JP6666876B2 - 通信システム、および移動体 - Google Patents

通信システム、および移動体 Download PDF

Info

Publication number
JP6666876B2
JP6666876B2 JP2017096841A JP2017096841A JP6666876B2 JP 6666876 B2 JP6666876 B2 JP 6666876B2 JP 2017096841 A JP2017096841 A JP 2017096841A JP 2017096841 A JP2017096841 A JP 2017096841A JP 6666876 B2 JP6666876 B2 JP 6666876B2
Authority
JP
Japan
Prior art keywords
information
communication device
communication
transmission
control program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2017096841A
Other languages
English (en)
Other versions
JP2018194981A (ja
Inventor
道孝 坪井
道孝 坪井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honda Motor Co Ltd
Original Assignee
Honda Motor Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honda Motor Co Ltd filed Critical Honda Motor Co Ltd
Priority to JP2017096841A priority Critical patent/JP6666876B2/ja
Publication of JP2018194981A publication Critical patent/JP2018194981A/ja
Application granted granted Critical
Publication of JP6666876B2 publication Critical patent/JP6666876B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、通信システム、移動体、及び制御プログラムの書き換え方法に関する。
近年、車両内に設けた複数の制御装置同士が車両内のネットワークを介して通信して、車両における各種機能を制御するための通信システムがある。このような通信システムの制御装置の中には、外部装置と通信を行い、その外部装置の指示に従って自装置の制御プログラムの書換えを許可するものがある(例えば、特許文献1参照)。このような外部装置をリプロ装置と呼ぶことがある。
特開2013−141947号公報
しかしながら、通信システムを構成する各装置の中で、通信システムの外部装置と直接通信する装置やその外部装置からの接続階層が比較的浅い装置は、外部装置からの影響を受けやすい位置にある。このような影響を受けやすい位置にある装置において、外部装置にあたるリプロ装置の指示に基づいて当該装置の制御プログラムの更新を許容すると、リプロ装置になりすました外部装置等からの不正な指示によって当該制御プログラムが更新されてしまう懸念がある。上記のような通信システムでは、制御プログラムの書き換え処理の結果に所望の信頼度を確保することが困難である。
本発明は、このような事情を考慮してなされたものであり、より簡便に、制御プログラムの書き換え処理の信頼度を高める通信システム、移動体、及び制御プログラムの書き換え方法を提供することを目的の一つとする。
(1):対象装置の制御プログラムを書換えるための情報を提供するリプロ装置からの当該情報に基づいて、当該情報に対する制御プログラムの書換えを許可する制御部(33)を備える第1通信装置(IF装置3)と、前記リプロ装置との間に前記第1通信装置が介在されて前記リプロ装置と通信する第2通信装置(ECU10)と、を備える通信システム(1)であって、前記制御部は、前記第2通信装置から受信する前記制御プログラムを書換えるための情報に対して前記制御プログラムの書換えを許可する、通信システムである。
(2):(1)において、前記制御部は、前記第2通信装置を経由せずに受信する前記情報に対して前記制御プログラムの書換えを許可しないものである。
(3):(1)又は(2)において、前記第1通信装置と前記第2通信装置は、前記情報の真正性を確認する確認部(13、33)を有し、前記制御部は、前記第1通信装置ならびに前記第2通信装置の双方の前記確認部により、前記情報の真正性が確認された場合に、前記制御プログラムの書換えを許可するものである。
(4):(1)から(3)の何れかに記載の前記第1通信装置と前記第2通信装置とを少なくとも搭載し、前記制御プログラムを書換えるための情報が、前記移動体を制御するためのものを含む、移動体(車両4)である。
(5):対象装置の制御プログラムを書換えるための情報を提供するリプロ装置からの当該情報に基づいて、当該情報に対する制御プログラムの書換えを許可する制御部を備える第1通信装置と、前記リプロ装置との間に前記第1通信装置が介在されて前記リプロ装置と通信する第2通信装置と、を備える通信システムにおける制御プログラムの書き換え方法であって、前記制御部は、前記第2通信装置から受信する前記制御プログラムを書換えるための情報に対して前記制御プログラムの書換えを許可する、制御プログラムの書き換え方法である。
(6):(5)において、前記制御部は、前記第2通信装置を経由せずに受信する前記情報に対して前記制御プログラムの書換えを許可しない。
(1)によれば、通信システムは、対象装置の制御プログラムを書換えるための情報を提供するリプロ装置からの当該情報に基づいて、当該情報に対する制御プログラムの書換えを許可する制御部を備える第1通信装置と、前記リプロ装置との間に前記第1通信装置が介在されて前記リプロ装置と通信する第2通信装置と、を備える。このような通信システムは、前記第2通信装置から受信する前記制御プログラムを書換えるための情報に対して前記制御プログラムの書換えを許可することにより、より簡便に、制御プログラムの書き換え処理の信頼度を高めることができる。
第1の実施形態の通信システムの構成を示す図である。 本実施形態のECUのハードウエア構成を示す図である。 本実施形態のECUの機能構成を示す図である。 本実施形態のIF装置のハードウエア構成を示す図である。 本実施形態のIF装置の機能構成を示す図である。 本実施形態のリプロ処理について説明するための図である。 本実施形態に係るリプロ処理の流れを説明するための図である。 第2の実施形態に係るリプロ処理の流れを説明するための図である。 第3の実施形態に係るリプロ処理の流れを説明するための図である。 第4の実施形態のリプロ処理について説明するための図である。 本実施形態に係るリプロ処理の流れを説明するための図である。 第5の実施形態に係るリプロ処理の流れを説明するための図である。 本実施形態に係るリプロ処理の流れを説明するための図である。
以下、図面を参照し、本発明の通信システム、移動体、及び制御プログラムの書き換え方法の実施形態について説明する。
実施形態の通信システムは、リプロ装置からの情報に基づいて当該通信システムを構成する対象装置の制御プログラムの書換えを許可する。実施形態の通信システムは、例えば、車両などの移動体に搭載され、その移動体を制御する用途で利用されるものであってもよい。
以下の実施形態に係る「対象装置の制御プログラム」は、対象装置の制御部によって実行されるソフトウェアプログラムを含む。上記ソフトウェアプログラムは、実行形式のものであってもよく、実行形式に変換可能なものであってもよい。
「対象装置の制御プログラム」には、対象装置の処理に関する論理情報として、対象装置の処理に係るソフトウェアプログラムの一部又は全部と、そのソフトウェアプログラムの処理に用いる変数と、対象装置の処理を選択するための変数又は選択処理のソフトウェアプログラムと、対象装置の制御プログラムを書き換える処理のソフトウェアプログラムと、の内の何れかが含まれていてもよい。
「制御プログラムの書換え」の処理には、新たに「制御プログラム」を追加する処理が含まれる。例えば、新たに追加された「制御プログラム」に、既存の制御プログラムから切換える処理を纏めて「書換える処理」と呼ぶことがある。さらに、「制御プログラムの書換え」の処理には、文字通り「書換える処理」の他に、新たに追加された「制御プログラム」に対応する旧来の「制御プログラム」が実行されないようにする処理、換言すれば、旧来の「制御プログラム」を削除する処理、無効化する処理、単に実行対象から除く処理などが含まれてもよい。以下の説明では、上記の「制御プログラムの書換え」に係る処理を纏めて、「リプロ処理」或いは単に「リプロ」という。
「リプロ装置」は、対象装置のリプロ処理のための情報を提供するものであって、CPUなどのプロセッサを含む装置、又は、光ディスク、磁気による記録媒体、半導体メモリ等の記録媒体を含み、これらを総称する。本実施形態では、プロセッサを含む装置の場合を例示する。
