JP6354099B2 - Data providing system and data providing method - Google Patents

Data providing system and data providing method Download PDF

Info

Publication number
JP6354099B2
JP6354099B2 JP2017188122A JP2017188122A JP6354099B2 JP 6354099 B2 JP6354099 B2 JP 6354099B2 JP 2017188122 A JP2017188122 A JP 2017188122A JP 2017188122 A JP2017188122 A JP 2017188122A JP 6354099 B2 JP6354099 B2 JP 6354099B2
Authority
JP
Japan
Prior art keywords
data
vehicle
ecu
expected value
vehicle computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017188122A
Other languages
Japanese (ja)
Other versions
JP2018026151A (en
Inventor
竹森 敬祐
敬祐 竹森
誠一郎 溝口
誠一郎 溝口
歩 窪田
歩 窪田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2017188122A priority Critical patent/JP6354099B2/en
Publication of JP2018026151A publication Critical patent/JP2018026151A/en
Application granted granted Critical
Publication of JP6354099B2 publication Critical patent/JP6354099B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、データ提供システム及びデータ提供方法に関する。 The present invention relates to a data providing system and a data providing method.

従来、自動車は、ECU(Electronic Control Unit:電子制御装置)を有し、ECUによってエンジン制御等の機能を実現する。ECUは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。複数のECUをCAN(Controller Area Network)に接続して構成される車載制御システムについてのセキュリティ技術が例えば非特許文献1に記載されている。   2. Description of the Related Art Conventionally, an automobile has an ECU (Electronic Control Unit), and functions such as engine control are realized by the ECU. The ECU is a kind of computer and realizes a desired function by a computer program. For example, Non-Patent Document 1 discloses a security technique for an in-vehicle control system configured by connecting a plurality of ECUs to a CAN (Controller Area Network).

竹森敬祐、“セキュアエレメントを基点とした車載制御システムの保護 −要素技術の整理と考察−”、電子情報通信学会、信学技報、vol. 114、no. 508、pp. 73-78、2015年3月Keisuke Takemori, “Protection of in-vehicle control systems based on secure elements: Organizing and considering element technologies”, IEICE, IEICE Technical Report, vol. 114, no. 508, pp. 73-78, 2015 March STMicroelectronics、“AN4240 Application note”、[平成28年8月3日検索]、インターネット<URL:http://www.st.com/web/en/resource/technical/document/application_note/DM00075575.pdf>STMicroelectronics, “AN4240 Application note”, [Search August 3, 2016], Internet <URL: http://www.st.com/web/en/resource/technical/document/application_note/DM00075575.pdf> INTERNATIONAL STANDARD、ISO14229-1、「Road vehicles Unified diagnostic services (UDS) Part 1: Specification and requirements」、Second edition、2013-03-15INTERNATIONAL STANDARD, ISO14229-1, "Road vehicles Unified diagnostic services (UDS) Part 1: Specification and requirements", Second edition, 2013-03-15

自動車の車載制御システムのECUに適用される更新プログラム等のデータの信頼性を向上させることが一つの課題であった。   One problem has been to improve the reliability of data such as update programs applied to ECUs for in-vehicle control systems of automobiles.

本発明は、このような事情を考慮してなされたものであり、ECU等の車載コンピュータに適用されるデータの信頼性を向上させることができるデータ提供システム及びデータ提供方法を提供することを課題とする。 The present invention has been made in view of such circumstances, and it is an object of the present invention to provide a data providing system and a data providing method capable of improving the reliability of data applied to an in-vehicle computer such as an ECU. And

(1)本発明の一態様は、データ提供装置と、車両に搭載される車載コンピュータとを備え、前記データ提供装置は、前記車両とデータを送受する車両インタフェースを備え、前記車載コンピュータに適用されるコンピュータプログラム又は設定データである第1データと前記第1データの第1期待値とを前記車両インタフェースにより前記車両に送信し、前記車載コンピュータは、自車載コンピュータの外部の装置とデータを送受する第1インタフェース部と、前記データ提供装置から提供された前記第1データを自車載コンピュータに適用し、前記データ提供装置から提供された前記第1期待値をセキュアブートで使用される第2期待値に設定し、前記第1データの自車載コンピュータへの適用後にセキュアブートを実行する制御部と、セキュアブートにおいて、自車載コンピュータに適用された前記第1データを対象にして測定値を計算し、該測定値を前記第2期待値に基づいて検証する測定部と、を備え、前記制御部は、前記測定部の検証の結果に基づいた前記第1データの自車載コンピュータへの適用の合否を示すデータ適用結果を前記第1インタフェース部により送信し、前記データ提供装置は、前記車両インタフェースにより前記車両から前記データ適用結果を受信する、データ提供システムである。 (1) One aspect of the present invention includes a data providing device and an in- vehicle computer mounted on a vehicle, and the data providing device includes a vehicle interface that transmits and receives data to and from the vehicle, and is applied to the in-vehicle computer. First data which is a computer program or setting data and a first expected value of the first data are transmitted to the vehicle by the vehicle interface , and the in-vehicle computer transmits / receives data to / from an external device of the in-vehicle computer. The first interface unit and the first data provided from the data providing device are applied to the in-vehicle computer, and the first expected value provided from the data providing device is used as a second expected value for secure boot. A controller that executes secure boot after application of the first data to the in-vehicle computer; In a cure boot, the measurement unit calculates a measurement value for the first data applied to the in-vehicle computer, and verifies the measurement value based on the second expected value, and the control unit includes: The first interface unit transmits a data application result indicating whether the first data is applied to the in-vehicle computer based on the verification result of the measurement unit. A data providing system that receives the data application result from a vehicle .

)本発明の一態様は、上記(1)のデータ提供システムにおいて、データ保安装置をさらに備え、前記データ保安装置は、自データ保安装置の外部の装置とデータを送受する第2インタフェース部を備え、前記第2インタフェース部により、前記データ提供装置から受信した前記第1データと前記第1期待値とを前記車載コンピュータに送信し、前記車載コンピュータから受信した前記データ適用結果を前記データ提供装置に送信する、データ提供システムである。 ( 2 ) One aspect of the present invention is the data providing system according to (1), further including a data security device, wherein the data security device transmits / receives data to / from an external device of the data security device. The second interface unit transmits the first data received from the data providing device and the first expected value to the in-vehicle computer, and provides the data application result received from the in-vehicle computer to the data A data providing system that transmits data to a device.

)本発明の一態様は、上記(2)のデータ提供システムにおいて、前記データ提供装置は、前記第1データ若しくは前記第1期待値の電子署名、又は前記第1データの電子署名及び前記第1期待値の電子署名を、前記データ提供装置の秘密鍵を使用して生成する暗号処理部をさらに備え、前記電子署名を当該電子署名の生成の対象のデータに付した電子署名付きデータを前記車両に送信し、前記データ保安装置は、前記データ提供装置から受信した前記電子署名付きデータの電子署名を、前記データ提供装置の公開鍵を使用して検証する暗号処理部をさらに備え、前記電子署名の検証が合格したデータを前記車載コンピュータに送信する、データ提供システムである。 ( 3 ) According to one aspect of the present invention, in the data providing system according to (2), the data providing device includes the first data or the electronic signature of the first expected value, or the electronic signature of the first data and the A cryptographic processing unit that generates an electronic signature of a first expected value using a secret key of the data providing device, and includes data with an electronic signature obtained by attaching the electronic signature to data to be generated with the electronic signature The data security device transmitted to the vehicle further comprises a cryptographic processing unit that verifies the electronic signature of the data with the electronic signature received from the data providing device using a public key of the data providing device, A data providing system for transmitting data that has passed verification of an electronic signature to the in-vehicle computer.

)本発明の一態様は、データ提供装置と、車両に搭載される車載コンピュータとを備えるデータ提供システムのデータ提供方法であって、前記データ提供装置が、前記車載コンピュータに適用されるコンピュータプログラム又は設定データである第1データと前記第1データの第1期待値とを、前記車両とデータを送受する車両インタフェースにより前記車両に送信するデータ提供ステップと、前記車載コンピュータが、前記データ提供装置から提供された前記第1データを自車載コンピュータに適用し、前記データ提供装置から提供された前記第1期待値をセキュアブートで使用される第2期待値に設定し、前記第1データの自車載コンピュータへの適用後にセキュアブートを実行する実行ステップと、前記車載コンピュータが、セキュアブートにおいて、自車載コンピュータに適用された前記第1データを対象にして測定値を計算し、該測定値を前記第2期待値に基づいて検証する測定ステップと、前記車載コンピュータが、前記測定ステップの検証の結果に基づいた前記第1データの自車載コンピュータへの適用の合否を示すデータ適用結果を、自車載コンピュータの外部の装置とデータを送受する第1インタフェース部により送信する送信ステップと、前記データ提供装置が、前記車両インタフェースにより前記車両から前記データ適用結果を受信する受信ステップと、を含むデータ提供方法である。
( 4 ) One aspect of the present invention is a data providing method for a data providing system including a data providing apparatus and an in-vehicle computer mounted on a vehicle, wherein the data providing apparatus is applied to the in-vehicle computer. A data providing step of transmitting first data as a program or setting data and a first expected value of the first data to the vehicle by a vehicle interface for transmitting and receiving data to and from the vehicle, and the in-vehicle computer providing the data Applying the first data provided from the device to the vehicle-mounted computer, setting the first expected value provided from the data providing device to a second expected value used in secure boot, and An execution step of executing a secure boot after application to the in-vehicle computer; In a dual boot, a measurement step of calculating a measurement value for the first data applied to the in-vehicle computer and verifying the measurement value based on the second expected value; and the in-vehicle computer, the measurement step A transmission step of transmitting a data application result indicating acceptance / rejection of application of the first data to the in-vehicle computer based on the verification result by a first interface unit that transmits / receives data to / from an external device of the in-vehicle computer; The data providing method includes: a receiving step of receiving the data application result from the vehicle by the vehicle interface.

本発明によれば、ECU等の車載コンピュータに適用されるデータの信頼性を向上させることができるという効果が得られる。   According to the present invention, it is possible to improve the reliability of data applied to an in-vehicle computer such as an ECU.

一実施形態に係るデータ提供システム及び自動車1001の構成例を示す図である。1 is a diagram illustrating a configuration example of a data providing system and an automobile 1001 according to an embodiment. 一実施形態に係るサーバ装置2000の構成例を示す図である。It is a figure which shows the structural example of the server apparatus 2000 which concerns on one Embodiment. 一実施形態に係るデータ保安装置1010の構成例を示す図である。It is a figure which shows the structural example of the data security apparatus 1010 which concerns on one Embodiment. 一実施形態に係るECU1020の構成例を示す図である。It is a figure showing an example of composition of ECU1020 concerning one embodiment. 一実施形態に係るデータ提供方法の例を示すシーケンスチャートである。It is a sequence chart which shows the example of the data provision method which concerns on one Embodiment. 一実施形態に係るデータ提供方法の実施例を示すフローチャートである。It is a flowchart which shows the Example of the data provision method which concerns on one Embodiment. 一実施形態に係るデータ提供方法の実施例を示すフローチャートである。It is a flowchart which shows the Example of the data provision method which concerns on one Embodiment. 一実施形態に係るデータ提供方法の実施例を示すフローチャートである。It is a flowchart which shows the Example of the data provision method which concerns on one Embodiment.

以下、図面を参照し、本発明の実施形態について説明する。なお、以下に示す実施形態では、車両として自動車を例に挙げて説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. In the following embodiment, a vehicle will be described as an example of a vehicle.

図1は、一実施形態に係るデータ提供システム及び自動車1001の構成例を示す図である。本実施形態では、車載コンピュータの一例として、自動車1001に搭載されるECU(電子制御装置)を挙げて説明する。   FIG. 1 is a diagram illustrating a configuration example of a data providing system and an automobile 1001 according to an embodiment. In the present embodiment, an ECU (electronic control device) mounted on the automobile 1001 will be described as an example of the in-vehicle computer.

図1において、自動車1001は、データ保安装置1010と複数のECU1020とを備える。ECU1020は、自動車1001に備わる車載コンピュータである。ECU1020は、自動車1001のエンジン制御等の制御機能を有する。ECU1020として、例えば、エンジン制御機能を有するECU、ハンドル制御機能を有するECU、ブレーキ制御機能を有するECUなどがある。データ保安装置1010は、自動車1001に搭載されたECU1020に適用されるデータのセキュリティ(保安)の機能を有する。なお、自動車1001に搭載されたいずれかのECUをデータ保安装置1010として機能させてもよい。   In FIG. 1, an automobile 1001 includes a data security device 1010 and a plurality of ECUs 1020. The ECU 1020 is an in-vehicle computer provided in the automobile 1001. ECU 1020 has a control function such as engine control of automobile 1001. Examples of the ECU 1020 include an ECU having an engine control function, an ECU having a handle control function, and an ECU having a brake control function. The data security device 1010 has a data security (security) function applied to the ECU 1020 mounted on the automobile 1001. Note that any ECU mounted on the automobile 1001 may function as the data security device 1010.

データ保安装置1010と複数のECU1020は、自動車1001に備わるCAN(Controller Area Network)1030に接続される。CAN1030は通信ネットワークである。CANは車両に搭載される通信ネットワークの一つとして知られている。データ保安装置1010は、CAN1030を介して、各ECU1020との間でデータを交換する。ECU1020は、CAN1030を介して、他のECU1020との間でデータを交換する。   The data security device 1010 and the plurality of ECUs 1020 are connected to a CAN (Controller Area Network) 1030 provided in the automobile 1001. CAN 1030 is a communication network. CAN is known as one of communication networks mounted on vehicles. The data security device 1010 exchanges data with each ECU 1020 via the CAN 1030. ECU 1020 exchanges data with other ECUs 1020 via CAN 1030.

なお、車両に搭載される通信ネットワークとして、CAN以外の通信ネットワークを自動車1001に備え、CAN以外の通信ネットワークを介して、データ保安装置1010とECU1020との間のデータの交換、及び、ECU1020同士の間のデータの交換が行われてもよい。例えば、LIN(Local Interconnect Network)を自動車1001に備えてもよい。また、CANとLINとを自動車1001に備えてもよい。また、自動車1001において、LINに接続するECU1020を備えてもよい。また、データ保安装置1010は、CANとLINとに接続されてもよい。また、データ保安装置1010は、CANを介して該CANに接続されるECU1020との間でデータを交換し、また、LINを介して該LINに接続されるECU1020との間でデータを交換してもよい。また、ECU1020同士が、LINを介してデータを交換してもよい。   In addition, as a communication network mounted on the vehicle, a communication network other than CAN is provided in the automobile 1001, and data exchange between the data security device 1010 and the ECU 1020 and communication between the ECUs 1020 are performed via the communication network other than CAN. Data exchanges between them may be performed. For example, the automobile 1001 may include a LIN (Local Interconnect Network). In addition, the automobile 1001 may include CAN and LIN. Further, the automobile 1001 may include an ECU 1020 connected to the LIN. Further, the data security device 1010 may be connected to CAN and LIN. Further, the data security device 1010 exchanges data with the ECU 1020 connected to the CAN via the CAN, and exchanges data with the ECU 1020 connected to the LIN via the LIN. Also good. Further, the ECUs 1020 may exchange data via the LIN.

自動車1001に備わる車載コンピュータシステム1002は、データ保安装置1010と複数のECU1020とがCAN1030に接続されて構成される。本実施形態において、車載コンピュータシステム1002は、自動車1001の車載制御システムとして機能する。   An in-vehicle computer system 1002 provided in the automobile 1001 is configured by connecting a data security device 1010 and a plurality of ECUs 1020 to a CAN 1030. In the present embodiment, the in-vehicle computer system 1002 functions as an in-vehicle control system for the automobile 1001.

ゲートウェイ1070は、車載コンピュータシステム1002の内部と外部の間の通信を監視する。ゲートウェイ1070はCAN1030に接続される。また、ゲートウェイ1070は、車載コンピュータシステム1002の外部の装置の例として、インフォテイメント機器1040、TCU(Tele Communication Unit)1050及び診断ポート1060と接続される。データ保安装置1010及びECU1020は、ゲートウェイ1070を介して、車載コンピュータシステム1002の外部の装置と通信を行う。   The gateway 1070 monitors communication between the inside and the outside of the in-vehicle computer system 1002. The gateway 1070 is connected to the CAN 1030. The gateway 1070 is connected to an infotainment device 1040, a TCU (Tele Communication Unit) 1050, and a diagnostic port 1060 as examples of devices external to the in-vehicle computer system 1002. The data security device 1010 and the ECU 1020 communicate with devices outside the in-vehicle computer system 1002 via the gateway 1070.

なお、CAN1030の構成として、CAN1030が複数のバス(通信線)を備え、該複数のバスをゲートウェイ1070に接続してもよい。この場合、一つのバスに、一つのECU1020又は複数のECU1020が接続される。また、同じバスにデータ保安装置1010とECU1020とが接続されてもよく、又は、データ保安装置1010が接続されるバスとECU1020が接続されるバスとを別個にしてもよい。   As a configuration of the CAN 1030, the CAN 1030 may include a plurality of buses (communication lines), and the plurality of buses may be connected to the gateway 1070. In this case, one ECU 1020 or a plurality of ECUs 1020 is connected to one bus. Further, the data security device 1010 and the ECU 1020 may be connected to the same bus, or the bus to which the data security device 1010 is connected and the bus to which the ECU 1020 is connected may be separated.

自動車1001は診断ポート1060を備える。診断ポート1060として、例えばOBD(On-board Diagnostics)ポートを使用してもよい。診断ポート1060には、自動車1001の外部の装置を接続可能である。診断ポート1060に接続可能な自動車1001の外部の装置として、例えば、図1に示されるメンテナンスツール2100などがある。データ保安装置1010と、診断ポート1060に接続された装置、例えばメンテナンスツール2100とは、診断ポート1060及びゲートウェイ1070を介して、データを交換する。メンテナンスツール2100は、OBDポートに接続される従来の診断端末の機能を有していてもよい。   The automobile 1001 includes a diagnostic port 1060. As the diagnostic port 1060, for example, an OBD (On-board Diagnostics) port may be used. A device outside the automobile 1001 can be connected to the diagnostic port 1060. As an external device of the automobile 1001 that can be connected to the diagnosis port 1060, for example, there is a maintenance tool 2100 shown in FIG. The data security device 1010 and a device connected to the diagnostic port 1060, for example, the maintenance tool 2100 exchange data via the diagnostic port 1060 and the gateway 1070. The maintenance tool 2100 may have a function of a conventional diagnostic terminal connected to the OBD port.

自動車1001はインフォテイメント(Infotainment)機器1040を備える。インフォテイメント機器1040として、例えば、ナビゲーション機能、位置情報サービス機能、音楽や動画などのマルチメディア再生機能、音声通信機能、データ通信機能、インターネット接続機能などを有するものが挙げられる。   The automobile 1001 includes an infotainment device 1040. Examples of the infotainment device 1040 include a navigation function, a location information service function, a multimedia playback function such as music and video, a voice communication function, a data communication function, and an Internet connection function.

自動車1001は、TCU1050を備える。TCU1050は通信装置である。TCU1050は通信モジュール1051を備える。通信モジュール1051は、無線通信ネットワークを利用して無線通信を行う。通信モジュール1051は、SIM(Subscriber Identity Module)1052を備える。SIM1052は、無線通信ネットワークを利用するための情報が書き込まれたSIMである。通信モジュール1051は、SIM1052を使用することにより該無線通信ネットワークに接続して無線通信を行うことができる。なお、SIM1052として、eSIM(Embedded Subscriber Identity Module)を使用してもよい。   The automobile 1001 includes a TCU 1050. The TCU 1050 is a communication device. The TCU 1050 includes a communication module 1051. The communication module 1051 performs wireless communication using a wireless communication network. The communication module 1051 includes a SIM (Subscriber Identity Module) 1052. The SIM 1052 is a SIM in which information for using the wireless communication network is written. The communication module 1051 can use the SIM 1052 to connect to the wireless communication network and perform wireless communication. Note that an eSIM (Embedded Subscriber Identity Module) may be used as the SIM 1052.

データ保安装置1010は、ゲートウェイ1070を介して、TCU1050とデータを交換する。なお、TCU1050とデータ保安装置1010とを通信ケーブルで直接接続し、TCU1050とデータ保安装置1010は該通信ケーブルを介してデータを交換してもよい。例えば、USB(universal serial bus)ケーブルでTCU1050とデータ保安装置1010とを直接接続し、TCU1050とデータ保安装置1010は該USBケーブルを介してデータを交換してもよい。また、TCU1050とデータ保安装置1010とをUSBケーブル等の通信ケーブルで直接接続し、該通信ケーブルを介してTCU1050とデータ保安装置1010間のデータの交換を行う場合、TCU1050とデータ保安装置1010とのうち送信側の装置は、受信側の装置に送信するデータを一時的に蓄えるバッファを備えてもよい。   The data security device 1010 exchanges data with the TCU 1050 via the gateway 1070. Note that the TCU 1050 and the data security device 1010 may be directly connected via a communication cable, and the TCU 1050 and the data security device 1010 may exchange data via the communication cable. For example, the TCU 1050 and the data security device 1010 may be directly connected by a USB (universal serial bus) cable, and the TCU 1050 and the data security device 1010 may exchange data via the USB cable. Further, when the TCU 1050 and the data security device 1010 are directly connected by a communication cable such as a USB cable and data is exchanged between the TCU 1050 and the data security device 1010 via the communication cable, the TCU 1050 and the data security device 1010 are exchanged. Of these, the transmission-side apparatus may include a buffer that temporarily stores data to be transmitted to the reception-side apparatus.

なお、TCU1050の他の接続形態として、例えば、TCU1050をインフォテイメント機器1040に接続し、データ保安装置1010が、ゲートウェイ1070及びインフォテイメント機器1040を介して、TCU1050とデータを交換してもよい。又は、TCU1050を診断ポート1060に接続し、データ保安装置1010が、ゲートウェイ1070及び診断ポート1060を介して、該診断ポート1060に接続されたTCU1050とデータを交換してもよい。又は、データ保安装置1010が、SIM1052を含む通信モジュール1051を備えてもよい。データ保安装置1010がSIM1052を含む通信モジュール1051を備える場合には、自動車1001はTCU1050を備えなくてもよい。   As another connection form of the TCU 1050, for example, the TCU 1050 may be connected to the infotainment device 1040, and the data security device 1010 may exchange data with the TCU 1050 via the gateway 1070 and the infotainment device 1040. Alternatively, the TCU 1050 may be connected to the diagnostic port 1060, and the data security device 1010 may exchange data with the TCU 1050 connected to the diagnostic port 1060 via the gateway 1070 and the diagnostic port 1060. Alternatively, the data security device 1010 may include a communication module 1051 including a SIM 1052. When the data security device 1010 includes the communication module 1051 including the SIM 1052, the automobile 1001 may not include the TCU 1050.

データ保安装置1010は、メイン演算器1011とHSM(Hardware Security Module)1012を備える。メイン演算器1011は、データ保安装置1010の機能を実現させるためのコンピュータプログラムを実行する。HSM1012は暗号処理機能等を有する。HSM1012は耐タンパー性(Tamper Resistant)を有する。HSM1012はセキュアエレメント(Secure Element:SE)の例である。HSM1012は、データを記憶する記憶部1013を備える。メイン演算器1011はHSM1012を使用する。   The data security device 1010 includes a main computing unit 1011 and an HSM (Hardware Security Module) 1012. The main arithmetic unit 1011 executes a computer program for realizing the functions of the data security device 1010. The HSM 1012 has a cryptographic processing function and the like. HSM 1012 has tamper resistance. The HSM 1012 is an example of a secure element (SE). The HSM 1012 includes a storage unit 1013 that stores data. The main arithmetic unit 1011 uses an HSM 1012.

ECU1020は、メイン演算器1021とSHE(Secure Hardware Extension)1022を備える。メイン演算器1021は、ECU1020の機能を実現させるためのコンピュータプログラムを実行する。SHE1022は暗号処理機能等を有する。SHE1022は耐タンパー性を有する。SHE1022はセキュアエレメントの例である。SHE1022は、データを記憶する記憶部1023を備える。メイン演算器1021はSHE1022を使用する。   The ECU 1020 includes a main computing unit 1021 and a SHE (Secure Hardware Extension) 1022. The main computing unit 1021 executes a computer program for realizing the functions of the ECU 1020. The SHE 1022 has a cryptographic processing function and the like. SHE1022 has tamper resistance. SHE1022 is an example of a secure element. The SHE 1022 includes a storage unit 1023 that stores data. The main computing unit 1021 uses SHE1022.

サーバ装置2000は、通信回線を介して、自動車1001のTCU1050の通信モジュール1051とデータを送受する。サーバ装置2000は、自動車1001のTCU1050の通信モジュール1051が利用する無線通信ネットワークを介して、該通信モジュール1051とデータを送受する。又は、サーバ装置2000は、インターネット等の通信ネットワークと該無線通信ネットワークとを介して、該通信モジュール1051とデータを送受してもよい。また、例えば、サーバ装置2000と通信モジュール1051との間をVPN(Virtual Private Network)回線等の専用回線で接続し、該専用回線でデータを送受してもよい。例えば、SIM1052に対応する無線通信ネットワークによって、VPN回線等の専用回線が提供されてもよい。なお、サーバ装置2000と自動車1001とを通信ケーブルで接続してもよい。例えば、サーバ装置2000と自動車1001のゲートウェイ1070とを通信ケーブルで接続するように構成してもよい。   Server device 2000 transmits and receives data to and from communication module 1051 of TCU 1050 of automobile 1001 via a communication line. Server device 2000 transmits and receives data to and from communication module 1051 via a wireless communication network used by communication module 1051 of TCU 1050 of automobile 1001. Alternatively, the server device 2000 may transmit / receive data to / from the communication module 1051 via a communication network such as the Internet and the wireless communication network. Further, for example, the server apparatus 2000 and the communication module 1051 may be connected by a dedicated line such as a VPN (Virtual Private Network) line, and data may be transmitted / received through the dedicated line. For example, a dedicated line such as a VPN line may be provided by a wireless communication network corresponding to the SIM 1052. Note that the server device 2000 and the automobile 1001 may be connected by a communication cable. For example, you may comprise so that the server apparatus 2000 and the gateway 1070 of the motor vehicle 1001 may be connected with a communication cable.

サーバ装置2000は、ECU1020に適用されるECUコード(ECU code)を自動車1001に提供する。ECUコードは、ECU1020に適用されるデータの例である。ECUコードは、ECU1020にインストールされる更新プログラム等のコンピュータプログラムであってもよく、又は、ECU1020に設定されるパラメータ設定値などの設定データであってもよい。   Server device 2000 provides vehicle 1001 with an ECU code applied to ECU 1020. The ECU code is an example of data applied to the ECU 1020. The ECU code may be a computer program such as an update program installed in the ECU 1020, or may be setting data such as a parameter setting value set in the ECU 1020.

図2は、サーバ装置2000の構成例を示す図である。図2において、サーバ装置2000は、通信部2011と記憶部2012と期待値計算部2013と検証部2014と暗号処理部2016とを備える。通信部2011は、通信回線を介して、他の装置と通信を行う。通信部2011は車両インタフェースに対応する。記憶部2012は、データを記憶する。期待値計算部2013は、ECUコードについての期待値を計算する。検証部2014は、ECU1020の測定値の検証に係る処理を行う。暗号処理部2016は、暗号処理を実行する。暗号処理部2016の暗号処理は、少なくとも、電子署名の生成処理を含む。暗号処理部2016の暗号処理は、さらに、データの暗号化処理及び暗号化データの復号処理を含んでもよい。   FIG. 2 is a diagram illustrating a configuration example of the server device 2000. In FIG. 2, the server apparatus 2000 includes a communication unit 2011, a storage unit 2012, an expected value calculation unit 2013, a verification unit 2014, and an encryption processing unit 2016. The communication unit 2011 communicates with other devices via a communication line. The communication unit 2011 corresponds to a vehicle interface. The storage unit 2012 stores data. The expected value calculation unit 2013 calculates an expected value for the ECU code. The verification unit 2014 performs processing related to verification of the measurement value of the ECU 1020. The cryptographic processing unit 2016 performs cryptographic processing. The cryptographic processing of the cryptographic processing unit 2016 includes at least electronic signature generation processing. The encryption processing of the encryption processing unit 2016 may further include data encryption processing and encryption data decryption processing.

サーバ装置2000の機能は、該サーバ装置2000が備えるCPUがコンピュータプログラムを実行することにより実現される。なお、サーバ装置2000として、汎用のコンピュータ装置を使用して構成してもよく、又は、専用のハードウェア装置として構成してもよい。   The functions of the server device 2000 are realized by the CPU provided in the server device 2000 executing a computer program. Note that the server device 2000 may be configured using a general-purpose computer device, or may be configured as a dedicated hardware device.

図3は、データ保安装置1010の構成例を示す図である。図3において、データ保安装置1010は、メイン演算器1011とHSM1012とインタフェース部20とを備える。メイン演算器1011は、制御部21と記憶部22とを備える。HSM1012は、記憶部1013と暗号処理部32とを備える。   FIG. 3 is a diagram illustrating a configuration example of the data security device 1010. In FIG. 3, the data security device 1010 includes a main arithmetic unit 1011, an HSM 1012, and an interface unit 20. The main computing unit 1011 includes a control unit 21 and a storage unit 22. The HSM 1012 includes a storage unit 1013 and an encryption processing unit 32.

インタフェース部20は、自データ保安装置1010の外部の装置とデータを送受する。インタフェース部20は、CAN1030を介してデータを送受するインタフェースを備える。メイン演算器1011は、インタフェース部20を介して、データ保安装置1010以外の他の装置とデータの送受を行う。   The interface unit 20 transmits / receives data to / from an external device of the own data security device 1010. The interface unit 20 includes an interface that transmits and receives data via the CAN 1030. The main computing unit 1011 transmits / receives data to / from devices other than the data security device 1010 via the interface unit 20.

制御部21は、データ保安装置1010の制御を行う。記憶部22は、データを記憶する。記憶部1013は、データを記憶する。暗号処理部32は、暗号処理を実行する。暗号処理部32の暗号処理は、少なくとも、電子署名の検証処理を含む。暗号処理部32の暗号処理は、さらに、データの暗号化処理及び暗号化データの復号処理を含んでもよい。   The control unit 21 controls the data security device 1010. The storage unit 22 stores data. The storage unit 1013 stores data. The cryptographic processing unit 32 performs cryptographic processing. The cryptographic processing of the cryptographic processing unit 32 includes at least electronic signature verification processing. The encryption processing of the encryption processing unit 32 may further include data encryption processing and encrypted data decryption processing.

図4は、ECU1020の構成例を示す図である。図4において、ECU1020は、メイン演算器1021とSHE1022とインタフェース部40とを備える。メイン演算器1021は、制御部41と記憶部42とを備える。SHE1022は、記憶部1023と暗号処理部52と測定部53とを備える。   FIG. 4 is a diagram illustrating a configuration example of the ECU 1020. In FIG. 4, the ECU 1020 includes a main computing unit 1021, a SHE 1022, and an interface unit 40. The main computing unit 1021 includes a control unit 41 and a storage unit 42. The SHE 1022 includes a storage unit 1023, an encryption processing unit 52, and a measurement unit 53.

インタフェース部40は、自ECU1020の外部の装置とデータを送受する。インタフェース部40は、CAN1030を介してデータを送受するインタフェースを備える。メイン演算器1021は、インタフェース部40を介して、自ECU1020以外の他の装置とデータの送受を行う。   The interface unit 40 transmits / receives data to / from an external device of the own ECU 1020. The interface unit 40 includes an interface that transmits and receives data via the CAN 1030. The main computing unit 1021 transmits and receives data to and from devices other than its own ECU 1020 via the interface unit 40.

制御部41は、ECU1020の制御を行う。記憶部42は、データを記憶する。記憶部1023は、データを記憶する。暗号処理部52は、データの暗号化及び暗号化データの復号を行う。測定部53は、ECUコード等のデータの測定値を計算し、該測定値を期待値に基づいて検証する。   The control unit 41 controls the ECU 1020. The storage unit 42 stores data. The storage unit 1023 stores data. The encryption processing unit 52 encrypts data and decrypts encrypted data. The measurement unit 53 calculates a measurement value of data such as an ECU code, and verifies the measurement value based on an expected value.

なお、本実施形態では、データ保安装置1010にHSMを使用しているが、データ保安装置1010においてHSMの代わりにSHEを使用してもよい。なお、SHEについては、例えば非特許文献2に記載されている。   In this embodiment, HSM is used for the data security device 1010. However, SHE may be used in the data security device 1010 instead of HSM. In addition, about SHE, it describes in the nonpatent literature 2, for example.

次に図5を参照して、本実施形態に係るデータ提供方法の例を説明する。図5は、本実施形態に係るデータ提供方法の例を示すシーケンスチャートである。   Next, an example of a data providing method according to the present embodiment will be described with reference to FIG. FIG. 5 is a sequence chart showing an example of a data providing method according to the present embodiment.

サーバ装置2000は、マスタ鍵Master_Secretと、ECU1020のECUコードと、サーバ装置2000の秘密鍵Kssとを予め記憶部2012に格納している。ECU1020のECUコードは、ECU1020に適用する予定のECUコードを含む。データ保安装置1010は、サーバ装置2000の公開鍵Kpsを予めHSM1012の記憶部1013に格納している。公開鍵Kpsは公開鍵証明書として記憶部1013に格納されてもよい。ECU1020は、署名鍵Kbを予めSHE1022の記憶部1023に格納している。   The server apparatus 2000 stores a master key Master_Secret, an ECU code of the ECU 1020, and a secret key Kss of the server apparatus 2000 in the storage unit 2012 in advance. The ECU code of ECU 1020 includes an ECU code scheduled to be applied to ECU 1020. The data security device 1010 stores the public key Kps of the server device 2000 in the storage unit 1013 of the HSM 1012 in advance. The public key Kps may be stored in the storage unit 1013 as a public key certificate. The ECU 1020 stores the signature key Kb in the storage unit 1023 of the SHE 1022 in advance.

以下、サーバ装置2000は、通信部2011により、自動車1001のTCU1050と通信を行い、TCU1050及びゲートウェイ1070を介して、自動車1001のCAN1030に接続されるデータ保安装置1010との間でデータを送受する。なお、サーバ装置2000とデータ保安装置1010との間の通信路として、暗号化通信路を使用してもよい。例えば、サーバ装置2000とデータ保安装置1010は、暗号化通信路の一例として、https(hypertext transfer protocol secure)通信を行ってもよい。   Hereinafter, the server apparatus 2000 communicates with the TCU 1050 of the automobile 1001 through the communication unit 2011, and transmits / receives data to / from the data security apparatus 1010 connected to the CAN 1030 of the automobile 1001 via the TCU 1050 and the gateway 1070. Note that an encrypted communication path may be used as a communication path between the server device 2000 and the data security device 1010. For example, the server apparatus 2000 and the data security apparatus 1010 may perform https (hypertext transfer protocol secure) communication as an example of an encrypted communication path.

(ステップS101)サーバ装置2000の暗号処理部2016は、ECU1020に適用されるECUコードと該ECUコードの期待値についての電子署名を、秘密鍵Kssを使用して生成する。ECUコードの期待値は、ECU1020のセキュアブートで使用される期待値である。ECUコードの期待値は、ECU1020に適用されるデータの例である。ECUコードの期待値はECUコードに関連付けて記憶部2012に予め格納されてもよく、又は、期待値計算部2013がECUコードの期待値を計算してもよい。本実施形態では、ECUコードの期待値の一例として、CMAC(Cipher-based Message Authentication Code)を使用する。ECUコードの期待値であるCMACの計算には、ECU1020の署名鍵Kbが使用される。期待値計算部2013がECUコードの期待値を計算する場合、ECU1020の署名鍵Kbは、予め、ECU1020とサーバ装置2000間で共有しておく。 (Step S101) The encryption processing unit 2016 of the server device 2000 generates an electronic code for an ECU code applied to the ECU 1020 and an expected value of the ECU code using the secret key Kss. The expected value of the ECU code is an expected value used in the secure boot of the ECU 1020. The expected value of the ECU code is an example of data applied to the ECU 1020. The expected value of the ECU code may be stored in advance in the storage unit 2012 in association with the ECU code, or the expected value calculation unit 2013 may calculate the expected value of the ECU code. In this embodiment, CMAC (Cipher-based Message Authentication Code) is used as an example of the expected value of the ECU code. The signature key Kb of the ECU 1020 is used for calculating the CMAC that is an expected value of the ECU code. When the expected value calculation unit 2013 calculates the expected value of the ECU code, the signature key Kb of the ECU 1020 is shared between the ECU 1020 and the server device 2000 in advance.

(ステップS102)サーバ装置2000は、ECU1020に適用されるECUコードと、該ECUコードの期待値と、暗号処理部2016が生成した電子署名とを、通信部2011によりデータ保安装置1010に送信する。データ保安装置1010は、サーバ装置2000から送信されたECUコードと、該ECUコードの期待値と、電子署名とを受信する。
なお、電子署名は、ECUコードと期待値との両方に付してもよく、又は、ECUコード若しくは期待値のいずれか一方にのみ付してもよい。
(Step S <b> 102) The server device 2000 transmits the ECU code applied to the ECU 1020, the expected value of the ECU code, and the electronic signature generated by the encryption processing unit 2016 to the data security device 1010 through the communication unit 2011. The data security device 1010 receives the ECU code transmitted from the server device 2000, the expected value of the ECU code, and the electronic signature.
The electronic signature may be attached to both the ECU code and the expected value, or may be attached only to either the ECU code or the expected value.

(ステップS103)データ保安装置1010の制御部21は、サーバ装置2000から受信した電子署名の検証を、HSM1012に実行させる。HSM1012の暗号処理部32は、該電子署名を、記憶部1013に格納されている公開鍵Kpsを使用して検証する。HSM1012は、該電子署名の検証結果を制御部21に渡す。制御部21は、該電子署名の検証結果が合格である場合に、ステップS104に処理を進める。一方、制御部21は、該電子署名の検証結果が不合格である場合には、図5の処理を終了する。 (Step S103) The control unit 21 of the data security device 1010 causes the HSM 1012 to verify the electronic signature received from the server device 2000. The cryptographic processing unit 32 of the HSM 1012 verifies the electronic signature using the public key Kps stored in the storage unit 1013. The HSM 1012 passes the verification result of the electronic signature to the control unit 21. If the verification result of the electronic signature is acceptable, the control unit 21 proceeds to step S104. On the other hand, when the verification result of the electronic signature fails, the control unit 21 ends the process of FIG.

なお、電子署名の検証結果が不合格である場合には、制御部21は、所定のエラー処理を実行してもよい。例えば、制御部21は、電子署名の検証結果が不合格であることを示すエラーメッセージを、サーバ装置2000に送信してもよい。サーバ装置2000は、該エラーメッセージに応じて、所定のエラー処理を実行してもよい。例えば、サーバ装置2000は、ECUコードと該ECUコードの期待値と電子署名とをデータ保安装置1010に再送信したり、又は、電子署名を再生成してからECUコードと該ECUコードの期待値と電子署名とをデータ保安装置1010に送信したりしてもよい。   Note that if the verification result of the electronic signature fails, the control unit 21 may execute a predetermined error process. For example, the control unit 21 may transmit an error message indicating that the verification result of the electronic signature is unacceptable to the server apparatus 2000. The server device 2000 may execute predetermined error processing in response to the error message. For example, the server device 2000 retransmits the ECU code, the expected value of the ECU code, and the electronic signature to the data security device 1010, or regenerates the electronic signature, and then the ECU code and the expected value of the ECU code. And the electronic signature may be transmitted to the data security device 1010.

(ステップS104)データ保安装置1010の制御部21は、電子署名の検証が合格したECUコードと期待値を、インタフェース部20によりECU1020に送信する。ECU1020は、データ保安装置1010から送信されたECUコードと期待値を受信する。 (Step S <b> 104) The control unit 21 of the data security device 1010 transmits the ECU code and the expected value, which have passed the verification of the electronic signature, to the ECU 1020 through the interface unit 20. ECU 1020 receives the ECU code and expected value transmitted from data security device 1010.

(ステップS105)ECU1020の制御部41は、データ保安装置1010から受信したECUコードと期待値を自ECU1020に適用する。制御部41は、該期待値をセキュアブートで使用される期待値としてSHE1022に設定する。SHE1022の記憶部1023は、該期待値を格納する。 (Step S105) The control unit 41 of the ECU 1020 applies the ECU code and the expected value received from the data security device 1010 to the own ECU 1020. The control unit 41 sets the expected value in the SHE 1022 as an expected value used in secure boot. The storage unit 1023 of the SHE 1022 stores the expected value.

(ステップS106)ECU1020の制御部41は、ECUコードの適用後に、セキュアブートを実行する。このセキュアブートでは、SHE1022の測定部53は、記憶部1023に格納している署名鍵KbによりECUコードの測定値を計算する。本実施形態では、測定値の一例として、CMACを使用する。よって、測定部53は、記憶部1023に格納している署名鍵Kbにより、ECUコードのCMACを計算する。測定部53は、該計算結果のCMACと記憶部1023に格納されている期待値との比較を行う。該計算結果のCMACと期待値との比較の結果、両者が一致する場合にはセキュアブート結果が合格であり、両者が一致しない場合にはセキュアブート結果が不合格である。SHE1022は、セキュアブート結果を制御部41に渡す。制御部41は、セキュアブート結果が合格である場合にECUコードの実行を進める。一方、制御部41は、セキュアブート結果が不合格である場合にはECUコードの実行を停止する。
なお、本実施形態では、サーバ装置2000がECU1020にセキュアブートで使用される期待値を供給するが、データ保安装置1010が該期待値をECU1020に供給してもよい。この場合、データ保安装置1010は、期待値計算部を有し、ECU1020の署名鍵KbによりECUコードの期待値(CMAC)を計算する。ECU1020の署名鍵Kbは、予め、ECU1020とデータ保安装置1010間で共有しておく。
(Step S106) The control unit 41 of the ECU 1020 executes secure boot after the application of the ECU code. In this secure boot, the measurement unit 53 of the SHE 1022 calculates the measured value of the ECU code using the signature key Kb stored in the storage unit 1023. In this embodiment, CMAC is used as an example of the measurement value. Therefore, the measurement unit 53 calculates the CMAC of the ECU code using the signature key Kb stored in the storage unit 1023. The measurement unit 53 compares the CMAC of the calculation result with the expected value stored in the storage unit 1023. As a result of comparison between the CMAC of the calculation result and the expected value, when the two match, the secure boot result is acceptable, and when the two do not coincide, the secure boot result is unacceptable. The SHE 1022 passes the secure boot result to the control unit 41. The control unit 41 advances the execution of the ECU code when the secure boot result is acceptable. On the other hand, the control part 41 stops execution of ECU code, when a secure boot result is a failure.
In the present embodiment, the server apparatus 2000 supplies the ECU 1020 with an expected value that is used in secure boot, but the data security apparatus 1010 may supply the expected value to the ECU 1020. In this case, the data security device 1010 has an expected value calculation unit, and calculates an expected value (CMAC) of the ECU code using the signature key Kb of the ECU 1020. The signature key Kb of the ECU 1020 is previously shared between the ECU 1020 and the data security device 1010.

(ステップS107)ECU1020の制御部41は、インタフェース部40により、セキュアブート結果「合格又は不合格」をデータ保安装置1010に送信する。データ保安装置1010は、ECU1020から受信したセキュアブート結果「合格又は不合格」をサーバ装置2000に転送する。セキュアブート結果「合格又は不合格」は、ECUコードのECU1020への適用の合否を示すデータ適用結果に対応する。 (Step S <b> 107) The control unit 41 of the ECU 1020 transmits the secure boot result “pass or fail” to the data security device 1010 through the interface unit 40. The data security device 1010 transfers the secure boot result “pass or fail” received from the ECU 1020 to the server device 2000. The secure boot result “pass or fail” corresponds to a data application result indicating whether or not the ECU code is applied to the ECU 1020.

サーバ装置2000は、通信部2011により、データ保安装置1010から送信されたセキュアブート結果「合格又は不合格」を受信する。サーバ装置2000は、データ保安装置1010から受信したセキュアブート結果「合格又は不合格」に応じて、所定の処理を実行する。例えば、セキュアブート結果が合格である場合には、その旨を記録する。一方、セキュアブート結果が不合格である場合には、サーバ装置2000は、所定のエラー処理を実行してもよい。例えば、エラー処理として、サーバ装置2000は、ECUコードと該ECUコードの期待値と電子署名とをデータ保安装置1010に再送信したり、又は、電子署名を再生成してからECUコードと該ECUコードの期待値と電子署名とをデータ保安装置1010に送信したりしてもよい。また、該エラー処理を、セキュアブート結果が合格になるまで繰り返す、又は、所定回数だけ繰り返してもよい。   The server device 2000 receives the secure boot result “pass or fail” transmitted from the data security device 1010 via the communication unit 2011. The server device 2000 executes a predetermined process according to the secure boot result “passed or failed” received from the data security device 1010. For example, if the secure boot result is acceptable, the fact is recorded. On the other hand, when the secure boot result is unacceptable, the server apparatus 2000 may execute predetermined error processing. For example, as error processing, the server device 2000 retransmits the ECU code, the expected value of the ECU code, and the electronic signature to the data security device 1010, or regenerates the electronic signature and then generates the ECU code and the ECU. The expected value of the code and the electronic signature may be transmitted to the data security device 1010. Further, the error processing may be repeated until the secure boot result is passed, or may be repeated a predetermined number of times.

なお、上記したステップS106のECUコードの適用後のセキュアブートは、必須ではなく、実行しなくてもよい。   The secure boot after application of the ECU code in step S106 described above is not essential and may not be executed.

次に、上述した図5のデータ提供方法の変形例を説明する。   Next, a modification of the above-described data providing method of FIG. 5 will be described.

<データ提供方法の変形例1>
ステップS104において、データ保安装置1010は、HSM1012の暗号処理部32によりECUコードを暗号化して、ECU1020に送信する。この暗号化に用いる鍵は、予め、データ保安装置1010とECU1020間で共有しておく。ECU1020は、データ保安装置1010から受信した暗号化データを、SHE1022の暗号処理部52により、記憶部1023に格納されている該当の鍵で復号して、ECUコードを取得する。
<Variation 1 of data providing method>
In step S <b> 104, the data security device 1010 encrypts the ECU code by the encryption processing unit 32 of the HSM 1012 and transmits it to the ECU 1020. The key used for this encryption is shared between the data security device 1010 and the ECU 1020 in advance. The ECU 1020 obtains the ECU code by decrypting the encrypted data received from the data security device 1010 with the corresponding key stored in the storage unit 1023 by the encryption processing unit 52 of the SHE 1022.

<データ提供方法の変形例2>
ステップS104において、ECUコードは、CAN1030のパケットに格納されて、データ保安装置1010からECU1020に伝送される。データ保安装置1010は、該パケットに、該パケットについてのCMACをさらに含める。該CMACの生成に使用する鍵は、予め、データ保安装置1010とECU1020間で共有しておく。ECU1020は、データ保安装置1010から受信したパケットに含まれるCMACを、該当の鍵で検証する。ECU1020は、該CMACの検証が合格した場合に当該ECUコードを適用する。一方、ECU1020は、該CMACの検証が不合格である場合には当該ECUコードを適用しない。
<Modification 2 of data providing method>
In step S <b> 104, the ECU code is stored in a packet of CAN 1030 and transmitted from the data security device 1010 to the ECU 1020. The data security device 1010 further includes CMAC for the packet in the packet. The key used for generating the CMAC is shared between the data security device 1010 and the ECU 1020 in advance. The ECU 1020 verifies the CMAC included in the packet received from the data security device 1010 with the corresponding key. The ECU 1020 applies the ECU code when the verification of the CMAC has passed. On the other hand, the ECU 1020 does not apply the ECU code when the CMAC verification fails.

なお、ECUコードを格納するパケットに含めるCMACとして、該ECUコードの全て又は一部についてのCMACを使用してもよい。例えば、ECUコードを一定サイズのブロックに分割し、ブロック毎にCMACを計算して、該ブロックと該CMACとをパケットに格納してもよい。ECU1020は、ブロック毎にCMACを検証しながらECUコードを取得する。該CMACの生成に使用する鍵は、予め、データ保安装置1010とECU1020間で共有しておく。   Note that CMAC for all or part of the ECU code may be used as the CMAC included in the packet storing the ECU code. For example, the ECU code may be divided into blocks of a certain size, CMAC may be calculated for each block, and the block and the CMAC may be stored in a packet. The ECU 1020 acquires the ECU code while verifying the CMAC for each block. The key used for generating the CMAC is shared between the data security device 1010 and the ECU 1020 in advance.

<データ提供方法の変形例3>
ステップS107において、ECU1020からサーバ装置2000に送信するセキュアブート結果「合格又は不合格」は所定値とする。例えば、合格は「1」であり、不合格は「0」である。
<Modification 3 of data providing method>
In step S107, the secure boot result “pass or fail” transmitted from the ECU 1020 to the server device 2000 is set to a predetermined value. For example, the pass is “1” and the failure is “0”.

<データ提供方法の変形例4>
ステップS107において、ECU1020からサーバ装置2000に送信するセキュアブート結果「合格又は不合格」は、ステップS106のセキュアブートで計算された結果のECUコードのCMACとする。サーバ装置2000の検証部2014は、ステップS102でECU1020に送信したECUコードのCMACを計算する。ECU1020の署名鍵Kbは、予め、ECU1020とサーバ装置2000間で共有しておく。サーバ装置2000の検証部2014は、該計算結果のCMACと、ECU1020のセキュアブート結果のCMACとを比較する。サーバ装置2000の検証部2014は、該比較の結果、両者が一致する場合にはECU1020のセキュアブート結果が合格であると判断し、両者が一致しない場合にはECU1020のセキュアブート結果が不合格であると判断する。
<Modification 4 of Data Providing Method>
In step S107, the secure boot result “pass or fail” transmitted from the ECU 1020 to the server device 2000 is the CMAC of the ECU code calculated in the secure boot in step S106. The verification unit 2014 of the server device 2000 calculates the CMAC of the ECU code transmitted to the ECU 1020 in step S102. The signature key Kb of ECU 1020 is shared between ECU 1020 and server device 2000 in advance. The verification unit 2014 of the server device 2000 compares the CMAC of the calculation result with the CMAC of the secure boot result of the ECU 1020. As a result of the comparison, the verification unit 2014 of the server device 2000 determines that the secure boot result of the ECU 1020 is acceptable if both match, and if the both do not match, the secure boot result of the ECU 1020 fails. Judge that there is.

<データ提供方法の変形例5>
サーバ装置2000は、検証値(例えば、乱数)を予めECU1020に供給する。ステップS107において、ECU1020は、セキュアブート結果が合格である場合にはセキュアブート結果「合格」に検証値を含め、一方、セキュアブート結果が不合格である場合にはセキュアブート結果「不合格」に検証値を含めない。サーバ装置2000の検証部2014は、ECU1020のセキュアブート結果「合格」に含まれる検証値と、予めECU1020に供給した元の検証値とを比較する。サーバ装置2000の検証部2014は、該比較の結果、両者が一致する場合にはECU1020のセキュアブート結果が合格であると判断し、両者が一致しない場合にはECU1020のセキュアブート結果が不合格であると判断する。
<Modification 5 of Data Providing Method>
The server device 2000 supplies a verification value (for example, a random number) to the ECU 1020 in advance. In step S107, the ECU 1020 includes the verification value in the secure boot result “pass” if the secure boot result is acceptable, while the secure boot result “failed” if the secure boot result is unacceptable. Do not include verification values. The verification unit 2014 of the server device 2000 compares the verification value included in the secure boot result “pass” of the ECU 1020 with the original verification value supplied to the ECU 1020 in advance. As a result of the comparison, the verification unit 2014 of the server device 2000 determines that the secure boot result of the ECU 1020 is acceptable if both match, and if the both do not match, the secure boot result of the ECU 1020 fails. Judge that there is.

<データ提供方法の変形例6>
上記のデータ提供方法の変形例3,4,5のいずれか複数を組合せて適用する。
<Modification 6 of Data Providing Method>
Any one of Modifications 3, 4, and 5 of the above data providing method is applied in combination.

<データ提供方法の変形例7>
上記のデータ提供方法の変形例3,4,5,6において、ECU1020は、SHE1022の暗号処理部52によりセキュアブート結果を暗号化して、サーバ装置2000に送信する。この暗号化に用いる鍵は、予め、サーバ装置2000とECU1020間で共有しておく。サーバ装置2000は、ECU1020からの暗号化データを、暗号処理部2016により、記憶部2012に格納されている該当の鍵で復号して、セキュアブート結果を取得する。なお、該暗号化に用いる鍵として、セキュアブート結果が合格である場合にのみSHE1022で使用可能となる暗号鍵を使用してもよい。この場合、セキュアブート結果「合格」を該暗号鍵により暗号化してもよい。
<Modification 7 of data providing method>
In the third, fourth, fifth, and sixth modifications of the data providing method, the ECU 1020 encrypts the secure boot result by the encryption processing unit 52 of the SHE 1022 and transmits it to the server device 2000. The key used for this encryption is shared between the server device 2000 and the ECU 1020 in advance. The server device 2000 uses the encryption processing unit 2016 to decrypt the encrypted data from the ECU 1020 with the corresponding key stored in the storage unit 2012, and obtains a secure boot result. Note that, as a key used for the encryption, an encryption key that can be used in the SHE 1022 only when the secure boot result is acceptable may be used. In this case, the secure boot result “pass” may be encrypted with the encryption key.

次に、上述した図5のデータ提供方法におけるデータ保安装置1010とECU1020間の実施例を説明する。図6から図8は、本実施形態に係るデータ提供方法の実施例を示すフローチャートである。本実施例では、非特許文献3に記載される15章の「Non-volatile server memory programming process」において、「15.2.1.2 Programming step of phase #1 − Download of application software and data」の手順と、「15.2.1.3 Post-Programming step of phase #1 − Re-synchronization of vehicle network」の手順と、を利用する。図6及び図7には、非特許文献3に記載される「15.2.1.2 Programming step of phase #1 − Download of application software and data」の図33の「graphically depicts the functionality embedded in the programming step of phase #1.」における適用例が示されている。図8には、非特許文献3に記載される「15.2.1.3 Post-Programming step of phase #1 − Re-synchronization of vehicle network」の図34の「graphically depicts the functionality embedded in the post-programming step of phase #1.」における適用例が示されている。   Next, an embodiment between the data security device 1010 and the ECU 1020 in the data providing method of FIG. 5 described above will be described. 6 to 8 are flowcharts showing examples of the data providing method according to the present embodiment. In this example, in the “Non-volatile server memory programming process” in Chapter 15 described in Non-Patent Document 3, the procedure of “15.2.1.2 Programming step of phase # 1—Download of application software and data” 15.2.1.3 Post-Programming step of phase # 1 – Re-synchronization of vehicle network ”procedure. 6 and 7, “graphically depicts the functionality embedded in the programming step of phase” in FIG. 33 of “15.2.1.2 Programming step of phase # 1—Download of application software and data” described in Non-Patent Document 3. Application examples in “# 1.” Are shown. FIG. 8 shows “graphically depicts the functionality embedded in the post-programming step of FIG. 34 of“ 15.2.1.3 Post-Programming step of phase # 1—Re-synchronization of vehicle network ”described in Non-Patent Document 3. An application example of “phase # 1” is shown.

図6において、符号S1001で示されるステップは、データ保安装置1010のセキュリティ・アクセス(Security Access)の処理に対応する。図7において、符号S1002で示されるステップは、データ保安装置1010のECUコードのブロック毎の復号及び電子署名の検証の処理に対応する。図7において、符号S1003で示されるステップは、ECU1020のECUコードの検証の処理に対応する。図8において、符号S1004で示されるステップは、ECU1020のECUコードの適用後のセキュアブートの処理に対応する。   In FIG. 6, the step indicated by reference numeral S1001 corresponds to the security access processing of the data security device 1010. In FIG. 7, the step indicated by reference numeral S <b> 1002 corresponds to the decryption process for each block of the ECU code of the data security device 1010 and the verification of the electronic signature. In FIG. 7, the step indicated by reference numeral S1003 corresponds to the ECU 1020 ECU code verification process. In FIG. 8, the step indicated by reference numeral S1004 corresponds to the secure boot process after the ECU code of the ECU 1020 is applied.

上述した実施形態によれば、データ保安装置1010は、サーバ装置2000からECUコードと共に提供された電子署名を検証し、この電子署名の検証が合格したECUコードをECU1020に送信する。これにより、ECU1020に適用されるECUコードの信頼性を向上させることができる。   According to the embodiment described above, the data security device 1010 verifies the electronic signature provided together with the ECU code from the server device 2000 and transmits the ECU code that has passed the verification of the electronic signature to the ECU 1020. Thereby, the reliability of the ECU code applied to the ECU 1020 can be improved.

上述した実施形態において、サーバ装置2000はデータ提供装置に対応する。   In the embodiment described above, the server device 2000 corresponds to a data providing device.

なお、メンテナンスツール2100が、サーバ装置2000と同様の機能を備え、サーバ装置2000と同様のデータ提供方法により、診断ポート1060及びデータ保安装置1010を介してECU1020にECUコードを提供するように構成してもよい。   The maintenance tool 2100 has the same function as that of the server device 2000, and is configured to provide the ECU code to the ECU 1020 via the diagnostic port 1060 and the data security device 1010 by the same data providing method as the server device 2000. May be.

また、自動車1001のTCU1050又はゲートウェイ1070が、データ保安装置1010の機能を有してもよい。   Further, the TCU 1050 or the gateway 1070 of the automobile 1001 may have the function of the data security device 1010.

以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。   The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes design changes and the like within a scope not departing from the gist of the present invention.

上述した実施形態では、データ保安装置1010やECU1020にHSMやSHEを使用したが、HSM及びSHE以外の暗号処理チップを使用してもよい。データ保安装置1010に対して、例えば「TPM(Trusted Platform Module)f」と呼ばれる暗号処理チップを使用してもよい。TPMfは耐タンパー性を有する。TPMfはセキュアエレメントの例である。ECU1020に対して、例えば「TPMt」と呼ばれる暗号処理チップを使用してもよい。TPMtは耐タンパー性を有する。TPMtはセキュアエレメントの例である。   In the above-described embodiment, HSM and SHE are used for the data security device 1010 and the ECU 1020, but cryptographic processing chips other than HSM and SHE may be used. For the data security device 1010, for example, a cryptographic processing chip called “TPM (Trusted Platform Module) f” may be used. TPMf has tamper resistance. TPMf is an example of a secure element. For the ECU 1020, for example, a cryptographic processing chip called “TPMt” may be used. TPMt has tamper resistance. TPMt is an example of a secure element.

上述した実施形態は、自動車の製造工場において、自動車の製造工程で自動車に搭載されたECUに適用してもよい。また、上述した実施形態は、自動車の整備工場や販売店等において、自動車に搭載されているECUに適用してもよい。   The above-described embodiment may be applied to an ECU mounted on a car in a car manufacturing process in a car manufacturing factory. Further, the above-described embodiment may be applied to an ECU mounted on an automobile in an automobile maintenance factory, a dealer, or the like.

上述した実施形態では、車両として自動車を例に挙げたが、原動機付自転車や鉄道車両等の自動車以外の他の車両にも適用可能である。   In the above-described embodiment, an automobile is taken as an example of the vehicle, but the present invention can also be applied to vehicles other than automobiles such as a motorbike and a railway vehicle.

また、上述した各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
In addition, a computer program for realizing the functions of each device described above may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read into a computer system and executed. Here, the “computer system” may include an OS and hardware such as peripheral devices.
“Computer-readable recording medium” refers to a flexible disk, a magneto-optical disk, a ROM, a writable nonvolatile memory such as a flash memory, a portable medium such as a DVD (Digital Versatile Disc), and a built-in computer system. A storage device such as a hard disk.

さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
Further, the “computer-readable recording medium” means a volatile memory (for example, DRAM (Dynamic DRAM) in a computer system that becomes a server or a client when a program is transmitted through a network such as the Internet or a communication line such as a telephone line. Random Access Memory)), etc., which hold programs for a certain period of time.
The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.

22,42,2012…記憶部、2013…期待値計算部、2014…検証部、32,52,2016…暗号処理部、20,40…インタフェース部、21,41…制御部、53…測定部、1001…自動車、1002…車載コンピュータシステム、1010…データ保安装置、1011,1021…メイン演算器、1012…HSM、1013,1023…記憶部、1020…ECU、1022…SHE、1030…CAN、1040…インフォテイメント機器、1050…TCU、1051…通信モジュール、1052…SIM、1060…診断ポート、1070…ゲートウェイ、2000…サーバ装置、2011…通信部、2100…メンテナンスツール 22, 42, 2012 ... storage unit, 2013 ... expected value calculation unit, 2014 ... verification unit, 32, 52, 2016 ... encryption processing unit, 20, 40 ... interface unit, 21, 41 ... control unit, 53 ... measurement unit, DESCRIPTION OF SYMBOLS 1001 ... Automobile, 1002 ... In-vehicle computer system, 1010 ... Data security device, 1011, 1021 ... Main arithmetic unit, 1012 ... HSM, 1013, 1023 ... Memory | storage part, 1020 ... ECU, 1022 ... SHE, 1030 ... CAN, 1040 ... Info Tainment device, 1050 ... TCU, 1051 ... communication module, 1052 ... SIM, 1060 ... diagnostic port, 1070 ... gateway, 2000 ... server device, 2011 ... communication unit, 2100 ... maintenance tool

Claims (4)

データ提供装置と、車両に搭載される車載コンピュータとを備え、
前記データ提供装置は、前記車両とデータを送受する車両インタフェースを備え、前記車載コンピュータに適用されるコンピュータプログラム又は設定データである第1データと前記第1データの第1期待値とを前記車両インタフェースにより前記車両に送信し、
前記車載コンピュータは、
自車載コンピュータの外部の装置とデータを送受する第1インタフェース部と、
前記データ提供装置から提供された前記第1データを自車載コンピュータに適用し、前記データ提供装置から提供された前記第1期待値をセキュアブートで使用される第2期待値に設定し、前記第1データの自車載コンピュータへの適用後にセキュアブートを実行する制御部と、
セキュアブートにおいて、自車載コンピュータに適用された前記第1データを対象にして測定値を計算し、該測定値を前記第2期待値に基づいて検証する測定部と、を備え、
前記制御部は、前記測定部の検証の結果に基づいた前記第1データの自車載コンピュータへの適用の合否を示すデータ適用結果を前記第1インタフェース部により送信し、
前記データ提供装置は、前記車両インタフェースにより前記車両から前記データ適用結果を受信する、
データ提供システム。
A data providing device and an in- vehicle computer mounted on the vehicle ;
Wherein the data providing apparatus, the vehicle and includes a vehicle interface for transmitting and receiving data, the first expected value and the vehicle interface of the first data and the first data is a computer program or setting data is applied to a vehicle computer To the vehicle,
The in-vehicle computer is
A first interface unit for transmitting / receiving data to / from an external device of the in-vehicle computer;
Applying the first data provided from the data providing device to a vehicle-mounted computer, setting the first expected value provided from the data providing device to a second expected value used in secure boot, and A control unit that executes secure boot after application of one data to the in-vehicle computer;
In the secure boot, a measurement unit that calculates the measurement value for the first data applied to the in-vehicle computer and verifies the measurement value based on the second expected value, and
The control unit transmits a data application result indicating whether the first data is applied to the in-vehicle computer based on the verification result of the measurement unit by the first interface unit,
The data providing device receives the data application result from the vehicle by the vehicle interface;
Data provision system.
データ保安装置をさらに備え、
前記データ保安装置は、
自データ保安装置の外部の装置とデータを送受する第2インタフェース部を備え、前記第2インタフェース部により、前記データ提供装置から受信した前記第1データと前記第1期待値とを前記車載コンピュータに送信し、前記車載コンピュータから受信した前記データ適用結果を前記データ提供装置に送信する、
請求項1に記載のデータ提供システム。
A data security device,
The data security device is
A second interface unit that transmits / receives data to / from an external device of the data security device; and the second interface unit transmits the first data and the first expected value received from the data providing device to the in-vehicle computer. Transmitting and transmitting the data application result received from the in-vehicle computer to the data providing device;
The data providing system according to claim 1.
前記データ提供装置は、前記第1データ若しくは前記第1期待値の電子署名、又は前記第1データの電子署名及び前記第1期待値の電子署名を、前記データ提供装置の秘密鍵を使用して生成する暗号処理部をさらに備え、前記電子署名を当該電子署名の生成の対象のデータに付した電子署名付きデータを前記車両に送信し、The data providing device uses the first data or the electronic signature of the first expected value, or the electronic signature of the first data and the electronic signature of the first expected value using the secret key of the data providing device. Further comprising an encryption processing unit for generating, and transmitting the electronic signature with the electronic signature attached to the data to be generated for the electronic signature to the vehicle,
前記データ保安装置は、前記データ提供装置から受信した前記電子署名付きデータの電子署名を、前記データ提供装置の公開鍵を使用して検証する暗号処理部をさらに備え、前記電子署名の検証が合格したデータを前記車載コンピュータに送信する、The data security device further includes an encryption processing unit that verifies an electronic signature of the data with the electronic signature received from the data providing device using a public key of the data providing device, and the verification of the electronic signature is passed. Transmitting the processed data to the in-vehicle computer,
請求項2に記載のデータ提供システム。The data provision system according to claim 2.
データ提供装置と、車両に搭載される車載コンピュータとを備えるデータ提供システムのデータ提供方法であって、
前記データ提供装置が、前記車載コンピュータに適用されるコンピュータプログラム又は設定データである第1データと前記第1データの第1期待値とを、前記車両とデータを送受する車両インタフェースにより前記車両に送信するデータ提供ステップと、
前記車載コンピュータが、前記データ提供装置から提供された前記第1データを自車載コンピュータに適用し、前記データ提供装置から提供された前記第1期待値をセキュアブートで使用される第2期待値に設定し、前記第1データの自車載コンピュータへの適用後にセキュアブートを実行する実行ステップと、
前記車載コンピュータが、セキュアブートにおいて、自車載コンピュータに適用された前記第1データを対象にして測定値を計算し、該測定値を前記第2期待値に基づいて検証する測定ステップと、
前記車載コンピュータが、前記測定ステップの検証の結果に基づいた前記第1データの自車載コンピュータへの適用の合否を示すデータ適用結果を、自車載コンピュータの外部の装置とデータを送受する第1インタフェース部により送信する送信ステップと、
前記データ提供装置が、前記車両インタフェースにより前記車両から前記データ適用結果を受信する受信ステップと、
を含むデータ提供方法。
A data providing method of a data providing system comprising a data providing device and an in- vehicle computer mounted on a vehicle ,
The data providing device transmits first data , which is a computer program or setting data applied to the in-vehicle computer, and a first expected value of the first data to the vehicle by a vehicle interface that transmits and receives data to and from the vehicle. Providing data to be performed;
The in-vehicle computer applies the first data provided from the data providing apparatus to the own in-vehicle computer, and the first expected value provided from the data providing apparatus is changed to a second expected value used in secure boot. An execution step of setting and executing a secure boot after applying the first data to the in-vehicle computer;
The in-vehicle computer calculates a measurement value for the first data applied to the in-vehicle computer in secure boot, and verifies the measurement value based on the second expected value; and
A first interface through which the in-vehicle computer transmits / receives data application results indicating whether the first data is applied to the in-vehicle computer based on the result of the verification of the measurement step to / from an external device of the in-vehicle computer. A transmission step of transmitting by the unit;
The data providing device receives the data application result from the vehicle by the vehicle interface; and
A method of providing data including:
JP2017188122A 2017-09-28 2017-09-28 Data providing system and data providing method Active JP6354099B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017188122A JP6354099B2 (en) 2017-09-28 2017-09-28 Data providing system and data providing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017188122A JP6354099B2 (en) 2017-09-28 2017-09-28 Data providing system and data providing method

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2016158120 Division 2016-08-10 2016-08-10

Publications (2)

Publication Number Publication Date
JP2018026151A JP2018026151A (en) 2018-02-15
JP6354099B2 true JP6354099B2 (en) 2018-07-11

Family

ID=61194557

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017188122A Active JP6354099B2 (en) 2017-09-28 2017-09-28 Data providing system and data providing method

Country Status (1)

Country Link
JP (1) JP6354099B2 (en)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8321933B2 (en) * 2007-11-14 2012-11-27 Caterpillar Inc. Securing electronic control unit code
JP5457363B2 (en) * 2008-10-10 2014-04-02 パナソニック株式会社 Information processing apparatus, authentication system, authentication apparatus, information processing method, information processing program, recording medium, and integrated circuit
JP2011108167A (en) * 2009-11-20 2011-06-02 Toyota Infotechnology Center Co Ltd Computer system
JP5949732B2 (en) * 2013-11-27 2016-07-13 株式会社オートネットワーク技術研究所 Program update system and program update method
JP6228093B2 (en) * 2014-09-26 2017-11-08 Kddi株式会社 system

Also Published As

Publication number Publication date
JP2018026151A (en) 2018-02-15

Similar Documents

Publication Publication Date Title
WO2018029905A1 (en) Data provision system, data security device, data provision method, and computer program
JP6260067B1 (en) Management system, key generation device, in-vehicle computer, management method, and computer program
JP6197000B2 (en) System, vehicle, and software distribution processing method
JP6683588B2 (en) Reuse system, server device, reuse method, and computer program
WO2018043386A1 (en) Vehicle information collection system, vehicle-mounted computer, vehicle information collection device, vehicle information collection method, and computer program
WO2018029893A1 (en) Data provision system, data security device, data provision method, and computer program
JP6190443B2 (en) In-vehicle computer system, vehicle, management method, and computer program
JP6260068B1 (en) Maintenance device, maintenance method, and computer program
JP6440334B2 (en) System, vehicle, and software distribution processing method
JP6299039B2 (en) Vehicle information collection system, data security device, vehicle information collection method, and computer program
JP6554704B2 (en) Data providing system and data providing method
JP2018006782A (en) Data providing system, data providing apparatus, on-vehicle computer, data providing method, and computer program
JP6354099B2 (en) Data providing system and data providing method
JP6464466B2 (en) Maintenance device, maintenance method, and computer program
JP6454919B2 (en) Management system, data providing apparatus, in-vehicle computer, management method, and computer program
JP6672243B2 (en) Data providing system, data providing device, data providing method, and data providing program
JP2018057044A (en) Vehicle information gathering system, data safety device, vehicle information gathering device, vehicle information gathering method, and computer program
JP2017208731A (en) Management system, management device, on-vehicle computer, management method, and computer program
WO2018131270A1 (en) Communication system, vehicle, server device, communication method, and computer program

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180418

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180515

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180523

R150 Certificate of patent or registration of utility model

Ref document number: 6354099

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150