CN110377310A - 更新管理方法、更新管理装置以及计算机可读取的记录介质 - Google Patents
更新管理方法、更新管理装置以及计算机可读取的记录介质 Download PDFInfo
- Publication number
- CN110377310A CN110377310A CN201910654690.5A CN201910654690A CN110377310A CN 110377310 A CN110377310 A CN 110377310A CN 201910654690 A CN201910654690 A CN 201910654690A CN 110377310 A CN110377310 A CN 110377310A
- Authority
- CN
- China
- Prior art keywords
- update
- external tool
- message
- update message
- ecu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
- G06F8/654—Updates using techniques specially adapted for alterable solid state memories, e.g. for EEPROM or flash memories
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2137—Time limited access, e.g. to a computer or data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2151—Time stamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Abstract
提供一种更新管理方法、更新管理装置以及计算机可读取的记录介质,该更新管理方法用于降低在赋予给外部工具的机密信息泄漏的情况下全部ECU被非法地改写的风险,并使外部工具更新ECU内的共有密钥等的更新管理方法,所述外部工具可发送更新消息,所述更新消息更新构成车载网络的电子控制单元(ECU)的共有密钥等。该更新管理方法包括:接收更新权限信息并验证,所述更新权限信息表示外部工具的权限,在从外部工具发送了指示一个或多个ECU的共有密钥等的更新的更新消息的情况下(步骤S1010),在更新权限信息的验证成功、且更新权限信息表示更新消息的发送在外部工具的权限范围内时(步骤S1013),用ECU执行更新(步骤S1019),除此以外时,制止由ECU进行的更新。
Description
本申请是申请日为2015年10月13日、申请号为201580027431.X、发明名称为:“更新管理方法、更新管理系统以及计算机可读取的记录介质”的中国专利申请的分案申请。
技术领域
本发明涉及用于更新车载网络系统中的电子控制单元保持的数据的更新管理方法、更新管理装置等。
背景技术
近年来,在汽车中的系统内,配置有被称为电子控制单元(ECU:ElectronicControl Unit)的多个装置。将连接这些ECU的网络称为车载网络。车载网络存在许多标准。其中,由ISO11898-1规定的CAN(Controller Area Network:控制器局域网络)这一标准是主流。在CAN中,通信路径包括两条总线,与总线连接的ECU被称为节点。与总线连接的各节点收发被称为帧的消息。在CAN中不存在指定发送目的地和/或发送源的识别符,发送节点对每个帧附加ID(称为消息ID)来进行发送(也即是,将信号输出至总线),各接收节点仅接收预先确定的消息ID(也即是,从总线读取信号)。另外,采用CSMA/CA(Carrier SenseMultiple Access/Collision Avoidance:载波侦听多址访问/避免冲突)方式,在多个节点的同时发送时,进行利用消息ID的仲裁,并优先发送消息ID的值小的帧。另外,在车载网络中,存在被称为OBD2(On-Board Diagnostics 2)的端口(以下,称为“诊断端口”),利用于ECU的诊断,所述端口是与外部工具(例如故障诊断工具等外部装置)进行通信的接口。最近,不仅是诊断,也能够利用诊断端口来改写ECU的固件。另外,廉价地出售能够与诊断端口连接的外部工具,不仅是专业人员,一般用户也能够使用的外部工具不断增加。
因此,非法外部工具与诊断端口连接的风险不断提高。通过利用非法外部工具非法地改写车载网络中的ECU的固件,可能会非法地控制车体。作为防止这样经由诊断端口非法改写固件的方法,存在如下方法:在外部工具发送的固件更新请求消息中嵌入识别码,在识别码与登记码一致的情况下许可固件的更新(参照专利文献1)。
在先技术文献
专利文献
专利文献1:日本特开2013-141948号公报
发明内容
然而,在专利文献1的方法中,存在如下风险:在赋予给更新固件的外部工具的识别码泄漏的情况下,导致非法地改写全部ECU的固件。
本发明提供一种用于降低赋予给外部工具的机密信息泄漏的情况下全部ECU的固件被非法地改写的风险,并使外部工具更新固件等ECU内的数据的更新管理方法。另外,本发明提供一种用于降低风险并使外部工具更新ECU内的数据的更新管理装置和用于该更新管理装置的控制程序。
为了解决上述问题,本发明的一个技术方案涉及的更新管理方法是在车载网络系统中使用的更新管理方法,所述车载网络系统具备经由总线进行通信的多个电子控制单元并连接有外部工具,所述更新管理方法包括:接收更新权限信息并验证,所述更新权限信息表示所述外部工具的权限;和在从所述外部工具发送了指示一个或多个所述电子控制单元保持的数据的更新的更新消息的情况下,在所述验证成功,且所述更新权限信息表示该更新消息的发送在该外部工具的权限范围内时,与所述更新消息对应而由所述一个或多个电子控制单元执行所述更新,在所述验证失败时,或者,所述更新权限信息未表示该更新消息的发送在该外部工具的权限范围内时,制止由所述一个或多个电子控制单元进行的、与所述更新消息对应的所述更新。
另外,为了解决上述问题,本发明的一个技术方案涉及的更新管理装置是在车载网络系统中与诊断端口连接的一个电子控制单元,所述车载网络系统具备经由总线进行通信的多个电子控制单元,所述更新管理装置具备:接收部,接收经由所述诊断端口从外部工具发送来的更新权限信息和更新消息,所述外部工具与所述诊断端口连接,所述更新权限信息表示该外部工具的权限,所述更新消息指示一个或多个所述电子控制单元保持的数据的更新;验证部,验证由所述接收部接收到的所述更新权限信息;以及传送部,在由所述接收部接收到所述更新消息的情况下,在由所述验证部进行的所述验证成功、且所述更新权限信息表示该更新消息的发送在所述外部工具的权限范围内时,将所述更新消息传送给所述总线,在由所述验证部进行的所述验证失败时,或者,所述更新权限信息未表示该更新消息的发送在所述外部工具的权限范围内时,制止所述传送。
另外,为了解决上述问题,本发明的一个技术方案涉及的控制程序是一种用于使更新管理装置执行预定的更新管理处理的控制程序,所述更新管理装置作为在车载网络系统中与诊断端口连接的一个电子控制单元并具有处理器,所述车载网络系统具备经由总线进行通信的多个电子控制单元,所述更新管理处理包括:更新权限信息接收步骤,接收经由所述诊断端口从外部工具发送来的表示该外部工具的权限的更新权限信息,所述外部工具与所述诊断端口连接;验证步骤,验证在所述更新权限信息接收步骤中接收到的所述更新权限信息;更新消息接收步骤,接收经由所述诊断端口从所述外部工具发送来的更新消息,所述更新消息指示一个或多个所述电子控制单元保持的数据的更新;以及传送控制步骤,在所述更新消息接收步骤中接收到所述更新消息的情况下,在所述验证步骤中的所述验证成功、且所述更新权限信息表示该更新消息的发送在所述外部工具的权限范围内时,将所述更新消息传送给所述总线,在所述验证步骤中的所述验证失败时,或者,所述更新权限信息未表示该更新消息的发送在所述外部工具的权限范围内时,制止所述传送。
根据本发明,能够降低赋予给外部工具的机密信息泄漏的情况下全部ECU的固件被非法地改写的风险,并能够使外部工具更新ECU内的数据。
附图说明
图1是实施方式1涉及的车载网络系统的整体构成图。
图2是表示由CAN协议规定的数据帧的格式的图。
图3是表示与ECU和外部工具相关的密钥发行系统的图。
图4是表示公钥证书的构成的图。
图5是表示记载在公钥证书中的更新权限信息的等级与ECU的功能类别的对应关系的图。
图6是表示ECU保持的共有密钥的图。
图7是实施方式1涉及的主ECU(更新管理装置)的构成图。
图8是表示实施方式1涉及的等级信息的图。
图9是ECU的构成图。
图10是表示接收ID列表的图。
图11是表示实施方式1涉及的共有密钥更新时序的图(后接图12)。
图12是表示实施方式1涉及的共有密钥更新时序的图(前接图11)。
图13是实施方式2涉及的车载网络系统的整体构成图。
图14是表示实施方式2涉及的等级信息的图。
图15是表示实施方式2涉及的共有密钥更新时序的图(后接图16)。
图16是表示实施方式2涉及的共有密钥更新时序的图(前接图15)。
图17是实施方式3涉及的主ECU(更新管理装置)的构成图。
图18是表示实施方式3涉及的将共有密钥和有效期限等进行了关联而得到的信息的图。
图19是表示实施方式3涉及的催促共有密钥的更新的画面的一例的图。
图20是表示实施方式4涉及的共有密钥更新时序的图(后接图21)。
图21是表示实施方式4涉及的共有密钥更新时序的图(前接图20)。
图22是表示实施方式4涉及的服务器保持的日志信息的图。
具体实施方式
本发明的一个技术方案涉及的更新管理方法是在车载网络系统中使用的更新管理方法,所述车载网络系统具备经由总线进行通信的多个电子控制单元并连接有外部工具,该方法包括:接收更新权限信息并验证,所述更新权限信息表示所述外部工具的权限;和在从所述外部工具发送了指示一个或多个所述电子控制单元保持的数据的更新的更新消息的情况下,在所述验证成功、且所述更新权限信息表示该更新消息的发送在该外部工具的权限范围内时,与所述更新消息对应而由所述一个或多个电子控制单元执行所述更新,在所述验证失败时,或者,所述更新权限信息未表示该更新消息的发送在该外部工具的权限范围内时,制止由所述一个或多个电子控制单元进行的、与所述更新消息对应的所述更新。由此,可利用能够验证的更新权限信息,按每个外部工具,以使发送更新消息的权限不同的方式确定该权限,所述更新消息指示ECU内的数据的更新。而且,仅具有发送车载网络系统中的一部分ECU内的数据的更新消息的权限的外部工具才可更新该一部分ECU内的数据。另外,即使具有发送该一部分ECU内的数据的更新消息的权限的外部工具的机密信息泄漏,也不能非法地改写该一部分ECU以外的ECU。因此,可降低车载网络的全部ECU的固件等被非法地改写的风险,并可使外部工具更新ECU内的数据。
另外,也可以是,所述多个电子控制单元遵循CAN协议即控制器局域网络协议(Controller Area Network),经由所述总线进行通信,所述外部工具按照CAN协议发送所述更新消息。由此,可在遵循CAN协议的车载网络系统中使具有权限的外部工具适当地更新ECU内的数据。
另外,也可以是,在从所述外部工具发送了所述更新消息的情况下,基于该更新消息的消息ID,判定所述更新权限信息是否表示该更新消息的发送在该外部工具的权限范围内,在判定为所述更新权限信息表示该更新消息的发送在该外部工具的权限范围内时,由确定为接收具有所述消息ID的所述更新消息的所述电子控制单元执行所述更新。由此,利用CAN的帧的ID(消息ID),区别是否是成为更新消息中的更新指示的对象的ECU。因此,能够将对特定一个或多个ECU的更新权限与对其他一个或多个ECU的更新权限进行区别,例如,仅限于具有与成为更新指示对象的ECU对应的权限的适当的外部工具能够许可该更新。
另外,也可以是,所述更新权限信息确定所述电子控制单元的分类用的多个功能类别中的一个或多个功能类别,并表示所述外部工具具有如下权限:使分类到所确定的该一个或多个功能类别中的某一个的所述电子控制单元进行所述更新,在从所述外部工具发送所述更新消息的情况下,通过基于该更新消息的消息ID,判别确定为接收该消息ID的所述电子控制单元的功能类别是否与利用所述更新权限信息确定的一个或多个功能类别中的某一个一致,由此进行所述判定。由此,能够进行如下运用:按每个从功能方面分类ECU的功能类别,区别更新的权限并对外部工具进行认定。该认定例如通过赋予能够验证的更新权限信息来进行。
另外,也可以是,所述更新权限信息表示用于确定一个或多个所述功能类别的多个等级中的一个等级,相对高的等级确定包含相对低的等级确定的一个或多个功能类别在内的多个功能类别。由此,能够按每个外部工具使更新的权限的等级不同。例如,即使具有低等级权限的外部工具的机密信息泄漏,也不能非法地改写与该等级对应而能够更新的ECU的功能类别以外的ECU(也即是,能够利用具有高等级权限的外部工具进行更新的ECU)。
另外,也可以是,作为一个所述电子控制单元的更新管理装置从与诊断端口连接的所述外部工具接收所述更新权限信息并进行所述验证,所述诊断端口与该更新管理装置连接,在从所述外部工具发送了所述更新消息的情况下,接收该更新消息,在接收到该更新消息的情况下,当所述验证成功、且所述更新权限信息表示该更新消息的发送在该外部工具的权限范围内时,将所述更新消息传送给所述总线,当所述验证失败时,或者,所述更新权限信息未表示该更新消息的发送在该外部工具的权限范围内时,制止所述传送。由此,由于更新管理装置(主ECU)控制是否向其他ECU传送更新消息,所以其他ECU可省略外部工具的权限所涉及的检查。
另外,也可以是,如果没有对所述更新消息实施使用了会话密钥的预定加密处理,则制止与该更新消息对应的、由所述电子控制单元进行的所述更新,所述更新管理装置通过所述外部工具的公钥所涉及的公钥证书的接收,进行所述更新权限信息的所述接收,所述公钥证书记载了该更新权限信息,在所述验证成功的情况下,用所述外部工具的公钥加密所述会话密钥并发送给所述外部工具,所述会话密钥是为了所述外部工具在所述更新消息的发送时对该更新消息实施预定加密处理而使用的密钥。由此,能够通过发行公钥证书来认定外部工具的更新的权限。另外,能够利用公钥证书中的公钥,实现外部工具的通信内容所涉及的安全性的确保。
另外,也可以是,在从所述外部工具发送了所述更新消息的情况下,在搭载所述车载网络系统的车辆的状态不是预定状态时,所述更新管理装置制止所述更新消息向所述总线的传送。由此,在确定例如停车状态、停止发动机的状态等时,由于例如能够在与行驶关联的ECU的负荷降低且总线流量比较少的停车状态等时候更新ECU内的数据,所以例如可减少在更新中产生不良情况的可能性等。
另外,也可以是,在从所述外部工具发送了所述更新消息的情况下,在向所述车载网络系统中的各电子控制单元供给电力的电池不具有预定电池剩余量时,所述更新管理装置制止所述更新消息向所述总线的传送。由此,在例如确定电池的剩余量为足够进行更新的程度的充分的量作为预定电池剩余量时,能够防止由更新期间电池用尽导致的不良情况。
另外,也可以是,所述更新管理装置以外的电子控制单元和所述更新管理装置保持共有密钥,所述共有密钥是为了在通信内容所涉及的加密处理用会话密钥的传递中使用而在彼此间共有的密钥,所述更新消息指示的、所述电子控制单元保持的数据的所述更新是所述共有密钥的更新。由此,能够利用外部工具更新在主ECU与除主ECU以外的ECU之间共有的共有密钥。
另外,也可以是,在所述共有密钥的有效期限的一定期间前,输出催促所述共有密钥的更新的警告信息。由此,能够在共有密钥的有效期限到期前催促密钥更新,可降低共有密钥超过有效期限而继续利用的风险。
另外,也可以是,所述更新管理装置将识别信息和结果信息发送给所述外部工具,所述识别信息在多个车载网络系统之中识别所述车载网络系统,所述结果信息表示所述更新消息的处理结果。由此,能够在外部工具侧管理每辆车辆(也即是,每个车载网络系统)中的ECU内的数据的更新结果。
另外,也可以是,所述外部工具将所述结果信息和所述识别信息发送给服务器。由此,能够在服务器中管理每辆车辆中的ECU内的数据的更新结果。
另外,也可以是,所述更新消息指示的、所述电子控制单元保持的数据的所述更新是所述电子控制单元的固件的更新。由此,能够按每个外部工具灵活地设定ECU的固件更新的权限。
另外,本发明的一个技术方案涉及的更新管理装置是在车载网络系统中与诊断端口连接的一个电子控制单元,所述车载网络系统具备经由总线进行通信的多个电子控制单元,所述更新管理装置具备:接收部,接收经由所述诊断端口从外部工具发送来的更新权限信息和更新消息,所述外部工具与所述诊断端口连接,所述更新权限信息表示该外部工具的权限,所述更新消息指示一个或多个所述电子控制单元保持的数据的更新;验证部,验证由所述接收部接收到的所述更新权限信息;以及传送部,在由所述接收部接收到所述更新消息的情况下,在由所述验证部进行的所述验证成功、且所述更新权限信息表示该更新消息的发送在所述外部工具的权限范围内时,将所述更新消息传送给所述总线,在由所述验证部进行的所述验证失败时,或者,所述更新权限信息未表示该更新消息的发送在所述外部工具的权限范围内时,制止所述传送。由此,能够降低赋予给外部工具的机密信息泄漏的情况下全部ECU内的固件等被非法地改写的风险,并能够使外部工具更新ECU内的数据。
另外,本发明的一个技术方案涉及的控制程序是一种用于使更新管理装置执行预定的更新管理处理的控制程序,所述更新管理装置作为在车载网络系统中与诊断端口连接的一个电子控制单元并具有处理器,所述车载网络系统具备经由总线进行通信的多个电子控制单元,所述更新管理处理包括:更新权限信息接收步骤,接收经由所述诊断端口从外部工具发送来的表示该外部工具的权限的更新权限信息,所述外部工具与所述诊断端口连接;验证步骤,验证在所述更新权限信息接收步骤中接收到的所述更新权限信息;更新消息接收步骤,接收经由所述诊断端口从所述外部工具发送来的更新消息,所述更新消息指示一个或多个所述电子控制单元保持的数据的更新;以及传送控制步骤,在所述更新消息接收步骤中接收到所述更新消息的情况下,在所述验证步骤中的所述验证成功、且所述更新权限信息表示该更新消息的发送在所述外部工具的权限范围内时,将所述更新消息传送给所述总线,在所述验证步骤中的所述验证失败时,或者,所述更新权限信息未表示该更新消息的发送在所述外部工具的权限范围内时,制止所述传送。通过将该程序安装在更新管理装置中并使处理器执行,能够降低赋予给外部工具的机密信息泄漏的情况下全部ECU内的固件等被非法地改写的风险,并能够使外部工具更新ECU内的数据。
此外,这些全面或具体的技术方案既可以用系统、方法、集成电路、计算机程序或计算机可读取的CD-ROM等记录介质来实现,也可以用系统、方法、集成电路、计算机程序或记录介质的任意组合来实现。
以下,参照附图,说明使用实施方式涉及的更新管理方法的车载网络系统。在这里示出的实施方式均表示本发明的一具体例。因此,在以下实施方式中示出的数值、构成要素、构成要素的配置和连接方式以及步骤(工序)和步骤的顺序等为一例,不限定本发明。以下实施方式的构成要素中的未记载于独立权利要求的构成要素是能够任意附加的构成要素。另外,各图为示意图,并不是严密地进行了图示的图。
(实施方式1)
以下,作为本发明的实施方式,使用附图说明在多个ECU经由总线进行通信的车载网络系统10中使用的更新管理方法,所述多个ECU包括作为更新管理装置的主ECU100。
作为更新管理方法,在本实施方式中,示出如下例子:在车载网络系统10的诊断端口上连接了外部工具的情况下,主ECU100对外部工具30进行认证,仅在满足一定条件时向外部工具30许可ECU的数据(固件等)的更新。
[1.1车载网络系统10的整体构成]
图1是表示实施方式1涉及的车载网络系统10的整体构成的图。此外,在该图中,除了车载网络系统10之外,还示出了外部工具30。该外部工具30代表地表示例如由进行各种ECU的制造、维护的从业者等制造而成的各种外部工具(例如,后述的外部工具30a、30b)的每一个。车载网络系统10是遵循CAN协议进行通信的网络通信系统的一例,是搭载了控制装置、传感器等各种设备的汽车(车辆)中的网络通信系统。车载网络系统10具备按照CAN协议经由总线进行与帧相关的通信的多个装置(节点),并使用更新管理方法。具体而言,如图1所示,车载网络系统10包括诊断端口600、总线500a~500d、主ECU(更新管理装置)100、头单元(head unit)200、网关300、与各种设备连接的ECU400a~400f等ECU这样的与总线连接的各节点而构成。此外,在车载网络系统10中,除了主ECU100和ECU400a~400f以外还可包括多个ECU,在这里,为方便起见,关注主ECU100和ECU400a~400f来进行说明。ECU例如是包括处理器(微处理器)、存储器等的数字电路、模拟电路以及通信线路等的装置。存储器为ROM、RAM等,能够存储由处理器执行的控制程序(计算机程序)。例如,处理器按照控制程序工作,由此使得ECU实现各种功能。此外,计算机程序是为了实现预定的功能而组合多条命令代码而构成的程序,所述命令代码表示对处理器的指令。
诊断端口600是进行构成车载网络系统10的ECU的维护时连接外部工具30的端口,用总线500d与主ECU100连接。诊断端口600例如是遵照OBD2(On-BoardDiagnostic2:车载诊断系统)标准的连接器。外部工具30通过与诊断端口600连接,能够向车载网络系统10发送遵循CAN协议的帧。例如,外部工具30可发送用于更新ECU的固件等的更新消息或用于ECU的故障诊断的诊断用消息等、包括在车载网络系统10中预先确定的一定范围内的消息ID的消息。在这里,特别关注于外部工具发送更新消息(即更新请求用的帧)来进行说明,所述更新消息包括为了分别更新ECU的固件和共有密钥而预先确定的一定范围内的消息ID。
主ECU100是作为更新管理装置的一种ECU,所述更新管理装置具有如下作用:进行外部工具30的认证,基于记载在外部工具30的证书(后述的公钥证书)中的更新权限信息,对来自外部工具的更新消息进行是否与许可更新相关的判定等。另外,主ECU100具有如下功能:在车载网络系统10的多个ECU中的、本装置以外的一个以上ECU的每一个的彼此间保持事前共有的同一共有密钥,并将会话密钥传递给各ECU,所述共有密钥在帧的通信内容涉及的加密处理用会话密钥的传递中使用。
ECU400a~400f与总线500a~500c中的某一个连接,且分别与发动机310、制动器320、门开闭传感器330、窗开闭传感器340、气囊350以及头单元200连接。ECU400a~400e分别取得所连接的设备(发动机310等)的状态,并定期地将表示状态的帧发送给网络(即总线)。头单元200例如包括设置于汽车的仪表操纵板(仪表板)等的液晶显示器(LCD:LiquidCrystal Display)等显示装置,且可进行向车辆的驾驶员的报告。与头单元200连接的ECU400f具有如下功能:从总线500c接收帧,使帧表示的各种状态显示在头单元200的显示装置上。
网关300与总线500a、总线500b以及总线500c连接,并具有将从各条总线接收到的帧传送给其他总线的功能,所述总线500a与ECU400a和ECU400b连接,所述总线500b与主ECU100和ECU400c~400e连接,所述总线500c与ECU400f连接。另外,也能够在连接的每条总线间切换传送接收到的帧还是不传送接收到的帧。网关300是一种ECU。
在车载网络系统10中,包括主ECU400在内的各ECU遵循CAN协议,经由总线进行帧的授受。在CAN协议下的帧中,有数据帧、远程帧、超载帧以及错误帧,为了便于说明,在这里以数据帧为中心进行说明。
[1.2数据帧格式]
以下,说明遵循CAN协议的数据帧,所述数据帧是在网络中使用的一个帧。
图2是表示由CAN协议规定的数据帧的格式的图。在该图中,示出了由CAN协议规定的标准ID格式的数据帧。数据帧由SOF(Start Of Frame:帧起始)、ID字段、RTR(RemoteTransmission Request:远程发送请求)、IDE(Identifier Extension:标识符扩展)、预约位“r”、DLC(Data Length Code:数据长度码)、数据字段、CRC(Cyclic Redundancy Check:循环冗余校验)序列、CRC分隔符“DEL”、ACK(Acknowledgement:应答)间隙(slot)、ACK分隔符“DEL”以及EOF(End Of Frame:帧结尾)这些各字段构成。
SOF由1个显性位(bit)构成。在总线为空闲的状态下成为隐性,且通过SOF向显性变更来通知帧的发送开始。
ID字段是由11位(bit)构成的保存ID(即消息ID)的字段,所述ID是表示数据的种类的值。在多个节点同时开始发送的情况下,为了用该ID字段进行通信仲裁而设计为:ID为小的值的帧具有高的优先度。
RTR是用于识别数据帧和远程帧的值,在数据帧中由1个显性位构成。
IDE和“r”双方由1个显性位构成。
DLC由4位(bit)构成,并且是表示数据字段的长度的值。此外,将IDE、“r”以及DLC一起称为控制字段。
数据字段是最大由64位(bit)构成的、表示所发送数据的内容的值。能够按8位调整长度。所发送的数据的规格不在CAN协议中规定,而在车载网络系统10中确定。因此,成为依存于车型、制造者(制作商)等的规格。
CRC序列由15位(bit)构成。根据SOF、ID字段、控制字段以及数据字段的发送值而算出。
CRC分隔符是由1个隐性位构成的表示CRC序列的结束的分隔记号。此外,将CRC序列和CRC分隔符一起称为CRC字段。
ACK间隙由1位(bit)构成。发送节点将ACK间隙设为隐性并进行发送。如果到CRC序列为止能够正常接收,则接收节点将ACK间隙设为显性并发送。由于显性比隐性优先,所以如果在发送后ACK间隙为显性,则发送节点能够确认某一个接收节点接收成功。
ACK分隔符是由1个隐性位构成的表示ACK的结束的分隔记号。
EOF由7个隐性位构成,并表示数据帧的结束。
[1.3密钥发行系统]
图3是表示与上述ECU和外部工具相关的密钥发行系统的图。密钥发行机构20向制造商21分发公钥证书40a~40c、私钥50a~50c以及共有密钥60。分发的密钥、证书由制造商21在制造阶段等写入外部工具30a、30b、主ECU100以及ECU400a~400f。制造商21例如是OEM制造商(Original Equipment Manufacturer)、ECU供应商等。记载了公钥的公钥证书和私钥在公钥基础设施(PKI:Public Key Infrastructure)中利用,公钥和私钥是椭圆加密、RSA加密等的密钥对。该私钥和公钥证书在主ECU100和外部工具30a~b间的认证中使用。共有密钥60代表地表示各个共有密钥。该共有密钥60是共用密钥加密方式的AES(AdvancedEncryption Standard:高级加密标准)的密钥,在主ECU100与其他各ECU之间共有,在帧涉及的加密处理用会话密钥的传递中使用。作为帧涉及的加密处理,除了帧的数据字段的内容的加密和解密之外,例如可列举如下处理:在帧的发送侧,在帧的数据字段中生成并附加消息认证代码(MAC:Message Authentication Code)并发送,在接收侧,对该MAC进行验证。能够利用该MAC检测数据的篡改。会话密钥例如在MAC的生成中使用。
在图3的例子中,示出了:在外部工具30a中写入公钥证书40a和私钥50a,在外部工具30b中写入公钥证书40b和私钥50b,在主ECU20中写入公钥证书40c、私钥50c以及共有密钥60,在ECU400a~400f中写入共有密钥60。在图3的例子中,记载在公钥证书40a中的更新权限信息的等级为3,记载在公钥证书40b中的更新权限信息的等级为4。
[1.4公钥证书]
图4是表示密钥发行机构20为了写入外部工具30a、30b而发行即分发的公钥证书40a的构成的一例的图。公钥证书40b也具有同样的构成。
如该图所示,公钥证书包括版本、发行者、有效期间的开始和结束、证书识别信息(ID)、公钥、更新权限信息(等级)以及对它们的签名而构成。签名由密钥发行机构20或门户服务器等认证站赋予。因此,主ECU100能够从外部工具30取得公钥证书,并通过签名的验证等进行外部工具30的认证。
公钥证书中的更新权限信息是表示是否对外部工具30(外部工具30a、30b等)承认发送更新消息的权限的信息,所述更新消息指示对哪个类别的ECU进行ECU内的数据的更新,具体而言,表示将权限划分为多个等级而成的等级中的一个。因此,在更新权限信息中示出了由作为签名主体的认证站等对外部工具30认定的权限的等级。
此外,写入主ECU100的公钥证书40c包括图4所示的构成例中的更新权限信息以外的各要素。
[1.5更新权限信息]
图5是表示作为记载在图3的公钥证书中的更新权限信息的内容的等级(即权限的等级)、和对ECU的功能进行分类用的多个功能类别的对应关系的一例的图。
首先,说明ECU的功能类别。驱动系统功能是发动机、马达、燃料、电池、变速器等的控制这样的与车辆行驶关联的功能。例如,与发动机310相关的ECU400a属于驱动系统功能这一功能类别。底盘系统功能是与制动器、转向器等的“转弯”、“停止”等这样的车辆运行等的控制关联的功能。例如,与制动器320相关的ECU400b属于底盘系统功能这一功能类别。车身系统功能是与门锁、空调机、灯、转向指示灯等这样的车辆装备的控制关联的功能。例如,与门开闭传感器330相关的ECU400c和与窗开闭传感器340相关的ECU400d属于车身系统功能这一功能类别。另外,安全舒适功能是用于自动地实现自动制动器、车道维持功能、车间距离维持功能、碰撞防止功能、气囊等这样的安全舒适的驾驶的功能。与气囊350相关的ECU400e属于安全舒适功能这一功能类别。ITS(Intelligent Transport Systems:智能交通系统)系统功能是与ETC(Electronic Toll Collection System:电子收费系统)等智能道路交通系统对应的功能。车联网(Telematics)系统功能是与使用了移动通信的服务对应的功能。信息娱乐系统功能是与汽车导航、音响等关联的娱乐功能。例如,与头单元200相关的ECU400f属于信息娱乐系统功能这一功能类别。
基于图5例示的对应关系等,由作为公钥证书的签名主体的认证站等认定的、作为更新权限信息的内容的权限的等级确定上述多个功能类别中的一个或多个功能类别。而且,认定为,赋予了该公钥证书的外部工具具有:使分类到由更新权限信息的等级确定的该一个或多个功能类别中的某一个的ECU进行该ECU内的数据(固件、共有密钥)的更新的权限,即发送固件或共有密钥的更新用更新消息。
根据图5的例子,记载了更新权限信息的公钥证书被赋予给(即写入)各个外部工具,所述更新权限信息表示更新权限的最高的等级4至最低的等级1这4个等级中的某一个等级。各个外部工具的功能、构成等可以各不相同。因此,例如,可考虑成为外部工具处理的对象的ECU的功能类别、外部工具的机密性、可靠性、制造该外部工具的从业者的可靠性以及其他各种情况,确定对各个外部工具的更新权限信息。此外,图5仅表示等级的一例,也可以是,以与该例子不同的方式来确定等级的等级数、等级与功能类别的对应关系等。另外,也可以是,确定某几个等级(例如等级4和等级2)分别与相同的一个功能类别对应这样的对应关系。另外,关于功能类别的分类,也可以按与图5的例子不同的方式确定。在这里,设为在更新权限信息中,相对高的等级确定包括了比其低的等级确定的一个或多个功能类别在内的多个功能类别,即,高的等级包含低的等级的权限,来进行说明。但是,也可以是,以在权限的等级间没有权限的包含关系的方式确定等级与功能类别的对应关系。但是,在对外部工具认定的权限的等级相对低的情况下,仅许可与车辆行驶、运行等不关联的一部分ECU内的数据的更新,且不使之进行该一部分以外的ECU内的数据的更新是有用的。具体而言,如果对外部工具承认的权限的等级(也即是,作为更新权限信息的内容的等级)为3,则许可该外部工具对被分类到与等级3以下的全部等级(即等级1~等级3)分别对应的功能类别的各ECU发送更新消息,并使之执行ECU内的数据的更新。
此外,在车载网络系统10中,在外部工具30与诊断端口600连接的情况下,主ECU100从外部工具30接收确定权限的等级的更新权限信息,并基于该更新权限信息,对外部工具30发送的更新消息进行是否许可更新涉及的判定。在该判定中,主ECU100参照等级信息1040,所述等级信息1040基于上述等级与功能类别的对应关系(参照图5)确定。后面将使用图8说明等级信息1040。
[1.6共有密钥]
图6是表示主ECU100、ECU400a~400f保持的共有密钥的图。具体而言,如该图所示,上述共有密钥60具有:由全部ECU共有的共有密钥60a、由ECU400f和主ECU100共有的共有密钥60b、由ECU400c、400d和主ECU100共有的共有密钥60c、由ECU400a、400b和主ECU100共有的共有密钥60d以及由ECU400e和主ECU100共有的共有密钥60e。
[1.7主ECU(更新管理装置)100的构成]
图7是主ECU100的构成图。主ECU100包括收发部101、密钥保持部102、判定部103、等级信息保持部104、帧收发部160、帧解释部150、接收ID判断部130、接收ID列表保持部140、帧处理部110以及帧生成部120而构成。这些各构成要素为功能性构成要素,该各功能利用主ECU100中的通信线路、执行保存在存储器中的控制程序的处理器或数字电路等来实现。
为了进行主ECU100与外部工具30(外部工具30a、30b)之间的认证,收发部101接收主ECU100的公钥证书40c的发送和来自外部工具30的公钥证书(公钥证书40a或公钥证书40b)。另外,收发部101接收经由诊断端口600从外部工具30对总线500d发送的遵循CAN协议的更新消息,另外,进行利用更新消息的更新的结果的发送。
密钥保持部102保持主ECU100的公钥证书40c、私钥50c以及共有密钥60a~60e。此外,也可以是,将MAC密钥保持于密钥保持部102,所述MAC密钥在作为对遵循CAN协议的数据帧中的数据的加密处理而赋予MAC的情况下使用。另外,也可以是,将会话密钥保持于密钥保持部102,所述会话密钥在与外部工具30等之间的通信涉及的加密处理中使用。会话密钥也可利用于MAC的生成。
帧收发部160对总线500b收发遵循CAN协议的帧。也就是说,接收来自ECU400a~400f的帧,并向ECU400a~400f发送帧。从总线500b逐比特(bit)接收帧,并传递给帧解释部150。另外,向总线500b逐比特发送从帧生成部120接受到通知的帧的内容。
帧解释部150从帧收发部160接受帧的值,并进行解释以映射到由CAN协议规定的帧格式的各字段。帧解释部150向接收ID判断部130传送判断为ID字段的值(消息ID)。根据从接收ID判断部130通知的判定结果,决定是向帧处理部110传送ID字段的值和ID字段以后出现的数据字段,还是中止帧的接收(即中止作为该帧的解释)。另外,在判断为是没有遵循CAN协议的帧的情况下,通知帧生成部120发送错误帧。另外,帧解释部150在接收到错误帧的情况下,即根据接受到的帧中的值解释为成为错误帧的情况下,自此废弃该帧,即中止帧的解释。
接收ID判断部130接受从帧解释部150通知的ID字段的值,按照接收ID列表保持部140保持的消息ID的列表,进行是否接收该ID字段以后的帧的各字段的判定。接收ID判断部130向帧解释部150通知该判定结果。另外,与帧解释部150同样地,接收ID判断部130进行消息ID是否是应接收的帧的ID的判定,并也对判定部103通知判定结果。
接收ID列表保持部140保持接收ID列表,所述接收ID列表是主ECU100接收的消息ID的列表。
帧生成部120按照从帧解释部150通知的错误帧发送请求,构成错误帧,将错误帧向帧收发部160通知并使该错误帧发送。另外,当从判定部103接受生成帧的指示时,实施对数据的加密处理(例如与会话密钥等对应的MAC的附加等)并构成帧,向帧收发部160通知并使该帧发送。
判定部103通过验证从外部工具30接收到的包括更新权限信息的公钥证书来认证外部工具30。当判定部103对从外部工具30接收到的公钥证书的验证成功时,外部工具30的认证成功。此外,判定部103对公钥证书的验证成功也是更新权限信息的验证成功。在由收发部101接收到更新消息的情况下,判定部103通过判定更新权限信息的验证是否成功,且更新权限信息表示该更新消息的发送是否在外部工具30的权限范围内,从而进行是否许可与更新消息对应的更新的判定。该判定通过判别接收到的更新消息的消息ID和接收到的公钥证书所记载的更新权限信息表示的等级是否是参照等级信息保持部104保持的等级信息1040(后述)而适当对应的消息ID和等级来进行。在判定部103判定为更新权限信息表示由外部工具30进行的更新消息的发送在外部工具30的权限范围内的情况下(也即是,判定为是被许可的更新消息的情况下),向帧生成部120发出指示,以为了向其他ECU传送用(也即是,向总线500b送出用)而生成作为与该(原来的)更新消息对应的帧的新的更新消息。此外,帧生成部120为传送用而生成的的新的更新消息的消息ID与原来的更新消息相同,更新消息的数据字段内的数据也实质上相同,在对数据实施加密处理的情况下,对该数据实施的加密处理(例如,附加到数据的MAC)不同。由帧生成部120生成的更新消息由帧收发部160向总线500b送出。由此,在判定为来自外部工具30的更新权限信息的验证成功、且来自外部工具30的更新消息是被许可的更新消息的情况下,利用主ECU100向其他ECU(也即是,向总线500b)传送该更新消息。另外,在判定部103判定为来自外部工具30的共有密钥更新用更新消息为被许可的更新消息的情况下,更新保持于密钥保持部102的共有密钥。
帧处理部110根据从总线500b接收到的帧的数据,进行预先确定的处理。帧处理部110例如在从总线500b接收到表示利用更新消息的在各ECU中的更新的结果的帧的情况下,生成以该更新的结果作为内容的消息(帧),并使收发部101向与诊断端口600连接的总线500d送出。
等级信息保持部104保持等级信息1040。
[1.8等级信息]
图8是表示等级信息保持部104保持的等级信息1040的一例的图。
等级信息1040是将消息ID1041和等级1042进行了关联的信息,用于在判定部103中判定是否许可来自外部工具30的更新消息。
消息ID1041表示可从外部工具30发送的更新消息的消息ID。在这里,设为确定“0x100”~“0x104”作为ECU保持的共有密钥更新用更新消息的消息ID,确定“0x200”~“0x206”作为ECU的固件更新用更新消息的消息ID来进行说明。
等级1042表示为了发送对应的消息ID的更新消息所需的权限的等级。该等级与作为更新权限信息的内容的等级呼应。例如,如果记载在外部工具30的公钥证书中的更新权限信息表示的等级的值示出表示与等级1042的值相同或比其更高的权限的值,则外部工具30具有发送与该等级1042的值关联的消息ID1041的更新消息的权限。相反地,如果记载在外部工具30的公钥证书中的更新权限信息表示的等级的值是表示比等级1042的值低的权限的值,则外部工具30没有发送与该等级1042关联的消息ID1041的更新消息的权限。
图8所示的消息ID“0x100”是主ECU100和ECU400a~400f保持的共有密钥60a的更新用更新消息的消息ID。在等级信息1040中,与该消息ID“0x100”对应的等级1042的值设定为最高的4。该4是成为共有密钥60a的更新对象的各ECU的功能类别所对应的等级中的最高等级(具体而言,是作为ECU400e的功能类别的安全舒适功能所对应的等级)的值(参照图5)。
消息ID“0x101”是主ECU100和ECU400e保持的共有密钥60e的更新用更新消息的消息ID。与具有安全舒适功能的ECU400e对应而将等级1042的值设定为4。
消息ID“0x102”是主ECU100和ECU400a、400b保持的共有密钥60d的更新用更新消息的消息ID。与具有驱动系统功能的ECU400a和具有底盘系统功能的ECU400b对应而将等级1042的值设定为3。
消息ID“0x103”是主ECU100和ECU400c、400d保持的共有密钥60c的更新用更新消息的消息ID。与具有车身系统功能的ECU400c、400d对应而将等级1042的值设定为2。
消息ID“0x104”是主ECU100和ECU400f保持的共有密钥60b的更新用更新消息的消息ID。与具有信息娱乐系统功能的ECU400f对应而将等级1042的值设定为1。
消息ID“0x200”是主ECU100的固件更新用更新消息的消息ID。特别处理主ECU100,与该消息ID对应的等级1042的值设定为最高等级4。
消息ID“0x201”是ECU400e的固件更新用更新消息的消息ID。与该消息ID对应的等级1042的值与具有安全舒适功能的ECU400e对应,设定为4。
消息ID“0x202”是ECU400b的固件更新用更新消息的消息ID。与该消息ID对应的等级1042的值与具有底盘系统功能的ECU400b对应,设定为3。
消息ID“0x203”是ECU400a的固件更新用更新消息的消息ID。与该消息ID对应的等级1042的值与具有驱动系统功能的ECU400a对应,设定为3。
消息ID“0x204”是ECU400c的固件更新用更新消息的消息ID。与该消息ID对应的等级1042的值与具有车身系统功能的ECU400c对应,设定为2。
消息ID“0x205”是ECU400d的固件更新用更新消息的消息ID。与该消息ID对应的等级1042的值与具有车身系统功能的ECU400d对应,设定为2。
消息ID“0x206”是ECU400f的固件更新用更新消息的消息ID。与该消息ID对应的等级1042的值与具有信息娱乐系统功能的ECU400f对应,设定为1。
[1.9ECU400a的构成]
图9是ECU400a的构成图。ECU400a包括密钥保持部402、帧收发部460、帧解释部450、接收ID判断部430、接收ID列表保持部440、帧处理部410、帧生成部420以及数据取得部470而构成。这些各构成要素为功能性构成要素,该各功能利用ECU400a中的通信线路、执行保存在存储器中的控制程序的处理器或数字电路等来实现。此外,ECU400b~400f也具备与ECU400a基本同样的构成。
密钥保持部402保持图6所示的共有密钥。即,ECU400a的密钥保持部402保持共有密钥60a、60d。也可以是,将MAC密钥保持于密钥保持部402,所述MAC密钥在作为对遵循CAN协议的数据帧中的数据的加密处理而赋予MAC的情况下使用。另外,也可以是,将会话密钥保持于密钥保持部402,所述会话密钥在与其他ECU等之间的通信所涉及的加密处理中使用。会话密钥也可利用于MAC的生成。
帧收发部460对总线500a收发遵循CAN协议的帧。从总线500a逐比特接收帧,并传送给帧解释部450。另外,向总线500a发送从帧生成部420接受到通知的帧的内容。
帧解释部450从帧收发部460接受帧的值,并进行进行解释以映射到CAN协议中的各字段。判断为ID字段的值向接收ID判断部430传送。根据从接收ID判断部430通知的判定结果,决定是向帧处理部410传送ID字段的值(消息ID)和ID字段以后出现的数据字段,还是在接受该判定结果以后中止帧的接收(即中止作为该帧的解释)。另外,在判断为是没有遵循CAN协议的帧的情况下,通知帧生成部420发送错误帧。另外,帧解释部450在接收到错误帧的情况下,即根据接受到的帧中的值解释为成为错误帧的情况下,自此废弃该帧,即中止帧的解释。
接收ID判断部430接受从帧解释部450通知的ID字段的值,按照接收ID列表保持部440保持的消息ID的列表,进行是否接收该ID字段以后的帧的各字段的判定。接收ID判断部430向帧解释部450通知该判定结果。
接收ID列表保持部440保持接收ID列表,所述接收ID列表是ECU400a接收的消息ID的列表(参照图10)。
帧处理部410根据接收到的帧的数据,进行按每个ECU不同的功能所涉及的处理。例如,与发动机310连接的ECU400a可根据发动机310的旋转速度与从其他ECU接收到的帧的数据表示的车辆的一部分状态之间的关系,进行预先确定的控制。
数据取得部470取得表示与ECU连接的设备、传感器的状态的数据,并通知帧生成部420。
帧生成部420按照从帧解释部450通知的错误帧发送请求,构成错误帧,并向帧收发部460通知错误帧并使之发送。另外,帧生成部420对基于从数据取得部470通知的数据而确定的数据字段的值附加预先确定的消息ID而构成数据帧,并向帧收发部460通知并使该数据帧发送。此外,帧生成部420可对数据字段的值附加使用MAC密钥或会话密钥生成的MAC。
[1.10接收ID列表]
图10表示ECU400a的接收ID列表保持部440保持的接收ID列表900的一例。
图10的例子示出了ECU400a接收带有消息ID“0x102”的共有密钥的更新用更新消息、带有消息ID“0x203”的固件更新用更新消息等。ECU400a接收的消息(帧)的消息ID不限于“0x102”、“0x203”,但在图10的例子中,特别关注更新消息的消息ID并表示。
此外,主ECU100的接收ID列表保持部140保持的接收ID列表也与接收ID列表900同样,是列举了主ECU100能够接收的消息的消息ID的构成。
[1.11共有密钥更新时序]
以下,作为更新管理方法的一例,使用图11和图12说明将外部工具30a与诊断端口600连接,从外部工具30a更新车载网络系统10中的ECU保持的共有密钥的情况下的工作(共有密钥更新时序)。
图11和图12是表示在外部工具30a、主ECU100、ECU400a之间进行的共有密钥更新时序的一例的图。在这里,为了方便起见,关注作为外部工具30之一的外部工具30a和作为ECU400a~400f中的一个的ECU400a来进行说明。另外,假想为了更新具有驱动系统功能和底盘系统功能的各ECU保持的共有密钥而使用外部工具30a的场面并进行说明。具体而言,从外部工具30a向车载网络系统10发送用于更新具有驱动系统功能的ECU400a和具有底盘系统功能的ECU400b各自保持的共有密钥60d的带有消息ID“0x102”的更新消息。由于ECU400b的工作与ECU400a的工作相同,所以在这里省略说明。
首先,在外部工具30a物理地连接到用总线500d与主ECU100连接的诊断端口600的状态下,外部工具30a通过向总线500d送出证书(也即是,外部工具30a保持的公钥证书40a),从而为了通信连接而对ECU100发送认证请求(步骤S1001)。此外,外部工具30a例如可根据利用者的操作等,发送车载网络系统10的ECU内的数据(共有密钥、固件)的更新用更新消息。但是,为了利用更新消息实现更新,需要在更新消息的发送之前,例如根据利用者的操作等发送认证请求(证书)。
主ECU100的收发部101接收公钥证书40a,在判定部103中验证公钥证书40a(步骤S1002)。关于公钥证书40a的验证,例如,验证认证站的签名,而且用挑战响应(CR)认证方式确认外部工具30a是否保持有与记载在公钥证书40a中的公钥对应的私钥。在CR认证方式中,例如,主ECU100向外部工具30a发送随机数,当外部工具30a向主ECU100返回作为用私钥加密随机数得到的结果的加密随机数时,主ECU用公钥证书40a内的公钥解密加密随机数,并确认是否与最初发送的随机数相等。如果步骤S1002中的验证失败,则主ECU100进行错误处理(步骤S1003)。通过在步骤S1003中的错误处理,不承认来自外部工具30a的通信连接,外部工具30a例如无法发送更新消息并更新ECU的数据。此外,主ECU100既可以向外部工具30a返回错误之意的响应作为错误处理,也可以不返回。
如果步骤S1002中的验证成功,则主ECU100使用随机数生成会话密钥,所述会话密钥用于在与外部工具30a的通信中实施加密处理(步骤S1004)。例如,在加密更新消息内的数据的情况下,会话密钥作为用于加密的密钥使用,另外,在更新消息内的数据中附加MAC的情况下,会话密钥作为用于生成MAC的密钥使用。
在步骤S1004之后,主ECU100的收发部101用外部工具30a的公钥加密会话密钥,向外部工具30a发送作为加密结果的加密会话密钥、主ECU100的公钥证书40c(步骤S1005)。
在外部工具30a中,进行主ECU100的公钥证书40c的验证(步骤S1006)。如果验证失败,则进行错误处理(步骤S1007)。另外,如果验证成功,则外部工具30a用外部工具30a保持的私钥解密在步骤S1004中从主ECU100发送并接收到的加密会话密钥,并取得会话密钥(步骤S1008)。
步骤S1008之后,外部工具30a生成带有消息ID“0x102”的共有密钥60d的更新用更新消息,并使用会话密钥对更新消息实施加密处理(步骤S1009)。作为对更新消息的加密处理的例子,可列举:在数据字段中存储例如共有密钥60d的更新所需的数据(例如,在ECU400a中利用带密钥哈希函数等进行更新的情况下,成为该密钥的数据)并加密该数据或在该数据上附加MAC等。另外,即使是在共有密钥60d的更新中无需数据的情况下,例如也可将与更新消息的整体或一部分对应的MAC存储在数据字段中。例如,在车载网络系统10中,关于进行怎样的处理来作为与更新消息对应的加密处理,预先规定应进行的预定加密处理(也即是,使用了会话密钥的预定加密处理)。然后,各ECU按照该规定,与适当地(也即是,使用会话密钥的验证成功)实施了预定加密处理(例如MAC的附加)的更新消息对应而进行更新,如果没有适当地实施预定加密处理,则对该更新消息制止更新。
外部工具30a将在步骤S1009中生成的更新消息发送给主ECU100(步骤S1010)。
判定部103利用接收ID判断部130判别通过外部工具30a在步骤S1010中发送而主ECU100的收发部101接收到的消息(帧)的消息ID是否为应接收ID(步骤S1011)。共有密钥更新用消息ID“0x100”~“0x104”和固件更新用消息ID“0x200”~“0x206”被判别为是应接收ID。在这里,由于假想了外部工具30a发送更新消息来进行说明,所以将来自外部工具30a的消息(帧)称为更新消息,但由于实际上也有可能不是更新消息,所以在步骤S1011中进行判别。也就是说,如果从外部工具30a发送来的消息(帧)实际上是更新消息,则判别为应接收。此外,在这里,为了便于说明,主ECU100不将来自连接到诊断端口600的外部工具30(例如外部工具30a等)的更新消息以外的消息的消息ID作为应接收ID来处理。
在步骤S1011中判定为收发部101接收到的消息的消息ID不是应接收ID的情况下,主ECU100的判定部103中止该消息ID的消息所涉及的处理,在收发部101中不接收ID字段以后的内容(数据字段等)并结束处理(步骤S1012)。
在步骤S1011中判定为收发部101接收到的消息的消息ID是应接收ID的情况下,主ECU100的判定部103根据接收到的消息的消息ID“0x102”、和记载在外部工具30a的公钥证书40a中的更新权限信息的等级与保持于等级信息保持部104的等级信息1040中的消息ID1041、和等级1042之间的对应关系是否一致,判定接收到的消息是否是被许可的更新消息(步骤S1013)。即,判定部103基于等级信息1040,判定更新权限信息是否表示利用外部工具30a的更新消息的发送在外部工具30a的权限范围内。如果接收到的消息不是被许可的更新消息,则进行错误处理(步骤S1014)。通过在步骤S1014中的错误处理,能制止与更新消息对应的更新。在这里,当设为公钥证书40a的更新权限信息的等级为3(参照图3)时,由于与消息ID“0x102”的更新消息之间的对应关系和等级信息1040表示的对应关系(参照图8)一致,所以判定部103判定为从外部工具30a接收到的更新消息为被许可的更新消息。
在步骤S1013中判定为接收到的消息的发送在外部工具30a的权限范围内的情况下(也即是,在判定为接收到的消息为被许可的更新消息的情况下),判定部103向帧生成部120发出指示,以生成传送用的更新消息(步骤S1015)。由此,在帧生成部120中,基于主ECU100从外部工具30a接收到的原来的更新消息,为了向总线500b的传送用(即向其他ECU的传送用)而生成新的更新消息(帧)。例如,在将用于主ECU100与外部工具30a的通信的会话密钥、和用于与其他ECU(至少与总线500b连接的各ECU)的通信的会话密钥设为不同的情况下,如果对原来的更新消息实施的加密处理为加密,则帧生成部120通过使用与外部工具30a的通信用的会话密钥进行解密,对该处理的结果使用在与其他ECU的通信中使用的会话密钥实施加密,从而生成新的更新消息。另外,如果对原来的更新消息实施的加密处理为MAC的附加,则帧生成部120通过使用在与其他ECU的通信中使用的会话密钥生成MAC,用生成的MAC置换原来的更新消息的MAC,从而生成新的更新消息。在该情况下,也可以是,在对原来的更新消息的MAC进行验证且验证失败的情况下进行错误处理。另外,例如,在将用于主ECU100与外部工具30a的通信的会话密钥、用于与其他ECU的通信的会话密钥设为相同的情况下,帧生成部120生成与原来的更新消息相同的新的更新消息。
在步骤S1015之后,帧收发部160将主ECU100的帧生成部120生成的更新消息向总线500b送出(步骤S1016)。即,在从外部工具30a发送了更新消息的情况下,在更新权限信息的验证(即公钥证书的验证)成功,且更新权限信息表示更新消息的发送在外部工具30a的权限范围内时,主ECU100将更新消息传送给总线500b。此外,在更新权限信息的验证失败时或者更新权限信息未表示更新消息的发送在外部工具30a的权限范围内时,不进行更新消息向总线500b的传送。
由主ECU100向总线500b送出的更新消息通过网关300传送给总线500a和总线500c。由此,ECU400a~400f能够接收更新消息。因此,当主ECU100判定为更新权限信息表示某消息ID的更新消息的发送在外部工具30a的权限范围内时,可利用为了接收该消息ID的更新消息而预先确定的ECU,执行与更新消息对应的更新。
在ECU400a(参照图9)中,由帧收发部460接收更新消息,由帧解释部450解释该消息的内容,向接收ID判断部430查询是否是应接收ID。接收ID判断部430参照接收ID列表保持部440保持的接收ID列表,判断接收到的消息的ID字段的值是否是应接收ID(步骤S1017)。接收ID判断部430在步骤S1017中判定为由帧收发部460接收到的消息的消息ID不是应接收ID的情况下,帧解释部450中止该接收到的消息所涉及的处理,在帧收发部460中不接收ID字段以后的内容并结束处理(步骤S1018)。
接收ID判断部430在步骤S1017中判断为由帧收发部460接收到的消息的ID字段的值是应接收ID的情况下,ECU400a利用帧处理部410执行与该消息(即更新消息)对应的处理(即共有密钥60d的更新)(步骤S1019)。在帧处理部410中,根据密钥保持部402当前保持的共有密钥60d,使用更新消息的数据字段内的密钥数据,利用带密钥哈希函数生成更新后的新的共有密钥60d。在更新中不一定必须利用带密钥哈希函数,作为另一例,可列举使用没有密钥的哈希函数(单向函数),将原来的共有密钥更新为新的共有密钥。此外,在ECU400a中,使用会话密钥进行对更新消息实施的加密处理(加密或MAC附加)所对应的处理(解密或MAC验证),取得更新消息的密钥数据。
ECU400a在共有密钥60d的更新后将表示更新的结果的消息(称为更新结果消息)向总线500a送出(S1020),以向主ECU100传递。此外,更新结果消息的消息ID预先确定,主ECU100将更新结果消息的消息ID保持在接收ID列表保持部140的列表中。更新结果消息例如表示已完成更新之意(即更新成功之意)。此外,也可以是,在更新时产生了错误的情况下(例如密钥数据的MAC验证失败等情况下),更新结果消息表示更新失败之意。利用网关300从总线500a向总线500b传送更新结果消息。
当主ECU100接收更新结果消息时,密钥保持部102用与ECU400a相同的方法更新密钥保持部102保持的共有密钥60d(参照图6)(步骤S1021)。此外,也可以是,主ECU100例如仅在接受到来自ECU400a的表示更新成功之意的更新结果消息和来自ECU400b的表示更新成功之意的更新结果消息这两方的情况下,更新密钥保持部102保持的共有密钥60d。
主ECU100通过向总线500d送出在步骤S1020中接收到的更新结果消息,经由诊断端口600发送给外部工具30a(步骤S1022)。由此,在外部工具30a中接收更新结果消息,知道在车载网络系统10中目的更新已完成这一情况,例如可向利用者报告(例如,如果外部工具30a具有显示装置则进行显示等)更新的完成。
以上,示出了外部工具30a发送ECU400a、400b和主ECU100各自保持的共有密钥60d的更新用更新消息的例子,但在发送了其他ECU保持的共有密钥的更新用更新消息的情况下,或发送了ECU内的固件更新用更新消息的情况下,各装置也进行同样的工作。此外,也可以是,外部工具30a在发送了一次认证请求后,逐次发送各更新消息。在该情况下,在执行一次步骤S1001至步骤S1008的处理后,每当外部工具30a发送各更新消息时,反复进行步骤S1009以后的处理。另外,ECU内的固件更新用更新消息例如包括用于确定更新后的固件内容的信息,在成为更新消息的对象的ECU中,基于用于确定该更新后的固件内容的信息来改写固件。固件例如包括ECU内的程序等软件、在程序中使用的数据,例如可包括ECU内的处理器中的微代码。另外,例如在ECU包括FPGA(Field Programmable Gate Array:现场可编程门阵列)等的情况下,固件可包括电路构成用的数据。另外,在这里的说明中,为了方便起见,分别处理共有密钥和固件,但也可以对固件包括共有密钥进行处理。
[1.12实施方式1的效果]
在实施方式1涉及的车载网络系统10中,基于更新权限信息表示的与ECU的功能类别对应而确定的等级,判定与诊断端口600连接的外部工具30是否具有更新特定的ECU内的数据的更新消息的发送权限,即外部工具30是否具有更新特定的ECU内的数据的权限,所述更新权限信息表示对外部工具30认定的权限。由此,能够防止由非法外部工具更新ECU内的共有密钥或固件。另外,能够按每个外部工具,例如根据外部工具的机密性、可靠性、操作外部工具的从业者的可靠性以及其他各种情况,使更新权限信息的等级不同来设定(和认定)。也能够对不同的维护人员等分发改变了等级的外部工具,能够根据各种情况进行灵活地限制了更新权限的运用。例如,越是充分确保机密性、可靠性等安全性的外部工具,则可认定越高的权限等级等。这样能够按每个外部工具设定更新权限信息的等级,对于为了根据用途等有效、灵活地设计和制造外部工具,或者为了根据用途灵活地进行外部工具的运用上的安全性确保等,是有用的。
(实施方式2)
以下,说明将实施方式1所示的车载网络系统10进行一部分变形而成的车载网络系统10a。
在实施方式1涉及的车载网络系统10中,在诊断端口600上连接了外部工具30的情况下,主ECU100认证外部工具30,仅在来自外部工具30的更新消息在更新权限信息表示的权限(等级)的范围内的情况下,许可外部工具30用该更新消息更新ECU内的数据。
在本实施方式涉及的车载网络系统10a中,在是否许可外部工具30的更新消息的判定中,不仅参照等级,也参照搭载了车载网络系统10a的车辆的状态和车辆中的电池的剩余量的状态。本实施方式涉及的车载网络系统10a的构成基本上与实施方式1所示的车载网络系统10(参照图1)相同,以下,对于与实施方式1相同的部件,使用相同的标号。
[2.1车载网络系统10a的整体构成]
图13是表示实施方式2涉及的车载网络系统10a的整体构成的图。此外,在该图中,除了车载网络系统10a之外,还示出了外部工具30。
在车载网络系统10a中,相对于车载网络系统10(图1)追加了蓄电池800和ECU400g。在这里,省略与实施方式1相同的构成要素的说明。
ECU400g与总线500b连接,进行电池(蓄电池)800的充放电所涉及的控制,取得并管理蓄电池800的剩余量,定期地将表示电池剩余量的状态的帧发送给网络(即总线500b)。
蓄电池800向车载网络系统10中的各ECU供给电力。
[2.2等级信息]
图14是表示实施方式2中的主ECU100的等级信息保持部104保持的等级信息2040的一例的图。
等级信息2040是将消息ID2014、等级2042、电池剩余量条件2043以及车辆状态条件2044进行了关联的信息,在判定部103中用于是否许可来自外部工具30的更新消息的判定。消息ID2041和等级2042与实施方式1所示的消息ID1041和等级1042相同。电池剩余量条件2043表示为了许可更新消息所需的电池的剩余量的条件,例如,电池的剩余量设定为足以进行更新的程度的充分的量,作为具体例,将满充电的充电量设为100%,设定充电50%以上的剩余量和充电80%以上的剩余量中的某一个。另外,车辆状态条件2044表示为了许可更新消息所需的车辆状态的条件,例如,设定停车状态(车辆的速度成为零的状态)和发动机OFF状态(停止发动机310的状态)中的某一个。
例如,示出了:消息ID“0x104”的共有密钥更新用更新消息在更新权限信息的等级为1或1以上,蓄电池800的电池剩余量为充电50%以上,且车辆状态为停车状态时被许可。另外,示出了:消息ID“0x201”的固件更新用更新消息在更新权限信息的等级为4,蓄电池800的电池剩余量为充电80%以上,且车辆状态为发动机OFF状态时被许可。
[2.3共有密钥更新时序]
以下,作为更新管理方法的一例,使用图15和图16说明将外部工具30a与诊断端口600连接,从外部工具30a更新车载网络系统10a中的ECU保持的共有密钥的情况下的工作(共有密钥更新时序)。
图15和图16是表示在外部工具30a、主ECU100、ECU400a之间进行的共有密钥更新时序的一例的图。在这里,为了方便起见,关注作为外部工具30之一的外部工具30a和作为ECU400a~400g中的一个的ECU400a来进行说明。另外,假想为了更新具有驱动系统功能和底盘系统功能的各ECU保持的共有密钥而使用外部工具30a的场面来进行说明。具体而言,从外部工具30a向车载网络系统10发送用于更新具有驱动系统功能的ECU400a和具有底盘系统功能的ECU400b各自保持的共有密钥60d的带有消息ID“0x102”的更新消息。由于ECU400b的工作与ECU400a的工作相同,所以在这里省略说明。另外,由于步骤S2001至步骤S2012、步骤S2014至步骤S2022的处理与实施方式1所示的步骤S1001至步骤S1012、步骤S1014至步骤S1022的处理(参照图11和图12)同等,所以省略说明,在这里,仅说明与实施方式1不同的步骤S2013a~S2013c。
在步骤S2013a中,主ECU100的判定部103根据接收到的消息的消息ID“0x102”和记载在外部工具30a的公钥证书40a中的更新权限信息的等级,与保持于等级信息保持部104的等级信息2040中的消息ID2041和等级2042之间的对应关系是否一致,判定接收到的消息是否作为适当的更新消息而满足关于权限的等级的条件。即,判定部103基于等级信息2040,判定更新权限信息是否表示利用外部工具30a的更新消息的发送在外部工具30a的权限范围内。在接收到的消息不满足关于权限的等级的条件的情况下,进行错误处理(步骤S2014)。在这里,当设为公钥证书40a的更新权限信息的等级为3(参照图3)时,与消息ID“0x102”的更新消息的对应关系与等级信息2040表示的对应关系(参照图14)一致,所以判定部103判定为从外部工具30a接收到的更新消息在等级方面是适当的更新消息,并将处理转移到接下来的步骤S2013b。
在步骤S2013b中,判定部103检查蓄电池800的电池剩余量是否满足条件。在管理蓄电池800的电池剩余量的ECU400g定期地发送表示电池剩余量的状态的消息(称为电池剩余量帧)的情况下,主ECU100用帧收发部160接收来自ECU400g的电池剩余量帧。此外,在主ECU100的接收ID列表保持部140保持的接收ID列表中,包括来自ECU400g的电池剩余量帧的消息ID。判定部103检查从ECU400g接收到的电池剩余量帧表示的电池剩余量是否满足保持在等级信息保持部104中的消息ID2041所对应的电池剩余量条件2043。如果满足电池剩余量的条件,则将处理转移至接下来的步骤S2013c。在不满足电池剩余量的条件的情况下(也即是,检查的结果为NG的情况下),进行错误处理(步骤S2014)。此外,也可以是,ECU400g不是定期地发送表示电池剩余量的状态的电池剩余量帧,在该情况下,也可以是,在步骤S2013b中,主ECU100例如通过向ECU400g发送请求电池剩余量帧的发送的帧,从ECU400g接收电池剩余量帧,取得更新消息被接收时(即当前)的电池剩余量的状态。
在步骤S2013c中,判定部103检查车辆状态是否满足条件。在发动机310所涉及的ECU400a定期地发送表示发动机状态、车速等车辆状态信息的消息(称为车辆状态帧)的情况下,主ECU100用帧收发部160接收来自ECU400a的车辆状态帧。此外,在主ECU100的接收ID列表保持部140保持的接收ID列表中,包括来自ECU400a的车辆状态帧的消息ID。判定部103检查从ECU400a接收到的车辆状态帧表示的发动机状态、车速等车辆状态是否满足保持在等级信息保持部104中的消息ID2041所对应的车辆状态条件2044。如果满足车辆状态的条件,则判定部103判定为从外部工具30a接收到的更新消息被许可,将处理转移到步骤S2015。另外,在不满足车辆状态的条件的情况下(也即是,检查的结果为NG的情况下),进行错误处理(步骤S2014)。此外,也可以是,ECU400a不是定期地发送车辆状态帧,在该情况下,也可以是,在步骤S2013c中,主ECU100例如通过向ECU400a发送请求车辆状态帧的发送的帧,从ECU400a接收车辆状态帧,取得更新消息被接收时(即当前)的车辆状态。
[2.4实施方式2的效果]
在实施方式2涉及的车载网络系统10a中,关于是否许可来自外部工具30的更新消息所涉及的处理(更新),不仅根据权限的等级,也根据在电池剩余量的状态和车辆状态为怎样的状态的情况下发送更新消息来判定。因此,除了实施方式1涉及的车载网络系统10的效果以外,还具有以下效果。即,通过确认电池剩余量,使ECU内的数据(共有密钥或固件)的更新处理切实地完成而不会在中途中断。另外,通过确认车辆状态,例如,能够避免在车辆行驶期间等ECU的负荷高且总线流量增大时传送更新消息并进行更新,能提高更新成功的可能性。
(实施方式3)
在本实施方式中,说明了将实施方式1涉及的车载网络系统10中的主ECU100部分地变形,并能够进行与共有密钥的有效期限有关的报告的例子。
[3.1主ECU(更新管理装置)100a的构成]
图17是主ECU100a的构成图。为了检查共有密钥的有效期限,主ECU100a具有在实施方式1所示的主ECU100的构成要素上增加了时刻信息取得部180和密钥更新确认部190而成的构成。这些各构成要素为功能性构成要素,该各功能利用主ECU100a中的通信线路、执行保存在存储器中的控制程序的处理器或数字电路等来实现。在这里,省略关于实施方式1所示的构成要素的说明。
时刻信息取得部180例如包括实时时钟等计时机构,取得当前时刻(即当前的日期和时间)并逐次向密钥更新确认部190通知。
密钥更新确认部190确认从时刻信息取得部180通知的当前时刻、对密钥保持部102保持的共有密钥预先确定的有效期限,在过了作为警报通知定时而预先设定的定时的时间点(也即是,有效期限的一定期间前),使帧生成部120生成密钥更新警报消息并从帧收发部160发送。
在图18中示出对每一个密钥保持部102保持的共有密钥关联了共有密钥识别信息3310、有效期限3311以及警报通知定时3312而成的信息的一例。共有密钥识别信息3310是区别各共有密钥的信息。有效期限3311表示为了确保对应的共有密钥识别信息指定的共有密钥的安全性而预先确定的有效期限。警报通知定时3312表示在有效期限之前应催促密钥更新的定时。密钥更新确认部190参照该图18所示的信息。例如,如果是共有密钥60a,则从有效期限的3个月前发送密钥更新警报消息,如果是共有密钥60d,则从有效期限的1个月前发送密钥更新警报消息。
密钥更新警报消息由与头单元200连接的ECU400f接收。当ECU400f接收密钥更新警报消息时,将警告信息(画面)显示在头单元200的显示装置上,所述警告信息表示正在接近共有密钥的有效期限之意等,并催促共有密钥的更新。
[3.2密钥更新警报消息]
图19是表示在接近共有密钥的有效期限的情况下显示在头单元200的显示装置上的画面的一例的图。
在图19的例子中,画面3320包括当前日期和时间、和ECU的共有密钥的有效期限,还包括用于进行共有密钥的更新的维护人员(在该例子中为经销商)的联系方式、该网站的URL(Uniform Resource Locator:统一资源定位符)。另外,画面3320包括用于向通过导航系统将目的地设定为经销商的地址的画面迁移的GUI(Graphical User Interface:图形用户界面)的按钮3321。此外,该经销商的信息例如可以在贩卖等时候预先登记在主ECU100a中,也可以经由具有车联网系统功能的ECU取得。
例如,如果看到图19例示的画面3320的驾驶员驾驶车辆前往经销商等维护人员处,则如实施方式1、2等说明的那样,经销商等可使用外部工具30,执行车载网络系统中的ECU保持的共有密钥的更新。
[3.3实施方式3的效果]
在实施方式3涉及的车载网络系统中,在管理共有密钥的有效期限并接近有效期限的情况下,在头单元的显示装置上显示向车辆的驾驶员等催促密钥更新这样的警告信息(画面)。由此,能实现应接受在经销商等的维护的警告等这样的用于确保共有密钥涉及的安全性的提醒注意。
(实施方式4)
在本实施方式中,说明如下例子:以在更新结果消息中赋予车辆识别信息并向外部工具30发送的方式将实施方式1涉及的车载网络系统10中的主ECU100进行变形,且外部工具30与服务器35进行通信。
[4.1服务器]
与外部工具30进行通信的服务器35是存在于搭载车载网络系统10的车辆的外部的计算机。以在多辆车辆中分别搭载有车载网络系统10为前提,服务器35管理外部工具30对哪辆车辆(即车载网络系统)进行了怎样的更新(ECU内的数据的更新)。
[4.2共有密钥更新时序]
以下,作为本实施方式中的更新管理方法的一例,使用图20和图21说明将与服务器35进行通信的外部工具30a连接到某车辆的车载网络系统10中的诊断端口600,从外部工具30a使车载网络系统10中的ECU保持的共有密钥的情况下的工作(共有密钥更新时序)。
图20和图21是表示在与服务器35进行通信的外部工具30a、主ECU100、ECU400a之间进行的共有密钥更新时序的一例的图。由于步骤S3001至步骤S3021的处理与实施方式1所示的步骤S1001至步骤S1021的处理(参照图11和图12)同等,所以省略说明,在这里,仅说明与实施方式1不同的步骤S3000a、S3000b、S3022、S3023以及S3024。
在步骤S3000a中,外部工具30a向服务器35发出连接请求。即,外部工具30a例如将使用了预先登记的ID(例如工具ID)和密码的登录请求发送给服务器35。
在步骤S3000b中,服务器35接受来自外部工具30a的连接请求,如果ID和密码与预先登记的信息一致,则进行登录处理并返回正常响应。
在步骤S3000b之后,外部工具30a、主ECU100以及ECU400a如在实施方式1中说明的那样进行共有密钥的更新涉及的处理。由此,在步骤S3020中,主ECU100接收来自ECU400a的表示更新结果的更新结果消息。
在步骤S3022中,主ECU100通过向总线500d送出带车辆识别信息的更新结果消息,经由诊断端口600发送给外部工具30a,所述带车辆识别信息的更新结果消息是在来自ECU400a的更新结果的基础上加入车辆识别信息而成的消息。由此,在外部工具30a中接收带车辆识别信息的更新结果消息。车辆识别信息是在多个车载网络系统之中识别连接有该外部工具30a的车载网络系统的信息即可,例如是主ECU100的公钥证书40c(参照图3)等。
在步骤S3023中,外部工具30a将接收到的带车辆识别信息的更新结果消息表示的车辆识别信息和更新结果发送给服务器35。
在步骤S3024中,服务器35将接收到的车辆识别信息和更新结果、当前日期和时间、在登录时接收到的ID进行关联并作为日志信息4000保存。
[4.3诊断日志信息]
图22是表示服务器35保存的日志信息4000的一例的图。日志信息4000包括车辆识别信息4001、外部工具ID4002、更新消息的消息ID4003、日期和时间4004以及更新结果4005。
[4.4实施方式4的效果]
在本实施方式中,由于服务器35保存日志信息4000,并保留哪辆车辆利用哪个外部工具进行更新等信息,所以能够掌握维护状况。另外,在发现非法外部工具的情况下,为了确定该外部工具的影响范围,能够利用日志信息4000。
(其他实施方式)
以上,说明了实施方式1~4作为本发明涉及的技术的例示。然而,本发明涉及的技术不限定于此,也可应用于适当进行了变更、置换、附加以及省略等而成的实施方式。例如,以下变形例也包括于本发明的一实施方式中。
(1)示出了上述实施方式所示的共有密钥利用将功能分类的功能类别来区别共有范围的例子,但不限定于此,主ECU和其他一个或多个ECU共同具有共有密钥的单位可在车载网络系统中任意地确定。例如,也可以将车内网络分为多个域并按每个域设定共有密钥。在该情况下,也可以是,作为更新所需的权限的等级,区分域而设定等级信息。另外,在上述实施方式中示出了外部工具30具有公钥证书,且所述公钥证书包括根据功能类别设定了权限的等级的更新权限信息的例子,但也可以是,具有公钥证书,所述公钥证书包括设定了与汽车制造商和/或车型对应的更新权限的更新权限信息。
(2)在上述实施方式中,通过利用带密钥哈希函数,根据当前各ECU保持的共有密钥生成新的共有密钥,从而进行共有密钥的更新,但也可以是,外部工具30将新的共有密钥本身加入更新消息并发送。在该情况下,在共有密钥的值无法保持在CAN的一个帧内的情况下,也可以分割为多个帧并发送。
(3)在上述实施方式中,示出了从外部工具30发送用于更新ECU内的数据(共有密钥、固件等)的更新消息的例子,但是除此之外,可发送故障诊断用等的消息。也可以是,对于更新消息以外的消息,在车载网络系统(例如主ECU)中,不进行基于等级信息的权限的判定,进行与消息对应的处理。进而,也可以是,对于包括故障诊断用等的消息在内的任意的消息,在车载网络系统(例如主ECU)中,基于表示权限的等级的权限信息,判定该消息的发送是否在外部工具30所承认的权限范围内。
(4)在上述实施方式中,权限的等级设定为1至4,但等级也可以不是4个等级,也可以设定为4个以上或4个以下。
(5)上述实施方式所示的功能类别的分类方法只不过为一例,例如也可以更详细地细分化。可以将功能类别最精细地分类,例如按每个ECU设定ECU内的数据的更新涉及的权限的等级。
(6)在实施方式2中,示出了利用相对于蓄电池800的满充电的比例(百分比)作为电池剩余量条件2043来进行区别的例子,但也可以用蓄电池800的电压等来进行区别。另外,也可以是,设定区别是否正在从存在于车辆外部的外部电源向蓄电池800充电的条件。由此,例如,能够实现仅在充电期间许可一定的共有密钥、固件的更新等。
(7)在实施方式3中,示出了如下例子:在接近共有密钥的有效期限的情况下,基于密钥更新警报消息显示信息(画面),所述信息表示正在接近密钥更新的有效期限之意等,但也可以反复或持续地显示该信息,也可以在有效期限到期的情况下报告(显示等)警告。
(8)在实施方式3中,示出了如下例子:为确认共有密钥的有效期限到期,主ECU100a的时刻信息取得部180用计时机构取得当前时刻,但也可以从WiFi(注册商标)、移动电话的专用网取得表示当前时刻的时刻信息,也可以从GPS(Global PositioningSystem:全球定位系统)信号取得时刻信息。另外,主ECU100a也可以从其他ECU取得时刻信息。
(9)也可以是,上述实施方式所示的外部工具30通过从服务器接收而取得更新消息,并经由诊断端口600传送给主ECU。
(10)在上述实施方式中,在外部工具30与主ECU之间进行认证,但也可以是,在诊断端口600上附加承担认证的电子电路(例如存储器、处理器等)等,在诊断端口600进行外部工具30的认证,所述诊断端口600是遵照OBD2标准的连接器等。在该情况下,如果利用诊断端口600完成外部工具30的认证,则主ECU可省略外部工具30的认证。此外,也可以是,即使利用诊断端口600完成外部工具30的认证,也如上述实施方式所示,在外部工具30与主ECU之间进行认证。此外,也可以是,不用遵照OBD2标准的连接器等来实现诊断端口600,用其他连接器来实现诊断端口600。另外,也可以是,通过加入无线通信线路而实现诊断端口600,能够通过无线通信在与外部工具30之间连接。
(11)在实施方式2中,示出了在接收到更新消息时主ECU100检查电池剩余量的状态和车辆状态的例子,但也可以仅检查电池剩余量和车辆状态中的任一方。另外,也可以是,更新权限信息不仅表示权限的等级,也表示实施方式2所示的电池剩余量条件、车辆状态条件等这样的关于更新权限的条件。例如,也可以是,更新权限信息作为车辆状态条件,确定作为车辆状态的停车状态或停止发动机的状态,并表示外部工具具有如下权限:,在车辆是所确定的该状态时,以发送更新消息为至少一个条件使ECU进行更新。另外,例如,也可以是,更新权限信息作为电池剩余量条件,确定向ECU供给电力的电池的剩余量的状态,并表示外部工具具有如下权限:在该电池为具有所确定的该电池剩余量的状态时,以发送更新消息为至少一个条件使ECU进行更新。而且,例如,也可以是,主ECU100基于更新权限信息表示的电池剩余量条件、车辆状态条件来取代等级信息2040中的电池剩余量条件2043和车辆状态条件2044,进行检查(步骤S2013b、S2013c)。由此,能够进行如下运用:对于外部工具,根据外部工具的可靠性等,认定赋予一定条件的权限,发行记载了更新权限信息的公钥证书,所述更新权限信息表示该条件和权限的等级。
(12)在上述实施方式中,以标准ID格式记述了CAN协议下的数据帧,但也可以是扩展ID格式。在扩展ID格式的情况下,用标准ID格式中的ID位置的基础ID和扩展ID共29位来表示消息ID。
(13)在上述实施方式中,示出了如下例子:在将连接了外部工具30的诊断端口600与主ECU连接起来的总线500d上没有连接其他ECU,但也可以连接ECU。但是,主ECU以外的与总线500d连接的ECU可利用外部工具30(例如,主ECU的认证成功而得到会话密钥的外部工具30)发送的更新消息来更新该数据(共有密钥、固件等)。因此,例如,仅限如下的ECU等连接到总线500d是有用的,所述ECU具有作为更新权限等级的、最低的等级所对应的功能类别的功能。
(14)在上述实施方式中,在外部工具30超过被承认的权限的等级而向ECU发送指示更新的更新消息的情况下,主ECU判定该更新消息是否是被许可的更新消息(步骤S1013),如果不是被许可的更新消息,则进行错误处理(步骤S1014),能制止与更新消息对应的更新。但是,也可以是,主ECU以外的ECU(例如,成为利用更新消息进行的更新的指示对象的ECU)基于外部工具30的更新权限信息,切换是执行还是制止更新。即,也可以是,在车载网络系统的某一个ECU中,在从外部工具30发送来更新消息的情况下,在更新权限信息的验证成功、且更新权限信息表示更新消息的发送在外部工具30的权限范围内时,与更新消息对应而利用一个或多个ECU执行更新,在该验证失败时,或者,更新权限信息未表示更新消息的发送在外部工具30的权限范围内时,制止由一个或多个ECU进行的与更新消息对应的更新。此外,如实施方式所示,切换主ECU是否一并地进行更新消息的传送的方式在效率方面是有用的。另外,也可以是,在网关300管理作为传送目的地的与总线连接的ECU的功能类别或该ECU能够接收的消息ID,在网关300接收到更新消息的情况下,基于作为传送目的地的与总线连接的ECU的功能类别或该ECU能够接收的消息ID,不进行不需要的更新消息的传送。
(15)上述实施方式所示的主ECU100、100a、ECU400a等功能构成只不过是一例,也可以进行与上述功能构成不同的功能分割。例如,也可以是,主ECU100、100a包括:相当于收发部101的接收功能的接收部、担当判定部103中的公钥证书(包括更新权限信息的公钥证书)的验证的验证部以及相当于判定部103的一部分、帧生成部120的一部分以及帧收发部160的一部分来进行更新消息的发送所涉及的控制的传送部。在该情况下,例如,接收部承担如下功能:接收经由诊断端口600从与诊断端口600连接的外部工具30发送来的、表示外部工具30的权限的更新权限信息和指示一个或多个ECU保持的数据的更新的更新消息。另外,验证部承担验证由接收部接收到的更新权限信息的功能。另外,传送部承担如下功能:在利用接收部接收到更新消息的情况下,在验证部的验证成功、且更新权限信息表示更新消息的发送在外部工具30的权限范围内时,将更新消息传送给总线500b,在验证部的验证失败时,或更新权限信息未表示更新消息的发送在外部工具30的权限范围内时,制止传送。另外,也可以是,在具有处理器的主ECU100、100a中由处理器执行的控制程序是用于使主ECU100、100a执行例如以下预定的更新管理处理的程序。预定的更新管理处理包括:更新权限信息接收步骤,接收经由诊断端口从与诊断端口连接的外部工具发送来的表示该外部工具的权限的更新权限信息;验证步骤,验证在更新权限信息接收步骤中接收到的更新权限信息;更新消息接收步骤,接收经由诊断端口从外部工具发送来的更新消息;以及传送控制步骤,在更新消息接收步骤中接收到更新消息的情况下,在验证步骤中的验证成功且更新权限信息表示该更新消息的发送在外部工具的权限范围内时,将更新消息传送给与ECU进行通信用的总线,在验证步骤中的验证失败时或更新权限信息未表示该更新消息的发送在外部工具的权限范围内时,制止传送。
(16)上述实施方式中的主ECU和其他ECU例如是包括处理器、存储器等的数字电路、模拟电路以及通信线路等的装置,但也可以包括硬盘装置、显示器、键盘以及鼠标等其他硬件构成要素。另外,也可以利用专用硬件(数字电路等)实现功能,来取代利用处理器执行存储于存储器的控制程序而软件地实现该功能。
(17)构成上述实施方式中的各装置的构成要素的一部分或全部可以由一个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是将多个构成部集成在一个芯片上制造而成的超多功能LSI,具体而言,是包括微处理器、ROM以及RAM等而构成的计算机系统。在所述RAM中记录有计算机程序。通过所述微处理器按照所述计算机程序工作,系统LSI实现其功能。另外,构成上述各装置的构成要素的各部分既可以形成为独立的单片,也可以形成为包括一部分或全部的单片。另外,在这里,设为系统LSI,但根据集成度的不同,有时也称呼为IC、LSI、超级LSI以及超大规模LSI。另外,集成电路化的方法不限于LSI,也可以用专用电路或通用处理器来实现。在LSI制造后,也可以利用可编程的FPGA和/或利用能够将LSI内部的电路单元的连接和/或设定重新构建的可重构处理器。进一步地,如果因半导体技术的进步、或派生的其他技术而出现代替LSI的集成电路化的技术,当然也可以使用该技术进行功能块的集成化。也有可能应用生物技术等。
(18)构成上述各装置的构成要素的一部分或全部可以由可拆装于各装置的IC卡或单个模块构成。所述IC卡或所述模块是由微处理器、ROM以及RAM等构成的计算机系统。所述IC卡或所述模块也可以包括上述的超多功能LSI。通过微处理器按照计算机程序工作,所述IC卡或所述模块实现其功能。该IC卡或该模块也可以具有防篡改性。
(19)作为本发明的一个技术方案,也可以是上述说明所示的共有密钥更新时序等的更新管理方法。另外,既可以是利用计算机实现这些方法的计算机程序,也可以是由所述计算机程序构成的数字信号。另外,作为本发明的一个技术方案,也可以将所述计算机程序或所述数字信号记录于计算机可读取的记录介质,例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)以及半导体存储器等。另外,也可以是记录在这些记录介质中的所述数字信号。另外,作为本发明的一个技术方案,也可以经由电通信线路、无线或有线通信线路、以互联网为代表的网络以及数据广播等输送所述计算机程序或所述数字信号。另外,作为本发明的一个技术方案,也可以是具备微处理器和存储器的计算机系统,所述存储器可以记录有上述计算机程序,所述微处理器可以按照所述计算机程序工作。另外,也可以通过将所述程序或所述数字信号记录于所述记录介质并移送,或经由所述网络等移送所述程序或所述数字信号,从而利用独立的其他计算机系统实施。
(20)通过任意组合上述实施方式和上述变形例所示的各构成要素和功能而实现的方式也包括在本发明的范围内。
产业上的可利用性
本发明可利用于在车载网络中管理来自外部工具的ECU的固件等的更新,减轻非法改写等风险。
标号说明
10、10a 车载网络系统
20 密钥发行机构
21 制造商
30、30a、30b 外部工具
35 服务器
101 收发部
102、402 密钥保持部
103 判定部
104 等级信息保持部
110、410 帧处理部
120、420 帧生成部
130、430 接收ID判断部
140、440 接收ID列表保持部
150、450 帧解释部
160、460 帧收发部
180 时刻信息取得部
190 密钥更新确认部
200 头单元
300 网关
310 发动机
320 制动器
330 门开闭传感器
340 窗开闭传感器
350 气囊
470 数据取得部
500a~500d 总线
600 诊断端口
800 蓄电池
Claims (12)
1.一种更新管理方法,是由车载网络系统中的更新管理装置执行的更新管理方法,
所述车载网络系统具备经由网络进行通信的多个电子控制单元并连接有外部工具,
所述更新管理装置,
是所述多个电子控制单元中的一个电子控制单元,并且,
保持共有密钥和所述共有密钥的有效期限,所述共有密钥是在所述更新管理装置与所述更新管理装置以外的电子控制单元之间的加密处理用的第一会话密钥的传递中使用的密钥,
所述更新管理方法包括:
在从所述外部工具接收到指示所述共有密钥的更新的更新消息的情况下,进行表示所述外部工具的权限的更新权限信息的验证和由所述外部工具进行的所述更新消息的发送是否在所述外部工具的权限范围内的判定,
(i)在表示所述外部工具的权限的更新权限信息的验证成功、且判定为所述更新权限信息表示由所述外部工具进行的该更新消息的发送在所述外部工具的权限范围内时,将所述更新消息传送给所述网络;
(ii)在所述更新权限信息的验证失败时、或者判定为所述更新权限信息未表示由所述外部工具进行的所述更新消息的发送在所述外部工具的权限范围内时,制止所述传送,
判断当前时刻是否在所述有效期限内,在所述有效期限的一定时间前或者有效期限到期的情况下,发送催促所述共有密钥的更新的警告消息。
2.根据权利要求1所述的更新管理方法,
所述多个电子控制单元遵循CAN协议即控制器局域网协议进行通信,
从所述外部工具接收遵循了CAN协议的所述更新消息。
3.根据权利要求2所述的更新管理方法,
对于来自所述外部工具的所述更新消息的发送是否在所述外部工具的权限范围内的判定,基于所述更新消息的消息ID来进行判定,在判定为所述更新权限信息表示所述更新消息的发送在所述外部工具的权限范围内时,对确定为接收具有所述消息ID的所述更新消息的所述电子控制单元执行所述更新。
4.根据权利要求3所述的更新管理方法,
所述更新权限信息确定所述电子控制单元的分类用的多个功能类别中的一个或多个功能类别,并表示所述外部工具具有如下权限:使分类到所确定的该一个或多个功能类别中的某一个的所述电子控制单元进行所述更新,
通过基于所述更新消息的消息ID,判别确定为接收所述消息ID的所述电子控制单元的功能类别是否与利用所述更新权限信息确定的一个或多个功能类别中的某一个一致,由此进行所述判定。
5.根据权利要求4所述的更新管理方法,
所述更新权限信息表示用于确定一个或多个所述功能类别的多个等级中的一个等级,相对高的等级确定包含相对低的等级确定的一个或多个功能类别在内的多个功能类别。
6.根据权利要求1所述的更新管理方法,
在搭载所述车载网络系统的车辆的状态不是预定状态时,制止所述更新消息向所述网络的传送。
7.根据权利要求1所述的更新管理方法,
在向所述车载网络系统中的各电子控制单元供给电力的电池不具有预定电池剩余量时,制止所述更新消息向所述网络的传送。
8.根据权利要求1所述的更新管理方法,
将(i)在多个车载网络系统之中识别所述车载网络系统的识别信息和(ii)表示所述更新消息的处理结果的结果信息发送给所述外部工具。
9.根据权利要求1所述的更新管理方法,
所述更新消息指示的、所述电子控制单元保持的数据的所述更新是所述电子控制单元的固件的更新。
10.根据权利要求1所述的更新管理方法,
所述警告消息发送给控制显示器的电子控制单元。
11.一种车载网络系统中的更新管理装置,
所述车载网络系统具备经由网络进行通信的多个电子控制单元并连接有外部工具,
所述更新管理装置,
是所述多个电子控制单元中的一个电子控制单元,并具备:
保持部,保持共有密钥和所述共有密钥的有效期限,所述共有密钥是在所述更新管理装置与所述更新管理装置以外的电子控制单元之间的加密处理用的第一会话密钥的传递中使用的密钥;
接收部,从所述外部工具接收更新权限信息和更新消息,所述更新权限信息表示所述外部工具的权限,所述更新消息指示所述共有密钥的更新;
验证部,验证由所述接收部接收到的所述更新权限信息;
传送部,在由所述接收部接收到所述更新消息的情况下,(i)在由所述验证部进行的所述验证成功、且所述更新权限信息表示所述更新消息的发送在所述外部工具的权限范围内时,将所述更新消息传送给所述网络;(ii)在由所述验证部进行的所述验证失败时,或者,所述更新权限信息未表示该更新消息的发送在所述外部工具的权限范围内时,制止所述传送;
判断部,判断当前时刻是否在所述有效期限内;以及
发送部,在所述有效期限的一定时间前或者有效期限到期的情况下,发送催促所述共有密钥的更新的警告消息。
12.一种计算机可读取的记录介质,记录有由车载网络系统中的更新管理装置控制的程序,
所述车载网络系统具备经由网络进行通信的多个电子控制单元并连接有外部工具,
所述更新管理装置,
是所述多个电子控制单元中的一个电子控制单元,并且,
保持共有密钥和所述共有密钥的有效期限,所述共有密钥是在所述更新管理装置与所述更新管理装置以外的电子控制单元之间的加密处理用的第一会话密钥的传递中使用的密钥,
所述程序使所述更新管理装置执行包括以下的处理:
在从所述外部工具接收到指示所述共有密钥的更新的更新消息的情况下,使所述更新管理装置进行表示所述外部工具的权限的更新权限信息的验证和由所述外部工具进行的所述更新消息的发送是否在所述外部工具的权限范围内的判定,
(i)在表示所述外部工具的权限的更新权限信息的验证成功、且判定为所述更新权限信息表示由所述外部工具进行的该更新消息的发送在所述外部工具的权限范围内时,使所述更新管理装置将所述更新消息传送给所述网络;
(ii)在所述更新权限信息的验证失败时,或者,判定为所述更新权限信息未表示由所述外部工具进行的所述更新消息的发送在所述外部工具的权限范围内时,使所述更新管理装置制止所述传送,
使所述更新管理装置判断当前时刻是否在所述有效期限内,在所述有效期限的一定时间前或者有效期限到期的情况下,发送催促所述共有密钥的更新的警告消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910654690.5A CN110377310B (zh) | 2014-11-12 | 2015-10-13 | 更新管理方法、更新管理装置以及计算机可读取的记录介质 |
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201462078476P | 2014-11-12 | 2014-11-12 | |
| US62/078,476 | 2014-11-12 | ||
| JP2015-187536 | 2015-09-24 | ||
| JP2015187536 | 2015-09-24 | ||
| PCT/JP2015/005165 WO2016075865A1 (ja) | 2014-11-12 | 2015-10-13 | 更新管理方法、更新管理装置及び制御プログラム |
| CN201580027431.XA CN106458112B (zh) | 2014-11-12 | 2015-10-13 | 更新管理方法、更新管理系统以及计算机可读取的记录介质 |
| CN201910654690.5A CN110377310B (zh) | 2014-11-12 | 2015-10-13 | 更新管理方法、更新管理装置以及计算机可读取的记录介质 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580027431.XA Division CN106458112B (zh) | 2014-11-12 | 2015-10-13 | 更新管理方法、更新管理系统以及计算机可读取的记录介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110377310A true CN110377310A (zh) | 2019-10-25 |
| CN110377310B CN110377310B (zh) | 2023-04-07 |
Family
ID=55953972
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910654690.5A Active CN110377310B (zh) | 2014-11-12 | 2015-10-13 | 更新管理方法、更新管理装置以及计算机可读取的记录介质 |
| CN201580027431.XA Active CN106458112B (zh) | 2014-11-12 | 2015-10-13 | 更新管理方法、更新管理系统以及计算机可读取的记录介质 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580027431.XA Active CN106458112B (zh) | 2014-11-12 | 2015-10-13 | 更新管理方法、更新管理系统以及计算机可读取的记录介质 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US10637657B2 (zh) |
| EP (2) | EP3412514B1 (zh) |
| JP (2) | JP6618480B2 (zh) |
| CN (2) | CN110377310B (zh) |
| WO (1) | WO2016075865A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112506562A (zh) * | 2020-12-29 | 2021-03-16 | 一汽解放汽车有限公司 | 车辆软件升级方法、系统、车辆及存储介质 |
| CN113132092A (zh) * | 2019-12-31 | 2021-07-16 | 华为技术有限公司 | 通信方法和电子设备 |
| CN114384887A (zh) * | 2020-10-16 | 2022-04-22 | 长城汽车股份有限公司 | 一种排放诊断方法、装置与电子设备 |
Families Citing this family (88)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6216730B2 (ja) * | 2015-03-16 | 2017-10-18 | 日立オートモティブシステムズ株式会社 | ソフト更新装置、ソフト更新方法 |
| JP2016174243A (ja) * | 2015-03-16 | 2016-09-29 | カルソニックカンセイ株式会社 | 通信システム |
| JP6197000B2 (ja) * | 2015-07-03 | 2017-09-13 | Kddi株式会社 | システム、車両及びソフトウェア配布処理方法 |
| JP6281535B2 (ja) * | 2015-07-23 | 2018-02-21 | 株式会社デンソー | 中継装置、ecu、及び、車載システム |
| KR101966626B1 (ko) * | 2016-02-11 | 2019-04-09 | 현대자동차주식회사 | 차량용 무선 소프트웨어 업데이트 방법 및 장치 |
| JP6352325B2 (ja) * | 2016-03-15 | 2018-07-04 | 本田技研工業株式会社 | 通信システム |
| CN112087519A (zh) * | 2016-04-12 | 2020-12-15 | 伽德诺克斯信息技术有限公司 | 具有被配置为实现安全锁定的相关设备的特别编程的计算系统及其使用方法 |
| US10819418B2 (en) | 2016-04-29 | 2020-10-27 | Honeywell International Inc. | Systems and methods for secure communications over broadband datalinks |
| US10171478B2 (en) * | 2016-06-30 | 2019-01-01 | Faraday & Future Inc. | Efficient and secure method and apparatus for firmware update |
| US20180032421A1 (en) * | 2016-07-29 | 2018-02-01 | Wipro Limited | Method and system for debugging automotive applications in an electronic control unit of an automobile |
| JP6665728B2 (ja) * | 2016-08-05 | 2020-03-13 | 株式会社オートネットワーク技術研究所 | 車載更新装置、車載更新システム及び通信装置の更新方法 |
| AU2017330232B2 (en) * | 2016-09-23 | 2020-09-03 | Apple Inc. | Secure communication of network traffic |
| FR3057086B1 (fr) * | 2016-10-04 | 2018-11-23 | Stmicroelectronics (Rousset) Sas | Procede de gestion d'une mise a jour d'au moins un microcode au sein d'une unite de traitement, par exemple un microcontroleur, et unite de traitement correspondante |
| WO2018105304A1 (ja) * | 2016-12-09 | 2018-06-14 | フェリカネットワークス株式会社 | 情報処理装置、および情報処理方法 |
| JP6696417B2 (ja) * | 2016-12-20 | 2020-05-20 | 株式会社オートネットワーク技術研究所 | 車載更新装置、更新システム及び可搬型通信器 |
| US20180212967A1 (en) * | 2017-01-25 | 2018-07-26 | NextEv USA, Inc. | Portable device used to support secure lifecycle of connected devices |
| JP2018120422A (ja) * | 2017-01-25 | 2018-08-02 | ルネサスエレクトロニクス株式会社 | 車載通信システム、ドメインマスタ、及びファームウェア更新方法 |
| JP6981755B2 (ja) * | 2017-01-25 | 2021-12-17 | トヨタ自動車株式会社 | 車載ネットワークシステム |
| JP6693577B2 (ja) * | 2017-02-01 | 2020-05-13 | 富士通株式会社 | 暗号鍵配信システム、鍵配信ecu、鍵配信プログラム、及び暗号鍵配信方法 |
| WO2018142751A1 (ja) * | 2017-02-01 | 2018-08-09 | 住友電気工業株式会社 | 制御装置、プログラム更新方法、およびコンピュータプログラム |
| CN110326260A (zh) * | 2017-02-28 | 2019-10-11 | 三菱电机株式会社 | 车辆通信监视装置、车辆通信监视方法以及车辆通信监视程序 |
| US10491392B2 (en) | 2017-03-01 | 2019-11-26 | Ford Global Technologies, Llc | End-to-end vehicle secure ECU unlock in a semi-offline environment |
| US10757113B2 (en) * | 2017-03-17 | 2020-08-25 | Cylance Inc. | Communications bus signal fingerprinting |
| GB2561256A (en) * | 2017-04-05 | 2018-10-10 | Stmicroelectronics Grenoble2 Sas | Apparatus for use in a can system |
| US10462193B2 (en) * | 2017-06-07 | 2019-10-29 | GM Global Technology Operations LLC | Vehicle add-on multimedia playback and capture devices |
| JP7094670B2 (ja) * | 2017-07-03 | 2022-07-04 | 矢崎総業株式会社 | 設定装置及びコンピュータ |
| JP6852604B2 (ja) * | 2017-07-12 | 2021-03-31 | 住友電気工業株式会社 | 車載装置、管理方法および管理プログラム |
| US10402192B2 (en) | 2017-07-25 | 2019-09-03 | Aurora Labs Ltd. | Constructing software delta updates for vehicle ECU software and abnormality detection based on toolchain |
| KR102368606B1 (ko) * | 2017-07-31 | 2022-03-02 | 현대자동차주식회사 | 효율적인 차량용 리프로그래밍 장치 및 그 제어방법 |
| US10904224B2 (en) * | 2017-09-29 | 2021-01-26 | Rolls-Royce Corporation | Aircraft engine monitoring system |
| JP6556207B2 (ja) * | 2017-10-19 | 2019-08-07 | 三菱電機株式会社 | 車両用セキュリティ装置およびセキュリティ方法 |
| DE102017218872A1 (de) * | 2017-10-23 | 2019-04-25 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Aktualisieren von Software eines Kfz-Steuergerätes |
| JP6915500B2 (ja) | 2017-11-06 | 2021-08-04 | トヨタ自動車株式会社 | 更新システム、電子制御装置、更新管理装置、及び更新管理方法 |
| CN108073156B (zh) * | 2017-11-20 | 2019-11-01 | 广州汽车集团股份有限公司 | 一种汽车电子控制单元的安全算法管理方法及系统 |
| US10009325B1 (en) * | 2017-12-07 | 2018-06-26 | Karamba Security | End-to-end communication security |
| US10850684B2 (en) * | 2017-12-19 | 2020-12-01 | Micron Technology, Inc. | Vehicle secure messages based on a vehicle private key |
| CN108241514A (zh) * | 2017-12-28 | 2018-07-03 | 宁德时代新能源科技股份有限公司 | 车载程序更新方法和装置 |
| CN108124491B (zh) * | 2017-12-28 | 2022-11-11 | 深圳市元征软件开发有限公司 | 诊断设备的诊断接头升级验证方法、装置及诊断接头 |
| US11178158B2 (en) * | 2018-01-29 | 2021-11-16 | Nagravision S.A. | Secure communication between in-vehicle electronic control units |
| JP7010049B2 (ja) * | 2018-02-16 | 2022-01-26 | トヨタ自動車株式会社 | 車両制御装置、プログラムの更新確認方法および更新確認プログラム |
| JP7311245B2 (ja) * | 2018-03-07 | 2023-07-19 | トヨタ自動車株式会社 | マスタ装置、マスタ、制御方法、プログラム及び車両 |
| US11321466B2 (en) * | 2018-03-09 | 2022-05-03 | Qualcomm Incorporated | Integrated circuit data protection |
| JP7010087B2 (ja) * | 2018-03-16 | 2022-01-26 | トヨタ自動車株式会社 | プログラム更新管理装置、プログラム更新管理方法、およびプログラム |
| JP6950605B2 (ja) * | 2018-03-27 | 2021-10-13 | トヨタ自動車株式会社 | 車両用通信システム |
| US10715511B2 (en) * | 2018-05-03 | 2020-07-14 | Honeywell International Inc. | Systems and methods for a secure subscription based vehicle data service |
| US10819689B2 (en) | 2018-05-03 | 2020-10-27 | Honeywell International Inc. | Systems and methods for encrypted vehicle data service exchanges |
| CN111800270B (zh) | 2018-06-25 | 2023-05-23 | 北京白山耘科技有限公司 | 一种证书签名方法、装置、存储介质及计算机设备 |
| JP7111074B2 (ja) * | 2018-08-10 | 2022-08-02 | 株式会社デンソー | 車両用マスタ装置、セキュリティアクセス鍵の管理方法、セキュリティアクセス鍵の管理プログラム及び車両用電子制御システム |
| JP7439402B2 (ja) * | 2018-08-10 | 2024-02-28 | 株式会社デンソー | 表示制御装置、書換え進捗状況の表示制御方法及び書換え進捗状況の表示制御プログラム |
| JP7003975B2 (ja) * | 2018-08-10 | 2022-01-21 | 株式会社デンソー | 車両情報通信システム,センター装置及びセンター装置のメッセージ送信方法 |
| KR102148453B1 (ko) * | 2018-08-17 | 2020-08-27 | 재단법인대구경북과학기술원 | Can 시스템 및 메시지 인증 방법 |
| KR102523250B1 (ko) | 2018-09-20 | 2023-04-20 | 현대자동차주식회사 | 차량용 제어 장치, 차량, 및 차량의 제어방법 |
| US10931476B2 (en) * | 2018-10-29 | 2021-02-23 | Analog Devices Global Unlimited Company | Content protection over synchronous data networks |
| JP2020086540A (ja) * | 2018-11-15 | 2020-06-04 | Kddi株式会社 | メンテナンスサーバ装置、車両メンテナンスシステム、コンピュータプログラム及び車両メンテナンス方法 |
| JP7143744B2 (ja) * | 2018-12-03 | 2022-09-29 | 大日本印刷株式会社 | 機器統合システム及び更新管理システム |
| JP7132132B2 (ja) * | 2019-01-09 | 2022-09-06 | 国立大学法人東海国立大学機構 | 車載通信システム、車載通信制御装置、車載通信装置、コンピュータプログラム、通信制御方法及び通信方法 |
| FR3092684B1 (fr) * | 2019-02-11 | 2021-01-15 | Psa Automobiles Sa | Procédé et dispositif de mise à jour d’une unité de commande électronique |
| JP6832374B2 (ja) | 2019-02-22 | 2021-02-24 | 本田技研工業株式会社 | ソフトウェア更新装置、車両及びソフトウェア更新方法 |
| CN110001553B (zh) * | 2019-02-25 | 2021-07-09 | 南京航空航天大学 | 一种汽车四向可调转向操纵装置、控制器下载方法 |
| CN110138642B (zh) * | 2019-04-15 | 2021-09-07 | 深圳市纽创信安科技开发有限公司 | 一种基于can总线的安全通信方法和系统 |
| KR20200131639A (ko) * | 2019-05-14 | 2020-11-24 | 현대자동차주식회사 | 게이트웨이 장치 및 그 제어방법 |
| WO2020240984A1 (ja) * | 2019-05-30 | 2020-12-03 | 住友電気工業株式会社 | 設定装置、通信システムおよび車両通信管理方法 |
| JP2021002713A (ja) | 2019-06-20 | 2021-01-07 | 富士通株式会社 | 更新装置、鍵更新プログラム |
| CN110290002B (zh) * | 2019-06-27 | 2023-08-01 | 北京百度网讯科技有限公司 | 一种更新方法、终端及电子设备 |
| CN110324335B (zh) * | 2019-07-02 | 2020-04-28 | 成都信息工程大学 | 一种基于电子移动证书的汽车软件升级方法及系统 |
| US20220264293A1 (en) * | 2019-07-05 | 2022-08-18 | Sumitomo Electric Industries, Ltd. | Relay device and vehicle communication method |
| CN112602287B (zh) * | 2019-07-19 | 2022-02-11 | 华为技术有限公司 | Can通信方法、设备及系统 |
| JPWO2021039622A1 (zh) * | 2019-08-30 | 2021-03-04 | ||
| US20210075783A1 (en) * | 2019-09-10 | 2021-03-11 | William Mazzara, JR. | Authenticated vehicle diagnostic access techniques |
| TWI716135B (zh) * | 2019-10-04 | 2021-01-11 | 財團法人資訊工業策進會 | 用於車用網路之安全監控裝置及方法 |
| JP2021071960A (ja) * | 2019-10-31 | 2021-05-06 | トヨタ自動車株式会社 | 車両用制御装置、プログラム更新方法、及びプログラム更新システム |
| JP7220397B2 (ja) * | 2019-12-09 | 2023-02-10 | パナソニックIpマネジメント株式会社 | 情報処理装置および情報処理方法 |
| CN113138591B (zh) * | 2020-01-20 | 2022-12-23 | 北京新能源汽车股份有限公司 | 一种车辆安全因子的控制方法、装置、控制设备及汽车 |
| JP7342734B2 (ja) | 2020-03-03 | 2023-09-12 | 株式会社デンソー | 車両データ管理装置、車両データ管理システム、車両データ管理方法、車両データ管理プログラム |
| US20230161583A1 (en) * | 2020-03-06 | 2023-05-25 | Sonatus, Inc. | System, method, and apparatus for managing vehicle automation |
| EP3913880A1 (en) | 2020-05-19 | 2021-11-24 | Continental Teves AG & Co. OHG | Method of and system for secure data export from an automotive engine control unit |
| US11871228B2 (en) * | 2020-06-15 | 2024-01-09 | Toyota Motor Engineering & Manufacturing North America, Inc. | System and method of manufacturer-approved access to vehicle sensor data by mobile application |
| US11281450B2 (en) | 2020-06-23 | 2022-03-22 | Toyota Motor North America, Inc. | Secure transport software update |
| US11880670B2 (en) | 2020-06-23 | 2024-01-23 | Toyota Motor North America, Inc. | Execution of transport software update |
| CN111942154B (zh) * | 2020-07-28 | 2022-03-08 | 广汽埃安新能源汽车有限公司 | 一种用于电池管理系统的唤醒装置、车辆 |
| CN112083940B (zh) * | 2020-07-29 | 2023-03-03 | 宁波三星医疗电气股份有限公司 | 基于国密算法的电力采集终端远程升级方法 |
| US20220085984A1 (en) * | 2020-09-14 | 2022-03-17 | Amir Keyvan Khandani | Methods and apparatus for randomized encryption, with an associated randomized decryption |
| KR102427977B1 (ko) * | 2020-11-13 | 2022-08-01 | 경희대학교 산학협력단 | 추가 하드웨어 모듈을 이용하는 자동차 ecu 업데이트 방법 |
| JP7380530B2 (ja) * | 2020-11-13 | 2023-11-15 | トヨタ自動車株式会社 | 車両通信システム、通信方法及び通信プログラム |
| CN112698844A (zh) * | 2020-12-29 | 2021-04-23 | 威海新北洋技术服务有限公司 | 操作系统的刷机方法、装置及电子设备 |
| JP7447864B2 (ja) * | 2021-04-26 | 2024-03-12 | トヨタ自動車株式会社 | Otaマスタ、方法およびプログラム |
| CN113259933B (zh) * | 2021-06-15 | 2023-08-29 | 北京天融信网络安全技术有限公司 | 一种密钥更新的方法、网关、控制装置、电子设备及介质 |
| US20230153094A1 (en) * | 2021-11-18 | 2023-05-18 | Toyota Motor North America, Inc. | Robust over the air reprogramming |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB9711251D0 (en) * | 1996-06-10 | 1997-07-23 | Bosch Gmbh Robert | Method of operating control apparatus with programmable storage means |
| US20020120856A1 (en) * | 2000-02-25 | 2002-08-29 | Ernst Schmidt | Signature process |
| JP2003343133A (ja) * | 2002-03-20 | 2003-12-03 | Matsushita Electric Ind Co Ltd | デジタル鍵システムと装置 |
| US20040002793A1 (en) * | 2002-06-27 | 2004-01-01 | Mitsubishi Denki Kabushiki Kaisha | Apparatus for rewriting a memory in a vehicle mounted ECU through communications |
| CN101189617A (zh) * | 2005-06-01 | 2008-05-28 | 松下电器产业株式会社 | 电子设备、更新服务器装置、密钥更新装置 |
| EP1975897A2 (en) * | 2007-03-28 | 2008-10-01 | Denso Corporation | Vehicle control device and data rewriting system |
| DE102007039602A1 (de) * | 2007-08-22 | 2009-02-26 | Siemens Ag | Verfahren zum Prüfen einer auf einer ersten Einrichtung auszuführenden oder zu installierenden Version eines Softwareproduktes |
| US20090125985A1 (en) * | 2007-11-14 | 2009-05-14 | Traenkenschuh John L | Verifying electronic control unit code |
| JP2009302848A (ja) * | 2008-06-12 | 2009-12-24 | Tokai Rika Co Ltd | 暗号通信システム及び暗号鍵更新方法 |
| JP2010271952A (ja) * | 2009-05-21 | 2010-12-02 | Toshiba Corp | 分散型制御システムのデータ管理装置 |
| US20110083161A1 (en) * | 2008-06-04 | 2011-04-07 | Takayuki Ishida | Vehicle, maintenance device, maintenance service system, and maintenance service method |
| US20120124571A1 (en) * | 2010-11-12 | 2012-05-17 | Clarion Co., Ltd. | Online update method for vehicle-mounted device |
| CN102662692A (zh) * | 2012-03-16 | 2012-09-12 | 北京经纬恒润科技有限公司 | 一种电子控制单元中应用程序的更新方法及系统 |
| JP2012226451A (ja) * | 2011-04-15 | 2012-11-15 | Toyota Motor Corp | 認証システム及び認証方法 |
| CN103154964A (zh) * | 2010-10-14 | 2013-06-12 | 富士通株式会社 | 内容数据再生装置、更新管理方法以及更新管理程序 |
| JP2013141948A (ja) * | 2012-01-12 | 2013-07-22 | Denso Corp | 車両通信システム |
Family Cites Families (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3913823B2 (ja) * | 1997-02-10 | 2007-05-09 | 株式会社東海理化電機製作所 | 車両用始動許可装置 |
| US8325994B2 (en) * | 1999-04-30 | 2012-12-04 | Davida George I | System and method for authenticated and privacy preserving biometric identification systems |
| JP2001225706A (ja) * | 1999-12-07 | 2001-08-21 | Denso Corp | 電子制御装置の制御情報書換システム、当該システムに用いられるセンタ、電子制御装置、及び書換装置 |
| US7068147B2 (en) | 1999-12-07 | 2006-06-27 | Denso Corporation | Control information rewriting system |
| JP4426733B2 (ja) * | 2000-03-31 | 2010-03-03 | 富士通株式会社 | 指紋データ合成方法,指紋データ合成装置,指紋データ合成プログラムおよび同プログラムを記録したコンピュータ読取可能な記録媒体 |
| JP2002144983A (ja) | 2000-11-14 | 2002-05-22 | Toyoda Mach Works Ltd | 車両制御装置の制御ソフト変更装置及びその方法 |
| ATE492085T1 (de) * | 2003-01-28 | 2011-01-15 | Cellport Systems Inc | Ein system und ein verfahren zum steuern des zugriffs von anwendungen auf geschützte mittel innerhalb eines sicheren fahrzeugtelematiksystems |
| US8842887B2 (en) * | 2004-06-14 | 2014-09-23 | Rodney Beatson | Method and system for combining a PIN and a biometric sample to provide template encryption and a trusted stand-alone computing device |
| US8375218B2 (en) * | 2004-12-07 | 2013-02-12 | Mitsubishi Electric Research Laboratories, Inc. | Pre-processing biometric parameters before encoding and decoding |
| US20080072068A1 (en) * | 2006-09-19 | 2008-03-20 | Wang Liang-Yun | Methods and apparatuses for securing firmware image download and storage by distribution protection |
| EP2163067B1 (en) * | 2008-02-22 | 2013-12-25 | Security First Corp. | Systems and methods for secure workgroup management and communication |
| US8838990B2 (en) * | 2008-04-25 | 2014-09-16 | University Of Colorado Board Of Regents | Bio-cryptography: secure cryptographic protocols with bipartite biotokens |
| US8127124B2 (en) * | 2009-03-19 | 2012-02-28 | Hewlett-Packard Development Company, L.P. | Remote configuration of computing platforms |
| JP4931957B2 (ja) | 2009-04-23 | 2012-05-16 | 本田技研工業株式会社 | 車両機能管理システム |
| KR101379140B1 (ko) * | 2009-10-05 | 2014-03-28 | 후지쯔 가부시끼가이샤 | 생체 정보 처리 장치, 생체 정보 처리 방법 및 생체 정보 처리용 컴퓨터 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록 매체 |
| JP5218366B2 (ja) | 2009-10-07 | 2013-06-26 | トヨタ自動車株式会社 | 車両用プログラム更新装置 |
| KR101030910B1 (ko) * | 2009-10-19 | 2011-04-22 | 에스비리모티브 주식회사 | 배터리 관리 시스템 및 그 구동 방법 |
| US9464905B2 (en) * | 2010-06-25 | 2016-10-11 | Toyota Motor Engineering & Manufacturing North America, Inc. | Over-the-air vehicle systems updating and associate security protocols |
| JP5682959B2 (ja) * | 2011-03-11 | 2015-03-11 | オムロンオートモーティブエレクトロニクス株式会社 | 情報処理装置、情報処理方法、およびプログラム |
| US9191199B2 (en) * | 2011-04-09 | 2015-11-17 | Universitat Zurich | Method and apparatus for public-key cryptography based on error correcting codes |
| JP2013048374A (ja) * | 2011-08-29 | 2013-03-07 | Toyota Motor Corp | 保護通信方法 |
| JP2013137729A (ja) | 2011-11-29 | 2013-07-11 | Auto Network Gijutsu Kenkyusho:Kk | プログラム書換システム、制御装置、プログラム配信装置、識別情報記憶装置、及びプログラム書換方法 |
| JP5435022B2 (ja) * | 2011-12-28 | 2014-03-05 | 株式会社デンソー | 車載システム及び通信方法 |
| KR101974136B1 (ko) * | 2012-09-10 | 2019-04-30 | 삼성전자주식회사 | 차량의 정보를 처리하는 시스템 및 방법 |
| JP5900390B2 (ja) * | 2013-01-31 | 2016-04-06 | 株式会社オートネットワーク技術研究所 | アクセス制限装置、車載通信システム及び通信制限方法 |
| US20140372766A1 (en) * | 2013-06-14 | 2014-12-18 | Pitney Bowes Inc. | Automated document notarization |
| US9288048B2 (en) * | 2013-09-24 | 2016-03-15 | The Regents Of The University Of Michigan | Real-time frame authentication using ID anonymization in automotive networks |
| JP6126980B2 (ja) * | 2013-12-12 | 2017-05-10 | 日立オートモティブシステムズ株式会社 | ネットワーク装置およびネットワークシステム |
| KR20150074414A (ko) * | 2013-12-24 | 2015-07-02 | 현대자동차주식회사 | 펌웨어 업그레이드 방법 및 그 시스템 |
| US20150191151A1 (en) | 2014-01-06 | 2015-07-09 | Argus Cyber Security Ltd. | Detective watchman |
| KR101450166B1 (ko) * | 2014-01-23 | 2014-10-13 | 현대자동차주식회사 | 차량 내 통신 네트워크에서의 라우팅 정보 갱신 방법 및 그 장치 |
| US9231936B1 (en) * | 2014-02-12 | 2016-01-05 | Symantec Corporation | Control area network authentication |
| US9229704B2 (en) * | 2014-04-01 | 2016-01-05 | Ford Global Technologies, Llc | Smart vehicle reflash with battery state of charge (SOC) estimator |
| US9460567B2 (en) * | 2014-07-29 | 2016-10-04 | GM Global Technology Operations LLC | Establishing secure communication for vehicle diagnostic data |
| US9684908B2 (en) * | 2014-08-01 | 2017-06-20 | Yahoo!, Inc. | Automatically generated comparison polls |
-
2015
- 2015-10-13 EP EP18186944.7A patent/EP3412514B1/en active Active
- 2015-10-13 WO PCT/JP2015/005165 patent/WO2016075865A1/ja active Application Filing
- 2015-10-13 EP EP15858625.5A patent/EP3219553B1/en active Active
- 2015-10-13 CN CN201910654690.5A patent/CN110377310B/zh active Active
- 2015-10-13 CN CN201580027431.XA patent/CN106458112B/zh active Active
- 2015-10-13 JP JP2016558862A patent/JP6618480B2/ja active Active
-
2017
- 2017-01-26 US US15/416,061 patent/US10637657B2/en active Active
-
2020
- 2020-03-16 US US16/820,428 patent/US11283601B2/en active Active
-
2022
- 2022-07-28 JP JP2022120341A patent/JP7334312B2/ja active Active
Patent Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB9711251D0 (en) * | 1996-06-10 | 1997-07-23 | Bosch Gmbh Robert | Method of operating control apparatus with programmable storage means |
| US20020120856A1 (en) * | 2000-02-25 | 2002-08-29 | Ernst Schmidt | Signature process |
| JP2003343133A (ja) * | 2002-03-20 | 2003-12-03 | Matsushita Electric Ind Co Ltd | デジタル鍵システムと装置 |
| US20040002793A1 (en) * | 2002-06-27 | 2004-01-01 | Mitsubishi Denki Kabushiki Kaisha | Apparatus for rewriting a memory in a vehicle mounted ECU through communications |
| CN101189617A (zh) * | 2005-06-01 | 2008-05-28 | 松下电器产业株式会社 | 电子设备、更新服务器装置、密钥更新装置 |
| EP1975897A2 (en) * | 2007-03-28 | 2008-10-01 | Denso Corporation | Vehicle control device and data rewriting system |
| DE102007039602A1 (de) * | 2007-08-22 | 2009-02-26 | Siemens Ag | Verfahren zum Prüfen einer auf einer ersten Einrichtung auszuführenden oder zu installierenden Version eines Softwareproduktes |
| US20090125985A1 (en) * | 2007-11-14 | 2009-05-14 | Traenkenschuh John L | Verifying electronic control unit code |
| US20110083161A1 (en) * | 2008-06-04 | 2011-04-07 | Takayuki Ishida | Vehicle, maintenance device, maintenance service system, and maintenance service method |
| JP2009302848A (ja) * | 2008-06-12 | 2009-12-24 | Tokai Rika Co Ltd | 暗号通信システム及び暗号鍵更新方法 |
| JP2010271952A (ja) * | 2009-05-21 | 2010-12-02 | Toshiba Corp | 分散型制御システムのデータ管理装置 |
| CN103154964A (zh) * | 2010-10-14 | 2013-06-12 | 富士通株式会社 | 内容数据再生装置、更新管理方法以及更新管理程序 |
| US20120124571A1 (en) * | 2010-11-12 | 2012-05-17 | Clarion Co., Ltd. | Online update method for vehicle-mounted device |
| JP2012226451A (ja) * | 2011-04-15 | 2012-11-15 | Toyota Motor Corp | 認証システム及び認証方法 |
| JP2013141948A (ja) * | 2012-01-12 | 2013-07-22 | Denso Corp | 車両通信システム |
| CN102662692A (zh) * | 2012-03-16 | 2012-09-12 | 北京经纬恒润科技有限公司 | 一种电子控制单元中应用程序的更新方法及系统 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113132092A (zh) * | 2019-12-31 | 2021-07-16 | 华为技术有限公司 | 通信方法和电子设备 |
| CN113132092B (zh) * | 2019-12-31 | 2022-04-22 | 华为技术有限公司 | 通信方法和电子设备 |
| CN114384887A (zh) * | 2020-10-16 | 2022-04-22 | 长城汽车股份有限公司 | 一种排放诊断方法、装置与电子设备 |
| CN112506562A (zh) * | 2020-12-29 | 2021-03-16 | 一汽解放汽车有限公司 | 车辆软件升级方法、系统、车辆及存储介质 |
| CN112506562B (zh) * | 2020-12-29 | 2023-09-26 | 一汽解放汽车有限公司 | 车辆软件升级方法、系统、车辆及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200220716A1 (en) | 2020-07-09 |
| JP6618480B2 (ja) | 2019-12-11 |
| EP3219553B1 (en) | 2019-01-23 |
| CN110377310B (zh) | 2023-04-07 |
| EP3219553A4 (en) | 2017-10-25 |
| CN106458112B (zh) | 2019-08-13 |
| JP7334312B2 (ja) | 2023-08-28 |
| US20170134164A1 (en) | 2017-05-11 |
| US11283601B2 (en) | 2022-03-22 |
| CN106458112A (zh) | 2017-02-22 |
| JPWO2016075865A1 (ja) | 2017-10-19 |
| EP3412514A1 (en) | 2018-12-12 |
| US10637657B2 (en) | 2020-04-28 |
| JP2022163096A (ja) | 2022-10-25 |
| WO2016075865A1 (ja) | 2016-05-19 |
| EP3412514B1 (en) | 2019-12-04 |
| EP3219553A1 (en) | 2017-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106458112B (zh) | 更新管理方法、更新管理系统以及计算机可读取的记录介质 | |
| Bernardini et al. | Security and privacy in vehicular communications: Challenges and opportunities | |
| JP7170780B2 (ja) | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム | |
| den Hartog et al. | Security and privacy for innovative automotive applications: A survey | |
| CN108207039B (zh) | 车载数据的安全传输方法、外置设备及车载网关 | |
| EP3823209B1 (en) | Key management method, vehicle-mounted network system, and key management device | |
| US20130212659A1 (en) | Trusted connected vehicle systems and methods | |
| US20150180840A1 (en) | Firmware upgrade method and system thereof | |
| WO2016134610A1 (zh) | 公路列车数据认证鉴权方法及车载终端 | |
| JP7116204B2 (ja) | 更新管理方法、更新管理装置及び制御プログラム | |
| JP7412506B2 (ja) | 不正検知ルール更新方法、不正検知電子制御ユニット及び車載ネットワークシステム | |
| Ammar et al. | Securing the on-board diagnostics port (obd-ii) in vehicles | |
| McCarthy et al. | Access to in-vehicle data and resources | |
| Stachowski et al. | Cybersecurity research considerations for heavy vehicles | |
| WO2024032438A1 (zh) | 车辆安全访问方法、系统及相关装置 | |
| Notaro | Simulating Malicious Attacks on VANETs for Connected and Autonomous Vehicles | |
| CN112929843A (zh) | 一种车联网系统及方法 | |
| Tayeb | Protecting Our Community from the Hidden Vulnerabilities of Today’s Intelligent Transportation Systems | |
| Zachos | Merge Ahead: Integrating Heavy-duty Vehicle Networks with Wide Area Network Services | |
| CN112153017A (zh) | 外设设备控制系统、车载连接器、外设设备、车辆及方法 | |
| Al Hashmi | An Empirical Study of CAN Bus Cyber-Security in Automotive Systems | |
| Dellios | Designing Secure, Interoperable & Sustainable Automobiles & Global Transportation Services & Systems | |
| Guzman | A dual architecture approach for vehicle communication control: An accommodated device gateway and intelligent data bus, signal circuitry analysis and message security protocols |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |