JP2020088836A - 車両メンテナンスシステム、メンテナンスサーバ装置、管理サーバ装置、車載装置、メンテナンスツール、コンピュータプログラム及び車両メンテナンス方法 - Google Patents

車両メンテナンスシステム、メンテナンスサーバ装置、管理サーバ装置、車載装置、メンテナンスツール、コンピュータプログラム及び車両メンテナンス方法 Download PDF

Info

Publication number
JP2020088836A
JP2020088836A JP2019003075A JP2019003075A JP2020088836A JP 2020088836 A JP2020088836 A JP 2020088836A JP 2019003075 A JP2019003075 A JP 2019003075A JP 2019003075 A JP2019003075 A JP 2019003075A JP 2020088836 A JP2020088836 A JP 2020088836A
Authority
JP
Japan
Prior art keywords
vehicle
key
maintenance
code
tool
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019003075A
Other languages
English (en)
Inventor
竹森 敬祐
Keisuke Takemori
敬祐 竹森
誠一郎 溝口
Seiichiro Mizoguch
誠一郎 溝口
輝彰 本間
Teruaki Honma
輝彰 本間
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Publication of JP2020088836A publication Critical patent/JP2020088836A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】自動車等の車両の車載装置に対するアクセス権限の認証の仕組みを改善すること。【解決手段】メンテナンスサーバ装置は、車載装置に対するアクセス権限を示すセキュリティアクセス鍵を鍵登録鍵で暗号化して暗号化セキュリティアクセス鍵を生成し、暗号化セキュリティアクセス鍵を前記メンテナンスツールへ送信する。メンテナンスツールは、暗号化セキュリティアクセス鍵を車載装置へ送信し、セキュリティアクセス鍵を使用して車載装置との間で認証処理を実行する。車載装置は、メンテナンスサーバ装置の鍵登録鍵と同じ鍵登録鍵を記憶し、暗号化セキュリティアクセス鍵の復号結果のセキュリティアクセス鍵を使用してメンテナンスツールとの間で認証処理を実行する。【選択図】図5

Description

本発明は、車両メンテナンスシステム、メンテナンスサーバ装置、管理サーバ装置、車載装置、メンテナンスツール、コンピュータプログラム及び車両メンテナンス方法に関する。
従来、自動車は、ECU(Electronic Control Unit:電子制御装置)を有し、ECUによってエンジン制御等の機能を実現する。ECUは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。複数のECUをCAN(Controller Area Network)に接続して構成される車載制御システムについてのセキュリティ技術が例えば非特許文献1に記載されている。
竹森敬祐、"セキュアエレメントを基点とした車載制御システムの保護 −要素技術の整理と考察−"、電子情報通信学会、信学技報、vol. 114、no. 508、pp. 73-78、2015年3月 STMicroelectronics、"AN4240 Application note"、[平成30年11月8日検索]、インターネット<URL:http://www.st.com/web/en/resource/technical/document/application_note/DM00075575.pdf>
自動車の車載制御システムのECUの診断やコンピュータプログラムの更新等のメンテナンス(保守)作業の際に、メンテナンスに使用されるメンテナンスツールがメンテナンス対象のECUに対してアクセスすることができる範囲(アクセス権限)を、メンテナンス対象のECUが認証する、車両メンテナンスシステムを想定する。この車両メンテナンスシステムの場合、認証対象のアクセス権限の種別毎に個別の認証鍵を各自動車に予め設定しておくことにより、メンテナンス作業の際には、メンテナンス対象のECUが認証対象のアクセス権限に対応する認証鍵を使用して認証を行うことが考えられる。しかし、認証対象のアクセス権限の種別数が多いと、その分の個別の認証鍵を各自動車に設定することは負担になる可能性があった。
本発明は、このような事情を考慮してなされたものであり、その目的は、自動車等の車両の車載装置に対するアクセス権限の認証の仕組みを改善することにある。
(1)本発明の一態様は、メンテナンスサーバ装置と、車両のメンテナンスツールと、前記車両に搭載される車載装置とを備え、前記メンテナンスサーバ装置は、前記メンテナンスツールと通信を行うサーバ通信部と、鍵登録鍵を記憶する鍵登録鍵サーバ記憶部と、前記車載装置に対するアクセス権限を示すセキュリティアクセス鍵を前記鍵登録鍵サーバ記憶部に記憶される鍵登録鍵で暗号化して暗号化セキュリティアクセス鍵を生成するサーバ暗号処理部と、を備え、前記暗号化セキュリティアクセス鍵を前記メンテナンスツールへ送信し、前記メンテナンスツールは、前記メンテナンスサーバ装置と通信を行うサーバ間通信部と、前記車載装置と通信を行う車載装置間通信部と、前記セキュリティアクセス鍵を使用して前記車載装置との間で認証処理を実行するアクセス認証処理部と、を備え、前記暗号化セキュリティアクセス鍵を前記車載装置へ送信し、前記車載装置は、前記メンテナンスツールと通信を行うツール間通信部と、前記鍵登録鍵サーバ記憶部が記憶する鍵登録鍵と同じ鍵登録鍵を記憶する鍵登録鍵車両記憶部と、前記暗号化セキュリティアクセス鍵を、前記鍵登録鍵車両記憶部が記憶する鍵登録鍵で復号する車両暗号処理部と、前記暗号化セキュリティアクセス鍵の復号結果のセキュリティアクセス鍵を使用して前記メンテナンスツールとの間で認証処理を実行する車両認証処理部と、を備える、車両メンテナンスシステムである。
(2)本発明の一態様は、前記メンテナンスサーバ装置は、前記メンテナンスツールのユーザのユーザ属性に対応する前記アクセス権限を示すセキュリティアクセス鍵を生成する鍵生成部をさらに備える、上記(1)の車両メンテナンスシステムである。
(3)本発明の一態様は、端末装置と通信を行う端末間通信部と、メンテナンス対象の車両と通信を行う車両間通信部と、鍵登録鍵を記憶する鍵登録鍵サーバ記憶部と、前記車両に搭載される車載装置に対するアクセス権限を示すセキュリティアクセス鍵を前記鍵登録鍵サーバ記憶部に記憶される鍵登録鍵で暗号化して、前記車載装置へ送信される暗号化セキュリティアクセス鍵を生成するサーバ暗号処理部と、前記端末装置からのメンテナンス開始要求に応じて、前記セキュリティアクセス鍵を使用して前記車載装置との間で認証処理を実行するアクセス認証処理部と、を備えるメンテナンスサーバ装置である。
(4)本発明の一態様は、前記端末装置のユーザのユーザ属性に対応する前記アクセス権限を示すセキュリティアクセス鍵を生成する鍵生成部をさらに備える、上記(3)のメンテナンスサーバ装置である。
(5)本発明の一態様は、車両に搭載される車載装置において、メンテナンスサーバ装置と通信を行うサーバ間通信部と、前記メンテナンスサーバ装置が記憶する鍵登録鍵と同じ鍵登録鍵を記憶する鍵登録鍵車両記憶部と、前記メンテナンスサーバ装置から受信した暗号化セキュリティアクセス鍵を、前記鍵登録鍵車両記憶部が記憶する鍵登録鍵で復号する車両暗号処理部と、前記暗号化セキュリティアクセス鍵の復号結果のセキュリティアクセス鍵を使用して前記メンテナンスサーバ装置との間で認証処理を実行する車両認証処理部と、を備える車載装置である。
(6)本発明の一態様は、車両に搭載される車載装置と通信を行う車載装置間通信部と、符号鍵を記憶する符号鍵ツール記憶部と、前記車載装置から受信した認証情報を対象にして前記符号鍵ツール記憶部に記憶される符号鍵で第1メッセージ認証符号を生成し、前記車載装置に対するアクセス権限を示すアクセス権限情報を対象にして前記符号鍵ツール記憶部に記憶される符号鍵で第2メッセージ認証符号を生成するメッセージ認証符号生成部と、を備え、前記第1メッセージ認証符号と前記アクセス権限情報と前記第2メッセージ認証符号とを前記車載装置へ送信する、メンテナンスツールである。
(7)本発明の一態様は、車両に搭載される車載装置において、メンテナンスツールと通信を行うツール間通信部と、前記メンテナンスツールが記憶する符号鍵と同じ符号鍵を記憶する符号鍵車両記憶部と、前記メンテナンスツールへ送信した認証情報と前記メンテナンスツールから受信した第1メッセージ認証符号とを対象にして前記第1メッセージ認証符号を、前記符号鍵車両記憶部が記憶する符号鍵で検証し、前記メンテナンスツールから受信したアクセス権限情報と第2メッセージ認証符号を対象にして前記第2メッセージ認証符号を、前記符号鍵車両記憶部が記憶する符号鍵で検証する符号検証部と、を備える車載装置である。
(8)本発明の一態様は、端末装置と通信を行う端末間通信部と、メンテナンス対象の車両と通信を行う車両間通信部と、符号鍵を記憶する符号鍵ツール記憶部と、前記端末装置からのメンテナンス開始要求に応じて、前記車両に搭載される車載装置から受信した認証情報を対象にして前記符号鍵ツール記憶部に記憶される符号鍵で第1メッセージ認証符号を生成し、前記車載装置に対するアクセス権限を示すアクセス権限情報を対象にして前記符号鍵ツール記憶部に記憶される符号鍵で第2メッセージ認証符号を生成するメッセージ認証符号生成部と、を備え、前記第1メッセージ認証符号と前記アクセス権限情報と前記第2メッセージ認証符号とを前記車載装置へ送信する、メンテナンスサーバ装置である。
(9)本発明の一態様は、車両に搭載される車載装置において、メンテナンスサーバ装置と通信を行うサーバ間通信部と、前記メンテナンスサーバ装置が記憶する符号鍵と同じ符号鍵を記憶する符号鍵車両記憶部と、前記メンテナンスサーバ装置へ送信した認証情報と前記メンテナンスサーバ装置から受信した第1メッセージ認証符号とを対象にして前記第1メッセージ認証符号を、前記符号鍵車両記憶部が記憶する符号鍵で検証し、前記メンテナンスサーバ装置から受信したアクセス権限情報と第2メッセージ認証符号を対象にして前記第2メッセージ認証符号を、前記符号鍵車両記憶部が記憶する符号鍵で検証する符号検証部と、を備える車載装置である。
(10)本発明の一態様は、コンピュータに、端末装置と通信を行う端末間通信ステップと、メンテナンス対象の車両と通信を行う車両間通信ステップと、鍵登録鍵を鍵登録鍵サーバ記憶部に記憶する鍵登録鍵サーバ記憶ステップと、前記車両に搭載される車載装置に対するアクセス権限を示すセキュリティアクセス鍵を前記鍵登録鍵サーバ記憶部に記憶される鍵登録鍵で暗号化して、前記車載装置へ送信される暗号化セキュリティアクセス鍵を生成するサーバ暗号処理ステップと、前記端末装置からのメンテナンス開始要求に応じて、前記セキュリティアクセス鍵を使用して前記車載装置との間で認証処理を実行するアクセス認証処理ステップと、を実行させるためのコンピュータプログラムである。
(11)本発明の一態様は、車両に搭載されるコンピュータに、メンテナンスサーバ装置と通信を行うサーバ間通信ステップと、前記メンテナンスサーバ装置が記憶する鍵登録鍵と同じ鍵登録鍵を鍵登録鍵車両記憶部に記憶する鍵登録鍵車両記憶ステップと、前記メンテナンスサーバ装置から受信した暗号化セキュリティアクセス鍵を、前記鍵登録鍵車両記憶部が記憶する鍵登録鍵で復号する車両暗号処理ステップと、前記暗号化セキュリティアクセス鍵の復号結果のセキュリティアクセス鍵を使用して前記メンテナンスサーバ装置との間で認証処理を実行する車両認証処理ステップと、を実行させるためのコンピュータプログラムである。
(12)本発明の一態様は、コンピュータに、車両に搭載される車載装置と通信を行う車載装置間通信ステップと、符号鍵を符号鍵ツール記憶部に記憶する符号鍵ツール記憶ステップと、前記車載装置から受信した認証情報を対象にして前記符号鍵ツール記憶部に記憶される符号鍵で第1メッセージ認証符号を生成し、前記車載装置に対するアクセス権限を示すアクセス権限情報を対象にして前記符号鍵ツール記憶部に記憶される符号鍵で第2メッセージ認証符号を生成するメッセージ認証符号生成ステップと、前記第1メッセージ認証符号と前記アクセス権限情報と前記第2メッセージ認証符号とを前記車載装置へ送信するステップと、を実行させるためのコンピュータプログラムである。
(13)本発明の一態様は、車両に搭載されるコンピュータに、メンテナンスツールと通信を行うツール間通信ステップと、前記メンテナンスツールが記憶する符号鍵と同じ符号鍵を符号鍵車両記憶部に記憶する符号鍵車両記憶ステップと、前記メンテナンスツールへ送信した認証情報と前記メンテナンスツールから受信した第1メッセージ認証符号とを対象にして前記第1メッセージ認証符号を、前記符号鍵車両記憶部が記憶する符号鍵で検証し、前記メンテナンスツールから受信したアクセス権限情報と第2メッセージ認証符号を対象にして前記第2メッセージ認証符号を、前記符号鍵車両記憶部が記憶する符号鍵で検証する符号検証ステップと、を実行させるためのコンピュータプログラムである。
(14)本発明の一態様は、コンピュータに、端末装置と通信を行う端末間通信ステップと、メンテナンス対象の車両と通信を行う車両間通信ステップと、符号鍵を符号鍵ツール記憶部に記憶する符号鍵ツール記憶ステップと、前記端末装置からのメンテナンス開始要求に応じて、前記車両に搭載される車載装置から受信した認証情報を対象にして前記符号鍵ツール記憶部に記憶される符号鍵で第1メッセージ認証符号を生成し、前記車載装置に対するアクセス権限を示すアクセス権限情報を対象にして前記符号鍵ツール記憶部に記憶される符号鍵で第2メッセージ認証符号を生成するメッセージ認証符号生成ステップと、前記第1メッセージ認証符号と前記アクセス権限情報と前記第2メッセージ認証符号とを前記車載装置へ送信するステップと、を実行させるためのコンピュータプログラムである。
(15)本発明の一態様は、車両に搭載されるコンピュータに、メンテナンスサーバ装置と通信を行うサーバ間通信ステップと、前記メンテナンスサーバ装置が記憶する符号鍵と同じ符号鍵を符号鍵車両記憶部に記憶する符号鍵車両記憶ステップと、前記メンテナンスサーバ装置へ送信した認証情報と前記メンテナンスサーバ装置から受信した第1メッセージ認証符号とを対象にして前記第1メッセージ認証符号を、前記符号鍵車両記憶部が記憶する符号鍵で検証し、前記メンテナンスサーバ装置から受信したアクセス権限情報と第2メッセージ認証符号を対象にして前記第2メッセージ認証符号を、前記符号鍵車両記憶部が記憶する符号鍵で検証する符号検証ステップと、を実行させるためのコンピュータプログラムである。
(16)本発明の一態様は、メンテナンスサーバ装置が、車両に搭載される車載装置に対するアクセス権限を示すセキュリティアクセス鍵を鍵登録鍵で暗号化して暗号化セキュリティアクセス鍵を生成するサーバ暗号処理ステップと、前記メンテナンスサーバ装置が、前記暗号化セキュリティアクセス鍵を前記車両のメンテナンスツールへ送信するステップと、前記メンテナンスツールが、前記暗号化セキュリティアクセス鍵を前記車載装置へ送信するステップと、前記メンテナンスツールが、前記セキュリティアクセス鍵を使用して前記車載装置との間で認証処理を実行するアクセス認証処理ステップと、前記車載装置が、前記メンテナンスサーバ装置の鍵登録鍵と同じ鍵登録鍵を記憶する鍵登録鍵車両記憶部を備え、前記車載装置が、前記暗号化セキュリティアクセス鍵を、前記鍵登録鍵車両記憶部が記憶する鍵登録鍵で復号する車両暗号処理ステップと、前記車載装置が、前記暗号化セキュリティアクセス鍵の復号結果のセキュリティアクセス鍵を使用して前記メンテナンスツールとの間で認証処理を実行する車両認証処理ステップと、を含む車両メンテナンス方法である。
(17)本発明の一態様は、管理サーバ装置と、車両のメンテナンスツールと、前記車両に搭載される車載装置とを備え、前記管理サーバ装置は、前記メンテナンスツールと通信を行うサーバ通信部と、前記メンテナンスツールを操作する作業員から通知された認可レベルが所定値であるか否かを確認し、前記認可レベルが所定値である場合に、認証局公開鍵証明書に対応する認証局秘密鍵を使用して作業員公開鍵証明書を発行するサーバ制御部と、を備え、前記メンテナンスツールは、前記管理サーバ装置と通信を行うサーバ間通信部と、前記車載装置と通信を行う車載装置間通信部と、前記作業員公開鍵証明書を使用して前記車載装置との間で認証処理を実行するツール制御部と、を備え、前記車載装置は、前記メンテナンスツールと通信を行うツール間通信部と、前記認証局公開鍵証明書を記憶する車両記憶部と、前記車両記憶部が記憶する前記認証局公開鍵証明書を使用して前記作業員公開鍵証明書を検証し、当該検証が合格である前記作業員公開鍵証明書を使用して、前記メンテナンスツールとの間の認証処理を実行する車載制御部と、を備える、車両メンテナンスシステムである。
(18)本発明の一態様は、前記作業員公開鍵証明書は、前記認可レベルを示す認可レベル情報を含むものである、上記(17)の車両メンテナンスシステムである。
(19)本発明の一態様は、前記ツール制御部は、前記作業員公開鍵証明書に対応する作業員秘密鍵を使用して、前記認可レベルを示す認可レベル情報の電子署名を生成し、前記電子署名付きの前記認可レベル情報を前記車載装置へ送信する、上記(17)の車両メンテナンスシステムである。
(20)本発明の一態様は、管理サーバ装置と、車両に搭載される車載装置とを備え、前記管理サーバ装置は、前記車両のメンテナンスの作業員が操作する端末装置と通信を行う端末間通信部と、前記車両と通信を行う車両間通信部と、前記作業員から通知された認可レベルが所定値であるか否かを確認し、前記認可レベルが所定値である場合に、認証局公開鍵証明書に対応する認証局秘密鍵を使用して作業員公開鍵証明書を発行するサーバ制御部と、を備え、前記サーバ制御部は、前記作業員公開鍵証明書を使用して前記車載装置との間で認証処理を実行し、前記車載装置は、前記管理サーバ装置と通信を行うサーバ間通信部と、前記認証局公開鍵証明書を記憶する車両記憶部と、前記車両記憶部が記憶する前記認証局公開鍵証明書を使用して前記作業員公開鍵証明書を検証し、当該検証が合格である前記作業員公開鍵証明書を使用して、前記管理サーバ装置との間の認証処理を実行する車載制御部と、を備える、車両メンテナンスシステムである。
(21)本発明の一態様は、前記作業員公開鍵証明書は、前記認可レベルを示す認可レベル情報を含むものである、上記(20)の車両メンテナンスシステムである。
(22)本発明の一態様は、前記サーバ制御部は、前記作業員公開鍵証明書に対応する作業員秘密鍵を使用して、前記認可レベルを示す認可レベル情報の電子署名を生成し、前記電子署名付きの前記認可レベル情報を前記車載装置へ送信する、上記(20)の車両メンテナンスシステムである。
(23)本発明の一態様は、車両のメンテナンスの作業員から通知された認可レベルが所定値であるか否かを確認し、前記認可レベルが所定値である場合に、認証局公開鍵証明書に対応する認証局秘密鍵を使用して、前記車両に供給される作業員公開鍵証明書を発行するサーバ制御部、を備える管理サーバ装置である。
(24)本発明の一態様は、車両に搭載される車載装置において、認証局公開鍵証明書を記憶する車両記憶部と、前記車両記憶部が記憶する前記認証局公開鍵証明書を使用して、管理サーバ装置が発行した作業員公開鍵証明書を検証し、当該検証が合格である前記作業員公開鍵証明書を使用して、前記車両のメンテナンスにおける認証処理を実行する車載制御部と、を備える車載装置である。
(25)本発明の一態様は、コンピュータに、車両のメンテナンスの作業員から通知された認可レベルが所定値であるか否かを確認し、前記認可レベルが所定値である場合に、認証局公開鍵証明書に対応する認証局秘密鍵を使用して、前記車両に供給される作業員公開鍵証明書を発行するステップを実行させるためのコンピュータプログラムである。
(26)本発明の一態様は、車両に搭載されるコンピュータに、認証局公開鍵証明書を車両記憶部に記憶するステップと、前記車両記憶部が記憶する前記認証局公開鍵証明書を使用して、管理サーバ装置が発行した作業員公開鍵証明書を検証し、当該検証が合格である前記作業員公開鍵証明書を使用して、前記車両のメンテナンスにおける認証処理を実行するステップと、を実行させるためのコンピュータプログラムである。
(27)本発明の一態様は、管理サーバ装置が、車両のメンテナンスツールを操作する作業員から通知された認可レベルが所定値であるか否かを確認し、前記認可レベルが所定値である場合に、認証局公開鍵証明書に対応する認証局秘密鍵を使用して作業員公開鍵証明書を発行するステップと、前記メンテナンスツールが、前記作業員公開鍵証明書を使用して前記車両に搭載される車載装置との間で認証処理を実行するステップと、前記車載装置が、前記認証局公開鍵証明書を車両記憶部に記憶するステップと、前記車載装置が、前記車両記憶部が記憶する前記認証局公開鍵証明書を使用して前記作業員公開鍵証明書を検証し、当該検証が合格である前記作業員公開鍵証明書を使用して、前記メンテナンスツールとの間の認証処理を実行するステップと、を含む車両メンテナンス方法である。
(28)本発明の一態様は、管理サーバ装置が、車両のメンテナンスの作業員が操作する端末装置と通信を行うステップと、前記管理サーバ装置が、前記作業員から通知された認可レベルが所定値であるか否かを確認し、前記認可レベルが所定値である場合に、認証局公開鍵証明書に対応する認証局秘密鍵を使用して作業員公開鍵証明書を発行するステップと、前記管理サーバ装置が、前記作業員公開鍵証明書を使用して、前記車両に搭載される車載装置との間で認証処理を実行するステップと、前記車載装置が、前記認証局公開鍵証明書を車両記憶部に記憶するステップと、前記車載装置が、前記車両記憶部が記憶する前記認証局公開鍵証明書を使用して前記作業員公開鍵証明書を検証し、当該検証が合格である前記作業員公開鍵証明書を使用して、前記管理サーバ装置との間の認証処理を実行するステップと、を含む車両メンテナンス方法である。
本発明によれば、自動車等の車両の車載装置に対するアクセス権限の認証の仕組みを改善することができるという効果が得られる。
第1実施形態に係る車両メンテナンスシステム及び自動車の構成例を示す図である。 第1実施形態に係る実施形態に係るメンテナンスサーバ装置の機能構成例を示す図である。 第1実施形態に係るメンテナンスツールの機能構成例を示す図である。 第1実施形態に係るECUの機能構成例を示す図である。 第1実施形態に係る車両メンテナンス方法の例を示すシーケンスチャートである。 第2実施形態に係る車両メンテナンスシステム及び自動車の構成例を示す図である。 第2実施形態に係るメンテナンスサーバ装置の機能構成例を示す図である。 第2実施形態に係る操作端末の機能構成例を示す図である。 第2実施形態に係る車両メンテナンス方法の例を示すシーケンスチャートである。 第3実施形態に係る車両メンテナンスシステム及び自動車の構成例を示す図である。 第3実施形態に係るメンテナンスツールの機能構成例を示す図である。 第3実施形態に係るECUの機能構成例を示す図である。 第3実施形態に係る車両メンテナンス方法の例を示すシーケンスチャートである。 第3実施形態に係るCMAC算出対象の例を示す図である。 第3実施形態に係るCMAC算出対象の例を示す図である。 第4実施形態に係る車両メンテナンスシステム及び自動車の構成例を示す図である。 第4実施形態に係るメンテナンスサーバ装置の機能構成例を示す図である。 第4実施形態に係る車両メンテナンス方法の例を示すシーケンスチャートである。 第5実施形態に係る車両メンテナンスシステム及び自動車の構成例を示す図である。 第5実施形態に係る管理サーバ装置の機能構成例を示す図である。 第5実施形態に係るメンテナンスツールの機能構成例を示す図である。 第5実施形態に係るECUの機能構成例を示す図である。 第5実施形態に係る車両メンテナンス方法の例1を示すシーケンスチャートである。 第5実施形態に係る車両メンテナンス方法の例2を示すシーケンスチャートである。 第6実施形態に係る車両メンテナンスシステム及び自動車の構成例を示す図である。 第6実施形態に係る管理サーバ装置の機能構成例を示す図である。 第6実施形態に係る車両メンテナンス方法の例1を示すシーケンスチャートである。 第6実施形態に係る車両メンテナンス方法の例2を示すシーケンスチャートである。
以下、図面を参照し、本発明の実施形態について説明する。なお、以下に示す実施形態では、車両として自動車を例に挙げて説明する。また、アクセス権限の認証を行う対象の車載装置としてECU(電子制御装置)を例に挙げて説明する。
[第1実施形態]
図1は、第1実施形態に係る車両メンテナンスシステム及び自動車の構成例を示す図である。車両メンテナンスシステム1は、メンテナンスサーバ装置10と、メンテナンスツール30と、自動車50に搭載されるECU55とを備える。ECU55は、自動車50に搭載される車載装置であって、アクセス権限の認証を行う対象の車載装置である。メンテナンスサーバ装置10及びメンテナンスツール30は、通信ネットワーク20に通信接続される。メンテナンスサーバ装置10とメンテナンスツール30とは、通信ネットワーク20により相互に通信を行う。
通信ネットワーク20として、例えば、インターネット等の広域ネットワークを利用してもよく、又は、ローカルエリアネットワーク(Local Area Network:LAN)であってもよい。また、通信ネットワーク20は、有線ネットワーク若しくは無線ネットワークであってもよく、又は、有線ネットワークと無線ネットワークとの組合せであってもよい。
自動車50は、TCU(Tele Communication Unit)51と、車載インフォテイメント(In-Vehicle Infotainment:IVI)機器52と、ゲートウェイ(GW)装置53と、通信ネットワーク54と、複数のECU55と、メンテナンスポート56とを備える。
ECU55は、自動車50に備わる車載コンピュータである。ECU55は、自動車50のエンジン制御等の制御機能を有する。ECU55として、例えば、エンジン制御機能を有するECU、ハンドル制御機能を有するECU、ブレーキ制御機能を有するECUなどがある。GW装置53は、自動車50に搭載されたECU55に適用されるデータのセキュリティ(保安)の機能を有する。なお、自動車50に搭載されたいずれかのECUをGW装置53として機能させてもよい。
GW装置53と複数のECU55は、自動車50に備わる通信ネットワーク(以下、車載ネットワークと称する)54に接続される。GW装置53は、車載ネットワーク54を介して、各ECU55との間でデータを交換する。ECU55は、車載ネットワーク54を介して、他のECU55との間でデータを交換する。本実施形態の一例として、車載ネットワーク54は、CAN(Controller Area Network)である。CANは車両に搭載される通信ネットワークの一例として知られている。CANに接続される送信ノードと受信ノードとは、CANを介してCANパケットを送受することにより、通信を行う。
なお、車両に搭載される通信ネットワークとして、CAN以外の通信ネットワークを自動車50に備え、CAN以外の通信ネットワークを介して、GW装置53とECU55との間のデータの交換、及び、ECU55同士の間のデータの交換が行われてもよい。例えば、LIN(Local Interconnect Network)を自動車50に備えてもよい。また、CANとLINとを自動車50に備えてもよい。
自動車50の車載コンピュータシステムは、GW装置53と複数のECU55とが車載ネットワーク54に接続されて構成される。GW装置53は、自動車50の車載コンピュータシステムの内部と外部の間の通信を監視する。ECU55は、GW装置53を介して、車載コンピュータシステムの外部の装置と通信を行う。
なお、車載ネットワーク54の構成として、車載ネットワーク54が複数のバス(通信線)を備え、該複数のバスをGW装置53に接続してもよい。この場合、一つのバスに、一つのECU55又は複数のECU55が接続される。
TCU51は通信装置である。TCU51は、自動車50の車外の装置と通信を行う。TCU51は、例えば、携帯電話ネットワークや無線LAN等の無線通信ネットワークを利用して自動車50の外部の装置と通信を行う。また、TCU51は、例えばBluetooth(登録商標)等の近距離無線通信方式により、自動車50の外部の装置と通信を行ってもよい。
IVI機器52は、例えば、ナビゲーション機能、位置情報サービス機能、音楽や動画などのマルチメディア再生機能、音声通信機能、データ通信機能、インターネット接続機能などを備える。IVI機器52は、ユーザの操作に応じたデータ入力を行うための、キーボード、テンキー、マウス等の入力デバイスと、データ表示を行うための液晶表示装置等の表示デバイスとを備える。IVI機器52は、データ入力とデータ表示の両方が可能なタッチパネルを備えてもよい。
自動車50はメンテナンスポート56を備える。メンテナンスポート56はGW装置53に接続される。メンテナンスポート56として、例えばOBD(On-board Diagnostics)ポートを使用してもよい。メンテナンスポート56には、端末装置を接続可能である。メンテナンスポート56に接続可能な端末装置として、例えば、図1に示されるメンテナンスツール30がある。GW装置53と、メンテナンスポート56に接続された装置、例えばメンテナンスツール30とは、メンテナンスポート56を介して、データを交換する。
TCU51は、IVI機器52とGW装置53とに接続されている。IVI機器52は、TCU51とGW装置53とに接続されている。IVI機器52は、GW装置53を介してECU55と通信を行う。IVI機器52は、TCU51を介して、自動車50の車外の装置と通信を行う。ECU55は、GW装置53及びTCU51を介して、自動車50の車外の装置と通信を行う。また、ECU55は、GW装置53及びメンテナンスポート56を介して、自動車50の車外の装置と通信を行う。
図1に示されるメンテナンスツール30は、例えば、自動車の整備工場や販売店等において、自動車50に対してメンテナンス(保守)作業を行う場合に、当該自動車50のメンテナンスポート56に接続される。メンテナンス作業員は、メンテナンスツール30を操作して、自動車50のメンテナンス項目を実施する。自動車50のメンテナンス項目として、例えば、ECU55やIVI機器52やGW装置53等の車載装置に対して行われる、診断、コンピュータプログラムの更新、パラメータの設定、及び装置の初期化や最新化などが挙げられる。
なお、メンテナンスツール30は、近距離無線通信方式により、自動車50のTCU51と通信を行ってもよい。この場合、メンテナンスツール30は、TCU51を介して、GW装置53やECU55等の車載装置とデータを交換する。
図2は、本実施形態に係るメンテナンスサーバ装置の機能構成例を示す図である。図2に示されるメンテナンスサーバ装置10の各機能は、メンテナンスサーバ装置10が備えるCPU(Central Processing Unit:中央演算処理装置)がコンピュータプログラムを実行することにより実現される。なお、メンテナンスサーバ装置10として、汎用のコンピュータ装置を使用して構成してもよく、又は、専用のハードウェア装置として構成してもよい。
図2において、メンテナンスサーバ装置10は、サーバ通信部61と、サーバ記憶部13と、サーバ暗号処理部62と、鍵生成部64とを備える。
サーバ通信部61は、通信ネットワーク20によりメンテナンスツール30と通信を行う。
サーバ記憶部13は、ツール鍵登録鍵K_tiと、鍵登録鍵K_mとを記憶する。ツール鍵登録鍵K_ti及び鍵登録鍵K_mは、予め、メンテナンスサーバ装置10に設定される。ツール鍵登録鍵K_tiは、メンテナンスサーバ装置10とメンテナンスツール30とに同じものが予め設定される。鍵登録鍵K_mは、メンテナンスサーバ装置10とECU55とに同じものが予め設定される。
ツール鍵登録鍵K_ti及び鍵登録鍵K_mの生成方法の例を以下に示す。ツール鍵登録鍵K_ti及び鍵登録鍵K_mの生成には、所定の鍵導出関数(Key Development Function)KDFが使用される。
K_ti=KDF(共通マスタ鍵、端末ID、KID0)
K_m=KDF(共通マスタ鍵、VIN、KID1)
ここで、端末IDは、メンテナンスツール30の端末識別情報である。VINは、自動車50の車両識別番号(Vehicle Identification Number)である。KID0及びKID1は、鍵種別情報であって、KID0はツール鍵登録鍵を示すものであり、KID1は鍵登録鍵を示すものである。共通マスタ鍵は、予め、メンテナンスサーバ装置10に設定される。
KDF(A、B、C)は、例えば、AとBとCを使用して生成されるダイジェストである。ダイジェストとして、例えば、ハッシュ(hash)関数により算出される値、又は、排他的論理和演算により算出される値などが挙げられる。例えば、鍵登録鍵K_mは、共通マスタ鍵とVINとKID1とを入力値に使用して算出されるハッシュ関数値である。また、ダイジェストとして、CMAC(Cipher-based Message Authentication Code)を使用してもよい。この場合、KDF(A、B、C)において、鍵AはCMACの生成に使用される鍵であり、データB及びデータC(データBとデータCを連結したデータ)はCMACの生成対象のデータである。これにより、鍵登録鍵K_mは、共通マスタ鍵をCMAC生成鍵に使用して生成される「VINとKID1のCMAC」である。
上記したKDFによれば、メンテナンスツール毎に異なるツール鍵登録鍵K_tiを生成することができる。また、自動車毎に異なる鍵登録鍵K_mを生成することができる。また、共通マスタ鍵が安全に保管されることによって、ツール鍵登録鍵K_ti及び鍵登録鍵K_mの偽造等の不正行為を防止することができる。なお、ツール鍵登録鍵K_ti及び鍵登録鍵K_mは、上記したKDFによる算出値に限定されない。
サーバ暗号処理部62は、暗号化処理等の暗号処理を実行する。
鍵生成部64は、ECU55に対するアクセス権限を示すセキュリティアクセス鍵K_saを生成する。ECU55に対するアクセス権限は、ECU55に対してアクセスすることができる範囲である。アクセス権限は、メンテナンスツール30のユーザのユーザ属性に応じて決定される。
セキュリティアクセス鍵K_saの生成方法の例を以下に示す。セキュリティアクセス鍵K_saの生成には、上記したKDFが使用される。
K_sa=KDF(共通マスタ鍵、VIN又はECU_venderID、SAID)
ここで、ECU_venderIDは、ECU55のベンダの識別情報(ECUベンダ識別情報)である。VIN又はECU_venderIDのいずれを使用するのかは予め定められる。
SAIDは、ECU55に対するアクセス権限の識別情報(アクセス権限ID)である。SAIDは、予め、メンテナンスサーバ装置10に保持される。SAIDは、ユーザ属性の種別毎に、特定のSAIDが対応付けられてメンテナンスサーバ装置10に保持される。ユーザ属性の種別として、例えば、自動車に関係するユーザ身分が挙げられる。自動車に関係するユーザ身分は、例えば、ユーザの所属先や、ユーザと自動車との関係などである。ユーザの所属先として、例えば、自動車メーカ、ECU等の車載装置のベンダ(車載装置ベンダ)、自動車の正規販売店、自動車整備工場などが挙げられる。ユーザと自動車との関係として、例えば、自動車の所有者、自動車の使用者などが挙げられる。
例えば、ユーザの所属先「自動車メーカ」には全てのメンテナンス項目が実行できるSAIDが対応付けられる。一方、ユーザの所属先「ECUベンダ」、「自動車の正規販売店」及び「自動車整備工場」には、一部のメンテナンス項目のみが実行できるSAIDが対応付けられる。また、ユーザと自動車との関係「自動車の所有者」には、ごく一部のメンテナンス項目のみが実行できるSAIDが対応付けられる。また、ユーザと自動車との関係「自動車の使用者」には、ごくごく一部のメンテナンス項目のみが実行できるSAID又は全てのメンテナンス項目が実行不可のSAIDが対応付けられる。
なお、セキュリティアクセス鍵K_saは、上記したKDFによる算出値に限定されない。例えば、128ビット長のAES(Advanced Encryption Standard)方式の共通鍵を、セキュリティアクセス鍵に使用してもよい。
図3は、本実施形態に係るメンテナンスツールの機能構成例を示す図である。図3に示されるメンテナンスツール30の各機能は、メンテナンスツール30が備えるCPUがコンピュータプログラムを実行することにより実現される。なお、メンテナンスツール30として、汎用のコンピュータ装置を使用して構成してもよく、又は、専用のハードウェア装置として構成してもよい。また、メンテナンスツール30として、スマートフォン等の携帯通信端末装置、タブレット型のコンピュータ装置(タブレットPC)などを利用してもよい。
図3において、メンテナンスツール30は、サーバ間通信部31と、メンテナンス操作部33と、車載装置間通信部75と、アクセス認証処理部76と、ツール記憶部73と、ツール暗号処理部74とを備える。サーバ間通信部31は、通信ネットワーク20によりメンテナンスサーバ装置10と通信を行う。車載装置間通信部75は、自動車50のECU55と通信を行う。
メンテナンス操作部33は、メンテナンス作業員がメンテナンス対象の自動車50に対するメンテナンス作業の操作を行うためのユーザインタフェースである。メンテナンス操作部33は、ユーザの操作に応じたデータ入力を行うための、キーボード、テンキー、マウス等の入力デバイスと、データ表示を行うための液晶表示装置等の表示デバイスとを備える。メンテナンス操作部33は、データ入力とデータ表示の両方が可能なタッチパネルを備えてもよい。
アクセス認証処理部76は、セキュリティアクセス鍵K_saを使用して、自動車50のECU55との間で認証処理を実行する。
ツール記憶部73は、ツール鍵登録鍵K_tiを記憶する。ツール鍵登録鍵K_tiは、予め、メンテナンスツール30に設定される。ツール鍵登録鍵K_tiは、メンテナンスサーバ装置10のサーバ記憶部13に記憶されるものと同じである。また、ツール記憶部73は、メンテナンスサーバ装置10から供給されるセキュリティアクセス鍵K_saを記憶する。
なお、ツール記憶部73は、セキュアエレメント(Secure Element:SE)であることが好ましい。セキュアエレメントは、耐タンパー性(Tamper Resistant)を有するので、セキュアエレメントであるツール記憶部73に記憶されるツール鍵登録鍵K_ti及びセキュリティアクセス鍵K_saの安全性が向上する。
ツール暗号処理部74は、暗号化処理等の暗号処理を実行する。
なお、アクセス認証処理部76及びツール暗号処理部74は、セキュアエレメントであることが好ましい。さらには、アクセス認証処理部76、ツール暗号処理部74及びツール記憶部73は、同じセキュアエレメントであることが好ましい。
図4は、本実施形態に係るECUの機能構成例を示す図である。図4に示されるECU55の各機能は、ECU55が備えるCPUがコンピュータプログラムを実行することにより実現される。図4において、ECU55は、ECU通信部551と、ECU記憶部552と、車両暗号処理部541と、車両認証処理部542とを備える。
ECU通信部551は、車載ネットワーク54を介して、GW装置53や他のECU55などと通信を行う。また、ECU通信部551は、GW装置53を介して、メンテナンスツール30等の自動車50の車外の装置と通信を行う。
ECU記憶部552は、鍵登録鍵K_mを記憶する。鍵登録鍵K_mは、予め、ECU55に設定される。例えば自動車50の製造工場等で、鍵登録鍵K_mがECU55に設定される。鍵登録鍵K_mは、メンテナンスサーバ装置10のサーバ記憶部13に記憶されるものと同じである。また、ECU55は、メンテナンスサーバ装置10から供給されるセキュリティアクセス鍵K_saを記憶する。
なお、ECU記憶部552は、セキュアエレメントであることが好ましい。セキュアエレメントは、耐タンパー性を有するので、セキュアエレメントであるECU記憶部552に記憶される鍵登録鍵K_m及びセキュリティアクセス鍵K_saの安全性が向上する。
車両暗号処理部541は、復号処理等の暗号処理を実行する。
車両認証処理部542は、メンテナンスサーバ装置10から供給されるセキュリティアクセス鍵K_saを使用して、メンテナンスツール30との間で認証処理を実行する。
なお、車両暗号処理部541及び車両認証処理部542は、セキュアエレメントであることが好ましい。さらには、車両暗号処理部541、車両認証処理部542及びECU記憶部552は、同じセキュアエレメントであることが好ましい。
次に図5を参照して、本実施形態に係る車両メンテナンス方法の例を説明する。図5は、本実施形態に係る車両メンテナンス方法の例を示すシーケンスチャートである。図5において、メンテナンスツール30は、メンテナンス対象の自動車50(以下、単に自動車50と称する)のメンテナンスポート56に接続されている。
(ステップS101) メンテナンス作業員は、メンテナンスツール30により、メンテナンスサーバ装置10へのログイン操作を行う。メンテナンスツール30は、ログイン操作に応じて、メンテナンスサーバ装置10へログイン要求メッセージを送信する。メンテナンスサーバ装置10は、メンテナンスツール30から受信したログイン要求メッセージに応じてユーザ認証を行う。ユーザ認証方法は、例えば、ユーザ識別情報(ユーザID)とパスワードとの組を使用するものであってもよく、又は、生体認証であってもよい。
ユーザ認証が合格である場合には、メンテナンスツール30からメンテナンスサーバ装置10へのログインは成功である。一方、ユーザ認証が不合格である場合には、メンテナンスツール30からメンテナンスサーバ装置10へのログインは失敗である。ログインが成功である場合には以降の処理に進む。一方、ログインが失敗である場合には、図5の処理を終了する。
なお、ログインが失敗である場合には、メンテナンスサーバ装置10は所定のエラー処理を実行してもよい。例えば、当該エラー処理として、メンテナンスサーバ装置10は、ログイン失敗のユーザIDをログイン禁止に設定したり、ログイン失敗を報知するアラームを所定の報告先へ通知したりしてもよい。
(ステップS102) メンテナンス作業員は、メンテナンスツール30により、メンテナンス対象のECU55(以下、単にECU55と称する)のECU_venderIDをメンテナンスサーバ装置10へ送信する操作を行う。メンテナンスツール30は、当該送信操作に応じて、メンテナンスサーバ装置10へECU_venderIDを送信する。
(ステップS103) メンテナンスサーバ装置10の鍵生成部64は、メンテナンスツール30から受信したECU_venderIDと、当該メンテナンスツール30のログインのユーザIDのユーザ属性に対応するSAIDとを使用して、上記したKDFによりセキュリティアクセス鍵K_saを生成する。ここでは、上記したKDFにおいて、VIN又はECU_venderIDのうちECU_venderIDがセキュリティアクセス鍵K_saの生成に使用される。
サーバ暗号処理部62は、セキュリティアクセス鍵K_saをサーバ記憶部13に記憶されるツール鍵登録鍵K_tiで暗号化して暗号化セキュリティアクセス鍵K_ti(K_sa)を生成する。メンテナンスサーバ装置10は、暗号化セキュリティアクセス鍵K_ti(K_sa)をメンテナンスツール30へ送信する。
メンテナンスツール30のツール暗号処理部74は、メンテナンスサーバ装置10から受信した暗号化セキュリティアクセス鍵K_ti(K_sa)を、ツール記憶部73が記憶するツール鍵登録鍵K_tiで復号する。ツール記憶部73は、復号結果のセキュリティアクセス鍵K_saを記憶する。
なお、セキュリティアクセス鍵K_saは、予め、メンテナンスサーバ装置10等のセキュリティアクセス鍵保管装置に安全に保管されていてもよい。この場合、メンテナンスサーバ装置10は、ログインされたメンテナンスツール30のユーザIDのユーザ属性に対応するセキュリティアクセス鍵K_saをセキュリティアクセス鍵保管装置から取得し、取得したセキュリティアクセス鍵K_saをサーバ暗号処理部62により暗号化して暗号化セキュリティアクセス鍵K_ti(K_sa)を生成する。
(ステップS104) メンテナンスサーバ装置10のサーバ暗号処理部62は、セキュリティアクセス鍵K_saをサーバ記憶部13に記憶される鍵登録鍵K_mで暗号化して暗号化セキュリティアクセス鍵K_m(K_sa)を生成する。メンテナンスサーバ装置10は、暗号化セキュリティアクセス鍵K_m(K_sa)をメンテナンスツール30へ送信する。メンテナンスツール30は、メンテナンスサーバ装置10から、暗号化セキュリティアクセス鍵K_m(K_sa)を受信する。
(ステップS105) メンテナンス作業員は、メンテナンスツール30により、自動車50に対するメンテナンス開始操作を行う。メンテナンスツール30は、メンテナンス開始操作に応じて、自動車50のECU55へメンテナンス開始要求メッセージを送信する。
(ステップS106) 自動車50のECU55の車両認証処理部542は、メンテナンスツール30から受信したメンテナンス開始要求メッセージに応じて、認証情報nonceをメンテナンスツール30へ送信する。認証情報nonceは、例えば乱数に基づいた値である。メンテナンスツール30は、認証情報nonceを自動車50のECU55から受信する。
(ステップS107) メンテナンスツール30は、メンテナンスサーバ装置10から受信した暗号化セキュリティアクセス鍵K_m(K_sa)を、自動車50のECU55へ送信する。自動車50のECU55は、メンテナンスツール30から、暗号化セキュリティアクセス鍵K_m(K_sa)を受信する。
(ステップS108) メンテナンスツール30のアクセス認証処理部76は、自動車50のECU55から受信した認証情報nonceを対象にして、ツール記憶部73に記憶されるセキュリティアクセス鍵K_saでCMAC「CMAC_K_sa(nonce)」を生成する。メンテナンスツール30は、CMAC_K_sa(nonce)を、自動車50のECU55へ送信する。自動車50のECU55は、メンテナンスツール30から、CMAC_K_sa(nonce)を受信する。
(ステップS109) 自動車50のECU55の車両暗号処理部541は、メンテナンスツール30から受信した暗号化セキュリティアクセス鍵K_m(K_sa)を、ECU記憶部552が記憶する鍵登録鍵K_mで復号する。ECU記憶部552は、復号結果のセキュリティアクセス鍵K_saを記憶する。
ECU55の車両認証処理部542は、認証情報nonceとメンテナンスツール30から受信したCMAC_K_sa(nonce)とを対象にして、当該CMAC_K_sa(nonce)を、ECU記憶部552が記憶するセキュリティアクセス鍵K_saで検証する。当該CMAC_K_sa(nonce)の検証が合格である場合には、メンテナンスツール30の正当性認証が合格であって、セキュリティアクセス鍵K_saが示すアクセス権限の認証が合格である。ECU55は、認証が合格したセキュリティアクセス鍵K_saが示すアクセス権限を認識する。この後、以降の処理に進む。一方、当該CMAC_K_sa(nonce)の検証が不合格である場合には、メンテナンスツール30bの認証が不合格であり、図5の処理を終了する。
ECU55は、アクセス権限の認証結果に基づいて、メンテナンスツール30へ、アクセスの許可又は拒否を通知する。ECU55は、アクセス権限の認証が合格である場合には、アクセスの許可を、メンテナンスツール30へ通知する。一方、ECU55は、アクセス権限が不合格である場合には、アクセスの拒否を、メンテナンスツール30へ通知する。
メンテナンスツール30は、自動車50のECU55から受信したアクセスの許可又は拒否の通知を、画面表示等で報知する。また、メンテナンスツール30は、自己が保持する暗号化セキュリティアクセス鍵K_m(K_sa)とCMAC_K_sa(nonce)とを消去する。
メンテナンス作業員は、アクセスの許可又は拒否の通知がアクセスの許可である場合、メンテナンスツール30により、ECU55に対する所望のメンテナンス作業を実行する。自動車50のECU55は、認識したアクセス権限に基づいて、メンテナンスツール30により実行されるメンテナンス作業を許可するか否かを判断する。当該判断の結果、許可されたメンテナンス作業は実行されるが、許可されなかったメンテナンス作業は実行されない。
なお、メンテナンスツール30の正当性認証が不合格である場合には、ECU55は所定のエラー処理を実行してもよい。例えば、当該エラー処理として、ECU55は、認証が不合格のメンテナンスツール30をアクセス禁止に設定したり、メンテナンスツール30の認証の不合格を報知するアラームを所定の報告先へ通知したりしてもよい。
上述した第1実施形態によれば、メンテナンスツール30によりECU55のメンテナンス作業が行われる際に、ECU55に対するアクセス権限を示すセキュリティアクセス鍵K_saがメンテナンスサーバ装置10からECU55へ供給され、当該セキュリティアクセス鍵K_saを使用して、メンテナンスツール30とECU55との間で認証処理が実行される。これにより、認証対象のアクセス権限の種別毎に個別の認証鍵をECU55に対して設定しなくてもよい。このように本実施形態によれば、自動車50の車載装置の認証の仕組みを改善することができるという効果が得られる。
[第2実施形態]
図6は、第2実施形態に係る車両メンテナンスシステム及び自動車の構成例を示す図である。図6において図1の各部に対応する部分には同一の符号を付け、その説明を省略する。図6に示される車両メンテナンスシステム1aは、メンテナンスサーバ装置10aと、操作端末30aと、自動車50に搭載されるECU55とを備える。メンテナンスサーバ装置10aと操作端末30aとは、通信ネットワーク20により相互に通信を行う。自動車50のメンテナンスポート56には、操作端末30aを接続可能である。ECU55と、メンテナンスポート56に接続された操作端末30aとは、メンテナンスポート56及びGW装置53を介して、データを交換する。
操作端末30aは、例えば、自動車の整備工場や販売店等において、自動車50に対してメンテナンス(保守)作業を行う場合に、当該自動車50のメンテナンスポート56に接続される。メンテナンス作業員は、操作端末30aを操作して、自動車50のメンテナンス項目を実施する。自動車50のメンテナンス項目として、例えば、ECU55やIVI機器52やGW装置53等の車載装置に対して行われる、診断、コンピュータプログラムの更新、パラメータの設定、及び装置の初期化や最新化などが挙げられる。
図7は、本実施形態に係るメンテナンスサーバ装置の機能構成例を示す図である。図7において図2の各部に対応する部分には同一の符号を付け、その説明を省略する。図7に示されるメンテナンスサーバ装置10aは、端末間通信部11と、車両間通信部12と、サーバ記憶部13と、サーバ暗号処理部62と、メッセージ認証符号(MAC)生成部63と、鍵生成部64とを備える。
端末間通信部11は、通信ネットワーク20により操作端末30aと通信を行う。車両間通信部12は、メンテナンス対象の自動車50と通信を行う。図6の構成例では、車両間通信部12は、通信ネットワーク20及び操作端末30aを介して、メンテナンス対象の自動車50と通信を行う。サーバ記憶部13は、鍵登録鍵K_mを記憶する。MAC生成部63は、CMACを生成する。
図8は、本実施形態に係る操作端末の機能構成例を示す図である。図8に示される操作端末30aの各機能は、操作端末30aが備えるCPUがコンピュータプログラムを実行することにより実現される。なお、操作端末30aとして、汎用のコンピュータ装置を使用して構成してもよく、又は、専用のハードウェア装置として構成してもよい。また、操作端末30aとして、スマートフォン等の携帯通信端末装置、タブレット型のコンピュータ装置(タブレットPC)などを利用してもよい。
図8において、操作端末30aは、サーバ間通信部31と、サーバ・車両間中継部32と、メンテナンス操作部33とを備える。サーバ間通信部31は、通信ネットワーク20によりメンテナンスサーバ装置10aと通信を行う。サーバ・車両間中継部32は、メンテナンスサーバ装置10aとメンテナンス対象の自動車50との間の通信の中継を行う。メンテナンス操作部33は、図3に示されるメンテナンスツール30のものと同じである。
ECU55は、第1実施形態と同様のものであって、図4に示される構成である。
次に図9を参照して、本実施形態に係る車両メンテナンス方法の例を説明する。図9は、本実施形態に係る車両メンテナンス方法の例を示すシーケンスチャートである。図9において、操作端末30aは、メンテナンス対象の自動車50(以下、単に自動車50と称する)のメンテナンスポート56に接続されている。
(ステップS111) メンテナンス作業員は、操作端末30aにより、メンテナンスサーバ装置10aへのログイン操作を行う。操作端末30aは、ログイン操作に応じて、メンテナンスサーバ装置10aへログイン要求メッセージを送信する。メンテナンスサーバ装置10aは、操作端末30aから受信したログイン要求メッセージに応じてユーザ認証を行う。ユーザ認証方法は、例えば、ユーザIDとパスワードとの組を使用するものであってもよく、又は、生体認証であってもよい。
ユーザ認証が合格である場合には、操作端末30aからメンテナンスサーバ装置10aへのログインは成功である。一方、ユーザ認証が不合格である場合には、操作端末30aからメンテナンスサーバ装置10aへのログインは失敗である。ログインが成功である場合には以降の処理に進む。一方、ログインが失敗である場合には、図9の処理を終了する。
なお、ログインが失敗である場合には、メンテナンスサーバ装置10aは所定のエラー処理を実行してもよい。例えば、当該エラー処理として、メンテナンスサーバ装置10aは、ログイン失敗のユーザIDをログイン禁止に設定したり、ログイン失敗を報知するアラームを所定の報告先へ通知したりしてもよい。
(ステップS112) メンテナンス作業員は、操作端末30aにより、メンテナンス対象のECU55(以下、単にECU55と称する)のECU_venderIDをメンテナンスサーバ装置10aへ送信する操作を行う。操作端末30aは、当該送信操作に応じて、メンテナンスサーバ装置10aへECU_venderIDを送信する。
メンテナンスサーバ装置10aの鍵生成部64は、操作端末30aから受信したECU_venderIDと、当該操作端末30aのログインのユーザIDのユーザ属性に対応するSAIDとを使用して、上記したKDFによりセキュリティアクセス鍵K_saを生成する。ここでは、上記したKDFにおいて、VIN又はECU_venderIDのうちECU_venderIDがセキュリティアクセス鍵K_saの生成に使用される。
なお、セキュリティアクセス鍵K_saは、予め、メンテナンスサーバ装置10a等のセキュリティアクセス鍵保管装置に安全に保管されていてもよい。この場合、メンテナンスサーバ装置10aは、ログインされた操作端末30aのユーザIDのユーザ属性に対応するセキュリティアクセス鍵K_saをセキュリティアクセス鍵保管装置から取得する。
(ステップS113) メンテナンス作業員は、操作端末30aにより、自動車50に対するメンテナンス開始操作を行う。操作端末30aは、メンテナンス開始操作に応じて、メンテナンスサーバ装置10aへメンテナンス開始要求メッセージを送信する。メンテナンスサーバ装置10aは、操作端末30aからメンテナンス開始要求メッセージを受信すると、メンテナンス開始要求メッセージを自動車50のECU55へ送信する。
以降、メンテナンスサーバ装置10aと自動車50のECU55との間の通信は、操作端末30aのサーバ・車両間中継部32を介して中継される。操作端末30aは、メンテナンスサーバ装置10aと自動車50のECU55との間の通信の中継を行うが、当該通信の内容を取り扱わない。また、メンテナンスサーバ装置10aと自動車50のECU55との間の通信は、暗号化通信路によって、操作端末30aに対して秘匿されてもよい。
(ステップS114) 自動車50のECU55の車両認証処理部542は、メンテナンスサーバ装置10aから受信したメンテナンス開始要求メッセージに応じて、認証情報nonceをメンテナンスサーバ装置10aへ送信する。認証情報nonceは、例えば乱数に基づいた値である。メンテナンスサーバ装置10aは、認証情報nonceを自動車50のECU55から受信する。
(ステップS115) メンテナンスサーバ装置10aのサーバ暗号処理部62は、セキュリティアクセス鍵K_saをサーバ記憶部13に記憶される鍵登録鍵K_mで暗号化して暗号化セキュリティアクセス鍵K_m(K_sa)を生成する。メンテナンスサーバ装置10aは、暗号化セキュリティアクセス鍵K_m(K_sa)を自動車50のECU55へ送信する。自動車50のECU55は、メンテナンスサーバ装置10aから、暗号化セキュリティアクセス鍵K_m(K_sa)を受信する。
(ステップS116) メンテナンスサーバ装置10aのMAC生成部63は、認証情報nonceを対象にしてサーバ記憶部13に記憶されるセキュリティアクセス鍵K_saでCMAC「CMAC_K_sa(nonce)」を生成する。メンテナンスサーバ装置10aは、CMAC_K_sa(nonce)を自動車50のECU55へ送信する。自動車50のECU55は、メンテナンスサーバ装置10aから、CMAC_K_sa(nonce)を受信する。
(ステップS117) 自動車50のECU55の車両暗号処理部541は、メンテナンスサーバ装置10aから受信した暗号化セキュリティアクセス鍵K_m(K_sa)を、ECU記憶部552が記憶する鍵登録鍵K_mで復号する。ECU記憶部552は、復号結果のセキュリティアクセス鍵K_saを記憶する。
ECU55の車両認証処理部542は、認証情報nonceとメンテナンスサーバ装置10aから受信したCMAC_K_sa(nonce)とを対象にして、当該CMAC_K_sa(nonce)を、ECU記憶部552が記憶するセキュリティアクセス鍵K_saで検証する。当該CMAC_K_sa(nonce)の検証が合格である場合には、操作端末30aの正当性認証が合格であって、セキュリティアクセス鍵K_saが示すアクセス権限の認証が合格である。ECU55は、認証が合格したセキュリティアクセス鍵K_saが示すアクセス権限を認識する。この後、以降の処理に進む。一方、当該CMAC_K_sa(nonce)の検証が不合格である場合には、操作端末30aの認証が不合格であり、図9の処理を終了する。
ECU55は、アクセス権限の認証結果に基づいて、メンテナンスサーバ装置10aへ、アクセスの許可又は拒否を通知する。ECU55は、アクセス権限の認証が合格である場合には、アクセスの許可を、メンテナンスサーバ装置10aへ通知する。一方、ECU55は、アクセス権限が不合格である場合には、アクセスの拒否を、メンテナンスサーバ装置10aへ通知する。
メンテナンスサーバ装置10aは、自動車50のECU55から受信したアクセスの許可又は拒否の通知を、操作端末30aへ送信する。操作端末30aは、メンテナンスサーバ装置10aから受信したアクセスの許可又は拒否の通知を、画面表示等で報知する。
メンテナンス作業員は、アクセスの許可又は拒否の通知がアクセスの許可である場合、操作端末30aにより、ECU55に対する所望のメンテナンス作業を実行する。自動車50のECU55は、認識したアクセス権限に基づいて、操作端末30aにより実行されるメンテナンス作業を許可するか否かを判断する。当該判断の結果、許可されたメンテナンス作業は実行されるが、許可されなかったメンテナンス作業は実行されない。
なお、操作端末30aの正当性認証が不合格である場合には、ECU55は所定のエラー処理を実行してもよい。例えば、当該エラー処理として、ECU55は、認証が不合格の操作端末30aをアクセス禁止に設定したり、操作端末30aの認証の不合格を報知するアラームを所定の報告先へ通知したりしてもよい。
上述した第2実施形態によれば、操作端末30aによりECU55のメンテナンス作業が行われる際に、ECU55に対するアクセス権限を示すセキュリティアクセス鍵K_saがメンテナンスサーバ装置10aからECU55へ供給され、当該セキュリティアクセス鍵K_saを使用して、メンテナンスサーバ装置10aとECU55との間で認証処理が実行される。これにより、認証対象のアクセス権限の種別毎に個別の認証鍵をECU55に対して設定しなくてもよい。このように本実施形態によれば、自動車50の車載装置の認証の仕組みを改善することができるという効果が得られる。
[第3実施形態]
図10は、第3実施形態に係る車両メンテナンスシステム及び自動車の構成例を示す図である。図10において図1の各部に対応する部分には同一の符号を付け、その説明を省略する。図10に示される車両メンテナンスシステム1bは、メンテナンスツール30bと、自動車50に搭載されるECU55bとを備える。自動車50のメンテナンスポート56には、メンテナンスツール30bを接続可能である。ECU55bと、メンテナンスポート56に接続されたメンテナンスツール30bとは、メンテナンスポート56及びGW装置53を介して、データを交換する。
図10に示されるメンテナンスツール30bは、図1に示されるメンテナンスツール30と同様に、例えば、自動車の整備工場や販売店等において、自動車50に対してメンテナンス(保守)作業を行う場合に、当該自動車50のメンテナンスポート56に接続される。メンテナンス作業員は、メンテナンスツール30bを操作して、自動車50のメンテナンス項目を実施する。自動車50のメンテナンス項目として、例えば、ECU55やIVI機器52やGW装置53等の車載装置に対して行われる、診断、コンピュータプログラムの更新、パラメータの設定、及び装置の初期化や最新化などが挙げられる。
図11は、本実施形態に係るメンテナンスツールの機能構成例を示す図である。図11において図3の各部に対応する部分には同一の符号を付け、その説明を省略する。図11に示されるメンテナンスツール30bは、メンテナンス操作部33と、車載装置間通信部75と、ツール記憶部73と、MAC生成部63とを備える。MAC生成部63は、図7に示されるメンテナンスサーバ装置10aのものと同様である。ツール記憶部73は、符号鍵K_macを記憶する。符号鍵K_macは、予め、メンテナンスツール30bに設定される。
符号鍵K_macの生成方法の例を以下に示す。符号鍵K_macの生成には、上記したKDFが使用される。
K_mac=KDF(共通マスタ鍵、VIN又はECU_venderID、KID2)
ここで、KID2は、符号鍵を示す鍵種別情報である。VIN又はECU_venderIDのいずれを使用するのかは予め定められる。
なお、ツール記憶部73及びMAC生成部63は、セキュアエレメントであることが好ましい。さらには、ツール記憶部73及びMAC生成部63は、同じセキュアエレメントであることが好ましい。
図12は、本実施形態に係るECUの機能構成例を示す図である。図12において図4の各部に対応する部分には同一の符号を付け、その説明を省略する。図12に示されるECU55bは、ECU通信部551と、ECU記憶部552と、メッセージ認証符号(MAC)検証部543とを備える。ECU記憶部552は、符号鍵K_macを記憶する。符号鍵K_macは、予め、ECU55bに設定される。例えば自動車50の製造工場等で、符号鍵K_macがECU55bに設定される。符号鍵K_macは、メンテナンスツール30bのツール記憶部73に記憶されるものと同じである。
なお、ECU記憶部552及びMAC検証部543は、セキュアエレメントであることが好ましい。さらには、ECU記憶部552及びMAC検証部543は、同じセキュアエレメントであることが好ましい。
次に図13を参照して、本実施形態に係る車両メンテナンス方法の例を説明する。図13は、本実施形態に係る車両メンテナンス方法の例を示すシーケンスチャートである。図13において、メンテナンスツール30bは、メンテナンス対象の自動車50(以下、単に自動車50と称する)のメンテナンスポート56に接続されている。
(ステップS121) メンテナンス作業員は、メンテナンス対象のECU55b(以下、単にECU55bと称する)に対するアクセス権限を示すアクセス権限情報などを、メンテナンスツール30bに入力する。
(ステップS122) メンテナンス作業員は、メンテナンスツール30bにより、自動車50に対するメンテナンス開始操作を行う。メンテナンスツール30bは、メンテナンス開始操作に応じて、自動車50のECU55bへメンテナンス開始要求メッセージを送信する。
(ステップS123) 自動車50のECU55bのMAC検証部543は、メンテナンスツール30bから受信したメンテナンス開始要求メッセージに応じて、認証情報nonceをメンテナンスツール30bへ送信する。認証情報nonceは、例えば乱数に基づいた値である。メンテナンスツール30bは、認証情報nonceを自動車50のECU55bから受信する。
(ステップS124) メンテナンスツール30bのMAC生成部63は、自動車50のECU55bから受信した認証情報nonceを対象にして、ツール記憶部73に記憶される符号鍵K_macでCMAC「CMAC_K_mac(nonce)」を生成する。
また、MAC生成部63は、アクセス権限情報を対象にしてツール記憶部73に記憶される符号鍵K_macでCMAC「CMAC_K_mac(アクセス権限情報)」を生成する。メンテナンスツール30bは、CMAC_K_mac(nonce)とアクセス権限情報とCMAC_K_mac(アクセス権限情報)とを、自動車50のECU55bへ送信する。自動車50のECU55bは、メンテナンスツール30bから、CMAC_K_mac(nonce)とアクセス権限情報とCMAC_K_mac(アクセス権限情報)とを受信する。
(ステップS125) 自動車50のECU55bのMAC検証部543は、認証情報nonceとメンテナンスツール30bから受信したCMAC_K_mac(nonce)とを対象にして、当該CMAC_K_mac(nonce)を、ECU記憶部552が記憶する符号鍵K_macで検証する。当該CMAC_K_mac(nonce)の検証が合格である場合には、メンテナンスツール30bの認証が合格であり、以降の処理に進む。一方、当該CMAC_K_mac(nonce)の検証が不合格である場合には、メンテナンスツール30bの認証が不合格であり、図13の処理を終了する。
また、MAC検証部543は、メンテナンスツール30bから受信したアクセス権限情報とCMAC_K_mac(アクセス権限情報)とを対象にして、当該CMAC_K_mac(アクセス権限情報)を、ECU記憶部552が記憶する符号鍵K_macで検証する。当該CMAC_K_mac(アクセス権限情報)の検証が合格である場合には以降の処理に進む。一方、当該CMAC_K_mac(アクセス権限情報)の検証が不合格である場合には、図13の処理を終了する。
なお、CMAC_K_mac(nonce)及びCMAC_K_mac(アクセス権限情報)の両方の検証が合格である場合にのみ、メンテナンスツール30bの認証が合格であると判断してもよい。
また、上記いずれかのCMAC検証が不合格である場合には、ECU55bは所定のエラー処理を実行してもよい。例えば、当該エラー処理として、ECU55bは、CMAC検証が不合格のメンテナンスツール30bをアクセス禁止に設定したり、メンテナンスツール30bの認証の不合格を報知するアラームを所定の報告先へ通知したりしてもよい。
ECU55bは、メンテナンスツール30bの認証結果に基づいて、メンテナンスツール30bへ、アクセスの許可又は拒否を通知する。ECU55bは、メンテナンスツール30bの認証が合格である場合には、アクセスの許可を、メンテナンスツール30bへ通知する。一方、ECU55bは、メンテナンスツール30bの認証が不合格である場合には、アクセスの拒否を、メンテナンスツール30bへ通知する。
メンテナンスツール30bは、自動車50のECU55bから受信したアクセスの許可又は拒否の通知を、画面表示等で報知する。また、メンテナンスツール30bは、自己が保持するCMAC_K_mac(nonce)及びCMAC_K_mac(アクセス権限情報)を消去する。
メンテナンス作業員は、アクセスの許可又は拒否の通知がアクセスの許可である場合、メンテナンスツール30bにより、ECU55bに対する所望のメンテナンス作業を実行する。自動車50のECU55bは、メンテナンスツール30bから受信したアクセス権限情報に基づいて、メンテナンスツール30bにより実行されるメンテナンス作業を許可するか否かを判断する。当該判断の結果、許可されたメンテナンス作業は実行されるが、許可されなかったメンテナンス作業は実行されない。
図14及び図15は、本実施形態に係るCMAC算出対象の例を示す図である。図14の例では、一つのCMAC算出対象は認証情報nonceであり、もう一つのCMAC算出対象はアクセス権限情報である。図15の例では、CMAC算出対象は、認証情報nonceとアクセス権限情報である。図14又は図15の例のいずれが使用されてもよい。
なお、図14及び図15の例において、アクセス権限情報に対して有効期限を設け、アクセス権限情報に加えて有効期限を示す有効期限情報も含めてCMAC算出対象にしてもよい。自動車50のECU55bは、CMAC検証が合格したアクセス権限情報及び有効期限に対して、当該有効期限内で当該アクセス権限情報を使用する。ECU55bは、自己が時計を備えていない場合、TCU51やIVI機器52等に問い合わせて日時情報を取得する。
上述した第3実施形態によれば、メンテナンスツール30bによりECU55bのメンテナンス作業が行われる際に、認証情報nonceが自動車50のECU55bからメンテナンスツール30bへ供給され、符号鍵K_macと当該認証情報nonceとを使用して、メンテナンスツール30bとECU55bとの間でCMACによる認証処理が実行される。また、符号鍵K_macとアクセス権限情報とを使用して、メンテナンスツール30bとECU55bとの間でCMACによる認証処理が実行される。これにより、認証対象のアクセス権限の種別毎に個別の認証鍵をECU55bに対して設定しなくてもよい。このように本実施形態によれば、自動車50の車載装置の認証の仕組みを改善することができるという効果が得られる。
[第4実施形態]
図16は、第4実施形態に係る車両メンテナンスシステム及び自動車の構成例を示す図である。図16において図1の各部に対応する部分には同一の符号を付け、その説明を省略する。図16に示される車両メンテナンスシステム1cは、メンテナンスサーバ装置10cと、操作端末30aと、自動車50に搭載されるECU55bとを備える。メンテナンスサーバ装置10cと操作端末30aとは、通信ネットワーク20により相互に通信を行う。自動車50のメンテナンスポート56には、操作端末30aを接続可能である。ECU55bと、メンテナンスポート56に接続された操作端末30aとは、メンテナンスポート56及びGW装置53を介して、データを交換する。
操作端末30aは、第2実施形態と同様のものであって、図8に示される構成である。ECU55bは、第3実施形態と同様のものであって、図12に示される構成である。
図17は、本実施形態に係るメンテナンスサーバ装置の機能構成例を示す図である。図17において図2の各部に対応する部分には同一の符号を付け、その説明を省略する。図17に示されるメンテナンスサーバ装置10cは、端末間通信部11と、車両間通信部12と、サーバ記憶部13と、MAC生成部63と、鍵生成部64とを備える。
端末間通信部11は、通信ネットワーク20により操作端末30aと通信を行う。車両間通信部12は、メンテナンス対象の自動車50と通信を行う。図16の構成例では、車両間通信部12は、通信ネットワーク20及び操作端末30aを介して、メンテナンス対象の自動車50と通信を行う。
MAC生成部63は、CMACを生成する。鍵生成部64は、符号鍵K_macを生成する。サーバ記憶部13は、符号鍵K_macを記憶する。符号鍵K_macは、自動車50のECU55bのECU記憶部552に記憶されるものと同じである。本実施形態に係る符号鍵K_macの生成方法は、上記した第3実施形態と同じである。
次に図18を参照して、本実施形態に係る車両メンテナンス方法の例を説明する。図18は、本実施形態に係る車両メンテナンス方法の例を示すシーケンスチャートである。図18において、操作端末30aは、メンテナンス対象の自動車50(以下、単に自動車50と称する)のメンテナンスポート56に接続されている。
(ステップS131) メンテナンス作業員は、操作端末30aにより、メンテナンスサーバ装置10cへのログイン操作を行う。操作端末30aは、ログイン操作に応じて、メンテナンスサーバ装置10cへログイン要求メッセージを送信する。メンテナンスサーバ装置10cは、操作端末30aから受信したログイン要求メッセージに応じてユーザ認証を行う。ユーザ認証方法は、例えば、ユーザIDとパスワードとの組を使用するものであってもよく、又は、生体認証であってもよい。
ユーザ認証が合格である場合には、操作端末30aからメンテナンスサーバ装置10cへのログインは成功である。一方、ユーザ認証が不合格である場合には、操作端末30aからメンテナンスサーバ装置10cへのログインは失敗である。ログインが成功である場合には以降の処理に進む。一方、ログインが失敗である場合には、図18の処理を終了する。
なお、ログインが失敗である場合には、メンテナンスサーバ装置10cは所定のエラー処理を実行してもよい。例えば、当該エラー処理として、メンテナンスサーバ装置10cは、ログイン失敗のユーザIDをログイン禁止に設定したり、ログイン失敗を報知するアラームを所定の報告先へ通知したりしてもよい。
(ステップS132) メンテナンス作業員は、操作端末30aにより、自動車50のVINやECU55bの情報(ECU情報)をメンテナンスサーバ装置10cへ送信する操作を行う。操作端末30aは、当該送信操作に応じて、メンテナンスサーバ装置10cへVIN及びECU情報を送信する。メンテナンスサーバ装置10cは、操作端末30aからVIN及びECU情報を受信する。メンテナンスサーバ装置10cの鍵生成部64は、操作端末30aから受信したVIN又はECU_venderIDを使用して、上記した第3実施形態に係るKDFにより符号鍵K_macを生成する。サーバ記憶部13は、鍵生成部64が生成した符号鍵K_macを記憶する。
(ステップS133) メンテナンス作業員は、操作端末30aにより、自動車50に対するメンテナンス開始操作を行う。操作端末30aは、メンテナンス開始操作に応じて、メンテナンスサーバ装置10cへメンテナンス開始要求メッセージを送信する。メンテナンスサーバ装置10cは、操作端末30aからメンテナンス開始要求メッセージを受信すると、メンテナンス開始要求メッセージを自動車50のECU55bへ送信する。
以降、メンテナンスサーバ装置10cと自動車50のECU55bとの間の通信は、操作端末30aのサーバ・車両間中継部32を介して中継される。操作端末30aは、メンテナンスサーバ装置10cと自動車50のECU55bとの間の通信の中継を行うが、当該通信の内容を取り扱わない。また、メンテナンスサーバ装置10cと自動車50のECU55bとの間の通信は、暗号化通信路によって、操作端末30aに対して秘匿されてもよい。
(ステップS134) 自動車50のECU55bのMAC検証部543は、メンテナンスサーバ装置10cから受信したメンテナンス開始要求メッセージに応じて、認証情報nonceをメンテナンスサーバ装置10cへ送信する。認証情報nonceは、例えば乱数に基づいた値である。メンテナンスサーバ装置10cは、認証情報nonceを自動車50のECU55bから受信する。
(ステップS135) メンテナンスサーバ装置10cのMAC生成部63は、自動車50のECU55bから受信した認証情報nonceを対象にして、サーバ記憶部13に記憶される符号鍵K_macでCMAC「CMAC_K_mac(nonce)」を生成する。また、MAC生成部63は、操作端末30aのログインのユーザIDのユーザ属性に対応するアクセス権限情報を対象にしてサーバ記憶部13に記憶される符号鍵K_macでCMAC「CMAC_K_mac(アクセス権限情報)」を生成する。アクセス権限情報は、ユーザ属性の種別毎に、特定のアクセス権限情報が対応付けられてメンテナンスサーバ装置10cに保持される。メンテナンスサーバ装置10cは、CMAC_K_mac(nonce)とアクセス権限情報とCMAC_K_mac(アクセス権限情報)とを、自動車50のECU55bへ送信する。自動車50のECU55bは、メンテナンスサーバ装置10cから、CMAC_K_mac(nonce)とアクセス権限情報とCMAC_K_mac(アクセス権限情報)とを受信する。
(ステップS136) 自動車50のECU55bのMAC検証部543は、認証情報nonceとメンテナンスサーバ装置10cから受信したCMAC_K_mac(nonce)とを対象にして、当該CMAC_K_mac(nonce)を、ECU記憶部552が記憶する符号鍵K_macで検証する。当該CMAC_K_mac(nonce)の検証が合格である場合には、操作端末30aの認証が合格であり、以降の処理に進む。一方、当該CMAC_K_mac(nonce)の検証が不合格である場合には、操作端末30aの認証が不合格であり、図18の処理を終了する。
また、MAC検証部543は、メンテナンスサーバ装置10cから受信したアクセス権限情報とCMAC_K_mac(アクセス権限情報)とを対象にして、当該CMAC_K_mac(アクセス権限情報)を、ECU記憶部552が記憶する符号鍵K_macで検証する。当該CMAC_K_mac(アクセス権限情報)の検証が合格である場合には以降の処理に進む。一方、当該CMAC_K_mac(アクセス権限情報)の検証が不合格である場合には、図18の処理を終了する。
なお、CMAC_K_mac(nonce)及びCMAC_K_mac(アクセス権限情報)の両方の検証が合格である場合にのみ、操作端末30aの認証が合格であると判断してもよい。
また、上記いずれかのCMAC検証が不合格である場合には、ECU55bは所定のエラー処理を実行してもよい。例えば、当該エラー処理として、ECU55bは、CMAC検証が不合格の操作端末30aをアクセス禁止に設定したり、操作端末30aの認証の不合格を報知するアラームを所定の報告先へ通知したりしてもよい。
ECU55bは、操作端末30aの認証結果に基づいて、メンテナンスサーバ装置10cへ、アクセスの許可又は拒否を通知する。ECU55bは、操作端末30aの認証が合格である場合には、アクセスの許可を、メンテナンスサーバ装置10cへ通知する。一方、ECU55bは、操作端末30aの認証が不合格である場合には、アクセスの拒否を、メンテナンスサーバ装置10cへ通知する。
メンテナンスサーバ装置10cは、自動車50のECU55bから受信したアクセスの許可又は拒否の通知を、操作端末30aへ送信する。操作端末30aは、メンテナンスサーバ装置10cから受信したアクセスの許可又は拒否の通知を、画面表示等で報知する。
メンテナンス作業員は、アクセスの許可又は拒否の通知がアクセスの許可である場合、操作端末30aにより、ECU55bに対する所望のメンテナンス作業を、メンテナンスサーバ装置10cを介して実行する。自動車50のECU55bは、メンテナンスサーバ装置10cから受信したアクセス権限情報に基づいて、操作端末30aにより実行されるメンテナンス作業を許可するか否かを判断する。当該判断の結果、許可されたメンテナンス作業は実行されるが、許可されなかったメンテナンス作業は実行されない。
なお、操作端末30aの認証が不合格である場合には、メンテナンスサーバ装置10cは所定のエラー処理を実行してもよい。例えば、当該エラー処理として、メンテナンスサーバ装置10cは、認証が不合格の操作端末30aをアクセス禁止に設定したり、操作端末30aの認証の不合格を報知するアラームを所定の報告先へ通知したりしてもよい。
なお、本実施形態に係るCMAC算出対象の例は、第3実施形態に係る図14及び図15の例と同様であり、図14又は図15の例のいずれが使用されてもよい。また、図14及び図15の例において、第3実施形態と同様に、アクセス権限情報に対して有効期限を設け、アクセス権限情報に加えて有効期限を示す有効期限情報も含めてCMAC算出対象にしてもよい。
上述した第4実施形態によれば、操作端末30aによりECU55bのメンテナンス作業が行われる際に、認証情報nonceが自動車50のECU55bからメンテナンスサーバ装置10cへ供給され、符号鍵K_macと当該認証情報nonceとを使用して、メンテナンスサーバ装置10cとECU55bとの間でCMACによる認証処理が実行される。また、符号鍵K_macとアクセス権限情報とを使用して、メンテナンスサーバ装置10cとECU55bとの間でCMACによる認証処理が実行される。これにより、認証対象のアクセス権限の種別毎に個別の認証鍵をECU55bに対して設定しなくてもよい。このように本実施形態によれば、自動車50の車載装置の認証の仕組みを改善することができるという効果が得られる。
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
上述した第1実施形態及び第2実施形態において、メンテナンスツール30及びECU55にSHE(Secure Hardware Extension)を適用してもよい。SHEは耐タンパー性を有するセキュアエレメントの例である。SHEを適用する場合、暗号化セキュリティアクセス鍵K_m(K_sa)とは、SHEにおいて、鍵登録鍵K_mを「AuthID」鍵に使用した「M1、M2及びM3パラメータ形式のセキュリティアクセス鍵」に相当する。また、暗号化セキュリティアクセス鍵K_m(K_sa)を鍵登録鍵K_mで復号することは、SHEにおいて、鍵登録鍵K_mを使用して鍵を更新することに相当する。なお、SHEについては、例えば非特許文献2に記載されている。
上述した実施形態では、アクセス権限の認証を行う対象の車載装置としてECUを例に挙げて説明したが、ECU以外の車載装置として例えばGW装置やIVI機器やTCUなどを、アクセス権限の認証を行う対象の車載装置に適用してもよい。
他の実施形態を以下に説明する。
[第5実施形態]
図19は、第5実施形態に係る車両メンテナンスシステム及び自動車の構成例を示す図である。図19において図1の各部に対応する部分には同一の符号を付け、その説明を省略する。図19に示される車両メンテナンスシステム1dは、管理サーバ装置10dと、メンテナンスツール30dと、自動車50に搭載されるECU55dとを備える。管理サーバ装置10dとメンテナンスツール30dとは、通信ネットワーク20により相互に通信を行う。自動車50のメンテナンスポート56には、メンテナンスツール30dを接続可能である。ECU55dと、メンテナンスポート56に接続されたメンテナンスツール30dとは、メンテナンスポート56及びGW装置53を介して、データを交換する。
図20は、本実施形態に係る管理サーバ装置の機能構成例を示す図である。図20において図2の各部に対応する部分には同一の符号を付け、その説明を省略する。図20に示される管理サーバ装置10dは、サーバ通信部61と、サーバ記憶部13と、サーバ制御部67とを備える。サーバ記憶部13はデータを記憶する。サーバ記憶部13には、認証局(Certification Authority:CA)公開鍵証明書K_ca_pub_vと、CA秘密鍵K_ca_secとが格納される。CA公開鍵証明書K_ca_pub_vとCA秘密鍵K_ca_secは、ペアの公開鍵証明書(公開鍵)と秘密鍵である。
図21は、本実施形態に係るメンテナンスツールの機能構成例を示す図である。図21において図3の各部に対応する部分には同一の符号を付け、その説明を省略する。図21に示されるメンテナンスツール30dは、サーバ間通信部31と、メンテナンス操作部33と、車載装置間通信部75と、ツール記憶部73と、ツール制御部77とを備える。
図22は、本実施形態に係るECUの機能構成例を示す図である。図22において図4の各部に対応する部分には同一の符号を付け、その説明を省略する。図22に示されるECU55dは、ECU通信部551と、ECU記憶部552と、車載制御部557とを備える。ECU記憶部552はデータを記憶する。ECU記憶部552にはCA公開鍵証明書K_ca_pub_vが格納される。ECU記憶部552に格納されるCA公開鍵証明書K_ca_pub_vは、管理サーバ装置10dのサーバ記憶部13に格納されるものと同じである。
次に図23、図24を参照して、本実施形態に係る車両メンテナンス方法の例1、例2を説明する。
(第5実施形態に係る車両メンテナンス方法の例1)
図23は、本実施形態に係る車両メンテナンス方法の例1を示すシーケンスチャートである。図23において、メンテナンスツール30dは、メンテナンス対象の自動車50(以下、単に自動車50と称する)のメンテナンスポート56に接続されている。
管理サーバ装置10dのサーバ通信部61は、通信ネットワーク20によりメンテナンスツール30dと通信を行う。メンテナンスツール30dのサーバ間通信部31は、通信ネットワーク20により管理サーバ装置10dと通信を行う。車載装置間通信部75は、自動車50のECU55dと通信を行う。
(ステップS201) メンテナンス作業員は、メンテナンスツール30dにより、管理サーバ装置10dへのログイン操作を行う。メンテナンスツール30dのツール制御部77は、ログイン操作に応じて、管理サーバ装置10dへログイン要求メッセージを送信する。
(ステップS202) 管理サーバ装置10dのサーバ制御部67は、メンテナンスツール30dから受信したログイン要求メッセージに応じてユーザ(作業員)認証を行う。ユーザ認証方法は、例えば、ユーザ識別情報(ユーザID)とパスワードとの組を使用するものであってもよく、又は、生体認証であってもよい。ここでは、ユーザ認証方法として、ユーザID(作業員ID)とパスワード(PWD)との組を使用するものである。
ユーザ(作業員)認証が合格である場合には、メンテナンスツール30dから管理サーバ装置10dへのログインは成功である。一方、ユーザ(作業員)認証が不合格である場合には、メンテナンスツール30dから管理サーバ装置10dへのログインは失敗である。ログインが成功である場合には以降の処理に進む。一方、ログインが失敗である場合には、図23の処理を終了する。
なお、ログインが失敗である場合には、管理サーバ装置10dは所定のエラー処理を実行してもよい。例えば、当該エラー処理として、管理サーバ装置10dは、ログイン失敗の作業員IDをログイン禁止に設定したり、ログイン失敗を報知するアラームを所定の報告先へ通知したりしてもよい。
(ステップS203) メンテナンスツール30dのツール制御部77は、公開鍵K_pubと秘密鍵K_secのペアを生成する。以下、説明の便宜上、CA公開鍵証明書K_ca_pub_v及びCA秘密鍵K_ca_secと区別するために、公開鍵K_pubを作業員公開鍵K_pubと称し、秘密鍵K_secを作業員秘密鍵K_secと称する。ツール記憶部73は、作業員公開鍵K_pub及び作業員秘密鍵K_secを記憶する。
(ステップS204) メンテナンス作業員は、メンテナンスツール30dにより、自動車50のVIN、メンテナンス対象のECU55d(以下、単にECU55dと称する)のECU_venderID及び自己の認可レベルを指定し、指定したVIN、ECU_venderID及び認可レベルを管理サーバ装置10dへ通知する操作を行う。ツール制御部77は、当該操作に応じて、メンテナンス作業員が指定したVIN、ECU_venderID及び認可レベル、並びに作業員公開鍵K_pubを管理サーバ装置10dへ通知する。認可レベルは、ECU等の車載装置に対するアクセス権限のレベルを示すものである。認可レベルは、セキュリティアクセス・レベルと称される場合がある。
(ステップS205) 管理サーバ装置10dのサーバ制御部67は、メンテナンスツール30dから通知された認可レベルが、メンテナンスツール30dのログインの作業員IDに対応する所定値であるか否かを確認する。各作業員IDの認可レベルの所定値は、管理サーバ装置10dに予め保持されてもよく、又は、管理サーバ装置10dが通信により取得するものであってもよい。各作業員IDの認可レベルの所定値は、各作業員IDに対応付けられた作業員属性の種別毎に、異なってもよい。作業員属性の種別として、例えば、自動車に関係するユーザ身分が挙げられる。自動車に関係するユーザ身分は、例えば、ユーザの所属先や、ユーザと自動車との関係などである。ユーザの所属先として、例えば、自動車メーカ、ECU等の車載装置のベンダ(車載装置ベンダ)、自動車の正規販売店、自動車整備工場などが挙げられる。ユーザと自動車との関係として、例えば、自動車の所有者、自動車の使用者などが挙げられる。また、各作業員IDの認可レベルの所定値は、VIN毎又はECU_venderID毎に異なってもよい。
認可レベルの確認が合格である場合にはステップS206へ進む。一方、認可レベルの確認が不合格である場合には、図23の処理を終了する。
なお、認可レベルの確認が不合格である場合には、管理サーバ装置10dは所定のエラー処理を実行してもよい。例えば、当該エラー処理として、管理サーバ装置10dは、メンテナンスツール30dを介して作業員に認可レベルの再通知を要求したり、認可レベルの確認の不合格を報知するアラームを所定の報告先へ通知したりしてもよい。
(ステップS206) サーバ制御部67は、CA秘密鍵K_ca_secを使用して、メンテナンスツール30dから通知された作業員公開鍵K_pubの公開鍵証明書(以下、作業員公開鍵証明書と称する)K_pub_vを発行する。このとき、サーバ制御部67は、メンテナンスツール30dから通知された認可レベルを示す認可レベル情報を、作業員公開鍵証明書K_pub_vに含める。認可レベル情報を作業員公開鍵証明書K_pub_vに含める方法として、作業員公開鍵証明書K_pub_vの拡張領域に認可レベルを記載してもよく、又は、作業員公開鍵証明書K_pub_vに付加される属性証明書に認可レベルを記載してもよい。ここでは、作業員公開鍵証明書K_pub_vの拡張領域に認可レベルを記載する。また、サーバ制御部67は、作業員公開鍵証明書K_pub_vの有効期限を作業員公開鍵証明書K_pub_vに記載してもよい。有効期限は、短期間(例えば、1日程度)にすることにより、発行された公開鍵証明書がいつまでも利用されることを防止できる。
(ステップS207) サーバ制御部67は、作業員公開鍵証明書K_pub_vをメンテナンスツール30dへ送信する。この作業員公開鍵証明書K_pub_vは、拡張領域に認可レベルが記載されたものである。メンテナンスツール30dのツール記憶部73は、管理サーバ装置10dから受信した作業員公開鍵証明書K_pub_vを記憶する。
