JP2019161521A - Vehicle key distribution system and general-purpose scanning tool - Google Patents

Vehicle key distribution system and general-purpose scanning tool Download PDF

Info

Publication number
JP2019161521A
JP2019161521A JP2018047525A JP2018047525A JP2019161521A JP 2019161521 A JP2019161521 A JP 2019161521A JP 2018047525 A JP2018047525 A JP 2018047525A JP 2018047525 A JP2018047525 A JP 2018047525A JP 2019161521 A JP2019161521 A JP 2019161521A
Authority
JP
Japan
Prior art keywords
general
scan tool
vehicle
certificate
vehicle manufacturer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018047525A
Other languages
Japanese (ja)
Other versions
JP6977635B2 (en
Inventor
嘉浩 西野
Yoshihiro Nishino
嘉浩 西野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2018047525A priority Critical patent/JP6977635B2/en
Publication of JP2019161521A publication Critical patent/JP2019161521A/en
Application granted granted Critical
Publication of JP6977635B2 publication Critical patent/JP6977635B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Abstract

To provide a system capable of securely distributing a plurality of vehicle keys each of which is different for each vehicle manufacturer to a general-purpose scan tool.SOLUTION: A vehicle key distribution system 1 includes a general-purpose scan tool 2 with an SIM 3, a management server 4, and a vehicle manufacturer server 5. The general-purpose scan tool 2 performs mutual authentication with the management server 4, establishes a secure communication session with the management server 4, and then acquires a vehicle manufacturer certificate 55 from the management server 4. Further, the general-purpose scan tool 2 performs mutual authentication with the vehicle manufacturer server 5 and establishes a secure communication session with the vehicle manufacturer server 5, and then acquires a vehicle key 61 from the vehicle manufacturer server 5. The general-purpose scan tool 2 obtains a plurality of vehicle manufacturer certificates 55 from the management server 4, and obtains a plurality of vehicle keys 61 from the plurality of vehicle manufacturer servers 5 to register the vehicle keys related to the plurality of vehicle manufacturers in the SIM 3.SELECTED DRAWING: Figure 1

Description

本発明は,車両の診断に用いる装置であるスキャンツールに係る発明である。   The present invention relates to a scan tool which is an apparatus used for vehicle diagnosis.

車両(自動車)の電子制御化が進み,電子制御で利用するマイクロコンピュータであるECU(Electronic Control Unit)が車両に搭載されるようになった。車両に搭載されるECUは一つではなく,ハイブリット車など,高度な電子制御を必要とする車両には100個を超えるECUが搭載される。   With the advancement of electronic control of vehicles (automobiles), ECUs (Electronic Control Units), which are microcomputers used for electronic control, have been installed in vehicles. The number of ECUs mounted on the vehicle is not one, and more than 100 ECUs are mounted on vehicles that require advanced electronic control, such as hybrid vehicles.

車両に搭載されたECUは車外からアクセスできるように構成されている。V2X(Vehicle to Everything)に係る分野では,車外から車両のECUにアクセスする装置として,他の車両や,道路に設置されたインフラ設備(信号機,道路標識)などが想定されているが,車両に搭載されたECUへ車外からアクセスする装置としてはスキャンツールが有名である。   The ECU mounted on the vehicle is configured to be accessible from outside the vehicle. In the field related to V2X (Vehicle to Everything), other vehicles and infrastructure equipment (signals, road signs) installed on the road are assumed as devices for accessing the ECU of the vehicle from outside the vehicle. A scan tool is famous as a device for accessing the mounted ECU from outside the vehicle.

スキャンツールとは,車両に設けられた診断用ポートを介してECUと通信し,ECUから車両情報(例えば,故障コード)を読出す電子機器である。スキャンツールには,特定の車両メーカの車両にのみ対応した専用スキャンツールもあるが,現在,複数の車両メーカに対応した汎用スキャンツールの普及が進められている。   The scan tool is an electronic device that communicates with the ECU via a diagnostic port provided in the vehicle and reads vehicle information (for example, a failure code) from the ECU. Although there are dedicated scan tools that are compatible only with vehicles of a specific vehicle manufacturer, a general-purpose scan tool compatible with a plurality of vehicle manufacturers is now in widespread use.

車両に設けられた診断用ポートを利用したECUへの不正アクセスは,ECUに対する脅威(他のECUのなりすまし,不正な書き換え等)になるため,特許文献1で開示されている発明に記載があるように,ECUは,暗号鍵である車両鍵を利用した認証機能(アクセス認証やメッセージ認証)を有している。   Since unauthorized access to an ECU using a diagnostic port provided in a vehicle is a threat to the ECU (impersonation of another ECU, unauthorized rewriting, etc.), the invention disclosed in Patent Document 1 is described. As described above, the ECU has an authentication function (access authentication or message authentication) using a vehicle key that is an encryption key.

このように,ECUへの不正アクセスを防止する技術については,上述した特許文献1も含め,様々な発明が開示されているが,ECUにアクセスするスキャンツールに対するセキュリティ対策についてはほとんど講じられていないのが現状である。   Thus, although various inventions including the above-described Patent Document 1 have been disclosed as techniques for preventing unauthorized access to the ECU, little security measures have been taken for scan tools that access the ECU. is the current situation.

特に,汎用スキャンツールの場合,複数の車両鍵を汎用スキャンツールに配信しなければならず,車両メーカごとに異なる複数の車両鍵を汎用スキャンツールにセキュアに配信できるスキームが必要になる。   In particular, in the case of a general-purpose scan tool, a plurality of vehicle keys must be distributed to the general-purpose scan tool, and a scheme capable of securely distributing a plurality of vehicle keys different for each vehicle manufacturer to the general-purpose scan tool is required.

特開2013−98719号公報JP 2013-98719 A

そこで,本発明は,車両メーカごとに異なる複数の車両鍵を汎用スキャンツールにセキュアに配信できるシステムと,このシステムで必要となる汎用スキャンツールを提供する。   Therefore, the present invention provides a system capable of securely distributing a plurality of vehicle keys different for each vehicle manufacturer to a general-purpose scan tool, and a general-purpose scan tool required for this system.

上述した課題を解決する第1発明に係る車両鍵配信システムは,車両メーカ証明書を複数の車両メーカごとに記憶している管理サーバと,車両メーカの車両に搭載したECUへアクセスするための車両鍵を記憶している車両メーカサーバと,セキュアエレメントを実装している汎用スキャンツールを備えるシステムである。
第1発明に係る前記管理サーバは,前記管理サーバが記憶している管理サーバ証明書と,前記汎用スキャンツールから受信した汎用スキャンツール証明書および前記汎用スキャンツール証明書に対する署名データを利用して,前記汎用スキャンツールと相互認証し,前記汎用スキャンツールとの間でセッション鍵により通信内容を暗号化するセキュアな通信セッションを確立する手段を備える。
第1発明に係る前記車両メーカサーバは,前記汎用スキャンツールに記憶させた前記車両メーカ証明書と,前記汎用スキャンツールから受信した汎用スキャンツール証明書および前記汎用スキャンツール証明書に対する署名データを利用して,前記汎用スキャンツールと相互認証し,前記汎用スキャンツールとの間で前記通信セッションを確立する手段を備える。
第1発明に係る前記セキュアエレメントは,前記汎用スキャンツール証明書に記された公開鍵と対になる秘密鍵を記憶し,この秘密鍵を用いて,前記汎用スキャンツール証明書に対する署名データを生成する機能を備える。
第1発明に係る前記汎用スキャンツールは,前記管理サーバから受信した前記管理サーバ証明書と,前記汎用スキャンツール証明書と前記セキュアエレメントに生成させた前記汎用スキャンツール証明書に対する署名データを利用して,前記管理サーバと相互認証し,前記管理サーバとの間で前記通信セッションを確立する管理サーバ用通信手段と,前記セキュアな通信セッションを確立した前記管理サーバから前記車両メーカ証明書を取得して,前記車両メーカ証明書を前記セキュアエレメントに登録する手段と,前記セキュアエレメントから読み出した前記車両メーカ証明書と,前記汎用スキャンツール証明書および前記セキュアエレメントに生成させた前記汎用スキャンツール証明書に対する署名データを利用して,前記車両メーカサーバと相互認証し,前記車両メーカサーバとの間で前記セキュアな通信セッションを確立する車両メーカサーバ用通信手段と,前記セキュアな通信セッションを確立した前記車両メーカサーバから前記車両鍵を取得して前記セキュアエレメントに登録する手段を備える。
第1発明に係る車両鍵配信システムによれば,前記汎用スキャンツールが,複数の前記車両メーカ証明書を前記管理サーバから取得し,複数の前記車両メーカサーバにアクセスして複数の前記車両鍵を取得することで,前記汎用スキャンツールに複数の車両メーカに係る前記車両鍵を配信できる。
また,第1発明に係る車両鍵配信システムでは,セキュリティを高めるために,前記汎用スキャンツールと前記管理サーバの間,ならびに,前記汎用スキャンツールと前記車両メーカサーバの間で,セッション鍵により通信内容を暗号化する前記セキュアな通信セッションを確立することで,通信内容の盗聴や改ざんを防止できるようにしている。
また,第1発明に係る車両鍵配信システムでは,セキュリティを高めるために,前記汎用スキャンツールと前記管理サーバ,ならびに,前記汎用スキャンツールと前記車両メーカサーバがそれぞれ相互認証を行うことで,通信相手が本物であるか否かを確認できるようにしている。
更に,第1発明に係る車両鍵配信システムでは,セキュリティを高めるために,前記汎用スキャンツール証明書に対する署名データの生成を前記セキュアエレメントの内部で行うことで,前記汎用スキャンツール証明書に対する署名データの生成に用いる秘密鍵が外部に漏えいするのを防止している。 A vehicle key distribution system according to a first invention for solving the above-described problem includes a management server storing a vehicle manufacturer certificate for each of a plurality of vehicle manufacturers, and a vehicle for accessing an ECU mounted on the vehicle manufacturer's vehicle. This system includes a vehicle manufacturer server that stores keys and a general-purpose scan tool that implements secure elements.
The management server according to the first invention uses a management server certificate stored in the management server, a general scan tool certificate received from the general scan tool, and signature data for the general scan tool certificate. , And means for mutual authentication with the general-purpose scan tool and establishing a secure communication session for encrypting communication contents with the general-purpose scan tool using a session key.
The vehicle manufacturer server according to the first invention uses the vehicle manufacturer certificate stored in the general scan tool, the general scan tool certificate received from the general scan tool, and signature data for the general scan tool certificate. And means for mutual authentication with the general-purpose scan tool and establishing the communication session with the general-purpose scan tool.
The secure element according to the first invention stores a secret key paired with a public key written in the general-purpose scan tool certificate, and generates signature data for the general-purpose scan tool certificate using the secret key It has a function to do.
The general scan tool according to the first invention uses the management server certificate received from the management server, the general scan tool certificate, and signature data for the general scan tool certificate generated by the secure element. And a communication means for management server that mutually authenticates with the management server and establishes the communication session with the management server, and acquires the vehicle manufacturer certificate from the management server that establishes the secure communication session. Means for registering the vehicle manufacturer certificate in the secure element, the vehicle manufacturer certificate read from the secure element, the universal scan tool certificate, and the universal scan tool certificate generated by the secure element Using the signature data for the vehicle manufacturer A vehicle manufacturer server communication means for mutual authentication with the vehicle manufacturer server and establishing the secure communication session with the vehicle manufacturer server; and obtaining the vehicle key from the vehicle manufacturer server establishing the secure communication session; Means for registering with the secure element;
According to the vehicle key distribution system according to the first invention, the general-purpose scan tool acquires a plurality of the vehicle manufacturer certificates from the management server, accesses the plurality of vehicle manufacturer servers, and obtains the plurality of vehicle keys. By acquiring, the vehicle keys relating to a plurality of vehicle manufacturers can be distributed to the general-purpose scan tool.
In the vehicle key distribution system according to the first aspect of the present invention, in order to increase security, communication contents are communicated between the general-purpose scan tool and the management server and between the general-purpose scan tool and the vehicle manufacturer server using session keys. By establishing the secure communication session for encrypting the content, it is possible to prevent eavesdropping and tampering of communication contents.
In the vehicle key distribution system according to the first aspect of the present invention, in order to increase security, the general-purpose scan tool and the management server, and the general-purpose scan tool and the vehicle manufacturer server perform mutual authentication, respectively. It is possible to confirm whether or not is genuine.
Furthermore, in the vehicle key distribution system according to the first aspect of the invention, the signature data for the general-purpose scan tool certificate is generated by generating the signature data for the general-purpose scan tool certificate inside the secure element in order to enhance security. The secret key used for generating the password is prevented from leaking outside.

更に,第2発明は,第1発明において,前記汎用スキャンツールが備える車両メーカサーバ用通信手段は,前記セキュアな通信セッションで用いるセッション鍵が,前記セキュアな通信セッションを確立するごとに使い捨てされるように,前記車両メーカサーバとの間で前記セキュアな通信セッションを確立することを特徴とする。前記車両鍵は,車両に搭載したECUへアクセスするための重要なデータになるので,過去に利用したセッション鍵を再利用しないことが好適である。   Furthermore, the second invention is the vehicle invention server communication means provided in the general-purpose scan tool according to the first invention, wherein a session key used in the secure communication session is discarded every time the secure communication session is established. As described above, the secure communication session is established with the vehicle manufacturer server. Since the vehicle key becomes important data for accessing the ECU mounted on the vehicle, it is preferable not to reuse the session key used in the past.

更に,第3発明は,第1発明または第2発明において,前記汎用スキャンツールに実装する前記セキュアエレメントをSIMとしたことを特徴とする。前記汎用スキャンツールから前記セキュアエレメントを着脱できるようにすることで,車両の診断内容に合わせて,車両の診断内容に適した前記汎用スキャンツールを利用できるようになる。   Further, the third invention is characterized in that, in the first invention or the second invention, the secure element mounted on the general-purpose scan tool is a SIM. By making the secure element detachable from the general-purpose scan tool, the general-purpose scan tool suitable for the vehicle diagnosis content can be used in accordance with the vehicle diagnosis content.

上述した課題を解決する第4発明は,セキュアエレメントを実装した汎用スキャンツールである。
第4発明に係る前記セキュアエレメントは,汎用スキャンツール証明書に記された公開鍵と対になる秘密鍵を記憶し,この秘密鍵を用いて,前記汎用スキャンツール証明書に対する署名データを生成するコマンドを備える。
第4発明に係る前記汎用スキャンツールは,車両メーカ証明書を複数の車両メーカごとに記憶している管理サーバから受信した管理サーバ証明書と,汎用スキャンツール証明書および前記セキュアエレメントに生成させた前記汎用スキャンツール証明書に対する署名データを利用して,前記汎用スキャンツールと相互認証し,前記管理サーバとの間でセッション鍵により通信内容を暗号化するセキュアな通信セッションを確立する管理サーバ用通信手段と,前記セキュアな通信セッションを確立した前記管理サーバから前記車両メーカ証明書を取得して,前記車両メーカ証明書を前記セキュアエレメントに登録する手段と,前記セキュアエレメントから読み出した前記車両メーカ証明書と,前記汎用スキャンツール証明書および前記セキュアエレメントに生成させた前記汎用スキャンツール証明書に対する署名データを利用して,車両メーカの車両に搭載したECUへアクセスするための車両鍵を記憶し,前記車両メーカ証明書に対応する車両メーカサーバと相互認証し,前記車両メーカサーバとの間で前記セキュアな通信セッションを確立する車両メーカサーバ用通信手段と,前記セキュアな通信セッションを確立した前記車両メーカサーバから,前記車両メーカサーバに対応する車両メーカが販売している車両に搭載したECUへアクセスするための暗号鍵である車両鍵を取得して前記セキュアエレメントに登録する手段を備える。
第4発明は,第1発明に記載した車両鍵配信システムで必要な汎用スキャンツールに係る発明である。 A fourth invention for solving the above-described problem is a general-purpose scan tool in which a secure element is mounted.
The secure element according to a fourth aspect of the present invention stores a secret key that is paired with a public key written in a general-purpose scan tool certificate, and generates signature data for the general-purpose scan tool certificate using the secret key. Provide commands.
The general-purpose scan tool according to a fourth aspect of the present invention generates a management server certificate received from a management server storing a vehicle manufacturer certificate for each of a plurality of vehicle manufacturers, a general-purpose scan tool certificate, and the secure element. Management server communication that establishes a secure communication session that mutually authenticates with the general-purpose scan tool using the signature data for the general-purpose scan tool certificate and encrypts communication content with the management server using a session key Means for acquiring the vehicle manufacturer certificate from the management server that has established the secure communication session, and registering the vehicle manufacturer certificate in the secure element; and the vehicle manufacturer certificate read from the secure element Certificate, the generic scan tool certificate and the secure A vehicle key for accessing an ECU mounted on the vehicle of the vehicle manufacturer using the signature data for the general-purpose scan tool certificate generated by the machine, and a vehicle manufacturer server corresponding to the vehicle manufacturer certificate; A vehicle corresponding to the vehicle manufacturer server from the vehicle manufacturer server communication means for performing mutual authentication and establishing the secure communication session with the vehicle manufacturer server, and the vehicle manufacturer server establishing the secure communication session. Means for obtaining a vehicle key, which is an encryption key for accessing an ECU mounted on a vehicle sold by a manufacturer, and registering it in the secure element.
The fourth invention is an invention related to a general-purpose scan tool necessary for the vehicle key distribution system described in the first invention.

更に,第5発明は,第4発明において,前記汎用スキャンツールが備える車両メーカサーバ用通信手段は,前記セキュアな通信セッションで用いるセッション鍵が,前記セキュアな通信セッションを確立するごとに使い捨てされるように,前記車両メーカサーバとの間で前記セキュアな通信セッションを確立することを特徴とする。第5発明は,第2発明に記載した車両鍵配信システムで必要な汎用スキャンツールに係る発明である。   Furthermore, a fifth invention is the vehicle invention server communication means provided in the general-purpose scan tool according to the fourth invention, wherein a session key used in the secure communication session is discarded every time the secure communication session is established. As described above, the secure communication session is established with the vehicle manufacturer server. The fifth invention is an invention related to a general-purpose scan tool necessary for the vehicle key distribution system described in the second invention.

更に,第6発明は,第5発明または第6発明において,前記汎用スキャンツールに実装する前記セキュアエレメントをSIMとしたことを特徴とする。第6発明は,第3発明に記載した車両鍵配信システムで必要な汎用スキャンツールに係る発明である。   Furthermore, a sixth invention is characterized in that, in the fifth invention or the sixth invention, the secure element mounted on the general-purpose scan tool is a SIM. The sixth invention is an invention related to a general-purpose scan tool necessary for the vehicle key distribution system described in the third invention.

上述した発明によれば,車両メーカごとに異なる複数の車両鍵を汎用スキャンツールにセキュアに配信できるシステムと,このシステムで必要となる汎用スキャンツールを提供できる。   According to the above-described invention, it is possible to provide a system that can securely distribute a plurality of vehicle keys different for each vehicle manufacturer to a general-purpose scan tool, and a general-purpose scan tool required for this system.

本実施形態に係る車両鍵配信システムの構成を説明する図。The figure explaining the structure of the vehicle key delivery system which concerns on this embodiment. 車両メーカサーバを説明する図。The figure explaining a vehicle maker server. 管理サーバを説明する図。The figure explaining a management server. 汎用スキャンツールのブロック図。Block diagram of a generic scan tool. 車両鍵配信システムで実行される処理を説明する図。The figure explaining the process performed with a vehicle key delivery system. TLS(Transport Layer Security)の手順を説明する図。The figure explaining the procedure of TLS (Transport Layer Security). 汎用スキャンツールが備える自己診断手段の動作を説明する図。The figure explaining operation | movement of the self-diagnosis means with which a general purpose scan tool is provided.

ここから,本発明の好適な実施形態を記載する。なお,以下の記載は本発明の技術的範囲を束縛するものでなく,本発明の理解を助けるために記述するものである。   From here, preferred embodiments of the present invention will be described. The following description is not intended to limit the technical scope of the present invention, but is provided to assist in understanding the present invention.

図1は,本実施形態に係る車両鍵配信システム1の構成を説明する図である。図1で図示した車両鍵配信システム1は,車両6の診断に用いる装置で複数の車両メーカに対応している汎用スキャンツール2にセキュアエレメントとしてSIM3(Subscriber Identity Module)を実装させ,車両6の診断に必要な暗号鍵である車両鍵61を汎用スキャンツール2を配信し,汎用スキャンツール2のSIM3にセキュアに登録できるように発案されたシステムである。   FIG. 1 is a diagram illustrating a configuration of a vehicle key distribution system 1 according to the present embodiment. The vehicle key distribution system 1 illustrated in FIG. 1 is a device used for diagnosis of a vehicle 6 and a SIM3 (Subscriber Identity Module) as a secure element is mounted on a general-purpose scan tool 2 that supports a plurality of vehicle manufacturers. This is a system designed to deliver the vehicle key 61, which is an encryption key necessary for diagnosis, to the general-purpose scan tool 2 and securely register it in the SIM 3 of the general-purpose scan tool 2.

本実施形態では,汎用スキャンツール2に実装するセキュアエレメントをSIM3としているが,汎用スキャンツール2に実装するセキュアエレメントの形態はSIM3に限定されない。セキュアエレメントの形態としては,SIM3以外に,組み込み型のSIM3であるeSIM(Embedded SIM),セキュリティ関連に係る暗号演算機能を提供するように設計されたマイクロチップであるTPM(Trusted Platform Module),および,セキュリティ関連に係る暗号演算機能を提供するように設計されたデバイスであるHSM(Hardware Security Module)やHSMよりも構成が簡素なSHE(Secure Hardware Extension)などもあるが,汎用スキャンツール2に実装するセキュアエレメントの形態としては,汎用スキャンツール2からの取り外しが容易なSIM3が好適である。   In the present embodiment, the secure element mounted on the general-purpose scan tool 2 is SIM3, but the form of the secure element mounted on the general-purpose scan tool 2 is not limited to SIM3. As a form of the secure element, in addition to SIM3, eSIM (Embedded SIM) which is a built-in SIM3, TPM (Trusted Platform Module) which is a microchip designed to provide a cryptographic operation function related to security, and , HSM (Hardware Security Module), which is a device designed to provide cryptographic functions related to security, and SHE (Secure Hardware Extension), which is simpler than HSM, are implemented in the general-purpose scan tool 2. As a form of the secure element, SIM3 that can be easily detached from the general-purpose scan tool 2 is suitable.

図1で図示したように,実施形態に係る車両鍵配信システム1は,セキュアエレメントとしてSIM3を実装した汎用スキャンツール2と,ネットワーク7に接続しているサーバとして,自社が販売している車両6に搭載したECU60へのアクセスに必要な暗号鍵である車両鍵61を記憶している車両メーカサーバ5と,車両メーカサーバ5のサーバ公開鍵が記された公開鍵証明書である車両メーカ証明書55を車両メーカごとに記憶している管理サーバ4を備える。   As illustrated in FIG. 1, the vehicle key distribution system 1 according to the embodiment includes a general-purpose scan tool 2 in which a SIM 3 is mounted as a secure element and a vehicle 6 sold by the company as a server connected to a network 7. Vehicle manufacturer server 5 storing vehicle key 61 which is an encryption key necessary for access to ECU 60 mounted on the vehicle, and vehicle manufacturer certificate which is a public key certificate in which the server public key of vehicle manufacturer server 5 is recorded The management server 4 which memorize | stores 55 for every vehicle maker is provided.

図1で図示した車両6は,汎用スキャンツール2が接続する診断用ポート62(OBDポート(On-Board Diagnostics))を有する。車両6を診断する際,汎用スキャンツール2は,車両6の診断用ポート62と接続として,車両6に搭載されたECU60にアクセスし,ECU60に記憶された故障コードを読み取る。図1では,車両6に搭載されたECU60は一つとしているが,実際,複数のECU60が一台の車両6に搭載される。   The vehicle 6 illustrated in FIG. 1 has a diagnosis port 62 (OBD port (On-Board Diagnostics)) to which the general-purpose scan tool 2 is connected. When diagnosing the vehicle 6, the general-purpose scan tool 2 accesses the ECU 60 mounted on the vehicle 6 as a connection with the diagnosis port 62 of the vehicle 6 and reads a failure code stored in the ECU 60. In FIG. 1, the number of ECUs 60 mounted on the vehicle 6 is one, but actually, a plurality of ECUs 60 are mounted on one vehicle 6.

図1で図示していないが,車両6に搭載されたECU60はセキュアエレメントとしてSHEを有し,車両6に搭載されたECU60へのアクセスは,ECU60のSHEが記憶している車両鍵61によりセキュリティが保護される。   Although not shown in FIG. 1, the ECU 60 mounted on the vehicle 6 has a SHE as a secure element, and access to the ECU 60 mounted on the vehicle 6 is secured by a vehicle key 61 stored in the SHE of the ECU 60. Is protected.

図2は,車両メーカサーバ5を説明する図である。車両メーカサーバ5は,汎用のサーバを利用して実現される装置で,車両メーカサーバ5が備えるハードウェアは汎用のサーバと同様であるため,車両メーカサーバ5が備えるハードウェアの詳細については,ここでは説明しない。   FIG. 2 is a diagram for explaining the vehicle manufacturer server 5. The vehicle maker server 5 is a device realized by using a general-purpose server, and the hardware included in the vehicle maker server 5 is the same as that of the general-purpose server. It will not be described here.

車両6に搭載されたECU60へのアクセスに必要な車両鍵61は,ECU60が搭載された車両6を販売している車両メーカに対応する車両メーカサーバ5が記憶している。車両メーカサーバ5はセキュアエレメントとしてHSM53を有し,車両メーカサーバ5が有するHSM53は,車両メーカ証明書55に記された車両メーカサーバ5のサーバ公開鍵と対になる車両メーカサーバ5のサーバ秘密鍵54と,車両メーカが販売している車両6に搭載したECU60にアクセスするための車両鍵61を記憶する。   The vehicle key 61 necessary for access to the ECU 60 mounted on the vehicle 6 is stored in the vehicle manufacturer server 5 corresponding to the vehicle manufacturer selling the vehicle 6 mounted with the ECU 60. The vehicle manufacturer server 5 has an HSM 53 as a secure element, and the HSM 53 included in the vehicle manufacturer server 5 is a server secret of the vehicle manufacturer server 5 that is paired with the server public key of the vehicle manufacturer server 5 described in the vehicle manufacturer certificate 55. A key 54 and a vehicle key 61 for accessing the ECU 60 mounted on the vehicle 6 sold by the vehicle manufacturer are stored.

暗号方式には共通鍵暗号方式と公開鍵暗号方式の2種類があり,車両鍵61はいずれの方式の暗号鍵でよい。車両鍵61が,共通鍵暗号方式の暗号鍵の場合,ECU60のSHEが記憶している車両鍵61と車両メーカサーバ5が記憶している車両鍵61は同一である。車両鍵61が,公開鍵暗号方式の暗号鍵の場合,ECU60のSHEには車両鍵61の秘密鍵が記憶され,車両メーカサーバ5には車両鍵61の公開鍵が記憶される。   There are two types of encryption methods, a common key encryption method and a public key encryption method, and the vehicle key 61 may be any encryption key. When the vehicle key 61 is a common key encryption key, the vehicle key 61 stored in the SHE of the ECU 60 and the vehicle key 61 stored in the vehicle manufacturer server 5 are the same. When the vehicle key 61 is an encryption key of the public key cryptosystem, the secret key of the vehicle key 61 is stored in the SHE of the ECU 60, and the public key of the vehicle key 61 is stored in the vehicle manufacturer server 5.

車両メーカサーバ5は,ネットワーク通信するための通信インタフェースとして,ネットワークインタフェース50を備える。また,車両メーカサーバ5は,コンピュータプログラムにより実現される機能として,汎用スキャンツール2と相互認証し,汎用スキャンツール2との間で,セッション鍵により通信内容を暗号化するセキュアな通信セッションを確立するセキュア通信手段51を備える。更に,車両メーカサーバ5は,コンピュータプログラムにより実現される機能として,車両メーカサーバ5とセキュアな通信セッションを確立した汎用スキャンツール2に対して,車両メーカサーバ5が記憶している車両鍵61を配信する処理を実行する車両鍵配信手段52を備える。   The vehicle manufacturer server 5 includes a network interface 50 as a communication interface for network communication. In addition, as a function realized by the computer program, the vehicle manufacturer server 5 establishes a secure communication session that mutually authenticates with the general-purpose scan tool 2 and encrypts communication contents with the general-purpose scan tool 2 using a session key. Secure communication means 51 is provided. Furthermore, the vehicle manufacturer server 5 uses a vehicle key 61 stored in the vehicle manufacturer server 5 as a function realized by the computer program for the general-purpose scan tool 2 that has established a secure communication session with the vehicle manufacturer server 5. Vehicle key distribution means 52 for executing the distribution process is provided.

図3は,管理サーバ4を説明する図である。管理サーバ4は,汎用のサーバを利用して実現される装置で,管理サーバ4が備えるハードウェアは汎用のサーバと同様であるため,管理サーバ4が備えるハードウェアの詳細については,ここでは説明しない。   FIG. 3 is a diagram for explaining the management server 4. The management server 4 is a device realized by using a general-purpose server. Since the hardware included in the management server 4 is the same as that of the general-purpose server, details of the hardware included in the management server 4 will be described here. do not do.

管理サーバ4はセキュアエレメントとしてHSM43を有し,管理サーバ4が有するHSM43は,上述している車両メーカ証明書55を車両メーカごとに記憶する。更に,管理サーバ4は,管理サーバ4とのセキュアな通信セッションの確立に用いる暗号鍵として,管理サーバ4のサーバ公開鍵が記された公開鍵証明書である管理サーバ証明書45と,管理サーバ4のサーバ秘密鍵44を記憶する。   The management server 4 includes an HSM 43 as a secure element, and the HSM 43 included in the management server 4 stores the vehicle manufacturer certificate 55 described above for each vehicle manufacturer. Further, the management server 4 includes a management server certificate 45, which is a public key certificate in which the server public key of the management server 4 is written, as an encryption key used for establishing a secure communication session with the management server 4, and a management server 4 server secret keys 44 are stored.

また,管理サーバ4は,ネットワーク通信するための通信インタフェースとして,ネットワークインタフェース40を備える。更に,管理サーバ4は,コンピュータプログラムで実現される機能として,汎用スキャンツール2と相互認証し,汎用スキャンツール2との間でセキュアな通信セッションを確立する処理を行うセキュア通信手段41を備える。また,管理サーバ4は,コンピュータプログラムで実現される機能として,管理サーバ4とセキュアな通信セッションを確立した汎用スキャンツール2に対して,管理サーバ4が記憶している車両メーカ証明書55を配信する処理を行う車両メーカ証明書配信手段42を備える。   The management server 4 includes a network interface 40 as a communication interface for network communication. Furthermore, the management server 4 includes a secure communication means 41 that performs a process of establishing a secure communication session with the general-purpose scan tool 2 by mutual authentication with the general-purpose scan tool 2 as a function realized by a computer program. In addition, the management server 4 distributes the vehicle manufacturer certificate 55 stored in the management server 4 to the general-purpose scan tool 2 that has established a secure communication session with the management server 4 as a function realized by a computer program. Vehicle manufacturer certificate distribution means 42 for performing the processing is provided.

図4は,汎用スキャンツール2のブロック図である。汎用スキャンツール2は,ディスプレイと操作デバイスを備えたコンピュータ機器である。汎用スキャンツール2は,ネットワーク通信するためのインタフェースであるネットワークインタフェース20と,セキュアエレメントと通信するためのインタフェースであるセキュアエレメントインタフェース21と,診断用ポート62と接続するための通信インタフェースである診断用ポートインタフェース22を備える。   FIG. 4 is a block diagram of the general-purpose scan tool 2. The general-purpose scan tool 2 is a computer device provided with a display and an operation device. The general-purpose scan tool 2 is a diagnostic interface that is a communication interface for connecting to a network interface 20 that is an interface for network communication, a secure element interface 21 that is an interface for communicating with a secure element, and a diagnostic port 62. A port interface 22 is provided.

汎用スキャンツール2が備えるネットワークインタフェース20は,無線方式または有線方式のいずれでもよい。汎用スキャンツール2が備えるセキュアエレメントインタフェース21は,汎用スキャンツール2に実装するセキュアエレメントに対応する。本実施形態では,セキュアエレメントとしてSIM3を汎用スキャンツール2に実装しているので,セキュアエレメントインタフェース21は,ISO7816に対応したものになる。汎用スキャンツール2が備える診断用ポートインタフェース22は,診断用ポート62に対応したものになる。   The network interface 20 provided in the general-purpose scan tool 2 may be either a wireless system or a wired system. The secure element interface 21 included in the general-purpose scan tool 2 corresponds to a secure element implemented in the general-purpose scan tool 2. In the present embodiment, since the SIM 3 is mounted on the general-purpose scan tool 2 as a secure element, the secure element interface 21 corresponds to ISO7816. The diagnostic port interface 22 provided in the general-purpose scan tool 2 corresponds to the diagnostic port 62.

汎用スキャンツール2は,コンピュータプログラムで実現される機能として,管理サーバ4と相互認証し,管理サーバ4との間でセキュアな通信セッションを確立する管理サーバ用通信手段23と,セキュアな通信セッションを確立した管理サーバ4から車両メーカ証明書55を取得してSIM3に登録する車両メーカ証明書登録手段25と,車両メーカサーバ5と相互認証し,車両メーカサーバ5との間でセキュアな通信セッションを確立する車両メーカサーバ用通信手段24と,セキュアな通信セッションを確立した管理サーバ4から車両鍵61を取得してSIM3に登録する車両鍵登録手段26を備える。管理サーバ用通信手段23と車両メーカ証明書登録手段25は,セキュアな通信セッションを確立する点については同じであるが,セキュアな通信セッションを確立する処理の内容は異なる。   The general-purpose scan tool 2 includes a management server communication unit 23 that mutually authenticates with the management server 4 and establishes a secure communication session with the management server 4 as a function realized by a computer program, and a secure communication session. The vehicle manufacturer certificate registration means 25 that acquires the vehicle manufacturer certificate 55 from the established management server 4 and registers it in the SIM 3 and the vehicle manufacturer server 5 are mutually authenticated, and a secure communication session is established with the vehicle manufacturer server 5. The vehicle manufacturer server communication means 24 to be established and the vehicle key registration means 26 for obtaining the vehicle key 61 from the management server 4 having established a secure communication session and registering it in the SIM 3 are provided. The management server communication unit 23 and the vehicle manufacturer certificate registration unit 25 are the same in that a secure communication session is established, but the contents of the process for establishing a secure communication session are different.

また,汎用スキャンツール2は,コンピュータプログラムで実現される機能として,診断用ポート62と接続として,車両6に搭載されたECU60と通信し,ECU60に記憶された故障コードを読み取る車体診断手段27を備える。更に,汎用スキャンツール2は,コンピュータプログラムで実現される機能として,汎用スキャンツール2の自己診断を行う自己診断手段28を備える。   Further, the general-purpose scan tool 2 includes a vehicle body diagnosis means 27 that communicates with the ECU 60 mounted on the vehicle 6 as a function connected to the diagnosis port 62 and reads a failure code stored in the ECU 60 as a function realized by a computer program. Prepare. Furthermore, the general-purpose scan tool 2 includes self-diagnosis means 28 that performs self-diagnosis of the general-purpose scan tool 2 as a function realized by a computer program.

汎用スキャンツール2に実装したSIM3について説明する。図4では,汎用スキャンツール2に実装したSIM3が有するハードウェアとして,SIM3を実装した装置と接続するためのインタフェースとなるI/Oポート30と,電気的に書き換え可能な不揮発性メモリであるNVM31(Non-volatile Memory)を図示している。当然のことながら,SIM3には,CPU(Central Processing Unit),メインメモリとなるRAM(Random Access Memory),電気的に書き換え不可能な不揮発性メモリであるROM(Read Only Memory)など,図4では図示していないハードウェアを備える。   The SIM 3 mounted on the general-purpose scan tool 2 will be described. In FIG. 4, as hardware included in the SIM 3 mounted on the general-purpose scan tool 2, an I / O port 30 serving as an interface for connecting to a device mounted with the SIM 3 and an NVM 31 that is an electrically rewritable nonvolatile memory (Non-volatile Memory) is illustrated. As a matter of course, the SIM 3 includes a CPU (Central Processing Unit), a RAM (Random Access Memory) as a main memory, and a ROM (Read Only Memory) as a nonvolatile memory that cannot be electrically rewritten in FIG. Hardware not shown is provided.

SIM3が有するNVM31には,車両メーカごとに車両メーカに対応するディレクトリ35(以下,「メーカディレクトリ」と記す。)が生成され,このメーカディレクトリ35の直下に,車両メーカに係る暗号鍵(ここでは,車両メーカ証明書55と車両鍵61)が保存される。   In the NVM 31 of the SIM 3, a directory 35 (hereinafter referred to as “maker directory”) corresponding to the vehicle maker is generated for each vehicle maker, and an encryption key (here, the vehicle maker) associated with the vehicle maker is directly below the maker directory 35. , The vehicle manufacturer certificate 55 and the vehicle key 61) are stored.

また,SIM3が有するNVM31には,ネットワーク7と接続しているサーバとセキュアな通信セッションを確立するときに用いる暗号鍵として,汎用スキャンツール2の公開鍵が記された公開鍵証明書である汎用スキャンツール証明書32と,汎用スキャンツール2の秘密鍵33を記憶する。   The NVM 31 of the SIM 3 has a general-purpose certificate that is a public key certificate in which the public key of the general-purpose scan tool 2 is written as an encryption key used when establishing a secure communication session with a server connected to the network 7. The scan tool certificate 32 and the secret key 33 of the general-purpose scan tool 2 are stored.

更に,SIM3が有するNVM31には,汎用スキャンツール2の自己診断手段28が参照するデータとして,自己診断用ハッシュ値34を記憶する。自己診断用ハッシュ値34は,汎用スキャンツール2に実装されているコンピュータプログラムのプログラムコードから演算したハッシュ値である。自己診断用ハッシュ値34には,ブートプロセスに係るプログラムコードから演算したハッシュ値,オペレーティングシステムに係るプログラムコードから演算したハッシュ値,アプリケーションプログラム(例えば,管理サーバ用通信手段23)に係るプログラムコードから演算したハッシュ値などを含ませることができる。   Further, a self-diagnosis hash value 34 is stored in the NVM 31 of the SIM 3 as data referred to by the self-diagnosis unit 28 of the general-purpose scan tool 2. The self-diagnosis hash value 34 is a hash value calculated from a program code of a computer program installed in the general-purpose scan tool 2. The self-diagnostic hash value 34 includes a hash value calculated from the program code related to the boot process, a hash value calculated from the program code related to the operating system, and a program code related to the application program (for example, the management server communication unit 23). The calculated hash value can be included.

SIM3は,ソフトウェアにより実現されるコマンドとして,汎用スキャンツール2がセキュアな通信セッションを確立する際に用いる複数のコマンド36を有する。このコマンドには,汎用スキャンツール2の秘密鍵33を用いて,汎用スキャンツール証明書32に対する署名データを生成するコマンドが含まれる。   The SIM 3 has a plurality of commands 36 used when the general-purpose scan tool 2 establishes a secure communication session as commands implemented by software. This command includes a command for generating signature data for the general-purpose scan tool certificate 32 using the private key 33 of the general-purpose scan tool 2.

ここから,本実施形態に係る車両鍵配信システム1で実行される処理について説明する。図5は,車両鍵配信システム1で実行される処理を説明する図,図6は,TLS(Transport Layer Security)の手順を説明する図である。   From here, the process performed with the vehicle key distribution system 1 which concerns on this embodiment is demonstrated. FIG. 5 is a diagram for explaining processing executed in the vehicle key distribution system 1, and FIG. 6 is a diagram for explaining TLS (Transport Layer Security) procedures.

本実施形態に係る車両鍵配信システム1では,管理サーバ4と汎用スキャンツール2の間でセキュアな通信セッションが確立され,更に,車両メーカサーバ5と汎用スキャンツール2の間でセキュアな通信セッションが確立される。セキュアな通信セッションを確立するセキュアプロトコルには様々あるが,本実施形態では,セキュアな通信セッションの確立にTLSを用いている。そこで,図5の手順を説明する前に,図6を参照しながら,TLSの手順について説明する。なお,本実施形態では,図6の説明におけるクライアン8aは汎用スキャンツール2に相当し,図6の説明におけるサーバ8bは管理サーバ4と車両メーカサーバ5に相当する。   In the vehicle key distribution system 1 according to the present embodiment, a secure communication session is established between the management server 4 and the general-purpose scan tool 2, and further, a secure communication session is established between the vehicle manufacturer server 5 and the general-purpose scan tool 2. Established. There are various secure protocols for establishing a secure communication session. In the present embodiment, TLS is used for establishing a secure communication session. Therefore, before describing the procedure of FIG. 5, the procedure of TLS will be described with reference to FIG. In the present embodiment, the client 8 a in the description of FIG. 6 corresponds to the general-purpose scan tool 2, and the server 8 b in the description of FIG. 6 corresponds to the management server 4 and the vehicle manufacturer server 5.

図6で図示した手順では,まず,セッション鍵の算出に用いる乱数や暗号演算方式などを送信するメッセージであるClientHelloがクライアン8aからサーバ8bに送信される(S20)。   In the procedure illustrated in FIG. 6, first, ClientHello, which is a message for transmitting a random number used for calculating a session key, a cryptographic operation method, and the like is transmitted from the client 8a to the server 8b (S20).

ClientHelloがクライアン8aから送信されると,セッション鍵の算出に用いる乱数や暗号演算方式などを送信するメッセージであるServerHello(S21),サーバ証明書を送信するメッセージであるServerCertificate(S22),クライアント証明書の送信を要求するメッセージであるCertificateRequest(S23),サーバ8bからの一連の送信の最後を示すメッセージであるServerHelloDone(S24)が,サーバ8bからクライアン8aに送信される。   When ClientHello is transmitted from the client 8a, ServerHello (S21) which is a message for transmitting a random number used for calculating a session key, a cryptographic operation method, etc., ServerCertificate (S22) which is a message for transmitting a server certificate, a client certificate CertificateRequest (S23) which is a message requesting transmission of the server, and ServerHelloDone (S24) which is a message indicating the end of a series of transmissions from the server 8b are transmitted from the server 8b to the client 8a.

ServerHelloDoneがサーバ8bから送信されると,クライアン8aは,ServerCertificateによりサーバ8bから送信されたサーバ証明書を検証することで,通信相手となるクライアン8aを認証する。サーバ証明書を検証する際,クライアン8aは,サーバ証明書に対応する認証局を利用して,サーバ証明書に付加されている署名データを検証する。   When ServerHelloDone is transmitted from the server 8b, the client 8a verifies the server certificate transmitted from the server 8b by ServerCertificate, thereby authenticating the client 8a serving as a communication partner. When verifying the server certificate, the client 8a verifies the signature data added to the server certificate by using the certificate authority corresponding to the server certificate.

サーバ証明書の検証に成功すると,クライアン8aは,クライアント証明書を送信するメッセージであるClientCertificate(S25),セッション鍵のシードなる情報で,サーバ公開鍵で暗号化した乱数情報を送信するメッセージであるClientKeyExchange(S26),クライアント証明書に対する署名データを送信するメッセージであるCertificateVerify(S27),平文による送信の終了を示すメッセージであるChangeCipherSpec(S28),クライアン8aからの一連の送信の最後を示すメッセージであるFinished(S29)をサーバ8bへ送信する。   When the server certificate is successfully verified, the client 8a sends a client certificate (S25), which is a message for sending a client certificate, and a message for sending random number information encrypted with the server public key, which is information used as a seed for the session key. ClientKeyExchange (S26), CertificateVerify (S27) which is a message for transmitting signature data for a client certificate, ChangeCipherSpec (S28) which is a message indicating the end of transmission in plain text, and a message indicating the end of a series of transmissions from the client 8a A certain Finished (S29) is transmitted to the server 8b.

これらのメッセージが送信されると,サーバ8bは,ClientCertificateにより送信されたクライアント証明書を検証することで,通信相手となるクライアン8aを認証する。クライアント証明書を検証する際,サーバ8bは,クライアント証明書に対応する認証局を利用して,クライアント証明書に含まれる署名データを検証し,更に,クライアント証明書に記された公開鍵を用いて,CertificateVerifyにより送信された署名データを検証する。クライアント証明書の検証に成功すると,サーバ8bは,平文による送信の終了を示すメッセージであるChangeCipherSpec(S30),サーバ8bからの一連の送信の最後を示すメッセージであるFinished(S31)をクライアン8aへ送信する。   When these messages are transmitted, the server 8b authenticates the client 8a as a communication partner by verifying the client certificate transmitted by the ClientCertificate. When verifying the client certificate, the server 8b verifies the signature data included in the client certificate using the certificate authority corresponding to the client certificate, and further uses the public key described in the client certificate. Then, the signature data transmitted by CertificateVerify is verified. If the verification of the client certificate is successful, the server 8b sends ChangeCipherSpec (S30), which is a message indicating the end of transmission in plain text, and Finished (S31), which is a message indicating the end of a series of transmissions from the server 8b, to the client 8a. Send.

サーバ8bが,サーバ8bからの一連の送信の最後を示すメッセージであるFinished(S31)をクライアン8aへ送信した後,クライアン8aとサーバ8bの間でやりとりされる通信内容は,セッション鍵により暗号化される。   After the server 8b sends Finished (S31), which is a message indicating the end of a series of transmissions from the server 8b, to the client 8a, the communication content exchanged between the client 8a and the server 8b is encrypted with the session key. Is done.

なお,TLSの仕様では,サーバ証明書を送信するメッセージであるServerCertificate(S22),クライアント証明書の送信を要求するメッセージであるCertificateRequest(S23)など,図6の手順で示したメッセージの一部は省略することができる。   In the TLS specification, some of the messages shown in the procedure of FIG. 6 such as ServerCertificate (S22) which is a message for transmitting a server certificate and CertificateRequest (S23) which is a message for requesting transmission of a client certificate are included. Can be omitted.

図5で図示した手順について説明する。図5で図示した手順は,管理サーバ4と汎用スキャンツール2の間でセキュアな通信セッションが確立され,汎用スキャンツール2が車両メーカ証明書55を管理サーバ4から取得する工程P1と,車両メーカサーバ5と汎用スキャンツール2の間でセキュアな通信セッションが確立され,汎用スキャンツール2が車両鍵61を車両メーカサーバ5から取得する工程P2を含む。   The procedure illustrated in FIG. 5 will be described. The procedure illustrated in FIG. 5 includes a process P1 in which a secure communication session is established between the management server 4 and the general-purpose scan tool 2, and the general-purpose scan tool 2 acquires the vehicle manufacturer certificate 55 from the management server 4. A secure communication session is established between the server 5 and the general-purpose scan tool 2, and the general-purpose scan tool 2 includes a process P2 in which the vehicle key 61 is acquired from the vehicle manufacturer server 5.

まず,汎用スキャンツール2が車両メーカ証明書55を管理サーバ4から取得する工程P1について説明する。工程P1の最初では,汎用スキャンツール2の管理サーバ用通信手段23と管理サーバ4のセキュア通信手段41が作動し,TLSを利用して,汎用スキャンツール2と管理サーバ4の間でセキュアな通信セッションを確立する処理が実行される(S1)。   First, the process P1 in which the general-purpose scan tool 2 acquires the vehicle manufacturer certificate 55 from the management server 4 will be described. At the beginning of the process P1, the management server communication means 23 of the general-purpose scan tool 2 and the secure communication means 41 of the management server 4 operate, and secure communication is performed between the general-purpose scan tool 2 and the management server 4 using TLS. A process for establishing a session is executed (S1).

汎用スキャンツール2と管理サーバ4の間でセキュアな通信セッションを確立する処理(S1)では,汎用スキャンツール2と管理サーバ4の間で相互認証が実行される。汎用スキャンツール2は,管理サーバ4が送信した管理サーバ証明書45を利用して,通信相手となる管理サーバ4を認証する。汎用スキャンツール2は,管理サーバ証明書45を記憶していないので,管理サーバ4のセキュア通信手段41は,TLSのServerCertificateにより管理サーバ証明書45を汎用スキャンツール2へ送信し,汎用スキャンツール2の管理サーバ用通信手段23は,認証局を利用して管理サーバ証明書45を検証する。また,身元が不明な汎用スキャンツール2に車両メーカ証明書55を送信することは危険であるため,管理サーバ4のセキュア通信手段41は,汎用スキャンツール証明書32および汎用スキャンツール証明書32に対する署名データを利用して,通信相手となる汎用スキャンツール2を認証する。汎用スキャンツール2の管理サーバ用通信手段23は,ClientCertificateにより汎用スキャンツール証明書32を管理サーバ4へ送信し,CertificateVerifyにより汎用スキャンツール証明書32に対する署名データを管理サーバ4へ送信する。なお,汎用スキャンツール証明書32に対する署名データの生成には,SIM3に実装されたコマンド36が利用され,汎用スキャンツール2の秘密鍵はSIM3の外部へ漏洩しない。管理サーバ4のセキュア通信手段41は,認証局を利用して,汎用スキャンツール証明書32を検証し,汎用スキャンツール証明書32を送付した通信相手が,汎用スキャンツール証明書32に対応する秘密鍵を有しているか確認するために,汎用スキャンツール証明書32で記された公開鍵を利用して署名データを検証する。   In the process of establishing a secure communication session between the general-purpose scan tool 2 and the management server 4 (S1), mutual authentication is executed between the general-purpose scan tool 2 and the management server 4. The general-purpose scan tool 2 uses the management server certificate 45 transmitted by the management server 4 to authenticate the management server 4 serving as a communication partner. Since the general-purpose scan tool 2 does not store the management server certificate 45, the secure communication means 41 of the management server 4 transmits the management server certificate 45 to the general-purpose scan tool 2 using the TLS ServerCertificate. The management server communication means 23 verifies the management server certificate 45 using a certificate authority. In addition, since it is dangerous to transmit the vehicle manufacturer certificate 55 to the general-purpose scan tool 2 whose identity is unknown, the secure communication means 41 of the management server 4 is compatible with the general-purpose scan tool certificate 32 and the general-purpose scan tool certificate 32. The signature data is used to authenticate the general-purpose scan tool 2 as a communication partner. The management server communication means 23 of the general-purpose scan tool 2 transmits the general-purpose scan tool certificate 32 to the management server 4 by ClientCertificate, and transmits signature data for the general-purpose scan tool certificate 32 to the management server 4 by CertificateVerify. Note that the signature data for the general-purpose scan tool certificate 32 is generated using a command 36 implemented in the SIM 3, and the private key of the general-purpose scan tool 2 is not leaked outside the SIM 3. The secure communication means 41 of the management server 4 verifies the general-purpose scan tool certificate 32 using a certificate authority, and the communication partner that sent the general-purpose scan tool certificate 32 has a secret corresponding to the general-purpose scan tool certificate 32. In order to confirm whether or not the key is held, the signature data is verified using the public key written in the general-purpose scan tool certificate 32.

セキュアな通信セッションで用いるセッション鍵は,ClientKeyExchangeにより汎用スキャンツール2から管理サーバ4へ送信される乱数情報に基づいて生成される。管理サーバ4のセキュア通信手段41は,ClientKeyExchangeによりサーバ公開鍵で暗号化された乱数情報が汎用スキャンツール2から送信されると管理サーバ4のサーバ秘密鍵44を用いて暗号化された乱数情報を復号し,復号した乱数情報からセッション鍵を生成する。汎用スキャンツール2の管理サーバ用通信手段23は,管理サーバ4に送信した乱数情報からセッション鍵を生成する。   A session key used in a secure communication session is generated based on random number information transmitted from the general-purpose scan tool 2 to the management server 4 by ClientKeyExchange. When the random communication information encrypted with the server public key by ClientKeyExchange is transmitted from the general-purpose scan tool 2, the secure communication means 41 of the management server 4 receives the random number information encrypted using the server private key 44 of the management server 4. Decrypts and generates a session key from the decrypted random number information. The management server communication means 23 of the general-purpose scan tool 2 generates a session key from the random number information transmitted to the management server 4.

TLSの手順においてセッション鍵は基本的に使い捨ての鍵になるが,TLSの仕様では,ClientHello(S20)およびServerHello(S22)にSessionIDを含ませることで,これまでに生成したセキュア鍵を再利用し,ClientCertificateまで手順を進めることができるようになっている。汎用スキャンツール2が,複数の車両メーカ証明書55を取得する際,その都度,セキュアな通信セッションを確立すると処理時間が長くなるので,ClientHelloおよびServerHelloにSessionIDを含ませ,セッション鍵の生成を行うことなく,ChangeCipherSpec(S28)まで手順を進めるとよい。   In the TLS procedure, the session key is basically a single-use key, but in the TLS specification, by including the SessionID in ClientHello (S20) and ServerHello (S22), the secure key generated so far can be reused. , You can now proceed to ClientCertificate. When the general-purpose scan tool 2 acquires a plurality of vehicle manufacturer certificates 55, each time a secure communication session is established, the processing time becomes long. Therefore, SessionID is generated by including SessionID in ClientHello and ServerHello. Instead, the procedure may be advanced to ChangeCipherSpec (S28).

汎用スキャンツール2と管理サーバ4の間でセキュアな通信セッションが確立されると,汎用スキャンツール2の車両メーカ証明書登録手段25は,汎用スキャンツール2のSIM3に格納する車両メーカ証明書55に対応する車両メーカの識別子を含むメッセージである車両メーカ証明書55の配信要求を管理サーバ4へ送信する(S2)。管理サーバ4は,車両メーカ証明書55の配信要求を汎用スキャンツール2から受信すると,管理サーバ4の車両メーカ証明書配信手段42は,車両メーカ証明書55の配信要求で示される車両メーカ証明書55を汎用スキャンツール2へ配信する(S3)。   When a secure communication session is established between the general-purpose scan tool 2 and the management server 4, the vehicle manufacturer certificate registration means 25 of the general-purpose scan tool 2 stores the vehicle manufacturer certificate 55 stored in the SIM 3 of the general-purpose scan tool 2. A distribution request for the vehicle manufacturer certificate 55, which is a message including the identifier of the corresponding vehicle manufacturer, is transmitted to the management server 4 (S2). When the management server 4 receives the distribution request for the vehicle manufacturer certificate 55 from the general-purpose scan tool 2, the vehicle manufacturer certificate distribution means 42 of the management server 4 displays the vehicle manufacturer certificate indicated by the distribution request for the vehicle manufacturer certificate 55. 55 is distributed to the general-purpose scan tool 2 (S3).

車両メーカ証明書55が管理サーバ4から配信されると,汎用スキャンツール2の車両メーカ証明書登録手段25は,SIM3に実装されたコマンドを利用し,管理サーバ4から配信された車両メーカ証明書55をSIM3に保存して(S4),工程P1は終了する。なお,車両メーカ証明書55を保存するメーカディレクトリ35は,車両メーカ証明書55の車両メーカに対応するメーカディレクトリ35の直下になる。   When the vehicle manufacturer certificate 55 is distributed from the management server 4, the vehicle manufacturer certificate registration means 25 of the general-purpose scan tool 2 uses a command implemented in the SIM 3 to transmit the vehicle manufacturer certificate distributed from the management server 4. 55 is stored in the SIM 3 (S4), and the process P1 ends. The manufacturer directory 35 for storing the vehicle manufacturer certificate 55 is directly below the manufacturer directory 35 corresponding to the vehicle manufacturer in the vehicle manufacturer certificate 55.

管理サーバ4から配信された車両メーカ証明書55が汎用スキャンツール2のSIM3に保存された後,汎用スキャンツール2が車両鍵61を車両メーカサーバ5から取得する工程P2が実行される。   After the vehicle manufacturer certificate 55 distributed from the management server 4 is stored in the SIM 3 of the general-purpose scan tool 2, a process P2 in which the general-purpose scan tool 2 acquires the vehicle key 61 from the vehicle manufacturer server 5 is executed.

汎用スキャンツール2が車両鍵61を車両メーカサーバ5から取得する工程P2において,まず,汎用スキャンツール2の車両メーカサーバ用通信手段24と車両メーカサーバ5のセキュア通信手段51が作動し,TLSを利用して,汎用スキャンツール2と車両メーカサーバ5の間でセキュアな通信セッションを確立する処理(S10)が実行される。   In the process P2 in which the general-purpose scan tool 2 obtains the vehicle key 61 from the vehicle manufacturer server 5, first, the vehicle manufacturer server communication means 24 of the general-purpose scan tool 2 and the secure communication means 51 of the vehicle manufacturer server 5 are operated, and TLS is set. The process (S10) for establishing a secure communication session between the general-purpose scan tool 2 and the vehicle manufacturer server 5 is executed.

汎用スキャンツール2と車両メーカサーバ5の間でセキュアな通信セッションを確立する処理(S10)では,汎用スキャンツール2と車両メーカサーバ5の間で相互認証が実行されるが,汎用スキャンツール2と車両メーカサーバ5の間における相互認証の手順は,汎用スキャンツール2と管理サーバ4の間における相互認証の手順と異なる。汎用スキャンツール2は,車両メーカ証明書55を利用して,通信相手となる車両メーカサーバ5を認証するが,この時点で,汎用スキャンツール2は,車両メーカ証明書55を管理サーバ4から取得しているので,車両メーカサーバ5のセキュア通信手段51は,TLSに係る処理において,車両メーカ証明書55を汎用スキャンツール2へ送信せず,汎用スキャンツール2の車両メーカサーバ用通信手段24は,通信相手となる車両メーカサーバ5に対応する車両メーカ証明書55をSIM3から読み出し,認証局を利用して,SIM3から読み出した車両メーカ証明書55を認証する。身元が不明な汎用スキャンツール2に車両鍵61を送信することは危険であるため,車両メーカサーバ5のセキュア通信手段51は,汎用スキャンツール証明書32および汎用スキャンツール証明書32に対する署名データを利用して,通信相手となる汎用スキャンツール2を認証する。汎用スキャンツール2の車両メーカサーバ用通信手段24は,ClientCertificate(S25)により汎用スキャンツール証明書32を車両メーカサーバ5へ送信し,CertificateVerify(S27)により汎用スキャンツール証明書32に対する署名データを車両メーカサーバ5へ送信する。なお,汎用スキャンツール証明書32に対する署名データの生成には,SIM3に実装されたコマンド36が利用され,汎用スキャンツール2の秘密鍵はSIM3の外部へ漏洩しない。車両メーカサーバ5のセキュア通信手段51は,認証局を利用して,汎用スキャンツール証明書32を検証し,汎用スキャンツール証明書32を送付した通信相手が,汎用スキャンツール証明書32に対応する秘密鍵を有しているか確認するために,汎用スキャンツール証明書32で記された公開鍵を利用して署名データを検証する。   In the process of establishing a secure communication session between the general-purpose scan tool 2 and the vehicle manufacturer server 5 (S10), mutual authentication is executed between the general-purpose scan tool 2 and the vehicle manufacturer server 5. The mutual authentication procedure between the vehicle manufacturer servers 5 is different from the mutual authentication procedure between the general-purpose scan tool 2 and the management server 4. The general-purpose scan tool 2 uses the vehicle manufacturer certificate 55 to authenticate the vehicle manufacturer server 5 as a communication partner. At this point, the general-purpose scan tool 2 acquires the vehicle manufacturer certificate 55 from the management server 4. Therefore, the secure communication means 51 of the vehicle manufacturer server 5 does not transmit the vehicle manufacturer certificate 55 to the general-purpose scan tool 2 in the processing relating to TLS, and the vehicle manufacturer server communication means 24 of the general-purpose scan tool 2 Then, the vehicle maker certificate 55 corresponding to the vehicle maker server 5 to be a communication partner is read from the SIM 3, and the vehicle maker certificate 55 read from the SIM 3 is authenticated using the certification authority. Since it is dangerous to transmit the vehicle key 61 to the general-purpose scan tool 2 whose identity is unknown, the secure communication means 51 of the vehicle manufacturer server 5 sends the signature data for the general-purpose scan tool certificate 32 and the general-purpose scan tool certificate 32. By using this, the general-purpose scan tool 2 as a communication partner is authenticated. The vehicle manufacturer server communication means 24 of the general scan tool 2 transmits the general scan tool certificate 32 to the vehicle manufacturer server 5 by Client Certificate (S25), and the signature data for the general scan tool certificate 32 is transmitted to the vehicle by Certificate Verify (S27). Transmit to the manufacturer server 5. Note that the signature data for the general-purpose scan tool certificate 32 is generated using a command 36 implemented in the SIM 3, and the private key of the general-purpose scan tool 2 is not leaked outside the SIM 3. The secure communication means 51 of the vehicle manufacturer server 5 verifies the general-purpose scan tool certificate 32 using a certificate authority, and the communication partner that has sent the general-purpose scan tool certificate 32 corresponds to the general-purpose scan tool certificate 32. In order to check whether the private key is present, the signature data is verified using the public key written in the general-purpose scan tool certificate 32.

セキュアな通信セッションで用いるセッション鍵は,ClientKeyExchangeにより汎用スキャンツール2から車両メーカサーバ5へ送信される乱数情報に基づいて生成される。車両メーカサーバ5のセキュア通信手段51は,ClientKeyExchangeによりサーバ公開鍵で暗号化された乱数情報が汎用スキャンツール2から送信されると車両メーカサーバ5のサーバ秘密鍵54を用いて暗号化された乱数情報を復号し,復号した乱数情報からセッション鍵を生成する。汎用スキャンツール2の車両メーカサーバ用通信手段24は,車両メーカサーバ5に送信した乱数情報からセッション鍵を生成する。   The session key used in the secure communication session is generated based on random number information transmitted from the general-purpose scan tool 2 to the vehicle manufacturer server 5 by ClientKeyExchange. The secure communication means 51 of the vehicle manufacturer server 5 uses the server private key 54 of the vehicle manufacturer server 5 to encrypt the random number information that is encrypted with the server public key by ClientKeyExchange. Decrypts the information and generates a session key from the decrypted random number information. The vehicle manufacturer server communication means 24 of the general-purpose scan tool 2 generates a session key from the random number information transmitted to the vehicle manufacturer server 5.

車両鍵61は車両のECU60へアクセスできる暗号鍵になるため,汎用スキャンツール2と車両メーカサーバ5の間におけるセキュアな通信セッションで利用されるセッション鍵は使い捨てであることが望ましい。よって,汎用スキャンツール2と車両メーカサーバ5の間でセキュアな通信セッションを確立する際,ClientHello(S20)およびServerHello(S21)にSessionIDを含ませないことが重要になる。   Since the vehicle key 61 becomes an encryption key accessible to the ECU 60 of the vehicle, it is desirable that the session key used in a secure communication session between the general-purpose scan tool 2 and the vehicle manufacturer server 5 is disposable. Therefore, when establishing a secure communication session between the general-purpose scan tool 2 and the vehicle manufacturer server 5, it is important not to include SessionID in ClientHello (S20) and ServerHello (S21).

汎用スキャンツール2と車両メーカサーバ5の間でセキュアな通信セッションが確立されると,汎用スキャンツール2の車両鍵登録手段26は,汎用スキャンツール2のSIM3に格納する車両鍵61を要求するメッセージである車両鍵61の配信要求を車両メーカサーバ5へ送信する(S11)。車両メーカサーバ5の車両鍵配信手段52は,車両鍵61の配信要求を汎用スキャンツール2から受信すると,車両メーカサーバ5が保存している車両鍵61を汎用スキャンツール2へ配信する(S12)。   When a secure communication session is established between the general-purpose scan tool 2 and the vehicle manufacturer server 5, the vehicle key registration means 26 of the general-purpose scan tool 2 requests a vehicle key 61 stored in the SIM 3 of the general-purpose scan tool 2. The vehicle key 61 distribution request is transmitted to the vehicle manufacturer server 5 (S11). When the vehicle key distribution means 52 of the vehicle manufacturer server 5 receives the distribution request for the vehicle key 61 from the general-purpose scan tool 2, the vehicle key 61 stored in the vehicle manufacturer server 5 is distributed to the general-purpose scan tool 2 (S12). .

車両鍵61が車両メーカサーバ5から配信されると,汎用スキャンツール2の車両鍵登録手段26は,車両メーカサーバ5から配信された車両鍵61をSIM3に保存して(S23),工程P2は終了する。なお,車両鍵61を保存するメーカディレクトリ35は,車両メーカサーバ5のメーカに対応するメーカディレクトリ35の直下になる。   When the vehicle key 61 is distributed from the vehicle manufacturer server 5, the vehicle key registration means 26 of the general-purpose scan tool 2 stores the vehicle key 61 distributed from the vehicle manufacturer server 5 in the SIM 3 (S23), and the process P2 is performed. finish. The manufacturer directory 35 for storing the vehicle key 61 is directly below the manufacturer directory 35 corresponding to the manufacturer of the vehicle manufacturer server 5.

最後に,汎用スキャンツール2が備える自己診断手段28について説明する。図7は,汎用スキャンツール2が備える自己診断手段28の動作を説明する図である。   Finally, the self-diagnosis means 28 provided in the general-purpose scan tool 2 will be described. FIG. 7 is a diagram for explaining the operation of the self-diagnosis means 28 provided in the general-purpose scan tool 2.

汎用スキャンツール2が備える自己診断手段28は,汎用スキャンツール2の起動時に起動するコンピュータプログラムで,自己診断手段28は,まず,汎用スキャンツール2に実装されているコンピュータプログラムのプログラムコードからハッシュ値を演算し(S40),SIM3に記憶している自己診断用ハッシュ値と照合する(S41)。自己診断手段28は,ハッシュ値の照合結果により処理を分岐する(S42)。ハッシュ値の照合に成功した場合,汎用スキャンツール2のオペレーティングシステムをブートする処理を実行し(S420),図7の手順は終了する。また,ハッシュ値の照合に失敗した場合,汎用スキャンツール2のオペレーティングシステムをブートする処理を中止して(S421),図7の手順は終了する。   The self-diagnosis means 28 included in the general-purpose scan tool 2 is a computer program that is started when the general-purpose scan tool 2 is started. Is calculated (S40) and collated with the hash value for self-diagnosis stored in the SIM3 (S41). The self-diagnosis unit 28 branches the process according to the hash value collation result (S42). If the hash value verification is successful, a process for booting the operating system of the general-purpose scan tool 2 is executed (S420), and the procedure of FIG. 7 ends. If the hash value collation fails, the process of booting the operating system of the general-purpose scan tool 2 is stopped (S421), and the procedure of FIG. 7 ends.

1 車両鍵配信システム
2 汎用スキャンツール
23 管理サーバ用通信手段
24 車両メーカサーバ用通信手段
25 車両メーカ証明書登録手段
26 車両鍵登録手段
28 自己診断手段
3 SIM
32 汎用スキャンツール証明書
34 自己診断用ハッシュ値
35 メーカディレクトリ
4 管理サーバ
41 セキュア通信手段
42 車両メーカ証明書配信手段
45 管理サーバ証明書
5 車両メーカサーバ
51 セキュア通信手段
52 車両鍵配信手段
55 車両メーカ証明書
6 車両
60 ECU
61 車両鍵
DESCRIPTION OF SYMBOLS 1 Vehicle key distribution system 2 General-purpose scan tool 23 Management server communication means 24 Vehicle manufacturer server communication means 25 Vehicle manufacturer certificate registration means 26 Vehicle key registration means 28 Self-diagnosis means 3 SIM
32 General scan tool certificate 34 Hash value for self-diagnosis 35 Manufacturer directory 4 Management server 41 Secure communication means 42 Vehicle manufacturer certificate distribution means 45 Management server certificate 5 Vehicle manufacturer server 51 Secure communication means 52 Vehicle key distribution means 55 Vehicle manufacturer Certificate 6 Vehicle 60 ECU
61 Vehicle Key

Claims (6)

車両メーカ証明書を複数の車両メーカごとに記憶している管理サーバと,車両メーカの車両に搭載したECUへアクセスするための車両鍵を記憶している車両メーカサーバと,セキュアエレメントを実装している汎用スキャンツールを備えるシステムであって,
前記管理サーバは,前記管理サーバが記憶している管理サーバ証明書と,前記汎用スキャンツールから受信した汎用スキャンツール証明書および前記汎用スキャンツール証明書に対する署名データを利用して,前記汎用スキャンツールと相互認証し,前記汎用スキャンツールとの間でセッション鍵により通信内容を暗号化するセキュアな通信セッションを確立する手段を備え,
前記車両メーカサーバは,前記汎用スキャンツールに記憶させた前記車両メーカ証明書と,前記汎用スキャンツールから受信した汎用スキャンツール証明書および前記汎用スキャンツール証明書に対する署名データを利用して,前記汎用スキャンツールと相互認証し,前記汎用スキャンツールとの間で前記通信セッションを確立する手段を備え,
前記セキュアエレメントは,前記汎用スキャンツール証明書に記された公開鍵と対になる秘密鍵を記憶し,この秘密鍵を用いて,前記汎用スキャンツール証明書に対する署名データを生成する機能を備え,
前記汎用スキャンツールは,前記管理サーバから受信した前記管理サーバ証明書と,前記汎用スキャンツール証明書と前記セキュアエレメントに生成させた前記汎用スキャンツール証明書に対する署名データを利用して,前記管理サーバと相互認証し,前記管理サーバとの間で前記通信セッションを確立する管理サーバ用通信手段と,前記セキュアな通信セッションを確立した前記管理サーバから前記車両メーカ証明書を取得して,前記車両メーカ証明書を前記セキュアエレメントに登録する手段と,前記セキュアエレメントから読み出した前記車両メーカ証明書と,前記汎用スキャンツール証明書および前記セキュアエレメントに生成させた前記汎用スキャンツール証明書に対する署名データを利用して,前記車両メーカサーバと相互認証し,前記車両メーカサーバとの間で前記セキュアな通信セッションを確立する車両メーカサーバ用通信手段と,前記セキュアな通信セッションを確立した前記車両メーカサーバから前記車両鍵を取得して前記セキュアエレメントに登録する手段を備え,
ていることを特徴とする車両鍵配信システム。 A management server storing a vehicle manufacturer certificate for each vehicle manufacturer, a vehicle manufacturer server storing a vehicle key for accessing an ECU mounted on the vehicle of the vehicle manufacturer, and a secure element are mounted. A general-purpose scanning tool,
The management server uses the management server certificate stored in the management server, the general-purpose scan tool certificate received from the general-purpose scan tool, and signature data for the general-purpose scan tool certificate. And a means for establishing a secure communication session for encrypting communication contents with the general-purpose scan tool using a session key.
The vehicle manufacturer server uses the vehicle manufacturer certificate stored in the general-purpose scan tool, the general-purpose scan tool certificate received from the general-purpose scan tool, and signature data for the general-purpose scan tool certificate. Means for mutual authentication with a scan tool and establishing the communication session with the general-purpose scan tool;
The secure element has a function of storing a secret key paired with a public key written in the general-purpose scan tool certificate, and generating a signature data for the general-purpose scan tool certificate using the secret key,
The general scan tool uses the management server certificate received from the management server, the general scan tool certificate and signature data for the general scan tool certificate generated by the secure element, And a communication means for a management server that establishes the communication session with the management server, and acquires the vehicle manufacturer certificate from the management server that establishes the secure communication session, and the vehicle manufacturer Using means for registering a certificate in the secure element, the vehicle manufacturer certificate read from the secure element, the general scan tool certificate, and signature data for the general scan tool certificate generated by the secure element And mutual authentication with the vehicle manufacturer server , A vehicle manufacturer server communication means for establishing the secure communication session with the vehicle manufacturer server, and acquiring the vehicle key from the vehicle manufacturer server that has established the secure communication session and registering the vehicle key in the secure element Means to
A vehicle key distribution system characterized by that. 前記汎用スキャンツールが備える車両メーカサーバ用通信手段は,セキュアな通信セッションで用いるセッション鍵が,セキュアな通信セッションを確立するごとに使い捨てされるように,前記車両メーカサーバとの間でセキュアな通信セッションを確立することを特徴とする,請求項1に記載した車両鍵配信システム。   The vehicle manufacturer server communication means included in the general-purpose scan tool is configured to communicate securely with the vehicle manufacturer server so that a session key used in a secure communication session is discarded every time a secure communication session is established. The vehicle key distribution system according to claim 1, wherein a session is established. 前記汎用スキャンツールに実装する前記セキュアエレメントをSIMとしたことを特徴とする,請求項1または2に記載した車両鍵配信システム。   The vehicle key distribution system according to claim 1 or 2, wherein the secure element mounted on the general-purpose scan tool is a SIM. セキュアエレメントを実装した汎用スキャンツールであって,
前記セキュアエレメントは,汎用スキャンツール証明書に記された公開鍵と対になる秘密鍵を記憶し,この秘密鍵を用いて,前記汎用スキャンツール証明書に対する署名データを生成するコマンドを備え,
前記汎用スキャンツールは,車両メーカ証明書を複数の車両メーカごとに記憶している管理サーバから受信した管理サーバ証明書と,汎用スキャンツール証明書および前記セキュアエレメントに生成させた前記汎用スキャンツール証明書に対する署名データを利用して,前記汎用スキャンツールと相互認証し,前記管理サーバとの間でセッション鍵により通信内容を暗号化するセキュアな通信セッションを確立する管理サーバ用通信手段と,前記セキュアな通信セッションを確立した前記管理サーバから前記車両メーカ証明書を取得して,前記車両メーカ証明書を前記セキュアエレメントに登録する手段と,前記セキュアエレメントから読み出した前記車両メーカ証明書と,前記汎用スキャンツール証明書および前記セキュアエレメントに生成させた前記汎用スキャンツール証明書に対する署名データを利用して,車両メーカの車両に搭載したECUへアクセスするための車両鍵を記憶し,前記車両メーカ証明書に対応する車両メーカサーバと相互認証し,前記車両メーカサーバとの間で前記セキュアな通信セッションを確立する車両メーカサーバ用通信手段と,前記セキュアな通信セッションを確立した前記車両メーカサーバから,前記車両メーカサーバに対応する車両メーカが販売している車両に搭載したECUへアクセスするための暗号鍵である車両鍵を取得して前記セキュアエレメントに登録する手段を備え,
ていることを特徴とする汎用スキャンツール。 A general-purpose scanning tool that implements secure elements,
The secure element includes a command for storing a secret key that is paired with a public key written in a general-purpose scan tool certificate, and using the secret key to generate signature data for the general-purpose scan tool certificate,
The general scan tool includes a management server certificate received from a management server storing a vehicle manufacturer certificate for each of a plurality of vehicle manufacturers, a general scan tool certificate, and the general scan tool certificate generated by the secure element. A management server communication means for establishing a secure communication session for mutual authentication with the general-purpose scan tool using the signature data for the certificate and encrypting communication contents with the management server using a session key; Means for acquiring the vehicle manufacturer certificate from the management server that has established a secure communication session, registering the vehicle manufacturer certificate in the secure element, the vehicle manufacturer certificate read from the secure element, and the general purpose Generated in the scan tool certificate and the secure element Using the signature data for the general-purpose scan tool certificate, the vehicle key for accessing the ECU mounted on the vehicle of the vehicle manufacturer is stored, and mutual authentication is performed with the vehicle manufacturer server corresponding to the vehicle manufacturer certificate. The vehicle manufacturer corresponding to the vehicle manufacturer server sells the vehicle manufacturer server communication means for establishing the secure communication session with the vehicle manufacturer server and the vehicle manufacturer server for establishing the secure communication session. Means for obtaining a vehicle key, which is an encryption key for accessing an ECU mounted on the vehicle, and registering it in the secure element;
General-purpose scanning tool characterized by 前記汎用スキャンツールが備える車両メーカサーバ用通信手段は,セキュアな通信セッションで用いるセッション鍵が,セキュアな通信セッションを確立するごとに使い捨てされるように,前記車両メーカサーバとの間でセキュアな通信セッションを確立することを特徴とする,請求項4に記載した汎用スキャンツール。   The vehicle manufacturer server communication means included in the general-purpose scan tool is configured to communicate securely with the vehicle manufacturer server so that a session key used in a secure communication session is discarded every time a secure communication session is established. The general-purpose scanning tool according to claim 4, wherein a session is established. 前記汎用スキャンツールに実装する前記セキュアエレメントをSIMとしたことを特徴とする,請求項4または5に記載した汎用スキャンツール。
The general-purpose scan tool according to claim 4 or 5, wherein the secure element mounted on the general-purpose scan tool is a SIM.
JP2018047525A 2018-03-15 2018-03-15 Vehicle key distribution system and general purpose scanning tool Active JP6977635B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018047525A JP6977635B2 (en) 2018-03-15 2018-03-15 Vehicle key distribution system and general purpose scanning tool

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018047525A JP6977635B2 (en) 2018-03-15 2018-03-15 Vehicle key distribution system and general purpose scanning tool

Publications (2)

Publication Number Publication Date
JP2019161521A true JP2019161521A (en) 2019-09-19
JP6977635B2 JP6977635B2 (en) 2021-12-08

Family

ID=67995191

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018047525A Active JP6977635B2 (en) 2018-03-15 2018-03-15 Vehicle key distribution system and general purpose scanning tool

Country Status (1)

Country Link
JP (1) JP6977635B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022171177A1 (en) * 2021-02-10 2022-08-18 华为技术有限公司 Communication key configuration method and apparatus

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007533278A (en) * 2004-04-19 2007-11-15 松下電器産業株式会社 Fast and secure connectivity for mobile nodes
JP2013168007A (en) * 2012-02-15 2013-08-29 Denso Corp Relay system, external device and relay device
JP2016072675A (en) * 2014-09-26 2016-05-09 Kddi株式会社 Management device, vehicle, management method and computer program
JP2016184835A (en) * 2015-03-26 2016-10-20 Kddi株式会社 Management device, vehicle, management method, and computer program
JP2017130845A (en) * 2016-01-21 2017-07-27 株式会社オートネットワーク技術研究所 Authentication system, authentication request apparatus, on-vehicle electronic apparatus, computer program and authentication processing method
WO2017217070A1 (en) * 2016-06-17 2017-12-21 Kddi株式会社 System, certification authority, vehicle-mounted computer, vehicle, public key certificate issuance method, and program
JP2018019415A (en) * 2017-09-19 2018-02-01 Kddi株式会社 System, authentication station, on-vehicle computer, public key certificate issuing method, and program

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007533278A (en) * 2004-04-19 2007-11-15 松下電器産業株式会社 Fast and secure connectivity for mobile nodes
JP2013168007A (en) * 2012-02-15 2013-08-29 Denso Corp Relay system, external device and relay device
JP2016072675A (en) * 2014-09-26 2016-05-09 Kddi株式会社 Management device, vehicle, management method and computer program
JP2016184835A (en) * 2015-03-26 2016-10-20 Kddi株式会社 Management device, vehicle, management method, and computer program
JP2017130845A (en) * 2016-01-21 2017-07-27 株式会社オートネットワーク技術研究所 Authentication system, authentication request apparatus, on-vehicle electronic apparatus, computer program and authentication processing method
WO2017217070A1 (en) * 2016-06-17 2017-12-21 Kddi株式会社 System, certification authority, vehicle-mounted computer, vehicle, public key certificate issuance method, and program
JP2018019415A (en) * 2017-09-19 2018-02-01 Kddi株式会社 System, authentication station, on-vehicle computer, public key certificate issuing method, and program

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022171177A1 (en) * 2021-02-10 2022-08-18 华为技术有限公司 Communication key configuration method and apparatus

Also Published As

Publication number Publication date
JP6977635B2 (en) 2021-12-08

Similar Documents

Publication Publication Date Title
CN109076078B (en) Method for establishing and updating a key for secure on-board network communication
US10855460B2 (en) In-vehicle computer system, vehicle, key generation device, management method, key generation method, and computer program
JP6754325B2 (en) Authentication method for in-vehicle authentication system, in-vehicle authentication device, computer program and communication device
CN107710672B (en) Software distribution processing device, software distribution processing method, and vehicle
US9641329B2 (en) In-vehicle system and communication method
CN111131313B (en) Safety guarantee method and system for replacing ECU (electronic control Unit) of intelligent networked automobile
JP5136012B2 (en) Data sending method
CN110708388A (en) Vehicle body safety anchor node device, method and network system for providing safety service
US11777743B2 (en) Method for securely providing a personalized electronic identity on a terminal
CN111565182B (en) Vehicle diagnosis method and device and storage medium
JP6571890B1 (en) Electronic signature system, certificate issuing system, certificate issuing method and program
US20210392004A1 (en) Apparatus and method for authenticating device based on certificate using physical unclonable function
CN113138775A (en) Firmware protection method and system for vehicle-mounted diagnosis system
CN109495269B (en) Method and system for verifying credibility of vehicle-mounted terminal access equipment and vehicle-mounted terminal
CN111510448A (en) Communication encryption method, device and system in OTA (over the air) upgrade of automobile
JP6465426B1 (en) Electronic signature system, certificate issuing system, key management system, and electronic certificate issuing method
CN112989316B (en) ADB authorization authentication method and system
JP6977635B2 (en) Vehicle key distribution system and general purpose scanning tool
CN109743283B (en) Information transmission method and equipment
CN115174114B (en) SSL tunnel establishment method, server side and client side
CN114095919A (en) Certificate authorization processing method based on Internet of vehicles and related equipment
JP6188744B2 (en) Management system, vehicle and management method
KR102288444B1 (en) Firmware updating method, apparatus and program of authentication module
JP5985845B2 (en) Electronic key registration method
CN114124578B (en) Communication method, device, vehicle and storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210126

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210930

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211012

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211025

R150 Certificate of patent or registration of utility model

Ref document number: 6977635

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150