JP2016072675A - 管理装置、車両、管理方法およびコンピュータプログラム - Google Patents
管理装置、車両、管理方法およびコンピュータプログラム Download PDFInfo
- Publication number
- JP2016072675A JP2016072675A JP2014197075A JP2014197075A JP2016072675A JP 2016072675 A JP2016072675 A JP 2016072675A JP 2014197075 A JP2014197075 A JP 2014197075A JP 2014197075 A JP2014197075 A JP 2014197075A JP 2016072675 A JP2016072675 A JP 2016072675A
- Authority
- JP
- Japan
- Prior art keywords
- vehicle
- terminal
- verification
- signature
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】車載コンピュータに使用されるデータの適用についての信頼性を向上させることを図る。
【解決手段】管理装置としての管理ゲートウェイ1は、車載コンピュータに使用されるデータの電子署名を検証するセキュアエレメントとしてのeSIM_10と、前記電子署名の検証が成功である場合に、前記データを前記車載コンピュータに使用し、前記電子署名の検証が失敗である場合には、前記データを使用しない実行部32と、を備える。
【選択図】図1
【解決手段】管理装置としての管理ゲートウェイ1は、車載コンピュータに使用されるデータの電子署名を検証するセキュアエレメントとしてのeSIM_10と、前記電子署名の検証が成功である場合に、前記データを前記車載コンピュータに使用し、前記電子署名の検証が失敗である場合には、前記データを使用しない実行部32と、を備える。
【選択図】図1
Description
本発明は、管理装置、車両、管理方法およびコンピュータプログラムに関する。
近年、自動車は、ECU(Electronic Control Unit)を有し、ECUによってエンジン制御等の機能を実現する。ECUは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。既に使用されている自動車について、ECUのコンピュータプログラムの更新は、通常、自動車の検査時や定期点検時などに、一般の自動車整備工場で行われる。
従来、ECUのコンピュータプログラムの更新では、作業者が、自動車のOBD(On-board Diagnostics)ポートと呼ばれる診断ポートにメンテナンス専用の診断端末を接続し、該診断端末から更新プログラムのインストール及びデータの設定変更などを行う。これに関し例えば非特許文献1,2にはセキュリティについて記載されている。
C. Miller、C. Valasek、"Adventures in Automotive Networks and Control Units"、DEF CON 21、2013年8月
高田広章、松本勉、"車載組込みシステムの情報セキュリティ強化に関する提言"、2013年9月、インターネット<URL:https://www.ipa.go.jp/files/000034668.pdf>
Trusted Computing Group, インターネット<URL:http://www.trustedcomputinggroup.org/>
竹森敬祐、"Android+TPMによるセキュアブート"、日経エレクトロニクス、2012年8月6日号.
竹森敬祐、川端秀明、磯原隆将、窪田歩、"Android(ARM)+TPMによるセキュアブート"、電子情報通信学会、SCIS2013シンポジウム、2013年1月.
竹森敬祐、川端秀明、窪田歩、"ARM+SIM/UIMによるセキュアブート"、電子情報通信学会、SCIS2014シンポジウム、2014年1月.
上述した非特許文献1,2では、セキュリティの向上を実現する手段については記載されない。このため、自動車等の車両に備わるECU等の車載コンピュータに使用されるコンピュータプログラム等のデータの適用についての信頼性を向上させることが課題である。
本発明は、このような事情を考慮してなされたものであり、車載コンピュータに使用されるデータの適用についての信頼性を向上させることができる管理装置、車両、管理方法およびコンピュータプログラムを提供することを課題とする。
(1)本発明の一態様は、車載コンピュータに使用されるデータの電子署名を検証するセキュアエレメントと、前記電子署名の検証が成功である場合に前記データを前記車載コンピュータに使用し、前記電子署名の検証が失敗である場合には前記データを使用しない実行部と、を備えた管理装置である。
(2)本発明の一態様は、上記(1)の管理装置において、前記セキュアエレメントは、権限証明書の電子署名を検証し、前記実行部は、前記権限証明書の検証が成功である場合に前記権限証明書で示される権限を前記車載コンピュータに実行し、前記権限証明書の検証が失敗である場合には前記権限証明書で示される権限を実行しない、管理装置である。
(3)本発明の一態様は、上記(1)又は(2)のいずれかの管理装置において、前記セキュアエレメントは、前記車載コンピュータを有する車両に接続された端末の認証を行い、前記実行部は、前記端末の認証が成功である場合に前記端末からの要求を実行し、前記端末の認証が失敗である場合には前記端末からの要求を実行しない、管理装置である。
(4)本発明の一態様は、上記(3)の管理装置において、前記セキュアエレメントは、暗号化認証検証鍵を復号する復号部と、該復号により得られた認証検証鍵を使用して前記端末の認証を行う端末認証部と、を備える管理装置である。
(5)本発明の一態様は、上記(1)から(4)のいずれかの管理装置において、前記セキュアエレメントは、暗号化署名検証鍵を復号する復号部と、該復号により得られた署名検証鍵を使用して前記電子署名の検証を行う署名検証部と、を備える管理装置である。
(6)本発明の一態様は、上記(1)から(5)のいずれかの管理装置において、前記セキュアエレメントは、eSIM(Embedded Subscriber Identity Module)又はSIM(Subscriber Identity Module)である管理装置である。
(7)本発明の一態様は、上記(6)の管理装置において、前記eSIM又は前記SIMを使用して無線通信を行う無線通信部を備えた管理装置である。
(2)本発明の一態様は、上記(1)の管理装置において、前記セキュアエレメントは、権限証明書の電子署名を検証し、前記実行部は、前記権限証明書の検証が成功である場合に前記権限証明書で示される権限を前記車載コンピュータに実行し、前記権限証明書の検証が失敗である場合には前記権限証明書で示される権限を実行しない、管理装置である。
(3)本発明の一態様は、上記(1)又は(2)のいずれかの管理装置において、前記セキュアエレメントは、前記車載コンピュータを有する車両に接続された端末の認証を行い、前記実行部は、前記端末の認証が成功である場合に前記端末からの要求を実行し、前記端末の認証が失敗である場合には前記端末からの要求を実行しない、管理装置である。
(4)本発明の一態様は、上記(3)の管理装置において、前記セキュアエレメントは、暗号化認証検証鍵を復号する復号部と、該復号により得られた認証検証鍵を使用して前記端末の認証を行う端末認証部と、を備える管理装置である。
(5)本発明の一態様は、上記(1)から(4)のいずれかの管理装置において、前記セキュアエレメントは、暗号化署名検証鍵を復号する復号部と、該復号により得られた署名検証鍵を使用して前記電子署名の検証を行う署名検証部と、を備える管理装置である。
(6)本発明の一態様は、上記(1)から(5)のいずれかの管理装置において、前記セキュアエレメントは、eSIM(Embedded Subscriber Identity Module)又はSIM(Subscriber Identity Module)である管理装置である。
(7)本発明の一態様は、上記(6)の管理装置において、前記eSIM又は前記SIMを使用して無線通信を行う無線通信部を備えた管理装置である。
(8)本発明の一態様は、上記(1)から(7)のいずれかの管理装置と、前記管理装置からアクセスされる車載コンピュータと、を備えた車両である。
(9)本発明の一態様は、車両に備わる管理装置のセキュアエレメントが、前記車両の車載コンピュータに使用されるデータの電子署名を検証する署名検証ステップと、前記管理装置の実行部が、前記電子署名の検証が成功である場合に前記データを前記車載コンピュータに使用し、前記電子署名の検証が失敗である場合には前記データを使用しない実行ステップと、を含む管理方法である。
(10)本発明の一態様は、車両に備わる管理装置のセキュアエレメントのコンピュータに、前記車両の車載コンピュータに使用されるデータの電子署名を検証する署名検証機能を実現させるためのコンピュータプログラムである。
(11)本発明の一態様は、車両に備わる管理装置のコンピュータに、前記管理装置のセキュアエレメントによって行われる「前記車両の車載コンピュータに使用されるデータの電子署名の検証」が成功である場合に前記データを前記車載コンピュータに使用し、前記電子署名の検証が失敗である場合には前記データを使用しない実行機能を実現させるためのコンピュータプログラムである。
(11)本発明の一態様は、車両に備わる管理装置のコンピュータに、前記管理装置のセキュアエレメントによって行われる「前記車両の車載コンピュータに使用されるデータの電子署名の検証」が成功である場合に前記データを前記車載コンピュータに使用し、前記電子署名の検証が失敗である場合には前記データを使用しない実行機能を実現させるためのコンピュータプログラムである。
本発明によれば、車載コンピュータに使用されるデータの適用についての信頼性を向上させることができるという効果が得られる。
以下、図面を参照し、本発明の実施形態について説明する。なお、以下に示す実施形態では、車両として自動車を例に挙げて説明する。
[第1実施形態]
図1は、本発明の第1実施形態に係る管理ゲートウェイ1の構成を示すブロック図である。管理ゲートウェイ1は管理装置である。図1において、管理ゲートウェイ1は、eSIM(Embedded Subscriber Identity Module)_10とCAN(Controller Area Network)インタフェース31と実行部32と無線通信部33と入出力インタフェース34とを備える。これら各部はデータを交換できるように構成されている。eSIM_10は、復号部11と鍵保持部12と署名検証部13と端末認証部14とを備える。
図1は、本発明の第1実施形態に係る管理ゲートウェイ1の構成を示すブロック図である。管理ゲートウェイ1は管理装置である。図1において、管理ゲートウェイ1は、eSIM(Embedded Subscriber Identity Module)_10とCAN(Controller Area Network)インタフェース31と実行部32と無線通信部33と入出力インタフェース34とを備える。これら各部はデータを交換できるように構成されている。eSIM_10は、復号部11と鍵保持部12と署名検証部13と端末認証部14とを備える。
eSIM_10はセキュアエレメントである。セキュアエレメントは、当該セキュアエレメントの外部からアクセスできないセキュア領域を含む。eSIM_10において、鍵保持部12はセキュア領域に在る。なお、セキュアエレメントとして、eSIM_10の代わりにSIM(Subscriber Identity Module)を利用してもよい。eSIMおよびSIMは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。
図2は、本発明の第1実施形態に係る自動車100の概略構成図である。図2において、自動車100は、管理ゲートウェイ1と制御用車載ネットワーク110と駆動系ECU群120と車体系ECU群121と安全制御系ECU群122と診断ポート130とを備える。管理ゲートウェイ1は、制御用車載ネットワーク110に接続される。本実施形態では、制御用車載ネットワーク110はCAN(Controller Area Network)である。制御用車載ネットワーク110には、駆動系ECU群120と車体系ECU群121と安全制御系ECU群122とが接続される。管理ゲートウェイ1は、制御用車載ネットワーク110を介して、駆動系ECU群120、車体系ECU群121及び安全制御系ECU群122との間でデータを交換する。
駆動系ECU群120、車体系ECU群121及び安全制御系ECU群122のそれぞれは、エンジン制御等の機能を実現するECUを含む。以下、駆動系ECU群120、車体系ECU群121及び安全制御系ECU群122に含まれる各ECUを特に区別しないときは、該各ECUのことを「車載ECU」と称する。車載ECUは車載コンピュータである。管理ゲートウェイ1は、制御用車載ネットワーク110を介して、各車載ECUとの間でデータを交換する。
診断ポート130は従来のOBDポートである。診断ポート130は診断端末140を接続する。診断ポート130は管理ゲートウェイ1に接続される。診断端末140と管理ゲートウェイ1とは、診断ポート130を介して、データを交換する。
管理ゲートウェイ1において、CANインタフェース31は、制御用車載ネットワーク110と接続し、制御用車載ネットワーク110を介して車載ECUとデータを交換する。実行部32は、車載ECUに対する処理を実行する。無線通信部33は無線通信によりデータを送受する。入出力インタフェース34は、診断ポート130と接続し、診断ポート130を介して診断端末140とデータを交換する。
図3は、本発明の第1実施形態に係るセンタ局200の構成を示すブロック図である。図3において、センタ局200は、認証鍵保持部210と署名鍵保持部220とECUコード署名処理部222と権限証明書署名処理部224と無線通信部230とeSIM_232とを備える。認証鍵保持部210は、認証鍵(Ks_1)と認証検証鍵(Kp_1)とを保持する。本実施形態では、認証鍵(Ks_1)は秘密鍵であり、認証検証鍵(Kp_1)は認証鍵(Ks_1)に対応する公開鍵である。署名鍵保持部220は、署名鍵(Ks_2)と署名検証鍵(Kp_2)とを保持する。本実施形態では、署名鍵(Ks_2)は秘密鍵であり、署名検証鍵(Kp_2)は署名鍵(Ks_2)に対応する公開鍵である。
ECUコード署名処理部222は、ECUコードに対して、署名鍵保持部220に保持される署名鍵(Ks_2)を使用して電子署名を行う。ECUコードは、車載ECUに使用されるデータである。ECUコードとして、例えば、車載ECUのコンピュータプログラムに関する更新プログラム又は設定変更データなどが挙げられる。
権限証明書署名処理部224は、権限証明書に対して、署名鍵保持部220に保持される署名鍵(Ks_2)を使用して電子署名を行う。権限証明書は、車載ECUに対する処理の実行の権限を示す。権限証明書は、処理の実行先の車載ECU又は車載ECU群を特定するECU識別子(ECU ID)と、処理内容を特定する権限情報とを含む。処理内容として、例えば、車載ECUからのデータの読み出し(リード:R)と、車載ECUへのデータの書き込み(ライト:W)とがある。以下、電子署名のことを単に「署名」と称する。
無線通信部230は無線通信によりデータを送受する。eSIM_232は、無線通信部230によって使用される。
図4は、本発明の第1実施形態に係る無線通信システムの概略構成図である。図4において、無線通信ネットワーク300は、通信事業者によって運用される。無線通信ネットワーク300を利用するためには、無線通信ネットワーク300の契約者情報が書き込まれたeSIM又はSIMが必要である。管理ゲートウェイ1のeSIM_10は、無線通信ネットワーク300の契約者情報が書き込まれたeSIMである。よって、管理ゲートウェイ1の無線通信部33は、eSIM_10を使用することにより無線通信ネットワーク300を利用できる。センタ局200のeSIM_232は、無線通信ネットワーク300の契約者情報が書き込まれたeSIMである。よって、センタ局200の無線通信部230は、eSIM_232を使用することにより無線通信ネットワーク300を利用できる。診断端末140は、無線通信部1410とeSIM_1420とを備える。診断端末140のeSIM_1420は、無線通信ネットワーク300の契約者情報が書き込まれたeSIMである。よって、診断端末140の無線通信部1410は、eSIM_1420を使用することにより無線通信ネットワーク300を利用できる。無線通信部1410は無線通信によりデータを送受する。
管理ゲートウェイ1、センタ局200及び診断端末140において、各無線通信部33,230,1410は、各eSIM_10,232,1420を使用することにより、無線通信ネットワーク300に接続し通信する。センタ局200の無線通信部230は、無線通信ネットワーク300を介して、管理ゲートウェイ1の無線通信部33と通信する。センタ局200の無線通信部230は、無線通信ネットワーク300を介して、診断端末140の無線通信部1410と通信する。
次に図5を参照して第1実施形態に係る管理ゲートウェイ1の動作を説明する。図5は、本発明の第1実施形態に係る管理方法の手順を示すフローチャートである。
(ステップS1)センタ局200の無線通信部230は、無線通信ネットワーク300を介して、管理ゲートウェイ1の無線通信部33と通信する。センタ局200と管理ゲートウェイ1は、各eSIM_232,10を使用することにより、認証を行い、センタ局200から管理ゲートウェイ1へ認証検証鍵(Kp_1)及び署名検証鍵(Kp_2)を暗号化して配布する。各eSIM_232,10は、予め、同じ共通鍵を保持する。センタ局200と管理ゲートウェイ1との間の認証は、各eSIM_232,10に保持される共通鍵を使用して実行される。認証検証鍵(Kp_1)及び署名検証鍵(Kp_2)の暗号化は、eSIM_232に保持される共通鍵を使用して実行される。管理ゲートウェイ1のeSIM_10の復号部11は、センタ局200から受信した暗号化認証検証鍵(Kp_1)及び暗号化署名検証鍵(Kp_2)を復号する。暗号化認証検証鍵(Kp_1)及び暗号化署名検証鍵(Kp_2)の復号化は、eSIM_10に保持される共通鍵を使用して実行される。この復号により得られた認証検証鍵(Kp_1)及び署名検証鍵(Kp_2)は、eSIM_10の鍵保持部12に保持される。
センタ局200の無線通信部230は、無線通信ネットワーク300を介して、診断端末140の無線通信部1410と通信する。センタ局200と診断端末140は、各eSIM_232,1420を使用することにより、認証を行い、センタ局200から診断端末140へ認証鍵(Ks_1)を暗号化して配布する。各eSIM_232,1420は、予め、同じ共通鍵を保持する。センタ局200と診断端末140との間の認証は、各eSIM_232,1420に保持される共通鍵を使用して実行される。認証鍵(Ks_1)の暗号化は、eSIM_232に保持される共通鍵を使用して実行される。診断端末140のeSIM_1420は、センタ局200から受信した暗号化認証鍵(Ks_1)を復号する。暗号化認証鍵(Ks_1)の復号化は、eSIM_1420に保持される共通鍵を使用して実行される。この復号により得られた認証鍵(Ks_1)は、eSIM_1420のセキュア領域に保持される。
(ステップS2)管理ゲートウェイ1のeSIM_10の端末認証部14は、鍵保持部12に保持される認証検証鍵(Kp_1)を使用して、自動車100の診断ポート130に接続された診断端末140の認証を行う。この認証の方法として、本実施形態ではチャレンジ・レスポンス認証方法を使用する。このチャレンジ・レスポンス認証方法を説明する。まず、端末認証部14は、チャレンジ値を生成し、このチャレンジ値を入出力インタフェース34から出力させる。入出力インタフェース34から出力されたチャレンジ値は、診断ポート130を介して診断端末140に入力される。診断端末140のeSIM_1420は、入力されたチャレンジ値を、自己のセキュア領域に保持される認証鍵(Ks_1)を使用して暗号化する。この暗号化チャレンジ値はレスポンス値である。このレスポンス値は、診断端末140から診断ポート130へ出力され、診断ポート130を介して管理ゲートウェイ1に入力される。管理ゲートウェイ1の入出力インタフェース34は、入力されたレスポンス値をeSIM_10へ出力する。端末認証部14は、入力されたレスポンス値を、鍵保持部12に保持される認証検証鍵(Kp_1)で復号する。端末認証部14は、レスポンス値の復号により得られた復号結果値がチャレンジ値と一致するかを判断する。この判断の結果、一致である場合には診断端末140の認証が成功であり、不一致である場合には診断端末140の認証が失敗である。
(ステップS3)センタ局200は、権限証明書250を診断端末140へ送信する。権限証明書250は、権限証明書署名処理部224によって署名252が行われている(図2参照)。診断端末140は、権限証明書250を診断ポート130へ出力する。この出力された権限証明書250は診断ポート130を介して管理ゲートウェイ1へ入力される。管理ゲートウェイ1の入出力インタフェース34は、入力された権限証明書250をeSIM_10へ出力する。eSIM_10の署名検証部13は、入力された権限証明書250の署名252を、鍵保持部12に保持される署名検証鍵(Kp_2)を使用して検証する。
(ステップS4)センタ局200は、ECUコード240を診断端末140へ送信する。ECUコード240は、ECUコード署名処理部222によって署名242が行われている(図2参照)。診断端末140は、ECUコード240を診断ポート130へ出力する。この出力されたECUコード240は診断ポート130を介して管理ゲートウェイ1へ入力される。管理ゲートウェイ1の入出力インタフェース34は、入力されたECUコード240をeSIM_10へ出力する。eSIM_10の署名検証部13は、入力されたECUコード240の署名242を、鍵保持部12に保持される署名検証鍵(Kp_2)を使用して検証する。
(ステップS5)管理ゲートウェイ1の実行部32は、車載ECUに対する処理を実行する。以下に、実行部32による車載ECUに対する処理の実行例について説明する。
<処理の実行例1:ECUコードの適用>
管理ゲートウェイ1の実行部32は、ECUコード240の署名242の検証が成功である場合には、当該ECUコード240を車載ECUに使用する。一方、管理ゲートウェイ1の実行部32は、ECUコード240の署名242の検証が失敗である場合には、当該ECUコード240を使用しない。以下にECUコードの使用例を挙げる。
(ECUコードの使用例1)
実行部32は、署名242の検証が成功であるECUコード240が更新プログラムである場合に、該更新プログラムを車載ECUにインストールする。
(ECUコードの使用例2)
実行部32は、署名242の検証が成功であるECUコード240が設定変更データである場合に、該設定変更データで車載ECUの該当データを書き換える。
管理ゲートウェイ1の実行部32は、ECUコード240の署名242の検証が成功である場合には、当該ECUコード240を車載ECUに使用する。一方、管理ゲートウェイ1の実行部32は、ECUコード240の署名242の検証が失敗である場合には、当該ECUコード240を使用しない。以下にECUコードの使用例を挙げる。
(ECUコードの使用例1)
実行部32は、署名242の検証が成功であるECUコード240が更新プログラムである場合に、該更新プログラムを車載ECUにインストールする。
(ECUコードの使用例2)
実行部32は、署名242の検証が成功であるECUコード240が設定変更データである場合に、該設定変更データで車載ECUの該当データを書き換える。
<処理の実行例2:権限証明書の適用>
管理ゲートウェイ1の実行部32は、権限証明書250の署名252の検証が成功である場合には、当該権限証明書250で示される権限を車載ECUに実行する。一方、管理ゲートウェイ1の実行部32は、権限証明書250の署名252の検証が失敗である場合には、当該権限証明書250で示される権限を実行しない。
(権限の実行例1)
実行部32は、署名252の検証が成功である権限証明書250で示される権限が「ECU ID:3、ライト」である場合に、「ECU ID」が3である車載ECUに対して、データの書き込みを実行する。署名252の検証が成功である権限証明書250において権限「ECU ID:3、ライト」だけが示される場合には、実行部32は、「ECU ID」が3である車載ECUに対するデータの書き込みだけを実行する。この場合、例えば、上述したECUコードの使用例1においては、「ECU ID」が3である車載ECUだけに、更新プログラムをインストールする。ECUコードの使用例2においては、「ECU ID」が3である車載ECUだけに、設定変更データで該当データを書き換える。
(権限の実行例2)
実行部32は、署名252の検証が成功である権限証明書250で示される権限が「ECU ID:全て、リード」である場合に、全ての「ECU ID」の車載ECUに対して、データの読み出しを実行する。
管理ゲートウェイ1の実行部32は、権限証明書250の署名252の検証が成功である場合には、当該権限証明書250で示される権限を車載ECUに実行する。一方、管理ゲートウェイ1の実行部32は、権限証明書250の署名252の検証が失敗である場合には、当該権限証明書250で示される権限を実行しない。
(権限の実行例1)
実行部32は、署名252の検証が成功である権限証明書250で示される権限が「ECU ID:3、ライト」である場合に、「ECU ID」が3である車載ECUに対して、データの書き込みを実行する。署名252の検証が成功である権限証明書250において権限「ECU ID:3、ライト」だけが示される場合には、実行部32は、「ECU ID」が3である車載ECUに対するデータの書き込みだけを実行する。この場合、例えば、上述したECUコードの使用例1においては、「ECU ID」が3である車載ECUだけに、更新プログラムをインストールする。ECUコードの使用例2においては、「ECU ID」が3である車載ECUだけに、設定変更データで該当データを書き換える。
(権限の実行例2)
実行部32は、署名252の検証が成功である権限証明書250で示される権限が「ECU ID:全て、リード」である場合に、全ての「ECU ID」の車載ECUに対して、データの読み出しを実行する。
<処理の実行例3:診断端末の適用>
管理ゲートウェイ1の実行部32は、診断端末140の認証が成功である場合には、当該診断端末140からの要求を実行する。一方、管理ゲートウェイ1の実行部32は、診断端末140の認証が失敗である場合には、当該診断端末140からの要求を実行しない。
(診断端末の要求の実行例)
実行部32は、認証が成功である診断端末140からの要求が車載ECUからのデータの読み出しである場合に、車載ECUからデータを読み出して該診断端末140へ出力する。実行部32は、認証が成功である診断端末140からの要求が車載ECUへのデータの書き込みである場合に、該診断端末140から入力されたデータを車載ECUへ書き込む。
管理ゲートウェイ1の実行部32は、診断端末140の認証が成功である場合には、当該診断端末140からの要求を実行する。一方、管理ゲートウェイ1の実行部32は、診断端末140の認証が失敗である場合には、当該診断端末140からの要求を実行しない。
(診断端末の要求の実行例)
実行部32は、認証が成功である診断端末140からの要求が車載ECUからのデータの読み出しである場合に、車載ECUからデータを読み出して該診断端末140へ出力する。実行部32は、認証が成功である診断端末140からの要求が車載ECUへのデータの書き込みである場合に、該診断端末140から入力されたデータを車載ECUへ書き込む。
上述した処理の実行例1,2,3は組み合わせてもよい。例えば、実行部32は、認証が成功である診断端末140から入力されたECUコード240及び権限証明書250だけを使用する。したがって、実行部32は、認証が失敗である診断端末140から入力されたECUコード240及び権限証明書250を使用しない。例えば、実行部32は、署名252の検証が成功である権限証明書250で示される権限の範囲内だけで、ECUコード240を使用する。したがって、実行部32は、署名252の検証が成功である権限証明書250で示される権限の範囲外では、ECUコード240を使用しない。例えば、実行部32は、署名252の検証が成功である権限証明書250で示される権限の範囲内だけで、認証が成功である診断端末140からの要求を実行する。したがって、実行部32は、署名252の検証が成功である権限証明書250で示される権限の範囲外では、認証が成功である診断端末140からの要求を実行しない。
上述した第1実施形態によれば、車載ECUに使用されるデータの適用についての信頼性を向上させることができるという効果が得られる。署名242の検証が成功であるECUコード240だけが車載ECUに使用されることにより、車載ECUに適用されるECUコード240の信頼性が向上する。さらに、署名252の検証が成功である権限証明書250で示される権限の範囲内だけで、署名242の検証が成功であるECUコード240が使用されることにより、車載ECUに対する処理実行の信頼性が向上する。さらに、認証が成功である診断端末140からの要求だけを行うことにより、車載ECUに対する処理実行の行為者の信頼性が向上する。例えば、管理ゲートウェイ1が、認証が成功である診断端末140の端末識別情報を記録することにより、車載ECUに対する処理実行に使用された診断端末140を特定することができる。この診断端末140の特定によって、車載ECUに対する処理実行の行為者を特定することができるようになる。
[第1実施形態の変形例1]
図6は、本発明の第1実施形態の変形例1に係る自動車100の概略構成図である。この図6において、図2の各部に対応する部分には同一の符号を付け、その説明を省略する。第1実施形態の変形例1では、診断端末140の代わりに端末142を利用する。
図6は、本発明の第1実施形態の変形例1に係る自動車100の概略構成図である。この図6において、図2の各部に対応する部分には同一の符号を付け、その説明を省略する。第1実施形態の変形例1では、診断端末140の代わりに端末142を利用する。
端末142は、図4に示される無線通信ネットワーク300の契約者情報が書き込まれたeSIMを備える無線通信端末である。端末142は、例えば、スマートフォンやタブレット型のコンピュータ(タブレットPC)等の携帯通信端末である。端末142は、自己のeSIMを使用することにより無線通信ネットワーク300を利用できる。なお、端末142は、eSIMの代わりに、無線通信ネットワーク300の契約者情報が書き込まれたSIM、を備える無線通信端末であってもよい。
端末142は、自動車100の管理ゲートウェイ1に接続される。管理ゲートウェイ1の入出力インタフェース34は、端末142と接続して該端末142とデータを交換する。なお、図6の例では、管理ゲートウェイ1の入出力インタフェース34は、自動車100に備わるインフォテイメント(Infotainment)機器150にも接続して該インフォテイメント機器150とデータを交換する。端末142は、インフォテイメント機器150に接続して該インフォテイメント機器150とデータを交換する。端末142は、無線通信ネットワーク300を介して取得した情報をインフォテイメント機器150に出力する。管理ゲートウェイ1は、インフォテイメント機器150から入力された情報を車載ECUへ出力する。
端末142は、上述した第1実施形態の診断端末140と同様の機能を有する。これは、診断端末140の機能を実現するコンピュータプログラムを端末142にインストールし、該コンピュータプログラムが端末142で実行されることによって実現される。これにより、第1実施形態の変形例1においても、上述した図5の管理方法と同様の手順が行われる。第1実施形態の変形例1では、図5の管理方法において、上述した第1実施形態で診断端末140が行う処理を端末142が行う。管理ゲートウェイ1は、診断端末140の代わりに、端末142との間で認証を行う。管理ゲートウェイ1は、診断端末140の代わりに、端末142からECUコード240及び権限証明書250を入力する。
第1実施形態の変形例1によれば、メンテナンス専用の診断端末140を使用しなくてもよい。これにより、自動車100の所有者は自己の端末142を使用して車載ECUの保守を行うことができる。
[第1実施形態の変形例2]
図7は、本発明の第1実施形態の変形例2に係る自動車100の概略構成図である。この図7において、図2及び図6の各部に対応する部分には同一の符号を付け、その説明を省略する。第1実施形態の変形例2では、診断端末140又は端末142のどちらでも利用可能な構成である。第1実施形態の変形例2においても、上述した図5の管理方法と同様の手順が行われる。管理ゲートウェイ1は、診断端末140又は端末142のいずれかとの間で認証を行う。管理ゲートウェイ1は、その認証相手の診断端末140又は端末142のいずれかから、ECUコード240及び権限証明書250を入力する。
図7は、本発明の第1実施形態の変形例2に係る自動車100の概略構成図である。この図7において、図2及び図6の各部に対応する部分には同一の符号を付け、その説明を省略する。第1実施形態の変形例2では、診断端末140又は端末142のどちらでも利用可能な構成である。第1実施形態の変形例2においても、上述した図5の管理方法と同様の手順が行われる。管理ゲートウェイ1は、診断端末140又は端末142のいずれかとの間で認証を行う。管理ゲートウェイ1は、その認証相手の診断端末140又は端末142のいずれかから、ECUコード240及び権限証明書250を入力する。
第1実施形態の変形例2によれば、自動車整備工場でメンテナンス専用の診断端末140を使用して車載ECUの保守を行うこともできるし、自動車100の所有者が自己の端末142を使用して車載ECUの保守を行うこともできる。
[第2実施形態]
図8は、本発明の第2実施形態に係る自動車100の概略構成図である。この図8において、図2の各部に対応する部分には同一の符号を付け、その説明を省略する。第2実施形態では、診断端末140及び端末142を使用しない。第2実施形態において、管理ゲートウェイ1は、無線通信ネットワーク300を介して、センタ局200から直接にECUコード240及び権限証明書250を受信する。このため、第2実施形態では、管理ゲートウェイ1は、端末認証部14が不要である。
図8は、本発明の第2実施形態に係る自動車100の概略構成図である。この図8において、図2の各部に対応する部分には同一の符号を付け、その説明を省略する。第2実施形態では、診断端末140及び端末142を使用しない。第2実施形態において、管理ゲートウェイ1は、無線通信ネットワーク300を介して、センタ局200から直接にECUコード240及び権限証明書250を受信する。このため、第2実施形態では、管理ゲートウェイ1は、端末認証部14が不要である。
第2実施形態においても、上述した図5の管理方法と同様の手順が行われる。但し、第2実施形態では、図5の管理方法において、管理ゲートウェイ1がセンタ局200から直接にECUコード240及び権限証明書250を受信する。したがって、センタ局200は、管理ゲートウェイ1へ、ECUコード240及び権限証明書250を送信する。管理ゲートウェイ1は、センタ局200から受信したECUコード240及び権限証明書250の各署名242,252を検証する。
第2実施形態の変形例2によれば、センタ局200から直接に管理ゲートウェイ1へECUコード240及び権限証明書250が送られるので、自動的に車載ECUの保守を行うこともできる。
[第3実施形態]
図9は、本発明の第3実施形態に係る管理ゲートウェイ1の構成を示すブロック図である。図10は、本発明の第3実施形態に係る自動車100の概略構成図である。この図9,図10において、図1,図2の各部に対応する部分には同一の符号を付け、その説明を省略する。第3実施形態では、診断ポート500が管理装置である。図9において、診断ポート500は、図1に示される管理ゲートウェイ1と同じeSIM_10、CANインタフェース31、実行部32、無線通信部33及び入出力インタフェース34を備える。診断ポート500のeSIM_10は、管理ゲートウェイ1のeSIM_10と同じ復号部11、鍵保持部12、署名検証部13及び端末認証部14を備える。
図9は、本発明の第3実施形態に係る管理ゲートウェイ1の構成を示すブロック図である。図10は、本発明の第3実施形態に係る自動車100の概略構成図である。この図9,図10において、図1,図2の各部に対応する部分には同一の符号を付け、その説明を省略する。第3実施形態では、診断ポート500が管理装置である。図9において、診断ポート500は、図1に示される管理ゲートウェイ1と同じeSIM_10、CANインタフェース31、実行部32、無線通信部33及び入出力インタフェース34を備える。診断ポート500のeSIM_10は、管理ゲートウェイ1のeSIM_10と同じ復号部11、鍵保持部12、署名検証部13及び端末認証部14を備える。
図10において、診断ポート500は、CANインタフェース31により、制御用車載ネットワーク110を介して車載ECUとデータを交換する。診断ポート500の入出力インタフェース34は診断端末140を接続する。診断ポート500と診断端末140とは接続したり、接続を外したりできる。例えば、診断ポート500と診断端末140との間は、通信ケーブルで接続してもよく、又は、近距離無線通信により接続してもよい。診断ポート500は、入出力インタフェース34により、診断端末140とデータを交換する。
第3実施形態においても、上述した図5の管理方法と同様の手順が行われる。第3実施形態では、図5の管理方法において、上述した第1実施形態で管理ゲートウェイ1が行う処理を診断ポート500が行う。診断ポート500は、診断端末140との間で認証を行う。診断ポート500は、診断端末140からECUコード240及び権限証明書250を入力し、入力したECUコード240及び権限証明書250の各署名242,252を検証する。診断ポート500は、車載ECUに対する処理を実行する。
第3実施形態によれば、診断ポート500に管理装置の機能を備えることにより、構成の簡素化を図ることができる。従来の自動車100に備わる診断ポートに管理装置の機能を備えるので、別途、管理ゲートウェイ1を自動車100に設ける必要がない。
なお、第3実施形態では、インフォテイメント機器150については制御用車載ネットワーク110に接続しない。これは、セキュリティの観点から、管理ゲートウェイ1を介さずにインフォテイメント機器150を制御用車載ネットワーク110に接続することを避けるためである。
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
例えば、セキュアエレメントとして、eSIM又はSIMのいずれを使用してもよい。eSIMは、通常、電子基板にハンダ付け(ハードウェア・バインド(H/Wバインド))される。SIMは、通常、電子基板にプログラム的に紐付けられる(ソフトウェア・バインド(S/Wバインド))される。
上述した実施形態では、公開鍵と秘密鍵を使用する認証方法を使用したが、共通鍵を使用する認証方法を使用してもよい。共通鍵を使用する場合には、セキュアエレメント内のセキュア領域のみで鍵が保持されることがセキュリティの観点で好ましい。
管理ゲートウェイ1、診断端末140、診断ポート500及び車載ECUにおいて、セキュアブート(Secure Boot)を行うことも好ましい。セキュアブートによれば、コンピュータの起動時に当該コンピュータのオペレーティングシステム(Operating System:OS)の正当性を検証することができる。セキュアブートについては、例えば非特許文献3,4,5,6に記載されている。
上述した実施形態では、車両として自動車を例に挙げたが、原動機付自転車や鉄道車両等の自動車以外の他の車両にも適用可能である。
また、上述した管理ゲートウェイ1又は診断ポート500の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
1…管理ゲートウェイ(管理装置)、10,232,1420…eSIM(セキュアエレメント)、31…CANインタフェース、32…実行部、33,230,1410…無線通信部、34…入出力インタフェース、11…復号部、12…鍵保持部、13…署名検証部、14…端末認証部、100…自動車、110…制御用車載ネットワーク、120…駆動系ECU群、121…車体系ECU群、122…安全制御系ECU群、130…診断ポート、140…診断端末、200…センタ局、210…認証鍵保持部、220…署名鍵保持部、222…ECUコード署名処理部、224…権限証明書署名処理部、240…ECUコード、242,252…電子署名、250…権限証明書
Claims (11)
- 車載コンピュータに使用されるデータの電子署名を検証するセキュアエレメントと、
前記電子署名の検証が成功である場合に前記データを前記車載コンピュータに使用し、前記電子署名の検証が失敗である場合には前記データを使用しない実行部と、
を備えた管理装置。 - 前記セキュアエレメントは、権限証明書の電子署名を検証し、
前記実行部は、前記権限証明書の検証が成功である場合に前記権限証明書で示される権限を前記車載コンピュータに実行し、前記権限証明書の検証が失敗である場合には前記権限証明書で示される権限を実行しない、
請求項1に記載の管理装置。 - 前記セキュアエレメントは、前記車載コンピュータを有する車両に接続された端末の認証を行い、
前記実行部は、前記端末の認証が成功である場合に前記端末からの要求を実行し、前記端末の認証が失敗である場合には前記端末からの要求を実行しない、
請求項1又は2のいずれか1項に記載の管理装置。 - 前記セキュアエレメントは、
暗号化認証検証鍵を復号する復号部と、
該復号により得られた認証検証鍵を使用して前記端末の認証を行う端末認証部と、
を備える請求項3に記載の管理装置。 - 前記セキュアエレメントは、
暗号化署名検証鍵を復号する復号部と、
該復号により得られた署名検証鍵を使用して前記電子署名の検証を行う署名検証部と、
を備える請求項1から4のいずれか1項に記載の管理装置。 - 前記セキュアエレメントは、eSIM(Embedded Subscriber Identity Module)又はSIM(Subscriber Identity Module)である請求項1から5のいずれか1項に記載の管理装置。
- 前記eSIM又は前記SIMを使用して無線通信を行う無線通信部を備えた請求項6の管理装置。
- 請求項1から7のいずれか1項に記載の管理装置と、
前記管理装置からアクセスされる車載コンピュータと、
を備えた車両。 - 車両に備わる管理装置のセキュアエレメントが、前記車両の車載コンピュータに使用されるデータの電子署名を検証する署名検証ステップと、
前記管理装置の実行部が、前記電子署名の検証が成功である場合に前記データを前記車載コンピュータに使用し、前記電子署名の検証が失敗である場合には前記データを使用しない実行ステップと、
を含む管理方法。 - 車両に備わる管理装置のセキュアエレメントのコンピュータに、
前記車両の車載コンピュータに使用されるデータの電子署名を検証する署名検証機能を実現させるためのコンピュータプログラム。 - 車両に備わる管理装置のコンピュータに、
前記管理装置のセキュアエレメントによって行われる「前記車両の車載コンピュータに使用されるデータの電子署名の検証」が成功である場合に前記データを前記車載コンピュータに使用し、前記電子署名の検証が失敗である場合には前記データを使用しない実行機能を実現させるためのコンピュータプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014197075A JP6228093B2 (ja) | 2014-09-26 | 2014-09-26 | システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014197075A JP6228093B2 (ja) | 2014-09-26 | 2014-09-26 | システム |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017198560A Division JP6860464B2 (ja) | 2017-10-12 | 2017-10-12 | システム及び管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016072675A true JP2016072675A (ja) | 2016-05-09 |
| JP6228093B2 JP6228093B2 (ja) | 2017-11-08 |
Family
ID=55865015
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014197075A Active JP6228093B2 (ja) | 2014-09-26 | 2014-09-26 | システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6228093B2 (ja) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6140874B1 (ja) * | 2016-10-03 | 2017-05-31 | Kddi株式会社 | 制御装置、制御方法、及びコンピュータプログラム |
| WO2017115751A1 (ja) * | 2015-12-28 | 2017-07-06 | Kddi株式会社 | 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム |
| JP2018006782A (ja) * | 2016-06-06 | 2018-01-11 | Kddi株式会社 | データ提供システム、データ提供装置、車載コンピュータ、データ提供方法、及びコンピュータプログラム |
| JP6260068B1 (ja) * | 2016-09-30 | 2018-01-17 | Kddi株式会社 | 保守装置、保守方法、及びコンピュータプログラム |
| JP2018026669A (ja) * | 2016-08-09 | 2018-02-15 | Kddi株式会社 | 管理システム、鍵生成装置、車載コンピュータ、管理方法、及びコンピュータプログラム |
| WO2018029893A1 (ja) * | 2016-08-10 | 2018-02-15 | Kddi株式会社 | データ提供システム、データ保安装置、データ提供方法、及びコンピュータプログラム |
| JP2018026151A (ja) * | 2017-09-28 | 2018-02-15 | Kddi株式会社 | データ提供システム及びデータ提供方法 |
| JP6288219B1 (ja) * | 2016-11-18 | 2018-03-07 | Kddi株式会社 | 通信システム |
| JP2018050334A (ja) * | 2017-11-22 | 2018-03-29 | Kddi株式会社 | データ提供システム、データ提供装置、車載コンピュータ、データ提供方法、及びコンピュータプログラム |
| JP2018060509A (ja) * | 2017-04-28 | 2018-04-12 | Kddi株式会社 | 制御装置、制御方法、及びコンピュータプログラム |
| JP2018082439A (ja) * | 2017-12-05 | 2018-05-24 | Kddi株式会社 | 通信システム、車両、サーバ装置、通信方法、及びコンピュータプログラム |
| WO2019012888A1 (ja) * | 2017-07-12 | 2019-01-17 | 住友電気工業株式会社 | 車載装置、管理方法および管理プログラム |
| JP2019097034A (ja) * | 2017-11-22 | 2019-06-20 | 凸版印刷株式会社 | セキュアエレメント、端末装置、検証システム、検証方法、及びプログラム |
| JP2019161521A (ja) * | 2018-03-15 | 2019-09-19 | 大日本印刷株式会社 | 車両鍵配信システムおよび汎用スキャンツール |
| JP2020088417A (ja) * | 2018-11-15 | 2020-06-04 | Kddi株式会社 | 車両メンテナンスシステム、メンテナンスサーバ装置、認証装置、メンテナンスツール、コンピュータプログラム及び車両メンテナンス方法 |
| WO2020158247A1 (ja) * | 2019-01-28 | 2020-08-06 | オムロン株式会社 | セーフティシステムおよびメンテナンス方法 |
| WO2020184064A1 (ja) * | 2019-03-12 | 2020-09-17 | オムロン株式会社 | セーフティシステムおよびメンテナンス方法 |
| CN112654985A (zh) * | 2019-01-28 | 2021-04-13 | 欧姆龙株式会社 | 安全系统以及维护方法 |
| US11212109B2 (en) | 2016-08-10 | 2021-12-28 | Kddi Corporation | Data provision system, data security device, data provision method, and computer program |
| EP3902012A4 (en) * | 2020-02-29 | 2022-02-23 | Huawei Technologies Co., Ltd. | FAILURE DIAGNOSTIC METHOD AND APPARATUS, AND VEHICLE |
| JP7352899B2 (ja) | 2020-03-05 | 2023-09-29 | パナソニックIpマネジメント株式会社 | 制御システム、制御方法、プログラム |
| JP7366691B2 (ja) | 2018-11-01 | 2023-10-23 | インフィネオン テクノロジーズ アーゲー | システムオンチップ及びシステムオンチップを動作させるための方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020120856A1 (en) * | 2000-02-25 | 2002-08-29 | Ernst Schmidt | Signature process |
| JP2005244313A (ja) * | 2004-02-24 | 2005-09-08 | Denso Corp | プログラム配信システムおよび車載ゲートウェイ装置 |
| WO2005104431A1 (ja) * | 2004-04-21 | 2005-11-03 | Matsushita Electric Industrial Co., Ltd. | コンテンツ提供システム、情報処理装置及びメモリカード |
| US7127611B2 (en) * | 2002-06-28 | 2006-10-24 | Motorola, Inc. | Method and system for vehicle authentication of a component class |
| JP2006301960A (ja) * | 2005-04-20 | 2006-11-02 | Denso Corp | 自動車用制御ユニット |
| JP2009525677A (ja) * | 2006-02-03 | 2009-07-09 | ミッドアイ エービー | エンドユーザ認証システム、装置及び方法 |
| WO2009147734A1 (ja) * | 2008-06-04 | 2009-12-10 | 株式会社ルネサステクノロジ | 車両、メンテナンス装置、メンテナンスサービスシステム及びメンテナンスサービス方法 |
| JP2012224239A (ja) * | 2011-04-20 | 2012-11-15 | Toyota Motor Corp | 認証システム及び認証方法 |
| JP2014048800A (ja) * | 2012-08-30 | 2014-03-17 | Toyota Motor Corp | 認証システムおよび認証方法 |
-
2014
- 2014-09-26 JP JP2014197075A patent/JP6228093B2/ja active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020120856A1 (en) * | 2000-02-25 | 2002-08-29 | Ernst Schmidt | Signature process |
| US7127611B2 (en) * | 2002-06-28 | 2006-10-24 | Motorola, Inc. | Method and system for vehicle authentication of a component class |
| JP2005244313A (ja) * | 2004-02-24 | 2005-09-08 | Denso Corp | プログラム配信システムおよび車載ゲートウェイ装置 |
| WO2005104431A1 (ja) * | 2004-04-21 | 2005-11-03 | Matsushita Electric Industrial Co., Ltd. | コンテンツ提供システム、情報処理装置及びメモリカード |
| JP2006301960A (ja) * | 2005-04-20 | 2006-11-02 | Denso Corp | 自動車用制御ユニット |
| JP2009525677A (ja) * | 2006-02-03 | 2009-07-09 | ミッドアイ エービー | エンドユーザ認証システム、装置及び方法 |
| WO2009147734A1 (ja) * | 2008-06-04 | 2009-12-10 | 株式会社ルネサステクノロジ | 車両、メンテナンス装置、メンテナンスサービスシステム及びメンテナンスサービス方法 |
| JP2012224239A (ja) * | 2011-04-20 | 2012-11-15 | Toyota Motor Corp | 認証システム及び認証方法 |
| JP2014048800A (ja) * | 2012-08-30 | 2014-03-17 | Toyota Motor Corp | 認証システムおよび認証方法 |
Non-Patent Citations (1)
| Title |
|---|
| 竹森敬祐, "スマホ端末、制御システムの堅牢化", JPN6017011738, 24 July 2014 (2014-07-24), JP, pages 1 - 32, ISSN: 0003587799 * |
Cited By (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10931459B2 (en) | 2015-12-28 | 2021-02-23 | Kddi Corporation | Onboard computer system, vehicle, management method, and computer program |
| WO2017115751A1 (ja) * | 2015-12-28 | 2017-07-06 | Kddi株式会社 | 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム |
| JP2017120984A (ja) * | 2015-12-28 | 2017-07-06 | Kddi株式会社 | 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム |
| JP2018006782A (ja) * | 2016-06-06 | 2018-01-11 | Kddi株式会社 | データ提供システム、データ提供装置、車載コンピュータ、データ提供方法、及びコンピュータプログラム |
| JP2018026669A (ja) * | 2016-08-09 | 2018-02-15 | Kddi株式会社 | 管理システム、鍵生成装置、車載コンピュータ、管理方法、及びコンピュータプログラム |
| WO2018029891A1 (ja) * | 2016-08-09 | 2018-02-15 | Kddi株式会社 | 管理システム、鍵生成装置、車載コンピュータ、管理方法、及びコンピュータプログラム |
| US11212087B2 (en) | 2016-08-09 | 2021-12-28 | Kddi Corporation | Management system, key generation device, in-vehicle computer, management method, and computer program |
| WO2018029893A1 (ja) * | 2016-08-10 | 2018-02-15 | Kddi株式会社 | データ提供システム、データ保安装置、データ提供方法、及びコンピュータプログラム |
| US10970398B2 (en) | 2016-08-10 | 2021-04-06 | Kddi Corporation | Data provision system, data security device, data provision method, and computer program |
| US11212109B2 (en) | 2016-08-10 | 2021-12-28 | Kddi Corporation | Data provision system, data security device, data provision method, and computer program |
| JP6260068B1 (ja) * | 2016-09-30 | 2018-01-17 | Kddi株式会社 | 保守装置、保守方法、及びコンピュータプログラム |
| JP2018055566A (ja) * | 2016-09-30 | 2018-04-05 | Kddi株式会社 | 保守装置、保守方法、及びコンピュータプログラム |
| JP2018060295A (ja) * | 2016-10-03 | 2018-04-12 | Kddi株式会社 | 制御装置、制御方法、及びコンピュータプログラム |
| JP6140874B1 (ja) * | 2016-10-03 | 2017-05-31 | Kddi株式会社 | 制御装置、制御方法、及びコンピュータプログラム |
| WO2018092356A1 (ja) * | 2016-11-18 | 2018-05-24 | Kddi株式会社 | 通信システム、車両、サーバ装置、通信方法、及びコンピュータプログラム |
| JP2018082373A (ja) * | 2016-11-18 | 2018-05-24 | Kddi株式会社 | 通信システム |
| JP6288219B1 (ja) * | 2016-11-18 | 2018-03-07 | Kddi株式会社 | 通信システム |
| US11212080B2 (en) | 2016-11-18 | 2021-12-28 | Kddi Corporation | Communication system, vehicle, server device, communication method, and computer program |
| JP2018060509A (ja) * | 2017-04-28 | 2018-04-12 | Kddi株式会社 | 制御装置、制御方法、及びコンピュータプログラム |
| US11938897B2 (en) | 2017-07-12 | 2024-03-26 | Sumitomo Electric Industries, Ltd. | On-vehicle device, management method, and management program |
| WO2019012888A1 (ja) * | 2017-07-12 | 2019-01-17 | 住友電気工業株式会社 | 車載装置、管理方法および管理プログラム |
| JP2019021973A (ja) * | 2017-07-12 | 2019-02-07 | 住友電気工業株式会社 | 車載装置、管理方法および管理プログラム |
| CN110892683A (zh) * | 2017-07-12 | 2020-03-17 | 住友电气工业株式会社 | 车载装置、管理方法和管理程序 |
| JP2018026151A (ja) * | 2017-09-28 | 2018-02-15 | Kddi株式会社 | データ提供システム及びデータ提供方法 |
| JP2018050334A (ja) * | 2017-11-22 | 2018-03-29 | Kddi株式会社 | データ提供システム、データ提供装置、車載コンピュータ、データ提供方法、及びコンピュータプログラム |
| JP2019097034A (ja) * | 2017-11-22 | 2019-06-20 | 凸版印刷株式会社 | セキュアエレメント、端末装置、検証システム、検証方法、及びプログラム |
| JP6992440B2 (ja) | 2017-11-22 | 2022-01-13 | 凸版印刷株式会社 | セキュアエレメント、端末装置、検証システム、検証方法、及びプログラム |
| JP2018082439A (ja) * | 2017-12-05 | 2018-05-24 | Kddi株式会社 | 通信システム、車両、サーバ装置、通信方法、及びコンピュータプログラム |
| JP2019161521A (ja) * | 2018-03-15 | 2019-09-19 | 大日本印刷株式会社 | 車両鍵配信システムおよび汎用スキャンツール |
| JP7366691B2 (ja) | 2018-11-01 | 2023-10-23 | インフィネオン テクノロジーズ アーゲー | システムオンチップ及びシステムオンチップを動作させるための方法 |
| JP2020088417A (ja) * | 2018-11-15 | 2020-06-04 | Kddi株式会社 | 車両メンテナンスシステム、メンテナンスサーバ装置、認証装置、メンテナンスツール、コンピュータプログラム及び車両メンテナンス方法 |
| JP7334492B2 (ja) | 2019-01-28 | 2023-08-29 | オムロン株式会社 | セーフティシステムおよびメンテナンス方法 |
| CN112654985B (zh) * | 2019-01-28 | 2024-04-09 | 欧姆龙株式会社 | 安全系统以及维护方法 |
| WO2020158247A1 (ja) * | 2019-01-28 | 2020-08-06 | オムロン株式会社 | セーフティシステムおよびメンテナンス方法 |
| CN112654985A (zh) * | 2019-01-28 | 2021-04-13 | 欧姆龙株式会社 | 安全系统以及维护方法 |
| CN113498494A (zh) * | 2019-03-12 | 2021-10-12 | 欧姆龙株式会社 | 安全系统和维护方法 |
| JP7127585B2 (ja) | 2019-03-12 | 2022-08-30 | オムロン株式会社 | セーフティシステムおよびメンテナンス方法 |
| JP2020149244A (ja) * | 2019-03-12 | 2020-09-17 | オムロン株式会社 | セーフティシステムおよびメンテナンス方法 |
| WO2020184064A1 (ja) * | 2019-03-12 | 2020-09-17 | オムロン株式会社 | セーフティシステムおよびメンテナンス方法 |
| EP3902012A4 (en) * | 2020-02-29 | 2022-02-23 | Huawei Technologies Co., Ltd. | FAILURE DIAGNOSTIC METHOD AND APPARATUS, AND VEHICLE |
| JP7352899B2 (ja) | 2020-03-05 | 2023-09-29 | パナソニックIpマネジメント株式会社 | 制御システム、制御方法、プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6228093B2 (ja) | 2017-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6228093B2 (ja) | システム | |
| JP6262681B2 (ja) | 管理装置、車両、管理方法、及びコンピュータプログラム | |
| JP6197000B2 (ja) | システム、車両及びソフトウェア配布処理方法 | |
| CN107113167B (zh) | 管理装置、密钥生成装置、车辆、维护工具、管理系统、管理方法以及计算机程序 | |
| US20200177398A1 (en) | System, certification authority, vehicle-mounted computer, vehicle, public key certificate issuance method, and program | |
| US11228569B2 (en) | Secure tunneling for connected application security | |
| JP6188672B2 (ja) | 鍵管理システム | |
| JP6731887B2 (ja) | 保守システム及び保守方法 | |
| WO2017022821A1 (ja) | 管理装置、管理システム、鍵生成装置、鍵生成システム、鍵管理システム、車両、管理方法、鍵生成方法、及びコンピュータプログラム | |
| JP6178390B2 (ja) | 管理装置、管理システム、車両、管理方法、及びコンピュータプログラム | |
| JP6238939B2 (ja) | 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム | |
| JP6192673B2 (ja) | 鍵管理システム、鍵管理方法およびコンピュータプログラム | |
| JP6440334B2 (ja) | システム、車両及びソフトウェア配布処理方法 | |
| CN112513844A (zh) | 用于处理和认证数字密钥的安全元件及其操作方法 | |
| JP6860464B2 (ja) | システム及び管理方法 | |
| JP2018019415A (ja) | システム、認証局、車載コンピュータ、公開鍵証明書発行方法、及びプログラム | |
| JP6476462B2 (ja) | 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム | |
| JP6188744B2 (ja) | 管理システム、車両及び管理方法 | |
| JP6519060B2 (ja) | 管理装置、車両、管理方法、及びコンピュータプログラム | |
| JP6132955B1 (ja) | 検証システム、検証装置、検証方法、及びコンピュータプログラム | |
| JP2020086540A (ja) | メンテナンスサーバ装置、車両メンテナンスシステム、コンピュータプログラム及び車両メンテナンス方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20140929 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170127 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170130 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170404 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170522 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170523 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170704 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170830 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170831 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170912 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171012 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6228093 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |