JP2017046038A - 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム - Google Patents

車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム Download PDF

Info

Publication number
JP2017046038A
JP2017046038A JP2015164774A JP2015164774A JP2017046038A JP 2017046038 A JP2017046038 A JP 2017046038A JP 2015164774 A JP2015164774 A JP 2015164774A JP 2015164774 A JP2015164774 A JP 2015164774A JP 2017046038 A JP2017046038 A JP 2017046038A
Authority
JP
Japan
Prior art keywords
vehicle
key
computer
vehicle computer
processing device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015164774A
Other languages
English (en)
Other versions
JP6238939B2 (ja
Inventor
竹森 敬祐
Keisuke Takemori
敬祐 竹森
秀明 川端
Hideaki Kawabata
秀明 川端
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2015164774A priority Critical patent/JP6238939B2/ja
Priority to PCT/JP2016/070528 priority patent/WO2017033602A1/ja
Publication of JP2017046038A publication Critical patent/JP2017046038A/ja
Application granted granted Critical
Publication of JP6238939B2 publication Critical patent/JP6238939B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Mechanical Engineering (AREA)
  • Stored Programmes (AREA)

Abstract

【課題】自動車等の車両に保持される鍵の管理や更新に寄与する車載コンピュータシステムを提供する。【解決手段】比較的高い処理能力を有するHSM(Hardware Security Module)12を備えるマスタECU(Electronic Control Unit)10と、比較的低い処理能力を有するSHE(Secure Hardware Extension)22を備える複数のエンドECU20と、を備える。マスタECU10と複数のエンドECU20が制御用ネットワーク30に接続され、マスタECU10は、エンドECU20で使用される第1の鍵をHSM12により暗号化し、第1の鍵の暗号化データをエンドECU20へ送信し、エンドECU20は、マスタECU10から受信した第1の鍵の暗号化データをSHE22により復号化する。【選択図】図1

Description

本発明は、車載コンピュータシステム、車両、管理方法、及びコンピュータプログラムに関する。
近年、自動車は、ECU(Electronic Control Unit)を有し、ECUによってエンジン制御等の機能を実現する。ECUは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。既に使用されている自動車について、ECUのコンピュータプログラムの更新は、通常、自動車の検査時や定期点検時などに、一般の自動車整備工場で行われる。
従来、ECUのコンピュータプログラムの更新では、作業者が、自動車のOBD(On-board Diagnostics)ポートと呼ばれる診断ポートにメンテナンス専用の診断端末を接続し、該診断端末から更新プログラムのインストール及びデータの設定変更などを行う。これに関し例えば非特許文献1、2にはセキュリティについて記載されている。
C. Miller、C. Valasek、"Adventures in Automotive Networks and Control Units"、DEF CON 21、2013年8月 高田広章、松本勉、"車載組込みシステムの情報セキュリティ強化に関する提言"、2013年9月、インターネット<URL:https://www.ipa.go.jp/files/000034668.pdf> Trusted Computing Group、インターネット<URL:http://www.trustedcomputinggroup.org/>
上述した非特許文献1、2では、セキュリティの向上を実現する手段については記載されない。このため、自動車等の車両に備わるECU等の車載コンピュータに使用されるコンピュータプログラム等のデータの適用についての信頼性を向上させることが望まれる。例えば、ECUが起動した後に、ECUが保持する鍵を使用してデータの交換相手を相互認証することによって、車載コンピュータシステムの防御能力を向上させることが考えられる。また、例えば、ECUが保持する鍵を使用して、ECU間で交換するデータの正当性を検証することが考えられる。また、例えば、ECUに使用されるコンピュータプログラム等のデータに電子署名を付して自動車の管理装置へ配布し、管理装置が保持する鍵を使用して、配布されたデータの電子署名を検証することにより、ECUに使用されるコンピュータプログラム等のデータを検査することが考えられる。ここで、自動車に保持される鍵の管理や更新をどのようにして実現するのかが、鍵の保安上の課題である。
本発明は、このような事情を考慮してなされたものであり、自動車等の車両に保持される鍵の管理や更新に寄与できる、車載コンピュータシステム、車両、管理方法、及びコンピュータプログラムを提供することを課題とする。
(1)本発明の一態様は、車両に備わる車載コンピュータシステムにおいて、比較的高い処理能力を有する第1の暗号処理装置を備える第1の車載コンピュータと、比較的低い処理能力を有する第2の暗号処理装置を備える複数の第2の車載コンピュータと、を備え、前記第1の車載コンピュータと前記複数の第2の車載コンピュータが前記車両に備わる通信ネットワークに接続され、前記第1の車載コンピュータは、前記第2の車載コンピュータで使用される第1の鍵を前記第1の暗号処理装置により暗号化し、前記第1の鍵の暗号化データを前記第2の車載コンピュータへ送信し、前記第2の車載コンピュータは、前記第1の車載コンピュータから受信した前記第1の鍵の暗号化データを前記第2の暗号処理装置により復号化する、車載コンピュータシステムである。
(2)本発明の一態様は、上記(1)の車載コンピュータシステムにおいて、前記第1の暗号処理装置及び前記第2の暗号処理装置よりも安全性の高いセキュアエレメントを備え、前記セキュアエレメントは、前記第2の車載コンピュータに保持される各前記第2の車載コンピュータで別個の第2の鍵を生成し、該第2の鍵を前記第1の車載コンピュータへ供給し、前記第1の車載コンピュータは、前記セキュアエレメントから供給された第2の鍵のうち、前記第1の鍵の暗号化データの送信先の前記第2の車載コンピュータの第2の鍵を該暗号化データの暗号化に使用し、前記第2の車載コンピュータは、前記第1の車載コンピュータから受信した前記第1の鍵の暗号化データの復号化に自己の第2の鍵を使用する、車載コンピュータシステムである。
(3)本発明の一態様は、上記(2)の車載コンピュータシステムにおいて、前記セキュアエレメントは、前記第2の車載コンピュータに保持される第2の鍵の生成に該第2の車載コンピュータの識別子と共に使用されたマスタ鍵と同じマスタ鍵を有し、該マスタ鍵と該第2の車載コンピュータから供給された該第2の車載コンピュータの識別子とを使用して該第2の車載コンピュータの第2の鍵を生成する、車載コンピュータシステムである。
(4)本発明の一態様は、車両に備わる車載コンピュータシステムにおいて、比較的高い処理能力を有する第1の暗号処理装置を備える第1の車載コンピュータと、比較的低い処理能力を有する第2の暗号処理装置を備える複数の第2の車載コンピュータと、を備え、前記第1の車載コンピュータと前記複数の第2の車載コンピュータが前記車両に備わる通信ネットワークに接続され、前記第1の車載コンピュータは、前記第2の車載コンピュータに適用されるコンピュータプログラムの電子署名を前記第1の暗号処理装置により検証し、前記コンピュータプログラムの期待値を前記第1の暗号処理装置により算出し、電子署名の検証が成功した前記コンピュータプログラムと該コンピュータプログラムの期待値を前記第2の車載コンピュータへ送信し、前記第2の車載コンピュータは、前記第1の車載コンピュータから受信した前記コンピュータプログラムと該コンピュータプログラムの期待値に対して、該期待値を前記第2の暗号処理装置により検証し、該期待値の検証が成功した前記コンピュータプログラムを起動する、車載コンピュータシステムである。
(5)本発明の一態様は、上記(4)の車載コンピュータシステムにおいて、前記第1の暗号処理装置及び前記第2の暗号処理装置よりも安全性の高いセキュアエレメントを備え、前記車両は、無線通信回線を介して、前記コンピュータプログラムと該コンピュータプログラムの電子署名を受信し、前記セキュアエレメントは、前記無線通信回線を介して交換される通信データを検証する、車載コンピュータシステムである。
(6)本発明の一態様は、上記(5)の車載コンピュータシステムにおいて、前記セキュアエレメントは、前記第1の暗号処理装置が前記コンピュータプログラムの電子署名を検証する際に使用する鍵、を検証する、車載コンピュータシステムである。
(7)本発明の一態様は、上記(5)又は(6)のいずれかの車載コンピュータシステムにおいて、前記車両は、無線通信回線を介して、前記第2の車載コンピュータに対する前記コンピュータプログラムの適用の結果と該結果の電子署名を送信し、前記セキュアエレメントは、前記第1の暗号処理装置が前記結果の電子署名を生成する際に使用する鍵、を検証する、車載コンピュータシステムである。
(8)本発明の一態様は、上記(1)から(7)のいずれかの車載コンピュータシステムを備える車両である。
(9)本発明の一態様は、車両に備わる車載コンピュータシステムが、比較的高い処理能力を有する第1の暗号処理装置を備える第1の車載コンピュータと、比較的低い処理能力を有する第2の暗号処理装置を備える複数の第2の車載コンピュータと、を備え、前記第1の車載コンピュータと前記複数の第2の車載コンピュータが前記車両に備わる通信ネットワークに接続され、前記第1の車載コンピュータが、前記第2の車載コンピュータで使用される第1の鍵を前記第1の暗号処理装置により暗号化し、前記第1の鍵の暗号化データを前記第2の車載コンピュータへ送信するステップと、前記第2の車載コンピュータが、前記第1の車載コンピュータから受信した前記第1の鍵の暗号化データを前記第2の暗号処理装置により復号化するステップと、を含む管理方法である。
(10)本発明の一態様は、車両に備わる車載コンピュータシステムが、比較的高い処理能力を有する第1の暗号処理装置を備える第1の車載コンピュータと、比較的低い処理能力を有する第2の暗号処理装置を備える複数の第2の車載コンピュータと、を備え、前記第1の車載コンピュータと前記複数の第2の車載コンピュータが前記車両に備わる通信ネットワークに接続され、前記第1の車載コンピュータが、前記第2の車載コンピュータに適用されるコンピュータプログラムの電子署名を前記第1の暗号処理装置により検証し、前記コンピュータプログラムの期待値を前記第1の暗号処理装置により算出し、電子署名の検証が成功した前記コンピュータプログラムと該コンピュータプログラムの期待値を前記第2の車載コンピュータへ送信するステップと、前記第2の車載コンピュータが、前記第1の車載コンピュータから受信した前記コンピュータプログラムと該コンピュータプログラムの期待値に対して、該期待値を前記第2の暗号処理装置により検証し、該期待値の検証が成功した前記コンピュータプログラムを起動するステップと、を含む管理方法である。
(11)本発明の一態様は、車両に備わる車載コンピュータシステムが、比較的高い処理能力を有する第1の暗号処理装置を備える第1の車載コンピュータと、比較的低い処理能力を有する第2の暗号処理装置を備える複数の第2の車載コンピュータと、を備え、前記第1の車載コンピュータと前記複数の第2の車載コンピュータが前記車両に備わる通信ネットワークに接続される前記車載コンピュータシステムの前記第1の車載コンピュータに、前記第2の車載コンピュータで使用される第1の鍵を前記第1の暗号処理装置により暗号化し、前記第1の鍵の暗号化データを、前記第2の暗号処理装置により復号化する前記第2の車載コンピュータへ送信するステップ、を実行させるためのコンピュータプログラムである。
(12)本発明の一態様は、車両に備わる車載コンピュータシステムが、比較的高い処理能力を有する第1の暗号処理装置を備える第1の車載コンピュータと、比較的低い処理能力を有する第2の暗号処理装置を備える複数の第2の車載コンピュータと、を備え、前記第1の車載コンピュータと前記複数の第2の車載コンピュータが前記車両に備わる通信ネットワークに接続される前記車載コンピュータシステムの前記第2の車載コンピュータに、前記第1の暗号処理装置により暗号化された前記第2の車載コンピュータで使用される第1の鍵の暗号化データを前記第1の車載コンピュータから受信し、該第1の鍵の暗号化データを前記第2の暗号処理装置により復号化するステップ、を実行させるためのコンピュータプログラムである。
(13)本発明の一態様は、車両に備わる車載コンピュータシステムが、比較的高い処理能力を有する第1の暗号処理装置を備える第1の車載コンピュータと、比較的低い処理能力を有する第2の暗号処理装置を備える複数の第2の車載コンピュータと、を備え、前記第1の車載コンピュータと前記複数の第2の車載コンピュータが前記車両に備わる通信ネットワークに接続される前記車載コンピュータシステムの前記第1の車載コンピュータに、前記第2の車載コンピュータに適用されるコンピュータプログラムの電子署名を前記第1の暗号処理装置により検証し、前記コンピュータプログラムの期待値を前記第1の暗号処理装置により算出し、電子署名の検証が成功した前記コンピュータプログラムと該コンピュータプログラムの期待値を、前記第2の暗号処理装置により検証する前記第2の車載コンピュータへ送信するステップ、を実行させるためのコンピュータプログラムである。
(14)本発明の一態様は、車両に備わる車載コンピュータシステムが、比較的高い処理能力を有する第1の暗号処理装置を備える第1の車載コンピュータと、比較的低い処理能力を有する第2の暗号処理装置を備える複数の第2の車載コンピュータと、を備え、前記第1の車載コンピュータと前記複数の第2の車載コンピュータが前記車両に備わる通信ネットワークに接続される前記車載コンピュータシステムの前記第2の車載コンピュータに、前記第2の車載コンピュータに適用されるコンピュータプログラムと前記第1の暗号処理装置により算出された該コンピュータプログラムの期待値を前記第1の車載コンピュータから受信し、該コンピュータプログラムと該コンピュータプログラムの期待値に対して、該期待値を前記第2の暗号処理装置により検証し、該期待値の検証が成功した該コンピュータプログラムを前記第2の車載コンピュータで起動するステップ、を実行させるためのコンピュータプログラムである。
本発明によれば、自動車等の車両に保持される鍵の管理や更新に寄与できるという効果が得られる。
本発明の一実施形態に係る自動車1を示す図である。 本発明の一実施形態に係る鍵の種類の例を示す図表である。 本発明の一実施形態に係る管理方法の例1を示すシーケンスチャートである。 本発明の一実施形態に係る管理方法の例2を示すシーケンスチャートである。 本発明の一実施形態に係る管理方法の例3を示すシーケンスチャートである。 本発明の一実施形態に係る管理方法の例4を示すシーケンスチャートである。 本発明の一実施形態に係る管理方法の例5を示すシーケンスチャートである。 本発明の一実施形態に係る管理方法の例6を示すシーケンスチャートである。
以下、図面を参照し、本発明の実施形態について説明する。なお、以下に示す実施形態では、車両として自動車を例に挙げて説明する。
図1は、本発明の一実施形態に係る自動車1を示す図である。図1において、自動車1は、マスタECU10と複数のエンドECU20を備える。マスタECU10及びエンドECU20は、自動車1に備わる車載コンピュータである。マスタECU10は、自動車1に搭載されたECUのうち、主となるECUである。エンドECU20は、自動車1に搭載されたECUのうち、従となるECUである。エンドECU20として、例えば、エンジン制御機能を有するECU、ハンドル制御機能を有するECU、ブレーキ制御機能を有するECUなどがある。
マスタECU10と複数のエンドECU20は、自動車1に備わる制御用ネットワーク30に接続される。制御用ネットワーク30は通信ネットワークである。制御用ネットワーク30として、例えばCAN(Controller Area Network)を使用してもよい。CANは車両に搭載される通信ネットワークの一つとして知られている。
マスタECU10は、制御用ネットワーク30を介して、各エンドECU20との間でデータを交換する。エンドECU20は、制御用ネットワーク30を介して、他のエンドECU20との間でデータを交換する。
自動車1は診断ポート60を備える。診断ポート60として、例えばOBDポートを使用してもよい。診断ポート60には診断端末を接続可能である。診断ポート60はマスタECU10に接続される。マスタECU10と診断ポート60に接続された診断端末とは、診断ポート60を介して、データを交換する。
自動車1はインフォテイメント(Infotainment)機器40を備える。インフォテイメント機器40として、例えば、ナビゲーション機能、位置情報サービス機能、音楽や動画などのマルチメディア再生機能、音声通信機能、データ通信機能、インターネット接続機能などを有するものが挙げられる。インフォテイメント機器40はマスタECU10に接続される。マスタECU10は、インフォテイメント機器40から入力された情報をエンドECU20へ送信する。
自動車1は、DCM(Data Communication Module)50を備える。DCM50は通信装置である。DCM50は通信モジュール51を備える。通信モジュール51は、無線通信ネットワークを利用して無線通信を行う。通信モジュール51は、SIM(Subscriber Identity Module)52を備える。SIM52は、無線通信ネットワークの契約者情報が書き込まれたSIMである。通信モジュール51は、SIM52を使用することにより該無線通信ネットワークに接続して無線通信を行うことができる。
SIM52は、鍵を記憶する鍵記憶部53を備える。なお、SIM52として、eSIM(Embedded Subscriber Identity Module)を使用してもよい。SIM及びeSIMはセキュアエレメントの例である。セキュアエレメントは耐タンパー性(Tamper Resistant)を有する。SIM及びeSIMは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。
DCM50はインフォテイメント機器40に接続される。インフォテイメント機器40は、DCM50により、自動車1の外部の装置と通信を行う。マスタECU10は、インフォテイメント機器40を介して、DCM50の通信モジュール51とデータを交換する。
なお、図1の構成ではマスタECU10がインフォテイメント機器40を介して通信モジュール51とデータを交換するが、これに限定されない。マスタECU10とDCM50を直接接続し、マスタECU10が、インフォテイメント機器40を介さずに、通信モジュール51とデータを交換してもよい。
マスタECU10は、メイン演算器11とHSM(Hardware Security Module)12を備える。メイン演算器11は、マスタECU10の機能を実現させるためのコンピュータプログラムを実行する。HSM12は暗号処理機能を有する。HSM12は耐タンパー性を有する。HSM12は、鍵を記憶する鍵記憶部13を備える。メイン演算器11はHSM12を使用する。
エンドECU20は、メイン演算器21とSHE(Secure Hardware Extension)22を備える。メイン演算器21は、エンドECU20の機能を実現させるためのコンピュータプログラムを実行する。SHE22は暗号処理機能を有する。SHE22は耐タンパー性を有する。SHE22は、鍵を記憶する鍵記憶部23を備える。メイン演算器21はSHE22を使用する。
自動車1に備わる車載コンピュータシステム2は、マスタECU10と複数のエンドECU20とが制御用ネットワーク30に接続されて構成される。マスタECU10は、ゲートウェイ機能を有し、主ゲートウェイ(Central GW)として、車載コンピュータシステム2の内部と外部の間の通信を監視する。なお、車載コンピュータシステム2は、通信モジュール51のSIM52をさらに含んで構成されてもよい。
図2は、本実施形態に係る鍵の種類の例を示す図表である。自動車1の車載コンピュータシステム2が使用する鍵の種類の例として、図2に示される複数の鍵の種類が挙げられる。図2には、鍵の種類毎に、鍵の安全性の要求のレベルと鍵の配布の高速性の要求のレベルが示される。例えば、マスタ(Master)鍵及びRoot証明書は、安全性の要求が最も高いが、高速性の要求がない。鍵交換鍵及びMAC(Message Authentication Code:メッセージ認証コード)鍵は、高速性の要求がある。
本実施形態では、鍵の安全性の要求のレベルが比較的高い鍵に関する処理をSIM52が主体となって実行する。また、鍵の配布の高速性の要求のレベルが比較的高い鍵に関する処理をHSM12が主体となって行う。SIM52は、HSM12及びSHE22よりも安全性の高いセキュアエレメントである。HSM12及びSHE22は、SIM52よりも高い処理能力を有する。HSM12は、SHE22よりも高い処理能力を有する。
HSM12は第1の暗号処理装置の例である。マスタECU10は第1の車載コンピュータの例である。SHE22は第2の暗号処理装置の例である。エンドECU20は第2の車載コンピュータの例である。SIM52は、第1の暗号処理装置及び第2の暗号処理装置よりも安全性の高いセキュアエレメントの例である。
次に、本実施形態に係る管理方法を説明する。なお、以下の説明において、DCM50の通信モジュール51とマスタECU10はインフォテイメント機器40を介してデータを送受する。マスタECU10とエンドECU20は、制御用ネットワーク30を介してデータを送受する。
[管理方法の例1]
図3を参照して、本実施形態に係る管理方法の例1を説明する。図3は、本実施形態に係る管理方法の例1を示すシーケンスチャートである。本実施形態に係る管理方法の例1は、自動車1に対して新たにエンドECU20が実装される場合の鍵交換鍵の配布に関する方法である。鍵交換鍵は第1の鍵の例である。
マスタECU10のHSM12は、自動車1に既に搭載されているエンドECU20の初期鍵を鍵記憶部13に記憶している。また、鍵記憶部13は、最新の鍵交換鍵Kx2を記憶している。鍵交換鍵Kx2は、自動車1に既に搭載されているエンドECU20に対して過去に配布した最新の鍵交換鍵である。
以下の管理方法の例1の説明では、自動車1に対して新たに実装される一つのエンドECU20について説明する。エンドECU20のSHE22は、自エンドECU20の初期鍵Ki5を鍵記憶部23に記憶している。エンドECU20は、自己の識別子ECU_IDを有する。SIM52は、マスタ鍵を鍵記憶部53に記憶している。SIM52の鍵記憶部53に記憶されるマスタ鍵は、エンドECU20の鍵記憶部23に記憶される初期鍵Ki5の生成に該エンドECU20の識別子ECU_IDと共に使用されたマスタ鍵と同じマスタ鍵である。エンドECU20の初期鍵Ki5は第2の鍵の例である。
(ステップS10)エンドECU20は、自動車1に搭載されてから初めて電源投入された時に、自己の識別子ECU_IDをSIM52へ供給する。エンドECU20の識別子ECU_IDは、エンドECU20からマスタECU10を介して通信モジュール51へ送信される。通信モジュール51は、該受信したエンドECU20の識別子ECU_IDをSIM52へ供給する。
(ステップS11)SIM52は、鍵記憶部53からマスタ鍵を取得し、取得したマスタ鍵とエンドECU20の識別子ECU_IDを使用して該エンドECU20の初期鍵Ki5を生成する。通信モジュール51は、SIM52が生成したエンドECU20の初期鍵Ki5と該エンドECU20の識別子ECU_IDの組をマスタECU10へ送信する。マスタECU10は、該受信したエンドECU20の初期鍵Ki5と該エンドECU20の識別子ECU_IDの組をHSM12へ供給する。HSM12は、該エンドECU20の識別子ECU_IDに関連付けて該エンドECU20の初期鍵Ki5を鍵記憶部13に記憶する。これにより、マスタECU10は、エンドECU20と、該エンドECU20の初期鍵Ki5を共有する。
エンドECU20の初期鍵の生成方法は予め定められている。エンドECU20の初期鍵の生成方法の例1、例2を説明する。
(エンドECU20の初期鍵の生成方法の例1)
エンドECU20の初期鍵の生成方法の例1では、ハッシュ(hash)関数を利用する。例えば、マスタ鍵とエンドECU20の識別子ECU_IDの連結データを入力値に使用してハッシュ値を算出し、算出したハッシュ値をエンドECU20の初期鍵に使用してもよい。
(ECU初期鍵の生成方法の例2)
エンドECU20の初期鍵の生成方法の例2では、排他的論理和演算を利用する。例えば、マスタ鍵とエンドECU20の識別子ECU_IDの排他的論理和演算を実行し、演算結果の値「マスタ鍵 xor 識別子ECU_ID」をエンドECU20の初期鍵に使用してもよい。但し、「A xor B」はAとBの排他的論理和である。
(ステップS12)マスタECU10のHSM12は、乱数Rnを生成し、生成した乱数Rnをチャレンジ値とする。マスタECU10は、チャレンジ値RnをエンドECU20へ送信する。
(ステップS13)エンドECU20は、マスタECU10から受信したチャレンジ値RnをSHE22へ供給する。SHE22は、該チャレンジ値Rnを鍵記憶部23に記憶される自エンドECU20の初期鍵Ki5で暗号化した暗号化データKi5(Rn)を生成する。エンドECU20は、暗号化データKi5(Rn)をレスポンス値として、マスタECU10へ送信する。マスタECU10は、該受信したレスポンス値Ki5(Rn)をHSM12へ供給する。
HSM12は、該レスポンス値Ki5(Rn)に対して、レスポンスマッチング処理を実行する。レスポンスマッチング処理では、HSM12は、鍵記憶部13に記憶されるエンドECU20の初期鍵Ki5を使用して、レスポンス値Ki5(Rn)を検証する。レスポンス値Ki5(Rn)の検証方法として、以下に示す検証方法の例1、2が挙げられる。
(検証方法の例1)
HSM12は、鍵記憶部13に記憶される複数の初期鍵Ki1、・・・、Ki5、・・・の各々でチャレンジ値Rnを暗号化し、各暗号化結果がレスポンス値Ki5(Rn)に一致するかを判定する。判定の結果、レスポンス値Ki5(Rn)に一致する暗号化結果が一つだけある場合には、レスポンス値Ki5(Rn)の検証が成功である。一方、判定の結果、レスポンス値Ki5(Rn)に一致する暗号化結果がない場合、及び、レスポンス値Ki5(Rn)に一致する暗号化結果が複数ある場合には、レスポンス値Ki5(Rn)の検証が失敗である。
(検証方法の例2)
HSM12は、鍵記憶部13に記憶される複数の初期鍵Ki1、・・・、Ki5、・・・の各々でレスポンス値Ki5(Rn)を復号化し、各復号化結果がチャレンジ値Rnに一致するかを判定する。判定の結果、チャレンジ値Rnに一致する復号化結果が一つだけある場合には、レスポンス値Ki5(Rn)の検証が成功である。一方、判定の結果、チャレンジ値Rnに一致する復号化結果がない場合、及び、チャレンジ値Rnに一致する復号化結果が複数ある場合には、レスポンス値Ki5(Rn)の検証が失敗である。
レスポンス値Ki5(Rn)の検証が成功である場合には以降のステップへ進む。一方、レスポンス値Ki5(Rn)の検証が失敗である場合には、図3の処理を終了する。なお、レスポンス値Ki5(Rn)の検証が失敗である場合には、所定のエラー処理を行ってもよい。
(ステップS14)エンドECU20のSHE22は、乱数Rn’を生成し、生成した乱数Rn’をチャレンジ値とする。エンドECU20は、チャレンジ値Rn’をマスタECU10へ送信する。
(ステップS15)マスタECU10は、エンドECU20から受信したチャレンジ値Rn’をHSM12へ供給する。HSM12は、該チャレンジ値Rn’を、上記ステップS13のレスポンス値Ki5(Rn)の検証で成功した際に使用されたエンドECU20の初期鍵Ki5で暗号化した暗号化データKi5(Rn’)を生成する。マスタECU10は、暗号化データKi5(Rn’)をレスポンス値として、エンドECU20へ送信する。エンドECU20は、該受信したレスポンス値Ki5(Rn’)をSHE22へ供給する。
SHE22は、該レスポンス値Ki5(Rn’)に対して、レスポンスマッチング処理を実行する。レスポンスマッチング処理では、SHE22は、鍵記憶部23に記憶される自エンドECU20の初期鍵Ki5を使用して、レスポンス値Ki5(Rn’)を検証する。レスポンス値Ki5(Rn’)の検証方法としては、上述した検証方法の例1、2と同様の方法が挙げられる。
レスポンス値Ki5(Rn’)の検証が成功である場合には以降のステップへ進む。一方、レスポンス値Ki5(Rn’)の検証が失敗である場合には、図3の処理を終了する。なお、レスポンス値Ki5(Rn’)の検証が失敗である場合には、所定のエラー処理を行ってもよい。
(ステップS16)マスタECU10のHSM12は、上記ステップS13のレスポンス値Ki5(Rn)の検証で成功した際に使用されたエンドECU20の初期鍵Ki5を使用して、鍵記憶部13に記憶される鍵交換鍵Kx2を暗号化し、暗号化鍵交換鍵Ki5(Kx2)を生成する。マスタECU10は、暗号化鍵交換鍵Ki5(Kx2)をエンドECU20へ送信する。エンドECU20は、該受信した暗号化鍵交換鍵Ki5(Kx2)をSHE22へ供給する。
(ステップS17)エンドECU20のSHE22は、暗号化鍵交換鍵Ki5(Kx2)を、鍵記憶部23に記憶される自エンドECU20の初期鍵Ki5で復号化する。この復号化結果として鍵交換鍵Kx2が得られる。
(ステップS18)エンドECU20のSHE22は、該復号化結果の鍵交換鍵Kx2を鍵記憶部23に記憶する。
上述の管理方法の例1では、SIM52が、鍵の安全性の要求のレベルが比較的高いマスタ鍵を有し、該マスタ鍵を使用してエンドECU20の初期鍵を生成する。また、HSM12が、鍵の配布の高速性の要求のレベルが比較的高い鍵交換鍵の配布時の処理を実行する。
[管理方法の例2]
図4を参照して、本実施形態に係る管理方法の例2を説明する。図4は、本実施形態に係る管理方法の例2を示すシーケンスチャートである。本実施形態に係る管理方法の例2は、自動車1に搭載されているエンドECU20に対する鍵交換鍵の更新に関する方法である。鍵交換鍵は第1の鍵の例である。
マスタECU10のHSM12は、最新の鍵交換鍵Kx2を鍵記憶部13に記憶している。鍵交換鍵Kx2は、自動車1に既に搭載されているエンドECU20に対して過去に配布した最新の鍵交換鍵である。
以下の管理方法の例2の説明では、鍵交換鍵の更新の対象である一つのエンドECU20について説明する。エンドECU20のSHE22は、鍵交換鍵Kx2を鍵記憶部23に記憶している。
(ステップS21)マスタECU10のHSM12は、新しい鍵交換鍵Kx3を生成する。
(ステップS22)マスタECU10のHSM12は、鍵記憶部13に記憶される鍵交換鍵Kx2を使用して鍵交換鍵Kx3を暗号化し、暗号化鍵交換鍵Kx2(Kx3)を生成する。マスタECU10は、暗号化鍵交換鍵Kx2(Kx3)をエンドECU20へ送信する。エンドECU20は、該受信した暗号化鍵交換鍵Kx2(Kx3)をSHE22へ供給する。
(ステップS23)エンドECU20のSHE22は、暗号化鍵交換鍵Kx2(Kx3)を、鍵記憶部23に記憶される鍵交換鍵Kx2で復号化する。この復号化結果として鍵交換鍵Kx3が得られる。
(ステップS24)エンドECU20のSHE22は、該復号化結果の鍵交換鍵Kx3を最新の鍵交換鍵として鍵記憶部23に記憶する。これにより、エンドECU20のSHE22の鍵記憶部23に記憶される鍵交換鍵が、最新の鍵交換鍵Kx3に更新される。
上述の管理方法の例2では、HSM12が、鍵の配布の高速性の要求のレベルが比較的高い鍵交換鍵の更新時の処理を実行する。
[管理方法の例3]
図5を参照して、本実施形態に係る管理方法の例3を説明する。図5は、本実施形態に係る管理方法の例3を示すシーケンスチャートである。本実施形態に係る管理方法の例3は、自動車1に搭載されているエンドECU20に対するMAC鍵の更新に関する方法である。MAC鍵は第1の鍵の例である。
マスタECU10のHSM12は、最新の鍵交換鍵Kx3を鍵記憶部13に記憶している。鍵交換鍵Kx3は、自動車1に既に搭載されているエンドECU20に対して過去に配布した最新の鍵交換鍵である。
以下の管理方法の例3の説明では、MAC鍵の更新の対象である一つのエンドECU20について説明する。エンドECU20のSHE22は、鍵交換鍵Kx3を鍵記憶部23に記憶している。
(ステップS30)エンドECU20のSHE22は、MAC鍵k7を鍵記憶部23に記憶している。MAC鍵k7は、マスタECU10から過去に配布された最新のMAC鍵である。
(ステップS31)マスタECU10のHSM12は、新しいMAC鍵k8を生成する。
(ステップS32)マスタECU10のHSM12は、鍵記憶部13に記憶される鍵交換鍵Kx3を使用してMAC鍵k8を暗号化し、暗号化MAC鍵Kx3(k8)を生成する。マスタECU10は、暗号化MAC鍵Kx3(k8)をエンドECU20へ送信する。エンドECU20は、該受信した暗号化MAC鍵Kx3(k8)をSHE22へ供給する。
(ステップS33)エンドECU20のSHE22は、暗号化MAC鍵Kx3(k8)を、鍵記憶部23に記憶される鍵交換鍵Kx3で復号化する。この復号化結果としてMAC鍵k8が得られる。
(ステップS34)エンドECU20のSHE22は、該復号化結果のMAC鍵k8を最新のMAC鍵として鍵記憶部23に記憶する。これにより、エンドECU20のSHE22の鍵記憶部23に記憶されるMAC鍵が、最新のMAC鍵k8に更新される。
上述の管理方法の例3では、HSM12が、鍵の配布の高速性の要求のレベルが比較的高いMAC鍵の更新時の処理を実行する。
[管理方法の例4]
図6を参照して、本実施形態に係る管理方法の例4を説明する。図6は、本実施形態に係る管理方法の例4を示すシーケンスチャートである。本実施形態に係る管理方法の例4は、自動車1に搭載されているエンドECU20に対するコンピュータプログラムの更新に関する方法である。
マスタECU10のHSM12の鍵記憶部13は、コード署名鍵と期待値登録鍵とセキュアブート署名鍵_車内とセキュアブート署名鍵_車外を記憶している。
以下の管理方法の例4の説明では、コンピュータプログラムの更新の対象である一つのエンドECU20について説明する。エンドECU20のSHE22の鍵記憶部23は、セキュアブート署名鍵_車内を記憶している。
(ステップS41)管理サーバ装置100は、コード署名鍵を使用してECUコード200の電子署名210を生成する。ECUコード200は、エンドECU20のコンピュータプログラムのプログラムコードであってもよく、又は、データであってもよい。管理サーバ装置100は、電子署名210付きECUコード200を、通信回線を介して診断ツール110へ送信する。診断ツール110は、自動車整備工場等の作業者によって自動車1の診断ポート60に接続される。電子署名210付きECUコード200は、診断ツール110から診断ポート60を介してマスタECU10に送信される。マスタECU10は、該受信した電子署名210付きECUコード200をHSM12へ供給する。
(ステップS42)マスタECU10のHSM12は、鍵記憶部13に記憶されるコード署名鍵を使用して、電子署名210を検証する。電子署名210の検証が成功である場合には以降の処理を実行する。一方、電子署名210の検証が失敗である場合には、図6の処理を終了する。なお、電子署名210の検証が失敗である場合には、所定のエラー処理を行ってもよい。
HSM12は、電子署名210の検証が成功したECUコード200に対して、期待値登録鍵を使用して期待値を計算する。ECUコード200の期待値として、例えば、ECUコード200のCMAC(Cipher-based Message Authentication Code)を利用してもよい。マスタECU10は、電子署名210の検証が成功したECUコード200と該ECUコード200の期待値をエンドECU20へ送信する。
(ステップS43)エンドECU20は、マスタECU10から受信したECUコード200を自己に適用する。また、エンドECU20は、マスタECU10から受信したECUコード200の期待値をSHE22へ供給する。SHE22は、該ECUコード200の期待値を保持する。
(ステップS44)エンドECU20はセキュアブートを実行する。このセキュアブートでは、ブートローダによってECUコード200がSHE22へ供給される。そして、SHE22が、自己で保持する期待値登録鍵を使用して、ECUコード200の期待値を計算する。そして、SHE22が、該計算結果の期待値と自己で保持するECUコード200の期待値を比較する。SHE22は、該比較の結果、両者が一致した場合にはブートローダへECUコード200の検証の成功を応答する。ブートローダは、SHE22からの応答が検証の成功である場合に、ECUコード200を起動する。一方、SHE22は、該比較の結果、両者が不一致の場合にはブートローダへECUコード200の検証の失敗を応答する。ブートローダは、SHE22からの応答が検証の失敗である場合に、ECUコード200を起動しない。
SHE22は、ECUコード200の検証の成功を示す成功応答メッセージを出力する。SHE22は、該成功応答メッセージとして、ECUコード200の検証の成功を示す情報を、鍵記憶部23に記憶されるセキュアブート署名鍵_車内で暗号化したデータを出力する。ECUコード200の検証の成功を示す情報として、ECUコード200の期待値を使用してもよい。エンドECU20は、セキュアブートの結果、ECUコード200の検証が成功した場合に、成功応答メッセージをマスタECU10へ送信する。マスタECU10は、該受信した成功応答メッセージをHSM12へ供給する。
(ステップS45)マスタECU10のHSM12は、鍵記憶部13に記憶されるセキュアブート署名鍵_車内を使用して成功応答メッセージを復号化し、成功応答メッセージの内容を検証する。成功応答メッセージに期待値が含まれる場合には、HSM12は、上記ステップS42でエンドECU20へ送信したECUコード200の期待値と、成功応答メッセージに含まれる期待値との一致を調べる。
HSM12は、成功応答メッセージの内容の検証が成功した場合、鍵記憶部13に記憶されるセキュアブート署名鍵_車外を使用して、ECUコード200の更新の成功を示す結果220の電子署名230を生成する。結果220として、ECUコード200の期待値を使用してもよい。なお、成功応答メッセージの内容の検証が失敗した場合には、所定のエラー処理を行ってもよい。
(ステップS46)マスタECU10は、電子署名230付き結果220を、診断ポート60を介して、診断ツール110へ送信する。診断ツール110は、通信回線を介して、電子署名230付き結果220を管理サーバ装置100へ送信する。管理サーバ装置100は、該受信した電子署名230付き結果220を記録する。
上述の管理方法の例4では、HSM12が、主体となってECUコード200の更新時の処理を実行する。
[管理方法の例5]
図7を参照して、本実施形態に係る管理方法の例5を説明する。図7は、本実施形態に係る管理方法の例5を示すシーケンスチャートである。本実施形態に係る管理方法の例5は、自動車1に搭載されているエンドECU20に対するコンピュータプログラムの更新に関する方法である。管理方法の例5では、上記の管理方法の例4に対して、さらに通信モジュール51のSIM52を使用する。図7において、上記の図6の各ステップに対応する部分には同一の符号を付け、その説明を省略する。以下、上記の管理方法の例4と異なる点を主に説明する。
通信モジュール51のSIM52の鍵記憶部53は、VPN(Virtual Private Network)鍵とRoot証明書を記憶している。VPN鍵は車外通信鍵の例である。Root証明書は、コード署名鍵及びセキュアブート署名鍵_車外の正当性の検証に使用される鍵である。
(ステップS51)管理サーバ装置100は、コード署名鍵を使用してECUコード200の電子署名210を生成する。管理サーバ装置100は、電子署名210付きECUコード200を、VPNを介して通信モジュール51へ送信する。VPNは、無線通信回線を利用して構成される。通信モジュール51のSIM52は、鍵記憶部53に記憶されるVPN鍵を使用して、VPNを介して交換される通信データの暗号化及び復号化を実行する。これにより、電子署名210付きECUコード200は、管理サーバ装置100からVPNを介して、安全に、通信モジュール51で受信される。
(ステップS52)通信モジュール51のSIM52は、鍵記憶部53に記憶されるRoot証明書を使用して、マスタECU10のHSM12の鍵記憶部13に記憶されるコード署名鍵及びセキュアブート署名鍵_車外を検証する。コード署名鍵及びセキュアブート署名鍵_車外の両方の検証が成功である場合には以降の処理を実行する。一方、少なくともコード署名鍵の検証が失敗である場合には、図7の処理を終了する。又は、コード署名鍵又はセキュアブート署名鍵_車外のいずれかの検証が失敗である場合に、図7の処理を終了するようにしてもよい。なお、コード署名鍵又はセキュアブート署名鍵_車外のいずれかの検証が失敗である場合には、所定のエラー処理を行ってもよい。
(ステップS53)通信モジュール51は、電子署名210付きECUコード200をマスタECU10へ送信する。マスタECU10は、該受信した電子署名210付きECUコード200をHSM12へ供給する。
次いで、上記の図6を参照して説明した管理方法の例4と同様に、ステップS42〜S45が実行される。
(ステップS54)マスタECU10は、電子署名230付き結果220を、通信モジュール51へ送信する。通信モジュール51は、該受信した電子署名230付き結果220を、VPNを介して管理サーバ装置100へ送信する。電子署名230付き結果220は、通信モジュール51からVPNを介して、安全に、管理サーバ装置100で受信される。管理サーバ装置100は、該受信した電子署名230付き結果220を記録する。
上述の管理方法の例5では、SIM52が、鍵の安全性の要求のレベルが比較的高いRoot証明書を有し、該Root証明書を使用してマスタECU10に保持されるコード署名鍵及びセキュアブート署名鍵_車外を検証する。また、SIM52が、鍵の安全性の要求のレベルが比較的高いVPN鍵を有し、該VPN鍵を使用して、VPNを介して交換される通信データの暗号化及び復号化を実行する。また、上記の管理方法の例4と同様に、HSM12が、主体となってECUコード200の更新時の処理を実行する。
なお、Root証明書がVPN鍵の正当性の検証に使用される鍵であってもよく、SIM52が該Root証明書を使用してVPN鍵を検証してもよい。上述の管理方法の例5では、VPN鍵がSIM52の鍵記憶部53に記憶されているので、VPN鍵の安全性が高い。このため、上述の管理方法の例5では、VPN鍵の検証を実施していない。
本実施形態に係る管理方法の例4と例5の差分は、管理サーバ装置100とマスタECU10間の通信経路のみである。したがって、診断ポート60経由の通信経路を利用するか、又は、通信モジュール51経由の通信経路を利用するかを適宜選択すればよく、本実施形態に係る管理方法の例4と例5を併用することができる。
[管理方法の例6]
図8を参照して、本実施形態に係る管理方法の例6を説明する。図8は、本実施形態に係る管理方法の例6を示すシーケンスチャートである。本実施形態に係る管理方法の例6は、自動車1に搭載されているエンドECU20に対するコンピュータプログラムの更新に関する方法である。管理方法の例6では、上記の管理方法の例5と同様に通信モジュール51のSIM52を使用するが、上記の管理方法の例5においてマスタECU10のHSM12が実行した処理もSIM52が実行する。図8において、上記の図6及び図7の各ステップに対応する部分には同一の符号を付け、その説明を省略する。以下、主に、上記の管理方法の例5と異なる点を説明する。
通信モジュール51のSIM52の鍵記憶部53は、VPN鍵とRoot証明書とコード署名鍵と期待値登録鍵とセキュアブート署名鍵_車内とセキュアブート署名鍵_車外を記憶している。
上記の図7を参照して説明した管理方法の例5と同様に、ステップS51,S52が実行される。但し、本管理方法の例6のステップS52では、通信モジュール51のSIM52は、鍵記憶部53に記憶されるRoot証明書を使用して、該鍵記憶部53に記憶されるコード署名鍵及びセキュアブート署名鍵_車外を検証する。
(ステップS42a)ステップS42aは、上記の図6を参照して説明した管理方法の例4のステップS42に対応する。管理方法の例4のステップS42ではマスタECU10のHSM12が実行した処理を、本管理方法の例6のステップS42aでは通信モジュール51のSIM52が実行する。
通信モジュール51のSIM52は、電子署名210付きECUコード200に対して、鍵記憶部53に記憶されるコード署名鍵を使用して電子署名210を検証する。電子署名210の検証が成功である場合には以降の処理を実行する。一方、電子署名210の検証が失敗である場合には、図8の処理を終了する。なお、電子署名210の検証が失敗である場合には、所定のエラー処理を行ってもよい。
SIM52は、電子署名210の検証が成功したECUコード200に対して、期待値登録鍵を使用して期待値を計算する。ECUコード200の期待値として、例えば、ECUコード200のCMACを利用してもよい。通信モジュール51は、電子署名210の検証が成功したECUコード200と該ECUコード200の期待値を、マスタECU10を介してエンドECU20へ送信する。
次いで、上記の図6を参照して説明した管理方法の例4と同様に、ステップS43,S44が実行される。但し、ECUコード200からマスタECU10へ送信された成功応答メッセージは、マスタECU10を介して、通信モジュール51へ送られる(ステップS44a)。
(ステップS45a)ステップS45aは、上記の図6を参照して説明した管理方法の例4のステップS45に対応する。管理方法の例4のステップS45ではマスタECU10のHSM12が実行した処理を、本管理方法の例6のステップS45aでは通信モジュール51のSIM52が実行する。
通信モジュール51のSIM52は、鍵記憶部53に記憶されるセキュアブート署名鍵_車内を使用して成功応答メッセージを復号化し、成功応答メッセージの内容を検証する。成功応答メッセージに期待値が含まれる場合には、SIM52は、上記ステップS42aでエンドECU20へ送信したECUコード200の期待値と、成功応答メッセージに含まれる期待値との一致を調べる。
SIM52は、成功応答メッセージの内容の検証が成功した場合、鍵記憶部53に記憶されるセキュアブート署名鍵_車外を使用して、ECUコード200の更新の成功を示す結果220の電子署名230を生成する。結果220として、ECUコード200の期待値を使用してもよい。なお、成功応答メッセージの内容の検証が失敗した場合には、所定のエラー処理を行ってもよい。
(ステップS54)通信モジュール51は、電子署名230付き結果220を、VPNを介して管理サーバ装置100へ送信する。電子署名230付き結果220は、通信モジュール51からVPNを介して、安全に、管理サーバ装置100で受信される。管理サーバ装置100は、該受信した電子署名230付き結果220を記録する。
上述の管理方法の例6では、SIM52が、鍵の安全性の要求のレベルが比較的高いRoot証明書を有し、該Root証明書を使用してコード署名鍵及びセキュアブート署名鍵_車外を検証する。また、SIM52が、鍵の安全性の要求のレベルが比較的高いVPN鍵を有し、該VPN鍵を使用して、VPNを介して交換される通信データの暗号化及び復号化を実行する。また、SIM52が、主体となってECUコード200の更新時の処理を実行する。管理方法の例6は、例えば、即時性が要求されないECUコードの更新に適用することが挙げられる。
なお、通信モジュール51は、マスタECU10を介して、診断ポート60に接続された診断ツール110とデータを交換することができる。これにより、上記の図6を参照して説明した管理方法の例4のステップS41,S46のように、通信モジュール51は、診断ポート60経由の通信経路を利用して、電子署名210付きECUコード200を受信したり、電子署名230付き結果220を送信したりすることができる。
上述した実施形態によれば、鍵の安全性の要求のレベルと鍵の配布の高速性の要求のレベルに応じてSIM52、HSM12及びSIM52を使い分けすることができる。これにより、鍵の安全性と鍵の配布の高速性の両者のバランスを取ることができるようになる。
例えば、マスタECU10のHSM12がMAC鍵の更新時の処理を実行することにより、マスタECU10が自動車1のエンジン始動時にMAC鍵を生成して各エンドECU20と共有することを迅速に実行することができる。一方、通信モジュール51のSIM52がマスタ鍵を有し、該マスタ鍵を使用してエンドECU20の初期鍵を生成することにより、マスタ鍵の安全性の要求に応えることができる。
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
例えば、TPM(Trusted Platform Module)と呼ばれる暗号処理チップを第1の暗号処理装置又は第2の暗号処理装置に使用してもよい。TPMは耐タンパー性のある暗号処理チップである。TPMについては、例えば非特許文献3に記載されている。
また、上述の実施形態では、車両として自動車を例に挙げたが、原動機付自転車や鉄道車両等の自動車以外の他の車両にも適用可能である。
また、上述した車載コンピュータシステム2の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
1…自動車、2…車載コンピュータシステム、10…マスタECU、11,21…メイン演算器、12…HSM、13,23,53…鍵記憶部、20…エンドECU、22…SHE、40…インフォテイメント機器、50…DCM、51…通信モジュール、52…SIM、60…診断ポート、100…管理サーバ装置、110…診断ツール

Claims (14)

  1. 車両に備わる車載コンピュータシステムにおいて、
    比較的高い処理能力を有する第1の暗号処理装置を備える第1の車載コンピュータと、
    比較的低い処理能力を有する第2の暗号処理装置を備える複数の第2の車載コンピュータと、を備え、
    前記第1の車載コンピュータと前記複数の第2の車載コンピュータが前記車両に備わる通信ネットワークに接続され、
    前記第1の車載コンピュータは、前記第2の車載コンピュータで使用される第1の鍵を前記第1の暗号処理装置により暗号化し、前記第1の鍵の暗号化データを前記第2の車載コンピュータへ送信し、
    前記第2の車載コンピュータは、前記第1の車載コンピュータから受信した前記第1の鍵の暗号化データを前記第2の暗号処理装置により復号化する、
    車載コンピュータシステム。
  2. 前記第1の暗号処理装置及び前記第2の暗号処理装置よりも安全性の高いセキュアエレメントを備え、
    前記セキュアエレメントは、前記第2の車載コンピュータに保持される各前記第2の車載コンピュータで別個の第2の鍵を生成し、該第2の鍵を前記第1の車載コンピュータへ供給し、
    前記第1の車載コンピュータは、前記セキュアエレメントから供給された第2の鍵のうち、前記第1の鍵の暗号化データの送信先の前記第2の車載コンピュータの第2の鍵を該暗号化データの暗号化に使用し、
    前記第2の車載コンピュータは、前記第1の車載コンピュータから受信した前記第1の鍵の暗号化データの復号化に自己の第2の鍵を使用する、
    請求項1に記載の車載コンピュータシステム。
  3. 前記セキュアエレメントは、前記第2の車載コンピュータに保持される第2の鍵の生成に該第2の車載コンピュータの識別子と共に使用されたマスタ鍵と同じマスタ鍵を有し、該マスタ鍵と該第2の車載コンピュータから供給された該第2の車載コンピュータの識別子とを使用して該第2の車載コンピュータの第2の鍵を生成する、
    請求項2に記載の車載コンピュータシステム。
  4. 車両に備わる車載コンピュータシステムにおいて、
    比較的高い処理能力を有する第1の暗号処理装置を備える第1の車載コンピュータと、
    比較的低い処理能力を有する第2の暗号処理装置を備える複数の第2の車載コンピュータと、を備え、
    前記第1の車載コンピュータと前記複数の第2の車載コンピュータが前記車両に備わる通信ネットワークに接続され、
    前記第1の車載コンピュータは、前記第2の車載コンピュータに適用されるコンピュータプログラムの電子署名を前記第1の暗号処理装置により検証し、前記コンピュータプログラムの期待値を前記第1の暗号処理装置により算出し、電子署名の検証が成功した前記コンピュータプログラムと該コンピュータプログラムの期待値を前記第2の車載コンピュータへ送信し、
    前記第2の車載コンピュータは、前記第1の車載コンピュータから受信した前記コンピュータプログラムと該コンピュータプログラムの期待値に対して、該期待値を前記第2の暗号処理装置により検証し、該期待値の検証が成功した前記コンピュータプログラムを起動する、
    車載コンピュータシステム。
  5. 前記第1の暗号処理装置及び前記第2の暗号処理装置よりも安全性の高いセキュアエレメントを備え、
    前記車両は、無線通信回線を介して、前記コンピュータプログラムと該コンピュータプログラムの電子署名を受信し、
    前記セキュアエレメントは、前記無線通信回線を介して交換される通信データを検証する、
    請求項4に記載の車載コンピュータシステム。
  6. 前記セキュアエレメントは、前記第1の暗号処理装置が前記コンピュータプログラムの電子署名を検証する際に使用する鍵、を検証する、
    請求項5に記載の車載コンピュータシステム。
  7. 前記車両は、無線通信回線を介して、前記第2の車載コンピュータに対する前記コンピュータプログラムの適用の結果と該結果の電子署名を送信し、
    前記セキュアエレメントは、前記第1の暗号処理装置が前記結果の電子署名を生成する際に使用する鍵、を検証する、
    請求項5又は6のいずれか1項に記載の車載コンピュータシステム。
  8. 請求項1から7のいずれか1項に記載の車載コンピュータシステムを備える車両。
  9. 車両に備わる車載コンピュータシステムが、比較的高い処理能力を有する第1の暗号処理装置を備える第1の車載コンピュータと、比較的低い処理能力を有する第2の暗号処理装置を備える複数の第2の車載コンピュータと、を備え、
    前記第1の車載コンピュータと前記複数の第2の車載コンピュータが前記車両に備わる通信ネットワークに接続され、
    前記第1の車載コンピュータが、前記第2の車載コンピュータで使用される第1の鍵を前記第1の暗号処理装置により暗号化し、前記第1の鍵の暗号化データを前記第2の車載コンピュータへ送信するステップと、
    前記第2の車載コンピュータが、前記第1の車載コンピュータから受信した前記第1の鍵の暗号化データを前記第2の暗号処理装置により復号化するステップと、
    を含む管理方法。
  10. 車両に備わる車載コンピュータシステムが、比較的高い処理能力を有する第1の暗号処理装置を備える第1の車載コンピュータと、比較的低い処理能力を有する第2の暗号処理装置を備える複数の第2の車載コンピュータと、を備え、
    前記第1の車載コンピュータと前記複数の第2の車載コンピュータが前記車両に備わる通信ネットワークに接続され、
    前記第1の車載コンピュータが、前記第2の車載コンピュータに適用されるコンピュータプログラムの電子署名を前記第1の暗号処理装置により検証し、前記コンピュータプログラムの期待値を前記第1の暗号処理装置により算出し、電子署名の検証が成功した前記コンピュータプログラムと該コンピュータプログラムの期待値を前記第2の車載コンピュータへ送信するステップと、
    前記第2の車載コンピュータが、前記第1の車載コンピュータから受信した前記コンピュータプログラムと該コンピュータプログラムの期待値に対して、該期待値を前記第2の暗号処理装置により検証し、該期待値の検証が成功した前記コンピュータプログラムを起動するステップと、
    を含む管理方法。
  11. 車両に備わる車載コンピュータシステムが、比較的高い処理能力を有する第1の暗号処理装置を備える第1の車載コンピュータと、比較的低い処理能力を有する第2の暗号処理装置を備える複数の第2の車載コンピュータと、を備え、
    前記第1の車載コンピュータと前記複数の第2の車載コンピュータが前記車両に備わる通信ネットワークに接続される前記車載コンピュータシステムの前記第1の車載コンピュータに、
    前記第2の車載コンピュータで使用される第1の鍵を前記第1の暗号処理装置により暗号化し、前記第1の鍵の暗号化データを、前記第2の暗号処理装置により復号化する前記第2の車載コンピュータへ送信するステップ、
    を実行させるためのコンピュータプログラム。
  12. 車両に備わる車載コンピュータシステムが、比較的高い処理能力を有する第1の暗号処理装置を備える第1の車載コンピュータと、比較的低い処理能力を有する第2の暗号処理装置を備える複数の第2の車載コンピュータと、を備え、
    前記第1の車載コンピュータと前記複数の第2の車載コンピュータが前記車両に備わる通信ネットワークに接続される前記車載コンピュータシステムの前記第2の車載コンピュータに、
    前記第1の暗号処理装置により暗号化された前記第2の車載コンピュータで使用される第1の鍵の暗号化データを前記第1の車載コンピュータから受信し、該第1の鍵の暗号化データを前記第2の暗号処理装置により復号化するステップ、
    を実行させるためのコンピュータプログラム。
  13. 車両に備わる車載コンピュータシステムが、比較的高い処理能力を有する第1の暗号処理装置を備える第1の車載コンピュータと、比較的低い処理能力を有する第2の暗号処理装置を備える複数の第2の車載コンピュータと、を備え、
    前記第1の車載コンピュータと前記複数の第2の車載コンピュータが前記車両に備わる通信ネットワークに接続される前記車載コンピュータシステムの前記第1の車載コンピュータに、
    前記第2の車載コンピュータに適用されるコンピュータプログラムの電子署名を前記第1の暗号処理装置により検証し、前記コンピュータプログラムの期待値を前記第1の暗号処理装置により算出し、電子署名の検証が成功した前記コンピュータプログラムと該コンピュータプログラムの期待値を、前記第2の暗号処理装置により検証する前記第2の車載コンピュータへ送信するステップ、
    を実行させるためのコンピュータプログラム。
  14. 車両に備わる車載コンピュータシステムが、比較的高い処理能力を有する第1の暗号処理装置を備える第1の車載コンピュータと、比較的低い処理能力を有する第2の暗号処理装置を備える複数の第2の車載コンピュータと、を備え、
    前記第1の車載コンピュータと前記複数の第2の車載コンピュータが前記車両に備わる通信ネットワークに接続される前記車載コンピュータシステムの前記第2の車載コンピュータに、
    前記第2の車載コンピュータに適用されるコンピュータプログラムと前記第1の暗号処理装置により算出された該コンピュータプログラムの期待値を前記第1の車載コンピュータから受信し、該コンピュータプログラムと該コンピュータプログラムの期待値に対して、該期待値を前記第2の暗号処理装置により検証し、該期待値の検証が成功した該コンピュータプログラムを前記第2の車載コンピュータで起動するステップ、
    を実行させるためのコンピュータプログラム。
JP2015164774A 2015-08-24 2015-08-24 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム Active JP6238939B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015164774A JP6238939B2 (ja) 2015-08-24 2015-08-24 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
PCT/JP2016/070528 WO2017033602A1 (ja) 2015-08-24 2016-07-12 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015164774A JP6238939B2 (ja) 2015-08-24 2015-08-24 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2017209628A Division JP6476462B2 (ja) 2017-10-30 2017-10-30 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2017046038A true JP2017046038A (ja) 2017-03-02
JP6238939B2 JP6238939B2 (ja) 2017-11-29

Family

ID=58101092

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015164774A Active JP6238939B2 (ja) 2015-08-24 2015-08-24 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム

Country Status (2)

Country Link
JP (1) JP6238939B2 (ja)
WO (1) WO2017033602A1 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018196080A (ja) * 2017-05-22 2018-12-06 株式会社デンソー 電子制御装置および電子制御装置における鍵登録方法
KR20190060032A (ko) * 2017-11-24 2019-06-03 엘지전자 주식회사 차량용 제어 유닛의 업데이트 방법 및 차량
JP2019113886A (ja) * 2017-12-20 2019-07-11 大日本印刷株式会社 初期設定方法、セキュアエレメント、デバイス及びプログラム
KR20190088367A (ko) * 2018-01-18 2019-07-26 숭실대학교산학협력단 코드 기반 차량 데이터 검증 장치, 방법 및 시스템
WO2019212403A1 (zh) * 2018-04-30 2019-11-07 华为国际有限公司 一种车载设备升级方法及相关设备
WO2020209106A1 (ja) * 2019-04-12 2020-10-15 フェリカネットワークス株式会社 情報処理端末、情報処理装置、情報処理方法、プログラム、および情報処理システム

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018173603A1 (ja) * 2017-03-21 2018-09-27 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 更新処理方法、車載ネットワークシステムおよび電子制御ユニット
CN112448809B (zh) * 2019-08-30 2022-07-22 华为技术有限公司 密钥配置系统及相关方法和产品
WO2023070465A1 (zh) * 2021-10-28 2023-05-04 华为技术有限公司 一种密钥传输方法和装置
CN114124578B (zh) * 2022-01-25 2022-04-15 湖北芯擎科技有限公司 一种通信方法、装置、车辆及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005524910A (ja) * 2002-05-07 2005-08-18 ソニー・エリクソン・モバイルコミュニケーションズ, エービー デバイスにアプリケーションをローディングする方法、デバイス、及びそのデバイス用のスマートカード
JP2005250928A (ja) * 2004-03-05 2005-09-15 Osaka Gas Co Ltd 警報・購買情報管理システムおよびこれに含まれる警報器と管理システム
JP2005259028A (ja) * 2004-03-15 2005-09-22 Mitsubishi Electric Corp 利用者装置及び利用者装置用プログラム及び認証システム及びプログラム
US20100135498A1 (en) * 2008-12-03 2010-06-03 Men Long Efficient Key Derivation for End-To-End Network Security with Traffic Visibility
JP2014526999A (ja) * 2011-09-16 2014-10-09 ジエマルト・エス・アー セキュリティデータへのセキュアなアクセスを提供する車両
JP2015103163A (ja) * 2013-11-27 2015-06-04 株式会社オートネットワーク技術研究所 プログラム更新システム及びプログラム更新方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005524910A (ja) * 2002-05-07 2005-08-18 ソニー・エリクソン・モバイルコミュニケーションズ, エービー デバイスにアプリケーションをローディングする方法、デバイス、及びそのデバイス用のスマートカード
JP2005250928A (ja) * 2004-03-05 2005-09-15 Osaka Gas Co Ltd 警報・購買情報管理システムおよびこれに含まれる警報器と管理システム
JP2005259028A (ja) * 2004-03-15 2005-09-22 Mitsubishi Electric Corp 利用者装置及び利用者装置用プログラム及び認証システム及びプログラム
US20100135498A1 (en) * 2008-12-03 2010-06-03 Men Long Efficient Key Derivation for End-To-End Network Security with Traffic Visibility
JP2014526999A (ja) * 2011-09-16 2014-10-09 ジエマルト・エス・アー セキュリティデータへのセキュアなアクセスを提供する車両
JP2015103163A (ja) * 2013-11-27 2015-06-04 株式会社オートネットワーク技術研究所 プログラム更新システム及びプログラム更新方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
竹森 敬祐 ほか: "セキュアブート+認証による車載制御システムの保護", 電子情報通信学会技術研究報告, vol. 114, no. 225, JPN6016000807, 12 September 2014 (2014-09-12), JP, pages 47 - 54, ISSN: 0003607049 *
竹森敬祐: "セキュアエレメントを基点とした車載制御システムの保護", 電子情報通信学会技術研究報告, vol. 114, no. 508, JPN6016036102, 2 March 2015 (2015-03-02), JP, pages 73 - 78, ISSN: 0003546235 *

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018196080A (ja) * 2017-05-22 2018-12-06 株式会社デンソー 電子制御装置および電子制御装置における鍵登録方法
KR20190060032A (ko) * 2017-11-24 2019-06-03 엘지전자 주식회사 차량용 제어 유닛의 업데이트 방법 및 차량
KR102025808B1 (ko) * 2017-11-24 2019-09-26 엘지전자 주식회사 차량용 제어 유닛의 업데이트 방법 및 차량
JP2019113886A (ja) * 2017-12-20 2019-07-11 大日本印刷株式会社 初期設定方法、セキュアエレメント、デバイス及びプログラム
KR20190088367A (ko) * 2018-01-18 2019-07-26 숭실대학교산학협력단 코드 기반 차량 데이터 검증 장치, 방법 및 시스템
KR102084552B1 (ko) * 2018-01-18 2020-04-23 숭실대학교산학협력단 코드 기반 차량 데이터 검증 장치, 방법 및 시스템
WO2019212403A1 (zh) * 2018-04-30 2019-11-07 华为国际有限公司 一种车载设备升级方法及相关设备
CN112055952A (zh) * 2018-04-30 2020-12-08 华为国际有限公司 一种车载设备升级方法及相关设备
CN112055952B (zh) * 2018-04-30 2024-05-03 华为国际有限公司 一种车载设备升级方法及相关设备
US11985238B2 (en) 2018-04-30 2024-05-14 Huawei International Pte. Ltd. Vehicle-mounted device upgrade method and related device
WO2020209106A1 (ja) * 2019-04-12 2020-10-15 フェリカネットワークス株式会社 情報処理端末、情報処理装置、情報処理方法、プログラム、および情報処理システム

Also Published As

Publication number Publication date
JP6238939B2 (ja) 2017-11-29
WO2017033602A1 (ja) 2017-03-02

Similar Documents

Publication Publication Date Title
JP6238939B2 (ja) 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
JP6197000B2 (ja) システム、車両及びソフトウェア配布処理方法
US10419220B2 (en) Management device, key generating device, vehicle, maintenance tool, management system, management method, and computer program
US11082228B2 (en) Reuse system, key generation device, data security device, in-vehicle computer, reuse method, and computer program
JP6260067B1 (ja) 管理システム、鍵生成装置、車載コンピュータ、管理方法、及びコンピュータプログラム
JP6262681B2 (ja) 管理装置、車両、管理方法、及びコンピュータプログラム
JP6288219B1 (ja) 通信システム
JP6188672B2 (ja) 鍵管理システム
WO2018043386A1 (ja) 車両情報収集システム、車載コンピュータ、車両情報収集装置、車両情報収集方法、及びコンピュータプログラム
JP2016072675A (ja) 管理装置、車両、管理方法およびコンピュータプログラム
WO2017115751A1 (ja) 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
WO2018029893A1 (ja) データ提供システム、データ保安装置、データ提供方法、及びコンピュータプログラム
JP6440334B2 (ja) システム、車両及びソフトウェア配布処理方法
JP2018055566A (ja) 保守装置、保守方法、及びコンピュータプログラム
JP6476462B2 (ja) 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
JP2018082439A (ja) 通信システム、車両、サーバ装置、通信方法、及びコンピュータプログラム
JP2018006782A (ja) データ提供システム、データ提供装置、車載コンピュータ、データ提供方法、及びコンピュータプログラム
JP6860464B2 (ja) システム及び管理方法
JP6188744B2 (ja) 管理システム、車両及び管理方法
JP6672243B2 (ja) データ提供システム、データ提供装置、データ提供方法、及びデータ提供プログラム
JP6464466B2 (ja) 保守装置、保守方法、及びコンピュータプログラム
JP6454919B2 (ja) 管理システム、データ提供装置、車載コンピュータ、管理方法、及びコンピュータプログラム
JP6519060B2 (ja) 管理装置、車両、管理方法、及びコンピュータプログラム
JP2018026874A (ja) データ提供システム及びデータ提供方法
JP2017208731A (ja) 管理システム、管理装置、車載コンピュータ、管理方法、及びコンピュータプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20170220

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170509

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170706

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20170707

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170801

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170919

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20170920

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171003

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171031

R150 Certificate of patent or registration of utility model

Ref document number: 6238939

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150