実施形態の通信システムは、以下に例示する幾つかの実施形態の方法により、制御プログラムの書き換え処理(リプロ処理)の信頼度を高めるものである。
(第1の実施形態)
図1は、本実施形態の通信システム1の構成を示す図である。通信システム1は、例えば車両4(移動体)に搭載される。通信システム1は、少なくとも車両4内にネットワークNWを構成する。ネットワークNWでは、例えば、バス2(通信バス)を介してCAN(Controller Area Network)、IEEE802.3などの通信方式に基づく通信が行われる。
通信システム1は、バス2に接続されたECU10−1からECU10−3とインタフェース装置(IF装置)3とを備える。以下、ECU10−1からECU10−3を区別しない場合は、単にECU10と表記する。「−1」から「−3」などの記載は以下で説明する他の構成についても同様である。
以下の説明では、ECU10は、車両4のデバイスを制御する制御装置として説明するが、信号の中継機能を有する中継装置であってもよい。また、ECU10は、共通のバス2に接続されたものとして説明するが、バス2と、バス2以外のバスとに接続されていてもよい。
ECU10は、例えばエンジンを制御するエンジンECUや、シートベルトを制御するシートベルトECU等である。ECU10は、自装置が所属するネットワークNWに送信されたフレームを受信する。以下、ネットワークNWに送信される各フレームのことをフレームFという。フレームFは、それぞれに附された識別子(以下、IDという。)により識別される。ECU10は、自ECU10に係るフレームFを識別するID(以下、受信IDという)を記憶部12(図2B)に格納しておく。ECU10は、フレームFを受信する際には、受け付けたフレームFに附されたID(以下、送信IDという)を参照して、受信IDと同じ値の送信IDが附されたフレームFを抽出して取得する。ECU10は、通信をする際に通信相手の認証処理を実施する。
ネットワークNWには、ECU10の他に、外部装置50が接続されるIF装置3が設けられている。例えば、IF装置3は、外部装置50と有線回線を利用して通信するための接続端子(DLC)、又は、外部装置50と無線回線を利用して通信するための無線通信部を有している。IF装置3の詳細については後述する。
実施形態の外部装置50は、IF装置3とECU10の処理に関する制御プログラムの書き換えを要求する。つまり、外部装置50は、上記の制御プログラムをリプロするための所謂リプロ装置である。
なお、外部装置50は、図1に示すようにIF装置3に接続される。外部装置50は、IF装置3との間で直接通信することができるが、ECU10とは直接通信することができない。外部装置50は、ECU10と通信する場合には、IF装置3がゲートウエイとして機能してその通信を中継することで、間接的に通信することができる。
上記のように構成した場合、BUS2に接続されているIF装置3とECU10の中で、外部装置50からの物理的な接続階層が最も浅いものは、IF装置3である。各ECU10は、BUS2に並列に接続されていることから、外部装置50からの物理的な接続階層が同位であり、その順位はIF装置3の次に浅い。
また、IF装置3は、外部装置50と直接的に通信し、外部装置50とECU10との間の通信を中継することから、ネットワークNWを介して通信するIF装置3とECU10の中で、外部装置50からの論理的な接続階層が最も浅いものは、IF装置3である。各ECU10は、IF装置3を介して通信することから、外部装置50からの論理的な接続階層が同位であり、その順位はIF装置3の次に浅い。
なお、外部装置50をIF装置3に接続することなく、通信システム1を機能させることができる。
図2は、本実施形態のECU10のハードウエア構成を示す図である。ECU10は、CPU10Aと、RAM(Random Access Memory)、レジスタ等の揮発性記憶装置10Bと、ROM(Read Only Memory)、EEPROM(Electrically Erasable and Programmable Read Only Memory)、HDD(Hard Disk Drive)の不揮発性記憶装置10Cと、無線通信インタフェース10Dと、入出力装置10Eと、通信インタフェース10Fなどを含むコンピュータである。なお、ECU10は、その種類又は用途により、無線通信インタフェース10Dと入出力装置10Eの何れか又は両方を含まない場合がある。
図3は、本実施形態のECU10の機能構成を示す図である。ECU10は、制御部11と、記憶部12と、通信制御部13(確認部)とを含む。例えば、制御部11と通信制御部13は、CPU10A等のプロセッサが制御プログラム(ソフトウェアプログラム)を実行することにより実現される。
制御部11は、ECU10内の各部を制御する。例えば、制御部11は、他のECU10、IF装置3、外部装置50等の他の装置からの通信要求を受け付ける。その通信要求には、制御プログラムを書き換えることを要求するものが含まれる。制御部11は、書き換え用の制御プログラムを取得した場合に、記憶部12に格納している制御プログラムを書き換える。その詳細については後述する。
記憶部12は、揮発性記憶装置10Bと不揮発性記憶装置10Cとによって実現される。記憶部12は、アプリケーションプログラム、通信制御プログラム、リプロ処理プログラム等の制御プログラム125と、上記の制御プログラムの実行により参照される各種情報とを格納する。各種情報には、送信ID121と受信ID122と鍵DB123とリプロ情報DB124とが含まれる。
通信制御部13は、通信インタフェース10Fを介した外部の装置との通信を制御する。通信インタフェース10Fは、ECU10をバス2に接続するインタフェースである。通信制御部13が通信インタフェース10Fを制御することにより、制御部11が要求する他の装置との通信を可能にする。通信制御部13は、通信インタフェース10Fからの通知を受け、所定の条件を満たす通信を抽出して、他の装置からの通信要求を制御部11に通知する。
例えば、上記の「所定の条件を満たす通信」とは、受信ID122に格納された情報に基づいて、自装置を宛先とする通信と判定され得るものであって、鍵DB123に格納された共通鍵に基づいて復号できるものである。
通信制御部13は、例えば、その判定結果と復号結果とを、制御部11に通知する。制御部11は、その判定結果と復号結果とに基づいて、他の装置からの通信要求に対する通信の可否を判断し、判断の結果に応じてリプロ処理をする。
図4は、本実施形態のIF装置3のハードウエア構成を示す図である。IF装置3は、CPU3Aと、揮発性記憶装置3Bと、不揮発性記憶装置3Cと、無線通信インタフェース3Dと、入出力装置3Eと、通信インタフェース3Fなどを含むコンピュータである。なお、IF装置3は、その種類又は用途により、無線通信インタフェース3Dと入出力装置3Eの何れか又は両方を含まない場合がある。
図5は、本実施形態のIF装置3の機能構成を示す図である。IF装置3は、制御部31と、記憶部32と、通信制御部33(確認部)とを含む。例えば、制御部31と通信制御部33は、CPU3A等のプロセッサが制御プログラム(ソフトウェアプログラム)を実行することにより実現される。
制御部31は、IF装置3内の各部を制御する。例えば、制御部31は、ECU10、外部装置50等の他の装置からの通信要求を受け付ける。その通信要求には、制御プログラムを書き換えることを要求するものが含まれる。制御部31は、書き換え用の制御プログラムを取得した場合に、記憶部32に格納している制御プログラムを書き換える。その詳細については後述する。
記憶部32は、揮発性記憶装置3Bと不揮発性記憶装置3Cとによって実現される。記憶部32は、アプリケーションプログラム、通信制御プログラム、リプロ処理プログラム等の制御プログラム325と、上記の制御プログラムの実行により参照される各種情報とを格納する。各種情報には、送信ID321と受信ID322と鍵DB323とリプロ情報DB324とが含まれる。
通信制御部33は、通信インタフェース3F−1と通信インタフェース3F−2を介した通信を制御する。例えば、IF装置3は、通信インタフェース3F−1を介して外部装置50等に接続され、通信インタフェース3F−2を介してバス2に接続される。
通信制御部33が通信インタフェース3F−1と通信インタフェース3F−2とを制御することにより、制御部31が要求する他の装置との通信を可能にする。通信制御部33は、通信インタフェース3F−1と通信インタフェース3F−2からの通知を受け、所定の条件を満たす通信を抽出して、他の装置からの通信要求を制御部31に通知する。
例えば、上記の「所定の条件を満たす通信」とは、受信ID322に格納された情報に基づいて、自装置を宛先とする通信と判定され得るものであって、鍵DB323に格納された共通鍵に基づいて復号できるものである。
通信制御部33は、例えば、その判定結果と復号結果とを、制御部31に通知する。制御部31は、その判定結果と復号結果とに基づいて、他の装置からの通信要求に対する通信の可否を判断し、判断の結果に応じてリプロ処理をする。
次に、より具体的な実施形態の一例を示す。図6は、本実施形態のリプロ処理について説明するための図である。
各ECU10には、例えば、車両4を制御するための下記の機能が割り付けられている。
ECU10−1は、ECU10−2とECU10−3宛に、それぞれを制御するための指令を送信する。ECU10−2は、ECU10−1等から受けた指令に基づいて、例えば、それに対応させて設けられているトランスミッションを制御する。ECU10−2は、その指令に対する応答をECU10−1宛に送信する。ECU10−3は、ECU10−1等から受けた指令に基づいて、例えば、それに対応させて設けられているバッテリのSOC(State of charge)を調整する。ECU10−3は、その指令に対する応答をECU10−1宛に送信する。
さらに、IF装置3と各ECU10には、リプロ処理に関する機能が割り付けられている。
この図6に、IF装置3と各ECU10にそれぞれに付与された識別情報と共通鍵の一例を示す。
先に、上記の識別情報について説明する。上記の識別情報には、送信IDと受信IDとが含まれる。送信IDは、フレームを送信する際に使用され、フレームの送信元を示すものである。受信IDは、フレームに付与されたID(送信ID)を照合する際に利用され、受信すべきフレームを識別するためのものである。例えば、制御部11は、バス2から取得したフレームに付与されている送信ID(識別情報)を、記憶部12に格納された受信IDと照合することにより、取得したフレームの認証処理をする。制御部11は、それらが一致していれば、正規の送信元から送信されたフレームであって、受信すべきものと判定する。上記は、制御部31においても同様である。
図6(a)に示すように、IF装置3に付与された識別情報には、送信IDに「101」が含まれ、受信IDに「111」が含まれる。上記の場合、IF装置3は、送信IDとして「101」をフレームに付与してそのフレームを送信する。
図6(b)に示すように、ECU10−1に付与された識別情報には、送信IDに「011」と「012」と「111」とが含まれ、受信IDに「021」と「031」と「101」が含まれる。上記の場合、ECU10−1は、3種類の送信IDを用途に合わせて使い分けて、用途に合う送信IDをフレームに付与してそのフレームを送信する。例えば、ECU10−1において、送信IDに「011」を使用する場合は、エンジンンのトルク値をECU10−2に指令する場合であり、送信IDに「012」を使用する場合は、バッテリ充電制御をECU10−3に指令する場合であり、送信IDに「111」を使用する場合は、リプロ情報をIF装置3に指令する場合である。
図6(c)に示すように、ECU10−2に付与された識別情報には、送信IDに「021」を含み、受信IDに「011」を含む。例えば、送信IDの「021」を使用する場合は、ECU10−1にミッションのギア位置を通知する場合である。
図6(d)に示すように、ECU10−3に付与された識別情報には、送信IDに「031」を含み、受信IDに「012」を含む。例えば、送信IDの「031」を使用する場合は、ECU10−1にバッテリのSOC値を通知する場合である。
例えば、IF装置3が、送信IDに「101」を使用してリプロ情報を送信すると、受信IDとして「101」を有するECU10−1は、その受信IDを利用して、そのリプロ情報を受信する。リプロ情報を送受する他の組み合わせも同様である。
上記の送信IDと受信IDを利用して制御プログラムに関する情報を送受する。例えば、IF装置3は、外部装置50からIF装置3の制御プログラムに関する情報を受信した後に、外部装置50に対する階層の深さがIF装置3より深いECU10宛に送信する。換言すれば、IF装置3は、外部装置50に対する階層がIF装置3の階層より遠いECU10宛に送信する。ここでは、例えば、ECU10−1がその処理を実施するものとする。
さらに、ECU10−1は、IF装置3の制御プログラムを書き換えるために、IF装置3から制御プログラムに関する情報を受信して、必要な処理を実施した後、当該制御プログラムをIF装置3宛に送信する。
次に、共通鍵について説明する。図6に示すように、鍵IDがKEY1とKEY3の共通鍵をIF装置3が保有し、鍵IDがKEY2とKEY3である共通鍵をECU10−1が保有する。
図7を参照して、前述の図6に示した識別情報と共通鍵を用いたリプロ処理について説明する。図7は、実施形態に係るリプロ処理の流れを説明するための図である。
外部装置50は、例えば、KEY1の共通鍵とKEY2の共通鍵(以下、それぞれを単に「KEY1」、「KEY2」という。)を用いて元データを暗号化して情報M1を生成する。
例えば、外部装置50が提供する情報MA1は、制御プログラムである元データ(ORG)に対して、KEY2により暗号化され、更にKEY1により暗号化されたものである。この関係を式(1)に示す。式(1)における演算子「×」は、共通鍵を用いた暗号化を示す。
MA1=(ORG×KEY2)×KEY1 ・・・(1)
或いは、外部装置50は、KEY1とKEY2を用いて暗号化された情報M1を保有する。
なお、本実施形態の以下の説明において、IF装置3は、第1装置の一例であり、ECU10−1は、第2装置の一例である。例えば、上記の元データ(ORG)は、IF装置3の制御プログラムを書き換えるためのIF装置3用の制御プログラムである。
まず、外部装置50は、情報M1をIF装置3に提供して(SA501)、通信並びに制御プログラムの書き換えを要求する。
通信制御部33は、外部装置50から取得した情報MA1に対し、受信ID111を用いて、情報MA1に付与された送信IDとの照合を試みて、照合に失敗した場合には要求を破棄する(SA301)。
SA301において送信IDの照合に成功した場合には、通信制御部33は、外部装置50から取得した情報MA1に対してKEY1を用いて解錠を試みる(SA302)。
KEY1を用いた解錠が成功した場合には、IF装置3の制御部31は、KEY1を用いて解錠された後のデータを送信して、情報MA2として中継する(SA303)。
ECU10−1において、通信制御部13−1は、IF装置3から取得した情報MA2に対して受信ID101を用いて送信IDとの照合を試みて、照合に失敗した場合には要求を破棄する(SA111)。
SA111において送信IDの照合に成功した場合には、通信制御部13−1は、IF装置3から取得した情報MA2に対してKEY2を用いて解錠を試みる(SA112)。
KEY2を用いた解錠が成功した場合には、ECU10−1の制御部11−1は、KEY2を用いて解錠された後のデータ(制御プログラム)を、KEY3を用いて暗号化し(SA113)、それを送信して、情報MA3として中継する(SA114)。
通信制御部33は、ECU10−1から取得した情報MA3に対して受信ID112を用いて送信IDとの照合を試みて、照合に失敗した場合には要求を破棄する(SA304)。
SA304において送信IDの照合に成功した場合には、通信制御部33は、ECU10−1から取得した情報MA3に対してKEY3を用いて解錠を試みる(SA305)。
KEY3を用いた解錠が成功した場合には、制御部31は、KEY3を用いて解錠された後のデータを取得し、記憶部32の制御プログラム325に書き込んで、新たな制御プログラムとして書き換えて(SA306、リプロ)、リプロが実施されたことを情報MA4により外部装置50に通知する。
なお、ECU10−1は、SA112においてKEY2を用いた解錠に失敗した場合には、リプロ処理の要求の受付を失敗(「リプロ失敗」)と判定し、それを情報MA5として送信する(SA115)。
なお、IF装置3は、SA302においてKEY1を用いた解錠に失敗した場合、SA305においてKEY3を用いた解錠に失敗した場合、又は、情報MA5を検出した場合には、リプロ処理の要求の受付を失敗した(「リプロ失敗」)と判定し、それを情報MA6として外部装置50宛に送信する(SA307)。
上記の手順に従えば、通信システム1は、IF装置3の制御プログラムを書換えるための情報の提供元が外部装置50である場合に制御プログラムの書換えを許可せず、IF装置3の制御プログラムを書換えるための情報の提供元がECU10−1である場合に制御プログラムの書換えを許可することができる。
以上に説明した第1の実施形態によれば、通信システム1は、対象装置の制御プログラムを書換えるための情報を提供する外部装置50からの当該情報に基づいて、当該情報に対する制御プログラムの書換えを許可する制御部31を備えるIF装置3と、外部装置50との間にIF装置3が介在されて外部装置50と通信するECU10−1と、を備える。制御部31は、ECU10−1から受信する制御プログラムを書換えるための情報に対してIF装置3の制御プログラムの書換えを許可することにより、より簡便に、制御プログラムの書き換え処理の信頼度を高めることができる。
なお、制御部31は、ECU10−1を経由せずに受信する情報に対してIF装置3の制御プログラムの書換えを許可しないことにより、ECU10−1を経由せずに受信する情報に基づいた制御プログラムの書換えを避けることができ、より簡便に、制御プログラムの書き換え処理の信頼度を高めることができる。
なお、IF装置3は、IF装置3の制御プログラムを書換えるための情報の真正性を確認する通信制御部33を有し、ECU10−1は、IF装置3の制御プログラムを書換えるための情報の真正性を確認する通信制御部13−1を有している。制御部31は、通信制御部33ならびに通信制御部13−1の双方により、IF装置3の制御プログラムを書換えるための情報の真正性が確認された場合に、その制御プログラムの書換えを許可するようにした。これにより、通信システム1は、通信制御部33ならびに通信制御部13−1の双方が、IF装置3の制御プログラムを書換えるための情報の真正性を確認したことに応じて、その制御プログラムの書換えを許可することができる。
また、IF装置3は、外部装置50からIF装置3の制御プログラムを書換えるための情報を受信しても、そのまま自装置の制御プログラムを書換える処理を実施しない。上記の実施形態によれば、IF装置3は、外部装置50からIF装置3の制御プログラムを書換えるための情報を一旦、ECU10に中継して、改めてECU10から制御プログラムを受信する。その間に、必要とされる復号処理が実施されてから、IF装置3は、制御プログラムを書換える処理を実施する。このように他の装置を介して中継することで、外部から悪意を持った制御プログラムの書換え要求に対する耐性を高めることができる。
(第1の実施形態の変形例)
第1の実施形態の変形例では、KEY3を用いずに構成する事例について説明する。図7に示す手順からSA113、SA305のステップを省略してもよい。
この変形例によれば、第1の実施形態と同様の効果を奏する。ただし、ECU10−1からIF装置3に対する通信の秘匿性が第1の実施形態の事例より低下することがあるが、その低下が影響しないシステムであれば、応答性を高めることができる。
(第2の実施形態)
第2の実施形態について説明する。第1の実施形態では、通信システム1内の装置間の通信において、それぞれ異なる共通鍵で秘匿して通信する事例を示した。これに代えて、第2の実施形態では、IF装置3は、外部装置50から受信した情報を復号せずに中継する事例について説明する。
前述の図6を参照して、IF装置3と各ECU10にそれぞれに付与された識別情報と共通鍵について説明する。図示を省略するが、本実施形態では、共通鍵の配置が図6の表記とは異なり、IF装置3がKEY2を保有し、ECU10−1がKEY1を保有する。この場合、IF装置3が外部装置50から受信する情報と、IF装置3がECU10に中継する情報は、同一の共通鍵で暗号化したものになる。
図8は、実施形態に係るリプロ処理の流れを説明するための図である。
外部装置50は、KEY1とKEY2とを用いて元データを暗号化して生成された情報M1をIF装置3に提供して(SB501)、通信並びに制御プログラムの書き換えを要求する。
例えば、外部装置50が提供する情報MA1は、制御プログラムである元データ(ORG)に対して、KEY1により暗号化され、更にKEY2により暗号化されたものである。この関係を式(2)に示す。式(2)における演算子「×」は、共通鍵を用いた暗号化を示す。
MA1=(ORG×KEY1)×KEY2 ・・・(2)
本実施形態の以下の説明において、IF装置3は、第1装置の一例であり、ECU10−1は、第2装置の一例である。
通信制御部33は、外部装置50から取得した情報MA1に対し、受信ID322を用いて、情報MA1に付与された送信IDとの照合を試みて、照合に失敗した場合には要求を破棄する(SB301)。
SB301において送信IDの照合に成功した場合には、IF装置3の制御部31は、外部装置50から取得した情報MA1を、送信元IDを変更して送信し、情報MA2として中継する(SB303)。
ECU10−1において、通信制御部13−1は、IF装置3から取得した情報MA2に対して受信ID122を用いて送信IDとの照合を試みて、照合に失敗した場合には要求を破棄する(SB111)。
SB111において送信IDの照合に成功した場合には、通信制御部13−1は、IF装置3から取得した情報MA2に対してKEY1を用いて解錠を試みる(SB112)。
KEY1を用いた解錠が成功した場合には、ECU10−1の制御部11−1は、KEY1を用いて解錠された後のデータ(制御プログラム)を送信して、情報MA3として中継する(SB114)。
通信制御部33は、ECU10−1から取得した情報MA3に対して受信ID322を用いて送信IDとの照合を試みて、照合に失敗した場合には要求を破棄する(SB304)。
SB304において送信IDの照合に成功した場合には、通信制御部33は、ECU10−1から取得した情報MA3に対してKEY2を用いて解錠を試みる(SB305)。
KEY2を用いた解錠が成功した場合には、制御部31は、KEY2を用いて解錠された後のデータを取得し、記憶部32の制御プログラム325に書き込んで、新たな制御プログラムとして書き換えて(SB306、リプロ)、リプロが実施されたことを情報MA4により外部装置50に通知する。
なお、ECU10−1は、SB112においてKEY1を用いた解錠に失敗した場合には、リプロ処理の要求の受付を失敗(「リプロ失敗」)と判定し、それを情報MA5として送信する(SB115)。
なお、IF装置3は、SB302においてKEY2を用いた解錠に失敗した場合、又は、情報MA5を検出した場合には、リプロ処理の要求の受付を失敗した(「リプロ失敗」)と判定し、それを情報MA6として外部装置50宛に送信する(SB307)。
上記の手順に従えば、通信システム1は、IF装置3の制御プログラムを書換えるための情報の提供元が外部装置50である場合に制御プログラムの書換えを許可せず、IF装置3の制御プログラムを書換えるための情報の提供元がECU10−1である場合に制御プログラムの書換えを許可することができる。つまり、通信システム1は、ECU10−1から受信する制御プログラムを書換えるための情報に対してIF装置3の制御プログラムの書換えを許可し、ECU10−1を経由せずに受信する情報に対してIF装置3の制御プログラムの書換えを許可しないものである。
以上に説明した第2の実施形態によれば、第1の実施形態と同様の効果を奏することの他、IF装置3は、外部装置50から受信した情報MA1を復号せずに通信システム1の内部の装置(ECU10−1)に中継し、その後に、ECU10−1からの通知に従ってリプロを実施することができる。
(第3の実施形態)
第3の実施形態について説明する。第1の実施形態と第2の実施形態は共に、IF装置3は、外部装置50の共通鍵と同じ共通鍵を有する事例であった。これに代えて、第3の実施形態では、IF装置3は、外部装置50の共通鍵とは異なる共通鍵しか有していない事例について説明する。
前述の図6を参照して、IF装置3と各ECU10にそれぞれに付与された識別情報と共通鍵について例示する。図示を省略するが、本実施形態では、共通鍵の配置が図6の表記と異なり、IF装置3がKEY3を保有し、ECU10−1がKEY1、KEY2、KEY3の3つを保有する。
図9は、実施形態に係るリプロ処理の流れを説明するための図である。
外部装置50は、KEY1とKEY2とを用いて元データを暗号化して生成された情報M1をIF装置3に提供して(SC501)、通信並びに制御プログラムの書き換えを要求する。
例えば、外部装置50が提供する情報MA1は、制御プログラムである元データ(ORG)に対して、KEY2により暗号化され、更にKEY1により暗号化されたものである。この情報MA1は、前述の式(1)と同じである。
本実施形態の以下の説明において、IF装置3は、第1装置の一例であり、ECU10−1は、第2装置の一例である。
まず、通信制御部33は、外部装置50から取得した情報MA1に対し、受信ID322を用いて、情報MA1に付与された送信IDとの照合を試みて、照合に失敗した場合には要求を破棄する(SC301)。
SC301において送信IDの照合に成功した場合には、IF装置3の制御部31は、取得した情報MA1を、送信元IDを変更して送信し、情報MA2として中継する(SC303)。
ECU10−1において、通信制御部13−1は、IF装置3から取得した情報MA2に対して受信ID122を用いて送信IDとの照合を試みて、照合に失敗した場合には要求を破棄する(SC111)。
SC111において送信IDの照合に成功した場合には、通信制御部13−1は、IF装置3から取得した情報MA2に対してKEY1とKEY2の両方を用いて解錠を試みる(SC112)。KEY1とKEY2を適用する順は、外部装置50において暗号化した際の順に基づいて決定され、暗号化した際の順に対し逆にする。
KEY1とKEY2とを用いた解錠が成功した場合には、ECU10−1の制御部11−1は、KEY1とKEY2とを用いて解錠された後のデータ(制御プログラム)を、KEY3を用いて暗号化し(SC113)、それを送信して、情報MA3として中継する(SC114)。
通信制御部33は、ECU10−1から取得した情報MA3に対して受信ID322を用いて送信IDとの照合を試みて、照合に失敗した場合には要求を破棄する(SC304)。
SC304において送信IDの照合に成功した場合には、通信制御部33は、ECU10−1から取得した情報MA3に対してKEY3を用いて解錠を試みる(SC305)。
KEY3を用いた解錠が成功した場合には、制御部31は、KEY3を用いて解錠された後のデータを取得し、記憶部32の制御プログラム325に書き込んで、新たな制御プログラムとして書き換えて(SC306、リプロ)、リプロが実施されたことを情報MA4により外部装置50に通知する。
なお、ECU10−1は、SC112においてKEY1とKEY2とを用いた解錠に失敗した場合には、リプロ処理の要求の受付を失敗(「リプロ失敗」)と判定し、それを情報MA5として送信する(SC115)。
なお、IF装置3は、SC305においてKEY3を用いた解錠に失敗した場合、又は、情報MA5を検出した場合には、リプロ処理の要求の受付を失敗した(「リプロ失敗」)と判定し、それを情報MA6として外部装置50宛に送信する(SC307)。
上記の手順に従えば、通信システム1は、IF装置3の制御プログラムを書換えるための情報の提供元が外部装置50である場合に制御プログラムの書換えを許可せず、IF装置3の制御プログラムを書換えるための情報の提供元がECU10−1である場合に制御プログラムの書換えを許可することができる。
以上に説明した第3の実施形態によれば、IF装置3が外部装置50の共通鍵とは異なる共通鍵を有するものであるが、第1の実施形態と同様の効果を奏する。IF装置3は、ECU10−1から受信する制御プログラムを書換えるための情報に対してIF装置3の制御プログラムの書換えを許可し、ECU10−1を経由せずに受信する情報に対してIF装置3の制御プログラムの書換えを許可しないものである。つまり、IF装置3は、外部装置50から受信した情報MA1を復号せずに通信システム1の内部の装置(ECU10−1)に中継し、その後に、ECU10−1からの通知に従ってリプロを実施することができる。
(第4の実施形態)
第4の実施形態について説明する。第1の実施形態から第3の実施形態は共に、IF装置3の制御プログラムのリプロの実施を、最終的にIF装置3の制御部11が決定するものであった。これに代えて、第4の実施形態では、IF装置3とは異なる装置(ECU10)の制御部が、IF装置3の制御プログラムのリプロの実施を決定する事例について説明する。
図10を参照して、IF装置3と各ECU10にそれぞれに付与された識別情報と共通鍵について例示する。図10は、本実施形態のリプロ処理について説明するための図である。
本実施形態では、共通鍵の配置が図6とは下記の点が異なり、IF装置3がKEY3を保有し、ECU10−1がKEY1とKEY2とKEY3とを保有する。
この図10に示すIF装置3と、ECU10−1と、ECU10−2の各装置は、リプロ情報を伝えるように、送信IDと受信IDが付与されている。
例えば、図10(a)に示すように、IF装置3に付与された識別情報には、送信IDに「101」が含まれ、受信IDに「112」と「121」とが含まれる。上記の場合、IF装置3は、送信IDとして「101」をフレームに付与してそのフレームを送信する。IF装置3は、受信IDとして「112」を利用して、ECU10−1からリプロ情報を受信して、受信IDとして「121」を利用して、ECU10−2からリプロ処理の指示を受信する。
図10(b)に示すように、ECU10−1に付与された識別情報には、送信IDに「011」と「012」と「111」と「112」とが含まれ、受信IDに「021」と「031」と「101」とが含まれる。例えば、ECU10−1は、送信IDに「111」を使用して、リプロ情報をECU10−2に伝え、送信IDに「112」を使用して、リプロ処理の結果をIF装置3に伝える。
図10(c)に示すように、ECU10−2に付与された識別情報には、送信IDに「021」と「121」とが含まれ、受信IDに「011」と「101」と「111」とが含まれる。例えば、ECU10−2は、受信IDとして「101」を利用して、IF装置3からリプロ情報を受信して、受信IDとして「111」を利用して、ECU10−1からリプロ処理の指示を受信する。ECU10−2は、送信IDに「121」を使用して、リプロ情報をIF装置3に伝える。
図11は、実施形態に係るリプロ処理の流れを説明するための図である。
この図11に示す、外部装置50とIF装置3とECU10−1のSD501からSD304までの説明は、図9のSC501からSC304までの説明に対応するものであり、その内容も同等である。この間にECU10−2が実施する処理などは、前述した実施形態には無いものである。この点を中心に説明する。
まず、外部装置50は、KEY1とKEY2とを用いて元データを暗号化して生成された情報M1をIF装置3に提供して(SD501)、通信並びに制御プログラムの書き換えを要求する。
例えば、外部装置50が提供する情報MA1は、制御プログラムである元データ(ORG)に対して、KEY2により暗号化され、更にKEY1により暗号化されたものである。この情報MA1は、前述の式(1)と同じである。
本実施形態の以下の説明において、IF装置3は、第1装置の一例であり、ECU10−1は、第2装置の一例であり、ECU10−2は、第3装置の一例である。
まず、通信制御部33は、外部装置50から取得した情報MA1に対し、受信ID322を用いて、情報MA1に付与された送信IDとの照合を試みて、照合に失敗した場合には要求を破棄する(SD301)。
SD301において送信IDの照合に成功した場合には、IF装置3の制御部31は、取得した情報MA1を、送信元IDを変更して送信し、情報MA2として中継する(SD303)。
ECU10−1において、通信制御部13−1は、IF装置3から取得した情報MA2に対して受信ID122を用いて送信IDとの照合を試みて、照合に失敗した場合には要求を破棄する(SD111)。
SD111において送信IDの照合に成功した場合には、通信制御部13−1は、IF装置3から取得した情報MA2に対してKEY1とKEY2の両方を用いて解錠を試みる(SD112)。KEY1とKEY2を適用する順は、外部装置50において暗号化した際の順に基づいて決定され、暗号化した際の順に対し逆にする。
KEY1とKEY2とを用いた解錠が成功した場合には、ECU10−1の制御部11−1は、KEY1とKEY2とを用いて解錠された後のデータ(制御プログラム)を、KEY3を用いて暗号化し(SD113)、それを送信して、情報MA3として中継する(SD114)。
通信制御部33は、ECU10−1から取得した情報MA3に対して受信ID322を用いて送信IDとの照合を試みて、照合に失敗した場合には要求を破棄する(SD304)。
ところで、ECU10−2は、上記のSD303において、IF装置3によって中継された情報MA2を検出する。つまり、通信制御部13−2は、取得した情報MA2に対して受信ID122を用いて送信IDとの照合を試みて、照合に失敗した場合には要求を破棄する(SD121)。
また、ECU10−2は、SD121において送信IDの照合に成功した場合には、上記のSD114において、ECU10−1によって中継された情報MA3を検出する。つまり、通信制御部13−2は、取得した情報MA3に対して受信ID122を用いて送信IDとの照合を試みて、照合に失敗した場合には要求を破棄する(SD122)。
さらに、SD122において送信IDの照合に成功した場合には、通信制御部13−2は、IF装置3に対してリプロの実施を指示するためのリプロ指示(MA7)を送出する(SD123)。
次に、IF装置3は、上記のリプロ指示(MA7)を検出して、以下の処理をする。
SD304において送信IDの照合に成功した場合には、通信制御部33は、ECU10−1から取得した情報MA3に対してKEY3を用いて解錠を試みる(SD305A)。
KEY3を用いた解錠が成功した場合には、制御部31は、リプロ指示(MA7)を検出したか否かを判定する(SD305B)。
既に、リプロ指示(MA7)を検出していた場合には、KEY3を用いて解錠された後のデータを、記憶部32の制御プログラム325に書き込んで、新たな制御プログラムとして書き換えて(SD306、リプロ)、リプロが実施されたことを情報MA4により外部装置50に通知する。
なお、ECU10−1は、SD112においてKEY1とKEY2とを用いた解錠に失敗した場合には、リプロ処理の要求の受付を失敗(「リプロ失敗」)と判定し、それを情報MA5として送信する(SD115)。
なお、IF装置3は、SD305AにおいてKEY3を用いた解錠に失敗した場合、又は、情報MA5を検出した場合には、リプロ処理の要求の受付を失敗した(「リプロ失敗」)と判定し、それを情報MA6として外部装置50宛に送信する(SD307)。
上記の手順に従えば、通信システム1は、IF装置3の制御プログラムを書換えるための情報の提供元が外部装置50であり、ECU10−1とECU10−2の何れも経由しない場合に制御プログラムの書換えを許可せず、IF装置3の制御プログラムを書換えるための情報の提供元がECU10−1であり、ECU10−1又はECU10−2を経由する場合に制御プログラムの書換えを許可することができる。
以上に説明した第4の実施形態によれば、IF装置3は、外部装置50から受信した情報MA1を復号せずに通信システム1の内部の装置(ECU10−1とECU10−2)に中継し、その後に、ECU10−1とECU10−2からの通知に従ってリプロを実施することにより、第1の実施形態と同様の効果を奏する。
(第5の実施形態)
第5の実施形態について説明する。第1の実施形態から第4の実施形態は共に、通信システム1の端点に位置し、外部装置50と直接的に通信するIF装置3の制御プログラムをリプロするものであった。これに代えて、第5の実施形態では、IF装置3とは異なり、通信システム1内部に位置する装置(ECU10)の制御プログラムをリプロする事例について説明する。以下の説明では、ECU10−1をリプロの対象とした場合を例示するが、他のECU10であってもよい。
図12を参照して、IF装置3と各ECU10にそれぞれに付与された識別情報と共通鍵について例示する。図12は、本実施形態のリプロ処理について説明するための図である。
本実施形態では、共通鍵の配置が前述の図6と図10とは異なり、IF装置3が共通鍵を保有せず、ECU10−1がKEY1とKEY3を保有し、ECU10−2がKEY2とKEY3を保有する。
この図12に示すIF装置3と、ECU10−1と、ECU10−2の各装置は、リプロ情報を伝えるように、送信IDと受信IDが付与されている。
例えば、図12(a)に示すように、IF装置3に付与された識別情報には、送信IDに「101」が含まれ、受信IDに「112」が含まれる。上記の場合、IF装置3は、送信IDとして「101」をフレームに付与してそのフレームを送信する。IF装置3は、受信IDとして「112」を利用して、ECU10−1からリプロ情報を受信して、受信IDとして「121」を利用して、ECU10−2からリプロ処理の指示を受信する。
図12(b)に示すように、ECU10−1に付与された識別情報には、送信IDに「011」と「012」と「111」と「112」とが含まれ、受信IDに「021」と「031」と「101」と「121」とが含まれる。例えば、ECU10−1は、受信IDとして「101」を利用して、IF装置3からリプロ情報を受信して、受信IDとして「121」を利用して、ECU10−2からリプロ処理の指示を受信する。ECU10−1は、送信IDに「111」を使用して、リプロ情報をECU10−2に伝え、送信IDに「112」を使用して、リプロ処理の結果をIF装置3に伝える。
図12(c)に示すように、ECU10−2に付与された識別情報には、送信IDに「021」と「121」とが含まれ、受信IDに「011」と「111」とが含まれる。例えば、ECU10−2は、受信IDとして「111」を利用して、ECU10−1からリプロ情報を受信する。ECU10−2は、送信IDに「121」を使用して、リプロ情報を送信して、リプロ情報をECU10−1に伝える。
図13は、実施形態に係るリプロ処理の流れを説明するための図である。
この図13に示す、外部装置50とIF装置3とECU10−1のSE501からSE304までの説明は、図9のSC501からSC304までの説明に対応するものであり、その内容も同等である。この間にECU10−2が実施する処理などは、前述した実施形態には無いものである。この点を中心に説明する。
まず、外部装置50は、KEY1とKEY2とを用いて元データを暗号化して生成された情報M1をIF装置3に提供して(SE501)、通信並びに制御プログラムの書き換えを要求する。
例えば、外部装置50が提供する情報MA1は、制御プログラムである元データ(ORG)に対して、KEY2により暗号化され、更にKEY1により暗号化されたものである。この情報MA1は、前述の式(1)と同じである。
本実施形態の以下の説明において、IF装置3は、第1装置の一例であり、ECU10−1は、第2装置の一例であり、ECU10−2は、第3装置の一例である。
まず、通信制御部33は、外部装置50から取得した情報MA1に対し、受信ID322を用いて、情報MA1に付与された送信IDとの照合を試みて、照合に失敗した場合には要求を破棄する(SE301)。
SE301において送信IDの照合に成功した場合には、IF装置3の制御部31は、取得した情報MA1を、送信元IDを変更して送信し、情報MA11として中継する(SE303)。
以下、ECU10−1におけるSE111からSE117までの処理とECU10−2におけるSE121からSE125までの処理は、図7におけるIF装置3のSA301からSA307までの処理と、ECU10−1におけるSA111からSA115までの処理に相当する。以下、前述の図7とは異なる処理を中心に説明する。
ECU10−1は、SE116においてリプロ処理を終えると、リプロが実施されたことを情報MA4によりIF装置3に通知する。
また、ECU10−2は、SE122においてKEY2を用いた解錠に失敗した場合には、リプロ処理の要求の受付を失敗(「リプロ失敗」)と判定し、それを情報MA5として送信する(SE125)。
また、ECU10−1は、SE112においてKEY1を用いた解錠に失敗した場合、SE115においてKEY3を用いた解錠に失敗した場合、又は、情報MA5を検出した場合には、リプロ処理の要求の受付を失敗した(「リプロ失敗」)と判定し、それを情報MA6としてIF装置3宛に送信する(SE117)。
次に、IF装置3は、検出した情報MA5又は情報MA6に基づいて、情報MA8によりリプロ処理の結果を外部装置50宛に送信する(SE307)。
上記の手順に従えば、通信システム1におけるECU10−1は、その制御プログラムを書換えるための情報の提供元がIF装置3、つまり外部装置50であり、ECU10−2を経由しない場合に制御プログラムの書換えを許可せず、IF装置3の制御プログラムを書換えるための情報の提供元がECU10−2であり、ECU10−2を経由する場合に制御プログラムの書換えを許可することができる。
以上に説明した第5の実施形態によれば、通信システム1の内部の装置(ECU10)の制御プログラムの書き換えを、ECU10−1がECU10−2からの通知に従ってリプロを実施することにより、ECU10−1を対象にしたリプロ処理において第1の実施形態と同様の効果を奏する。
(第6の実施形態)
第6の実施形態について説明する。第1の実施形態から第5の実施形態は共に、それぞれが所定の1種類のリプロ処理を実施するものであった。これに代えて、第6の実施形態の通信システム1は、第1の実施形態から第5の実施形態に示したような予め定められた複数種類のリプロ処理の内から、所定の選択基準に従って選択されたリプロ処理を実施するものとして構成してもよい。
以上に説明した第6の実施形態によれば、通信システム1が受け付けるリプロ要求を、所定の選択基準に対応させて簡便に変更することを可能とする。これにより、制御プログラムの書き換え処理の信頼度を高めることを可能にする。
(第7の実施形態)
第7の実施形態について説明する。第1の実施形態から第6の実施形態において、外部装置50が能動的にリプロ要求を発する事例について説明した。これに代えて、本実施形態の外部装置50は、少なくとも任意の記憶媒体を含むものであって、能動的にリプロ要求を発しないものである事例について説明する。例えば、外部装置50は、光ディスク、磁気による記録媒体、半導体メモリ等の記録媒体を含む。
例えば、図2に示すIF装置3の入出力装置10Eは、外部装置50の媒体からリプロ情報を読み出し可能である。入出力装置10Eは、外部装置50を検出し、媒体から情報を読み出して、読み出した情報にリプロ情報に関する情報が含まれている場合に、それをリプロ処理の要求とみなす。以降の処理は、第1の実施形態から第6の実施形態の処理を参照する。
以上に説明した第7の実施形態によれば、外部装置50が、少なくとも任意の記憶媒体を含むものとして構成されていても、IF装置3がその媒体の情報を取得することにより、第1の実施形態と同様の効果を奏する。つまり、IF装置3は、ECU10−1から受信する制御プログラムを書換えるための情報に対してIF装置3の制御プログラムの書換えを許可し、ECU10−1を経由せずに受信する情報に対してIF装置3の制御プログラムの書換えを許可しないものである。
以上説明した少なくともひとつの実施形態によれば、通信システムは、対象装置の制御プログラムを書換えるための情報を提供するリプロ装置からの当該情報に基づいて、当該情報に対する制御プログラムの書換えを許可する制御部を備える第1通信装置と、前記リプロ装置との間に前記第1通信装置が介在されて前記リプロ装置と通信する第2通信装置と、を備える通信システムであって、前記制御部は、前記第2通信装置から受信する前記制御プログラムを書換えるための情報に対して前記制御プログラムの書換えを許可する。これにより、通信システムは、より簡便に、制御プログラムの書き換え処理の信頼度を高めることを可能にする。
以上、本発明を実施するための形態について実施形態を用いて説明したが、本発明はこうした実施形態に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変形及び置換を加えることができる。
例えば、第5の実施形態は、前述の第1の実施形態の処理と同様の処理を適用したものであるが、第1の実施形態以外の処理を同様の手法で適用してもよい。また、そのリプロ処理の対象についても、ECU10−1に限らず他のECU10を対象にしてもよい。
なお、外部装置50から提供される情報は、KEY1とKEY2とに基づいて暗号化されるものとして説明したが、何れか1つの共通鍵、又は、3つ以上の共通鍵を利用して暗号化されていてもよい。
1‥通信システム、2…バス、3…IF装置、4…車両(移動体)、10、10−1、10−2、10−3…ECU、11、31…制御部、12、32…記憶部、13、33…通信制御部(確認部)、50…外部装置、NW…ネットワーク

Claims (8)

  1. 対象装置の制御プログラムを書換えるための第1情報をリプロ装置から取得し、前記第1情報に基づいて、前記対象装置の制御プログラムの書換えを許可する第1通信装置と、 前記第1情報に基づいて前記第1通信装置により送信された第2情報を受信することにより前記リプロ装置と通信し、該第2情報に基づいて第3情報を送信する第2通信装置と、を備える通信システムであって、
    前記対象装置は、前記第1通信装置、前記第2通信装置、または前記通信システムに含まれる他の装置であり、
    前記第1情報は前記リプロ装置により暗号化された情報であり、前記第1情報を復号するための複数の鍵情報を前記第1通信装置と前記第2通信装置とが分散して保持し、
    前記第1通信装置は、前記リプロ装置から送信された前記第1情報に付与された送信IDと該第1通信装置が保持する受信IDとを照合し、該照合が成功した場合に、前記複数の鍵情報のうち該第1通信装置が保持する鍵情報で該第1情報を復号し、復号がされた後の情報を第2情報として、前記第2通信装置用の送信IDを付与して前記第2通信装置を含む一以上の通信装置に送信し、
    前記第2通信装置は、前記第1通信装置から送信された前記第2情報に付与された送信IDと該第2通信装置が保持する受信IDとを照合し、該照合が成功した場合に、前記複数の鍵情報のうち該第2通信装置が保持する鍵情報で該第2情報を復号し、復号がされた後の情報を第3情報として、前記第1通信装置用の送信IDを付与して前記第1通信装置を含む一以上の通信装置に送信し、
    前記第1通信装置は、前記第3情報に付与された送信IDと該第1通信装置が保持する受信IDとが照合されて該照合が成功したと判定される場合であって、復号がされた後の結果情報に基づいて制御プログラムの書換えを許可するか否かを判断をする制御部を備えつつ、前記対象装置の制御プログラムの書換えを実行させる、
    通信システム。
  2. 対象装置の制御プログラムを書換えるための第1情報をリプロ装置から取得し、前記第1情報に基づいて、前記対象装置の制御プログラムの書換えを許可する第1通信装置と、 前記第1情報に基づいて前記第1通信装置により送信された第2情報を受信することにより前記リプロ装置と通信し、該第2情報に基づいて第3情報を送信する第2通信装置と、を備える通信システムであって、
    前記対象装置は、前記第1通信装置、前記第2通信装置、または前記通信システムに含まれる他の装置であり、
    前記第1情報は前記リプロ装置により暗号化された情報であり、前記第1情報を復号するための複数の鍵情報を前記第1通信装置と前記第2通信装置とが分散して保持し、
    前記第1通信装置は、前記リプロ装置から送信された前記第1情報に付与された送信IDと該第1通信装置が保持する受信IDとを照合し、該照合が成功した場合に、前記複数の鍵情報のうち該第1通信装置が保持する鍵情報で該第1情報を復号し、復号がされた後の情報を第2情報として、前記第2通信装置用の送信IDを付与して前記第2通信装置を含む一以上の通信装置に送信し、
    前記第2通信装置は、前記第1通信装置から送信された前記第2情報に付与された送信IDと該第2通信装置が保持する受信IDとを照合し、該照合が成功した場合に、前記複数の鍵情報のうち該第2通信装置が保持する鍵情報で該第2情報を復号し、復号がされた後の情報を第3鍵情報で暗号化したものを第3情報として、前記第1通信装置用の送信IDを付与して前記第1通信装置を含む一以上の通信装置に送信し、
    前記第1通信装置は、前記第2通信装置から送信された前記第3情報に付与された送信IDと該第1通信装置が保持する受信IDとを照合し、該照合が成功した場合に、前記第3鍵情報で該第3情報を復号するとともに、復号がされた後の結果情報に基づいて制御プログラムの書換えを許可するか否かを判断をする制御部を備えつつ、前記対象装置の制御プログラムの書換えを実行させる、
    通信システム。
  3. 対象装置の制御プログラムを書換えるための第1情報をリプロ装置から取得し、前記第1情報に基づいて、前記対象装置の制御プログラムの書換えを許可する第1通信装置と、 前記第1情報に基づいて前記第1通信装置により送信された第2情報を受信することにより前記リプロ装置と通信し、該第2情報に基づいて第3情報を送信する第2通信装置と、を備える通信システムであって、
    前記対象装置は、前記第1通信装置、前記第2通信装置、または前記通信システムに含まれる他の装置であり、
    前記第1情報は前記リプロ装置により暗号化された情報であり、前記第1情報を復号するための複数の鍵情報を前記第1通信装置と前記第2通信装置とが分散して保持し、
    前記第1通信装置は、前記リプロ装置から送信された前記第1情報に付与された送信IDと該第1通信装置が保持する受信IDとを照合し、該照合が成功した場合に、該第1情報を第2情報として、前記第2通信装置用の送信IDを付与して前記第2通信装置を含む一以上の通信装置に送信し、
    前記第2通信装置は、前記第1通信装置から送信された前記第2情報に付与された送信IDと該第2通信装置が保持する受信IDとを照合し、該照合が成功した場合に、前記複数の鍵情報のうち該第2通信装置が保持する鍵情報で該第2情報を復号し、復号がされた後の情報を第3情報として、前記第1通信装置用の送信IDを付与して前記第1通信装置を含む一以上の通信装置に送信し、
    前記第1通信装置は、前記第2通信装置から送信された前記第3情報に付与された送信IDと該第1通信装置が保持する受信IDとを照合し、該照合が成功した場合に、前記複数の鍵情報のうち該第1通信装置が保持する鍵情報で該第3情報を復号するとともに、復号がされた後の結果情報に基づいて制御プログラムの書換えを許可するか否かを判断をする制御部を備えつつ、前記対象装置の制御プログラムの書換えを実行させる、
    通信システム。
  4. 対象装置の制御プログラムを書換えるための第1情報をリプロ装置から取得し、前記第1情報に基づいて、前記対象装置の制御プログラムの書換えを許可する第1通信装置と、 前記第1情報に基づいて前記第1通信装置により送信された第2情報を受信することにより前記リプロ装置と通信し、該第2情報に基づいて第3情報を送信する第2通信装置と、を備える通信システムであって、
    前記対象装置は、前記第1通信装置、前記第2通信装置、または前記通信システムに含まれる他の装置であり、
    前記第1情報は前記リプロ装置により暗号化された情報であり、前記第1情報を復号するための複数の鍵情報を有するものであって、
    前記第1通信装置は、前記リプロ装置から送信された前記第1情報に付与された送信IDと該第1通信装置が保持する受信IDとを照合し、該照合が成功した場合に、該第1情報を第2情報として、前記第2通信装置用の送信IDを付与して前記第2通信装置を含む一以上の通信装置に送信し、
    前記第2通信装置は、前記第1通信装置から送信された前記第2情報に付与された送信IDと該第2通信装置が保持する受信IDとを照合し、該照合が成功した場合に、前記複数の鍵情報のうち該第2通信装置が保持する鍵情報で該第2情報を復号し、復号がされた後の情報を第3鍵情報で暗号化したものを第3情報として、前記第1通信装置用の送信IDを付与して前記第1通信装置を含む一以上の通信装置に送信し、
    前記第1通信装置は、前記第2通信装置から送信された前記第3情報に付与された送信IDと該第1通信装置が保持する受信IDとを照合し、該照合が成功した場合に、前記第3鍵情報で該第3情報を復号するとともに、復号がされた後の結果情報に基づいて制御プログラムの書換えを許可するか否かを判断をする制御部を備えつつ、前記対象装置の制御プログラムの書換えを実行させる、
    通信システム。
  5. 請求項4記載の通信システムにおいて、
    前記第1通信装置を介して前記リプロ装置と通信する第3通信装置を更に備え、
    前記第1通信装置は、前記送信IDを付与した前記第2情報を前記第3通信装置にも送信し、
    前記第2通信装置は、前記送信IDを付与した前記第3情報を前記第3通信装置にも送信し、
    前記第3通信装置は、前記第2情報に付与された前記送信IDと前記第3通信装置が保持する受信IDとを照合すると共に、前記第3情報に付与された前記送信IDと前記第3通信装置が保持する受信IDとを照合し、両方の照合が成功した場合に前記対象装置の制御プログラムの書換えを許可する信号を前記第1通信装置に送信し、
    前記第1通信装置は、前記第3通信装置から前記許可する信号を受信したことを条件に、前記対象装置の制御プログラムの書換えを実行する、
    通信システム。
  6. 対象装置の制御プログラムを書換えるための第1情報をリプロ装置から取得する第1通信装置と、
    前記第1通信装置を介して前記リプロ装置と通信する第2通信装置と、
    前記第1通信装置を介して前記リプロ装置と通信する第3通信装置と、を備える通信システムであって、
    前記対象装置は、前記第1通信装置、前記第2通信装置、第3通信装置または前記通信システムに含まれる他の装置であり、
    前記第1情報は前記リプロ装置により暗号化された情報であり、前記第1情報を復号するための複数の鍵情報を前記第2通信装置と前記第3通信装置とが分散して保持し、
    前記第1通信装置は、前記リプロ装置から送信された前記第1情報に付与された送信IDと該第1通信装置が保持する受信IDとを照合し、該照合が成功した場合に、該第1情報を第1−1情報として、前記第2通信装置用の送信IDを付与して前記第2通信装置を含む一以上の通信装置に送信し、
    前記第2通信装置は、前記第1通信装置から送信された前記第1−1情報に付与された送信IDと該第2通信装置が保持する受信IDとを照合し、該照合が成功した場合に、前記複数の鍵情報のうち該第2通信装置が保持する鍵情報で該第1−1情報を復号し、復号がされた後の情報を第2情報として、前記第3通信装置用の送信IDを付与して前記第3通信装置を含む一以上の通信装置に送信し、
    前記第3通信装置は、前記第2通信装置から送信された前記第2情報に付与された送信IDと該第3通信装置が保持する受信IDとを照合し、該照合が成功した場合に、前記複数の鍵情報のうち該第3通信装置が保持する鍵情報で該第2情報を復号するとともに、復号がされた後の情報を第3鍵情報で暗号化したものを第3情報として、前記第2通信装置用の送信IDを付与して前記第2通信装置を含む一以上の通信装置に送信し、
    前記第2通信装置は、前記第3通信装置から送信された前記第3情報に付与された送信IDと該第1通信装置が保持する受信IDとを照合し、該照合が成功した場合に、前記第3鍵情報で該第3情報を復号するとともに、復号がされた後の結果情報に基づいて制御プログラムの書換えを許可するか否かを判断をする制御部を備えつつ、前記対象装置の制御プログラムの書換えを実行させる、
    通信システム。
  7. 前記第1通信装置は、前記第2通信装置を経由せずに受信する情報に対して前記制御プログラムの書換えを許可しない、
    請求項1から4のうちいずれか1項に記載の通信システム。
  8. 請求項1から7のうちいずれか1項の通信システムを搭載する移動体であって、
    前記第1情報は、前記移動体を制御するためのプログラムを書き換えるための情報を含む、
    移動体。
JP2017096841A 2017-05-15 2017-05-15 通信システム、および移動体 Expired - Fee Related JP6666876B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017096841A JP6666876B2 (ja) 2017-05-15 2017-05-15 通信システム、および移動体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017096841A JP6666876B2 (ja) 2017-05-15 2017-05-15 通信システム、および移動体

Publications (2)

Publication Number Publication Date
JP2018194981A JP2018194981A (ja) 2018-12-06
JP6666876B2 true JP6666876B2 (ja) 2020-03-18

Family

ID=64571387

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017096841A Expired - Fee Related JP6666876B2 (ja) 2017-05-15 2017-05-15 通信システム、および移動体

Country Status (1)

Country Link
JP (1) JP6666876B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111356114B (zh) * 2020-02-19 2023-06-20 阿波罗智联(北京)科技有限公司 车内电子控制单元升级方法、装置、设备和车辆系统

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4942261B2 (ja) * 2001-07-31 2012-05-30 株式会社デンソー 車両用中継装置、及び、車内通信システム
JP2004192278A (ja) * 2002-12-10 2004-07-08 Sumitomo Electric Ind Ltd 通信システム及び車載ゲートウェイ装置
JP2005202503A (ja) * 2004-01-13 2005-07-28 Hitachi Ltd 車載情報装置、車載機器管理システム、車両の制御機器のプログラムのバージョンアップ情報の配信方法、車両の制御機器のプログラムのバージョンアップ方法及び車両の制御機器のプログラムのバージョンアップシステム
JP2010195111A (ja) * 2009-02-24 2010-09-09 Fujitsu Ten Ltd 車載コンピュータシステム
JP5323151B2 (ja) * 2011-08-31 2013-10-23 三菱電機株式会社 プログラム書き換えシステム及びプログラム書き換え方法
JP5696669B2 (ja) * 2012-01-12 2015-04-08 株式会社デンソー ゲートウェイ装置、及び、車両通信システム
JP5772610B2 (ja) * 2012-01-12 2015-09-02 株式会社デンソー 車載システム,中継装置
JP6260068B1 (ja) * 2016-09-30 2018-01-17 Kddi株式会社 保守装置、保守方法、及びコンピュータプログラム

Also Published As

Publication number Publication date
JP2018194981A (ja) 2018-12-06

Similar Documents

Publication Publication Date Title
JP7280396B2 (ja) 機器の安全なプロビジョニングと管理
JP6228093B2 (ja) システム
US8239674B2 (en) System and method of protecting files from unauthorized modification or deletion
TWI620084B (zh) 散發使用者憑證之裝置、方法及系統
US20070198829A1 (en) Avoiding server storage of client state
US9106406B2 (en) Communication apparatus and key managing method
CN111512310A (zh) 存储在共享车辆中的用户数据的安全性
WO2013080659A1 (ja) 機密情報漏洩防止システム、機密情報漏洩防止方法、及びコンピュータ読み取り可能な記録媒体
JP6625293B2 (ja) 鍵管理装置および通信機器
KR102553145B1 (ko) 디지털 키를 처리 및 인증하는 보안 요소 및 그 동작 방법
JP2019105946A (ja) 車載更新装置、プログラム及びプログラム又はデータの更新方法
US11847201B2 (en) Authenticating a device using a remote host
US11316852B2 (en) System and method for secure onboarding of network devices
JP6666876B2 (ja) 通信システム、および移動体
JP6769270B2 (ja) 車載電子制御装置、車載電子制御システム、中継装置
CN111814149B (zh) 安全更新运载工具中二进制数据的装置及方法
TWI655550B (zh) 資料轉發系統
JP6860464B2 (ja) システム及び管理方法
SG181251A1 (en) Apparatus and method for selectively decrypting and transmitting drm contents
US10938836B2 (en) Transmitting secure information
JP6272608B2 (ja) ライセンス認証装置、ライセンス認証方法およびライセンス認証プログラム
JP4692922B2 (ja) ローカル端末、リモート端末、アプリケーションアクセス制御システム、その動作方法及び動作プログラム
JP7404210B2 (ja) システム、及びプログラム
WO2017216874A1 (ja) 鍵管理装置、鍵管理プログラムおよび鍵共有方法
KR100787684B1 (ko) 프로그래머블 로직 컨트롤러의 주변 장치

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180129

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20181005

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190319

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190516

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190717

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200124

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200212

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200221

R150 Certificate of patent or registration of utility model

Ref document number: 6666876

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees