JP2005501328A - 車両の制御器により使用されるソフトウェアを提供するための方法 - Google Patents

車両の制御器により使用されるソフトウェアを提供するための方法 Download PDF

Info

Publication number
JP2005501328A
JP2005501328A JP2003523337A JP2003523337A JP2005501328A JP 2005501328 A JP2005501328 A JP 2005501328A JP 2003523337 A JP2003523337 A JP 2003523337A JP 2003523337 A JP2003523337 A JP 2003523337A JP 2005501328 A JP2005501328 A JP 2005501328A
Authority
JP
Japan
Prior art keywords
software
signature
controller
public key
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003523337A
Other languages
English (en)
Other versions
JP4486812B2 (ja
Inventor
ブルクハルト クールス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayerische Motoren Werke AG
Original Assignee
Bayerische Motoren Werke AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke AG filed Critical Bayerische Motoren Werke AG
Publication of JP2005501328A publication Critical patent/JP2005501328A/ja
Application granted granted Critical
Publication of JP4486812B2 publication Critical patent/JP4486812B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Lock And Its Accessories (AREA)

Abstract

本発明は、特に自動車やオートバイのような車両の制御器により使用されるソフトウェアを提供するための方法に関する。特に自動車又は乗用自動車におけるソフトウェア/ハードウェアの組み合わせを改善するために、ソフトウェアが、制御器によるその使用前に、ソフトウェア署名・箇所の秘密鍵或いは個人鍵を使用してパブリック・キー・メソッドの枠内で偽造に対抗して署名されること、及び、署名されたソフトウェアが、ソフトウェア署名・箇所の秘密鍵に対して相補的な公開鍵を使用してその非偽造性についてチェックされることが提案される。

