JP2013112120A - In-vehicle communication system - Google Patents

In-vehicle communication system Download PDF

Info

Publication number
JP2013112120A
JP2013112120A JP2011259280A JP2011259280A JP2013112120A JP 2013112120 A JP2013112120 A JP 2013112120A JP 2011259280 A JP2011259280 A JP 2011259280A JP 2011259280 A JP2011259280 A JP 2011259280A JP 2013112120 A JP2013112120 A JP 2013112120A
Authority
JP
Japan
Prior art keywords
verification code
ecu
relay
electronic control
communication system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011259280A
Other languages
Japanese (ja)
Other versions
JP5783013B2 (en
Inventor
Takashi Saiki
崇史 才木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2011259280A priority Critical patent/JP5783013B2/en
Publication of JP2013112120A publication Critical patent/JP2013112120A/en
Application granted granted Critical
Publication of JP5783013B2 publication Critical patent/JP5783013B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Stored Programmes (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a technology capable of prohibiting rewriting of a program, even when communication is performed to an electronic control device from an external device without passing through a relay device.SOLUTION: An in-vehicle communication system 1 includes an ECU 20 arranged inside a vehicle, and a GW-ECU 10 arranged in a communication passage 31 for connecting an external tool 50 and the ECU 20. The GW-ECU 10 stores a collation code of the ECU 20, and transmits a rewriting request of the program to the ECU 20 in response to a request from the external tool 50. The ECU 20 stores the same collation code, and determines whether a transmission source is the GW-ECU 10 by using the collation code when receiving the rewriting request. When it is determined that the transmission source is not the GW-ECU 10, rewriting of the program is prohibited, and when it is determined that the transmission source is the GW-ECU 10, the rewriting of the program is permitted.

Description

本発明は、車両の内部に設置された電子制御装置に記憶されているプログラムを書き換えるための技術に関する。   The present invention relates to a technique for rewriting a program stored in an electronic control device installed inside a vehicle.

従来、車両では、電子制御化の進歩に伴い、エンジンやブレーキ等といった各種の車両構成品が電子部品を介して制御され、これら電子部品に接続された電子制御装置(ECU)の数も増加傾向にある。また、ECUは、相互間での連携動作や情報の共有化を可能とするために、ネットワーク(車載通信システム)を構築している。   2. Description of the Related Art Conventionally, in vehicles, various vehicle components such as engines and brakes are controlled through electronic parts as electronic control advances, and the number of electronic control units (ECUs) connected to these electronic parts is also increasing. It is in. Further, the ECU constructs a network (in-vehicle communication system) in order to enable a cooperative operation and information sharing between the ECUs.

こうした車載通信システムが搭載された車両には、車両の外部からECUと通信するためのコネクタが設けられている。このようなコネクタに外部装置を接続することで、外部装置とECUとが通信可能となり、ECUに記憶されているプログラムの書換処理(リプログラミング)を行うことができる。   A vehicle equipped with such an in-vehicle communication system is provided with a connector for communicating with the ECU from the outside of the vehicle. By connecting an external device to such a connector, the external device and the ECU can communicate with each other, and rewriting processing (reprogramming) of a program stored in the ECU can be performed.

ただし、このような構成では、不正な外部装置を用いた不正行為(例えば、ECUプログラムの不正な書換えなど)が行われる可能性がある。そこで、コネクタに接続された外部装置が正規のものであるか否かを判定する構成が提案されている。   However, in such a configuration, there is a possibility that an unauthorized act using an unauthorized external device (for example, unauthorized rewriting of an ECU program) may be performed. Therefore, a configuration has been proposed in which it is determined whether or not an external device connected to the connector is a regular one.

例えば特許文献1に記載の車載通信システムでは、コネクタに接続されたテスタ(外部装置)の認証を行うマスタECU(中継装置)が設置されている。マスタECUは、テスタから識別コードを受信し、受信した識別コードが自身の記憶する識別コードと一致するか否かを判定し、一致した場合にECUのフラッシュメモリの書換えを許可する。   For example, in the in-vehicle communication system described in Patent Document 1, a master ECU (relay device) that performs authentication of a tester (external device) connected to a connector is installed. The master ECU receives the identification code from the tester, determines whether or not the received identification code matches the identification code stored in the master ECU, and permits the flash memory of the ECU to be rewritten.

特開2002−157165号公報JP 2002-157165 A

しかしながら、前述した特許文献1に記載の構成では、不正な外部装置から電子制御装置へ中継装置を介さずに直接通信が行われると、電子制御装置に記憶されているプログラムが不正に書き換えられてしまう可能性がある。   However, in the configuration described in Patent Document 1 described above, if direct communication is performed from an unauthorized external device to the electronic control device without a relay device, the program stored in the electronic control device is illegally rewritten. There is a possibility.

本発明は、こうした問題にかんがみてなされたものであり、外部装置から電子制御装置へ中継装置を介さずに通信が行われた場合にも、プログラムの書換えを禁止することのできる技術を提供することを目的としている。   The present invention has been made in view of these problems, and provides a technique capable of prohibiting rewriting of a program even when communication is performed from an external device to an electronic control device without using a relay device. The purpose is that.

本発明(請求項1)の車載通信システムは、車両の内部に設置された電子制御装置と、外部装置と電子制御装置とを接続するための通信経路に設置された中継装置とを備える。なお、ここでいう外部装置とは、電子制御装置に記憶されているプログラムを車両の外部から書き換えるための装置である。   The in-vehicle communication system of the present invention (Claim 1) includes an electronic control device installed inside a vehicle, and a relay device installed in a communication path for connecting the external device and the electronic control device. In addition, an external device here is an apparatus for rewriting the program memorize | stored in the electronic control apparatus from the exterior of a vehicle.

そして、中継装置においては、中継側記憶手段が、電子制御装置の照合コードを記憶し、送信手段が、外部装置からの要求に従い、プログラムの書換要求を電子制御装置へ送信する。   In the relay device, the relay-side storage means stores the verification code of the electronic control device, and the transmission means transmits a program rewrite request to the electronic control device in accordance with a request from the external device.

一方、電子制御装置においては、制御側記憶手段が、照合コードを記憶する。また、判定手段が、書換要求を受信した場合に、その送信元が中継装置であるか否かを照合コードを用いて判定し、送信元が中継装置であると判定した場合にプログラムの書換えを許可し、中継装置でないと判定した場合にプログラムの書換えを禁止する。   On the other hand, in the electronic control device, the control-side storage means stores the verification code. Further, when the determination unit receives a rewrite request, it determines whether or not the transmission source is a relay device by using a verification code, and when it determines that the transmission source is a relay device, it rewrites the program. If it is permitted and it is determined that it is not a relay device, rewriting of the program is prohibited.

このような車載通信システムによれば、電子制御装置は、プログラムの書換要求の送信元が正規の中継装置であるか否かを、照合コードに基づいて判定することができる。このため、外部装置から電子制御装置へ中継装置を介さずにプログラムの書換要求が直接送信された場合にも、プログラムの書換えを禁止することができる。したがって、外部装置と電子制御装置とを中継装置を回避して接続するといった手口の不正を抑制することができる。   According to such an in-vehicle communication system, the electronic control device can determine whether or not the transmission source of the program rewrite request is an authorized relay device based on the verification code. For this reason, even when a rewrite request for a program is directly transmitted from an external device to the electronic control unit without a relay device, rewriting of the program can be prohibited. Accordingly, it is possible to suppress the trick of connecting the external device and the electronic control device while avoiding the relay device.

ところで、同一の照合コードを長期間使用するよりも、適当なタイミングで照合コードを更新した方がセキュリティ性を高くすることができる。そこで、中継装置において、中継側更新手段が、中継側記憶手段が記憶する照合コードを更新し、電子制御装置において、制御側更新手段が、制御側記憶手段が記憶する照合コードを、中継装置と同じタイミングで更新するようにしてもよい(請求項2)。このような車載通信システムによれば、照合コードを更新してセキュリティ性を向上させることができる。   By the way, the security can be improved by updating the verification code at an appropriate timing, rather than using the same verification code for a long time. Therefore, in the relay device, the relay-side update unit updates the verification code stored in the relay-side storage unit, and in the electronic control device, the control-side update unit stores the verification code stored in the control-side storage unit as the relay device. You may make it update at the same timing (Claim 2). According to such an in-vehicle communication system, the verification code can be updated to improve security.

具体的には、中継側更新手段は、中継側記憶手段が記憶する照合コードを用いて所定の演算を行うことにより、照合コードを更新し、制御側更新手段は、制御側記憶手段が記憶する照合コードを用いて中継装置と同じ演算を行うことにより、照合コードを更新するようにしてもよい(請求項3)。このような車載通信システムによれば、更新後の照合コードの受渡しが不要となるため、照合コードの秘密状態を維持しやすくすることができる。   Specifically, the relay side update unit updates the verification code by performing a predetermined calculation using the verification code stored in the relay side storage unit, and the control side update unit stores the control side storage unit. The verification code may be updated by performing the same calculation as that of the relay device using the verification code (claim 3). According to such an in-vehicle communication system, since delivery of the updated verification code is not required, it is possible to easily maintain the secret state of the verification code.

また、中継側更新手段及び制御側更新手段は、電子制御装置に記憶されているプログラムの書換えが完了したタイミングで、照合コードを更新するようにしてもよい(請求項4)。このような車載通信システムによれば、プログラムの書換えごとに異なる照合コードが用いられるため、セキュリティ性を高くすることができる。   Further, the relay side update means and the control side update means may update the verification code at the timing when rewriting of the program stored in the electronic control device is completed. According to such an in-vehicle communication system, since a different verification code is used for each rewriting of the program, the security can be enhanced.

ところで、プログラムの書換要求の送信元が正規の中継装置であるか否かを照合コードに基づいて判定する際に、照合コード自体の受渡しを行わないことが好ましい。そこで、判定手段は、照合コードと一義的に対応するコード対応値を中継装置に送信させ、コード対応値と制御側記憶手段が記憶する照合コードとが一義的に対応するか否かを判定するようにしてもよい(請求項5)。このような車載通信システムによれば、照合コード自体を受け渡す必要がないため、セキュリティ性を高くすることができる。   By the way, it is preferable not to deliver the verification code itself when determining whether or not the transmission source of the program rewrite request is an authorized relay device based on the verification code. Therefore, the determination unit transmits a code corresponding value uniquely corresponding to the verification code to the relay device, and determines whether or not the code corresponding value uniquely corresponds to the verification code stored in the control-side storage unit. (Claim 5). According to such an in-vehicle communication system, since it is not necessary to pass the verification code itself, the security can be enhanced.

また、車載通信システムが複数の電子制御装置を備える場合、制御側記憶手段が記憶する照合コードは、電子制御装置ごとに固有のものであり、中継側記憶手段は、複数の電子制御装置ごとの照合コードを記憶するようにしてもよい(請求項6)。このような車載通信システムによれば、照合コードが複数の電子制御装置で共通のものである場合と比較して、セキュリティ性を高くすることができる。   Further, when the in-vehicle communication system includes a plurality of electronic control devices, the verification code stored in the control-side storage means is unique to each electronic control device, and the relay-side storage means is provided for each of the plurality of electronic control devices. The verification code may be stored (claim 6). According to such an in-vehicle communication system, it is possible to increase the security as compared with the case where the verification code is common to a plurality of electronic control devices.

実施形態の車載通信システムの構成を示すブロック図である。It is a block diagram which shows the structure of the vehicle-mounted communication system of embodiment. GW−ECU及び他のECUで実行される処理を示すフローチャートである。It is a flowchart which shows the process performed by GW-ECU and other ECU.

以下、本発明が適用された実施形態について、図面を用いて説明する。
[1.全体構成]
図1は、実施形態の車載通信システム1の構成を示すブロック図である。 Embodiments to which the present invention is applied will be described below with reference to the drawings.
[1. overall structure]
FIG. 1 is a block diagram illustrating a configuration of an in-vehicle communication system 1 according to the embodiment.

車載通信システム1は、車両の内部における各部に設置された複数の電子制御装置(以下「ECU」という。)として、ゲートウェイECU(以下「GW−ECU」という。)10と、種々の機能を有する他の複数のECU20,20,…とを備える。GW−ECU10及び各ECU20は、共通の通信線であるバス30に接続され、バス30を介してCAN(Controller Area Network)プロトコルに従った相互通信を行う。   The in-vehicle communication system 1 has a gateway ECU (hereinafter referred to as “GW-ECU”) 10 and various functions as a plurality of electronic control devices (hereinafter referred to as “ECU”) installed in each part inside the vehicle. A plurality of other ECUs 20, 20,. The GW-ECU 10 and the ECUs 20 are connected to a bus 30 that is a common communication line, and perform mutual communication via the bus 30 in accordance with a CAN (Controller Area Network) protocol.

GW−ECU10は、外部ツール50を車両の外部から接続するためのデータリンクコネクタ(以下「コネクタ」という。)40とバス30とを接続する通信経路(換言すれば、外部ツール50とECU20とを接続するための通信経路)31に設置されている。外部ツール50とは、コネクタ40に接続された状態で、車両の内部に設置されたECU20に記憶されているプログラムの書換処理(リプログラミング)を行う機能を有した装置である。つまり、外部ツール50は、ECU20に直接接続されるのではなく、GW−ECU10を介して接続され、GW−ECU10は、外部ツール50とECU20との通信を中継する中継装置として機能する。   The GW-ECU 10 connects the data link connector (hereinafter referred to as “connector”) 40 for connecting the external tool 50 from the outside of the vehicle and the bus 30 (in other words, the external tool 50 and the ECU 20 to each other). (Communication path for connection) 31. The external tool 50 is a device having a function of performing a rewriting process (reprogramming) of a program stored in the ECU 20 installed in the vehicle while being connected to the connector 40. That is, the external tool 50 is not directly connected to the ECU 20, but is connected via the GW-ECU 10, and the GW-ECU 10 functions as a relay device that relays communication between the external tool 50 and the ECU 20.

GW−ECU10は、CPU11と、電気的に記憶内容の書換えが可能な不揮発性メモリであるフラッシュメモリ12とを備える。フラッシュメモリ12には、CPU11により実行されるソフトウェアのプログラムが記憶されている。また、フラッシュメモリ12には、各ECU20の照合コードが記憶されている。ここで、照合コードとは、GW−ECU10がECU20へプログラムの書換要求を送信した場合に、書換要求の送信元が正規のGW−ECU10であることを、ECU20が確認できるようにするための秘密情報である。なお、本実施形態では、照合コードが複数のECU20で共通であり、GW−ECU10は、1つの照合コードを記憶する。   The GW-ECU 10 includes a CPU 11 and a flash memory 12 that is a nonvolatile memory capable of electrically rewriting stored contents. The flash memory 12 stores a software program executed by the CPU 11. The flash memory 12 stores a verification code for each ECU 20. Here, the verification code is a secret for allowing the ECU 20 to confirm that the transmission source of the rewrite request is the legitimate GW-ECU 10 when the GW-ECU 10 transmits a program rewrite request to the ECU 20. Information. In the present embodiment, the collation code is common to the plurality of ECUs 20, and the GW-ECU 10 stores one collation code.

同様に、各ECU20も、CPU21及びフラッシュメモリ22を備え、フラッシュメモリ22には、CPU21により実行されるソフトウェアのプログラムと、GW−ECU10及び他の各ECU20と同一の照合コードとが記憶されている。   Similarly, each ECU 20 includes a CPU 21 and a flash memory 22, and the flash memory 22 stores a software program executed by the CPU 21 and the same verification code as the GW-ECU 10 and the other ECUs 20. .

[2.処理]
図2は、コネクタに接続された状態の外部ツール50からプログラムの書換処理が要求された場合に、GW−ECU10及び他のECU20で実行される処理を示すフローチャートである。 [2. processing]
FIG. 2 is a flowchart showing a process executed by the GW-ECU 10 and the other ECU 20 when a program rewrite process is requested from the external tool 50 connected to the connector.

GW−ECU10のCPU11は、外部ツール50からプログラムの書換要求を受信すると(S101)、外部ツール50からの要求に従い、書換要求の対象となるECU(以下「対象ECU」ともいう。)20へ、プログラムの書換要求を送信する(S102)。なお、外部ツール50とGW−ECU10との間では、従来と同様、GW−ECU10が外部ツール50の認証を行うことにより、不正な外部ツールからの書換要求をECU20へ送信しないようにすることができる。   When the CPU 11 of the GW-ECU 10 receives a program rewrite request from the external tool 50 (S101), the ECU 11 (hereinafter also referred to as “target ECU”) 20 that is the target of the rewrite request in accordance with the request from the external tool 50. A program rewrite request is transmitted (S102). In addition, between the external tool 50 and the GW-ECU 10, the GW-ECU 10 may authenticate the external tool 50 so that a rewrite request from an unauthorized external tool is not transmitted to the ECU 20 as in the past. it can.

対象ECU20のCPU21は、GW−ECU10から書換要求を受信すると(S201)、書換要求の送信元が正規のGW−ECU10であるか否かを判定するための処理を行う。具体的には、まず乱数を発生し、発生した乱数を送信元のGW−ECU10へ送信する(S202)。また、発生した乱数に対し、フラッシュメモリ22に記憶されている照合コードを用いて、あらかじめ定められている演算を行う(S203)。   When receiving the rewrite request from the GW-ECU 10 (S201), the CPU 21 of the target ECU 20 performs a process for determining whether or not the transmission source of the rewrite request is the legitimate GW-ECU 10. Specifically, first, a random number is generated, and the generated random number is transmitted to the transmission source GW-ECU 10 (S202). Further, a predetermined calculation is performed on the generated random number using the verification code stored in the flash memory 22 (S203).

一方、GW−ECU10のCPU11は、対象ECU20から乱数を受信すると(S103)、受信した乱数に対し、フラッシュメモリ12に記憶されている照合コードを用いて、あらかじめ定められている演算(対象ECU20で行われる演算と同じ演算)を行う(S104)。そして、その演算結果を対象ECU20へ送信する(S105)。   On the other hand, when the CPU 11 of the GW-ECU 10 receives a random number from the target ECU 20 (S103), the CPU 11 of the GW-ECU 10 uses a verification code stored in the flash memory 12 for the received random number to perform a predetermined calculation (in the target ECU 20). The same calculation as that performed) is performed (S104). Then, the calculation result is transmitted to the target ECU 20 (S105).

対象ECU20のCPU21は、GW−ECU10から演算結果を受信すると(S204)、受信した演算結果と自身で行った演算結果とが一致するか否かを判定(照合コードを照合)する(S205)。そして、演算結果が一致しないと判定した場合(書換要求の送信元が正規のGW−ECU10でない場合)には(S205:NO)、フラッシュメモリ22に記憶されているプログラムの書換えを禁止する(S206)。具体的には、書換えのためのデータが送信されてきても書換えを行わない状態になる。一方、演算結果が一致したと判定した場合(書換要求の送信元が正規のGW−ECU10である場合)には(S205:YES)、フラッシュメモリ22に記憶されているプログラムの書換えを許可し(S207)、書換開始要求をGW−ECU10へ送信する(S208)。   When the CPU 21 of the target ECU 20 receives the calculation result from the GW-ECU 10 (S204), the CPU 21 determines whether or not the received calculation result matches the calculation result performed by itself (checks the verification code) (S205). When it is determined that the calculation results do not match (when the rewrite request source is not the regular GW-ECU 10) (S205: NO), rewriting of the program stored in the flash memory 22 is prohibited (S206). ). Specifically, even if data for rewriting is transmitted, the rewriting is not performed. On the other hand, when it is determined that the calculation results match (when the transmission source of the rewrite request is the regular GW-ECU 10) (S205: YES), rewriting of the program stored in the flash memory 22 is permitted ( (S207), a rewrite start request is transmitted to the GW-ECU 10 (S208).

GW−ECU10のCPU11は、対象ECU20から書換開始要求を受信すると(S106)、外部ツール50から受信した書換プログラムを対象ECU20へ送信(転送)する(S107)。つまり、外部ツール50に対して対象ECU20との通信(プログラムの書換処理)を許可した状態となる。   When receiving the rewrite start request from the target ECU 20 (S106), the CPU 11 of the GW-ECU 10 transmits (transfers) the rewrite program received from the external tool 50 to the target ECU 20 (S107). That is, the external tool 50 is allowed to communicate with the target ECU 20 (program rewriting process).

対象ECU20のCPU21は、GW−ECU10から書換プログラムを受信すると(S209)、受信した書換プログラムを用いてフラッシュメモリ22に記憶されているプログラムを書き換える書換処理を実行する(S210)。そして、書換処理が完了すると、書換完了通知をGW−ECU10へ送信する(S211)。   When receiving the rewrite program from the GW-ECU 10 (S209), the CPU 21 of the target ECU 20 executes a rewrite process for rewriting the program stored in the flash memory 22 using the received rewrite program (S210). When the rewriting process is completed, a rewriting completion notification is transmitted to the GW-ECU 10 (S211).

GW−ECU10のCPU11は、対象ECU20から書換完了通知を受信すると(S108)、照合コードを更新させるための照合コード書換要求を、すべてのECU20へ送信する(S109)。また、自身のフラッシュメモリ12に記憶されている照合コードを更新する(S110)。本実施形態では、照合コードを一定の値だけカウントアップすることにより、照合コードを更新する。   When the CPU 11 of the GW-ECU 10 receives the rewriting completion notification from the target ECU 20 (S108), it transmits a verification code rewriting request for updating the verification code to all the ECUs 20 (S109). Further, the verification code stored in its own flash memory 12 is updated (S110). In this embodiment, the verification code is updated by counting up the verification code by a certain value.

一方、対象ECU20及びその他のECU20の各CPU21は、GW−ECU10から照合コード書換要求を受信すると(S212)、自身のフラッシュメモリ22に記憶されている照合コードを更新する(S213)。具体的には、GW−ECU10と同様、照合コードを一定の値だけカウントアップすることにより、照合コードを更新する。これにより、GW−ECU10及びすべてのECU20の照合コードが同一の値に更新される。   On the other hand, when each CPU 21 of the target ECU 20 and the other ECU 20 receives the verification code rewrite request from the GW-ECU 10 (S212), it updates the verification code stored in its own flash memory 22 (S213). Specifically, like the GW-ECU 10, the verification code is updated by counting up the verification code by a certain value. Thereby, the collation codes of the GW-ECU 10 and all the ECUs 20 are updated to the same value.

[3.効果]
以上説明したように、本実施形態の車載通信システム1によれば、プログラムの書換え対象となるECU20は、プログラムの書換要求の送信元が正規のGW−ECU10であるか否かを、照合コードに基づいて判定することができる(S201〜S205)。このため、外部ツール50からECU20へGW−ECU10を介さずにプログラムの書換要求が直接送信された場合にも、プログラムの書換えを禁止することができる(S205:NO,S206)。したがって、外部ツール50とECU20とをGW−ECU10を回避して接続する(外部ツール50をバス30に直接接続する)といった手口の不正を抑制することができる。 [3. effect]
As described above, according to the in-vehicle communication system 1 of the present embodiment, the ECU 20 that is the target of program rewriting uses the verification code to determine whether or not the transmission source of the program rewrite request is the regular GW-ECU 10 It can be determined based on (S201 to S205). For this reason, even when a program rewrite request is directly transmitted from the external tool 50 to the ECU 20 without going through the GW-ECU 10, the rewriting of the program can be prohibited (S205: NO, S206). Therefore, it is possible to suppress the trick of connecting the external tool 50 and the ECU 20 while avoiding the GW-ECU 10 (connecting the external tool 50 directly to the bus 30).

具体的には、ECU20は、照合コードと一義的に対応するコード対応値(乱数及び照合コードを用いた演算結果)をGW−ECU10に送信させ(S202)、コード対応値と自身の演算結果とが一致するか否かを判定する(S203〜S205)。このため、照合コード自体を受け渡す必要がなく、セキュリティ性を高くすることができる。   Specifically, the ECU 20 causes the GW-ECU 10 to transmit a code corresponding value (a calculation result using a random number and a verification code) uniquely corresponding to the verification code (S202), and the code corresponding value and its own calculation result. Are determined to match (S203 to S205). For this reason, it is not necessary to deliver the verification code itself, and security can be improved.

また、GW−ECU10とECU20とが、照合コードを同じタイミングで更新するため(S109,S110,S212,S213)、同一の照合コードを長期間使用する場合と比較して、セキュリティ性を向上させることができる。特に、ECU20に記憶されているプログラムの書換えが完了したタイミングで照合コードを更新するため、プログラムの書換えごとに異なる照合コードが用いられることとなり、セキュリティ性を高くすることができる。   In addition, since the GW-ECU 10 and the ECU 20 update the collation code at the same timing (S109, S110, S212, S213), the security can be improved as compared with the case where the same collation code is used for a long period of time. Can do. In particular, since the verification code is updated when the rewriting of the program stored in the ECU 20 is completed, a different verification code is used for each rewriting of the program, and the security can be improved.

加えて、GW−ECU10とECU20とが、照合コードを用いた所定の演算(照合コードを一定の値だけカウントアップする演算)を行うことにより照合コードを更新するため、更新後の照合コードの受渡しが不要となり、照合コードの秘密状態を維持しやすくすることができる。   In addition, since the GW-ECU 10 and the ECU 20 update the verification code by performing a predetermined calculation using the verification code (a calculation that counts up the verification code by a certain value), the updated verification code is delivered. Is not necessary, and it is possible to easily maintain the secret state of the verification code.

なお、GW−ECU10が中継装置の一例に相当し、フラッシュメモリ12が中継側記憶手段の一例に相当し、S102が送信手段としての処理の一例に相当し、S110が中継側更新手段としての処理の一例に相当する。また、ECU20が電子制御装置の一例に相当し、フラッシュメモリ22が制御側記憶手段の一例に相当し、S202〜S205が判定手段としての処理の一例に相当し、S213が制御側更新手段としての処理の一例に相当する。また、外部ツール50が外部装置の一例に相当する。   The GW-ECU 10 corresponds to an example of a relay device, the flash memory 12 corresponds to an example of a relay-side storage unit, S102 corresponds to an example of a process as a transmission unit, and S110 is a process as a relay-side update unit. It corresponds to an example. The ECU 20 corresponds to an example of an electronic control device, the flash memory 22 corresponds to an example of a control-side storage unit, S202 to S205 correspond to an example of processing as a determination unit, and S213 serves as a control-side update unit. This corresponds to an example of processing. The external tool 50 corresponds to an example of an external device.

[4.他の実施形態]
以上、本発明の実施形態について説明したが、本発明は、上記実施形態に限定されることなく、種々の形態を採り得ることは言うまでもない。 [4. Other Embodiments]
As mentioned above, although embodiment of this invention was described, it cannot be overemphasized that this invention can take a various form, without being limited to the said embodiment.

(1)上記実施形態では、照合コードが複数のECU20で共通であり、GW−ECU10が1つの照合コードを記憶する構成を例示したが、これに限定されるものではない。例えば、照合コードをECU20ごとに固有のものとして、GW−ECU10がECU20ごとの照合コードを記憶するようにしてもよい。このようにすれば、照合コードが複数のECU20で共通である場合と比較して、セキュリティ性を高くすることができる。   (1) Although the collation code is common to the plurality of ECUs 20 and the GW-ECU 10 stores one collation code in the above embodiment, the present invention is not limited to this. For example, the verification code may be unique to each ECU 20, and the GW-ECU 10 may store the verification code for each ECU 20. In this way, it is possible to increase the security as compared with the case where the collation code is common to the plurality of ECUs 20.

(2)上記実施形態では、ECU20に記憶されているプログラムの書換えが完了したタイミングで照合コードを更新する構成を例示したが、照合コードを更新するタイミングはこれに限定されるものではない。例えば、イグニッションスイッチがオンしたことを示す信号を受信したタイミングなど、特定の信号を受信したタイミングであってもよい。   (2) In the above embodiment, the configuration in which the verification code is updated at the timing when the rewriting of the program stored in the ECU 20 is completed is illustrated, but the timing at which the verification code is updated is not limited to this. For example, it may be a timing at which a specific signal is received, such as a timing at which a signal indicating that the ignition switch is turned on is received.

(3)上記実施形態では、GW−ECU10とECU20とが、照合コードを用いた同一の演算(照合コードを一定の値だけカウントアップする演算)を行うことにより照合コードを更新する構成を例示したが、更新方法はこれに限定されるものではない。例えば、特定のタイミング(プログラムの書換え完了時、イグニッションスイッチのオン時、等)の時刻を示す値を用いて照合コードを設定(算出)するようにしてもよい。   (3) In the above embodiment, the GW-ECU 10 and the ECU 20 exemplify a configuration in which the collation code is updated by performing the same computation using the collation code (calculation that counts up the collation code by a certain value). However, the updating method is not limited to this. For example, the verification code may be set (calculated) using a value indicating the time at a specific timing (when rewriting of the program is completed, when the ignition switch is turned on, etc.).

(4)上記実施形態では、GW−ECU10が、ECU20に記憶されている照合コードと同一の照合コードを記憶する構成を例示したが、必ずしも同一の情報を記憶する必要はない。例えば、ECU20に記憶されている照合コードと一義的に対応する情報を記憶するようにしてもよい。   (4) In the above embodiment, the GW-ECU 10 has exemplified the configuration in which the same verification code as the verification code stored in the ECU 20 is stored, but it is not always necessary to store the same information. For example, information uniquely corresponding to the verification code stored in the ECU 20 may be stored.

1…車載通信システム、10…GW−ECU、11,21…CPU、12,22…フラッシュメモリ、20…ECU、30…バス、40…コネクタ、50…外部ツール   DESCRIPTION OF SYMBOLS 1 ... In-vehicle communication system, 10 ... GW-ECU, 11, 21 ... CPU, 12, 22 ... Flash memory, 20 ... ECU, 30 ... Bus, 40 ... Connector, 50 ... External tool

Claims (6)

車両の内部に設置された電子制御装置と、
前記電子制御装置に記憶されているプログラムを車両の外部から書き換える外部装置と前記電子制御装置とを接続するための通信経路に設置された中継装置と、
を備え、
前記中継装置は、
前記電子制御装置の照合コードを記憶する中継側記憶手段と、
前記外部装置からの要求に従い、プログラムの書換要求を前記電子制御装置へ送信する送信手段と、を備え、
前記電子制御装置は、
前記照合コードを記憶する制御側記憶手段と、
前記書換要求を受信した場合に、その送信元が前記中継装置であるか否かを前記照合コードを用いて判定し、送信元が前記中継装置であると判定した場合にプログラムの書換えを許可し、前記中継装置でないと判定した場合にプログラムの書換えを禁止する判定手段と、を備える
ことを特徴とする車載通信システム。 An electronic control unit installed inside the vehicle;
A relay device installed in a communication path for connecting the external device and the electronic control device for rewriting the program stored in the electronic control device from the outside of the vehicle;
With
The relay device is
Relay-side storage means for storing a verification code of the electronic control device;
In accordance with a request from the external device, a transmission means for transmitting a program rewrite request to the electronic control device,
The electronic control device
Control-side storage means for storing the verification code;
When the rewrite request is received, it is determined using the verification code whether the transmission source is the relay device, and when it is determined that the transmission source is the relay device, rewriting of the program is permitted. An in-vehicle communication system comprising: a determination unit that prohibits rewriting of a program when it is determined that the relay device is not the relay device. 請求項1に記載の車載通信システムであって、
前記中継装置は、前記中継側記憶手段が記憶する前記照合コードを更新する中継側更新手段を更に備え、
前記電子制御装置は、前記制御側記憶手段が記憶する前記照合コードを、前記中継装置と同じタイミングで更新する制御側更新手段を更に備える
ことを特徴とする車載通信システム。 The in-vehicle communication system according to claim 1,
The relay device further includes a relay-side update unit that updates the verification code stored in the relay-side storage unit,
The on-board communication system, wherein the electronic control device further includes control-side update means for updating the verification code stored in the control-side storage means at the same timing as the relay device. 請求項2に記載の車載通信システムであって、
前記中継側更新手段は、前記中継側記憶手段が記憶する前記照合コードを用いて所定の演算を行うことにより、前記照合コードを更新し、
前記制御側更新手段は、前記制御側記憶手段が記憶する前記照合コードを用いて前記中継装置と同じ演算を行うことにより、前記照合コードを更新する
ことを特徴とする車載通信システム。 The in-vehicle communication system according to claim 2,
The relay-side update unit updates the verification code by performing a predetermined calculation using the verification code stored in the relay-side storage unit,
The control-side update unit updates the verification code by performing the same calculation as that of the relay device using the verification code stored in the control-side storage unit. 請求項2又は請求項3に記載の車載通信システムであって、
前記中継側更新手段及び前記制御側更新手段は、前記電子制御装置に記憶されているプログラムの書換えが完了したタイミングで、前記照合コードを更新する
ことを特徴とする車載通信システム。 The in-vehicle communication system according to claim 2 or claim 3,
The in-vehicle communication system, wherein the relay side update unit and the control side update unit update the verification code at a timing when rewriting of a program stored in the electronic control device is completed. 請求項1から請求項4までのいずれか1項に記載の車載通信システムであって、
前記判定手段は、前記照合コードと一義的に対応するコード対応値を前記中継装置に送信させ、前記コード対応値と前記制御側記憶手段が記憶する前記照合コードとが一義的に対応するか否かを判定する
ことを特徴とする車載通信システム。 The vehicle-mounted communication system according to any one of claims 1 to 4,
The determination unit causes the relay device to transmit a code corresponding value uniquely corresponding to the verification code, and whether or not the code corresponding value uniquely corresponds to the verification code stored in the control-side storage unit. An in-vehicle communication system characterized by determining whether or not. 請求項1から請求項5までのいずれか1項に記載の車載通信システムであって、
複数の前記電子制御装置を備え、
前記制御側記憶手段が記憶する前記照合コードは、前記電子制御装置ごとに固有のものであり、
前記中継側記憶手段は、複数の前記電子制御装置ごとの前記照合コードを記憶する
ことを特徴とする車載通信システム。 The vehicle-mounted communication system according to any one of claims 1 to 5,
Comprising a plurality of said electronic control devices,
The verification code stored by the control-side storage means is unique to each electronic control device,
The relay-side storage unit stores the verification code for each of the plurality of electronic control devices.
JP2011259280A 2011-11-28 2011-11-28 In-vehicle communication system Expired - Fee Related JP5783013B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011259280A JP5783013B2 (en) 2011-11-28 2011-11-28 In-vehicle communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011259280A JP5783013B2 (en) 2011-11-28 2011-11-28 In-vehicle communication system

Publications (2)

Publication Number Publication Date
JP2013112120A true JP2013112120A (en) 2013-06-10
JP5783013B2 JP5783013B2 (en) 2015-09-24

Family

ID=48708105

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011259280A Expired - Fee Related JP5783013B2 (en) 2011-11-28 2011-11-28 In-vehicle communication system

Country Status (1)

Country Link
JP (1) JP5783013B2 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015178323A (en) * 2014-03-19 2015-10-08 マツダ株式会社 Vehicle control device and password setting method for vehicle
JP2017151870A (en) * 2016-02-26 2017-08-31 株式会社デンソー Data processing device and data processing system
US10091703B2 (en) 2015-03-20 2018-10-02 Denso Corporation Relay apparatus
JP2019034579A (en) * 2017-08-10 2019-03-07 株式会社Subaru Electronic control device for vehicle

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08268229A (en) * 1995-03-31 1996-10-15 Nissan Motor Co Ltd Engine control device for vehicle
JP2001225706A (en) * 1999-12-07 2001-08-21 Denso Corp Control information rewriting system for electronic controller, center used in the same, electronic controller, and rewriting device
JP2001265582A (en) * 2000-03-16 2001-09-28 Honda Motor Co Ltd Memory rewriting system for vehicle controller
JP2010272971A (en) * 2009-05-19 2010-12-02 Nagoya Univ Control system and method for rewriting control program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08268229A (en) * 1995-03-31 1996-10-15 Nissan Motor Co Ltd Engine control device for vehicle
JP2001225706A (en) * 1999-12-07 2001-08-21 Denso Corp Control information rewriting system for electronic controller, center used in the same, electronic controller, and rewriting device
JP2001265582A (en) * 2000-03-16 2001-09-28 Honda Motor Co Ltd Memory rewriting system for vehicle controller
JP2010272971A (en) * 2009-05-19 2010-12-02 Nagoya Univ Control system and method for rewriting control program

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015178323A (en) * 2014-03-19 2015-10-08 マツダ株式会社 Vehicle control device and password setting method for vehicle
US10091703B2 (en) 2015-03-20 2018-10-02 Denso Corporation Relay apparatus
JP2017151870A (en) * 2016-02-26 2017-08-31 株式会社デンソー Data processing device and data processing system
JP2019034579A (en) * 2017-08-10 2019-03-07 株式会社Subaru Electronic control device for vehicle

Also Published As

Publication number Publication date
JP5783013B2 (en) 2015-09-24

Similar Documents

Publication Publication Date Title
JP5729337B2 (en) VEHICLE AUTHENTICATION DEVICE AND VEHICLE AUTHENTICATION SYSTEM
JP5949732B2 (en) Program update system and program update method
JP6477281B2 (en) In-vehicle relay device, in-vehicle communication system, and relay program
JP5641244B2 (en) Vehicle network system and vehicle information processing method
US10049232B2 (en) Rewrite detection system, rewrite detection device and information processing device
CN104580352A (en) Programming vehicle modules from remote devices and related methods and systems
JP5783013B2 (en) In-vehicle communication system
US11926270B2 (en) Display control device, rewrite progress display control method and computer program product
US11228602B2 (en) In-vehicle network system
US20230083716A1 (en) Devices, methods, and computer program for releasing transportation vehicle components, and vehicle-to-vehicle communication module
JPWO2018189975A1 (en) Relay apparatus, transfer method, and computer program
JP5790551B2 (en) COMMUNICATION SYSTEM, RELAY DEVICE, EXTERNAL DEVICE, AND COMMUNICATION METHOD
JP2012242900A (en) On-vehicle control unit
JP6390398B2 (en) In-vehicle network system
US20220377068A1 (en) Vehicle control device, vehicle, vehicle control method, and non-transitory recording medium
JP2017168907A (en) Communication system
JP4534731B2 (en) Electronic control device and identification code generation method thereof
JP2018164232A (en) Communication system, relay device, communication method, and computer program
JP7067508B2 (en) Network system
JP2012234437A (en) In-vehicle communication system and control unit
JP2013121071A (en) Relay system, and relay device and external device forming the same
JP2020088458A (en) Information processing apparatus
WO2018037894A1 (en) Authentication device for vehicles
JP7081415B2 (en) Communication equipment, communication methods, and communication programs
CN115543369A (en) Center, OTA manager, method, non-transitory storage medium, and vehicle

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20131211

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140911

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141007

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20150310

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150519

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20150526

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150623

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150706

R151 Written notification of patent or utility model registration

Ref document number: 5783013

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees