JP6223484B2 - In-vehicle control system, vehicle, key distribution device, control device, key distribution method, and computer program - Google Patents

In-vehicle control system, vehicle, key distribution device, control device, key distribution method, and computer program Download PDF

Info

Publication number
JP6223484B2
JP6223484B2 JP2016038341A JP2016038341A JP6223484B2 JP 6223484 B2 JP6223484 B2 JP 6223484B2 JP 2016038341 A JP2016038341 A JP 2016038341A JP 2016038341 A JP2016038341 A JP 2016038341A JP 6223484 B2 JP6223484 B2 JP 6223484B2
Authority
JP
Japan
Prior art keywords
vehicle
distribution
unit
key
ecu
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016038341A
Other languages
Japanese (ja)
Other versions
JP2017157976A (en
Inventor
竹森 敬祐
敬祐 竹森
誠一郎 溝口
誠一郎 溝口
秀明 川端
秀明 川端
佳彦 高木
佳彦 高木
歩 窪田
歩 窪田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2016038341A priority Critical patent/JP6223484B2/en
Publication of JP2017157976A publication Critical patent/JP2017157976A/en
Application granted granted Critical
Publication of JP6223484B2 publication Critical patent/JP6223484B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、車載制御システム、車両、鍵配信装置、制御装置、鍵配信方法、及びコンピュータプログラムに関する。   The present invention relates to an in-vehicle control system, a vehicle, a key distribution device, a control device, a key distribution method, and a computer program.

従来、自動車は、ECU(Electronic Control Unit:電子制御装置)を有し、ECUによってエンジン制御等の機能を実現する。ECUは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。複数のECUをCAN(Controller Area Network)に接続して構成される車載制御システムについてのセキュリティ技術が例えば非特許文献1に記載されている。   2. Description of the Related Art Conventionally, an automobile has an ECU (Electronic Control Unit), and functions such as engine control are realized by the ECU. The ECU is a kind of computer and realizes a desired function by a computer program. For example, Non-Patent Document 1 discloses a security technique for an in-vehicle control system configured by connecting a plurality of ECUs to a CAN (Controller Area Network).

竹森敬祐、“セキュアエレメントを基点とした車載制御システムの保護 −要素技術の整理と考察−”、電子情報通信学会、信学技報、vol. 114、no. 508、pp. 73-78、2015年3月Keisuke Takemori, “Protection of in-vehicle control systems based on secure elements: Organizing and considering element technologies”, IEICE, IEICE Technical Report, vol. 114, no. 508, pp. 73-78, 2015 March

従来の車載制御システムのセキュリティ技術では、エンジン始動後のセキュリティ性能の向上を図ることが課題である。例えば、エンジン始動後にECU同士が通信する際に、該通信のセキュリティ強度が不十分になる可能性があった。   In the security technology of the conventional in-vehicle control system, it is a problem to improve the security performance after starting the engine. For example, when the ECUs communicate with each other after the engine is started, the security strength of the communication may be insufficient.

本発明は、このような事情を考慮してなされたものであり、エンジン始動後のセキュリティ性能の向上を図ることができる車載制御システム、車両、鍵配信装置、制御装置、鍵配信方法、及びコンピュータプログラムを提供することを課題とする。   The present invention has been made in consideration of such circumstances, and an in-vehicle control system, a vehicle, a key distribution device, a control device, a key distribution method, and a computer capable of improving the security performance after the engine is started. The challenge is to provide a program.

(1)本発明の一態様は、車両に備わる前記車両の制御装置同士が前記車両に備わる通信ネットワークを介して通信する車載制御システムにおいて、前記車両のエンジンの始動を示すエンジン始動情報を取得する車両情報取得部と、前記車両情報取得部が取得したエンジン始動情報に基づいて、前記制御装置の通信に使用される鍵の配信タイミングであるかを判定する配信タイミング判定部と、前記配信タイミング判定部の判定結果に応じて、前記鍵を前記制御装置へ前記通信ネットワークを介して配信する配信部と、を備える車載制御システムである。
(2)本発明の一態様は、上記(1)の車載制御システムにおいて、前記配信タイミング判定部は、前記車両情報取得部が取得したエンジン始動情報に基づいて、前記エンジンの始動から所定時間が経過した時に前記配信タイミングであると判定する、車載制御システムである。
(3)本発明の一態様は、上記(1)の車載制御システムにおいて、前記車両情報取得部は、前記車両が走行する状態にあるか否かを示す走行状態情報をさらに取得し、前記配信タイミング判定部は、前記車両情報取得部が取得したエンジン始動情報及び走行状態情報に基づいて、前記エンジンが始動し且つ前記車両が走行する状態にある時に前記配信タイミングであると判定する、車載制御システムである。
(4)本発明の一態様は、上記(1)から(3)のいずれかの車載制御システムにおいて、前記鍵の配信が完了しているか否かを報知する報知部をさらに備える、車載制御システムである。
(5)本発明の一態様は、上記(1)から(4)のいずれかの車載制御システムにおいて、前記配信部は、前記制御装置から前記通信ネットワークを介して受信した前記鍵の配信要求に応じて、前記鍵を該配信要求元の前記制御装置へ前記通信ネットワークを介して配信し、前記制御装置は、前記配信部から前記通信ネットワークを介して前記鍵を受信する受信部と、前記鍵の配信要求をするかの判定に使用される情報を取得する配信要求判定情報取得部と、前記受信部の前記鍵の受信の有無と前記配信要求判定情報取得部が取得した情報とに基づいて、前記鍵の配信要求を前記配信部へ前記通信ネットワークを介して送信する配信要求部と、を備える、車載制御システムである。
(6)本発明の一態様は、上記(5)の車載制御システムにおいて、前記配信要求判定情報取得部は、自制御装置が起動してからの経過時間を取得し、前記配信要求部は、前記受信部の前記鍵の受信なしであり且つ自制御装置が起動してから所定時間が経過した時に、前記鍵の配信要求を前記配信部へ前記通信ネットワークを介して送信する、車載制御システムである。
(7)本発明の一態様は、上記(5)の車載制御システムにおいて、前記配信要求判定情報取得部は、前記車両が走行する状態にあるか否かを示す走行状態情報を取得し、前記配信要求部は、前記受信部の前記鍵の受信なしであり且つ前記車両が走行する状態にある時に、前記鍵の配信要求を前記配信部へ前記通信ネットワークを介して送信する、車載制御システムである。 (1) According to an aspect of the present invention, in an in-vehicle control system in which the vehicle control devices provided in a vehicle communicate with each other via a communication network provided in the vehicle, engine start information indicating start of the vehicle engine is acquired. A vehicle information acquisition unit, a distribution timing determination unit that determines whether it is a distribution timing of a key used for communication of the control device, based on engine start information acquired by the vehicle information acquisition unit, and the distribution timing determination A distribution unit that distributes the key to the control device via the communication network according to a determination result of the unit.
(2) One aspect of the present invention is the vehicle-mounted control system according to (1), wherein the delivery timing determination unit is configured to perform a predetermined time from the start of the engine based on the engine start information acquired by the vehicle information acquisition unit. It is a vehicle-mounted control system which determines that it is the said delivery timing when it passes.
(3) In one aspect of the present invention, in the in-vehicle control system according to (1), the vehicle information acquisition unit further acquires travel state information indicating whether the vehicle is in a travel state, and the distribution The timing determination unit determines that it is the distribution timing when the engine is started and the vehicle is running based on the engine start information and the running state information acquired by the vehicle information acquisition unit. System.
(4) According to one aspect of the present invention, in the in-vehicle control system according to any one of (1) to (3), the in-vehicle control system further includes a notification unit that notifies whether or not the distribution of the key is completed. It is.
(5) According to one aspect of the present invention, in the in-vehicle control system according to any one of (1) to (4), the distribution unit responds to a distribution request for the key received from the control device via the communication network. In response, the key is distributed to the control device that is the distribution request source via the communication network, and the control device receives the key from the distribution unit via the communication network, and the key Based on the distribution request determination information acquisition unit that acquires information used to determine whether to make a distribution request, whether the reception unit has received the key, and the information acquired by the distribution request determination information acquisition unit A distribution request unit that transmits the key distribution request to the distribution unit via the communication network.
(6) According to one aspect of the present invention, in the in-vehicle control system according to (5), the distribution request determination information acquisition unit acquires an elapsed time since activation of the own control device, and the distribution request unit includes: An in-vehicle control system that transmits the key distribution request to the distribution unit via the communication network when the reception unit has not received the key and when a predetermined time has elapsed since the start of the own control device. is there.
(7) According to one aspect of the present invention, in the in-vehicle control system according to (5), the distribution request determination information acquisition unit acquires traveling state information indicating whether or not the vehicle is traveling, The distribution request unit is an in-vehicle control system that transmits the key distribution request to the distribution unit via the communication network when the key of the reception unit is not received and the vehicle is running. is there.

(8)本発明の一態様は、上記(1)から(5)のいずれかの車載制御システムを備える車両である。 (8) One aspect of the present invention is a vehicle including the vehicle-mounted control system according to any one of (1) to (5) above.

(9)本発明の一態様は、車両に備わる前記車両の制御装置同士が前記車両に備わる通信ネットワークを介して通信する車載制御システムの鍵配信装置であり、前記車両のエンジンの始動を示すエンジン始動情報を取得する車両情報取得部と、前記車両情報取得部が取得したエンジン始動情報に基づいて、前記制御装置の通信に使用される鍵の配信タイミングであるかを判定する配信タイミング判定部と、前記配信タイミング判定部の判定結果に応じて、前記鍵を前記制御装置へ前記通信ネットワークを介して配信する配信部と、を備える鍵配信装置である。 (9) One aspect of the present invention is a key distribution device of an in-vehicle control system in which the vehicle control devices provided in the vehicle communicate with each other via a communication network provided in the vehicle, and indicates an engine start of the vehicle A vehicle information acquisition unit that acquires start information; a distribution timing determination unit that determines whether it is a distribution timing of a key used for communication of the control device based on engine start information acquired by the vehicle information acquisition unit; A distribution unit that distributes the key to the control device via the communication network according to a determination result of the distribution timing determination unit.

(10)本発明の一態様は、車両に備わる前記車両の制御装置同士が前記車両に備わる通信ネットワークを介して通信する車載制御システムの前記制御装置であり、前記車両のエンジンの始動を示すエンジン始動情報を取得する車両情報取得部と、前記車両情報取得部が取得したエンジン始動情報に基づいて、前記制御装置の通信に使用される鍵の配信タイミングであるかを判定する配信タイミング判定部と、前記配信タイミング判定部の判定結果に応じて、前記鍵を前記制御装置へ前記通信ネットワークを介して配信する配信部と、を備える制御装置である。 (10) One aspect of the present invention is the control device of the in-vehicle control system in which the vehicle control devices provided in the vehicle communicate with each other via a communication network provided in the vehicle, and indicates an engine start of the vehicle A vehicle information acquisition unit that acquires start information; a distribution timing determination unit that determines whether it is a distribution timing of a key used for communication of the control device based on engine start information acquired by the vehicle information acquisition unit; And a distribution unit that distributes the key to the control device via the communication network according to a determination result of the distribution timing determination unit.

(11)本発明の一態様は、車両に備わる前記車両の制御装置同士が前記車両に備わる通信ネットワークを介して通信する車載制御システムの鍵配信方法であり、車両情報取得部が、前記車両のエンジンの始動を示すエンジン始動情報を取得する車両情報取得ステップと、配信タイミング判定部が、前記車両情報取得部が取得したエンジン始動情報に基づいて、前記制御装置の通信に使用される鍵の配信タイミングであるかを判定する配信タイミング判定ステップと、配信部が、前記配信タイミング判定部の判定結果に応じて、前記鍵を前記制御装置へ前記通信ネットワークを介して配信する配信ステップと、を含む鍵配信方法である。 (11) One aspect of the present invention is a key distribution method for an in-vehicle control system in which the vehicle control devices provided in the vehicle communicate with each other via a communication network provided in the vehicle, and the vehicle information acquisition unit includes: A vehicle information acquisition step for acquiring engine start information indicating engine start and a distribution of a key used for communication of the control device based on the engine start information acquired by the distribution timing determination unit by the vehicle information acquisition unit A distribution timing determination step for determining whether the timing is present, and a distribution step in which the distribution unit distributes the key to the control device via the communication network according to a determination result of the distribution timing determination unit. It is a key distribution method.

(12)本発明の一態様は、車両に備わる前記車両の制御装置同士が前記車両に備わる通信ネットワークを介して通信する車載制御システムのコンピュータに、前記車両のエンジンの始動を示すエンジン始動情報を取得する車両情報取得機能と、前記車両情報取得機能が取得したエンジン始動情報に基づいて、前記制御装置の通信に使用される鍵の配信タイミングであるかを判定する配信タイミング判定機能と、前記配信タイミング判定機能の判定結果に応じて、前記鍵を前記制御装置へ前記通信ネットワークを介して配信する配信機能と、を実現させるためのコンピュータプログラムである。 (12) According to one aspect of the present invention, engine start information indicating engine start of the vehicle is transmitted to a computer of an in-vehicle control system in which the vehicle control devices provided in the vehicle communicate with each other via a communication network provided in the vehicle. A vehicle information acquisition function to be acquired, a distribution timing determination function for determining whether it is a distribution timing of a key used for communication of the control device, based on engine start information acquired by the vehicle information acquisition function, and the distribution A computer program for realizing a distribution function for distributing the key to the control device via the communication network in accordance with a determination result of a timing determination function.

本発明によれば、エンジン始動後のセキュリティ性能の向上を図ることができるという効果が得られる。   According to the present invention, it is possible to improve the security performance after starting the engine.

一実施形態に係る自動車1の構成例を示す図である。1 is a diagram illustrating a configuration example of an automobile 1 according to an embodiment. 一実施形態に係る第1ECU10の機能構成例を示す図である。It is a figure showing an example of functional composition of the 1ECU10 concerning one embodiment. 一実施形態に係る第2ECU20の機能構成例を示す図である。It is a figure which shows the function structural example of 2nd ECU20 which concerns on one Embodiment. 一実施形態に係る鍵配信方法の例を示すフローチャートである。It is a flowchart which shows the example of the key distribution method which concerns on one Embodiment. 一実施形態に係る鍵配信方法の例を示すフローチャートである。It is a flowchart which shows the example of the key distribution method which concerns on one Embodiment.

以下、図面を参照し、本発明の実施形態について説明する。なお、以下に示す実施形態では、車両として自動車を例に挙げて説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. In the following embodiment, a vehicle will be described as an example of a vehicle.

図1は、本実施形態に係る自動車1の構成例を示す図である。図1において、自動車1は、複数のECU(電子制御装置)10,20と、CAN30と、インフォテイメント(Infotainment)機器102と、診断ポート104とを備える。ECU10,20はCAN30に接続されている。CAN30は通信ネットワークである。CANは車両に搭載される通信ネットワークの一例として知られている。ECU10は、CAN30を介して、ECU20との間でデータを交換する。ECU20は、CAN30を介して、他のECU20との間でデータを交換する。   FIG. 1 is a diagram illustrating a configuration example of an automobile 1 according to the present embodiment. In FIG. 1, the automobile 1 includes a plurality of ECUs (Electronic Control Units) 10, 20, a CAN 30, an infotainment device 102, and a diagnostic port 104. The ECUs 10 and 20 are connected to the CAN 30. CAN 30 is a communication network. CAN is known as an example of a communication network mounted on a vehicle. The ECU 10 exchanges data with the ECU 20 via the CAN 30. The ECU 20 exchanges data with other ECUs 20 via the CAN 30.

ECU10,20は、コンピュータの一種である。ECU10,20は、自動車1に備わる車載コンピュータである。ECU10,20は、CPU(Central Processing Unit:中央演算処理装置)及びメモリ等から構成される。ECU10,20のCPUが該ECU10,20の機能を実現させるためのコンピュータプログラムを実行することによって、該ECU10,20の機能が実現される。例えば、ECU10,20は、自動車1内の機器を制御する制御機能を有する。   The ECUs 10 and 20 are a kind of computer. The ECUs 10 and 20 are in-vehicle computers provided in the automobile 1. The ECUs 10 and 20 are composed of a CPU (Central Processing Unit) and a memory. The functions of the ECUs 10 and 20 are realized by the CPU of the ECUs 10 and 20 executing a computer program for realizing the functions of the ECUs 10 and 20. For example, the ECUs 10 and 20 have a control function for controlling devices in the automobile 1.

ECU10を第1ECU10と称する。ECU20を第2ECU20と称する。第1ECU10は、自動車1に搭載されたECUのうち、ゲートウェイ機能を有するECUである。第2ECU20は、自動車1に搭載されたECUのうち、エンジン制御等の機能を有するECUである。第2ECU20として、例えば、エンジン制御機能を有するECU、ハンドル制御機能を有するECU、ブレーキ制御機能を有するECUなどがある。   The ECU 10 is referred to as a first ECU 10. The ECU 20 is referred to as a second ECU 20. The first ECU 10 is an ECU having a gateway function among the ECUs mounted on the automobile 1. The second ECU 20 is an ECU having functions such as engine control among the ECUs mounted on the automobile 1. Examples of the second ECU 20 include an ECU having an engine control function, an ECU having a handle control function, and an ECU having a brake control function.

第1ECU10は、CAN30を介して、第2ECU20と通信する。第2ECU20は、CAN30を介して、他の第2ECU20と通信する。本実施形態において、車載制御システム2は、第1ECU10と第2ECU20とCAN30とを備える。   The first ECU 10 communicates with the second ECU 20 via the CAN 30. The second ECU 20 communicates with the other second ECU 20 via the CAN 30. In the present embodiment, the in-vehicle control system 2 includes a first ECU 10, a second ECU 20, and a CAN 30.

インフォテイメント機器102として、例えば、ナビゲーション機能、位置情報サービス機能、音楽や動画などのマルチメディア再生機能、音声通信機能、データ通信機能、インターネット接続機能などを有するものが挙げられる。インフォテイメント機器102は、外部機器200と接続して、外部機器200とデータを交換する。外部機器200として、例えば、携帯通信端末やオーディオビジュアル機器などが挙げられる。インフォテイメント機器102は第1ECU10に接続される。   Examples of the infotainment device 102 include a navigation function, a location information service function, a multimedia playback function such as music and video, a voice communication function, a data communication function, and an Internet connection function. The infotainment device 102 is connected to the external device 200 and exchanges data with the external device 200. Examples of the external device 200 include a mobile communication terminal and an audio visual device. The infotainment device 102 is connected to the first ECU 10.

診断ポート104は、診断ツール210を接続する。診断ツール210は、診断ポート104を介して、第1ECU10や第2ECU20等の更新プログラムのインストールやデータの設定変更などを実行する。診断ポート104として、例えばOBD(On-board Diagnostics)ポートを使用してもよい。   The diagnostic port 104 connects the diagnostic tool 210. The diagnostic tool 210 executes installation of update programs such as the first ECU 10 and the second ECU 20 and data setting change via the diagnostic port 104. As the diagnostic port 104, for example, an OBD (On-board Diagnostics) port may be used.

インフォテイメント機器102は、第1ECU10を介して、CAN30に接続されている第2ECU20とデータを送受する。第1ECU10は、インフォテイメント機器102と第2ECU20との間のデータの送受を監視する。   The infotainment device 102 transmits / receives data to / from the second ECU 20 connected to the CAN 30 via the first ECU 10. The first ECU 10 monitors data transmission / reception between the infotainment device 102 and the second ECU 20.

診断ツール210は、診断ポート104及び第1ECU10を介して、CAN30に接続されている第2ECU20とデータを送受する。第1ECU10は、診断ツール210と第2ECU20との間のデータの送受を監視する。   The diagnostic tool 210 transmits / receives data to / from the second ECU 20 connected to the CAN 30 via the diagnostic port 104 and the first ECU 10. The first ECU 10 monitors data transmission / reception between the diagnostic tool 210 and the second ECU 20.

図2は、本実施形態に係る第1ECU10の機能構成例を示す図である。図2において、第1ECU10は、車両情報取得部11と、配信タイミング判定部12と、配信部13と、報知部14とを備える。これら各部の機能は、第1ECU10のCPUが該第1ECU10のメモリに格納されているコンピュータプログラムを実行することによって実現される。   FIG. 2 is a diagram illustrating a functional configuration example of the first ECU 10 according to the present embodiment. In FIG. 2, the first ECU 10 includes a vehicle information acquisition unit 11, a distribution timing determination unit 12, a distribution unit 13, and a notification unit 14. The functions of these units are realized by the CPU of the first ECU 10 executing a computer program stored in the memory of the first ECU 10.

車両情報取得部11は、自動車1のエンジンの始動を示すエンジン始動情報を取得する。車両情報取得部11は、自動車1のエンジンの始動を制御する第2ECU20から、エンジン始動情報を取得する。例えば、車両情報取得部11は、自動車1のエンジンの始動を制御する第2ECU20がCAN30へ送信した情報をCAN30から受信し、該受信した情報からエンジン始動情報を取得する。   The vehicle information acquisition unit 11 acquires engine start information indicating the start of the engine of the automobile 1. The vehicle information acquisition unit 11 acquires engine start information from the second ECU 20 that controls the start of the engine of the automobile 1. For example, the vehicle information acquisition unit 11 receives information transmitted from the CAN 30 by the second ECU 20 that controls the start of the engine of the automobile 1 to the CAN 30 and acquires engine start information from the received information.

車両情報取得部11は、自動車1が走行する状態にあるか否かを示す走行状態情報をさらに取得してもよい。走行状態情報は、例えば、自動車1の変速機(ギヤ:gear)の状態を示す情報であってもよい。自動車1の変速機の状態として、ドライブレンジやリバースレンジ等の走行する状態と、ニュートラルやパーキング等の走行しない状態とが存在する。走行状態情報として自動車1の変速機の状態を示す情報を使用する場合、車両情報取得部11は、自動車1の変速機を制御する第2ECU20から、走行状態情報を取得する。例えば、車両情報取得部11は、自動車1の変速機を制御する第2ECU20がCAN30へ送信した情報をCAN30から受信し、該受信した情報から走行状態情報を取得する。   The vehicle information acquisition unit 11 may further acquire traveling state information indicating whether or not the automobile 1 is in a traveling state. The traveling state information may be information indicating the state of the transmission (gear) of the automobile 1, for example. As the state of the transmission of the automobile 1, there are a traveling state such as a drive range and a reverse range and a non-traveling state such as neutral and parking. When information indicating the state of the transmission of the automobile 1 is used as the traveling state information, the vehicle information acquisition unit 11 acquires the traveling state information from the second ECU 20 that controls the transmission of the automobile 1. For example, the vehicle information acquisition unit 11 receives information transmitted from the CAN 30 by the second ECU 20 that controls the transmission of the automobile 1 from the CAN 30, and acquires traveling state information from the received information.

配信タイミング判定部12は、車両情報取得部11が取得したエンジン始動情報に基づいて、第1ECU10及び第2ECU20の通信に使用される鍵の配信タイミングであるかを判定する。本実施形態では、第1ECU10及び第2ECU20の通信に使用される鍵をセッション鍵と称する。セッション鍵は、通信のセキュリティ強度を高めるために使用される。例えば、セッション鍵は、通信データの暗号化及び復号や、メッセージ認証コード(Message Authentication Code:MAC)の生成及び検査などに使用される。   The distribution timing determination unit 12 determines whether it is the distribution timing of the key used for communication between the first ECU 10 and the second ECU 20 based on the engine start information acquired by the vehicle information acquisition unit 11. In the present embodiment, a key used for communication between the first ECU 10 and the second ECU 20 is referred to as a session key. The session key is used to increase the security strength of communication. For example, the session key is used for encryption and decryption of communication data, generation and inspection of a message authentication code (MAC).

配信タイミング判定部12は、車両情報取得部11が取得したエンジン始動情報及び走行状態情報に基づいて、セッション鍵の配信タイミングであるかを判定してもよい。   The distribution timing determination unit 12 may determine whether it is the session key distribution timing based on the engine start information and the running state information acquired by the vehicle information acquisition unit 11.

配信部13は、配信タイミング判定部12の判定結果に応じて、セッション鍵を第2ECU20へCAN30を介して配信する。配信部13は、セッション鍵をブロードキャストで送信してもよい。ブロードキャストで送信されたセッション鍵は、CAN30を介して、各第2ECU20で受信される。   The distribution unit 13 distributes the session key to the second ECU 20 via the CAN 30 according to the determination result of the distribution timing determination unit 12. The distribution unit 13 may transmit the session key by broadcast. The session key transmitted by broadcast is received by each second ECU 20 via CAN 30.

配信部13は、第2ECU20からCAN30を介して受信したセッション鍵の配信要求に応じて、セッション鍵を該配信要求元の第2ECU20へCAN30を介して配信してもよい。   The distribution unit 13 may distribute the session key to the second ECU 20 that is the distribution request source via the CAN 30 in response to the session key distribution request received from the second ECU 20 via the CAN 30.

報知部14は、セッション鍵の配信が完了しているか否かを報知する。例えば、報知部14は、自動車1の運転席の表示画面上に、セッション鍵の配信が完了しているか否かを表示してもよい。また、報知部14は、セッション鍵の配信が完了しているか否かを音声によって報知してもよい。   The notification unit 14 notifies whether or not the distribution of the session key has been completed. For example, the notification unit 14 may display on the display screen of the driver's seat of the automobile 1 whether or not the distribution of the session key has been completed. Moreover, the alerting | reporting part 14 may alert | report by voice whether the delivery of the session key is completed.

図3は、本実施形態に係る第2ECU20の機能構成例を示す図である。図3において、第2ECU20は、受信部21と、配信要求部22と、配信要求判定情報取得部23とを備える。これら各部の機能は、第2ECU20のCPUが該第2ECU20のメモリに格納されているコンピュータプログラムを実行することによって実現される。   FIG. 3 is a diagram illustrating a functional configuration example of the second ECU 20 according to the present embodiment. In FIG. 3, the second ECU 20 includes a receiving unit 21, a distribution request unit 22, and a distribution request determination information acquisition unit 23. The functions of these units are realized by the CPU of the second ECU 20 executing a computer program stored in the memory of the second ECU 20.

受信部21は、第1ECU10からCAN30を介してセッション鍵を受信する。配信要求判定情報取得部23は、セッション鍵の配信要求をするかの判定に使用される情報を取得する。配信要求部22は、受信部21のセッション鍵の受信の有無と配信要求判定情報取得部23が取得した情報とに基づいて、セッション鍵の配信要求を第1ECU10へCAN30を介して送信する。   The receiving unit 21 receives a session key from the first ECU 10 via the CAN 30. The distribution request determination information acquisition unit 23 acquires information used for determining whether or not to make a session key distribution request. The distribution request unit 22 transmits a session key distribution request to the first ECU 10 via the CAN 30 based on whether the reception unit 21 has received the session key and the information acquired by the distribution request determination information acquisition unit 23.

次に図4及び図5を参照して本実施形態に係る第1ECU10及び第2ECU20の各動作を説明する。   Next, each operation of the first ECU 10 and the second ECU 20 according to the present embodiment will be described with reference to FIGS. 4 and 5.

図4を参照して本実施形態に係る第1ECU10について説明する。図4は、本実施形態に係る鍵配信方法の例を示すフローチャートである。図4の処理は、例えば、第1ECU10が起動した時に開始される。   The first ECU 10 according to the present embodiment will be described with reference to FIG. FIG. 4 is a flowchart showing an example of a key distribution method according to the present embodiment. The process of FIG. 4 is started when the first ECU 10 is activated, for example.

(ステップS1)第1ECU10において、配信タイミング判定部12は、車両情報取得部11が取得したエンジン始動情報に基づいて、セッション鍵の配信タイミングであるかを判定する。又は、配信タイミング判定部12は、車両情報取得部11が取得したエンジン始動情報及び走行状態情報に基づいて、セッション鍵の配信タイミングであるかを判定する。この判定の結果、セッション鍵の配信タイミングである場合にはステップS2に進み、セッション鍵の配信タイミングではない場合にはステップS1を継続する。 (Step S <b> 1) In the first ECU 10, the distribution timing determination unit 12 determines whether it is the session key distribution timing based on the engine start information acquired by the vehicle information acquisition unit 11. Alternatively, the distribution timing determination unit 12 determines whether it is the session key distribution timing based on the engine start information and the running state information acquired by the vehicle information acquisition unit 11. If it is determined that the session key distribution timing is reached, the process proceeds to step S2. If the session key distribution timing is not reached, step S1 is continued.

(ステップS2)配信部13は、配信タイミング判定部12の判定結果、セッション鍵の配信タイミングである場合に、セッション鍵を第2ECU20へCAN30を介して配信する。配信部13は、セッション鍵をブロードキャストで送信してもよい。 (Step S <b> 2) The distribution unit 13 distributes the session key to the second ECU 20 via the CAN 30 when the determination result of the distribution timing determination unit 12 is the session key distribution timing. The distribution unit 13 may transmit the session key by broadcast.

(ステップS3)配信部13は、第2ECU20へのセッション鍵の配信が完了したかを判断する。具体的には、配信部13は、各第2ECU20からCAN30を介してセッション鍵の受信応答を受信したかを判断する。配信部13は、該判断の結果、全ての配信先の第2ECU20からセッション鍵の受信応答を受信した場合に、第2ECU20へのセッション鍵の配信が完了したと判断する。一方、配信部13は、該判断の結果、いずれかの配信先の第2ECU20からセッション鍵の受信応答を受信していない場合には、第2ECU20へのセッション鍵の配信が完了していないと判断する。 (Step S3) The distribution unit 13 determines whether the distribution of the session key to the second ECU 20 has been completed. Specifically, the distribution unit 13 determines whether or not a session key reception response has been received from each second ECU 20 via the CAN 30. As a result of the determination, the distribution unit 13 determines that the distribution of the session key to the second ECU 20 has been completed when receiving a session key reception response from the second ECUs 20 of all distribution destinations. On the other hand, as a result of the determination, the distribution unit 13 determines that the distribution of the session key to the second ECU 20 has not been completed when the session key reception response has not been received from the second ECU 20 of any distribution destination. To do.

ステップS3の判断の結果、セッション鍵の配信が完了した場合にはステップS4に進み、セッション鍵の配信が完了していない場合にはステップS5に進む。   If the session key distribution is completed as a result of the determination in step S3, the process proceeds to step S4. If the session key distribution is not completed, the process proceeds to step S5.

(ステップS4)報知部14は、セッション鍵の配信が完了したことを報知する。例えば、報知部14は、自動車1の運転席の表示画面上に、セッション鍵の配信が完了したことを示す表示を行う。 (Step S4) The notification unit 14 notifies that the distribution of the session key has been completed. For example, the notification unit 14 performs a display on the display screen of the driver's seat of the automobile 1 indicating that the session key distribution has been completed.

(ステップS5)配信部13は、第2ECU20からCAN30を介してセッション鍵の配信要求を受信したかを判断する。この判断の結果、セッション鍵の配信要求を受信した場合にはステップS6に進み、セッション鍵の配信要求を受信していない場合にはステップS3に戻る。 (Step S <b> 5) The distribution unit 13 determines whether a session key distribution request is received from the second ECU 20 via the CAN 30. If it is determined that a session key distribution request has been received, the process proceeds to step S6. If no session key distribution request has been received, the process returns to step S3.

(ステップS6)配信部13は、第2ECU20からCAN30を介して受信したセッション鍵の配信要求に応じて、セッション鍵を該配信要求元の第2ECU20へCAN30を介して配信する。 (Step S6) In response to the session key distribution request received from the second ECU 20 via the CAN 30, the distribution unit 13 distributes the session key to the second ECU 20 that is the distribution request source via the CAN 30.

(ステップS7)図4の処理の終了である場合には本処理を終了し、図4の処理の継続である場合にはステップS1に戻る。 (Step S7) If the process of FIG. 4 is completed, the present process is terminated, and if the process of FIG. 4 is continued, the process returns to Step S1.

図5を参照して本実施形態に係る第2ECU20について説明する。図5は、本実施形態に係る鍵配信方法の例を示すフローチャートである。図5の処理は、例えば、第2ECU20が起動した時に開始される。   The second ECU 20 according to the present embodiment will be described with reference to FIG. FIG. 5 is a flowchart illustrating an example of a key distribution method according to the present embodiment. The process of FIG. 5 is started when the second ECU 20 is activated, for example.

(ステップS11)第2ECU20において、受信部21は、第1ECU10からCAN30を介してセッション鍵を受信したかを判断する。例えば、受信部21は、第1ECU10からCAN30を介してブロードキャストによってセッション鍵を受信したかを判断する。 (Step S <b> 11) In the second ECU 20, the receiving unit 21 determines whether a session key is received from the first ECU 10 via the CAN 30. For example, the receiving unit 21 determines whether a session key is received from the first ECU 10 via the CAN 30 by broadcasting.

ステップS11の判断の結果、セッション鍵を受信した場合にはステップS12に進み、セッション鍵を受信していない場合にはステップS13に進む。   If it is determined in step S11 that the session key has been received, the process proceeds to step S12. If the session key has not been received, the process proceeds to step S13.

(ステップS12)受信部21は、セッション鍵の受信応答を第1ECU10へCAN30を介して送信する。 (Step S <b> 12) The receiving unit 21 transmits a session key reception response to the first ECU 10 via the CAN 30.

セッション鍵の受信応答として、例えばCMAC(Cipher-based Message Authentication Code)を使用してもよい。例えば、受信部21は、受信応答のCMACとして、受信部21が受信したセッション鍵を使用して、自第2ECU20のECU_IDとカウンタ値との連結データのCMACを生成してもよい。該ECU_IDは、該第2ECU20に付与されているCANの識別子である。該カウンタ値は、該第2ECU20から第1ECU10へ通信データを送信した回数を表す。この場合、上記の図4のステップS3において、第1ECU10の配信部13は、第2ECU20から受信したセッション鍵の受信応答のCMACを、自己が配信したセッション鍵を使用して検査する。配信部13は、該CMACの検査結果が合格である場合には当該第2ECU20へのセッション鍵の配信が完了したと判断し、該CMACの検査結果が不合格である場合には当該第2ECU20へのセッション鍵の配信が完了していないと判断する。セッション鍵の受信応答としてCMACを使用することによって、リプレイ攻撃を防ぐことができる。   For example, CMAC (Cipher-based Message Authentication Code) may be used as the session key reception response. For example, the receiving unit 21 may generate a CMAC of concatenated data between the ECU_ID of the second ECU 20 and the counter value using the session key received by the receiving unit 21 as the CMAC of the reception response. The ECU_ID is an identifier of a CAN assigned to the second ECU 20. The counter value represents the number of times communication data is transmitted from the second ECU 20 to the first ECU 10. In this case, in step S3 of FIG. 4 described above, the distribution unit 13 of the first ECU 10 checks the CMAC of the session key reception response received from the second ECU 20 using the session key distributed by itself. The delivery unit 13 determines that the delivery of the session key to the second ECU 20 is complete when the CMAC inspection result is acceptable, and to the second ECU 20 when the CMAC inspection result is unacceptable. It is determined that the distribution of the session key is not completed. By using CMAC as a session key reception response, a replay attack can be prevented.

(ステップS13)配信要求部22は、受信部21のセッション鍵の受信の有無と配信要求判定情報取得部23が取得した情報とに基づいて、セッション鍵の配信要求を行うかを判断する。この判断の結果、セッション鍵の配信要求を行う場合にはステップS14に進み、セッション鍵の配信要求を行わない場合にはステップS11に戻る。 (Step S <b> 13) The distribution request unit 22 determines whether to make a session key distribution request based on whether or not the reception unit 21 has received the session key and the information acquired by the distribution request determination information acquisition unit 23. As a result of the determination, if a session key distribution request is made, the process proceeds to step S14, and if no session key distribution request is made, the process returns to step S11.

(ステップS14)配信要求部22は、セッション鍵の配信要求を第1ECU10へCAN30を介して送信する。 (Step S14) The distribution request unit 22 transmits a session key distribution request to the first ECU 10 via the CAN 30.

(ステップS15)図5の処理の終了である場合には本処理を終了し、図5の処理の継続である場合にはステップS11に戻る。 (Step S15) If the process of FIG. 5 is completed, the present process is terminated. If the process of FIG. 5 is continued, the process returns to Step S11.

次に本実施形態に係るセッション鍵の配信タイミングの例を説明する。   Next, an example of session key distribution timing according to the present embodiment will be described.

[セッション鍵の配信タイミングの例1]
セッション鍵の配信タイミングの例1は、自動車1のエンジンが始動してから所定時間が経過した時である。配信タイミング判定部12は、車両情報取得部11が取得したエンジン始動情報に基づいて、自動車1のエンジンの始動から所定時間が経過した時に、セッション鍵の配信タイミングであると判定する。配信部13は、該配信タイミング判定部12が配信タイミングであると判定すると、セッション鍵を第2ECU20へCAN30を介して配信する。これにより、セッション鍵は、自動車1のエンジンの始動から所定時間が経過したタイミングで、第1ECU10から第2ECU20へ配信される。 [Example 1 of session key distribution timing]
Example 1 of session key distribution timing is when a predetermined time has elapsed since the engine of the automobile 1 was started. Based on the engine start information acquired by the vehicle information acquisition unit 11, the distribution timing determination unit 12 determines that it is the session key distribution timing when a predetermined time has elapsed since the start of the engine of the automobile 1. When the distribution timing determination unit 12 determines that the distribution timing is the distribution timing, the distribution unit 13 distributes the session key to the second ECU 20 via the CAN 30. Thus, the session key is distributed from the first ECU 10 to the second ECU 20 at a timing when a predetermined time has elapsed since the engine of the automobile 1 is started.

セッション鍵の配信タイミングの例1によれば、自動車1のエンジンの始動から所定時間(配信タイミングの判定時間)が経過したタイミングで、第1ECU10から第2ECU20へ、セッション鍵の配信が行われる。これにより、自動車1のエンジンの始動によって各第2ECU20が起動又は再起動した場合に、各第2ECU20の動作が安定するまで待ってから、第1ECU10から第2ECU20へセッション鍵を配信することができる。また、各第2ECU20の動作が安定するまでの時間が異なっていても、その差の時間を考慮して配信タイミングの判定時間を設定することにより、セッション鍵の安定的な配信を実現できる。   According to the session key distribution timing example 1, the session key is distributed from the first ECU 10 to the second ECU 20 at a timing when a predetermined time (distribution timing determination time) has elapsed since the start of the engine of the automobile 1. Thereby, when each 2ECU20 is started or restarted by starting the engine of the automobile 1, the session key can be distributed from the first ECU10 to the second ECU20 after waiting until the operation of each second ECU20 is stabilized. Even if the time until the operation of each second ECU 20 is stabilized is different, the session key can be stably distributed by setting the distribution timing determination time in consideration of the difference time.

[セッション鍵の配信タイミングの例2]
セッション鍵の配信タイミングの例2は、自動車1のエンジンが始動し且つ該自動車1が走行する状態にある時である。配信タイミング判定部12は、車両情報取得部11が取得したエンジン始動情報及び走行状態情報に基づいて、自動車1のエンジンが始動し且つ該自動車1が走行する状態にある時に、セッション鍵の配信タイミングであると判定する。配信部13は、該配信タイミング判定部12が配信タイミングであると判定すると、セッション鍵を第2ECU20へCAN30を介して配信する。これにより、セッション鍵は、自動車1のエンジンが始動し且つ該自動車1が走行する状態にあるタイミングで、第1ECU10から第2ECU20へ配信される。例えば、自動車1のエンジン始動後に変速機の状態がドライブレンジになったタイミングで、セッション鍵が第1ECU10から第2ECU20へ配信される。 [Example 2 of session key distribution timing]
Example 2 of session key distribution timing is when the engine of the automobile 1 is started and the automobile 1 is in a running state. Based on the engine start information and the running state information acquired by the vehicle information acquisition unit 11, the delivery timing determination unit 12 starts the session key delivery timing when the engine of the automobile 1 is started and the automobile 1 is in a running state. It is determined that When the distribution timing determination unit 12 determines that the distribution timing is the distribution timing, the distribution unit 13 distributes the session key to the second ECU 20 via the CAN 30. Thus, the session key is distributed from the first ECU 10 to the second ECU 20 at a timing when the engine of the automobile 1 is started and the automobile 1 is in a traveling state. For example, the session key is distributed from the first ECU 10 to the second ECU 20 at the timing when the state of the transmission becomes the drive range after the engine of the automobile 1 is started.

セッション鍵の配信タイミングの例2によれば、自動車1のエンジンが始動し且つ該自動車1が走行する状態にあるタイミングで、第1ECU10から第2ECU20へ、セッション鍵の配信が行われる。これにより、自動車1が走行するタイミングで、第1ECU10から第2ECU20へセッション鍵を配信することができる。自動車1が走行するタイミングでは、ほとんどの第2ECU20は動作が安定していると考えられるので、セッション鍵の安定的な配信を実現できる。   According to the session key distribution timing example 2, the session key is distributed from the first ECU 10 to the second ECU 20 at a timing when the engine of the automobile 1 is started and the automobile 1 is in a traveling state. Thereby, the session key can be distributed from the first ECU 10 to the second ECU 20 at the timing when the automobile 1 travels. Since most of the second ECUs 20 are considered to be stable at the timing when the vehicle 1 travels, stable distribution of the session key can be realized.

次に本実施形態に係るセッション鍵の配信要求方法の例を説明する。   Next, an example of a session key distribution request method according to the present embodiment will be described.

[セッション鍵の配信要求方法の例1]
セッション鍵の配信要求方法の例1では、第2ECU20において、第1ECU10からのセッション鍵の受信がなく、且つ、該第2ECU20が起動してから所定時間が経過した時に、第1ECU10に対してセッション鍵の配信要求を行う。配信要求判定情報取得部23は、自第2ECU20が起動してからの経過時間を取得する。例えば、配信要求判定情報取得部23は、自第2ECU20のCPUが起動してからの経過時間を計測する。配信要求部22は、受信部21のセッション鍵の受信の有無と配信要求判定情報取得部23が取得した経過時間とに基づいて、受信部21のセッション鍵の受信なしであり且つ自第2ECU20が起動してから所定時間が経過した時に、セッション鍵の配信要求を第1ECU10へCAN30を介して送信する。第1ECU10の配信部13は、該第2ECU20からCAN30を介して受信したセッション鍵の配信要求に応じて、セッション鍵を該配信要求元の第2ECU20へCAN30を介して配信する。 [Example 1 of session key distribution request method]
In Example 1 of the session key distribution request method, when the second ECU 20 does not receive a session key from the first ECU 10 and when a predetermined time has elapsed since the second ECU 20 started, the second ECU 20 Make a delivery request. The distribution request determination information acquisition unit 23 acquires the elapsed time since the start of the second ECU 20. For example, the distribution request determination information acquisition unit 23 measures the elapsed time after the CPU of the second ECU 20 is activated. Based on the presence / absence of reception of the session key by the reception unit 21 and the elapsed time acquired by the distribution request determination information acquisition unit 23, the distribution request unit 22 receives no session key from the reception unit 21 and the second ECU 20 When a predetermined time has elapsed since the activation, a session key distribution request is transmitted to the first ECU 10 via the CAN 30. In response to the session key distribution request received from the second ECU 20 via the CAN 30, the distribution unit 13 of the first ECU 10 distributes the session key to the second ECU 20 that is the distribution request source via the CAN 30.

セッション鍵の配信要求方法の例1によれば、車載制御システム2に備わる複数の第2ECU20の内、ある第2ECU20の起動が第1ECU10からのセッション鍵の配信タイミングに間に合わなかった場合に、該第2ECU20に対してセッション鍵を再送することができる。これにより、セッション鍵の安定的な配信を実現できる。   According to example 1 of the session key distribution request method, when activation of a certain second ECU 20 among the plurality of second ECUs 20 included in the in-vehicle control system 2 is not in time for the session key distribution timing from the first ECU 10, the first The session key can be retransmitted to the 2ECU 20. Thereby, stable distribution of the session key can be realized.

[セッション鍵の配信要求方法の例2]
セッション鍵の配信要求方法の例2では、第2ECU20において、第1ECU10からのセッション鍵の受信がなく、且つ、自動車1が走行する状態にある時に、第1ECU10に対してセッション鍵の配信要求を行う。配信要求判定情報取得部23は、走行状態情報を取得する。走行状態情報の取得方法は、上述した車両情報取得部11の走行状態情報の取得方法と同じである。配信要求部22は、受信部21のセッション鍵の受信の有無と配信要求判定情報取得部23が取得した走行状態情報とに基づいて、受信部21のセッション鍵の受信なしであり且つ自動車1が走行する状態にある時に、セッション鍵の配信要求を第1ECU10へCAN30を介して送信する。第1ECU10の配信部13は、該第2ECU20からCAN30を介して受信したセッション鍵の配信要求に応じて、セッション鍵を該配信要求元の第2ECU20へCAN30を介して配信する。 [Example 2 of session key distribution request method]
In example 2 of the session key distribution request method, the second ECU 20 makes a session key distribution request to the first ECU 10 when no session key is received from the first ECU 10 and the vehicle 1 is in a traveling state. . The distribution request determination information acquisition unit 23 acquires travel state information. The acquisition method of driving state information is the same as the acquisition method of the driving state information of the vehicle information acquisition part 11 mentioned above. The distribution request unit 22 receives the session key from the reception unit 21 based on the presence / absence of reception of the session key by the reception unit 21 and the running state information acquired by the distribution request determination information acquisition unit 23. When the vehicle is traveling, a session key distribution request is transmitted to the first ECU 10 via the CAN 30. In response to the session key distribution request received from the second ECU 20 via the CAN 30, the distribution unit 13 of the first ECU 10 distributes the session key to the second ECU 20 that is the distribution request source via the CAN 30.

セッション鍵の配信要求方法の例2によれば、車載制御システム2に備わる複数の第2ECU20の内、ある第2ECU20の起動が第1ECU10からのセッション鍵の配信タイミングに間に合わなかった場合に、該第2ECU20に対してセッション鍵を再送することができる。これにより、セッション鍵の安定的な配信を実現できる。   According to example 2 of the session key distribution request method, when the activation of a certain second ECU 20 among the plurality of second ECUs 20 included in the in-vehicle control system 2 is not in time for the session key distribution timing from the first ECU 10, the second The session key can be retransmitted to the 2ECU 20. Thereby, stable distribution of the session key can be realized.

なお、上述のセッション鍵の配信要求方法の例2において、セッション鍵の配信要求を実行する条件としてさらに、自動車1のエンジンが始動してから所定時間が経過している時を追加してもよい。この場合、配信要求判定情報取得部23は、さらにエンジン始動情報を取得する。エンジン始動情報の取得方法は、上述した車両情報取得部11のエンジン始動情報の取得方法と同じである。配信要求部22は、受信部21のセッション鍵の受信の有無と配信要求判定情報取得部23が取得した走行状態情報及びエンジン始動情報とに基づいて、受信部21のセッション鍵の受信なしであり且つ自動車1が走行する状態にある時であり且つ自動車1のエンジンの始動から所定時間が経過している時に、セッション鍵の配信要求を第1ECU10へCAN30を介して送信する。第1ECU10の配信部13は、該第2ECU20からCAN30を介して受信したセッション鍵の配信要求に応じて、セッション鍵を該配信要求元の第2ECU20へCAN30を介して配信する。   In the second example of the session key distribution request method described above, a time when a predetermined time has passed since the engine of the automobile 1 is started may be added as a condition for executing the session key distribution request. . In this case, the distribution request determination information acquisition unit 23 further acquires engine start information. The acquisition method of engine start information is the same as the acquisition method of engine start information of the vehicle information acquisition part 11 mentioned above. The distribution request unit 22 has received no session key from the reception unit 21 based on whether or not the session key is received by the reception unit 21 and the running state information and engine start information acquired by the distribution request determination information acquisition unit 23. When the vehicle 1 is in a traveling state and when a predetermined time has elapsed since the start of the engine of the vehicle 1, a session key distribution request is transmitted to the first ECU 10 via the CAN 30. In response to the session key distribution request received from the second ECU 20 via the CAN 30, the distribution unit 13 of the first ECU 10 distributes the session key to the second ECU 20 that is the distribution request source via the CAN 30.

上述した実施形態によれば、自動車1において、エンジン始動後にECU同士が通信する際の通信のセキュリティ強度を向上させる効果が得られる。   According to the embodiment described above, in the automobile 1, an effect of improving the security strength of communication when the ECUs communicate with each other after the engine is started can be obtained.

なお、第1ECU10から第2ECU20へ配信するセッション鍵のデータ長が長いために、CAN30を介して1回で該セッション鍵を配信できない場合には、複数回に分けて該セッション鍵を配信してもよい。   If the session key delivered from the first ECU 10 to the second ECU 20 has a long data length and cannot be delivered once via the CAN 30, the session key may be delivered multiple times. Good.

また、第1ECU10は、第2ECU20へセッション鍵を配信する際に、該セッション鍵と共に使用される情報を一緒に配信してもよい。例えば、第1ECU10は、MACの生成及び検査にセッション鍵が使用される場合において、該MACの生成及び検査に使用される他の情報を該セッション鍵と一緒に第2ECU20へ配信してもよい。例えば、第1ECU10は、通信データの送信回数のカウント値がMACの生成及び検査に使用される場合に、該カウント値の初期値をセッション鍵と一緒に第2ECU20へ配信してもよい。   Moreover, when distributing the session key to the second ECU 20, the first ECU 10 may distribute information used together with the session key. For example, when a session key is used for generating and checking the MAC, the first ECU 10 may distribute other information used for generating and checking the MAC to the second ECU 20 together with the session key. For example, when the count value of the number of transmissions of communication data is used for MAC generation and inspection, the first ECU 10 may distribute the initial value of the count value to the second ECU 20 together with the session key.

また、上記の図5のステップS12では、第2ECU20から第1ECU10へセッション鍵の受信応答を行ったが、セッション鍵の受信応答は必須ではない。第2ECU20から第1ECU10へセッション鍵の受信応答を行わない場合、第1ECU10は、第2ECU20が該セッション鍵を使用する通信を監視し、この監視結果に基づいて第2ECU20へのセッション鍵の配信が完了したかを判断する。例えば、第2ECU20が送信する通信データに含まれるMACがセッション鍵を使用して生成される場合、第1ECU10は、第2ECU20が送信した通信データに含まれるMACを該第1ECU10が配信したセッション鍵を使用して検査する。第1ECU10は、該MACの検査結果が合格である場合には当該第2ECU20へのセッション鍵の配信が完了したと判断し、該MACの検査結果が不合格である場合には当該第2ECU20へのセッション鍵の配信が完了していないと判断する。該MACとして、例えばCMACを使用してもよい。例えば、該CMACは、第2ECU20が送信した通信データに含まれる送信データと、カウンタ値との連結データに対して、セッション鍵を使用して生成されるCMACであってもよい。該カウンタ値は、該第2ECU20から宛先の第2ECU20へ通信データを送信した回数を表す。   Further, in step S12 of FIG. 5 described above, the session key reception response is performed from the second ECU 20 to the first ECU 10, but the session key reception response is not essential. When the session key reception response is not sent from the second ECU 20 to the first ECU 10, the first ECU 10 monitors communication using the session key by the second ECU 20, and distribution of the session key to the second ECU 20 is completed based on the monitoring result. Determine if you did. For example, when the MAC included in the communication data transmitted by the second ECU 20 is generated using the session key, the first ECU 10 uses the session key distributed by the first ECU 10 to the MAC included in the communication data transmitted by the second ECU 20. Use and inspect. The first ECU 10 determines that the delivery of the session key to the second ECU 20 has been completed when the MAC inspection result is acceptable, and the second ECU 20 determines that the MAC inspection result is unacceptable. Judge that session key distribution has not been completed. For example, CMAC may be used as the MAC. For example, the CMAC may be a CMAC that is generated by using a session key with respect to connection data of transmission data included in communication data transmitted by the second ECU 20 and a counter value. The counter value represents the number of times communication data is transmitted from the second ECU 20 to the destination second ECU 20.

本実施形態において、第1ECU10は鍵配信装置に対応する。   In the present embodiment, the first ECU 10 corresponds to a key distribution device.

以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。   As mentioned above, although embodiment of this invention was explained in full detail with reference to drawings, the specific structure is not restricted to this embodiment, The design change etc. of the range which does not deviate from the summary of this invention are included.

上述した実施形態では、第1ECU10が鍵配信装置の機能を有したが、鍵配信装置をCAN30に接続する単独の装置として別個に設けてもよい。   In the embodiment described above, the first ECU 10 has the function of a key distribution device, but the key distribution device may be provided separately as a single device that connects to the CAN 30.

また、車両に搭載される通信ネットワークとして、CAN以外の通信ネットワークを自動車1に備え、CAN以外の通信ネットワークを介して、第1ECU10と第2ECU20との間のデータの交換、及び、第2ECU20同士の間のデータの交換が行われてもよい。例えば、LIN(Local Interconnect Network)を自動車1に備えてもよい。また、CANとLINとを自動車1に備えてもよい。また、自動車1において、LINに接続する第2ECU20を備えてもよい。また、第1ECU10は、CANとLINとに接続されてもよい。また、第1ECU10は、CANを介して該CANに接続される第2ECU20との間でデータを交換し、また、LINを介して該LINに接続される第2ECU20との間でデータを交換してもよい。また、第2ECU20同士が、LINを介してデータを交換してもよい。   In addition, as a communication network mounted on the vehicle, a communication network other than CAN is provided in the automobile 1, and data exchange between the first ECU 10 and the second ECU 20 via the communication network other than CAN, and between the second ECUs 20 Data exchanges between them may be performed. For example, the automobile 1 may be provided with a LIN (Local Interconnect Network). Further, the automobile 1 may be provided with CAN and LIN. Further, the automobile 1 may include a second ECU 20 connected to the LIN. The first ECU 10 may be connected to CAN and LIN. The first ECU 10 exchanges data with the second ECU 20 connected to the CAN via the CAN, and exchanges data with the second ECU 20 connected to the LIN via the LIN. Also good. Further, the second ECUs 20 may exchange data via the LIN.

上述した実施形態では、車両として自動車を例に挙げたが、原動機付自転車や自動二輪等の自動車以外のエンジンを使用する他の車両にも適用可能である。   In the above-described embodiment, an automobile is taken as an example of a vehicle. However, the present invention can also be applied to other vehicles using an engine other than an automobile such as a motorbike and a motorcycle.

また、上述した第1ECU10又は第2ECU20の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。 Further, a computer program for realizing the functions of the first ECU 10 or the second ECU 20 is recorded on a computer-readable recording medium, and the program recorded on the recording medium is read into a computer system and executed. Also good. Here, the “computer system” may include an OS and hardware such as peripheral devices.
“Computer-readable recording medium” refers to a flexible disk, a magneto-optical disk, a ROM, a writable nonvolatile memory such as a flash memory, a portable medium such as a DVD (Digital Versatile Disc), and a built-in computer system. A storage device such as a hard disk.

さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。 Further, the “computer-readable recording medium” means a volatile memory (for example, DRAM (Dynamic DRAM) in a computer system that becomes a server or a client when a program is transmitted through a network such as the Internet or a communication line such as a telephone line. Random Access Memory)), etc., which hold programs for a certain period of time.
The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.

1…自動車、2…車載制御システム、10…第1ECU、20…第2ECU、30…CAN、11…車両情報取得部、12…配信タイミング判定部、13…配信部、14…報知部、21…受信部、22…配信要求部、23…配信要求判定情報取得部、102…インフォテイメント機器、104…診断ポート DESCRIPTION OF SYMBOLS 1 ... Automobile, 2 ... In-vehicle control system, 10 ... 1ECU, 20 ... 2ECU, 30 ... CAN, 11 ... Vehicle information acquisition part, 12 ... Delivery timing determination part, 13 ... Delivery part, 14 ... Notification part, 21 ... Receiving unit, 22 ... delivery request unit, 23 ... delivery request determination information acquisition unit, 102 ... infotainment device, 104 ... diagnostic port

Claims (11)

車両に備わる前記車両の制御装置同士が前記車両に備わる通信ネットワークを介して通信する車載制御システムにおいて、
前記車両のエンジンの始動を示すエンジン始動情報を取得する車両情報取得部と、
前記車両情報取得部が取得したエンジン始動情報に基づいて、前記制御装置の通信に使用される鍵の配信タイミングであるかを判定する配信タイミング判定部と、
前記配信タイミング判定部の判定結果に応じて、前記鍵を前記制御装置へ前記通信ネットワークを介して配信する配信部と、を備え
前記配信タイミング判定部は、前記車両情報取得部が取得したエンジン始動情報に基づいて、前記エンジンの始動から所定時間が経過した時に前記配信タイミングであると判定する、
車載制御システム。 In a vehicle-mounted control system in which the vehicle control devices provided in a vehicle communicate with each other via a communication network provided in the vehicle,
A vehicle information acquisition unit for acquiring engine start information indicating start of the engine of the vehicle;
A distribution timing determination unit that determines whether it is a distribution timing of a key used for communication of the control device based on engine start information acquired by the vehicle information acquisition unit;
A distribution unit that distributes the key to the control device via the communication network according to a determination result of the distribution timing determination unit ;
The delivery timing determination unit determines that it is the delivery timing when a predetermined time has elapsed from the start of the engine based on the engine start information acquired by the vehicle information acquisition unit.
In-vehicle control system. 前記所定時間は、前記エンジンの始動によって複数の前記制御装置が起動又は再起動した場合に各前記制御装置の動作が安定するまでの時間の差に基づいて設定された時間である、
請求項1に記載の車載制御システム。 The predetermined time is a time set based on a time difference until the operations of the control devices are stabilized when a plurality of the control devices are started or restarted by starting the engine.
The in-vehicle control system according to claim 1. 前記鍵の配信が完了しているか否かを報知する報知部をさらに備える、
請求項1又は2のいずれか1項に記載の車載制御システム。 A notification section for notifying whether or not the distribution of the key is completed;
The vehicle-mounted control system of any one of Claim 1 or 2 . 前記配信部は、前記制御装置から前記通信ネットワークを介して受信した前記鍵の配信要求に応じて、前記鍵を該配信要求元の前記制御装置へ前記通信ネットワークを介して配信し、
前記制御装置は、
前記配信部から前記通信ネットワークを介して前記鍵を受信する受信部と、
前記鍵の配信要求をするかの判定に使用される情報を取得する配信要求判定情報取得部と、
前記受信部の前記鍵の受信の有無と前記配信要求判定情報取得部が取得した情報とに基づいて、前記鍵の配信要求を前記配信部へ前記通信ネットワークを介して送信する配信要求部と、を備える、
請求項1からのいずれか1項に記載の車載制御システム。 In response to the key distribution request received from the control device via the communication network, the distribution unit distributes the key to the distribution request source control device via the communication network,
The controller is
A receiving unit that receives the key from the distribution unit via the communication network;
A distribution request determination information acquisition unit that acquires information used to determine whether to make a distribution request for the key;
A distribution request unit that transmits the key distribution request to the distribution unit via the communication network based on whether the reception unit receives the key and the information acquired by the distribution request determination information acquisition unit; Comprising
The in-vehicle control system according to any one of claims 1 to 3 . 前記配信要求判定情報取得部は、自制御装置が起動してからの経過時間を取得し、
前記配信要求部は、前記受信部の前記鍵の受信なしであり且つ自制御装置が起動してから所定時間が経過した時に、前記鍵の配信要求を前記配信部へ前記通信ネットワークを介して送信する、
請求項に記載の車載制御システム。 The distribution request determination information acquisition unit acquires an elapsed time since the start of the own control device,
The distribution request unit transmits the key distribution request to the distribution unit via the communication network when the reception unit has not received the key and when a predetermined time has elapsed since the activation of the own control device. To
The in-vehicle control system according to claim 4 . 前記配信要求判定情報取得部は、前記車両が走行する状態にあるか否かを示す走行状態情報を取得し、
前記配信要求部は、前記受信部の前記鍵の受信なしであり且つ前記車両が走行する状態にある時に、前記鍵の配信要求を前記配信部へ前記通信ネットワークを介して送信する、
請求項に記載の車載制御システム。 The distribution request determination information acquisition unit acquires traveling state information indicating whether the vehicle is in a traveling state,
The distribution request unit transmits the key distribution request to the distribution unit via the communication network when the reception unit does not receive the key and the vehicle is in a traveling state.
The in-vehicle control system according to claim 4 . 請求項1からのいずれか1項に記載の車載制御システムを備える車両。 A vehicle provided with the vehicle-mounted control system of any one of Claim 1 to 6 . 車両に備わる前記車両の制御装置同士が前記車両に備わる通信ネットワークを介して通信する車載制御システムの鍵配信装置であり、
前記車両のエンジンの始動を示すエンジン始動情報を取得する車両情報取得部と、
前記車両情報取得部が取得したエンジン始動情報に基づいて、前記制御装置の通信に使用される鍵の配信タイミングであるかを判定する配信タイミング判定部と、
前記配信タイミング判定部の判定結果に応じて、前記鍵を前記制御装置へ前記通信ネットワークを介して配信する配信部と、を備え
前記配信タイミング判定部は、前記車両情報取得部が取得したエンジン始動情報に基づいて、前記エンジンの始動から所定時間が経過した時に前記配信タイミングであると判定する、
鍵配信装置。 The vehicle control system key distribution device in which the vehicle control devices provided in the vehicle communicate with each other via a communication network provided in the vehicle,
A vehicle information acquisition unit for acquiring engine start information indicating start of the engine of the vehicle;
A distribution timing determination unit that determines whether it is a distribution timing of a key used for communication of the control device based on engine start information acquired by the vehicle information acquisition unit;
A distribution unit that distributes the key to the control device via the communication network according to a determination result of the distribution timing determination unit ;
The delivery timing determination unit determines that it is the delivery timing when a predetermined time has elapsed from the start of the engine based on the engine start information acquired by the vehicle information acquisition unit.
Key distribution device. 車両に備わる前記車両の制御装置同士が前記車両に備わる通信ネットワークを介して通信する車載制御システムの前記制御装置であり、
前記車両のエンジンの始動を示すエンジン始動情報を取得する車両情報取得部と、
前記車両情報取得部が取得したエンジン始動情報に基づいて、前記制御装置の通信に使用される鍵の配信タイミングであるかを判定する配信タイミング判定部と、
前記配信タイミング判定部の判定結果に応じて、前記鍵を前記制御装置へ前記通信ネットワークを介して配信する配信部と、を備え
前記配信タイミング判定部は、前記車両情報取得部が取得したエンジン始動情報に基づいて、前記エンジンの始動から所定時間が経過した時に前記配信タイミングであると判定する、
制御装置。 The control device of the in-vehicle control system in which the control devices of the vehicle provided in the vehicle communicate with each other via a communication network provided in the vehicle,
A vehicle information acquisition unit for acquiring engine start information indicating start of the engine of the vehicle;
A distribution timing determination unit that determines whether it is a distribution timing of a key used for communication of the control device based on engine start information acquired by the vehicle information acquisition unit;
A distribution unit that distributes the key to the control device via the communication network according to a determination result of the distribution timing determination unit ;
The delivery timing determination unit determines that it is the delivery timing when a predetermined time has elapsed from the start of the engine based on the engine start information acquired by the vehicle information acquisition unit.
Control device. 車両に備わる前記車両の制御装置同士が前記車両に備わる通信ネットワークを介して通信する車載制御システムの鍵配信方法であり、
車両情報取得部が、前記車両のエンジンの始動を示すエンジン始動情報を取得する車両情報取得ステップと、
配信タイミング判定部が、前記車両情報取得部が取得したエンジン始動情報に基づいて、前記制御装置の通信に使用される鍵の配信タイミングであるかを判定する配信タイミング判定ステップと、
配信部が、前記配信タイミング判定部の判定結果に応じて、前記鍵を前記制御装置へ前記通信ネットワークを介して配信する配信ステップと、を含み、
前記配信タイミング判定部は、前記車両情報取得部が取得したエンジン始動情報に基づいて、前記エンジンの始動から所定時間が経過した時に前記配信タイミングであると判定する、
鍵配信方法。 A vehicle key distribution method for an in-vehicle control system in which the vehicle control devices provided in a vehicle communicate with each other via a communication network provided in the vehicle.
A vehicle information acquisition unit for acquiring engine start information indicating start of the engine of the vehicle;
A distribution timing determination step for determining whether the distribution timing determination unit is a distribution timing of a key used for communication of the control device based on the engine start information acquired by the vehicle information acquisition unit;
Delivery unit, in accordance with the determination result of the distribution timing determining section, seen including and a distribution step of distributing via the communication network the key to the control unit,
The delivery timing determination unit determines that it is the delivery timing when a predetermined time has elapsed from the start of the engine based on the engine start information acquired by the vehicle information acquisition unit.
Key distribution method. 車両に備わる前記車両の制御装置同士が前記車両に備わる通信ネットワークを介して通信する車載制御システムのコンピュータに、
前記車両のエンジンの始動を示すエンジン始動情報を取得する車両情報取得機能と、
前記車両情報取得機能が取得したエンジン始動情報に基づいて、前記制御装置の通信に使用される鍵の配信タイミングであるかを判定する配信タイミング判定機能と、
前記配信タイミング判定機能の判定結果に応じて、前記鍵を前記制御装置へ前記通信ネットワークを介して配信する配信機能と、
を実現させるためのコンピュータプログラムであり、
前記配信タイミング判定機能は、前記車両情報取得機能が取得したエンジン始動情報に基づいて、前記エンジンの始動から所定時間が経過した時に前記配信タイミングであると判定する、
コンピュータプログラム。 In a vehicle-mounted control system computer in which the vehicle control devices provided in the vehicle communicate with each other via a communication network provided in the vehicle,
A vehicle information acquisition function for acquiring engine start information indicating start of the engine of the vehicle;
A distribution timing determination function for determining whether it is a distribution timing of a key used for communication of the control device, based on engine start information acquired by the vehicle information acquisition function;
A distribution function for distributing the key to the control device via the communication network according to a determination result of the distribution timing determination function;
A computer program for implementing the,
The distribution timing determination function determines that it is the distribution timing when a predetermined time has elapsed from the start of the engine based on the engine start information acquired by the vehicle information acquisition function.
Computer program.
JP2016038341A 2016-02-29 2016-02-29 In-vehicle control system, vehicle, key distribution device, control device, key distribution method, and computer program Active JP6223484B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016038341A JP6223484B2 (en) 2016-02-29 2016-02-29 In-vehicle control system, vehicle, key distribution device, control device, key distribution method, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016038341A JP6223484B2 (en) 2016-02-29 2016-02-29 In-vehicle control system, vehicle, key distribution device, control device, key distribution method, and computer program

Publications (2)

Publication Number Publication Date
JP2017157976A JP2017157976A (en) 2017-09-07
JP6223484B2 true JP6223484B2 (en) 2017-11-01

Family

ID=59810415

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016038341A Active JP6223484B2 (en) 2016-02-29 2016-02-29 In-vehicle control system, vehicle, key distribution device, control device, key distribution method, and computer program

Country Status (1)

Country Link
JP (1) JP6223484B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115277219A (en) * 2022-07-29 2022-11-01 中国第一汽车股份有限公司 Message encryption method, message decryption method, message encryption device, message decryption device, and storage medium

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005203882A (en) * 2004-01-13 2005-07-28 Denso Corp Communication system and key transmitting method
JP4576997B2 (en) * 2004-04-28 2010-11-10 株式会社デンソー Communication system, key distribution device, cryptographic processing device
JP4232785B2 (en) * 2006-02-23 2009-03-04 トヨタ自動車株式会社 Hybrid vehicle
JP4680837B2 (en) * 2006-06-13 2011-05-11 株式会社東海理化電機製作所 Remote control device
JP5479408B2 (en) * 2011-07-06 2014-04-23 日立オートモティブシステムズ株式会社 In-vehicle network system
JP2013138304A (en) * 2011-12-28 2013-07-11 Toyota Motor Corp Security system and key data operation method
JP5651615B2 (en) * 2012-02-16 2015-01-14 日立オートモティブシステムズ株式会社 In-vehicle network system

Also Published As

Publication number Publication date
JP2017157976A (en) 2017-09-07

Similar Documents

Publication Publication Date Title
CN113709123B (en) Security control method and device and computer equipment
JP6260064B2 (en) Communication network system and vehicle
JP5310761B2 (en) Vehicle network system
JP6190443B2 (en) In-vehicle computer system, vehicle, management method, and computer program
WO2018029905A1 (en) Data provision system, data security device, data provision method, and computer program
JP2018082373A (en) Communication system
WO2018029893A1 (en) Data provision system, data security device, data provision method, and computer program
JP2018055566A (en) Maintenance device, maintenance method, and computer program
JP2018098572A (en) Distribution system, data security device, distribution method, and computer program
JP6606809B2 (en) Communication network system and vehicle
JP6223484B2 (en) In-vehicle control system, vehicle, key distribution device, control device, key distribution method, and computer program
JP2005001534A (en) Anti-theft system
JP6203798B2 (en) In-vehicle control system, vehicle, management device, in-vehicle computer, data sharing method, and computer program
JP6547180B2 (en) Communications system
JP6299039B2 (en) Vehicle information collection system, data security device, vehicle information collection method, and computer program
WO2022016546A1 (en) Vehicle certificate application method, vehicle-mounted device, and road side unit
JP2018006782A (en) Data providing system, data providing apparatus, on-vehicle computer, data providing method, and computer program
JP6218914B1 (en) Distribution system, data security device, distribution method, and computer program
WO2018100789A1 (en) Distribution system, key generation device, in-vehicle computer, data security device, distribution method and computer program
JP6140874B1 (en) Control device, control method, and computer program
JP6464466B2 (en) Maintenance device, maintenance method, and computer program
JP6554704B2 (en) Data providing system and data providing method
JP6470344B2 (en) Control device, control method, and computer program
JP6132955B1 (en) Verification system, verification device, verification method, and computer program
JP2018050334A (en) Data provision system, data provision device, on-vehicle computer, data provision method, and computer program

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170710

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20170711

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170926

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171003

R150 Certificate of patent or registration of utility model

Ref document number: 6223484

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150