Description

【技術分野】
【0001】
主として本発明は、請求項1の前提部に記載した、特に自動車やオートバイのような車両の制御器により使用されるソフトウェアを提供するための方法に関する。
【背景技術】
【0002】
自動車のための制御器は、通常、ソフトウェアにより制御される経過制御機能を有し、この経過制御機能は、制御器の製造後に該制御器の製造者又は車両製造者により該制御器の取付後に該制御器内に記憶される。
【0003】
短所としては、害を与えるようにソフトウェアが交換又は変更され得るということが挙げられる。
【発明の開示】
【発明が解決しようとする課題】
【0004】
本発明の課題は、特に自動車又は乗用自動車におけるソフトウェア/ハードウェアの組み合わせの改善にある。
【課題を解決するための手段】
【0005】
前記課題は、独立特許請求項に記載した措置により各々解決される。本発明の有利な構成は従属特許請求項に記載されている。
【0006】
本発明の重要な観点は、パブリック・キー・メソッド(公開鍵方式)を使用し、特に自動車やオートバイのような車両の制御器により使用されるために設けられているソフトウェアを、ソフトウェア署名・箇所の秘密鍵或いは個人鍵を使用し、偽造に対抗して署名することにある。パブリック・キー・メソッドは、特に、特別な鍵ペア、即ち秘密の個人鍵とこの個人鍵に対して相補的な公開鍵とを使用することにより傑出している。
【0007】
選択的に又は補足的に、本発明の他の実施形態では、ソフトウェア・署名・証明書を、ソフトウェア署名・箇所の公開鍵と所謂トラストセンタ(信用センタ)の管理局の秘密鍵とを使用してパブリック・キー・メソッドの枠内で作成することが考慮されている。
【0008】
選択的に又は補足的に、本発明の他の実施形態では、管理局・証明書或いはトラストセンタ・証明書を、管理局の秘密鍵を使用して作成することが考慮されている。
【0009】
選択的に又は補足的に、本発明の他の実施形態では、イネーブルコード・データを、イネーブルコード・箇所の秘密鍵を使用してパブリック・キー・メソッドの枠内で署名することが考慮されている。
【0010】
選択的に又は補足的に、本発明の他の実施形態では、イネーブルコード箇所・署名・証明書を、トラストセンタの管理局の秘密鍵を使用してパブリック・キー・メソッドの枠内で作成することが考慮されている。
【0011】
選択的に又は補足的に、本発明の他の実施形態では、トラストセンタ・証明書を、保護されたメモリ内、保護されたメモリ領域内などのように偽造及び/又は交換に対して保護された方式で制御器内に記憶させることが考慮されている。
【0012】
選択的に又は補足的に、本発明の他の実施形態では、イネーブルコード箇所・署名・証明書、ソフトウェア・署名・証明書、イネーブルコード・データ及びその署名、並びに、ソフトウェア及びその署名を制御器内に記憶させることが考慮されている。
【0013】
選択的に又は補足的に、本発明の他の実施形態では、ソフトウェア・署名・証明書が、特に1つの又は複数の制御器タイプに対する制限のような、1つの又は複数の有効性制限を有することが考慮されている。
【0014】
選択的に又は補足的に、本発明の他の実施形態では、イネーブルコード箇所・署名・証明書が、特に、例えば制御器内に不変に記憶されている番号、識別などに基づいて個別化されている所定の制御器に対する制限、又は、車両の車体番号に対する制限のような、1つの又は複数の有効性制限を有することが考慮されている。
【0015】
選択的に又は補足的に、本発明の他の実施形態では、ソフトウェア・署名・証明書が、パブリック・キー・メソッドの枠内で、トラストセンタの公開鍵を使用して非偽造性に関してチェックされることが考慮されている。
【0016】
選択的に又は補足的に、本発明の他の実施形態では、署名されたソフトウェアが、パブリック・キー・メソッドの枠内で、ソフトウェア・署名・証明書内に含まれているソフトウェア署名・箇所の公開鍵を使用して非偽造性に関してチェックされることが考慮されている。
【0017】
選択的に又は補足的に、本発明の他の実施形態では、イネーブルコード箇所・署名・証明書が、パブリック・キー・メソッドの枠内で、トラストセンタの公開鍵を使用して非偽造性に関してチェックされることが考慮されている。
【0018】
選択的に又は補足的に、本発明の他の実施形態では、署名されたイネーブルコード・データが、パブリック・キー・メソッドの枠内で、イネーブルコード箇所・署名・証明書内に含まれているイネーブルコード・箇所の公開鍵を使用して非偽造性に関してチェックされることが考慮されている。
【0019】
選択的に又は補足的に、本発明の他の実施形態では、経過制御されるマイクロプロセッサが制御器に備えられていて、このマイクロプロセッサがパブリック・キー・メソッドを使用して前記方法の1つを実施することが考慮されている。
【発明を実施するための最良の形態】
【0020】
次に、図面に基づき本発明を詳細に説明する。この際、同じ符号には同じ措置又は同様に作用する措置が示されている。
【実施例1】
【0021】
図1に描かれていて周知のパブリック・キー・メソッド(公開鍵方式)を使用する経過パターン100において、制御器115を経過制御するプログラム・コード、即ち制御器・ソフトウェア113はその署名の目的で所謂ソフトウェア署名・箇所105へと伝達される。制御器115はプログラム制御されるデータ処理装置に係るものであり、このデータ処理装置は、好ましくはプログラマブルメモリとマイクロプロセッサとを有する。署名に基づき、プログラム・コードが署名後に変更されたか否か或いは不正操作されたか否かが認識され得る。このことがどのように行われるかについて、以下で詳細に説明する。
【0022】
制御器としては、特に、アクチュエータを制御及び/又は調整するための車両内の従来の制御器としても、例えば通信システムやオーディオシステムやナビゲーションシステムのようなプログラム制御されるその他の車両装備としても理解されるべきである。現在では多数の制御器が車両内の様々な機能或いはアクチュエータのために設けられているが、本発明に従う制御器は、プログラム制御され且つ1つ以上の制御器の制御及び/又は調整の役割を担う1つの又は複数のデータ処理装置に係るものでもある。
【0023】
ソフトウェア署名・箇所105は車両製造者の所謂トラストセンタ(信用センタ)101にソフトウェア・署名・証明書120を要求する。この際、制御器115は、前記車両製造者の車両のために決定されている或いは前記車両製造者の車両内に組み込まれている又は組み込むべきものである。ソフトウェア署名・箇所105は、好ましくはソフトウェア113の製造者に係り、この際、この製造者は、好ましくは制御器115の製造者でもある。
【0024】
トラストセンタ101は、その非公開の個人鍵103並びにソフトウェア署名・箇所105の公開鍵108を使用してソフトウェア・署名・証明書120を作成する。このソフトウェア・署名・証明書120は、特に、ソフトウェア署名・箇所105の公開鍵108と、明確には図示されていないが好ましくは1つの又は複数の有効性制限と、トラストセンタ101により作成された署名121とを有する。この署名は、前記証明書がその「サイン」或いは署名の後に変更されたか否か又は不正操作されたか否かのチェックを可能にする。
【0025】
有効性を満たしていることについて制御器115によりチェックされるソフトウェア・署名・証明書120内の有効性制限は、特に、作動時間数、走行性能或いは走行距離、場所に関して制限された有効性(車両の滞在場所に関する)、時間データ又は期間、1つの又は複数の車両タイプ、1つの又は複数の制御器又は制御器タイプ、車体番号又は制御器番号などに該当する制限に係るものである。このソフトウェア・署名・証明書は、好ましくは1つの又は複数の制御器タイプに対するソフトウェアの使用可能性の制限を有する。他の制限としては、ソフトウェアの製造者が制御器の製造者でもある場合にだけソフトウェアの製造者がソフトウェアを制御器内に書き込むことができる或いはそこで記憶させる又は経過(実行)へともたらすことができるということがある。1つの又は複数の有効性制限のチェックは、好ましくは、制御器115内に設けられていて経過制御されるマイクロプロセッサ(非図示)により行われ、この際、その経過制御或いはソフトウェアは対応的に構成されているものである。
【0026】
トラストセンタ101は更にその秘密鍵103を使用してトラストセンタ・署名・証明書116を作成し、このトラストセンタ・署名・証明書116は、特に、トラストセンタ101の公開鍵102と、トラストセンタ101の秘密鍵103を使用して作成された署名117とを有する。
【0027】
ソフトウェア署名・箇所105は、その個人鍵或いは秘密鍵109とソフトウェア113とを使用して署名114を作成し、この署名114に基づき、制御器により、特にプログラム制御されるマイクロプロセッサにより、ソフトウェア113が署名114を用いたその署名後に変更されたか否かがチェックされ得る。
【0028】
証明書116及び120並びにソフトウェア113及びその署名114は制御器115内に伝達され、そこで記憶される。トラストセンタ・署名・証明書116の記憶化は、トラストセンタ・署名・証明書116が変更及び/又は交換され得ることを防止する保護されたメモリ又はメモリ領域122内で行われる。
【0029】
このことは、ソフトウェアの製造者と制御器の製造者が同一である場合、全体的に又は部分的に、好ましくは、制御器が車両製造者に納入される以前に製造者により行われる。
【0030】
制御器115内に記憶されているソフトウェアを更新するため、又は、追加的な又は選択的なソフトウェアを制御器115内に提供するためには、本発明に従い、車両内にソフトウェアを取り入れる複数の経路が使用され得る。このことは、サービス工場を訪れた際に、例えば、車両の診断プラグ又は車両の通信インターフェースを介し、また、CD−ROM、DVD又はチップカードのような車両所有者に交付されるデータ記憶媒体によっても行われ得る。その際、ソフトウェアは、場合により、該当データ記憶媒体のために自動車内に設けられている読取器を介して取り込まれる。
【0031】
制御器115がこの制御器115に伝送されたソフトウェア113を実施する以前に、制御器115は、第1ステップで、パブリック・キー・メソッドを基礎にし、ソフトウェア署名・箇所105の公開鍵108とトラストセンタ101の署名121とを有するソフトウェア・署名・証明書120を使用し、且つ、保護されたメモリ又はメモリ領域122内に記憶されているトラストセンタ101の公開鍵102を使用し、ソフトウェア・署名・証明書120が変更或いは不正操作されたか否かを検査する。
【0032】
変更或いは不正操作がない場合、制御器115は、第2ステップで、パブリック・キー・メソッドを基礎にし、第1ステップでトラストセンタ101の公開鍵102を使用してその不変性がチェックされたソフトウェア署名・箇所105の公開鍵108を使用し、且つ、ソフトウェア113及びその署名114を使用し、ソフトウェア113が変更或いは不正操作されたか否かを検査する。
【0033】
好ましくは制御器のプロセッサ(非図示)により、第1ステップ及び第2ステップで肯定的に進行する検査は、以下に説明する実施形態において、ソフトウェア113が制御器115により実施され得るために必要不可欠な第1の前提であるが十分な前提であるとは言えない。
【0034】
好ましくはソフトウェア・署名・証明書120内にトラストセンタ101により登録された、特に証明書120の使用可能性の作動時間制限のような1つの又は複数の有効性制限或いは有効性前提が満たされているか否かが、好ましくは例えば制御器115により或いはこの制御器115内に設けられていて経過制御されるマイクロプロセッサ(非図示)により更にチェックされる。場合により、有効性制限或いは有効性前提を満たしていることは、ソフトウェア113が制御器115により実施され得るための他の前提を構成する。
【0035】
この際、更には立ち入らないが、他の実施形態は、制御器によるソフトウェアの実施のための唯一の前提或いはそのために十分な前提に係るものである。
【0036】
制御器115内又は車両内に記憶が既に成されていない場合には、制御器・ソフトウェア113とソフトウェア・署名114とを有する署名されたソフトウェアと、公開鍵108の設けられているソフトウェア・署名・証明書120とが、場合により他のソフトウェアと共に、車両の所有者に対し、CD−ROMやDVDのようなデータ記憶媒体(非図示)で使用可能とされる。そのデータ内容は、例えば、自動車の少なくとも1つの制御器と接続状態にある対応的なデータ処理装置(非図示)を介してアクセスが成され得る。
【0037】
次に、データ記憶媒体により使用可能なソフトウェア或いはそれにより提供される追加機能を利用者が使用し、それに従ってソフトウェアを1つの又は複数の制御器内にロードさせ、そこで経過(実行)させるということを想定する
【0038】
ここで取り扱う有利な実施形態では、前記のステップに対して追加的なステップが必要とされる或いは前提が満たされる必要がある。ここで叙述される実施形態において車両の所有者は車両から電話やインターネットを通じて所謂イネーブルコード・箇所104とコンタクトをとる。支払方式が明らかにされた後、所有者は、使用可能(イネーブル)にすべき該当ソフトウェアを選択し、車体番号、及び/又は、該当制御器を特徴付ける番号などを伝達し(この際、このことは該当する1つの又は複数の制御器からの読出及び伝達により電子的にも行われ得る)、ソフトウェアが時間依存式の利用料金を有する場合には、どの期間でソフトウェアの利用を望むかを提示する。符号110で示されているこの利用データを基礎にし、所謂イネーブルコード・データ111が生成される。
【0039】
イネーブルコード・箇所104はトラストセンタ101に所謂イネーブルコード箇所・署名・証明書118を要求する。トラストセンタ101は、パブリック・キー・メソッドを基礎にし、イネーブルコード・箇所104の公開鍵106とトラストセンタ101の秘密鍵103とを使用してイネーブルコード箇所・署名・証明書118を生成する。
【0040】
更に以下のことが考慮され得る。即ち、ソフトウェア113、署名114、及び/又は、これらから導出される情報又はソフトウェア番号などが、イネーブルコード・箇所104に登録されている、及び/又は、全体的に又は部分的にイネーブルコード箇所・署名・証明書118内に取り入れられるということである。イネーブルコード箇所・署名・証明書118は、特にイネーブルコード・箇所104の公開鍵106と、トラストセンタ101により作成された署名119とを有し、これらに基づき、証明書118がその「サイン」或いは署名後に変更又は不正操作されたか否かがチェックされ得る。
【0041】
更に、トラストセンタ101により作成されたイネーブルコード箇所・署名・証明書118は、詳細には描かれていないが好ましくは1つの又は複数の有効性制限を有する。
【0042】
有効性を満たしていることについて制御器115によりチェックされるイネーブルコード箇所・署名・証明書118内の有効性制限は、特に、作動時間数、走行性能或いは走行距離、場所に関して制限された有効性(車両の滞在場所に関する)、時間データ又は期間、1つの又は複数の車両タイプ、1つの又は複数の制御器又は制御器タイプ、車体番号又は制御器番号などに該当する制限に係るものである。このイネーブルコード箇所・署名・証明書は、好ましくは、制御器を個別化する所定の制御器番号又は車体番号に対する使用可能性の制限を有する。1つの又は複数の有効性制限或いは有効性前提のチェックは、好ましくは、制御器115内に設けられていて経過制御されるマイクロプロセッサ(非図示)により行われ、この際、その経過制御或いはソフトウェアは対応的に構成されているものである。
【0043】
好ましいイネーブルコードは、制御器115により全体的に又は部分的にチェックされ且つ基準データと比較される次の情報グループを全体的に又は部分的に有する:ソフトウェア識別、車体番号及び/又は制御器番号、特に絶対的な時間データのような有効性制限、作動時間数、例えば車両ディーラや車両所有者のようなイネーブルコードの照会者の識別、イネーブルコードを作成するイネーブルコード・箇所の識別、作成と署名の日付などである。
【0044】
制限は例えば次のことにも生じる。即ち、イネーブルコード・箇所が、機関制御を変更するための及び/又は(特に)安全性に関して重要な制御器を経過制御するためのソフトウェア及び/又はデータではなく、特に地図データなどのような、車両内に設けられているナビゲーションシステムにより使用されるソフトウェア及び/又はデータを使用可能とするということである。
【0045】
トラストセンタ101により作成されたイネーブルコード箇所・署名・証明書118、並びに、イネーブルコード・データ111及びその署名112は、車両(非図示)内及びそれに続いて該当制御器115内に伝送され、そこで記憶される。伝送は、特に移動無線ネットワーク及び/又はインターネット接続を介して行われるように好ましくは無線により行われる。
【0046】
制御器115に伝送されたソフトウェア113を制御器115が実施する以前に、制御器115は、第3ステップで、パブリック・キー・メソッドを基礎にし、イネーブルコード・箇所104の公開鍵106とトラストセンタ101の署名119とを有するイネーブルコード箇所・署名・証明書118を使用し、且つ、保護されたメモリ又はメモリ領域122内に記憶されているトラストセンタ101の公開鍵102を使用し、イネーブルコード箇所・署名・証明書118が変更或いは不正操作されたか否かを検査する。
【0047】
変更或いは不正操作がない場合、制御器115は、第4ステップで、パブリック・キー・メソッドを基礎にし、第3ステップでトラストセンタ101の公開鍵102を使用してその不変性がチェックされたイネーブルコード・箇所104の公開鍵106を使用し、且つ、イネーブルコード・データ111及びその署名112を使用し、イネーブルコード・データ111が変更或いは不正操作されたか否かを検査する。
【0048】
好ましくは、例えば制御器115或いはこの制御器115内に設けられていて経過制御されるマイクロプロセッサ(非図示)により、第5ステップで、更に、好ましくはイネーブルコード箇所・署名・証明書118内にトラストセンタ101により登録された1つの又は複数の有効性制限或いは有効性前提が満たされているか否かがチェックされる。その他の場合、ソフトウェアの使用許可又はその経過(実行)は特にマイクロプロセッサにより遮断される。
【0049】
好ましくは制御器のプロセッサ(非図示)により第3ステップ及び第4ステップで肯定的に進行する検査、並びに、場合により第5ステップにおける肯定的な検査は、説明した本発明の有利な実施形態において、ソフトウェア113が制御器115により実施されるために十分な前提であると言える。
【図面の簡単な説明】
【0050】
【図1】特に自動車やオートバイのような車両内の制御器を稼動させるソフトウェアを提供するための本発明に従う方法を示す図である。
【符号の説明】
【0051】
100 フローパターン(経過パターン)
101 トラストセンタ(信用センタ)
102 トラストセンタの公開鍵
103 トラストセンタの個人鍵(秘密鍵)
104 イネーブルコード・箇所
105 ソフトウェア署名・箇所
106 イネーブルコード・箇所の公開鍵
107 イネーブルコード・箇所の個人鍵(秘密鍵)
108 ソフトウェア署名・箇所の公開鍵
109 ソフトウェア署名・箇所の個人鍵(秘密鍵)
110 利用データ
111 イネーブルコード・データ
112 イネーブルコード・データの署名
113 制御器・ソフトウェア
114 ソフトウェアの署名
115 制御器
116 トラストセンタ・署名・証明書
117 トラストセンタによる署名
118 イネーブルコード箇所・署名・証明書
119 トラストセンタによる署名
120 ソフトウェア・署名・証明書
121 トラストセンタによる署名
122 保護されたメモリ又はメモリ領域

Claims (18)

  1. 特に自動車やオートバイのような車両の制御器により使用されるソフトウェアを提供するための方法において、
    ソフトウェアが、制御器によるその使用前に、ソフトウェア署名・箇所の秘密鍵或いは個人鍵を使用してパブリック・キー・メソッドの枠内で偽造に対抗して署名されること、及び、
    署名されたソフトウェアが、ソフトウェア署名・箇所の秘密鍵に対して相補的な公開鍵を使用してその非偽造性についてチェックされることを特徴とする方法。
  2. ソフトウェア・署名・証明書が、ソフトウェア署名・箇所の公開鍵と所謂トラストセンタの管理局の秘密鍵とを使用してパブリック・キー・メソッドの枠内で作成されることを特徴とする、請求項1に記載の方法。
  3. 管理局・証明書或いはトラストセンタ・証明書が、パブリック・キー・メソッドの枠内で管理局の秘密鍵を使用して作成されることを特徴とする、請求項1又は2に記載の方法。
  4. イネーブルコード・データが、イネーブルコード・箇所の秘密鍵を使用してパブリック・キー・メソッドの枠内で署名されることを特徴とする、請求項1〜3のいずれか一項に記載の方法。
  5. イネーブルコード箇所・署名・証明書が、トラストセンタの管理局の秘密鍵を使用してパブリック・キー・メソッドの枠内で作成されることを特徴とする、請求項1〜4のいずれか一項に記載の方法。
  6. トラストセンタ・証明書が、保護されたメモリ内、保護されたメモリ領域内などのように偽造及び/又は交換に対して保護された方式で特に制御器内にて記憶されることを特徴とする、請求項3に記載の方法。
  7. イネーブルコード箇所・署名・証明書、ソフトウェア・署名・証明書、イネーブルコード・データ及びその署名、並びに、ソフトウェア及びその署名が制御器内に記憶されることを特徴とする、請求項1〜6のいずれか一項に記載の方法。
  8. ソフトウェア・署名・証明書に、特に1つの又は複数の制御器タイプに対する制限のような、1つの又は複数の有効性制限が設けられていることを特徴とする、請求項2又は7のいずれか一項に記載の方法。
  9. イネーブルコード箇所・署名・証明書が、特に、例えば制御器内に不変に記憶されている番号、識別などに基づいて個別化されている所定の制御器に対する制限、又は、所定の車両の車体番号に対する制限のような、1つの又は複数の有効性制限を有することを特徴とする、請求項5又は7のいずれか一項に記載の方法。
  10. ソフトウェア・署名・証明書が、パブリック・キー・メソッドの枠内で、トラストセンタの公開鍵を使用して非偽造性に関してチェックされることを特徴とする、請求項2又は8のいずれか一項に記載の方法。
  11. 署名されたソフトウェアが、パブリック・キー・メソッドの枠内で、ソフトウェア・署名・証明書内に含まれているソフトウェア署名・箇所の公開鍵を使用して非偽造性に関してチェックされることを特徴とする、請求項1〜10のいずれか一項に記載の方法。
  12. イネーブルコード箇所・署名・証明書が、パブリック・キー・メソッドの枠内で、トラストセンタの公開鍵を使用して非偽造性に関してチェックされることを特徴とする、請求項5、7又は9のいずれか一項に記載の方法。
  13. 署名されたイネーブルコード・データが、パブリック・キー・メソッドの枠内で、イネーブルコード箇所・署名・証明書内に含まれているイネーブルコード・箇所の公開鍵を使用して非偽造性に関してチェックされることを特徴とする、請求項4に記載の方法。
  14. 経過制御されるマイクロプロセッサが制御器に備えられていて、このマイクロプロセッサが前記方法の1つを実施することを特徴とする、請求項1〜13のいずれか一項に記載の方法。
  15. 特に自動車やオートバイのための制御器において、この制御器が前記請求項の1つの請求項又は複数の請求項に係る方法を実施することを特徴とする制御器。
  16. 特に自動車やオートバイのためのデータ処理システムにおいて、このデータ処理システムが前記請求項の1つの請求項又は複数の請求項に係る方法を実施することを特徴とするデータ処理システム。
  17. 特に自動車やオートバイの制御器又はデータ処理システムを経過制御するためのコンピュータ・プログラム・製品において、このコンピュータ・プログラム・製品が前記請求項の1つの請求項又は複数の請求項に係る方法を実施することを特徴とするコンピュータ・プログラム・製品。
  18. データ記憶媒体において、このデータ記憶媒体が請求項17に係るコンピュータ・プログラム・製品を有することを特徴とするデータ記憶媒体。
JP2003523337A 2001-08-27 2002-07-04 車両の制御器により使用されるソフトウェアを提供するための方法 Expired - Lifetime JP4486812B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10140721A DE10140721A1 (de) 2001-08-27 2001-08-27 Verfahren zur Bereitstellung von Software zur Verwendung durch ein Steuergerät eines Fahrzeugs
PCT/EP2002/007398 WO2003019337A2 (de) 2001-08-27 2002-07-04 Verfahren zur bereitstellung von software zur verwendung durch ein steuergerät eines fahrzeugs

Publications (2)

Publication Number Publication Date
JP2005501328A true JP2005501328A (ja) 2005-01-13
JP4486812B2 JP4486812B2 (ja) 2010-06-23

Family

ID=7695989

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003523337A Expired - Lifetime JP4486812B2 (ja) 2001-08-27 2002-07-04 車両の制御器により使用されるソフトウェアを提供するための方法

Country Status (6)

Country Link
US (1) US9262617B2 (ja)
EP (1) EP1421460B1 (ja)
JP (1) JP4486812B2 (ja)
CN (1) CN1549959B (ja)
DE (1) DE10140721A1 (ja)
WO (1) WO2003019337A2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007527044A (ja) * 2003-07-04 2007-09-20 バイエリッシェ モートーレン ウエルケ アクチエンゲゼルシャフト 特に自動車の制御装置内にロード可能なソフトウェアコンポーネントを認証するための方法
JP2015511905A (ja) * 2012-03-06 2015-04-23 コンチネンタル・テベス・アーゲー・ウント・コンパニー・オーハーゲー 機能安全を改善し、電子閉ループ制御システムの可用性を増す方法、および電子閉ループ制御システム

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10309507A1 (de) * 2003-03-05 2004-09-16 Volkswagen Ag Verfahren und Einrichtung zur Wartung von sicherheitsrelevanten Programmcode eines Kraftfahrzeuges
DE10319365A1 (de) * 2003-04-29 2004-11-18 Volkswagen Ag Computersystem für ein Fahrzeug und Verfahren zum Kontrollieren des Datenverkehrs in ein solches Computersystem
DE10354107A1 (de) * 2003-07-04 2005-01-20 Bayerische Motoren Werke Ag Verfahren zur Authentifikation von insbesondere in ein Steuergerät eines Kraftfahrzeugs ladbaren Softwarekomponenten
DE10336148A1 (de) * 2003-08-07 2005-03-10 Bayerische Motoren Werke Ag Verfahren zum Signieren einer Datenmenge in einem Public-Key-System sowie ein Datenverarbeitungssystem zur Durchführung des Verfahrens
EP1918839A1 (de) * 2006-11-03 2008-05-07 Siemens Aktiengesellschaft Modifizieren eines Softwarestands einer Steuergerätesoftware für ein Steuergerät und Erkennen einer solchen Modifikation
DE102007039602A1 (de) * 2007-08-22 2009-02-26 Siemens Ag Verfahren zum Prüfen einer auf einer ersten Einrichtung auszuführenden oder zu installierenden Version eines Softwareproduktes
DE102007062160A1 (de) * 2007-12-21 2009-06-25 Hella Kgaa Hueck & Co. Verfahren zum Aktualisieren von Programmen und/oder Programmierungsdaten in Steuergeräten von Kraftfahrzeugen
US8090949B2 (en) * 2008-03-13 2012-01-03 GM Global Technology Operations LLC Certificate assignment strategies for efficient operation of the PKI-based security architecture in a vehicular network
EP2104269A1 (en) 2008-03-17 2009-09-23 Robert Bosch Gmbh An electronic control unit (ECU) and a method for verifying data integrity
DE102008056745A1 (de) * 2008-11-11 2010-05-12 Continental Automotive Gmbh Vorrichtung zum Steuern einer Fahrzeugfunktion und Verfahren zum Aktualisieren eines Steuergerätes
DE102008043830A1 (de) * 2008-11-18 2010-05-20 Bundesdruckerei Gmbh Kraftfahrzeug-Anzeigevorrichtung, Kraftfahrzeug-Elektroniksystem, Kraftfahrzeug, Verfahren zur Anzeige von Daten und Computerprogrammprodukt
US9256728B2 (en) * 2008-11-26 2016-02-09 Nokia Technologies Oy Method, apparatus, and computer program product for managing software versions
DE102009025585B4 (de) 2009-06-19 2012-08-16 Audi Ag Vorrichtung zur dezentralen Funktionsfreischaltung eines Steuergeräts
DE102011014688B3 (de) 2011-03-22 2012-03-22 Audi Ag Kraftwagen-Steuergerät mit kryptographischer Einrichtung
EP2996300B1 (en) * 2014-09-11 2018-11-07 The Boeing Company A computer implemented method of analyzing x.509 certificates in ssl/tls communications and the data-processing system
US10817609B2 (en) 2015-09-30 2020-10-27 Nvidia Corporation Secure reconfiguration of hardware device operating features
CN105117652B (zh) * 2015-10-09 2018-12-04 天津国芯科技有限公司 一种基于NAND Flash的SOC启动方法
US20180113802A1 (en) * 2016-10-21 2018-04-26 Sivakumar Yeddnapuddi Application simulator for a vehicle
US10530816B2 (en) * 2017-05-18 2020-01-07 Nio Usa, Inc. Method for detecting the use of unauthorized security credentials in connected vehicles
JP2020530624A (ja) * 2017-08-10 2020-10-22 アーガス サイバー セキュリティ リミテッド 車載ネットワークに接続された構成要素の悪用を検出するシステムおよび方法
DE102021129670A1 (de) 2021-11-15 2023-05-17 Bayerische Motoren Werke Aktiengesellschaft Verfahren, Fahrzeugkomponente und Computerprogramm zum Einräumen einer Berechtigung zum Ausführen eines Computerprogramms durch eine Fahrzeugkomponente eines Fahrzeugs

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06103058A (ja) * 1992-05-15 1994-04-15 Addison M Fischer プログラム権限情報データ構造
JPH1083310A (ja) * 1996-06-11 1998-03-31 Internatl Business Mach Corp <Ibm> プログラム・コードの配布方法及びシステム
JPH1091427A (ja) * 1996-06-11 1998-04-10 Internatl Business Mach Corp <Ibm> 署名入り内容の使用の安全を保証する方法及びシステム
JP2000010782A (ja) * 1998-06-18 2000-01-14 Hitachi Ltd クライアントコンポーネント間通信制御システム

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3922642A1 (de) * 1989-07-10 1991-01-24 Ant Nachrichtentech Verfahren zur verschluesselten datenuebertragung
US6185546B1 (en) * 1995-10-04 2001-02-06 Intel Corporation Apparatus and method for providing secured communications
US5768389A (en) * 1995-06-21 1998-06-16 Nippon Telegraph And Telephone Corporation Method and system for generation and management of secret key of public key cryptosystem
US6138236A (en) * 1996-07-01 2000-10-24 Sun Microsystems, Inc. Method and apparatus for firmware authentication
US5844986A (en) * 1996-09-30 1998-12-01 Intel Corporation Secure BIOS
US5957985A (en) * 1996-12-16 1999-09-28 Microsoft Corporation Fault-resilient automobile control system
DE19747827C2 (de) * 1997-02-03 2002-08-14 Mannesmann Ag Verfahren und Einrichtung zur Einbringung eines Dienstschlüssels in ein Endgerät
FR2775372B1 (fr) * 1998-02-26 2001-10-19 Peugeot Procede de verification de la coherence d'informations telechargees dans un calculateur
DE19820605A1 (de) * 1998-05-08 1999-11-11 Giesecke & Devrient Gmbh Verfahren zur sicheren Verteilung von Software
US20020161709A1 (en) * 1998-09-11 2002-10-31 Michel Floyd Server-side commerce for deliver-then-pay content delivery
US6463535B1 (en) * 1998-10-05 2002-10-08 Intel Corporation System and method for verifying the integrity and authorization of software before execution in a local platform
US6330670B1 (en) * 1998-10-26 2001-12-11 Microsoft Corporation Digital rights management operating system
DE19920744A1 (de) * 1999-05-05 2000-11-16 Siemens Ag Verfahren zur Sicherung der Echtheit von Produkten
DE19922946A1 (de) * 1999-05-14 2000-11-23 Daimler Chrysler Ag Verfahren zum Einbringen von Authentikationsdaten auf eine Hardwareeinheit
WO2000072149A1 (en) * 1999-05-25 2000-11-30 Motorola Inc. Pre-verification of applications in mobile computing
US6959382B1 (en) * 1999-08-16 2005-10-25 Accela, Inc. Digital signature service
DE10008973B4 (de) * 2000-02-25 2004-10-07 Bayerische Motoren Werke Ag Autorisierungsverfahren mit Zertifikat

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06103058A (ja) * 1992-05-15 1994-04-15 Addison M Fischer プログラム権限情報データ構造
JPH1083310A (ja) * 1996-06-11 1998-03-31 Internatl Business Mach Corp <Ibm> プログラム・コードの配布方法及びシステム
JPH1091427A (ja) * 1996-06-11 1998-04-10 Internatl Business Mach Corp <Ibm> 署名入り内容の使用の安全を保証する方法及びシステム
JP2000010782A (ja) * 1998-06-18 2000-01-14 Hitachi Ltd クライアントコンポーネント間通信制御システム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007527044A (ja) * 2003-07-04 2007-09-20 バイエリッシェ モートーレン ウエルケ アクチエンゲゼルシャフト 特に自動車の制御装置内にロード可能なソフトウェアコンポーネントを認証するための方法
JP2015511905A (ja) * 2012-03-06 2015-04-23 コンチネンタル・テベス・アーゲー・ウント・コンパニー・オーハーゲー 機能安全を改善し、電子閉ループ制御システムの可用性を増す方法、および電子閉ループ制御システム

Also Published As

Publication number Publication date
EP1421460A2 (de) 2004-05-26
WO2003019337A3 (de) 2004-01-29
WO2003019337A2 (de) 2003-03-06
JP4486812B2 (ja) 2010-06-23
CN1549959B (zh) 2010-05-26
DE10140721A1 (de) 2003-03-20
CN1549959A (zh) 2004-11-24
WO2003019337A8 (de) 2004-05-06
US20040230803A1 (en) 2004-11-18
EP1421460B1 (de) 2016-02-17
US9262617B2 (en) 2016-02-16

Similar Documents

Publication Publication Date Title
JP4486812B2 (ja) 車両の制御器により使用されるソフトウェアを提供するための方法
CN112292841B (zh) 利用区块链创建运输工具证书
JP5189073B2 (ja) 動産、特に自動車を未許可の使用から保護する方法、コンピュータプログラム、および動産
US9242619B2 (en) Method for controlling a vehicle using driver authentication, vehicle terminal, biometric identity card, biometric identification system, and method for providing a vehicle occupant protection and tracking function using the biometric identification card and the terminal
EP1582961B1 (en) Controlling data access to electronic control units in vehicles
CN101379759A (zh) 在包括芯片卡的装载计算机系统上生成安全计数器的方法
KR101730581B1 (ko) 운전자 맞춤식 차량 설정
US8812842B2 (en) Motor vehicle display device, motor vehicle electronic system, motor vehicle, method for displaying data and a computer program product
US8035494B2 (en) Motor vehicle control device data transfer system and process
US20060193475A1 (en) Method for signing a dataset in a public key system and data processing system for carrying out said method
CN106385405A (zh) 一种汽车激活方法
CN111404993A (zh) 一种数字钥匙共享方法、装置及设备
JP2005081995A (ja) 車載端末装置及び車両の運行管理システム
JP4172282B2 (ja) 電子ナンバープレート認識システム
CN107729763A (zh) 一种车牌号码绑定认证方法及系统
CN111079124A (zh) 安全芯片激活方法、装置、终端设备及服务器
CA2655927C (en) Method for delegating privileges to a lower-level privilege instance by a higher-level privilege instance
Markham et al. A balanced approach for securing the OBD-II port
CN109388940B (zh) 车机系统访问方法、装置、服务器及工程u盘
KR20060034273A (ko) 차량 제어 유닛에 로딩할 수 있는 소프트웨어 컴포넌트의인증 방법
JP4607483B2 (ja) Idタグおよびリーダ・ライタ
CN103640550A (zh) 一种基于身份信息识别的防盗系统
IT201600069860A1 (it) Sistema e procedimento per il controllo di autorizzazioni all’utilizzo di un veicolo e/o alla fruizione di un servizio associato al veicolo.
Paar Embedded IT security in automotive application—an emerging area
CN116455922A (zh) 身份验证方法及相关产品

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050413

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070206

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20070320

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20070328

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070427

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070703

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070904

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20071010

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20080418

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100202

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100329

R150 Certificate of patent or registration of utility model

Ref document number: 4486812

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130402

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140402

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term