CN107409045B - 管理装置、管理方法以及存储介质 - Google Patents

管理装置、管理方法以及存储介质 Download PDF

Info

Publication number
CN107409045B
CN107409045B CN201680018541.4A CN201680018541A CN107409045B CN 107409045 B CN107409045 B CN 107409045B CN 201680018541 A CN201680018541 A CN 201680018541A CN 107409045 B CN107409045 B CN 107409045B
Authority
CN
China
Prior art keywords
key
vehicle
management
new
factory initial
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201680018541.4A
Other languages
English (en)
Other versions
CN107409045A (zh
Inventor
竹森敬祐
川端秀明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Publication of CN107409045A publication Critical patent/CN107409045A/zh
Application granted granted Critical
Publication of CN107409045B publication Critical patent/CN107409045B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • H04L9/16Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Lock And Its Accessories (AREA)

Abstract

机动车具有的管理装置具有:出厂初始秘钥存储部,存储作为ECU所保持的出厂初始秘钥的候选的多个出厂初始秘钥;通信部,与ECU进行通信;验证部,使用出厂初始秘钥存储部的出厂初始秘钥来验证从ECU接收的加密数据;无线通信部,从管理服务器装置经由无线通信网络接收对机动车新安装的ECU所保持的新的出厂初始秘钥。出厂初始秘钥存储部存储通过无线通信部接收到的新的出厂初始秘钥。

Description

管理装置、管理方法以及存储介质
技术领域
本发明涉及管理装置、车辆以及管理方法。
本申请基于在2015年3月26日在日本申请的特愿2015-63680号而要求优先权,并在本文援引其内容。
背景技术
近年来,机动车具有ECU(Electronic Control Unit:电子控制单元),通过ECU来实现发动机控制等的功能。ECU是计算机的一种,通过计算机程序来实现期望的功能。关于已经被使用的机动车,ECU的计算机程序的更新通常在机动车的检查时、定期检查时等在一般的机动车维修厂进行。
以往,ECU的计算机程序的更新中,操作者将专用于维护的诊断终端与被称为机动车的OBD(On-board Diagnostics:车载诊断系统)端口的诊断端口连接,从该诊断终端进行更新程序的安装以及数据的设定变更等。关于此,例如在非专利文献1、2中记载了ECU的安全性。
现有技术文献
非专利文献
非专利文献1:C.Miller,C.Valasek,“Adventures in Automotive Networks andControl Units(汽车网络和控制单元的冒险)”,DEF CON 21,2013年8月
非专利文献2:高田广章,松本勉,“車載組込みシステムの情報セキュリティ強化に関する提言(关于加强车载嵌入式系统信息安全的建议)”,2013年9月,互联网<URL:https://www.ipa.go.jp/files/000034668.pdf>
非专利文献3:Trusted Computing Group(可信计算组),互联网<URL:http://www.trustedcomputinggroup.org/>
非专利文献4:竹森敬祐“Android+TPMによるセキュアブート(通过Android+TPM的安全启动)”,日经电子,2012年8月6日号.
非专利文献5:竹森敬祐,川端秀明,矶原隆将,漥田步,“Android(ARM)+TPMによるセキュアブート(通过Android(ARM)+TPM的安全启动)”,电子信息通信学会,SCIS2013研讨会,2013年1月.
非专利文献6:竹森敬祐,川端秀明,漥田步,“ARM+SIM/UIMによるセキュアブート(通过ARM+SIM/UIM的安全启动)”,电子信息通信学会,SCIS2014研讨会,2014年1月.
发明内容
发明要解决的问题
上述的非专利文献1、2中未记载有关实现安全性的提高的方法。因此,期望提高关于在机动车等车辆具有的ECU等车载计算机所使用的计算机程序等的数据应用的可靠性。
例如,考虑在ECU启动后,通过使用ECU保持的秘钥而相互认证数据的交换对象,从而提高车载计算机系统的防御能力。此外,例如,考虑使用ECU保持的秘钥来验证在ECU间交换的数据的合法性。此外,例如,考虑通过对ECU所使用的计算机程序等的数据附加电子署名并分配给机动车的管理装置,使用管理装置保持的秘钥来验证被分配的数据的电子署名,从而检查ECU所使用的计算机程序等的数据。这里,如何实现机动车所保持的秘钥的管理、更新是一个关键的安保问题。
本发明是鉴于这种情况而提出的,其课题在于,提供能够有助于机动车等车辆中保持的秘钥的管理、更新的管理装置、车辆、管理方法以及计算机程序。
用于解决问题的手段
(1)本发明的一个方式是一种车辆具有的管理装置,其具有:出厂初始秘钥存储部,存储多个出厂初始秘钥,该多个出厂初始秘钥作为所述车辆具有的车载计算机所保持的出厂初始秘钥的候选;通信部,与所述车辆具有的车载计算机进行通信;验证部,使用在所述出厂初始秘钥存储部中存储的出厂初始秘钥来验证从所述车辆具有的车载计算机通过所述通信部接收的加密数据;以及无线通信部,从管理服务器装置经由无线通信网络接收对所述车辆新安装的车载计算机所保持的新的出厂初始秘钥,所述出厂初始秘钥存储部存储通过所述无线通信部接收到的所述新的出厂初始秘钥。
(2)本发明的一个方式是一种车辆具有的管理装置,其具有:出厂初始秘钥存储部,存储所述车辆具有的车载计算机所保持的出厂初始秘钥以及对所述车辆新安装的车载计算机所保持的新的出厂初始秘钥;通信部,与所述车辆具有的车载计算机进行通信;以及验证部,使用在所述出厂初始秘钥存储部中存储的出厂初始秘钥来验证从所述车辆具有的车载计算机通过所述通信部接收到的加密数据。
(3)本发明的一个方式在上述(1)或者(2)的任一项的管理装置中,具有:秘钥生成部,生成秘钥;加密处理部,加密通过所述秘钥生成部所生成的秘钥而生成加密秘钥;以及秘钥存储部,存储通过所述秘钥生成部所生成的秘钥,所述通信部将所述加密秘钥发送给在所述车辆具有的车载计算机中通过所述验证部验证成功的车载计算机。
(4)本发明的一个方式是具有上述(1)至(3)的任一项的管理装置的车辆。
(5)本发明的一个方式是一种管理方法,包括:出厂初始秘钥存储步骤,车辆具有的管理装置将多个出厂初始秘钥存储在出厂初始秘钥存储部中,该多个出厂初始秘钥作为所述车辆具有的车载计算机所保持的出厂初始秘钥的候选;通信步骤,所述管理装置与所述车辆具有的车载计算机进行通信;验证步骤,所述管理装置使用在所述出厂初始秘钥存储部中存储的出厂初始秘钥来验证从所述车辆具有的车载计算机通过所述通信步骤接收到的加密数据;无线通信步骤,所述管理装置从管理服务器装置经由无线通信网络接收对所述车辆新安装的车载计算机所保持的新的出厂初始秘钥;以及将通过所述无线通信步骤接收到的所述新的出厂初始秘钥存储在所述出厂初始秘钥存储部中的步骤。
(6)本发明的一个方式是一种管理方法,包括:出厂初始秘钥存储步骤,车辆具有的管理装置将所述车辆具有的车载计算机所保持的出厂初始秘钥以及对所述车辆新安装的车载计算机所保持的新的出厂初始秘钥存储在出厂初始秘钥存储部中;通信步骤,所述管理装置与所述车辆具有的车载计算机进行通信;以及验证步骤,所述管理装置使用在所述出厂初始秘钥存储部中存储的出厂初始秘钥来验证从所述车辆具有的车载计算机通过所述通信步骤接收到的加密数据。
(7)本发明的一个方式是一种计算机程序,用于使车辆具有的计算机执行:出厂初始秘钥存储步骤,将多个出厂初始秘钥存储在出厂初始秘钥存储部中,该多个出厂初始秘钥作为所述车辆具有的车载计算机所保持的出厂初始秘钥的候选;通信步骤,与所述车辆具有的车载计算机进行通信;验证步骤,使用在所述出厂初始秘钥存储部中存储的出厂初始秘钥来验证从所述车辆具有的车载计算机通过所述通信步骤接收到的加密数据;无线通信步骤,从管理服务器装置经由无线通信网络接收对所述车辆新安装的车载计算机所保持的新的出厂初始秘钥;以及将通过所述无线通信步骤接收到的所述新的出厂初始秘钥存储在所述出厂初始秘钥存储部中的步骤。
(8)本发明的一个方式是一种计算机程序,用于使车辆具有的计算机执行:出厂初始秘钥存储步骤,将所述车辆具有的车载计算机所保持的出厂初始秘钥以及对所述车辆新安装的车载计算机所保持的新的出厂初始秘钥存储在出厂初始秘钥存储部中;通信步骤,与所述车辆具有的车载计算机进行通信;以及验证步骤,使用在所述出厂初始秘钥存储部中存储的出厂初始秘钥来验证从所述车辆具有的车载计算机通过所述通信步骤接收到的加密数据。
发明效果
根据本发明,可获得能够有助于机动车等车辆所保持的秘钥的管理、更新的效果。
附图说明
图1是本发明的第一实施方式的管理系统的结构图。
图2是示出第一实施方式的管理装置的结构图。
图3是示出第一实施方式的秘钥存储部的结构图。
图4A是示出第一实施方式的出厂初始秘钥存储部的图。
图4B是示出第一实施方式的通信运营商秘钥存储部的图。
图5是示出第一实施方式的ECU的结构图。
图6是示出第一实施方式的管理服务器装置的结构图。
图7是示出第一实施方式的ECU秘钥管理秘钥的更新方法的第一例的顺序图。
图8是示出第一实施方式的ECU秘钥管理秘钥的更新方法的第二例的顺序图。
图9是示出第一实施方式的ECU秘钥管理秘钥的更新方法的第二例的顺序图。
图10是示出第一实施方式的ECU秘钥管理秘钥的更新方法的第二例的顺序图。
图11是示出第一实施方式的ECU秘钥管理秘钥的更新方法的第三例的顺序图。
图12是示出本发明的第二实施方式的机动车的结构图。
具体实施方式
下面,参照附图说明本发明的实施方式。另外,在以下示出的实施方式中,举出机动车作为车辆的例子来说明。
[第一实施方式]
图1是本发明的第一实施方式的管理系统的结构图。图1中,管理系统具有管理装置10和管理服务器装置60。机动车1具有管理装置10。无线通信网络2的通信运营商具有管理服务器装置60。
为了利用无线通信网络2,需要写有无线通信网络2的订户信息的eSIM(EmbeddedSubscriber Identity Module:嵌入式用户识别模块)或者SIM(Subscriber IdentityModule:用户识别模块)。管理装置10具有eSIM_20。eSIM_20是被写入了无线通信网络2的订户信息的eSIM。因此,管理装置10通过使用eSIM_20而能够利用无线通信网络2。管理装置10通过使用eSIM_20来建立的无线通信线路3与无线通信网络2相连。
管理服务器装置60通过无线通信网络2的通信运营商的通信线路4与无线通信网络2相连。管理装置10和管理服务器装置60经由无线通信网络2进行通信。
另外,也可以在管理装置10和管理服务器装置60之间建立经由无线通信网络2的专用线,管理装置10和管理服务器装置60经由专用线收发数据。
在机动车1中,管理装置10与控制用车载网络40连接。使用例如CAN(ControllerArea Network:控制器局域网络)作为控制用车载网络40。本实施方式中,控制用车载网络40是CAN。控制用车载网络40上连接各种ECU50。ECU50是设在机动车1的车载计算机。ECU50例如是驱动类ECU、车体类ECU、安全控制类ECU等。管理装置10经由控制用车载网络40在与各ECU50之间交换数据。ECU50经由控制用车载网络40在与其他的ECU50之间交换数据。
图2是示出第一实施方式的管理装置10的结构图。在图2中,管理装置10具有eSIM_20、无线通信部11和CAN接口12。这些各部能够交换数据。eSIM_20具有秘钥生成部21、秘钥存储部22、验证部23、加密处理部24、出厂初始秘钥存储部25和通信运营商秘钥存储部26。
eSIM_20是安全元件。安全元件包含从该安全元件的外部不能访问的安全区域。在eSIM_20中,秘钥存储部22、出厂初始秘钥存储部25和通信运营商秘钥存储部26存在于安全区域中。另外,可以利用SIM来代替eSIM_20作为安全元件。eSIM以及SIM是计算机的一种,通过计算机程序实现期望的功能。
无线通信部11通过无线通信收发数据。eSIM_20是被写入了无线通信网络2的订户信息的eSIM。因此,无线通信部11通过使用eSIM_20经由无线通信线路3与无线通信网络2连接。CAN接口12是与ECU50进行通信的通信部。CAN接口12与控制用车载网络40连接,经由控制用车载网络40与各ECU50交换数据。
在eSIM_20中,秘钥生成部21生成秘钥。秘钥存储部22存储秘钥。验证部23进行关于数据的交换的验证。加密处理部24进行数据的加密和加密数据的解密。出厂初始秘钥存储部25存储出厂初始秘钥。通信运营商秘钥存储部26存储通信运营商秘钥。
本实施方式中,秘钥生成部21生成的秘钥有ECU秘钥管理秘钥和ECU秘钥这两种。ECU秘钥管理秘钥例如当在ECU50进行ECU秘钥等秘钥的更新时被使用。ECU秘钥被用于例如用于ECU50的安保的处理。ECU秘钥被用于例如ECU50间的相互认证、数据的加密以及解密等。
秘钥生成部21在规定的时刻生成ECU秘钥管理秘钥和ECU秘钥。ECU秘钥管理秘钥的生成时刻与ECU秘钥的生成时刻可以相同,或者也可以不同。秘钥生成部21根据来自eSIM_20的外部的秘钥生成请求来生成ECU秘钥管理秘钥或ECU秘钥中的任一个,或者也可以生成ECU秘钥管理秘钥和ECU秘钥两者。秘钥生成部21可以重复ECU秘钥管理秘钥和ECU秘钥的生成。
秘钥存储部22存储秘钥生成部21生成的ECU秘钥管理秘钥和ECU秘钥。图3是示出第一实施方式的秘钥存储部22的结构图。在图3中,秘钥存储部22具有ECU秘钥管理秘钥Kmn存储部31、ECU秘钥管理秘钥Km(n-1)存储部32和ECU秘钥kn存储部33。
ECU秘钥管理秘钥Kmn存储部31存储秘钥生成部21生成的ECU秘钥管理秘钥之中最新的ECU秘钥管理秘钥Kmn。ECU秘钥管理秘钥Km(n-1)存储部32存储秘钥生成部21生成的ECU秘钥管理秘钥之中最新的ECU秘钥管理秘钥Kmn的前一个的ECU秘钥管理秘钥Km(n-1)。ECU秘钥kn存储部33存储秘钥生成部21生成的ECU秘钥之中最新的ECU秘钥kn。
图4A以及4B是示出第一实施方式的出厂初始秘钥存储部25以及通信运营商秘钥存储部26的结构图。
在图4A中,出厂初始秘钥存储部25存储“x+1”个出厂初始秘钥Kr0,Kr1,…,Krx。但是,x是0以上的整数。出厂初始秘钥Kr0,Kr1,…,Krx是ECU50所保持的出厂初始秘钥的候选。在ECU50的制造时、出厂时、对机动车1安装了ECU50后等,出厂初始秘钥被写入ECU50中。通常生成多个出厂初始秘钥。向ECU50中写入从多个出厂初始秘钥之中选择的出厂初始秘钥。作为写入ECU50的出厂初始秘钥的候选,有出厂初始秘钥Kr0,Kr1,…,Krx。
下面举出出厂初始秘钥的发行方式的第一、第二、第三例。
(出厂初始秘钥的发行方式的第一例)
无线通信网络2的通信运营商发行出厂初始秘钥Kr0,Kr1,…,Krx。出厂初始秘钥Kr0,Kr1,…,Krx被分配给ECU50的制造公司、机动车1的制造公司。无线通信网络2的通信运营商对eSIM_20写入出厂初始秘钥Kr0,Kr1,…,Krx。eSIM_20将出厂初始秘钥Kr0,Kr1,…,Krx存储在出厂初始秘钥存储部25中。由ECU50的制造公司或者机动车1的制造公司从出厂初始秘钥Kr0,Kr1,…,Krx中选择的出厂初始秘钥被写入ECU50中。ECU50保持被写入的出厂初始秘钥。
(出厂初始秘钥的发行方式的第二例)
机动车1的制造公司发行出厂初始秘钥Kr0,Kr1,…,Krx。出厂初始秘钥Kr0,Kr1,…,Krx被分配给无线通信网络2的通信运营商。无线通信网络2的通信运营商将出厂初始秘钥Kr0,Kr1,…,Krx写入eSIM_20中。eSIM_20将出厂初始秘钥Kr0,Kr1,…,Krx存储在出厂初始秘钥存储部25中。由机动车1的制造公司从出厂初始秘钥Kr0,Kr1,…,Krx中选择的出厂初始秘钥被写入ECU50中。ECU50保持被写入的出厂初始秘钥。或者,出厂初始秘钥Kr0,Kr1,…,Krx被分配给ECU50的制造公司。由ECU50的制造公司从出厂初始秘钥Kr0,Kr1,…,Krx中选择的出厂初始秘钥被写入ECU50中。ECU50保持被写入的出厂初始秘钥。
(出厂初始秘钥的发行方式的第三例)
ECU50的制造公司发行出厂初始秘钥Kr0,Kr1,…,Krx。出厂初始秘钥Kr0,Kr1,…,Krx被分配给无线通信网络2的通信运营商。无线通信网络2的通信运营商将出厂初始秘钥Kr0,Kr1,…,Krx写入eSIM_20中。eSIM_20将出厂初始秘钥Kr0,Kr1,…,Krx存储在出厂初始秘钥存储部25中。由ECU50的制造公司从出厂初始秘钥Kr0,Kr1,…,Krx中选择的出厂初始秘钥被写入ECU50中。ECU50保持被写入的出厂初始秘钥。或者,出厂初始秘钥Kr0,Kr1,…,Krx被分配给机动车1的制造公司。由机动车1的制造公司从出厂初始秘钥Kr0,Kr1,…,Krx中选择的出厂初始秘钥被写入ECU50中。ECU50保存被写入的出厂初始秘钥。
另外,为使出厂初始秘钥Kr0,Kr1,…,Krx不泄露,优选在各个无线通信网络2的通信运营商、ECU50的制造公司和机动车1的制造公司中分别慎重地处理出厂初始秘钥Kr0,Kr1,…,Krx。
在图4B中,通信运营商秘钥存储部26存储“y+1”个通信运营商秘钥Kc0,Kc1,…,Kcy。但是,y是0以上的整数。通信运营商秘钥Kc0,Kc1,…,Kcy是在通过eSIM_20利用无线通信网络2时被使用的通信运营商秘钥的候选。在eSIM_20的制造时、出厂时、对管理装置10安装了eSIM_20后等,通信运营商秘钥Kc0,Kc1,…,Kcy被写入eSIM_20中。eSIM_20将通信运营商秘钥Kc0,Kc1,…,Kcy存储在通信运营商秘钥存储部26中。此外,在eSIM_20中,从通信运营商秘钥Kc0,Kc1,…,Kcy之中设定要使用的通信运营商秘钥。eSIM_20根据设定从通信运营商秘钥Kc0,Kc1,…,Kcy之中选择通信运营商秘钥,并使用选择的通信运营商秘钥。无线通信网络2的通信运营商记录用于确定eSIM_20使用的通信运营商秘钥的信息。
图5是示出第一实施方式的ECU50的结构图。在图5中,ECU50具有控制部51、CAN接口52、加密处理部53、秘钥存储部54、出厂初始秘钥存储部55和验证部57。这些各部能够交换数据。
控制部51具有规定的控制功能。CAN接口52是与管理装置10、其他的ECU50通信的通信部。CAN接口52与控制用车载网络40连接,并经由控制用车载网络40与管理装置10、其他的ECU50交换数据。
加密处理部53进行数据的加密和加密数据的解密。秘钥存储部54存储秘钥。本实施方式中,秘钥存储部54存储的秘钥有ECU秘钥管理秘钥和ECU秘钥这两种。出厂初始秘钥存储部55存储出厂初始秘钥。验证部57进行关于数据的交换的验证。
图6是示出第一实施方式的管理服务器装置60的结构图。在图6中,管理服务器装置60具有通信部61、通信运营商秘钥存储部62、管理部63和管理数据存储部64。这些各部能够交换数据。通信部61经由通信线路4收发数据。通信部61经由通信线路4与无线通信网络2连接。通信运营商秘钥存储部62存储通信运营商秘钥。管理部63进行与机动车1有关的管理。管理数据存储部64存储与机动车1有关的管理数据。
接下来说明第一实施方式的管理方法。另外,在以下的说明中,管理服务器装置60和机动车1的管理装置10经由无线通信网络2收发数据。管理装置10和ECU50经由控制用车载网络40收发数据。管理装置10的eSIM_20经由CAN接口12与ECU50收发数据。ECU50的各部经由CAN接口52与管理装置10的eSIM_20收发数据。
[ECU秘钥管理秘钥的更新方法的第一例]
图7是示出第一实施方式的ECU秘钥管理秘钥的更新方法的第一例的顺序图。ECU秘钥管理秘钥的更新方法的第一例是对机动车1新安装ECU50的情况下的ECU秘钥管理秘钥的更新方法。将对机动车1新安装的ECU50称为新ECU50。
作为ECU秘钥管理秘钥的更新方法的第一例适用的情况,举出例如在eSIM_20被安装在机动车1后,保持eSIM_20的出厂初始秘钥存储部25中未保持的新的出厂初始秘钥Knew的新ECU50被安装在机动车1的情况。新ECU50将出厂初始秘钥Knew存储在自己的出厂初始秘钥存储部55中。
图7中示出管理服务器装置60与机动车1的管理装置10的eSIM_20之间的顺序,以及机动车1中的管理装置10的eSIM_20和ECU50之间的顺序。
在eSIM_20中,秘钥存储部22的ECU秘钥管理秘钥Kmn存储部31存储在秘钥生成部21生成的ECU秘钥管理秘钥之中最新的ECU秘钥管理秘钥Km3。秘钥存储部22的ECU秘钥管理秘钥Km(n-1)存储部32存储在秘钥生成部21生成的ECU秘钥管理秘钥之中最新的ECU秘钥管理秘钥Km3的前一个ECU秘钥管理秘钥Km2。
下面,参照图7说明ECU秘钥管理秘钥的更新方法的第一例。
(步骤S1)管理服务器装置60接收新的出厂初始秘钥Knew的分发指示。
(步骤S2)管理服务器装置60的管理部63生成通过eSIM_20使用的通信运营商秘钥Kc0加密了出厂初始秘钥Knew的加密数据Kc0(Knew)。确定eSIM_20使用的通信运营商秘钥Kc0的信息由无线通信网络2的通信运营商所记录。管理部63基于该记录从通信运营商秘钥存储部62获取eSIM_20使用的通信运营商秘钥Kc0。管理服务器装置60的通信部61经由无线通信网络2将加密数据Kc0(Knew)发送给机动车1的管理装置10的eSIM_20。
(步骤S3)在机动车1的管理装置10的eSIM_20中,加密处理部24将从管理服务器装置60接收到的加密数据Kc0(Knew)通过通信运营商秘钥Kc0解密。加密处理部24根据eSIM_20的设定,从通信运营商秘钥存储部26获取用于加密数据Kc0(Knew)的解密的通信运营商秘钥Kc0。作为加密数据Kc0(Knew)的解密结果,获得出厂初始秘钥Knew。对出厂初始秘钥存储部25追加记录加密数据Kc0(Knew)的解密结果的出厂初始秘钥Knew。
(步骤S4)新ECU50的控制部51对eSIM_20发送用于通知对机动车1安装新ECU50的安装通知消息。eSIM_20接收从新ECU50发送来的安装通知消息。
(步骤S5)eSIM_20的验证部23生成随机数,并将生成的随机数作为询问(Challenge)值。eSIM_20向安装通知消息的发送源的新ECU50发送询问值(随机数)。
(步骤S6)新ECU50的加密处理部53生成将从eSIM_20接收到的询问值(随机数)通过在出厂初始秘钥存储部55中存储的出厂初始秘钥Knew加密了的加密数据Knew(随机数)。新ECU50将加密数据Knew(随机数)作为响应值来发送给eSIM_20。
eSIM_20的验证部23对从新ECU50接收到的响应值Knew(随机数)执行响应匹配处理。响应匹配处理中,验证部23使用在出厂初始秘钥存储部25中存储的出厂初始秘钥Kr0,Kr1,…,Knew来验证响应值Knew(随机数)。举出以下示出的验证方法的第一以及第二例作为响应值Knew(随机数)的验证方法。
(验证方法的第一例)
验证部23通过在出厂初始秘钥存储部25中存储的各个出厂初始秘钥Kr0,Kr1,…,Knew来加密询问值(随机数),并判定各加密结果与响应值Knew(随机数)是否一致。在判定的结果,与响应值Knew(随机数)一致的加密结果只有一个的情况下,响应值Knew(随机数)的验证成功。另一方面,在判定的结果,没有与响应值Knew(随机数)一致的加密结果的情况下以及有多个与响应值Knew(随机数)一致的加密结果的情况下,响应值Knew(随机数)的验证失败。
(验证方法的第二例)
验证部23通过在出厂初始秘钥存储部25中存储的各个出厂初始秘钥Kr0,Kr1,…,Knew来解密响应值Knew(随机数),并判定各解密结果与询问值(随机数)是否一致。在判定的结果,与询问值(随机数)一致的解密结果只有一个的情况下,响应值Knew(随机数)的验证成功。
另一方面,在判定的结果,没有与询问值(随机数)一致的解密结果的情况下以及有多个与询问值(随机数)一致的解密结果的情况下,响应值Knew(随机数)的验证失败。
在响应值Knew(随机数)的验证成功的情况下进入以后的步骤。另一方面,在响应值Knew(随机数)的验证失败的情况下,结束图7的处理。另外,在响应值Knew(随机数)的验证失败的情况下,也可以进行规定的错误处理。
(步骤S7)新ECU50的验证部57生成随机数,并将生成的随机数作为询问值。新ECU50将询问值(随机数)发送给eSIM_20。
(步骤S8)eSIM_20的加密处理部24生成将从新ECU50接收到的询问值(随机数)通过上述步骤S6的响应值Knew(随机数)的验证成功时使用的出厂初始秘钥Knew加密了的加密数据Knew(随机数)。eSIM_20将加密数据Knew(随机数)作为响应值来发送给新ECU50。
新ECU50的验证部57对从eSIM_20接收到的响应值Knew(随机数)执行响应匹配处理。响应匹配处理中,验证部57使用在出厂初始秘钥存储部55中存储的出厂初始秘钥Knew来验证响应值Knew(随机数)。举出上述的验证方法的第一以及第二例作为响应值Knew(随机数)的验证方法。
在响应值Knew(随机数)的验证成功的情况下进入以后的步骤。另一方面,在响应值Knew(随机数)的验证失败的情况下,结束图7的处理。另外,在响应值Knew(随机数)的验证失败的情况下,也可以进行规定的错误处理。
(步骤S9)eSIM_20的加密处理部24使用在上述步骤S6的响应值Knew(随机数)的验证成功时使用的出厂初始秘钥Knew,对在秘钥存储部22的ECU秘钥管理秘钥Kmn存储部31中存储的ECU秘钥管理秘钥Km3进行加密,生成加密ECU秘钥管理秘钥Knew(Km3)。eSIM_20将加密ECU秘钥管理秘钥Knew(Km3)发送给新ECU50。
(步骤S10)新ECU50的加密处理部53将从eSIM_20接收到的加密ECU秘钥管理秘钥Knew(Km3)通过在出厂初始秘钥存储部55中存储的出厂初始秘钥Knew来解密。作为该解密结果,获得ECU秘钥管理秘钥Km3。
(步骤S11)新ECU50的秘钥存储部54存储作为加密处理部53的解密结果的ECU秘钥管理秘钥Km3。由此,在新ECU50的秘钥存储部54中存储的ECU秘钥管理秘钥更新为最新的ECU秘钥管理秘钥Km3。
根据上述的ECU秘钥管理秘钥的更新方法的第一例,在保持机动车1上安装的eSIM_20的出厂初始秘钥存储部25中未保持的新的出厂初始秘钥Knew的新ECU50被安装在机动车1的情况下,能够对机动车1上安装的新ECU50将ECU秘钥管理秘钥更新为机动车1的最新的ECU秘钥管理秘钥。由此,能够将在机动车1上安装的各ECU50中保持的ECU秘钥管理秘钥与最新的ECU秘钥管理秘钥匹配。
此外,ECU秘钥管理秘钥通过在eSIM_20和新ECU50中共享的出厂初始秘钥Knew加密之后从eSIM_20被发送给新ECU50。由此,提高ECU秘钥管理秘钥的更新的安全性。
此外,在机动车1上安装的eSIM_20的出厂初始秘钥存储部25中未保持的新的出厂初始秘钥Knew从管理服务器装置60被无线发送给eSIM_20,并且在eSIM_20中无线接收到的出厂初始秘钥Knew追加存储在eSIM_20的出厂初始秘钥存储部25中。由此,在机动车维修厂等不需要从机动车1的OBD端口向管理装置10输入出厂初始秘钥Knew。
[ECU秘钥管理秘钥的更新方法的第二例]
图8、图9以及图10是示出第一实施方式的ECU秘钥管理秘钥的更新方法的第二例的顺序图。ECU秘钥管理秘钥的更新方法的第二例是对机动车1新安装ECU50的情况下的ECU秘钥管理秘钥的更新方法。将对机动车1新安装的ECU50称为新ECU50。
作为ECU秘钥管理秘钥的更新方法的第二例适用的情况,举出例如在eSIM_20被安装在机动车1后,保持eSIM_20的出厂初始秘钥存储部25中未保持的新的出厂初始秘钥Knew的新ECU50被安装在机动车1的情况。新ECU50将出厂初始秘钥Knew存储在自己的出厂初始秘钥存储部55中。但是,在ECU秘钥管理秘钥的更新方法的第二例中,与上述的ECU秘钥管理秘钥的更新方法的第一例不同,将安装新ECU50的机动车1的eSIM_20更换为保持出厂初始秘钥Knew的eSIM_20。将对机动车1通过更换而新安装的eSIM_20称为新eSIM_20。新eSIM_20将出厂初始秘钥Knew存储在自己的出厂初始秘钥存储部25中。
图8中示出管理服务器装置60与机动车1的管理装置10的更换前的eSIM_20之间的顺序,以及机动车1中的管理装置10的交换前的eSIM_20与ECU50之间的顺序。在eSIM_20中,秘钥存储部22的ECU秘钥管理秘钥Kmn存储部31存储在秘钥生成部21生成的ECU秘钥管理秘钥之中最新的ECU秘钥管理秘钥Km3。秘钥存储部22的ECU秘钥管理秘钥Km(n-1)存储部32存储在秘钥生成部21生成的ECU秘钥管理秘钥之中最新的ECU秘钥管理秘钥Km3的前一个ECU秘钥管理秘钥Km2。ECU50的秘钥存储部54存储ECU秘钥管理秘钥Km3。下面,参照图8说明ECU秘钥管理秘钥的更新方法的第二例的第一阶段。
(步骤S21)机动车1的管理装置10的更换前的eSIM_20(以下简称为eSIM_20)接收ECU50的更换通知。ECU50的更换通知例如从机动车1的OBD端口被输入给管理装置10。
(步骤S22)eSIM_20的加密处理部24使用在秘钥存储部22的ECU秘钥管理秘钥Kmn存储部31中存储的ECU秘钥管理秘钥Km3来加密规定的出厂初始秘钥Kr9,生成加密出厂初始秘钥Km3(Kr9)。预先在eSIM_20中设定根据ECU50的更换通知而使用出厂初始秘钥Kr9。eSIM_20将加密出厂初始秘钥Km3(Kr9)发送给ECU50。
(步骤S23)ECU50的加密处理部53将从eSIM_20接收到的加密出厂初始秘钥Km3(Kr9)通过在秘钥存储部54中存储的ECU秘钥管理秘钥Km3来解密。作为该解密结果,获得出厂初始秘钥Kr9。
(步骤S24)ECU50的出厂初始秘钥存储部55存储作为加密处理部53的解密结果的出厂初始秘钥Kr9。由此,在ECU50的出厂初始秘钥存储部55中存储的出厂初始秘钥更新为出厂初始秘钥Kr9。
图9中示出机动车1中的管理装置10的新eSIM_20和ECU50之间的顺序。新eSIM_20的出厂初始秘钥存储部25存储出厂初始秘钥Kr9以及Knew。下面,参照图9说明ECU秘钥管理秘钥的更新方法的第二例的第二阶段。
(步骤S31)在机动车1的管理装置10中,从eSIM_20更换为新eSIM_20。另外,也可以将管理装置10本身更换为安装了新eSIM_20的管理装置10。新eSIM_20对ECU50发送用于通知对机动车1安装新eSIM_20的安装通知消息。来自新eSIM_20的安装通知消息通过广播被发送给全体ECU50。下面,说明对于一个ECU50的顺序,但对全体ECU50都执行同样的顺序。
(步骤S32)新eSIM_20的验证部23生成随机数,并将生成的随机数作为询问值。新eSIM_20将询问值(随机数)发送给ECU50。
(步骤S33)ECU50的加密处理部53生成将从新eSIM_20接收到的询问值(随机数)通过在出厂初始秘钥存储部55中存储的出厂初始秘钥Kr9来加密的加密数据Kr9(随机数)。ECU50将加密数据Kr9(随机数)作为响应值来发送给新eSIM_20。
新eSIM_20的验证部23对从ECU50接收到的响应值Kr9(随机数)执行响应匹配处理。响应匹配处理中,验证部23使用在出厂初始秘钥存储部25中存储的出厂初始秘钥Kr9、Knew来验证响应值Kr9(随机数)。举出上述的验证方法的第一以及第二例作为响应值Kr9(随机数)的验证方法。
在响应值Kr9(随机数)的验证成功的情况下进入以后的步骤。另一方面,在响应值Kr9(随机数)的验证失败的情况下,结束对于验证失败的响应值Kr9(随机数)的发送源的ECU50的图9的处理。另外,在响应值Kr9(随机数)的验证失败的情况下,也可以进行规定的错误处理。
(步骤S34)ECU50的验证部57生成随机数,并将生成的随机数作为询问值。ECU50将询问值(随机数)发送给新eSIM_20。
(步骤S35)新eSIM_20的加密处理部24生成将从ECU50接收到的询问值(随机数)通过在上述步骤S33的响应值Kr9(随机数)的验证成功时使用的出厂初始秘钥Kr9来加密了的加密数据Kr9(随机数)。新eSIM_20将加密数据Kr9(随机数)作为响应值来发送给ECU50。
ECU50的验证部57对从新eSIM_20接收到的响应值Kr9(随机数)执行响应匹配处理。响应匹配处理中,验证部57使用在出厂初始秘钥存储部55中存储的出厂初始秘钥Kr9来验证响应值Kr9(随机数)。举出上述的验证方法的第一以及第二例作为响应值Kr9(随机数)的验证方法。
在响应值Kr9(随机数)的验证成功的情况下进入以后的步骤。另一方面,在响应值Kr9(随机数)的验证失败的情况下,结束对于接收到验证失败的响应值Kr9(随机数)的ECU50的图9的处理。另外,在响应值Kr9(随机数)的验证失败的情况下,也可以进行规定的错误处理。
(步骤S36)新eSIM_20的秘钥生成部21生成新的ECU秘钥管理秘钥Km4。秘钥存储部22的ECU秘钥管理秘钥Kmn存储部31存储秘钥生成部21生成的新的ECU秘钥管理秘钥Km4。新eSIM_20的加密处理部24使用在上述步骤S33的响应值Kr9(随机数)的验证成功时使用的出厂初始秘钥Kr9,对在秘钥存储部22的ECU秘钥管理秘钥Kmn存储部31中存储的ECU秘钥管理秘钥Km4进行加密,生成加密ECU秘钥管理秘钥Kr9(Km4)。新eSIM_20将加密ECU秘钥管理秘钥Kr9(Km4)发送给ECU50。
(步骤S37)ECU50的加密处理部53将从新eSIM_20接收到的加密ECU秘钥管理秘钥Kr9(Km4)通过在出厂初始秘钥存储部55中存储的出厂初始秘钥Kr9来解密。作为该解密结果,获得ECU秘钥管理秘钥Km4。
(步骤S38)ECU50的秘钥存储部54存储作为加密处理部53的解密结果的ECU秘钥管理秘钥Km4。由此,在ECU50的秘钥存储部54中存储的ECU秘钥管理秘钥被更新为最新的ECU秘钥管理秘钥Km4。
图10中示出机动车1中的管理装置10的新eSIM_20与新ECU50之间的顺序。新ECU50的出厂初始秘钥存储部55存储出厂初始秘钥Knew。下面,参照图10说明ECU秘钥管理秘钥的更新方法的第二例的第三阶段。
(步骤S41)通过上述的步骤S31从新eSIM_20通过广播发送的安装通知消息被新ECU50接收。
(步骤S42)新eSIM_20的验证部23生成随机数,并将生成的随机数作为询问值。新eSIM_20将询问值(随机数)发送给新ECU50。
(步骤S43)新ECU50的加密处理部53生成将从新eSIM_20接收到的询问值(随机数)通过在出厂初始秘钥存储部55中存储的出厂初始秘钥Knew来加密了的加密数据Knew(随机数)。新ECU50将加密数据Knew(随机数)作为响应值来发送给新eSIM_20。
新eSIM_20的验证部23对从新ECU50接收到的响应值Knew(随机数)执行响应匹配处理。响应匹配处理中,验证部23使用在出厂初始秘钥存储部25中存储的出厂初始秘钥Kr9、Knew来验证响应值Knew(随机数)。举出上述的验证方法的第一以及第二例作为响应值Knew(随机数)的验证方法。
在响应值Knew(随机数)的验证成功的情况下进入以后的步骤。另一方面,在响应值Knew(随机数)的验证失败的情况下,结束对于验证失败的响应值Knew(随机数)的发送源的新ECU50的图10的处理。另外,在响应值Knew(随机数)的验证失败的情况下,也可以进行规定的错误处理。
(步骤S44)新ECU50的验证部57生成随机数,并将生成的随机数作为询问值。新ECU50将询问值(随机数)发送给新eSIM_20。
(步骤S45)新eSIM_20的加密处理部24生成将从新ECU50接收到的询问值(随机数)通过在上述步骤S43的响应值Knew(随机数)的验证成功的时使用的出厂初始秘钥Knew来加密了的加密数据Knew(随机数)。新eSIM_20将加密数据Knew(随机数)作为响应值来发送给新ECU50。
新ECU50的验证部57对从新eSIM_20接收到的响应值Knew(随机数)执行响应匹配处理。响应匹配处理中,验证部57使用在出厂初始秘钥存储部55中存储的出厂初始秘钥Knew来验证响应值Knew(随机数)。举出上述的验证方法的第一以及第二例作为响应值Knew(随机数)的验证方法。
在响应值Knew(随机数)的验证成功的情况下进入以后的步骤。另一方面,在响应值Knew(随机数)的验证失败的情况下,结束对于接收了验证失败的响应值Knew(随机数)的新ECU50的图10的处理。另外,在响应值Knew(随机数)的验证失败的情况下,也可以进行规定的错误处理。
(步骤S46)新eSIM_20的加密处理部24使用在上述步骤S43的响应值Knew(随机数)的验证成功时使用的出厂初始秘钥Knew,对在秘钥存储部22的ECU秘钥管理秘钥Kmn存储部31中存储的ECU秘钥管理秘钥Km4进行加密,生成加密ECU秘钥管理秘钥Knew(Km4)。新eSIM_20将加密ECU秘钥管理秘钥Knew(Km4)发送给新ECU50。
(步骤S47)新ECU50的加密处理部53将从新eSIM_20接收到的加密ECU秘钥管理秘钥Knew(Km4)通过在出厂初始秘钥存储部55中存储的出厂初始秘钥Knew来解密。作为该解密结果,获得ECU秘钥管理秘钥Km4。
(步骤S48)新ECU50的秘钥存储部54存储作为加密处理部53的解密结果的ECU秘钥管理秘钥Km4。由此,在新ECU50的秘钥存储部54中存储的ECU秘钥管理秘钥被更新为最新的ECU秘钥管理秘钥Km4。
另外,在上述的ECU秘钥管理秘钥的更新方法的第二例中,可以先执行第二阶段和第三阶段中的任一阶段。但是,在第二阶段或者第三阶段之中先执行的阶段中生成新的ECU秘钥管理秘钥Km4。
根据上述的ECU秘钥管理秘钥的更新方法的第二例,在保持机动车1上安装的eSIM_20的出厂初始秘钥存储部25中未保持的新的出厂初始秘钥Knew的新ECU50被安装在机动车1的情况下,能够对机动车1上安装的新ECU50将ECU秘钥管理秘钥更新为机动车1的最新的ECU秘钥管理秘钥。由此,能够将在机动车1上安装的各ECU50中保持的ECU秘钥管理秘钥与最新的ECU秘钥管理秘钥匹配。
此外,ECU秘钥管理秘钥通过在新eSIM_20和ECU50中共享的出厂初始秘钥Kr9来加密之后从新eSIM_20被发送给ECU50。此外,ECU秘钥管理秘钥通过在新eSIM_20和新ECU50中共享的出厂初始秘钥Knew来加密之后从新eSIM_20发送给新ECU50。由此,提高ECU秘钥管理秘钥的更新的安全性。
此外,由于对机动车1支持从未保持新的出厂初始秘钥Knew的eSIM_20更换为保持新的出厂初始秘钥Knew的新eSIM_20,因此在未配备无线通信环境的地区中也能够适用。
[ECU秘钥管理秘钥的更新方法的第三例]
图11是示出第一实施方式的ECU秘钥管理秘钥的更新方法的第三例的顺序图。ECU秘钥管理秘钥的更新方法的第三例是上述的ECU秘钥管理秘钥的更新方法的第二例的变形例。ECU秘钥管理秘钥的更新方法的第三例中,在对机动车1通过更换而新安装的新eSIM_20未保持新的出厂初始秘钥Knew的情况下,从管理服务器装置60通过无线通信将新的出厂初始秘钥Knew发送给新eSIM_20。
图11中示出管理服务器装置60与机动车1的管理装置10的新eSIM_20之间的顺序,以及机动车1中的管理装置10的新eSIM_20与ECU50之间的顺序。下面,参照图11说明ECU秘钥管理秘钥的更新方法的第三例的第一阶段。ECU秘钥管理秘钥的更新方法的第三例的第一阶段与上述的图9所示的ECU秘钥管理秘钥的更新方法的第二例的第二阶段对应。
(步骤S51)管理服务器装置60接收包含新的出厂初始秘钥Knew的出厂初始秘钥列表的分发指示。
(步骤S52)管理服务器装置60的管理部63生成通过新eSIM_20使用的通信运营商秘钥Kc0来加密了出厂初始秘钥列表的加密数据Kc0(列表)。确定新eSIM_20使用的通信运营商秘钥Kc0的信息由无线通信网络2的通信运营商所记录。管理部63基于该记录从通信运营商秘钥存储部62获取新eSIM_20使用的通信运营商秘钥Kc0。管理服务器装置60的通信部61经由无线通信网络2将加密数据Kc0(列表)发送给机动车1的管理装置10的新eSIM_20。
(步骤S53)在机动车1的管理装置10的新eSIM_20中,加密处理部24将从管理服务器装置60接收到的加密数据Kc0(列表)通过通信运营商秘钥Kc0解密。加密处理部24根据新eSIM_20的设定而从通信运营商秘钥存储部26获取用于加密数据Kc0(列表)的解密的通信运营商秘钥Kc0。作为加密数据Kc0(列表)的解密结果,获得出厂初始秘钥列表。加密数据Kc0(列表)的解密结果的出厂初始秘钥列表中包含的出厂初始秘钥Kr0,…,Kr9,…,Knew被存储在出厂初始秘钥存储部25中。
图11的步骤S54至S61与上述的图9的步骤S31至S38对应,进行同样的处理。但是,图11的步骤S56的响应匹配处理中,新eSIM_20的验证部23使用在出厂初始秘钥存储部25中存储的出厂初始秘钥Kr0,…,Kr9,…,Knew来验证从ECU50接收到的响应值Kr9(随机数)。
另外,ECU秘钥管理秘钥的更新方法的第三例的第二阶段与上述的图10所示的ECU秘钥管理秘钥的更新方法的第二例的第三阶段同样地被执行。但是,ECU秘钥管理秘钥的更新方法的第三例的第二阶段中,作为与图10的步骤S43的响应匹配处理对应的响应匹配处理,新eSIM_20的验证部23使用在出厂初始秘钥存储部25中存储的出厂初始秘钥Kr0,…,Kr9,…,Knew来验证从新ECU50接收到的响应值Knew(随机数)。
根据上述的ECU秘钥管理秘钥的更新方法的第三例,在机动车1中,在将eSIM_20更换为新eSIM_20时,能够通过无线通信从管理服务器装置60将包含新的出厂初始秘钥Knew的出厂初始秘钥列表分发给新eSIM_20。
根据上述的第一实施方式,可获得能够有助于机动车1所保持的秘钥的管理、更新的效果。
[第二实施方式]
图12是示出本发明的第二实施方式的机动车1的结构图。在图12中,对与图1的各部对应的部分标记相同的符号,并省略其说明。下面,参照图12说明第二实施方式的机动车1。
相对于图1的机动车1,图12所示的机动车1还具有网关100、信息娱乐(Infotainment)设备110和通信装置120。通信装置120具有eSIM_121。eSIM_121是写入了无线通信网络2的订户信息的eSIM。因此,通信装置120通过使用eSIM_121能够利用无线通信网络2。通信装置120通过使用eSIM_121而建立的无线通信线路161与无线通信网络2连接。无线通信网络2经由通信线路162与互联网150连接。服务器装置140经由通信线路163连接到互联网150。通信装置120经由无线通信网络2与连接到互联网150的服务器装置140通信。
机动车1的信息娱乐设备110经由通信装置120与服务器装置140收发数据。信息娱乐设备110与外部设备130连接,并与外部设备130交换数据。举出例如移动通信终端、视听设备等作为外部设备130。
在机动车1中,网关100与控制用车载网络40连接。信息娱乐设备110经由网关100与连接到控制用车载网络40的ECU50、管理装置10收发数据。网关100监视信息娱乐设备110与ECU50之间的数据的收发以及信息娱乐设备110与管理装置10之间的数据的收发。
以上,参照附图详细说明了本发明的实施方式,但具体的结构并不限于该实施方式,也包含不脱离本发明的主旨的范围的设计变更等。
上述的实施方式中,举出了使用eSIM或者SIM作为安全元件的例子,但不限定于此。也可以使用例如有防篡改(Tamper Resistant)的加密处理芯片作为安全元件。作为有防篡改的加密处理芯片,例如,已知被称为TPM(Trusted Platform Module:可信平台模块)的加密处理芯片。TPM例如在非专利文献3中有记载。
在管理装置10以及ECU50中也优选进行安全启动(Secure Boot)。根据安全启动,能够在计算机启动时验证该计算机的操作系统(Operating System:OS)的合法性。安全启动例如在非专利文献4、5、6中有记载。
上述的实施方式的管理方法能够适用于机动车1的销售、定期检查、车辆检查、转售、报废车等机动车1的各种管理的情况。
上述的实施方式中举出了机动车作为车辆的例子,但也能够适用于电动自行车、铁路车辆等机动车以外的其他车辆。
此外,也可以将用于实现上述的管理装置10、ECU50或者管理服务器装置60执行的管理方法的各步骤的计算机程序记录在计算机能够读取的记录介质中,使计算机系统读取并执行该记录介质中记录的程序。另外,这里所说的“计算机系统”也可以包含OS、外围设备等硬件。
此外,“计算机能够读取的记录介质”是指软盘、光磁盘、ROM(只读存储器)、闪存等能够写入的非易失性存储器、DVD(Digital Versatile Disk:数字通用光盘)等可移动介质、内置于计算机系统的硬盘等存储装置。
此外,“计算机能够读取的记录介质”是如在经由互联网等网络、电话线路等通信线路而发送程序的情况下作为服务器、客户端的计算机系统内部的易失性存储器(例如,DRAM(Dynamic Random Access Memory:动态随机存取存储器))那样在恒定时间保持程序的介质。
此外,上述程序也可以从将该程序储存在存储装置等中的计算机系统经由传送介质或者通过传送介质中的载波而被传送给其他的计算机系统。这里,传送程序的“传送介质”是如互联网等网络(通信网)、电话线路等通信线路(通信线)那样具有传送信息的功能的介质。
此外,上述程序也可以用于实现上述的功能的一部分。
此外,还可以是能够通过与已经记录在计算机系统中的程序的组合来实现上述的功能的所谓的差分文件(差分程序)。
附图标记说明
1 机动车
2 无线通信网络
3 无线通信线路
4 通信线路
10 管理装置
11 无线通信部
12 CAN接口
20 eSIM
21 秘钥生成部
22 秘钥存储部
23 验证部
24 加密处理部
25 出厂初始秘钥存储部
26 通信运营商秘钥存储部
31 ECU秘钥管理秘钥Kmn存储部
32 ECU秘钥管理秘钥Km(n-1)存储部
33 ECU秘钥kn存储部
40 控制用车载网络
50 ECU
51 控制部
52 CAN接口
53 加密处理部
54 秘钥存储部
55 出厂初始秘钥存储部
57 验证部
60 管理服务器装置
61 通信部
62 通信运营商秘钥存储部
63 管理部
64 管理数据存储部

Claims (8)

1.一种管理装置,用于控制安装于车辆的多个车载计算机,该管理装置具有:
出厂初始秘钥存储部,存储多个出厂初始秘钥,该多个出厂初始秘钥作为与多个所述车载计算机相关联的出厂初始秘钥的候选;
通信部,与多个所述车载计算机中的一个车载计算机进行通信以从该车载计算机接收加密的数据;
验证部,使用在所述出厂初始秘钥存储部中存储的多个所述出厂初始秘钥中的一个出厂初始秘钥来验证所述加密数据;以及
无线通信部,从管理服务器装置经由无线通信网络接收与新安装至所述车辆的新车载计算机相关联的新的出厂初始秘钥,
所述出厂初始秘钥存储部存储通过所述无线通信部接收到的所述新的出厂初始秘钥,
用来对用于多个所述车载计算机之间的加密通信的密钥进行更新的管理密钥是通过如下步骤被更新的管理秘钥:
步骤1,验证所述新的出厂初始秘钥是否存储在所述新车载计算机;
步骤2,使用所述新的出厂初始秘钥对最新的管理秘钥进行加密;
步骤3,将已加密的所述最新的管理秘钥发送到所述新车载计算机;
步骤4,使用所述新的出厂初始秘钥通过所述新车载计算机对已加密的所述最新的管理秘钥进行解密;以及
步骤5,通过所述新车载计算机存储所述最新的管理秘钥。
2.一种管理装置,用于控制安装于车辆的多个车载计算机,该管理装置具有:
出厂初始秘钥存储部,存储与多个所述车载计算机相关联的多个出厂初始秘钥以及与新安装至所述车辆的新车载计算机相关联的新的出厂初始秘钥;
通信部,与多个所述车载计算机进行通信;以及
验证部,使用在所述出厂初始秘钥存储部中存储的多个所述出厂初始秘钥中的一个出厂初始秘钥来验证从多个车载计算机中的一个车载计算机通过所述通信部接收到的加密数据,
用来对用于多个所述车载计算机之间的加密通信的密钥进行更新的管理密钥是通过如下步骤被更新的管理秘钥:
步骤1,验证所述新的出厂初始秘钥是否存储在所述新车载计算机;
步骤2,使用所述新的出厂初始秘钥对最新的管理秘钥进行加密;
步骤3,将已加密的所述最新的管理秘钥发送到所述新车载计算机;
步骤4,使用所述新的出厂初始秘钥通过所述新车载计算机对已加密的所述最新的管理秘钥进行解密;以及
步骤5,通过所述新车载计算机存储所述最新的管理秘钥。
3.如权利要求1或2所述的管理装置,该管理装置具有:
秘钥生成部,生成用于更新每个车载计算机的秘钥的管理密钥;
加密处理部,加密通过所述秘钥生成部所生成的秘钥而生成加密秘钥;以及
秘钥存储部,存储通过所述秘钥生成部所生成的秘钥,
所述通信部将所述加密秘钥发送给安装于所述车辆的多个所述车载计算机中的通过所述验证部验证成功的车载计算机。
4.如权利要求1或2所述的管理装置,其中,由安装于车辆的安全元件构成。
5.一种管理方法,用于控制安装于车辆的多个车载计算机,包括:
出厂初始秘钥存储步骤,将多个出厂初始秘钥存储在出厂初始秘钥存储部中,该多个出厂初始秘钥作为与多个所述车载计算机相关联的出厂初始秘钥的候选;
通信步骤,与多个所述车载计算机中的一个车载计算机进行通信以从该车载计算机接收加密的数据;
验证步骤,使用在所述出厂初始秘钥存储部中存储的多个所述出厂初始秘钥中的一个出厂初始秘钥来验证所述加密数据;
无线通信步骤,从管理服务器装置经由无线通信网络接收与新安装至所述车辆的新车载计算机相关联的新的出厂初始秘钥;
将通过所述无线通信步骤接收到的所述新的出厂初始秘钥存储在所述出厂初始秘钥存储部中的步骤;以及
通过如下步骤更新管理秘钥,其中,所述管理秘钥用来对用于多个所述车载计算机之间的加密通信的密钥进行更新:
步骤1,验证所述新的出厂初始秘钥是否存储在所述新车载计算机;
步骤2,使用所述新的出厂初始秘钥对最新的管理秘钥进行加密;
步骤3,将已加密的所述最新的管理秘钥发送到所述新车载计算机;
步骤4,使用所述新的出厂初始秘钥通过所述新车载计算机对已加密的所述最新的管理秘钥进行解密;以及
步骤5,通过所述新车载计算机存储所述最新的管理秘钥。
6.一种管理方法,用于控制安装于车辆的多个车载计算机,包括:
出厂初始秘钥存储步骤,将与多个所述车载计算机相关联的多个出厂初始秘钥以及与新安装至所述车辆的新车载计算机相关联的新的出厂初始秘钥存储在出厂初始秘钥存储部中;
通信步骤,与多个所述车载计算机中的一个车载计算机进行通信以从该车载计算机接收加密的数据;
验证步骤,使用在所述出厂初始秘钥存储部中存储的多个所述出厂初始秘钥中的一个出厂初始秘钥来验证所述加密数据;以及
通过如下步骤更新管理秘钥,其中,所述管理秘钥用来对用于多个所述车载计算机之间的加密通信的密钥进行更新:
步骤1,验证所述新的出厂初始秘钥是否存储在所述新车载计算机;
步骤2,使用所述新的出厂初始秘钥对最新的管理秘钥进行加密;
步骤3,将已加密的所述最新的管理秘钥发送到所述新车载计算机;
步骤4,使用所述新的出厂初始秘钥通过所述新车载计算机对已加密的所述最新的管理秘钥进行解密;以及
步骤5,通过所述新车载计算机存储所述最新的管理秘钥。
7.一种计算机可读存储介质,记录了使安装于车辆的计算机系统执行权利要求5所述的管理方法的程序。
8.一种计算机可读存储介质,记录了使安装于车辆的计算机系统执行权利要求6所述的管理方法的程序。
CN201680018541.4A 2015-03-26 2016-03-10 管理装置、管理方法以及存储介质 Active CN107409045B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2015063680A JP6262681B2 (ja) 2015-03-26 2015-03-26 管理装置、車両、管理方法、及びコンピュータプログラム
JP2015-063680 2015-03-26
PCT/JP2016/057573 WO2016152556A1 (ja) 2015-03-26 2016-03-10 管理装置、車両、管理方法、及びコンピュータプログラム

Publications (2)

Publication Number Publication Date
CN107409045A CN107409045A (zh) 2017-11-28
CN107409045B true CN107409045B (zh) 2021-04-23

Family

ID=56978052

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680018541.4A Active CN107409045B (zh) 2015-03-26 2016-03-10 管理装置、管理方法以及存储介质

Country Status (5)

Country Link
US (1) US10673621B2 (zh)
EP (1) EP3276876B1 (zh)
JP (1) JP6262681B2 (zh)
CN (1) CN107409045B (zh)
WO (1) WO2016152556A1 (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6262681B2 (ja) 2015-03-26 2018-01-17 Kddi株式会社 管理装置、車両、管理方法、及びコンピュータプログラム
US10523660B1 (en) * 2016-05-13 2019-12-31 MobileIron, Inc. Asserting a mobile identity to users and devices in an enterprise authentication system
US10673838B2 (en) 2016-05-13 2020-06-02 MobileIron, Inc. Unified VPN and identity based authentication to cloud-based services
JP6683588B2 (ja) * 2016-11-10 2020-04-22 Kddi株式会社 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム
DE102017213010A1 (de) * 2017-07-28 2019-01-31 Audi Ag Gesamtvorrichtung mit einer Authentifizierungsanordnung und Verfahren zur Authentifizierung
JP6519060B2 (ja) * 2017-12-13 2019-05-29 Kddi株式会社 管理装置、車両、管理方法、及びコンピュータプログラム
JP6977635B2 (ja) * 2018-03-15 2021-12-08 大日本印刷株式会社 車両鍵配信システムおよび汎用スキャンツール
US10991175B2 (en) * 2018-12-27 2021-04-27 Beijing Voyager Technology Co., Ltd. Repair management system for autonomous vehicle in a trusted platform
JP7298392B2 (ja) * 2019-08-28 2023-06-27 富士電機株式会社 自動販売機及びサービス管理方法
CN112448809B (zh) * 2019-08-30 2022-07-22 华为技术有限公司 密钥配置系统及相关方法和产品
CN113708922B (zh) * 2021-07-19 2023-09-12 英博超算(南京)科技有限公司 一种汽车指纹vfp的安全更新方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6028528A (en) * 1997-10-24 2000-02-22 Mobile-Vision, Inc. Apparatus and methods for managing transfers of video recording media used for surveillance from vehicles
JP2013138304A (ja) * 2011-12-28 2013-07-11 Toyota Motor Corp セキュリティシステム及び鍵データの運用方法

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4754255A (en) * 1984-03-12 1988-06-28 Sanders Rudy T User identifying vehicle control and security device
JP3578001B2 (ja) * 1998-07-10 2004-10-20 トヨタ自動車株式会社 車両セキュリティ制御装置
US7131005B2 (en) 2002-06-28 2006-10-31 Motorola, Inc. Method and system for component authentication of a vehicle
WO2005070733A1 (ja) 2004-01-26 2005-08-04 Toshiba Solutions Corporation セキュリティ装置、車両用認証装置、方法及びプログラム
US8103946B2 (en) * 2007-05-18 2012-01-24 GM Global Technology Operations LLC Secure data strategy for vehicle control systems
JP5241818B2 (ja) * 2008-02-29 2013-07-17 三菱電機株式会社 端末
JP5270955B2 (ja) 2008-04-23 2013-08-21 パナソニック株式会社 車載装置、サーバ装置および通信システム
JP5261614B2 (ja) 2010-05-24 2013-08-14 ルネサスエレクトロニクス株式会社 通信システム、車載端末、路側装置
JP5479408B2 (ja) * 2011-07-06 2014-04-23 日立オートモティブシステムズ株式会社 車載ネットワークシステム
JP5435022B2 (ja) * 2011-12-28 2014-03-05 株式会社デンソー 車載システム及び通信方法
JP5435513B2 (ja) * 2012-01-27 2014-03-05 トヨタ自動車株式会社 暗号通信システム、鍵配布装置、暗号通信方法
JP5651615B2 (ja) * 2012-02-16 2015-01-14 日立オートモティブシステムズ株式会社 車載ネットワークシステム
JP5958535B2 (ja) 2012-05-29 2016-08-02 トヨタ自動車株式会社 認証システム及び認証方法
US9045095B2 (en) * 2012-12-16 2015-06-02 Cisco Technology Inc. Security for a wireless ECU vehicle system
US10546441B2 (en) * 2013-06-04 2020-01-28 Raymond Anthony Joao Control, monitoring, and/or security, apparatus and method for premises, vehicles, and/or articles
US20150298654A1 (en) * 2013-08-19 2015-10-22 Raymond Anthony Joao Control, monitoring, and/or security, apparatus and method for premises, vehicles, and/or articles
KR20150074414A (ko) * 2013-12-24 2015-07-02 현대자동차주식회사 펌웨어 업그레이드 방법 및 그 시스템
DE102014200116A1 (de) * 2014-01-08 2015-07-09 Robert Bosch Gmbh Verfahren und Vorrichtung zur Freigabe von Funktionen eines Steuergerätes
JP6713415B2 (ja) * 2014-11-13 2020-06-24 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 鍵管理方法、車載ネットワークシステム及び鍵管理装置
JP6262681B2 (ja) 2015-03-26 2018-01-17 Kddi株式会社 管理装置、車両、管理方法、及びコンピュータプログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6028528A (en) * 1997-10-24 2000-02-22 Mobile-Vision, Inc. Apparatus and methods for managing transfers of video recording media used for surveillance from vehicles
JP2013138304A (ja) * 2011-12-28 2013-07-11 Toyota Motor Corp セキュリティシステム及び鍵データの運用方法

Also Published As

Publication number Publication date
EP3276876A1 (en) 2018-01-31
CN107409045A (zh) 2017-11-28
EP3276876A4 (en) 2018-11-21
JP2016184835A (ja) 2016-10-20
EP3276876B1 (en) 2020-11-18
WO2016152556A1 (ja) 2016-09-29
US20180068107A1 (en) 2018-03-08
JP6262681B2 (ja) 2018-01-17
US10673621B2 (en) 2020-06-02

Similar Documents

Publication Publication Date Title
CN107409045B (zh) 管理装置、管理方法以及存储介质
JP6228093B2 (ja) システム
CN107113167B (zh) 管理装置、密钥生成装置、车辆、维护工具、管理系统、管理方法以及计算机程序
CN107710672B (zh) 软件分配处理装置、软件分配处理方法以及车辆
CN109314639B (zh) 管理系统、密钥生成装置、车载计算机、管理方法以及记录介质
CN111131313B (zh) 智能网联汽车更换ecu的安全保障方法及系统
JP6188672B2 (ja) 鍵管理システム
US20200177398A1 (en) System, certification authority, vehicle-mounted computer, vehicle, public key certificate issuance method, and program
JP6731887B2 (ja) 保守システム及び保守方法
WO2017022821A1 (ja) 管理装置、管理システム、鍵生成装置、鍵生成システム、鍵管理システム、車両、管理方法、鍵生成方法、及びコンピュータプログラム
CN115776385A (zh) 车载电子控制单元之间的安全通信
JP6178390B2 (ja) 管理装置、管理システム、車両、管理方法、及びコンピュータプログラム
JP6238939B2 (ja) 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
WO2017115751A1 (ja) 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
JP6440334B2 (ja) システム、車両及びソフトウェア配布処理方法
JP6860464B2 (ja) システム及び管理方法
JP6476462B2 (ja) 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
JP6188744B2 (ja) 管理システム、車両及び管理方法
JP6519060B2 (ja) 管理装置、車両、管理方法、及びコンピュータプログラム
CN112448809B (zh) 密钥配置系统及相关方法和产品
CN115913590A (zh) 一种电子零部件的认证方法、终端和电子零部件

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant