DE102016119697A1 - Fahrzeugsystem und Authentifizierungsverfahren - Google Patents

Fahrzeugsystem und Authentifizierungsverfahren Download PDF

Info

Publication number
DE102016119697A1
DE102016119697A1 DE102016119697.5A DE102016119697A DE102016119697A1 DE 102016119697 A1 DE102016119697 A1 DE 102016119697A1 DE 102016119697 A DE102016119697 A DE 102016119697A DE 102016119697 A1 DE102016119697 A1 DE 102016119697A1
Authority
DE
Germany
Prior art keywords
ecu
general
master
certificate
electronic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102016119697.5A
Other languages
English (en)
Inventor
Hisashi Oguma
Tsuyoshi Toyama
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Publication of DE102016119697A1 publication Critical patent/DE102016119697A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Es ist ein Fahrzeugsystem bereitgestellt, das durch eine Master-ECU und eine allgemeine ECU gebildet ist. Die allgemeine ECU hängt eine digitale Signatur an Übertragungsdaten, die die Daten (zum Beispiel einen Digest-Wert eines Programms) enthalten, an und überträgt die Übertragungsdaten an die Master-ECU. Die Master-ECU verifiziert die digitale Signatur und die Daten und bestimmt, wenn sowohl die digitale Signatur als auch die Daten gültig sind, dass die allgemeine ECU gültig ist. Die Master-ECU hängt eine digitale Signatur an Übertragungsdaten, die die Daten der Master-ECU und einen Sitzungsschlüssel enthalten, an und überträgt die Übertragungsdaten an die allgemeine ECU. Die allgemeine ECU verifiziert die digitale Signatur und die Daten und, wenn sowohl die digitale Signatur als auch die Daten gültig sind, verwendet die allgemeine ECU den Sitzungsschlüssel, der in den Übertragungsdaten enthalten ist, als gemeinsamen Schlüssel, wenn nachfolgende Kommunikationen durchgeführt werden.

Description

  • HINTERGRUND DER ERFINDUNG
  • Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft eine Authentifizierung unter ECUs in einem Fahrzeugsystem mit einer Vielzahl von ECUs.
  • Beschreibung des Standes der Technik
  • In den letzten Jahren hat sich die Anzahl von Computern (elektronischen Steuerungseinheiten (ECUs)), die an einem Fahrzeug angebracht sind, erhöht, und die ECUs arbeiten miteinander zusammen, um eine komplizierte Steuerung durchzuführen. Es ist vorstellbar, dass solch ein Fahrzeugnetzwerksystem ein Ziel von Angriffen werden kann, wie etwa eine Kontamination durch illegale Daten, ein unerlaubtes Überschreiben eines ECU-Programms, ein Austausch mit einer illegalen ECU und eine Hinzufügung einer illegalen ECU.
  • Als Gegenmaßnahme gegen solche Attacken schlägt der AUTOSAR-Standard eine Mitteilungsauthentifizierung unter Verwendung eines gemeinsamen Schlüssels vor. Wenn zum Beispiel eine Maschine gestartet wird, wird eine Challenge-Response-Authentifizierung (Aufforderung-Antwort-Authentifizierung) unter Verwendung eines gemeinsamen Schlüssels durchgeführt und ein Sitzungsschlüssel wird verteilt, wenn die Authentifizierung erfolgreich ist. Nachfolgend wird eine Mitteilungsauthentifizierung mit einem Mitteilungsauthentifizierungscode (”Message Authentication Code”, MAC) unter Verwendung des Sitzungsschlüssels nach einer Mitteilungsübertragung durchgeführt.
  • Zusätzlich offenbart das nachstehende Patentdokument 1 einen Aufbau eines Adhoc-Netzwerks durch gegenseitig gültige Einrichtungen, bei dem die Einrichtungen entsprechend eine Ad-hoc-Netzwerk-ID, eine Ausschlussliste, die spezifische Einrichtungen spezifiziert, die von einem Ad-hoc-Netzwerk, das durch die Ad-hoc-Netzwerk-ID identifiziert ist, auszuschließen sind, und ein Einrichtungszertifikat, das durch eine Zertifizierungsbehörde erzeugt wird, speichern und Einrichtungszertifikate miteinander austauschen, um zu überprüfen, ob die Einrichtungen dazu in der Lage sind, ein Ad-hoc-Netzwerk aufzubauen. In diesem Fall wird dadurch, dass keine gegenseitige Authentifizierung mit Einrichtungen durchgeführt wird, die in der Ausschlussliste registriert sind, verhindert, dass die Einrichtungen, die in der Ausschlussliste registriert sind, dem Netzwerk beitreten.
    • Patentdokument 1: japanische Patentoffenlegungsschrift Nr. JP 2007-074390 (A)
  • KURZFASSUNG DER ERFINDUNG
  • Bei einer Authentifizierung unter Verwendung eines gemeinsamen Schlüssels, wie in dem Fall von AUTOSAR, da der gemeinsame Schlüssel im Voraus verteilt werden muss, ist es eine Frage, wie der gemeinsame Schlüssel in eine neue ECU einzubringen ist, insbesondere wenn eine ECU ausfällt und ersetzt werden muss. Während es dankbar ist, dass ECUs, in die der gemeinsame Schlüssel im Voraus eingebracht ist, vorbereitet werden können, bedeutet dies, dass eine gewaltige Menge von Austausch-ECUs im Voraus vorbereitet werden muss. Zusätzlich kann ein Einsatz eines Mechanismus, der es ermöglicht, einen gemeinsamen Schlüssel zu einem späteren Zeitpunkt zu überschreiben, eine Sicherheitslücke erzeugen.
  • Mit dem in Patentdokument 1 beschriebenen Verfahren, da Einrichtungen, denen es nicht erlaubt ist, dem Netzwerk beizutreten, unter Verwendung einer Ausschlussliste spezifiziert sind, muss die Ausschlussliste wann immer nötig geändert werden. Wenn die Ausschlussliste nicht rechtzeitig aktualisiert wird, kann es vorkommen, dass eine unerlaubte Einrichtung, der es nicht erlaubt werden sollte, dem Netzwerk beizutreten, dem Netzwerk beitritt.
  • Die vorliegende Erfindung wurde unter Berücksichtigung der vorstehend beschriebenen Probleme vorgenommen und es ist eine Aufgabe davon, eine Technik für eine Authentifizierung in einem Fahrzeugsystem bereitzustellen, die einfach angewendet werden kann, auch wenn eine ECU ausgetauscht wird.
  • Ein erster Aspekt der vorliegenden Erfindung ist ein Fahrzeugsystem, das durch eine Master-ECU und eine allgemeine ECU gebildet ist, bei dem die Master-ECU und die allgemeine ECU eine gegenseitige Authentifizierung unter Verwendung eines Verschlüsselungssystems mit einem öffentlichen Schlüssel („public key encryption system”) durchführen. Dabei wird eine Gültigkeit einer ECU dadurch verifiziert, dass spezifische Daten bezüglich der ECU in einem elektronischen Zertifikat umfasst sind.
  • In dem vorliegenden Aspekt ist die Master-ECU mit einem privaten Schlüssel der Master-ECU (ein privater Master-ECU-Schlüssel bzw. „master ECU private key”) und einem elektronischen Zertifikat (einem elektronischen Zertifikat der allgemeinen ECU bzw. elektronisches Allgemein-ECU-Zertifikat bzw. „general ECU electronic certificate”), das einem öffentlichen Schlüssel der allgemeinen ECU (öffentlicher Allgemein-ECU-Schlüssel bzw. „general public ECU key”) entspricht, bereitgestellt. Das elektronische Allgemein-ECU-Zertifikat umfasst spezifizierte Daten bezüglich der allgemeinen ECU. Zusätzlich ist die allgemeine ECU mit einem privaten Schlüssel der allgemeinen ECU (ein privater Allgemein-ECU-Schlüssel bzw. „general ECU private key”) und einem elektronischen Zertifikat (einem elektronischen Zertifikat der Master-ECU bzw. elektronisches Master-ECU-Zertifikat bzw. „master ECU electronic certificate”), das einem öffentlichen Schlüssel der Master-ECU (öffentlicher Master-ECU-Schlüssel bzw. „master ECU private key”) entspricht, bereitgestellt. Das elektronische Master-ECU-Zertifikat umfasst spezifizierte Daten bezüglich der Master-ECU.
  • Die allgemeine ECU hängt eine digitale Signatur unter Verwendung des privaten Allgemein-ECU-Schlüssels an Übertragungsdaten, die die spezifizierten Daten der allgemeinen ECU umfassen, an und überträgt die Übertragungsdaten an die Master-ECU.
  • Die Master-ECU verifiziert unter Verwendung des elektronischen Zertifikats der allgemeinen ECU bzw. des elektronischen Allgemein-ECU-Zertifikats die Übertragungsdaten, an die die digitale Signatur angehängt ist und die von der allgemeinen ECU übertragen werden, und verifiziert gleichzeitig, ob die spezifizierten Daten, die in den Übertragungsdaten enthalten sind, mit den spezifizierten Daten, die in dem elektronischen Zertifikat der allgemeinen ECU enthalten sind, übereinstimmen. Wenn sowohl die Übertragungsdaten als auch die spezifizierten Daten als gültig bestimmt werden, wird bestimmt, dass die allgemeine ECU gültig ist.
  • Eine erfolgreiche Verifizierung der digitalen Signatur zeigt, dass eine Übertragungsquelle der Übertragungsdaten und Inhalte der Daten gültig sind. Mit anderen Worten ist gezeigt, dass keine Vortäuschung oder Irritation durchgeführt wurde. Zusätzlich zeigt ein Übereinstimmen der übertragenen spezifizierten Daten mit den spezifizierten Daten, die in dem elektronischen Zertifikat gespeichert sind, dass ein Programm der allgemeinen ECU nicht manipuliert wurde.
  • Des Weiteren, nachdem die Gültigkeit der allgemeinen ECU bestätigt ist, hängt die Master-ECU eine digitale Signatur unter Verwendung des privaten Schlüssels der Master-ECU an Übertragungsdaten, die die spezifizierten Daten der Master-ECU und einen Sitzungsschlüssel umfassen, an und überträgt die Übertragungsdaten an die allgemeine ECU. Wenn der Sitzungsschlüssel übertragen wird, wird der Sitzungsschlüssel vorzugsweise verschlüsselt übertragen, so dass nur die allgemeine ECU, die ein Übertragungsziel ist, den Sitzungsschlüssel lesen kann. Speziell wird der Sitzungsschlüssel vorzugsweise unter Verwendung des öffentlichen Schlüssels der allgemeinen ECU verschlüsselt übertragen. Der Sitzungsschlüssel ist, nachdem eine gegenseitige Authentifizierung volständigt ist, als ein allgemeiner Schlüssel zur Kommunikation zwischen der Master-ECU und der allgemeinen ECU zu verwenden.
  • Die allgemeine ECU verifiziert unter Verwendung des elektronischen Master-ECU-Zertifikats die Übertragungsdaten, an die die digitale Signatur angehängt ist und die von der Master-ECU übertragen werden, und verifiziert gleichzeitig, ob die spezifizierten Daten, die in den Übertragungsdaten enthalten sind, mit den spezifizierten Daten, die in dem elektronischen Master-ECU-Zertifikat enthalten sind, übereinstimmen. Wenn bestimmt ist, dass sowohl die Übertragungsdaten als auch die spezifizierten Daten gültig sind, wird bestimmt, dass die Master-ECU gültig ist. Dieser Prozess ist ähnlich zu der Gültigkeitsverifikation der allgemeinen ECU durch die Master-ECU. Wenn die Gültigkeit der Master-ECU bestätigt werden kann, bestimmt die allgemeine ECU, dass die Master-ECU gültig ist und verwendet den Sitzungsschlüssel, der in den Übertragungsdaten enthalten ist, als einen gemeinsamen Schlüssel für zukünftige Kommunikationen.
  • Dementsprechend können die Master-ECU und die allgemeine ECU eine gegenseitige Authentifizierung durchführen und einen Sitzungsschlüssel (einen gemeinsamen Schlüssel), der in nachfolgenden Kommunikation zu verwenden ist, austauschen. In dem vorliegenden Aspekt wird ein Verschlüsselungssystem mit einem öffentlichen Schlüssel verwendet und die Master-ECU und die allgemeine ECU speichern elektronische Zertifikate. Da ein elektronisches Zertifikat selbst eine Information ist, die nicht verborgen werden muss, kann das elektronische Zertifikat in einem gewöhnlichen Speicher gespeichert werden. Deshalb, wenn eine ECU ausgetauscht wird, da nur ein elektronisches Zertifikat, das in einer anderen ECU gespeichert ist und sich auf die Austauschobjekt-ECU bezieht, aktualisiert werden muss, kann ein Austausch einer ECU einfach durchgeführt werden. Mit anderen Worten gibt es keine Notwendigkeit, Austausch-ECUs im Übermaß vorzubereiten, und ein Mechanismus, der eine Sicherheitslücke erzeugen könnte, muss nicht eingeführt werden, um eine ECU auszutauschen.
  • In dem vorliegenden Aspekt ist die allgemeine ECU vorzugsweise in einer Vielzahl vorhanden, ist die Master-ECU mit einem elektronischen Allgemein-ECU-Zertifikat entsprechend jeder der allgemeinen ECUs bereitgestellt ist, überträgt die Master-ECU einen gleichen Schlüssel als einen Sitzungsschlüssel an die entsprechenden allgemeinen ECUs und verwenden die allgemeinen ECUs den Sitzungsschlüssel als einen gemeinsamen Schlüssel zur Kommunikation zwischen der Master-ECU und anderen allgemeinen ECUs.
  • Dementsprechend kann jede allgemeine ECU den Sitzungsschlüssel durch einfaches Durchführen einer gegenseitigen Authentifizierung mit der Master-ECU teilen. Mit anderen Worten können die entsprechenden allgemeinen ECUs einander über eine Authentifizierung mit der Master-ECU authentifizieren.
  • In dem vorliegenden Aspekt können spezifizierte Daten bezüglich der allgemeinen ECU ein gültiger Digest-Wert („digest value”) (Hash-Wert („hash value”)) eines Ausführungsprogramms der allgemeinen ECU sein. In diesem Fall kann die allgemeine ECU einen Digest-Wert eines Ausführungsprogramms berechnen, eine digitale Signatur unter Verwendung des privaten Allgemein-ECU-Schlüssels an Übertragungsdaten, die den Digest-Wert umfassen, anhängen und die Übertragungsdaten an die Master-ECU übertragen.
  • Dementsprechend, wenn ein Programm der allgemeinen ECU manipuliert wurde, da der Digest-Wert, der in den Übertragungsdaten enthalten ist, mit dem Digest-Wert, der in dem elektronischen Zertifikat enthalten ist, nicht übereinstimmt, kann die Master-ECU erfassen, dass das Ausführungsprogramm der allgemeinen ECU manipuliert wurde.
  • Zusätzlich, in dem vorliegenden Aspekt, können die spezifizierten Daten bezüglich der allgemeinen ECU eine ID bzw. Kennung (eindeutig identifizierbare Daten) der allgemeinen ECU sein. In diesem Fall, nach einem Bestätigen der Integrität eines Ausführungsprogramms unter Verwendung eines sicheren Startens bzw. Bootens („secure boot”), kann die allgemeine ECU eine digitale Signatur unter Verwendung des privaten Allgemein-ECU-Schlüssels an Übertragungsdaten, die die ID der allgemeinen ECU umfassen, anhängen und die Übertragungsdaten an die Master-ECU übertragen.
  • Wie vorstehend beschrieben kann die Integrität des Ausführungsprogramms der allgemeinen ECU ebenso durch Übertragen der ID der allgemeinen ECU sichergestellt werden, nachdem die allgemeine ECU unter Verwendung eines sicheren Bootens bestätigt, dass das Ausführungsprogramm nicht manipuliert wurde.
  • In dem vorliegenden Aspekt, da elektronische Zertifikate verwendet werden, speichert jede ECU einen öffentlichen Root-Schlüssel, der ein öffentlicher Schlüssel einer Root-Zertifikat-Behörde ist. Jede ECU kann einen öffentlichen Root-Schlüssel in einem nicht wiederschreibbaren Speicher oder in einem wiederbeschreibbaren Speicher speichern. Wenn der öffentliche Root-Schlüssel nicht aktualisiert werden muss, kann der öffentliche Root-Schlüssel in einem nicht wiederschreibbaren Speicher gespeichert werden. Andererseits, wenn der öffentliche Root-Schlüssel aktualisiert werden muss, muss der öffentliche Root-Schlüssel in einem wiederbeschreibbaren Speicher gespeichert werden. In diesem Fall, um eine Manipulation des öffentlichen Root-Schlüssels zu verhindern, kann eine digitale Signatur unter Verwendung eines privaten Schlüssels (eines privaten Master-ECU-chlüssels oder eines privaten Allgemein-ECU-Schlüssels) der Host-Einrichtung erzeugt werden und der öffentliche Root-Schlüssel kann in Verknüpfung mit der digitalen Signatur gespeichert werden.
  • In dem vorliegenden Aspekt muss eine Master-ECU nicht notwendigerweise mit einem elektronischen Allgemein-ECU-Zertifikat im Voraus bereitgestellt werden, muss eine allgemeine ECU nicht notwendigerweise mit einem elektronischen Master-ECU-Zertifikat im Voraus bereitgestellt werden, und elektronische Zertifikate können in einem gegenseitigen Authentifizierungsprozess verteilt werden. In diesem Fall muss die Master-ECU im Voraus mit einem elektronischen Master-ECU-Zertifikat bereitgestellt werden und muss die allgemeine ECU im Voraus mit einem elektronischen Allgemein-ECU-Zertifikat bereitgestellt werden. Speziell, wenn die allgemeine ECU das elektronische Master-ECU-Zertifikat nicht aufweist, überträgt die allgemeine ECU das elektronische Allgemein-ECU-Zertifikat zusammen mit den Übertragungsdaten, an die die digitale Signatur angehängt ist, an die Master-ECU und die Master-ECU verifiziert das elektronische Allgemein-ECU-Zertifikat unter Verwendung eines öffentlichen Root-Schlüssels und speichert das elektronische Allgemein-ECU-Zertifikat, wenn das elektronische Allgemein-ECU-Zertifikat gültig ist. Zusätzlich, wenn die Master-ECU das elektronische Allgemein-ECU-Zertifikat nicht aufweist, überträgt die Master-ECU das elektronische Master-ECU-Zertifikat zusammen mit den Übertragungsdaten, an die die digitale Signatur angehängt ist, an die allgemeine ECU und die allgemeine ECU verifiziert das elektronische Master-ECU-Zertifikat unter Verwendung des öffentlichen Root-Schlüssels und speichert das elektronische Master-ECU-Zertifikat, wenn das elektronische Master-ECU-Zertifikat gültig ist.
  • Gemäß solch einer Konfiguration, auch wenn jede ECU in einem Fahrzeugsystem ein elektronisches Zertifikat einer anderen ECU im Voraus nicht besitzt, kann eine gegenseitige Authentifizierung zwischen ECUs durchgeführt werden. Deshalb kann, wenn eine ECU ausgetauscht wird, eine Operation zum Aktualisieren eines elektronischen Zertifikats einer anderen ECU weggelassen werden.
  • Außerdem kann die vorliegende Erfindung als ein Fahrzeugsystem mit zumindest einem Teil der vorstehend beschriebenen Mittel betrachtet werden. Die vorliegende Erfindung kann ebenso als ein Authentifizierungsverfahren eines Fahrzeugsystems betrachtet werden, in dem zumindest ein Teil der vorstehend beschriebenen Mittel ausgeführt wird. Weiterhin kann die vorliegende Erfindung ebenso als ein Computerprogramm, das veranlasst, dass das Verfahren durch einen Computer ausgeführt wird, oder als ein computerlesbares Speichermedium, das das Computerprogramm auf eine nichtflüchtige Weise speichert, betrachtet werden. Die entsprechenden Mittel und Prozesse, die vorstehend beschrieben sind, können auf irgendeine mögliche Weise miteinander kombiniert werden, um die vorliegende Erfindung zu bilden.
  • Gemäß der vorliegenden Erfindung kann ein Authentifizierungsprozess in einem Fahrzeugsystem einfach angewendet werden, auch wenn eine ECU ausgetauscht wird.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 ist ein schematisches Systemdiagramm gemäß einem ersten Ausführungsbeispiel;
  • 2 ist ein Diagramm, das ein Format eines elektronischen Zertifikats gemäß dem ersten Ausführungsbeispiel zeigt;
  • 3 ist ein Ablaufdiagramm, das einen Ablauf eines gegenseitigen Authentifizierungsprozesses von ECUs gemäß dem ersten Ausführungsbeispiel zeigt;
  • 4A ist ein Diagramm, das ein Verfahren des Erzeugens und Verteilens eines elektronischen Zertifikats während eines Fahrzeugzusammenbaus gemäß dem ersten Ausführungsbeispiel darstellt, und 4B ist ein Diagramm, das ein Verfahren des Erzeugens und Verteilens eines elektronischen Zertifikats während eines Versands einer Austausch-ECU darstellt;
  • 5 ist ein Diagramm, das ein Format eines elektronischen Zertifikats gemäß einem zweiten Ausführungsbeispiel zeigt;
  • 6 ist ein Ablaufdiagramm, das einen Ablauf eines gegenseitigen Authentifizierungsprozesses von ECUs gemäß dem zweiten Ausführungsbeispiel zeigt;
  • 7A zeigt eine Konfiguration einer Austausch-ECU gemäß einem dritten Ausführungsbeispiel und 7B ist ein Ablaufdiagramm, das einen Ablauf eines gegenseitigen Authentifizierungsprozesses von ECUs gemäß dem dritten Ausführungsbeispiel zeigt; und
  • 8 ist ein Diagramm, das eine funktionale Konfiguration einer ECU gemäß einer Modifikation zeigt.
  • BESCHREIBUNG DER AUSFÜHRUNGSBEISPIELE
  • (Erstes Ausführungsbeispiel)
  • <Konfiguration>
  • Ein Fahrzeugsystem gemäß einem ersten Ausführungsbeispiel wird mit Bezug auf 1 beschrieben. Das Fahrzeugsystem wird durch eine Vielzahl von Computern (ECUs) gebildet, die mit einem CAN-Bussystem verbunden sind. Obwohl vier ECUs inklusive einer Master-ECU (100m), einer allgemeinen ECU a (100a), einer allgemeinen ECU b (100b) und einer allgemeinen ECU c (100c) in 1 verbunden sind, ist die Anzahl von ECUs in dem Fahrzeugsystem nicht besonders beschränkt.
  • Jede ECU 100 besitzt einen Prozessor (eine Verarbeitungseinrichtung), einen Sicherheitschip (eine manipulationsresistente Einrichtung), einen Speicher, eine Kommunikationseinrichtung und Ähnliches. Außerdem arbeitet der Sicherheitschip unabhängig von anderen Prozessoren und ist dazu in der Lage, Programme und Daten sicher zu speichern und auszuführen. Während die Master-ECU 100m sich nicht besonders von den allgemeinen ECUs hinsichtlich einer Hardwarekonfiguration unterscheidet, wird vorzugsweise eine ECU mit reichlichen Verarbeitungsressourcen als die Master-ECU verwendet.
  • Da die entsprechenden ECUs ungefähr ähnliche funktionale Konfigurationen aufwiesen, wird die Master-ECU 100m als ein Beispiel beschrieben. Die Master-ECU 100m speichert ein Ausführungsprogramm 111m und ein Root-Zertifikat 112m in einem Festwertspeicher (einem ROM) 110m. Das Ausführungsprogramm 111m ist ein Programm, das Funktionen beschreibt, die durch die Master-ECU m nach einem Systemstart bereitzustellen sind. Das Root-Zertifikat 112m ist ein elektronisches Zertifikat entsprechend einem öffentlichen Schlüssel einer Root-Zertifikat-Behörde.
  • Zusätzlich speichert die Master-ECU 100m eine Verschlüsselungsmaschine 121m und einen privaten Schlüssel 122m in einer manipulationsresistenten Einrichtung 120m. Die Verschlüsselungsmaschine 121m stellt Funktionen bereit, wie etwa eine Erzeugung eines Paars eines privaten Schlüssels und eines öffentlichen Schlüssels, eine Ausgabe eines öffentlichen Schlüssels, einen Verschlüsselungsprozess, einen Entschlüsselungsprozess, ein Anhängen einer digitalen Signatur, eine Verifikation einer digitalen Signatur und eine Berechnung eines Hash-Werts. Zusätzlich ist der private Schlüssel 122m ein privater Schlüssel der Master-ECU 100m.
  • Des Weiteren speichert die Master-ECU 100m elektronische Zertifikate von allen allgemeinen ECUs in dem System (in diesem Fall elektronische Zertifikate 131a, 131b und 131c entsprechend der allgemeinen ECU a, der allgemeinen ECU b und der allgemeinen ECU c) in einem Flashspeicher (lesbarer/beschreibbarer Speicher) 130m.
  • Außerdem unterscheiden sich eine Master-ECU und eine allgemeine ECU voneinander hinsichtlich Arten von elektronischen Zertifikaten, die in einem Flashspeicher gespeichert sind. Während eine Master-ECU elektronische Zertifikate von allen allgemeinen ECUs wie vorstehend beschrieben in einem Flashspeicher speichert, speichert eine allgemeine ECU nur ein elektronisches Zertifikat 131m der Master-ECU in einem Flashspeicher.
  • <Elektronisches Zertifikat>
  • 2 ist ein Diagramm, das ein Format eines elektronischen Zertifikats zeigt. 2 zeigt ein Format eines elektronischen Zertifikats entsprechend einem öffentlichen Schlüssel der allgemeinen ECU a als ein Beispiel. Das elektronische Zertifikat 131 der allgemeinen ECU a wird durch einen öffentlichen Schlüssel 21 der allgemeinen ECU a, ein Ablaufdatum 22 eines privaten Schlüssels der allgemeinen ECU a, andere Informationen 23, einen Digest-Wert 24 eines authentischen Programms 111a, das in der allgemeinen ECU a zu speichern ist, und eine digitale Signatur 25 mit Bezug auf alle diese Elemente von Informationen gebildet. Für das elektronische Zertifikat 131 kann zum Beispiel der X.509 v3 Standard angewendet werden. Da dieser Standard einen erweiterten Bereich bereitstellt, kann der Digest-Wert 24 des Programms in dem erweiterten Bereich gespeichert werden.
  • Der Digest-Wert wird ebenso ein Zusammenfassungswert oder ein Hash-Wert genannt und ist ein Wert einer festen Länge, der unter Verwendung einer vorgeschriebenen Berechnungsprozedur von Quellendaten erhalten wird. Sogar eine kleine Differenz der Quellendaten kann eine signifikante Differenz in Digest-Werten ergeben. Obwohl der gleiche Digest-Wert manchmal von unterschiedlichen Elementen von Daten erhalten werden kann (Kollision von Hash-Werten), kann eine Identität von Daten unter Verwendung eines Digest-Werts verifiziert werden, da es keinen Weg gibt, Quellendaten zum Erhalten eines gleichen Digest-Werts effizient herzuleiten.
  • <Authentifizierungsprozedur>
  • Als Nächstes wird mit Bezug auf das Ablaufdiagramm in 3 ein Ablauf eines gegenseitigen Authentifizierungsprozesses zwischen ECUs in dem Fahrzeugsystem beschrieben. In dem vorliegenden Ausführungsbeispiel führt jede allgemeine ECU eine gegenseitige Authentifizierung mit der Master-ECU durch, um einen Sitzungsschlüssel (einen gemeinsamen Schlüssel) auszutauschen. Durch Verteilen eines gleichen Sitzungsschlüssels an alle allgemeinen ECUs ermöglicht die Master-ECU, dass eine Kommunikation unter Verwendung des Sitzungsschlüssels unter allen ECUs in dem System durchgeführt wird.
  • 3 stellt ein Beispiel eines Falls dar, in dem eine gegenseitige Authentifizierung zwischen der Master-ECU m und der allgemeinen ECU a durchgeführt wird. Dieser Prozess wird vorzugsweise zu Zeitpunkten von zum Beispiel einem Versand bzw. Ausliefern eines Fahrzeugs von einer Fabrik, einer Aktualisierung eines gemeinsamen Schlüssels und einem Austausch einer ECU durchgeführt. Jedoch kann der Prozess jedes Mal durchgeführt werden, wenn das Fahrzeugsystem gestartet wird.
  • Zuerst erzeugt die Master-ECU m eine Zufallszahl rm unter Verwendung der Verschlüsselungsmaschine 121m (S101). Auf eine ähnliche Weise erzeugt die allgemeine ECU eine Zufallszahl ra unter Verwendung der Verschlüsselungsmaschine 121a (S201). Diese Zufallszahlen werden erzeugt, um sicherzustellen, dass nachfolgende Mitteilungsaustauschprozesse Authentifizierungsprozesse in einer vorliegenden Sitzung sind. Diese Zufallszahlen müssen nicht notwendigerweise verwendet werden und können weggelassen werden.
  • Die Master-ECU m überträgt die Zufallszahl rm an die allgemeine ECU a (S102). Die allgemeine ECU a verwendet die Verschlüsselungsmaschine 121a in der manipulationsresistenten Einrichtung 120a, um einen Digest-Wert Da des Ausführungsprogramms 111a zu berechnen (S202). Zusätzlich verwendet die allgemeine ECU a die Verschlüsselungsmaschine 121a, um eine digitale Signatur S1 mit Bezug auf einen gekoppelten Wert des Digest-Werts Da, der Zufallszahl rm und der Zufallszahl ra zu erzeugen (S203). Die digitale Signatur S1 bezeichnet Daten, die durch Verschlüsseln eines Hash-Werts des gekoppelten Werts des Digest-Werts Da, der Zufallszahl rm und der Zufallszahl ra mit dem privaten Schlüssel 122a der allgemeinen ECU a erhalten werden. Die allgemeine ECU a überträgt den Digest-Wert Da, die Zufallszahl rm, die Zufallszahl ra und die digitale Signatur S1 an die Master-ECU m (S204).
  • Die Master-ECU m erzeugt einen Sitzungsschlüssel K unter Verwendung der Verschlüsselungsmaschine 121m (S103). Speziell ist der Sitzungsschlüssel K eine Zufallszahl. Wie vorstehend beschrieben, könnte eine Erzeugung eines Sitzungsschlüssels einmal während des gegenseitigen Authentifizierungsprozesses ausreichend sein, da ein Sitzungsschlüssel in dem Fahrzeugsystem geteilt wird.
  • Wenn die Master-ECU m eine Mitteilung mit einer digitalen Signatur von der allgemeinen ECU a empfängt, bestätigt die Master-ECU m eine Integrität der digitalen Signatur unter Verwendung des elektronischen Zertifikats der allgemeinen ECU a (S104). Speziell werden ein Digest-Wert des empfangenen Digest-Werts Da, die Zufallszahl rm und die Zufallszahl ra erhalten und die digitale Signatur wird mit einem öffentlichen Schlüssel (der in dem elektronischen Zertifikat enthalten ist) der allgemeinen ECU a entschlüsselt. Wenn diese Werte übereinstimmen, kann garantiert werden, dass die Übertragungsquelle der Daten die allgemeine ECU a ist und die Übertragungsdaten nicht manipuliert wurden. Wenn eine Integrität der digitalen Signatur nicht bestätigt werden kann, wird der Prozess abgebrochen, da es eine Möglichkeit gibt, dass eine Vortäuschung oder eine Manipulation durchgeführt wurden.
  • Als Nächstes gleich die Master-ECU m ab, ob der Digest-Wert Da des Programms der allgemeinen ECU a, der in den Übertragungsdaten enthalten ist, mit dem Digest-Wert 24, der in dem elektronischen Zertifikat der allgemeinen ECU a enthalten ist, übereinstimmt (S105). Übereinstimmende Digest-Werte geben an, dass das Programm 111a, das in der allgemeinen ECU gespeichert ist, authentisch ist oder, mit anderen Worten, dass das Programm 111a keiner Manipulation oder Ähnlichem unterzogen wurde. Aufgrund der bisherigen Prozesse kann die Master-ECU m bestätigen, dass die allgemeine ECU a gültig ist. Andererseits, wenn die Digest-Werte nicht übereinstimmen, wird der Prozess abgebrochen, da es eine Möglichkeit gibt, dass das Programm manipuliert wurde.
  • Unter Verwendung der Verschlüsselungsmaschine 121m verschlüsselt die Master-ECU m den Sitzungsschlüssel K, der in Schritt S103 erzeugt wird, mit dem öffentlichen Schlüssel (der in dem elektronischen Zertifikat enthalten ist) der allgemeinen ECU a, um einen verschlüsselten Sitzungsschlüssel EK zu erhalten (S106). Zusätzlich verwendet die Master-ECU m die Verschlüsselungsmaschine 121m, um einen Digest-Wert Dm des Programms 111m zu berechnen (S107). Des Weiteren verwendet die Master-ECU m die Verschlüsselungsmaschine 121m, um eine digitale Signatur S2 mit Bezug auf einen gekoppelten Wert des Digest-Werts Dm, der Zufallszahl rm, der Zufallszahl ra und des verschlüsselten Sitzungsschlüssels EK zu erzeugen (S108). Die digitale Signatur S2 sind Daten, die durch Verschlüsseln eines Hash-Werts des gekoppelten Werts des Digest-Werts Dm, der Zufallszahl rm, der Zufallszahl ra und des verschlüsselten Sitzungsschlüssels EK mit dem privaten Schlüssel 122m der Master-ECU m erhalten werden. Die Master-ECU m überträgt den Digest-Wert Dm, die Zufallszahl rm, die Zufallszahl ra, den verschlüsselten Sitzungsschlüssel EK und die digitale Signatur S2 an die allgemeine ECU a (S109).
  • Wenn die allgemeine ECU a eine Mitteilung mit einer digitalen Signatur von der Master-ECU m empfängt, bestätigt die allgemeine ECU a eine Integrität der digitalen Signatur unter Verwendung des elektronischen Zertifikats der Master-ECU m (S205). Speziell wird ein Digest-Wert des empfangenen Digest-Werts Dm, einer Zufallszahl rm, einer Zufallszahl ra und eines verschlüsselten Sitzungsschlüssel EK erhalten und die digitale Signatur wird mit einem öffentlichen Schlüssel (der in dem elektronischen Zertifikat enthalten ist) der Master-ECU m entschlüsselt. Wenn diese Werte übereinstimmen, kann garantiert werden, dass die Übertragungsquelle der Daten die Master-ECU m ist und die Übertragungsdaten nicht manipuliert wurden. Wenn eine Integrität der digitalen Signatur nicht bestätigt werden kann, wird der Prozess abgebrochen, da es eine Möglichkeit gibt, dass eine Vortäuschung oder Manipulation durchgeführt wurde.
  • Als Nächstes gleicht die allgemeine ECU a ab, ob der Digest-Wert Dm des Programms der Master-ECU m, der in den Übertragungsdaten enthalten ist, mit dem Digest-Wert 24, der in dem elektronischen Zertifikat der Master-ECU m enthalten ist, übereinstimmt (S206). Übereinstimmende Digest-Werte geben an, dass das Programm 111m, das in der Master-ECU m gespeichert ist, authentisch ist oder, mit anderen Worten, dass das Programm 111m keiner Manipulation oder Ähnlichem unterzogen wurde. Aufgrund der bisherigen Prozesse kann die allgemeine ECU a bestätigen, dass die Master-ECU m gültig ist. Andererseits, wenn die Digest-Werte nicht übereinstimmen, wird der Prozess beendet, dass es eine Möglichkeit gibt, dass das Programm manipuliert wurde.
  • Wenn die Gültigkeit der Master-ECU m bestätigt ist, entschlüsselt die allgemeine ECU a den verschlüsselten Sitzungsschlüssel EK unter Verwendung des privaten Schlüssels 122a der allgemeinen ECU a selbst (S207). Dementsprechend kann der Sitzungsschlüssel K zwischen der Master-ECU m und der allgemeinen ECU a geteilt werden. Nachfolgend wird eine sichere Kommunikation unter Verwendung des Sitzungsschlüssels zwischen der Master-ECU m und der allgemeinen ECU a durchgeführt. Zum Beispiel kann durch Erzeugen und Übertragen eines Mitteilungsauthentifizierungscodes (eines MAC) einer Übertragungsmitteilung unter Verwendung des Sitzungsschlüssels eine Sicherheit einer Kommunikation sichergestellt werden.
  • Außerdem, wie vorstehend beschrieben, führt jede allgemeine ECU eine gegenseitige Authentifizierung mit der Master-ECU m durch und empfängt den gleichen Sitzungsschlüssel K von der Master-ECU m. Deshalb, da der gleiche Sitzungsschlüssel K unter allen ECUs in dem Fahrzeugsystem geteilt werden kann, kann ebenso eine Kommunikation unter Verwendung des Sitzungsschlüssels K in einer Kommunikation unter den allgemeinen ECUs durchgeführt werden.
  • Ein Durchführen des Authentifizierungsprozesses wie vorstehend beschrieben ermöglicht, dass ein Verschlüsselungssystem mit einem öffentlichen Schlüssel verwendet werden kann, um zu bestätigen, dass die ECUs in dem Fahrzeugsystem gültig sind und dass das Ausführungsprogramm authentisch ist. Zusätzlich kann ein Sitzungsschlüssel unter gegenseitig authentifizierten ECUs geteilt werden.
  • <Verfahren des Erzeugens und Verteilens eines elektronischen Zertifikats>
  • Nachstehend wird ein Verfahren des Erzeugens und Verteilens eines elektronischen Zertifikats in dem Fahrzeugsystem beschrieben.
  • 4A ist ein Diagramm, das ein Verfahren des Erzeugens und Verteilens eines elektronischen Zertifikats während eines Fahrzeugzusammenbaus darstellt. Eine Verwaltungseinrichtung bei einer Fahrzeugfabrik gibt eine Anweisung zur Erzeugung eines Paars eines öffentlichen Schlüssels und eine Anweisung zur Extrahierung eines öffentlichen Schlüssels an alle ECUs, die an einem einzelnen Fahrzeug angebracht sind, aus (S301). Eine ECU, die diese Anweisungen empfangen hat, verwendet eine Verschlüsselungsmaschine, um ein Paar eines privaten Schlüssels und eines öffentlichen Schlüssels zu erzeugen (S302), speichert das Paar in einem Speicher und überträgt den öffentlichen Schlüssel an die Verwaltungseinrichtung (S303). Die Verwaltungseinrichtung überträgt den öffentlichen Schlüssel der ECU und einen Digest-Wert eines authentischen Programms, das an der ECU anzubringen ist, an eine Zertifizierungsbehörde (eine Root-Zertifikat-Behörde) und fordert eine Erzeugung eines elektronischen Zertifikats an (S304). Die Zertifizierungsbehörde erzeugt ein elektronisches Zertifikat entsprechend dem empfangenen öffentlichen Schlüssel und einem Programm-Digest-Wert und überträgt das elektronische Zertifikat an die Verwaltungseinrichtung (S305). Wie in 2 gezeigt ist, umfasst das erzeugte elektronische Zertifikat den öffentlichen Schlüssel und den Programm-Digest-Wert der ECU und eine digitale Signatur für die Gesamtheit der Informationen ist angehängt, und wird unter Verwendung eines privaten Schlüssels der Zertifizierungsbehörde erzeugt. Nach einem Empfangen des elektronischen Zertifikats von der Zertifizierungsbehörde sichert die Verwaltungseinrichtung ein Ausführungsprogramm, das elektronische Zertifikat und ein Root-Zertifikat in Speichern der ECUs (S307, S308). Als das Ausführungsprogramm wird ein Ausführungsprogramm entsprechend jeder ECU in einem ROM gespeichert. Zusätzlich wird das elektronische Zertifikat in einem Flashspeicher gespeichert. Des Weiteren werden die elektronischen Zertifikate von allen allgemeinen ECUs in der Master-ECU gespeichert, aber nur das elektronische Zertifikat der Master-ECU wird in einer allgemeinen ECU gespeichert. Das Root-Zertifikat ist ein elektronisches Zertifikat entsprechend einem öffentlichen Schlüssel der Zertifizierungsbehörde. Das Root-Zertifikat wird in dem ROM von jeder ECU gespeichert.
  • Dementsprechend kann eine Konfiguration des Fahrzeugsystems wie etwa das, das in 1 gezeigt ist, konstruiert werden.
  • Ein Verfahren des Erzeugens und Verteilens einer Austausch-ECU wird nun mit Bezug auf 4B beschrieben. Sogar in diesem Fall wird ein elektronisches Zertifikat mit einem Programm-Digest-Wert einer Austausch-ECU dadurch erzeugt, dass eine Anforderung an eine Zertifizierungsbehörde gemäß dem Verfahren von Schritten S301 bis S306, die in 4A gezeigt sind, vorgenommen wird. Wie in 4B gezeigt ist, sichert die Verwaltungseinrichtung ein Ausführungsprogramm 111 und ein Root-Zertifikat 112 in einer Austausch-ECU 100 und sichert gleichzeitig ein elektronisches Zertifikat 131 der Austausch-ECU in einem Speichermedium 200 (ein Flashspeicher, eine CD-ROM, oder Ähnliches), das ein separates Medium für die ECU ist. Die Austausch-ECU 100 wird zusammen mit dem Speichermedium 200, das das elektronische Zertifikat 131 speichert, verschickt.
  • Als Nächstes wird eine Prozedur des Austauschens einer ECU in dem Fahrzeugsystem beschrieben.
  • Wenn die Austausch-ECU eine allgemeine ECU ist, wird das elektronische Zertifikat der Austausch-ECU, das in dem Speichermedium 200 gespeichert ist, an die Master-ECU in dem Fahrzeugsystem übertragen, um das elektronische Zertifikat in dem Flashspeicher der Master-ECU zu aktualisieren. Außerdem kann die Master-ECU die Gültigkeit des elektronischen Zertifikats mit einem Root-Zertifikat verifizieren. Zusätzlich empfängt die Austausch-ECU das elektronische Zertifikat von der Master-ECU und speichert das elektronische Zertifikat in einem Flashspeicher. Die Gültigkeit des elektronischen Zertifikats kann auf eine ähnliche Weise wie vorstehend beschrieben unter Verwendung eines Root-Zertifikats verifiziert werden.
  • Wenn die Austausch-ECU eine Master-ECU ist, wird das elektronische Zertifikat der Austausch-ECU, das in dem Speichermedium 200 gespeichert ist, an alle allgemeinen ECUs in dem Fahrzeugsystem übertragen, um das elektronische Zertifikat in den Flashspeichern der allgemeinen ECUs zu aktualisieren. Zusatzlich empfängt die Austausch-ECU elektronische Zertifikate von allen allgemeinen ECUs in dem Fahrzeugsystem und speichert die elektronischen Zertifikate in einem Flashspeicher. Die Gültigkeit der elektronischen Zertifikate kann auf eine ähnliche Weise wie vorstehend beschrieben mit einem Root-Zertifikat verifiziert werden.
  • Auf diese Weise, wenn eine illegale ECU angebracht wird, kann ein Anbringen der illegalen ECU erfasst werden, da eine Verifikation eines elektronischen Zertifikats von dieser fehlschlägt. Zusätzlich, wenn eine ECU eine gültige ECU ist, aber ein Programm, das darin gespeichert ist, manipuliert wurde und nicht länger gültig ist, kann das Programm durch einen gegenseitigen Authentifizierungsprozess erfasst werden (3). Des Weiteren, da ein elektronisches Zertifikat nur in einem Flashspeicher gespeichert werden muss und nicht in einer manipulationsresistenten Einrichtung gespeichert werden muss, muss eine Schnittstelle, die eine Sicherheitslücke werden könnte, nicht vorbereitet werden, um eine ECU zu ersetzen. Außerdem, da eine Kommunikation (Hotline) mit einer Zertifizierungsbehörde nicht durchgeführt werden muss, wenn eine ECU ausgetauscht wird, kann eine ECU einfach ausgetauscht werden.
  • (Zweites Ausführungsbeispiel)
  • In dem ersten Ausführungsbeispiel wird die Authentizität eines Programms durch Speichern eines Programm-Digest-Werts in einem elektronischen Zertifikat und Übertragen eines Programm-Digest-Werts einer Host-Einrichtung an eine ECU, die ein Authentifizierungsziel in einem Authentifizierungsprozess ist, bestätigt. Das vorliegende Ausführungsbeispiel ist vom ersten Ausführungsbeispiel bezüglich eines Verfahrens des Verifizierens der Gültigkeit eines Programms verschieden. In dem vorliegenden Ausführungsbeispiel verifiziert jede ECU die Gültigkeit eines Programms unter Verwendung eines sicheren Bootens (”secure boot”).
  • Da eine Konfiguration einer ECU in dem zweiten Ausführungsbeispiel ungefähr ähnlich zu der in dem ersten Ausführungsbeispiel ist (1), wird eine detaillierte Beschreibung davon weggelassen. Ein Unterschied von dem ersten Ausführungsbeispiel liegt in Daten, die in einem elektronischen Zertifikat umfasst sind.
  • 5 ist ein Diagramm, das ein Format eines elektronischen Zertifikats gemäß dem zweiten Ausführungsbeispiel zeigt. Während der Digest-Wert 24 eines gültigen Programms, das in einer ECU zu speichern ist, in einem erweiterten Bereich des elektronischen Zertifikats 131 in dem ersten Ausführungsbeispiel gespeichert ist, wird in dem vorliegenden Ausführungsbeispiel stattdessen eine Kennung (ID) 26 einer ECU gespeichert. Eine Kennung einer ECU kann irgendein Format aufweisen, solange die Kennung Daten sind, die ermöglichen, dass eine ECU eindeutig identifiziert wird.
  • Zusätzlich wird in dem vorliegenden Ausführungsbeispiel, da die Gültigkeit eines Programms durch ein sicheres Booten bestätigt wird, ein gültiger Digest-Wert eines Programms, das in einer ECU zu speichern ist, in einer manipulationsresistenten Einrichtung gespeichert. Der Programm-Digest-Wert ist der gleiche wie der, der in dem erweiterten Bereich eines elektronischen Zertifikats in dem ersten Ausführungsbeispiel gespeichert ist.
  • 6 ist ein Ablaufdiagramm, das einen Ablauf eines gegenseitigen Authentifizierungsprozesses unter ECUs in einem Fahrzeugsystem gemäß dem zweiten Ausführungsbeispiel zeigt. In dem vorliegenden Ausführungsbeispiel wird zuerst die Gültigkeit eines Ausführungsprogramms entsprechend unter Verwendung eines sicheren Boot-Verfahrens durch die Master-ECU m und die allgemeine ECU a verifiziert (S301, S401). Bei einem sicheren Booten berechnet eine Verschlüsselungsmaschine einen Digest-Wert eines Programms, das in einem Speicher gespeichert ist, und vergleicht den Digest-Wert mit einem Digest-Wert eines gültigen Programms, der in der manipulationsresistenten Einrichtung gespeichert ist. Wenn die Digest-Werte übereinstimmen, wird bestimmt, dass das Programm gültig ist, aber wenn die Digest-Werte nicht übereinstimmen, wird bestimmt, dass das Programm ungültig ist. Die Master-ECU m und die allgemeine ECU a führen Prozesse nachfolgend zu Schritten S301 und S401 nur durch, wenn durch das sichere Booten bestimmt ist, dass das Programm gültig ist.
  • Die nachfolgenden Prozesse sind grundlegend ähnlich zu denen in dem ersten Ausführungsbeispiel und ein Unterschied ist, dass eine ECU-Kennung anstelle des Berechnens und Übertragens eines Programm-Digest-Werts übertragen wird. In Schritten S403 und S404 erzeugt zum Beispiel die allgemeine ECU a eine digitale Signatur S1 mit Bezug auf einen gekoppelten Wert einer ECUIDa der Host-Einrichtung, einer Zufallszahl rm und einer Zufallszahl ra und überträgt diese Elemente von Daten und die digitale Signatur an die Master-ECU. Der Integritätsverifizierungsprozess (S305) der digitalen Signatur durch die Master-ECU m ist ähnlich zu dem in dem ersten Ausführungsbeispiel. Zusätzlich ist die Verifikation einer Gültigkeit einer ECU durch Bestimmen, ob die Daten (ECUIDa), die von der allgemeinen ECU a übertragen werden, die ein Authentifizierungsziel ist, mit Daten übereinstimmen, die in dem elektronischen Zertifikat gespeichert sind, in Schritt S306 die gleiche wie in dem ersten Ausführungsbeispiel. Es gibt jedoch einen Unterschied in verwendeten Daten zwischen einem Digest-Wert eines Programms und einer Kennung einer ECU. Der Prozess einer Übertragung von der Master-ECU m an die allgemeine ECU a (Schritte S308 und S309 und S405 bis S407) ist ähnlich zu dem der vorstehend beschrieben wurde.
  • Aufgrund solcher Prozesse kann ein ähnlicher Effekt wie in dem ersten Ausführungsbeispiel erzeugt werden. Außerdem sind ein Verfahren des Erzeugens und Verteilens eines elektronischen Zertifikats nach einem Fahrzeugzusammenbau, ein Verfahren des Erzeugens und Verteilens einer Austausch-ECU und eine Austauschprozedur ähnlich zu denen des ersten Ausführungsbeispiels.
  • (Drittes Ausführungsbeispiel)
  • In dem ersten und zweiten Ausführungsbeispiel, die vorstehend beschrieben wurden, wird, wenn eine ECU ausgetauscht wird, eine Operation durchgeführt, um ein elektronisches Zertifikat einer Austausch-ECU in andere ECUs in einem Fahrzeugsystem zu installieren. Das vorliegende Ausführungsbeispiel ermöglicht es, dass eine Arbeitslast während eines ECU-Austauschs durch Weglassen dieser Operation reduziert wird.
  • 7A ist ein Diagramm, das eine Konfiguration einer Austausch-ECU r gemäß dem vorliegenden Ausführungsbeispiel zeigt. Während ein elektronisches Zertifikat der Austausch-ECU r in einem Speichermedium gespeichert wird, das von dem ECU-Hauptgehäuse in dem ersten Ausführungsbeispiel verschieden ist ( 4B), wird in dem vorliegenden Ausführungsbeispiel ein elektronisches Zertifikat 131r der Austausch-ECU r in einem Flashspeicher 130r der ECU r gespeichert.
  • In dem vorliegenden Ausführungsbeispiel, wenn eine ECU ausgetauscht wird, wird nur ein Schritt des einfachen Austauschens der ECU durchgeführt und ein Prozess des Aktualisierens eines elektronischen Zertifikats einer anderen ECU in dem Fahrzeugsystem wird nicht durchgeführt. Deshalb, unmittelbar nach einem Austausch der ECU, hält die Austausch-ECU r kein elektronisches Zertifikat einer anderen ECU und halten die ECUs nicht das elektronische Zertifikat der Austausch-ECU r.
  • 7B ist ein Ablaufdiagramm, das einen Ablauf eines gegenseitigen Authentifizierungsprozesses zwischen ECUs (in diesem Fall zwischen der Master-ECU m und der allgemeinen ECU a) gemäß dem vorliegenden Ausführungsbeispiel zeigt. Da in dem vorliegenden Ausführungsbeispiel eine ECU ein elektronisches Zertifikat eines Authentifizierungspartners nicht halten könnte, ist ein zusätzlicher Prozess im Vergleich mit dem ersten Ausführungsbeispiel notwendig. Außerdem, unabhängig davon, ob die ausgetauschte ECU die Master-ECU m oder die allgemeine ECU a (oder beide) ist, ermöglicht dieser Prozess, dass eine gegenseitige Authentifizierung zwischen ECUs durchgeführt wird. Zusätzlich zeigt das Ablaufdiagramm in 7B einfach einen Teil von Inhalten der Prozesse, die in 3 gezeigt sind, oder lässt diese weg, um Unterschiede von den Prozessen gemäß dem ersten Ausführungsbeispiel hervorzuheben (3).
  • Als Erstes startet die Master-ECU einen gegenseitigen Authentifizierungsprozess (S800). Speziell erzeugt die Master-ECU m eine Zufallszahl ra und überträgt die Zufallszahl ra an die allgemeine ECU a auf eine ähnliche Weise wie in Schritt S101. Wenn der gegenseitige Authentifizierungsprozess startet, bestimmt die allgemeine ECU a, ob ein elektronisches Zertifikat m der Master-ECU m in einem Speicher gespeichert ist oder nicht (S801).
  • Wenn die allgemeine ECU a das elektronische Zertifikat m hält (Ja in S801), werden ein Digest-Wert Da eines Ausführungsprogramms 111r einer allgemeinen ECU r und Zufallszahlen rm und ra und eine digitale Signatur S1 mit Bezug auf einen gekoppelten Wert von diesen Werten an die Master-ECU m auf eine ähnliche Weise wie in dem ersten Ausführungsbeispiel übertragen (S802). Dieser Prozess ist ähnlich zu dem Prozess von Schritten S202 bis S204, der in 3 gezeigt ist.
  • Wenn die allgemeine ECU a das elektronische Zertifikat m nicht hält (Nein in S801), wird andererseits ein elektronisches Zertifikat a der Host-Einrichtung zusätzlich zu dem Digest-Wert Da des Ausführungsprogramms 111r der allgemeinen ECU r und den Zufallszahlen rm und ra übertragen (S803). Dadurch kann das elektronische Zertifikat a als ein Objekt der digitalen Signatur S1 betrachtet werden oder nicht.
  • Wenn die Master-ECU m Daten inklusive des Digest-Werts Da des Programms von der allgemeinen ECU a empfängt, bestimmt die Master-ECU m, ob die empfangenen Daten das elektronische Zertifikat a enthalten (genauer ein elektronisches Zertifikat einer Datenübertragungsquelle) (S804). Wenn das elektronische Zertifikat a in den empfangenen Daten enthalten ist (Ja in S804), bestimmt die Master-ECU m, ob das elektronische Zertifikat a bereits registriert ist (in einem Speicher gehalten wird) oder nicht (S805). Wenn die Master-ECU m das elektronische Zertifikat a nicht hält (Nein in S805), bestätigt die Master-ECU m eine Gültigkeit des elektronischen Zertifikats a mit der Verschlüsselungsmaschine 121m unter Verwendung eines Root-Zertifikats 112m und, sobald die Gültigkeit bestätigt ist, registriert sie das elektronische Zertifikat a (speichert das elektronische Zertifikat a in einen Speicher) (S806). Außerdem, wenn die Gültigkeit des elektronischen Zertifikats a nicht bestätigt werden kann, wird der Authentifizierungsprozess abgebrochen und nachfolgende Prozesse werden nicht durchgeführt.
  • Andererseits, wenn das elektronische Zertifikat a nicht in den Daten enthalten ist, die durch die Master-ECU m empfangen werden (Nein in S804), oder wenn das elektronische Zertifikat a, das in den empfangenen Daten enthalten ist, bereits registriert ist (Ja in S805), wird der Prozess von Schritt S806 nicht durchgeführt.
  • Als Nächstes bestätigt die Master-ECU m eine Gültigkeit der Daten, die von der allgemeinen ECU a empfangen werden, unter Verwendung des elektronischen Zertifikats a (S807). Speziell wird eine Verifizierung einer digitalen Signatur und eine Verifizierung eines Digest-Werts (Vergleich des Digest-Werts, der in den empfangenen Daten enthalten ist, und des Digest-Werts, der in dem elektronischen Zertifikat a enthalten ist) durchgeführt. Diese Prozesse sind ähnlich zu den Prozessen von Schritten S104 und S105, die in 3 gezeigt sind.
  • Sobald die Gültigkeit der allgemeinen ECU a bestätigt ist, hängt die Master-ECU m eine digitale Signatur an das elektronische Zertifikat m der Host-Einrichtung an und überträgt das elektronische Zertifikat m zusammen mit dem Digest-Wert Dm des Programms 111m der Host-Einrichtung, den Zufallszahlen rm und ra und dem verschlüsselten Sitzungsschlüssel EK (S808). Diese Prozesse sind ähnlich zu den Prozessen von Schritten S106 bis S109, die in 3 gezeigt sind, und Schritt S803, der vorstehend beschrieben wird. Außerdem muss das elektronische Zertifikat m nicht immer übertragen werden und kann nur übertragen werden, wenn das elektronische Zertifikat a der allgemeinen ECU a in Daten, die von der allgemeinen ECU a übertragen werden, enthalten ist. Dies liegt daran, dass ansonsten die allgemeine ECU a das elektronische Zertifikat m hält.
  • Wenn die allgemeine ECU a Daten, die das elektronische Zertifikat m enthalten, von der Master-ECU m empfängt, überprüft die allgemeine ECU a die Gültigkeit des elektronischen Zertifikats m und, sobald die Gültigkeit bestätigt ist, registriert sie das elektronische Zertifikat m (speichert das elektronische Zertifikat m in einem Speicher) (S809). Zusätzlich überprüft die allgemeine ECU a die Gültigkeit der Daten, die von der Master-ECU m übertragen werden, unter Verwendung des elektronischen Zertifikats m und, sobald die Gültigkeit bestätigt ist, registriert sie das elektronische Zertifikat m (speichert das elektronische Zertifikat m in einem Speicher) (S809). Dieser Prozess ist ähnlich zu dem Prozess von Schritten S205 bis S207, die in 3 gezeigt sind. Außerdem, wenn die Gültigkeit des elektronischen Zertifikats m nicht bestätigt werden kann, wird der Authentifizierungsprozess abgebrochen und nachfolgende Prozesse werden nicht durchgeführt. Nachfolgende Prozesse sind ähnlich zu denen, die in dem Ablaufdiagramm in 3 gezeigt sind, und eine Beschreibung von diesen wird weggelassen.
  • Gemäß dem vorliegenden Ausführungsbeispiel kann eine gegenseitige Authentifizierung unter ECUs in einem Fahrzeugsystem angemessen nach einem Austausch einer ECU durchgeführt werden, ohne die Notwendigkeit des Aktualisierens von elektronischen Zertifikaten, die in der ECU gespeichert sind, während des Austauschs der ECU. Mit anderen Worten kann eine Arbeitslast während einem ECU-Austausch reduziert werden.
  • In dem vorliegenden Ausführungsbeispiel, da eine Verteilung eines elektronischen Zertifikat und ein Verifizierungsprozess des elektronischen Zertifikats in einem anfänglichen gegenseitigen Authentifizierungsprozess nach einem Austausch einer ECU erforderlich sind, erhöht sich die Anzahl von Schritten und mehr Zeit ist erforderlich, bis die Authentifizierung beendet ist. Nachdem jedoch eine Verteilung (Registrierung) des elektronischen Zertifikats beendet ist, kann ein gegenseitiger Authentifizierungsprozess mit ähnlichen Prozessinhalten wie in dem ersten Ausführungsbeispiel durchgeführt werden.
  • Während ein Beispiel, in dem eine gegenseitige Authentifizierung unter Verwendung eines Digest-Werts eines Ausführungsprogramms auf eine ähnliche Weise wie in dem ersten Ausführungsbeispiel durchgeführt wird, vorstehend beschrieben wurde, kann das vorliegende Ausführungsbeispiel ebenso auf das zweite Ausführungsbeispiel angewendet werden, in dem eine gegenseitige Authentifizierung unter Verwendung einer Technik eines sicheren Bootens und einer Kennung einer ECU durchgeführt wird.
  • Zusätzlich, während ein Beispiel des Zeitpunkts des Austauschs einer ECU vorstehend beschrieben wurde, kann ein elektronisches Zertifikat von jeder ECU ebenso unter Verwendung eines ähnlichen Verfahrens zu dem vorstehend Beschriebenen zu einem Zeitpunkt des Zusammenbaus eines Fahrzeugs registriert werden.
  • (Modifikationen)
  • Die vorstehend beschriebenen Ausführungsbeispiele stellen lediglich Beispiele dar und die vorliegende Erfindung kann mit verschiedenen Modifikationen implementiert werden, ohne sich vom Geist und Umfang der Erfindung zu entfernen.
  • Während zum Beispiel in der vorstehend vorgenommen Beschreibung das Ausführungsprogramm 111 einer ECU in dem ROM 110 gespeichert ist, kann das Ausführungsprogramm stattdessen in dem Flashspeicher (lesbarer/beschreibbarer Speicher) 130 gespeichert werden. Dies liegt daran, dass, obwohl ein Speichern eines Programms in einem Flashspeicher das Programm relativ anfälliger für Manipulationen macht, auch wenn das Programm manipuliert wird, die Manipulation durch einen Authentifizierungsprozess unter Verwendung eines Programm-Digest-Werts erfasst werden kann.
  • Zusätzlich, während in der vorstehend vorgenommen Beschreibung nur ein Sitzungsschlüssel, der von einer Master-ECU an eine allgemeine ECU zu übertragen ist, übertragen wird, nachdem dieser verschlüsselt wurde, können alle Mitteilungen unter ECUs in einem gegenseitigen Authentifizierungsprozess übertragen werden, nachdem diese verschlüsselt wurden. Speziell kann durch Übertragen von Übertragungsdaten nach einer Verschlüsselung unter Verwendung eines öffentlichen Schlüssels eines Kommunikationspartners nur der Kommunikationspartner die Übertragungsdaten lesen.
  • Des Weiteren, während die Zufallszahlen rm und ra in der vorstehend vorgenommen Beschreibung verwendet werden, werden diese Zufallszahlen verwendet, um sicherzustellen, dass eine Mitteilung, die nach einer Authentifizierung übertragen wird, für eine vorliegende Sitzung ist, und die Zufallszahlen müssen nicht notwendiger Weise verwendet werden.
  • Außerdem, während in der vorstehend vorgenommen Beschreibung ein Root-Zertifikat in einem ROM unter Berücksichtigung der Tatsache gespeichert wird, dass das Root-Zertifikat nicht aktualisiert werden muss, kann ein Root-Zertifikat in einem Flashspeicher gespeichert werden, um eine Aktualisierung eines privaten Schlüssels durch eine Root-Zertifikat-Behörde unterzubringen. Eine Konfiguration in diesem Fall ist in 8 gezeigt. Wie in 8 gezeigt ist, wird ein Root-Zertifikat 112 in einem Flashspeicher gespeichert. Da es ein Risiko gibt, dass das Root-Zertifikat 112, das in dem Flashspeicher gespeichert wird, manipuliert wird, wird in diesem Fall, wenn das Root-Zertifikat 112 akzeptiert (gespeichert) wird, eine digitale Signatur 132 des Root-Zertifikats unter Verwendung eines privaten Schlüssels 122 einer ECU erzeugt und in dem Flashspeicher gespeichert. Dementsprechend kann die ECU bestätigen, dass das Root-Zertifikat 112 gültig ist. Ein anderes Verfahren des Unterbringens einer Aktualisierung eines Root-Zertifikats ist es, das Root-Zertifikat in einem sicheren Speicher zu speichern.
  • Zusätzlich, während vorstehend ein Beispiel beschrieben wurde, in dem nur eine Master-ECU in einem Fahrzeugsystem vorhanden ist, kann eine Vielzahl von Master-ECUs in dem Fahrzeugsystem vorhanden sein. In diesem Fall kann jede Master-ECU eine eindeutige Gruppe bilden und einen eindeutigen Sitzungsschlüssel in der Gruppe verwenden, oder der gleiche Sitzungsschlüssel kann durch alle der Gruppen verwendet werden. Des Weiteren kann eine Konfiguration einer Master-ECU und allgemeiner ECUs mit drei oder mehr Ebenen konstruiert werden, in der die Master-ECU auf der obersten Ebene eine gegenseitige Authentifizierung mit den ECUs in der Ebene darunter durchführt, um einen Sitzungsschlüssel zu teilen, und die Master-ECU in der zweiten Ebene eine gegenseitige Authentifizierung mit den ECUs in der darunterliegenden Ebene durchführt. Dementsprechend kann die Last auf die Master-ECUs verteilt werden und gleichzeitig kann die Zeit, die erforderlich ist, um die Zuverlässigkeit des gesamten Fahrzeugsystems zu bestätigen, reduziert werden. Außerdem kann ein ähnliches Verfahren verwendet werden, wenn eine Master-ECU nicht eingesetzt wird und entsprechende ECUs eine gegenseitige Authentifizierung durchführen und einen Sitzungsschlüssel auf einer Eins-zu-Eins-Basis teilen.
  • Es ist ein Fahrzeugsystem bereitgestellt, das durch eine Master-ECU und eine allgemeine ECU gebildet ist. Die allgemeine ECU hängt eine digitale Signatur an Übertragungsdaten, die die Daten (zum Beispiel einen Digest-Wert eines Programms) enthalten, an und überträgt die Übertragungsdaten an die Master-ECU. Die Master-ECU verifiziert die digitale Signatur und die Daten und bestimmt, wenn sowohl die digitale Signatur als auch die Daten gültig sind, dass die allgemeine ECU gültig ist. Die Master-ECU hängt eine digitale Signatur an Übertragungsdaten, die die Daten der Master-ECU und einen Sitzungsschlüssel enthalten, an und überträgt die Übertragungsdaten an die allgemeine ECU. Die allgemeine ECU verifiziert die digitale Signatur und die Daten und, wenn sowohl die digitale Signatur als auch die Daten gültig sind, verwendet die allgemeine ECU den Sitzungsschlüssel, der in den Übertragungsdaten enthalten ist, als gemeinsamen Schlüssel, wenn nachfolgende Kommunikationen durchgeführt werden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 2007-074390 (A) [0004]

Claims (13)

  1. Fahrzeugsystem mit einer Master-ECU und einer allgemeinen ECU, wobei die Master-ECU bereitgestellt ist mit: einem privaten Schlüssel der Master-ECU (einem Master-ECU-Privatschlüssel); und einem elektronischen Zertifikat (einem elektronischen Allgemein-ECU-Zertifikat), das einem öffentlichen Schlüssel der allgemeinen ECU (einem öffentlichen Allgemein-ECU-Schlüssel) entspricht und das spezifizierte Daten bezüglich der allgemeinen ECU umfasst, und wobei die allgemeine ECU bereitgestellt ist mit: einem privaten Schlüssel der allgemeinen ECU (einem Allgemein-ECU-Privatschlüssel); und einem elektronischen Zertifikat (einem elektronischen Master-ECU-Zertifikat), das einem öffentlichen Schlüssel der Master-ECU (einem öffentlichen Master-ECU-Schlüssel) entspricht und das spezifizierte Daten bezüglich der Master-ECU umfasst, wobei die allgemeine ECU dazu konfiguriert ist, eine digitale Signatur unter Verwendung des Allgemein-ECU-Privatschlüssels an Übertragungsdaten, die die spezifizierten Daten der allgemeinen ECU umfassen, anzuhängen und die Übertragungsdaten an die Master-ECU zu übertragen, die Master-ECU dazu konfiguriert ist, unter Verwendung des elektronischen Allgemein-ECU-Zertifikats die Übertragungsdaten, an die die digitale Signatur angehängt ist und die von der allgemeinen ECU übertragen werden, zu verifizieren, zu verifizieren, ob die spezifizierten Daten, die in den Übertragungsdaten enthalten sind, mit den spezifizierten Daten, die in dem elektronischen Allgemein-ECU-Zertifikat umfasst sind, übereinstimmen, und wenn bestimmt ist, dass beide Elemente von spezifizierten Daten gültig sind, zu bestimmen, dass die allgemeine ECU gültig ist, die Master-ECU dazu konfiguriert ist, eine digitale Signatur unter Verwendung des Master-ECU-Privatschlüssels an Übertragungsdaten, die die spezifizierten Daten der Master-ECU und einen Sitzungsschlüssel umfassen, anzuhängen und die Übertragungsdaten an die allgemeine ECU zu übertragen, und die allgemeine ECU dazu konfiguriert ist, unter Verwendung des elektronischen Master-ECU-Zertifikats die Übertragungsdaten, an die die digitale Signatur angehängt ist und die von der Master-ECU übertragen werden, zu verifizieren, zu verifizieren, ob die spezifizierten Daten, die in den Übertragungsdaten umfasst sind, mit den spezifizierten Daten, die in dem elektronischen Master-ECU-Zertifikat umfasst sind, übereinstimmen, und wenn bestimmt ist, dass beide Elemente von spezifizierten Daten gültig sind, zu bestimmen, dass die Master-ECU gültig ist, und den Sitzungsschlüssel, der in den Übertragungsdaten umfasst ist, als einen gemeinsamen Schlüssel zu verwenden, wenn nachfolgende Kommunikationen durchgeführt werden.
  2. Fahrzeugsystem gemäß Anspruch 1, wobei die allgemeine ECU in einer Vielzahl vorhanden ist, die Master-ECU mit einem elektronischen Allgemein-ECU-Zertifikat entsprechend jeder der allgemeinen ECUs bereitgestellt ist, die Master-ECU dazu konfiguriert ist, einen gleichen Schlüssel als einen Sitzungsschlüssel an die entsprechenden allgemeinen ECUs zu übertragen, und die allgemeinen ECUs dazu konfiguriert sind, den Sitzungsschlüssel als einen gemeinsamen Schlüssel für eine Kommunikation mit der Master-ECU und eine Kommunikation mit anderen allgemeinen ECUs zu verwenden.
  3. Fahrzeugsystem gemäß Anspruch 1 oder 2, wobei die spezifizierten Daten bezüglich der allgemeinen ECU ein gültiger Digest-Wert eines Ausführungsprogramms der allgemeinen ECU sind, die spezifizierten Daten bezüglich der Master-ECU ein gültiger Digest-Wert eines Ausführungsprogramms der Master-ECU sind, und die allgemeine ECU und die Master-ECU jeweils dazu konfiguriert sind, den Digest-Wert des Ausführungsprogramms zu berechnen, eine digitale Signatur an Übertragungsdaten, die den Digest-Wert umfassen, anzuhängen und die Übertragungsdaten zu übertragen.
  4. Fahrzeugsystem gemäß Anspruch 1 oder 2, wobei die spezifizierten Daten bezüglich der allgemeinen ECU eine ID der allgemeinen ECU sind, die spezifizierten Daten bezüglich der Master-ECU eine ID der Master-ECU sind, und die allgemeine ECU und die Master-ECU jeweils dazu konfiguriert sind, eine digitale Signatur an Übertragungsdaten, die die ID umfassen, anzuhängen und die Übertragungsdaten nach einem Bestätigen einer Integrität des Ausführungsprogramms unter Verwendung eines sicheren Bootens zu übertragen.
  5. Fahrzeugsystem gemäß einem der Ansprüche 1 bis 4, wobei die Master-ECU und die allgemeine ECU jeweils dazu konfiguriert sind, einen öffentlichen Root-Schlüssel, der ein öffentlicher Schlüssel einer Root-Zertifikat-Behörde ist, in einem nicht wiederschreibbaren Speicher zu speichern.
  6. Fahrzeugsystem gemäß einem der Ansprüche 1 bis 4, wobei die Master-ECU und die allgemeine ECU jeweils dazu konfiguriert sind, einen öffentlichen Root-Schlüssel, der ein öffentlicher Schlüssel einer Root-Zertifikat-Behörde ist, in einem wiederbeschreibbaren Speicher zu speichern, und, wenn der öffentliche Root-Schlüssel in dem wiederbeschreibbaren Speicher gespeichert wird, den öffentlichen Root-Schlüssel in Verknüpfung mit einer digitalen Signatur zu speichern, die unter Verwendung des Master-ECU-Privatschlüssels oder des Allgemein-ECU-Privatschlüssels erzeugt wird.
  7. Fahrzeugsystem gemäß einem der Ansprüche 1 bis 6, wobei die Master-ECU mit dem elektronischen Master-ECU-Zertifikat bereitgestellt ist und die allgemeine ECU mit dem elektronischen Allgemein-ECU-Zertifikat bereitgestellt ist, wenn die allgemeine ECU das elektronischen Master-ECU-Zertifikat nicht aufweist, die allgemeine ECU das elektronische Allgemein-ECU-Zertifikat zusammen mit den Übertragungsdaten, an die die digitale Signatur angehängt ist, an die Master-ECU überträgt, und die Master-ECU das elektronische Allgemein-ECU-Zertifikat unter Verwendung eines öffentlichen Root-Schlüssels verifiziert und das elektronische Allgemein-ECU-Zertifikat speichert, wenn das elektronische Allgemein-ECU-Zertifikat gültig ist, und wenn die Master-ECU das elektronische Allgemein-ECU-Zertifikat nicht aufweist, die Master-ECU das elektronische Master-ECU-Zertifikat zusammen mit den Übertragungsdaten, an die die digitale Signatur angehängt ist, an die allgemeine ECU überträgt, und die allgemeine ECU das elektronische Master-ECU-Zertifikat unter Verwendung des öffentlichen Root-Schlüssels verifiziert und das elektronische Master-ECU-Zertifikat speichert, wenn das elektronische Master-ECU-Zertifikat gültig ist.
  8. Authentifizierungsverfahren in einem Fahrzeugsystem, das gebildet ist durch eine Master-ECU und eine allgemeine ECU, wobei die Master-ECU bereitgestellt ist mit: einem privaten Schlüssel der Master-ECU (einem Master-ECU-Privatschlüssel); und einem elektronischen Zertifikat (einem elektronischen Allgemein-ECU-Zertifikat), das einem öffentlichen Schlüssel der allgemeinen ECU (einem öffentlichen Allgemein-ECU-Schlüssel) entspricht und das spezifizierte Daten bezüglich der allgemeinen ECU umfasst, und wobei die allgemeine ECU bereitgestellt ist mit: einem privaten Schlüssel der allgemeinen ECU (einem Allgemein-ECU-Privatschlüssel); und einem elektronischen Zertifikat (einem elektronischen Master-ECU-Zertifikat), das einem öffentlichen Schlüssel der Master-ECU (einem öffentlichen Master-ECU-Schlüssel) entspricht und das spezifizierte Daten bezüglich der Master-ECU umfasst, wobei das Authentifizierungsverfahren die Schritte aufweist: Veranlassen der allgemeinen ECU, eine digitale Signatur unter Verwendung des Allgemein-ECU-Privatschlüssels an Übertragungsdaten, die die spezifizierten Daten der allgemeinen ECU umfassen, anzuhängen und die Übertragungsdaten an die Master-ECU zu übertragen; Veranlassen der Master-ECU, unter Verwendung des elektronischen Allgemein-ECU-Zertifikats die Übertragungsdaten, an die die digitale Signatur angehängt ist und die von der allgemeinen ECU übertragen werden, zu verifizieren, zu verifizieren, ob die spezifizierten Daten, die in den Übertragungsdaten umfasst sind, mit den spezifizierten Daten, die in dem elektronischen Allgemein-ECU-Zertifikat umfasst sind, übereinstimmen, und wenn bestimmt ist, dass beide Elemente von spezifizierten Daten gültig sind, zu bestimmen, dass die allgemeine ECU gültig ist; Veranlassen der Master-ECU, eine digitale Signatur unter Verwendung des Master-ECU-Privatschlüssels an Übertragungsdaten, die die spezifizierten Daten der Master-ECU und einen Sitzungsschlüssel umfassen, anzuhängen und die Übertragungsdaten an die allgemeine ECU zu übertragen; und Veranlassen der allgemeinen ECU, unter Verwendung des elektronischen Master-ECU-Zertifikats die Übertragungsdaten, an die die digitale Signatur angehängt ist und die von der Master-ECU übertragen werden, zu verifizieren, zu verifizieren, ob die spezifizierten Daten, die in den Übertragungsdaten umfasst sind, mit den spezifizierten Daten, die in dem elektronischen Master-ECU-Zertifikat umfasst sind, übereinstimmen, und wenn bestimmt ist, dass beide Elemente von spezifizierten Daten gültig sind, zu bestimmen, dass die Master-ECU gültig ist, und den Sitzungsschlüssel, der in den Übertragungsdaten umfasst ist, als einen gemeinsamen Schlüssel zu verwenden, wenn nachfolgende Kommunikationen durchgeführt werden.
  9. Authentifizierungsverfahren gemäß Anspruch 8, wobei die allgemeine ECU in einer Vielzahl vorhanden ist, die Master-ECU mit einem elektronischen Allgemein-ECU-Zertifikat entsprechend jeder der allgemeinen ECUs bereitgestellt ist, die Master-ECU einen gleichen Schlüssel als einen Sitzungsschlüssel an die entsprechenden allgemeinen ECUs überträgt, und die allgemeinen ECUs den Sitzungsschlüssel als einen gemeinsamen Schlüssel für eine Kommunikation zwischen der Master-ECU und anderen allgemeinen ECUs verwenden.
  10. Authentifizierungsverfahren gemäß Anspruch 8 oder 9, wobei die spezifizierten Daten bezüglich der allgemeinen ECU ein gültiger Digest-Wert eines Ausführungsprogramms der allgemeinen ECU sind, die spezifizierten Daten bezüglich der Master-ECU ein gültiger Digest-Wert eines Ausführungsprogramms der Master-ECU sind, und die allgemeine ECU und die Master-ECU jeweils den Digest-Wert des Ausführungsprogramms berechnen, eine digitale Signatur an Übertragungsdaten, die den Digest-Wert umfassen, anhängen und die Übertragungsdaten übertragen.
  11. Authentifizierungsverfahren gemäß Anspruch 8 oder 9, wobei die spezifizierten Daten bezüglich der allgemeinen ECU eine ID der allgemeinen ECU sind, die spezifizierten Daten bezüglich der Master-ECU eine ID der Master-ECU sind, und die allgemeine ECU und die Master-ECU jeweils eine digitale Signatur an Übertragungsdaten, die die ID umfassen, anhängen und die Übertragungsdaten nach einer Bestätigung einer Integrität des Ausführungsprogramms unter Verwendung eines sicheren Bootens übertragen.
  12. Authentifizierungsverfahren gemäß einem der Ansprüche 8 bis 11, wobei in dem Fall, in dem die Master-ECU das elektronische Master-ECU-Zertifikat aufweist und die allgemeine ECU das elektronische Allgemein-ECU-Zertifikat aufweist, wenn die allgemeine ECU das elektronische Master-ECU-Zertifikat nicht aufweist, die allgemeine ECU das elektronische Allgemein-ECU-Zertifikat zusammen mit den Übertragungsdaten, an die die digitale Signatur angehängt ist, an die Master-ECU überträgt, und die Master-ECU das elektronische Allgemein-ECU-Zertifikat unter Verwendung eines öffentlichen Root-Schlüssels verifiziert und das elektronische Allgemein-ECU-Zertifikat speichert, wenn elektronische Allgemein-ECU-Zertifikat gültig ist, und wenn die Master-ECU das elektronische Allgemein-ECU-Zertifikat nicht aufweist, die Master-ECU das elektronische Master-ECU-Zertifikat zusammen mit den Übertragungsdaten, an die die digitale Signatur angehängt ist, an die allgemeine ECU überträgt, und die allgemeine ECU das elektronische Master-ECU-Zertifikat unter Verwendung des öffentlichen Root-Schlüssels verifiziert und das elektronische Master-ECU-Zertifikat speichert, wenn das elektronische Master-ECU-Zertifikat gültig ist.
  13. Programm, das einen Computer veranlasst, die entsprechenden Schritte des Authentifizierungsverfahrens gemäß einem der Ansprüche 8 bis 12 auszuführen.
DE102016119697.5A 2015-10-19 2016-10-17 Fahrzeugsystem und Authentifizierungsverfahren Pending DE102016119697A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2015205607A JP6217728B2 (ja) 2015-10-19 2015-10-19 車両システムおよび認証方法
JP2015-205607 2015-10-19

Publications (1)

Publication Number Publication Date
DE102016119697A1 true DE102016119697A1 (de) 2017-04-20

Family

ID=58456294

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016119697.5A Pending DE102016119697A1 (de) 2015-10-19 2016-10-17 Fahrzeugsystem und Authentifizierungsverfahren

Country Status (4)

Country Link
US (1) US10484184B2 (de)
JP (1) JP6217728B2 (de)
CN (1) CN106603483B (de)
DE (1) DE102016119697A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020004832A1 (de) 2020-08-07 2022-02-10 Daimler Ag Verfahren zur sicheren Ausstattung eines Fahrzeugs mit einem individuellen Zertifikat

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6217728B2 (ja) * 2015-10-19 2017-10-25 トヨタ自動車株式会社 車両システムおよび認証方法
DE102016124352A1 (de) * 2015-12-18 2017-06-22 Toyota Jidosha Kabushiki Kaisha Kommunikationssystem und ein in dem Kommunikationssystem ausgeführtes Informationssammelverfahren
JP6260066B2 (ja) * 2016-01-18 2018-01-17 Kddi株式会社 車載コンピュータシステム及び車両
US20190028448A1 (en) * 2016-02-22 2019-01-24 Continental Automotive Systems, Inc, Method to establish and update keys for secure in-vehicle network communication
KR101831134B1 (ko) * 2016-05-17 2018-02-26 현대자동차주식회사 암호화를 적용한 제어기 보안 방법 및 그 장치
US10285051B2 (en) * 2016-09-20 2019-05-07 2236008 Ontario Inc. In-vehicle networking
JP6683588B2 (ja) * 2016-11-10 2020-04-22 Kddi株式会社 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム
JP6956624B2 (ja) 2017-03-13 2021-11-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 情報処理方法、情報処理システム、及びプログラム
US10560263B2 (en) * 2017-03-24 2020-02-11 Micron Technology, Inc. Secure memory arrangements
EP3382932A1 (de) * 2017-03-31 2018-10-03 Nxp B.V. Intelligente transportsystemstation, host-prozessor und verfahren dafür
JP6754325B2 (ja) * 2017-06-20 2020-09-09 国立大学法人東海国立大学機構 車載認証システム、車載認証装置、コンピュータプログラム及び通信装置の認証方法
JP6766766B2 (ja) * 2017-07-10 2020-10-14 住友電気工業株式会社 認証制御装置、認証制御方法および認証制御プログラム
US10956555B2 (en) * 2017-08-01 2021-03-23 Panasonic Intellectual Property Corporation Of America Management system, vehicle, and information processing method
CN109587518B (zh) * 2017-09-28 2022-06-07 三星电子株式会社 图像传输装置、操作图像传输装置的方法以及片上系统
KR102523416B1 (ko) * 2017-09-28 2023-04-19 삼성전자주식회사 이미지에 대한 보안 기능을 제공하는 보안 장치, 이를 포함하는 카메라 장치 및 카메라 장치를 제어하는 시스템 온 칩
US10701102B2 (en) * 2017-10-03 2020-06-30 George Mason University Hardware module-based authentication in intra-vehicle networks
US10505920B2 (en) * 2017-11-30 2019-12-10 Mocana Corporation System and method of device identification for enrollment and registration of a connected endpoint device, and blockchain service
CN108123805A (zh) * 2017-12-15 2018-06-05 上海汽车集团股份有限公司 车载ecu间通讯安全认证方法
US11178133B2 (en) * 2017-12-19 2021-11-16 Micron Technology, Inc. Secure vehicle control unit update
US10867055B2 (en) 2017-12-28 2020-12-15 Corlina, Inc. System and method for monitoring the trustworthiness of a networked system
US11178158B2 (en) * 2018-01-29 2021-11-16 Nagravision S.A. Secure communication between in-vehicle electronic control units
WO2019152521A1 (en) * 2018-01-30 2019-08-08 Corlina, Inc. User and device onboarding
JP6950605B2 (ja) * 2018-03-27 2021-10-13 トヨタ自動車株式会社 車両用通信システム
JP2019195116A (ja) * 2018-05-01 2019-11-07 ルネサスエレクトロニクス株式会社 データ転送システム及び転送方法
JP7003832B2 (ja) * 2018-05-09 2022-01-21 株式会社デンソー 車両用電子制御システムおよび車両用電子制御装置
US10841284B2 (en) * 2018-05-30 2020-11-17 Lear Corporation Vehicle communication network and method
US11595217B2 (en) 2018-12-06 2023-02-28 Digicert, Inc. System and method for zero touch provisioning of IoT devices
US11665001B1 (en) * 2019-02-12 2023-05-30 Ethernovia Inc. Network security using root of trust
US11958423B2 (en) * 2019-02-18 2024-04-16 Autonetworks Technologies, Ltd. On-board communication device, program, and communication method
US11101984B2 (en) * 2019-04-04 2021-08-24 Micron Technology, Inc. Onboarding software on secure devices to generate device identities for authentication with remote servers
IT201900006242A1 (it) 2019-04-23 2020-10-23 Italdesign Giugiaro Spa Perfezionamenti nella trasmissione di dati o messaggi a bordo di un veicolo mediante un protocollo di comunicazione SOME/IP
BR112021015585A2 (pt) * 2019-04-25 2021-11-03 Deere & Co Sistemas, métodos e controladores para comunicações seguras
WO2021012078A1 (zh) * 2019-07-19 2021-01-28 华为技术有限公司 Can通信方法、设备及系统
CN112448816B (zh) * 2019-08-31 2021-10-19 华为技术有限公司 一种身份验证方法及装置
CN110908357B (zh) * 2019-10-23 2020-12-15 深圳开源互联网安全技术有限公司 一种安全漏洞检测方法、装置、存储介质和智能设备
KR102436138B1 (ko) * 2019-12-10 2022-08-26 한국전자통신연구원 차량용 이더넷 기반 차량 내부 네트워크를 이용한 차량 부품 교체 방법 및 시스템
EP4106371A4 (de) 2020-03-13 2023-03-08 Huawei Technologies Co., Ltd. Kommunikationsverfahren, -vorrichtung und -system
CN112689982B (zh) * 2020-04-15 2022-04-29 华为技术有限公司 数据验证方法、装置及存储介质
DE102020111281A1 (de) * 2020-04-24 2021-10-28 Eto Magnetic Gmbh Kopierschutzverfahren und kopiergeschütztes elektronisches System
CN111814131B (zh) * 2020-06-15 2024-03-08 北京天空卫士网络安全技术有限公司 一种设备注册和配置管理的方法和装置
JP2022024527A (ja) * 2020-07-28 2022-02-09 株式会社Subaru 車両通信制御装置、車両通信制御方法
US11956369B2 (en) 2020-08-13 2024-04-09 Robert Bosch Gmbh Accelerated verification of automotive software in vehicles
CN112131572B (zh) * 2020-08-31 2022-12-27 华为技术有限公司 车载设备的控制方法、车载设备及车辆系统
DE102020211346A1 (de) * 2020-09-10 2022-03-10 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Booten einer elektronischen Vorrichtung
CN113315636B (zh) * 2021-05-31 2022-02-25 暨南大学 一种用于汽车ecu间安全通信的密钥交换方法
DE102021123327A1 (de) * 2021-09-09 2023-03-09 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum sicheren Konfigurieren einer Vielzahl von Gateway-Steuergeräten eines Fahrzeugs, computerlesbares Medium, System, und Fahrzeug
CN114301981B (zh) * 2021-11-24 2023-05-30 岚图汽车科技有限公司 一种芯片服务代理方法及相关设备
CN114124578B (zh) * 2022-01-25 2022-04-15 湖北芯擎科技有限公司 一种通信方法、装置、车辆及存储介质
JP2023132307A (ja) * 2022-03-10 2023-09-22 トヨタ自動車株式会社 通信制御装置、通信制御方法及び通信制御プログラム

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007074390A (ja) 2005-09-07 2007-03-22 Ntt Docomo Inc 認証局、デバイス、移動局および通信システム並びに通信方法並びに通信プログラム

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5949877A (en) * 1997-01-30 1999-09-07 Intel Corporation Content protection for transmission systems
GB2372593B (en) * 2001-02-23 2005-05-18 Hewlett Packard Co Electronic communication
JP2002368735A (ja) * 2001-06-11 2002-12-20 Sharp Corp マスタ用ic装置、マスタ用ic装置のためのバックアップ用ic装置、マスタ用ic装置にダミー鍵を与えるダミー鍵格納装置、マスタ用ic装置とバックアップ用ic装置とのための補助装置、及び二つ以上の補助装置を用いた鍵バックアップシステム
US20040003234A1 (en) * 2002-06-28 2004-01-01 Jurgen Reinold Method and system for vehicle authentication of a subassembly
EP1590917B1 (de) * 2003-01-28 2010-12-15 Cellport Systems, Inc. Ein System und ein Verfahren zum Steuern des Zugriffs von Anwendungen auf geschützte Mittel innerhalb eines sicheren Fahrzeugtelematiksystems
JP3928589B2 (ja) * 2003-06-12 2007-06-13 コニカミノルタビジネステクノロジーズ株式会社 通信システムおよび方法
JP4156493B2 (ja) * 2003-11-04 2008-09-24 株式会社東海理化電機製作所 車両用セキュリティ装置及びidコード管理装置
US8195945B2 (en) * 2005-12-01 2012-06-05 Sony Mobile Communications Ab Secure digital certificate storing scheme for flash memory and electronic apparatus
US20090169007A1 (en) * 2007-12-31 2009-07-02 Clark Equipment Company Control Area Network Data Encryption System and Method
JP2010011400A (ja) * 2008-06-30 2010-01-14 National Institute Of Advanced Industrial & Technology 共通鍵方式の暗号通信システム
US8327153B2 (en) * 2009-12-04 2012-12-04 Electronics And Telecommunications Research Institute Method and system for verifying software platform of vehicle
CN102413132B (zh) * 2011-11-16 2014-12-17 北京数码视讯软件技术发展有限公司 基于双向安全认证的数据下载方法及系统
US20130212659A1 (en) * 2012-02-13 2013-08-15 Intertrust Technologies Corporation Trusted connected vehicle systems and methods
JP2014174677A (ja) * 2013-03-07 2014-09-22 Canon Inc 情報処理装置及びその制御方法
US9270468B2 (en) * 2013-05-29 2016-02-23 GM Global Technology Operations LLC Methods to improve secure flash programming
US9769658B2 (en) * 2013-06-23 2017-09-19 Shlomi Dolev Certificating vehicle public key with vehicle attributes
US9571284B2 (en) * 2014-03-13 2017-02-14 GM Global Technology Operations LLC Controlling access to personal information stored in a vehicle using a cryptographic key
US9215228B1 (en) * 2014-06-17 2015-12-15 Cisco Technology, Inc. Authentication of devices having unequal capabilities
JP6217728B2 (ja) * 2015-10-19 2017-10-25 トヨタ自動車株式会社 車両システムおよび認証方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007074390A (ja) 2005-09-07 2007-03-22 Ntt Docomo Inc 認証局、デバイス、移動局および通信システム並びに通信方法並びに通信プログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020004832A1 (de) 2020-08-07 2022-02-10 Daimler Ag Verfahren zur sicheren Ausstattung eines Fahrzeugs mit einem individuellen Zertifikat

Also Published As

Publication number Publication date
CN106603483A (zh) 2017-04-26
JP2017079369A (ja) 2017-04-27
US10484184B2 (en) 2019-11-19
JP6217728B2 (ja) 2017-10-25
CN106603483B (zh) 2020-05-01
US20170111177A1 (en) 2017-04-20

Similar Documents

Publication Publication Date Title
DE102016119697A1 (de) Fahrzeugsystem und Authentifizierungsverfahren
EP3488555B1 (de) Gesichertes verarbeiten einer berechtigungsnachweisanfrage
DE112005001672B4 (de) Verfahren zum Liefern eines geheimen Direktnachweisschlüssels an Vorrichtungen unter Verwendung eines Onlinedienstes
EP3108610B1 (de) Verfarhen und system zum erstellen und zur gültigkeitsprüfung von gerätezertifikaten
DE102016224537B4 (de) Masterblockchain
WO2018036700A1 (de) Absichern einer gerätenutzungsinformation eines gerätes
EP3292496B1 (de) Vorrichtung und verfahren zum verwenden eines kunden-geräte-zertifikats auf einem gerät
DE102013022383B3 (de) Verfahren und Vorrichtung zur Zertifikaterzeugung mit Privatsphärenschutz
DE102015209116A1 (de) Verfahren und Aktualisierungsgateway zum Aktualisieren eines eingebetteten Steuergerätes
DE102020122712A1 (de) Integritätsmanifest-zertifikat
DE102013205051A1 (de) Aktualisieren eines digitalen Geräte-Zertifikats eines Automatisierungsgeräts
DE102015209108A1 (de) Verfahren und Entscheidungsgateway zum Autorisieren einer Funktion eines eingebetteten Steuergerätes
DE112005001654T5 (de) Verfahren zum Übermitteln von Direct-Proof-Privatschlüsseln an Geräte mittels einer Verteilungs-CD
EP3654222B1 (de) Fahrzeug, netzwerkkomponente, verfahren, computerprogramm und vorrichtung zum generieren einer kennung für einen ausrüstungszustand eines fahrzeugs
DE112017007755B4 (de) Schlüsselverwaltungsvorrichtung und kommunikationsgerät
DE102020121533A1 (de) Vertrauenswürdige authentifizierung von automotiven mikrocon-trollern
DE102020205993B3 (de) Konzept zum Austausch von kryptographischen Schlüsselinformationen
DE102021127624A1 (de) Sichere bereitstellung der identität des basisboard-management-controllers einer plattform
DE102017201891A1 (de) Programmierbares Hardware-Sicherheitsmodul und Verfahren auf einem programmierbaren Hardware-Sicherheitsmodul
EP3767513B1 (de) Verfahren zur sicheren durchführung einer fernsignatur sowie sicherheitssystem
EP3726798A1 (de) Kryptographisch geschütztes bereitstellen eines digitalen zertifikats
DE102015208176A1 (de) Gerät und Verfahren zur Autorisierung eines privaten kryptographischen Schlüssels in einem Gerät
EP3881486B1 (de) Verfahren zur bereitstellung eines herkunftsortnachweises für ein digitales schlüsselpaar
DE102018102608A1 (de) Verfahren zur Benutzerverwaltung eines Feldgeräts
DE102009053230A1 (de) Verfahren zur Autorisierung eines externen Systems auf einem Steuergerät eines Fahrzeugs, insbesondere eines Kraftfahrzeugs

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R082 Change of representative

Representative=s name: TBK, DE