JP2022118493A - センタ、情報書き換え方法、及び情報書き換えプログラム - Google Patents

センタ、情報書き換え方法、及び情報書き換えプログラム Download PDF

Info

Publication number
JP2022118493A
JP2022118493A JP2021015061A JP2021015061A JP2022118493A JP 2022118493 A JP2022118493 A JP 2022118493A JP 2021015061 A JP2021015061 A JP 2021015061A JP 2021015061 A JP2021015061 A JP 2021015061A JP 2022118493 A JP2022118493 A JP 2022118493A
Authority
JP
Japan
Prior art keywords
vehicle
information
center
key
control unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021015061A
Other languages
English (en)
Inventor
隼 浜崎
Hayato Hamazaki
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2021015061A priority Critical patent/JP2022118493A/ja
Priority to DE102021129124.0A priority patent/DE102021129124A1/de
Priority to US17/522,336 priority patent/US11941126B2/en
Priority to CN202111325886.3A priority patent/CN114840228A/zh
Publication of JP2022118493A publication Critical patent/JP2022118493A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/30Detection related to theft or to other events relevant to anti-theft systems
    • B60R25/34Detection related to theft or to other events relevant to anti-theft systems of conditions of vehicle components, e.g. of windows, door locks or gear selectors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C2009/00753Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mechanical Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Stored Programmes (AREA)

Abstract

【課題】センタと車両との認証処理に用いられる鍵を保有する車載機器が交換された場合でも、車両を認証することができるセンタなどを提供する。【解決手段】車両に搭載された電子制御ユニットのソフトウェア更新を制御するOTAマスタと第1ネットワークを介して通信可能なセンタであって、車両の認証に必要な鍵の情報を含む車両管理情報を記憶する記憶部と、車両に搭載された所定の機器に付与された固有の鍵を用いて署名された認証用信号を、第1ネットワークを介して車両から受信する通信部と、車両管理情報及び認証用信号に基づいて車両の認証を実施する制御部と、を備え、通信部が鍵の情報を車両から受信した場合、制御部は、鍵の情報に基づいて記憶部が記憶する車両管理情報を書き換える。【選択図】図1

Description

本開示は、車両に搭載された電子制御ユニットのソフトウェア更新を制御するセンタなどに関する。
車両には、車両の動作を制御するための複数の電子制御ユニットが搭載されている。電子制御ユニットは、プロセッサと、RAMのような一時的な記憶部と、フラッシュROMのような不揮発性の記憶部である不揮発性メモリとを備え、プロセッサが不揮発性メモリに記憶されるソフトウェアを実行することにより電子制御ユニットの制御機能を実現する。各電子制御ユニットが記憶するソフトウェアは書き換え可能であり、より新しいバージョンのソフトウェアに更新することにより、各電子制御ユニットの機能を改善したり、新たな車両制御機能を追加したりすることができる。
電子制御ユニットのソフトウェアを更新する技術として、車載ネットワークに接続された車載通信機器とインターネットなどの通信ネットワークとを無線で接続し、車両のソフトウェアの更新処理を担う装置が、無線通信を介してサーバー機能を有するセンタからソフトウェアをダウンロードし、ダウンロードしたソフトウェアを電子制御ユニットにインストールすることにより、電子制御ユニットのソフトウェア更新や追加を行うOTA(Over The Air)技術が知られている。例えば、特許文献1を参照。
このOTA技術を用いたソフトウェア更新処理の実施に際しては、車両が保有する鍵(車両側鍵)と、センタが車両ごとにペアで管理している鍵(センタ側鍵)とを用いて、車両とセンタとの間で鍵を用いた認証処理が実施される。
特開2004-326689号公報
車両に搭載された機器のうち、認証処理に用いられる鍵(車両側鍵)を保有する車載機器、例えば通信モジュール(DCM)が故障などによって交換された場合、通信モジュールに予め付与されている鍵も一緒に変更されることになる。しかし、通信モジュールの交換を知り得ないセンタは、変更後の通信モジュールに予め付与されている新しい鍵を車両に紐付けられた正規の鍵であると認識しないため、車両を認証することができずOTAによるソフトウェア更新ができないという問題がある。
本開示は、上記課題を鑑みてなされたものであり、認証処理に用いられる鍵を保有する車載機器が交換された場合でも、車両を認証することができるセンタなどを提供することを目的とする。
上記課題を解決するために、本開示技術の一態様は、車両に搭載された電子制御ユニットのソフトウェア更新を制御するOTAマスタと第1ネットワークを介して通信可能なセンタであって、車両の認証に必要な鍵の情報を含む車両管理情報を記憶する記憶部と、車両に搭載された所定の機器に付与された固有の鍵を用いて署名された認証用信号を、第1ネットワークを介して車両から受信する通信部と、車両管理情報及び認証用信号に基づいて車両の認証を実施する制御部と、を備え、通信部が鍵の情報を車両から受信した場合、制御部は、鍵の情報に基づいて記憶部が記憶する車両管理情報を書き換える、センタである。
本開示のセンタなどによれば、認証処理に用いられる鍵を保有する車載機器が交換された場合でも、車両を認証することができる。
実施形態に係るセンタを含むネットワークシステムの全体構成を示すブロック図 センタの概略構成を示すブロック図 センタの機能ブロック図 鍵情報データベースの一例を示す図 個車鍵情報の一例を示す図 OTAマスタの概略構成を示すブロック図 処理装置及びセンタで実行される情報書き換え処理のフローチャート
本開示のセンタは、車両において認証処理用の鍵を保有する車載機器が交換された際、鍵に関する情報として交換後の車載機器に付与された鍵のIDとその車載機器の交換が行われた車両のIDとを、車両認証を実行するネットワークとは異なるネットワーク経由で取得する。そして、センタは、鍵に関する情報に基づいて、車両認証要の鍵に関する情報を最新の内容に更新する。
以下、本開示の一実施形態について、図面を参照しながら詳細に説明する。
<実施形態>
[構成]
図1は、本開示の一実施形態に係るセンタを含むネットワークシステムの全体構成を示すブロック図である。図1に示すネットワークシステムは、車両に搭載された複数の電子制御ユニット40a~40dのソフトウェアを更新するためのシステムであり、車両外にあるセンタ10と、車両内に構築される車載ネットワーク20と、処理装置80と、を備える。
(1)センタ
センタ10は、第1ネットワーク70を介して車載ネットワーク20が備える後述のOTAマスタ30と通信可能であり、車両の認証や電子制御ユニットの更新データ送信などの通信を行って、OTAマスタ30に接続された複数の電子制御ユニット40a~40dのソフトウェア更新を管理することができる。また、センタ10は、第1ネットワーク70と異なる第2ネットワーク90を介して処理装置80と通信可能であり、後述する車両の鍵に関する情報の通信を行って、車両の鍵の管理を行う。このセンタ10は、いわゆるサーバーとしての機能を有する。
図2は、図1におけるセンタ10の概略構成を示すブロック図である。図2で示すように、センタ10は、CPU(Central Processing Unit)11と、RAM(Random Access Memory)12と、記憶装置13と、通信装置14と、を備える。記憶装置13は、ハードディスクドライブ(HDD)やソリッドステートドライブ(SSD)などの読み書き可能な記憶媒体を備えた装置であり、ソフトウェアの更新管理を実行するためのプログラム、ソフトウェアの更新管理に用いる情報、各電子制御ユニットの更新データ、車両の認証に必要な鍵の情報を含む車両管理情報などを記憶する。センタ10において、CPU11は、記憶装置13から読み出したプログラムを、RAM12を作業領域として用いて実行することにより、ソフトウェア更新に関する所定の処理を実行する。通信装置14は、第1ネットワーク70を介してOTAマスタ30と通信を行い、第2ネットワーク90を介して処理装置80と通信を行うための装置である。
図3は、図2に示したセンタ10の機能ブロック図である。図3で示すセンタ10は、記憶部16と、通信部17と、制御部18と、を備える。記憶部16は、図2に示した記憶装置13によって実現される。通信部17及び制御部18は、図2に示したCPU11がRAM12を用いて記憶装置13に記憶されるプログラムを実行することによって実現される。
記憶部16は、車両に搭載された1つ以上の電子制御ユニットのソフトウェア更新処理に関する情報を記憶する。ソフトウェア更新処理に関する情報として、記憶部16は、車両を識別する車両識別情報(車両のID)ごとに、電子制御ユニットで利用可能なソフトウェアを示す情報を関連付けた更新管理情報と、電子制御ユニットのソフトウェアの更新データと、を記憶する。電子制御ユニットで利用可能なソフトウェアを示す情報として、例えば、複数の電子制御ユニットの各ソフトウェアの最新のバージョン情報の組み合わせが定義される。
また、記憶部16は、車両の認証に使用される鍵を管理する所定の機構が発行する車両側鍵とペアとなるセンタ側鍵に関する情報を、鍵情報データベースとして予め記憶する。図4に、記憶部16に記憶される鍵情報データベースの一例を示す。所定の機構が発行する車両側鍵の本体は、例えば、通信モジュール50などの車両の認証処理に用いられる機器に対してその機器の製造時に予め秘匿的に付与される。これに対して、センタ10には、車両側鍵の本体を特定する識別情報であるKEY IDと、車両側鍵とペアとなるセンタ側鍵の本体の情報が提供される。図4の例では、センタ側鍵(本体):KEY-Aは、KEY ID:aaaaで特定される車両側鍵とペアであることが示されている。
さらに、記憶部16は、車両を識別する車両識別情報(車両のID)と車両側鍵で署名された認証用信号を検証するために使用するセンタ側鍵とを紐付けた情報を、個車鍵情報として記憶する。図5に、記憶部16に記憶される個車鍵情報の一例を示す。図5の例では、車両のID:Aの車両からの認証用信号を検証するためにセンタ側鍵:KEY-Aを使用することが示されている。この個車鍵情報は、上述した更新管理情報などの他の情報に含めて管理されてもよい。個車鍵情報は、後述する第2ネットワーク90を経由した通信によって適宜書き換えられる。
通信部17は、OTAマスタ30からソフトウェアの更新確認要求を受信することが可能である。更新確認要求は、例えば、車両において電源又はイグニッション(IGN)がオンされたときに、OTAマスタ30からセンタ10へと送信される情報であって、電子制御ユニットの更新データがあるか否かの確認をセンタ10に要求するための情報である。また、通信部17は、OTAマスタ30からの配信パッケージの送信要求(ダウンロード要求)を受信することが可能である。通信部17は、配信パッケージのダウンロード要求を受信すると、後述の制御部18で生成される電子制御ユニットのソフトウェアの更新データを含む配信パッケージをOTAマスタ30に送信する。
制御部18は、通信部17がOTAマスタ30から更新確認要求を受信すると、記憶部16に記憶されている更新管理情報に基づいて、更新確認要求に含まれる車両のIDで特定される車両に搭載された電子制御ユニットについてソフトウェアの更新データがあるか否かを判定する。制御部18は、電子制御ユニットのソフトウェアの更新データがあると判定した場合、OTAマスタ30から配信パッケージのダウンロード要求を受信すると、記憶部16に記憶されている該当の更新データを含む配信パッケージを生成する。
(2)車載ネットワーク
車載ネットワーク20は、OTAマスタ30と、複数の電子制御ユニット40a~40dと、通信モジュール50と、を備える。OTAマスタ30と通信モジュール50とは、バス60aを介して接続されている。OTAマスタ30と電子制御ユニット40a及び40bとは、バス60bを介して接続されている。OTAマスタ30と電子制御ユニット40c及び40dとは、バス60cを介して接続されている。
OTAマスタ30は、通信モジュール50を介して第1ネットワーク70経由でセンタ10と無線による通信が可能である。このOTAマスタ30は、OTA状態を管理し、ソフトウェア更新シーケンスを制御して更新対象となる電子制御ユニット(以下「ターゲット電子制御ユニット」という)のソフトウェア更新を実施する機能を有する装置であり、センタ10から取得した更新データに基づいて、電子制御ユニット40a~40dのうちターゲット電子制御ユニットのソフトウェア更新を制御する。OTAマスタ30は、セントラルゲートウェイ(CGW)と称される場合もある。
図6は、図1におけるOTAマスタ30の概略構成を示すブロック図である。図6で示すように、OTAマスタ30は、CPU31と、RAM32と、ROM(Read-Only Memory)33と、記憶装置34と、通信装置36と、を備える。CPU31、RAM32、ROM33、及び記憶装置34は、マイクロコンピューター35を構成する。OTAマスタ30において、CPU31は、ROM33から読み出したプログラムを、RAM32を作業領域として用いて実行することにより、ソフトウェア更新に関する所定の処理を実行する。通信装置36は、図1に示したバス60a~60cを介して、通信モジュール50及び電子制御ユニット40a~40dと通信を行うための装置である。
複数の電子制御ユニット40a~40dは、車両の各部の動作を制御するための装置(ECU:Electronic Control Unit)である。図1においては、4つの電子制御ユニット40a~40dを例示したが、電子制御ユニットの数は特に限定されない。例えば、電子制御ユニット40a~40dのソフトウェアの更新処理時に更新データがあることの表示、車両のユーザや管理者にソフトウェア更新に対する承諾を求めるための承諾要求画面の表示、及びソフトウェア更新の結果の表示など、各種の表示を行うための表示装置(HMI)が、OTAマスタ30に接続されてもよい。表示装置としては、カーナビゲーションシステムなどを用いることが可能である。また、電子制御ユニットをOTAマスタ30に接続するバスの数も特に限定されない。例えば、上述の表示装置が、バス60a~60c以外のバスでOTAマスタ30に接続されてもよい。
通信モジュール50は、センタ10と車両との通信を制御する機能を持ったユニットであり、車載ネットワーク20をセンタ10に接続するための通信機器である。通信モジュール50は、第1ネットワーク70経由でセンタ10と無線で接続され、OTAマスタ30による車両の認証や更新データのダウンロードなどが行われる。また、通信モジュール50は、車両が保有する鍵の情報を提供するために、処理装置80と無線で接続できるように構成されてもよい。鍵の情報には、通信モジュール50に対して固有に付与された鍵51を特定する識別情報(KEY ID)及び通信モジュール50が搭載された車両を特定する識別情報(車両のID)が含まれる。なお、通信モジュール50は、OTAマスタ30に含まれて構成されてもよい。
処理装置80は、例えば、車両のディーラーなどに設置されるパソコンなどの情報入力端末である。この処理装置80は、第1ネットワーク70と異なる第2ネットワーク90を介してセンタ10と接続され、上述した鍵の情報などの通信が行われる。なお、第2ネットワーク90を経由した処理装置80とセンタ10との接続は、完成車メーカーであるOEM(Original Equipment Manufacturer)100を介して行われてもよい。このように構成すれば、鍵の情報をセンタ10とOEM100とで共有して管理することができる。
[ソフトウェア更新処理の概要]
OTAマスタ30は、例えば、車両の電源又はイグニッション(IGN)がオンされたことを契機として、ソフトウェアの更新確認要求をセンタ10に送信する。更新確認要求は、車両を識別するための車両のIDと、車載ネットワーク20に接続される電子制御ユニット40a~40dのソフトウェアのバージョンとを含む。車両のID及び電子制御ユニット40a~40dのソフトウェアのバージョンは、センタ10が車両IDごとに保持する最新のソフトウェアのバージョンとの比較により、電子制御ユニットのソフトウェアの更新データがあるか否かを判定するために用いられる。また、OTAマスタ30は、更新確認要求に対する応答としてセンタ10から更新データの有無を示す通知を受信する。電子制御ユニットのソフトウェアの更新データがある場合、OTAマスタ30は、配信パッケージのダウンロード要求をセンタ10に送信し、センタ10から送信される配信パッケージを受信する。配信パッケージは、更新データの他に、更新データの真正性を検証するための検証用データや、更新データの数、インストール順、ソフトウェア更新時に用いる各種の制御情報などを含んでいてもよい。
OTAマスタ30は、受信した更新確認要求に対するセンタ10からの応答に基づいて、電子制御ユニットのソフトウェアの更新データがあるか否かを判定する。また、OTAマスタ30は、センタ10から受信して記憶装置13に格納した配信パッケージの真正性を検証する。また、OTAマスタ30は、配信パッケージでダウンロードした1つ以上の更新データをターゲット電子制御ユニットに転送し、ターゲット電子制御ユニットに更新データをインストールさせる。インストールの完了後、OTAマスタ30は、ターゲット電子制御ユニットに対して、インストールした更新版のソフトウェアを有効とするように指示をする。
OTAマスタ30は、承諾要求処理において、ソフトウェア更新に対して承諾が必要である旨の通知やソフトウェア更新を承諾した旨の入力を促す通知を、出力装置に出力させる。出力装置としては、表示による通知を行う表示装置や音声による通知を行う音声出力装置などを利用できる。例えば、承諾要求処理において、表示装置を出力装置として用いる場合、OTAマスタ30は、ソフトウェア更新の承諾を求めるための承諾要求画面を表示装置に表示させ、ユーザ又は管理者が承諾した場合に承諾ボタンを押下するなどの特定の入力操作を促す通知を表示装置に表示させることができる。また、OTAマスタ30は、承諾要求処理において、電子制御ユニットのソフトウェアの更新データがあることを通知する文言やアイコンなどを表示装置に表示させたり、ソフトウェア更新処理の実行中における制限事項などを表示装置に表示させたり、することができる。OTAマスタ30は、ユーザ又は管理者から承諾した旨の入力を受け付けると、上述したインストール及びアクティベートの制御処理を実行し、ターゲット電子制御ユニットのソフトウェアを更新する。
ソフトウェアの更新処理は、OTAマスタ30がセンタ10から更新データをダウンロードするフェーズ(ダウンロードフェーズ)、ダウンロードした更新データをOTAマスタ30がターゲット電子制御ユニットに転送し、ターゲット電子制御ユニットの格納領域に更新データをインストールするフェーズ(インストールフェーズ)、及びターゲット電子制御ユニットがインストールした更新版のソフトウェアを有効化するフェーズ(アクティベートフェーズ)からなる。
ダウンロードは、OTAマスタ30が、センタ10から配信パッケージによって送信された電子制御ユニットのソフトウェアを更新するための更新データを、受信して記憶装置13に記憶する処理である。ダウンロードフェーズでは、ダウンロードの実行だけでなく、ダウンロードの実行可否判断、更新データの検証など、ダウンロードに関する一連の処理の制御を含む。
センタ10からOTAマスタ30に送信される更新データは、電子制御ユニットの更新ソフトウェア、更新ソフトウェアを圧縮した圧縮データ、更新ソフトウェア又は圧縮データを分割した分割データのいずれを含んでいてもよい。また、更新データは、ターゲット電子制御ユニットの番号(ECU_ID)と、更新前の電子制御ユニットのソフトウェアを識別するための番号(ECU_Software_ID)を含んでいてもよい。更新データは、上述した配信パッケージとしてダウンロードされるが、配信パッケージには、単一又は複数の電子制御ユニットの更新データが含まれる。
インストールは、OTAマスタ30が、センタ10からダウンロードした更新データに基づいて、ターゲット電子制御ユニットに更新ソフトウェア(更新版のプログラム)を書き込む処理である。インストールフェーズでは、インストールの実行だけでなく、インストールの実行可否判断、更新データの転送及び更新ソフトウェアの検証など、インストールに関する一連の処理の制御を含む。
更新データが更新ソフトウェアそのものを含む場合は、インストールフェーズにおいて、OTAマスタ30が更新データ(更新ソフトウェア)をターゲット電子制御ユニットに転送する。また、更新データが更新ソフトウェアの圧縮データ、又は差分データ、あるいは分割データを含む場合は、OTAマスタ30がターゲット電子制御ユニットに更新データを転送し、ターゲット電子制御ユニットが更新データから更新ソフトウェアを生成してもよいし、OTAマスタ30が更新データから更新ソフトウェアを生成してから、更新ソフトウェアをターゲット電子制御ユニットに転送してもよい。ここで、更新ソフトウェアの生成は、圧縮データの解凍、差分データ又は分割データの組み付けにより行うことができる。
更新ソフトウェアのインストールは、OTAマスタ30からのインストール要求に基づいて、ターゲット電子制御ユニットが行うことができる。あるいは、更新データを受信したターゲット電子制御ユニットが、OTAマスタ30からの明示の指示を受けることなく、自律的にインストールを行ってもよい。
アクティベートは、ターゲット電子制御ユニットが、インストールした更新ソフトウェアを有効化(アクティベート)する処理である。アクティベートフェーズでは、アクティベートの実行だけでなく、アクティベートの実行可否判断、実行結果の検証など、アクティベートに関する一連の制御を含む。
更新ソフトウェアのアクティベートは、OTAマスタ30からのアクティベート要求に基づいて、ターゲット電子制御ユニットが行うことができる。あるいは、更新データを受信したターゲット電子制御ユニットが、OTAマスタ30からの明示の指示を受けることなく、インストールの完了後に自律的にアクティベートを行ってもよい。
なお、ソフトウェアの更新処理は、複数の電子制御ユニットのそれぞれに対して、連続的あるいは並列的に行うことができる。
また、本明細書における「ソフトウェアの更新処理」は、ダウンロード、インストール、及びアクティベートの全てを連続して行う処理だけでなく、ダウンロード、インストール、及びアクティベートのうちの一部のみを行う処理も含む。
[処理]
次に、図7をさらに参照して、本実施形態のネットワークシステムにおいて実行される処理を説明する。図7は、車両のディーラーなどに設置される処理装置80とセンタ10とによって実行される情報書き換え処理の手順を説明するフローチャートである。
この図7に示す情報書き換え処理は、例えば通信モジュール50が交換された場合など、車両に搭載された機器のうち車両の認証に必要な鍵を有する車載機器に変更が生じた場合に実施される。
(ステップS701)
処理装置80は、通信モジュール50の交換後に、通信モジュール50に付与された鍵(車両側鍵)のID(KEY ID)を取得する。この取得は、例えば、通信モジュール50の交換作業を行ったディーラーの作業者などが、交換によって新たに車両に取り付けられた通信モジュール50に付与された鍵のIDを処理装置80に入力することで行われてもよいし、交換後の最初の電源投入時に車両から処理装置80へ向けて鍵のIDが送信されることで行われてもよい。車両側鍵のIDが取得されると、ステップS702に処理が進む。
(ステップS702)
処理装置80は、通信モジュール50が交換された車両のIDを取得する。車両のIDには、個々の車両を識別するためのシリアル番号を含んだ一意なコードである車両識別番号(VIN:Vehicle Identification Number)を用いることができる。この取得は、上記ステップS701で鍵のIDを入力したディーラーの作業者などが車両のIDを入力することで行われてもよいし、交換後の最初の電源投入時に車両から処理装置80へ向けて車両のIDが送信されることで行われてもよい。車両のIDが取得されると、ステップS703に処理が進む。
(ステップS703)
処理装置80は、取得した車両側鍵のIDと車両のIDとを含む鍵の情報を、第2ネットワーク90を経由してセンタ10に送信する。なお、この鍵の情報は、情報をセンタ10と共有して管理するなどのために、完成車メーカーであるOEM100に提供されてもよい。車両側鍵のIDと車両のIDとがセンタ10に送信されると、ステップS704に処理が進む。
(ステップS704)
センタ10は、車両側鍵のIDと車両のIDとを、第2ネットワーク90経由で処理装置80から受信する。車両側鍵のIDと車両のIDとが受信されると、ステップS705に処理が進む。
(ステップS705)
センタ10は、処理装置80から受信した車両側鍵のIDに基づいて、車両側鍵とペアになるセンタ側鍵を特定する。この特定は、車両側鍵のIDをキーとして鍵情報データベースを検索し、車両側鍵のIDと紐付けられたセンタ側鍵を抽出することで可能である。車両側鍵とペアになるセンタ側鍵が特定されると、ステップS706に処理が進む。
(ステップS706)
センタ10は、特定したセンタ側鍵と処理装置80から受信した車両のIDとに基づいて、記憶部16で管理している車両の情報を書き換える。具体的には、図5に示した個車鍵情報における車両に紐付けられた検証用のセンタ側鍵が書き換えられて更新される。これにより、情報書き換え処理が終了する。
<作用・効果>
以上のように、本開示の一実施形態に係るセンタは、車両において認証処理に用いられる鍵を保有する車載機器(通信モジュールなど)が交換された際に、鍵に関する情報として交換によって新たに車両に取り付けられた車載機器に付与された鍵のIDとその車載機器の交換が行われた車両のIDとを、車両認証を実行する第1ネットワークとは異なる第2ネットワークを経由して処理装置から取得する。
これにより、OTA技術を用いたソフトウェア更新処理において第1ネットワークを経由した車両認証が行われる前に、処理装置から事前に取得した鍵に関する情報に基づいて、車両側鍵で署名された認証用信号の検証に使用するセンタ側鍵と車両のIDとを紐付けた個車鍵情報を最新の内容に更新しておくことができる。従って、センタが、変更された車載機器の新しい鍵によって車両認証をすることができず、OTAによるソフトウェア更新ができない、という事態が生じることを回避することができる。
ここで、第2ネットワークとして鍵の情報を管理するOEMバックオフィスシステムを使用すれば、鍵のセキュリティ性を担保することができる。
以上、本開示技術の一実施形態を説明したが、本開示は、センタだけでなく、プロセッサとメモリを備えたセンタが実行する更新方法、プログラム、あるいはプログラムを記憶したコンピューター読み取り可能な非一時的な記憶媒体など、として捉えることが可能である。
本開示技術は、電子制御ユニットのソフトウェアを更新するためのネットワークシステムに利用できる。
10 センタ
11、31 CPU
12、32 RAM
13、34 記憶装置
14、36 通信装置
16 記憶部
17 通信部
18 制御部
20 車載ネットワーク
30 OTAマスタ
33 ROM
35 マイクロコンピューター
40a~40d 電子制御ユニット(ECU)
50 通信モジュール
51 鍵
60a~60c バス
70 第1ネットワーク
80 処理装置
90 第2ネットワーク
100 OEM

Claims (6)

  1. 車両に搭載された電子制御ユニットのソフトウェア更新を制御するOTAマスタと第1ネットワークを介して通信可能なセンタであって、
    前記車両の認証に必要な鍵の情報を含む車両管理情報を記憶する記憶部と、
    前記車両に搭載された所定の機器に付与された固有の鍵を用いて署名された認証用信号を、前記第1ネットワークを介して前記車両から受信する通信部と、
    前記車両管理情報及び前記認証用信号に基づいて前記車両の認証を実施する制御部と、を備え、
    前記通信部が前記鍵の情報を前記車両から受信した場合、前記制御部は、前記鍵の情報に基づいて前記記憶部が記憶する前記車両管理情報を書き換える、
    センタ。
  2. 前記通信部が前記第1ネットワークと異なる第2ネットワークを介して前記鍵の情報を前記車両から受信した場合、前記制御部は、前記鍵の情報に基づいて前記記憶部が記憶する前記車両管理情報を書き換える、
    請求項1に記載のセンタ。
  3. 前記所定の機器は、前記センタと前記OTAマスタとの通信を媒介する通信モジュールである、
    請求項1又は2に記載のセンタ。
  4. 前記鍵の情報は、前記所定の機器に付与された前記鍵を特定する識別情報及び前記所定の機器が搭載された前記車両を特定する識別情報を含む、
    請求項1乃至3のいずれか1項に記載のセンタ。
  5. プロセッサと、メモリとを備え、車両に搭載された電子制御ユニットのソフトウェア更新を制御するOTAマスタと第1ネットワークを介して通信可能なセンタのコンピューターが実行する情報書き換え方法であって、
    前記車両の認証に必要な鍵の情報を含む車両管理情報を記憶するステップと、
    前記車両に搭載された所定の機器に付与された固有の鍵を用いて署名された認証用信号を、前記第1ネットワークを介して前記車両から受信するステップと、
    前記車両管理情報及び前記認証用信号に基づいて前記車両の認証を実施するステップと、
    前記鍵の情報を前記車両から受信した場合、前記鍵の情報に基づいて前記車両管理情報を書き換えるステップと、を含む、
    情報書き換え方法。
  6. プロセッサと、メモリとを備え、車両に搭載された電子制御ユニットのソフトウェア更新を制御するOTAマスタと第1ネットワークを介して通信可能なセンタのコンピューターが実行する情報書き換えプログラムであって、
    前記車両の認証に必要な鍵の情報を含む車両管理情報を記憶するステップと、
    前記車両に搭載された所定の機器に付与された固有の鍵を用いて署名された認証用信号を、前記第1ネットワークを介して前記車両から受信するステップと、
    前記車両管理情報及び前記認証用信号に基づいて前記車両の認証を実施するステップと、
    前記鍵の情報を前記車両から受信した場合、前記鍵の情報に基づいて前記車両管理情報を書き換えるステップと、を含む、
    情報書き換えプログラム。
JP2021015061A 2021-02-02 2021-02-02 センタ、情報書き換え方法、及び情報書き換えプログラム Pending JP2022118493A (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2021015061A JP2022118493A (ja) 2021-02-02 2021-02-02 センタ、情報書き換え方法、及び情報書き換えプログラム
DE102021129124.0A DE102021129124A1 (de) 2021-02-02 2021-11-09 Center, informationsüberschreibungsverfahren und nicht-transitorisches speichermedium
US17/522,336 US11941126B2 (en) 2021-02-02 2021-11-09 Center, information rewriting method, and non-transitory storage medium
CN202111325886.3A CN114840228A (zh) 2021-02-02 2021-11-10 中心、信息改写方法以及非暂时性存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021015061A JP2022118493A (ja) 2021-02-02 2021-02-02 センタ、情報書き換え方法、及び情報書き換えプログラム

Publications (1)

Publication Number Publication Date
JP2022118493A true JP2022118493A (ja) 2022-08-15

Family

ID=82403143

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021015061A Pending JP2022118493A (ja) 2021-02-02 2021-02-02 センタ、情報書き換え方法、及び情報書き換えプログラム

Country Status (4)

Country Link
US (1) US11941126B2 (ja)
JP (1) JP2022118493A (ja)
CN (1) CN114840228A (ja)
DE (1) DE102021129124A1 (ja)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004326689A (ja) 2003-04-28 2004-11-18 Nissan Motor Co Ltd 車載機器のソフトウェア書き換え方法、テレマティクスシステムおよびテレマティクス装置

Also Published As

Publication number Publication date
US11941126B2 (en) 2024-03-26
DE102021129124A1 (de) 2022-08-04
CN114840228A (zh) 2022-08-02
US20220242372A1 (en) 2022-08-04

Similar Documents

Publication Publication Date Title
CN107729757B (zh) 软件更新之前的软件认证
CN113873498A (zh) 服务器、管理方法、非临时存储介质及软件更新装置、中心、空中下载主机
US20240069906A1 (en) Server, software update system, distribution method, and non-transitory storage medium
US11755308B2 (en) Software update device, update control method, and non-transitory storage medium
US11960876B2 (en) Center, update management method, and non-transitory storage medium
US11995437B2 (en) Center, distribution control method, and non-transitory storage medium
US11995429B2 (en) Software update device, update control method, non-transitory storage medium, and server
JP2022118493A (ja) センタ、情報書き換え方法、及び情報書き換えプログラム
JP7484791B2 (ja) Otaマスタ、更新制御方法、及び更新制御プログラム
EP3944073A1 (en) Server, update management method, non-transitory storage medium, software update device, and system including server and software update device
US11947950B2 (en) Center, OTA master, method, non-transitory storage medium, and vehicle
US11972248B2 (en) Controlling software update of electronic control units mounted on a vehicle
JP2023023616A (ja) ソフトウェアの更新を制御するセンタ
JP2023019099A (ja) 車両用のシステム、センタ、方法、及びプログラム
JP2023002161A (ja) センタ、otaマスタ、方法、プログラム、及び車両
JP2023012131A (ja) ソフトウェアの更新を行うシステム
CN117156427A (zh) 中心、控制方法以及非暂时性存储介质
KR20220147020A (ko) 센터, ota 마스터, 시스템, 배신 방법, 비일시적인 기억 매체 및 차량
JP2023019048A (ja) センタ、方法、及びプログラム
CN115208868A (zh) 中心、分发控制方法以及非暂时性存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20231026