CN109479000B - 再利用系统、密钥生成装置、数据安全装置、车载计算机、再利用方法以及存储介质 - Google Patents

再利用系统、密钥生成装置、数据安全装置、车载计算机、再利用方法以及存储介质 Download PDF

Info

Publication number
CN109479000B
CN109479000B CN201780042605.9A CN201780042605A CN109479000B CN 109479000 B CN109479000 B CN 109479000B CN 201780042605 A CN201780042605 A CN 201780042605A CN 109479000 B CN109479000 B CN 109479000B
Authority
CN
China
Prior art keywords
vehicle
key
data
computer
security device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201780042605.9A
Other languages
English (en)
Other versions
CN109479000A (zh
Inventor
竹森敬祐
沟口诚一郎
川端秀明
洼田步
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Publication of CN109479000A publication Critical patent/CN109479000A/zh
Application granted granted Critical
Publication of CN109479000B publication Critical patent/CN109479000B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Power Engineering (AREA)
  • Lock And Its Accessories (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Abstract

再利用系统具备密钥生成装置、从第一车辆拆下后搭载于第二车辆的车载计算机、以及搭载于所述第二车辆的数据安全装置。所述密钥生成装置具备:车辆接口;以及密钥生成部,使用车载计算机标识符以及所述第一、第二车辆公用的主密钥,生成与从搭载于所述第一车辆时开始在所述车载计算机中存储的密钥相同的第一密钥,所述密钥生成装置将所述第一密钥发送给所述第二车辆。所述数据安全装置具备:第一接口部;以及第一加密处理部,将应用于所述车载计算机的第一数据通过所述第一密钥进行加密从而生成加密第一数据,所述密钥生成装置将所述加密第一数据发送给所述车载计算机。所述车载计算机具备:第二接口部;第二存储部,从搭载于所述第一车辆时开始存储所述第一密钥;以及第二加密处理部,将所述加密第一数据通过所述第一密钥进行解密。

