JP2023005717A - 車載通信システム,センタ装置,車両側システム及び車載通信の更新データ検証方法 - Google Patents
車載通信システム,センタ装置,車両側システム及び車載通信の更新データ検証方法 Download PDFInfo
- Publication number
- JP2023005717A JP2023005717A JP2021107834A JP2021107834A JP2023005717A JP 2023005717 A JP2023005717 A JP 2023005717A JP 2021107834 A JP2021107834 A JP 2021107834A JP 2021107834 A JP2021107834 A JP 2021107834A JP 2023005717 A JP2023005717 A JP 2023005717A
- Authority
- JP
- Japan
- Prior art keywords
- update data
- hash value
- electronic control
- master device
- vehicle
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 34
- 238000000034 method Methods 0.000 title claims description 49
- 238000013524 data verification Methods 0.000 title claims description 5
- 238000012546 transfer Methods 0.000 claims abstract description 20
- 238000012545 processing Methods 0.000 description 41
- 230000006870 function Effects 0.000 description 17
- 238000007726 management method Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 11
- 238000009434 installation Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 238000012795 verification Methods 0.000 description 8
- 238000004364 calculation method Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 230000003044 adaptive effect Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 238000011900 installation process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000008672 reprogramming Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
- G06F8/654—Updates using techniques specially adapted for alterable solid state memories, e.g. for EEPROM or flash memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Information Transfer Between Computers (AREA)
- Stored Programmes (AREA)
Abstract
【課題】センタ装置からストリーミング方式で送信される更新データについても、完全性を検証できる車載通信システムを提供する。【解決手段】車載通信システム1において、OTAセンタ2は、ストリーミング方式で更新データを車両側のOTAマスタ21に送信する際に、更新データについて計算したハッシュ値もOTAマスタ21に送信する。OTAマスタ21は、更新データを受信するとターゲットECU22に転送する。ターゲットECU22は、更新データについてハッシュ値を計算すると、そのハッシュ値をOTAマスタ21に送信し、OTAマスタ21は、OTAセンタ2より送信されたハッシュ値とターゲットECU22より送信されたハッシュ値とを比較して更新データの完全性を検証する。【選択図】図1
Description
本発明は、車両に搭載される電子制御装置に書き込ませる更新データを含む配信パッケージをストリーミング方式で送信するセンタ装置と、配信パッケージを受信して電子制御装置に更新データを転送するマスタ装置とを備える車載通信システム,そのシステムに使用されるセンタ装置及び車両側システム並びに車載通信の更新データ検証方法に関する。
近年、運転支援機能や自動運転機能等の車両制御の多様化に伴い、車両の電子制御装置(以下、ECU(Electronic Control Unit)と称する)に搭載される車両制御や診断等のアプリプログラムの規模が増大している。また、機能改善等によるバージョンアップに伴い、ECUのアプリプログラムを書換える,所謂リプログを行う機会も増えつつある。一方、通信ネットワークの進展等に伴い、コネクッテッドカーの技術も普及している。このような事情から、例えば特許文献1には、サーバよりECUの更新プログラムを含むデータパッケージをOTA(Over The Air)により車載装置に配信し、車両側で更新プログラムを書換える技術が開示されている。
上記の更新プログラムを書換える方式には、センタ装置から更新プログラムの全てを車両側のメモリにダウンロードしてから更新を行うストレージ方式と、センタ装置から更新プログラムを車両側にダウンロードしながら更新を行うストリーミング方式とがある。車両側では、一般にDCM(Data Communication Module)やCGW(Central Gate Way)等と称されるユニットを有するOTAマスタが、センタ装置から更新プログラムを含む配信パッケージを受信して、更新対象となるターゲットECUに更新プログラムを転送して書き込む。
ストレージ方式では、配信パッケージにデジタル署名が付与されており、OTAマスタは、そのデジタル署名を用いて配信パッケージの完全性を確認してから、ターゲットECUに書き込みを行っている。
しかしながら、ストリーミング方式では、OTAマスタが上記のように完全性を確認することなく、受信した更新プログラムを逐次ターゲットECUに書き込んでいる。そのため、センタ装置からターゲットECUまでのデータ転送経路において、配信パッケージに含まれるプログラムのデータが差し替えられると、その不正なデータがそのままターゲットECUに書き込まれてしまうおそれがあった。
本発明は上記事情に鑑みてなされたものであり、その目的は、センタ装置からストリーミング方式で送信される更新データについても、完全性を検証できる車載通信システム,センタ装置,車両側システム及び車載通信の更新データ検証方法を提供することにある。
請求項1記載の車載通信システムによれば、センタ装置は、更新データを配信パッケージとしてストリーミング方式で車両側のマスタ装置に送信する際に、更新データについて計算したハッシュ値もマスタ装置に送信する。マスタ装置は、配信パッケージを受信すると更新データを電子制御装置に転送する。電子制御装置は、前記更新データについてハッシュ値を計算すると、そのハッシュ値をマスタ装置に送信し、マスタ装置は、センタ装置より送信されたハッシュ値と、電子制御装置より送信されたハッシュ値とを比較して更新データの完全性を検証する。
このように構成すれば、センタ装置からストリーミング方式で車両側に送信される配信パッケージ含まれる更新データが、途中で改竄される等して不完全なデータに置き換わったとしても、マスタ装置においてハッシュ値を用いた検証が行われるので、不完全な更新データが電子制御装置にインストールされてしまうことを防止できる。したがって、通信システムのセキュリティを向上させることが可能になる。
請求項2記載の車載通信システムによれば、センタ装置は、複数の電子制御装置にそれぞれ更新データを書き込ませる際には、各更新データについて計算した複数のハッシュ値もマスタ装置に送信する。マスタ装置は、各更新データを各電子制御装置にそれぞれ転送し、各電子制御装置は、それぞれの更新データについてハッシュ値を計算すると、そのハッシュ値をマスタ装置に送信する。マスタ装置は、複数の電子制御装置より送信されたハッシュ値を、センタ装置より送信された対応するハッシュ値と比較する。したがって、複数の電子制御装置にそれぞれ更新データを送信するケースについても同様に、不完全な更新データが各電子制御装置にインストールされてしまうことを防止できる。
請求項7記載の車載通信システムによれば、センタ装置は請求項1と同様に、ストリーミング方式で配信パッケージを車両側のマスタ装置に送信する際に、更新データについて計算したハッシュ値もマスタ装置に送信する。マスタ装置は、更新データについて所定のデータサイズ毎にハッシュ値を計算することで、更新データ全体についてのハッシュ値を得ると、そのハッシュ値とセンタ装置より送信されたハッシュ値とを比較して、更新データの完全性を検証する。
すなわち、請求項1の電子制御装置に替ってマスタ装置が、更新データについてのハッシュ値を計算し完全性を検証するので、マスタ装置で検証処理を完結させて請求項1と同様の効果が得られる。
(第1実施形態)
図1に示すように、本実施形態の車載通信システム1は、センタ装置に相当するOTAセンタ2と、車両側システム3とを備えている。OTAセンタ2は、PKG生成サーバ4,配信サーバ5及びDB部100を有し、DB部100は、ソフトウェアパッケージDB101,デジタル署名DB102,構成情報DB103,個車情報DB104,ECUリプロデータDB105及びECUメタデータDB106を有している。尚、「データベース」をDBと表記し、「パッケージ」をPKGと表記することがある。
図1に示すように、本実施形態の車載通信システム1は、センタ装置に相当するOTAセンタ2と、車両側システム3とを備えている。OTAセンタ2は、PKG生成サーバ4,配信サーバ5及びDB部100を有し、DB部100は、ソフトウェアパッケージDB101,デジタル署名DB102,構成情報DB103,個車情報DB104,ECUリプロデータDB105及びECUメタデータDB106を有している。尚、「データベース」をDBと表記し、「パッケージ」をPKGと表記することがある。
PKG生成サーバ4は、ソフトパッケージ生成部9,ハッシュ値収集部10,ハッシュ値計算部11,デジタル署名生成部12を備えている。ソフトパッケージ生成部9は、データの更新対象となるターゲットECUが搭載されている車両に配信するソフトウェアパッケージを生成する機能部であり、その詳細については、例えば特開2020-27624号公報の図15,図16,図19等に開示されている。以下、特開2020-27624号公報を「参照公報」と称する。ソフトウェアパッケージには、プログラムの更新データや書換え諸元データ等が含まれる。ハッシュ値を含むソフトウェアパッケージは、ソフトウェアパッケージDB101に記憶される。
ハッシュ値収集部10は、上記のソフトウェアパッケージからハッシュ値を計算する対象となる更新データを収集する機能部であり、ハッシュ値計算部11は、収集されたデータにハッシュ関数を適用してハッシュ値を計算する機能部である。デジタル署名生成部12は、計算されたハッシュ値と対応するターゲットECUのIDであるターゲットIDとを紐付けたハッシュ値連結情報に、生成したデジタル署名を付与する機能部である。デジタル署名は、デジタル署名DB102に記憶される。
配信サーバ5は、配信管理部13,車両情報管理部14,ソフトウェア管理部15,キャンペーン管理部16,構成情報管理部17及び個車状態管理部18を備えている。配信管理部13は、各車両に対するソフトウェアパッケージやキャンペーン情報の配信を管理する機能部である。車両情報管理部14は、個々の車両よりアップロードされる個車情報を個車情報DB104に登録して管理する。ソフトウェア管理部15には、ターゲットECUの更新プログラムがOEM(Original Equipment Manufacturer)等により登録される。キャンペーン管理部16には、主に車両側システム3で表示するプログラム更新に関する情報であるキャンペーン情報がOEM等により登録される。
構成情報管理部17は、構成情報DB103に登録される車両型式毎の構成情報を管理する。構成情報は、車両に搭載されるECUのハードウェア及びソフトウェアに関する識別情報であり、複数のECUから成るシステム構成の識別情報や、複数のシステムから成る車両構成の識別情報も含まれる。個車状態管理部18は、各車両におけるターゲットECUのプログラム更新の状態、バージョン等の情報を管理する。尚、PKG生成サーバ4及び配信サーバ5は、コンピュータのハードウェア及びソフトウェアにより実現されている機能である。
DB部100の構成情報DB103,個車情報DB104,ECUリプロデータDB105及びECUメタデータDB106は、参照公報における「構成情報DB208,個車情報DB213,ECUリプロデータDB204及びECUメタデータDB205」に対応している。
車両側システム3は、マスタ装置に相当するOTAマスタ21と、プログラムが更新される対象となる電子制御装置である更新対象ECU22(1),22(2),22(3),…を備えている。以下、更新対象ECU22をターゲットECU22と称する。
OTAマスタ21は、参照公報では図1に示すDCM12及びCGW13を合わせた機能部であり、ダウンロード処理部23,アンパック処理部24,ハッシュ値計算部25及びハッシュ値比較部26を備えている。ダウンロード処理部23は、OTAセンタ2と無線通信を行い、配信パッケージのデータやデジタル署名のデータをダウンロードする。アンパック処理部24は、ダウンロードされた配信パッケージを、各処理を行うデータセクション毎に分離するアンパック処理を行う。ハッシュ値計算部25は、ハッシュ値の計算対象となるデータ値についてハッシュ値を計算するが、この機能部は第2実施形態において使用される。ハッシュ値比較部26は、後述するようにターゲットECU22側で計算されたハッシュ値を、ダウンロードされた配信パッケージに含まれているハッシュ値と比較する。
ターゲットECU22は、マイコン27,メモリ28及びハッシュ値計算部29を備えている。メモリ28は、例えばフラッシュメモリであり、OTAマスタ21がダウンロードした更新データが転送されてインストールされる。ハッシュ値計算部29は、OTAマスタ21より転送された更新データについてハッシュ値を計算する。
≪リプロポリシーメタデータ≫
図2に示すリプロポリシーメタデータは、データのダウンロードに先立って、OTAセンタ2よりOTAマスタ21に送信される。
<リプロポリシーメタデータバージョン>
リプロポリシーメタデータのバージョンであり、例えば「1.0.0」や「2.0.0」などのバージョン情報が格納される。
図2に示すリプロポリシーメタデータは、データのダウンロードに先立って、OTAセンタ2よりOTAマスタ21に送信される。
<リプロポリシーメタデータバージョン>
リプロポリシーメタデータのバージョンであり、例えば「1.0.0」や「2.0.0」などのバージョン情報が格納される。
<配信レイヤ>
OTAセンタ2との通信に使用されるプロトコル,例えばUptane(登録商標)やOMA-DM(Open Mobile Alliance-Device Management)等を示す情報や、通信手段がOTAマスタ21であることを示す「セルラー」や、その他後述するスマートホンやUSBメモリであること等の情報が格納される。
OTAセンタ2との通信に使用されるプロトコル,例えばUptane(登録商標)やOMA-DM(Open Mobile Alliance-Device Management)等を示す情報や、通信手段がOTAマスタ21であることを示す「セルラー」や、その他後述するスマートホンやUSBメモリであること等の情報が格納される。
<マスタレイヤ>
OTAマスタ21について、そのプラットフォーム(PF)が、例えばAP,CP,AGL(Automotive Grade Linux),Android(登録商標)であること等を示す情報が格納される。ECUのプラットフォームに応じた更新プログラムを配信するためのパッケージ構造について、一般社団法人JASPARの仕様では、標準化団体AUTOSARの静的OSで動作するクラシックプラットフォーム(CP)に適用可能なデータ要件が規定されている。また、AUTOSARでは、動的OSで動作する新たなタイプのアダプティブプラットフォーム(AP)に適用可能なデータ要件が規定されている。AGLは、車載Linux(登録商標)であり、Androidは、Android Automotive OSである。
OTAマスタ21について、そのプラットフォーム(PF)が、例えばAP,CP,AGL(Automotive Grade Linux),Android(登録商標)であること等を示す情報が格納される。ECUのプラットフォームに応じた更新プログラムを配信するためのパッケージ構造について、一般社団法人JASPARの仕様では、標準化団体AUTOSARの静的OSで動作するクラシックプラットフォーム(CP)に適用可能なデータ要件が規定されている。また、AUTOSARでは、動的OSで動作する新たなタイプのアダプティブプラットフォーム(AP)に適用可能なデータ要件が規定されている。AGLは、車載Linux(登録商標)であり、Androidは、Android Automotive OSである。
加えて、制御方式については、特定のフォーマットに従い設定されたパラメータに応じて処理する「パラメータ」や、特定のフォーマットがなくより自由な記載形式で処理する「スクリプト」等の情報が格納される。
<ターゲットレイヤ>
ターゲットECU22に対応した情報である。PF,転送方式,制御方式については、前述したものと同様である。ターゲットIDは、ターゲットECU22に対応したIDであるが、ここに格納するのはオプションである。
ターゲットECU22に対応した情報である。PF,転送方式,制御方式については、前述したものと同様である。ターゲットIDは、ターゲットECU22に対応したIDであるが、ここに格納するのはオプションである。
≪ダウンロードメタデータ≫
図3に示すダウンロードメタデータは、リプロポリシーメタデータに続いてOTAセンタ2よりOTAマスタ21に送信される。
図3に示すダウンロードメタデータは、リプロポリシーメタデータに続いてOTAセンタ2よりOTAマスタ21に送信される。
<配信レイヤ>
例えば通信プロトコルがUptaneであれば、Uptaneメタデータを取得するための情報であり、それに対応したURI,データ名,データサイズ,ハッシュ値,ターゲットID,転送方式等が格納される。
例えば通信プロトコルがUptaneであれば、Uptaneメタデータを取得するための情報であり、それに対応したURI,データ名,データサイズ,ハッシュ値,ターゲットID,転送方式等が格納される。
<マスタレイヤ>
例えばVehicle PKGを取得するための情報であり、各項目は配信レイヤと同様である。この情報は、複数の場合がある。
例えばVehicle PKGを取得するための情報であり、各項目は配信レイヤと同様である。この情報は、複数の場合がある。
<ターゲットレイヤ>
例えばSoftware PKGを取得するための情報であり、各項目は配信レイヤと同様である。この情報も、複数の場合がある。尚、Vehicle PKGやSoftware PKGについては、例えば“Specification of Update Configuration Management AUTOSAR AP R20-11,Document ID No.706”のp50,52,53に掲載されており、当該文献の関連する記載を参照。
例えばSoftware PKGを取得するための情報であり、各項目は配信レイヤと同様である。この情報も、複数の場合がある。尚、Vehicle PKGやSoftware PKGについては、例えば“Specification of Update Configuration Management AUTOSAR AP R20-11,Document ID No.706”のp50,52,53に掲載されており、当該文献の関連する記載を参照。
ここで、APとCPとの違いについて説明する。AP及びCPはソフトウェアプラットフォームを表している。ソフトウェアプラットフォームは、ソフトウェアアーキテクチャとも呼ばれる。CPは、AUTOSAR Classic Platformを表し、APはAUTOSAR Adaptive Platformを表す。さらに、CP仕様書に準拠して動作するECUをCP ECU又はCPのECUと表記し、AP仕様書に準拠して動作するECUをAP ECU又はAPのECUと表記することがある。
AP及びCPにおいては、使用されるオペレーティングシステム,いわゆるOSや開発言語が異なる。CP ECUとAP ECUは、受信できるパッケージの構造が異なる。 これらのパッケージの構造の違いは、主にECUの処理性能の違いに起因するものであり、一般的にCPのECUの処理性能は低いため、パッケージに含まれる諸元データなどもバイナリデータで記載されており、処理性能の低いECUでも解釈・処理しやすいパッケージデータ構造となっている。
一方、APのECUは処理性能が高いものが用いられるため、何らかの言語で記述された構造的な文字データを解析してプログラムで扱えるデータ構造に変換するパーサー機能を搭載することが可能であり、データ構造には単純なバイナリデータではなく、例えばJSON(JavaScript Object Notation)のようなオブジェクト指向のデータ形式を採用できるため、柔軟なパッケージデータ構造となっている。
次に、本実施形態の作用について説明する。図4は、本実施形態の作用を概念的に示している。ターゲットECU22(1)~22(3)に対応する更新データをA~Cとすると、OTAセンタ2の配信サーバ4は、ハッシュ値計算部11により、各更新データA~Cについて、例えばSHA(Secure Hush Algorithm)-2等のハッシュ関数を適用してハッシュ値a~cを算出する(図5,S0)。また、前述のダウンロードメタデータDについても同様にハッシュ値dを算出するが、図4から図9に示すフローチャートでは、ハッシュ値a~cに関する処理のみを現している。
次に、ハッシュ値収集部10により、各ハッシュ値a~cを収集すると(図6,S1)、これらのハッシュ値a~cとターゲットIDとを紐付けたハッシュ値連結情報を生成する(S2)。それから、デジタル署名生成部12が、ハッシュ値連結情報に対し、デジタル署名を生成して付与する、つまり秘密鍵により暗号化すると(S3)、そのデジタル署名をデジタル署名DB102に伝送して保存する(S4,S5)。その後、OTAマスタ21よりハッシュ値連結情報の伝送要求があると(図7,S6;YES)、配信サーバ5は、OTAマスタ21にハッシュ値連結情報と、配信パッケージとを順次伝送する(S7,S7a)。
次に、車両側システム3側の処理について説明する。図8に示すように、OTAマスタ21のダウンロード処理部23は、配信サーバ5よりストリーミング方式で送信された配信パッケージを受信すると、各更新データA~Cを各ターゲットECU22(1)~22(3)に転送する(S11)。続いて、ダウンロード処理部23は、デジタル署名を受信する(S12)。尚、この場合の通信プロトコルは、UptaneやSSL(Secure Sockets Layer)等の暗号化を用いたものを使用する。
一方、ターゲットECU22は、図9に示すように、OTAマスタ21から受信した更新データをダウンロードすると(S21)、その更新データにハッシュ関数を適用してハッシュ値を計算する(S22)。それから、計算したハッシュ値を、OTAマスタ21に伝送する(S23)。
OTAマスタ21は、受信したデジタル署名を検証する、つまり公開鍵で復号化して、ハッシュ値連結情報を取得する(S13)。それから、各ターゲットECU22(1)~22(3)にハッシュ値の転送を要求するが(S14)、ステップS23において、ターゲットECU22がOTAマスタ21に自動的にハッシュ値を転送する仕様の場合、この処理は不要である。
全てのターゲットECU22からハッシュ値a’~ c’を受信すると(S15;YES)、ハッシュ値比較部26は、ハッシュ値連結情報より取得したハッシュ値a~cと、ターゲットECU22から取得したハッシュ値a’~ c’とをそれぞれ比較する(S16)。そして、両者が全て一致すれば(S17;YES)、各ターゲットECU22(1)~22(3)に対してインストール指示を発行する(S18)。一方、何れか1つでも不一致があれば(S17;NO)、不一致があったターゲットECU22にロールバック指示を発行する(S19)。この処理はオプションである。
ターゲットECU22は、OTAマスタ21からのインストール要求があると(S24;YES)ダウンロードした更新データをインストールする(S25)。また、インストール要求がなく(S24;NO)、OTAマスタ21から中止要求があると(S26;YES)処理を終了する。
尚、以上の処理は、ターゲットECU22が複数の場合であるが、図10はターゲットECU22が単一の場合を示す。メタデータEについてのハッシュ値がeとなるだけで、基本的には図4に示す処理と同様である。
以上のように本実施形態によれば、車載通信システム1において、OTAセンタ2は、ストリーミング方式で配信パッケージを車両側のOTAマスタ21に送信する際に、更新データについて計算したハッシュ値もOTAマスタ21に送信する。OTAマスタ21は、配信パッケージを受信すると、更新データをターゲットECU22に転送する。ターゲットECU22は、更新データについてハッシュ値を計算すると、そのハッシュ値をOTAマスタ21に送信し、OTAマスタ21は、OTAセンタ2より送信されたハッシュ値と、ターゲットECU22より送信されたハッシュ値とを比較して更新データの完全性を検証する。
このように構成すれば、OTAセンタ2からストリーミング方式で車両側システム3に送信される配信パッケージに含まれる更新データが、途中で改竄される等して不完全なデータに置き換わったとしても、OTAマスタ21においてハッシュ値を用いた検証が行われるので、不完全な更新データがターゲットECU22にインストールされてしまうことを防止できる。したがって、通信システム1のセキュリティを向上させることが可能になる。
また、OTAセンタ2は、複数のターゲットECU22(1)~22(3)にそれぞれ更新データA~Cを書き込ませる際には、各更新データA~Cについて計算した複数のハッシュ値a~cもOTAマスタ21に送信する。OTAマスタ21は、各更新データA~Cを各ターゲットECU22(1)~22(3)にそれぞれ転送し、各ターゲットECU22(1)~22(3)は、それぞれの更新データA~Cについてハッシュ値a’~c’を計算すると、そのハッシュ値a’~c’をOTAマスタ21に送信する。OTAマスタ21は、複ハッシュ値a’~c’を、ハッシュ値a~cと比較する。したがって、複数のターゲットECU22(1)~22(3)にそれぞれ更新データA~Cを送信するケースについても同様に、不完全な更新データがインストールされてしまうことを防止できる。
(第2実施形態)
以下、第1実施形態と同一部分には同一符号を付して説明を省略し、異なる部分について説明する。図11に示すように、第2実施形態では、PKG生成サーバ4は、更新データA~Cに対応して得られたハッシュ値a~c及びメタデータに対応して得られたハッシュ値dに対してハッシュ関数を適用する。そして、得られたハッシュ値fを「ハッシュチェーン」と称する(図12,S8)。ハッシュチェーンfは上位ハッシュ値に相当する。そして、ハッシュチェーンfに対してデジタル署名を付与すると(S9)、ステップS4及びS5を実行する。
以下、第1実施形態と同一部分には同一符号を付して説明を省略し、異なる部分について説明する。図11に示すように、第2実施形態では、PKG生成サーバ4は、更新データA~Cに対応して得られたハッシュ値a~c及びメタデータに対応して得られたハッシュ値dに対してハッシュ関数を適用する。そして、得られたハッシュ値fを「ハッシュチェーン」と称する(図12,S8)。ハッシュチェーンfは上位ハッシュ値に相当する。そして、ハッシュチェーンfに対してデジタル署名を付与すると(S9)、ステップS4及びS5を実行する。
OTAマスタ21は、OTAセンタ2の配信サーバ5から配信パッケージを受信すると(図13,S31)、各更新データA~Cを各ターゲットECU22(1)~22(3)に転送する(S32)。尚、ターゲットECU22が行う処理は、図9と同様である。
続いて、ダウンロード処理部23は、ハッシュチェーンfに対して付与されたデジタル署名を受信すると(S33)、受信したデジタル署名を検証する(S34)。検証が成功すれば、ハッシュチェーンfが得られる。
OTAマスタ21は、各ターゲットECU22(1)~22(3)が計算したハッシュ値a’~c’を受信する(S35)。ハッシュ値計算部11は、受信したハッシュ値a’~c’(及びd’)についてハッシュチェーンf’を計算する(S36)。
そして、ハッシュ値比較部26は、OTAセンタ2より取得したハッシュチェーンfと、ハッシュ値計算部11が計算したハッシュチェーンf’とを比較する(S37)。両者が全て一致すれば(S38;YES)、各ターゲットECU22(1)~22(3)に対してインストール指示を発行する(S18)。一方、不一致であれば(S38;NO)、処理を終了するか、又はターゲットECU22にロールバック指示を発行する(S40)。
以上のように第2実施形態によれば、OTAセンタ2は、複数のハッシュ値a~cについて計算したハッシュ値であるハッシュチェーンfもOTAマスタ21に送信する。OTAマスタ21は、ECU22(1)~22(3)より受信したハッシュ値a’~c’についてハッシュチェーンf’を計算すると、ハッシュチェーンf’とハッシュチェーンfとを比較する。これにより、複数のハッシュ値a~cの何れかが不完全なデータとなった場合も検証によって検知できるので、通信システムのセキュリティを更に向上させることができる。
(第3実施形態)
図14に示すように、第3実施形態では、OTAセンタ2からストリーミング方式で配信パッケージを受信する際に、OTAマスタ21が更新データについて順次ハッシュ値を計算する。ハッシュ関数には、前述したSHA-2を用いる。以下、一例として、SHA-2関数を使用した事例を説明する。OTAセンタ2側の処理は、図5と同様である。OTAマスタ21は、OTAセンタ2から受信したダウンロードメタデータより、受信するデータのサイズを把握すると(図15,S41)、そのデータサイズが512ビットの何倍になるかを計算してから(S42)、OTAセンタ2よりストリーミング方式で配信パッケージを受信する(S43)。
図14に示すように、第3実施形態では、OTAセンタ2からストリーミング方式で配信パッケージを受信する際に、OTAマスタ21が更新データについて順次ハッシュ値を計算する。ハッシュ関数には、前述したSHA-2を用いる。以下、一例として、SHA-2関数を使用した事例を説明する。OTAセンタ2側の処理は、図5と同様である。OTAマスタ21は、OTAセンタ2から受信したダウンロードメタデータより、受信するデータのサイズを把握すると(図15,S41)、そのデータサイズが512ビットの何倍になるかを計算してから(S42)、OTAセンタ2よりストリーミング方式で配信パッケージを受信する(S43)。
OTAマスタ21は、受信したデータを512ビット単位で分割する(S44)。分割したデータを「メッセージ」と称すると、例えば、N個のメッセージに分割されたとする。そして、ハッシュ値計算部25は、メッセージにSHA-2関数を適用し(S45)、その出力結果を次のSHA-2関数の初期バッファ値として保持する(S46)。例えばSHA-256であれば、512ビットのデータに適用して得られるハッシュ値のハッシュ長は256ビットになる。そして、(N―1)個のメッセージにSHA-2関数を適用するまで(S47;NO)ステップS45,S46の処理を繰り返す。
N個目のメッセージについては(S47;YES)、そのデータサイズが512ビットの整数倍か否かを判断し(S48)、整数倍でなければ(NO)パディングを行って整数倍にしてからSHA-2関数を適用し、その出力結果をハッシュ値とする(S49)。そして、OTAマスタ21は、配信サーバ4から受信したデジタル署名を検証してハッシュ値を得る(S50)。ステップS48において、メッセージのデータサイズが512ビットの整数倍であれば(YES)、最終的なハッシュ値が得られているのでステップS50に移行する。
それから、ハッシュ値比較部26は、ステップS50で取得したハッシュ値と、ハッシュ値計算部25が計算したハッシュ値とを比較し(S51)、両者が一致すれば(S52;YES)ターゲットECU22に対してインストール指示を発行する(S53)。一方、不一致であれば(S52;NO)、処理を終了するか、又はターゲットECU22にロールバック指示を発行する(S54)。
尚、図15に示す処理は、1つのターゲットECU22に対応したもので、ターゲットECU22が複数の場合は、図15に示す処理を繰り返し実行する。また、図16に示すターゲットECU22の処理は、図9におけるステップS21,S24、S25のみを実行するもので、ステップS24で「NO」と判断すると処理を終了する。
以上のように第3実施形態によれば、OTAマスタ21は、更新データについて所定のデータサイズ毎にハッシュ値を計算することで、更新データ全体についてのハッシュ値を得ると、そのハッシュ値とOTAセンタ2より送信されたハッシュ値とを比較して更新データの完全性を検証する。このように構成すれば、完全性の検証をOTAマスタ21内の処理として行うことができる。
(第4実施形態)
図17に示すように、第4実施形態は、ストリーミング方式とストレージ方式とが混在している場合の処理を示す。OTAセンタ2の処理は、第1実施形態と同様である。図18に示すように、OTAマスタ21は、配信サーバ5よりストレージ方式のパッケージA及びストリーミング方式のパッケージBを受信する(S61)。パッケージAはzip形式であり、パッケージAについての検証データが含まれている。続いて、OTAマスタ21は、検証データによってパッケージAを検証し、パッケージBに含まれている更新データK,LをターゲットECU22(4),22(5)に伝送する(S62)。ここで、パッケージA,Bのダウンロードが開始される。
図17に示すように、第4実施形態は、ストリーミング方式とストレージ方式とが混在している場合の処理を示す。OTAセンタ2の処理は、第1実施形態と同様である。図18に示すように、OTAマスタ21は、配信サーバ5よりストレージ方式のパッケージA及びストリーミング方式のパッケージBを受信する(S61)。パッケージAはzip形式であり、パッケージAについての検証データが含まれている。続いて、OTAマスタ21は、検証データによってパッケージAを検証し、パッケージBに含まれている更新データK,LをターゲットECU22(4),22(5)に伝送する(S62)。ここで、パッケージA,Bのダウンロードが開始される。
パッケージAであり(S63;YES)検証が正常に終了すれば(S70;YES)、パッケージAに含まれている更新データG~IをターゲットECU22(1)~22(3)に書き込む(S71)。ここで、パッケージAのインストールが開始される。一方、検証が正常に終了しなければ(S70;NO)、パッケージAについての処理を終了する。また、パッケージBのインストール処理を開始しているターゲットECU22に対しては、ロールバック指示を発行する(S72)。
パッケージBであれば(S63;NO)、OTAマスタ21は、更新データK,Lについて、ターゲットECU22(4),22(5)が計算したハッシュ値k’,l’を受信する(S64)。尚、これらのターゲットECU22の処理は図9と同様である。続いて、配信サーバ5よりデジタル署名を受信すると、検証を行う(S65)。
そして、復号したハッシュ値k,lとハッシュ値k’,l’とを比較し(S66)、両者が一致すれば(S67;YES)、各ターゲットECU22(4),22(5)に対してインストール指示を発行する(S68)。ここで、パッケージBのインストールが開始される。また、両者が不一致であれば(S67;NO)、パッケージBについての処理を終了する。また、パッケージAのインストール処理を開始しているターゲットECU22に対しては、ロールバック指示を発行する(S69)。
ここで、図18について別の態様を説明する。上記実施形態では、S63にて、パッケージがパッケージAであるか否かを判定した。それに替えて、OTAマスタ21は、パッケージの種別を判定し、その結果に応じた処理を実行しても良い。パッケージA及びパッケージBを受信すると、OTAマスタ21はパッケージの種別を判定する。その結果、OTAマスタ21は、パッケージがストレージ方式のパッケージAであると判定するとS70へ移行し、S70からS72の処理を実行する。また、OTAマスタ21は、パッケージがストリーミング方式のパッケージBであると判定するとS64に移行し、S64からS69の処理を実行する。OTAマスタ21によるパッケージ種別の判定は、受信したパッケージの数だけ繰り返される。
以上のように第4実施形態によれば、OTAセンタ2は、複数のターゲットECU22の一部に書き込ませる更新データをストレージ方式で送信する際には、その更新データと当該データについて計算したハッシュ値とをOTAマスタ21に送信する。OTAマスタ21は、前記更新データについてハッシュ値を計算し、OTAセンタ2より送信された対応するハッシュ値と比較して前記更新データの完全性を検証する。完全性が検証されると、ストレージ方式に対応するターゲットECU22(1)~22(3)に更新データを転送する。これにより、ストレージ方式に対応するターゲットECU22が混在している場合でも、セキュリティを向上させることができる。
(第5実施形態)
図19に示すように、第5実施形態は、OTAセンタ2から配信パッケージを一旦スマートホン31にダウンロードし、スマートホン31からOTAマスタ21に転送する場合を示す。尚、「スマートホン」を「スマホ」と表記し、カーナビゲーション装置を「ナビ」と表記する場合がある。図20に示すように、OTAセンタ2は、ステップS1~S4を実行すると、後述するように、ユーザが図示しないカーナビゲーション装置やスマートホン31によりOTAセンタ2と通信を行っており、パッケージの配信先としてスマートホン31を選択しているか否かを判断する(S73)。スマートホン31を選択していれば(YES)スマートホン31にパッケージを配信し(S74)、スマートホン31を選択していなければ(NO)、従前通りOTAマスタ21にパッケージを配信する(S7)。
図19に示すように、第5実施形態は、OTAセンタ2から配信パッケージを一旦スマートホン31にダウンロードし、スマートホン31からOTAマスタ21に転送する場合を示す。尚、「スマートホン」を「スマホ」と表記し、カーナビゲーション装置を「ナビ」と表記する場合がある。図20に示すように、OTAセンタ2は、ステップS1~S4を実行すると、後述するように、ユーザが図示しないカーナビゲーション装置やスマートホン31によりOTAセンタ2と通信を行っており、パッケージの配信先としてスマートホン31を選択しているか否かを判断する(S73)。スマートホン31を選択していれば(YES)スマートホン31にパッケージを配信し(S74)、スマートホン31を選択していなければ(NO)、従前通りOTAマスタ21にパッケージを配信する(S7)。
図21に示すように、スマートホン31を所持しているユーザは、そのスマートホン31と車両側の機器とで無線通信のペアリングが行われていることを前提として、OTAセンタ2よりプッシュ通知を受け取る(S81)。そして、スマートホン31により、どこに配信パッケージをダウンロードするか選択する(S82)。すると、OTAセンタ2の配信サーバ5に選択結果が通知される(S83)。
ユーザがスマートホン31を選択すれば(S84;YES)、スマートホン31の指定パスにパッケージがダウンロード(DL)される(S85)。続いて、スマートホン31が、パッケージのダウンロードが完了したことを配信サーバ5に通知すると(S86)、スマートホン31は、パッケージをOTAマスタ21に転送する(S87)。
図22に示すように、OTAマスタ21は、OTAセンタ2側と車両構成情報の同期を図るため、OTAセンタ2に車両構成情報を送信する(S91)。カーナビゲーション装置に表示された指示をユーザが実行すると(S92;YES)、OTAマスタ21は、OTAセンタ2より受信したデジタル署名を検証し、ハッシュ値連結情報を取得する(S93)。
そして、カーナビゲーション装置又はスマートホン31によって、配信パッケージの送信先としてスマートホン31を選択したことをOTAセンタ2に送信すると(S94;YES)、OTAマスタ21は、OTAセンタ2から通知されたディレクトリに従い、スマートホン31から配信パッケージをダウンロードする(S95)。一方、送信先としてスマートホン31が選択されなければ(S94;NO)、OTAマスタ21は、OTAセンタ2から配信パッケージをダウンロードする(S96)。以降は、第1実施形態のステップS12~S19を実行する。
以上のように第5実施形態によれば、OTAマスタ21は、選択的に、OTAセンタ2からスマートホン31にダウンロードされた配信パッケージを、スマートホン31からダウンロードすることができる。これにより、配信パッケージをより柔軟な態様で取得できる。
(その他の実施形態)
リプロポリシーメタデータ及びダウンロードメタデータの内容は、個別の設計に応じて適宜変更すれば良い。
ハッシュ関数は、SHA-2に限らない。
本開示は、実施例に準拠して記述されたが、本開示は当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、さらには、それらに一要素のみ、それ以上、あるいはそれ以下、を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に入るものである。
リプロポリシーメタデータ及びダウンロードメタデータの内容は、個別の設計に応じて適宜変更すれば良い。
ハッシュ関数は、SHA-2に限らない。
本開示は、実施例に準拠して記述されたが、本開示は当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、さらには、それらに一要素のみ、それ以上、あるいはそれ以下、を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に入るものである。
各装置等が提供する手段および/または機能は、実体的なメモリ装置に記録されたソフトウェアおよびそれを実行するコンピュータ、ソフトウェアのみ、ハードウェアのみ、あるいはそれらの組合せによって提供することができる。例えば、制御装置がハードウェアである電子回路によって提供される場合、それは多数の論理回路を含むデジタル回路、またはアナログ回路によって提供することができる。
本開示に記載の制御部及びその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリを構成することによって提供された専用コンピュータにより、実現されてもよい。あるいは、本開示に記載の制御部及びその手法は、一つ以上の専用ハードウェア論理回路によってプロセッサを構成することによって提供された専用コンピュータにより、実現されてもよい。もしくは、本開示に記載の制御部及びその手法は、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリと一つ以上のハードウェア論理回路によって構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより、実現されてもよい。また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されていてもよい。
図面中、1は車載通信システム、2はOTAセンタ、4はPKG生成サーバ、5は配信サーバ、3は車両側システム、21はOTAマスタ、22はターゲットECUを示す。
Claims (20)
- 車両に搭載される電子制御装置(22)に、ストリーミング方式で更新データを配信パッケージとして送信するセンタ装置(2)と、
前記車両に搭載され、前記配信パッケージを受信して、前記電子制御装置に更新データを転送するマスタ装置(21)と、
このマスタ装置より転送された更新データを記憶部に書き込む前記電子制御装置とを備え、
前記センタ装置は、前記更新データについて計算したハッシュ値も前記マスタ装置に送信し、
前記電子制御装置は、前記更新データについてハッシュ値を計算すると、前記ハッシュ値を前記マスタ装置に送信し、
前記マスタ装置は、前記センタ装置より送信されたハッシュ値と、前記電子制御装置より送信されたハッシュ値とを比較して、前記更新データの完全性を検証する車載通信システム。 - 前記センタ装置は、複数の電子制御装置にそれぞれ更新データを書き込ませる際には、各更新データについて計算した複数のハッシュ値も前記マスタ装置に送信し、
前記マスタ装置は、各更新データを各電子制御装置にそれぞれ転送し、
各電子制御装置は、前記更新データについてハッシュ値を計算すると、前記ハッシュ値を前記マスタ装置に送信し、
前記マスタ装置は、複数の電子制御装置より送信されたハッシュ値を、前記センタ装置より送信された対応するハッシュ値と比較する請求項1記載の車載通信システム。 - 前記センタ装置は、前記複数のハッシュ値について計算したハッシュ値を上位ハッシュ値として、前記上位ハッシュ値も前記マスタ装置に送信し、
前記マスタ装置は、複数の電子制御装置より受信した複数のハッシュ値について上位ハッシュ値を計算すると、計算した上位ハッシュ値を、前記センタ装置より送信された上位ハッシュ値と比較する請求項2記載の車載通信システム。 - 前記センタ装置は、複数の電子制御装置の一部についてストレージ方式で更新データを送信する際には、前記更新データと前記更新データについて計算したハッシュ値とを前記マスタ装置に送信し、
前記マスタ装置は、前記更新データについてハッシュ値を計算し、前記センタ装置より送信された対応するハッシュ値と比較して、前記更新データの完全性を検証し、
前記更新データの完全性が検証されると、前記ストレージ方式に対応する電子制御装置に更新データを転送する請求項2又は3記載の車載通信システム。 - 前記センタ装置は、少なくともデータ取得先のアドレス,データ名及びデータサイズ,更新データの配信先である電子制御装置のID並びにデータ転送方式の情報を含むダウンロードメタデータに、前記ハッシュ値を加えて前記マスタ装置に送信する請求項1から4の何れか一項に記載の車載通信システム。
- 前記センタ装置より、前記更新データを受信可能な携帯型情報端末を備え、
前記マスタ装置は、前記携帯型情報端末を介しても、前記更新データを受信可能である請求項1から5の何れか一項に記載の車載通信システム。 - 車両に搭載される電子制御装置に、ストリーミング方式で更新データを配信パッケージとして送信するセンタ装置と、
前記配信パッケージを受信して、前記電子制御装置に更新データを転送するマスタ装置と、
このマスタ装置より転送された更新データを記憶部に書き込む前記電子制御装置とを備え、
前記センタ装置は、前記更新データについて計算したハッシュ値も前記マスタ装置に送信し、
前記マスタ装置は、前記更新データについて所定のデータサイズ毎にハッシュ値を計算することで、前記更新データ全体についてのハッシュ値を得ると、前記ハッシュ値と前記センタ装置より送信されたハッシュ値とを比較して、前記更新データの完全性を検証する車載通信システム。 - 車両に搭載される電子制御装置に、ストリーミング方式で更新データを送信する際に、前記更新データについて計算したハッシュ値も送信するセンタ装置。
- 複数の電子制御装置にそれぞれ更新データを送信する際には、各更新データについて計算した複数のハッシュ値も送信する請求項8記載のセンタ装置。
- 前記複数のハッシュ値について計算したハッシュ値を上位ハッシュ値として、前記上位ハッシュ値も送信する請求項9記載のセンタ装置。
- 複数の電子制御装置の一部についてストレージ方式で更新データを送信する際には、前記更新データと前記更新データについて計算したハッシュ値とを送信する請求項9又は10記載のセンタ装置。
- 少なくともデータ取得先のアドレス,データ名及びデータサイズ,更新データの配信先である電子制御装置のID並びにデータ転送方式の情報を含むダウンロードメタデータに、前記ハッシュ値を加えて送信する請求項8から11の何れか一項に記載のセンタ装置。
- 車両に搭載され、センタ装置よりストリーミング方式で送信され、更新データを含む配信パッケージを受信するマスタ装置と、
前記車両に搭載され、前記マスタ装置より転送された更新データを記憶部に書き込む電子制御装置とを備え、
前記マスタ装置は、前記センタ装置が前記更新データについて計算して送信したハッシュ値を受信し、
前記電子制御装置は、前記更新データについてハッシュ値を計算すると、前記ハッシュ値を前記マスタ装置に送信し、
前記マスタ装置は、前記センタ装置より送信されたハッシュ値と、前記電子制御装置より送信されたハッシュ値とを比較して、前記更新データの完全性を検証する車両側システム。 - 前記マスタ装置は、前記センタ装置が、複数の電子制御装置にそれぞれ更新データを送信する際に、各更新データについて計算し送信した複数のハッシュ値も受信すると、各更新データを各電子制御装置にそれぞれ転送し、
各電子制御装置は、前記更新データについてハッシュ値を計算すると、前記ハッシュ値を前記マスタ装置に送信し、
前記マスタ装置は、複数の電子制御装置より送信されたハッシュ値を、前記センタ装置より送信された対応するハッシュ値と比較する請求項13記載の車両側システム。 - 前記マスタ装置は、前記センタ装置が、前記複数のハッシュ値について計算したハッシュ値を上位ハッシュ値として送信したものも受信し、
複数の電子制御装置より受信した複数のハッシュ値について上位ハッシュ値を計算すると、計算した上位ハッシュ値を、前記センタ装置より送信された上位ハッシュ値と比較する請求項14記載の車両側システム。 - 前記マスタ装置は、前記センタ装置が、複数の電子制御装置の一部に対する更新データを含む配信パッケージをストレージ方式で送信する際に、前記更新データと前記更新データについて計算したハッシュ値とを受信し、
前記更新データについてハッシュ値を計算し、前記センタ装置より送信された対応するハッシュ値と比較して、前記更新データの完全性を検証し、
前記更新データの完全性が検証されると、前記ストレージ方式に対応する電子制御装置に更新データを転送する請求項14又は15記載の車両側システム。 - 前記センタ装置より、前記配信パッケージを受信可能な携帯型情報端末を備え、
前記マスタ装置は、前記センタ装置より、前記携帯型情報端末を介しても、前記配信パッケージを受信可能である請求項13から16の何れか一項に記載の車両側システム。 - 車両に搭載され、センタ装置よりストリーミング方式で送信される更新データを配信パッケージとして受信するマスタ装置と、
前記車両に搭載され、前記マスタ装置より転送された更新データを記憶部に書き込む電子制御装置とを備え、
前記センタ装置は、前記更新データについて計算したハッシュ値も前記マスタ装置に送信し、
前記マスタ装置は、前記センタ装置が、前記更新データについて計算したハッシュ値も受信し、前記更新データについて所定のデータサイズ毎にハッシュ値を計算することで、前記更新データ全体についてのハッシュ値を得ると、前記ハッシュ値と前記センタ装置より送信されたハッシュ値とを比較して、前記更新データの完全性を検証する車両側システム。 - センタ装置が、車両に搭載される電子制御装置に、ストリーミング方式で更新データを送信する際に、
前記車両に搭載されるマスタ装置が前記更新データを配信パッケージとして受信すると前記電子制御装置に転送し、
前記センタ装置が、前記更新データについて計算したハッシュ値も前記マスタ装置に送信し、
前記電子制御装置が、前記更新データについて計算したハッシュ値を前記マスタ装置に送信し、
前記マスタ装置が、前記センタ装置より送信されたハッシュ値と、前記電子制御装置より送信されたハッシュ値とを比較して、前記更新データの完全性を検証する車載通信の更新データ検証方法。 - センタ装置が、車両に搭載される電子制御装置に、ストリーミング方式で更新データを送信する際に、
前記車両に搭載されるマスタ装置が前記更新データを配信パッケージとして受信すると、前記電子制御装置に転送し、
前記センタ装置が、前記更新データについて計算したハッシュ値も前記マスタ装置に送信し、
前記マスタ装置が、前記センタ装置が前記更新データについて計算したハッシュ値も受信し、前記更新データについて所定のデータサイズ毎にハッシュ値を計算することで、前記更新データ全体についてのハッシュ値を得ると、前記ハッシュ値と前記センタ装置より送信されたハッシュ値とを比較して、前記更新データの完全性を検証する車載通信の更新データ検証方法。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021107834A JP2023005717A (ja) | 2021-06-29 | 2021-06-29 | 車載通信システム,センタ装置,車両側システム及び車載通信の更新データ検証方法 |
DE112022003289.8T DE112022003289T5 (de) | 2021-06-29 | 2022-05-31 | Bordeigenes kommunikationssystem, zentrale vorrichtung, fahrzeugseitiges system und verfahren zur verifizierung von aktualisierungsdaten einer bordeigenen kommunikation |
PCT/JP2022/022159 WO2023276532A1 (ja) | 2021-06-29 | 2022-05-31 | 車載通信システム,センタ装置,車両側システム及び車載通信の更新データ検証方法 |
CN202280045176.1A CN117561500A (zh) | 2021-06-29 | 2022-05-31 | 车载通信系统、中心装置、车辆侧系统以及车载通信的更新数据验证方法 |
US18/537,350 US20240111519A1 (en) | 2021-06-29 | 2023-12-12 | Onboard communication system, center device, vehicle-side system, and method for verifying update data of onboard communication |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021107834A JP2023005717A (ja) | 2021-06-29 | 2021-06-29 | 車載通信システム,センタ装置,車両側システム及び車載通信の更新データ検証方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2023005717A true JP2023005717A (ja) | 2023-01-18 |
Family
ID=84691255
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021107834A Pending JP2023005717A (ja) | 2021-06-29 | 2021-06-29 | 車載通信システム,センタ装置,車両側システム及び車載通信の更新データ検証方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20240111519A1 (ja) |
JP (1) | JP2023005717A (ja) |
CN (1) | CN117561500A (ja) |
DE (1) | DE112022003289T5 (ja) |
WO (1) | WO2023276532A1 (ja) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4084461B2 (ja) * | 1997-06-05 | 2008-04-30 | 松下電器産業株式会社 | リモートダウンロードが可能な端末装置、その端末装置が備えるローダプログラムに適用されるダウンロード方法、そのローダプログラムを記録した記録媒体 |
JP2010282385A (ja) * | 2009-06-04 | 2010-12-16 | Fujitsu Ten Ltd | 情報処理システム |
JP6532107B2 (ja) * | 2016-02-25 | 2019-06-19 | オムロンオートモーティブエレクトロニクス株式会社 | 車両制御システム |
WO2020032122A1 (ja) * | 2018-08-10 | 2020-02-13 | 株式会社デンソー | 電子制御装置、車両用電子制御システム、書換えの実行制御方法、書換えの実行制御プログラム及び諸元データのデータ構造 |
JP7183984B2 (ja) | 2018-08-10 | 2022-12-06 | 株式会社デンソー | センター装置,車両情報通信システム,配信パッケージ送信方法及び配信パッケージの送信プログラム |
JP6920571B2 (ja) | 2019-07-10 | 2021-08-18 | 藤倉コンポジット株式会社 | 液検知センサ |
-
2021
- 2021-06-29 JP JP2021107834A patent/JP2023005717A/ja active Pending
-
2022
- 2022-05-31 CN CN202280045176.1A patent/CN117561500A/zh active Pending
- 2022-05-31 DE DE112022003289.8T patent/DE112022003289T5/de active Pending
- 2022-05-31 WO PCT/JP2022/022159 patent/WO2023276532A1/ja active Application Filing
-
2023
- 2023-12-12 US US18/537,350 patent/US20240111519A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
DE112022003289T5 (de) | 2024-04-18 |
US20240111519A1 (en) | 2024-04-04 |
CN117561500A (zh) | 2024-02-13 |
WO2023276532A1 (ja) | 2023-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10599420B2 (en) | Updating a controller unit in a vehicle | |
JP5096680B2 (ja) | ファームウェアコンポーネントのステータスの発行およびファームウェアコンポーネントのアップデート | |
US8560823B1 (en) | Trusted modular firmware update using digital certificate | |
US9280337B2 (en) | Secured distribution of software updates | |
CN111263352B (zh) | 车载设备的ota升级方法、系统、存储介质及车载设备 | |
US20140282470A1 (en) | Remote transfer of electronic images to a vehicle | |
WO2016177061A1 (zh) | 一种空中下载技术升级方法和装置 | |
US20140075197A1 (en) | Method for selective software rollback | |
US20140337829A1 (en) | Information processing apparatus, electronic control unit, information processing method, and program | |
US11977637B2 (en) | Technique for authentication and prerequisite checks for software updates | |
WO2021166617A1 (ja) | マスタ装置、データ配信システム及び更新制御プログラム | |
EP3405923B1 (en) | Updating a controller unit in a vehicle | |
JP2023505844A (ja) | パッケージベースリモートファームウェアアップデート | |
JP7439720B2 (ja) | 更新データを配信するサーバ、方法及びプログラム | |
WO2023276532A1 (ja) | 車載通信システム,センタ装置,車両側システム及び車載通信の更新データ検証方法 | |
WO2022226938A1 (zh) | 软件升级方法和相关产品 | |
CN114741100A (zh) | 车辆固件的升级任务发布方法、装置、服务器及存储介质 | |
WO2023276531A1 (ja) | 車載通信システム,リプロポリシーメタデータのデータ構造及びダウンロードメタデータのデータ構造 | |
US20220284743A1 (en) | Center device and in-vehicle electronic control device | |
CN110825406A (zh) | 一种软件升级的方法及相关设备 | |
US11972248B2 (en) | Controlling software update of electronic control units mounted on a vehicle | |
WO2023013471A1 (ja) | センタ装置、車両側システム、コンテンツの保護方法及びコンテンツ保護用プログラム | |
US20230036444A1 (en) | System, method, and non-transitory storage medium | |
US11947950B2 (en) | Center, OTA master, method, non-transitory storage medium, and vehicle | |
JP2022138385A (ja) | 検証装置および検証方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20231201 |