JP6554704B2 - データ提供システム及びデータ提供方法 - Google Patents

データ提供システム及びデータ提供方法 Download PDF

Info

Publication number
JP6554704B2
JP6554704B2 JP2017201990A JP2017201990A JP6554704B2 JP 6554704 B2 JP6554704 B2 JP 6554704B2 JP 2017201990 A JP2017201990 A JP 2017201990A JP 2017201990 A JP2017201990 A JP 2017201990A JP 6554704 B2 JP6554704 B2 JP 6554704B2
Authority
JP
Japan
Prior art keywords
data
vehicle
message authentication
authentication code
ecu
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017201990A
Other languages
English (en)
Other versions
JP2018026874A (ja
Inventor
竹森 敬祐
敬祐 竹森
誠一郎 溝口
誠一郎 溝口
歩 窪田
歩 窪田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2017201990A priority Critical patent/JP6554704B2/ja
Publication of JP2018026874A publication Critical patent/JP2018026874A/ja
Application granted granted Critical
Publication of JP6554704B2 publication Critical patent/JP6554704B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、データ提供システム及びデータ提供方法に関する。
従来、自動車は、ECU(Electronic Control Unit:電子制御装置)を有し、ECUによってエンジン制御等の機能を実現する。ECUは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。複数のECUをCAN(Controller Area Network)に接続して構成される車載制御システムについてのセキュリティ技術が例えば非特許文献1に記載されている。
竹森敬祐、"セキュアエレメントを基点とした車載制御システムの保護 −要素技術の整理と考察−"、電子情報通信学会、信学技報、vol. 114、no. 508、pp. 73-78、2015年3月 STMicroelectronics、"AN4240 Application note"、[平成28年8月3日検索]、インターネット<URL:http://www.st.com/web/en/resource/technical/document/application_note/DM00075575.pdf> INTERNATIONAL STANDARD、ISO14229-1、「Road vehicles Unified diagnostic services (UDS) Part 1: Specification and requirements」、Second edition、2013-03-15
自動車の車載制御システムのECUに適用される更新プログラム等のデータの信頼性を向上させることが一つの課題であった。
本発明は、このような事情を考慮してなされたものであり、ECU等の車載コンピュータに適用されるデータの信頼性を向上させることができるデータ提供システム及びデータ提供方法を提供することを課題とする。
本発明の一態様は、データ提供装置と、車両に搭載される車載コンピュータとを備え、前記データ提供装置は、前記車両とデータを送受する車両インタフェースを備え、前記車載コンピュータに適用されるコンピュータプログラム又は設定データである第1データ前記車両インタフェースにより前記車両に送信し、前記車載コンピュータは、自車載コンピュータの外部の装置とデータを送受する第1インタフェース部と、前記データ提供装置から提供された前記第1データを自車載コンピュータに適用し、前記データ提供装置から予め提供された第1メッセージ認証符号をセキュアブートで使用される期待値に設定し、前記第1データの自車載コンピュータへの適用後にセキュアブートを実行する制御部と、セキュアブートにおいて、自車載コンピュータに適用された前記第1データを対象にして第2メッセージ認証符号を計算し、該第2メッセージ認証符号を前記期待値に基づいて検証する第1測定部と、を備え、前記制御部は、前記第1測定部の検証の結果に基づいた前記第1データの自車載コンピュータへの適用の合否を示すデータ適用結果を前記第1インタフェース部により送信し、前記データ提供装置は、前記車両インタフェースにより前記車両から前記データ適用結果を受信する、データ提供システムであって、データ保安装置をさらに備え、前記データ提供装置は、前記第1メッセージ認証符号の第3メッセージ認証符号を前記車両インタフェースにより前記車両に送信し、前記データ保安装置は、自データ保安装置の外部の装置とデータを送受する第2インタフェース部と、前記第2インタフェース部により前記データ提供装置から受信した前記第1メッセージ認証符号の第4メッセージ認証符号を計算し、前記第2インタフェース部により前記データ提供装置から受信した前記第3メッセージ認証符号に基づいて該第4メッセージ認証符号を検証する第2測定部と、を備え、前記第4メッセージ認証符号の検証が合格した前記第1メッセージ認証符号を前記第2インタフェース部により前記車載コンピュータに送信する、データ提供システムである。
本発明の一態様は、前記データ提供装置は、前記車載コンピュータの第1共通鍵を使用して前記第1メッセージ認証符号を計算する期待値計算部をさらに備え、前記第1測定部は、自車載コンピュータの前記第1共通鍵を使用して前記第2メッセージ認証符号を計算する、データ提供システムである。
本発明の一態様は、前記期待値計算部は、前記データ保安装置の第2共通鍵を使用して前記第3メッセージ認証符号を計算し、前記第2測定部は、自データ保安装置の前記第2共通鍵を使用して前記第4メッセージ認証符号を計算する、データ提供システムである。
本発明の一態様は、データ提供装置と、車両に搭載される車載コンピュータとを備えるデータ提供システムのデータ提供方法であって、前記データ提供装置が、前記車載コンピュータに適用されるコンピュータプログラム又は設定データである第1データを、前記車両とデータを送受する車両インタフェースにより前記車両に送信するデータ提供ステップと、前記車載コンピュータが、前記データ提供装置から提供された前記第1データを自車載コンピュータに適用し、前記データ提供装置から予め提供された第1メッセージ認証符号をセキュアブートで使用される期待値に設定し、前記第1データの自車載コンピュータへの適用後にセキュアブートを実行する実行ステップと、前記車載コンピュータが、セキュアブートにおいて、自車載コンピュータに適用された前記第1データを対象にして第2メッセージ認証符号を計算し、該第2メッセージ認証符号を前記期待値に基づいて検証する測定ステップと、前記車載コンピュータが、前記測定ステップの検証の結果に基づいた前記第1データの自車載コンピュータへの適用の合否を示すデータ適用結果を、自車載コンピュータの外部の装置とデータを送受する第1インタフェース部により送信する送信ステップと、前記データ提供装置が、前記車両インタフェースにより前記車両から前記データ適用結果を受信する受信ステップと、を含むデータ提供方法であり、前記データ提供システムは、データ保安装置をさらに備え、前記データ提供装置は、前記第1メッセージ認証符号の第3メッセージ認証符号を前記車両インタフェースにより前記車両に送信し、前記データ保安装置は、自データ保安装置の外部の装置とデータを送受する第2インタフェース部により前記データ提供装置から受信した前記第1メッセージ認証符号の第4メッセージ認証符号を計算し、前記第2インタフェース部により前記データ提供装置から受信した前記第3メッセージ認証符号に基づいて該第4メッセージ認証符号を検証し、前記第4メッセージ認証符号の検証が合格した前記第1メッセージ認証符号を前記第2インタフェース部により前記車載コンピュータに送信する、データ提供方法である。
本発明によれば、ECU等の車載コンピュータに適用されるデータの信頼性を向上させることができるという効果が得られる。
一実施形態に係るデータ提供システム及び自動車1001の構成例を示す図である。 一実施形態に係るサーバ装置2000の構成例を示す図である。 一実施形態に係るデータ保安装置1010の構成例を示す図である。 一実施形態に係るECU1020の構成例を示す図である。 一実施形態に係るデータ提供方法の例を示すシーケンスチャートである。 一実施形態に係るデータ提供方法の実施例を示すフローチャートである。 一実施形態に係るデータ提供方法の実施例を示すフローチャートである。 一実施形態に係るデータ提供方法の実施例を示すフローチャートである。
以下、図面を参照し、本発明の実施形態について説明する。なお、以下に示す実施形態では、車両として自動車を例に挙げて説明する。
図1は、一実施形態に係るデータ提供システム及び自動車1001の構成例を示す図である。本実施形態では、車載コンピュータの一例として、自動車1001に搭載されるECU(電子制御装置)を挙げて説明する。
図1において、自動車1001は、データ保安装置1010と複数のECU1020とを備える。ECU1020は、自動車1001に備わる車載コンピュータである。ECU1020は、自動車1001のエンジン制御等の制御機能を有する。ECU1020として、例えば、エンジン制御機能を有するECU、ハンドル制御機能を有するECU、ブレーキ制御機能を有するECUなどがある。データ保安装置1010は、自動車1001に搭載されたECU1020に適用されるデータのセキュリティ(保安)の機能を有する。なお、自動車1001に搭載されたいずれかのECUをデータ保安装置1010として機能させてもよい。
データ保安装置1010と複数のECU1020は、自動車1001に備わるCAN(Controller Area Network)1030に接続される。CAN1030は通信ネットワークである。CANは車両に搭載される通信ネットワークの一つとして知られている。データ保安装置1010は、CAN1030を介して、各ECU1020との間でデータを交換する。ECU1020は、CAN1030を介して、他のECU1020との間でデータを交換する。
なお、車両に搭載される通信ネットワークとして、CAN以外の通信ネットワークを自動車1001に備え、CAN以外の通信ネットワークを介して、データ保安装置1010とECU1020との間のデータの交換、及び、ECU1020同士の間のデータの交換が行われてもよい。例えば、LIN(Local Interconnect Network)を自動車1001に備えてもよい。また、CANとLINとを自動車1001に備えてもよい。また、自動車1001において、LINに接続するECU1020を備えてもよい。また、データ保安装置1010は、CANとLINとに接続されてもよい。また、データ保安装置1010は、CANを介して該CANに接続されるECU1020との間でデータを交換し、また、LINを介して該LINに接続されるECU1020との間でデータを交換してもよい。また、ECU1020同士が、LINを介してデータを交換してもよい。
自動車1001に備わる車載コンピュータシステム1002は、データ保安装置1010と複数のECU1020とがCAN1030に接続されて構成される。本実施形態において、車載コンピュータシステム1002は、自動車1001の車載制御システムとして機能する。
ゲートウェイ1070は、車載コンピュータシステム1002の内部と外部の間の通信を監視する。ゲートウェイ1070はCAN1030に接続される。また、ゲートウェイ1070は、車載コンピュータシステム1002の外部の装置の例として、インフォテイメント機器1040、TCU(Tele Communication Unit)1050及び診断ポート1060と接続される。データ保安装置1010及びECU1020は、ゲートウェイ1070を介して、車載コンピュータシステム1002の外部の装置と通信を行う。
なお、CAN1030の構成として、CAN1030が複数のバス(通信線)を備え、該複数のバスをゲートウェイ1070に接続してもよい。この場合、一つのバスに、一つのECU1020又は複数のECU1020が接続される。また、同じバスにデータ保安装置1010とECU1020とが接続されてもよく、又は、データ保安装置1010が接続されるバスとECU1020が接続されるバスとを別個にしてもよい。
自動車1001は診断ポート1060を備える。診断ポート1060として、例えばOBD(On-board Diagnostics)ポートを使用してもよい。診断ポート1060には、自動車1001の外部の装置を接続可能である。診断ポート1060に接続可能な自動車1001の外部の装置として、例えば、図1に示されるメンテナンスツール2100などがある。データ保安装置1010と、診断ポート1060に接続された装置、例えばメンテナンスツール2100とは、診断ポート1060及びゲートウェイ1070を介して、データを交換する。メンテナンスツール2100は、OBDポートに接続される従来の診断端末の機能を有していてもよい。
自動車1001はインフォテイメント(Infotainment)機器1040を備える。インフォテイメント機器1040として、例えば、ナビゲーション機能、位置情報サービス機能、音楽や動画などのマルチメディア再生機能、音声通信機能、データ通信機能、インターネット接続機能などを有するものが挙げられる。
自動車1001は、TCU1050を備える。TCU1050は通信装置である。TCU1050は通信モジュール1051を備える。通信モジュール1051は、無線通信ネットワークを利用して無線通信を行う。通信モジュール1051は、SIM(Subscriber Identity Module)1052を備える。SIM1052は、無線通信ネットワークを利用するための情報が書き込まれたSIMである。通信モジュール1051は、SIM1052を使用することにより該無線通信ネットワークに接続して無線通信を行うことができる。なお、SIM1052として、eSIM(Embedded Subscriber Identity Module)を使用してもよい。
データ保安装置1010は、ゲートウェイ1070を介して、TCU1050とデータを交換する。なお、TCU1050とデータ保安装置1010とを通信ケーブルで直接接続し、TCU1050とデータ保安装置1010は該通信ケーブルを介してデータを交換してもよい。例えば、USB(universal serial bus)ケーブルでTCU1050とデータ保安装置1010とを直接接続し、TCU1050とデータ保安装置1010は該USBケーブルを介してデータを交換してもよい。また、TCU1050とデータ保安装置1010とをUSBケーブル等の通信ケーブルで直接接続し、該通信ケーブルを介してTCU1050とデータ保安装置1010間のデータの交換を行う場合、TCU1050とデータ保安装置1010とのうち送信側の装置は、受信側の装置に送信するデータを一時的に蓄えるバッファを備えてもよい。
なお、TCU1050の他の接続形態として、例えば、TCU1050をインフォテイメント機器1040に接続し、データ保安装置1010が、ゲートウェイ1070及びインフォテイメント機器1040を介して、TCU1050とデータを交換してもよい。又は、TCU1050を診断ポート1060に接続し、データ保安装置1010が、ゲートウェイ1070及び診断ポート1060を介して、該診断ポート1060に接続されたTCU1050とデータを交換してもよい。又は、データ保安装置1010が、SIM1052を含む通信モジュール1051を備えてもよい。データ保安装置1010がSIM1052を含む通信モジュール1051を備える場合には、自動車1001はTCU1050を備えなくてもよい。
データ保安装置1010は、メイン演算器1011とHSM(Hardware Security Module)1012を備える。メイン演算器1011は、データ保安装置1010の機能を実現させるためのコンピュータプログラムを実行する。HSM1012は暗号処理機能等を有する。HSM1012は耐タンパー性(Tamper Resistant)を有する。HSM1012はセキュアエレメント(Secure Element:SE)の例である。HSM1012は、データを記憶する記憶部1013を備える。メイン演算器1011はHSM1012を使用する。
ECU1020は、メイン演算器1021とSHE(Secure Hardware Extension)1022を備える。メイン演算器1021は、ECU1020の機能を実現させるためのコンピュータプログラムを実行する。SHE1022は暗号処理機能等を有する。SHE1022は耐タンパー性を有する。SHE1022はセキュアエレメントの例である。SHE1022は、データを記憶する記憶部1023を備える。メイン演算器1021はSHE1022を使用する。
サーバ装置2000は、通信回線を介して、自動車1001のTCU1050の通信モジュール1051とデータを送受する。サーバ装置2000は、自動車1001のTCU1050の通信モジュール1051が利用する無線通信ネットワークを介して、該通信モジュール1051とデータを送受する。又は、サーバ装置2000は、インターネット等の通信ネットワークと該無線通信ネットワークとを介して、該通信モジュール1051とデータを送受してもよい。また、例えば、サーバ装置2000と通信モジュール1051との間をVPN(Virtual Private Network)回線等の専用回線で接続し、該専用回線でデータを送受してもよい。例えば、SIM1052に対応する無線通信ネットワークによって、VPN回線等の専用回線が提供されてもよい。なお、サーバ装置2000と自動車1001とを通信ケーブルで接続してもよい。例えば、サーバ装置2000と自動車1001のゲートウェイ1070とを通信ケーブルで接続するように構成してもよい。
サーバ装置2000は、ECU1020に適用されるECUコード(ECU code)を自動車1001に提供する。ECUコードは、ECU1020に適用されるデータの例である。ECUコードは、ECU1020にインストールされる更新プログラム等のコンピュータプログラムであってもよく、又は、ECU1020に設定されるパラメータ設定値などの設定データであってもよい。
図2は、サーバ装置2000の構成例を示す図である。図2において、サーバ装置2000は、通信部2011と記憶部2012と期待値計算部2013と検証部2014と鍵生成部2015と暗号処理部2016とを備える。通信部2011は、通信回線を介して、他の装置と通信を行う。通信部2011は車両インタフェースに対応する。記憶部2012は、データを記憶する。期待値計算部2013は、ECUコードについての期待値を計算する。検証部2014は、ECU1020の測定値の検証に係る処理を行う。鍵生成部2015は、鍵を生成する。暗号処理部2016は、データの暗号化及び暗号化データの復号を行う。
サーバ装置2000の機能は、該サーバ装置2000が備えるCPUがコンピュータプログラムを実行することにより実現される。なお、サーバ装置2000として、汎用のコンピュータ装置を使用して構成してもよく、又は、専用のハードウェア装置として構成してもよい。
図3は、データ保安装置1010の構成例を示す図である。図3において、データ保安装置1010は、メイン演算器1011とHSM1012とインタフェース部20とを備える。メイン演算器1011は、制御部21と記憶部22とを備える。HSM1012は、記憶部1013と暗号処理部32と測定部33とを備える。
インタフェース部20は、自データ保安装置1010の外部の装置とデータを送受する。インタフェース部20は、CAN1030を介してデータを送受するインタフェースを備える。メイン演算器1011は、インタフェース部20を介して、データ保安装置1010以外の他の装置とデータの送受を行う。
制御部21は、データ保安装置1010の制御を行う。記憶部22は、データを記憶する。記憶部1013は、データを記憶する。暗号処理部32は、データの暗号化及び暗号化データの復号を行う。測定部33は、ECUコード等のデータの測定値を計算し、該測定値を期待値に基づいて検証する。
図4は、ECU1020の構成例を示す図である。図4において、ECU1020は、メイン演算器1021とSHE1022とインタフェース部40とを備える。メイン演算器1021は、制御部41と記憶部42とを備える。SHE1022は、記憶部1023と暗号処理部52と測定部53とを備える。
インタフェース部40は、自ECU1020の外部の装置とデータを送受する。インタフェース部40は、CAN1030を介してデータを送受するインタフェースを備える。メイン演算器1021は、インタフェース部40を介して、自ECU1020以外の他の装置とデータの送受を行う。
制御部41は、ECU1020の制御を行う。記憶部42は、データを記憶する。記憶部1023は、データを記憶する。暗号処理部52は、データの暗号化及び暗号化データの復号を行う。測定部53は、ECUコード等のデータの測定値を計算し、該測定値を期待値に基づいて検証する。
なお、本実施形態では、データ保安装置1010にHSMを使用しているが、データ保安装置1010においてHSMの代わりにSHEを使用してもよい。なお、SHEについては、例えば非特許文献2に記載されている。
次に図5を参照して、本実施形態に係るデータ提供方法の例を説明する。図5は、本実施形態に係るデータ提供方法の例を示すシーケンスチャートである。
サーバ装置2000は、マスタ鍵Master_Secretと、ECU1020のECUコードとを予め記憶部2012に格納している。ECU1020のECUコードは、ECU1020に適用する予定のECUコードを含む。データ保安装置1010は、署名鍵Kbc及び暗号鍵Kecを予めHSM1012の記憶部1013に格納している。ECU1020は、署名鍵Kbeを予めSHE1022の記憶部1023に格納している。
以下、サーバ装置2000は、通信部2011により、自動車1001のTCU1050と通信を行い、TCU1050及びゲートウェイ1070を介して、自動車1001のCAN1030に接続されるデータ保安装置1010との間でデータを送受する。なお、サーバ装置2000とデータ保安装置1010との間の通信路として、暗号化通信路を使用してもよい。例えば、サーバ装置2000とデータ保安装置1010は、暗号化通信路の一例として、https(hypertext transfer protocol secure)通信を行ってもよい。
(ステップS101)サーバ装置2000の鍵生成部2015は、自動車1001に搭載されているデータ保安装置1010の署名鍵Kbc及び暗号鍵Kec、並びに、ECU1020の署名鍵Kbeを生成する。
鍵生成部2015の鍵生成方法の例を説明する。鍵生成部2015は、記憶部2012に格納されているマスタ鍵Master_Secretと、鍵生成対象装置の識別子UNIT_IDと、変数Nkとを使用して、次式により鍵(共通鍵)を生成する。
共通鍵=ダイジェスト(Master_Secret、UNIT_ID、Nk)
但し、鍵生成対象装置がデータ保安装置1010である場合には、UNIT_IDはデータ保安装置1010の識別子SecU_IDである。鍵生成対象装置がECU1020である場合には、UNIT_IDはECU1020の識別子ECU_IDである。ダイジェスト(Master_Secret、UNIT_ID、Nk)は、マスタ鍵Master_Secretと識別子UNIT_IDと変数Nkとから生成されるダイジェスト値である。ダイジェスト値として、例えば、ハッシュ(hash)関数により算出される値、排他的論理和演算により算出される値、又は、CMAC(Cipher-based Message Authentication Code)などが挙げられる。例えば、共通鍵は、マスタ鍵Master_Secretと識別子UNIT_IDと変数Nkとを入力値に使用して算出されるハッシュ関数値である。
変数Nkの値が異なれば、ダイジェスト値は異なる。変数Nkの値を変えることによって、同じマスタ鍵Master_Secretと識別子UNIT_IDとから、異なる共通鍵を生成することができる。例えば、署名鍵用の変数Nkの値をNk_aとし、暗号鍵用の変数Nkの値をNk_bとする。鍵生成部2015は、マスタ鍵Master_Secretと、データ保安装置1010の識別子SecU_IDと、変数Nk_a,Nk_bとを使用して、
署名鍵Kbc=ダイジェスト(Master_Secret、SecU_ID、Nk_a)、
暗号鍵Kec=ダイジェスト(Master_Secret、SecU_ID、Nk_b)、
により、データ保安装置1010の署名鍵Kbcと暗号鍵Kecとを異なる鍵として生成する。また、鍵生成部2015は、マスタ鍵Master_Secretと、ECU1020の識別子ECU_IDと、変数Nk_aとを使用して、
署名鍵Kbe=ダイジェスト(Master_Secret、ECU_ID、Nk_a)、
により、ECU1020の署名鍵Kbeを生成する。記憶部2012は、データ保安装置1010の署名鍵Kbc及び暗号鍵Kec、並びに、ECU1020の署名鍵Kbeを格納する。データ保安装置1010のHSM1012の記憶部1013は、サーバ装置2000と同じ鍵生成方法によって生成された署名鍵Kbc及び暗号鍵Kecを予め格納している。ECU1020のSHE1022の記憶部1023は、サーバ装置2000と同じ鍵生成方法によって生成された署名鍵Kbeを予め格納している。
なお、本実施形態に係る鍵(共通鍵)の生成方法の他の例として、署名鍵をハッシュ関数により算出される値とし、暗号鍵を排他的論理和演算により算出される値としてもよい。又は、その逆、つまり、署名鍵を排他的論理和演算により算出される値とし、暗号鍵をハッシュ関数により算出される値としてもよい。
(ステップS102)サーバ装置2000の期待値計算部2013は、自動車1001に搭載されているECU1020に適用する予定のECUコードのCMACを、データ保安装置1010の署名鍵Kbcにより計算する。この計算結果のCMACは、該ECUコードについての期待値である。なお、本実施形態では、ECUコードの測定値の一例として、CMACを使用する。期待値計算部2013が計算したECUコードの期待値(CMAC)は、該ECUコードの測定値(CMAC)の検証に使用される。記憶部2012は、ECUコードの期待値(CMAC)を格納する。
(ステップS103)サーバ装置2000は、通信部2011により、ECU1020に適用されるECUコードと、期待値計算部2013が計算した期待値(CMAC)とを、データ保安装置1010に送信する。データ保安装置1010は、サーバ装置2000から送信されたECUコードと期待値(CMAC)とを受信する。
(ステップS104)データ保安装置1010の制御部21は、サーバ装置2000から受信した期待値のCMACをHSM1012に渡し、該CMACをHSM1012における測定値の期待値に設定する。制御部21は、サーバ装置2000から受信したECUコードをHSM1012に渡し、HSM1012にECUコードの測定を実行させる。HSM1012の測定部33は、記憶部1013に格納している署名鍵Kbcにより、ECUコードの測定値を計算する。本実施形態では、測定値の一例としてCMACを使用する。よって、測定部33は、記憶部1013に格納している署名鍵Kbcにより、ECUコードのCMACを計算する。
測定部33は、測定値のCMACと、測定値のCMACとを比較する。この比較の結果、両者が一致する場合には測定値(CMAC)の検証が合格であり、両者が一致しない場合には測定値(CMAC)の検証が不合格である。HSM1012は、測定値の検証結果「合格又は不合格」を制御部21に渡す。制御部21は、ECUコードの測定値の検証結果が合格である場合に、ステップS105に処理を進める。一方、制御部21は、ECUコードの測定値の検証結果が不合格である場合には、図5の処理を終了する。
なお、ECUコードの測定値の検証結果が不合格である場合には、制御部21は、所定のエラー処理を実行してもよい。例えば、制御部21は、ECUコードの測定値の検証結果が不合格であることを示すエラーメッセージを、サーバ装置2000に送信してもよい。サーバ装置2000は、該エラーメッセージに応じて、所定のエラー処理を実行してもよい。例えば、サーバ装置2000は、ECUコードと期待値(CMAC)とをデータ保安装置1010に再送信したり、又は、期待値(CMAC)を再生成してデータ保安装置1010に送信したりしてもよい。
(ステップS105)データ保安装置1010の制御部21は、ECUコードの測定値の検証が合格したECUコードを、インタフェース部20によりECU1020に送信する。ECU1020は、データ保安装置1010から送信されたECUコードを受信する。
(ステップS106)ECU1020の制御部41は、データ保安装置1010から受信したECUコードを自ECU1020に適用する。
(ステップS107)ECU1020の制御部41は、ECUコードの適用後に、セキュアブートを実行する。このセキュアブートでは、SHE1022の測定部53は、記憶部1023に格納している署名鍵KbeによりECUコードの測定値を計算する。本実施形態では、測定値の一例として、CMACを使用する。よって、測定部53は、記憶部1023に格納している署名鍵Kbeにより、ECUコードのCMACを計算する。測定部53は、該計算結果のCMACと期待値との比較を行う。制御部41は、セキュアブートの実行前に、予め、期待値をSHE1022に設定する。該計算結果のCMACと期待値との比較の結果、両者が一致する場合にはセキュアブート結果が合格であり、両者が一致しない場合にはセキュアブート結果が不合格である。SHE1022は、セキュアブート結果を制御部41に渡す。制御部41は、セキュアブート結果が合格である場合にECUコードの実行を進める。一方、制御部41は、セキュアブート結果が不合格である場合にはECUコードの実行を停止する。
なお、ECU1020のセキュアブートで使用される期待値は、サーバ装置2000又はデータ保安装置1010からECU1020に予め供給される。サーバ装置2000がECU1020にセキュアブートで使用される期待値を供給する場合、サーバ装置2000の期待値計算部2013がECU1020の署名鍵KbeによりECUコードの期待値(CMAC)を計算する。ECU1020の署名鍵Kbeは、予め、ECU1020とサーバ装置2000間で共有しておく。また、サーバ装置2000は、「ECU1020のセキュアブートで使用される期待値(CMAC)」の期待値(CMAC)を、上記ステップS102と同様にデータ保安装置1010の署名鍵Kbcにより計算し、この計算結果のCMACと「ECU1020のセキュアブートで使用される期待値(CMAC)」とを上記ステップS103と同様にデータ保安装置1010に送信してもよい。データ保安装置1010は、サーバ装置2000から受信した「ECU1020のセキュアブートで使用される期待値(CMAC)」と該期待値のCMACについて、上記ステップS104と同様に、自己の署名鍵Kbcにより検証を行う。データ保安装置1010は、上記ステップS105と同様に、該検証が合格した場合に、サーバ装置2000から受信した「ECU1020のセキュアブートで使用される期待値(CMAC)」をECU1020に送信する。「ECU1020のセキュアブートで使用される期待値(CMAC)」は、ECU1020に適用されるデータの例である。
一方、データ保安装置1010がECU1020にセキュアブートで使用される期待値を供給する場合には、データ保安装置1010は、期待値計算部を有し、ECU1020の署名鍵KbeによりECUコードの期待値(CMAC)を計算する。ECU1020の署名鍵Kbeは、予め、ECU1020とデータ保安装置1010間で共有しておく。
(ステップS108)ECU1020の制御部41は、インタフェース部40により、セキュアブート結果「合格又は不合格」をデータ保安装置1010に送信する。データ保安装置1010は、ECU1020から受信したセキュアブート結果「合格又は不合格」をサーバ装置2000に転送する。セキュアブート結果「合格又は不合格」は、ECUコードのECU1020への適用の合否を示すデータ適用結果に対応する。
サーバ装置2000は、通信部2011により、データ保安装置1010から送信されたセキュアブート結果「合格又は不合格」を受信する。サーバ装置2000は、データ保安装置1010から受信したセキュアブート結果「合格又は不合格」に応じて、所定の処理を実行する。例えば、セキュアブート結果が合格である場合には、その旨を記録する。一方、セキュアブート結果が不合格である場合には、サーバ装置2000は、所定のエラー処理を実行してもよい。例えば、エラー処理として、サーバ装置2000は、ECUコードと期待値(CMAC)とをデータ保安装置1010に再送信したり、又は、期待値(CMAC)を再生成してデータ保安装置1010に送信したりしてもよい。また、該エラー処理を、セキュアブート結果が合格になるまで繰り返す、又は、所定回数だけ繰り返してもよい。
なお、上記したステップS107のECUコードの適用後のセキュアブートは、必須ではなく、実行しなくてもよい。
次に、上述した図5のデータ提供方法の変形例を説明する。
<データ提供方法の変形例1>
ステップS103において、サーバ装置2000は、暗号処理部2016によりECUコードを暗号化して、データ保安装置1010に送信する。この暗号化に用いる鍵は、データ保安装置1010の暗号鍵Kecである。データ保安装置1010は、サーバ装置2000から受信した暗号化データを、HSM1012の暗号処理部32により、記憶部1013に格納されている暗号鍵Kecで復号して、ECUコードを取得する。
<データ提供方法の変形例2>
ステップS105において、データ保安装置1010は、HSM1012の暗号処理部32によりECUコードを暗号化して、ECU1020に送信する。この暗号化に用いる鍵は、予め、データ保安装置1010とECU1020間で共有しておく。ECU1020は、データ保安装置1010から受信した暗号化データを、SHE1022の暗号処理部52により、記憶部1023に格納されている該当の鍵で復号して、ECUコードを取得する。
<データ提供方法の変形例3>
ステップS105において、ECUコードは、CAN1030のパケットに格納されて、データ保安装置1010からECU1020に伝送される。データ保安装置1010は、該パケットに、該パケットについてのCMACをさらに含める。該CMACの生成に使用する鍵は、予め、データ保安装置1010とECU1020間で共有しておく。ECU1020は、データ保安装置1010から受信したパケットに含まれるCMACを、該当の鍵で検証する。ECU1020は、該CMACの検証が合格した場合に当該ECUコードを適用する。一方、ECU1020は、該CMACの検証が不合格である場合には当該ECUコードを適用しない。
なお、ECUコードを格納するパケットに含めるCMACとして、該ECUコードの全て又は一部についてのCMACを使用してもよい。例えば、ECUコードを一定サイズのブロックに分割し、ブロック毎にCMACを計算して、該ブロックと該CMACとをパケットに格納してもよい。ECU1020は、ブロック毎にCMACを検証しながらECUコードを取得する。該CMACの生成に使用する鍵は、予め、データ保安装置1010とECU1020間で共有しておく。
<データ提供方法の変形例4>
ステップS108において、ECU1020からサーバ装置2000に送信するセキュアブート結果「合格又は不合格」は所定値とする。例えば、合格は「1」であり、不合格は「0」である。
<データ提供方法の変形例5>
ステップS108において、ECU1020からサーバ装置2000に送信するセキュアブート結果「合格又は不合格」は、ステップS107のセキュアブートで計算された結果のECUコードのCMACとする。サーバ装置2000の検証部2014は、ステップS103でデータ保安装置1010に送信したECUコードのCMACを、ECU1020の署名鍵Kbeにより計算する。サーバ装置2000の検証部2014は、該計算結果のCMACと、ECU1020のセキュアブート結果のCMACとを比較する。サーバ装置2000の検証部2014は、該比較の結果、両者が一致する場合にはECU1020のセキュアブート結果が合格であると判断し、両者が一致しない場合にはECU1020のセキュアブート結果が不合格であると判断する。
<データ提供方法の変形例6>
サーバ装置2000は、検証値(例えば、乱数)を予めECU1020に供給する。ステップS108において、ECU1020は、セキュアブート結果が合格である場合にはセキュアブート結果「合格」に検証値を含め、一方、セキュアブート結果が不合格である場合にはセキュアブート結果「不合格」に検証値を含めない。サーバ装置2000の検証部2014は、ECU1020のセキュアブート結果「合格」に含まれる検証値と、予めECU1020に供給した元の検証値とを比較する。サーバ装置2000の検証部2014は、該比較の結果、両者が一致する場合にはECU1020のセキュアブート結果が合格であると判断し、両者が一致しない場合にはECU1020のセキュアブート結果が不合格であると判断する。
<データ提供方法の変形例7>
上記のデータ提供方法の変形例4,5,6のいずれか複数を組合せて適用する。
<データ提供方法の変形例8>
上記のデータ提供方法の変形例4,5,6,7において、ECU1020は、SHE1022の暗号処理部52によりセキュアブート結果を暗号化して、サーバ装置2000に送信する。この暗号化に用いる鍵は、予め、サーバ装置2000とECU1020間で共有しておく。サーバ装置2000は、ECU1020からの暗号化データを、暗号処理部2016により、記憶部2012に格納されている該当の鍵で復号して、セキュアブート結果を取得する。なお、該暗号化に用いる鍵として、セキュアブート結果が合格である場合にのみSHE1022で使用可能となる暗号鍵を使用してもよい。この場合、セキュアブート結果「合格」を該暗号鍵により暗号化してもよい。
次に、上述した図5のデータ提供方法におけるデータ保安装置1010とECU1020間の実施例を説明する。図6から図8は、本実施形態に係るデータ提供方法の実施例を示すフローチャートである。本実施例では、非特許文献3に記載される15章の「Non-volatile server memory programming process」において、「15.2.1.2 Programming step of phase #1 − Download of application software and data」の手順と、「15.2.1.3 Post-Programming step of phase #1 − Re-synchronization of vehicle network」の手順と、を利用する。図6及び図7には、非特許文献3に記載される「15.2.1.2 Programming step of phase #1 − Download of application software and data」の図33の「graphically depicts the functionality embedded in the programming step of phase #1.」における適用例が示されている。図8には、非特許文献3に記載される「15.2.1.3 Post-Programming step of phase #1 − Re-synchronization of vehicle network」の図34の「graphically depicts the functionality embedded in the post-programming step of phase #1.」における適用例が示されている。
図6において、符号S1001で示されるステップは、データ保安装置1010のセキュリティ・アクセス(Security Access)の処理に対応する。図7において、符号S1002で示されるステップは、データ保安装置1010のECUコードのブロック毎の復号及び電子署名の検証の処理に対応する。図7において、符号S1003で示されるステップは、ECU1020のECUコードの検証の処理に対応する。図8において、符号S1004で示されるステップは、ECU1020のECUコードの適用後のセキュアブートの処理に対応する。
上述した実施形態によれば、データ保安装置1010は、サーバ装置2000から提供されたECUコードの期待値(CMAC)に基づいて、該ECUコードの測定値(CMAC)を検証し、この測定値(CMAC)の検証が合格したECUコードをECU1020に送信する。これにより、ECU1020に適用されるECUコードの信頼性を向上させることができる。また、サーバ装置2000がECU1020にセキュアブートで使用される期待値を供給する場合、ECUコードと同様に、データ保安装置1010がサーバ装置2000から受信した「ECU1020のセキュアブートで使用される期待値」と該期待値の期待値(CMAC)について検証を行うことにより、ECU1020に適用される「セキュアブートで使用される期待値」の信頼性を向上させることができる。
上述した実施形態において、サーバ装置2000はデータ提供装置に対応する。
なお、メンテナンスツール2100が、サーバ装置2000と同様の機能を備え、サーバ装置2000と同様のデータ提供方法により、診断ポート1060及びデータ保安装置1010を介してECU1020にECUコードを提供するように構成してもよい。
また、自動車1001のTCU1050又はゲートウェイ1070が、データ保安装置1010の機能を有してもよい。
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
上述した実施形態では、データ保安装置1010やECU1020にHSMやSHEを使用したが、HSM及びSHE以外の暗号処理チップを使用してもよい。データ保安装置1010に対して、例えば「TPM(Trusted Platform Module)f」と呼ばれる暗号処理チップを使用してもよい。TPMfは耐タンパー性を有する。TPMfはセキュアエレメントの例である。ECU1020に対して、例えば「TPMt」と呼ばれる暗号処理チップを使用してもよい。TPMtは耐タンパー性を有する。TPMtはセキュアエレメントの例である。
上述した実施形態は、自動車の製造工場において、自動車の製造工程で自動車に搭載されたECUに適用してもよい。また、上述した実施形態は、自動車の整備工場や販売店等において、自動車に搭載されているECUに適用してもよい。
上述した実施形態では、車両として自動車を例に挙げたが、原動機付自転車や鉄道車両等の自動車以外の他の車両にも適用可能である。
また、上述した各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
22,42,2012…記憶部、2013…期待値計算部、2014…検証部、32,52,2016…暗号処理部、20,40…インタフェース部、21,41…制御部、33,53…測定部、1001…自動車、1002…車載コンピュータシステム、1010…データ保安装置、1011,1021…メイン演算器、1012…HSM、1013,1023…記憶部、1020…ECU、1022…SHE、1030…CAN、1040…インフォテイメント機器、1050…TCU、1051…通信モジュール、1052…SIM、1060…診断ポート、1070…ゲートウェイ、2000…サーバ装置、2011…通信部、2015…鍵生成部、2100…メンテナンスツール

Claims (4)

  1. データ提供装置と、車両に搭載される車載コンピュータとを備え、
    前記データ提供装置は、前記車両とデータを送受する車両インタフェースを備え、前記車載コンピュータに適用されるコンピュータプログラム又は設定データである第1データ前記車両インタフェースにより前記車両に送信し、
    前記車載コンピュータは、
    自車載コンピュータの外部の装置とデータを送受する第1インタフェース部と、
    前記データ提供装置から提供された前記第1データを自車載コンピュータに適用し、前記データ提供装置から予め提供された第1メッセージ認証符号をセキュアブートで使用される期待値に設定し、前記第1データの自車載コンピュータへの適用後にセキュアブートを実行する制御部と、
    セキュアブートにおいて、自車載コンピュータに適用された前記第1データを対象にして第2メッセージ認証符号を計算し、該第2メッセージ認証符号を前記期待値に基づいて検証する第1測定部と、を備え、
    前記制御部は、前記第1測定部の検証の結果に基づいた前記第1データの自車載コンピュータへの適用の合否を示すデータ適用結果を前記第1インタフェース部により送信し、
    前記データ提供装置は、前記車両インタフェースにより前記車両から前記データ適用結果を受信する、データ提供システムであって、
    データ保安装置をさらに備え、
    前記データ提供装置は、前記第1メッセージ認証符号の第3メッセージ認証符号を前記車両インタフェースにより前記車両に送信し、
    前記データ保安装置は、
    自データ保安装置の外部の装置とデータを送受する第2インタフェース部と、
    前記第2インタフェース部により前記データ提供装置から受信した前記第1メッセージ認証符号の第4メッセージ認証符号を計算し、前記第2インタフェース部により前記データ提供装置から受信した前記第3メッセージ認証符号に基づいて該第4メッセージ認証符号を検証する第2測定部と、を備え、前記第4メッセージ認証符号の検証が合格した前記第1メッセージ認証符号を前記第2インタフェース部により前記車載コンピュータに送信する、
    データ提供システム。
  2. 前記データ提供装置は、前記車載コンピュータの第1共通鍵を使用して前記第1メッセージ認証符号を計算する期待値計算部をさらに備え、
    前記第1測定部は、自車載コンピュータの前記第1共通鍵を使用して前記第2メッセージ認証符号を計算する、
    請求項1に記載のデータ提供システム。
  3. 前記期待値計算部は、前記データ保安装置の第2共通鍵を使用して前記第3メッセージ認証符号を計算し、
    前記第2測定部は、自データ保安装置の前記第2共通鍵を使用して前記第4メッセージ認証符号を計算する、
    請求項に記載のデータ提供システム。
  4. データ提供装置と、車両に搭載される車載コンピュータとを備えるデータ提供システムのデータ提供方法であって、
    前記データ提供装置が、前記車載コンピュータに適用されるコンピュータプログラム又は設定データである第1データを、前記車両とデータを送受する車両インタフェースにより前記車両に送信するデータ提供ステップと、
    前記車載コンピュータが、前記データ提供装置から提供された前記第1データを自車載コンピュータに適用し、前記データ提供装置から予め提供された第1メッセージ認証符号をセキュアブートで使用される期待値に設定し、前記第1データの自車載コンピュータへの適用後にセキュアブートを実行する実行ステップと、
    前記車載コンピュータが、セキュアブートにおいて、自車載コンピュータに適用された前記第1データを対象にして第2メッセージ認証符号を計算し、該第2メッセージ認証符号を前記期待値に基づいて検証する測定ステップと、
    前記車載コンピュータが、前記測定ステップの検証の結果に基づいた前記第1データの自車載コンピュータへの適用の合否を示すデータ適用結果を、自車載コンピュータの外部の装置とデータを送受する第1インタフェース部により送信する送信ステップと、
    前記データ提供装置が、前記車両インタフェースにより前記車両から前記データ適用結果を受信する受信ステップと、を含むデータ提供方法であり、
    前記データ提供システムは、データ保安装置をさらに備え、
    前記データ提供装置は、前記第1メッセージ認証符号の第3メッセージ認証符号を前記車両インタフェースにより前記車両に送信し、
    前記データ保安装置は、自データ保安装置の外部の装置とデータを送受する第2インタフェース部により前記データ提供装置から受信した前記第1メッセージ認証符号の第4メッセージ認証符号を計算し、前記第2インタフェース部により前記データ提供装置から受信した前記第3メッセージ認証符号に基づいて該第4メッセージ認証符号を検証し、前記第4メッセージ認証符号の検証が合格した前記第1メッセージ認証符号を前記第2インタフェース部により前記車載コンピュータに送信する、
    データ提供方法。
JP2017201990A 2017-10-18 2017-10-18 データ提供システム及びデータ提供方法 Active JP6554704B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017201990A JP6554704B2 (ja) 2017-10-18 2017-10-18 データ提供システム及びデータ提供方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017201990A JP6554704B2 (ja) 2017-10-18 2017-10-18 データ提供システム及びデータ提供方法

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2016158121 Division 2016-08-10 2016-08-10

Publications (2)

Publication Number Publication Date
JP2018026874A JP2018026874A (ja) 2018-02-15
JP6554704B2 true JP6554704B2 (ja) 2019-08-07

Family

ID=61194227

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017201990A Active JP6554704B2 (ja) 2017-10-18 2017-10-18 データ提供システム及びデータ提供方法

Country Status (1)

Country Link
JP (1) JP6554704B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111356114B (zh) * 2020-02-19 2023-06-20 阿波罗智联(北京)科技有限公司 车内电子控制单元升级方法、装置、设备和车辆系统

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7068147B2 (en) * 1999-12-07 2006-06-27 Denso Corporation Control information rewriting system
US9464905B2 (en) * 2010-06-25 2016-10-11 Toyota Motor Engineering & Manufacturing North America, Inc. Over-the-air vehicle systems updating and associate security protocols
US10038565B2 (en) * 2012-12-20 2018-07-31 GM Global Technology Operations LLC Methods and systems for bypassing authenticity checks for secure control modules
JP2014182571A (ja) * 2013-03-19 2014-09-29 Denso Corp 車載電子制御装置のプログラム書換システム及び車載中継装置
JP5949732B2 (ja) * 2013-11-27 2016-07-13 株式会社オートネットワーク技術研究所 プログラム更新システム及びプログラム更新方法
JP6188672B2 (ja) * 2014-10-29 2017-08-30 Kddi株式会社 鍵管理システム

Also Published As

Publication number Publication date
JP2018026874A (ja) 2018-02-15

Similar Documents

Publication Publication Date Title
JP6260067B1 (ja) 管理システム、鍵生成装置、車載コンピュータ、管理方法、及びコンピュータプログラム
JP6197000B2 (ja) システム、車両及びソフトウェア配布処理方法
WO2018043386A1 (ja) 車両情報収集システム、車載コンピュータ、車両情報収集装置、車両情報収集方法、及びコンピュータプログラム
JP6683588B2 (ja) 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム
WO2018029893A1 (ja) データ提供システム、データ保安装置、データ提供方法、及びコンピュータプログラム
WO2018029905A1 (ja) データ提供システム、データ保安装置、データ提供方法、及びコンピュータプログラム
JP6288219B1 (ja) 通信システム
JP6190443B2 (ja) 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
JP6260068B1 (ja) 保守装置、保守方法、及びコンピュータプログラム
JP6299039B2 (ja) 車両情報収集システム、データ保安装置、車両情報収集方法、及びコンピュータプログラム
JP6554704B2 (ja) データ提供システム及びデータ提供方法
JP2018006782A (ja) データ提供システム、データ提供装置、車載コンピュータ、データ提供方法、及びコンピュータプログラム
JP6464466B2 (ja) 保守装置、保守方法、及びコンピュータプログラム
JP6354099B2 (ja) データ提供システム及びデータ提供方法
JP6454919B2 (ja) 管理システム、データ提供装置、車載コンピュータ、管理方法、及びコンピュータプログラム
JP6672243B2 (ja) データ提供システム、データ提供装置、データ提供方法、及びデータ提供プログラム
JP2018057044A (ja) 車両情報収集システム、データ保安装置、車両情報収集装置、車両情報収集方法、及びコンピュータプログラム
JP2017208731A (ja) 管理システム、管理装置、車載コンピュータ、管理方法、及びコンピュータプログラム
WO2018131270A1 (ja) 通信システム、車両、サーバ装置、通信方法、及びコンピュータプログラム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181127

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190122

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190611

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190617

R150 Certificate of patent or registration of utility model

Ref document number: 6554704

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150