Description

再利用系统、密钥生成装置、数据安全装置、车载计算机、再利 用方法以及存储介质
技术领域
本发明涉及再利用系统、密钥生成装置、数据安全装置、车载计算机、再利用方法以及计算机程序。
本申请请求2016年11月10日在日本申请的特愿2016-219709号的优先权,并在此引用其内容。
背景技术
当前,汽车具有ECU(Electronic Control Unit:电子控制单元),通过ECU可实现发动机控制等功能。ECU是一种计算机,通过计算机程序实现所希望的功能。例如,非专利文献1中记载了将多个ECU与CAN(Controller Area Network;控制器区域网络)连接构成的车载控制系统相关的安全性技术。
现有技术文献
非专利文献
非专利文献1:竹森敬祐,“以安全元件为基点的车载控制系统保护-技术要素的整理以及考察-”,电子信息通信学会,学术报,vol.114,no.508,pp.73-78,2015年3月
非专利文献2:日本工业规格,JISD4901,“车辆识别编号(VIN)”
非专利文献3:STMicroelectronics,“AN4240Application note”,“平成28年10月5日检索”,网址:<URL:http://www.st.com/web/en/resource/technical/document/application_note/DM00075575.pdf>
发明内容
发明所要解决的问题
在将曾经搭载于某辆汽车的旧ECU再次利用于其他汽车的情况下,提高搭载旧ECU的汽车的可靠性是一个问题。
本发明就是鉴于上述问题而提出的,其课题在于提供能够提高搭载旧ECU等旧商品的汽车的可靠性的再利用系统、密钥生成装置、数据安全装置、车载计算机、再利用方法以及计算机程序。
解决问题的技术方案
(1)作为本发明的一个方式,提供再利用系统,其中,所述再利用系统具备密钥生成装置、从第一车辆拆下后搭载于第二车辆的车载计算机、以及搭载于所述第二车辆的数据安全装置,所述密钥生成装置具备:车辆接口,与所述第二车辆收发数据;以及密钥生成部,使用所述车载计算机的车载计算机标识符以及所述第一车辆与所述第二车辆公用的主密钥,生成与从所述车载计算机搭载于所述第一车辆时开始在所述车载计算机中存储的密钥相同的第一密钥,所述密钥生成装置通过所述车辆接口将所述第一密钥发送给所述第二车辆,所述数据安全装置具备:第一接口部,与所述数据安全装置的外部装置收发数据;以及第一加密处理部,使用通过所述第一接口部从所述密钥生成装置接收到的所述第一密钥,对应用于所述车载计算机的第一数据进行加密从而生成加密第一数据,所述数据安全装置通过所述第一接口部将所述加密第一数据发送给所述车载计算机,所述车载计算机具备:第二接口部,与所述车载计算机的外部装置收发数据;第二存储部,从所述车载计算机搭载于所述第一车辆时开始存储所述第一密钥;以及第二加密处理部,使用所述第二存储部中存储的所述第一密钥,对通过所述第二接口部从所述数据安全装置接收到的所述加密第一数据进行解密。
(2)作为本发明的一个方式,在上述(1)的再利用系统中,所述车载计算机在所述第二存储部中还存储第二密钥,所述车载计算机还具备测量部,所述测量部使用所述第二存储部中存储的所述第二密钥对应用于所述车载计算机的数据进行测量,所述密钥生成部还使用所述车载计算机标识符以及所述主密钥来生成与所述车载计算机中存储的密钥相同的所述第二密钥,所述密钥生成装置还具备预期值计算部,所述预期值计算部使用所述密钥生成部生成的所述第二密钥计算所述测量的预期值。
(3)作为本发明的一个方式,在上述(2)的再利用系统中,所述密钥生成装置还具备验证部,所述验证部使用所述预期值对通过所述车辆接口从所述第二车辆接收到的所述测量部的测量结果进行验证。
(4)作为本发明的一个方式,在上述(2)的再利用系统中,所述数据安全装置还具备验证部,所述验证部使用所述预期值对通过所述第一接口部从所述车载计算机接收到的所述测量部的测量结果进行验证。
(5)作为本发明的一个方式,提供再利用系统,其中,所述再利用系统具备密钥生成装置以及从第一车辆拆下后搭载于第二车辆的数据安全装置,所述密钥生成装置具备:车辆接口,与所述第二车辆收发数据;密钥生成部,使用所述数据安全装置的装置标识符以及所述第一车辆与所述第二车辆公用的主密钥,生成与从所述数据安全装置搭载于所述第一车辆时开始在所述数据安全装置中存储的密钥相同的第三密钥;以及加密处理部,将搭载于所述第二车辆的车载计算机的第四密钥通过所述第三密钥进行加密从而生成加密第四密钥,所述密钥生成装置通过所述车辆接口将所述加密第四密钥发送给所述第二车辆,所述数据安全装置具备:第一接口部,与所述数据安全装置的外部装置收发数据;第一存储部,从所述数据安全装置搭载于所述第一车辆时开始存储所述第三密钥;以及第一加密处理部,使用所述第一存储部中存储的所述第三密钥,对通过所述第一接口部从所述密钥生成装置接收到的所述加密第四密钥进行解密。
(6)作为本发明的一个方式,在上述(5)的再利用系统中,所述第一加密处理部使用对所述加密第四密钥进行解密得到的所述第四密钥,对应用于所述车载计算机的第一数据进行加密从而生成加密第一数据,
所述数据安全装置通过所述第一接口部将所述加密第一数据发送给所述车载计算机。
(7)作为本发明的一个方式,提供密钥生成装置,其中,具备:车辆接口,与搭载从第一车辆拆下的车载计算机的第二车辆收发数据;以及密钥生成部,使用所述车载计算机的车载计算机标识符以及所述第一车辆与所述第二车辆公用的主密钥,生成与从所述车载计算机搭载于所述第一车辆时开始在所述车载计算机中存储的密钥相同的第一密钥,所述密钥生成装置通过所述车辆接口将所述第一密钥发送给所述第二车辆。
(8)作为本发明的一个方式,提供数据安全装置,搭载于搭载从第一车辆拆下的车载计算机的第二车辆,其中,所述数据安全装置具备:第一接口部,与所述数据安全装置的外部装置收发数据;以及第一加密处理部,使用通过所述第一接口部从密钥生成装置接收到的第一密钥,对应用于所述车载计算机的第一数据进行加密从而生成加密第一数据,所述数据安全装置通过所述第一接口部将所述加密第一数据发送给所述车载计算机。
(9)作为本发明的一个方式,提供车载计算机,从第一车辆拆下后搭载于第二车辆,其中,具备:第二接口部,与所述车载计算机的外部装置收发数据;第二存储部,从搭载于所述第一车辆时开始存储第一密钥;以及第二加密处理部,使用所述第二存储部中存储的所述第一密钥,对通过所述第二接口部从数据安全装置接收到的加密第一数据进行解密。
(10)作为本发明的一个方式,提供密钥生成装置,其中,具备:车辆接口,与搭载从第一车辆拆下的数据安全装置的第二车辆收发数据;密钥生成部,使用所述数据安全装置的装置标识符以及所述第一车辆与所述第二车辆公用的主密钥,生成与从所述数据安全装置搭载于所述第一车辆时开始在所述数据安全装置中存储的密钥相同的第三密钥;以及加密处理部,将搭载于所述第二车辆的车载计算机的第四密钥通过所述第三密钥进行加密从而生成加密第四密钥,所述密钥生成装置通过所述车辆接口将所述加密第四密钥发送给所述第二车辆。
(11)作为本发明的一个方式,提供数据安全装置,从第一车辆拆下后搭载于第二车辆,其中,具备:第一接口部,与所述数据安全装置的外部装置收发数据;第一存储部,从搭载于所述第一车辆时开始存储第三密钥;以及第一加密处理部,使用所述第一存储部中存储的所述第三密钥,对通过所述第一接口部从密钥生成装置接收到的加密第四密钥进行解密。
(12)作为本发明的一个方式,提供再利用方法,用于从第一车辆拆下后搭载于第二车辆的车载计算机,其中,密钥生成装置使用所述车载计算机的车载计算机标识符以及所述第一车辆与所述第二车辆公用的主密钥,生成与从所述车载计算机搭载于所述第一车辆时开始在所述车载计算机中存储的密钥相同的第一密钥,所述密钥生成装置通过与所述第二车辆收发数据的车辆接口,将所述第一密钥发送给所述第二车辆,数据安全装置使用通过与所述数据安全装置的外部装置收发数据的第一接口部从所述密钥生成装置接收到的所述第一密钥,对应用于所述车载计算机的第一数据进行加密从而生成加密第一数据,所述数据安全装置通过所述第一接口部将所述加密第一数据发送给所述车载计算机,所述车载计算机使用从所述车载计算机搭载于所述第一车辆时开始在所述车载计算机的第二存储部中存储的所述第一密钥,对通过与所述车载计算机的外部装置收发数据的第二接口部从所述数据安全装置接收到的所述加密第一数据进行解密。
(13)作为本发明的一个方式,提供再利用方法,用于从第一车辆拆下后搭载于第二车辆的数据安全装置,密钥生成装置使用所述数据安全装置的装置标识符以及所述第一车辆与所述第二车辆公用的主密钥,生成与从所述数据安全装置搭载于所述第一车辆时开始在所述数据安全装置中存储的密钥相同的第三密钥,所述密钥生成装置将搭载于所述第二车辆的车载计算机的第四密钥使用所述第三密钥进行加密从而生成加密第四密钥,所述密钥生成装置通过与所述第二车辆收发数据的车辆接口将所述加密第四密钥发送给所述第二车辆,所述数据安全装置使用从搭载于所述第一车辆时开始在所述数据安全装置的第一存储部中存储的所述第三密钥,对通过与所述数据安全装置的外部装置收发数据的第一接口部从所述密钥生成装置接收到的所述加密第四密钥进行解密。
(14)作为本发明的一个方式,提供计算机程序,其中,所述计算机程序使具备与搭载从第一车辆拆下的车载计算机的第二车辆收发数据的车辆接口的密钥生成装置的计算机实现下述处理:使用所述车载计算机的车载计算机标识符以及所述第一车辆与所述第二车辆公用的主密钥,生成与从所述车载计算机搭载于所述第一车辆时开始在所述车载计算机中存储的密钥相同的第一密钥,通过所述车辆接口将所述第一密钥发送给所述第二车辆。
(15)作为本发明的一个方式,提供计算机程序,其中,所述计算机程序使搭载于搭载从第一车辆拆下的车载计算机的第二车辆的数据安全装置的计算机实现下述处理:使用通过与所述数据安全装置的外部装置收发数据的第一接口部从密钥生成装置接收到的第一密钥,对应用于所述车载计算机的第一数据进行加密从而生成加密第一数据,通过所述第一接口部将所述加密第一数据发送给所述车载计算机。
(16)作为本发明的一个方式,提供计算机程序,其中,所述计算机程序使从第一车辆拆下后搭载于第二车辆的车载计算机实现下述处理:使用从搭载于所述第一车辆时开始在所述车载计算机的第二存储部中存储的第一密钥,对通过与所述车载计算机的外部装置收发数据的第二接口部从数据安全装置接收到的加密第一数据进行解密。
(17)作为本发明的一个方式,提供计算机程序,所述计算机程序使具备与搭载从第一车辆拆下的数据安全装置的第二车辆收发数据的车辆接口的密钥生成装置的计算机实现下述处理:使用所述数据安全装置的装置标识符以及所述第一车辆与所述第二车辆公用的主密钥,生成与从所述数据安全装置搭载于所述第一车辆时开始在所述数据安全装置中存储的密钥相同的第三密钥,将搭载于所述第二车辆的车载计算机的第四密钥通过所述第三密钥进行加密从而生成加密第四密钥,通过所述车辆接口将所述加密第四密钥发送给所述第二车辆。
(18)作为本发明的一个方式,提供计算机程序,所述计算机程序使从第一车辆拆下后搭载于第二车辆的数据安全装置的计算机实现下述处理:使用从搭载于所述第一车辆时开始在所述数据安全装置的第一存储部中存储的第三密钥,对通过与所述数据安全装置的外部装置收发数据的第一接口部从密钥生成装置接收到的加密第四密钥进行解密。
发明效果
根据本发明,可实现能够提高搭载旧ECU的汽车的可靠性的效果。
附图说明
图1是表示一个实施方式所涉及的再利用系统以及汽车1001的结构例的图。
图2是表示一个实施方式所涉及的服务器装置2000的结构例的图。
图3是表示一个实施方式所涉及的数据安全装置1010的结构例的图。
图4是表示一个实施方式所涉及的ECU1020的结构例的图。
图5是表示一个实施方式所涉及的再利用方法的例1的时序图。
图6是表示一个实施方式所涉及的再利用方法的例1的变形例a的时序图。
图7是表示一个实施方式所涉及的再利用方法的例2的时序图。
图8是表示一个实施方式所涉及的再利用方法的例2的变形例b的时序图。
图9是表示一个实施方式所涉及的再利用方法的例3的时序图。
图10是表示一个实施方式所涉及的再利用方法的例3的变形例c的时序图。
具体实施方式
下面,参照附图对本发明的实施方式进行说明。此外,在下面的实施方式中,作为车辆,以汽车为例进行说明。
图1是表示一个实施方式所涉及的再利用系统以及汽车1001的结构例的图。在本实施方式中,作为车载计算机的一个例子,举例说明搭载于汽车1001的ECU(电子控制装置)。
图1中,汽车1001具备数据安全装置1010以及多个ECU1020。ECU1020是汽车1001具备的车载计算机。ECU1020具有汽车1001的发动机控制等控制功能。作为ECU1020,例如可以是具有发动机控制功能的ECU、具有方向盘控制功能的ECU、具有刹车控制功能的ECU等。数据安全装置1010具有在搭载于汽车1001的ECU1020中应用的数据的安全性(安保)的功能。
此外,搭载于汽车1001的任意一个ECU都可以作为数据安全装置1010发挥作用。
数据安全装置1010以及多个ECU1020与汽车1001所具备的CAN(Controller AreaNetwork;控制器区域网络)1030连接。CAN1030是通信网络。已知CAN是可搭载于车辆的一种通信网络。数据安全装置1010经由CAN1030与各ECU1020之间交换数据。ECU1020经由CAN1030与其他ECU1020之间交换数据。
此外,作为搭载于车辆的通信网络,汽车1001也可以具备CAN以外的通信网络,经由CAN以外的通信网络,数据安全装置1010与ECU1020之间交换数据以及ECU1020彼此间交换数据。例如,汽车1001也可以具备LIN(Local Interconnect Network;本地互连网络)。另外,汽车1001也可以同时具备CAN以及LIN。另外,汽车1001也可以具备与LIN连接的ECU1020。另外,数据安全装置1010也可以与CAN以及LIN连接。另外,数据安全装置1010可以经由CAN与连接于该CAN的ECU1020之间交换数据,也可以经由LIN与连接于该LIN的ECU1020之间交换数据。另外,ECU1020彼此间也可以经由LIN交换数据。
汽车1001所具备的车载计算机系统1002通过数据安全装置1010以及多个ECU1020与CAN1030连接而成。在本实施方式中,车载计算机系统1002作为汽车1001的车载控制系统发挥作用。
数据安全装置1010监视车载计算机系统1002的内部与外部之间的通信。数据安全装置1010与作为车载计算机系统1002的外部装置的例子的信息娱乐设备1040、TCU(TeleCommunication Unit;通信单元)1050以及诊断端口1060连接。ECU1020经由数据安全装置1010与车载计算机系统1002的外部装置进行通信。
此外,作为CAN1030的结构,CAN1030可以具备多个总线(通信线),该多个总线与数据安全装置1010连接。在这种情况下,一个总线上可以连接一个ECU1020或多个ECU1020。
汽车1001具备诊断端口1060。作为诊断端口1060,例如可以使用OBD(On-boardDiagnostics;板载诊断)端口。诊断端口1060能够与汽车1001的外部装置连接。作为能够与诊断端口1060连接的汽车1001的外部装置,例如,可以是图1所示的维护工具2100等。数据安全装置1010与连接于诊断端口1060的装置例如维护工具2100通过诊断端口1060交换数据。维护工具2100也可以具有与OBD端口连接的现有诊断终端的功能。
汽车1001具备信息娱乐(Infotainment)设备1040。作为信息娱乐设备1040,例如,可以列举具有导航功能、位置信息业务功能、音乐、动画等多媒体播放功能、声音通信功能、数据通信功能、网络连接功能等的设备。
汽车1001具备TCU1050。TCU1050是通信装置。TCU1050具备通信模块1051。通信模块1051使用无线通信网络进行无线通信。通信模块1051具备SIM(Subscriber IdentityModule;订户身份模块)1052。SIM1052是写入有用于使用无线通信网络的信息的SIM。通信模块1051能够使用SIM1052与该无线通信网络连接从而进行无线通信。
此外,作为SIM1052,也可以使用eSIM(Embedded Subscriber Identity Module;嵌入式订户身份模块)。
数据安全装置1010与TCU1050交换数据。此外,作为TCU1050的其他连接方式,例如,可以将TCU1050与信息娱乐设备1040连接,数据安全装置1010经由信息娱乐设备1040与TCU1050交换数据。或者,可以将TCU1050与诊断端口1060连接,数据安全装置1010经由诊断端口1060与连接于该诊断端口1060的TCU1050交换数据。或者,数据安全装置1010可以具备包含SIM1052的通信模块1051。在数据安全装置1010具备包含SIM1052的通信模块1051的情况下,汽车1001可以不具备TCU1050。
数据安全装置1010具备主运算器1011以及HSM(Hardware Security Module;硬件安全模块)1012。主运算器1011执行用于实现数据安全装置1010的功能的计算机程序。HSM1012具有加密处理功能等。HSM1012具有防篡改性(Tamper Resistant)。HSM1012是安全元件(Secure Element:SE)的例子。HSM1012具备存储数据的存储部1013。主运算器1011使用HSM1012。
ECU1020具备主运算器1021以及SHE(Secure Hardware Extension;安全硬件扩展)1022。主运算器1021执行用于实现ECU1020的功能的计算机程序。SHE1022具有加密处理功能等。SHE1022具有防篡改性。SHE1022是安全元件的例子。SHE1022具备存储数据的存储部1023。主运算器1021使用SHE1022。
服务器装置2000经由通信线路,与汽车1001的TCU1050的通信模块1051收发数据。服务器装置2000经由汽车1001的TCU1050的通信模块1051所使用的无线通信网络,与该通信模块1051收发数据。或者,服务器装置2000也可以经由互联网等通信网络和该无线通信网络,与该通信模块1051收发数据。另外,例如,服务器装置2000与通信模块1051之间可以通过VPN(Virtual Private Network;虚拟专用网络)线路等专用线路连接,通过该专用线路收发数据。例如,可以通过与SIM1052对应的无线通信网络来提供VPN线路等专用线路。此外,服务器装置2000与汽车1001也可以通过通信线缆连接。例如,可构成为服务器装置2000与汽车1001的数据安全装置1010通过通信线缆连接。
服务器装置2000具有密钥生成功能等。服务器装置2000执行与再利用旧ECU相关的处理。在本实施方式中,服务器装置2000是密钥生成装置的例子。
图2是表示服务器装置2000的结构例的图。图2中,服务器装置2000具备通信部2011、存储部2012、预期值计算部2013、验证部2014、密钥生成部2015以及加密处理部2016。通信部2011经由通信线路与其他装置进行通信。通信部2011对应车辆接口。存储部2012存储数据。
预期值计算部2013计算应用于汽车1001的数据的测量的预期值。验证部2014进行汽车1001的测量值的验证处理。密钥生成部2015生成密钥。加密处理部2016进行数据的加密以及加密数据的解密。
通过服务器装置2000具备的CPU(Central Processing Unit:中央处理器)执行计算机程序从而实现服务器装置2000的功能。此外,作为服务器装置2000,可以使用通用计算机装置构成,也可以使用专用的硬件装置构成。
图3是表示数据安全装置1010的结构例的图。图3中,数据安全装置1010具备主运算器1011、HSM1012以及接口部20。主运算器1011具备控制部21、存储部22以及验证部23。HSM1012具备存储部1013、加密处理部32、测量部33以及密钥生成部34。
接口部20与自身的数据安全装置1010的外部装置收发数据。接口部20具备经由CAN1030收发数据的接口、与信息娱乐设备1040收发数据的接口、与TCU1050收发数据的接口以及经由诊断端口1060收发数据的接口。主运算器1011经由接口部20与数据安全装置1010以外的其他装置收发数据。
控制部21对数据安全装置1010进行控制。存储部22存储数据。验证部23进行测量值的验证处理。存储部1013存储数据。加密处理部32进行数据的加密以及加密数据的解密。测量部33对应用于自身的数据安全装置1010的数据进行测量。密钥生成部34生成密钥。
图4是表示ECU1020的结构例的图。图4中,ECU1020具备主运算器1021、SHE1022以及接口部40。主运算器1021具备控制部41以及存储部42。SHE1022具备存储部1023、加密处理部52以及测量部53。
接口部40与自身的ECU1020的外部装置收发数据。接口部40具备经由CAN1030收发数据的接口。主运算器1021经由接口部40与自身的ECU1020以外的其他装置收发数据。
控制部41对ECU1020进行控制。存储部42存储数据。存储部1023存储数据。加密处理部52进行数据的加密以及加密数据的解密。测量部53对应用于自身的ECU1020的数据进行测量。
此外,在本实施方式中,数据安全装置1010中使用了HSM,但是,数据安全装置1010中也可以使用SHE来取代HSM。此外,关于SHE,例如非专利文献3所述。
[ECU标识符的结构例]
说明本实施方式所涉及的ECU标识符的结构例。ECU标识符是用于识别ECU的信息。在本实施方式中,以易于理解旧ECU的ECU标识符的方式构成ECU标识符。
<ECU标识符的结构例1>
在ECU标识符的结构例1中,将ECU标识符的比特长度设置为113比特。该ECU标识符的比特的内部结构如下所示。
·车辆识别号码(VIN:Vehicle Identification Number):102比特(17位的英文数字,1个字符为6比特)
·CAN标识符:11比特
CAN标识符的11比特是CAN的标准格式的数据帧中的11比特长度的ID字段中保存的CAN标识符。或者,CAN标识符的11比特是CAN的扩展格式的数据帧中的11比特长度的基本ID(Base ID)字段中保存的CAN标识符。此外,车辆识别号码(VIN)如非专利文献2所述。
<ECU标识符的结构例2>
在ECU标识符的结构例2中,将ECU标识符的比特长度设置为131比特。该ECU标识符的比特的内部结构如下所示。
·车辆识别号码(VIN):102比特(17位的英文数字,1个字符为6比特)
·CAN标识符:29比特
CAN标识符的29比特是CAN的扩展格式的数据帧中的11比特长度的基本ID字段中保存的CAN标识符部分“11比特”与18比特长度的扩展ID(Extend ID)字段中保存的CAN标识符部分“18比特”的合计。
<ECU标识符的结构例3>
在ECU标识符的结构例3中,将ECU标识符的比特长度设置为113比特。该ECU标识符的比特的内部结构如下所示。
·车辆识别号码(VIN)的制造商识别码(WMI:World Manufacturer Identifier)以外的剩余部分:84比特(14位的英文数字,1个字符为6比特)
·CAN标识符:29比特
CAN标识符的29比特是CAN的扩展格式的数据帧中的11比特长度的基本ID字段中保存的CAN标识符部分“11比特”与18比特长度的扩展ID字段中保存的CAN标识符部分“18比特”的合计。
<ECU标识符的结构例4>
在ECU标识符的结构例4中,将ECU所具备的SHE的UID用于该ECU的ECU标识符。
·SHE的标识符(UID):120比特
在ECU标识符的结构例4中,ECU标识符的比特长度为120比特。
车辆识别号码(VIN)、CAN标识符以及SHE的UID例如可以在汽车1001的制造工场中获得。ECU标识符的结构例1、2、3中,ECU标识符包含车辆识别号码(VIN)。因此,ECU标识符的结构例1、2、3中,如果搭载ECU的汽车变化,则ECU标识符也变化。另一方面,在ECU标识符的结构例4中,ECU所具备的SHE的UID是该ECU的ECU标识符,因此,即使搭载ECU的汽车变化,ECU标识符也不变,还是相同的。
[再利用方法的例]
下面,说明本实施方式所涉及的再利用方法的例子。在下面的再利用方法的例子的说明中,作为ECU标识符的一个例子,使用上述的ECU标识符的结构例4,即,将ECU所具备的SHE的UID用于该ECU的ECU标识符。由此,即使该ECU所搭载的汽车变化,ECU的ECU标识符也是相同的。
<再利用方法的例1>
图5是表示本实施方式所涉及的再利用方法的例1的时序图。参照图5说明本实施方式所涉及的再利用方法的例1。再利用方法的例1是再利用旧ECU的情况。以下,将旧ECU称为ECU(used)。
图5中,ECU(used)1020从未图示的某汽车(对应第一车辆)拆下后搭载于汽车1001(对应第二车辆)。服务器装置2000将主密钥Master_Secret以及程序码预先存储在存储部2012。程序码可以是更新程序等计算机程序,也可以是参数设定值等设定数据。存储部2012中存储的程序码包含ECU(used)1020搭载于汽车1001的时刻应用于该ECU(used)1020的ECU码(ECU code)。ECU码是ECU的程序码。
数据安全装置1010将Root密钥Krc、签名密钥Kbc、加密密钥Kec、预期值Ecn以及车内密钥Kv预先存储在HSM1012的存储部1013。ECU(used)1020将Root密钥Kre、签名密钥Kbe、加密密钥Kee、预期值Een_old以及车内密钥Kv_old预先存储在SHE1022的存储部1023。
下面,服务器装置2000通过通信部2011与汽车1001的TCU1050进行通信,经由TCU1050与汽车1001的数据安全装置1010之间收发数据。另外,数据安全装置1010与ECU(used)1020经由CAN1030收发数据。此外,作为服务器装置2000与数据安全装置1010之间的通信路径,可以使用加密通信路径。例如,作为加密通信路径的一个例子,服务器装置2000与数据安全装置1010可以进行https(hypertext transfer protocol secure;超文本传输协议安全)通信。
服务器装置2000的密钥生成部2015生成搭载于汽车1001的数据安全装置1010的Root密钥Krc、ECU(used)1020的Root密钥Kre以及签名密钥Kbe(步骤S101)。
说明密钥生成部2015的密钥生成方法的例子。密钥生成部2015使用存储部2012中存储的主密钥Master_Secret、密钥生成对象装置的标识符UNIT_ID以及变量Nk,通过下面的式子,生成密钥(公共密钥)。
公共密钥=摘要(Master_Secret,UNIT_ID,Nk)
其中,在密钥生成对象装置为数据安全装置1010的情况下,UNIT_ID是数据安全装置1010的装置标识符SecU_ID。在密钥生成对象装置为ECU1020的情况下,UNIT_ID是ECU1020的ECU标识符ECU_ID。摘要(Master_Secret,UNIT_ID,Nk)是根据主密钥Master_Secret、标识符UNIT_ID以及变量Nk生成的摘要值。作为摘要值,例如,可以列举通过散列(hash)函数计算出的值,或者通过异或运算计算出的值等。例如,公共密钥是将主密钥Master_Secret、标识符UNIT_ID以及变量Nk用于输入值从而计算出的散列函数值。
如果变量Nk的值不同,则摘要值也不同。能够通过改变变量Nk的值,使用相同的主密钥Master_Secret以及标识符UNIT_ID来生成不同的公共密钥。例如,将用于Root密钥的变量Nk的值设置为Nk_z,将用于签名密钥的变量Nk的值设置为Nk_a,将用于加密密钥的变量Nk的值设置为Nk_b。密钥生成部2015使用主密钥Master_Secret、数据安全装置1010的标识符SecU_ID、变量Nk_z、Nk_a、Nk_b,根据
Root密钥Krc=摘要(Master_Secret,SecU_ID,Nk_z),
签名密钥Kbc=摘要(Master_Secret,SecU_ID,Nk_a),
加密密钥Kec=摘要(Master_Secret,SecU_ID,Nk_b),
能够作为不同的密钥,生成数据安全装置1010的Root密钥Krc、签名密钥Kbc以及加密密钥Kec。
另外,密钥生成部2015使用主密钥Master_Secret、ECU1020的标识符ECU_ID、变量Nk_z、Nk_a、Nk_b,根据
Root密钥Kre=摘要(Master_Secret,ECU_ID,Nk_z),
签名密钥Kbe=摘要(Master_Secret,ECU_ID,Nk_a),
加密密钥Kee=摘要(Master_Secret,ECU_ID,Nk_b),
能够作为不同的密钥,生成ECU1020的Root密钥Kre、签名密钥Kbe以及加密密钥Kee。
存储部2012存储数据安全装置1010的Root密钥Krc、ECU(used)1020的Root密钥Kre以及签名密钥Kbe。数据安全装置1010的HSM1012的存储部1013预先存储通过与服务器装置2000同样的密钥生成方法生成的Root密钥Krc。ECU(used)1020的SHE1022的存储部1023预先存储通过与服务器装置2000同样的密钥生成方法生成的Root密钥Kre以及签名密钥Kbe。
ECU(used)1020的控制部41在搭载于汽车1001后,执行安全启动(步骤S102)。在该安全启动中,SHE1022的测量部53通过存储部1023中存储的签名密钥Kbe来计算ECU码的测量值。在本实施方式中,作为测量值的一个例子,使用CMAC(Cipher-based MessageAuthentication Code;基于密码的消息认证码)。由此,测量部53通过存储部1023中存储的签名密钥Kbe来计算ECU码的CMAC。将该计算结果的CMAC称为测量值Een_a。SHE1022将测量值Een_a传递给控制部41。控制部41用测量值Een_a来更新SHE1022的存储部1023中存储的预期值Een_old。由此,存储部1023中存储的预期值Een_old改写为测量值Een_a。由此,该更新后的存储部1023中存储的预期值为测量值Een_a。
ECU(used)1020的控制部41将测量值Een_a传递给SHE1022执行加密(步骤S103)。SHE1022的加密处理部52通过存储部1023中存储的Root密钥Kre对测量值Een_a进行加密从而生成加密数据Kre(Een_a)。SHE1022将加密数据Kre(Een_a)传递给控制部41。控制部41通过接口部40将加密数据Kre(Een_a)经由CAN1030再经由数据安全装置1010发送给服务器装置2000。服务器装置2000从汽车1001的数据安全装置1010接收加密数据Kre(Een_a)。测量值Een_a是安全启动结果的例子。即,ECU(used)1020将安全启动结果发送给服务器装置2000。
服务器装置2000的加密处理部2016通过存储部2012中存储的Root密钥Kre对加密数据Kre(Een_a)进行解密从而获取测量值Een_a(步骤S104)。此外,ECU(used)1020也可以不对测量值Een_a进行加密而直接以数据的方式发送给服务器装置2000。
预期值计算部2013通过存储部2012中存储的签名密钥Kbe,计算存储部2012中存储的ECU(used)1020的ECU码的CMAC。将该计算结果的CMAC称为预期值Een_b。验证部2014将测量值Een_a与预期值Een_b相比较,判断两者是否一致。作为该判断结果,在两者一致的情况下,测量值Een_a的验证合格。在测量值Een_a的验证合格的情况下,进入步骤S105。另一方面,在两者不一致的情况下,测量值Een_a的验证不合格。在测量值Een_a的验证不合格的情况下,针对该ECU(used)1020结束图5的处理。由此,在测量值Een_a的验证不合格的情况下,不会对该ECU(used)1020执行步骤S105以后的处理。另外,在测量值Een_a的验证不合格的情况下,服务器装置2000可以执行规定的错误处理。
服务器装置2000将车内密钥发送请求消息发送给汽车1001的数据安全装置1010(步骤S105)。该车内密钥发送请求消息是请求向测量值Een_a的验证合格的ECU(used)1020发送车内密钥Kv的消息。该车内密钥发送请求消息包含ECU(used)1020的Root密钥Kre。优选的是,服务器装置2000通过加密处理部2016使用数据安全装置1010的Root密钥Krc对Root密钥Kre进行加密,并将该Root密钥Kre的加密数据Krc(Kre)存储在车内密钥发送请求消息中。汽车1001的数据安全装置1010从服务器装置2000接收车内密钥发送请求消息。
数据安全装置1010的控制部21将车内密钥发送请求消息中包含的ECU(used)1020的Root密钥Kre传递给HSM1012,以执行车内密钥Kv的加密(步骤S106)。此外,在车内密钥发送请求消息中包含的ECU(used)1020的Root密钥Kre被加密的情况下,控制部21将该Root密钥Kre的加密数据Krc(Kre)传递给HSM1012,通过使用Root密钥Krc进行解密,从而获取ECU(used)1020的Root密钥Kre。
HSM1012的加密处理部32通过ECU(used)1020的Root密钥Kre对存储部1013中存储的车内密钥Kv进行加密,生成加密数据Kre(Kv)。HSM1012将加密数据Kre(Kv)传递给控制部21。控制部21通过接口部20将加密数据Kre(Kv)发送给ECU(used)1020。ECU(used)1020通过接口部40从数据安全装置1010接收加密数据Kre(Kv)。
ECU(used)1020的控制部41将加密数据Kre(Kv)传递给SHE1022执行解密(步骤S107)。SHE1022的加密处理部52通过存储部1023中存储的Root密钥Kre对加密数据Kre(Kv)进行解密,获取车内密钥Kv。SHE1022用该车内密钥Kv来更新存储部1023中存储的车内密钥Kv_old。由此,存储部1023中存储的车内密钥Kv_old被改写为车内密钥Kv。由此,该更新后的、存储部1023中存储的车内密钥为车内密钥Kv。由此,ECU(used)1020存储与汽车1001的数据安全装置1010以及各ECU1020公用的车内密钥Kv。
对汽车1001中搭载的所有ECU(used)1020同样执行上述图5的各步骤。在本再利用方法的例1中,车内密钥Kv是应用于ECU(used)1020的第一数据的例子。另外,Root密钥Kre是第一密钥的例子。另外,签名密钥Kbe是第二密钥的例子。
根据上述的再利用方法的例1,搭载于汽车1001的ECU(used)1020的先前的车内密钥Kv_old被更新为汽车1001中使用的车内密钥Kv。由此,ECU(used)1020能够与汽车1001的其他ECU1020、数据安全装置1010之间使用车内密钥Kv从而进行安全的通信。由此,可实现提高搭载ECU(used)1020的汽车1001的可靠性的效果。
<再利用方法的例1的变形例a>
图6是表示再利用方法的例1的变形例a的时序图。参照图6说明再利用方法的例1的变形例a。对图6中的与图5的各步骤对应的部分标注相同的符号。在再利用方法的例1的变形例a中,ECU(used)1020的安全启动的测量的预期值从服务器装置2000供给至ECU(used)1020。
图6中,执行步骤S101。步骤S101与上述再利用方法的例1相同。
在步骤S101之后,服务器装置2000的预期值计算部2013通过存储部2012中存储的签名密钥Kbe,计算存储部2012中存储的ECU(used)1020的ECU码的CMAC(步骤S101a)。该计算结果的CMAC是预期值Een_b。
服务器装置2000将预期值Een_b发送给ECU(used)1020(步骤S101b)。
ECU(used)1020用从服务器装置2000接收到的预期值Een_b来更新SHE1022的存储部1023中存储的预期值Een_old(步骤S102)。由此,存储部1023中存储的预期值Een_old被改写为预期值Een_b。由此,该更新后的存储部1023中存储的预期值是预期值Een_b。ECU(used)1020将安全启动的测量值Een_a与存储部1023中存储的预期值Een_b相比较,判断两者是否一致。作为该判断结果,在两者一致的情况下,安全启动结果合格。另一方面,在两者不一致的情况下,安全启动结果不合格。
ECU(used)1020将安全启动结果“合格或者不合格”发送给服务器装置2000(步骤S103)。
服务器装置2000根据从ECU(used)1020接收到的安全启动结果来判断ECU(used)1020的安全启动是否合格(步骤S104)。在从ECU(used)1020接收到的安全启动结果合格的情况下,进入步骤S105。另一方面,在从ECU(used)1020接收到的安全启动结果不合格的情况下,针对该ECU(used)1020结束图6的处理。由此,在该安全启动结果不合格的情况下,不会对该ECU(used)1020执行步骤S105以后的处理。另外,在安全启动结果不合格的情况下,服务器装置2000可以执行规定的错误处理。
然后,执行步骤S105、S106、S107。步骤S105、S106、S107与上述的再利用方法的例1相同。
此外,服务器装置2000也可以将验证值(例如,随机数)预先供给至ECU(used)1020。然后,在步骤S103,ECU(used)1020在安全启动结果合格的情况下,在安全启动结果“合格”中包含验证值,另一方面,在安全启动结果不合格的情况下,在安全启动结果“不合格”中不包含验证值。服务器装置2000的验证部2014将ECU(used)1020的安全启动结果“合格”中包含的验证值与预先供给至ECU(used)1020的原始的验证值相比较。服务器装置2000的验证部2014在该比较结果为两者一致的情况下,判定ECU(used)1020的安全启动结果合格,在两者不一致的情况下,判定ECU(used)1020的安全启动结果不合格。
另外,ECU(used)1020也可以通过SHE1022的加密处理部52对安全启动结果进行加密并发送给服务器装置2000。用于该加密的加密密钥Kee预先在服务器装置2000与ECU(used)1020之间共享。服务器装置2000将来自ECU(used)1020的加密数据通过加密处理部2016使用存储部2012中存储的加密密钥Kee进行解密,获取安全启动结果。此外,加密密钥Kee可以是仅在安全启动结果合格的情况下才能够在SHE1022中使用的密钥。在该情况下,SHE1022的加密处理部52将安全启动结果“合格”通过该加密密钥Kee进行加密。
以上说明了再利用方法的例1的变形例a。
<再利用方法的例2>
图7是表示本实施方式所涉及的再利用方法的例2的时序图。参照图7说明本实施方式所涉及的再利用方法的例2。再利用方法的例2与上述再利用方法的例1同样,是再利用旧ECU(ECU(used)的情况。在再利用方法的例2中,由数据安全装置1010进行ECU(used)1020的安全启动结果的验证这一点与再利用方法的例1不同。下面,主要说明与再利用方法的例1不同点。
图7中,ECU(used)1020从未图示的某汽车(对应第一车辆)拆下后搭载于汽车1001(对应第二车辆)。服务器装置2000将主密钥Master_Secret以及程序码预先存储在存储部2012。存储部2012中存储的程序码包含ECU(used)1020搭载于汽车1001的时刻应用于该ECU(used)1020的ECU码。
数据安全装置1010将Root密钥Krc、签名密钥Kbc、加密密钥Kec、预期值Ecn以及车内密钥Kv预先存储在HSM1012的存储部1013。ECU(used)1020将Root密钥Kre、签名密钥Kbe、加密密钥Kee、预期值Een_old以及车内密钥Kv_old预先存储在SHE1022的存储部1023。
然后,服务器装置2000经由汽车1001的TCU1050与汽车1001的数据安全装置1010之间收发数据。另外,数据安全装置1010与ECU(used)1020经由CAN1030收发数据。此外,作为加密通信路径的一个例子,服务器装置2000与数据安全装置1010可以进行https通信。
服务器装置2000的密钥生成部2015生成搭载于汽车1001的数据安全装置1010的Root密钥Krc、ECU(used)1020的Root密钥Kre以及签名密钥Kbe(步骤S111)。该密钥生成处理与上述的图5的再利用方法的例1的步骤S101相同。存储部2012存储数据安全装置1010的Root密钥Krc、ECU(used)1020的Root密钥Kre以及签名密钥Kbe。数据安全装置1010的HSM1012的存储部1013预先存储通过与服务器装置2000相同的密钥生成方法来生成的Root密钥Krc。ECU(used)1020的SHE1022的存储部1023预先存储通过与服务器装置2000相同的密钥生成方法来生成的Root密钥Kre以及签名密钥Kbe。
服务器装置2000的预期值计算部2013通过存储部2012中存储的签名密钥Kbe,计算存储部2012中存储的ECU(used)1020的ECU码的CMAC(步骤S112)。该计算结果的CMAC为预期值Een_b。
服务器装置2000将预期值Een_b、ECU(used)1020的Root密钥Kre发送给数据安全装置1010(步骤S113)。数据安全装置1010从服务器装置2000接收预期值Een_b以及ECU(used)1020的Root密钥Kre。数据安全装置1010的存储部22存储从服务器装置2000接收到的预期值Een_b。数据安全装置1010的HSM1012的存储部1013存储从服务器装置2000接收到的ECU(used)1020的Root密钥Kre。
此外,优选的是,服务器装置2000通过加密处理部2016使用数据安全装置1010的Root密钥Krc对Root密钥Kre进行加密,并将该Root密钥Kre的加密数据Krc(Kre)发送给数据安全装置1010。数据安全装置1010的HSM1012通过加密处理部32将该Root密钥Kre的加密数据Krc(Kre)使用Root密钥Krc进行解密,获取ECU(used)1020的Root密钥Kre。同样,预期值Een_b也可以使用数据安全装置1010的Root密钥Krc进行加密,并从服务器装置2000发送给数据安全装置1010。
ECU(used)1020的控制部41在搭载于汽车1001后,执行安全启动以及预期值的更新(步骤S114)。该安全启动以及预期值的更新处理与上述的图5的再利用方法的例1的步骤S102相同。
ECU(used)1020将作为安全启动结果的测量值Een_a的加密数据Kre(Een_a)发送给数据安全装置1010(步骤S115)。即,ECU(used)1020将安全启动的结果发送给数据安全装置1010。测量值Een_a的加密处理与上述的图5的再利用方法的例1的步骤S103相同。数据安全装置1010从ECU(used)1020接收加密数据Kre(Een_a)。
数据安全装置1010的控制部21将加密数据Kre(Een_a)传递给HSM1012执行解密(步骤S116)。HSM1012的加密处理部32通过存储部1013中存储的ECU(used)1020的Root密钥Kre对加密数据Kre(Een_a)进行解密,获取测量值Een_a。此外,ECU(used)1020也可以不对测量值Een_a进行加密而直接以数据方式发送给数据安全装置1010。
数据安全装置1010的验证部23将通过HSM1012获取的测量值Een_a与存储部22中存储的预期值Een_b相比较,判断两者是否一致。作为该判断结果,在两者一致的情况下,测量值Een_a的验证合格。在测量值Een_a的验证合格的情况下,进入步骤S117。另一方面,在两者不一致的情况下,测量值Een_a的验证不合格。在测量值Een_a的验证不合格的情况下,针对该ECU(used)1020结束图7的处理。由此,在测量值Een_a的验证不合格的情况下,不会对该ECU(used)1020执行步骤S117以后的处理。另外,在测量值Een_a的验证不合格的情况下,数据安全装置1010可以执行规定的错误处理。
数据安全装置1010的控制部21将通过HSM1012生成的车内密钥Kv的加密数据Kre(Kv)发送给ECU(used)1020(步骤S117)。车内密钥Kv的加密数据Kre(Kv)与上述的图5的再利用方法的例1的步骤S106同样,由HSM1012生成。ECU(used)1020从数据安全装置1010接收加密数据Kre(Kv)。
ECU(used)1020设定对从数据安全装置1010接收到的加密数据Kre(Kv)进行解密而获取的车内密钥Kv(步骤S118)。该车内密钥Kv的设定处理与上述的图5的再利用方法的例1的步骤S107相同。通过该车内密钥Kv的设定,ECU(used)1020的SHE1022的存储部1023中存储的车内密钥Kv_old被改写为车内密钥Kv,存储部1023中存储的车内密钥被更新为车内密钥Kv。由此,ECU(used)1020存储与汽车1001的数据安全装置1010以及各ECU1020公用的车内密钥Kv。
对汽车1001中搭载的所有ECU(used)1020同样执行上述图7的各步骤。在本再利用方法的例2中,车内密钥Kv是应用于ECU(used)1020的第一数据的例子。另外,Root密钥Kre是第一密钥的例子。另外,签名密钥Kbe是第二密钥的例子。
根据上述的再利用方法的例2,可以与再利用方法的例1同样地,搭载于汽车1001的ECU(used)1020的先前的车内密钥Kv_old被更新为汽车1001中使用的车内密钥Kv。由此,ECU(used)1020能够与汽车1001的其他ECU1020、数据安全装置1010之间使用车内密钥Kv从而进行安全的通信。能够实现提高搭载ECU(used)1020的汽车1001的可靠性的效果。
另外,根据上述的再利用方法的例2,数据安全装置1010进行安全启动结果的验证。由此,与如再利用方法的例1那样通过汽车1001的外部的服务器装置2000进行安全启动结果的验证的情况相比,能够实现处理的高效化。
<再利用方法的例2的变形例b>
图8是表示再利用方法的例2的变形例b的时序图。参照图8说明再利用方法的例2的变形例b。对图8中与图7的各步骤对应的部分标注相同的符号。在再利用方法的例2的变形例b中,与上述的再利用方法的例1的变形例a同样地,将ECU(used)1020的安全启动的测量的预期值从服务器装置2000供给至ECU(used)1020。
图8中,执行步骤S111、S112、S113。步骤S111、S112、S113与上述的再利用方法的例2相同。
数据安全装置1010将从服务器装置2000接收到的预期值Een_b发送给ECU(used)1020(步骤S113a)。
ECU(used)1020用从数据安全装置1010接收到的预期值Een_b来更新存储部1023中存储的预期值Een_old(步骤S114)。由此,存储部1023中存储的预期值Een_old被改写为预期值Een_b。由此,该更新后的、存储部1023中存储的预期值为预期值Een_b。ECU(used)1020将安全启动的测量值Een_a与存储部1023中存储的预期值Een_b相比较,判断两者是否一致。作为该判断结果,在两者一致的情况下,安全启动结果合格。另一方面,在两者不一致的情况下,安全启动结果不合格。
ECU(used)1020将安全启动结果“合格或者不合格”发送给数据安全装置1010(步骤S115)。
数据安全装置1010根据从ECU(used)1020接收到的安全启动结果来判断ECU(used)1020的安全启动是否合格(步骤S116)。在从ECU(used)1020接收到的安全启动结果合格的情况下,进入步骤S117。另一方面,在从ECU(used)1020接收到的安全启动结果不合格的情况下,针对该ECU(used)1020结束图8的处理。由此,在该安全启动结果不合格的情况下,不会对该ECU(used)1020执行步骤S117以后的处理。另外,在安全启动结果不合格的情况下,数据安全装置1010可以执行规定的错误处理。
然后,执行步骤S117、S118。步骤S117、S118与上述的再利用方法的例2相同。
此外,数据安全装置1010可以将验证值(例如,随机数)预选供给至ECU(used)1020。然后,在步骤S115,ECU(used)1020在安全启动结果合格的情况下,在安全启动结果“合格”中包含验证值,另一方面,在安全启动结果不合格的情况下,在安全启动结果“不合格”中不包含验证值。数据安全装置1010的验证部23将ECU(used)1020的安全启动结果“合格”中包含的验证值与预先供给至ECU(used)1020的原始的验证值相比较。数据安全装置1010的验证部23在该比较的结果为两者一致的情况下,判定ECU(used)1020的安全启动结果合格,在两者不一致的情况下,判定ECU(used)1020的安全启动结果不合格。
另外,ECU(used)1020可以通过SHE1022的加密处理部52对安全启动结果进行加密,并发送给数据安全装置1010。用于该加密的加密密钥Kee预先在数据安全装置1010与ECU(used)1020之间共享。例如,服务器装置2000将加密密钥Kee供给至数据安全装置1010。数据安全装置1010将来自ECU(used)1020的加密数据通过加密处理部32使用加密密钥Kee进行解密,获取安全启动结果。此外,加密密钥Kee可以是仅在安全启动结果合格的情况下才能够在SHE1022中使用的密钥。在该情况下,SHE1022的加密处理部52将安全启动结果“合格”通过该加密密钥Kee进行加密。
以上说明了再利用方法的例2的变形例b。
<再利用方法的例3>
图9是表示本实施方式所涉及的再利用方法的例3的时序图。参照图9说明本实施方式所涉及的再利用方法的例3。再利用方法的例3是再利用旧数据安全装置的情况。下面,将旧数据安全装置称为数据安全装置(used)。
图9中,为了便于说明,仅示出了汽车1001中搭载的ECU(n)1020中的1个ECU(1)1020。其中,n是1到N的整数。N是搭载于汽车1001的ECU1020中的作为车内密钥分发对象的ECU1020的个数。
图9中,数据安全装置(used)1010从未图示的某汽车(对应第一车辆)拆下后搭载于汽车1001(对应第二车辆)。服务器装置2000将主密钥Master_Secret以及程序码预选存储在存储部2012。程序码可以是更新程序等计算机程序,也可以是参数设定值等设定数据。存储部2012中存储的程序码包含数据安全装置(used)1010搭载于汽车1001的时刻应用于该数据安全装置(used)1010的数据安全装置码。数据安全装置码是数据安全装置的程序码。
数据安全装置1010将Root密钥Krc、签名密钥Kbc、加密密钥Kec、预期值Ecn_old以及车内密钥Kv_old_a预先存储在HSM1012的存储部1013。ECU(1)1020将Root密钥Kr1、签名密钥Kb1、加密密钥Ke1、预期值E1n以及车内密钥Kv_old_b预先存储在SHE1022的存储部1023。数据安全装置(used)1010所存储的车内密钥Kv_old_a与ECU(1)1020所存储的车内密钥Kv_old_b不同。
然后,服务器装置2000通过通信部2011与汽车1001的TCU1050进行通信,经由TCU1050与汽车1001的数据安全装置(used)1010之间收发数据。另外,数据安全装置(used)1010与ECU(1)1020经由CAN1030收发数据。此外,作为加密通信路径的一个例子,服务器装置2000与数据安全装置(used)1010可以进行https通信。
服务器装置2000的密钥生成部2015生成搭载于汽车1001的数据安全装置(used)1010的Root密钥Krc、签名密钥Kbc以及ECU(1)1020的Root密钥Kr1(步骤S201)。该密钥生成方法与上述的图5的再利用方法的例1相同。存储部2012存储数据安全装置(used)1010的Root密钥Krc、签名密钥Kbc以及ECU(1)1020的Root密钥Kr1。数据安全装置(used)1010的HSM1012的存储部1013预先存储通过与服务器装置2000相同的密钥生成方法生成的Root密钥Krc以及签名密钥Kbc。ECU1020的SHE1022的存储部1023预先存储通过与服务器装置2000相同的密钥生成方法生成的Root密钥Kr1。
数据安全装置(used)1010的控制部21在搭载于汽车1001后,执行安全启动(步骤S202)。在该安全启动中,HSM1012的测量部33通过存储部1013中存储的签名密钥Kbc来计算数据安全装置码的测量值。在本实施方式中,作为测量值的一个例子,使用CMAC。由此,测量部33通过存储部1013中存储的签名密钥Kbc来计算数据安全装置码的CMAC。将该计算结果的CMAC称为测量值Ecn_a。HSM1012将测量值Ecn_a传递给控制部21。HSM1012用测量值Ecn_a来更新存储部1013中存储的预期值Ecn_old。
由此,存储部1013中存储的预期值Ecn_old被改写为测量值Ecn_a。由此,该更新后的存储部1013中存储的预期值为测量值Ecn_a。
数据安全装置(used)1010的控制部21将测量值Ecn_a传递给HSM1012执行加密(步骤S203)。HSM1012的加密处理部32通过存储部1013中存储的Root密钥Krc对测量值Ecn_a进行加密从而生成加密数据Krc(Ecn_a)。HSM1012将加密数据Krc(Ecn_a)传递给控制部21。控制部21通过接口部20将加密数据Krc(Ecn_a)发送给服务器装置2000。服务器装置2000从汽车1001的数据安全装置(used)1010接收加密数据Krc(Ecn_a)。测量值Ecn_a是安全启动结果的例子。即,数据安全装置(used)1010将安全启动结果发送给服务器装置2000。
服务器装置2000的加密处理部2016通过存储部2012中存储的Root密钥Krc对加密数据Krc(Ecn_a)进行解密从而获取测量值Ecn_a(步骤S204)。此外,数据安全装置(used)1010也可以不对测量值Ecn_a进行加密而直接以数据方式发送给服务器装置2000。
预期值计算部2013通过存储部2012中存储的签名密钥Kbc,计算存储部2012中存储的数据安全装置(used)1010的数据安全装置码的CMAC。将该计算结果的CMAC称为预期值Ecn_b。验证部2014将测量值Ecn_a与预期值Ecn_b相比较,判断两者是否一致。作为该判断结果,在两者一致的情况下,测量值Ecn_a的验证合格。在测量值Ecn_a的验证合格的情况下,进入步骤S205。另一方面,在两者不一致的情况下,测量值Ecn_a的验证不合格。在测量值Ecn_a的验证不合格的情况下,针对该数据安全装置(used)1010结束图9的处理。由此,在测量值Ecn_a的验证不合格的情况下,不会对该数据安全装置(used)1010执行步骤S205以后的处理。另外,在测量值Ecn_a的验证不合格的情况下,服务器装置2000可以执行规定的错误处理。
服务器装置2000将车内密钥发送请求消息发送给汽车1001的数据安全装置(used)1010(步骤S205)。该车内密钥发送请求消息是请求向测量值Ecn_a的验证合格的数据安全装置(used)1010发送新的车内密钥Kv_new的信息。该车内密钥发送请求消息包含ECU(1)1020的Root密钥Kr1。优选的是,服务器装置2000通过加密处理部2016使用数据安全装置(used)1010的Root密钥Krc对Root密钥Kr1进行加密,并将该Root密钥Kr1的加密数据Krc(Kr1)存储在车内密钥发送请求消息。汽车1001的数据安全装置(used)1010从服务器装置2000接收车内密钥发送请求消息。
数据安全装置(used)1010的控制部21使HSM1012执行新的车内密钥Kv_new的生成处理(步骤S206)。HSM1012的密钥生成部34生成新的车内密钥Kv_new。例如,HSM1012的密钥生成部34产生随机数,基于该随机数来生成新的车内密钥Kv_new。HSM1012用新的车内密钥Kv_new来更新存储部1013中存储的车内密钥Kv_old_a。由此,存储部1013中存储的车内密钥Kv_old_a被改写为新的车内密钥Kv_new。由此,该更新后的存储部1013中存储的车内密钥为新的车内密钥Kv_new。
数据安全装置(used)1010的控制部21将车内密钥发送请求消息中包含的ECU(1)1020的Root密钥Kr1传递给HSM1012,以执行新的车内密钥Kv_new的加密处理(步骤S207)。此外,在车内密钥发送请求消息中包含的ECU(1)1020的Root密钥Kr1已被加密的情况下,控制部21将该Root密钥Kr1的加密数据Krc(Kr1)传递给HSM1012,通过使用Root密钥Krc进行解密从而获取ECU(1)1020的Root密钥Kr1。
HSM1012的加密处理部32通过ECU(1)1020的Root密钥Kr1对存储部1013中存储的新的车内密钥Kv_new进行加密,生成加密数据Kr1(Kv_new)。HSM1012将加密数据Kr1(Kv_new)传递给控制部21。控制部21通过接口部20将加密数据Kr1(Kv_new)发送给ECU(1)1020。ECU(1)1020通过接口部40从数据安全装置(used)1010接收加密数据Kr1(Kv_new)。
ECU(1)1020的控制部41将加密数据Kr1(Kv_new)传递给SHE1022执行解密(步骤S208)。SHE1022的加密处理部52通过存储部1023中存储的Root密钥Kr1对加密数据Kr1(Kv_new)进行解密,获取新的车内密钥Kv_new。SHE1022用该新的车内密钥Kv_new来更新存储部1023中存储的车内密钥Kv_old_b。由此,存储部1023中存储的车内密钥Kv_old_b被改写为新的车内密钥Kv_new。由此,该更新后的、存储部1023中存储的车内密钥为新的车内密钥Kv_new。由此,ECU(1)1020存储与数据安全装置(used)1010公用的新的车内密钥Kv_new。
对汽车1001所搭载的所有ECU(n)1020同样执行上述图9的各步骤。由此,在汽车1001中,数据安全装置(used)1010以及各ECU(n)1020存储公用的新的车内密钥Kv_new。在本再利用方法的例3中,Root密钥Krc是第三密钥的例子。另外,Root密钥Kr1是第四密钥的例子。另外,新的车内密钥Kv_new是应用于ECU(1)1020的第一数据的例子。
根据上述的再利用方法的例3,搭载于汽车1001的数据安全装置(used)1010能够共享搭载于该汽车1001各ECU(n)1020的Root密钥Krn(n是1到N的整数)。由此,在汽车1001中,数据安全装置(used)1010能够与各ECU(n)1020之间使用各Root密钥Krn进行安全的通信。由此,可以实现提高搭载数据安全装置(used)1010的汽车1001的可靠性的效果。
另外,根据上述的再利用方法的例3,在汽车1001中,能够使数据安全装置(used)1010与各ECU(n)1020共享新的车内密钥Kv_new。由此,ECU(n)1020能够与汽车1001的其他ECU(n)1020、数据安全装置(used)1010之间使用新的车内密钥Kv_new进行安全的通信。
<再利用方法的例3的变形例c>
图10是表示再利用方法的例3的变形例c的时序图。参照图10,说明再利用方法的例3的变形例c。对图10中的与图9的各步骤对应的部分标注相同的符号。
在再利用方法的例3的变形例c中,将数据安全装置(used)1010的安全启动的测量的预期值从服务器装置2000供给至数据安全装置(used)1010。
图10中,执行步骤S201。步骤S201与上述的再利用方法的例3相同。
在步骤S201之后,服务器装置2000的预期值计算部2013通过存储部2012中存储的签名密钥Kbc,计算存储部2012中存储的数据安全装置(used)1010的数据安全装置码的CMAC(步骤S201a)。该计算结果的CMAC为预期值Ecn_b。
服务器装置2000将预期值Ecn_b发送给数据安全装置(used)1010(步骤S201b)。
数据安全装置(used)1010用从服务器装置2000接收到的预期值Ecn_b来更新存储部1013中存储的预期值Ecn_old(步骤S202)。由此,存储部1013中存储的预期值Ecn_old被改写为预期值Ecn_b。由此,该更新后的存储部1013中存储的预期值为预期值Ecn_b。数据安全装置(used)1010将安全启动的测量值Ecn_a与存储部1013中存储的预期值Ecn_b相比较,判断两者是否一致。作为该判断结果,在两者一致的情况下,安全启动结果合格。另一方面,在两者不一致的情况下,安全启动结果不合格。
数据安全装置(used)1010将安全启动结果“合格或者不合格”发送给服务器装置2000(步骤S203)。
服务器装置2000根据从数据安全装置(used)1010接收到的安全启动结果来判断数据安全装置(used)1010的安全启动是否合格(步骤S204)。在从数据安全装置(used)1010接收到的安全启动结果合格的情况下,进入步骤S205。另一方面,在从数据安全装置(used)1010接收到的安全启动结果不合格的情况下,针对该数据安全装置(used)1010结束图10的处理。由此,在该安全启动结果不合格的情况下,不会对该数据安全装置(used)1010执行步骤S205以后的处理。另外,在安全启动结果不合格的情况下,服务器装置2000可以执行规定的错误处理。
然后,执行步骤S205、S206、S207以及S208。步骤S205、S206、S207以及S208与上述的再利用方法的例3相同。
此外,服务器装置2000可以将验证值(例如,随机数)预先供给至数据安全装置(used)1010。然后,在步骤S203中,数据安全装置(used)1010在安全启动结果合格的情况下,在安全启动结果“合格”中包含验证值,另一方面,在安全启动结果不合格的情况下,在安全启动结果“不合格”中不包含验证值。服务器装置2000的验证部2014将数据安全装置(used)1010的安全启动结果“合格”中包含的验证值与预先供给至数据安全装置(used)1010的原始的验证值相比较。服务器装置2000的验证部2014在该比较结果,两者一致的情况下,判定数据安全装置(used)1010的安全启动结果合格,在两者不一致的情况下,判定数据安全装置(used)1010的安全启动结果不合格。
另外,数据安全装置(used)1010可以通过HSM1012的加密处理部32对安全启动结果进行加密并发送给服务器装置2000。用于该加密的加密密钥Kec预先在服务器装置2000与数据安全装置(used)1010之间共享。服务器装置2000将来自数据安全装置(used)1010的加密数据通过加密处理部2016使用存储部2012中存储的加密密钥Kec进行解密,获取安全启动结果。此外,加密密钥Kec可以是仅在安全启动结果合格的情况下才能够在HSM1012中使用的密钥。在该情况下,HSM1012的加密处理部32将安全启动结果“合格”通过该加密密钥Kec进行加密。
以上说明了再利用方法的例3的变形例c。
以上,参照附图详细说明了本发明的实施方式,但是,具体的结构并不限于这些实施方式,可以在不脱离本发明的主旨的范围内进行设计变更等。
在上述的实施方式所涉及的再利用方法的例的说明中,作为ECU标识符的一例,使用了ECU标识符的结构例4,即,将ECU所具备的SHE的UID用于该ECU的ECU标识符,但不限于此。例如,也可以将SHE的UID以外的ECU的其他固有值用于ECU标识符。
或者,也可以使用ECU标识符的结构例1、2、3。在使用ECU标识符的结构例1、2、3的情况下,ECU的ECU标识符包含搭载该ECU的汽车的车辆识别号码(VIN),因此,如果搭载该ECU的汽车变化,则ECU的ECU标识符会变为不同的值。因此,旧ECU的ECU标识符是使用该旧ECU的先前的汽车的车辆识别号码(VIN)生成的。服务器装置2000针对搭载于再利用ECU的汽车(第二车辆)的旧ECU,使用由再利用该ECU的汽车的车辆识别号码(VIN)生成的新的ECU标识符来生成各种新的密钥(例如,新的Root密钥、新的签名密钥、新的加密密钥等)。该密钥生成方法与上述的实施方式相同。
服务器装置2000将这些新的密钥例如新的Root密钥供给至再利用ECU的汽车搭载的旧ECU,将该旧ECU的Root密钥更新为新的Root密钥。优先的是,服务器装置2000使用该旧ECU中预先存储的旧Root密钥对新的Root密钥进行加密,并将该加密的新的Root密钥发送给再利用ECU的汽车搭载的旧ECU。旧ECU通过自身存储的旧Root密钥对加密的新的Root密钥进行解密从而获取新的Root密钥。旧ECU的旧Root密钥是使用由拆下该旧ECU的汽车(第一车辆)的车辆识别号码(VIN)生成的旧的ECU标识符生成的。
此外,对于数据安全装置的装置标识符,可以与ECU标识符同样地使用数据安全装置的固有值,或者,像ECU标识符的结构例1、2、3那样使用因搭载数据安全装置的各汽车而异的值。在数据安全装置的装置标识符像ECU标识符的结构例1、2、3那样使用因搭载数据安全装置的各汽车而异的值的情况下,与上述的ECU同样,在再利用旧数据安全装置的汽车中,该旧数据安全装置的各种旧密钥被更新为新密钥。
此外,维护工具2100具备与服务器装置2000同样的功能,也可以作为密钥生成装置发挥作用。另外,汽车1001的TCU1050或者信息娱乐设备1040具备与服务器装置2000同样的功能,也可以作为密钥生成装置发挥作用。
在上述的实施方式中,数据安全装置1010、ECU1020中使用了HSM、SHE,但也可以使用HSM以及SHE以外的加密处理芯片。例如,可以对数据安全装置1010使用称为“TPM(Trusted Platform Module;可信平台模块)f”的加密处理芯片。TPMf具有防篡改性。TPMf是安全元件的例子。例如,可以对ECU1020使用称为“TPMt”的加密处理芯片。TPMt具有防篡改性。TPMt是安全元件的例子。
上述的实施方式例如可以在汽车维修厂、销售店等中将汽车的ECU或者数据安全装置更换为旧商品时应用于汽车搭载的该旧商品中。
上述的实施方式中,作为车辆,以汽车作为例子,但是,同样可应用于电动自行车、铁路车辆等汽车以外的其他车辆。
另外,可以将用于实现上述各装置的计算机程序存储在计算机可读取存储介质中,将该存储介质中存储的程序读入计算机系统并通过处理器等执行。此外,此处所说的“计算机系统”可以包含OS、外围设备等硬件。
另外,“计算机可读取存储介质”是指软盘、磁光盘、ROM、闪存等可写入的非易失性存储器、DVD(Digital Versatile Disc;数字多功能盘)等可移动介质、内置于计算机系统的硬盘等存储装置。
并且,“计算机可读取存储介质”包含经由互联网等网络、电话线路等通信线路发送程序时作为服务器、客户端的计算机系统内部的易失性存储器(例如DRAM(DynamicRandom Access Memory;动态随机存取存储器))这种以规定时间保存程序的存储介质。
另外,上述程序可从将该程序存储在存储装置等中的计算机系统经由传输介质或者传输介质的传送波向其他计算机系统传输。其中,传输程序的“传输介质”是指互联网等网络(通信网)、电话线路等通信线路(通信线)这种具有信息传输功能的介质。
另外,上述程序也可用于实现上述的功能的一部分。
并且,也可以是通过与已存储在计算机系统中的程序的组合来实现上述功能的所谓的差分文件(差分程序)。
工业实用性
根据本发明,可实现提高搭载旧ECU的汽车的可靠性的效果。
附图标记说明
20、40…接口部,21、41…控制部,22、42、2012…存储部,23、2014…验证部,32、52、2016…加密处理部,33、53…测量部,34、2015…密钥生成部,1001…汽车,1002…车载计算机系统,1010…数据安全装置,1011、1021…主运算器,1012…HSM,1013、1023…存储部,1020…ECU,1022…SHE,1030…CAN,1040…信息娱乐设备,1050…TCU,1051…通信模块,1052…SIM,1060…诊断端口,2000…服务器装置,2011…通信部,2013…预期值计算部,2100…维护工具

Claims (10)

1.一种再利用系统,其中,
所述再利用系统具备设置在车辆之外并执行与旧车载计算机的再利用相关处理的密钥生成装置、从第一车辆拆下后搭载于第二车辆的车载计算机、以及搭载于所述第二车辆的数据安全装置,
所述密钥生成装置具备:
车辆接口,与所述第二车辆收发数据,
密钥生成部,使用所述车载计算机的车载计算机标识符以及所述第一车辆与所述第二车辆公用的主密钥,生成与从所述车载计算机搭载于所述第一车辆时开始在所述车载计算机中存储的密钥相同的第一密钥和第二密钥,
数据存储部,存储从所述第一车辆拆下后搭载于所述第二车辆的车载计算机搭载于所述第二车辆时已经应用于所述车载计算机的数据,
预期值计算部,所述预期值计算部使用所述密钥生成部生成的所述第二密钥计算存储在所述数据存储部中并且当所述车载计算机搭载于所述第二车辆时已经应用于所述车载计算机的数据的测量的预期值,以及
验证部,所述验证部使用所述预期值对通过所述车辆接口从所述第二车辆接收到的测量结果进行验证,
所述密钥生成装置通过所述车辆接口将所述第一密钥发送给所述第二车辆,
所述数据安全装置具备:
第一接口部,与所述数据安全装置的外部装置收发数据;以及
第一加密处理部,使用通过所述第一接口部从所述密钥生成装置接收到的所述第一密钥,对应用于所述车载计算机的第一数据进行加密从而生成加密第一数据,
所述数据安全装置通过所述第一接口部将所述加密第一数据发送给所述车载计算机,
所述车载计算机具备:
第二接口部,与所述车载计算机的外部装置收发数据;
第二存储部,从所述车载计算机搭载于所述第一车辆时开始存储所述第一密钥和所述第二密钥;
第二加密处理部,使用所述第二存储部中存储的所述第一密钥,对通过所述第二接口部从所述数据安全装置接收到的所述加密第一数据进行解密;以及
测量部,所述测量部使用所述第二存储部中存储的所述第二密钥对应用于所述车载计算机的数据进行测量,
所述测量部的测量结果通过所述第二接口部发送给所述密钥生成装置。
2.一种再利用系统,其中,
所述再利用系统具备设置在车辆之外并执行与旧车载计算机的再利用相关处理的密钥生成装置、从第一车辆拆下后搭载于第二车辆的车载计算机、以及搭载于所述第二车辆的数据安全装置,
所述密钥生成装置具备:
车辆接口,与所述第二车辆收发数据,
密钥生成部,使用所述车载计算机的车载计算机标识符以及所述第一车辆与所述第二车辆公用的主密钥,生成与从所述车载计算机搭载于所述第一车辆时开始在所述车载计算机中存储的密钥相同的第一密钥和第二密钥,
数据存储部,存储从所述第一车辆拆下后搭载于所述第二车辆的车载计算机搭载于所述第二车辆时已经应用于所述车载计算机的数据,以及
预期值计算部,所述预期值计算部使用所述密钥生成部生成的所述第二密钥计算存储在所述数据存储部中并且当所述车载计算机搭载于所述第二车辆时已经应用于所述车载计算机的数据的测量的预期值,
所述密钥生成装置通过所述车辆接口将所述第一密钥发送给所述第二车辆,
所述数据安全装置具备:
第一接口部,与所述数据安全装置的外部装置收发数据,
第一加密处理部,使用通过所述第一接口部从所述密钥生成装置接收到的所述第一密钥,对应用于所述车载计算机的第一数据进行加密从而生成加密第一数据,以及
验证部,所述验证部使用所述预期值对通过所述第一接口部从所述车载计算机接收到的测量结果进行验证,
所述数据安全装置通过所述第一接口部将所述加密第一数据发送给所述车载计算机,
所述车载计算机具备:
第二接口部,与所述车载计算机的外部装置收发数据;
第二存储部,从所述车载计算机搭载于所述第一车辆时开始存储所述第一密钥和所述第二密钥;
第二加密处理部,使用所述第二存储部中存储的所述第一密钥,对通过所述第二接口部从所述数据安全装置接收到的所述加密第一数据进行解密;以及
测量部,所述测量部使用所述第二存储部中存储的所述第二密钥对应用于所述车载计算机的数据进行测量,
所述测量部的测量结果通过所述第二接口部发送给所述数据安全装置。
3.一种再利用系统,其中,
所述再利用系统具备设置在车辆之外并执行与旧数据安全装置的再利用相关处理的密钥生成装置、以及从第一车辆拆下后搭载于第二车辆的数据安全装置,
所述密钥生成装置具备:
车辆接口,与所述第二车辆收发数据,
数据存储部,存储从所述第一车辆拆下后搭载于所述第二车辆的数据安全装置搭载于所述第二车辆时已经应用于所述数据安全装置的数据,
密钥生成部,使用所述数据安全装置的装置标识符以及所述第一车辆与所述第二车辆公用的主密钥,生成与从所述数据安全装置搭载于所述第一车辆时开始在所述数据安全装置中存储的密钥相同的第二密钥和第三密钥,
预期值计算部,所述预期值计算部使用所述密钥生成部生成的所述第二密钥计算存储在所述数据存储部中并且当从所述第一车辆拆下后搭载于所述第二车辆的所述数据安全装置搭载于所述第二车辆时已经应用于所述数据安全装置的数据的测量的预期值,
验证部,所述验证部使用所述预期值对通过所述车辆接口从所述第二车辆接收到的测量结果进行验证,
加密处理部,将搭载于所述第二车辆的车载计算机的第四密钥通过所述第三密钥进行加密从而生成加密第四密钥,
所述密钥生成装置通过所述车辆接口将所述加密第四密钥发送给所述第二车辆,
所述数据安全装置具备:
第一接口部,与所述数据安全装置的外部装置收发数据,
第一存储部,从所述数据安全装置搭载于所述第一车辆时开始存储所述第二密钥和所述第三密钥;
测量部,所述测量部使用所述第一存储部中存储的所述第二密钥对应用于所述数据安全装置的数据进行测量,
第一加密处理部,使用存储在所述第一存储部中的所述第三密钥,对通过所述第一接口部从所述密钥生成装置接收到的所述加密第四密钥进行解密。
4.根据权利要求3所述的再利用系统,其中,
所述第一加密处理部使用对所述加密第四密钥进行解密得到的所述第四密钥,对应用于所述车载计算机的第一数据进行加密从而生成加密第一数据,
所述数据安全装置通过所述第一接口部将所述加密第一数据发送给所述车载计算机。
5.一种服务器装置,设置在车辆之外并执行与旧车载计算机的再利用相关的处理,具备:
车辆接口,与搭载从第一车辆拆下的车载计算机的第二车辆收发数据,
密钥生成部,使用所述车载计算机的车载计算机标识符以及所述第一车辆与所述第二车辆公用的主密钥,生成与从所述车载计算机搭载于所述第一车辆时开始在所述车载计算机中存储的密钥相同的第一密钥和第二密钥,
数据存储部,存储从所述第一车辆拆下后搭载于所述第二车辆的车载计算机搭载于所述第二车辆时已经应用于所述车载计算机的数据,
预期值计算部,所述预期值计算部使用所述密钥生成部生成的所述第二密钥计算存储在所述数据存储部中并且当所述车载计算机搭载于所述第二车辆时已经应用于所述车载计算机的数据的测量的预期值,以及
验证部,所述验证部使用所述预期值对通过所述车辆接口从所述第二车辆接收到的测量结果进行验证,
其中,通过所述车辆接口将所述第一密钥发送给所述第二车辆。
6.一种服务器装置,设置在车辆之外并执行与旧数据安全装置的再利用相关的处理,具备:
车辆接口,与搭载从第一车辆拆下的数据安全装置的第二车辆收发数据;
数据存储部,存储从所述第一车辆拆下后搭载于所述第二车辆的所述数据安全装置搭载于所述第二车辆时已经应用于所述数据安全装置的数据,
密钥生成部,使用所述数据安全装置的装置标识符以及所述第一车辆与所述第二车辆公用的主密钥,生成与从所述数据安全装置搭载于所述第一车辆时开始在所述数据安全装置中存储的密钥相同的第二密钥和第三密钥,
预期值计算部,所述预期值计算部使用所述密钥生成部生成的所述第二密钥计算存储在所述数据存储部中并且当从所述第一车辆拆下后搭载于所述第二车辆的所述数据安全装置搭载于所述第二车辆时已经应用于所述数据安全装置的数据的测量的预期值,
验证部,所述验证部使用所述预期值对从所述第二车辆接收到的测量结果进行验证,
加密处理部,将搭载于所述第二车辆的车载计算机的第四密钥通过所述第三密钥进行加密从而生成加密第四密钥,
其中,通过所述车辆接口将所述加密第四密钥发送给所述第二车辆。
7.一种再利用方法,用于从第一车辆拆下后搭载于第二车辆的车载计算机,所述再利用方法包括:
设置在车辆之外并执行与旧车载计算机的再利用相关的处理的服务器装置使用所述车载计算机的车载计算机标识符以及所述第一车辆与所述第二车辆公用的主密钥,生成与从所述车载计算机搭载于所述第一车辆时开始在所述车载计算机中存储的密钥相同的第一密钥,
所述服务器装置通过与所述第二车辆收发数据的车辆接口,将所述第一密钥发送给所述第二车辆,
数据安全装置使用通过与所述数据安全装置的外部装置收发数据的第一接口部从所述服务器装置接收到的所述第一密钥,对应用于所述车载计算机的第一数据进行加密从而生成加密第一数据,
所述数据安全装置通过所述第一接口部将所述加密第一数据发送给所述车载计算机,
所述车载计算机使用从所述车载计算机搭载于所述第一车辆时开始在所述车载计算机的第二存储部中存储的所述第一密钥,对通过与所述车载计算机的外部装置收发数据的第二接口部从所述数据安全装置接收到的所述加密第一数据进行解密,
所述车载计算机使用所述车载计算机中存储的第二密钥对应用于所述车载计算机的数据进行测量,
所述服务器装置使用所述车载计算机标识符以及所述主密钥,生成与从所述车载计算机搭载于所述第一车辆时开始在所述车载计算机中存储的密钥相同的所述第二密钥,
所述服务器装置使用所述生成的第二密钥来计算所述测量的预期值,以及
所述服务器装置使用所述预期值来验证从所述第二车辆接收到的测量结果,
其中,所述服务器装置包括数据存储部,所述数据存储部存储从所述车载计算机搭载于所述第二车辆时已经应用于所述车载计算机的数据,
在计算所述预期值时,计算存储在所述数据存储部中并且当所述车载计算机从所述第一车辆拆下后搭载于所述第二车辆时已经应用于所述车载计算机的数据的测量的预期值。
8.一种再利用方法,用于从第一车辆拆下后搭载于第二车辆的数据安全装置,所述再利用方法包括:
设置在车辆之外并执行与旧数据安全装置的再利用相关的处理的服务器装置使用所述数据安全装置的装置标识符以及所述第一车辆与所述第二车辆公用的主密钥,生成与从所述数据安全装置搭载于所述第一车辆时开始在所述数据安全装置中存储的密钥相同的第三密钥,
所述服务器装置将搭载于所述第二车辆的车载计算机的第四密钥使用所述第三密钥进行加密从而生成加密第四密钥,
所述服务器装置通过与所述第二车辆收发数据的车辆接口将所述加密第四密钥发送给所述第二车辆,
所述数据安全装置使用从搭载于所述第一车辆时开始在所述数据安全装置的第一存储部中存储的所述第三密钥,对通过与所述数据安全装置的外部装置收发数据的第一接口部从所述服务器装置接收到的所述加密第四密钥进行解密,
所述数据安全装置使用所述数据安全装置中存储的第二密钥对应用于所述数据安全装置的数据进行测量,
所述服务器装置使用所述装置标识符以及所述主密钥,生成与从所述数据安全装置搭载于所述第一车辆时开始在所述数据安全装置中存储的密钥相同的第二密钥,
所述服务器装置使用所述生成的第二密钥来计算所述测量的预期值,以及
所述服务器装置使用所述预期值来验证从所述第二车辆接收到的测量结果,
其中,所述服务器装置包括数据存储部,所述数据存储部存储从所述数据安全装置搭载于所述第二车辆时已经应用于所述数据安全装置的数据,
在计算所述预期值时,计算存储在所述数据存储部中并且当所述数据安全装置从所述第一车辆拆下后搭载于所述第二车辆时已经应用于所述数据安全装置的数据的测量的预期值。
9.一种非临时性计算机可读取的存储介质,存储有计算机程序,其中,
所述计算机程序使设置在车辆之外并执行与旧车载计算机的再利用相关的处理、并且具备与搭载从第一车辆拆下的车载计算机的第二车辆收发数据的车辆接口的服务器装置实现下述处理:
使用所述车载计算机的车载计算机标识符以及所述第一车辆与所述第二车辆公用的主密钥,生成与从所述车载计算机搭载于所述第一车辆时开始在所述车载计算机中存储的密钥相同的第一密钥,
通过所述车辆接口将所述第一密钥发送给所述第二车辆,
使用所述车载计算机标识符以及所述主密钥,生成与从所述车载计算机搭载于所述第一车辆时开始在所述车载计算机中存储的密钥相同的第二密钥,
使用所述生成的第二密钥来计算测量的预期值,以及
使用所述预期值来验证从所述第二车辆接收到的测量结果,
其中,所述服务器装置包括数据存储部,所述数据存储部存储从所述车载计算机搭载于所述第二车辆时已经应用于所述车载计算机的数据,
在计算所述预期值时,计算存储在所述数据存储部中并且当所述车载计算机从所述第一车辆拆下后搭载于所述第二车辆时已经应用于所述车载计算机的数据的测量的预期值。
10.一种非临时性计算机可读取的存储介质,存储有计算机程序,其中,
所述计算机程序使设置在车辆之外并执行与旧数据安全装置的再利用相关的处理、并且具备与搭载从第一车辆拆下的数据安全装置的第二车辆收发数据的车辆接口的服务器装置实现下述处理:
使用所述数据安全装置的装置标识符以及所述第一车辆与所述第二车辆公用的主密钥,生成与从所述数据安全装置搭载于所述第一车辆时开始在所述数据安全装置中存储的密钥相同的第三密钥,
将搭载于所述第二车辆的车载计算机的第四密钥通过所述第三密钥进行加密从而生成加密第四密钥,
通过所述车辆接口将所述加密第四密钥发送给所述第二车辆,
使用所述装置标识符以及所述主密钥,生成与从所述数据安全装置搭载于所述第一车辆时开始在所述数据安全装置中存储的密钥相同的第二密钥,
使用所述生成的第二密钥来计算测量的预期值,以及
使用所述预期值来验证从所述第二车辆接收到的测量结果,
其中,所述服务器装置包括数据存储部,所述数据存储部存储从所述数据安全装置搭载于所述第二车辆时已经应用于所述数据安全装置的数据,
在计算所述预期值时,计算存储在所述数据存储部中并且当所述数据安全装置从所述第一车辆拆下后搭载于所述第二车辆时已经应用于所述数据安全装置的数据的测量的预期值。
CN201780042605.9A 2016-11-10 2017-07-26 再利用系统、密钥生成装置、数据安全装置、车载计算机、再利用方法以及存储介质 Expired - Fee Related CN109479000B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2016-219709 2016-11-10
JP2016219709A JP6683588B2 (ja) 2016-11-10 2016-11-10 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム
PCT/JP2017/027036 WO2018087963A1 (ja) 2016-11-10 2017-07-26 再利用システム、鍵生成装置、データ保安装置、車載コンピュータ、再利用方法、及びコンピュータプログラム

Publications (2)

Publication Number Publication Date
CN109479000A CN109479000A (zh) 2019-03-15
CN109479000B true CN109479000B (zh) 2021-10-22

Family

ID=62109514

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201780042605.9A Expired - Fee Related CN109479000B (zh) 2016-11-10 2017-07-26 再利用系统、密钥生成装置、数据安全装置、车载计算机、再利用方法以及存储介质

Country Status (5)

Country Link
US (1) US11082228B2 (zh)
EP (1) EP3541006B1 (zh)
JP (1) JP6683588B2 (zh)
CN (1) CN109479000B (zh)
WO (1) WO2018087963A1 (zh)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6683588B2 (ja) * 2016-11-10 2020-04-22 Kddi株式会社 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム
JP6731887B2 (ja) * 2017-06-27 2020-07-29 Kddi株式会社 保守システム及び保守方法
JP6696942B2 (ja) * 2017-08-14 2020-05-20 Kddi株式会社 車両保安システム及び車両保安方法
JP6863227B2 (ja) * 2017-10-26 2021-04-21 トヨタ自動車株式会社 電子制御装置、通信管理方法、及びプログラム
JP2020088836A (ja) * 2018-11-15 2020-06-04 Kddi株式会社 車両メンテナンスシステム、メンテナンスサーバ装置、管理サーバ装置、車載装置、メンテナンスツール、コンピュータプログラム及び車両メンテナンス方法
US11240006B2 (en) * 2019-03-25 2022-02-01 Micron Technology, Inc. Secure communication for a key exchange
AU2020264092A1 (en) * 2019-04-25 2021-08-12 Deere & Company Systems, methods and controllers for secure communications
DE102019207753A1 (de) * 2019-05-27 2020-12-03 Robert Bosch Gmbh Verfahren zum Ansteuern eines Fahrzeugs
CN110752915A (zh) * 2019-09-06 2020-02-04 惠州市德赛西威汽车电子股份有限公司 一种车载电子设备的安全密钥加密系统及方法
CN111428892B (zh) * 2020-03-24 2024-01-02 深圳市易孔立出软件开发有限公司 一种车辆控制单元更换方法、系统及电子设备和存储介质
CN113497704A (zh) * 2020-04-01 2021-10-12 罗伯特·博世有限公司 车载密钥生成方法、车辆及计算机可读存储介质
DE102020212772A1 (de) * 2020-10-09 2022-04-14 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Verwalten von kryptografischen Schlüsseln
DE102020214515A1 (de) 2020-11-18 2022-05-19 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Speichern eines digitalen Schlüssels in einem Steuergerät
DE102020214508A1 (de) 2020-11-18 2022-05-19 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Speichern eines digitalen Schlüssels in einem Steuergerät
WO2022226819A1 (zh) * 2021-04-28 2022-11-03 华为技术有限公司 密钥处理方法和装置
EP4329240A4 (en) * 2021-04-30 2024-05-22 Huawei Technologies Co., Ltd. KEY UPDATE METHOD AND RELATED DEVICE
FR3143242A1 (fr) * 2022-12-13 2024-06-14 Valeo Comfort And Driving Assistance Identification d’ancres de véhicule

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016116216A (ja) * 2014-12-12 2016-06-23 Kddi株式会社 管理装置、鍵生成装置、車両、メンテナンスツール、管理システム、管理方法、及びコンピュータプログラム
CN105989477A (zh) * 2014-11-07 2016-10-05 天地融科技股份有限公司 数据交互方法

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06171477A (ja) * 1992-12-04 1994-06-21 Mazda Motor Corp リサイクル自動車の製造システムとその製造方法及びリビルト自動車の製造システムとその製造方法
JP2001195587A (ja) * 2000-01-14 2001-07-19 Sharp Corp 部品が搭載されたプリント基板の解体装置および解体方法
US6360161B1 (en) * 2000-05-04 2002-03-19 Bombardier Motor Corporation Of America Method and system for fuel injector coefficient installation
JP3613516B2 (ja) * 2000-08-28 2005-01-26 本田技研工業株式会社 製品の樹脂部品のリサイクル回数を管理する解体管理システム及び解体管理方法
US10678734B2 (en) * 2016-07-25 2020-06-09 General Electric Company Communication system for controlling or monitoring vehicle components
US7228420B2 (en) * 2002-06-28 2007-06-05 Temic Automotive Of North America, Inc. Method and system for technician authentication of a vehicle
US7010682B2 (en) * 2002-06-28 2006-03-07 Motorola, Inc. Method and system for vehicle authentication of a component
JP4576997B2 (ja) * 2004-04-28 2010-11-10 株式会社デンソー 通信システム、鍵配信装置、暗号処理装置
US8626882B2 (en) * 2005-10-07 2014-01-07 GM Global Technology Operations LLC Reconfigurable communication for distributed embedded systems
US20070113070A1 (en) * 2005-11-04 2007-05-17 Lackritz Neal M Secure active suspension system
JP2007253792A (ja) * 2006-03-23 2007-10-04 Denso Corp 車両用電子制御装置のソフトウェアシステムおよびその設計方法
JP2010011400A (ja) * 2008-06-30 2010-01-14 National Institute Of Advanced Industrial & Technology 共通鍵方式の暗号通信システム
JP5173891B2 (ja) * 2009-03-02 2013-04-03 株式会社東海理化電機製作所 秘密鍵登録システム及び秘密鍵登録方法
JP5249175B2 (ja) * 2009-11-11 2013-07-31 株式会社東海理化電機製作所 電子キーシステムのキー位置判定装置
JP5367917B2 (ja) * 2011-01-25 2013-12-11 三洋電機株式会社 車載器
JP2013031151A (ja) * 2011-06-20 2013-02-07 Renesas Electronics Corp 暗号通信システムおよび暗号通信方法
JP5479408B2 (ja) * 2011-07-06 2014-04-23 日立オートモティブシステムズ株式会社 車載ネットワークシステム
US20140143839A1 (en) * 2011-11-16 2014-05-22 Flextronics Ap, Llc. On board vehicle remote control module
US9147910B2 (en) * 2011-12-28 2015-09-29 General Electric Company Method and system for controlling energy storage device
JP5435513B2 (ja) * 2012-01-27 2014-03-05 トヨタ自動車株式会社 暗号通信システム、鍵配布装置、暗号通信方法
JP6093503B2 (ja) * 2012-01-31 2017-03-08 株式会社東海理化電機製作所 電子キー登録方法
JP5866216B2 (ja) * 2012-01-31 2016-02-17 株式会社東海理化電機製作所 電子キー登録システム
US9270468B2 (en) * 2013-05-29 2016-02-23 GM Global Technology Operations LLC Methods to improve secure flash programming
US9769658B2 (en) * 2013-06-23 2017-09-19 Shlomi Dolev Certificating vehicle public key with vehicle attributes
US10095859B2 (en) * 2014-02-28 2018-10-09 Hitachi Automotive Systems, Ltd. Authentication system and car onboard control device
US20160098555A1 (en) * 2014-10-02 2016-04-07 Arm Limited Program code attestation circuitry, a data processing apparatus including such program code attestation circuitry and a program attestation method
WO2016075869A1 (ja) * 2014-11-13 2016-05-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 鍵管理方法、車載ネットワークシステム及び鍵管理装置
JP6079768B2 (ja) 2014-12-15 2017-02-15 トヨタ自動車株式会社 車載通信システム
KR101759133B1 (ko) * 2015-03-17 2017-07-18 현대자동차주식회사 비밀 정보 기반의 상호 인증 방법 및 장치
JP6262681B2 (ja) * 2015-03-26 2018-01-17 Kddi株式会社 管理装置、車両、管理方法、及びコンピュータプログラム
US9607457B2 (en) * 2015-06-25 2017-03-28 Ford Global Technologies, Llc Reuseable keyfob for use prior to sale of keyless vehicle
JP6345157B2 (ja) * 2015-06-29 2018-06-20 クラリオン株式会社 車載情報通信システム及び認証方法
JP6536251B2 (ja) * 2015-07-24 2019-07-03 富士通株式会社 通信中継装置、通信ネットワーク、通信中継プログラム及び通信中継方法
US11201736B2 (en) * 2015-08-05 2021-12-14 Kddi Corporation Management device, management system, key generation device, key generation system, key management system, vehicle, management method, key generation method, and computer program
DE102015220224A1 (de) * 2015-10-16 2017-04-20 Volkswagen Aktiengesellschaft Verfahren zur geschützten Kommunikation eines Fahrzeugs
JP6217728B2 (ja) * 2015-10-19 2017-10-25 トヨタ自動車株式会社 車両システムおよび認証方法
JP6502832B2 (ja) * 2015-11-13 2019-04-17 株式会社東芝 検査装置、通信システム、移動体および検査方法
US10285051B2 (en) * 2016-09-20 2019-05-07 2236008 Ontario Inc. In-vehicle networking
JP6683588B2 (ja) * 2016-11-10 2020-04-22 Kddi株式会社 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム
KR102534209B1 (ko) * 2018-01-25 2023-05-17 엘지전자 주식회사 차량용 업데이트 시스템 및 제어 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105989477A (zh) * 2014-11-07 2016-10-05 天地融科技股份有限公司 数据交互方法
JP2016116216A (ja) * 2014-12-12 2016-06-23 Kddi株式会社 管理装置、鍵生成装置、車両、メンテナンスツール、管理システム、管理方法、及びコンピュータプログラム

Also Published As

Publication number Publication date
JP2018078484A (ja) 2018-05-17
US11082228B2 (en) 2021-08-03
CN109479000A (zh) 2019-03-15
US20190245691A1 (en) 2019-08-08
WO2018087963A1 (ja) 2018-05-17
EP3541006B1 (en) 2023-02-15
EP3541006A1 (en) 2019-09-18
JP6683588B2 (ja) 2020-04-22
EP3541006A4 (en) 2020-06-24

Similar Documents

Publication Publication Date Title
CN109479000B (zh) 再利用系统、密钥生成装置、数据安全装置、车载计算机、再利用方法以及存储介质
CN109314639B (zh) 管理系统、密钥生成装置、车载计算机、管理方法以及记录介质
CN109314640B (zh) 车辆信息收集系统、车载计算机、车辆信息收集装置、车辆信息收集方法以及记录介质
CN110225063B (zh) 汽车车载系统的升级方法、升级系统、服务器及车载终端
CN109314645B (zh) 数据提供系统、数据保护装置、数据提供方法以及存储介质
CN108496322B (zh) 车载计算机系统、车辆、密钥生成装置、管理方法、密钥生成方法以及计算机可读取的记录介质
US10419220B2 (en) Management device, key generating device, vehicle, maintenance tool, management system, management method, and computer program
CN109314644B (zh) 数据提供系统、数据保护装置、数据提供方法以及存储介质
CN110800249B (zh) 维护系统以及维护方法
EP3276876B1 (en) Management device, vehicle, management method, and computer program
JP6238939B2 (ja) 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
WO2017115751A1 (ja) 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
JP6476462B2 (ja) 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
WO2018100789A1 (ja) 配信システム、鍵生成装置、車載コンピュータ、データ保安装置、配信方法、及びコンピュータプログラム
JP6218914B1 (ja) 配信システム、データ保安装置、配信方法、及びコンピュータプログラム
JP6830877B2 (ja) 配信システム、鍵生成装置、配信方法、及びコンピュータプログラム
JP6554704B2 (ja) データ提供システム及びデータ提供方法
JP6672243B2 (ja) データ提供システム、データ提供装置、データ提供方法、及びデータ提供プログラム
JP2018026866A (ja) 管理システム、データ提供装置、車載コンピュータ、管理方法、及びコンピュータプログラム
JP6519060B2 (ja) 管理装置、車両、管理方法、及びコンピュータプログラム
JP7049789B2 (ja) 鍵配信システム、鍵配信装置及び鍵配信方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20211022

CF01 Termination of patent right due to non-payment of annual fee