JP2001255952A - 署名方法 - Google Patents

署名方法

Info

Publication number
JP2001255952A
JP2001255952A JP2001032507A JP2001032507A JP2001255952A JP 2001255952 A JP2001255952 A JP 2001255952A JP 2001032507 A JP2001032507 A JP 2001032507A JP 2001032507 A JP2001032507 A JP 2001032507A JP 2001255952 A JP2001255952 A JP 2001255952A
Authority
JP
Japan
Prior art keywords
software
vehicle
control device
key
keys
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2001032507A
Other languages
English (en)
Other versions
JP4733840B2 (ja
Inventor
Ernst Schmidt
シュミット エルンスト
Burkhard Kuhls
クールス ブルクハルト
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayerische Motoren Werke AG
Original Assignee
Bayerische Motoren Werke AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke AG filed Critical Bayerische Motoren Werke AG
Publication of JP2001255952A publication Critical patent/JP2001255952A/ja
Application granted granted Critical
Publication of JP4733840B2 publication Critical patent/JP4733840B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0426Programming the control sequence
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/23Pc programming
    • G05B2219/23305Transfer program into prom with passwords
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24155Load, enter program if device acknowledges received password, security signal
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24159Several levels of security, passwords
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24167Encryption, password, user access privileges
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/26Pc applications
    • G05B2219/2637Vehicle, car, auto, wheelchair
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Stored Programmes (AREA)

Abstract

(57)【要約】 【課題】 自動車両の制御装置に真正なソフトウェアを
投入することを保証するための方法を提供する。 【解決手段】 電子データを暗号化及び復号化するため
の一対の鍵を供給するステップと、第1鍵(58)を自
動車両内の制御装置(24)内または制御装置(24)
のために保管するステップと、投入すべきソフトウェア
を第2鍵(52)を用いて署名するステップと、署名さ
れたソフトウェア(56)を制御装置(24)のメモリ
内に投入するステップと、制御装置(24)内または制
御装置(24)のために保管されている鍵を用いてソフ
トウェアの署名をチェックするステップと、チェックが
肯定的な結果をもたらす場合に、投入されているソフト
ウェアを受諾するステップとを含む。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、自動車両の制御装
置のためのソフトウェアのデータ保全性を保証するため
の方法に関する。
【0002】
【従来の技術】車両内の電子装置、並びに車両との通信
可能性が増加することにより、その安全性に対する要求
も高まることになる。
【0003】車両の極めて異なる領域には制御用のマイ
クロコントローラが組み込まれている。これらの制御装
置は今日では頻繁にバスシステムを介して互いに接続さ
れている。更に、前記バスに外部からアクセスし、個々
の制御装置と通信する極めて多くの可能性(例えば診断
接続)が提供されている。
【0004】制御装置の機能方式はソフトウェアプログ
ラムにより決定される。従来、制御装置(即ちコントロ
ーラ)内に組み込まれているソフトウェアは、多くの場
合、プログラミング不可能なメモリ内(例えば、マスク
プログラミングされているマイクロプロセッサ)に整理
(ファイル)されている。それにより、ソフトウェアの
改ざんは簡単には実現され得ない。例えば、メモリ構成
要素と他のメモリ構成要素との完全な交換は認識され、
それに対応した反応が成され得る。
【0005】プログラミング可能、特に所謂フラッシュ
プログラミング可能な制御装置を将来的に車両にて使用
することにより、資格を伴わない改ざんがソフトウェア
並びにそれと共に制御装置の作動方式に施されるという
危険性が増加する。つまり、権限をもたない人物によ
り、手間のかからない新たなプログラミングによって簡
単にソフトウェアの交換が実行されてしまう。
【0006】安全上の理由から、並びに法的な要求を満
たすためには、オリジナルソフトウェアの変更が防止さ
れるか、またはその種の変更が権限をもつ人物にだけ認
められるという措置がとられなければならない。
【0007】また、様々なモデルにて同じハードウェア
を使用するという同部材コンセプトに注目することは将
来的に有利であろう。そうすれば、機能方式における差
異はソフトウェア内だけに留まることになる。このコン
セプトにより、所定のソフトウェアは、固有の車両にお
いてだけ実行可能であり、簡単に複写することは不可能
となる。
【0008】従来の技術から、多数の確認方法(認証方
法)並びに確認装置(認証装置)が知られている。
【0009】米国特許第5844986号明細書(US584
4986)では、PCのBIOSシステムへの許可されない
侵入を回避するために使用される方法について記載され
ている。BIOSメモリを含む暗号コプロセッサが、公
開鍵と秘密鍵を用いる所謂公開鍵方式(パブリックキー
方式)をベースにしてBIOS変更の確認並びにチェッ
クを実施する。この場合、前記チェックは、投入すべき
ソフトウェア内に埋め込まれているデジタル署名を検査
することにより行われる。
【0010】EPO特許出願公開第0816970号明
細書(EP0816970A2)からは、ファームウェアをチェック
するための装置が知られている。ブートPROMメモリ
を確認するための前記装置は、マイクロコードを有する
メモリ部分を含む。確認セクタは、マイクロコードの実
施に対する回答としてハッシュデータを生成するハッシ
ュジェネレータを含む。
【0011】しかし、上述の方法または装置では、自動
車両の制御装置内に投入すべきソフトウェアを直接的に
チェックすることはできない。
【0012】
【発明が解決しようとする課題】本発明の課題は、自動
車両の制御装置に真正なソフトウェアを投入することを
保証するための方法を提供することにある。
【0013】
【課題を解決するための手段】前記課題は、請求項1に
記載した特徴により解決される。
【0014】それに応じて、先ず、電子データを暗号化
及び復号化するための一対の鍵(鍵ペア)が生成され
る。この場合、鍵としては、通常、周知の暗号アルゴリ
ズムから知られているコード化パラメータ及び/または
デコード化パラメータ(即ち、コード化パラメータ、ま
たはデコード化パラメータ、またはコード化パラメータ
及びデコード化パラメータ)として理解される。
【0015】ここで、ソフトウェアには第1鍵を用いて
電子署名(電子サイン)が設けられる。ソフトウェアの
真実性を検証するために、付属する第2鍵は、このソフ
トウェアが投入されるべき制御装置内または制御装置の
ために保管されている。この第2鍵を用いてソフトウェ
アの電子署名が検査される。この検査が肯定的である
と、ソフトウェアは受諾され、制御装置を制御するため
に導入され得る。
【0016】暗号方式(コード化)として、第1実施形
態に従い、両方の鍵が同一である所謂対称方式が使用さ
れ得る。つまり、この場合には異なる箇所において1つ
の鍵だけが使用される。しかし、制御装置内に保管され
ている鍵が知られるという可能性を常に考慮しなくては
ならないので、対称方式の安全レベルが最適であると言
うことはできない。それにより、この種の方法は、安全
性に関して非常に厳しいプロセスに該当しない場合にだ
け使用され得る。安全レベルを向上するためには、特有
なハードウェアの形式の追加的な解決保護策が使用され
得る。
【0017】他の有利な実施形態に従い、秘密鍵と公開
鍵を用いた非対称暗号方式が選択される。この場合、公
開鍵は、制御装置内または制御装置のために保管され得
る。更に、秘密鍵を用いてソフトウェアが署名される。
選択的に、制御装置または車両自体は、非共通性の一対
の鍵(非同期性の一対の鍵)を生成し得て、秘密鍵を制
御装置内に保管し得る。この場合、公開鍵は読み出し可
能である必要があり、この公開鍵を用いてソフトウェア
が署名され得る。この後者の選択肢では当然のことなが
ら秘密鍵が読み出し不可能であることが保証されなくて
はならない。
【0018】秘密鍵と公開鍵を用いた暗号アルゴリズム
とは、公開鍵を公開して周知としてよく、それに対して
秘密鍵は権限のある箇所、例えばトラストセンタにだけ
知らされているという所謂公開鍵方式である。この種の
暗号アルゴリズムは、例えば、リベスト(Rivest)、シャ
ミール(Shamir)、エイドルマン(Adleman)によるRSA
アルゴリズム、データ暗号アルゴリズム(DEAアルゴ
リズム)等のアルゴリズムである。秘密鍵または公開鍵
を用いて、手書きのサインに対応するように、電子文書
に対してデジタル署名が生成される。秘密鍵ないしは公
開鍵の所有者だけが有効な署名を生成することができ
る。この際、文書の真実性は、付属する公開鍵ないしは
秘密鍵を用いた署名の検証を介して検査され得る。秘密
鍵は、しばしばプライベート鍵とも称される。
【0019】正しい鍵を知らない権限のない第三者は、
有効な署名を生成することができない。改ざんされてい
て且つ不正確に署名されているソフトウェアが制御装置
にロードされると、このことは付属する鍵を用いて認識
され、前記制御装置は例えば実行不可能な状態に置き換
えられる。
【0020】本発明の他の実施形態に従い、鍵は制御装
置のブートセクタに整理される。ブートセクタは、多く
の場合、特有の方式で保護されていて、簡単に書き換え
ることはできない。本発明の他の構成に従い、ブートセ
クタは、書き込み及び鍵の入力の後に「ロック」される
ので、更なるアクセス、特に更なる書き込みは不可能と
なる。それにより、ブートセクタに整理されている鍵が
改ざんに対して保護されていることが保証される。
【0021】ソフトウェアを独占的に車両固有に使用す
るという要求を可能とするためには、所定の車両の制御
装置のために設けられているソフトウェアが、車両を個
別化する情報、例えば車体番号または他の車両固有デー
タを含む。これらの情報は、ソフトウェアに割り当て、
またはソフトウェアに組み込まれている。これらのデー
タのソフトウェアへの割り当て、またはこれらのデータ
のソフトウェアへの組み込みの後に初めて、このソフト
ウェアは、このソフトウェアのために設けられている鍵
を用いて署名される。制御装置は、上述したように、割
り当てられている他の鍵を用いて署名が正しいと認識さ
れる場合にだけソフトウェアを受諾する。署名は、ソフ
トウェアに含まれている車両固有情報に依存するので、
後から追加的に変更され得ない。車両固有情報が変更さ
れていなくて且つ車両の車両固有情報と一致する場合に
は、ソフトウェアだけが車両の制御装置のために実行可
能に入力され得る。車両に個別化されているこの種のソ
フトウェアを他の車両に複写することは、車両固有情報
が署名の侵害なしには変更され得ないので不可能であ
る。
【0022】車両の始動時、並びに制御装置の立ち上げ
時に毎回ソフトウェアをチェックする必要をなくすため
に、この種のチェックは有利には少なくとも投入時に実
施される。正しく署名されているソフトウェアにおい
て、このソフトウェアは、例えば通常は影響を及ぼすべ
きではないフラグを制御装置内に設定することにより特
徴付けられ得る。このフラグの設定後、ソフトウェアは
更なる立ち上げの際にも受諾される。このようにして、
通常の車両始動時の遅延が回避されるが、この場合、前
記フラグが外部から影響されないということが保証され
なくてはならない。
【0023】制御装置のメモリにソフトウェアを投入す
る際に他の安全レベルを提供するために、本発明の他の
実施形態に従い、ソフトウェアの投入以前に、制御装置
のメモリに対するアクセスは対応する資格を用いてのみ
可能となるべきである。そのために、署名されているソ
フトウェアの移行以前に、申告ステップ内にて制御装置
の「アンロック」が設けられている。申告時に様々なア
クセスレベルを使用する場合、それにより、異なって形
成されているアクセス権利が与えられ得る。診断アクセ
ス時には、例えば先ず申告が必要不可欠であり、それに
より制御装置は入力されたアクセス情報を介してアクセ
ス権利、並びにこのアクセス権利と結び付けられている
資格レベルを認識する。権利授与に応じて、アクセス資
格は厳しくないものから極めて厳しいものまでレベル付
けされ得る。実施形態に従い、制御装置からのコードが
要求され、有効性がチェックされる。そのためには、例
えば制御装置内にて乱数が生成され得て、この乱数は、
例えば別にコード化または署名するというような処理方
式で引き続きアクセス側から返却される。この情報は更
に制御装置内にて例えば固有の確認鍵を用いてチェック
される。
【0024】アクセス権利授与を動的に形成することも
可能である。例えば、アクセス認可証が与えられ得て、
この認可証情報からアクセスレベルが得られる。アクセ
ス認可証が一度受諾されると、それにより再び署名の検
査が鍵を用い行われ、このアクセス認可証にリストされ
ている権利が与えられる。
【0025】場合によってはアクセス制御のためだけに
設けられている制御装置は、他の制御装置に比べて、確
認権利の授与に関する中央安全機能があるために、自由
にアクセスできないように車両内に設けられている。こ
れは、制御装置の物理的な解体により上述の保護機構が
すり抜けられてしまうためである。それにより、この種
の安全制御装置では特に例えば機械的な解体防止策が望
まれる。
【0026】それに加えて、特有な安全レベルが制御装
置接続の形成により達成され得て、この制御装置接続で
は様々な制御装置が相互接続されていて、互いに条件付
けられ、ないしは相互にチェックされる。
【0027】更に、個々の制御装置が解体され、他の制
御装置と取り替えられる危険性を排除するために、追加
的な固有の制御装置解体防止策を設けることは有意義で
ある。この目的のために、例えば、制御装置が組み込ま
れている車両内で、散発的に制御装置信頼性検査が実施
される。このためには、照会が制御装置に向けて発せら
れ、これらの制御装置はその照会に対して所定の期待情
報を用いて回答しなくてはならない。実際にチェックす
べき制御装置からの発信情報が期待情報と一致しない場
合、または制御装置が回答しない場合には、適切な保護
措置がとられる。安全性に関して厳しくない制御装置に
おいては、この制御装置は例えば通信接続から除外され
得る。制御装置が車両の稼動のために重要である場合に
は、この制御装置は例えば記録、マーク、またはリスト
に登録されるので、それぞれの制御装置におけるハード
ウェア的なごまかし操作は少なくとも追従され得る。実
施形態において、制御装置は照会に対して秘密確認鍵を
用いて回答されなくてはならない。不法に交換された制
御装置は、その種の鍵を使用することができず、更には
認識され、対応して処理される。
【0028】
【発明の実施の形態】次に、添付の図面を用いて実施形
態に基づき本発明を更に詳細に説明する。
【0029】図1には、互いにネットワーク接続されて
いるユニットを有する制御装置構成がブロック図として
図示されている。この際、搭載ネットワークは、部分的
に異なる伝送速度を有し且つ所謂ゲートウェイ(中央ゲ
ートウェイモジュール、コントローラゲートウェイ)に
より互いに接続されている複数の部分ネットワーク(L
WL−MOST(光導波路−MOST(Medi Oriental S
ystems Transport))、K−CANシステム(カロッセ
リ(車体)−コントローラエリアネットワーク−システ
ム)、パワートレーン−CAN等)から構成されてい
る。
【0030】診断バス16は中央ゲートウェイ14を用
いて他の全てのネットワークと間接的または直接的に接
続されている。この診断バス16は周囲環境への最も重
要な接続部の1つである。この診断バス16の端部にお
けるOBDソケット(On Board Diagnose ソケット)に接
続されている診断テスタを介して、並びに中央ゲートウ
ェイ14を介在して、全システム内の全てのコントロー
ラ、ゲートウェイ、及び制御装置が応答可能である。
【0031】選択的に、GSMネットワーク(Global Sy
stem for Mobile Communication ネットワーク)20及
び車両内の電話システム18を介して、車両内の装置に
アクセスする可能性がある。それにより、原則的には車
両搭載ネットワークへのリモートアクセスが可能であ
る。この場合、電話システム18は、同様に移動無線電
信ネットワーク(GSMネットワーク)とその他の車両
バス加入部との間のゲートウェイを意味する。
【0032】車両バス内には、車両へのアクセスを監視
するカーアクセスシステム(CAS)22が組み込まれ
ている。このCAS22は、他の機能として電子的な発
進遮断部を含む。
【0033】コントローラゲートウェイ21は、CDプ
レーヤと搭載ネットワークとの間のインタフェースをも
意味する。このコントローラゲートウェイ21にて、運
転者が様々な器具を介して行う入力も通知情報に変換さ
れ、それぞれに応答される制御装置に転送される。
【0034】その他に、複数の制御装置(STG1〜S
TG5)が示されている。これらの制御装置の課題は、
車両内の所定のユニットの制御に限らず、これらの装置
自体の間の通信にもにある。車両内の通信は「同報通信
(ブロードキャスト)」に対応している。バスアクセス
を獲得した情報発生源は、その情報を基本的に全ての制
御装置に送信する。そのために、コントローラと接続さ
れているデータバスは持続的に試問される。それに対し
て周囲環境との通信では、例えば診断バスを介して、各
制御装置が一義的なアドレスを用いて的確に応答され
る。
【0035】制御ユニットの機能性を決定するソフトウ
ェアは、将来的には、主にプログラミング可能なメモ
リ、例えばフラッシュメモリに格納される。フラッシュ
プログラミングでは、全ブロックだけが消去され、新た
に書き込まれ得る。個々のビットの消去は不可能であ
る。制御装置に応じて、様々な種類のマイクロコンピュ
ータが使用される。これは、要求に応じて、8ビットプ
ロセッサ、16ビットプロセッサ、または32ビットプ
ロセッサである。これらの全制御装置または全コントロ
ーラは、様々なバリエーションで使用可能である。それ
らは、例えば、車両に搭載されているフラッシュメモリ
またはプロセッサ自体に直接的に組み込まれているフラ
ッシュメモリを有する。
【0036】次に、フラッシュメモリを有する制御装置
用のソフトウェアのデータ保全性を保証するフローを、
図2a及び図2bを用いて詳細に説明する。
【0037】先ず、権限のある唯一の箇所、例えば所謂
トラストセンタにおける第1ステップでは、公開鍵58
と秘密鍵52から成る一対の鍵(鍵ペア)が提供され
る。この場合、鍵とは情報を暗号化及び/または復号化
することのできる電子コードである。ここでは例えば、
既に上述したRSAアルゴリズムまたはDEAアルゴリ
ズム、即ち非共通性の一対の鍵を有する所謂「公開鍵ア
ルゴリズム(パブリックキーアルゴリズム)」のような
周知の暗号アルゴリズムが使用される。
【0038】先ず、使用される暗号方式(コード化)に
ついて詳細に説明する。本確認方法では、非共通暗号方
式(非同期暗号方式)が有利とされる。対称鍵(共通
鍵)では、各側面に「秘密」が所有されなくてはならな
い。共通鍵が権限のある箇所の他に第三者にも知られた
ら、正しい安全措置は保証され得ない。一対の鍵(鍵ペ
ア)の1つの鍵は本方法にて自動車両の制御装置内に保
存される必要があり、それによりその秘密性が保証され
得ないので、対称性の一対の鍵の選択は賢明ではない。
【0039】対称暗号方式(対称コード化)に対して、
W.ディフィー(W.Diffie)とM.ヘルマン(M.Hellman)
は1976年に所謂公開鍵暗号方式を開発した。この暗号方
式では公開鍵と秘密鍵を有する一対の鍵が形成される。
秘密鍵を用いて電子文書の署名が実施され得る。この署
名は、一義的であり、通常は再構成され得ない。この署
名は公開鍵を用いてチェックされ得る。
【0040】公開鍵方式は、一対の鍵の1つの鍵を公開
して周知としてよいという長所を有する。しかし、今日
の周知の公開鍵方式は極めて多くの計算を必要とするの
で、ハイブリッド方式、即ち対称方式と非対称方式の組
合せが頻繁に使用されている。ハイブリッド方式では、
対称鍵が公開鍵方式を用いて通信パートナー間で交換さ
れる。その際、実際の通信情報は前記対称鍵で暗号化さ
れる。
【0041】秘密鍵と公開鍵を区別することにより、確
認方法並びにデジタル署名が上述したように実現され
る。秘密鍵を所有することにより、同一性が一義的に証
明され、手書きのサインにおけるような署名が作成され
得る。有名な公開鍵暗号システムは上述したRSA方式
である。他の公開鍵暗号方式は、所定の数学的な群にお
いて、対数を計算するという問題に基づいている(離散
対数問題)。
【0042】文書をデジタル方式で署名するために、唯
一権限のある箇所では、文書が秘密鍵を用いて暗号化さ
れ、署名値が文書に付加される。署名を検証するため
に、この署名は公開鍵を用いて復号化され、結果として
得られる値が本来の文書値と比較される。両方の文書値
が一致すると、署名は有効であり、ソフトウェアが受諾
され得る。
【0043】ここで公開鍵は、車両生産において権限の
ある箇所により、ソフトウェアに関して修正可能である
べき車両の各制御装置(例えば変速機制御装置)内にそ
れぞれ保存されている。
【0044】ディーラー100(図4参照)にて顧客が
自らの自動車両のために所定の追加機能、例えばギア比
の選択における所定の切替特性を注文したとする。この
機能は、新たなソフトウェアをそれぞれの車両の変速機
制御装置に投入することにより実現され得る。
【0045】それに基づいてディーラー100は、対応
するソフトウェア150を使用可能とし、このソフトウ
ェア150を顧客の車両の車体番号(FGN)と共に、
このソフトウェアにサイン(署名)する権利が唯一付与
されているトラストセンタ104に送信する。トラスト
センタ104では、伝達された車体番号と共に前記ソフ
トウェアが秘密鍵を用いて署名される。
【0046】このプロセス方式は、図2aにも図示(ソ
フトウェア50、秘密鍵52)されているが、ここでは
車体番号は伝達されないものとしている。
【0047】その後、署名されたソフトウェア106
(図4、並びに図2aの符号56を参照)は、ディーラ
ー100に戻るように伝達され、ディーラー100は前
記ソフトウェア106を顧客の車両12に投入すること
ができる。
【0048】トラストセンタ104への伝達、署名、並
びに戻りの伝達は、電子経路で比較的迅速に執り行われ
得る。
【0049】次のステップでは、署名されたソフトウェ
ア56、106がディーラー100によって車両12、
即ち変速機制御装置に投入される。この伝送は診断ソケ
ット及び診断バス16を介して行われる。ソフトウェア
の投入は選択的にGSMネットワークを介しても遠隔制
御されて行われ得る。
【0050】投入時には先ずディーラーの申告と識別が
行われる(図7のステップ500参照)。そのために、
ディーラー100は制御装置アドレスと付属の識別情報
を車両に送信する。識別が成功すると制御装置(ここで
は変速機制御装置)が新たなソフトウェアを読み取るた
めに準備される。それにより新たなソフトウェアの読み
取り(フラッシング)が制御装置にて可能となる(図7
の502参照)。新たなソフトウェアを制御装置に投入
し、ディーラー100は自分の役割を果たしたことにな
る。
【0051】次のオペレーションでは、制御装置24
(図2)が、立ち上げの際に、投入されている新たなソ
フトウェア56の署名を公開鍵58を用いてチェックす
る。このことを図2bに基づいて詳細に説明する。暗号
化された電子文書62と一致しなくてはならない値が、
制御装置24における1つのユニット60にて公開鍵5
8を用いて署名から決定される。この一致はコンパレー
タ64にて検査される。一致する場合には、投入されて
いるソフトウェア50が受諾され、このソフトウェアを
用いて制御装置24が稼動される。一致しない場合に
は、制御装置24がマークされてリストに保存される。
その後、診断により前記リストのデータが読み出され得
る。更に、正しいソフトウェアを投入するための他の機
会が与えられる。正しく署名されていないソフトウェア
が投入されると、車両は引き続き稼動されない。
【0052】図3a及び図3bでは、より正確に暗号化
及び復号化が示されている。ソフトウェアの署名では全
ソフトウェアが署名されるわけではない。全ソフトウェ
アを署名することは非効果的である。正確に述べると、
周知のハッシュ機能を介してソフトウェアから所謂ハッ
シュコード51が生成される。ここでハッシュコード5
1とは、所定の長さを有するデジタル情報に関するもの
であり、この長さとしては、安全性の要求に応じて、1
6ビット、64ビット、または128ビットが選択され
得る。つまり、前記ハッシュコード51が署名され(署
名54)、この署名がソフトウェア50に付加される。
ハッシュコードを署名することは、長いソフトウェア文
書の署名よりも基本的に効果的である。
【0053】この場合、ハッシュ機能は次のような本質
的な特徴を有する。即ち、与えられているハッシュ値h
に対して文書の値Mを見つけることは困難である(一方
向機能)。更に、衝突、即ちハッシュ値が同じである2
つの値M及びM’を見つけることは困難である(耐衝突
性)。
【0054】署名のチェックでは、公開鍵を署名に適用
(図3bにおける符号53)することによりハッシュ値
51’が検出され、このハッシュ値51’はコンパレー
タ66にてソフトウェア50の実際のハッシュ値51と
比較される。両方のハッシュ値が一致する場合には、ソ
フトウェア50が受諾される。その際には真正なソフト
ウェアであり、投入されているこのソフトウェアを用い
て制御装置が稼動され得る。比較が肯定的でない場合に
は、制御装置はその稼動を中断し、正しい署名を有する
正しいソフトウェアが投入されるまで待機する。
【0055】上述の確認フローの他に、通信パートナー
Aを通信パートナーBに対して確認するために、所謂チ
ャレンジ−レスポンス−方式が頻繁に使用されている。
そこでは、Bが先ず乱数RNDをAに送信する。Aは秘
密鍵を用いて前記乱数に署名し、この値を回答としてB
に送信する。Bは公開鍵を用いて前記回答を検証し、A
の確認を検査する。
【0056】この種の確認法を図6a及び図6bに示
す。図6aには、診断テスタと制御装置との間の通信ル
ープが示されている。チャレンジ−レスポンス−方式に
よる確認法では、先ず利用者が、所定のアクセスレベル
Llを有する情報を診断テスタを用いて制御装置へ送信
し、制御装置からの乱数を要求する(ステップ40
0)。制御装置は、乱数の伝達を用いて回答する(ステ
ップ402)。診断テスタでは乱数が秘密鍵を用いて署
名され、引き続いてその結果が再び制御装置に送信され
る(ステップ404)。制御装置では、公開鍵を用いて
署名から再び乱数を決定する。このように計算された数
値が、以前に制御装置から伝達された乱数と一致する場
合には、前記利用者のために、所望の安全レベルを有す
るアクセスが診断プロセスの期間に渡って許可される。
それにより、前記利用者は対応する安全性のレベル付け
に応じてソフトウェアを制御装置のメモリに読み込ませ
ることができる。
【0057】次に、所定の車両のためのソフトウェアの
個別化について説明する。図4に従う署名プロセスに関
連して、所定の車両にだけ該当する車両識別情報がソフ
トウェアと共に伝達されることは既に述べた。引き続い
てこのソフトウェアは車両識別情報(例えば車体番号)
と共に署名され、このパケットはディーラーに返送され
る。この場合、署名はハッシュコードに成され(図3a
及び図3bによる実施形態にて記載)、ハッシュコード
が署名に決定的な影響を及ぼすことになる。
【0058】制御装置は、上述したように、正しく署名
されたソフトウェアだけを受諾する。署名が正しい場合
には、ソフトウェアに割り当てられている車両識別情報
が車両の車両識別情報と実際に一致するかどうかが更に
チェックされる。一致する場合にはソフトウェアが解放
される。このプロセス方式により、車両に個別化される
ソフトウェアが所定の目標車両においてだけ使用され得
る。更に、他の車両のためには固有の署名を有する他の
ソフトウェアが提供されなくてはならない。
【0059】ソフトウェアの個別化を実施し得るために
は、既に製造段階にて、対応する制御装置に、改ざん不
能な形式で車体番号が登録されるべきである。この車体
番号はメモリの消去後にも制御装置内に存在しなくては
ならない。このことは、車体番号が例えば特にガードさ
れている上述のカーアクセスシステムにて非揮発性の交
換不可能なメモリ内に登録されていることにより実現可
能である。
【0060】図5による次のプロセス方式は、改ざん不
可能な試問を保証する。車体番号に加えて、秘密鍵IF
Ssと公開鍵IFSpから成る車両固有の他の一対の鍵
が必要とされる。これらの2つの鍵の割り当てと車体番
号の割り当ては中央箇所、即ちトラストセンタにて行わ
れる。秘密鍵IFSsはカーアクセスシステム210内
に読み出し不可能な形式で記憶されている。
【0061】今日では、車体番号(FGN)はカーアク
セスシステム210のアクセス領域に既に設けられてい
る。
【0062】新たに投入すべきソフトウェア内には、車
体番号に加えて車両固有の公開鍵IFSp202も保管
される。その後、ソフトウェア全体がトラストセンタに
て署名204により保護される。制御装置へのソフトウ
ェアの投入後には、先ず署名204の正確性が検査され
る。
【0063】その後、制御装置206は、既述のチャレ
ンジ−レスポンス−試問を用いて、ソフトウェア内の車
体番号が車両の車体番号と一致するかどうかをチェック
する。そのために制御装置206は、ソフトウェア内に
含まれている車体番号FGNswと乱数RANDOMを
カーアクセスシステム210に送信する。カーアクセス
システム210では、記憶されている車体番号FGN
が、受信された車体番号FGNswと比較される。引き
続いて前記の両方の値が秘密鍵IFSsを用いて署名さ
れ、再び制御装置206に戻るように送信される。制御
装置206は、署名されている送信情報を公開鍵IFS
pを用いてチェックすることが可能で、この送信情報に
含まれている値を、カーアクセスシステムに初めに送信
されたチャレンジ値と比較することができる。それらの
値が一致する場合にはソフトウェアが受諾され得る(ス
テップ216、o.k.)。それ以外の場合には、ソフ
トウェアは受諾されない(ステップ218、いいえ)。
【0064】この方法の変形例として、固有の一対の鍵
IFSs及びIFSpの代わりに、車両に個別化されて
いない対応的な一対の鍵も使用され得て、この一対の鍵
は既に車両内に記憶されている。それにより前記の鍵用
の管理が省略される。同様に、対称暗号方式を用いた対
応的な機構も当然のことながら可能である。これは、処
理において有利であるが、対称鍵が制御装置から読み出
される危険性をもたらしてしまう。
【0065】当然のことながら、上述した全ての方法に
おいて、トラストセンタの秘密鍵が秘密であり続けると
いうことが絶対的に保証されなくてはならない。全体的
に既述の暗号手法は、正しいソフトウェアだけを車両な
いしは所定の車両に投入し、それにより資格を伴わない
改ざんを防止する良好な可能性を提供する。
【図面の簡単な説明】
【図1】車両における制御装置構成を示す図である。
【図2】図2a及び図2bは、ソフトウェアのデジタル
署名、並びにそのチェックのフローを示す図である。
【図3】図3a及び図3bは、図2によるソフトウェア
のデジタル署名のフローを他の形式で示す図である。
【図4】トラストセンタによる署名作成のフローを示す
図である。
【図5】車両固有情報の特有なチェック方法のためのア
ルゴリズムを示す図である。
【図6】図6a及び図6bは、制御装置に対する確認の
ためのブロック図とフロー図を示す。
【図7】制御装置内にソフトウェアを読み込ませるため
のフローを示す図である。
【符号の説明】
12 車両 14 中央ゲートウェイ 16 診断バス 18 電話システム 20 GSMネットワーク 21 コントローラゲートウェイ(MMI(Men Machi
ne Interface)コントローラゲートウェイ) 22 CAS(カーアクセスシステム) 24 制御装置 32 ブートセクタ 50 ソフトウェア 51 ハッシュコード 51’ 署名から検出されたハッシュコード 52 秘密鍵 53 公開鍵を署名に適用すること 54 署名(ハッシュコードに署名したもの) 56 署名されたソフトウェア 58 公開鍵 60 制御装置における1つのユニット 62 暗号化された電子文書 64 コンパレータ 66 コンパレータ 100 ディーラー 104 トラストセンタ 106 署名されたソフトウェア 108 投入されるソフトウェア(署名済) 150 ソフトウェア(車体番号(FGN)と共にト
ラストセンタへ送信される) 200 投入されているソフトウェア(署名済) 202 車両固有の公開鍵 204 署名 206 制御装置 208 車体番号FGNswと乱数RANDOMを制
御装置がCASへ送信するステップ 210 CAS(カーアクセスシステム) 212 CASにて署名された車体番号FGNと乱数
RANDOMをCASが制御装置へ送信するステップ 214 制御装置がチャレンジ値を比較するステップ 216 ソフトウェアの受諾 218 ソフトウェアの非受諾 400 制御装置からの乱数を診断テスタにより要求
するステップ 402 制御装置が乱数の伝達を用いて回答するステ
ップ 404 診断テスタにより、前記乱数が秘密鍵を用い
て署名され、その結果を再び制御装置に送信するステッ
プ 406 制御装置が公開鍵を用いて前記署名から乱数
を決定するステップ。 408 前記乱数と、以前に制御装置から伝達された
乱数とが一致するかを比較するステップ。 410 前記比較の結果に対応する処理を行うステッ
プ 412 前記比較の結果に対応する処理を行うステッ
プ 500 ディーラーの申告と識別を行うステップ 502 ソフトウェアを読み取るステップ 504 署名を検査するステップ
───────────────────────────────────────────────────── フロントページの続き (72)発明者 エルンスト シュミット ドイツ連邦共和国 デー・85737 イスマ ニング ベーマーヴァルトシュトラーセ 39 (72)発明者 ブルクハルト クールス ドイツ連邦共和国 デー・81673 ミュン ヘン ザンクト・ファイト・シュトラーセ 22

Claims (20)

    【特許請求の範囲】
  1. 【請求項1】自動車両の制御装置のためのソフトウェア
    のデータ保全性を保証するための方法であって、制御装
    置のメモリ内に、作動方式に関してこの制御装置に影響
    を及ぼすソフトウェアが記憶され得る前記方法におい
    て、電子データを暗号化及び復号化するための一対の鍵
    を供給するステップと、第1鍵を自動車両内の制御装置
    内または制御装置のために保管するステップと、投入す
    べきソフトウェアを第2鍵を用いて署名するステップ
    と、署名されたソフトウェアを制御装置のメモリ内に投
    入するステップと、制御装置内または制御装置のために
    保管されている鍵を用いてソフトウェアの署名をチェッ
    クするステップと、チェックが肯定的な結果をもたらす
    場合に、投入されているソフトウェアを受諾するステッ
    プとを含むことを特徴とする方法。
  2. 【請求項2】両方の鍵が同一である対称性の一対の鍵を
    使用することを特徴とする、請求項1に記載の方法。
  3. 【請求項3】秘密鍵と公開鍵を用いた非対称性の一対の
    鍵を使用することを特徴とする、請求項1に記載の方
    法。
  4. 【請求項4】公開鍵が制御装置内または制御装置のため
    に保管されていて、秘密鍵を用いてソフトウェアを署名
    することを特徴とする、請求項3に記載の方法。
  5. 【請求項5】車両、特に車両内の前記制御装置または1
    つの制御装置が非共通性の一対の鍵を生成すること、秘
    密鍵を車両内、特に1つの制御装置内に保管すること、
    及び、公開鍵がソフトウェアを署名するために車両から
    読み出し可能であることを特徴とする、請求項3に記載
    の方法。
  6. 【請求項6】制御装置内に整理される鍵をブートセクタ
    に整理することを特徴とする、請求項1〜5のいずれか
    一項に記載の方法。
  7. 【請求項7】ブートセクタを、書き込み及び鍵の入力の
    後にロックし、他のアクセス、特に書き込みアクセスに
    対して保護することを特徴とする、請求項6に記載の方
    法。
  8. 【請求項8】ソフトウェアを先ずは所定の長さを有する
    情報に写像し、この情報を署名することを特徴とする、
    請求項1〜7のいずれか一項に記載の方法。
  9. 【請求項9】写像機能としてハッシュ機能を選択するこ
    とを特徴とする、請求項8に記載の方法。
  10. 【請求項10】制御装置を含む車両の少なくとも1つの
    車両固有情報をソフトウェアに付加すること、ソフトウ
    ェアと共に少なくとも1つの前記車両固有情報を署名す
    ること、ソフトウェアのこの署名のチェックに加えて前
    記車両固有情報もチェックすること、及び、更にソフト
    ウェアの前記車両固有情報が車両の車両固有情報と一致
    する場合にだけ制御装置内にてソフトウェアを受諾する
    ことを特徴とする、請求項1〜9のいずれか一項に記載
    の方法。
  11. 【請求項11】車両固有情報をチェックするために固有
    の一対の鍵(車両固有の一対の鍵)を生成し、車両固有
    情報及び前記固有の一対の鍵の第1鍵を車両安全ユニッ
    ト内に設け、車両固有情報に加えて前記固有の一対の鍵
    の第2鍵をソフトウェア内に整理し、投入されているソ
    フトウェアの受諾の同意のために、前記固有の一対の鍵
    の両方の鍵が互いに調和しているかどうかを車両内の別
    個のルーチンでチェックすることを特徴とする、請求項
    10に記載の方法。
  12. 【請求項12】少なくとも制御装置の最初の立ち上げ時
    にソフトウェアを検査し、更に対応してマーキングする
    ことを特徴とする、請求項1〜11のいずれか一項に記
    載の方法。
  13. 【請求項13】制御装置に外部からアクセスする際に、
    アクセスのための資格があるかどうかをアクセスユニッ
    トが検査することを特徴とする、請求項1〜12のいず
    れか一項に記載の方法。
  14. 【請求項14】制御装置からのコードを要求し、このコ
    ードの正確性をチェックすることを特徴とする、請求項
    13に記載の方法。
  15. 【請求項15】制御装置が乱数を発信し、この乱数をア
    クセス側が署名すること、及び、この署名を制御装置
    内、特に確認鍵を用いてチェックすることを特徴とす
    る、請求項13または14に記載の方法。
  16. 【請求項16】アクセス資格の試問時に資格レベルを決
    定し、この資格レベルに依存してアクセス行為を受諾ま
    たは非受諾とすることを特徴とする、請求項13〜15
    のいずれか一項に記載の方法。
  17. 【請求項17】車両内の安全装置が、少なくとも散発的
    に制御装置の信頼性検査を実施し、否定的な結果の場合
    にはその制御装置を記録することを特徴とする、請求項
    1〜16のいずれか一項に記載の方法。
  18. 【請求項18】制御装置内に制御装置固有の秘密コード
    を保管することを特徴とする、請求項17に記載の方
    法。
  19. 【請求項19】安全装置が、制御装置に特有の特徴を試
    問し、この特徴を信頼性に関してチェックすることを特
    徴とする、請求項17または18に記載の方法。
  20. 【請求項20】信頼性検査時に、安全装置内及び/また
    は制御装置内に保管されている鍵を使用することを特徴
    とする、請求項17〜19のいずれか一項に記載の方
    法。
JP2001032507A 2000-02-25 2001-02-08 署名方法 Expired - Lifetime JP4733840B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10008974A DE10008974B4 (de) 2000-02-25 2000-02-25 Signaturverfahren
DE10008974:7 2000-02-25

Publications (2)

Publication Number Publication Date
JP2001255952A true JP2001255952A (ja) 2001-09-21
JP4733840B2 JP4733840B2 (ja) 2011-07-27

Family

ID=7632446

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001032507A Expired - Lifetime JP4733840B2 (ja) 2000-02-25 2001-02-08 署名方法

Country Status (5)

Country Link
US (1) US6816971B2 (ja)
EP (1) EP1128242B1 (ja)
JP (1) JP4733840B2 (ja)
DE (1) DE10008974B4 (ja)
ES (1) ES2530229T3 (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005202503A (ja) * 2004-01-13 2005-07-28 Hitachi Ltd 車載情報装置、車載機器管理システム、車両の制御機器のプログラムのバージョンアップ情報の配信方法、車両の制御機器のプログラムのバージョンアップ方法及び車両の制御機器のプログラムのバージョンアップシステム
JP2006146583A (ja) * 2004-11-19 2006-06-08 Denso Corp 電子制御装置及びその識別コード生成方法
JP2007507020A (ja) * 2003-06-24 2007-03-22 バイエリッシェ モートーレン ウエルケ アクチエンゲゼルシャフト プログラミング可能な読出し専用メモリのブートセクタ内にソフトウェアをリロードするための方法
JP2007535250A (ja) * 2004-04-29 2007-11-29 バイエリッシェ モートーレン ウエルケ アクチエンゲゼルシャフト 車両外部の装置の認証
JP2009099146A (ja) * 2007-10-12 2009-05-07 Robert Bosch Gmbh 車両用アプリケーションの実行方法、制御装置、制御装置群、プログラム、および記録媒体
JP2012104049A (ja) * 2010-11-12 2012-05-31 Hitachi Automotive Systems Ltd 車載ネットワークシステム
CN103237977A (zh) * 2010-12-04 2013-08-07 奥迪股份公司 机动车发动机控制装置的可逆的、防篡改的编码方法和发动机控制装置
JP2014056381A (ja) * 2012-09-12 2014-03-27 Keihin Corp 車両の電子制御装置

Families Citing this family (78)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10008973B4 (de) * 2000-02-25 2004-10-07 Bayerische Motoren Werke Ag Autorisierungsverfahren mit Zertifikat
DE10141737C1 (de) * 2001-08-25 2003-04-03 Daimler Chrysler Ag Verfahren zur sicheren Datenübertragung innerhalb eines Verkehrsmittels
DE10143556A1 (de) * 2001-09-06 2003-03-27 Daimler Chrysler Ag Fahrzeugmanagementsystem
US20030126453A1 (en) * 2001-12-31 2003-07-03 Glew Andrew F. Processor supporting execution of an authenticated code instruction
DE10213165B3 (de) * 2002-03-23 2004-01-29 Daimlerchrysler Ag Verfahren und Vorrichtung zum Übernehmen von Daten
DE10215626B4 (de) * 2002-04-09 2007-09-20 Robert Bosch Gmbh Verfahren zur Änderung von Verschlüsselungsalgorithmen bei geschützter Software oder geschützten Daten
US7228420B2 (en) 2002-06-28 2007-06-05 Temic Automotive Of North America, Inc. Method and system for technician authentication of a vehicle
US7131005B2 (en) * 2002-06-28 2006-10-31 Motorola, Inc. Method and system for component authentication of a vehicle
US7010682B2 (en) * 2002-06-28 2006-03-07 Motorola, Inc. Method and system for vehicle authentication of a component
US7127611B2 (en) * 2002-06-28 2006-10-24 Motorola, Inc. Method and system for vehicle authentication of a component class
US7137142B2 (en) * 2002-06-28 2006-11-14 Motorola, Inc. Method and system for vehicle authentication of a component using key separation
US20040001593A1 (en) * 2002-06-28 2004-01-01 Jurgen Reinold Method and system for component obtainment of vehicle authentication
US20040003232A1 (en) * 2002-06-28 2004-01-01 Levenson Samuel M. Method and system for vehicle component authentication of another vehicle component
US7325135B2 (en) * 2002-06-28 2008-01-29 Temic Automotive Of North America, Inc. Method and system for authorizing reconfiguration of a vehicle
US7137001B2 (en) * 2002-06-28 2006-11-14 Motorola, Inc. Authentication of vehicle components
US7181615B2 (en) * 2002-06-28 2007-02-20 Motorola, Inc. Method and system for vehicle authentication of a remote access device
US7549046B2 (en) * 2002-06-28 2009-06-16 Temic Automotive Of North America, Inc. Method and system for vehicle authorization of a service technician
US20040003234A1 (en) * 2002-06-28 2004-01-01 Jurgen Reinold Method and system for vehicle authentication of a subassembly
US7600114B2 (en) * 2002-06-28 2009-10-06 Temic Automotive Of North America, Inc. Method and system for vehicle authentication of another vehicle
US20040003230A1 (en) * 2002-06-28 2004-01-01 Puhl Larry C. Method and system for vehicle authentication of a service technician
DE10229704A1 (de) * 2002-07-02 2004-01-29 Endress + Hauser Process Solutions Ag Verfahren zum Schutz vor unerlaubtem Zugriff auf ein Feldgerät in der Prozessautomatisierungstechnik
DE10237698A1 (de) * 2002-08-15 2004-02-26 Volkswagen Ag Verfahren und Vorrichtung zur Übertragung von Daten
DE10238094B4 (de) 2002-08-21 2007-07-19 Audi Ag Verfahren zum Schutz gegen Manipulationen in einem Steuergerät für mindestens eine Kfz-Komponente und Steuergerät
DE10249677A1 (de) * 2002-10-24 2004-05-19 Siemens Ag Programmier-und Betriebsverfahren für eine programmierbare industrielle Steuerung, insbesondere eine CNC-Steuerung
DE10255805A1 (de) * 2002-11-29 2004-06-09 Adam Opel Ag Verfahren zur Änderung der Programmierung eines Steuergerätes eines Kraftfahrzeuges
CA2516580C (en) * 2003-02-21 2011-01-25 Research In Motion Limited System and method of multiple-level control of electronic devices
DE10309507A1 (de) * 2003-03-05 2004-09-16 Volkswagen Ag Verfahren und Einrichtung zur Wartung von sicherheitsrelevanten Programmcode eines Kraftfahrzeuges
DE10316951A1 (de) * 2003-04-12 2004-10-21 Daimlerchrysler Ag Verfahren zur Überprüfung der Datenintegrität von Software in Steuergeräten
DE10318031A1 (de) * 2003-04-19 2004-11-04 Daimlerchrysler Ag Verfahren zur Sicherstellung der Integrität und Authentizität von Flashware für Steuergeräte
DE10357032A1 (de) * 2003-06-24 2005-01-13 Bayerische Motoren Werke Ag Verfahren zum Nachladen einer Software in den Bootsektor eines programmierbaren Lesespeicher
DE10354107A1 (de) * 2003-07-04 2005-01-20 Bayerische Motoren Werke Ag Verfahren zur Authentifikation von insbesondere in ein Steuergerät eines Kraftfahrzeugs ladbaren Softwarekomponenten
JP2007527044A (ja) * 2003-07-04 2007-09-20 バイエリッシェ モートーレン ウエルケ アクチエンゲゼルシャフト 特に自動車の制御装置内にロード可能なソフトウェアコンポーネントを認証するための方法
DE10332452B4 (de) * 2003-07-17 2018-04-12 Continental Teves Ag & Co. Ohg Steuerungs- und Regelungsgerät in einem Kraftfahrzeug sowie Verfahren zum Betreiben desselben
SE0400480L (sv) * 2004-02-26 2005-08-27 Movimento Ab Fordonsinterface
EP1723518A1 (de) 2004-03-09 2006-11-22 Bayerische Motorenwerke Aktiengesellschaft Aktualisierung und/oder erweiterung der funktionalität der ablaufsteuerung mindestens eines steuergeräts
DE102004036810A1 (de) * 2004-07-29 2006-03-23 Zf Lenksysteme Gmbh Kommunikationsverfahren für wenigstens zwei Systemkomponenten eines Kraftfahrzeugs
US9489496B2 (en) 2004-11-12 2016-11-08 Apple Inc. Secure software updates
JP2006285849A (ja) * 2005-04-04 2006-10-19 Xanavi Informatics Corp ナビゲーション装置
JP4492470B2 (ja) 2005-07-20 2010-06-30 株式会社デンソー 車載制御装置のデータ書き換え方法および車載制御装置
DE102005039128A1 (de) * 2005-08-18 2007-02-22 Siemens Ag Sicherheitseinrichtung für elektronische Geräte
US20070112773A1 (en) * 2005-11-14 2007-05-17 John Joyce Method for assuring flash programming integrity
DE102005060902A1 (de) * 2005-12-20 2007-06-28 Robert Bosch Gmbh Steuergerät für eine Maschine
EP1857897B1 (de) * 2006-05-15 2014-01-15 ABB PATENT GmbH Verfahren und System zur Erstellung oder Änderung sicherheitsrelevanter Daten für eine Steuerungseinrichtung
DE102006032065A1 (de) * 2006-07-11 2008-01-17 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Neuprogrammierung von elektronischen Fahrzeug-Steuereinheiten über eingebaute Peripherien für austauschbare Datenspeicher
DE102006040228A1 (de) * 2006-08-28 2008-03-06 Giesecke & Devrient Gmbh Identifikationssystem
JP2008059450A (ja) * 2006-09-01 2008-03-13 Denso Corp 車両情報書換えシステム
US20080101613A1 (en) * 2006-10-27 2008-05-01 Brunts Randall T Autonomous Field Reprogramming
DE102007004645A1 (de) * 2007-01-25 2008-07-31 Siemens Ag Tachograph
DE102007004646A1 (de) * 2007-01-25 2008-07-31 Siemens Ag Verfahren und Vorrichtung zum Freigeben eines Zugriffs auf eine Steuervorrichtung
DE102007056662A1 (de) * 2007-11-24 2009-05-28 Bayerische Motoren Werke Aktiengesellschaft System zur Freischaltung der Funktionalität einer Ablaufsteuerung, die in einem Steuergerät eines Kraftfahrzeugs gespeichert ist
DE102008056745A1 (de) * 2008-11-11 2010-05-12 Continental Automotive Gmbh Vorrichtung zum Steuern einer Fahrzeugfunktion und Verfahren zum Aktualisieren eines Steuergerätes
DE102009051350A1 (de) 2009-10-30 2011-05-05 Continental Automotive Gmbh Verfahren zum Betreiben eines Tachographen und Tachograph
CN102065156B (zh) * 2009-11-11 2013-08-07 中兴通讯股份有限公司 一种用于断开手持终端下载通道的装置及方法
DE102010015648A1 (de) * 2010-04-20 2011-10-20 Siemens Aktiengesellschaft Messgerät und Messverfahren
DE102010038179B4 (de) * 2010-10-14 2013-10-24 Kobil Systems Gmbh Individuelle Aktualisierung von Computerprogrammen
FR2973136A1 (fr) 2011-03-25 2012-09-28 France Telecom Verification de l'integrite de donnees d'un equipement embarque dans un vehicule
DE102011109426A1 (de) * 2011-08-04 2012-12-27 Daimler Ag Verfahren zur Erkennung von Datenänderungen in einem Steuergerät
DE102011084569B4 (de) * 2011-10-14 2019-02-21 Continental Automotive Gmbh Verfahren zum Betreiben eines informationstechnischen Systems und informationstechnisches System
US9419802B2 (en) 2011-12-01 2016-08-16 Intel Corporation Secure message filtering to vehicle electronic control units with secure provisioning of message filtering rules
ITVI20120034A1 (it) * 2012-02-09 2013-08-10 Bentel Security S R L Dispositivo e metodo per la gestione di installazioni elettroniche di edifici
DE102013101508A1 (de) * 2012-02-20 2013-08-22 Denso Corporation Datenkommunikationsauthentifizierungssystem für ein Fahrzeug, Netzkopplungsvorrichtung für ein Fahrzeug, Datenkommunikationssystem für ein Fahrzeug und Datenkommunikationsvorrichtung für ein Fahrzeug
KR101438978B1 (ko) 2012-12-31 2014-09-11 현대자동차주식회사 리프로그래밍 방법 및 시스템
US9179311B2 (en) * 2013-10-04 2015-11-03 GM Global Technology Operations LLC Securing vehicle service tool data communications
DE102014107474A1 (de) * 2014-05-27 2015-12-03 Jungheinrich Aktiengesellschaft Flurförderzeug mit einer Diagnoseschnittstelle und Verfahren zum Warten eines solchen Flurförderzeugs
JP6228093B2 (ja) * 2014-09-26 2017-11-08 Kddi株式会社 システム
JP6618480B2 (ja) * 2014-11-12 2019-12-11 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 更新管理方法、更新管理システム及び制御プログラム
DE102015201298A1 (de) * 2015-01-26 2016-07-28 Robert Bosch Gmbh Verfahren zum kryptographischen Bearbeiten von Daten
JP6183400B2 (ja) * 2015-03-31 2017-08-23 コニカミノルタ株式会社 契約書作成プログラム、契約書検証プログラム、最終暗号作成プログラム、契約書作成システム、契約書検証システム及び最終暗号作成システム
DE102015011920A1 (de) 2015-09-03 2017-03-09 Continental Automotive Gmbh Verfahren zur Überprüfung der Datenintegrität einer C2C Übertragung
KR101831134B1 (ko) * 2016-05-17 2018-02-26 현대자동차주식회사 암호화를 적용한 제어기 보안 방법 및 그 장치
DE102016221108A1 (de) * 2016-10-26 2018-04-26 Volkswagen Aktiengesellschaft Verfahren zum Aktualisieren einer Software eines Steuergeräts eines Fahrzeugs
US10031523B2 (en) 2016-11-07 2018-07-24 Nio Usa, Inc. Method and system for behavioral sharing in autonomous vehicles
DE102017129698A1 (de) * 2017-12-13 2019-06-13 Endress+Hauser Conducta Gmbh+Co. Kg Verfahren und System zum Betreiben einer Erweiterung an einem Messumformer der Prozessautomatisierungstechnik
US11022971B2 (en) 2018-01-16 2021-06-01 Nio Usa, Inc. Event data recordation to identify and resolve anomalies associated with control of driverless vehicles
US20190302766A1 (en) * 2018-03-28 2019-10-03 Micron Technology, Inc. Black Box Data Recorder with Artificial Intelligence Processor in Autonomous Driving Vehicle
US10369966B1 (en) 2018-05-23 2019-08-06 Nio Usa, Inc. Controlling access to a vehicle using wireless access devices
DE102019206302A1 (de) * 2019-05-02 2020-11-05 Continental Automotive Gmbh Verfahren und Vorrichtung zum Übertragen eines Boot-Codes mit verbesserter Datensicherheit
US11804981B2 (en) * 2021-01-14 2023-10-31 Gm Global Technology Operations, Llc Method and apparatus for providing an individually secure system to multiple distrusting parties

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09134307A (ja) * 1995-11-13 1997-05-20 Denso Corp 電子制御装置のメモリ書換システム,電子制御装置及びメモリ書換装置
JPH09282155A (ja) * 1996-04-10 1997-10-31 Nippon Telegr & Teleph Corp <Ntt> 暗号認証機能の装備方法
JPH1083310A (ja) * 1996-06-11 1998-03-31 Internatl Business Mach Corp <Ibm> プログラム・コードの配布方法及びシステム
JPH10161934A (ja) * 1996-11-27 1998-06-19 Nissan Motor Co Ltd 車両用制御装置のフラッシュメモリ書き換え装置
JPH10200522A (ja) * 1997-01-08 1998-07-31 Hitachi Software Eng Co Ltd Icカード利用暗号化方法およびシステムおよびicカード
JPH1153262A (ja) * 1997-08-08 1999-02-26 Nissan Motor Co Ltd 車両制御用メモリ書き換え装置
JPH11215120A (ja) * 1998-01-27 1999-08-06 Fujitsu Ltd 通信装置
JPH11265349A (ja) * 1998-03-17 1999-09-28 Toshiba Corp コンピュータシステムならびに同システムに適用される機密保護方法、送受信ログ管理方法、相互の確認方法および公開鍵世代管理方法
JPH11280536A (ja) * 1998-03-26 1999-10-12 Denso Corp 電子制御装置及び電子制御システム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4930073A (en) * 1987-06-26 1990-05-29 International Business Machines Corporation Method to prevent use of incorrect program version in a computer system
DE19605554C2 (de) * 1996-02-15 2000-08-17 Daimler Chrysler Ag Einrichtung zum Prüfen von Funktionselementen fahrzeugelektrischer Anlagen
US6138236A (en) * 1996-07-01 2000-10-24 Sun Microsystems, Inc. Method and apparatus for firmware authentication
US6754712B1 (en) * 2001-07-11 2004-06-22 Cisco Techonology, Inc. Virtual dial-up protocol for network communication
US5844986A (en) * 1996-09-30 1998-12-01 Intel Corporation Secure BIOS
US5844896A (en) * 1997-02-26 1998-12-01 U S West, Inc. System and method for routing telephone calls
US5970147A (en) * 1997-09-30 1999-10-19 Intel Corporation System and method for configuring and registering a cryptographic device
FR2775372B1 (fr) * 1998-02-26 2001-10-19 Peugeot Procede de verification de la coherence d'informations telechargees dans un calculateur
US6748541B1 (en) * 1999-10-05 2004-06-08 Aladdin Knowledge Systems, Ltd. User-computer interaction method for use by a population of flexibly connectable computer systems
US6754832B1 (en) * 1999-08-12 2004-06-22 International Business Machines Corporation Security rule database searching in a network security environment

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09134307A (ja) * 1995-11-13 1997-05-20 Denso Corp 電子制御装置のメモリ書換システム,電子制御装置及びメモリ書換装置
JPH09282155A (ja) * 1996-04-10 1997-10-31 Nippon Telegr & Teleph Corp <Ntt> 暗号認証機能の装備方法
JPH1083310A (ja) * 1996-06-11 1998-03-31 Internatl Business Mach Corp <Ibm> プログラム・コードの配布方法及びシステム
JPH10161934A (ja) * 1996-11-27 1998-06-19 Nissan Motor Co Ltd 車両用制御装置のフラッシュメモリ書き換え装置
JPH10200522A (ja) * 1997-01-08 1998-07-31 Hitachi Software Eng Co Ltd Icカード利用暗号化方法およびシステムおよびicカード
JPH1153262A (ja) * 1997-08-08 1999-02-26 Nissan Motor Co Ltd 車両制御用メモリ書き換え装置
JPH11215120A (ja) * 1998-01-27 1999-08-06 Fujitsu Ltd 通信装置
JPH11265349A (ja) * 1998-03-17 1999-09-28 Toshiba Corp コンピュータシステムならびに同システムに適用される機密保護方法、送受信ログ管理方法、相互の確認方法および公開鍵世代管理方法
JPH11280536A (ja) * 1998-03-26 1999-10-12 Denso Corp 電子制御装置及び電子制御システム

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007507020A (ja) * 2003-06-24 2007-03-22 バイエリッシェ モートーレン ウエルケ アクチエンゲゼルシャフト プログラミング可能な読出し専用メモリのブートセクタ内にソフトウェアをリロードするための方法
JP2005202503A (ja) * 2004-01-13 2005-07-28 Hitachi Ltd 車載情報装置、車載機器管理システム、車両の制御機器のプログラムのバージョンアップ情報の配信方法、車両の制御機器のプログラムのバージョンアップ方法及び車両の制御機器のプログラムのバージョンアップシステム
JP2007535250A (ja) * 2004-04-29 2007-11-29 バイエリッシェ モートーレン ウエルケ アクチエンゲゼルシャフト 車両外部の装置の認証
JP2006146583A (ja) * 2004-11-19 2006-06-08 Denso Corp 電子制御装置及びその識別コード生成方法
JP4534731B2 (ja) * 2004-11-19 2010-09-01 株式会社デンソー 電子制御装置及びその識別コード生成方法
JP2009099146A (ja) * 2007-10-12 2009-05-07 Robert Bosch Gmbh 車両用アプリケーションの実行方法、制御装置、制御装置群、プログラム、および記録媒体
JP2012104049A (ja) * 2010-11-12 2012-05-31 Hitachi Automotive Systems Ltd 車載ネットワークシステム
CN103237977A (zh) * 2010-12-04 2013-08-07 奥迪股份公司 机动车发动机控制装置的可逆的、防篡改的编码方法和发动机控制装置
JP2014056381A (ja) * 2012-09-12 2014-03-27 Keihin Corp 車両の電子制御装置

Also Published As

Publication number Publication date
EP1128242A3 (de) 2006-01-18
EP1128242B1 (de) 2015-01-07
DE10008974B4 (de) 2005-12-29
DE10008974A1 (de) 2001-09-06
ES2530229T3 (es) 2015-02-27
EP1128242A2 (de) 2001-08-29
US20020120856A1 (en) 2002-08-29
US6816971B2 (en) 2004-11-09
JP4733840B2 (ja) 2011-07-27

Similar Documents

Publication Publication Date Title
JP4733840B2 (ja) 署名方法
US7197637B2 (en) Authorization process using a certificate
CN100363855C (zh) 密钥存储管理方法、装置及其系统
JP4067985B2 (ja) アプリケーション認証システムと装置
JP6641241B2 (ja) 情報共有システム、計算機、及び、情報共有方法
KR102639075B1 (ko) 차량용 진단기 및 그 인증서 관리 방법
ES2573692T3 (es) Procedimiento para el almacenamiento de datos, producto de programa informático, ficha de ID y sistema informático
US20070028115A1 (en) Method for guaranteeing the integrity and authenticity of flashware for control devices
JPH11231775A (ja) 条件付き認証装置および方法
JP5543328B2 (ja) 照合を提供する、通信端末機器、通信機器、電子カード、通信端末機器のための方法、および、通信機器のための方法
EP1556750A2 (en) Digital-rights management system
JP2010011400A (ja) 共通鍵方式の暗号通信システム
JP5937109B2 (ja) 車両の防犯のための方法及び機関制御システム
JP5861597B2 (ja) 認証システムおよび認証方法
US7213267B2 (en) Method of protecting a microcomputer system against manipulation of data stored in a storage assembly of the microcomputer system
JP6387908B2 (ja) 認証システム
CN107092833B (zh) 用于处理数据的组件和用于实施安全功能的方法
JP2013118650A (ja) 照合を提供する、通信端末機器、通信機器、電子カードおよび証明書を提供する方法
US9542713B2 (en) Systems and methods for securing the manufacturing supply chain
JP5183517B2 (ja) 情報処理装置及びプログラム
EP3485600B1 (en) Method for providing secure digital signatures
CN115935318B (zh) 一种信息处理方法、装置、服务器、客户端及存储介质
Bar-El Intra-vehicle information security framework
CN114444125A (zh) 一种数字身份管理方法及装置
JP7017477B2 (ja) 利用者権限認証システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080116

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101102

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110131

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110329

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110425

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140428

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4733840

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term