JP6132955B1 - 検証システム、検証装置、検証方法、及びコンピュータプログラム - Google Patents

検証システム、検証装置、検証方法、及びコンピュータプログラム Download PDF

Info

Publication number
JP6132955B1
JP6132955B1 JP2016084545A JP2016084545A JP6132955B1 JP 6132955 B1 JP6132955 B1 JP 6132955B1 JP 2016084545 A JP2016084545 A JP 2016084545A JP 2016084545 A JP2016084545 A JP 2016084545A JP 6132955 B1 JP6132955 B1 JP 6132955B1
Authority
JP
Japan
Prior art keywords
key
ecu
verification
vehicle
initial key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016084545A
Other languages
English (en)
Other versions
JP2017195504A (ja
Inventor
佳彦 高木
佳彦 高木
竹森 敬祐
敬祐 竹森
秀明 川端
秀明 川端
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2016084545A priority Critical patent/JP6132955B1/ja
Application granted granted Critical
Publication of JP6132955B1 publication Critical patent/JP6132955B1/ja
Publication of JP2017195504A publication Critical patent/JP2017195504A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】初期鍵をECU等の車載コンピュータにセットする際の負担の軽減を図る。【解決手段】車両に搭載される車載コンピュータに個別の初期鍵又は複数の車載コンピュータに共通の初期鍵を車載コンピュータに書き込む書込装置と、車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する検証装置と、を備える。【選択図】図1

Description

本発明は、検証システム、検証装置、検証方法、及びコンピュータプログラムに関する。
従来、自動車は、ECU(Electronic Control Unit:電子制御装置)を有し、ECUによってエンジン制御等の機能を実現する。ECUは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。複数のECUをCAN(Controller Area Network)に接続して構成される車載制御システムについてのセキュリティ技術が例えば非特許文献1に記載されている。
竹森敬祐、"セキュアエレメントを基点とした車載制御システムの保護 −要素技術の整理と考察−"、電子情報通信学会、信学技報、vol. 114、no. 508、pp. 73-78、2015年3月
ECUには、ECUの製造時などに初期鍵がセットされる。初期鍵は、自動車に搭載されるECUを認証したり、又は、自動車に搭載されるECUに初期の鍵交換鍵をセットしたりする処理に使用される。初期鍵はECU毎に異なる個別の鍵であることが安全上好ましい。しかし、各ECUに個別に鍵を書き込むことはECUメーカに負担になる可能性があった。
本発明は、このような事情を考慮してなされたものであり、初期鍵をECU等の車載コンピュータにセットする際の負担の軽減を図ることができる、検証システム、検証装置、検証方法、及びコンピュータプログラムを提供することを課題とする。
(1)本発明の一態様は、車両に搭載される車載コンピュータに個別の初期鍵又は複数の車載コンピュータに共通の初期鍵を車載コンピュータに書き込む書込装置と、車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する検証装置と、を備える検証システムである。
(2)本発明の一態様は、上記(1)の検証システムにおいて、前記書込装置は、前記鍵種別情報をさらに車載コンピュータに書き込む、検証システムである。
(3)本発明の一態様は、上記(1)又は(2)のいずれかの検証システムにおいて、前記書込装置は、車載コンピュータに個別の初期鍵と共に該初期鍵の生成に使用されたマスタ鍵を識別するマスタ鍵識別情報を車載コンピュータに書き込む、検証システムである。
(4)本発明の一態様は、上記(1)から(3)のいずれかの検証システムにおいて、前記車載コンピュータに個別の初期鍵は、マスタ鍵と車載コンピュータ識別子とから生成された、検証システムである。
(5)本発明の一態様は、上記(1)から(4)のいずれかの検証システムにおいて、前記複数の車載コンピュータに共通の初期鍵は、マスタ鍵と該複数の車載コンピュータに共通の車載コンピュータ識別子とから生成された、検証システムである。
(6)本発明の一態様は、上記(1)から(5)のいずれかの検証システムにおいて、マスタ鍵と車載コンピュータ識別子とから初期鍵を生成する鍵生成装置をさらに備える、検証システムである。
(7)本発明の一態様は、車両に搭載される車載コンピュータについての検証装置であり、車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する、検証装置である。
(8)本発明の一態様は、書込装置が、車両に搭載される車載コンピュータに個別の初期鍵又は複数の車載コンピュータに共通の初期鍵を車載コンピュータに書き込む書込ステップと、検証装置が、車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する検証ステップと、を含む検証方法である。
(9)本発明の一態様は、コンピュータに、車両に搭載される車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する機能、を実現させるためのコンピュータプログラムである。
本発明によれば、初期鍵をECU等の車載コンピュータにセットする際の負担の軽減を図ることができるという効果が得られる。
第1実施形態に係る検証システムの構成例を示す図である。 第1実施形態に係る自動車100の構成例を示す図である。 第1実施形態に係る書込装置20aの動作の説明図である。 第1実施形態に係る書込装置20bの動作の説明図である。 第1実施形態に係る検証方法の例を示すフローチャートである。 第2実施形態に係る検証システムの構成例を示す図である。 第2実施形態に係るOEM供給元メーカ10−2の書込装置20aの動作の説明図である。 第3実施形態に係る検証システムの構成例を示す図である。
以下、図面を参照し、本発明の実施形態について説明する。なお、以下に示す実施形態では、車両として自動車を例に挙げて説明する。
[第1実施形態]
図1は、第1実施形態に係る検証システムの構成例を示す図である。図2は、第1実施形態に係る自動車100の構成例を示す図である。
[自動車の構成例]
はじめに図2を参照して、自動車100の構成例を説明する。図2において、自動車100は、複数のECU(電子制御装置)110,120と、CAN130と、インフォテイメント(Infotainment)機器140と、診断ポート150とを備える。ECU110,120はCAN130に接続されている。CAN130は通信ネットワークである。CANは車両に搭載される通信ネットワークの一例として知られている。ECU110は、CAN130を介して、ECU120との間でデータを交換する。ECU120は、CAN130を介して、他のECU120との間でデータを交換する。
なお、車両に搭載される通信ネットワークとして、CAN以外の通信ネットワークを自動車100に備え、CAN以外の通信ネットワークを介して、各ECU110,120の通信が行われてもよい。CAN以外の通信ネットワークとして、例えば、LIN(Local Interconnect Network)を自動車100に備えてもよい。
ECU110,120は、コンピュータの一種である。ECU110,120は、自動車100に備わる車載コンピュータである。ECU110は、メイン演算部111とセキュアエレメント112とを備える。メイン演算部111は、CPU(Central Processing Unit:中央演算処理装置)及びメモリ等から構成される。セキュアエレメント(Secure Element)112は、耐タンパー性(Tamper Resistant)を有する。ECU120は、メイン演算部121とセキュアエレメント122とを備える。メイン演算部121は、CPU及びメモリ等から構成される。セキュアエレメント122は、耐タンパー性を有する。
ECU110のメイン演算部111が該ECU110の機能を実現させるためのコンピュータプログラムを実行することによって、該ECU110の機能が実現される。同様に、ECU120のメイン演算部121が該ECU120の機能を実現させるためのコンピュータプログラムを実行することによって、該ECU120の機能が実現される。例えば、ECU110,120は、自動車100内の機器を制御する制御機能を有する。
以下、説明の便宜上、ECU110を第1ECU110と称し、ECU120を第2ECU120と称する場合がある。また、第1ECU110と第2ECU120を特に区別しないときはECUと称する。第1ECU110は、自動車100に搭載されたECUのうち、ゲートウェイ機能を有するECUである。第2ECU120は、自動車100に搭載されたECUのうち、エンジン制御等の機能を有するECUである。第2ECU120として、例えば、エンジン制御機能を有するECU、ハンドル制御機能を有するECU、ブレーキ制御機能を有するECUなどがある。本実施形態において、自動車100の車載制御システムは、第1ECU110と第2ECU120とCAN130とを備える。
セキュアエレメント112,122はデータの記憶機能を有する。また、セキュアエレメント112,122は、暗号処理機能を有してもよい。セキュアエレメント112,122として、例えば、耐タンパー性を有するICチップを使用してもよい。また、セキュアエレメント112,122として、耐タンパー性のある暗号処理チップを使用してもよい。耐タンパー性のある暗号処理チップとして、例えば、HSM(Hardware Security Module)、TPM(Trusted Platform Module)、TPMf、TPMt、又はSHE(Secure Hardware Extension)などと呼ばれる暗号処理チップが知られている。
なお、セキュアエレメントとして、SIM(Subscriber Identity Module)やeSIM(Embedded Subscriber Identity Module)などの耐タンパー性を有する通信モジュールを使用してもよい。eSIMは、SIMの一種である。SIM及びeSIMは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。
インフォテイメント機器140として、例えば、ナビゲーション機能、位置情報サービス機能、音楽や動画などのマルチメディア再生機能、音声通信機能、データ通信機能、インターネット接続機能などを有するものが挙げられる。インフォテイメント機器140は、外部機器200と接続して、外部機器200とデータを交換する。外部機器200として、例えば、携帯通信端末やオーディオビジュアル機器などが挙げられる。インフォテイメント機器140は第1ECU110に接続される。
診断ポート150は、診断ツール210を接続する。診断ツール210は、診断ポート150を介して、第1ECU110や第2ECU120等の更新プログラムのインストールやデータの設定変更などを実行する。診断ポート150として、例えば、OBD(On-board Diagnostics)ポートを使用してもよい。
インフォテイメント機器140は、第1ECU110を介して、CAN130に接続されている第2ECU120とデータを送受する。第1ECU110は、インフォテイメント機器140と第2ECU120との間のデータの送受を監視する。
診断ツール210は、診断ポート150及び第1ECU110を介して、CAN130に接続されている第2ECU120とデータを送受する。第1ECU110は、診断ツール210と第2ECU120との間のデータの送受を監視する。
[検証システムの構成例]
次に図1を参照して、検証システムの構成例を説明する。図1において、OEM(Original Equipment Manufacturing)供給元メーカ10−1,10−2は、第1ECU110又は第2ECU120を製造する。また、OEM供給元メーカ10−1,10−2は、第1ECU110と第2ECU120の両方を製造してもよい。
OEM供給元メーカ10−1は書込装置20aを備える。書込装置20aは、各ECUに個別に初期鍵を書き込む。書込装置20aにはリストファイル11aが入力される。リストファイル11aは、ECU識別子と初期鍵の組を有する。書込装置20aは、入力されたリストファイル11aが有するECU識別子と初期鍵の組ごとに、ECU識別子に対応するECUに初期鍵を書き込む。初期鍵が書き込まれたECU110,120は、OEM供給元メーカ10−1からOEM供給先メーカ30へ供給される。
OEM供給元メーカ10−2は書込装置20bを備える。書込装置20bは、各ECUに共通に初期鍵を書き込む。書込装置20bには複数のECUに共通の初期鍵(鍵データ)Key_Yが入力される。書込装置20bは、入力された初期鍵Key_Yを、複数のECUに書き込む。初期鍵が書き込まれたECU110,120は、OEM供給元メーカ10−2からOEM供給先メーカ30へ供給される。
OEM供給先メーカ30は、OEM供給元メーカ10−1,10−2から供給される第1ECU110及び第2ECU120を自社ブランドECUとして自動車100に使用する。OEM供給先メーカ30は検証装置40を備える。検証装置40は、OEM供給元メーカ10−1,10−2から供給された第1ECU110及び第2ECU120を検証する機能を有する。
なお、検証装置40は、自動車100に備えられてもよい。例えば、自動車100のCAN130に検証装置40を接続し、検証装置40は、CAN130を介して、通信により、自動車100に備わる第1ECU110及び第2ECU120の検証を行ってもよい。また、自動車100に備わる第1ECU110が検証装置40の機能を有し、第1ECU110は、CAN130を介して、通信により、自動車100に備わる第2ECU120の検証を行ってもよい。
図3は、本実施形態に係る書込装置20aの動作の説明図である。図3を参照して本実施形態に係る書込装置20aの動作を説明する。書込装置20aにはリストファイル11aが入力される。リストファイル11aは、ECU識別子と初期鍵の組を有する。例えば、リストファイル11aは、ECU識別子ECU_ID1−1と初期鍵Key_1−1の組、ECU識別子ECU_ID1−2と初期鍵Key_1−2の組、ECU識別子ECU_ID1−3と初期鍵Key_1−3の組などを有する。書込装置20aは、入力されたリストファイル11aが有するECU識別子と初期鍵の組ごとに、各ECUに個別に初期鍵を書き込む。例えば、書込装置20aは、ECU識別子ECU_ID1−1のECU#1−1に初期鍵Key_1−1を書き込み、またECU識別子ECU_ID1−2のECU#1−2に初期鍵Key_1−2を書き込み、またECU識別子ECU_ID1−3のECU#1−3に初期鍵Key_1−3を書き込む。
また、書込装置20aは、ECUに共通パラメータを書き込む。共通パラメータは、鍵種別パラメータとサプライヤ種別パラメータとを有する。鍵種別パラメータは、「個別」又は「共通」のいずれかを表す情報である。鍵種別パラメータ「個別」は、ECUに書き込まれた初期鍵がECUに個別の初期鍵であることを表す。鍵種別パラメータ「個別」は、ECUに書き込まれた初期鍵がECUに個別の初期鍵であることを表す。鍵種別パラメータ「共通」は、ECUに書き込まれた初期鍵が複数のECUに共通の初期鍵であることを表す。
サプライヤ種別パラメータは、ECUの供給元の種別を表す情報である。サプライヤ種別パラメータ「1」は、OEM供給元メーカ10−1が供給元であることを表す。サプライヤ種別パラメータ「2」は、OEM供給元メーカ10−2が供給元であることを表す。本実施形態では、サプライヤ種別パラメータは、マスタ鍵識別情報に対応する。本実施形態では、各OEM供給元メーカ10−1,10−2に個別のマスタ鍵を設ける。マスタ鍵は、初期鍵の生成に使用される。よって、サプライヤ種別パラメータは、初期鍵の生成に使用されたマスタ鍵を識別する情報となる。
書込装置20aがECUに書き込む共通パラメータは、鍵種別パラメータ「個別」とサプライヤ種別パラメータ「1」である。よって、OEM供給元メーカ10−1からOEM供給先メーカ30へ供給されるECUは、ECUに個別の初期鍵と、共通パラメータとして鍵種別パラメータ「個別」及びサプライヤ種別パラメータ「1」とを格納している。
図4は、本実施形態に係る書込装置20bの動作の説明図である。図4を参照して本実施形態に係る書込装置20bの動作を説明する。書込装置20bには初期鍵(鍵データ)Key_Yが入力される。書込装置20bは、入力された初期鍵Key_Yを、複数のECUに書き込む。例えば、書込装置20bは、ECU識別子ECU_ID2−1のECU#2−1、ECU識別子ECU_ID2−2のECU#2−2、及びECU識別子ECU_ID2−3のECU#2−3などの複数のECUに同じ初期鍵Key_Yを書き込む。
書込装置20bは、例えば複数台のECUを書込装置20bにセットして同じ初期鍵を書き込むように構成することができる。この時、書込装置20bは、ECU毎に初期鍵とECU(ECU識別子)との対応付けを確認する必要はない。一方、書込装置20aは、例えば複数台のECUを書込装置20aにセットしても、ECU毎に初期鍵とECU(ECU識別子)との対応付けを確認しながら初期鍵の書込みを行う必要がある。このため、書込装置20bは、書込装置20aに比して、構成を簡略化できたり、また書込み時間を短縮できたりする等の利点がある。
また、書込装置20bは、ECUに共通パラメータを書き込む。書込装置20bがECUに書き込む共通パラメータは、鍵種別パラメータ「共通」とサプライヤ種別パラメータ「2」である。よって、OEM供給元メーカ10−2からOEM供給先メーカ30へ供給されるECUは、複数のECUに共通の初期鍵Key_Yと、共通パラメータとして鍵種別パラメータ「共通」及びサプライヤ種別パラメータ「2」とを格納している。
OEM供給元メーカ10−2は、同じ初期鍵を格納するECU群を表すECU群情報をOEM供給先メーカ30へ通知する。例えば、ECU群情報として、製造時期やロット番号などが挙げられる。OEM供給先メーカ30は、ECU群情報によって、どのECUが同じ初期鍵を格納しているのかを知ることができる。
なお、書込装置20a,20bは、ECU110,120のセキュアエレメント112,122に初期鍵を書き込むことが好ましい。セキュアエレメント112,122は耐タンパー性を有するので、セキュアエレメント112,122に初期鍵を書き込むことによって初期鍵の安全性が増す。
次に図5を参照して、本実施形態に係る検証装置40の動作を説明する。図5は、本実施形態に係る検証方法の例を示すフローチャートである。OEM供給先メーカ30は、OEM供給元メーカ10−1,10−2から供給されたECUを検証装置40により検証する。検証装置40が検証する対象のECUを検証対象ECUと称する。図5の処理は、例えば、検証対象ECUが検証装置40にセットされると開始される。
(ステップS11)検証装置40は、検証対象ECUから共通パラメータを取得する。
(ステップS12)検証装置40は、検証対象ECUから取得した共通パラメータの鍵種別パラメータが「個別」であるか又は「共通」であるかを判断する。この結果、「個別」である場合にはステップS13に進み、「共通」である場合にはステップS14に進む。
(ステップS13)検証装置40は、検証対象ECUに対応する個別検証鍵を取得する。個別検証鍵は、ECUに個別の初期鍵に対応する鍵である。個別検証鍵の取得方法の例を以下に示す。
(個別検証鍵の取得方法の例1)
検証装置40に対して、予め、OEM供給元メーカ10−1のマスタ鍵MASTER_KEY1と、OEM供給元メーカ10−2のマスタ鍵MASTER_KEY2とを設定しておく。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータが「1」である場合には、OEM供給元メーカ10−1のマスタ鍵MASTER_KEY1を使用する。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータが「2」である場合には、OEM供給元メーカ10−2のマスタ鍵MASTER_KEY2を使用する。
検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータに対応するマスタ鍵と、検証対象ECUのECU識別子とから、検証対象ECUの個別検証鍵を生成する。個別検証鍵の生成方法(例えば鍵の演算式など)は、予め、検証装置40に設定しておく。
(個別検証鍵の取得方法の例2)
OEM供給先メーカ30には、OEM供給元メーカ10−1,10−2から供給されたECUについて、ECU識別子と個別検証鍵の組を有する個別検証鍵リストが、予め、各OEM供給元メーカ10−1,10−2から安全に供給される。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータが「1」である場合には、OEM供給元メーカ10−1の個別検証鍵リストを使用する。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータが「2」である場合には、OEM供給元メーカ10−2の個別検証鍵リストを使用する。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータに対応する個別検証鍵リストから、検証対象ECUのECU識別子に対応する個別検証鍵を取得する。
(ステップS14)検証装置40は、検証対象ECUに対応する共通検証鍵を取得する。共通検証鍵は、複数のECUに共通の初期鍵に対応する鍵である。共通検証鍵の取得方法の例を以下に示す。
(共通検証鍵の取得方法の例1)
検証装置40に対して、予め、OEM供給元メーカ10−1のマスタ鍵MASTER_KEY1と、OEM供給元メーカ10−2のマスタ鍵MASTER_KEY2とを設定しておく。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータが「1」である場合には、OEM供給元メーカ10−1のマスタ鍵MASTER_KEY1を使用する。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータが「2」である場合には、OEM供給元メーカ10−2のマスタ鍵MASTER_KEY2を使用する。
また、検証装置40に対して、予め、OEM供給元メーカ10−1の代表ECU識別子ECU_ID1−masterと、OEM供給元メーカ10−2の代表ECU識別子ECU_ID2−masterとを設定しておく。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータが「1」である場合には、OEM供給元メーカ10−1の代表ECU識別子ECU_ID1−masterを使用する。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータが「2」である場合には、OEM供給元メーカ10−2の代表ECU識別子ECU_ID2−masterを使用する。
検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータに対応するマスタ鍵及び代表ECU識別子から、検証対象ECUの共通検証鍵を生成する。共通検証鍵の生成方法(例えば鍵の演算式など)は、予め、検証装置40に設定しておく。
(共通検証鍵の取得方法の例2)
OEM供給先メーカ30には、OEM供給元メーカ10−1,10−2から供給されたECUについて、共通検証鍵(鍵データ)が、予め、各OEM供給元メーカ10−1,10−2から安全に供給される。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータが「1」である場合には、OEM供給元メーカ10−1の共通検証鍵を使用する。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータが「2」である場合には、OEM供給元メーカ10−2の共通検証鍵を使用する。
(ステップS15)検証装置40は、検証対象ECUから取得した共通パラメータの鍵種別パラメータが「個別」である場合には、検証対象ECUに対応する個別検証鍵を使用して検証対象ECUの検証を行う。一方、検証装置40は、検証対象ECUから取得した共通パラメータの鍵種別パラメータが「共通」である場合には、検証対象ECUに対応する共通検証鍵を使用して検証対象ECUの検証を行う。
ECUの検証方法は、予め、検証装置40に設定しておく。ECUの検証方法の一例として、検証対象ECUの初期鍵と検証鍵(個別検証鍵又は共通検証鍵)とが同一であり、検証対象ECUと検証装置40とは、初期鍵及び検証鍵に基づいた認証(例えば、チャレンジ/レスポンス認証方式など)を行うことが挙げられる。
第1実施形態によれば、ECUに個別の初期鍵と複数のECUに共通の初期鍵とを混在させることができる。これにより、OEM供給元メーカは、自己の事情に応じてECUに個別の初期鍵を採用するか又は複数のECUに共通の初期鍵を採用するかを選択できるので、初期鍵をECUにセットする際の負担の軽減を図ることができるという効果が得られる。
[第2実施形態]
図6は、第2実施形態に係る検証システムの構成例を示す図である。第2実施形態においても上述した図2に示す自動車100を適用できる。図6において図1の各部に対応する部分には同一の符号を付け、その説明を省略する。図6において、図1に示す第1実施形態の構成と異なる点は、第2実施形態に係るOEM供給元メーカ10−2が、書込装置20bの代わりに書込装置20aを備える点である。これ以外の構成は、上述した第1実施形態と同じである。
OEM供給元メーカ10−2において、書込装置20aにはリストファイル11bが入力される。リストファイル11bは、上述した図1に示すリストファイル11aと同様に、ECU識別子と初期鍵の組を有する。但し、リストファイル11bにおいて、各組の初期鍵は同じである。書込装置20aは、入力されたリストファイル11bが有するECU識別子と初期鍵の組ごとに、ECU識別子に対応するECUに初期鍵を書き込む。初期鍵が書き込まれたECU110,120は、OEM供給元メーカ10−2からOEM供給先メーカ30へ供給される。
図7は、本実施形態に係るOEM供給元メーカ10−2の書込装置20aの動作の説明図である。図7を参照して本実施形態に係るOEM供給元メーカ10−2の書込装置20aの動作を説明する。書込装置20aにはリストファイル11bが入力される。リストファイル11bは、ECU識別子と初期鍵の組を有するが、各組の初期鍵は同じ初期鍵Key_Yである。例えば、リストファイル11bは、ECU識別子ECU_ID2−1と初期鍵Key_Yの組、ECU識別子ECU_ID2−2と初期鍵Key_Yの組、ECU識別子ECU_ID2−3と初期鍵Key_Yの組などを有する。
書込装置20aは、入力されたリストファイル11bが有するECU識別子と初期鍵の組ごとに、各ECUに個別に初期鍵を書き込む。例えば、書込装置20aは、ECU識別子ECU_ID2−1のECU#2−1に初期鍵Key_Yを書き込み、またECU識別子ECU_ID2−2のECU#2−2に初期鍵Key_Yを書き込み、またECU識別子ECU_ID2−3のECU#2−3に初期鍵Key_Yを書き込む。
また、書込装置20aは、ECUに共通パラメータを書き込む。図7において、書込装置20aがECUに書き込む共通パラメータは、鍵種別パラメータ「共通」とサプライヤ種別パラメータ「2」である。よって、本第2実施形態においても上述の第1実施形態と同様に、OEM供給元メーカ10−2からOEM供給先メーカ30へ供給されるECUは、複数のECUに共通の初期鍵Key_Yと、共通パラメータとして鍵種別パラメータ「共通」及びサプライヤ種別パラメータ「2」とを格納している。これにより、本第2実施形態においても上述の第1実施形態と同様に、OEM供給先メーカ30は、検証装置40によって各OEM供給元メーカ10−1,10−2のECUを検証することができる。
第2実施形態によれば、上述の第1実施形態と同様に、ECUに個別の初期鍵と複数のECUに共通の初期鍵とを混在させることができる。これにより、OEM供給元メーカは、自己の事情に応じてECUに個別の初期鍵を採用するか又は複数のECUに共通の初期鍵を採用するかを選択できるので、初期鍵をECUにセットする際の負担の軽減を図ることができるという効果が得られる。
また、第2実施形態によれば、同じ書込装置20aによって、ECUに個別の初期鍵と複数のECUに共通の初期鍵との両方に対応することができる。これにより、例えば、複数のECUに共通の初期鍵を採用していたOEM供給元メーカがECUに個別の初期鍵に変更する場合に、同じ書込装置20aによって該変更に対処することができるので、設備の変更の負担を軽減できるという効果が得られる。
[第3実施形態]
図8は、第3実施形態に係る検証システムの構成例を示す図である。第3実施形態においても上述した図2に示す自動車100を適用できる。図8において図1の各部に対応する部分には同一の符号を付け、その説明を省略する。図8において、図1に示す第1実施形態の構成と異なる点は、第3実施形態に係るOEM供給元メーカ10−1が、さらに鍵生成装置50を備える点である。これ以外の構成は、上述した第1実施形態と同じである。
鍵生成装置50は、マスタ鍵とECU識別子とから初期鍵を生成する。OEM供給元メーカ10−1において、鍵生成装置50は、OEM供給元メーカ10−1のマスタ鍵MASTER_KEY1を備える。また、鍵生成装置50にはECUIDリストが入力される。該ECUIDリストは、OEM供給元メーカ10−1が製造するECUのECU識別子のリストである。鍵生成装置50は、ECUIDリストが含むECU識別子毎に、マスタ鍵MASTER_KEY1とECU識別子とから初期鍵を生成する。例えば、マスタ鍵MASTER_KEY1とECU識別子ECU_ID1−1とから初期鍵Key_1−1を生成し、またマスタ鍵MASTER_KEY1とECU識別子ECU_ID1−2とから初期鍵Key_1−2を生成し、またマスタ鍵MASTER_KEY1とECU識別子ECU_ID1−3とから初期鍵Key_1−3を生成する。鍵生成装置50は、初期鍵の生成の結果として、リストファイル11aを出力する。該リストファイル11aは、ECU識別子と鍵生成装置50が生成した初期鍵との組を有する。
初期鍵の生成方法は、予め、鍵生成装置50に設定しておく。初期鍵の生成方法として、例えば、マスタ鍵とECU識別子とからダイジェスト値を算出することが挙げられる。ダイジェスト値として、例えば、ハッシュ(hash)関数により算出される値や排他的論理和演算により算出される値などが挙げられる。
第3実施形態によれば、鍵生成装置50によってECUに個別の初期鍵を生成することができる。
なお、図8の例では、OEM供給元メーカが鍵生成装置50を備えて初期鍵を生成するが、これに限定されない。例えば、ECUに搭載されるセキュアエレメントの製造元(セキュアエレメントメーカ)が鍵生成装置50を備えて初期鍵を生成してもよい。例えば、OEM供給元メーカ10−1がECUIDリストをセキュアエレメントメーカに供給し、セキュアエレメントメーカが該ECUIDリストの各ECU識別子の初期鍵を生成し、セキュアエレメントメーカが初期鍵の生成の結果としてリストファイル11aをOEM供給元メーカ10−1へ供給してもよい。
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
上述した実施形態では、車両として自動車を例に挙げたが、原動機付自転車や鉄道車両等の自動車以外の他の車両にも適用可能である。
また、上述した各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
10−1,10−2…OEM供給元メーカ、11a,11b…リストファイル、12−1,12−2…共通パラメータ、20a,20b…書込装置、30…OEM供給先メーカ、40…検証装置、50…鍵生成装置、100…自動車、110,120…ECU、111,121…メイン演算部、112,122セキュアエレメント、130…CAN、140…インフォテイメント機器、150…診断ポート

Claims (9)

  1. 車両に搭載される車載コンピュータに個別の初期鍵又は複数の車載コンピュータに共通の初期鍵を車載コンピュータに書き込む書込装置と、
    車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する検証装置と、
    を備える検証システム。
  2. 前記書込装置は、前記鍵種別情報をさらに車載コンピュータに書き込む、
    請求項1に記載の検証システム。
  3. 前記書込装置は、車載コンピュータに個別の初期鍵と共に該初期鍵の生成に使用されたマスタ鍵を識別するマスタ鍵識別情報を車載コンピュータに書き込む、
    請求項1又は2のいずれか1項に記載の検証システム。
  4. 前記車載コンピュータに個別の初期鍵は、マスタ鍵と車載コンピュータ識別子とから生成された、
    請求項1から3のいずれか1項に記載の検証システム。
  5. 前記複数の車載コンピュータに共通の初期鍵は、マスタ鍵と該複数の車載コンピュータに共通の車載コンピュータ識別子とから生成された、
    請求項1から4のいずれか1項に記載の検証システム。
  6. マスタ鍵と車載コンピュータ識別子とから初期鍵を生成する鍵生成装置をさらに備える、
    請求項1から5のいずれか1項に記載の検証システム。
  7. 車両に搭載される車載コンピュータについての検証装置であり、
    車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する、
    検証装置。
  8. 書込装置が、車両に搭載される車載コンピュータに個別の初期鍵又は複数の車載コンピュータに共通の初期鍵を車載コンピュータに書き込む書込ステップと、
    検証装置が、車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する検証ステップと、
    を含む検証方法。
  9. コンピュータに、
    車両に搭載される車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する機能、
    を実現させるためのコンピュータプログラム。
JP2016084545A 2016-04-20 2016-04-20 検証システム、検証装置、検証方法、及びコンピュータプログラム Active JP6132955B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016084545A JP6132955B1 (ja) 2016-04-20 2016-04-20 検証システム、検証装置、検証方法、及びコンピュータプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016084545A JP6132955B1 (ja) 2016-04-20 2016-04-20 検証システム、検証装置、検証方法、及びコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP6132955B1 true JP6132955B1 (ja) 2017-05-24
JP2017195504A JP2017195504A (ja) 2017-10-26

Family

ID=58745712

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016084545A Active JP6132955B1 (ja) 2016-04-20 2016-04-20 検証システム、検証装置、検証方法、及びコンピュータプログラム

Country Status (1)

Country Link
JP (1) JP6132955B1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102084552B1 (ko) * 2018-01-18 2020-04-23 숭실대학교산학협력단 코드 기반 차량 데이터 검증 장치, 방법 및 시스템

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014053675A (ja) * 2012-09-05 2014-03-20 Sony Corp セキュリティチップ、プログラム、情報処理装置及び情報処理システム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014053675A (ja) * 2012-09-05 2014-03-20 Sony Corp セキュリティチップ、プログラム、情報処理装置及び情報処理システム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
倉地亮,他: "メッセージ認証を用いたCANの集中監視システム", 電子情報通信学会論文誌A, vol. Vol. J99-A,No. 2, JPN6017011701, 1 February 2016 (2016-02-01), JP, pages pp. 118-130 *
竹森敬祐,他: "セキュアエレメントを活用したECU認証とコード認証の鍵管理", 電子情報通信学会技術研究報告, vol. Vol. 115,No. 365, JPN6017011703, 10 December 2015 (2015-12-10), JP, pages pp. 227-232 *

Also Published As

Publication number Publication date
JP2017195504A (ja) 2017-10-26

Similar Documents

Publication Publication Date Title
US11330432B2 (en) Maintenance system and maintenance method
JP6178390B2 (ja) 管理装置、管理システム、車両、管理方法、及びコンピュータプログラム
JP6228093B2 (ja) システム
JP6260067B1 (ja) 管理システム、鍵生成装置、車載コンピュータ、管理方法、及びコンピュータプログラム
WO2017217070A1 (ja) システム、認証局、車載コンピュータ、車両、公開鍵証明書発行方法、及びプログラム
WO2017022821A1 (ja) 管理装置、管理システム、鍵生成装置、鍵生成システム、鍵管理システム、車両、管理方法、鍵生成方法、及びコンピュータプログラム
JP6190443B2 (ja) 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
JP6262681B2 (ja) 管理装置、車両、管理方法、及びコンピュータプログラム
JP6288219B1 (ja) 通信システム
JP6238939B2 (ja) 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
JP6174229B1 (ja) 配信システム、データ保安装置、配信方法、及びコンピュータプログラム
JP2018019415A (ja) システム、認証局、車載コンピュータ、公開鍵証明書発行方法、及びプログラム
JP6260068B1 (ja) 保守装置、保守方法、及びコンピュータプログラム
JP2017208859A (ja) システム、車両及びソフトウェア配布処理方法
JP6547180B2 (ja) 通信システム
JP6476462B2 (ja) 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
JP6132955B1 (ja) 検証システム、検証装置、検証方法、及びコンピュータプログラム
JP2018006782A (ja) データ提供システム、データ提供装置、車載コンピュータ、データ提供方法、及びコンピュータプログラム
JP6860464B2 (ja) システム及び管理方法
JP6672243B2 (ja) データ提供システム、データ提供装置、データ提供方法、及びデータ提供プログラム
JP6554704B2 (ja) データ提供システム及びデータ提供方法
JP2020086540A (ja) メンテナンスサーバ装置、車両メンテナンスシステム、コンピュータプログラム及び車両メンテナンス方法
JP6519060B2 (ja) 管理装置、車両、管理方法、及びコンピュータプログラム
JP2017208731A (ja) 管理システム、管理装置、車載コンピュータ、管理方法、及びコンピュータプログラム
JP2018026866A (ja) 管理システム、データ提供装置、車載コンピュータ、管理方法、及びコンピュータプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20170220

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170404

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170418

R150 Certificate of patent or registration of utility model

Ref document number: 6132955

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150