JP2021002713A - 更新装置、鍵更新プログラム - Google Patents

更新装置、鍵更新プログラム Download PDF

Info

Publication number
JP2021002713A
JP2021002713A JP2019114683A JP2019114683A JP2021002713A JP 2021002713 A JP2021002713 A JP 2021002713A JP 2019114683 A JP2019114683 A JP 2019114683A JP 2019114683 A JP2019114683 A JP 2019114683A JP 2021002713 A JP2021002713 A JP 2021002713A
Authority
JP
Japan
Prior art keywords
key
key information
processing unit
certificate
expiration date
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019114683A
Other languages
English (en)
Inventor
誠剛 小谷
Masatake Kotani
誠剛 小谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2019114683A priority Critical patent/JP2021002713A/ja
Priority to EP20178018.6A priority patent/EP3754935A1/en
Priority to US16/892,162 priority patent/US20200403791A1/en
Publication of JP2021002713A publication Critical patent/JP2021002713A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/28Supervision thereof, e.g. detecting power-supply failure by out of limits supervision
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

【課題】適切なタイミングで鍵情報を更新する更新装置を提供する。【解決手段】更新装置100は、電池量取得部133と、鍵生成処理部134と、鍵切替処理部135とを有する。電池量取得部133は、車載器に電力供給を行う電池の電池残量を取得する。鍵生成処理部134は、取得した電池残量に基づいて車載器が使用する鍵情報の新規発行を行うか否かを判定し、新規発行を行うと判定した場合、新規に生成した鍵情報の証明を、外部機器との通信により外部機器に依頼する。鍵切替処理部135は、車載器に関する鍵情報を、外部機器に証明された鍵情報に切り替える。【選択図】図2

Description

本発明の実施形態は、更新装置、鍵更新プログラムに関する。
従来、車に搭載された電子制御ユニット(ECU:Electronic Control Unit)などの車載器については、ファームウェア等が不正に書き換えられるリスクを低減するために、ファームウェア等の更新にPKI(Public-Key Infrastructure)による鍵認証を用いている。ファームウェア等の更新に用いられるPKIの公開鍵は、有効期限があることから、適宜更新が行われる。このような鍵情報を更新する従来技術としては、ECU内の共有鍵等を更新させるための更新管理方法が知られている。
国際公開第2016/75865号 特開2011−211537号公報
しかしながら、上記の従来技術は、鍵情報を更新する際に車載器に電力を供給するバッテリーの残量を考慮していない。このため、鍵情報を更新するのに十分なバッテリー残量がない場合などの不適切なタイミングで鍵情報の更新処理が行われる場合があるという問題がある。
1つの側面では、適切なタイミングで鍵情報を更新することができる更新装置、鍵更新プログラムを提供することを目的とする。
1つの案では、更新装置は、電池量取得部と、鍵生成処理部と、鍵切替処理部とを有する。電池量取得部は、車載器に電力供給を行う電池の電池残量を取得する。鍵生成処理部は、取得した電池残量に基づいて車載器が使用する鍵情報の新規発行を行うか否かを判定し、新規発行を行うと判定した場合、新規に生成した鍵情報の証明を、外部機器との通信により外部機器に依頼する。鍵切替処理部は、車載器に関する鍵情報を、外部機器に証明された鍵情報に切り替える。
本発明の1実施態様によれば、適切なタイミングで鍵情報を更新することができる。
図1は、遠隔更新の概要を説明する説明図である。 図2は、実施形態にかかる更新装置の機能構成例を示すブロック図である。 図3は、実施形態にかかる更新装置の動作例を示すフローチャートである。 図4は、鍵/証明書更新処理の一例を示すフローチャートである。 図5は、鍵/証明書発行処理の一例を示すフローチャートである。 図6は、鍵/証明書切替処理の一例を示すフローチャートである。
以下、図面を参照して、実施形態にかかる更新装置、鍵更新プログラムを説明する。実施形態において同一の機能を有する構成には同一の符号を付し、重複する説明は省略する。なお、以下の実施形態で説明する更新装置、鍵更新プログラムは、一例を示すに過ぎず、実施形態を限定するものではない。また、以下の各実施形態は、矛盾しない範囲内で適宜組みあわせてもよい。
図1は、遠隔更新の概要を説明する説明図である。図1に示すように、車両1は、多種多様な車載器を有し、各車載器は例えばCAN(Control Area Network)などのビークルバスを介して相互に通信可能に接続される。なお、車両1については、一般的な自動車の他、大型自動車、特殊作業車などであってもよく、用途、車種などは限定しない。
具体的には、車両1は、ゲートウェイ10、通信インタフェース11、TCU12(TCU:Transmission Control Unit)、ECU13a、ECU13b…、電源装置14、ナビゲーション装置15、表示装置16を有する。なお、ECU13a、13b…については、特に区別しない場合はECU13と表記する場合がある。
これらの各車載器では、ソフトウェアが動作しており、例えばCANを介した通信による協調制御を行うことによって、走行制御、ADAS(Advanced Driver-Assistance Systems)制御、マルチメディア、ボディ制御などの各種機能を実現する。
各車載器のソフトウェアは、メモリ等に記憶されており、機能改善のためにソフトウェア更新(リプログラミングとも呼ぶ)を行うことがある。このリプログラミングには、OBDII(OBD:On-Board Diagnostics)などの通信規格による通信インタフェース11を介して有線接続した診断ツール3によるリプログラミングの他に、遠隔からのOTA(Over The Air)リプログラミングがある。
OTAリプログラミングは、セルラー回線などの通信ネットワークNを介して接続したOTAサーバ2によるソフトウェア更新である。このOTAリプログラミングでは、不正に書き換えられるリスクを低減するためにPKIの鍵認証が用いられる。
鍵認証に用いられる公開鍵などの鍵情報については、例えば数年程度の有効期限が定められている。車両1の使用期間は、一般に鍵情報の有効期限よりも長い(例えば10年以上)。このため、各車載器に関する鍵情報については、OTAでの更新(有効期限の延長)が行われる。本実施形態にかかる更新装置は、このOTAでの車載器の鍵情報の更新を行うものであり、例えば車両1内のゲートウェイ10、TCU12、ECU13が相当する。
図2は、実施形態にかかる更新装置の機能構成例を示すブロック図である。図2に示す更新装置100は、車両1内のゲートウェイ10、TCU12、ECU13a、13b…等の一例であり、OTAにより自身または他の車載器に関する鍵情報の更新を行う。例えば、更新装置100は、ECU13a、13b…等に関する鍵情報をECU13に代わって更新するゲートウェイ10やTCU12などであってもよい。また、更新装置100は、ゲートウェイ10より通信ネットワークNを介してOTAサーバ2と通信するECU13a、13b…であり、ECU13a、13b…それぞれが自身の鍵情報を更新してもよい。
図2に示すように、更新装置100は、通信部110、記憶部120および制御部130を有する。
通信部110は、ビークルバスを介してゲートウェイ10、TCU12、ECU13、電源装置14、ナビゲーション装置15、ナビゲーション装置15、表示装置16などの車両1内の車載器との通信を行う処理部である。また、通信部110は、ゲートウェイ10より通信ネットワークNを介してOTAサーバ2などの外部機器との通信を行う。
記憶部120は、例えば鍵情報121、証明書・有効期限情報122、必要電池量情報123および制御部130が実行する鍵更新プログラム124などの各種データを記憶する。記憶部120は、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリなどの半導体メモリ素子などの記憶装置に対応する。
鍵情報121は、車載器に関する鍵情報であり、例えば車載器においてPKIの鍵認証に用いる秘密鍵・公開鍵の鍵対のデータである。例えば、鍵情報121には、自身の車載器に対応する識別名(代理で鍵認証を行う場合は他の車載器)とともに、秘密鍵・公開鍵の情報が示されている。
証明書・有効期限情報122は、鍵情報121に対応する証明書(例えば公開鍵証明書)および証明書の有効期限の情報である。例えば、証明書・有効期限情報122には、鍵情報121の識別名とともに、認証局(CA:Certification Authority)、証明書の有効期限の情報などが示されている。
必要電池量情報123は、鍵情報121の更新(例えば鍵/証明書発行処理(S25))を行うために必要な電池量(電力量)を示す情報である。例えば、証明書・有効期限情報122には、鍵情報121の更新を行う際に、ゲートウェイ10、TCU12、ECU13などの稼働に要する電力量として見積もられた値が示されている。
鍵更新プログラム124は、制御部130が実行するプログラムである。制御部130は、記憶部120に記憶された鍵更新プログラム124を読み出して実行することで、各種の処理を行う。具体的には、鍵更新プログラム124は、制御部130を時刻取得部131、有効期限取得部132、電池量取得部133、鍵生成処理部134および鍵切替処理部135として機能させる。
制御部130は、更新装置100の全体的な処理を司る処理部である。制御部130は、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等によって、内部の記憶装置に記憶されているプログラムがRAMを作業領域として実行されることにより実現される。また、制御部130は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現されるようにしてもよい。
具体的には、制御部130は、時刻取得部131、有効期限取得部132、電池量取得部133、鍵生成処理部134および鍵切替処理部135を有する。なお、時刻取得部131、有効期限取得部132、電池量取得部133、鍵生成処理部134および鍵切替処理部135は、プロセッサが有する電子回路の一例やプロセッサが実行するプロセスの一例である。
時刻取得部131は、時刻に関する情報を取得する処理部である。具体的には、時刻取得部131は、RTC(Real Time Clock)より現在の時刻を取得する。また、時刻取得部131は、通信ネットワークNを介してタイムスタンプ局(TSA:Time-Stamping Authority)にタイムスタンプを要求することで、現時点におけるデータの存在を証明するためのタイムスタンプの取得を行う。
有効期限取得部132は、鍵情報121に関する有効期限を取得する処理部である。具体的には、有効期限取得部132は、鍵情報121における識別名より、鍵情報121に対応する証明書・有効期限情報122を読み出して鍵情報121の有効期限を取得する。また、有効期限取得部132は、鍵情報121に対応する証明書・有効期限情報122を保持していない場合、通信ネットワークNを介してOTAサーバ2などに鍵情報121の識別名を示した送付要求を行うことで、鍵情報121に対応する証明書・有効期限情報122を取得する。
電池量取得部133は、車両1内の各車載器に電力供給を行う電池の電池残量を取得する処理部である。具体的には、電池量取得部133は、各車載器に電力供給を行う電池を管理する電源装置14と通信部110を介して通信を行うことで、電源装置14より電池の電池残量を取得する。
鍵生成処理部134は、新規の鍵情報121の生成に関する処理を行う処理部である。具体的には、鍵生成処理部134は、電池量取得部133が取得した電池残量に基づいて車載器に関する鍵情報121の新規発行を行うか否かを判定する。次いで、鍵生成処理部134は、新規発行を行うと判定した場合、新規に生成した鍵情報121の証明を、通信ネットワークNを介したOTAサーバ2などの外部機器との通信により外部機器に依頼する。
鍵切替処理部135は、車載器に関する鍵情報121について、古い鍵情報(旧鍵対)から鍵生成処理部134により外部機器に証明された新規の鍵情報(新鍵対)へ切り替える処理を行う処理部である。具体的には、鍵切替処理部135は、旧鍵対の秘密鍵による電子署名作成や旧鍵対の公開鍵による認証を停止する。次いで、鍵切替処理部135は、新鍵対の秘密鍵による電子署名作成や新鍵対の公開鍵による認証を開始する。
図3は、実施形態にかかる更新装置100の動作例を示すフローチャートである。図3に示す更新装置100の動作は、例えば車両1のイグニンションオンに応じて開始される。また、更新装置100の動作は、イグニンションオンとは別に、定時に開始されてもよい。
図3に示すように、処理が開始されると、時刻取得部131は現在の時刻を取得する(S1)。次いで、有効期限取得部132は、記憶部120を参照して鍵情報121に対応する証明書・有効期限情報122を探索し、鍵情報121の証明書保持または有効期限情報の保持の有無を判定する(S2)。
証明書保持または有効期限情報の保持が肯定判定である場合(S2:Yes)、有効期限取得部132は、証明書または有効期限情報を保持していることから、そのままS5へ処理を進める。証明書保持または有効期限情報の保持が否定判定である場合(S2:No)、有効期限取得部132は、通信ネットワークNを介してOTAサーバ2などに鍵情報121の識別名を示した送付要求を行う(S3)。次いで、有効期限取得部132は、送付要求に対する返答受領、すなわち鍵情報121に対応する証明書・有効期限情報122を取得する(S4)。
次いで、有効期限取得部132は、既に保持している証明書・有効期限情報122または返答受領により取得した証明書・有効期限情報122より、鍵情報121に対応する証明書の有効期限を取得する(S5)。
次いで、鍵生成処理部134は、時刻取得部131が取得した現在の時刻から証明書の有効期限までの残存期間が10日より長いか否かを判定する(S6)。なお、S6における判定の基準となる日数は、10日に限定するものではなく、予め設定された任意の期間としてもよい。
証明書の有効期限までの残存期間が10日より長い場合(S6:Yes)、鍵生成処理部134は、そのまま処理を終了する。
証明書の有効期限までの残存期間が10日より長くなく、短い場合(S6:No)、鍵生成処理部134は鍵の更新用情報、すなわち外部機器に証明された新規の鍵情報(新鍵対)を取得済みであるか否かを判定する(S7)。取得済みである場合(S7:Yes)、鍵生成処理部134は、S9へ処理を進める。
取得済みでない場合(S7:No)、鍵生成処理部134は、鍵/証明書更新処理を行い(S8)、S9へ処理を進める。
図4は、鍵/証明書更新処理の一例を示すフローチャートである。図4に示すように、処理が開始されると、電池量取得部133は、各車載器に電力供給を行う電池を管理する電源装置14より電池残量を取得する(S20)。
次いで、鍵生成処理部134は、新規の鍵対(秘密鍵・公開鍵)を生成する生成処理を行う(S21)。次いで、鍵生成処理部134は、必要電池量情報123を参照し、新規の鍵対における新公開鍵への証明書の発行要求に要する必要電池量、すなわち鍵/証明書発行処理(S25)を行うために必要な電池量を取得する(S22)。
次いで、鍵生成処理部134は、S20で取得した現在の電池残量が必要電池量の2倍よりも多いか否かを判定する(S23)。なお、S23における判定の基準となる必要電池量の倍数は、2倍に限定するものではなく、予め設定された任意の値としてもよい。
現在の電池残量が必要電池量の2倍よりも多い場合(S23:Yes)、鍵生成処理部134は、証明書の有効期限までの残存期間が2日よりも長いか否かを判定する(S24)。なお、S24における判定の基準となる日数は、2日に限定するものではなく、予め設定された任意の期間としてもよい。
現在の電池残量が必要電池量の2倍よりも多く(S23:Yes)、証明書の有効期限までの残存期間が2日より長い場合(S24:Yes)は、電池残量が十分であり、証明書の有効期限まで十分に長い期間あることから、鍵/証明書発行処理(S25)を現時点で行わなくてもよいものとする。
したがって、証明書の有効期限までの残存期間が2日より長い場合(S24:Yes)、鍵生成処理部134は、新規の鍵対について時刻取得部131よりタイムスタンプを取得する。次いで、鍵生成処理部134は、新規の鍵対をタイムスタンプ付きの鍵情報121として、運用中の鍵情報121とは別に記憶部120に保存し(S26)、処理を終了する。
これにより、後に鍵/証明書発行処理(S25)を行う場合は、タイムスタンプにより生成時点が証明された鍵情報121を読み出すことで、その生成時点における新規の鍵対について鍵/証明書発行処理を行うことができる。例えば、鍵/証明書発行処理を行わないうちに、運用中の鍵情報121における証明書の有効期限が切れてしまった場合でも、タイムスタンプにより新規の鍵対の生成時点を検証することができる。このため、証明書の有効期限内に生成された新規の鍵対であることを証明でき、鍵/証明書発行処理を進めることが可能となる。
また、証明書の有効期限までの残存期間が2日より長くない場合(S24:No)または現在の電池残量が必要電池量の2倍よりも多くない場合(S23:No)は、鍵/証明書発行処理(S25)を現時点で行うものとする。この場合、鍵生成処理部134は、鍵/証明書発行処理を行い(S25)、処理を終了する。
図5は、鍵/証明書発行処理の一例を示すフローチャートである。なお、図5における左側のフローチャートは、車両1側が行う処理を例示している。また、図5における右側のフローチャートは、OTAサーバ2側が行う処理を例示している。
図5に示すように、処理が開始されると、鍵生成処理部134は、新規の鍵対(秘密鍵、公開鍵)を取得する(S30)。なお、S30において、タイムスタンプ付きの鍵情報121が記憶部120に保存されている場合は、タイムスタンプ付きの鍵情報121を新規の鍵対とする。タイムスタンプ付きの鍵情報121が記憶部120に保存されていない場合は、S21において生成された鍵対を新規の鍵対とする。
次いで、鍵生成処理部134は、新規の公開鍵、今回の処理を依頼する根拠(例えば電池全量情報を含め)の説明に、運用中の旧鍵対の秘密鍵で電子署名を付与する(S31)。すなわち、鍵生成処理部134は、新規に生成した鍵情報について、運用中の車載器に関する鍵情報に基づく署名を付与する。
次いで、鍵生成処理部134は、S31で付与した電子署名、新規の公開鍵、説明を通信部110より通信ネットワークNを介してOTAサーバ2へ送付し、証明書の発行を依頼する(S32)。
証明書の発行を依頼されたOTAサーバ2では、旧公開鍵の証明書で電子署名を検証し(S33)、新規の公開鍵、依頼の真正性を確認する(S34)。
次いで、OTAサーバ2は、依頼の真正性が確認できた場合、新公開鍵の証明書発行を証明書発行局(CA)に要求する(S35)。この際、OTAサーバ2は、OTAサーバ2側(センター)が運用する秘密鍵で電子署名を付与する(S36)。
CAでは、OTAサーバ2の証明書(公開鍵)を用いてOTAサーバ2を認証、要求のあった証明書を発行する(S37)。OTAサーバ2は、CAからの証明書を受け、証明書を含めてまとめ、OTAサーバ2が運用する秘密鍵で電子署名を付与した上で車両1側へ返す。証明書付きの返答を受けた鍵生成処理部134は、新規の鍵情報121および証明書・有効期限情報122について、運用中の鍵情報121および122とは別に記憶部120に保存する。
また、OTAサーバ2では、作業完了の時刻証明のためタイムスタンプ局(TSA)にタイムスタンプの発行要求を行う(S38)。タイムスタンプの発行要求を受けたTSAは、OTAサーバ2にタイムスタンプを発行する。OTAサーバ2では、TSAからのタイムスタンプを受け、タイムスタンプ付きで証明書が発行された鍵情報を保存する(S39)。
図3に戻り、S7、S8に次いで、鍵切替処理部135は、運用中の鍵情報121に対応する証明書(旧証明書)の有効期限までの残存期間が2日より長いか否かを判定する(S9)。なお、S9における判定の基準となる日数は、2日に限定するものではなく、予め設定された任意の期間としてもよい。
旧証明書の有効期限までの残存期間が2日より長くない場合(S9:No)、鍵切替処理部135は、そのまま処理を終了する。また、旧証明書の有効期限までの残存期間が2日より長い場合(S9:Yes)、鍵切替処理部135は、鍵/証明書切替処理を行う(S10)。
図6は、鍵/証明書切替処理の一例を示すフローチャートである。図6に示すように、処理が開始されると、鍵切替処理部135は、運用中の鍵情報121とは別に、証明書付きの新規の鍵対の鍵情報121が記憶部120に保持されているか否かを判定する(S40)。
新規の鍵対が保持されている場合(S40:Yes)、鍵切替処理部135はそのままS42へ処理を進める。新規の鍵対が保持されていない場合(S40:No)、鍵生成処理部134は、S25と同様の鍵/証明書発行処理を行う(S41)。
S41において、鍵切替処理部135は、新規の鍵対の鍵情報121に対応する証明書・有効期限情報122を探索し、新規の鍵対の証明書保持または有効期限情報の保持の有無を判定する(S42)。
新規の鍵対の証明書保持または有効期限情報の保持が肯定判定である場合(S42:Yes)、鍵切替処理部135は、新規の鍵対の証明書または有効期限情報を保持していることから、そのままS45へ処理を進める。新規の鍵対の証明書保持または有効期限情報の保持が否定判定である場合(S42:No)、鍵切替処理部135は、通信ネットワークNを介してOTAサーバ2などに新規の鍵対の識別名を示した送付要求を行う(S43)。次いで、鍵切替処理部135は、送付要求に対する返答受領、すなわち新規の鍵対に対応する証明書・有効期限情報122を取得する(S44)。
次いで、鍵切替処理部135は、時刻取得部131が取得した現在の時刻から新規の鍵対の証明書における有効期限までの残存期間が10日より長いか否かを判定する(S45)。なお、S45における判定の基準となる日数は、10日に限定するものではなく、予め設定された任意の期間としてもよい。
新規の鍵対の証明書の有効期限までの残存期間が10日より長い場合(S45:Yes)、鍵切替処理部135は、旧鍵対の秘密鍵による電子署名作成や旧鍵対の公開鍵による認証を停止する(S46)。次いで、鍵切替処理部135は、新鍵対の秘密鍵による電子署名作成や新鍵対の公開鍵による認証を開始し(S47)、処理を終了する。新規の鍵対の証明書の有効期限までの残存期間が10日より長くない場合(S45:No)、鍵切替処理部135は、S7へ処理を戻す。
以上のように、更新装置100は、電池量取得部133と、鍵生成処理部134と、鍵切替処理部135とを有する。電池量取得部133は、ECU13a、13b…等の車載器に電力供給を行う電池の残量を取得する。鍵生成処理部134は、取得した電池残量に基づいて車載器が使用する鍵情報の新規発行を行うか否かを判定する。また、鍵生成処理部134は、新規発行を行うと判定した場合、新規に生成した鍵情報の証明を、OTAサーバ2などの外部機器との通信により外部機器に依頼する。鍵切替処理部135は、車載器に関する鍵情報を、外部機器に証明された鍵情報に切り替える。
これにより、車両1内の各車載器について、鍵情報を更新するのに十分なバッテリー残量がない場合などの不適切なタイミングで鍵情報の更新処理が行われることを抑止することができ、適切なタイミングで鍵情報の更新を行うことができる。
また、更新装置100は、現在の時刻を取得する時刻取得部131と、鍵情報に関する証明の有効期限を取得する有効期限取得部132とを有する。そして、鍵切替処理部135は、取得した現在の時刻から車載器に関する鍵情報の有効期限までの残存期間が所定の条件を満たす場合に、外部機器に証明された鍵情報に切り替える。
これにより、例えば旧鍵対の残存期間に余裕があるときは新規の鍵対に切り替えないような運用とすることができ、鍵対の活用期間を有効期限近くまで伸ばすことができる。
また、鍵生成処理部134は、取得した電池残量に基づいて新規発行を行わないと判定した場合、新規に生成した鍵情報をタイムスタンプを付与して保存する。これにより、新規に生成した鍵情報の生成時点をタイムスタンプで検証することができる。例えば、新規に生成した鍵情報の証明を行う前に、運用中の鍵情報の有効期限が切れてしまっても、タイムスタンプにより有効期限内に生成された鍵情報であることを検証できる。
また、鍵生成処理部134は、新規に生成した鍵情報に車載器に関する鍵情報に基づく署名を付与して新規に生成した鍵情報の証明を依頼する。これにより、証明の依頼を受けた外部機器では、車載器に関する鍵情報に基づく署名により依頼元の真正性を確認することができる。
なお、図示した各部の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各部の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、時刻取得部131と、有効期限取得部132と、電池量取得部133とを統合してもよい。また、鍵生成処理部134と、鍵切替処理部135とを統合してもよい。また、図示した各処理は、上記の順番に限定されるものでなく、処理内容を矛盾させない範囲において、同時に実施してもよく、順序を入れ替えて実施してもよい。
さらに、各装置で行われる各種処理機能は、CPU(またはMPU、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部または任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(またはMPU、MCU等のマイクロ・コンピュータ)で解析実行されるプログラム上、またはワイヤードロジックによるハードウエア上で、その全部または任意の一部を実行するようにしてもよいことは言うまでもない。
また、鍵更新プログラム124は、記憶部120に記憶されていなくてもよい。例えば、更新装置100が読み取り可能な記憶媒体に記憶された鍵更新プログラム124を、更新装置100が読み出して実行するようにしてもよい。更新装置100が読み取り可能な記憶媒体は、例えば、CD−ROMやDVD(Digital Versatile Disc)、USB(Universal Serial Bus)メモリ等の可搬型記録媒体、フラッシュメモリ等の半導体メモリ、ハードディスクドライブ等が対応する。また、公衆回線、インターネット、LAN等に接続された装置に鍵更新プログラム124を記憶させておき、更新装置100がこれらから鍵更新プログラム124を読み出して実行するようにしてもよい。
以上の実施形態に関し、さらに以下の付記を開示する。
(付記1)車載器に電力供給を行う電池の電池残量を取得する電池量取得部と、
取得した前記電池残量に基づいて前記車載器に関する鍵情報の新規発行を行うか否かを判定し、新規発行を行うと判定した場合、新規に生成した鍵情報の証明を、外部機器との通信により当該外部機器に依頼する鍵生成処理部と、
前記車載器に関する鍵情報を、前記外部機器に証明された鍵情報に切り替える鍵切替処理部と、
を有することを特徴とする更新装置。
(付記2)現在の時刻を取得する時刻取得部と、
前記鍵情報に関する証明の有効期限を取得する有効期限取得部と、を更に有し、
前記鍵切替処理部は、取得した前記現在の時刻から前記車載器に関する鍵情報の有効期限までの残存期間が所定の条件を満たす場合に、前記外部機器に証明された鍵情報に切り替える、
ことを特徴とする付記1に記載の更新装置。
(付記3)前記鍵生成処理部は、取得した前記電池残量に基づいて新規発行を行わないと判定した場合、新規に生成した鍵情報をタイムスタンプを付与して保存する、
ことを特徴とする付記1または2に記載の更新装置。
(付記4)前記鍵生成処理部は、前記新規に生成した鍵情報に前記車載器に関する鍵情報に基づく署名を付与して前記新規に生成した鍵情報の証明を依頼する、
ことを特徴とする付記1乃至3のいずれか一に記載の更新装置。
(付記5)車載器に電力供給を行う電池の電池残量を取得し、
取得した前記電池残量に基づいて前記車載器に関する鍵情報の新規発行を行うか否かを判定し、新規発行を行うと判定した場合、新規に生成した鍵情報の証明を、外部機器との通信により当該外部機器に依頼し、
前記車載器に関する鍵情報を、前記外部機器に証明された鍵情報に切り替える、
処理をコンピュータに実行させることを特徴とする鍵更新プログラム。
(付記6)現在の時刻を取得し、
前記鍵情報に関する証明の有効期限を取得する、処理をさらにコンピュータに実行させ、
前記切り替える処理は、取得した前記現在の時刻から前記車載器に関する鍵情報の有効期限までの残存期間が所定の条件を満たす場合に、前記外部機器に証明された鍵情報に切り替える、
ことを特徴とする付記5に記載の鍵更新プログラム。
(付記7)前記依頼する処理は、取得した前記電池残量に基づいて新規発行を行わないと判定した場合、新規に生成した鍵情報をタイムスタンプを付与して保存する、
ことを特徴とする付記5または6に記載の鍵更新プログラム。
(付記8)前記依頼する処理は、前記新規に生成した鍵情報に前記車載器に関する鍵情報に基づく署名を付与して前記新規に生成した鍵情報の証明を依頼する、
ことを特徴とする付記5乃至7のいずれか一に記載の鍵更新プログラム。
1…車両
2…OTAサーバ
3…診断ツール
10…ゲートウェイ
11…通信インタフェース
12…TCU
13、13a、13b…ECU
14…電源装置
15…ナビゲーション装置
16…表示装置
100…更新装置
110…通信部
120…記憶部
121…鍵情報
122…証明書・有効期限情報
123…必要電池量情報
124…鍵更新プログラム
130…制御部
131…時刻取得部
132…有効期限取得部
133…電池量取得部
134…鍵生成処理部
135…鍵切替処理部
N…通信ネットワーク

Claims (5)

  1. 車載器に電力供給を行う電池の電池残量を取得する電池量取得部と、
    取得した前記電池残量に基づいて前記車載器が使用する鍵情報の新規発行を行うか否かを判定し、新規発行を行うと判定した場合、新規に生成した鍵情報の証明を、外部機器との通信により当該外部機器に依頼する鍵生成処理部と、
    前記車載器に関する鍵情報を、前記外部機器に証明された鍵情報に切り替える鍵切替処理部と、
    を有することを特徴とする更新装置。
  2. 現在の時刻を取得する時刻取得部と、
    前記鍵情報に関する証明の有効期限を取得する有効期限取得部と、を更に有し、
    前記鍵切替処理部は、取得した前記現在の時刻から前記車載器に関する鍵情報の有効期限までの残存期間が所定の条件を満たす場合に、前記外部機器に証明された鍵情報に切り替える、
    ことを特徴とする請求項1に記載の更新装置。
  3. 前記鍵生成処理部は、取得した前記電池残量に基づいて新規発行を行わないと判定した場合、新規に生成した鍵情報をタイムスタンプを付与して保存する、
    ことを特徴とする請求項1または2に記載の更新装置。
  4. 前記鍵生成処理部は、前記新規に生成した鍵情報に前記車載器に関する鍵情報に基づく署名を付与して前記新規に生成した鍵情報の証明を依頼する、
    ことを特徴とする請求項1乃至3のいずれか一項に記載の更新装置。
  5. 車載器に電力供給を行う電池の電池残量を取得し、
    取得した前記電池残量に基づいて前記車載器が使用する鍵情報の新規発行を行うか否かを判定し、新規発行を行うと判定した場合、新規に生成した鍵情報の証明を、外部機器との通信により当該外部機器に依頼し、
    前記車載器に関する鍵情報を、前記外部機器に証明された鍵情報に切り替える、
    処理をコンピュータに実行させることを特徴とする鍵更新プログラム。
JP2019114683A 2019-06-20 2019-06-20 更新装置、鍵更新プログラム Pending JP2021002713A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2019114683A JP2021002713A (ja) 2019-06-20 2019-06-20 更新装置、鍵更新プログラム
EP20178018.6A EP3754935A1 (en) 2019-06-20 2020-06-03 Key update device and storage medium storing key update program
US16/892,162 US20200403791A1 (en) 2019-06-20 2020-06-03 Key update device and storage medium storing key update program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019114683A JP2021002713A (ja) 2019-06-20 2019-06-20 更新装置、鍵更新プログラム

Publications (1)

Publication Number Publication Date
JP2021002713A true JP2021002713A (ja) 2021-01-07

Family

ID=70977419

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019114683A Pending JP2021002713A (ja) 2019-06-20 2019-06-20 更新装置、鍵更新プログラム

Country Status (3)

Country Link
US (1) US20200403791A1 (ja)
EP (1) EP3754935A1 (ja)
JP (1) JP2021002713A (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7111074B2 (ja) * 2018-08-10 2022-08-02 株式会社デンソー 車両用マスタ装置、セキュリティアクセス鍵の管理方法、セキュリティアクセス鍵の管理プログラム及び車両用電子制御システム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5404501B2 (ja) 2010-03-30 2014-02-05 日本電信電話株式会社 暗号化情報の有効期限延長システム、有効期限延長方法及びプログラム
JP5975964B2 (ja) * 2013-10-18 2016-08-23 富士通株式会社 情報処理プログラム、情報処理方法、情報処理装置、及び情報処理システム
EP3412514B1 (en) 2014-11-12 2019-12-04 Panasonic Intellectual Property Corporation of America Update management method, update management device, and control program
DE102015209116A1 (de) * 2015-05-19 2016-11-24 Robert Bosch Gmbh Verfahren und Aktualisierungsgateway zum Aktualisieren eines eingebetteten Steuergerätes

Also Published As

Publication number Publication date
US20200403791A1 (en) 2020-12-24
EP3754935A1 (en) 2020-12-23

Similar Documents

Publication Publication Date Title
JP5949732B2 (ja) プログラム更新システム及びプログラム更新方法
JP6641241B2 (ja) 情報共有システム、計算機、及び、情報共有方法
US9641329B2 (en) In-vehicle system and communication method
US7197637B2 (en) Authorization process using a certificate
KR102174469B1 (ko) V2x 통신을 위한 보안 인증 관리 시스템에서 eca와 dcm 사이를 중계하여 등록 인증서를 관리하기 위한 방법 및 장치
US10706646B2 (en) Vehicle diagnostic device and method of managing certificate thereof
EP3399691B1 (en) Onboard computer system, vehicle, management method, and computer program
CN109039654B (zh) Tbox身份认证方法及终端设备
JP6192673B2 (ja) 鍵管理システム、鍵管理方法およびコンピュータプログラム
CN109314644B (zh) 数据提供系统、数据保护装置、数据提供方法以及存储介质
EP2608477A1 (en) Trusted certificate authority to create certificates based on capabilities of processes
CN111355701A (zh) 针对连接性的基于策略和令牌的授权框架
JP6260068B1 (ja) 保守装置、保守方法、及びコンピュータプログラム
CN110920560A (zh) 云授权车辆控制
EP4113896A1 (en) Method and apparatus for updating certificate list
JP2021002713A (ja) 更新装置、鍵更新プログラム
JP2018019415A (ja) システム、認証局、車載コンピュータ、公開鍵証明書発行方法、及びプログラム
CN114785532B (zh) 一种基于双向签名认证的安全芯片通信方法及装置
CN115696321A (zh) 一种数字钥匙的秘钥灌装方法及系统
JP6188744B2 (ja) 管理システム、車両及び管理方法
JP2005117277A (ja) ルート証明書更新システム、方法およびプログラムとサーバ装置およびクライアント装置
JP6672243B2 (ja) データ提供システム、データ提供装置、データ提供方法、及びデータ提供プログラム
JP2015023307A (ja) 認証装置,及び認証システム
WO2023070465A1 (zh) 一种密钥传输方法和装置
JP6519060B2 (ja) 管理装置、車両、管理方法、及びコンピュータプログラム