JP2018195932A - 暗号鍵の処理を行う車両用システム及び電子制御装置 - Google Patents

暗号鍵の処理を行う車両用システム及び電子制御装置 Download PDF

Info

Publication number
JP2018195932A
JP2018195932A JP2017097107A JP2017097107A JP2018195932A JP 2018195932 A JP2018195932 A JP 2018195932A JP 2017097107 A JP2017097107 A JP 2017097107A JP 2017097107 A JP2017097107 A JP 2017097107A JP 2018195932 A JP2018195932 A JP 2018195932A
Authority
JP
Japan
Prior art keywords
encryption key
key
electronic control
unit
owner
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017097107A
Other languages
English (en)
Other versions
JP6855918B2 (ja
JP2018195932A5 (ja
Inventor
康治 菅野
Koji Kanno
康治 菅野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2017097107A priority Critical patent/JP6855918B2/ja
Priority to PCT/JP2018/011269 priority patent/WO2018211815A1/ja
Priority to EP18802621.5A priority patent/EP3627756B1/en
Publication of JP2018195932A publication Critical patent/JP2018195932A/ja
Publication of JP2018195932A5 publication Critical patent/JP2018195932A5/ja
Priority to US16/663,225 priority patent/US11374747B2/en
Application granted granted Critical
Publication of JP6855918B2 publication Critical patent/JP6855918B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Lock And Its Accessories (AREA)
  • Stored Programmes (AREA)

Abstract

【課題】車両の所有者に変更があった場合に暗号鍵を変更し、セキュリティを確保することができる車両用システム、電子制御装置、方法及びプログラムを提供する。
【解決手段】車両用システム100は、暗号鍵を管理する鍵管理装置300と、暗号鍵を使用する車両制御装置400と、を備える。鍵管理装置300は、鍵管理装置300と車両制御装置400を備える車両の所有者に変更があった場合に暗号鍵を生成する鍵生成部と、車両制御装置400に暗号鍵を出力する鍵配布部と、を有する。車両制御装置400は、使用中の暗号鍵である第1の暗号鍵を記憶する鍵保持部と、鍵配布部から出力された暗号鍵である第2の暗号鍵を受信する鍵受信部と、鍵保持部に記憶されている第1の暗号鍵を、第2の暗号鍵に更新する鍵更新部と、を有する。
【選択図】図1

Description

本発明は、セキュリティを確保するための暗号鍵の処理に関し、主として車両用システムを構成する電子制御装置が使用する暗号鍵の処理に関するものである。
従来、自動車に搭載される通信装置はネットワークを介して様々な情報を送受信している。近年では、無線通信の発達に伴い、ネットワークを介して車載センサで取得した車両の状態や道路状況を収集、分析する技術や、ネットワークを介してコマンドを送受信することにより走行を制御する自動運転車両の開発が活発になっている。
しかしながら、自動車をネットワークに接続する場合、車載装置が車外のネットワークからの不正アクセスによって影響を受ける可能性が高まる。特に、車両の駆動機構の動作を制御するECUについては、自動車の走行の安全性を担保すべく、高いセキュリティを確保する必要性が高まっている。
例えば、特許文献1には、自動車に搭載される管理装置と、自動車の製造会社にて管理され、自動車側の管理装置と無線通信を行う鍵管理サーバ装置とを有する鍵管理システムを用いて自動車で使用する暗号鍵の生成及び管理を行い、暗号鍵を定期的に更新することにより、自動車のセキュリティを高める技術が開示されている。
特開2016−92811号公報
ところで、従来、自動車は家電製品などと比較して中古市場が盛んな製品であり、所有者が代わることは珍しくない。また、レンタカーやカーシェアリングのように、自動車の利用者が短期間で頻繁に代わることもある。しかしながら、悪意を持った自動車の所有者又は一時的な利用者が車両のECUを解析して、メッセージの完全性確保やデータ保護に使用されている暗号鍵を入手してしまった場合、次の所有者又は利用者が使用する車両が悪意を持った前所有者等によって不正にアクセスされ、不正メッセージの挿入等によりECUが不正操作されることが起こりうる。
そこで、本発明の目的は、車両の所有者に変更があった場合に、自動車で使用する暗号鍵を新たな暗号鍵に変更してセキュリティを確保する車両用システムを実現することにある。
上記課題を解決するために、本発明の車両用システム(100)は、
暗号鍵を管理する第1の電子制御装置(300)と、
前記暗号鍵を使用する第2の電子制御装置(400)と、を備え、
前記第1の電子制御装置(300)は、
前記第1及び第2の電子制御装置を備える車両の所有者に変更があった場合に前記暗号鍵を生成する鍵生成部(302)と、
前記第2の電子制御装置に前記暗号鍵を出力する鍵配布部(303)と、を有し、
前記第2の電子制御装置(400)は、
使用中の暗号鍵である第1の暗号鍵を記憶する鍵保持部(402)と、
前記鍵配布部から出力された前記暗号鍵である第2の暗号鍵を受信する鍵受信部(401)と、
前記鍵保持部に記憶されている前記第1の暗号鍵を、前記第2の暗号鍵に更新する鍵更新部(405)と、を有する。
本発明の車両用システムによれば、車両の所有者に変更があった場合に、自動車で使用する暗号鍵を新たな暗号鍵に変更して、セキュリティを確保することができる。
実施形態1の車両用システムの構成を説明するブロック図 実施形態1の所有者管理装置の構成を説明するブロック図 実施形態1の鍵管理装置の構成を説明するブロック図 実施形態1の車両制御装置の構成を説明するブロック図 実施形態1の車両用システムの動作を説明するフローチャート 実施形態1の車両制御装置が使用する暗号鍵の遷移を説明する図 実施形態2の車両用システムの動作を説明するフローチャート
以下、本発明の車両用システム及び当該車両用システムを構成する電子制御装置の構成及び機能について、図面を参照して説明する。なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、鉤括弧内の語は、特許請求の範囲又は課題を解決するための手段の項に記載された語を意味し、同じく以下の実施形態に限定されるものではない。
また、特許請求の範囲の従属項に記載の構成及び方法、および従属項に記載の構成及び方法に対応する実施形態の構成及び方法は、本発明においては任意の構成及び方法である。
(実施形態1)
図1は、実施形態1の車両用システム100の構成を示している。本発明の車両用システム100は、所有者管理装置(本発明の「第3の電子制御装置」に対応)200、鍵管理装置(本発明の「第1の電子制御装置」に対応)300、及び複数の車両制御装置(本発明の「第2の電子制御装置」に対応)400を備える。所有者管理装置200、鍵管理装置300、及び車両制御装置400はいずれも、車両用の電子制御装置(ECU)であり、所有者管理装置200と鍵管理装置300、鍵管理装置300と車両制御装置400はそれぞれ、車載ネットワークを介して接続されている。
なお、本実施形態1では、所有者管理装置200は車両に搭載される車両用システムとして構成されているが、所有者管理装置200を車外サーバとして、鍵管理装置300と有線又は無線通信するように構成してもよい。また、後述するように所有者管理装置200及び鍵管理装置300を1つの電子制御装置として構成する場合には、所有者管理装置200及び鍵管理装置300の双方の機能を具備する電子制御装置を車外サーバとして構成してもよい。
なお、以下の記載は車両用システム100を説明するものであるが、車両用システム100を構成する各電子制御装置の説明を含んでいる。ここで、本発明の「第1の電子制御装置」、「第2の電子制御装置」、及び「第3の電子制御装置」は、機能として分離できればよく、物理的に分離するか否かは問わない。また、本発明における「他装置」とは、各電子制御装置から見た他の電子制御装置に該当する。
また、本発明の「車両用」とは、車両に予め搭載されるもの、及び車両に後付けで搭載されるものの他、車両に搭載された電子制御装置に対して信号を出力するもの、例えば、車外に設けられたサーバや、ディーラーにおいて使用される電子制御装置をも含む。
以下に、所有者管理装置200、鍵管理装置300、及び車両制御装置400の構成及び機能をそれぞれ説明する。
1.所有者管理装置200(本発明の「第3の電子制御装置」又は「電子制御装置」に対応)
所有者管理装置200は、車両の所有者に関する情報を管理する電子制御装置であり、図2に示すとおり、受信部201、記憶部202、制御部203、及び送信部204を備える。
受信部201は、車両の「所有者」に「関する」新たな所有者情報(本発明の「更新情報」に対応)を受信する。この所有者情報は、車両に設置されたカーナビゲーションシステム等のインタフェースを介して、あるいは無線通信によって入力された車両の所有者に関する個人情報、例えば、氏名、住所、電話番号、メールアドレス、又は、ドライビングポジション等の情報を含む。受信部201は所有者情報を受信すると、当該所有者情報を制御部203に入力する。
ここで、本発明の「所有者」とは、文言通り、車両を所有するオーナーの他、一時的に車両を占有する使用者をも含む。また、所有者に「関する」情報とは、所有者を特定する情報そのものの他、所有者の属性、識別番号等、所有者に紐づけられる情報も含む。以下に記載する「旧所有者に関する旧情報」も同じ。
記憶部202は、元から記憶されている旧所有者に関する所有者情報(本発明の「旧情報」に対応)に加えて、受信部201に入力された所有者情報を記憶する。記憶部202に記憶された所有者情報は、後述する制御部203からの指示に基づいて、書き込み、読み出し、又は消去することができる。なお、記憶部202は、例えば、EEPROM、フラッシュROM、ハードディスク等の不揮発性メモリから構成される。
制御部203は、受信部201を介して新たな所有者情報が入力されると、記憶部202に記憶されている旧所有者に関する所有者情報を読み出して新たな所有者情報と比較し、車両の所有者に変更があるか否かを判断する。
新たな所有者情報と、記憶部202から読み出した所有者情報とを比較した結果、車両の所有者に変更があったと判断した場合、制御部203は、所有者の変更を示す所有者変更情報を送信部204に入力する。制御部203はさらに、記憶部202に対して新たな所有者情報を記憶することを指示する信号を出力する。
送信部204は、所有者変更情報を鍵管理装置300に出力し、所有者に変更があったことを鍵管理装置300に通知する。
なお、車両の所有者に変更があったか否かを判断する基準は、任意に設定することができる。例えば、変更された情報が所有者の氏名である場合には、制御部203は所有者に変更があったと判断してもよい。また、住所、電話番号、メールアドレスは、同一所有者であっても変更される可能性はあるが、これらの情報のうち2つ以上が変更された場合には、制御部203は所有者に変更があったと判断してもよい。しかしながら、所有者に変更があったか否かの基準は、上記の例に限定されるものではない。
2.鍵管理装置300(本発明の「第1の電子制御装置」又は「電子制御装置」に対応)
鍵管理装置300は、後述する車両制御装置400がメッセージの完全性確保やデータ保護等により、セキュリティを高めるために使用する暗号鍵を管理する電子制御装置であり、図3に示すとおり、受信部301、鍵生成部302、及び鍵配布部303を備える。
受信部301は、所有者管理装置200の送信部204から、車両の所有者に変更があったことを示す所有者変更情報を受信する。
鍵生成部302は、受信部301が所有者変更情報を受信したと判断した「場合に」は、例えば、128ビットの暗号鍵を生成する。そして、鍵生成部302は、生成した暗号鍵を、鍵配布部303を介して車両制御装置400に出力する。
ここで、本発明の「場合に」とは、所有者変更情報を受信すると直ちに暗号鍵の生成する場合の他、その他の条件を更に満たしたときに暗号鍵を生成する場合を含む。
3.車両制御装置400(本発明の「第2の電子制御装置」又は「電子制御装置」に対応)
車両制御装置400は、プログラムを用いて車両に搭載されたエンジン等を含む機構を制御し、所望の動作をさせる電子制御装置であり、図4に示すとおり、鍵受信部401、鍵保持部402、及び制御部403を備える。また、制御部403は、鍵切替部404及び鍵更新部405を備える。この車両制御装置400は、図1に示すように、駆動機構を制御する駆動系制御装置、ドアの開閉等を制御する車体系制御装置、エアバッグ等の動作を制御する安全制御系制御装置の他、任意の制御装置を含む。
鍵受信部401は、鍵管理装置300の鍵配布部303から暗号鍵(本発明の「第2の暗号鍵」に対応)を受信する。受信した新たな暗号鍵は、制御部403に入力される。
鍵保持部402は、エンジン等の機構を制御するプログラムやデータ等の暗号化及び復号化に使用される暗号鍵を記憶している。鍵保持部402は2つの暗号鍵を記憶していることが望ましく、2つの暗号鍵のうち1つは使用中の暗号鍵(本発明の「第1の暗号鍵」に対応)K1であり、もう1つは現在使用されていないが、現在使用中の暗号鍵K1の次に使用される暗号鍵(本発明の「第3の暗号鍵」に対応)K2である。なお、鍵保持部402は、例えば、EEPROM、フラッシュROM、ハードディスク等の不揮発性メモリから構成される。
新車である車両の鍵保持部402に記憶される初期の暗号鍵K1及び暗号鍵K2は、工場から出荷される前に車両製造工場又はECU製造工場等において書き込まれる。
制御部403の鍵切替部404は、鍵受信部401が新たな暗号鍵を受信したと判断した「場合に」は、使用する暗号鍵を、使用中の暗号鍵である暗号鍵K1から暗号鍵K2に切り替える処理を行う。
ここで、本発明の「場合に」とは、第2の暗号鍵を受信すると直ちに暗号鍵を切り替える処理をする場合の他、所定時間経過後に暗号鍵を切り替える処理を行う場合を含む。
制御部403の鍵更新部405はさらに、鍵保持部402に記憶されている暗号鍵K1を、鍵受信部401から入力された新たな暗号鍵K3に書き換えて、鍵保持部402に記憶されている暗号鍵を更新する。
なお、本実施形態1では、鍵保持部402が2つの暗号鍵を記憶している例を記載しているが、鍵保持部402は1つの暗号鍵K1のみを記憶するものであってもよい。この場合、鍵受信部401が鍵配布部303から暗号鍵K3を受信すると、使用する暗号鍵を暗号鍵K1から暗号鍵K3へと切り替えた後、鍵保持部402に記憶される暗号鍵をK1からK3へと更新する。
鍵更新部405は、任意のタイミングで暗号鍵の更新を行うことができる。しかしながら、暗号鍵の更新に伴う記憶領域の書き換えは確実に行う必要がある。車両の走行中に書き換えを行う場合、例えば書き換え処理の途中で所有者によるイグニッションオフが行われる可能性がある。そのため、暗号鍵をK1からK3に書き換えて更新する際に、書き換えミスが発生するおそれがある。以上に照らせば、暗号鍵の更新は、鍵保持部402の動作がより安定している間、例えば、車両の「イグニッションがオフからオン」になったときに行うことが望ましい。
なお、本発明の「イグニッションがオフからオン」になる、とは、従来のガソリン車がイグニッションをオンにする場合の他、電気自動車又はハイブリッド車のパワースイッチをオンにする場合をも含む。
以下に、図5、図6を参照して、本発明の車両用システム100の動作を説明する。
図5は、新たな所有者情報が入力されてから暗号鍵を更新するまでに車両用システム100において行われる一連の動作を示すフローチャートであり、図6は、車両制御装置400に記憶されている暗号鍵及び使用される暗号鍵の遷移を説明している。
まず、インタフェース等を介して新たな所有者情報が入力された場合、所有者管理装置200の受信部201は新たな所有者情報を更新情報として受信し(S101)、当該更新情報を記憶部202に記憶する(S102)。また、所有者管理装置200の制御部203は、記憶部202に記憶されていた所有者情報と更新情報とを比較し、車両の所有者に変更があったかどうかを判断する(S103)。そして、車両の所有者に変更があったと判断した場合、所有者管理装置200は、鍵管理装置300に対して、所有者の変更を示す所有者変更情報を出力する。
鍵管理装置300は、所有者管理装置200から所有者変更情報を受信すると(S104)と、鍵生成部302にて暗号鍵K3を生成する(S105)。そして、生成された暗号鍵K3は、受信部301から、車載ネットワークを介して車両制御装置400へと配布される(S106)。
次いで、車両制御装置400が鍵管理装置300から暗号鍵K3を受信する(S107)と、現在使用されている暗号鍵を、暗号鍵K1から暗号鍵K2に切り替える(S108)。
ここで、図6(a)に示すように、S101〜S107の処理が行われている間、車両制御装置400は暗号鍵として暗号鍵K1を使用している。そして、図6(b)に示すように、S108の処理により、使用中の暗号鍵は暗号鍵K2となる。
車両制御装置400は、S108にて暗号鍵を暗号鍵K1から暗号鍵K2に切り替えた後、図6(c)に示すように、暗号鍵K1をS107にて受信した暗号鍵K3に更新する(S109)。
図5に示す処理は、新たな所有者情報が入力される度に行われる。したがって、新たな所有者情報が再度インタフェース等に入力され、所有者管理装置200が所有者に変更があったと判断した場合には、図5に示す処理に基づいて、鍵管理装置300は新たに暗号鍵K4を生成し、暗号鍵K4を車両制御装置400に配布する。また、車両制御装置400は、使用する暗号鍵を暗号鍵K2から暗号鍵K3に切り替えると共に、暗号鍵K2を鍵管理装置300から受信した暗号鍵K4に更新する。
なお、本実施形態1では、所有者情報管理装置200と鍵管理装置300は別個の電子制御装置として構成されている。しかしながら、所有者管理装置200及び鍵管理装置300は、双方の機能を具備する1つの電子制御装置として構成してもよい。
この場合、図5におけるS104は省略される。そして、制御部が車両の所有者に変更があったことを判断した「場合に」は、鍵生成部は新たな暗号鍵を生成する。
ここで、本発明の「場合に」とは、所有者に変更があったことを判断すると直ちに暗号鍵の生成する場合の他、その他の条件を更に満たしたときに暗号鍵を生成する場合を含む。
なお、鍵保持部402が1つの暗号鍵K1のみを記憶している場合は、車両制御装置400が暗号鍵K3を受信すると(S107)、S108において現在使用されている暗号鍵を暗号鍵K1から暗号鍵K3に切り替える。その後、S109において、鍵保持部402に記憶される暗号鍵を暗号鍵K1から暗号鍵K3に更新する。
上記実施形態1によれば、車両の所有者に変更があった場合には、車両制御装置が使用する暗号鍵を更新することができるため、以前の所有者による車両用システムへの不正アクセス等に対するセキュリティ確保が可能となる。
(変形例1)
実施形態1では、所有者管理装置200の制御部203は、記憶部202に記憶されている所有者情報と、新たな所有者情報である更新情報とを比較して、所有者に変更があったか否かを判断している。しかしながら、制御部203は、上記比較によらずに所有者に変更があったか否かを判断してもよい。
例えば、制御部203は、新たな所有者情報が入力され、所有者管理装置200の受信部201が新たな所有者情報を更新情報として受信した場合には常に、所有者に変更があったものと判断してもよい。あるいは、インタフェース等を介して記憶部202が初期化された(所有者情報が消去された場合を含む)には、制御部203は所有者に変更があったものと判断してもよい。
本変形例1によれば、車両の所有者に変更がある可能性がある場合には暗号鍵が更新されるため、より高いセキュリティを確保することが可能となる。
(実施形態2)
実施形態1では、所有者管理装置200の制御部203が更新情報に基づいて所有者の変更があったと判断した場合には、自動的に、鍵管理装置300に所有者の変更を示す所有者変更情報を鍵管理装置300に入力している。しかしながら、例えば、引越により住所変更をした場合等のように、新たな所有者情報が入力された場合であっても車両の所有者に変更がないことがある。
そこで、本実施形態2では、新たな所有者情報が入力された場合には、所有者管理装置200は、車両の所有者に対して暗号鍵を更新することの「要否に関する確認」を行い、必要な場合にのみ暗号鍵の更新を行う。
ここで、本発明の「要否に関する確認」とは、暗号鍵を更新するか否かを直接的に確認することに限定されるものではなく、電子制御装置が暗号鍵を更新することが必要であるか否かを判断可能な内容、例えば、所有者に変更があったか否か、あるいは、システムのセキュリティをリセットするか否か等を間接的に確認するものであってもよい。
図7を参照して、実施形態2の車両用システムの動作を以下に説明する。なお、実施形態1との共通点については詳しい説明は省略し、実施形態1との相違点を中心に説明する。
実施形態2における所有者管理装置200の制御部203は、実施形態1と同様、インタフェース等を介して入力された新たな車両の所有者情報を更新情報として受信した場合、所有者に変更があったかどうかを判断する(S103)。ここで、制御部203が、入力された更新情報に基づいて所有者に変更があった可能性が高いと判断した場合(S103)、車両の所有者に対して暗号鍵を更新すべきか否かを確認するために、例えば、車両に搭載されたインタフェースに「車両のセキュリティを更新しますか?(Yes/No)」といったメッセージを表示させる(S201)。ここで、車両の所有者が「Yes」を選択した場合(S202)、制御部203は、所有者の変更を示す所有者変更情報を鍵管理装置300に対して出力する。そして、所有者変更情報を受信した鍵管理装置300は、実施形態1と同様、暗号鍵K3を生成する。
なお、上記実施形態2では、所有者管理装置200が、車両の所有者に対して暗号鍵の更新の要否を確認すると共に、鍵更新の指示に基づいて鍵管理装置300に対して所有者変更情報を出力している。しかしながら、所有者管理装置200に代わり、鍵管理装置300が車両の所有者に対して暗号鍵の更新の要否を確認し、鍵更新の指示を受信してもよい。
この場合、所有者管理装置200が、S103にて車両の所有者に変更があったと判断し、鍵管理装置300に所有者変更情報が出力されると、鍵管理装置300は、車両の所有者に対して暗号鍵の更新の要否を確認するメッセージをインタフェースに表示させる。そして、鍵管理装置300の受信部301が車両の所有者から暗号鍵更新の指示を受信すると、鍵管理装置300は暗号鍵K3を生成する。
以上、実施形態2によれば、車両の所有者に変更があったときにのみ暗号鍵を確実に更新することが可能となる。
(変形例1)
実施形態2では、所有者管理装置200の制御部203が、所有者に変更がある可能性が高いと判断した場合に、暗号鍵を更新することの要否に関する確認をインタフェースに表示して、車両の所有者から暗号鍵更新に関する指示を受けるように構成されている。しかしながら、制御部203が、車両の所有者に変更があると判断していない場合であっても、車両の所有者は任意のタイミングで、車両の所有者に変更があったことをインタフェースから入力してもよい。なお、このような場合も「車両の所有者に変更があった場合」に含まれる。
この変形例によれば、レンタカーやカーシェアリングのように、車両の所有者自体に変更がない場合であっても、利用者が代わるごとに暗号鍵を手動で更新することができるため、前の利用者が車両に不正アクセスするのを防ぐことが可能となる。
(その他の実施形態)
上記実施形態1、2はいずれも、所有者管理装置200が車両の所有者に変更があったと判断した場合に、鍵管理装置300が新たな暗号鍵を生成して車両制御装置400に出力することにより、車両制御装置400は使用する暗号鍵を更新している。しかしながら、暗号鍵の生成は、必ずしも車両用システムにおいて行わなくてもよい。
例えば、所有者管理装置200が車両の所有者に変更があったと判断した場合には、制御部203は、車両の所有者に対して、セキュリティの更新が必要であることを通知してもよい。そして、その通知を受け取った所有者は、車両をディーラーに持ち込むことにより、ディーラーにて暗号鍵を更新してもよい。
なお、本発明の「車両用」とは、車両に予め搭載されるもの、及び車両に後付けで搭載されるものの他、車両に搭載された電子制御装置に対して信号を出力するもの、例えば、車外に設けられたサーバや、ディーラーにおいて使用される電子制御装置をも含む。また、本発明の「車両用システム」とは、車両に搭載されている電子制御装置から構成されるシステムの他、当該システムの電子制御装置の一部が車外に設けられているものをも含む。
(総括)
以上、本発明の各実施形態における車両用システム、及び、所有者管理装置、鍵管理装置、及び車両制御装置を含む電子制御装置の特徴について説明した。
各実施形態における電子制御装置の動作は、ブロック図及びフローチャートで方法の説明としても説明した。かかる方法は上述の物で実現できるだけでなく、メモリやハードディスク等の記録媒体に記録したプログラム、及びこれを実行する専用又は汎用CPU及びメモリ等を有するマイクロコンピュータとの組み合わせとしても実現できる。プログラムは、記録媒体を介さずにサーバから通信回線を経由して提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
本発明にかかる車両用システム及び電子制御装置は、主として自動車のセキュリティを確保するために用いられるものであるが、自動車以外の車両、例えば、二輪車、電動アシスト自転車の他、船舶、航空機のセキュリティを確保するために用いてもよい。さらに、本発明はこれらの用途に限られるものではない。
100 車両用システム、200 所有者管理装置、201 受信部、202 記憶部、203 制御部、204 送信部、300 鍵管理装置、301 受信部、302 鍵生成部、303 鍵配布部、400 車両制御装置、401 鍵受信部、402 鍵保持部、403 制御部、404 鍵切替部、405 鍵更新部

Claims (14)

  1. 暗号鍵を管理する第1の電子制御装置(300)と、
    前記暗号鍵を使用する第2の電子制御装置(400)と、を備え、
    前記第1の電子制御装置(300)は、
    前記第1及び第2の電子制御装置を備える車両の所有者に変更があった場合に前記暗号鍵を生成する鍵生成部(302)と、
    前記第2の電子制御装置に前記暗号鍵を出力する鍵配布部(303)と、を有し、
    前記第2の電子制御装置(400)は、
    使用中の暗号鍵である第1の暗号鍵を記憶する鍵保持部(402)と、
    前記鍵配布部から出力された前記暗号鍵である第2の暗号鍵を受信する鍵受信部(401)と、
    前記鍵保持部に記憶されている前記第1の暗号鍵を、前記第2の暗号鍵に更新する鍵更新部(405)と、を有する、
    車両用システム(100)。
  2. 前記鍵保持部はさらに、第3の暗号鍵を記憶し、
    前記第2の電子制御装置はさらに、前記第2の暗号鍵を受信した場合に、前記使用中の暗号鍵を前記第1の暗号鍵から前記第3の暗号鍵に切り替える鍵切替部(404)を備える、
    請求項1記載の車両用システム。
  3. 前記車両の所有者に関する更新情報を受信する受信部(201)と、
    前記更新情報を記憶する記憶部(202)と、
    前記更新情報を受信したこと、前記記憶部を初期化したこと、又は、前記記憶部にさらに記憶された旧所有者に関する旧情報及び前記更新情報の内容に基づいて、前記車両の前記所有者に変更があったことを判断する処理部(203)と、
    前記所有者に変更があったことを前記第1の電子制御装置に通知する送信部(204)と、
    を有する第3の電子制御装置(200)をさらに備える、
    請求項1記載の車両用システム。
  4. 記憶部に記憶される暗号鍵を使用する他装置と通信可能な電子制御装置であって、
    当該電子制御装置を備える車両の所有者に変更があった場合に前記暗号鍵を生成する鍵生成部(302)と、
    前記暗号鍵を受信した場合に前記記憶部に記憶される暗号鍵を更新する前記他装置に対し、前記暗号鍵を出力する鍵配布部(303)と、
    を備える電子制御装置(300)。
  5. 車両の所有者に変更があった場合に暗号鍵を生成する他装置と通信可能であり、前記暗号鍵を使用する電子制御装置であって、
    使用中の暗号鍵である第1の暗号鍵を記憶する鍵保持部(402)と、
    前記他装置から第2の暗号鍵を受信する鍵受信部(401)と、
    前記鍵保持部に記憶されている前記第1の暗号鍵を、前記第2の暗号鍵に更新する鍵更新部(405)と、
    を備える電子制御装置(400)。
  6. 前記鍵保持部はさらに、第3の暗号鍵を記憶し、
    当該電子制御装置はさらに、前記第2の暗号鍵を受信した場合に、前記使用中の暗号鍵を前記第1の暗号鍵から前記第3の暗号鍵に切り替える鍵切替部(404)を備える、
    請求項5記載の電子制御装置。
  7. 前記車両は、前記所有者に暗号鍵更新の要否に関する確認を通知すると共に、前記所有者から前記暗号鍵更新の要否に関する指示を受信するインタフェースを備え、
    前記鍵生成部は前記指示に基づいて前記暗号鍵を生成する、
    請求項4記載の電子制御装置。
  8. 前記鍵更新部は、前記車両のイグニッションがオフからオンになったときに前記第1の暗号鍵を前記第2の暗号鍵に更新する、
    請求項5記載の電子制御装置。
  9. 暗号鍵を管理する第1の電子制御装置(300)と、前記暗号鍵を使用する第2の電子制御装置(400)と、を備える車両用システム(100)において行われる暗号鍵生成更新方法であって、
    前記第1の電子制御装置において、
    前記第1及び第2の電子制御装置を備える車両の所有者に変更があった場合に前記暗号鍵を生成するステップと、
    前記第1の電子制御装置の鍵配布部から前記第2の電子制御装置に前記暗号鍵を出力するステップと、
    前記第2の電子制御装置において、
    前記鍵配布部から出力された前記暗号鍵である第2の暗号鍵を受信するステップと、
    前記第2の電子制御装置の鍵保持部に記憶されている使用中の暗号鍵である第1の暗号鍵を、前記第2の暗号鍵に更新するステップと、
    を含む、暗号鍵生成更新方法。
  10. 記憶部に記憶される暗号鍵を使用する他装置と通信可能な電子制御装置(300)において行われる暗号鍵生成方法であって、
    前記電子制御装置を備える車両の所有者に変更があった場合に前記暗号鍵を生成するステップと、
    前記暗号鍵を受信した場合に前記記憶部に記憶される暗号鍵を更新する前記他装置に対し、前記暗号鍵を出力するステップと、
    を含む、暗号鍵生成方法。
  11. 車両の所有者に変更があった場合に暗号鍵を生成する他装置と通信可能である、前記暗号鍵を使用する電子制御装置(400)において行われる暗号鍵更新方法であって、
    前記他装置から第2の暗号鍵を受信するステップと、
    鍵保持部に記憶されている使用中の暗号鍵である第1の暗号鍵を、前記第2の暗号鍵に更新するステップと、
    を含む、暗号鍵更新方法。
  12. 暗号鍵を管理する第1の電子制御装置(300)と、前記暗号鍵を使用する第2の電子制御装置(400)と、を備える車両用システム(100)において行われる暗号鍵生成更新方法を実行するプログラムであって、
    前記第1の電子制御装置において、
    前記第1及び第2の電子制御装置を備える車両の所有者に変更があった場合に前記暗号鍵を生成するステップと、
    前記第1の電子制御装置の鍵配布部から前記第2の電子制御装置に前記暗号鍵を出力するステップと、
    を実行する第1のプログラムと、
    前記第2の電子制御装置において、
    前記鍵配布部から出力された前記暗号鍵である第2の暗号鍵を受信するステップと、
    前記第2の電子制御装置の鍵保持部に記憶されている使用中の暗号鍵である第1の暗号鍵を、前記第2の暗号鍵に更新するステップと、
    を実行する第2のプログラムと、
    を含む、暗号鍵生成更新プログラム。
  13. 記憶部に記憶される暗号鍵を使用する他装置と通信可能な電子制御装置(300)において行われる暗号鍵生成方法を実行するプログラムであって、
    前記電子制御装置を備える車両の所有者に変更があった場合に前記暗号鍵を生成するステップと、
    前記暗号鍵を受信した場合に前記記憶部に記憶される暗号鍵を更新する前記他装置に対し、前記暗号鍵を出力するステップと、
    を含む、暗号鍵生成プログラム。
  14. 車両の所有者に変更があった場合に暗号鍵を生成する他装置と通信可能である、前記暗号鍵を使用する電子制御装置(400)において行われる暗号鍵更新方法を実行するプログラムであって、
    前記他装置から第2の暗号鍵を受信するステップと、
    鍵保持部に記憶されている使用中の暗号鍵である第1の暗号鍵を、前記第2の暗号鍵に更新するステップと、
    を含む、暗号鍵更新プログラム。


JP2017097107A 2017-05-16 2017-05-16 暗号鍵の処理を行う車両用システム及び電子制御装置 Active JP6855918B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2017097107A JP6855918B2 (ja) 2017-05-16 2017-05-16 暗号鍵の処理を行う車両用システム及び電子制御装置
PCT/JP2018/011269 WO2018211815A1 (ja) 2017-05-16 2018-03-22 暗号鍵の処理を行う車両用システム及び電子制御装置
EP18802621.5A EP3627756B1 (en) 2017-05-16 2018-03-22 Vehicular system for processing cipher key and electronic control device
US16/663,225 US11374747B2 (en) 2017-05-16 2019-10-24 Vehicular system for processing encryption key and electronic control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017097107A JP6855918B2 (ja) 2017-05-16 2017-05-16 暗号鍵の処理を行う車両用システム及び電子制御装置

Publications (3)

Publication Number Publication Date
JP2018195932A true JP2018195932A (ja) 2018-12-06
JP2018195932A5 JP2018195932A5 (ja) 2019-07-25
JP6855918B2 JP6855918B2 (ja) 2021-04-07

Family

ID=64274237

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017097107A Active JP6855918B2 (ja) 2017-05-16 2017-05-16 暗号鍵の処理を行う車両用システム及び電子制御装置

Country Status (4)

Country Link
US (1) US11374747B2 (ja)
EP (1) EP3627756B1 (ja)
JP (1) JP6855918B2 (ja)
WO (1) WO2018211815A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11904808B2 (en) 2020-06-01 2024-02-20 Toyota Jidosha Kabushiki Kaisha Information processing apparatus, information processing method and non-transitory storage medium

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7111074B2 (ja) * 2018-08-10 2022-08-02 株式会社デンソー 車両用マスタ装置、セキュリティアクセス鍵の管理方法、セキュリティアクセス鍵の管理プログラム及び車両用電子制御システム
US11350256B2 (en) * 2019-10-30 2022-05-31 Aeris Communications, Inc. Automated detection of change of ownership of assets
CN113162959B (zh) * 2020-01-23 2023-06-30 华为技术有限公司 车载设备的升级方法和装置
WO2023000313A1 (zh) * 2021-07-23 2023-01-26 华为技术有限公司 一种密钥验证方法及相关装置
EP4159555B1 (en) 2021-09-29 2024-06-12 Ningbo Geely Automobile Research & Development Co. Ltd. Updating vehicle ownership authorizations

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005341528A (ja) * 2004-04-28 2005-12-08 Denso Corp 通信システム、鍵配信装置、暗号処理装置、盗難防止装置
JP2009182897A (ja) * 2008-01-31 2009-08-13 Sharp Corp データ送信装置、通信システム、データ送信方法、通信プログラム、および該プログラムを記録する記録媒体
JP2011039712A (ja) * 2009-08-07 2011-02-24 Tokai Rika Co Ltd カーシェアリングシステム
JP2012070167A (ja) * 2010-09-22 2012-04-05 Tokai Rika Co Ltd 通信装置
JP2012079109A (ja) * 2010-10-01 2012-04-19 Toyota Motor Corp 認証システム及び認証方法
JP2013138320A (ja) * 2011-12-28 2013-07-11 Denso Corp 車載システム及び通信方法
WO2016075869A1 (ja) * 2014-11-13 2016-05-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 鍵管理方法、車載ネットワークシステム及び鍵管理装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4682903B2 (ja) 2006-04-06 2011-05-11 株式会社デンソー 車両用リモートサービスシステム
US8578153B2 (en) * 2008-10-28 2013-11-05 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangement for provisioning and managing a device
US9464905B2 (en) * 2010-06-25 2016-10-11 Toyota Motor Engineering & Manufacturing North America, Inc. Over-the-air vehicle systems updating and associate security protocols
EP2993608A1 (en) * 2014-09-03 2016-03-09 Gemalto Sa A method for changing the ownership of a secure element
JP6188672B2 (ja) 2014-10-29 2017-08-30 Kddi株式会社 鍵管理システム
JP6183436B2 (ja) 2015-10-08 2017-08-23 住友電気工業株式会社 車載機及び共通鍵の更新の契機を得る方法
US20180012196A1 (en) * 2016-07-07 2018-01-11 NextEv USA, Inc. Vehicle maintenance manager

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005341528A (ja) * 2004-04-28 2005-12-08 Denso Corp 通信システム、鍵配信装置、暗号処理装置、盗難防止装置
JP2009182897A (ja) * 2008-01-31 2009-08-13 Sharp Corp データ送信装置、通信システム、データ送信方法、通信プログラム、および該プログラムを記録する記録媒体
JP2011039712A (ja) * 2009-08-07 2011-02-24 Tokai Rika Co Ltd カーシェアリングシステム
JP2012070167A (ja) * 2010-09-22 2012-04-05 Tokai Rika Co Ltd 通信装置
JP2012079109A (ja) * 2010-10-01 2012-04-19 Toyota Motor Corp 認証システム及び認証方法
JP2013138320A (ja) * 2011-12-28 2013-07-11 Denso Corp 車載システム及び通信方法
WO2016075869A1 (ja) * 2014-11-13 2016-05-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 鍵管理方法、車載ネットワークシステム及び鍵管理装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11904808B2 (en) 2020-06-01 2024-02-20 Toyota Jidosha Kabushiki Kaisha Information processing apparatus, information processing method and non-transitory storage medium

Also Published As

Publication number Publication date
EP3627756B1 (en) 2021-12-29
US20200059359A1 (en) 2020-02-20
WO2018211815A1 (ja) 2018-11-22
JP6855918B2 (ja) 2021-04-07
EP3627756A1 (en) 2020-03-25
US11374747B2 (en) 2022-06-28
EP3627756A4 (en) 2020-05-20

Similar Documents

Publication Publication Date Title
JP2018195932A (ja) 暗号鍵の処理を行う車両用システム及び電子制御装置
JP6332580B1 (ja) 制御装置、プログラム更新方法、およびコンピュータプログラム
US10705826B2 (en) Control apparatus, program updating method, and computer program
US20160378457A1 (en) Program update system and program update method
JP6451899B2 (ja) 制御装置、プログラム更新方法、およびコンピュータプログラム
JP6465258B1 (ja) 制御装置、制御方法、およびコンピュータプログラム
WO2012056773A1 (ja) 車両用プログラム書換えシステム
WO2017208890A1 (ja) 制御装置、制御方法及びコンピュータプログラム
WO2017195389A1 (ja) 車載制御装置、制御方法及びコンピュータプログラム
JP6394678B2 (ja) 制御装置、制御プログラムの更新可否の決定方法、及びコンピュータプログラム
JP6702269B2 (ja) 制御装置、制御方法、およびコンピュータプログラム
CN113645590B (zh) 基于加密算法的远程控制车辆的方法、装置、设备及介质
WO2018230084A1 (ja) 更新制御装置、制御方法、およびコンピュータプログラム
US10124766B2 (en) Method for controlling the operation of at least one functional component of a motor vehicle and motor vehicle
JP2015041231A (ja) プログラム書換システム、制御装置、プログラム出力装置、蓄積装置、コネクタ、及びプログラム書換方法
JP5783013B2 (ja) 車載通信システム
JP2007269269A (ja) 車載機器の設定システム
JP6107716B2 (ja) 車両制御装置及び車両用パスワード設定方法
JP2009033264A (ja) 車両のデータ通信システム及び車両
WO2019187391A1 (ja) 制御装置、プログラム更新方法、コンピュータプログラム、プログラム送付方法、及びリムーバブルメディア
JP2020088458A (ja) 情報処理装置
JP2012234437A (ja) 車載通信システム及び制御ユニット
JP6731892B2 (ja) 車載メモリの改竄検知装置
JP2020064606A (ja) 制御装置、制御方法及びプログラム
JP4633109B2 (ja) 遠隔始動制御装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190617

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190617

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200630

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200825

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210216

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210301

R151 Written notification of patent or utility model registration

Ref document number: 6855918

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250