本出願は、証明書リスト更新方法および装置を提供する。第1の車両に記憶された証明書リストは、ネットワーク側デバイスによって第1の車両に送られた証明書記録に基づいて更新され、第1の車両に記憶される必要がある証明書記録を低減し、第1の車両の車載デバイスに記憶された証明書リストの完全性を保証する。
前述の目的を達成するために、本出願では、以下の技術的解決策が使用される。
第1の態様によれば、本出願の実施形態は、証明書リスト更新方法を提供し、通信技術の分野に関する。本方法は、証明書記録を取得するステップであって、証明書記録は、ネットワーク側デバイスによって第1の車両に送られ、証明書記録は、少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を含む、ステップと、証明書記録に基づいて、第1の車両に記憶された証明書リストを更新するステップであって、証明書リストは、第1の車両について、第1の車両に属するデバイスの失効した証明書もしくは有効な証明書を記録するために使用されるか、または、第1の車両グループについて、第1の車両グループに属するデバイスの失効した証明書もしくは有効な証明書を記録するために使用され、第1の車両グループは、第1の車両を含む、ステップとを含む。証明書リストは、第1の車両について、第1の車両に属するデバイスの失効した証明書または有効な証明書を記録するために使用され、第1の車両に属さないデバイスの失効した証明書または有効な証明書を含まない。代替として、証明書リストは、第1の車両グループについて、第1の車両グループに属するデバイスの失効した証明書または有効な証明書を記録するために使用され、第1の車両グループに属さないデバイスの失効した証明書または有効な証明書を含まない。
前述の処理によれば、本出願では、第1の車両に記憶された証明書リストは、少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を含む証明書記録に基づいて更新され得る。証明書リストが、第1の車両または第1の車両グループについて、第1の車両または第1の車両グループに属するデバイスの失効した証明書または有効な証明書を記録するので、第1の車両内の車載デバイスに記憶される必要がある証明書記録は、低減され得る。車載デバイスの記憶スペースが制限されるとき、デバイスに記憶された証明書リストの完全性は、可能な限り保証され、それによって車両セキュリティを保証する。
可能な実装では、証明書記録は、第1の車両または第1の車両グループのためにネットワーク側デバイスによって生成され、証明書記録内の各失効した証明書または各有効な証明書は、第1の車両または第1の車両グループに属するデバイスの証明書である。
可能な実装では、証明書記録は、第1の車両または第1の車両グループのためにネットワーク側デバイスによって生成され、証明書記録内の各失効した証明書または各有効な証明書は、第1の車両または第1の車両グループに属するデバイスの証明書である。証明書記録に基づいて、第1の車両に記憶された証明書リストを更新するステップは、証明書記録内の各失効した証明書または各有効な証明書を証明書リストに追加するステップを含む。
前述の処理によれば、ネットワーク側デバイスは、第1の車両または第1の車両グループの証明書記録を生成し、次いで、第1の車両は、ネットワーク側デバイスによって送られた証明書記録を受信し、証明書記録を更新し、証明書記録を第1の車両の証明書リストに記憶する。第1の車両の証明書リストは、第1の車両または第1の車両グループの証明書記録を記憶するために使用される。証明書リストは、すべての車両の証明書記録を記憶するのではなく、より少ない内容を記憶する。したがって、車載デバイスの記憶スペースが制限されるとき、第1の車両に記憶された証明書記録の完全性は、可能な限り保証されることがあり、それによって車両セキュリティを保証する。
可能な実装では、証明書記録に基づいて、第1の車両に記憶された証明書リストを更新するステップは、証明書記録内にあり、第1の車両または第1の車両グループに属するデバイスのものである少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定するステップと、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を証明書リストに追加するステップとを含む。
前述の処理によれば、ネットワーク側デバイスは、証明書記録を取得した後、証明書記録を第1の車両に直接送り、第1の車両は、第1の車両または第1の車両グループに属する失効した証明書または有効な証明書を決定し、第1の車両または第1の車両グループに属する失効した証明書または有効な証明書を更新し、第1の車両または第1の車両グループに属する失効した証明書または有効な証明書を証明書リストに記憶する。証明書リストは、すべての車両の証明書記録を記憶するのではなく、より少ない内容を記憶する。したがって、車載デバイスの記憶スペースが限定されるとき、第1の車両に記憶された証明書記録の完全性は、可能な限り保証されることがあり、それによって車両セキュリティを保証する。
可能な実装では、証明書リストは、第2の車両に属するデバイスの失効した証明書または有効な証明書をさらに含み、第2の車両は、第1の車両グループ内の第1の車両以外の別の車両である。第2の車両に属するデバイスの失効した証明書または有効な証明書は、第2の車両を認証することを試みるために第1の車両によって使用される。
前述の処理によれば、証明書リストは、第1の車両と同じ車両グループに属する第2の車両の証明書記録をさらに含み、その結果、第1の車両は、証明書リストに基づいて第2の車両を認証することを試みることができ、それによって第1の車両グループ内の車両間の通信のセキュリティを保証する。
可能な実装では、証明書記録に基づいて、第1の車両に記憶された証明書リストを更新するステップは、第1の証明書リストデータブロックの識別子を取得するステップであって、第1の証明書リストデータブロックは、更新前の証明書リストに対応するデータブロックである、ステップと、第1の証明書リストデータブロックの識別子および証明書記録に基づいて、更新された証明書リストデータブロックを生成するステップであって、更新された証明書リストデータブロックは、ブロックヘッダおよびブロック本体を含み、更新された証明書リストデータブロックのブロックヘッダは、第1の証明書リストデータブロックの識別子を含み、更新された証明書リストデータブロックのブロック本体は、証明書記録を含む、ステップとを含む。
前述の処理によれば、証明書リスト内の証明書記録は、ブロックチェーンの形式で記憶され、その結果、証明書リストに記憶された証明書記録のセキュリティが保証されることが可能であり、それによって車両セキュリティを改善する。加えて、更新された証明書リストデータブロックは、ブロックヘッダおよびブロック本体を含み、ブロックヘッダは、第1の証明書リストデータブロックの識別子を含み、ブロック本体は、証明書記録を含む。言い換えれば、更新された証明書リストデータブロックは、新たに追加された証明書記録および第1の証明書リストデータブロックの識別子のみを含み、以前の証明書記録を繰り返し記憶しない。したがって、更新された証明書リストデータブロックの容量は、比較的小さい。車両内のデバイスの記憶スペースが制限されるとき、第1の車両に記憶された証明書記録の完全性は、可能な限り保証されることが可能であり、それによって車両セキュリティを保証する。
可能な実装では、更新された証明書リストデータブロックのブロックヘッダは、証明書記録の識別子をさらに含む。
可能な実装では、更新された証明書リストデータブロックのブロック本体は、第1の証明書リストデータブロックをさらに含む。
可能な実装では、第1の証明書リストデータブロックの識別子は、第1の証明書リストデータブロックに基づいて生成されたハッシュ値であり、証明書記録の識別子は、証明書記録に基づいて生成されたハッシュ値である。
可能な実装では、証明書記録に基づいて、第1の車両に記憶された証明書リストを更新するステップの前に、本方法は、証明書記録内の署名情報に基づいて証明書記録を検証することを試みるステップと、検証が成功した場合、証明書記録に基づいて、第1の車両に記憶された証明書リストを更新するステップとをさらに含む。
可能な実装では、失効した証明書は、車両識別子、デバイス識別子、またはデバイスタイプのうちの1つまたは複数を含む。有効な証明書は、車両識別子、デバイス識別子、またはデバイスタイプのうちの1つまたは複数を含む。デバイスタイプは、ネットワーク接続されたデバイスおよびネットワーク接続されていないデバイスを含む。ネットワーク接続されたデバイスは、車両内にあり、外部のデバイス、例えば、別の車両内の車載デバイスまたはネットワーク側デバイスと通信する車載デバイスである。ネットワーク接続されていないデバイスは、ネットワーク接続されたデバイスを使用することによって外部のデバイスと通信する車両内にある車載デバイスである。
可能な実装では、デバイス識別子は、車両識別子を含む。
車載デバイスのデバイス識別子に基づいて、デバイス識別子に対応する車載デバイスが位置する車両の識別子を求めてデータベースが検索される従来の技術と比較して、本出願では、車載デバイスのデバイス識別子は、車載デバイスが位置する車両の識別子を含み、車載デバイスと車両との間の結合が実施されることが可能である。このようにして、ネットワーク側デバイスは、証明書記録を配信するとき、車載デバイスの識別子に基づいて、車載デバイスが位置する車両を直接決定し、それによって、ネットワーク側デバイスによって証明書記録を配信する効率を改善する。
第2の態様によれば、本出願の実施形態は、証明書リスト更新方法を提供し、通信技術の分野に関する。本方法は、証明書記録を第1の車両に送るステップであって、証明書記録は、少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を含み、証明書記録は、第1の車両に記憶された証明書リストを更新するために第1の車両によって使用される、ステップを含む。証明書リストは、第1の車両について、第1の車両に属するデバイスの失効した証明書または有効な証明書を記録するために使用され、第1の車両に属さないデバイスの失効した証明書または有効な証明書を含まない。代替として、証明書リストは、第1の車両グループについて、第1の車両グループに属するデバイスの失効した証明書または有効な証明書を記録するために使用され、第1の車両グループに属さないデバイスの失効した証明書または有効な証明書を含まない。第1の車両グループは、第1の車両を含む。
可能な実装では、少なくとも1つの失効した証明書または少なくとも1つの有効な証明書は、第1の車両または第1の車両グループに属するデバイスの証明書であり、証明書記録を第1の車両に送るステップの前に、本方法は、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定するステップと、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書に基づいて、第1の車両または第1の車両グループの証明書記録を生成するステップとをさらに含む。
可能な実装では、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定するステップは、失効した証明書または有効な証明書内のデバイス識別子または車両識別子に基づいて、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定するステップを含む。
可能な実装では、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定するステップは、車両証明書管理システムに問い合わせることによって、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定するステップを含む。
可能な実装では、証明書記録を生成するステップの前に、本方法は、ネットワーク側デバイスによって、少なくとも1つの失効した証明書に対応するデバイスがネットワーク接続されたデバイスを含まないと決定するステップであって、ネットワーク接続されたデバイスが第1の車両のネットワーク接続されたデバイスである、ステップをさらに含み、ネットワーク側デバイスによって、証明書記録を第1の車両に送るステップは、証明書記録を第1の車両内のネットワーク接続されたデバイスに送るステップを含む。第1の車両のネットワーク接続されたデバイスは、第1の車両内にあり、外部のデバイス、例えば、別の車両内の車載デバイスまたはネットワーク側デバイスと通信するように構成された車載デバイスである。
可能な実装では、証明書記録を生成するステップの前に、本方法は、少なくとも1つの失効した証明書に対応するデバイスがネットワーク接続されたデバイスを含むと決定するステップであって、ネットワーク接続されたデバイスは、第1の車両のネットワーク接続されたデバイスである、ステップと、ネットワーク接続されたデバイスに再登録するように第1の車両のユーザに通知するステップと、ユーザがネットワーク接続されたデバイスに再登録したと決定された後に、証明書記録を第1の車両に送るステップとをさらに含む。証明書記録を第1の車両に送るステップは、証明書記録を第1の車両内のネットワーク接続されたデバイスに送るステップを含む。
可能な実装では、失効した証明書は、車両識別子、デバイス識別子、またはデバイスタイプのうちの1つまたは複数を含む。有効な証明書は、車両識別子、デバイス識別子、またはデバイスタイプのうちの1つまたは複数を含む。デバイスタイプは、ネットワーク接続されたデバイスおよびネットワーク接続されていないデバイスを含む。ネットワーク接続されたデバイスは、車両内にあり、外部のデバイス、例えば、別の車両内の車載デバイスまたはネットワーク側デバイスと通信する車載デバイスである。ネットワーク接続されていないデバイスは、ネットワーク接続されたデバイスを使用することによって外部のデバイスと通信する車両内にある車載デバイスである。
可能な実装では、デバイス識別子は、車両識別子を含む。
可能な実装では、証明書リストは、第2の車両に属するデバイスの失効した証明書または有効な証明書を含み、第2の車両は、第1の車両グループ内の第1の車両以外の別の車両である。第2の車両に属するデバイスの失効した証明書または有効な証明書は、第2の車両を認証することを試みるために第1の車両によって使用される。
第3の態様によれば、本出願の実施形態は、証明書リスト更新装置を提供する。本装置は、第1の車両に適用され、取得ユニットおよび更新ユニットを含む。取得ユニットは、証明書記録を取得するように構成される。証明書記録は、ネットワーク側デバイスによって第1の車両に送られ、証明書記録は、少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を含む。更新ユニットは、証明書記録に基づいて、第1の車両に記憶された証明書リストを更新するように構成され、証明書リストは、第1の車両について、第1の車両に属するデバイスの失効した証明書または有効な証明書を記録するために使用され、第1の車両に属さないデバイスの失効した証明書または有効な証明書を含まない。代替として、証明書リストは、第1の車両グループについて、第1の車両グループに属するデバイスの失効した証明書または有効な証明書を記録するために使用され、第1の車両グループに属さないデバイスの失効した証明書または有効な証明書を含まない。第1の車両グループは、第1の車両を含む。
可能な実装では、証明書記録は、第1の車両または第1の車両グループのためにネットワーク側デバイスによって生成され、証明書記録内の各失効した証明書または各有効な証明書は、第1の車両または第1の車両グループに属するデバイスの証明書である。
可能な実装では、更新ユニットが、証明書記録に基づいて、第1の車両に記憶された証明書リストを更新するように構成されることは、証明書記録内の各失効した証明書または各有効な証明書を証明書リストに追加することを含む。
可能な実装では、更新ユニットが、証明書記録に基づいて、第1の車両に記憶された証明書リストを更新するように構成されることは、証明書記録内にあり、第1の車両または第1の車両グループに属するデバイスのものである少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定することと、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を証明書リストに追加することとを含む。
可能な実装では、証明書リストは、第2の車両に属するデバイスの失効した証明書または有効な証明書をさらに含み、第2の車両は、第1の車両グループ内の第1の車両以外の別の車両である。第2の車両に属するデバイスの失効した証明書または有効な証明書は、第2の車両を認証することを試みるために第1の車両によって使用される。
可能な実装では、更新ユニットが、証明書記録に基づいて、第1の車両に記憶された証明書リストを更新するように構成されることは、第1の証明書リストデータブロックの識別子を取得することであって、第1の証明書リストデータブロックは、更新前の証明書リストに対応するデータブロックである、ことと、第1の証明書リストデータブロックの識別子および証明書記録に基づいて、更新された証明書リストデータブロックを生成することであって、更新された証明書リストデータブロックは、ブロックヘッダおよびブロック本体を含み、更新された証明書リストデータブロックのブロックヘッダは、第1の証明書リストデータブロックの識別子を含み、更新された証明書リストデータブロックのブロック本体は、証明書記録を含む、こととを含む。
可能な実装では、更新された証明書リストデータブロックのブロックヘッダは、証明書記録の識別子をさらに含む。
可能な実装では、更新された証明書リストデータブロックのブロック本体は、第1の証明書リストデータブロックをさらに含む。
可能な実装では、第1の証明書リストデータブロックの識別子は、第1の証明書リストデータブロックに基づいて生成されたハッシュ値であり、証明書記録の識別子は、証明書記録に基づいて生成されたハッシュ値である。
可能な実装では、更新ユニットが、証明書記録に基づいて第1の車両または第1の車両グループの証明書リストを更新するように構成される前に、本装置は、証明書記録内の署名情報に基づいて証明書記録を検証することを試みるように構成される検証ユニットをさらに含む。更新ユニットは、検証が成功した場合、証明書記録に基づいて、第1の車両に記憶された証明書リストを更新するようにさらに構成される。
可能な実装では、失効した証明書は、車両識別子、デバイス識別子、またはデバイスタイプのうちの1つまたは複数を含む。有効な証明書は、車両識別子、デバイス識別子、またはデバイスタイプのうちの1つまたは複数を含む。
可能な実装では、デバイス識別子は、車両識別子を含む。
第4の態様によれば、本出願は、証明書更新装置を提供する。本装置は、ネットワーク側デバイスに適用され、証明書記録を第1の車両に送るように構成された送信ユニットを含む。証明書記録は、少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を含み、証明書記録は、第1の車両に記憶された証明書リストを更新するために第1の車両によって使用される。証明書リストは、第1の車両について、第1の車両に属するデバイスの失効した証明書または有効な証明書を記録するために使用され、第1の車両に属さないデバイスの失効した証明書または有効な証明書を含まない。代替として、証明書リストは、第1の車両グループについて、第1の車両グループに属するデバイスの失効した証明書または有効な証明書を記録するために使用され、第1の車両グループに属さないデバイスの失効した証明書または有効な証明書を含まない。第1の車両グループは、第1の車両を含む。
可能な実装では、少なくとも1つの失効した証明書または少なくとも1つの有効な証明書は、第1の車両または第1の車両グループに属するデバイスの証明書であり、送信ユニットが証明書記録を第1の車両に送るように構成される前に、本装置は、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定するように構成された決定ユニットと、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書に基づいて、第1の車両または第1の車両グループの証明書記録を生成するように構成された生成ユニットとをさらに含む。
可能な実装では、決定ユニットが、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定するように構成されることは、失効した証明書または有効な証明書内のデバイス識別子または車両識別子に基づいて、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定することを含む。
可能な実装では、決定ユニットが、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定するように構成されることは、車両証明書管理システムに問い合わせることによって、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定することを含む。
可能な実装では、生成ユニットが、第1の車両または第1の車両グループに属するデバイスの失効した証明書または有効な証明書に基づいて第1の車両または第1の車両グループの証明書記録を生成するように構成される前に、本装置は、少なくとも1つの失効した証明書に対応するデバイスがネットワーク接続されたデバイスを含まないと決定するように決定ユニットが構成されることをさらに含み、ネットワーク接続されたデバイスは、第1の車両のネットワーク接続されたデバイスである。送信ユニットが証明書記録を第1の車両に送るように構成されることは、証明書記録を第1の車両内のネットワーク接続されたデバイスに送ることを含む。第1の車両のネットワーク接続されたデバイスは、第1の車両内にあり、外部のデバイス、例えば、別の車両内の車載デバイスまたはネットワーク側デバイスと通信するように構成された車載デバイスである。
可能な実装では、生成ユニットが、第1の車両または第1の車両グループに属するデバイスの失効した証明書または有効な証明書に基づいて証明書記録を生成するように構成される前に、本装置は、少なくとも1つの失効した証明書に対応するデバイスがネットワーク接続されたデバイスを含むと決定するように決定ユニットが構成されることをさらに含み、ネットワーク接続されたデバイスは、第1の車両のネットワーク接続されたデバイスである。通知ユニットは、ネットワーク接続されたデバイスに再登録するように第1の車両のユーザに通知するように構成される。決定ユニットは、ユーザがネットワーク接続されたデバイスに再登録したと決定するようにさらに構成される。送信ユニットが証明書記録を第1の車両に送るように構成されることは、証明書記録を第1の車両内のネットワーク接続されたデバイスに送ることを含む。
可能な実装では、失効した証明書は、車両識別子、デバイス識別子、またはデバイスタイプのうちの1つまたは複数を含む。有効な証明書は、車両識別子、デバイス識別子、またはデバイスタイプのうちの1つまたは複数を含む。デバイスタイプは、ネットワーク接続されたデバイスおよびネットワーク接続されていないデバイスを含む。ネットワーク接続されたデバイスは、車両内にあり、外部のデバイス、例えば、別の車両内の車載デバイスまたはネットワーク側デバイスと通信する車載デバイスである。ネットワーク接続されていないデバイスは、ネットワーク接続されたデバイスを使用することによって外部のデバイスと通信する車両内にある車載デバイスである。
可能な実装では、デバイス識別子は、車両識別子を含む。
可能な実装では、証明書リストは、第2の車両に属するデバイスの失効した証明書または有効な証明書をさらに含み、第2の車両は、第1の車両グループ内の第1の車両以外の別の車両である。第2の車両に属するデバイスの失効した証明書または有効な証明書は、第2の車両を認証することを試みるために第1の車両によって使用される。
第5の態様によれば、本出願は、プロセッサおよびメモリを含む証明書リスト更新装置をさらに提供する。メモリは、コンピュータプログラム命令を記憶するように構成され、プロセッサは、証明書リスト更新装置が第1の態様による証明書リスト更新方法を実行するように、コンピュータプログラム命令を実行するように構成される。
第6の態様によれば、本出願は、プロセッサおよびメモリを含む証明書リスト更新装置をさらに提供する。メモリは、コンピュータプログラム命令を記憶するように構成され、プロセッサは、証明書リスト更新装置が第2の態様による証明書リスト更新方法を実行するように、コンピュータプログラム命令を実行するように構成される。
第7の態様によれば、本出願は、コンピュータ命令を含むコンピュータ可読記憶媒体をさらに提供する。証明書リスト更新装置は、コンピュータ命令がプロセッサによって実行されると、第1の態様または第2の態様による証明書リスト更新方法を実行することが可能になる。
第8の態様によれば、本出願は、コンピュータプログラム製品をさらに提供する。証明書リスト更新装置は、コンピュータプログラム製品がプロセッサ上で実行されると、第1の態様または第2の態様による証明書リスト更新方法を実行することが可能になる。
第9の態様によれば、本出願は、証明書リスト更新システムをさらに提供する。本システムは、第3の態様による証明書リスト更新装置、および第4の態様による証明書リスト更新装置を含む。
第10の態様によれば、本出願は、証明書リスト更新システムをさらに提供する。本システムは、第5の態様による証明書リスト更新装置、および第6の態様による証明書リスト更新装置を含む。
本出願の実施形態の目的、技術的解決策、および利点をより明確にするために、以下は、本出願の実施形態における添付の図面を参照して、本出願の実施形態の技術的解決策について明確に説明する。説明される実施形態は、本出願の実施形態の一部であるがすべてではないことは明らかである。創造的な努力なしに本出願の実施形態に基づいて当業者によって取得されるすべての他の実施形態は、本出願の保護範囲内に入るものとする。
車載デバイスの記憶スペースが制限されるので、車載デバイスが比較的大量の証明書記録を記憶する必要がある場合、いくつかの証明書記録が失われることがあり、それによって車両セキュリティを脅かすという従来の技術の問題を解決するために、本出願は、証明書リスト更新方法を提供する。本方法は、車両のデジタル認証シナリオに適用され、デジタル認証シナリオは、図1(a)に示されるように、ネットワーク側デバイス、車両などを含む。デジタル認証シナリオでは、車両の数量はn(n≧1)であり、n台の車両は、同じ車両グループに属することがあるか、または異なる車両グループに属することがある。車両グループの説明については、以下の内容を参照されたい。詳細は、本明細書では再び説明されない。
ネットワーク側デバイスは、1つまたは複数のクラウドサーバ(図には示さず)であり得る。
ネットワーク側デバイスは、車両内の少なくとも1つのデバイスの証明書(証明書はデジタル証明書であってよい)が失効した後に、少なくとも1つの失効した証明書を取得するように構成される。少なくとも1つの失効した証明書は、同じ車両に属するデバイスの証明書であり得るか、または異なる車両に属するデバイスの証明書であり得る。その後、ネットワーク側デバイスは、取得された少なくとも1つの失効した証明書に基づいて関連する証明書記録を生成し、生成された証明書記録を車両に送る。ネットワーク側デバイスは、車両内の少なくとも1つのデバイスの証明書が更新された後、少なくとも1つの有効な証明書を取得するようにさらに構成される。少なくとも1つの有効な証明書は、同じ車両に属するデバイスの証明書であり得るか、または異なる車両に属するデバイスの証明書であり得る。その後、ネットワーク側デバイスは、取得された少なくとも1つの有効な証明書に基づいて関連する証明書記録を生成し、生成された証明書記録を車両に送る。任意選択で、ネットワーク側デバイスは、失効した証明書または有効な証明書を受信した後に、失効した証明書または有効な証明書の真正性および有効性などのセキュリティ属性を保証するために、ネットワーク側デバイスによって受信された失効した証明書または有効な証明書を検証することを試みるようにさらに構成される。検証が成功した場合、ネットワーク側デバイスは、取得された失効した証明書または有効な証明書に基づいて証明書記録を生成するように構成され、証明書記録は、秘密鍵を使用することによって証明書記録内にCAによって書き込まれた署名情報を含む。
車両は、ネットワーク側デバイスによって送られた証明書記録を受信し、証明書記録に基づいて、車両に記憶された証明書リストを更新するように構成される。任意選択で、車両は、証明書記録の真正性および有効性などのセキュリティ属性を保証するために、証明書記録を受信した後に証明書記録内の署名情報などを検証することを試みるようにさらに構成される。検証が成功した場合、車両は、証明書記録に基づいて、車両に記憶された証明書リストを更新する。
図1(a)に示される車両1が、例として使用される。車両内の車載デバイスは、テレマティクスボックス(telematics box,T-Box)、ゲートウェイ(gateway,GW)、オンボード診断(on board diagnostics,OBD)、本体制御モジュール(body control module,BCM)、ヒューマンマシンインターフェース(human machine interface,HMI)、車両制御ユニット(vehicle control unit,VCU)、モバイルデータセンタ(mobile data center,MDC)、パッシブエントリーパッシブスタート(passive entry passive start,PEPS)、電子制御ユニット(electronic control unit,ECU)1、ECU2、ECU3、ECU4、ワイヤレス電力送信(wireless power transmission,WPT)、バッテリ管理システム(battery management system,BMS)、ECU5、センサsensor1、センサsensor2などを含む。
任意選択で、本出願の実施形態では、車両内のデバイスは、車載デバイスであり、ネットワーク接続されたデバイスおよびネットワーク接続されていないデバイスに分類され得る。ネットワーク接続されたデバイスは、ネットワーク接続されたデバイスが位置する車両内の車載デバイスであり、外部のデバイス、例えば、ネットワーク側デバイスまたは別の車両内の車載デバイスと通信するように構成される。ネットワーク接続されていないデバイスは、ネットワーク接続されていないデバイスが位置する車両内のデバイスであり、ネットワーク接続されたデバイスを使用することによって別の車両内の車載デバイスまたはネットワーク側デバイスと通信するように構成される。図1(a)に示される車両1が、例として使用される。車両1内のT-Boxデバイスのデバイスタイプは、ネットワーク接続されたデバイスであり、BCM、MDC、およびECU1などの車両1内のネットワーク接続されたデバイス(T-Boxデバイス)以外の車載デバイスのデバイスタイプは、ネットワーク接続されていないデバイスである。任意選択で、車両内のネットワーク接続されたデバイスは、代替として、車載インフォテインメント(in-vehicle infotainment,IVI)システムなどであってよい。
T-Boxは、ネットワーク接続されたデバイスであり、外部のデバイス、すなわち、T-Boxが位置する車両以外の別の車両内の車載デバイスまたはネットワーク側デバイスと通信するように構成される。例えば、本出願の実施形態において、T-Boxは、ネットワーク側デバイスから、T-Boxが位置する車両(または車両グループ)に属する車載デバイスの証明書記録を受信する。証明書記録は、T-Boxが位置する車両(または車両グループ)に属する車載デバイスの失効した証明書または有効な証明書を含む。T-Boxは、証明書記録の真正性および有効性などのセキュリティ属性を保証するために、受信された証明書記録内の署名情報などに基づいて証明書記録を検証することを試みるようにさらに構成される。T-Boxは、T-Boxによって受信された証明書記録がT-Boxによって検証された後、検証のために、証明書記録を別の車載デバイス、すなわち、ネットワーク接続されていないデバイスに送るように、または、証明書記録がT-Boxによって検証されることに失敗したとき、証明書記録を破棄するようにさらに構成される。T-Boxは、T-Boxによって受信された証明書記録がネットワーク接続されていないデバイスによって検証された後、証明書記録に基づいて、T-Boxが位置する車両に記憶された証明書リストを更新するようにさらに構成される。T-Boxは、T-Boxによって受信された証明書記録が別の車載デバイスによって検証されることが可能でないとき、T-Boxによって受信された証明書記録を破棄するようにさらに構成される。T-Boxは、車両内のゲートウェイGWなどを使用することによって、T-Boxが位置する車両内のネットワーク接続されていないデバイスと通信するようにさらに構成される。例えば、本出願では、T-Boxは、GWなどを使用することによって、T-Boxが位置する車両内の別の車載デバイスに更新された証明書リストを送る。
GWは、ネットワーク接続されていないデバイスであり、GWが位置する車両内の別のネットワーク接続されていないデバイスとネットワーク接続されたデバイスT-Boxとの間の通信、またはネットワーク接続されていないデバイス間の通信を実施するように構成される。例えば、GWは、T-Boxから証明書記録を受信し、証明書記録の真正性および有効性などのセキュリティ属性を保証するために、受信された証明書記録内の署名情報を検証することを試みる。GWによって受信された証明書記録がGWによって検証されることが可能である場合、GWは、受信された証明書記録を、GWが位置する車両内のネットワーク接続されていないデバイス、例えばOBDに転送する。GWによって受信された証明書記録がGWによって検証されることが可能でない場合、すなわち、検証が失敗した場合、GWは、証明書記録がGWによって検証されることが可能でないことをネットワーク接続されたデバイスT-Boxに通知し、その結果、T-Boxは証明書記録を破棄する。
OBDは、ネットワーク接続されていないデバイスであり、制御システムに関連するシステムまたは構成要素が故障しているかどうかを検出し、故障が発生したとき、運転者などに警告するために使用される。OBDは、GWを使用することによって、OBDが位置する車両内の別の車載デバイス(ネットワーク接続されたデバイスおよびネットワーク接続されていないデバイスを含む)と通信するように、またはGWおよびT-Boxを使用することによって、ネットワーク側デバイスと通信するようにさらに構成される。OBDは、GWから受信された証明書記録内の署名情報などを検証することを試み、証明書記録の真正性および有効性などのセキュリティ属性を保証するようにさらに構成される。検証が成功した場合、OBDは、証明書記録がOBDによって検証されることが可能であることをネットワーク接続されたデバイスT-Boxに通知する。検証が失敗した場合、OBDは、受信された証明書記録を破棄し、証明書記録がOBDによって検証されることが可能でないことをT-Boxに通知する。任意選択で、OBDは、Tボックスによって生成される更新された証明書リストを受信するようにさらに構成される。
本出願のこの実施形態では、車両内のネットワーク接続されていないデバイス、例えば、BCM、HMI、VCU、およびMDCは、ドメインコントローラであり、4つのドメインコントローラは、ドメイン1、ドメイン2、ドメイン3、およびドメイン4に対応する。BCMは、車両上の重要なコントローラであり、車両本体の電気器具、例えば、レインワイパー、電動窓、ドアロック、またはランプを制御するように構成される。BCMに対応するドメイン1は、PEPS、ECU1、およびECU2などのデバイスを含む。PEPSは、キーレスの場合に運転者が車両に入ること、または車両を始動することを可能にするように構成される。ECU1およびECU2は、車両内のマイクロコントローラであり、車両を制御するように構成される。HMIに対応するドメイン2は、ECU3およびECU4などのデバイスを含む。HMIは、人とコンピュータとの間の接続を確立するように構成され、情報送信を実施するために情報を交換するようにさらに構成される。ECU3およびECU4は、車両内のマイクロコントローラであり、車両を制御するように構成される。VCUに対応するドメイン3は、WPT、BMS、およびECU5などのデバイスを含む。VCUは、運転者制御情報、車両走行情報などを取得し、別の装置に制御命令を送り、モータ、バッテリ、エンジンなどと組み合わせて車両を異なる作動状態で制御および駆動するように構成される。WPTは、電磁場または電磁波を使用することによるエネルギー伝達のための技術である。BMSは、バッテリとユーザとの間の接続を確立し、バッテリ利用率を改善し、バッテリの過充電および過放電を低減する、などを行うように構成される。ECU5などは、車両内のマイクロコントローラであり、車両を制御するように構成される。MDCに対応するドメイン4は、センサ1、センサ2などを含む。MDCは、データが自動運転のために使用されるデータである場合、センサ1およびセンサ2などのセンサによって取得されたデータを収集し、GWを使用することによってデータを別のデバイスに送るように構成される。OBDに加えて、車両内の他の車載デバイス、例えば、ドメインコントローラおよびドメイン内デバイスは、ネットワーク接続されたデバイスによって送られた証明書記録を受信し、証明書記録内の署名情報を検証することを試み、証明書記録の真正性および有効性などのセキュリティ属性を保証するようにさらに構成される。車両内の他の車載デバイス、例えば、ドメインコントローラおよびドメイン内デバイスは、検証結果をネットワーク接続されたデバイスT-Boxに送るようにさらに構成され、その結果、T-Boxは、証明書記録についての検証結果に基づいて証明書記録を破棄するか、または、証明書記録についての検証結果および証明書記録に基づいて、ネットワークデバイスが位置する車両に記憶された証明書リストを更新する。
ドメインコントローラは、ドメインコントローラが属するドメイン内のドメイン内デバイスのデバイス証明書(デジタル証明書)を検証することを試み、デバイス証明書の真正性、有効性、および正当性などのセキュリティ属性を保証するようにさらに構成される。検証が成功した場合、ドメイン内デバイスは、ドメインコントローラおよびGWを使用することによって別のデバイスと通信することができる。異なるドメイン内のデバイスは、デバイスが属するドメインのドメインコントローラを使用することによって互いに通信する。同じドメイン内のデバイスは、互いに直接通信することができる。任意選択で、異なるドメイン内のデバイスが直接接続される場合、例えば、異なるドメイン内のデバイスがBluetoothなどを使用することによって直接接続される場合、異なるドメイン内のデバイスは、互いに直接通信し得る。すなわち、車両1内のT-Box、OBD、BCM、HMI、VCU、およびMDCは、GWを使用することによって互いに通信するか、または代替として、T-Box、OBD、BCM、HMI、VCU、およびMDCは、互いに直接通信し得る。ドメインコントローラおよびドメイン内デバイスは、ネットワーク接続されていないデバイスである。
例えば、ドメイン3内のECU5がドメイン1内のECU2と通信する必要があり、ECU5がECU2に直接接続されていない場合、ECU2およびECU5は、BCM、VCU、およびGWを使用することによって互いに通信する。ドメイン3内のECU5がドメイン1内のECU2と通信する必要があり、ECU5がBluetoothを使用することによってECU2に直接接続される場合、ECU2およびECU5は、BCM、VCU、およびGWを使用することによって互いに通信することがあり、または、Bluetoothを使用することによって互いに直接通信することがある。
任意選択で、ドメイン内デバイス、すなわちドメイン1から4内のデバイスが有効にされた後、ドメインコントローラは、有効にされたドメイン内デバイスの識別を検証することを試み、すなわち、ドメイン内デバイスのデバイス証明書を検証することを試み、デバイス証明書の真正性、有効性、および正当性などのセキュリティ属性を保証するようにさらに構成される。デバイス証明書に対する検証が成功した場合、すなわち、ドメイン内のデバイスの識別が有効であると決定された場合、有効にされたドメイン内デバイスは、正常に動作することができる。代替として、車両の機能が使用される前に、機能に関連するドメインコントローラおよびドメイン内デバイスが決定され、次いで、ネットワーク接続されたデバイスは、これらのデバイスの識別の有効性を決定するために、機能に関連するデバイスのデバイス証明書を検証することを試みる。この機能に関連するデバイスのデバイス証明書に対する検証が成功した場合、デバイスの識別は有効であり、デバイスは正常に使用されることが可能であると決定されることができる。検証が失敗した場合、検証されることができないデバイスが無効にされるか、または、機能が無効にされる。
可能な実装では、デバイスの有効な証明書は、デバイスの識別の有効性を保証することができるデバイス証明書であり、デバイス証明書は、デジタル証明書であってよい。通常、デバイスのデバイス証明書は特定の時間期間において有効であり、特定の時間期間は、デバイスのデバイス証明書の有効期間である。デバイスの識別に対して検証が実行されるとき、デバイスのデバイス識別子が決定される。デバイスのデバイス証明書内のデバイス識別子がデバイス識別子と同じであり、デバイス証明書が満了していないか、またはデバイス証明書が失効していない場合、デバイス証明書は、検証されることが可能である。言い換えれば、デバイス証明書に対応するデバイスの有効性が検証される。デバイスのデバイス証明書内のデバイス識別子がデバイス識別子と異なる場合、またはデバイス証明書が満了している場合、またはデバイス証明書が失効した証明書である場合、デバイス証明書は、検証されることができない。言い換えれば、デバイス証明書に対応するデバイスの識別が無効である。
可能な実装では、デバイスのデバイス証明書の有効性は、デジタル証明書に対応するデバイスに記憶された秘密鍵とデジタル証明書の有効期間とを使用することによってさらに保証される。ネットワーク側デバイスは、秘密鍵を使用してデバイス証明書に署名する(すなわち、公開鍵およびデバイス識別子を暗号化して、暗号化された情報を取得する)。この場合、ネットワーク接続されたデバイスおよび車両の車載デバイスは、ネットワーク接続されたデバイスおよび車載デバイスに記憶された秘密鍵を使用することによってデバイス証明書の署名情報を検証することを試みる(すなわち、秘密鍵を使用することによって暗号化された情報を復号し、公開鍵およびデバイス識別子を取得する)ことがある。検証が成功した(すなわち、取得された公開鍵およびデバイス識別子が暗号化された情報と同じである)場合、デバイス証明書は満了せず、デバイス証明書は失効せず、デバイス証明書は検証され、デバイス証明書に対応するデバイスは有効である。
例えば、自動運転機能を有効にするために、VCUは、MDCの識別の有効性を決定するためにMDCのデバイス証明書を検証することを試みる必要がある。HMIおよびMDCは、HMIおよびMDCの識別の有効性を決定するために、互いのデバイス証明書を検証することを試みる必要がある。検証が成功した後、VCU、HMI、およびMDCの識別は有効であり、自動運転機能は、正常に有効にされることが可能である。任意選択で、VCU、HMI、およびMDCに関連する自動運転機能が、通常使用され得る。
前述の処理によれば、第1に、本出願のこの実施形態では、デバイス識別の有効性は、デバイスのデジタル証明書を使用することによって保証され得る。デバイスが使用される前に、認証されていないデバイスが車両を監視すること、または車両に干渉する命令を送ることを防止し、それによって車両セキュリティを保証するために、デバイスに対応するデジタル証明書に対して検証が実行される。第2に、本出願のこの実施形態では、証明書記録の真正性、有効性などを保証し、それによって車両セキュリティを保証するために、失効した証明書または有効な証明書を含む証明書記録に対して検証が実行される。第3に、本出願のこの実施形態における証明書記録は、ネットワーク側デバイスによって受信された失効した証明書または有効な証明書に基づいてネットワーク側デバイスによって生成される。したがって、証明書リストが更新されるとき、新たに追加された証明書記録のみが更新される。車載デバイスの記憶スペースが制限されるとき、車両に関連する証明書記録は、証明書記録の損失を低減し、それによって車両セキュリティを保証するために、可能な限り記憶され得る。
図1(a)に示される適用シナリオに加えて、本出願のこの実施形態は、中央コンピューティングアーキテクチャ(central computing architecture,CCA)に基づく車両内のデバイス認証にさらに適用され得る。図1(b)を参照されたい。中央コンピューティングアーキテクチャは、複数の車両統合性/統合ユニット(vehicle integrated/integration unit,VIU)および複数の自動車構成要素を含む。複数のVIUは、高帯域幅、低レイテンシ、および高信頼の処理能力を実装するために、リングネットワークを形成する。これは、車載ネットワーク構成を簡略化し、更新およびメンテナンスの効率を改善する。複数の自動車構成要素は、VIUに接続され、VIUを使用することによって、ドメインコントローラ(domain controller,DC)、例えば、コックピットドメインコントローラ(cockpit domain controller,CDC)、モバイルデータセンタ(mobile data center,MDC)(またはインテリジェントコンピューティングセンタと呼ばれる)、または車両ドメインコントローラ(vehicle domain control,VDC)に接続され得る。これは、自動車の電子制御機能を実装するための従来のシステムにおいて、各自動車構成要素がそれぞれのハーネスを通してドメインコントローラDCに接続される必要があることを回避し、それによって、自動車電子制御機能を実装するためのシステムにおけるハーネス長を低減するのに役立つ。
前述のネットワーク側デバイスおよび車両の特定の作動処理について、以下の方法の実施形態における対応する処理を参照されたい。詳細は、本明細書では再び説明されない。
本出願における方法の実施形態が詳細に説明される前に、第1に、本出願における車両グループが、次のように説明される。
可能な実装では、車両グループは、車両のブランドに基づいて分類され得るか、または車両のモデルに基づいて分類され得るか、または車両の位置に基づいて分類され得る。当然、車両グループは、代替として、別の条件、例えば、車両色などに従って分類されてよく、これは、前述の分類方法に限定されない。
例えば、瞬間に駐車場に駐車された20台の車両が、例として使用される。駐車場は、エリアAおよびエリアBを含む。エリアAには15台の車両が存在し、エリアBには5台の車両が存在する。エリアAの15台の車両のうち、5台の車両がブランドaに属し、10台の車両がブランドbに属する。エリアBの5台の車両のうち、3台の車両がブランドcに属し、2台の車両がブランドbに属する。ブランドaに属する車両のうち、2台の車両がシリーズdに属し、3台の車両がシリーズeに属する。ブランドbに属する車両のうち、8台の車両がシリーズfに属し、6台の車両がシリーズgに属する。ブランドcに属する車両のうち、2台の車両がシリーズhに属し、1台の車両がシリーズiに属する。20台の車両が位置するエリアAおよびBに基づいて車両グループに分類される場合、2つの車両グループ、すなわち車両グループ1および車両グループ2が取得され得る。エリアAの15台の車両は車両グループ1に属し、エリアBの5台の車両は車両グループ2に属する。駐車場内の20台の車両が車両ブランドに基づいて車両グループに分類される場合、3つの車両グループ、すなわち車両グループ1、車両グループ2、および車両グループ3が取得され得る。ブランドaの車両は車両グループ3に属し、ブランドbの車両は車両グループ4に属し、ブランドcの車両は車両グループ5に属する。車両グループが車両モデルに基づいて分類される場合、6つの車両グループ、すなわち、車両グループ1、車両グループ2、車両グループ3、車両グループ4、車両グループ5、および車両グループ6が取得され得る。シリーズdの車両は車両グループ1に属し、シリーズeの車両は車両グループ2に属し、シリーズfの車両は車両グループ3に属し、シリーズgの車両は車両グループ4に属し、シリーズhの車両は車両グループ5に属し、シリーズiの車両は車両グループ6に属する。
第1の車両または第1の車両グループに記憶される必要がある証明書記録を低減し、車載デバイスに記憶された車載証明書リストの完全性を保証するために、本出願は、証明書リスト更新方法を提供する。ネットワーク側デバイスは、失効した証明書または有効な証明書を取得した後、取得された失効した証明書または取得された有効な証明書に基づいて、第1の車両または第1の車両グループの証明書記録を生成する。次いで、ネットワーク側デバイスは、証明書記録を第1の車両に送る。それに応じて、第1の車両は、第1の車両または第1の車両グループのものであり、ネットワーク側デバイスによって送られる証明書記録を取得する。最後に、第1の車両は、受信された証明書記録に基づいて、第1の車両に記憶された証明書リストを更新する。図2に示されるように、証明書リスト更新方法は、主に以下のステップS201からS203を含む。
S201:ネットワーク側デバイスが、取得された失効した証明書または取得された有効な証明書に基づいて、第1の車両または第1の車両グループの証明書記録を生成する。
第1の車両グループは、複数の車両グループのうちのいずれかの車両グループであり、第1の車両は、第1の車両グループ内のいずれかの車両である。ネットワーク側デバイスによって生成された証明書記録は、第1の車両に記憶された証明書リストを更新するために第1の車両によって使用される。1つまたは複数の証明書記録が存在してよく、証明書記録は、第1の車両または第1の車両グループのためにネットワーク側デバイスによって生成される。証明書記録内の各失効した証明書または各有効な証明書は、第1の車両または第1の車両グループに属するデバイスの証明書である。第1の車両の証明書リストは、第1の車両について、第1の車両に属するデバイスの失効した証明書または有効な証明書を記録するために使用され、第1の車両に属さないデバイスの失効した証明書または有効な証明書を含まない。代替として、第1の車両の証明書リストは、第1の車両グループについて、第1の車両グループに属するデバイスの失効した証明書または有効な証明書を記録するために使用され、第1の車両グループに属さない失効した証明書または有効な証明書を含まない。
任意選択で、ネットワーク側デバイスは、少なくとも1つのデバイスの証明書が失効した後に、少なくとも1つの失効した証明書を取得する。ネットワーク側デバイスは、少なくとも1つのデバイスが登録を実行した後、少なくとも1つの有効な証明書を取得する。ネットワーク側デバイスは、失効した証明書または有効な証明書を取得した後、失効した証明書または有効な証明書に対応するデバイスが位置する車両に基づいて、第1の車両または第1の車両グループの証明書記録を生成する。証明書記録は、少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を含む。
可能な実装では、ネットワーク側デバイスは、失効した証明書または有効な証明書の番号を取得し、その番号に基づいて車両証明書管理システムに問い合わせて、その番号に対応する失効した証明書または有効な証明書を取得する。車両証明書管理システムは、ネットワーク側デバイス上に位置し得るか、または別のデバイス上に位置し得る。車両証明書管理システムは、車両に属するデバイスの失効した証明書および車両に属するデバイスの有効な証明書を含む、車両のデバイス証明書を管理するように構成される。デバイスの有効な証明書の有効期間が終了した後、車両証明書管理システムは、有効な証明書を無効な証明書、すなわち失効した証明書と決定し得る。代替として、車両証明書管理システムは、車両証明書管理システムによって受信された命令に従って、デバイスの有効な証明書を失効した証明書と決定し得る。車両証明書管理システムは、失効した証明書の番号および有効な証明書の番号を記憶し、失効した証明書の番号または有効な証明書の番号に対応する証明書、失効した証明書または有効な証明書に対応する車載デバイスが位置する車両の識別子、車載デバイスの識別子、車両が位置する車両グループ内の車両の識別子、各車両識別子に対応する車両のネットワーク接続されたデバイスのデバイス識別子などをさらに記憶する。
第1の車両または第1の車両グループのためにネットワーク側デバイスによって生成された証明書記録は、新たに追加された失効した証明書または新たに追加された有効な証明書に基づいて生成されることに留意されたい。したがって、証明書記録の量は比較的小さい。既存の証明書記録および新たに追加された証明書記録の両方を記憶のために第1の車両のデバイスに送ることと比較して、新たに追加された証明書記録のみを記憶のために第1の車両の車載デバイスに送ることは、車載デバイスの記憶スペースが制限されるとき、現在受信されている証明書リストを記憶するための空間を可能な限り低減することができ、それによって、車載デバイスに記憶された証明書記録の損失を低減し、車載デバイスに記憶された証明書リストの完全性を保証し、車両セキュリティを保証する。
S202:ネットワーク側デバイスは、第1の車両または第1の車両グループの証明書記録を第1の車両に送る。
ネットワーク側デバイスは、第1の車両の車両識別子に基づいて、第1の車両または第1の車両グループのためにネットワーク側デバイスによって生成された証明書記録を、第1の車両のネットワーク接続されたデバイスに送る。それに応じて、第1の車両のネットワーク接続されたデバイスは、第1の車両または第1の車両グループのものであり、ネットワーク側デバイスによって送られる証明書記録を受信する。
可能な実装では、ネットワーク側デバイスによって生成された証明書記録が第1の車両の証明書記録である場合、証明書記録は、第1の車両に属するデバイスの失効した証明書または有効な証明書を含む。ネットワーク側デバイスによって生成された証明書記録が第1の車両グループの証明書記録である場合、証明書記録は、第1の車両グループに属するデバイスの失効した証明書または有効な証明書を含む。
前述の処理によれば、本出願では、第1の車両または第1の車両グループの証明書記録は、第1の車両のネットワーク接続されたデバイスに配信されることに留意されたい。第1の車両がネットワーク側デバイスによって送られたすべての車両の証明書記録を記憶するための記憶スペースと比較して、第1の車両が第1の車両または第1の車両グループの証明書記録を記憶するための記憶スペースは、比較的小さい。したがって、車載デバイスの記憶スペースが比較的小さいとき、本出願のこの実施形態では、第1の車両の車載デバイスに記憶された証明書記録の損失は、低減される可能性があり、それによって、第1の車両に記憶された証明書記録の完全性を保証し、車両セキュリティを改善する。
S203:第1の車両は、第1の車両によって受信された証明書記録に基づいて、第1の車両に記憶された証明書リストを更新する。
第1の車両のネットワーク接続されたデバイスは、第1の車両のネットワーク接続されたデバイスによって受信された証明書記録内の各失効した証明書または各有効な証明書を第1の車両の証明書リストに追加し、証明書リストを第1の車両のネットワーク接続されていないデバイスに送って、第1の車両の証明書リストを更新する。証明書リストは、以前に失効した証明書記録または有効な証明書と、新たに追加された失効した証明書または新たに追加された有効な証明書とを含む。
別の可能な実装では、新しい証明書リストが、第1の車両のネットワーク接続されたデバイスによって受信された証明書記録内の各失効した証明書または各有効な証明書に基づいて生成され、新しい証明書リストは、第1の車両内のネットワーク接続されていないデバイスに送られる。新しい証明書リストは、新たに追加された失効した証明書または新たに追加された有効な証明書のみを含む。
前述の処理によれば、ネットワーク側デバイスは、ネットワーク側デバイスによって取得された失効した証明書または有効な証明書と、失効した証明書または有効な証明書に対応するデバイスが位置する車両とに基づいて、第1の車両または第1の車両グループの証明書記録を生成し、証明書記録を第1の車両に送り、次いで、第1の車両は、受信された証明書記録に基づいて、第1の車両に記憶された証明書リストを更新することに留意されたい。ネットワーク側デバイスによって生成された証明書記録は、新たに追加された失効した証明書または新たに追加された有効な証明書の証明書記録であり、証明書記録は、第1の車両または第1の車両グループのためのものである。第1の車両は、記憶される比較的少量の証明書記録を受信し、証明書記録に基づいて取得された証明書リストを記憶するための記憶スペースは、比較的小さい。したがって、車載デバイスの記憶スペースが制限されるとき、本出願のこの実施形態では、車両内の車載デバイスに記憶される必要がある証明書記録の損失が低減されることが可能であり、それによって、車両内の車載デバイスに記憶された証明書リストの完全性を可能な限り保証し、車両セキュリティを保証する。
第1の車両内の車載デバイスに記憶される必要がある証明書記録を低減し、車載デバイスに記憶された証明書リストの完全性を保証するために、本出願は、証明書リスト更新方法をさらに提供する。図3に示されるように、本方法は、ステップS301からS306を含む。
S301:ネットワーク側デバイスが、失効した証明書または有効な証明書を取得する。
失効した証明書または有効な証明書の説明について、以下の内容を参照されたい。詳細は、本明細書では再び説明されない。
任意選択で、ネットワーク側デバイスは、少なくとも1つの車載デバイスの証明書が失効した後に、少なくとも1つの失効した証明書を取得する。ネットワーク側デバイスは、少なくとも1つの車載デバイスが登録または更新を実行した後、少なくとも1つの有効な証明書を取得する。
任意選択で、ネットワーク側デバイスは、失効した証明書または有効な証明書を取得した後、ネットワーク側デバイスによって取得された失効した証明書に対応する車載デバイスがネットワーク接続されたデバイスを含むかどうかを決定する。ネットワーク側デバイスによって取得された失効した証明書に対応するデバイスがネットワーク接続されたデバイスを含む場合、ネットワーク側デバイスは、ネットワーク接続されたデバイスに再登録するように第1の車両のユーザに通知する。ユーザがネットワーク接続されたデバイスに再登録した後、ネットワーク側デバイスは、ネットワーク接続されたデバイスの有効な証明書を取得する。この場合、ネットワーク側デバイスは、ネットワーク接続されたデバイスの再登録が完了される前に受信された失効した証明書または有効な証明書と、ネットワーク接続されたデバイスのものであり、ネットワーク接続されたデバイスの再登録後に取得される有効な証明書とに基づいて、証明書記録を生成する。ネットワーク側デバイスによって取得された失効した証明書に対応する車載デバイスがネットワーク接続されたデバイスを含まない場合、ネットワーク側デバイスは、ネットワーク側デバイスによって取得された失効した証明書または有効な証明書に基づいて証明書記録を生成する。
可能な実装では、図4に示されるように、ネットワーク側デバイスは、失効した証明書または有効な証明書を取得した後、ネットワーク側デバイスによって取得された失効した証明書に対応する車載デバイスがネットワーク接続されたデバイスを含むかどうかを決定する。ネットワーク側デバイスによって取得された失効した証明書に対応する車載デバイスがネットワーク接続されたデバイスを含む場合、ネットワーク側デバイスは、ネットワーク側デバイスがネットワーク接続されたデバイスの有効な証明書を受信したかどうか、すなわち、ネットワーク接続されたデバイスのデバイス証明書が更新されたかどうかを決定する。ネットワーク側デバイスによって取得された失効した証明書に対応する車載デバイスがネットワーク接続されたデバイスを含み、ネットワーク側デバイスがネットワーク接続されたデバイスの有効な証明書をさらに取得した場合、すなわち、ネットワーク接続されたデバイスのデバイス証明書が更新された場合、ネットワーク側デバイスは、ネットワーク接続されたデバイスに再登録するようにユーザに通知しなくなり、ネットワーク側デバイスによって受信された失効した証明書および有効な証明書に基づいて証明書記録を生成する。ネットワーク側デバイスによって取得された失効した証明書に対応するデバイスがネットワーク接続されたデバイスを含み、ネットワーク側デバイスがネットワーク接続されたデバイスの有効な証明書を取得しない場合、すなわち、ネットワーク接続されたデバイスのデバイス証明書が更新されない場合、ネットワーク側デバイスは、ネットワーク接続されたデバイスに再登録するようにユーザに通知し、ネットワークデバイスの有効な証明書を取得する。その後、ネットワーク側デバイスは、ネットワーク側デバイスによって取得された失効した証明書と有効な証明書とに基づいて証明書記録を生成する。ネットワーク側デバイスによって取得された失効した証明書に対応する車載デバイスが、ネットワーク接続されたデバイスを含まない場合、すなわち、ネットワーク接続されていないデバイスのみを含む場合、ネットワーク側デバイスは、ネットワーク側デバイスによって取得された失効した証明書または有効な証明書に基づいて証明書記録を生成する。
可能な実装では、ネットワーク側デバイスは、失効した証明書または有効な証明書の番号を取得し、その番号に基づいて車両証明書管理システムに問い合わせて、その番号に対応する失効した証明書または有効な証明書を取得する。車両証明書管理システムは、ネットワーク側デバイス上に位置し得るか、または別のデバイス上に位置し得る。車両証明書管理システムは、車両に属するデバイスの失効した証明書および車両に属するデバイスの有効な証明書を含む、車両のデバイス証明書を管理するように構成される。デバイスの有効な証明書の有効期間が終了した後、車両証明書管理システムは、有効な証明書を無効な証明書、すなわち失効した証明書と決定し得る。代替として、車両証明書管理システムは、車両証明書管理システムによって受信された命令に従って、デバイスの有効な証明書を失効した証明書と決定し得る。車両証明書管理システムは、失効した証明書の番号および有効な証明書の番号を記憶し、失効した証明書または有効な証明書に対応するデバイスが位置する車両の識別子、デバイスの識別子、車両が位置する車両グループ内の車両の識別子、各車両識別子に対応する車両のネットワーク接続されたデバイスのデバイス識別子などをさらに記憶する。
S302:ネットワーク側デバイスが、第1の車両または第1の車両グループに属する少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定する。
任意選択で、ネットワーク側デバイスは、ステップS301において失効した証明書または有効な証明書を取得した後、失効した証明書または有効な証明書内のデバイス識別子または車両識別子(ネットワーク接続されたデバイスのデバイス識別子またはネットワーク接続されていないデバイスのデバイス識別子)に基づいて、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定する。
別の可能な実装では、ネットワーク側デバイスは、ステップS301において失効した証明書または有効な証明書を取得した後、車両証明書管理システムに問い合わせることによって、ネットワーク側デバイスによって取得された証明書内にあり、第1の車両または第1の車両グループに属するデバイスのものである少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定する。
別の可能な実装では、ネットワーク側デバイスは、失効した証明書または有効な証明書の番号を取得し、ユーザは、その番号に基づいて車両証明書管理システムに問い合わせて、その番号に対応する失効した証明書または有効な証明書、失効した証明書または有効な証明書に対応するデバイスが位置する車両、車両が位置する車両グループなどを決定する。次いで、ネットワーク側デバイスは、車両証明書管理システム内で見つけられた失効した証明書または有効な証明書と、失効した証明書または有効な証明書に対応するデバイスが位置する車両または車両グループとに基づいて、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定する。
S303:ネットワーク側デバイスは、第1の車両または第1の車両グループに属する少なくとも1つの失効した証明書または少なくとも1つの有効な証明書に基づいて、第1の車両または第1の車両グループの証明書記録を生成する。
任意選択で、ネットワーク側デバイスは、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書に基づいて、第1の車両または第1の車両グループの証明書記録を生成する。
別の可能な実装では、ネットワーク側デバイスは、失効した証明書または有効な証明書の番号を取得し、ユーザは、その番号に基づいて車両証明書管理システムに問い合わせて、その番号に対応する失効した証明書または有効な証明書を決定し、失効した証明書または有効な証明書に対応するデバイスが位置する車両の識別子、車両が位置する車両グループの識別子、および車両グループ内のすべての車両の識別子を決定する。その後、ネットワーク側デバイスは、車両証明書管理システムからネットワーク側デバイスによって取得された情報に基づいて、第1の車両または第1の車両グループの証明書記録を生成する。第1の車両の証明書記録は、第1の車両に属するデバイスの失効した証明書または有効な証明書の番号、第1の車両の車両識別子、第1の車両のネットワーク接続されたデバイスのデバイス識別子、および失効した証明書または有効な証明書に対応するデバイスのデバイス識別子を含む。第1の車両グループの証明書記録は、第1の車両グループに属するデバイスの失効した証明書または有効な証明書の番号、第1の車両グループ内のすべての車両の識別子、第1の車両グループ内のすべての車両内のネットワーク接続されたデバイスのデバイス識別子、および失効した証明書または有効な証明書に対応するデバイスのデバイス識別子を含む。
可能な実装では、CAは、ステップS301からS303を実行する。CAおよび車両証明書管理システムは、ネットワーク側デバイスの同じサーバ上に位置し得るか、またはネットワーク側デバイスの異なるサーバ上に位置し得る。
S304:ネットワーク側デバイスは、第1の車両または第1の車両グループの証明書記録を第1の車両に送る。
ネットワーク側デバイスは、第1の車両の車両識別子に基づいて、第1の車両または第1の車両グループの証明書記録を、第1の車両のネットワーク接続されたデバイスに送る。それに応じて、第1の車両のネットワーク接続されたデバイスは、第1の車両または第1の車両グループのものであり、ネットワーク側デバイスによって送られる証明書記録を受信する。
別の可能な実装では、ネットワーク側デバイスは、第1の車両グループ内のすべての車両の識別子に基づいて、第1の車両または第1の車両グループの証明書記録を、第1の車両グループ内のすべての車両に送る。第1の車両は、第1の車両グループ内に位置する。
S305:第1の車両は、第1の車両によって受信された証明書記録を検証することを試みる。
任意選択で、ネットワーク側デバイスは、証明書記録を生成した後、秘密鍵を使用することによって署名情報を証明書記録に書き込む。第1の車両のネットワーク接続されたデバイスは、第1の車両または第1の車両グループの証明書記録を受信した後、第1の車両のネットワーク接続されたデバイスに記憶された秘密鍵に基づいて、ネットワーク接続されたデバイスによって受信された証明書記録内の署名情報を検証することを試みる。検証が成功した場合、例えば、ネットワーク接続されたデバイスに記憶された秘密鍵を使用することによって証明書記録内の署名情報を復号することにより第1の車両のネットワーク接続されたデバイスによって取得された情報が、ネットワーク側デバイスによって証明書記録に書き込まれた情報と同じである場合、第1の車両のネットワーク接続されたデバイスは、第1の車両のネットワーク接続されたデバイスによって受信された証明書記録に基づいて、第1の車両に記憶された証明書リストを更新する。検証が失敗した場合、第1の車両のネットワーク接続されたデバイスは、第1の車両のネットワーク接続されたデバイスによって受信された証明書記録が無効または不正確であると決定し、証明書記録を破棄する。
例えば、図1(a)に示される車両1の構成が、例として使用される。Tボックスは、Tボックスによって受信された証明書記録内の署名情報を検証することを試みる。検証が成功した場合、T-Boxは、T-Boxによって受信された証明書記録に基づいて、第1の車両に記憶された証明書リストを更新する。検証が失敗した場合、Tボックスは、受信された証明書記録を破棄する。
任意選択で、第1の車両のネットワーク接続されたデバイスは、第1の車両によって受信された証明書記録を検証することを試み、検証が成功した場合、ネットワーク接続されたデバイスは、検証のために証明書記録を車載デバイスに配信する。証明書記録が予め設定された数量の車載デバイスによって検証されることが可能である場合、第1の車両のネットワーク接続されたデバイスは、第1の車両のネットワーク接続されたデバイスによって受信された証明書記録に基づいて、第1の車両に記憶された証明書リストを更新する。証明書記録が、ネットワーク接続されたデバイスによって検証されることができない場合、または少なくとも予め設定された数量の車載デバイスによって検証されることができない場合、ネットワーク接続されたデバイスは、ネットワーク接続されたデバイスによって受信された証明書記録が無効または不正確であると決定し、証明書記録を破棄する。
例えば、図1(a)に示される車両1の構成では、予め設定された数量は4である。T-Boxは、ネットワーク接続されたデバイスであり、車両内の別の車載デバイスは、ネットワーク接続されていないデバイスである。T-Boxは、T-Boxによって受信された証明書記録内の署名情報を検証することを試み、検証が成功した場合、T-Boxは、T-Boxによって受信された証明書記録を検証のためにGWに送る。検証が失敗した場合、T-Boxは、T-Boxによって受信された証明書記録が無効または不正確であると決定し、証明書記録を破棄する。例えば、T-Boxによって受信された証明書記録は、T-Boxによって検証されることが可能である。GWは、T-Boxによって送られた証明書記録を受信し、証明書記録内の署名情報を検証することを試みる。検証が成功した場合、証明書記録は、2つの車載デバイス、すなわちGWおよびT-Boxによって検証されてきており、GWは、検証のために、BCM、HMI、VCU、およびMDCなどのドメインコントローラと、OBDシステムなどのGWと直接通信する別の車載デバイスとに証明書記録を送る。検証が失敗した場合、GWは、証明書記録が無効であることをT-Boxに通知し、その結果、T-Boxは、証明書記録を破棄する。例えば、証明書記録は、GWによって検証されることが可能である。ドメインコントローラおよびGWと直接通信する別の車載デバイスは、GWによって送られる受信された証明書記録を検証することを試みる。証明書記録がこれらの車載デバイスのうちの2つによって検証されることが可能である場合、証明書記録は、4つの車載デバイスによって検証されてきており、T-Boxは、証明書記録が有効であると決定し、T-Boxによって受信された証明書記録に基づいて、第1の車両に記憶された証明書リストを更新する。証明書記録が1つのドメインコントローラのみによって検証されることが可能である場合、1つのドメインコントローラは、証明書記録をドメインコントローラのドメイン内デバイスに送る。証明書記録が少なくとも1つのドメイン内デバイスによって検証されることが可能である場合、証明書記録は、4つの車載デバイスによって検証されてきており、Tボックスは、証明書記録が有効であると決定し、Tボックスによって受信された証明書記録に基づいて、第1の車両に記憶された証明書リストを更新する。証明書記録が、前述のドメインコントローラ内の少なくとも2つの車載デバイスと、GWと直接通信する車載デバイスとによって検証されることが可能でない場合、T-Boxは、証明書記録が無効であると決定し、証明書記録を破棄する。
第1の車両によって受信された1つまたは複数の証明書記録が存在することがあり、各証明書記録は、ネットワーク側デバイスによって書き込まれた署名情報を含むことに留意されたい。第1の車両の車載デバイスは、車載デバイスによって受信された証明書記録を1つずつ検証することを試み、ネットワーク接続されたデバイスによって検証された証明書記録およびネットワーク接続されたデバイスを使用して、第1の車両に記憶された証明書リストを更新することがある。
S306:第1の車両は、受信された証明書記録に基づいて、第1の車両に記憶された証明書リストを更新する。
任意選択で、第1の車両のネットワーク接続されたデバイスは、第1の車両のネットワーク接続されたデバイスによって受信された証明書記録内の各失効した証明書または各有効な証明書を第1の車両の証明書リストに追加し、証明書リストを第1の車両のネットワーク接続されていないデバイスに送って、第1の車両の証明書リストを更新する。証明書リストは、以前に失効した証明書記録または有効な証明書と、新たに追加された失効した証明書または新たに追加された有効な証明書とを含む。
別の可能な実装では、第1の車両のネットワーク接続されたデバイスは、第1の車両のネットワーク接続されたデバイスによって受信された証明書記録内の各失効した証明書または各有効な証明書に基づいて新しい証明書リストを生成し、新しい証明書リストを第1の車両のネットワーク接続されていないデバイスに送る。新しい証明書リストは、新たに追加された失効した証明書または新たに追加された有効な証明書のみを含む。
任意選択で、第1の車両の証明書リストは、第1の車両のネットワーク接続されたデバイスによって受信された証明書記録の形式で記憶され得るか、または、別の形式、例えばブロックチェーン形式で記憶され得る。
任意選択で、第1の車両の証明書リストは、ブロックチェーンの形式で第1の車両内の各車載デバイスに記憶される。第1の車両は、第1の証明書リストデータブロックの識別子を取得し、ここで、第1の証明書リストデータブロックは、更新前の証明書リストに対応するデータブロック、すなわち、ネットワーク接続されたデバイスによって最後に受信された証明書記録に基づいて生成された証明書リストデータブロックである。次いで、ネットワーク接続されたデバイスは、第1の証明書リストデータブロックの識別子および証明書記録に基づいて、更新された証明書リストデータブロックを生成する。更新された証明書リストデータブロックは、ブロックヘッダ、ブロック本体、ブロックサイズ、証明書の量(すなわち、証明書記録内の失効した証明書または有効な証明書の量)、すなわち、証明書記録の量などを含む。更新された証明書リストデータブロックのブロックヘッダは、第1の証明書リストデータブロックの識別子を含み、更新された証明書リストデータブロックのブロック本体は、第1の車両によって受信された証明書記録を含む。最後に、ネットワーク接続されたデバイスは、生成される更新された証明書リストデータブロックを、ネットワーク接続されたデバイスが位置する車両上のネットワーク接続されていないデバイスに送る。
可能な実装では、更新された証明書リストデータブロックのブロックヘッダは、ネットワーク接続されたデバイスによって受信された証明書記録の識別子、すなわち、更新された証明書リストデータブロックの識別子をさらに含む。
例えば、ネットワーク接続されたデバイスによって生成される更新された証明書リストデータブロックの構成は、表1に示されており、ブロックサイズ、ブロックヘッダ、ブロック本体、および証明書の量を含む。ブロックサイズは、2バイトである。ブロックヘッダは、以前のブロックの識別子、すなわち、第1の証明書リストデータブロックの識別子を含み、識別子は、第1の証明書リストデータブロックのハッシュ値およびマークルルートであることがある。マークルルートは、以前のブロックのハッシュ値および証明書記録、すなわち、更新された証明書リストデータブロックの識別子、すなわち、証明書記録の識別子に基づく計算を通して取得される。マークルルートのサイズは32バイトであり、以前のブロックのハッシュ値(識別子)は32バイトである。証明書の量、すなわち、証明書記録内の失効した証明書および有効な証明書の量は、1バイトである。ブロック本体は、証明書記録を含む。
可能な実装では、更新された証明書リストデータブロックのブロック本体は、第1の証明書リストデータブロックをさらに含む。
第1の車両の証明書リストは、ブロックチェーンの形式で記憶され、更新された証明書リストデータブロックおよび第1の証明書リストデータブロックは、2つのデータブロックの識別子を使用することによって接続され、その結果、記憶された証明書記録が改ざんされることを防止されることが可能であり、証明書リストを記憶するために使用される記憶スペースが低減され、それによって、証明書記録の損失を低減し、ネットワーク接続されたデバイスおよび車載デバイスに記憶された証明書リストの完全性およびセキュリティを保証することに留意されたい。
加えて、第1の車両に記憶された証明書リストは、第1の車両に属する失効した証明書または有効な証明書を含み、第2の車両に属する失効した証明書または有効な証明書をさらに含む。第2の車両は、第1の車両グループ内の第1の車両以外の別の車両である。第1の車両グループ内の第1の車両が第1の車両グループ内の第2の車両と通信するとき、第1の車両は、第2の車両の失効した証明書または有効な証明書内の署名情報に基づいて第2の車両の識別を検証することを試みて、第2の車両の識別の有効性を決定し、第1の車両と第2の車両との間の通信のセキュリティを保証することがある。
前述の処理によれば、ネットワーク側によって第1の車両に送られた証明書記録は、第1の車両または第1の車両グループの証明書記録であり、証明書記録の量は、比較的小さい。第1の車両が記憶する証明書記録が少ないほど、証明書リストを記憶するために第1の車両によって使用される記憶スペースは小さくなる。車両内のデバイスの記憶スペースが制限されるとき、証明書記録の損失は、低減されることがあり、ネットワーク接続されたデバイスおよび車載デバイスに記憶された証明書リストの完全性およびセキュリティは、可能な限り保証され得る。
前述の内容において述べられた失効した証明書または有効な証明書は、次のように説明される。
任意選択で、失効した証明書は、車両識別子、デバイス識別子、またはデバイスタイプのうちの1つまたは複数を含み、ここで、車両識別子は、失効した証明書に対応するデバイスが位置する車両の識別子であり、デバイス識別子は、失効した証明書に対応する車載デバイスのデバイス識別子であり、デバイスタイプは、ネットワーク接続されたデバイスまたはネットワーク接続されていないデバイスを含む。ネットワーク接続されたデバイスおよびネットワーク接続されていないデバイスの区分については、前述の内容を参照されたい。詳細は、本明細書では再び説明されない。有効な証明書は、車両識別子、デバイス識別子、またはデバイスタイプのうちの1つまたは複数を含み、ここで、車両識別子は、有効な証明書に対応するデバイスが位置する車両の識別子であり、デバイス識別子は、有効な証明書に対応する車載デバイスのデバイス識別子であり、デバイスタイプは、ネットワーク接続されたデバイスまたはネットワーク接続されていないデバイスである。
可能な実装では、デバイス識別子は車両識別子を含み、車両識別子は、デバイス識別子に対応する車載デバイスが位置する車両の車両識別子である。この場合、失効した証明書または有効な証明書に対応するデバイスは、デバイスが位置する車両に強く結び付けられる。失効した証明書または有効な証明書に対応するデバイスの識別子が決定された場合、失効した証明書または有効な証明書に対応するデバイスが属する車両の識別子が決定され得る。したがって、ネットワーク側デバイスは、証明書記録を配信するとき、車載デバイスのデバイス識別子に基づいて、車載デバイスが位置する車両を直接決定し、それによって、ネットワーク側デバイスによって証明書記録を配信する効率を改善する。
可能な実装では、デバイス識別子は、デバイス識別子に対応する車載デバイスのデバイスタイプを含む。
可能な実装では、デバイス識別子は、デバイス製造時間およびデバイス製造業者などの情報をさらに含む。
通常、デバイス製造業者は、CAからのルート証明書であることがある、ルート証明書をデバイスにインストールする。次いで、デバイスが車両に組み込まれるとき、車両に組み込まれたデバイスは、相手先商標製造会社(original equipment manufacturer,OEM)に登録され、すなわち、デバイスのデバイス証明書が決定される。車両内のデバイスが別の車両と交換されるとき、またはデバイスのデバイス証明書が満了するとき、デバイスは、OEMに再登録される必要がある。デバイス証明書に対応するデバイスのデバイス識別子が、デバイス証明書が位置する車両の車両識別子に強く結び付けられている場合、デバイスのデバイス証明書が決定または更新されるとき、デバイス識別子は、再び決定および更新される。
例えば、デバイスECUの識別子は、デバイスタイプと、デバイスECUが位置する車両の車両識別子とを含む。図5に示されるように、ECUは、最初に、ECUのデバイス情報およびデバイス識別子コーディング形式に基づいてECUのデバイス識別子を決定し、ここで、デバイス情報は、デバイスタイプ、デバイス製造時間、およびデバイス製造業者などの情報を含む。次いで、ECUは、公開鍵および秘密鍵のペアをランダムに生成し、秘密鍵をハードウェアセキュリティモジュール(Hardware security module,HSM)に書き込み、ネットワーク接続されたデバイスを使用することによって、ECUのデバイス識別子および公開鍵をOEMに送る。OEMは、デバイスが有効であるかどうかを決定するために、受信された公開鍵に基づいてデバイス識別子を検証することを試みる。検証が成功した場合、OEMは、デバイスが有効であると決定し、車両識別番号(vehicle identification number,VIN)をECUのデバイス識別子に追加する。次いで、OEMは、ECUのデバイス識別子および受信された公開鍵などの情報に基づいて、ECUのデバイス証明書を生成する。OEMは、ネットワーク接続されたデバイスを使用することによって、ECUのものであり、OEMによって生成されたデバイス証明書およびデバイス識別子をECUに送る。それに応じて、ECUは、ネットワーク接続されたデバイスを使用することによって、OEMによって送られたデバイス証明書およびデバイス識別子を受信し、受信されたデバイス証明書を検証することを試みて、デバイス証明書の正確性を決定する。ECUは、デバイス証明書が正確であると決定した後、デバイス証明書をHSMに書き込み、デバイス証明書を記憶し、デバイス識別子を更新する。最後に、OEMは、デバイスが正常に登録されたことを示すメッセージを受信し、ECUが正常に登録されたと決定する。任意選択で、OEMは、ECUのデバイス証明書を、車両デバイス証明書管理システム、CAなどにさらに送る。任意選択で、OEMは、デバイス証明書の有効期間をさらに決定し得る。
任意選択で、別の可能な実装では、デバイス製造業者がデバイスにルート証明書をインストールし、ルート証明書は、CAからのルート証明書であり得る。その後、デバイスのデバイスタイプがネットワーク接続されていないデバイスである場合、デバイスは、公開鍵および秘密鍵をランダムに生成し、デバイスが位置する車両内のネットワーク接続されたデバイスを使用することによって、ネットワーク接続されていないデバイスのデバイス識別子および公開鍵をCAに能動的に送って、再登録を実行し、ネットワーク接続されていないデバイスの有効な証明書、すなわち新しいデバイス証明書を決定して、デバイスセキュリティを保証することがある。
例えば、デバイス1は、車両1に設置され、デバイス1は、ネットワーク接続されていないデバイスである。この場合、デバイス1のデバイス証明書は、デバイス証明書1であり、デバイス証明書1は、車両1の識別子を含む。デバイス1が車両1から車両2に移動された場合、デバイス証明書1は無効になり、ネットワーク側デバイスは、デバイス1に関する失効した証明書を取得し、失効した証明書に基づいて証明書記録を生成する。任意選択で、証明書記録は、デバイス1の失効したデバイス証明書1を含む。加えて、デバイス1は、ネットワーク接続されたデバイスを使用することによって、デバイス1のデバイス証明書をデバイス証明書2に更新し、ここで、デバイス証明書2は、車両2の識別子を含む。
前述の処理によれば、ネットワーク側デバイスは、取得された失効した証明書または取得された有効な証明書に基づいて、第1の車両または第1の車両グループの証明書記録を生成し、証明書記録は、新たに追加された証明書記録である。したがって、第1の車両内のデバイスの記憶スペースが制限されるとき、第1の車両に記憶される必要がある証明書記録の量は比較的小さく、その結果、第1の車両内の車載デバイスに記憶される必要がある証明書記録の損失は、低減されることがあり、それによって、第1の車両の証明書リスト内の完全性を保証し、車両セキュリティを保証する。
第1の車両に記憶される必要がある証明書記録を低減し、車載デバイスに記憶された証明書リストの完全性を保証するために、本出願は、証明書リスト更新方法をさらに提供する。ネットワーク側デバイスは、失効した証明書または有効な証明書を取得した後、証明書記録を生成するために、取得された失効した証明書または取得された有効な証明書に基づいて失効した証明書または有効な証明書を取得する。次いで、ネットワーク側デバイスは、取得された証明書記録を第1の車両に送る。それに応じて、第1の車両は、ネットワーク側デバイスによって送られた証明書記録を取得した後、第1の車両または第1の車両グループに属する証明書記録を決定し、第1の車両または第1の車両グループに属する証明書記録に基づいて、第1の車両に記憶された証明書リストを更新する。図6に示されるように、証明書リスト更新方法は、主に以下のステップS601からS603を含む。
S601:ネットワーク側デバイスが、取得された失効した証明書または取得された有効な証明書に基づいて証明書記録を生成する。
第1の車両グループは、複数の車両グループのうちのいずれかの車両グループであり、第1の車両は、第1の車両グループ内のいずれかの車両である。ネットワーク側デバイスによって生成された証明書記録は、第1の車両に記憶された証明書リストを更新するために第1の車両によって使用される。1つまたは複数の証明書記録が存在し得る。第1の車両の証明書リストは、第1の車両について、第1の車両に属するデバイスの失効した証明書もしくは有効な証明書を記録するために使用されるか、または、第1の車両グループについて、第1の車両グループに属するデバイスの失効した証明書もしくは有効な証明書を記録するために使用される。車両グループの説明については、前述の内容を参照されたい。
任意選択で、ネットワーク側デバイスは、少なくとも1つのデバイスの証明書が失効した後に、少なくとも1つの失効した証明書を取得する。ネットワーク側デバイスは、少なくとも1つのデバイスが登録を実行した後、少なくとも1つの有効な証明書を取得する。ネットワーク側デバイスは、失効した証明書または有効な証明書を取得した後、失効した証明書または有効な証明書に対応するデバイスが位置する車両に基づいて証明書記録を生成する。証明書記録は、少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を含む。
ネットワーク側デバイスによって生成された証明書記録は、新たに追加された証明書記録であることに留意されたい。既存の証明書記録および新たに追加された証明書記録の両方を記憶のために第1の車両のデバイスに送ることと比較して、新たに追加された証明書記録を記憶のために第1の車両のデバイスに送ることは、デバイスの記憶スペースが制限されるとき、現在受信されている証明書記録を記憶するためにデバイスによって使用される空間を低減することができ、それによって、デバイスに記憶された証明書記録の損失を低減し、車載デバイスに記憶された証明書リストの完全性を保証し、車両セキュリティを保証する。
S602:ネットワーク側デバイスは、証明書記録を第1の車両に送る。
ネットワーク側デバイスは、ネットワーク側デバイスによって生成された証明書記録を、第1の車両のネットワーク接続されたデバイスに送る。それに応じて、第1の車両のネットワーク接続されたデバイスは、ネットワーク側デバイスによって送られた証明書記録を受信する。
S603:第1の車両は、第1の車両によって受信された証明書記録に基づいて、第1の車両に記憶された証明書リストを更新する。
第1の車両のネットワーク接続されたデバイスは、第1の車両のネットワーク接続されたデバイスによって受信された証明書記録内の失効した証明書または有効な証明書に対応するデバイスのデバイス識別子と、デバイスが位置する車両の車両識別子とに基づいて、受信された証明書記録内の第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定する。次いで、第1の車両または第1の車両グループに属する少なくとも1つの失効した証明書または少なくとも1つの有効な証明書が、第1の車両の証明書リストに追加され、証明書リストが第1の車両内のネットワーク接続されていないデバイスに送られて、第1の車両の証明書リストを更新する。証明書リストは、以前に失効した証明書記録または有効な証明書と、新たに追加された失効した証明書または新たに追加された有効な証明書とを含む。
別の可能な実装では、第1の車両のネットワーク接続されたデバイスは、第1の車両のネットワーク接続されたデバイスによって受信された証明書記録内の失効した証明書または有効な証明書に対応するデバイスのデバイス識別子と、デバイスが位置する車両の車両識別子とに基づいて、受信された証明書記録内の第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定する。次いで、第1の車両のネットワーク接続されたデバイスは、第1の車両のネットワーク接続されたデバイスによって受信された証明書記録内にあり、第1の車両または第1の車両グループに属するデバイスのものである少なくとも1つの失効した証明書または少なくとも1つの有効な証明書に基づいて新しい証明書リストを生成し、新しい証明書リストを第1の車両内のネットワーク接続されていないデバイスに送る。新しい証明書リストは、第1の車両または第1の車両グループに属する、新たに追加された失効した証明書または新たに追加された有効な証明書のみを含む。
前述の処理では、ネットワーク側デバイスは、ネットワーク側デバイスによって取得された失効した証明書または有効な証明書と、失効した証明書または有効な証明書に対応するデバイスが位置する車両とに基づいて、新たに追加された証明書記録を生成し、新たに追加された証明書記録を第1の車両に送ることに留意されたい。次いで、第1の車両は、受信された証明書記録に基づいて、証明書記録内にあり、第1の車両または第1の車両グループに属する失効した証明書または有効な証明書を決定し、第1の車両または第1の車両グループに属する失効した証明書または有効な証明書に基づいて、第1の車両に記憶された証明書リストを更新する。結論として、ネットワーク側によって生成された証明書記録は、新たに追加された失効した証明書または新たに追加された有効な証明書の証明書記録であり、第1の車両は、第1の車両または第1の車両グループの証明書記録のみを記憶する。したがって、第1の車両は、記憶される必要がある比較的少量の証明書記録を受信し、証明書記録に基づいて取得された証明書リストを記憶するための記憶スペースは、比較的小さい。この場合、車両内のデバイスの記憶スペースが制限されるとき、車両に記憶される必要がある証明書記録の損失が低減されることが可能であり、それによって、車両に記憶された証明書リストの完全性を可能な限り保証し、車両セキュリティを保証する。
第1の車両に記憶される必要がある証明書記録を低減し、車載デバイスに記憶された車載証明書リストの完全性を保証するために、本出願は、証明書リスト更新方法をさらに提供する。図7に示されるように、本方法は、ステップS701からS706を含む。
S701:ネットワーク側デバイスが、失効した証明書または有効な証明書を取得する。
失効した証明書または有効な証明書の説明については、前述の内容を参照されたい。
任意選択で、このステップの特定の実装については、ステップS301を参照されたい。詳細は、本明細書では再び説明されない。
S702:ネットワーク側デバイスは、失効した証明書または有効な証明書を取得し、証明書記録を生成する。
任意選択で、ネットワーク側デバイスは、取得された少なくとも1つの失効した証明書または取得された少なくとも1つの有効な証明書に基づいて証明書記録を生成する。この証明書記録は、すべての車両の新たに追加された失効した証明書または新たに追加された有効な証明書の証明書記録である。
別の可能な実装では、ネットワーク側デバイスは、失効した証明書または有効な証明書の番号を取得し、ユーザは、その番号に基づいて車両証明書管理システムに問い合わせて、その番号に対応する失効した証明書または有効な証明書を決定し、失効した証明書または有効な証明書に対応するデバイスが位置する車両の識別子、車両が位置する車両グループの識別子、および車両グループ内のすべての車両の識別子を決定する。その後、ネットワーク側デバイスは、車両証明書管理システムからネットワーク側デバイスによって取得された情報に基づいて証明書記録を生成する。証明書記録は、失効した証明書または有効な証明書の番号、車両の識別子、車両のネットワーク接続されたデバイスの識別子、および失効した証明書または有効な証明書に対応するデバイスの識別子を含む。
可能な実装では、CAは、ステップS701およびS702を実行する。CAおよび車両証明書管理システムは、ネットワーク側デバイスの同じサーバ上に位置し得るか、またはネットワーク側デバイスの異なるサーバ上に位置し得る。
S703:ネットワーク側デバイスは、証明書記録を第1の車両に送る。
ネットワーク側デバイスは、ネットワーク側デバイスによって生成されたすべての証明書記録を、第1の車両のネットワーク接続されたデバイスに送る。それに応じて、第1の車両のネットワーク接続されたデバイスは、ネットワーク側デバイスによって送られた証明書記録を受信する。
S704:第1の車両は、第1の車両によって受信された証明書記録を検証することを試みる。
任意選択で、ステップS704の特定の実装については、ステップS305を参照されたい。詳細は、本明細書では再び説明されない。
第1の車両によって受信された1つまたは複数の証明書記録が存在することがあり、各証明書記録は、ネットワーク側デバイスによって書き込まれた署名情報を含むことに留意されたい。第1の車両の車載デバイスは、車載デバイスによって受信された証明書記録を1つずつ検証することを試み、ネットワーク接続されたデバイスによって検証された証明書記録およびネットワーク接続されたデバイスを使用して、第1の車両に記憶された証明書リストを更新することがある。
S705:第1の車両は、受信された証明書記録に基づいて、証明書記録内にあり、第1の車両または第1の車両グループに属するデバイスのものである失効した証明書または有効な証明書を決定する。
第1の車両のネットワーク接続されたデバイスは、第1の車両のネットワーク接続されたデバイスによって受信された証明書記録内の失効した証明書もしくは有効な証明書に対応するデバイスのデバイス識別子、またはデバイスが位置する車両の車両識別子に基づいて、第1の車両または第1の車両グループに属するデバイスの失効した証明書もしくは有効な証明書を決定する。
任意選択で、ステップS705は、ステップS704の前に実行されてよい。
S706:第1の車両は、第1の車両または第1の車両グループに属するデバイスの失効した証明書または有効な証明書に基づいて、第1の車両に記憶された証明書リストを更新する。
任意選択で、第1の車両のネットワーク接続されたデバイスは、第1の車両または第1の車両グループに属するデバイスの失効した証明書または有効な証明書を第1の車両の証明書リストに追加し、証明書リストを第1の車両内のネットワーク接続されていないデバイスに送って、第1の車両の証明書リストを更新する。証明書リストは、以前に失効した証明書記録または有効な証明書と、新たに追加された失効した証明書または新たに追加された有効な証明書とを含む。
別の可能な実装では、第1の車両のネットワーク接続されたデバイスは、証明書記録内にあり、第1の車両または第1の車両グループに属する各失効した証明書または各有効な証明書に基づいて新しい証明書リストを生成し、証明書リストを第1の車両内のネットワーク接続されていないデバイスに送る。新しい証明書リストは、新たに追加された失効した証明書または新たに追加された有効な証明書のみを含む。
任意選択で、第1の車両の証明書リストは、ブロックチェーンの形式で第1の車両内の各デバイス上に記憶される。証明書リストは、第1の車両または第1の車両グループについて、第1の車両または第1の車両グループに属するデバイスの失効した証明書または有効な証明書を記録するために使用される。第1の車両の証明書リストがブロックチェーンの形式で記憶される特定の実装については、ステップS306の説明を参照されたい。詳細は、本明細書では再び説明されない。
第1の車両の証明書リストは、ブロックチェーンの形式で記憶され、更新された証明書リストデータブロックおよび第1の証明書リストデータブロックは、2つのデータブロックの識別子を使用することによって接続され、その結果、記憶された証明書記録が改ざんされることを防止されることが可能であり、証明書リストを記憶するために使用される記憶スペースが低減され、それによって、証明書記録の損失を低減し、ネットワーク接続されたデバイスおよびネットワーク接続されていないデバイスに記憶された証明書リストの完全性およびセキュリティを保証することに留意されたい。
加えて、第1の車両に記憶された証明書リストは、第1の車両に属する失効した証明書または有効な証明書を含み、第2の車両に属する失効した証明書または有効な証明書をさらに含む。第2の車両は、第1の車両グループ内の第1の車両以外の別の車両である。第1の車両グループ内の第1の車両が第1の車両グループ内の第2の車両と通信するとき、第1の車両は、第2の車両の失効した証明書または有効な証明書内の署名情報に基づいて第2の車両の識別を検証することを試みて、第2の車両の識別の有効性を決定し、第1の車両と第2の車両との間の通信のセキュリティを保証することがある。
前述の処理によれば、ネットワーク側デバイスによって第1の車両に送られた証明書記録は、すべての車両の新たに追加された証明書記録であり、第1の車両に記憶される必要がある証明書記録は、第1の車両または第1の車両グループの失効した証明書または有効な証明書に対応する証明書記録である。したがって、第1の車両は、比較的少量の証明書記録を記憶する必要があり、第1の車両によって証明書リストを記憶するための記憶スペースはより小さい。車両内のデバイスの記憶スペースが制限されるとき、本出願のこの実施形態では、証明書記録の損失が低減されることが可能であり、ネットワーク接続されたデバイスおよびネットワーク接続されていないデバイスに記憶された証明書リストの完全性およびセキュリティは、可能な限り保証されることが可能である。
本出願は、証明書リスト更新装置をさらに提供する。本装置は、第1の車両に適用され、本装置は、図2および図3に示される方法の実施形態において第1の車両によって実行される動作を実行するように構成される。代替として、本装置は、道路側ユニット(road side unit,RSU)であってよい。図8に示されるように、本装置は、取得ユニット801、更新ユニット802、および検証ユニット803を含む。
取得ユニット801は、証明書記録を取得するように構成される。
証明書記録は、ネットワーク側デバイスによって第1の車両に送られ、証明書記録は、少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を含む。
可能な実装では、失効した証明書は、車両識別子、デバイス識別子、またはデバイスタイプのうちの1つまたは複数を含む。有効な証明書は、車両識別子、デバイス識別子、またはデバイスタイプのうちの1つまたは複数を含む。デバイスタイプは、ネットワーク接続されたデバイスまたはネットワーク接続されていないデバイスである。
可能な実装では、デバイス識別子は車両識別子を含み、車両識別子は、デバイス識別子に対応する車載デバイスが位置する車両の識別子である。
更新ユニット802は、証明書記録に基づいて、第1の車両に記憶された証明書リストを更新するように構成される。
証明書リストは、第1の車両について、第1の車両に属するデバイスの失効した証明書もしくは有効な証明書を記録するために使用されるか、または、第1の車両グループについて、第1の車両グループに属するデバイスの失効した証明書もしくは有効な証明書を記録するために使用される。第1の車両グループは、第1の車両を含む。
任意選択で、取得ユニット801によって取得された証明書記録は、第1の車両または第1の車両グループのためにネットワーク側デバイスによって生成され、証明書記録内の各失効した証明書または各有効な証明書は、第1の車両または第1の車両グループに属するデバイスの証明書である。この場合、更新ユニット802が、証明書記録に基づいて、第1の車両に記憶された証明書リストを更新するように構成されることは、証明書記録内の各失効した証明書または各有効な証明書を第1の車両の証明書リストに追加することを含む。
可能な実装では、更新ユニット802が、証明書記録に基づいて、第1の車両に記憶された証明書リストを更新するように構成されることは、第1の証明書リストデータブロックの識別子を取得することであって、第1の証明書リストデータブロックは、更新前の証明書リストに対応するデータブロックである、取得することと、取得ユニット801によって取得された第1の証明書リストデータブロックの識別子および証明書記録に基づいて、更新された証明書リストデータブロックを生成することであって、更新された証明書リストデータブロックは、ブロックヘッダおよびブロック本体を含み、更新された証明書リストデータブロックのブロックヘッダは、第1の証明書リストデータブロックの識別子を含み、更新された証明書リストデータブロックのブロック本体は、証明書記録を含む、生成することとを含む。
可能な実装では、更新された証明書リストデータブロックのブロックヘッダは、取得ユニット801によって取得された証明書記録の識別子をさらに含む。
可能な実装では、更新された証明書リストデータブロックのブロック本体は、第1の証明書リストデータブロックをさらに含む。
可能な実装では、第1の証明書リストデータブロックの識別子は、第1の証明書リストデータブロックに基づいて生成されたハッシュ値であり、証明書記録の識別子は、証明書記録に基づいて生成されたハッシュ値である。
任意選択で、更新ユニット802が、証明書記録に基づいて、第1の車両に記憶された証明書リストを更新するように構成される前に、本装置は、検証ユニット803をさらに含む。検証ユニット803は、取得ユニット801によって取得された証明書記録内の署名情報に基づいて、証明書記録を検証することを試みるように構成される。検証が成功した場合、更新ユニット802は、証明書記録に基づいて、第1の車両に記憶された証明書リストを更新するようにさらに構成される。
任意選択で、第1の車両の証明書リストは、第2の車両に属するデバイスの失効した証明書または有効な証明書をさらに含み、第2の車両は、第1の車両グループ内の第1の車両以外の別の車両である。第2の車両のデバイスの失効した証明書または有効な証明書は、第2の車両を認証することを試みるために第1の車両によって使用される。
本出願は、証明書リスト更新装置をさらに提供する。本装置は、ネットワーク側デバイスに適用され、本装置は、図2および図3に示される方法の実施形態においてネットワーク側デバイスによって実行される動作を実行するように構成される。図9に示されるように、本装置は、送信ユニット901、決定ユニット902、生成ユニット903、および通知ユニット904を含む。
送信ユニット901は、証明書記録を第1の車両に送るように構成される。
証明書記録は、少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を含み、証明書記録は、第1の車両に記憶された証明書リストを更新するために第1の車両によって使用される。証明書リストは、第1の車両について、第1の車両に属するデバイスの失効した証明書もしくは有効な証明書を記録するために使用されるか、または、第1の車両グループについて、第1の車両グループに属するデバイスの失効した証明書もしくは有効な証明書を記録するために使用される。第1の車両グループは、少なくとも第1の車両を含む。
可能な実装では、失効した証明書は、車両識別子、デバイス識別子、またはデバイスタイプのうちの1つまたは複数を含む。有効な証明書は、車両識別子、デバイス識別子、またはデバイスタイプのうちの1つまたは複数を含む。デバイスタイプは、ネットワーク接続されたデバイスまたはネットワーク接続されていないデバイスである。
可能な実装では、デバイス識別子は車両識別子を含み、車両識別子は、デバイス識別子に対応する車載デバイスが位置する車両の識別子である。
任意選択で、送信ユニット901が証明書記録を第1の車両に送る前に、本装置は、決定ユニット902および生成ユニット903をさらに含む。決定ユニット902は、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定するように構成される。生成ユニット903は、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書に基づいて、第1の車両または第1の車両グループの証明書記録を生成するように構成される。
可能な実装では、決定ユニット902が、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定するように構成されることは、失効した証明書または有効な証明書内のデバイス識別子または車両識別子に基づいて、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定することを含む。
可能な実装では、決定ユニット902が、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定するように構成されることは、車両証明書管理システムに問い合わせることによって、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定することを含む。
可能な実装では、生成ユニット903が、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書に基づいて第1の車両または第1の車両グループの証明書記録を生成するように構成される前に、決定ユニット902は、少なくとも1つの失効した証明書に対応するデバイスがネットワーク接続されたデバイスを含まないと決定するようにさらに構成される。この場合、送信ユニット901が証明書記録を第1の車両に送るように構成されることは、証明書記録を第1の車両内のネットワーク接続されたデバイスに送ることを含む。
可能な実装では、生成ユニット903が、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書に基づいて第1の車両または第1の車両グループの証明書記録を生成するように構成される前に、決定ユニット902は、少なくとも1つの失効した証明書に対応するデバイスがネットワーク接続されたデバイスを含むと決定するようにさらに構成され、次いで、通知ユニット904は、ネットワーク接続されたデバイスに再登録するように第1の車両のユーザに通知する。最後に、決定ユニット902は、ユーザがネットワーク接続されたデバイスに再登録したと決定する。この場合、送信ユニット901が証明書記録を第1の車両に送るように構成されることは、証明書記録を第1の車両内のネットワーク接続されたデバイスに送ることを含む。
本出願は、証明書リスト更新装置をさらに提供する。本装置は、第1の車両に適用され、本装置は、図6および図7に示される方法の実施形態において第1の車両によって実行される動作を実行するように構成される。図8に示されるように、本装置は、取得ユニット801、更新ユニット802、および検証ユニット803を含む。
取得ユニット801は、証明書記録を取得するように構成される。
証明書記録は、ネットワーク側デバイスによって第1の車両に送られ、証明書記録は、少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を含む。
可能な実装では、失効した証明書は、車両識別子、デバイス識別子、またはデバイスタイプのうちの1つまたは複数を含む。有効な証明書は、車両識別子、デバイス識別子、またはデバイスタイプのうちの1つまたは複数を含む。デバイスタイプは、ネットワーク接続されたデバイスまたはネットワーク接続されていないデバイスである。
可能な実装では、デバイス識別子は車両識別子を含み、車両識別子は、デバイス識別子に対応する車載デバイスが位置する車両の識別子である。
更新ユニット802は、証明書記録に基づいて、第1の車両に記憶された証明書リストを更新するように構成される。
証明書リストは、第1の車両について、第1の車両に属するデバイスの失効した証明書もしくは有効な証明書を記録するために使用されるか、または、第1の車両グループについて、第1の車両グループに属するデバイスの失効した証明書もしくは有効な証明書を記録するために使用される。第1の車両グループは、第1の車両を含む。
任意選択で、更新ユニット802が、証明書記録に基づいて、第1の車両に記憶された証明書リストを更新するように構成されることは、証明書記録内にあり、第1の車両または第1の車両グループに属するデバイスのものである少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を決定することと、第1の車両または第1の車両グループに属するデバイスの少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を第1の車両の証明書リストに追加することとを含む。
可能な実装では、更新ユニット802が、証明書記録に基づいて、第1の車両に記憶された証明書リストを更新するように構成されることは、第1の証明書リストデータブロックの識別子を取得することであって、第1の証明書リストデータブロックは、更新前の証明書リストに対応するデータブロックである、取得することと、取得ユニット801によって取得された第1の証明書リストデータブロックの識別子および証明書記録に基づいて、更新された証明書リストデータブロックを生成することであって、更新された証明書リストデータブロックは、ブロックヘッダおよびブロック本体を含み、更新された証明書リストデータブロックのブロックヘッダは、第1の証明書リストデータブロックの識別子を含み、更新された証明書リストデータブロックのブロック本体は、証明書記録を含む、生成することとを含む。
可能な実装では、更新された証明書リストデータブロックのブロックヘッダは、取得ユニット801によって取得された証明書記録の識別子をさらに含む。
可能な実装では、更新された証明書リストデータブロックのブロック本体は、第1の証明書リストデータブロックをさらに含む。
可能な実装では、第1の証明書リストデータブロックの識別子は、第1の証明書リストデータブロックに基づいて生成されたハッシュ値であり、証明書記録の識別子は、証明書記録に基づいて生成されたハッシュ値である。
任意選択で、更新ユニット802が、証明書記録に基づいて、第1の車両に記憶された証明書リストを更新するように構成される前に、本装置は、検証ユニット803をさらに含む。検証ユニット803は、取得ユニット801によって取得された証明書記録内の署名情報に基づいて、証明書記録を検証することを試みるように構成される。検証が成功した場合、更新ユニット802は、証明書記録に基づいて、第1の車両に記憶された証明書リストを更新するようにさらに構成される。
任意選択で、第1の車両の証明書リストは、第2の車両に属するデバイスの失効した証明書または有効な証明書をさらに含み、第2の車両は、第1の車両グループ内の第1の車両以外の別の車両である。第2の車両のデバイスの失効した証明書または有効な証明書は、第2の車両を認証することを試みるために第1の車両によって使用される。
本出願は、証明書リスト更新装置をさらに提供する。本装置は、ネットワーク側デバイスに適用され、本装置は、図6および図7に示される方法の実施形態においてネットワーク側デバイスによって実行される動作を実行するように構成される。図9に示されるように、本装置は、送信ユニット901、決定ユニット902、生成ユニット903、および通知ユニット904を含む。
送信ユニット901は、証明書記録を第1の車両に送るように構成される。
証明書記録は、少なくとも1つの失効した証明書または少なくとも1つの有効な証明書を含み、証明書記録は、第1の車両に記憶された証明書リストを更新するために第1の車両によって使用される。証明書リストは、第1の車両について、第1の車両に属するデバイスの失効した証明書もしくは有効な証明書を記録するために使用されるか、または、第1の車両グループについて、第1の車両グループに属するデバイスの失効した証明書もしくは有効な証明書を記録するために使用される。第1の車両グループは、少なくとも第1の車両を含む。
可能な実装では、失効した証明書は、車両識別子、デバイス識別子、またはデバイスタイプのうちの1つまたは複数を含む。有効な証明書は、車両識別子、デバイス識別子、またはデバイスタイプのうちの1つまたは複数を含む。デバイスタイプは、ネットワーク接続されたデバイスまたはネットワーク接続されていないデバイスである。
可能な実装では、デバイス識別子は車両識別子を含み、車両識別子は、デバイス識別子に対応する車載デバイスが位置する車両の識別子である。
任意選択で、送信ユニット901が証明書記録を第1の車両に送る前に、本装置は、生成ユニット903をさらに含む。生成ユニット903は、少なくとも1つの失効した証明書または少なくとも1つの有効な証明書に基づいて証明書記録を生成するように構成される。
可能な実装では、生成ユニット903が少なくとも1つの失効した証明書または少なくとも1つの有効な証明書に基づいて証明書記録を生成するように構成される前に、決定ユニット902は、少なくとも1つの失効した証明書に対応するデバイスがネットワーク接続されたデバイスを含まないと決定するように構成される。この場合、送信ユニット901が証明書記録を第1の車両に送るように構成されることは、証明書記録を第1の車両内のネットワーク接続されたデバイスに送ることを含む。
可能な実装では、生成ユニット903が少なくとも1つの失効した証明書または少なくとも1つの有効な証明書に基づいて証明書記録を生成するように構成される前に、決定ユニット902は、少なくとも1つの失効した証明書に対応するデバイスがネットワーク接続されたデバイスを含むと決定するようにさらに構成され、次いで、通知ユニット904は、ネットワーク接続されたデバイスに再登録するように第1の車両のユーザに通知する。最後に、決定ユニット902は、ユーザがネットワーク接続されたデバイスに再登録したと決定する。この場合、送信ユニット901が証明書記録を第1の車両に送るように構成されることは、証明書記録を第1の車両内のネットワーク接続されたデバイスに送ることを含む。
図8および図9のユニットのうちの1つまたは複数は、ソフトウェア、ハードウェア、ファームウェア、またはそれらの組合せによって実装され得る。ソフトウェアまたはファームウェアは、限定されないが、コンピュータプログラム命令またはコードを含み、ハードウェアプロセッサによって実行され得る。ハードウェアは、限定されないが、様々な集積回路、例えば、中央処理ユニット(CPU)、デジタル信号プロセッサ(DSP)、フィールドプログラマブルゲートアレイ(FPGA)、または特定用途向け集積回路(ASIC)を含む。
図10を参照すると、本出願は、証明書リスト更新装置をさらに提供する。本装置は、第1の車両に適用され、図2、図3、図6、および図7に示される方法の実施形態において第1の車両によって実行される動作を実行するように構成され得る。本装置は、メモリ1001、プロセッサ1002、通信インターフェース1003、およびバス1004を含む。プロセッサ1002は、証明書リスト更新装置が、図2、図3、図6、および図7に示される証明書リスト更新方法において第1の車両によって実行される動作を実行するように、コンピュータプログラム命令を実行するように構成される。通信インターフェース1003は、本装置と別のネットワークエンティティとの間の通信をサポートするように構成される。メモリ1001は、装置のプログラムコードおよびデータを記憶するように構成される。
本出願は、証明書リスト更新装置をさらに提供する。本装置は、ネットワーク側デバイスに適用され、図2、図3、図6、および図7に示される方法の実施形態においてネットワーク側デバイスによって実行される動作を実行するように構成され得る。本装置の構造については、図10を参照し、本装置は、メモリ1001、プロセッサ1002、通信インターフェース1003、およびバス1004を含む。プロセッサ1002は、証明書リスト更新装置が、図2、図3、図6、および図7に示される証明書リスト更新方法においてネットワーク側デバイスによって実行される動作を実行するように、コンピュータプログラム命令を実行するように構成される。通信インターフェース1003は、本装置と別のネットワークエンティティとの間の通信をサポートするように構成される。メモリ1001は、装置のプログラムコードおよびデータを記憶するように構成される。
プロセッサ1002(またはコントローラとして説明される)は、本出願において開示される内容を参照して説明される様々な例示的な論理ブロック、ユニット、ユニットモジュール、および回路を実装または実行し得る。プロセッサまたはコントローラは、中央処理ユニット、汎用プロセッサ、デジタル信号プロセッサ、特定用途向け集積回路、フィールドプログラマブルゲートアレイもしくは別のプログラマブル論理デバイス、トランジスタ論理デバイス、ハードウェア構成要素、またはそれらの任意の組合せであってよい。プロセッサまたはコントローラは、本出願において開示される内容を参照して説明される様々な例示的な論理ブロック、ユニットモジュール、および回路を実装または実行し得る。代替として、プロセッサ1002は、代替として、コンピューティング機能を実装するプロセッサの組合せ、例えば、1つもしくは複数のマイクロプロセッサの組合せまたはDSPとマイクロプロセッサとの組合せであってよい。
通信インターフェース1003は、トランシーバ回路であってよい。
メモリ1001は、揮発性メモリ、例えば、ランダムアクセスメモリを含んでよい。代替として、メモリは、不揮発性メモリ、例えば、読取り専用メモリ、フラッシュメモリ、ハードディスク、またはソリッドステートドライブを含んでよい。代替として、メモリは、前述のタイプのメモリの組合せを含んでよい。
バス1004は、拡張業界標準アーキテクチャ(extended industry standard architecture,EISA)バスなどであってよい。バス1004は、アドレスバス、データバス、制御バスなどに分類され得る。表現を容易にするために、図10では、バスを表すために1つの太線のみが使用されているが、これは、1つのバスのみまたは1つのタイプのバスのみが存在することを意味するものではない。
本出願の実施形態は、コンピュータ命令を含むコンピュータ可読記憶媒体を提供する。コンピュータ命令がプロセッサによって実行されると、証明書リスト更新装置は、図2、図3、図6、および図7において提供される証明書リスト更新方法において第1の車両またはネットワーク側デバイスによって実行される動作を実行することが可能になる。
本出願の実施形態は、命令を含むコンピュータプログラム製品をさらに提供する。これらの命令がコンピュータ上で実行されると、コンピュータは、図2、図3、図6、および図7に示される証明書リスト更新方法において第1の車両またはネットワーク側デバイスによって実行される動作を実行することが可能になる。
本出願は、証明書リスト更新システムをさらに提供する。本システムは、ネットワーク側の前述の証明書リスト更新装置と、車両側の証明書リスト更新装置とを含む。
便利で簡潔な説明のために、前述のシステム、装置、およびユニットの詳細な作動処理については、前述の方法の実施形態における対応する処理を参照し、詳細は本明細書では再び説明されないことが当業者によって明確に理解されよう。
当業者は、本出願において提供される実施形態の説明が互いに参照され得ることを明確に認識されよう。便利で簡潔にするために、例えば、本出願の実施形態において提供される装置およびデバイスの機能ならびに実行されるステップについては、本出願の方法の実施形態の関連する説明を参照されたい。方法の実施形態および装置の実施形態は、互いに参照されてもよい。
前述の実施形態のすべてまたは一部は、ソフトウェア、ハードウェア、ファームウェア、またはそれらの任意の組合せを使用することによって実装され得る。前述の実施形態のすべてまたは一部がソフトウェアプログラムを使用することによって実装されるとき、前述の実施形態のすべてまたは一部は、コンピュータプログラム製品の形式で現れることがあり、コンピュータプログラム製品は、1つまたは複数のコンピュータ命令を含む。コンピュータプログラム命令がコンピュータ上でロードされ実行されるとき、本出願の実施形態による手順または機能が、完全にまたは部分的に生成される。
コンピュータは、汎用コンピュータ、専用コンピュータ、コンピュータネットワーク、または他のプログラム可能な装置であってよい。コンピュータ命令は、コンピュータ可読記憶媒体に記憶されることがあるか、または、コンピュータ可読記憶媒体から別のコンピュータ可読記憶媒体に送信されることがある。例えば、コンピュータ命令は、有線(例えば、同軸ケーブル、光ファイバ、またはデジタル加入者線(digital subscriber line,DSL))方式で、またはワイヤレス(例えば、赤外線、無線、およびマイクロ波)方式で、ウェブサイト、コンピュータ、サーバ、またはデータセンタから別のウェブサイト、コンピュータ、サーバ、またはデータセンタに送られることがある。コンピュータ可読記憶媒体は、コンピュータによってアクセス可能な任意の使用可能な媒体、または、1つもしくは複数の使用可能な媒体を統合するサーバもしくはデータセンタなどのデータ記憶デバイスであってよい。使用可能な媒体は、磁気媒体(例えば、フロッピーディスク、ハードディスク、または磁気テープ)、光媒体(例えば、DVD)、半導体媒体(例えば、ソリッドステートドライブ(solid state disk,SSD))などであってよい。
実装に関する前述の説明は、便利で簡潔な説明を目的として、前述の機能モジュールのみへの分割が説明のための例として使用されていることを当業者が明確に理解することを可能にする。実際の適用中に、前述の機能は、実装のために異なる機能モジュールに割り振られることが可能である。言い換えれば、装置の内部構造は、上記で説明された機能のすべてまたは一部を実装するために異なる機能モジュールに分割される。
本出願で提供されるいくつかの実施形態では、開示された装置および方法が他の方式で実装され得ることを理解されたい。例えば、説明された装置の実施形態は、例にすぎない。例えば、モジュールまたはユニットへの分割は、論理的な機能分割にすぎず、実際の実装では他の分割であってよい。例えば、複数のユニットまたは構成要素が、別の装置に組み合わされるかもしくは統合されることがあるか、または、いくつかの特徴が、無視されるかもしくは実行されなくてよい。加えて、表示または説明される相互結合または直接結合または通信接続は、いくつかのインターフェースを通して実装されることがある。装置間またはユニット間の間接的な結合または通信接続は、電子的、機械的、または他の形式で実装されてよい。
別個の部分として説明されるユニットは、物理的に別個であってもなくてもよく、ユニットとして表示される部分は、1つもしくは複数の物理的ユニットであってよく、1つの場所に位置し得るか、または異なる場所に分散され得る。適用処理において、ユニットの一部またはすべては、実施形態の解決策の目的を達成するための実際の要件に基づいて選択され得る。
加えて、本出願の実施形態における機能ユニットが1つの処理ユニットに統合され得るか、または、ユニットの各々が物理的に単独で存在し得るか、または、2つ以上のユニットが1つのユニットに統合される。統合されたユニットは、ハードウェアの形式で実装され得るか、または、ソフトウェア機能ユニットの形式で実装され得る。
統合されたユニットが、ソフトウェア機能ユニットの形式で実装され、独立した製品として販売または使用されるとき、統合されたユニットは、コンピュータ可読記憶媒体に記憶され得る。そのような理解に基づいて、本出願の実施形態の技術的解決策は本質的に、または従来の技術に寄与する部分、または技術的解決策のすべてもしくは一部は、ソフトウェア製品の形式で実装され得る。コンピュータソフトウェア製品は、記憶媒体に記憶され、デバイス(パーソナルコンピュータ、サーバ、ネットワークデバイスなどであり得る)またはプロセッサ(processor)に、本出願の実施形態における方法のステップのすべてまたは一部を実行するように命令するためのいくつかの命令を含む。前述の記憶媒体は、USBフラッシュドライブ、リムーバブルハードディスク、読取り専用メモリ(read-only memory,ROM)、ランダムアクセスメモリ(random access memory,RAM)、磁気ディスク、または光ディスクなどの、プログラムコードを記憶することができる任意の媒体を含む。
前述の説明は、本出願の特定の実装にすぎず、本出願の保護範囲を限定することを意図するものではない。本出願において開示される技術的範囲内の任意の変形または置き換えは、本出願の保護範囲内に含むものとする。
前述の処理では、ネットワーク側デバイスは、ネットワーク側デバイスによって取得された失効した証明書または有効な証明書と、失効した証明書または有効な証明書に対応するデバイスが位置する車両とに基づいて、新たに追加された証明書記録を生成し、新たに追加された証明書記録を第1の車両に送ることに留意されたい。次いで、第1の車両は、受信された証明書記録に基づいて、証明書記録内にあり、第1の車両または第1の車両グループに属する失効した証明書または有効な証明書を決定し、第1の車両または第1の車両グループに属する失効した証明書または有効な証明書に基づいて、第1の車両に記憶された証明書リストを更新する。結論として、ネットワーク側デバイスによって生成された証明書記録は、新たに追加された失効した証明書または新たに追加された有効な証明書の証明書記録であり、第1の車両は、第1の車両または第1の車両グループの証明書記録のみを記憶する。したがって、第1の車両は、記憶される必要がある比較的少量の証明書記録を受信し、証明書記録に基づいて取得された証明書リストを記憶するための記憶スペースは、比較的小さい。この場合、車両内のデバイスの記憶スペースが制限されるとき、車両に記憶される必要がある証明書記録の損失が低減されることが可能であり、それによって、車両に記憶された証明書リストの完全性を可能な限り保証し、車両セキュリティを保証する。
コンピュータは、汎用コンピュータ、専用コンピュータ、コンピュータネットワーク、または他のプログラム可能な装置であってよい。コンピュータ命令は、コンピュータ可読記憶媒体に記憶されることがあるか、または、コンピュータ可読記憶媒体から別のコンピュータ可読記憶媒体に送信されることがある。例えば、コンピュータ命令は、有線(例えば、同軸ケーブル、光ファイバ、またはデジタル加入者線(digital subscriber line,DSL))方式で、またはワイヤレス(例えば、赤外線、無線、およびマイクロ波)方式で、ウェブサイト、コンピュータ、サーバ、またはデータセンタから別のウェブサイト、コンピュータ、サーバ、またはデータセンタに送られることがある。コンピュータ可読記憶媒体は、コンピュータによってアクセス可能な任意の使用可能な媒体、または、1つもしくは複数の使用可能な媒体を統合するサーバもしくはデータセンタなどのデータ記憶デバイスであってよい。使用可能な媒体は、磁気媒体(例えば、フロッピーディスク、ハードディスク、または磁気テープ)、光媒体(例えば、DVD)、半導体媒体(例えば、ソリッドステートドライブ(solid state drive,SSD))などであってよい。