(ステップS208) メンテナンスツール30dのツール制御部77は、自動車50のECU55dに対するアクセスを開始する。ここでは、ECUに対するアクセスの一例として、「ISO/DIS 14229-1」準拠の「Authentication Service $29(以下、サービス$29と称する)」を挙げて説明する。ツール制御部77は、自動車50のECU55dに対して、サービス$29の開始を通知し、作業員公開鍵証明書K_pub_vを送信する。
(ステップS209) 自動車50のECU55dの車載制御部557は、ECU記憶部552が記憶するCA公開鍵証明書K_ca_pub_vを使用して、メンテナンスツール30dから受信した作業員公開鍵証明書K_pub_vを検証する。作業員公開鍵証明書K_pub_vの検証が合格である場合、車載制御部557は、作業員公開鍵証明書K_pub_vから作業員公開鍵K_pubを取得する。ECU記憶部552は、作業員公開鍵K_pubを記憶する。また、車載制御部557は、作業員公開鍵証明書K_pub_vの拡張領域に記載された認可レベルを確認する。この後、ステップS210へ進む。
一方、作業員公開鍵証明書K_pub_vの検証が不合格である場合には、図23の処理を終了する。
なお、作業員公開鍵証明書K_pub_vの検証が不合格である場合には、ECU55dは所定のエラー処理を実行してもよい。例えば、当該エラー処理として、ECU55dは、メンテナンスツール30dに作業員公開鍵証明書K_pub_vの再送信を要求したり、作業員公開鍵証明書K_pub_vの検証の不合格を報知するアラームを所定の報告先へ通知したりしてもよい。
(ステップS210) 車載制御部557は、チャレンジ(認証情報)nonceをメンテナンスツール30dへ送信する。チャレンジnonceは、例えば乱数に基づいた値である。
(ステップS211) メンテナンスツール30dのツール制御部77は、自動車50のECU55dから受信したチャレンジnonceに対して作業員秘密鍵K_secで電子署名を施したレスポンス(Sign_K_sec(nonce))を生成する。ツール制御部77は、レスポンス(Sign_K_sec(nonce))を自動車50のECU55dへ返信する。
(ステップS212) 自動車50のECU55dの車載制御部557は、作業員公開鍵K_pubを使用して、メンテナンスツール30dから受信したレスポンス(Sign_K_sec(nonce))の電子署名を検証する。レスポンス(Sign_K_sec(nonce))の電子署名の検証が合格である場合、車載制御部557は、レスポンス(Sign_K_sec(nonce))に含まれるチャレンジnonceが、メンテナンスツール30dに送信した値に一致するか否かを確認する。チャレンジnonceの確認が合格である場合、メンテナンスツール30dとの間の認証処理が合格である。メンテナンスツール30dとの間の認証処理が合格である場合には、サービス$29が許可される。
一方、レスポンス(Sign_K_sec(nonce))の電子署名の検証が不合格である場合、又は、チャレンジnonceの確認が不合格である場合には、メンテナンスツール30dとの間の認証処理が不合格である。メンテナンスツール30dとの間の認証処理が不合格である場合には、サービス$29が拒否される。
(ステップS213) 車載制御部557は、サービス$29の「許可/拒否」をメンテナンスツール30dへ返信する。
(ステップS214) サービス$29が許可された場合、メンテナンスツール30dのツール制御部77は、ECU55dに対して、認可レベルに沿って診断等のメンテナンスを実施する。
(ステップS215) メンテナンスツール30dのツール制御部77は、メンテナンス結果(ここでは診断結果)に対して作業員秘密鍵K_secで電子署名(Sign_K_sec(診断結果))を生成する。ツール制御部77は、診断結果と電子署名(Sign_K_sec(診断結果))を管理サーバ装置10dへ送信する。管理サーバ装置10dのサーバ制御部67は、作業員公開鍵K_pubで電子署名(Sign_K_sec(診断結果))を検証する。サーバ制御部67は、電子署名(Sign_K_sec(診断結果))の検証が合格した場合に、当該診断結果をサーバ記憶部13に格納する。
なお、ステップS208からステップS214までの期間は、メンテナンスツール30dと管理サーバ装置10dの間はオフライン状態である。
(第5実施形態に係る車両メンテナンス方法の例2)
図24は、本実施形態に係る車両メンテナンス方法の例2を示すシーケンスチャートである。図24において、図23に対応する部分には同一の符号を付け、その説明を省略する。図24において、メンテナンスツール30dは、メンテナンス対象の自動車50(以下、単に自動車50と称する)のメンテナンスポート56に接続されている。
管理サーバ装置10dのサーバ通信部61は、通信ネットワーク20によりメンテナンスツール30dと通信を行う。メンテナンスツール30dのサーバ間通信部31は、通信ネットワーク20により管理サーバ装置10dと通信を行う。車載装置間通信部75は、自動車50のECU55dと通信を行う。
メンテナンスツール30dは、事前に例えばメンテナンス作業員の初期登録時に、作業員公開鍵K_pub及び作業員秘密鍵K_secを生成してツール記憶部73に格納する。管理サーバ装置10dは、事前に例えばメンテナンス作業員の初期登録時に、作業員公開鍵K_pubをツール記憶部73に格納する。なお、上記した車両メンテナンス方法の例1のように、作業員公開鍵K_pubは、メンテナンスツール30dから管理サーバ装置10dへ供給されてもよい。
ステップS201,S202,S204−S210が順次実行される。但し、ステップS204では、作業員公開鍵K_pubは、メンテナンスツール30dから管理サーバ装置10dへ送信されない。また、作業員公開鍵証明書K_pub_vは、メンテナンスツール30dから通知された認可レベルを示す認可レベル情報を含まないものであってもよい。また、ステップS209では、ECU55dは、作業員公開鍵証明書K_pub_vに対して認可レベルの確認を実行しない。
次いでステップS211aが実行される。
(ステップS211a) メンテナンスツール30dのツール制御部77は、自動車50のECU55dから受信したチャレンジnonceに対して作業員秘密鍵K_secで電子署名を施したレスポンス(Sign_K_sec(nonce))を生成する。また、ツール制御部77は、メンテナンスツール30dから通知されたメンテナンス作業員の認可レベルを示す認可レベル情報に対して、作業員秘密鍵K_secで電子署名Sign_K_sec(認可レベル)を生成する。ツール制御部77は、レスポンス(Sign_K_sec(nonce))と認可レベル情報と電子署名Sign_K_sec(認可レベル)を自動車50のECU55dへ返信する。
(ステップS212a) 自動車50のECU55dの車載制御部557は、作業員公開鍵K_pubを使用して、メンテナンスツール30dから受信したレスポンス(Sign_K_sec(nonce))の電子署名を検証する。レスポンス(Sign_K_sec(nonce))の電子署名の検証が合格である場合、車載制御部557は、レスポンス(Sign_K_sec(nonce))に含まれるチャレンジnonceが、メンテナンスツール30dに送信した値に一致するか否かを確認する。チャレンジnonceの確認が合格である場合、メンテナンスツール30dとの間の認証処理が合格である。また、車載制御部557は、作業員公開鍵K_pubを使用して、メンテナンスツール30dから受信した電子署名Sign_K_sec(認可レベル)を検証する。電子署名Sign_K_sec(認可レベル)の検証が合格である場合、車載制御部557は、メンテナンスツール30dから受信した認可レベル情報で示される認可レベルを確認する。メンテナンスツール30dとの間の認証処理が合格であり且つ電子署名Sign_K_sec(認可レベル)の検証が合格である場合には、サービス$29が許可される。
一方、レスポンス(Sign_K_sec(nonce))の電子署名の検証が不合格である場合、又は、チャレンジnonceの確認が不合格である場合、又は、電子署名Sign_K_sec(認可レベル)の検証が不合格である場合には、サービス$29が拒否される。
次いで、ステップS213,S214,S215が順次実行される。
上述した第5実施形態によれば、メンテナンス作業員がメンテナンスツール30dによりECU55dのメンテナンス作業を実施する際に、メンテナンス作業員から通知された認可レベルが当該メンテナンス作業員に対応する所定値であることが確認された場合に作業員公開鍵証明書K_pub_vが発行され、当該作業員公開鍵証明書K_pub_vを使用して、メンテナンスツール30dとECU55dとの間で認証処理が実行される。これにより、正当な認可レベルのメンテナンス作業員の公開鍵証明書に基づいた認証処理を実行することができる。このように本実施形態によれば、自動車50の車載装置の認証の仕組みを改善することができるという効果が得られる。
[第6実施形態]
図25は、第6実施形態に係る車両メンテナンスシステム及び自動車の構成例を示す図である。図25において図6の各部に対応する部分には同一の符号を付け、その説明を省略する。図25に示される車両メンテナンスシステム1eは、管理サーバ装置10eと、操作端末30aと、自動車50に搭載されるECU55dとを備える。管理サーバ装置10eと操作端末30aとは、通信ネットワーク20により相互に通信を行う。自動車50のメンテナンスポート56には、操作端末30aを接続可能である。ECU55dと、メンテナンスポート56に接続された操作端末30aとは、メンテナンスポート56及びGW装置53を介して、データを交換する。
操作端末30aは、図8に示される構成である。ECU55dは、図22に示される構成である。
図26は、本実施形態に係る管理サーバ装置の機能構成例を示す図である。図26において図7の各部に対応する部分には同一の符号を付け、その説明を省略する。図26に示される管理サーバ装置10eは、端末間通信部11と、車両間通信部12と、サーバ記憶部13と、サーバ制御部67とを備える。サーバ記憶部13はデータを記憶する。サーバ記憶部13には、CA公開鍵証明書K_ca_pub_vと、CA秘密鍵K_ca_secとが格納される。CA公開鍵証明書K_ca_pub_vとCA秘密鍵K_ca_secは、ペアの公開鍵証明書(公開鍵)と秘密鍵である。管理サーバ装置10eのサーバ記憶部13に格納されるCA公開鍵証明書K_ca_pub_vは、ECU55dのECU記憶部552に格納されるものと同じである。
次に図27、図28を参照して、本実施形態に係る車両メンテナンス方法の例1、例2を説明する。
(第6実施形態に係る車両メンテナンス方法の例1)
図27は、本実施形態に係る車両メンテナンス方法の例1を示すシーケンスチャートである。図24において、図23に対応する部分には同一の符号を付け、その説明を省略する。なお、図27において図23と同一の符号が付されたステップでは、図27の管理サーバ装置10eが図23の管理サーバ装置10dに対応し、図27の操作端末30aが図23のメンテナンスツール30dに対応する。
図27において、操作端末30aは、メンテナンス対象の自動車50(以下、単に自動車50と称する)のメンテナンスポート56に接続されている。
管理サーバ装置10eの端末間通信部11は、通信ネットワーク20により操作端末30aと通信を行う。車両間通信部12は、自動車50と通信を行う。図25の構成例では、車両間通信部12は、通信ネットワーク20及び操作端末30aを介して、自動車50と通信を行う。
ステップS201,S202,S204,S205が順次実行される。但し、ステップS204では、作業員公開鍵K_pubは、操作端末30aから管理サーバ装置10eへ送信されない。
次いでステップS230が実行される。
(ステップS230) 管理サーバ装置10eのサーバ制御部67は、作業員公開鍵K_pubと作業員秘密鍵K_secのペアを生成する。サーバ記憶部13は、作業員公開鍵K_pub及び作業員秘密鍵K_secを記憶する。
次いでステップS206が実行される。ステップS206で発行される作業員公開鍵証明書K_pub_vは、操作端末30aから通知された認可レベルを示す認可レベル情報を含むものである。ここでは、作業員公開鍵証明書K_pub_vの拡張領域に認可レベルが記載される。
次いでステップS207bが実行される。
(ステップS207b) 、管理サーバ装置10eのサーバ制御部67は、自動車50のECU55dに対するアクセスを開始する。ここでは、ECUに対するアクセスの一例として、サービス$29を挙げて説明する。サーバ制御部67は、車両間通信部12により、操作端末30aを介して自動車50のECU55dへ、サービス$29の開始を通知し、作業員公開鍵証明書K_pub_vを送信する。
次いでステップS209が実行される。ここでは、自動車50のECU55dの車載制御部557は、管理サーバ装置10eから操作端末30aを介して受信した作業員公開鍵証明書K_pub_vを処理対象にする。
次いでステップS210bが実行される。本実施形態では、管理サーバ装置10eと自動車50のECU55dとの間で、チャレンジ・レスポンス方式の認証処理が実行される。
(ステップS210b) 自動車50のECU55dの車載制御部557は、チャレンジ(認証情報)nonceを管理サーバ装置10eへ送信する。チャレンジnonceは、例えば乱数に基づいた値である。
(ステップS211b) 管理サーバ装置10eのサーバ制御部67は、自動車50のECU55dから受信したチャレンジnonceに対して作業員秘密鍵K_secで電子署名を施したレスポンス(Sign_K_sec(nonce))を生成する。サーバ制御部67は、レスポンス(Sign_K_sec(nonce))を自動車50のECU55dへ返信する。
次いでステップS212が実行される。ここでは、自動車50のECU55dの車載制御部557は、管理サーバ装置10eから操作端末30aを介して受信したレスポンス(Sign_K_sec(nonce))を処理対象にする。
次いでステップS213bが実行される。
(ステップS213b) 自動車50のECU55dの車載制御部557は、サービス$29の「許可/拒否」を管理サーバ装置10eへ返信する。
(ステップS214b) サービス$29が許可された場合、管理サーバ装置10eのサーバ制御部67は、操作端末30aからのメンテナンス操作に応じて、ECU55dに対し、認可レベルに沿って診断等のメンテナンスを実施する。
(第6実施形態に係る車両メンテナンス方法の例2)
図28は、本実施形態に係る車両メンテナンス方法の例2を示すシーケンスチャートである。図28において、図23に対応する部分には同一の符号を付け、その説明を省略する。
なお、図28において図23と同一の符号が付されたステップでは、図28の管理サーバ装置10eが図23の管理サーバ装置10dに対応し、図28の操作端末30aが図23のメンテナンスツール30dに対応する。
図28において、操作端末30aは、メンテナンス対象の自動車50(以下、単に自動車50と称する)のメンテナンスポート56に接続されている。
管理サーバ装置10eの端末間通信部11は、通信ネットワーク20により操作端末30aと通信を行う。車両間通信部12は、自動車50と通信を行う。図25の構成例では、車両間通信部12は、通信ネットワーク20及び操作端末30aを介して、自動車50と通信を行う。
管理サーバ装置10eは、事前に例えばメンテナンス作業員の初期登録時に、作業員公開鍵K_pub、作業員秘密鍵K_sec及び作業員公開鍵証明書K_pub_vをツール記憶部73に格納する。なお、上記した本実施形態に係る車両メンテナンス方法の例1のように、管理サーバ装置10eは、作業員公開鍵K_pub及び作業員秘密鍵K_secを生成し、作業員公開鍵証明書K_pub_vを発行するようにしてもよい。
ステップS201,S202,S204,S205が順次実行される。但し、ステップS204では、作業員公開鍵K_pubは、操作端末30aから管理サーバ装置10eへ送信されない。また、作業員公開鍵証明書K_pub_vは、操作端末30aから通知された認可レベルを示す認可レベル情報を含まないものであってもよい。
次いでステップS207bが実行される。
(ステップS207b) 、管理サーバ装置10eのサーバ制御部67は、自動車50のECU55dに対するアクセスを開始する。ここでは、ECUに対するアクセスの一例として、サービス$29を挙げて説明する。サーバ制御部67は、車両間通信部12により、操作端末30aを介して自動車50のECU55dへ、サービス$29の開始を通知し、作業員公開鍵証明書K_pub_vを送信する。
次いでステップS209が実行される。ここでは、自動車50のECU55dの車載制御部557は、管理サーバ装置10eから操作端末30aを介して受信した作業員公開鍵証明書K_pub_vを処理対象にする。また、車載制御部557は、作業員公開鍵証明書K_pub_vに対して認可レベルの確認を実行しない。
次いでステップS210bが実行される。本実施形態では、管理サーバ装置10eと自動車50のECU55dとの間で、チャレンジ・レスポンス方式の認証処理が実行される。
(ステップS210b) 自動車50のECU55dの車載制御部557は、チャレンジ(認証情報)nonceを管理サーバ装置10eへ送信する。チャレンジnonceは、例えば乱数に基づいた値である。
(ステップS211c) 管理サーバ装置10eのサーバ制御部67は、自動車50のECU55dから受信したチャレンジnonceに対して作業員秘密鍵K_secで電子署名を施したレスポンス(Sign_K_sec(nonce))を生成する。また、サーバ制御部67は、操作端末30aから通知されたメンテナンス作業員の認可レベルを示す認可レベル情報に対して、作業員秘密鍵K_secで電子署名Sign_K_sec(認可レベル)を生成する。サーバ制御部67は、レスポンス(Sign_K_sec(nonce))と認可レベル情報と電子署名Sign_K_sec(認可レベル)を自動車50のECU55dへ返信する。
(ステップS212a) 自動車50のECU55dの車載制御部557は、作業員公開鍵K_pubを使用して、管理サーバ装置10eから受信したレスポンス(Sign_K_sec(nonce))の電子署名を検証する。レスポンス(Sign_K_sec(nonce))の電子署名の検証が合格である場合、車載制御部557は、レスポンス(Sign_K_sec(nonce))に含まれるチャレンジnonceが、管理サーバ装置10eに送信した値に一致するか否かを確認する。チャレンジnonceの確認が合格である場合、管理サーバ装置10eとの間の認証処理が合格である。また、車載制御部557は、作業員公開鍵K_pubを使用して、管理サーバ装置10eから受信した電子署名Sign_K_sec(認可レベル)を検証する。電子署名Sign_K_sec(認可レベル)の検証が合格である場合、車載制御部557は、管理サーバ装置10eから受信した認可レベル情報で示される認可レベルを確認する。管理サーバ装置10eとの間の認証処理が合格であり且つ電子署名Sign_K_sec(認可レベル)の検証が合格である場合には、サービス$29が許可される。
一方、レスポンス(Sign_K_sec(nonce))の電子署名の検証が不合格である場合、又は、チャレンジnonceの確認が不合格である場合、又は、電子署名Sign_K_sec(認可レベル)の検証が不合格である場合には、サービス$29が拒否される。
(ステップS213b) 自動車50のECU55dの車載制御部557は、サービス$29の「許可/拒否」を管理サーバ装置10eへ返信する。
(ステップS214b) サービス$29が許可された場合、管理サーバ装置10eのサーバ制御部67は、操作端末30aからのメンテナンス操作に応じて、ECU55dに対し、認可レベルに沿って診断等のメンテナンスを実施する。
上述した第6実施形態によれば、メンテナンス作業員が操作端末30aによりECU55dのメンテナンス作業を実施する際に、メンテナンス作業員から通知された認可レベルが当該メンテナンス作業員に対応する所定値であることが確認された場合に作業員公開鍵証明書K_pub_vが発行され、当該作業員公開鍵証明書K_pub_vを使用して、管理サーバ装置10eとECU55dとの間で認証処理が実行される。これにより、正当な認可レベルのメンテナンス作業員の公開鍵証明書に基づいた認証処理を実行することができる。このように本実施形態によれば、自動車50の車載装置の認証の仕組みを改善することができるという効果が得られる。
上述した第5実施形態及び第6実施形態では、車載装置としてECUを例に挙げて説明したが、ECU以外の車載装置として例えばGW装置やIVI機器やTCUなどに適用してもよい。また、上述した第5実施形態及び第6実施形態において、メンテナンスツール30d及びECU55dにセキュアエレメントを適用してもよい。セキュアエレメントとして、例えばSHEを適用してもよい。
上述した実施形態は、例えば、自動車の製造工場や整備工場、販売店等において、自動車に適用してもよい。
上述した実施形態では、車両として自動車を例に挙げたが、原動機付自転車や鉄道車両等の自動車以外の他の車両にも適用可能である。
また、上述した各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
1,1a,1b,1c,1d,1e…車両メンテナンスシステム、10,10a,10c…メンテナンスサーバ装置、10d,10e…管理サーバ装置、11…端末間通信部、12…車両間通信部、13…サーバ記憶部、20…通信ネットワーク、30,30b,30d…メンテナンスツール、30a…操作端末、31…サーバ間通信部、32…サーバ・車両間中継部、33…メンテナンス操作部、50…自動車、51…TCU、52…IVI機器、53…GW装置、54…車載ネットワーク、55,55b,55d…ECU、56…メンテナンスポート、61…サーバ通信部、62…サーバ暗号処理部、63…MAC生成部、64…鍵生成部、67…サーバ制御部、73…ツール記憶部、74…ツール暗号処理部、75…車載装置間通信部、76…アクセス認証処理部、77…ツール制御部、551…ECU通信部、552…ECU記憶部、541…車両暗号処理部、542…車両認証処理部、543…MAC検証部、557…車載制御部

Claims (28)

  1. メンテナンスサーバ装置と、車両のメンテナンスツールと、前記車両に搭載される車載装置とを備え、
    前記メンテナンスサーバ装置は、
    前記メンテナンスツールと通信を行うサーバ通信部と、
    鍵登録鍵を記憶する鍵登録鍵サーバ記憶部と、
    前記車載装置に対するアクセス権限を示すセキュリティアクセス鍵を前記鍵登録鍵サーバ記憶部に記憶される鍵登録鍵で暗号化して暗号化セキュリティアクセス鍵を生成するサーバ暗号処理部と、を備え、前記暗号化セキュリティアクセス鍵を前記メンテナンスツールへ送信し、
    前記メンテナンスツールは、
    前記メンテナンスサーバ装置と通信を行うサーバ間通信部と、
    前記車載装置と通信を行う車載装置間通信部と、
    前記セキュリティアクセス鍵を使用して前記車載装置との間で認証処理を実行するアクセス認証処理部と、を備え、前記暗号化セキュリティアクセス鍵を前記車載装置へ送信し、
    前記車載装置は、
    前記メンテナンスツールと通信を行うツール間通信部と、
    前記鍵登録鍵サーバ記憶部が記憶する鍵登録鍵と同じ鍵登録鍵を記憶する鍵登録鍵車両記憶部と、
    前記暗号化セキュリティアクセス鍵を、前記鍵登録鍵車両記憶部が記憶する鍵登録鍵で復号する車両暗号処理部と、
    前記暗号化セキュリティアクセス鍵の復号結果のセキュリティアクセス鍵を使用して前記メンテナンスツールとの間で認証処理を実行する車両認証処理部と、を備える、
    車両メンテナンスシステム。
  2. 前記メンテナンスサーバ装置は、
    前記メンテナンスツールのユーザのユーザ属性に対応する前記アクセス権限を示すセキュリティアクセス鍵を生成する鍵生成部をさらに備える、
    請求項1に記載の車両メンテナンスシステム。
  3. 端末装置と通信を行う端末間通信部と、
    メンテナンス対象の車両と通信を行う車両間通信部と、
    鍵登録鍵を記憶する鍵登録鍵サーバ記憶部と、
    前記車両に搭載される車載装置に対するアクセス権限を示すセキュリティアクセス鍵を前記鍵登録鍵サーバ記憶部に記憶される鍵登録鍵で暗号化して、前記車載装置へ送信される暗号化セキュリティアクセス鍵を生成するサーバ暗号処理部と、
    前記端末装置からのメンテナンス開始要求に応じて、前記セキュリティアクセス鍵を使用して前記車載装置との間で認証処理を実行するアクセス認証処理部と、
    を備えるメンテナンスサーバ装置。
  4. 前記端末装置のユーザのユーザ属性に対応する前記アクセス権限を示すセキュリティアクセス鍵を生成する鍵生成部をさらに備える、
    請求項3に記載のメンテナンスサーバ装置。
  5. 車両に搭載される車載装置において、
    メンテナンスサーバ装置と通信を行うサーバ間通信部と、
    前記メンテナンスサーバ装置が記憶する鍵登録鍵と同じ鍵登録鍵を記憶する鍵登録鍵車両記憶部と、
    前記メンテナンスサーバ装置から受信した暗号化セキュリティアクセス鍵を、前記鍵登録鍵車両記憶部が記憶する鍵登録鍵で復号する車両暗号処理部と、
    前記暗号化セキュリティアクセス鍵の復号結果のセキュリティアクセス鍵を使用して前記メンテナンスサーバ装置との間で認証処理を実行する車両認証処理部と、
    を備える車載装置。
  6. 車両に搭載される車載装置と通信を行う車載装置間通信部と、
    符号鍵を記憶する符号鍵ツール記憶部と、
    前記車載装置から受信した認証情報を対象にして前記符号鍵ツール記憶部に記憶される符号鍵で第1メッセージ認証符号を生成し、
    前記車載装置に対するアクセス権限を示すアクセス権限情報を対象にして前記符号鍵ツール記憶部に記憶される符号鍵で第2メッセージ認証符号を生成するメッセージ認証符号生成部と、を備え、
    前記第1メッセージ認証符号と前記アクセス権限情報と前記第2メッセージ認証符号とを前記車載装置へ送信する、
    メンテナンスツール。
  7. 車両に搭載される車載装置において、
    メンテナンスツールと通信を行うツール間通信部と、
    前記メンテナンスツールが記憶する符号鍵と同じ符号鍵を記憶する符号鍵車両記憶部と、
    前記メンテナンスツールへ送信した認証情報と前記メンテナンスツールから受信した第1メッセージ認証符号とを対象にして前記第1メッセージ認証符号を、前記符号鍵車両記憶部が記憶する符号鍵で検証し、
    前記メンテナンスツールから受信したアクセス権限情報と第2メッセージ認証符号を対象にして前記第2メッセージ認証符号を、前記符号鍵車両記憶部が記憶する符号鍵で検証する符号検証部と、
    を備える車載装置。
  8. 端末装置と通信を行う端末間通信部と、
    メンテナンス対象の車両と通信を行う車両間通信部と、
    符号鍵を記憶する符号鍵ツール記憶部と、
    前記端末装置からのメンテナンス開始要求に応じて、
    前記車両に搭載される車載装置から受信した認証情報を対象にして前記符号鍵ツール記憶部に記憶される符号鍵で第1メッセージ認証符号を生成し、
    前記車載装置に対するアクセス権限を示すアクセス権限情報を対象にして前記符号鍵ツール記憶部に記憶される符号鍵で第2メッセージ認証符号を生成するメッセージ認証符号生成部と、を備え、
    前記第1メッセージ認証符号と前記アクセス権限情報と前記第2メッセージ認証符号とを前記車載装置へ送信する、
    メンテナンスサーバ装置。
  9. 車両に搭載される車載装置において、
    メンテナンスサーバ装置と通信を行うサーバ間通信部と、
    前記メンテナンスサーバ装置が記憶する符号鍵と同じ符号鍵を記憶する符号鍵車両記憶部と、
    前記メンテナンスサーバ装置へ送信した認証情報と前記メンテナンスサーバ装置から受信した第1メッセージ認証符号とを対象にして前記第1メッセージ認証符号を、前記符号鍵車両記憶部が記憶する符号鍵で検証し、
    前記メンテナンスサーバ装置から受信したアクセス権限情報と第2メッセージ認証符号を対象にして前記第2メッセージ認証符号を、前記符号鍵車両記憶部が記憶する符号鍵で検証する符号検証部と、
    を備える車載装置。
  10. コンピュータに、
    端末装置と通信を行う端末間通信ステップと、
    メンテナンス対象の車両と通信を行う車両間通信ステップと、
    鍵登録鍵を鍵登録鍵サーバ記憶部に記憶する鍵登録鍵サーバ記憶ステップと、
    前記車両に搭載される車載装置に対するアクセス権限を示すセキュリティアクセス鍵を前記鍵登録鍵サーバ記憶部に記憶される鍵登録鍵で暗号化して、前記車載装置へ送信される暗号化セキュリティアクセス鍵を生成するサーバ暗号処理ステップと、
    前記端末装置からのメンテナンス開始要求に応じて、前記セキュリティアクセス鍵を使用して前記車載装置との間で認証処理を実行するアクセス認証処理ステップと、
    を実行させるためのコンピュータプログラム。
  11. 車両に搭載されるコンピュータに、
    メンテナンスサーバ装置と通信を行うサーバ間通信ステップと、
    前記メンテナンスサーバ装置が記憶する鍵登録鍵と同じ鍵登録鍵を鍵登録鍵車両記憶部に記憶する鍵登録鍵車両記憶ステップと、
    前記メンテナンスサーバ装置から受信した暗号化セキュリティアクセス鍵を、前記鍵登録鍵車両記憶部が記憶する鍵登録鍵で復号する車両暗号処理ステップと、
    前記暗号化セキュリティアクセス鍵の復号結果のセキュリティアクセス鍵を使用して前記メンテナンスサーバ装置との間で認証処理を実行する車両認証処理ステップと、
    を実行させるためのコンピュータプログラム。
  12. コンピュータに、
    車両に搭載される車載装置と通信を行う車載装置間通信ステップと、
    符号鍵を符号鍵ツール記憶部に記憶する符号鍵ツール記憶ステップと、
    前記車載装置から受信した認証情報を対象にして前記符号鍵ツール記憶部に記憶される符号鍵で第1メッセージ認証符号を生成し、
    前記車載装置に対するアクセス権限を示すアクセス権限情報を対象にして前記符号鍵ツール記憶部に記憶される符号鍵で第2メッセージ認証符号を生成するメッセージ認証符号生成ステップと、
    前記第1メッセージ認証符号と前記アクセス権限情報と前記第2メッセージ認証符号とを前記車載装置へ送信するステップと、
    を実行させるためのコンピュータプログラム。
  13. 車両に搭載されるコンピュータに、
    メンテナンスツールと通信を行うツール間通信ステップと、
    前記メンテナンスツールが記憶する符号鍵と同じ符号鍵を符号鍵車両記憶部に記憶する符号鍵車両記憶ステップと、
    前記メンテナンスツールへ送信した認証情報と前記メンテナンスツールから受信した第1メッセージ認証符号とを対象にして前記第1メッセージ認証符号を、前記符号鍵車両記憶部が記憶する符号鍵で検証し、
    前記メンテナンスツールから受信したアクセス権限情報と第2メッセージ認証符号を対象にして前記第2メッセージ認証符号を、前記符号鍵車両記憶部が記憶する符号鍵で検証する符号検証ステップと、
    を実行させるためのコンピュータプログラム。
  14. コンピュータに、
    端末装置と通信を行う端末間通信ステップと、
    メンテナンス対象の車両と通信を行う車両間通信ステップと、
    符号鍵を符号鍵ツール記憶部に記憶する符号鍵ツール記憶ステップと、
    前記端末装置からのメンテナンス開始要求に応じて、
    前記車両に搭載される車載装置から受信した認証情報を対象にして前記符号鍵ツール記憶部に記憶される符号鍵で第1メッセージ認証符号を生成し、
    前記車載装置に対するアクセス権限を示すアクセス権限情報を対象にして前記符号鍵ツール記憶部に記憶される符号鍵で第2メッセージ認証符号を生成するメッセージ認証符号生成ステップと、
    前記第1メッセージ認証符号と前記アクセス権限情報と前記第2メッセージ認証符号とを前記車載装置へ送信するステップと、
    を実行させるためのコンピュータプログラム。
  15. 車両に搭載されるコンピュータに、
    メンテナンスサーバ装置と通信を行うサーバ間通信ステップと、
    前記メンテナンスサーバ装置が記憶する符号鍵と同じ符号鍵を符号鍵車両記憶部に記憶する符号鍵車両記憶ステップと、
    前記メンテナンスサーバ装置へ送信した認証情報と前記メンテナンスサーバ装置から受信した第1メッセージ認証符号とを対象にして前記第1メッセージ認証符号を、前記符号鍵車両記憶部が記憶する符号鍵で検証し、
    前記メンテナンスサーバ装置から受信したアクセス権限情報と第2メッセージ認証符号を対象にして前記第2メッセージ認証符号を、前記符号鍵車両記憶部が記憶する符号鍵で検証する符号検証ステップと、
    を実行させるためのコンピュータプログラム。
  16. メンテナンスサーバ装置が、車両に搭載される車載装置に対するアクセス権限を示すセキュリティアクセス鍵を鍵登録鍵で暗号化して暗号化セキュリティアクセス鍵を生成するサーバ暗号処理ステップと、
    前記メンテナンスサーバ装置が、前記暗号化セキュリティアクセス鍵を前記車両のメンテナンスツールへ送信するステップと、
    前記メンテナンスツールが、前記暗号化セキュリティアクセス鍵を前記車載装置へ送信するステップと、
    前記メンテナンスツールが、前記セキュリティアクセス鍵を使用して前記車載装置との間で認証処理を実行するアクセス認証処理ステップと、
    前記車載装置が、前記メンテナンスサーバ装置の鍵登録鍵と同じ鍵登録鍵を記憶する鍵登録鍵車両記憶部を備え、
    前記車載装置が、前記暗号化セキュリティアクセス鍵を、前記鍵登録鍵車両記憶部が記憶する鍵登録鍵で復号する車両暗号処理ステップと、
    前記車載装置が、前記暗号化セキュリティアクセス鍵の復号結果のセキュリティアクセス鍵を使用して前記メンテナンスツールとの間で認証処理を実行する車両認証処理ステップと、
    を含む車両メンテナンス方法。
  17. 管理サーバ装置と、車両のメンテナンスツールと、前記車両に搭載される車載装置とを備え、
    前記管理サーバ装置は、
    前記メンテナンスツールと通信を行うサーバ通信部と、
    前記メンテナンスツールを操作する作業員から通知された認可レベルが所定値であるか否かを確認し、前記認可レベルが所定値である場合に、認証局公開鍵証明書に対応する認証局秘密鍵を使用して作業員公開鍵証明書を発行するサーバ制御部と、を備え、
    前記メンテナンスツールは、
    前記管理サーバ装置と通信を行うサーバ間通信部と、
    前記車載装置と通信を行う車載装置間通信部と、
    前記作業員公開鍵証明書を使用して前記車載装置との間で認証処理を実行するツール制御部と、を備え、
    前記車載装置は、
    前記メンテナンスツールと通信を行うツール間通信部と、
    前記認証局公開鍵証明書を記憶する車両記憶部と、
    前記車両記憶部が記憶する前記認証局公開鍵証明書を使用して前記作業員公開鍵証明書を検証し、当該検証が合格である前記作業員公開鍵証明書を使用して、前記メンテナンスツールとの間の認証処理を実行する車載制御部と、を備える、
    車両メンテナンスシステム。
  18. 前記作業員公開鍵証明書は、前記認可レベルを示す認可レベル情報を含むものである、
    請求項17に記載の車両メンテナンスシステム。
  19. 前記ツール制御部は、前記作業員公開鍵証明書に対応する作業員秘密鍵を使用して、前記認可レベルを示す認可レベル情報の電子署名を生成し、前記電子署名付きの前記認可レベル情報を前記車載装置へ送信する、
    請求項17に記載の車両メンテナンスシステム。
  20. 管理サーバ装置と、車両に搭載される車載装置とを備え、
    前記管理サーバ装置は、
    前記車両のメンテナンスの作業員が操作する端末装置と通信を行う端末間通信部と、
    前記車両と通信を行う車両間通信部と、
    前記作業員から通知された認可レベルが所定値であるか否かを確認し、前記認可レベルが所定値である場合に、認証局公開鍵証明書に対応する認証局秘密鍵を使用して作業員公開鍵証明書を発行するサーバ制御部と、を備え、
    前記サーバ制御部は、前記作業員公開鍵証明書を使用して前記車載装置との間で認証処理を実行し、
    前記車載装置は、
    前記管理サーバ装置と通信を行うサーバ間通信部と、
    前記認証局公開鍵証明書を記憶する車両記憶部と、
    前記車両記憶部が記憶する前記認証局公開鍵証明書を使用して前記作業員公開鍵証明書を検証し、当該検証が合格である前記作業員公開鍵証明書を使用して、前記管理サーバ装置との間の認証処理を実行する車載制御部と、を備える、
    車両メンテナンスシステム。
  21. 前記作業員公開鍵証明書は、前記認可レベルを示す認可レベル情報を含むものである、
    請求項20に記載の車両メンテナンスシステム。
  22. 前記サーバ制御部は、前記作業員公開鍵証明書に対応する作業員秘密鍵を使用して、前記認可レベルを示す認可レベル情報の電子署名を生成し、前記電子署名付きの前記認可レベル情報を前記車載装置へ送信する、
    請求項20に記載の車両メンテナンスシステム。
  23. 車両のメンテナンスの作業員から通知された認可レベルが所定値であるか否かを確認し、前記認可レベルが所定値である場合に、認証局公開鍵証明書に対応する認証局秘密鍵を使用して、前記車両に供給される作業員公開鍵証明書を発行するサーバ制御部、
    を備える管理サーバ装置。
  24. 車両に搭載される車載装置において、
    認証局公開鍵証明書を記憶する車両記憶部と、
    前記車両記憶部が記憶する前記認証局公開鍵証明書を使用して、管理サーバ装置が発行した作業員公開鍵証明書を検証し、当該検証が合格である前記作業員公開鍵証明書を使用して、前記車両のメンテナンスにおける認証処理を実行する車載制御部と、
    を備える車載装置。
  25. コンピュータに、
    車両のメンテナンスの作業員から通知された認可レベルが所定値であるか否かを確認し、前記認可レベルが所定値である場合に、認証局公開鍵証明書に対応する認証局秘密鍵を使用して、前記車両に供給される作業員公開鍵証明書を発行するステップ
    を実行させるためのコンピュータプログラム。
  26. 車両に搭載されるコンピュータに、
    認証局公開鍵証明書を車両記憶部に記憶するステップと、
    前記車両記憶部が記憶する前記認証局公開鍵証明書を使用して、管理サーバ装置が発行した作業員公開鍵証明書を検証し、当該検証が合格である前記作業員公開鍵証明書を使用して、前記車両のメンテナンスにおける認証処理を実行するステップと、
    を実行させるためのコンピュータプログラム。
  27. 管理サーバ装置が、車両のメンテナンスツールを操作する作業員から通知された認可レベルが所定値であるか否かを確認し、前記認可レベルが所定値である場合に、認証局公開鍵証明書に対応する認証局秘密鍵を使用して作業員公開鍵証明書を発行するステップと、
    前記メンテナンスツールが、前記作業員公開鍵証明書を使用して前記車両に搭載される車載装置との間で認証処理を実行するステップと、
    前記車載装置が、前記認証局公開鍵証明書を車両記憶部に記憶するステップと、
    前記車載装置が、前記車両記憶部が記憶する前記認証局公開鍵証明書を使用して前記作業員公開鍵証明書を検証し、当該検証が合格である前記作業員公開鍵証明書を使用して、前記メンテナンスツールとの間の認証処理を実行するステップと、
    を含む車両メンテナンス方法。
  28. 管理サーバ装置が、車両のメンテナンスの作業員が操作する端末装置と通信を行うステップと、
    前記管理サーバ装置が、前記作業員から通知された認可レベルが所定値であるか否かを確認し、前記認可レベルが所定値である場合に、認証局公開鍵証明書に対応する認証局秘密鍵を使用して作業員公開鍵証明書を発行するステップと、
    前記管理サーバ装置が、前記作業員公開鍵証明書を使用して、前記車両に搭載される車載装置との間で認証処理を実行するステップと、
    前記車載装置が、前記認証局公開鍵証明書を車両記憶部に記憶するステップと、
    前記車載装置が、前記車両記憶部が記憶する前記認証局公開鍵証明書を使用して前記作業員公開鍵証明書を検証し、当該検証が合格である前記作業員公開鍵証明書を使用して、前記管理サーバ装置との間の認証処理を実行するステップと、
    を含む車両メンテナンス方法。
JP2019003075A 2018-11-15 2019-01-11 車両メンテナンスシステム、メンテナンスサーバ装置、管理サーバ装置、車載装置、メンテナンスツール、コンピュータプログラム及び車両メンテナンス方法 Pending JP2020088836A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2018215025 2018-11-15
JP2018215025 2018-11-15

Publications (1)

Publication Number Publication Date
JP2020088836A true JP2020088836A (ja) 2020-06-04

Family

ID=70909151

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019003075A Pending JP2020088836A (ja) 2018-11-15 2019-01-11 車両メンテナンスシステム、メンテナンスサーバ装置、管理サーバ装置、車載装置、メンテナンスツール、コンピュータプログラム及び車両メンテナンス方法

Country Status (1)

Country Link
JP (1) JP2020088836A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112612327A (zh) * 2020-12-31 2021-04-06 智车优行科技(北京)有限公司 扩展坞的接入控制方法、装置和系统、电子设备
CN114834393A (zh) * 2021-01-14 2022-08-02 丰田自动车株式会社 车辆控制系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7073066B1 (en) * 2001-08-28 2006-07-04 3Com Corporation Offloading cryptographic processing from an access point to an access point server using Otway-Rees key distribution
WO2014002280A1 (ja) * 2012-06-29 2014-01-03 富士通株式会社 通信プログラム、記録媒体、通信装置、および通信方法
WO2015129352A1 (ja) * 2014-02-28 2015-09-03 日立オートモティブシステムズ株式会社 認証システム、車載制御装置
WO2016035466A1 (ja) * 2014-09-03 2016-03-10 エンクリプティア株式会社 通信システム、サーバ装置用プログラム及びこれを記録した記録媒体、通信装置用プログラム及びこれを記録した記録媒体、端末装置用プログラム及びこれを記録した記録媒体
US20160127331A1 (en) * 2014-03-11 2016-05-05 Tencent Technology (Shenzhen) Company Limited Method and system for encrypted communications
JP2016192759A (ja) * 2015-03-31 2016-11-10 京セラドキュメントソリューションズ株式会社 保守作業認証システム、画像形成装置及び保守作業管理装置
WO2016208068A1 (ja) * 2015-06-26 2016-12-29 三菱電機ビルテクノサービス株式会社 認証システム
JP2018078484A (ja) * 2016-11-10 2018-05-17 Kddi株式会社 再利用システム、鍵生成装置、データ保安装置、車載コンピュータ、再利用方法、及びコンピュータプログラム

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7073066B1 (en) * 2001-08-28 2006-07-04 3Com Corporation Offloading cryptographic processing from an access point to an access point server using Otway-Rees key distribution
WO2014002280A1 (ja) * 2012-06-29 2014-01-03 富士通株式会社 通信プログラム、記録媒体、通信装置、および通信方法
WO2015129352A1 (ja) * 2014-02-28 2015-09-03 日立オートモティブシステムズ株式会社 認証システム、車載制御装置
US20160127331A1 (en) * 2014-03-11 2016-05-05 Tencent Technology (Shenzhen) Company Limited Method and system for encrypted communications
WO2016035466A1 (ja) * 2014-09-03 2016-03-10 エンクリプティア株式会社 通信システム、サーバ装置用プログラム及びこれを記録した記録媒体、通信装置用プログラム及びこれを記録した記録媒体、端末装置用プログラム及びこれを記録した記録媒体
JP2016192759A (ja) * 2015-03-31 2016-11-10 京セラドキュメントソリューションズ株式会社 保守作業認証システム、画像形成装置及び保守作業管理装置
WO2016208068A1 (ja) * 2015-06-26 2016-12-29 三菱電機ビルテクノサービス株式会社 認証システム
JP2018078484A (ja) * 2016-11-10 2018-05-17 Kddi株式会社 再利用システム、鍵生成装置、データ保安装置、車載コンピュータ、再利用方法、及びコンピュータプログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
竹森 敬祐: "コネクティッドカーのセキュリティ", IATSS REVIEW, vol. 42, no. 2, JPN6021037080, October 2017 (2017-10-01), JP, pages 39 - 47, ISSN: 0004601080 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112612327A (zh) * 2020-12-31 2021-04-06 智车优行科技(北京)有限公司 扩展坞的接入控制方法、装置和系统、电子设备
CN112612327B (zh) * 2020-12-31 2023-12-08 智车优行科技(北京)有限公司 扩展坞的接入控制方法、装置和系统、电子设备
CN114834393A (zh) * 2021-01-14 2022-08-02 丰田自动车株式会社 车辆控制系统
CN114834393B (zh) * 2021-01-14 2023-08-04 丰田自动车株式会社 车辆控制系统

Similar Documents

Publication Publication Date Title
CN109076078B (zh) 用以建立和更新用于安全的车载网络通信的密钥的方法
JP6731887B2 (ja) 保守システム及び保守方法
US10437977B2 (en) System and method for digital key sharing for access control
JP6754325B2 (ja) 車載認証システム、車載認証装置、コンピュータプログラム及び通信装置の認証方法
US10243745B2 (en) Method and system for producing a secure communication channel for terminals
CN111447601B (zh) 一种汽车蓝牙钥匙的实现方法及装置
JP5189073B2 (ja) 動産、特に自動車を未許可の使用から保護する方法、コンピュータプログラム、および動産
US9965637B2 (en) Method and device for activating functions of a control device
US11167723B2 (en) Method for access management of a vehicle
CN110324335B (zh) 一种基于电子移动证书的汽车软件升级方法及系统
US20170200324A1 (en) Device, method and system for collecting user-based insurance data in vehicles
CN111049660A (zh) 证书分发方法、系统、装置及设备、存储介质
US20180270052A1 (en) Cryptographic key distribution
JP5380583B1 (ja) デバイス認証方法及びシステム
CN112019340B (zh) 认证系统
WO2019135162A1 (en) Method and apparatus for policy-based management of assets
WO2017126471A1 (ja) 認証システム、認証要求装置、車載電子機器、コンピュータプログラム及び認証処理方法
JP2020088836A (ja) 車両メンテナンスシステム、メンテナンスサーバ装置、管理サーバ装置、車載装置、メンテナンスツール、コンピュータプログラム及び車両メンテナンス方法
KR20150089697A (ko) 모바일 단말을 이용한 스마트 카 보안 시스템 및 그 방법
JP2020088417A (ja) 車両メンテナンスシステム、メンテナンスサーバ装置、認証装置、メンテナンスツール、コンピュータプログラム及び車両メンテナンス方法
JP6905950B2 (ja) 端末装置、自動車、自動車の遠隔操作端末の認証方法及びコンピュータプログラム
US10263976B2 (en) Method for excluding a participant from a group having authorized communication
Kleberger et al. Protecting vehicles against unauthorised diagnostics sessions using trusted third parties
WO2017126322A1 (ja) 車載コンピュータシステム、車両、鍵生成装置、管理方法、鍵生成方法、及びコンピュータプログラム
JP2020086540A (ja) メンテナンスサーバ装置、車両メンテナンスシステム、コンピュータプログラム及び車両メンテナンス方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201204

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20210601

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210831

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210928

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20220325