接続ブロック図を示すものである。ただし、図7との共通点も多いため主に相違点について説明し、共通する要素には図7と同一の符号を付与して詳細な説明は略する。まず、書換えツール10側の入力部は再びキーボード19が使用される。また、認証情報の作成や登録に係る専用ツールは特に使用されない。ここでは、認証用サーバー50の認証部51が、ワンタイムパスワードの生成部と照合部との機能を果たす。
以下、上記第三例の補助認証処理の流れを図14のフローチャートを用いて説明する。まず、図2のコネクタ20T、20Sにおいて書換えツール10と認証用サーバー50とを接続する。この状態でユーザー(使用資格者:従業員)は、書換えツール10の入力部19からパスワード発行の要求コマンドを入力する(T101)。認証用サーバー50ではこれを受け(V201)、ワンタイムパスワードを発行して書換えツール10に送信する(V202)。
ワンタイムパスワードの生成アルゴリズムについては公知であるので、トークンを用いた代表的な認証方式についての概要を説明するに留める。トークン認証では、利用者にトークン、ここでは書換えツール10のマイコン40上で動作するソフトウエアトークンが配布される。各トークンには固有の数値(シード)が格納され、トークンに内蔵されている時計(ソフトクロック)から得られた時刻データとシード値とから、特定時刻にそのトークンだけに有効なトークンコードが生成される。生成されたトークンコードはトークンごとに決められている一定の更新インターバル(例えば60秒)だけトークン上に表示され、該更新インターバル経過するごとに更新されるようになっている。なお、この認証方式は「時間同期方式」または「タイムシンクロナス方式」と称される。
トークン認証には、上記のような時間同期方式のほか、カウンタ同期方式を採用することも可能である。カウンタ同期方式で使用されるトークンには、時計に代えて内部カウンタが内蔵され、認証用サーバー50と書換えツール10側のトークンとはパスワードを発生させた回数で同期を取る。例えばユーザーがパスワード生成コマンドを実行すると、上記内部カウンタの値をベースにワンタイムパスワードが生成され、パスワードが生成されるたびに内部カウンタの値が更新される。この方式によれば、時刻を使わないので認証用サーバー50との同期ずれが起こり難くい。
書換えツール10では発行されたパスワードを取得し(T102)、表示部41に表示する。このパスワード入力の有効期間は、前述の更新インターバルがタイムアップするまでの間であり、ユーザーは該更新インターバルが経過しないうちに、表示されたパスワードを速やかに入力部41から入力する。入力されたパスワードは認証用サーバー50に送信される(T103)。
認証用サーバー50では、上記入力されたパスワードを受信し(V203)、受信したパスワードと認証用サーバー50側でリザーブされているパスワードと一致するか否かを照合する(V204)。更新インターバルがタイムアップしている場合は、認証用サーバー50側のパスワードが更新され、入力されたパスワードとは不一致となる(もちろん、入力されたパスワードに誤りがある場合も不一致となる)。そして、パスワードが照合一致する場合は補助認証受理となり書換えツール10の使用を「許可」とする(V205)。一方、照合不一致の場合は補助認証棄却となり書換えツール10の使用を「禁止」とする(V206)。以上の認証結果を書換えツール10に送信する(V207)。書換えツール10ではこの認証結果を受信し(T104)、「使用許可」を示していれば、書換えツール10は車両情報の書換え処理の実行が許可された状態に設定され(T105)、「使用禁止」を示していれば、車両情報の書換え処理の実行が禁止された状態に設定される(T106)。
本発明の適用対象となるECUの一例を示すブロック図。 本発明の車両情報書換えシステムに使用する書換えツールの構成例を示すブロック図。 携帯キーの登録処理の流れを示すフローチャート。 本発明の車両情報書換えシステムの、主処理の一例を示すフローチャート。 携帯キーポーリング認証処理の状態遷移図。 図5の書換え制限モードにおける処理の流れを示すフローチャート。 同じく書換え許可モードにおける処理の流れを示すフローチャート。 補助認証処理の第一例におけるハードウェア接続関係を示すブロック図。 上記第一例における暗号化キー作成処理の流れを示すフローチャート。 上記第一例における認証処理の流れを示すフローチャート。 補助認証処理の第二例におけるハードウェア接続関係を示すブロック図。 上記第二例における生体情報登録処理の流れを示すフローチャート。 上記第二例における認証処理の流れを示すフローチャート。 補助認証処理の第三例におけるハードウェア接続関係を示すブロック図。 上記第三例における認証処理の流れを示すフローチャート。
符号の説明
1 ECU(車両用制御ユニット)
103 ROM(車両情報格納部)
10 書換えツール
50 認証用サーバー
200 携帯キー(携帯機:無線認証媒体)
300 暗号化キー作成用ツール

Claims (14)

  1. CPUからなる主制御部を有し、自動車上に搭載される電子機器の制御処理を前記主制御部による予め定められたソフトウェアの実行に基づいて実施する車両用制御ユニットに対し、通信手段を介してデータ送信元として機能する書換えツールを着脱可能に接続し、前記車両用制御ユニット側に不揮発性メモリとして設けられ、前記ソフトウェアを含む車両情報を格納する車両情報格納部の記憶内容を、前記通信手段を介して前記書換え用ツールから転送される書換え用データに基づいて書き換える車両情報書換えシステムにおいて、前記書換えツールに、
    前記車両情報格納部の記憶内容の書換え動作が許容される書換え許可モードと、該書換え許可モードよりも前記書換え動作が制限される書換え制限モードとを切り替え設定する動作モード切替手段と、
    当該書換えツールを用いた書換え作業時において、該書換えツールの使用資格者に付随するべき無線認証媒体を検出するために、該無線認証媒体を無線ポーリングする無線ポーリング手段と、
    前記無線ポーリングによる前記無線認証媒体の検出成功を前提条件として、前記動作モード切替手段に対し前記書換え許可モードへの切替を指令するモード切替指令手段と、
    を設けたことを特徴とする車両情報書換えシステム。
  2. 前記無線ポーリング手段は前記無線認証媒体に対する前記無線ポーリングを定期的に繰り返し実行するものであり、
    前記動作モード切替手段が前記書換え許可モードを設定している状態において、前記モード切替指令手段は、繰り返し実行される無線ポーリングによる前記無線認証媒体の一連の検出結果が成功から失敗に移行したことを条件として、前記動作モード切替手段に対し、前記書換え許可モードから前記書換え制限モードへの切替を指令するものである請求項1記載の車両情報書換えシステム。
  3. 前記モード切替指令手段は、前記動作モード切替手段が前記書換え制限モードを設定している状態において、前記無線認証媒体の一連の検出結果が失敗から成功に移行した場合には直ちに、前記動作モード切替手段に対し、前記書換え制限モードから前記書換え許可モードへの切替を指令するものである請求項1記載の車両情報書換えシステム。
  4. 前記モード切替指令手段は、前記動作モード切替手段が前記書換え許可モードを設定している状態において、前記無線認証媒体の一連の検出結果が成功から失敗に移行し、かつ、当該移行後の検出失敗を含めて複数回検出失敗が連続した場合に、前記動作モード切替手段に対し、前記書換え許可モードから前記書換え制限モードへの切替を指令するものである請求項2又は請求項3に記載の車両情報書換えシステム。
  5. 車両毎の固有のIDコードを記録した携帯機と車載機器との間で無線通信を行ない、前記車載機器が、車両から所定距離範囲内に当該車両用の前記携帯機が存在するか否かを前記IDコードによって照合し、その照合結果に基づいて所定の制御を行なうスマートキーシステムに使用される前記携帯機が、前記無線認証媒体に兼用されており、該携帯機に記憶されている前記IDコードが、前記書換えツールの前記使用資格者を認証するための使用資格者認証情報として使用される請求項1ないし請求項4のいずれか1項に記載の車両情報書換えシステム。
  6. 前記携帯機として、前記車両情報の書き換え対象となる車両の携帯機が使用され、前記書換えツールには、該車両の携帯機を当該書換えツールの使用資格者の無線認証媒体として登録する携帯機登録手段が設けられている請求項5記載の車両情報書換えシステム。
  7. 前記書換えツールには、前記無線認証媒体の検出による認証とは別に前記使用資格者の認証を行なうための補助認証情報を入力する補助認証情報入力手段と、
    入力された前記補助認証情報に基づく補助認証処理の認証結果を取得する認証結果取得手段とが設けられ、
    前記モード切替指令手段は、無線ポーリングによる前記無線認証媒体の検出成功とともに、前記補助認証処理の認証結果が認証受理であることを前提条件として、前記動作モード切替手段に対し前記書換え許可モードへの切替を指令するものである請求項1ないし請求項6のいずれか1項に記載の車両情報書換えシステム。
  8. 前記書換えツールは認証用サーバーに接続可能とされ、
    該認証用サーバーに、前記書換えツールからの補助認証情報を受信する補助認証情報受信手段と、受信した補助認証情報に基づいて前記補助認証処理を行なう補助認証処理実行手段と、該補助認証処理の認証結果を前記書換えツールに送信する認証結果送信手段と、が設けられている請求項7記載の車両情報書換えシステム。
  9. 前記書換えツールは、前記補助認証情報としての基本照合コードを入力するための前記補助認証情報入力手段をなす基本照合コード入力手段と、前記基本照合コードを暗号化するための暗号化キーを取得する暗号化キー取得手段と、取得した暗号化キーにより入力された前記基本照合コードを暗号化して暗号化済照合コードを生成する照合コード暗号化手段と、前記暗号化済照合コードを前記認証用サーバーに送信する暗号化済照合コード送信手段とを備え、
    前記認証用サーバーの前記補助認証処理実行手段は、前記暗号化キーと対をなす復号化キーの取得手段と、取得した復号化キーにより前記書換えツールから受信した前記暗号化済照合コードを復号化する照合コード復号化手段とを備え、復号化された照合コードに基づいて前記補助認証処理を行なう請求項8記載の車両情報書換えシステム。
  10. 前記書換えツールの暗号化済照合コード送信手段は、前記暗号化済照合コードとともに暗号化前の前記基本照合コードも前記認証用サーバーに送信するものであり、
    前記認証用サーバーの前記補助認証処理実行手段は、前記暗号化済照合コードから復号化された照合コードと、当該暗号化済照合コードとともに送られてくる前記暗号化前の基本照合コードとの双方に基づいて前記補助認証処理を行なう請求項9記載の車両情報書換えシステム。
  11. 暗号化キー作成用ツールが前記認証用サーバーに接続可能に設けられ、
    該暗号化キー作成用ツールには、前記基本照合コードに対する暗号化キーと、該暗号化キーに対応する復号化キーとを対にして作成する暗号化/復号化キー作成手段と、作成された前記暗号化キーを前記書換えツールの使用資格者にのみ公開・出力する暗号化キー公開出力手段と、作成された前記復号化キーを前記基本照合コードと対応付けて前記認証用サーバーに送信する復号化キー送信手段を備え、
    前記認証用サーバーの前記復号化キーの取得手段は、送信される前記復号化キー及び前記基本照合コードの受信手段と、該受信した復号化キーを前記基本照合コードと対応付けて記憶する記憶手段とを含み、
    前記認証用サーバーの前記補助認証処理実行手段は、受信した基本照合コードに対応する復号化キーを前記記憶手段から読み出し、これを用いて受信した前記暗号化済照合コードの復号化を試みるとともに、当該復号化された情報が前記基本照合コードと照合一致するか否かに基づいて前記補助認証処理を行なう請求項10記載の車両情報書換えシステム。
  12. 前記補助認証情報入力手段は、前記補助認証情報として前記使用資格者の生体認証情報が入力される生体認証情報入力手段である請求項7又は請求項8に記載の車両情報書換えシステム。
  13. 請求項8に記載の要件を備え、
    前記書換えツールには、入力された前記生体認証情報から生体特徴情報を抽出する生体特徴情報抽出手段と、抽出された前記生体特徴情報を前記認証用サーバーに送信する生体特徴情報送信手段とを備え、
    前記認証用サーバーの前記補助認証処理実行手段は、前記生体特徴情報の受信手段を備え、受信した生体特徴情報に基づいて前記補助認証処理を行なう請求項12記載の車両情報書換えシステム。
  14. 前記書換えツールには、前記認証用サーバーにパスワードの発行を要求するパスワード発行要求手段が設けられ、
    前記認証用サーバーには、該パスワード発行要求を受けてパスワードを発行し、前記書換えツールに送信するパスワード発行手段が設けられ、
    前記書換えツールには、発行された該パスワードを前記書換えツールの使用資格者に公開・出力するパスワード公開出力手段と、公開された該パスワードを前記使用資格者が認証用に入力するためのパスワード認証入力手段と、入力されたパスワードを前記認証用サーバーに送信するパスワード認証送信手段とが設けられ、
    前記認証用サーバーの前記補助認証処理実行手段は、前記パスワードの受信手段を備え、受信したパスワードに基づいて前記補助認証処理を行なう請求項8記載の車両情報書換えシステム。
JP2006237754A 2006-09-01 2006-09-01 車両情報書換えシステム Pending JP2008059450A (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2006237754A JP2008059450A (ja) 2006-09-01 2006-09-01 車両情報書換えシステム
EP07016853A EP1895444A1 (en) 2006-09-01 2007-08-28 Vehicle information rewriting system
US11/892,958 US20080059806A1 (en) 2006-09-01 2007-08-28 Vehicle information rewriting system
CNB2007101456011A CN100541366C (zh) 2006-09-01 2007-08-30 车辆信息重写系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006237754A JP2008059450A (ja) 2006-09-01 2006-09-01 車両情報書換えシステム

Publications (1)

Publication Number Publication Date
JP2008059450A true JP2008059450A (ja) 2008-03-13

Family

ID=38659640

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006237754A Pending JP2008059450A (ja) 2006-09-01 2006-09-01 車両情報書換えシステム

Country Status (4)

Country Link
US (1) US20080059806A1 (ja)
EP (1) EP1895444A1 (ja)
JP (1) JP2008059450A (ja)
CN (1) CN100541366C (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013038478A1 (ja) 2011-09-12 2013-03-21 トヨタ自動車株式会社 車両用電子制御装置
JP2013138320A (ja) * 2011-12-28 2013-07-11 Denso Corp 車載システム及び通信方法
WO2014002280A1 (ja) 2012-06-29 2014-01-03 富士通株式会社 通信プログラム、記録媒体、通信装置、および通信方法
WO2016185868A1 (ja) * 2015-05-18 2016-11-24 ソニー株式会社 記憶装置、リーダライタ、アクセス制御システム、およびアクセス制御方法
JP2017149323A (ja) * 2016-02-25 2017-08-31 オムロンオートモーティブエレクトロニクス株式会社 車両制御システム
WO2019012888A1 (ja) * 2017-07-12 2019-01-17 住友電気工業株式会社 車載装置、管理方法および管理プログラム

Families Citing this family (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8755949B2 (en) * 2009-12-22 2014-06-17 Electronics And Telecommunications Research Institute Telematics system using human body communication, portable device having telematics function using human body communication, and method for providing telematics service using human body communication
JP5395036B2 (ja) * 2010-11-12 2014-01-22 日立オートモティブシステムズ株式会社 車載ネットワークシステム
WO2012105215A1 (ja) * 2011-01-31 2012-08-09 本田技研工業株式会社 車両用制御装置
DE102011079402A1 (de) 2011-07-19 2013-01-24 Bayerische Motoren Werke Aktiengesellschaft Steuervorrichtung für ein Kraftfahrzeug, Programmiervorrichtung und Programmiersystem
US9165127B2 (en) * 2011-07-25 2015-10-20 Kubota Corporation Working machine, data communcation system for working machine, operation system for working machine, and setting change system for working machine
JP2013068105A (ja) * 2011-09-21 2013-04-18 Hitachi Automotive Systems Ltd 自動車用電子制御装置
JP5770602B2 (ja) * 2011-10-31 2015-08-26 トヨタ自動車株式会社 通信システムにおけるメッセージ認証方法および通信システム
US9860059B1 (en) * 2011-12-23 2018-01-02 EMC IP Holding Company LLC Distributing token records
JP5866216B2 (ja) * 2012-01-31 2016-02-17 株式会社東海理化電機製作所 電子キー登録システム
DE102013101508A1 (de) * 2012-02-20 2013-08-22 Denso Corporation Datenkommunikationsauthentifizierungssystem für ein Fahrzeug, Netzkopplungsvorrichtung für ein Fahrzeug, Datenkommunikationssystem für ein Fahrzeug und Datenkommunikationsvorrichtung für ein Fahrzeug
US9881165B2 (en) 2012-03-29 2018-01-30 Arilou Information Security Technologies Ltd. Security system and method for protecting a vehicle electronic system
JP5918004B2 (ja) * 2012-04-27 2016-05-18 株式会社東海理化電機製作所 電子キー登録システム
JP5973224B2 (ja) * 2012-05-10 2016-08-23 株式会社東海理化電機製作所 電子キー登録方法
JP5985894B2 (ja) * 2012-06-06 2016-09-06 株式会社東海理化電機製作所 電子キー登録方法
JP5990406B2 (ja) * 2012-06-06 2016-09-14 株式会社東海理化電機製作所 電子キー登録方法
US9166958B2 (en) 2012-07-17 2015-10-20 Texas Instruments Incorporated ID-based control unit-key fob pairing
JP6147983B2 (ja) * 2012-10-10 2017-06-14 株式会社東海理化電機製作所 電子キー登録システム
JP5964726B2 (ja) * 2012-11-02 2016-08-03 株式会社東海理化電機製作所 電子キー登録システム
KR101480605B1 (ko) * 2013-04-29 2015-01-09 현대자동차주식회사 차량 네트워크 접속 장치 및 그 접속 제어 방법
FR3006485B1 (fr) * 2013-06-03 2015-05-22 Renault Sa Dispositif de securisation de l'acces a un vehicule a l'aide d'un telephone portable
CN103631192B (zh) * 2013-11-29 2017-12-05 上汽通用五菱汽车股份有限公司 临时授权型的汽车ecu安全认证方法及系统
US10431024B2 (en) * 2014-01-23 2019-10-01 Apple Inc. Electronic device operation using remote user biometrics
JP6078686B2 (ja) * 2014-02-28 2017-02-08 日立オートモティブシステムズ株式会社 認証システム、車載制御装置
US9281942B2 (en) * 2014-03-11 2016-03-08 GM Global Technology Operations LLC Password encryption for controlling access to electronic control units
JP6003938B2 (ja) * 2014-03-28 2016-10-05 トヨタ自動車株式会社 電子キーシステム
US20160267730A1 (en) * 2014-12-12 2016-09-15 Romesh Wadhwani SmartKey Apparatuses, Methods and Systems
US9633495B2 (en) 2015-08-03 2017-04-25 Caterpillar Inc. System and method for wirelessly authenticating a device having a sensor
US10166993B2 (en) 2015-08-05 2019-01-01 Ford Global Technologies, Llc Customer driving mode for vehicles
EP3345339B1 (en) * 2015-09-03 2021-06-30 Signify Holding B.V. Network node
DE102015220009A1 (de) * 2015-10-15 2017-04-20 Robert Bosch Gmbh Schaltungsanordnung zur Generierung eines Geheimnisses in einem Netzwerk
JP6362038B2 (ja) * 2016-03-30 2018-07-25 マツダ株式会社 車両用緊急通報装置
CN106950940A (zh) * 2017-03-31 2017-07-14 北京新能源汽车股份有限公司 一种汽车电子控制单元ecu刷写方法及装置
JP6897415B2 (ja) * 2017-08-16 2021-06-30 トヨタ自動車株式会社 車両用制御システム
US10249182B1 (en) 2018-01-04 2019-04-02 Directed, Llc Remote vehicle system configuration, control, and telematics
JP6749960B2 (ja) * 2018-03-20 2020-09-02 本田技研工業株式会社 車載認証装置、方法、およびプログラム
US11880670B2 (en) 2020-06-23 2024-01-23 Toyota Motor North America, Inc. Execution of transport software update
US11281450B2 (en) 2020-06-23 2022-03-22 Toyota Motor North America, Inc. Secure transport software update
CN114228644A (zh) * 2021-11-30 2022-03-25 江铃汽车股份有限公司 车辆整车下线供电配置方法、系统、可读存储介质及车辆

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002044742A (ja) * 2000-07-28 2002-02-08 Omron Corp 車載制御装置の運用システム及び車載制御装置
JP2002202895A (ja) * 2000-12-28 2002-07-19 Toyota Central Res & Dev Lab Inc 車両基本機能制御プログラム更新装置

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69202281T2 (de) * 1991-03-06 1995-09-07 Delco Electronics Corp Fernbetätigungssystem zum Regeln einer Funktion einer Basisstation.
US5475757A (en) * 1994-06-07 1995-12-12 At&T Corp. Secure data transmission method
US5638444A (en) * 1995-06-02 1997-06-10 Software Security, Inc. Secure computer communication method and system
US5892901A (en) * 1997-06-10 1999-04-06 The United States Of America As Represented By The Secretary Of The Navy Secure identification system
US7068147B2 (en) * 1999-12-07 2006-06-27 Denso Corporation Control information rewriting system
DE10008974B4 (de) * 2000-02-25 2005-12-29 Bayerische Motoren Werke Ag Signaturverfahren
JP2003092639A (ja) * 2001-09-18 2003-03-28 Denso Corp ダウンロード方法
JP4492025B2 (ja) * 2002-05-21 2010-06-30 株式会社デンソー 電子制御装置のデータ格納方法
US7366589B2 (en) * 2004-05-13 2008-04-29 General Motors Corporation Method and system for remote reflash
US7159765B2 (en) * 2004-10-12 2007-01-09 Aristocrat Technologies Australia Pty, Ltd. Method and apparatus for employee access to a gaming system
JP2006244129A (ja) * 2005-03-03 2006-09-14 Denso Corp フラッシュeeprom書換え方法および電子制御装置
US20060259207A1 (en) * 2005-04-20 2006-11-16 Denso Corporation Electronic control system for automobile
JP4569820B2 (ja) * 2005-06-22 2010-10-27 株式会社デンソー リモート操作時のローカル操作解除権限付与方法およびシステム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002044742A (ja) * 2000-07-28 2002-02-08 Omron Corp 車載制御装置の運用システム及び車載制御装置
JP2002202895A (ja) * 2000-12-28 2002-07-19 Toyota Central Res & Dev Lab Inc 車両基本機能制御プログラム更新装置

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013038478A1 (ja) 2011-09-12 2013-03-21 トヨタ自動車株式会社 車両用電子制御装置
US8978109B2 (en) 2011-09-12 2015-03-10 Toyota Jidosha Kabushiki Kaisha Electronic control device for a vehicle
JP2013138320A (ja) * 2011-12-28 2013-07-11 Denso Corp 車載システム及び通信方法
WO2014002280A1 (ja) 2012-06-29 2014-01-03 富士通株式会社 通信プログラム、記録媒体、通信装置、および通信方法
US9525670B2 (en) 2012-06-29 2016-12-20 Fujitsu Limited Computer product, recording medium, communications apparatus, and communications method
WO2016185868A1 (ja) * 2015-05-18 2016-11-24 ソニー株式会社 記憶装置、リーダライタ、アクセス制御システム、およびアクセス制御方法
US10602361B2 (en) 2015-05-18 2020-03-24 Sony Corporation Storage device, reader writer, access control system, and access control method
JP2017149323A (ja) * 2016-02-25 2017-08-31 オムロンオートモーティブエレクトロニクス株式会社 車両制御システム
WO2019012888A1 (ja) * 2017-07-12 2019-01-17 住友電気工業株式会社 車載装置、管理方法および管理プログラム
JP2019021973A (ja) * 2017-07-12 2019-02-07 住友電気工業株式会社 車載装置、管理方法および管理プログラム
US11938897B2 (en) 2017-07-12 2024-03-26 Sumitomo Electric Industries, Ltd. On-vehicle device, management method, and management program

Also Published As

Publication number Publication date
US20080059806A1 (en) 2008-03-06
CN101135905A (zh) 2008-03-05
CN100541366C (zh) 2009-09-16
EP1895444A1 (en) 2008-03-05

Similar Documents

Publication Publication Date Title
JP2008059450A (ja) 車両情報書換えシステム
US8275130B2 (en) System and method for registering secret key
EP2663018B1 (en) Electronic key registration system
JP5922419B2 (ja) 無線通信システム
JP6717793B2 (ja) カーシェアリングシステム及びカーシェア装置
JPH086520B2 (ja) 遠隔アクセスシステム
JP2006262184A (ja) 権限所有装置および権限借用装置および制御装置および権限委譲システムおよび権限所有プログラムおよび権限所有方法
CN108791190B (zh) 单向密钥卡和交通工具配对的验证、保留及撤销
JP6633589B2 (ja) カーシェアリングシステム
JP2006190175A (ja) Rfid利用型認証制御システム、認証制御方法及び認証制御プログラム
JP4739924B2 (ja) 電子キーシステム
JP5437958B2 (ja) 車両の電子キーシステム
JP5178249B2 (ja) 鍵認証システム
CN110738764A (zh) 基于智能门锁的安全控制系统及方法
JP6916101B2 (ja) シェアリングシステム
JP2017076874A (ja) ユーザ認証装置及び暗号鍵格納方法
WO2019202929A1 (ja) シェアリングシステム
JP6640906B2 (ja) 鍵情報生成システム及び鍵情報生成方法
JP5283432B2 (ja) 認証装置、移動端末、電気鍵システムおよび認証制御方法
JP6633401B2 (ja) 電子錠システム
JP2020004044A (ja) 認証システム及び認証方法
JP2007137135A (ja) 電子キーシステム及び通信ユニット
JP6850314B2 (ja) ユーザ認証装置及びユーザ認証方法
JP7478596B2 (ja) 救援システム、救援方法、及び救援プログラム
TW201402378A (zh) 汽車啟動控制系統及方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090626

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111108

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111109

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120228