JP2016203719A - メモリ管理装置、認証センタ、および認証システム - Google Patents
メモリ管理装置、認証センタ、および認証システム Download PDFInfo
- Publication number
- JP2016203719A JP2016203719A JP2015085149A JP2015085149A JP2016203719A JP 2016203719 A JP2016203719 A JP 2016203719A JP 2015085149 A JP2015085149 A JP 2015085149A JP 2015085149 A JP2015085149 A JP 2015085149A JP 2016203719 A JP2016203719 A JP 2016203719A
- Authority
- JP
- Japan
- Prior art keywords
- rewriting
- tool
- authentication
- registration
- rewrite
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Lock And Its Accessories (AREA)
Abstract
【課題】正規な書換えであれば書換え場所に関わらず書換えを許可する一方、書換えツールによる不正な書換えを極力防止する技術を提供する。
【解決手段】車載の電子制御装置が備える書換え可能な不揮発性メモリに対する書換えを管理するメモリ管理装置の認証情報取得手段(S500〜S506)は、書換えツールが不揮発性メモリに対する書換えを要求するときの書換え場所と書換え日時とを少なくとも含む認証情報を取得する。問い合わせ手段(S510)は、認証情報を認証センタに送信し、認証センタに登録されている、書換えツールが不揮発性メモリに対する書換えを要求する予定場所と予定日時とを少なくとも含む登録情報と認証情報とが一致するか否かを認証センタに問い合わせる。書換え判定手段(S512〜S516)は、認証センタから受信する問い合わせ結果に基づいて、不揮発性メモリに対する書換えツールの書換えを許可するか禁止するかを決定する。
【選択図】図6
【解決手段】車載の電子制御装置が備える書換え可能な不揮発性メモリに対する書換えを管理するメモリ管理装置の認証情報取得手段(S500〜S506)は、書換えツールが不揮発性メモリに対する書換えを要求するときの書換え場所と書換え日時とを少なくとも含む認証情報を取得する。問い合わせ手段(S510)は、認証情報を認証センタに送信し、認証センタに登録されている、書換えツールが不揮発性メモリに対する書換えを要求する予定場所と予定日時とを少なくとも含む登録情報と認証情報とが一致するか否かを認証センタに問い合わせる。書換え判定手段(S512〜S516)は、認証センタから受信する問い合わせ結果に基づいて、不揮発性メモリに対する書換えツールの書換えを許可するか禁止するかを決定する。
【選択図】図6
Description
本発明は、車載の電子制御装置が備える書換え可能な不揮発性メモリに対する書換えを管理する技術に関する。
車載の電子制御装置には、制御プログラム、制御データ等のデータを、フラッシュメモリ等の書換え可能な不揮発性メモリに記憶しているものがある。不揮発性メモリに記憶されているデータは、制御プログラムのバージョンアップアップ、制御データの更新により書換えられることがある。不揮発性メモリの書換えは、例えば書換えツールにより実行される。
特許文献1に開示されている技術によると、不揮発性メモリに対する書換えツールの不正な書換えを防止するために、書換えツールが不揮発性メモリに対する書換えを実行しようとするときに、センタと電子制御装置とが書換えツールに対する認証処理を実行する。
例えば、センタは、書換えツールが電話回線で送信してきた書換えツールのIDと書換えツールの電話番号との対応関係に基づいて認証処理を実行する。盗まれた書換えツールが正規の作業場所以外からセンタとの間に回線を接続すると、センタが書換えツールから取得する電話番号は正規の作業場所における電話番号とは異なる。これにより、センタは、IDと電話番号とが対応しないために不正な書換えが要求されたと判定する。
特許文献1に記載の技術のように、正規の作業場所で書換えツールがセンタとの間に回線を接続しているか否かを電話番号で判定すると、正規の作業場所以外では書換えツールを使用して書換えを実行できないという不便さが生じる。
一方、正規の作業場所において正規の書換えツールを使用すれば、作業場所で働いている人物か第3者かに関わらず、不正な書換えをしようとする人物がいつでも書換えを実行できる。
本発明は上記問題を解決するためになされたものであり、正規な書換えであれば書換え場所に関わらず書換えを許可する一方、書換えツールによる不正な書換えを極力防止する技術を提供することを目的とする。
本発明のメモリ管理装置は、車両に搭載される電子制御装置が備える書換え可能な不揮発性メモリに対する書換えを管理するメモリ管理装置であって、認証情報取得手段と、問い合わせ手段と、書換え判定手段と、を備えている。
認証情報取得手段は、書換えツールが不揮発性メモリに対する書換えを実際に要求するときの書換え場所と書換え日時とを少なくとも含む認証情報を取得する。問い合わせ手段は、認証情報取得手段が取得する認証情報を認証センタに送信し、予め認証センタに登録されている、書換えツールが不揮発性メモリに対する書換えを要求する予定場所と予定日時とを少なくとも含む登録情報と認証情報とが一致するか否かを認証センタに問い合わせる。
書換え判定手段は、問い合わせ手段が認証センタから受信する問い合わせ結果に基づいて、不揮発性メモリに対する書換えツールの書換えを許可するか禁止するかを決定する。
また、本発明の認証センタは、登録手段と、受付手段と、情報判定手段と、結果通知手段と、を備えている。
また、本発明の認証センタは、登録手段と、受付手段と、情報判定手段と、結果通知手段と、を備えている。
登録手段は、車両に搭載される電子制御装置が備える書換え可能な不揮発性メモリに対する書換えを書換えツールが実際に要求する前に、書換えの予定場所と予定日時とを少なくとも含む登録情報を予め取得して登録する。受付手段は、不揮発性メモリに対して書換えツールが実際に書換えを要求するときの書換え場所と書換え日時とを少なくとも含む認証情報を車両から受信し、登録情報と認証情報とが一致するか否かの問い合わせを車両から受ける。
情報判定手段は、受付手段が車両から問い合わせを受けると、登録手段が登録する登録情報と受付手段が受信する認証情報とが一致するか否かを判定する。結果通知手段は、情報判定手段の判定結果に基づいて車両に問い合わせ結果を送信する。
これら本発明のメモリ管理装置および認証センタの構成によれば、書換えツールから不正な書換えを要求して実行しようとしても、予め認証センタに登録されている、書換えツールが不揮発性メモリに対する書換えを要求する予定場所と予定日時とを少なくとも含む登録情報と、書換えツールが不揮発性メモリに対する書換えを実際に要求するときの書換え場所と書換え日時とを少なくとも含む認証情報とを一致させることは困難である。
例えば、書換えツールを盗み出しても、認証センタに登録されている予定場所と書換えを要求する書換え場所とは一致しない。また、予定場所と一致する書換え場所で書換えを実行しようとしても、予定日時と書換え日時とを一致させることは、予定日時を知っていない限り困難である。したがって、書換えツールによる不正な書換えを極力防止できる。
一方、予定場所と予定日時とを少なくとも含む登録情報と、書換え場所と書換え日時とを少なくとも含む認証情報とが一致する正規の書換え要求であれば許可されるので、任意の場所で書換えを実行できる。
尚、特許請求の範囲に記載した括弧内の符号は、一つの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、本発明の技術的範囲を限定するものではない。
以下、本発明が適用された実施形態を図に基づいて説明する。
[1.構成]
図1に示すように、本実施形態による認証処理は、車両10と書換えツール100と販売店200と認証センタ210とにより実行される。
[1.構成]
図1に示すように、本実施形態による認証処理は、車両10と書換えツール100と販売店200と認証センタ210とにより実行される。
図2に示す認証システム2は、エンジンECU(電子制御装置)20と、メモリ管理ECU30と、GPSセンサ40と、通信装置50と、書換えツール100と、認証センタ210とを備えている。エンジンECU20とメモリ管理ECU30とGPSセンサ40とは、車内LAN60により互いに接続されている。書換えツール100は、コネクタ等により車内LAN60に接続される。図2では、エンジンECU20およびメモリ管理ECU30以外のその他の車載ECUの記載を省略している。
エンジンECU20は、CPU22とRAM24とROM26とフラッシュメモリ28等を備えるマイクロコンピュータを搭載している。ROM26には、エンジン制御を実行するための変更不要な制御プログラムと制御データ等が記憶されている。さらに、ROM26には、エンジンECU20を一意に特定するシリアル番号等の装置IDが暗号化されて記憶されている。
書換え可能な不揮発性メモリであるフラッシュメモリ28には、書換える可能性のあるエンジン制御を実行する制御プログラムおよび制御データ等が記憶されている。
メモリ管理ECU30は、CPU32とRAM34とROM36等を備えるマイクロコンピュータを搭載している。メモリ管理ECU30は、エンジンECU20等の車載のECUに対する書換えツール100による書換えを管理する。メモリ管理ECU30は、GPSセンサ40から、車両10の位置と現在の日時とを取得する。また、メモリ管理ECU30は、通信装置50を介して認証センタ210と通信する。
メモリ管理ECU30は、CPU32とRAM34とROM36等を備えるマイクロコンピュータを搭載している。メモリ管理ECU30は、エンジンECU20等の車載のECUに対する書換えツール100による書換えを管理する。メモリ管理ECU30は、GPSセンサ40から、車両10の位置と現在の日時とを取得する。また、メモリ管理ECU30は、通信装置50を介して認証センタ210と通信する。
書換えツール100は、CPU102とRAM104とROM106等を備えるマイクロコンピュータを搭載している。ROM106には、書換え処理を実行するプログラムと、暗号化されたツールID等が記憶されている。書換えツール100は、データを書換える必要のあるフラッシュメモリを搭載している車両の場所まで移動させることができる。
認証センタ210は、処理装置212と通信装置214とDB装置220等を備えている。処理装置212は、エンジンECU20等の車載ECUに対する書換えツール100による書換えを管理するために、通信装置214を用いて車両10および後述する登録用端末と通信を行う。DB装置220には、書換えツール100による書換えの可否を判定するための各種DBが記憶されている。
[2.処理]
[2−1.認証処理]
本実施形態による認証処理の全体を図3のシーケンス図に基づいて説明する。図3のシーケンス図および後述する図4〜図7のフローチャートにおいて、「S」はステップを表わしている。
[2−1.認証処理]
本実施形態による認証処理の全体を図3のシーケンス図に基づいて説明する。図3のシーケンス図および後述する図4〜図7のフローチャートにおいて、「S」はステップを表わしている。
S400において、車両の販売店200に設置されている図示しない登録用端末は、エンジンECU20のフラッシュメモリ28に対する書換えを書換えツール100が実際に要求する前に、登録情報を暗号化して認証センタ210に予め送信する。登録情報には、以下に示す(1)〜(4)の情報が含まれる。
(1)書換えツール100が書換えを実行する予定場所
(2)書換えツール100が書換えを実行する予定日時
(3)書換えツール100が書換えを実行するエンジンECU20の装置ID
(4)書換えツール100のツールID
登録情報のうち書換えの予定場所には、書換えツール100による正規な書換えが実行されるときの場所が登録される。例えば、販売店を含む正規な店舗、または車両10の所有者の家の場所が、所定の範囲で登録される。
(1)書換えツール100が書換えを実行する予定場所
(2)書換えツール100が書換えを実行する予定日時
(3)書換えツール100が書換えを実行するエンジンECU20の装置ID
(4)書換えツール100のツールID
登録情報のうち書換えの予定場所には、書換えツール100による正規な書換えが実行されるときの場所が登録される。例えば、販売店を含む正規な店舗、または車両10の所有者の家の場所が、所定の範囲で登録される。
登録情報のうち書換えの予定日時には、書換えツール100による正規な書換えが実行されるときの期間が登録される。例えば、書換えの予定場所が販売店を含む正規な店舗の場合には、店舗の営業日における営業時間内の所定の時間帯が登録される。また、書換えの予定場所が車両10の所有者の家である場合には、深夜を除く所定の時間帯が登録される。
販売店200に設置されている登録用端末は、登録情報を認証センタ210に登録するための専用端末である。専用の登録用端末であっても、登録情報を認証センタ210に登録するための専用のアカウントにユーザIDおよびパスワード等を入力してログインすることが望ましい。
認証センタ210は、登録用端末から送信された登録情報が正規の登録情報であるか否かをチェックする(S402)。正規の登録情報であれば、認証センタ210は、登録用端末から送信された登録情報を記憶して登録を完了するとともに、登録結果として、例えば「登録成功」を暗号化して登録用端末に送信する(S404)。
正規の登録情報でなければ、認証センタ210は、登録情報を登録することを拒否するとともに、登録結果として、例えば「登録拒否」を暗号化して登録用端末に送信する(S404)。登録情報のチェック内容の詳細は、図4の登録処理で説明する。
S404で認証センタ210から受信するチェック結果が「登録成功」であれば、販売店200において、書換え対象であるエンジンECU20の種別と、フラッシュメモリ28を書換える書換えデータとを書換えツール100に入力する(S406)。
書換えツール100に入力する書換え対象のECUの種別は、車両10内の複数の車載ECUからエンジンECU20を特定できればよいので、ECUのシリアル番号のような装置IDである必要はない。ECUの種別として、例えば「エンジンECU」という名称が入力される。
書換えを実行する予定場所において予定日時になると、書換え作業者は、車両10に書換えツール100を接続して起動する。書換えツール100は、暗号化してROM106に記憶されているツールIDを復号化し(S408)、書換え対象であるECUの種別と自身のツールIDと書換えデータとを公開鍵または共通鍵を用いて暗号化し、暗号化したデータとともに書換え要求を車内LAN60に送信する(S410)。
尚、書換えツール100のROM106にツールIDを記憶するときの暗号化と、書換えツール100から車内LAN60にデータを送信するときの暗号化とは異なる方式である。
メモリ管理ECU30は、書換えツール100から受信した暗号化されたデータを復号化する。そして、書換え対象を示すECUの種別から、書換え対象が「エンジンECU」であることを知る。
メモリ管理ECU30は、書換えツール100から書換え要求を受信すると、GPSセンサ40から、車両10の位置と現在の日時とを取得する(S412、S414)。メモリ管理ECU30は、書換え対象が「エンジンECU」であることに基づき、エンジンECU20のROM26に記憶されている暗号化された装置IDを取得して復号化する(S416)。
メモリ管理ECU30は、GPSセンサ40から取得した車両10の位置と現在の日時、ならびにエンジンECU20から取得した装置IDと書換えツール100から取得したツールIDを公開鍵または共通鍵を用いて暗号化し、通信装置50を使用して認証情報として認証センタ210に送信する(S418)。
認証センタ210は、予め販売店200の登録用端末から登録された登録情報と、車両10から受信した認証情報とが一致するか否かの整合性をチェックし(S420)、チェック結果を暗号化して車両10に送信する(S422)。
認証センタ210から受信するチェック結果が登録情報と認証情報とが一致するので「書換え許可」であれば、メモリ管理ECU30は、書換えツール100から受信した書換えデータでフラッシュメモリ28のデータを書換えることをエンジンECU20に許可する(S424)。この場合、エンジンECU20は、書換えツール100から受信した書換えデータでフラッシュメモリ28のデータを書換える。
認証センタ210から受信するチェック結果が登録情報と認証情報との不一致のために「書換え禁止」であれば、メモリ管理ECU30は、書換えツール100から受信した書換えデータでフラッシュメモリ28のデータを書換えることをエンジンECU20に禁止する(S426)。この場合、エンジンECU20は、書換えツール100から受信した書換えデータでフラッシュメモリ28のデータを書換えない。
エンジンECU20は、認証センタ210に許可されて書換えを成功したか認証センタ210に禁止されて書換えを失敗したかのいずれかを、書換え結果として書換えツール100に送信する(S428)。書換えツール100は、エンジンECU20から受信した書換え結果を、例えばディスプレイまたは音声等により書換え作業者に報知する(S430)。
[2−2.登録処理]
図4に基づいて、認証センタ210が販売店200の登録用端末から登録要求を受け付けるときに実行する登録処理について説明する。
図4に基づいて、認証センタ210が販売店200の登録用端末から登録要求を受け付けるときに実行する登録処理について説明する。
認証センタ210の処理装置212は、販売店200の登録用端末が登録情報を登録するためにアカウントにログインしたときのパスワード等のログイン情報を取得する(S440)。処理装置212は、認証センタ210が有するDB装置220に記憶されているアカウント管理DB222を検索し、登録用端末から取得したログイン情報が登録されているか否か、登録されていても、過去に不正な書換えの登録を行った登録用端末のアカウントであるか否かをチェックする(S442)。
尚、DB装置220には、アカウント管理DB222だけでなく、後述する書換え場所管理DB224、書換え日時管理DB226、ツールID管理DB228、装置ID管理DB230、および登録管理DB232が設置されている。
ログイン情報が登録されていないか、あるいは登録されていても過去に不正な書換えの登録を行った登録用端末のアカウントであれば、信用できないと判断し(S444:No)、S472に処理を移行する。
登録済みであり、かつ過去に不正な書換えの登録を行っていないアカウントであれば、信用できると判断し(S444:Yes)、認証センタ210は、以下の処理において、登録用端末から登録情報を項目毎に受信して取得する。認証センタ210が登録用端末から取得する登録情報は暗号化されているので、認証センタ210で復号化する。
認証センタ210の処理装置212は、登録用端末から書換えの予定場所を取得し(S446)、書換え場所管理DB224を検索し、書換えの予定場所が妥当であるか否かをチェックする(S448)。
書換え場所管理DB224には、例えば、妥当ではない書換えの予定場所として、以前に不正な書換えが行われた場所、過去に車両の盗難が発生した場所等が記憶されている。また、書換え場所管理DB224には、例えば、妥当な書換えの予定場所として、販売店200を含む正規の店舗の場所、ならびに車両10の所有者の家の場所等が登録されている。書換えの予定場所が妥当ではない場合(S450:No)、S472に処理を移行する。
書換えの予定場所が妥当であれば(S450:Yes)、処理装置212は、登録用端末から書換えの予定日時を取得する(S452)。処理装置212は、書換え日時管理DB226を検索し、書換えの予定日時が妥当であるか否かをチェックする(S454)。
書換え日時管理DB226には、例えば、妥当ではない書換えの予定日時として、書換えの予定場所が店舗の場合には店舗の休店日および営業時間外等が記憶されており、書換えの予定場所が車両10の所有者の家の場合には深夜の時間帯等が記憶されている。書換えの予定日時が妥当ではない場合(S456:No)、S472に処理を移行する。
書換えの予定日時が妥当であれば(S456:Yes)、処理装置212は、登録用端末からツールIDを取得する(S458)。処理装置212は、ツールID管理DB228を検索し、ツールIDが妥当であるか否かをチェックする(S460)。
ツールID管理DB228には、例えば、妥当ではないツールIDとして、盗難された登録用端末のツールID等が記憶されている。ツールIDが妥当ではない場合(S462:No)、S472に処理を移行する。
ツールIDが妥当であれば(S462:Yes)、処理装置212は、登録用端末から書換え対象となるECUの装置IDを取得する(S464)。処理装置212は、装置ID管理DB230を検索し、装置IDが書換え対象のECUの装置IDとして妥当であるか否かをチェックする(S466)。
装置ID管理DB230には、例えば、妥当ではない装置IDとして、まだ市場に出荷されていない未出荷のECUの装置ID、あるいは他車で既に使用されているECUの装置ID等が記憶されている。装置IDが妥当ではない場合(S468:No)、S472に処理を移行する。
装置IDが妥当であれば(S468:Yes)、処理装置212は、これまで登録用端末から取得した書換えの予定場所、書換えの予定日時、ツールID、および装置IDを正規の登録情報として登録管理DB232に登録して登録を完了、登録結果として「登録成功」を登録用端末に送信する(S470)。
S472において、処理装置212は、これまで登録用端末から取得した登録情報を登録管理DB232に登録せず、登録結果として「登録拒否」を登録用端末に送信する。書換えの予定場所、書換えの予定日時、ツールID、または装置IDが妥当ではないとしてS472に処理が移行した場合、処理装置212は、今回ログインしたアカウントを、不正な書換えを登録しようとした信用できないアカウントとしてアカウント管理DB222に登録してもよい。
[2−3.書換え処理]
図5に基づいて、書換えツール100が実行する書換え処理について説明する。書換えツール100には、自身のツールIDと書換え対象であるECUの種別と書換えデータとが記憶されている。
図5に基づいて、書換えツール100が実行する書換え処理について説明する。書換えツール100には、自身のツールIDと書換え対象であるECUの種別と書換えデータとが記憶されている。
車両10に接続されて起動されると、書換えツール10は、暗号化して記憶されているツールIDをROM106から取得して復号化する(S480、S482)。
そして、書換え対象であるECUの種別と復号化した自身のツールIDと書換えデータとを公開鍵または共通鍵を用いて暗号化し、暗号化したデータとともに書換え要求を車両10に送信する(S484)。
そして、書換え対象であるECUの種別と復号化した自身のツールIDと書換えデータとを公開鍵または共通鍵を用いて暗号化し、暗号化したデータとともに書換え要求を車両10に送信する(S484)。
車両10から受信する書換え結果が正常終了であれば(S486:Yes)、書換えツール100は、「書換え成功」をディスプレイ、音声等で書換え作業者に報知する(S488)。車両10から受信する書換え結果が「書換え拒否」であれば(S486:No)、書換えツール100は、書換え失敗をディスプレイ、音声等で書換え作業者に報知する(S490)。尚、書換えツール100は、書換え結果を通信により販売店200に送信してもよい。
[2−4.問い合わせ処理]
図6に基づいて、メモリ管理ECU30が実行する問い合わせ処理について説明する。
メモリ管理ECU30は、書換えツール100から書換え要求とともに、書換え対象であるエンジンECU20の種別と書換えツール100のツールIDと書換えデータとを暗号化したデータを受信すると(S500)、車両10の位置と現在の日時とをGPSセンサ40から取得する(S502、S504)。
図6に基づいて、メモリ管理ECU30が実行する問い合わせ処理について説明する。
メモリ管理ECU30は、書換えツール100から書換え要求とともに、書換え対象であるエンジンECU20の種別と書換えツール100のツールIDと書換えデータとを暗号化したデータを受信すると(S500)、車両10の位置と現在の日時とをGPSセンサ40から取得する(S502、S504)。
メモリ管理ECU30がGPSセンサ40から取得する車両10の位置と現在の日時とは、書換えツール100が書換えを要求するときの書換え場所と書換え日時とに相当する。
メモリ管理ECU30は、書換えツール100から受信した暗号化されたデータを復号化し、書換え対象を示すECUの種別から、書換え対象が「エンジンECU」であることを知る。メモリ管理ECU30は、書換え対象であるエンジンECU20のROM26から暗号化された装置IDを取得して復号化する(S506、S508)。
メモリ管理ECU30は、エンジンECU20の装置IDと、書換えツール100のツールIDと、GPSセンサ40から取得した車両10の位置および現在の日時とを公開鍵または共通鍵を用いて暗号化し、認証情報として通信装置50を使用して認証センタ210に送信し、送信した認証情報と予め認証センタ210に登録されている登録情報との整合性を問い合わせる(S510)。
認証センタ210から受信する問い合わせ結果が登録情報と認証情報とが一致しているので「書換え許可」であれば(S512:Yes)、メモリ管理ECU30は、エンジンECU20に書換えツール100から送信された書換えデータによるフラッシュメモリ28のデータの書換えを許可し(S514)、S518に処理を移行する。この場合、書換えツール100による書換え要求は成功である。
フラッシュメモリ28のデータの書換えを許可されると、エンジンECU20は書換えツール100から受信した書換えデータでフラッシュメモリ28のデータを書換える。この場合、書換えツール100から受信した暗号化された書換えデータの復号化は、メモリ管理ECU30が実行してもよいし、書換え対象であるエンジンECU20が実行してもよい。
認証センタ210から受信する問い合わせ結果が登録情報と認証情報とが不一致であるために「書換え禁止」であれば(S512:No)、メモリ管理ECU30は、不正な書換えが行われようとしていると判断する。この場合、書換えツール100による書換え要求は失敗である。メモリ管理ECU30は、エンジンECU20にフラッシュメモリ28の書換えを禁止するとともに、エンジンの始動禁止等の車両走行の機能制限を指示し(S516)、S518に処理を移行する。
S518において、メモリ管理ECU30は、認証センタ210から書換えを許可されてエンジンECU20がフラッシュメモリ28に対する書換えを実行すると「書換え成功」を書換えツール100に送信する。一方、メモリ管理ECU30は、認証センタ210から書換えを禁止されると、「書換え失敗」を書換えツール100に送信する。
[2−5.整合性チェック処理]
図7に基づいて、認証センタ210が車両10から整合性チェックの問い合わせを受信するときに実行する整合性チェック処理について説明する。
図7に基づいて、認証センタ210が車両10から整合性チェックの問い合わせを受信するときに実行する整合性チェック処理について説明する。
認証センタ210の処理装置212は、車両10から整合性チェックの問い合わせと、認証情報とを受信すると(S520)、登録管理DB232に予め登録されている登録情報と受信した認証情報とが一致するか否かの整合性チェックを実行する(S522)。
登録情報と認証情報とが一致すれば(S524:Yes)、処理装置212は、通信装置214を使用して、チェック結果として「書換え許可」を車両10に送信して通知する(S526)。登録情報と認証情報とが不一致であれば(S524:No)、処理装置212は、通信装置214を使用して、チェック結果として「書換え禁止」を車両10に送信して通知する(S528)。
[3.効果]
以上説明した上記実施形態では、以下の効果を得ることができる。
(1)書換えツール100から車載のECUに対し不正な書換えを実行しようとしても、作業者は登録情報が分からないので、登録情報と認証情報とを一致させることは困難である。
以上説明した上記実施形態では、以下の効果を得ることができる。
(1)書換えツール100から車載のECUに対し不正な書換えを実行しようとしても、作業者は登録情報が分からないので、登録情報と認証情報とを一致させることは困難である。
さらに、登録情報が書換えを実行する予定場所と予定日時とを含んでいるので、例えば、正規の書換えツール100を盗み出しても、認証センタ210に登録されている予定場所と書換えを要求する書換え場所とは一致しない。また、予定場所と一致する書換え場所で書換えを実行しようとしても、予定日時と書換え日時とを一致させることは、予定日時を知っていない限り困難である。
また、認証センタ210に登録されている登録情報を不正な書換えの作業者が予め知り得たとしても、書換え場所において書換え日時には、正規な書換えをする作業者が現れる。したがって、予定場所と実際の書換え場所、ならびに予定日時と実際の書換え日時を一致させて不正な書換えを発覚させずに実行することは困難である。
このように、書換えを実行する前に書換えの予定場所と予定日時とを少なくとも含む登録情報を予め認証センタ210に登録しておき、実際に書換えを実行するときに書換え場所と書換え日時とを少なくとも含む認証情報と登録情報との整合性をチェックするという2段階のメモリ管理を行うので、車載のECUに搭載された書換え可能な不揮発メモリに対する不正な書換えを極力防止できる。
(2)登録情報と認証情報とに書換え場所が含まれるので、販売店200等の固定の場所に限らず、正規の店舗、あるいは車両10の所有者の家等の正規な場所を登録情報として予め登録すれば、正規な任意の登録場所で書換えを実行することができる。
(3)専用の登録用端末または専用のアカウントでログインして登録情報を認証センタ210に登録するので、不正な登録情報の登録を低減できる。
(4)不正な書換えが要求されると車両走行の機能を制限するので、その車両を正常に走行させることができなくなる。例えば、車両が盗まれている場合には、盗難車両を移動させることが困難になる。
(4)不正な書換えが要求されると車両走行の機能を制限するので、その車両を正常に走行させることができなくなる。例えば、車両が盗まれている場合には、盗難車両を移動させることが困難になる。
(5)エンジンECU20の装置IDをROM26に暗号化して記憶するので、ROM26のデータを不正に読み取られても、装置IDが記憶されている位置を識別することは困難である。これにより、装置IDを書換えたROMを複製することを防止できる。
(6)書換えツール100のツールIDをROM106に暗号化して記憶するので、ROM106のデータを不正に読み取られても、ツールIDが記憶されている位置を識別することは困難である。これにより、ツールIDを書換えたROMを複製することを防止できる。
[4.他の実施形態]
(1)上記実施形態では、登録情報と認証情報とが一致するか否かの車両10からの問い合わせに対し、認証センタ210は、登録情報と認証情報とが一致する場合には「書換え許可」を、不一致の場合には「書換え禁止」を問い合わせ結果として車両10に送信した。
(1)上記実施形態では、登録情報と認証情報とが一致するか否かの車両10からの問い合わせに対し、認証センタ210は、登録情報と認証情報とが一致する場合には「書換え許可」を、不一致の場合には「書換え禁止」を問い合わせ結果として車両10に送信した。
これに対し、登録情報と認証情報とが一致するか否かの車両10からの問い合わせに対し、認証センタ210は、「一致」または「不一致」だけを問い合わせ結果として車両10に送信してもよい。この場合、車両10に搭載されたメモリ管理装置30は、問い合わせ結果が「一致」の場合にはフラッシュメモリ28に対する書換えを許可し、問い合わせ結果が「不一致」の場合にはフラッシュメモリ28に対する書換えを禁止することを決定する。
(2)車載のECUが備える書換え可能な不揮発性メモリに対する書換えを管理するのであれば、書換え対象はエンジンECU20に限らず他のECUであってもよい。
(3)上記実施形態では、エンジンECU20のフラッシュメモリ28に対する書換えをエンジンECU20とは別のメモリ管理ECU30が管理した。これに対し、書換え対象となる車載ECU自身が、自身の書換え可能な不揮発性メモリに対する書換えを管理してもよい。
(3)上記実施形態では、エンジンECU20のフラッシュメモリ28に対する書換えをエンジンECU20とは別のメモリ管理ECU30が管理した。これに対し、書換え対象となる車載ECU自身が、自身の書換え可能な不揮発性メモリに対する書換えを管理してもよい。
(4)認証センタ210が登録情報の登録を許可しない場合、不正な書換えを登録しようとしていると判断し、認証センタ210が販売店200、車両10の所有者、または警察等に通報してもよい。
(5)書換えを実行するときの現在の日時は、GPSセンサ40ではなく、通信装置50を介してインターネットの日時サーバから取得してもよいし、車載の時計から取得してもよい。
(6)上記実施形態の図4における登録情報のチェックは、登録用端末から受信する登録情報の項目毎に実行するのではなく、すべての登録情報を受信してからまとめて実行してもよい。
(7)上記実施形態では、メモリ管理ECU30とは別の通信装置50が認証センタ210と通信した。これに対し、認証センタ210と通信する通信装置をメモリ管理ECU30に設置してもよい。
(8)エンジンを始動するときに、車載のECU同士でそれぞれの正当性を認証キーに基づいて認証するシステムに本発明を適用してもよい。ECUを交換するときには、交換したECUに対して書換えツール100が認証キーの書換えを行う。この場合、上記実施形態では、認証キーを書換えるための登録情報を予め認証センタ210に登録する。その結果、不正なECUの交換を行っても認証キーの書換えが許可されないので、エンジンを始動させることを防止できる。
(9)上記実施形態における一つの構成要素が有する機能を複数の構成要素として分散させたり、複数の構成要素が有する機能を一つの構成要素に統合させたりしてもよい。また、上記実施形態の構成の少なくとも一部を、同様の機能を有する公知の構成に置き換えてもよい。また、上記実施形態の構成の一部を、課題を解決できる限りにおいて省略してもよい。尚、特許請求の範囲に記載した文言のみによって特定される技術思想に含まれるあらゆる態様が本発明の実施形態である。
(10)上述したメモリ管理ECU30、認証センタ210の他、当該メモリ管理ECU30と認証センタ210とを構成要素とする認証システム2、当該メモリ管理ECU30としてコンピュータを機能させるためのメモリ管理プログラム、このメモリ管理プログラムを記録した記録媒体、メモリ管理方法など、種々の形態で本発明を実現することもできる。
2:認証システム、20:エンジンECU(電子制御装置、制御手段)、26:ROM(装置ID記憶部)、28:フラッシュメモリ(書換え可能な不揮発性メモリ)、30:メモリ管理ECU(メモリ管理装置、認証情報取得手段、問い合わせ手段、書換え判定手段)、40:GPSセンサ(位置検出手段)、50:通信装置、100:書換えツール(書換え要求手段)、106:ROM(ツールID記憶部)、210:認証センタ(登録手段、受付手段、情報判定手段、結果通知手段、妥当性判定手段と、登録拒否手段)
Claims (12)
- 車両(10)に搭載される電子制御装置(20)が備える書換え可能な不揮発性メモリ(28)に対する書換えを管理するメモリ管理装置(30)であって、
書換えツール(100)が前記不揮発性メモリに対する書換えを実際に要求するときの書換え場所と書換え日時とを少なくとも含む認証情報を取得する認証情報取得手段(S500〜S506)と、
前記認証情報取得手段が取得する前記認証情報を認証センタ(210)に送信し、予め前記認証センタに登録されている、前記書換えツールが前記不揮発性メモリに対する書換えを要求する予定場所と予定日時とを少なくとも含む登録情報と前記認証情報とが一致するか否かを前記認証センタに問い合わせる問い合わせ手段(S510)と、
前記問い合わせ手段が前記認証センタから受信する問い合わせ結果に基づいて、前記不揮発性メモリに対する前記書換えツールの書換えを許可するか禁止するかを決定する書換え判定手段(S512〜S516)と、
を備えることを特徴とするメモリ管理装置。 - 請求項1に記載のメモリ管理装置であって、
前記認証情報取得手段(S500)は、前記書換えツールから前記認証情報として前記書換えツールのツールIDをさらに取得し、
前記問い合わせ手段は、前記認証情報取得手段が取得する前記ツールIDを含む前記認証情報を前記認証センタに送信し、前記不揮発性メモリに対する書換えを要求する予定の書換えツールとして予め前記認証センタに登録されている書換えツールのツールIDを含む前記登録情報と前記認証情報とが一致するか否かを問い合わせる、
ことを特徴とするメモリ管理装置。 - 請求項1または2に記載のメモリ管理装置であって、
前記認証情報取得手段(S506)は、前記書換えツールが書換え対象とする前記電子制御装置の装置IDをさらに取得し、
前記問い合わせ手段は、前記認証情報取得手段が取得する前記装置IDを含む前記認証情報を前記認証センタに送信し、書換え対象の前記電子制御装置の装置IDとして予め前記認証センタに登録されている前記装置IDを含む前記登録情報と前記認証情報とが一致するか否かを問い合わせる、
ことを特徴とするメモリ管理装置。 - 請求項3に記載のメモリ管理装置であって、
前記書換えツールが書換え対象とする前記電子制御装置の前記装置IDは暗号化して前記電子制御装置の装置ID記憶部(26)に記憶されており、
前記認証情報取得手段は、前記書換えツールが書換え対象とする前記電子制御装置から暗号化された前記装置IDを取得する、
ことを特徴とするメモリ管理装置。 - 請求項1から4のいずれか一項に記載のメモリ管理装置であって、
前記問い合わせ手段が前記認証センタから受信する前記問い合わせ結果が、前記認証情報と前記登録情報との不一致、あるいは不一致であるために前記不揮発性メモリに対する前記書換えツールによる書換えの禁止である場合、前記書換え判定手段(S516)は、前記車両の走行を制御する制御手段(20)に走行の制限を指示する、
ことを特徴とするメモリ管理装置。 - 請求項1から5のいずれか一項に記載のメモリ管理装置であって、
前記認証情報取得手段(S502)は、測位衛星の測位信号に基づいて前記車両の位置を検出する位置検出手段(40)から前記書換え場所を取得する、
ことを特徴とするメモリ管理装置。 - 請求項1から6のいずれか一項に記載のメモリ管理装置であって、
前記書換えツールが書換え対象とする前記電子制御装置が前記メモリ管理装置を兼ねている、
ことを特徴とするメモリ管理装置。 - 車両(10)に搭載される電子制御装置(20)が備える書換え可能な不揮発性メモリ(28)に対する書換えを書換えツール(100)が実際に要求する前に、前記書換えの予定場所と予定日時とを含む登録情報を予め取得して登録する登録手段(S446〜S470)と、
前記不揮発性メモリに対して前記書換えツールが実際に書換えを要求するときの書換え場所と書換え日時とを少なくとも含む認証情報を前記車両から受信し、前記登録情報と前記認証情報とが一致するか否かの問い合わせを前記車両から受ける受付手段(S520)と、
前記受付手段が前記車両から前記問い合わせを受けると、前記登録手段が登録する前記登録情報と前記受付手段が受信する前記認証情報とが一致するか否かを判定する情報判定手段(S522、S524)と、
前記情報判定手段の判定結果に基づいて前記車両に問い合わせ結果を送信する結果通知手段(S526、S528)と、
を備えることを特徴とする認証センタ(210)。 - 請求項8に記載の認証センタであって、
前記登録手段は、前記登録情報を送信する専用端末または前記登録情報の登録専用のアカウントを有する端末から前記登録情報を取得する、
ことを特徴とする認証センタ。 - 請求項8または9に記載の認証センタであって、
前記登録手段(S464)は、前記登録情報の一部として書換え対象である前記電子制御装置の装置IDを取得し、
前記登録手段が取得する前記装置IDが書換え対象となる電子制御装置の装置IDとして妥当であるか否かを判定する妥当性判定手段と、
前記妥当性判定手段が妥当ではないと判定すると、該当する前記装置IDを含む前記登録情報の登録を拒否する登録拒否手段(S466、S468、S472)と、を備える、
ことを特徴とする認証センタ。 - 請求項1から7のいずれか一項に記載のメモリ管理装置(30)と、
請求項8から10のいずれか一項に記載の認証センタ(210)と、
前記不揮発性メモリに対する書換えを要求する前記書換えツール(100)と、
を備えることを特徴とする認証システム(2)。 - 請求項11に記載の認証システムであって、
前記書換えツールは、
前記不揮発性メモリに対する書換えを要求する書換え要求手段(S484)と、
暗号化されたツールIDを記憶しているツールID記憶部(106)と、
を備え、
前記書換え要求手段は、前記不揮発性メモリに対する書換えを要求するときに、請求項2、あるいは請求項2を引用する請求項3から7のいずれか一項に記載のメモリ管理装置が前記認証センタに送信する前記認証情報の一部として、前記ツールID記憶部に記憶されている暗号化された前記ツールIDを前記車両に送信する、
ことを特徴とする認証システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015085149A JP2016203719A (ja) | 2015-04-17 | 2015-04-17 | メモリ管理装置、認証センタ、および認証システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015085149A JP2016203719A (ja) | 2015-04-17 | 2015-04-17 | メモリ管理装置、認証センタ、および認証システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2016203719A true JP2016203719A (ja) | 2016-12-08 |
Family
ID=57488518
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015085149A Pending JP2016203719A (ja) | 2015-04-17 | 2015-04-17 | メモリ管理装置、認証センタ、および認証システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2016203719A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020131769A (ja) * | 2019-02-14 | 2020-08-31 | 株式会社デンソーテン | 電子制御装置及びリプログラミング方法 |
WO2021100462A1 (ja) * | 2019-11-19 | 2021-05-27 | 株式会社オートネットワーク技術研究所 | 車載更新装置、及び更新処理プログラム |
US20220138353A1 (en) * | 2019-07-12 | 2022-05-05 | Panasonic Intellectual Property Management Co., Ltd. | On-board secure storage system for detecting unauthorized access or failure and performing predetermined processing |
WO2023109889A1 (zh) * | 2021-12-15 | 2023-06-22 | 潍柴动力股份有限公司 | 发动机ecu刷写方法、刷写诊断方法及设备 |
-
2015
- 2015-04-17 JP JP2015085149A patent/JP2016203719A/ja active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020131769A (ja) * | 2019-02-14 | 2020-08-31 | 株式会社デンソーテン | 電子制御装置及びリプログラミング方法 |
JP7250554B2 (ja) | 2019-02-14 | 2023-04-03 | 株式会社デンソーテン | 電子制御装置及びリプログラミング方法 |
US20220138353A1 (en) * | 2019-07-12 | 2022-05-05 | Panasonic Intellectual Property Management Co., Ltd. | On-board secure storage system for detecting unauthorized access or failure and performing predetermined processing |
US11983304B2 (en) * | 2019-07-12 | 2024-05-14 | Panasonic Intellectual Property Management Co., Ltd. | On-board secure storage system for detecting unauthorized access or failure and performing predetermined processing |
WO2021100462A1 (ja) * | 2019-11-19 | 2021-05-27 | 株式会社オートネットワーク技術研究所 | 車載更新装置、及び更新処理プログラム |
JP2021081998A (ja) * | 2019-11-19 | 2021-05-27 | 株式会社オートネットワーク技術研究所 | 車載更新装置、及び更新処理プログラム |
JP7283359B2 (ja) | 2019-11-19 | 2023-05-30 | 株式会社オートネットワーク技術研究所 | 車載更新装置、及び更新処理プログラム |
US12001831B2 (en) | 2019-11-19 | 2024-06-04 | Autonetworks Technologies, Ltd. | Onboard update apparatus and update processing program |
WO2023109889A1 (zh) * | 2021-12-15 | 2023-06-22 | 潍柴动力股份有限公司 | 发动机ecu刷写方法、刷写诊断方法及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US12001857B2 (en) | Device locator disable authentication | |
KR102220096B1 (ko) | 시해정 제어 시스템 및 시해정 제어 방법 | |
JP6024564B2 (ja) | 車載通信システム | |
US20150347121A1 (en) | Communication apparatus, electronic device, communication method, and key for vehicle | |
US20080027602A1 (en) | System and method for deterring theft of vehicles and other products having integral computer means | |
US11270535B2 (en) | Trunk-sharing system, information processing device for trunk-sharing, information processing method for trunk-sharing, and recording medium having program stored therein | |
US9767264B2 (en) | Apparatus, method for controlling apparatus, and program | |
CN112669491B (zh) | 一种车辆数字钥匙分配管理方法和装置 | |
US20170118023A1 (en) | Method for authorizing a software update in a motor vehicle | |
JP2016203719A (ja) | メモリ管理装置、認証センタ、および認証システム | |
JP2007210557A (ja) | 車両盗難防止装置および車両盗難防止方法 | |
CN106897627B (zh) | 一种保证汽车ecu免受攻击和自动更新的方法 | |
JP2013258491A (ja) | カーシェアリングシステム、カーシェアリング提供方法 | |
JP2007261495A (ja) | 車両盗難防止装置および車両盗難防止方法 | |
TWI629401B (zh) | 智慧鎖以及智慧鎖控制方法 | |
JP6344170B2 (ja) | 機器、管理モジュール、プログラムおよび制御方法 | |
JP3200243U (ja) | 車両の盗難防止システム | |
CN115116162B (zh) | 数字钥匙删除方法、装置、设备、系统及存储介质 | |
JP2007053454A (ja) | 認証デバイスおよび認証方法 | |
US20240181987A1 (en) | Vehicle digital key management on a blockchain | |
JP5455858B2 (ja) | 認証トークンによるクライアントサーバ型認証システム | |
JP6867062B1 (ja) | 認証用システム、携帯端末、プログラム、及び車載器 | |
WO2023051371A1 (en) | Updating vehicle ownership authorizations | |
CN111770469A (zh) | 车辆控制方法、装置、车辆及计算机可读存储介质 | |
TW201503025A (zh) | 車輛租賃系統及其方法 |