JP6354099B2 - Data providing system and data providing method - Google Patents
Data providing system and data providing method Download PDFInfo
- Publication number
- JP6354099B2 JP6354099B2 JP2017188122A JP2017188122A JP6354099B2 JP 6354099 B2 JP6354099 B2 JP 6354099B2 JP 2017188122 A JP2017188122 A JP 2017188122A JP 2017188122 A JP2017188122 A JP 2017188122A JP 6354099 B2 JP6354099 B2 JP 6354099B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- vehicle
- ecu
- expected value
- vehicle computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、データ提供システム及びデータ提供方法に関する。 The present invention relates to a data providing system and a data providing method.
従来、自動車は、ECU(Electronic Control Unit:電子制御装置)を有し、ECUによってエンジン制御等の機能を実現する。ECUは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。複数のECUをCAN(Controller Area Network)に接続して構成される車載制御システムについてのセキュリティ技術が例えば非特許文献1に記載されている。
2. Description of the Related Art Conventionally, an automobile has an ECU (Electronic Control Unit), and functions such as engine control are realized by the ECU. The ECU is a kind of computer and realizes a desired function by a computer program. For example, Non-Patent
自動車の車載制御システムのECUに適用される更新プログラム等のデータの信頼性を向上させることが一つの課題であった。 One problem has been to improve the reliability of data such as update programs applied to ECUs for in-vehicle control systems of automobiles.
本発明は、このような事情を考慮してなされたものであり、ECU等の車載コンピュータに適用されるデータの信頼性を向上させることができるデータ提供システム及びデータ提供方法を提供することを課題とする。 The present invention has been made in view of such circumstances, and it is an object of the present invention to provide a data providing system and a data providing method capable of improving the reliability of data applied to an in-vehicle computer such as an ECU. And
(1)本発明の一態様は、データ提供装置と、車両に搭載される車載コンピュータとを備え、前記データ提供装置は、前記車両とデータを送受する車両インタフェースを備え、前記車載コンピュータに適用されるコンピュータプログラム又は設定データである第1データと前記第1データの第1期待値とを前記車両インタフェースにより前記車両に送信し、前記車載コンピュータは、自車載コンピュータの外部の装置とデータを送受する第1インタフェース部と、前記データ提供装置から提供された前記第1データを自車載コンピュータに適用し、前記データ提供装置から提供された前記第1期待値をセキュアブートで使用される第2期待値に設定し、前記第1データの自車載コンピュータへの適用後にセキュアブートを実行する制御部と、セキュアブートにおいて、自車載コンピュータに適用された前記第1データを対象にして測定値を計算し、該測定値を前記第2期待値に基づいて検証する測定部と、を備え、前記制御部は、前記測定部の検証の結果に基づいた前記第1データの自車載コンピュータへの適用の合否を示すデータ適用結果を前記第1インタフェース部により送信し、前記データ提供装置は、前記車両インタフェースにより前記車両から前記データ適用結果を受信する、データ提供システムである。 (1) One aspect of the present invention includes a data providing device and an in- vehicle computer mounted on a vehicle, and the data providing device includes a vehicle interface that transmits and receives data to and from the vehicle, and is applied to the in-vehicle computer. First data which is a computer program or setting data and a first expected value of the first data are transmitted to the vehicle by the vehicle interface , and the in-vehicle computer transmits / receives data to / from an external device of the in-vehicle computer. The first interface unit and the first data provided from the data providing device are applied to the in-vehicle computer, and the first expected value provided from the data providing device is used as a second expected value for secure boot. A controller that executes secure boot after application of the first data to the in-vehicle computer; In a cure boot, the measurement unit calculates a measurement value for the first data applied to the in-vehicle computer, and verifies the measurement value based on the second expected value, and the control unit includes: The first interface unit transmits a data application result indicating whether the first data is applied to the in-vehicle computer based on the verification result of the measurement unit. A data providing system that receives the data application result from a vehicle .
(2)本発明の一態様は、上記(1)のデータ提供システムにおいて、データ保安装置をさらに備え、前記データ保安装置は、自データ保安装置の外部の装置とデータを送受する第2インタフェース部を備え、前記第2インタフェース部により、前記データ提供装置から受信した前記第1データと前記第1期待値とを前記車載コンピュータに送信し、前記車載コンピュータから受信した前記データ適用結果を前記データ提供装置に送信する、データ提供システムである。 ( 2 ) One aspect of the present invention is the data providing system according to (1), further including a data security device, wherein the data security device transmits / receives data to / from an external device of the data security device. The second interface unit transmits the first data received from the data providing device and the first expected value to the in-vehicle computer, and provides the data application result received from the in-vehicle computer to the data A data providing system that transmits data to a device.
(3)本発明の一態様は、上記(2)のデータ提供システムにおいて、前記データ提供装置は、前記第1データ若しくは前記第1期待値の電子署名、又は前記第1データの電子署名及び前記第1期待値の電子署名を、前記データ提供装置の秘密鍵を使用して生成する暗号処理部をさらに備え、前記電子署名を当該電子署名の生成の対象のデータに付した電子署名付きデータを前記車両に送信し、前記データ保安装置は、前記データ提供装置から受信した前記電子署名付きデータの電子署名を、前記データ提供装置の公開鍵を使用して検証する暗号処理部をさらに備え、前記電子署名の検証が合格したデータを前記車載コンピュータに送信する、データ提供システムである。 ( 3 ) According to one aspect of the present invention, in the data providing system according to (2), the data providing device includes the first data or the electronic signature of the first expected value, or the electronic signature of the first data and the A cryptographic processing unit that generates an electronic signature of a first expected value using a secret key of the data providing device, and includes data with an electronic signature obtained by attaching the electronic signature to data to be generated with the electronic signature The data security device transmitted to the vehicle further comprises a cryptographic processing unit that verifies the electronic signature of the data with the electronic signature received from the data providing device using a public key of the data providing device, A data providing system for transmitting data that has passed verification of an electronic signature to the in-vehicle computer.
(4)本発明の一態様は、データ提供装置と、車両に搭載される車載コンピュータとを備えるデータ提供システムのデータ提供方法であって、前記データ提供装置が、前記車載コンピュータに適用されるコンピュータプログラム又は設定データである第1データと前記第1データの第1期待値とを、前記車両とデータを送受する車両インタフェースにより前記車両に送信するデータ提供ステップと、前記車載コンピュータが、前記データ提供装置から提供された前記第1データを自車載コンピュータに適用し、前記データ提供装置から提供された前記第1期待値をセキュアブートで使用される第2期待値に設定し、前記第1データの自車載コンピュータへの適用後にセキュアブートを実行する実行ステップと、前記車載コンピュータが、セキュアブートにおいて、自車載コンピュータに適用された前記第1データを対象にして測定値を計算し、該測定値を前記第2期待値に基づいて検証する測定ステップと、前記車載コンピュータが、前記測定ステップの検証の結果に基づいた前記第1データの自車載コンピュータへの適用の合否を示すデータ適用結果を、自車載コンピュータの外部の装置とデータを送受する第1インタフェース部により送信する送信ステップと、前記データ提供装置が、前記車両インタフェースにより前記車両から前記データ適用結果を受信する受信ステップと、を含むデータ提供方法である。
( 4 ) One aspect of the present invention is a data providing method for a data providing system including a data providing apparatus and an in-vehicle computer mounted on a vehicle, wherein the data providing apparatus is applied to the in-vehicle computer. A data providing step of transmitting first data as a program or setting data and a first expected value of the first data to the vehicle by a vehicle interface for transmitting and receiving data to and from the vehicle, and the in-vehicle computer providing the data Applying the first data provided from the device to the vehicle-mounted computer, setting the first expected value provided from the data providing device to a second expected value used in secure boot, and An execution step of executing a secure boot after application to the in-vehicle computer; In a dual boot, a measurement step of calculating a measurement value for the first data applied to the in-vehicle computer and verifying the measurement value based on the second expected value; and the in-vehicle computer, the measurement step A transmission step of transmitting a data application result indicating acceptance / rejection of application of the first data to the in-vehicle computer based on the verification result by a first interface unit that transmits / receives data to / from an external device of the in-vehicle computer; The data providing method includes: a receiving step of receiving the data application result from the vehicle by the vehicle interface.
本発明によれば、ECU等の車載コンピュータに適用されるデータの信頼性を向上させることができるという効果が得られる。 According to the present invention, it is possible to improve the reliability of data applied to an in-vehicle computer such as an ECU.
以下、図面を参照し、本発明の実施形態について説明する。なお、以下に示す実施形態では、車両として自動車を例に挙げて説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. In the following embodiment, a vehicle will be described as an example of a vehicle.
図1は、一実施形態に係るデータ提供システム及び自動車1001の構成例を示す図である。本実施形態では、車載コンピュータの一例として、自動車1001に搭載されるECU(電子制御装置)を挙げて説明する。
FIG. 1 is a diagram illustrating a configuration example of a data providing system and an
図1において、自動車1001は、データ保安装置1010と複数のECU1020とを備える。ECU1020は、自動車1001に備わる車載コンピュータである。ECU1020は、自動車1001のエンジン制御等の制御機能を有する。ECU1020として、例えば、エンジン制御機能を有するECU、ハンドル制御機能を有するECU、ブレーキ制御機能を有するECUなどがある。データ保安装置1010は、自動車1001に搭載されたECU1020に適用されるデータのセキュリティ(保安)の機能を有する。なお、自動車1001に搭載されたいずれかのECUをデータ保安装置1010として機能させてもよい。
In FIG. 1, an
データ保安装置1010と複数のECU1020は、自動車1001に備わるCAN(Controller Area Network)1030に接続される。CAN1030は通信ネットワークである。CANは車両に搭載される通信ネットワークの一つとして知られている。データ保安装置1010は、CAN1030を介して、各ECU1020との間でデータを交換する。ECU1020は、CAN1030を介して、他のECU1020との間でデータを交換する。
The
なお、車両に搭載される通信ネットワークとして、CAN以外の通信ネットワークを自動車1001に備え、CAN以外の通信ネットワークを介して、データ保安装置1010とECU1020との間のデータの交換、及び、ECU1020同士の間のデータの交換が行われてもよい。例えば、LIN(Local Interconnect Network)を自動車1001に備えてもよい。また、CANとLINとを自動車1001に備えてもよい。また、自動車1001において、LINに接続するECU1020を備えてもよい。また、データ保安装置1010は、CANとLINとに接続されてもよい。また、データ保安装置1010は、CANを介して該CANに接続されるECU1020との間でデータを交換し、また、LINを介して該LINに接続されるECU1020との間でデータを交換してもよい。また、ECU1020同士が、LINを介してデータを交換してもよい。
In addition, as a communication network mounted on the vehicle, a communication network other than CAN is provided in the
自動車1001に備わる車載コンピュータシステム1002は、データ保安装置1010と複数のECU1020とがCAN1030に接続されて構成される。本実施形態において、車載コンピュータシステム1002は、自動車1001の車載制御システムとして機能する。
An in-
ゲートウェイ1070は、車載コンピュータシステム1002の内部と外部の間の通信を監視する。ゲートウェイ1070はCAN1030に接続される。また、ゲートウェイ1070は、車載コンピュータシステム1002の外部の装置の例として、インフォテイメント機器1040、TCU(Tele Communication Unit)1050及び診断ポート1060と接続される。データ保安装置1010及びECU1020は、ゲートウェイ1070を介して、車載コンピュータシステム1002の外部の装置と通信を行う。
The
なお、CAN1030の構成として、CAN1030が複数のバス(通信線)を備え、該複数のバスをゲートウェイ1070に接続してもよい。この場合、一つのバスに、一つのECU1020又は複数のECU1020が接続される。また、同じバスにデータ保安装置1010とECU1020とが接続されてもよく、又は、データ保安装置1010が接続されるバスとECU1020が接続されるバスとを別個にしてもよい。
As a configuration of the CAN 1030, the CAN 1030 may include a plurality of buses (communication lines), and the plurality of buses may be connected to the
自動車1001は診断ポート1060を備える。診断ポート1060として、例えばOBD(On-board Diagnostics)ポートを使用してもよい。診断ポート1060には、自動車1001の外部の装置を接続可能である。診断ポート1060に接続可能な自動車1001の外部の装置として、例えば、図1に示されるメンテナンスツール2100などがある。データ保安装置1010と、診断ポート1060に接続された装置、例えばメンテナンスツール2100とは、診断ポート1060及びゲートウェイ1070を介して、データを交換する。メンテナンスツール2100は、OBDポートに接続される従来の診断端末の機能を有していてもよい。
The
自動車1001はインフォテイメント(Infotainment)機器1040を備える。インフォテイメント機器1040として、例えば、ナビゲーション機能、位置情報サービス機能、音楽や動画などのマルチメディア再生機能、音声通信機能、データ通信機能、インターネット接続機能などを有するものが挙げられる。
The
自動車1001は、TCU1050を備える。TCU1050は通信装置である。TCU1050は通信モジュール1051を備える。通信モジュール1051は、無線通信ネットワークを利用して無線通信を行う。通信モジュール1051は、SIM(Subscriber Identity Module)1052を備える。SIM1052は、無線通信ネットワークを利用するための情報が書き込まれたSIMである。通信モジュール1051は、SIM1052を使用することにより該無線通信ネットワークに接続して無線通信を行うことができる。なお、SIM1052として、eSIM(Embedded Subscriber Identity Module)を使用してもよい。
The
データ保安装置1010は、ゲートウェイ1070を介して、TCU1050とデータを交換する。なお、TCU1050とデータ保安装置1010とを通信ケーブルで直接接続し、TCU1050とデータ保安装置1010は該通信ケーブルを介してデータを交換してもよい。例えば、USB(universal serial bus)ケーブルでTCU1050とデータ保安装置1010とを直接接続し、TCU1050とデータ保安装置1010は該USBケーブルを介してデータを交換してもよい。また、TCU1050とデータ保安装置1010とをUSBケーブル等の通信ケーブルで直接接続し、該通信ケーブルを介してTCU1050とデータ保安装置1010間のデータの交換を行う場合、TCU1050とデータ保安装置1010とのうち送信側の装置は、受信側の装置に送信するデータを一時的に蓄えるバッファを備えてもよい。
The
なお、TCU1050の他の接続形態として、例えば、TCU1050をインフォテイメント機器1040に接続し、データ保安装置1010が、ゲートウェイ1070及びインフォテイメント機器1040を介して、TCU1050とデータを交換してもよい。又は、TCU1050を診断ポート1060に接続し、データ保安装置1010が、ゲートウェイ1070及び診断ポート1060を介して、該診断ポート1060に接続されたTCU1050とデータを交換してもよい。又は、データ保安装置1010が、SIM1052を含む通信モジュール1051を備えてもよい。データ保安装置1010がSIM1052を含む通信モジュール1051を備える場合には、自動車1001はTCU1050を備えなくてもよい。
As another connection form of the
データ保安装置1010は、メイン演算器1011とHSM(Hardware Security Module)1012を備える。メイン演算器1011は、データ保安装置1010の機能を実現させるためのコンピュータプログラムを実行する。HSM1012は暗号処理機能等を有する。HSM1012は耐タンパー性(Tamper Resistant)を有する。HSM1012はセキュアエレメント(Secure Element:SE)の例である。HSM1012は、データを記憶する記憶部1013を備える。メイン演算器1011はHSM1012を使用する。
The
ECU1020は、メイン演算器1021とSHE(Secure Hardware Extension)1022を備える。メイン演算器1021は、ECU1020の機能を実現させるためのコンピュータプログラムを実行する。SHE1022は暗号処理機能等を有する。SHE1022は耐タンパー性を有する。SHE1022はセキュアエレメントの例である。SHE1022は、データを記憶する記憶部1023を備える。メイン演算器1021はSHE1022を使用する。
The
サーバ装置2000は、通信回線を介して、自動車1001のTCU1050の通信モジュール1051とデータを送受する。サーバ装置2000は、自動車1001のTCU1050の通信モジュール1051が利用する無線通信ネットワークを介して、該通信モジュール1051とデータを送受する。又は、サーバ装置2000は、インターネット等の通信ネットワークと該無線通信ネットワークとを介して、該通信モジュール1051とデータを送受してもよい。また、例えば、サーバ装置2000と通信モジュール1051との間をVPN(Virtual Private Network)回線等の専用回線で接続し、該専用回線でデータを送受してもよい。例えば、SIM1052に対応する無線通信ネットワークによって、VPN回線等の専用回線が提供されてもよい。なお、サーバ装置2000と自動車1001とを通信ケーブルで接続してもよい。例えば、サーバ装置2000と自動車1001のゲートウェイ1070とを通信ケーブルで接続するように構成してもよい。
サーバ装置2000は、ECU1020に適用されるECUコード(ECU code)を自動車1001に提供する。ECUコードは、ECU1020に適用されるデータの例である。ECUコードは、ECU1020にインストールされる更新プログラム等のコンピュータプログラムであってもよく、又は、ECU1020に設定されるパラメータ設定値などの設定データであってもよい。
図2は、サーバ装置2000の構成例を示す図である。図2において、サーバ装置2000は、通信部2011と記憶部2012と期待値計算部2013と検証部2014と暗号処理部2016とを備える。通信部2011は、通信回線を介して、他の装置と通信を行う。通信部2011は車両インタフェースに対応する。記憶部2012は、データを記憶する。期待値計算部2013は、ECUコードについての期待値を計算する。検証部2014は、ECU1020の測定値の検証に係る処理を行う。暗号処理部2016は、暗号処理を実行する。暗号処理部2016の暗号処理は、少なくとも、電子署名の生成処理を含む。暗号処理部2016の暗号処理は、さらに、データの暗号化処理及び暗号化データの復号処理を含んでもよい。
FIG. 2 is a diagram illustrating a configuration example of the
サーバ装置2000の機能は、該サーバ装置2000が備えるCPUがコンピュータプログラムを実行することにより実現される。なお、サーバ装置2000として、汎用のコンピュータ装置を使用して構成してもよく、又は、専用のハードウェア装置として構成してもよい。
The functions of the
図3は、データ保安装置1010の構成例を示す図である。図3において、データ保安装置1010は、メイン演算器1011とHSM1012とインタフェース部20とを備える。メイン演算器1011は、制御部21と記憶部22とを備える。HSM1012は、記憶部1013と暗号処理部32とを備える。
FIG. 3 is a diagram illustrating a configuration example of the
インタフェース部20は、自データ保安装置1010の外部の装置とデータを送受する。インタフェース部20は、CAN1030を介してデータを送受するインタフェースを備える。メイン演算器1011は、インタフェース部20を介して、データ保安装置1010以外の他の装置とデータの送受を行う。
The
制御部21は、データ保安装置1010の制御を行う。記憶部22は、データを記憶する。記憶部1013は、データを記憶する。暗号処理部32は、暗号処理を実行する。暗号処理部32の暗号処理は、少なくとも、電子署名の検証処理を含む。暗号処理部32の暗号処理は、さらに、データの暗号化処理及び暗号化データの復号処理を含んでもよい。
The
図4は、ECU1020の構成例を示す図である。図4において、ECU1020は、メイン演算器1021とSHE1022とインタフェース部40とを備える。メイン演算器1021は、制御部41と記憶部42とを備える。SHE1022は、記憶部1023と暗号処理部52と測定部53とを備える。
FIG. 4 is a diagram illustrating a configuration example of the
インタフェース部40は、自ECU1020の外部の装置とデータを送受する。インタフェース部40は、CAN1030を介してデータを送受するインタフェースを備える。メイン演算器1021は、インタフェース部40を介して、自ECU1020以外の他の装置とデータの送受を行う。
The
制御部41は、ECU1020の制御を行う。記憶部42は、データを記憶する。記憶部1023は、データを記憶する。暗号処理部52は、データの暗号化及び暗号化データの復号を行う。測定部53は、ECUコード等のデータの測定値を計算し、該測定値を期待値に基づいて検証する。
The
なお、本実施形態では、データ保安装置1010にHSMを使用しているが、データ保安装置1010においてHSMの代わりにSHEを使用してもよい。なお、SHEについては、例えば非特許文献2に記載されている。
In this embodiment, HSM is used for the
次に図5を参照して、本実施形態に係るデータ提供方法の例を説明する。図5は、本実施形態に係るデータ提供方法の例を示すシーケンスチャートである。 Next, an example of a data providing method according to the present embodiment will be described with reference to FIG. FIG. 5 is a sequence chart showing an example of a data providing method according to the present embodiment.
サーバ装置2000は、マスタ鍵Master_Secretと、ECU1020のECUコードと、サーバ装置2000の秘密鍵Kssとを予め記憶部2012に格納している。ECU1020のECUコードは、ECU1020に適用する予定のECUコードを含む。データ保安装置1010は、サーバ装置2000の公開鍵Kpsを予めHSM1012の記憶部1013に格納している。公開鍵Kpsは公開鍵証明書として記憶部1013に格納されてもよい。ECU1020は、署名鍵Kbを予めSHE1022の記憶部1023に格納している。
The
以下、サーバ装置2000は、通信部2011により、自動車1001のTCU1050と通信を行い、TCU1050及びゲートウェイ1070を介して、自動車1001のCAN1030に接続されるデータ保安装置1010との間でデータを送受する。なお、サーバ装置2000とデータ保安装置1010との間の通信路として、暗号化通信路を使用してもよい。例えば、サーバ装置2000とデータ保安装置1010は、暗号化通信路の一例として、https(hypertext transfer protocol secure)通信を行ってもよい。
Hereinafter, the
(ステップS101)サーバ装置2000の暗号処理部2016は、ECU1020に適用されるECUコードと該ECUコードの期待値についての電子署名を、秘密鍵Kssを使用して生成する。ECUコードの期待値は、ECU1020のセキュアブートで使用される期待値である。ECUコードの期待値は、ECU1020に適用されるデータの例である。ECUコードの期待値はECUコードに関連付けて記憶部2012に予め格納されてもよく、又は、期待値計算部2013がECUコードの期待値を計算してもよい。本実施形態では、ECUコードの期待値の一例として、CMAC(Cipher-based Message Authentication Code)を使用する。ECUコードの期待値であるCMACの計算には、ECU1020の署名鍵Kbが使用される。期待値計算部2013がECUコードの期待値を計算する場合、ECU1020の署名鍵Kbは、予め、ECU1020とサーバ装置2000間で共有しておく。
(Step S101) The
(ステップS102)サーバ装置2000は、ECU1020に適用されるECUコードと、該ECUコードの期待値と、暗号処理部2016が生成した電子署名とを、通信部2011によりデータ保安装置1010に送信する。データ保安装置1010は、サーバ装置2000から送信されたECUコードと、該ECUコードの期待値と、電子署名とを受信する。
なお、電子署名は、ECUコードと期待値との両方に付してもよく、又は、ECUコード若しくは期待値のいずれか一方にのみ付してもよい。
(Step S <b> 102) The
The electronic signature may be attached to both the ECU code and the expected value, or may be attached only to either the ECU code or the expected value.
(ステップS103)データ保安装置1010の制御部21は、サーバ装置2000から受信した電子署名の検証を、HSM1012に実行させる。HSM1012の暗号処理部32は、該電子署名を、記憶部1013に格納されている公開鍵Kpsを使用して検証する。HSM1012は、該電子署名の検証結果を制御部21に渡す。制御部21は、該電子署名の検証結果が合格である場合に、ステップS104に処理を進める。一方、制御部21は、該電子署名の検証結果が不合格である場合には、図5の処理を終了する。
(Step S103) The
なお、電子署名の検証結果が不合格である場合には、制御部21は、所定のエラー処理を実行してもよい。例えば、制御部21は、電子署名の検証結果が不合格であることを示すエラーメッセージを、サーバ装置2000に送信してもよい。サーバ装置2000は、該エラーメッセージに応じて、所定のエラー処理を実行してもよい。例えば、サーバ装置2000は、ECUコードと該ECUコードの期待値と電子署名とをデータ保安装置1010に再送信したり、又は、電子署名を再生成してからECUコードと該ECUコードの期待値と電子署名とをデータ保安装置1010に送信したりしてもよい。
Note that if the verification result of the electronic signature fails, the
(ステップS104)データ保安装置1010の制御部21は、電子署名の検証が合格したECUコードと期待値を、インタフェース部20によりECU1020に送信する。ECU1020は、データ保安装置1010から送信されたECUコードと期待値を受信する。
(Step S <b> 104) The
(ステップS105)ECU1020の制御部41は、データ保安装置1010から受信したECUコードと期待値を自ECU1020に適用する。制御部41は、該期待値をセキュアブートで使用される期待値としてSHE1022に設定する。SHE1022の記憶部1023は、該期待値を格納する。
(Step S105) The
(ステップS106)ECU1020の制御部41は、ECUコードの適用後に、セキュアブートを実行する。このセキュアブートでは、SHE1022の測定部53は、記憶部1023に格納している署名鍵KbによりECUコードの測定値を計算する。本実施形態では、測定値の一例として、CMACを使用する。よって、測定部53は、記憶部1023に格納している署名鍵Kbにより、ECUコードのCMACを計算する。測定部53は、該計算結果のCMACと記憶部1023に格納されている期待値との比較を行う。該計算結果のCMACと期待値との比較の結果、両者が一致する場合にはセキュアブート結果が合格であり、両者が一致しない場合にはセキュアブート結果が不合格である。SHE1022は、セキュアブート結果を制御部41に渡す。制御部41は、セキュアブート結果が合格である場合にECUコードの実行を進める。一方、制御部41は、セキュアブート結果が不合格である場合にはECUコードの実行を停止する。
なお、本実施形態では、サーバ装置2000がECU1020にセキュアブートで使用される期待値を供給するが、データ保安装置1010が該期待値をECU1020に供給してもよい。この場合、データ保安装置1010は、期待値計算部を有し、ECU1020の署名鍵KbによりECUコードの期待値(CMAC)を計算する。ECU1020の署名鍵Kbは、予め、ECU1020とデータ保安装置1010間で共有しておく。
(Step S106) The
In the present embodiment, the
(ステップS107)ECU1020の制御部41は、インタフェース部40により、セキュアブート結果「合格又は不合格」をデータ保安装置1010に送信する。データ保安装置1010は、ECU1020から受信したセキュアブート結果「合格又は不合格」をサーバ装置2000に転送する。セキュアブート結果「合格又は不合格」は、ECUコードのECU1020への適用の合否を示すデータ適用結果に対応する。
(Step S <b> 107) The
サーバ装置2000は、通信部2011により、データ保安装置1010から送信されたセキュアブート結果「合格又は不合格」を受信する。サーバ装置2000は、データ保安装置1010から受信したセキュアブート結果「合格又は不合格」に応じて、所定の処理を実行する。例えば、セキュアブート結果が合格である場合には、その旨を記録する。一方、セキュアブート結果が不合格である場合には、サーバ装置2000は、所定のエラー処理を実行してもよい。例えば、エラー処理として、サーバ装置2000は、ECUコードと該ECUコードの期待値と電子署名とをデータ保安装置1010に再送信したり、又は、電子署名を再生成してからECUコードと該ECUコードの期待値と電子署名とをデータ保安装置1010に送信したりしてもよい。また、該エラー処理を、セキュアブート結果が合格になるまで繰り返す、又は、所定回数だけ繰り返してもよい。
The
なお、上記したステップS106のECUコードの適用後のセキュアブートは、必須ではなく、実行しなくてもよい。 The secure boot after application of the ECU code in step S106 described above is not essential and may not be executed.
次に、上述した図5のデータ提供方法の変形例を説明する。 Next, a modification of the above-described data providing method of FIG. 5 will be described.
<データ提供方法の変形例1>
ステップS104において、データ保安装置1010は、HSM1012の暗号処理部32によりECUコードを暗号化して、ECU1020に送信する。この暗号化に用いる鍵は、予め、データ保安装置1010とECU1020間で共有しておく。ECU1020は、データ保安装置1010から受信した暗号化データを、SHE1022の暗号処理部52により、記憶部1023に格納されている該当の鍵で復号して、ECUコードを取得する。
<
In step S <b> 104, the
<データ提供方法の変形例2>
ステップS104において、ECUコードは、CAN1030のパケットに格納されて、データ保安装置1010からECU1020に伝送される。データ保安装置1010は、該パケットに、該パケットについてのCMACをさらに含める。該CMACの生成に使用する鍵は、予め、データ保安装置1010とECU1020間で共有しておく。ECU1020は、データ保安装置1010から受信したパケットに含まれるCMACを、該当の鍵で検証する。ECU1020は、該CMACの検証が合格した場合に当該ECUコードを適用する。一方、ECU1020は、該CMACの検証が不合格である場合には当該ECUコードを適用しない。
<
In step S <b> 104, the ECU code is stored in a packet of
なお、ECUコードを格納するパケットに含めるCMACとして、該ECUコードの全て又は一部についてのCMACを使用してもよい。例えば、ECUコードを一定サイズのブロックに分割し、ブロック毎にCMACを計算して、該ブロックと該CMACとをパケットに格納してもよい。ECU1020は、ブロック毎にCMACを検証しながらECUコードを取得する。該CMACの生成に使用する鍵は、予め、データ保安装置1010とECU1020間で共有しておく。
Note that CMAC for all or part of the ECU code may be used as the CMAC included in the packet storing the ECU code. For example, the ECU code may be divided into blocks of a certain size, CMAC may be calculated for each block, and the block and the CMAC may be stored in a packet. The
<データ提供方法の変形例3>
ステップS107において、ECU1020からサーバ装置2000に送信するセキュアブート結果「合格又は不合格」は所定値とする。例えば、合格は「1」であり、不合格は「0」である。
<
In step S107, the secure boot result “pass or fail” transmitted from the
<データ提供方法の変形例4>
ステップS107において、ECU1020からサーバ装置2000に送信するセキュアブート結果「合格又は不合格」は、ステップS106のセキュアブートで計算された結果のECUコードのCMACとする。サーバ装置2000の検証部2014は、ステップS102でECU1020に送信したECUコードのCMACを計算する。ECU1020の署名鍵Kbは、予め、ECU1020とサーバ装置2000間で共有しておく。サーバ装置2000の検証部2014は、該計算結果のCMACと、ECU1020のセキュアブート結果のCMACとを比較する。サーバ装置2000の検証部2014は、該比較の結果、両者が一致する場合にはECU1020のセキュアブート結果が合格であると判断し、両者が一致しない場合にはECU1020のセキュアブート結果が不合格であると判断する。
<Modification 4 of Data Providing Method>
In step S107, the secure boot result “pass or fail” transmitted from the
<データ提供方法の変形例5>
サーバ装置2000は、検証値(例えば、乱数)を予めECU1020に供給する。ステップS107において、ECU1020は、セキュアブート結果が合格である場合にはセキュアブート結果「合格」に検証値を含め、一方、セキュアブート結果が不合格である場合にはセキュアブート結果「不合格」に検証値を含めない。サーバ装置2000の検証部2014は、ECU1020のセキュアブート結果「合格」に含まれる検証値と、予めECU1020に供給した元の検証値とを比較する。サーバ装置2000の検証部2014は、該比較の結果、両者が一致する場合にはECU1020のセキュアブート結果が合格であると判断し、両者が一致しない場合にはECU1020のセキュアブート結果が不合格であると判断する。
<
The
<データ提供方法の変形例6>
上記のデータ提供方法の変形例3,4,5のいずれか複数を組合せて適用する。
<Modification 6 of Data Providing Method>
Any one of
<データ提供方法の変形例7>
上記のデータ提供方法の変形例3,4,5,6において、ECU1020は、SHE1022の暗号処理部52によりセキュアブート結果を暗号化して、サーバ装置2000に送信する。この暗号化に用いる鍵は、予め、サーバ装置2000とECU1020間で共有しておく。サーバ装置2000は、ECU1020からの暗号化データを、暗号処理部2016により、記憶部2012に格納されている該当の鍵で復号して、セキュアブート結果を取得する。なお、該暗号化に用いる鍵として、セキュアブート結果が合格である場合にのみSHE1022で使用可能となる暗号鍵を使用してもよい。この場合、セキュアブート結果「合格」を該暗号鍵により暗号化してもよい。
<
In the third, fourth, fifth, and sixth modifications of the data providing method, the
次に、上述した図5のデータ提供方法におけるデータ保安装置1010とECU1020間の実施例を説明する。図6から図8は、本実施形態に係るデータ提供方法の実施例を示すフローチャートである。本実施例では、非特許文献3に記載される15章の「Non-volatile server memory programming process」において、「15.2.1.2 Programming step of phase #1 − Download of application software and data」の手順と、「15.2.1.3 Post-Programming step of phase #1 − Re-synchronization of vehicle network」の手順と、を利用する。図6及び図7には、非特許文献3に記載される「15.2.1.2 Programming step of phase #1 − Download of application software and data」の図33の「graphically depicts the functionality embedded in the programming step of phase #1.」における適用例が示されている。図8には、非特許文献3に記載される「15.2.1.3 Post-Programming step of phase #1 − Re-synchronization of vehicle network」の図34の「graphically depicts the functionality embedded in the post-programming step of phase #1.」における適用例が示されている。
Next, an embodiment between the
図6において、符号S1001で示されるステップは、データ保安装置1010のセキュリティ・アクセス(Security Access)の処理に対応する。図7において、符号S1002で示されるステップは、データ保安装置1010のECUコードのブロック毎の復号及び電子署名の検証の処理に対応する。図7において、符号S1003で示されるステップは、ECU1020のECUコードの検証の処理に対応する。図8において、符号S1004で示されるステップは、ECU1020のECUコードの適用後のセキュアブートの処理に対応する。
In FIG. 6, the step indicated by reference numeral S1001 corresponds to the security access processing of the
上述した実施形態によれば、データ保安装置1010は、サーバ装置2000からECUコードと共に提供された電子署名を検証し、この電子署名の検証が合格したECUコードをECU1020に送信する。これにより、ECU1020に適用されるECUコードの信頼性を向上させることができる。
According to the embodiment described above, the
上述した実施形態において、サーバ装置2000はデータ提供装置に対応する。
In the embodiment described above, the
なお、メンテナンスツール2100が、サーバ装置2000と同様の機能を備え、サーバ装置2000と同様のデータ提供方法により、診断ポート1060及びデータ保安装置1010を介してECU1020にECUコードを提供するように構成してもよい。
The
また、自動車1001のTCU1050又はゲートウェイ1070が、データ保安装置1010の機能を有してもよい。
Further, the
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。 The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes design changes and the like within a scope not departing from the gist of the present invention.
上述した実施形態では、データ保安装置1010やECU1020にHSMやSHEを使用したが、HSM及びSHE以外の暗号処理チップを使用してもよい。データ保安装置1010に対して、例えば「TPM(Trusted Platform Module)f」と呼ばれる暗号処理チップを使用してもよい。TPMfは耐タンパー性を有する。TPMfはセキュアエレメントの例である。ECU1020に対して、例えば「TPMt」と呼ばれる暗号処理チップを使用してもよい。TPMtは耐タンパー性を有する。TPMtはセキュアエレメントの例である。
In the above-described embodiment, HSM and SHE are used for the
上述した実施形態は、自動車の製造工場において、自動車の製造工程で自動車に搭載されたECUに適用してもよい。また、上述した実施形態は、自動車の整備工場や販売店等において、自動車に搭載されているECUに適用してもよい。 The above-described embodiment may be applied to an ECU mounted on a car in a car manufacturing process in a car manufacturing factory. Further, the above-described embodiment may be applied to an ECU mounted on an automobile in an automobile maintenance factory, a dealer, or the like.
上述した実施形態では、車両として自動車を例に挙げたが、原動機付自転車や鉄道車両等の自動車以外の他の車両にも適用可能である。 In the above-described embodiment, an automobile is taken as an example of the vehicle, but the present invention can also be applied to vehicles other than automobiles such as a motorbike and a railway vehicle.
また、上述した各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
In addition, a computer program for realizing the functions of each device described above may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read into a computer system and executed. Here, the “computer system” may include an OS and hardware such as peripheral devices.
“Computer-readable recording medium” refers to a flexible disk, a magneto-optical disk, a ROM, a writable nonvolatile memory such as a flash memory, a portable medium such as a DVD (Digital Versatile Disc), and a built-in computer system. A storage device such as a hard disk.
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
Further, the “computer-readable recording medium” means a volatile memory (for example, DRAM (Dynamic DRAM) in a computer system that becomes a server or a client when a program is transmitted through a network such as the Internet or a communication line such as a telephone line. Random Access Memory)), etc., which hold programs for a certain period of time.
The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.
22,42,2012…記憶部、2013…期待値計算部、2014…検証部、32,52,2016…暗号処理部、20,40…インタフェース部、21,41…制御部、53…測定部、1001…自動車、1002…車載コンピュータシステム、1010…データ保安装置、1011,1021…メイン演算器、1012…HSM、1013,1023…記憶部、1020…ECU、1022…SHE、1030…CAN、1040…インフォテイメント機器、1050…TCU、1051…通信モジュール、1052…SIM、1060…診断ポート、1070…ゲートウェイ、2000…サーバ装置、2011…通信部、2100…メンテナンスツール
22, 42, 2012 ... storage unit, 2013 ... expected value calculation unit, 2014 ... verification unit, 32, 52, 2016 ... encryption processing unit, 20, 40 ... interface unit, 21, 41 ... control unit, 53 ... measurement unit, DESCRIPTION OF
Claims (4)
前記データ提供装置は、前記車両とデータを送受する車両インタフェースを備え、前記車載コンピュータに適用されるコンピュータプログラム又は設定データである第1データと前記第1データの第1期待値とを前記車両インタフェースにより前記車両に送信し、
前記車載コンピュータは、
自車載コンピュータの外部の装置とデータを送受する第1インタフェース部と、
前記データ提供装置から提供された前記第1データを自車載コンピュータに適用し、前記データ提供装置から提供された前記第1期待値をセキュアブートで使用される第2期待値に設定し、前記第1データの自車載コンピュータへの適用後にセキュアブートを実行する制御部と、
セキュアブートにおいて、自車載コンピュータに適用された前記第1データを対象にして測定値を計算し、該測定値を前記第2期待値に基づいて検証する測定部と、を備え、
前記制御部は、前記測定部の検証の結果に基づいた前記第1データの自車載コンピュータへの適用の合否を示すデータ適用結果を前記第1インタフェース部により送信し、
前記データ提供装置は、前記車両インタフェースにより前記車両から前記データ適用結果を受信する、
データ提供システム。 A data providing device and an in- vehicle computer mounted on the vehicle ;
Wherein the data providing apparatus, the vehicle and includes a vehicle interface for transmitting and receiving data, the first expected value and the vehicle interface of the first data and the first data is a computer program or setting data is applied to a vehicle computer To the vehicle,
The in-vehicle computer is
A first interface unit for transmitting / receiving data to / from an external device of the in-vehicle computer;
Applying the first data provided from the data providing device to a vehicle-mounted computer, setting the first expected value provided from the data providing device to a second expected value used in secure boot, and A control unit that executes secure boot after application of one data to the in-vehicle computer;
In the secure boot, a measurement unit that calculates the measurement value for the first data applied to the in-vehicle computer and verifies the measurement value based on the second expected value, and
The control unit transmits a data application result indicating whether the first data is applied to the in-vehicle computer based on the verification result of the measurement unit by the first interface unit,
The data providing device receives the data application result from the vehicle by the vehicle interface;
Data provision system.
前記データ保安装置は、
自データ保安装置の外部の装置とデータを送受する第2インタフェース部を備え、前記第2インタフェース部により、前記データ提供装置から受信した前記第1データと前記第1期待値とを前記車載コンピュータに送信し、前記車載コンピュータから受信した前記データ適用結果を前記データ提供装置に送信する、
請求項1に記載のデータ提供システム。 A data security device,
The data security device is
A second interface unit that transmits / receives data to / from an external device of the data security device; and the second interface unit transmits the first data and the first expected value received from the data providing device to the in-vehicle computer. Transmitting and transmitting the data application result received from the in-vehicle computer to the data providing device;
The data providing system according to claim 1.
前記データ保安装置は、前記データ提供装置から受信した前記電子署名付きデータの電子署名を、前記データ提供装置の公開鍵を使用して検証する暗号処理部をさらに備え、前記電子署名の検証が合格したデータを前記車載コンピュータに送信する、The data security device further includes an encryption processing unit that verifies an electronic signature of the data with the electronic signature received from the data providing device using a public key of the data providing device, and the verification of the electronic signature is passed. Transmitting the processed data to the in-vehicle computer,
請求項2に記載のデータ提供システム。The data provision system according to claim 2.
前記データ提供装置が、前記車載コンピュータに適用されるコンピュータプログラム又は設定データである第1データと前記第1データの第1期待値とを、前記車両とデータを送受する車両インタフェースにより前記車両に送信するデータ提供ステップと、
前記車載コンピュータが、前記データ提供装置から提供された前記第1データを自車載コンピュータに適用し、前記データ提供装置から提供された前記第1期待値をセキュアブートで使用される第2期待値に設定し、前記第1データの自車載コンピュータへの適用後にセキュアブートを実行する実行ステップと、
前記車載コンピュータが、セキュアブートにおいて、自車載コンピュータに適用された前記第1データを対象にして測定値を計算し、該測定値を前記第2期待値に基づいて検証する測定ステップと、
前記車載コンピュータが、前記測定ステップの検証の結果に基づいた前記第1データの自車載コンピュータへの適用の合否を示すデータ適用結果を、自車載コンピュータの外部の装置とデータを送受する第1インタフェース部により送信する送信ステップと、
前記データ提供装置が、前記車両インタフェースにより前記車両から前記データ適用結果を受信する受信ステップと、
を含むデータ提供方法。 A data providing method of a data providing system comprising a data providing device and an in- vehicle computer mounted on a vehicle ,
The data providing device transmits first data , which is a computer program or setting data applied to the in-vehicle computer, and a first expected value of the first data to the vehicle by a vehicle interface that transmits and receives data to and from the vehicle. Providing data to be performed;
The in-vehicle computer applies the first data provided from the data providing apparatus to the own in-vehicle computer, and the first expected value provided from the data providing apparatus is changed to a second expected value used in secure boot. An execution step of setting and executing a secure boot after applying the first data to the in-vehicle computer;
The in-vehicle computer calculates a measurement value for the first data applied to the in-vehicle computer in secure boot, and verifies the measurement value based on the second expected value; and
A first interface through which the in-vehicle computer transmits / receives data application results indicating whether the first data is applied to the in-vehicle computer based on the result of the verification of the measurement step to / from an external device of the in-vehicle computer. A transmission step of transmitting by the unit;
The data providing device receives the data application result from the vehicle by the vehicle interface; and
A method of providing data including:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017188122A JP6354099B2 (en) | 2017-09-28 | 2017-09-28 | Data providing system and data providing method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017188122A JP6354099B2 (en) | 2017-09-28 | 2017-09-28 | Data providing system and data providing method |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016158120 Division | 2016-08-10 | 2016-08-10 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018026151A JP2018026151A (en) | 2018-02-15 |
JP6354099B2 true JP6354099B2 (en) | 2018-07-11 |
Family
ID=61194557
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017188122A Active JP6354099B2 (en) | 2017-09-28 | 2017-09-28 | Data providing system and data providing method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6354099B2 (en) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8321933B2 (en) * | 2007-11-14 | 2012-11-27 | Caterpillar Inc. | Securing electronic control unit code |
JP5457363B2 (en) * | 2008-10-10 | 2014-04-02 | パナソニック株式会社 | Information processing apparatus, authentication system, authentication apparatus, information processing method, information processing program, recording medium, and integrated circuit |
JP2011108167A (en) * | 2009-11-20 | 2011-06-02 | Toyota Infotechnology Center Co Ltd | Computer system |
JP5949732B2 (en) * | 2013-11-27 | 2016-07-13 | 株式会社オートネットワーク技術研究所 | Program update system and program update method |
JP6228093B2 (en) * | 2014-09-26 | 2017-11-08 | Kddi株式会社 | system |
-
2017
- 2017-09-28 JP JP2017188122A patent/JP6354099B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018026151A (en) | 2018-02-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2018029905A1 (en) | Data provision system, data security device, data provision method, and computer program | |
JP6260067B1 (en) | Management system, key generation device, in-vehicle computer, management method, and computer program | |
JP6197000B2 (en) | System, vehicle, and software distribution processing method | |
JP6683588B2 (en) | Reuse system, server device, reuse method, and computer program | |
WO2018043386A1 (en) | Vehicle information collection system, vehicle-mounted computer, vehicle information collection device, vehicle information collection method, and computer program | |
WO2018029893A1 (en) | Data provision system, data security device, data provision method, and computer program | |
JP6190443B2 (en) | In-vehicle computer system, vehicle, management method, and computer program | |
JP6260068B1 (en) | Maintenance device, maintenance method, and computer program | |
JP6440334B2 (en) | System, vehicle, and software distribution processing method | |
JP6299039B2 (en) | Vehicle information collection system, data security device, vehicle information collection method, and computer program | |
JP6554704B2 (en) | Data providing system and data providing method | |
JP2018006782A (en) | Data providing system, data providing apparatus, on-vehicle computer, data providing method, and computer program | |
JP6354099B2 (en) | Data providing system and data providing method | |
JP6464466B2 (en) | Maintenance device, maintenance method, and computer program | |
JP6454919B2 (en) | Management system, data providing apparatus, in-vehicle computer, management method, and computer program | |
JP6672243B2 (en) | Data providing system, data providing device, data providing method, and data providing program | |
JP2018057044A (en) | Vehicle information gathering system, data safety device, vehicle information gathering device, vehicle information gathering method, and computer program | |
JP2017208731A (en) | Management system, management device, on-vehicle computer, management method, and computer program | |
WO2018131270A1 (en) | Communication system, vehicle, server device, communication method, and computer program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180418 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180515 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180523 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6354099 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |