JP6683588B2 - 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム - Google Patents

再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム Download PDF

Info

Publication number
JP6683588B2
JP6683588B2 JP2016219709A JP2016219709A JP6683588B2 JP 6683588 B2 JP6683588 B2 JP 6683588B2 JP 2016219709 A JP2016219709 A JP 2016219709A JP 2016219709 A JP2016219709 A JP 2016219709A JP 6683588 B2 JP6683588 B2 JP 6683588B2
Authority
JP
Japan
Prior art keywords
vehicle
key
data
computer
security device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2016219709A
Other languages
English (en)
Other versions
JP2018078484A (ja
Inventor
竹森 敬祐
敬祐 竹森
誠一郎 溝口
誠一郎 溝口
秀明 川端
秀明 川端
歩 窪田
歩 窪田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2016219709A priority Critical patent/JP6683588B2/ja
Priority to US16/315,891 priority patent/US11082228B2/en
Priority to EP17868999.8A priority patent/EP3541006B1/en
Priority to PCT/JP2017/027036 priority patent/WO2018087963A1/ja
Priority to CN201780042605.9A priority patent/CN109479000B/zh
Publication of JP2018078484A publication Critical patent/JP2018078484A/ja
Application granted granted Critical
Publication of JP6683588B2 publication Critical patent/JP6683588B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Power Engineering (AREA)
  • Lock And Its Accessories (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)

Description

本発明は、再利用システム、サーバ装置、再利用方法、及びコンピュータプログラムに関する。
従来、自動車は、ECU(Electronic Control Unit:電子制御装置)を有し、ECUによってエンジン制御等の機能を実現する。ECUは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。複数のECUをCAN(Controller Area Network)に接続して構成される車載制御システムについてのセキュリティ技術が例えば非特許文献1に記載されている。
竹森敬祐、"セキュアエレメントを基点とした車載制御システムの保護 −要素技術の整理と考察−"、電子情報通信学会、信学技報、vol. 114、no. 508、pp. 73-78、2015年3月 日本工業規格、JISD4901、"車両識別番号(VIN)" STMicroelectronics、"AN4240 Application note"、[平成28年10月5日検索]、インターネット<URL:http://www.st.com/web/en/resource/technical/document/application_note/DM00075575.pdf>
ある自動車に搭載されていた中古のECUを他の自動車で再利用する場合に、中古のECUが搭載される自動車の信頼性を向上させることが一つの課題であった。
本発明は、このような事情を考慮してなされたものであり、ECU等の中古品が搭載される自動車の信頼性を向上させることができる、再利用システム、サーバ装置、再利用方法、及びコンピュータプログラムを提供することを課題とする。
本発明の一態様は、鍵生成装置と、第1車両から取り外されて第2車両に搭載される車載コンピュータと、前記第2車両に搭載されるデータ保安装置とを備え、前記鍵生成装置は、前記第2車両とデータを送受する車両インタフェースと、前記車載コンピュータの車載コンピュータ識別子と、前記第1車両と前記第2車両とに共通のマスタ鍵とを使用して、前記第1車両に搭載時から前記車載コンピュータに格納されている鍵と同じ第1鍵を生成する鍵生成部と、を備え、前記車両インタフェースにより前記第1鍵を前記第2車両に送信し、前記データ保安装置は、自データ保安装置の外部の装置とデータを送受する第1インタフェース部と、前記車載コンピュータに適用される第1データを、前記第1インタフェース部により前記鍵生成装置から受信した第1鍵により暗号化して暗号化第1データを生成する第1暗号処理部と、を備え、前記第1インタフェース部により前記暗号化第1データを前記車載コンピュータに送信し、前記車載コンピュータは、自車載コンピュータの外部の装置とデータを送受する第2インタフェース部と、前記第1車両に搭載時から第1鍵を格納する第2記憶部と、前記第2インタフェース部により前記データ保安装置から受信した暗号化第1データを、前記第2記憶部に格納されている第1鍵により復号する第2暗号処理部と、を備え、前記車載コンピュータは、第2鍵を前記第2記憶部にさらに格納し、前記第2記憶部に格納されている第2鍵を使用して、自車載コンピュータに適用しているデータの測定を行う測定部をさらに備え、前記鍵生成部は、前記車載コンピュータ識別子と前記マスタ鍵とを使用して、前記車載コンピュータに格納されている鍵と同じ第2鍵をさらに生成し、前記鍵生成装置は、前記鍵生成部が生成した第2鍵を使用して、前記測定の期待値を計算する期待値計算部をさらに備え、前記鍵生成装置は、前記車両インタフェースにより前記第2車両から受信した前記測定部の測定結果を、前記期待値により検証する検証部をさらに備える、再利用システムであって、前記鍵生成装置は、車両の外部に設けられ、中古の車載コンピュータの再利用に関する処理を実行するサーバ装置であり、前記サーバ装置は、中古の車載コンピュータに適用されているデータを記憶するデータ記憶部を備え、前記期待値計算部は、前記データ記憶部に記憶されるデータであって、前記第1車両から取り外されて前記第2車両に搭載される車載コンピュータが前記第2車両に搭載される時点で当該車載コンピュータに適用されているデータについての前記測定の期待値を計算する、再利用システムである。
本発明の一態様は、鍵生成装置と、第1車両から取り外されて第2車両に搭載される車載コンピュータと、前記第2車両に搭載されるデータ保安装置とを備え、前記鍵生成装置は、前記第2車両とデータを送受する車両インタフェースと、前記車載コンピュータの車載コンピュータ識別子と、前記第1車両と前記第2車両とに共通のマスタ鍵とを使用して、前記第1車両に搭載時から前記車載コンピュータに格納されている鍵と同じ第1鍵を生成する鍵生成部と、を備え、前記車両インタフェースにより前記第1鍵を前記第2車両に送信し、前記データ保安装置は、自データ保安装置の外部の装置とデータを送受する第1インタフェース部と、前記車載コンピュータに適用される第1データを、前記第1インタフェース部により前記鍵生成装置から受信した第1鍵により暗号化して暗号化第1データを生成する第1暗号処理部と、を備え、前記第1インタフェース部により前記暗号化第1データを前記車載コンピュータに送信し、前記車載コンピュータは、自車載コンピュータの外部の装置とデータを送受する第2インタフェース部と、前記第1車両に搭載時から第1鍵を格納する第2記憶部と、前記第2インタフェース部により前記データ保安装置から受信した暗号化第1データを、前記第2記憶部に格納されている第1鍵により復号する第2暗号処理部と、を備え、前記車載コンピュータは、第2鍵を前記第2記憶部にさらに格納し、前記第2記憶部に格納されている第2鍵を使用して、自車載コンピュータに適用しているデータの測定を行う測定部をさらに備え、前記鍵生成部は、前記車載コンピュータ識別子と前記マスタ鍵とを使用して、前記車載コンピュータに格納されている鍵と同じ第2鍵をさらに生成し、前記鍵生成装置は、前記鍵生成部が生成した第2鍵を使用して、前記測定の期待値を計算する期待値計算部をさらに備え、前記データ保安装置は、前記第1インタフェース部により前記車載コンピュータから受信した前記測定部の測定結果を、前記期待値により検証する検証部をさらに備える、再利用システムであり、前記鍵生成装置は、車両の外部に設けられ、中古の車載コンピュータの再利用に関する処理を実行するサーバ装置であって、前記サーバ装置は、中古の車載コンピュータに適用されているデータを記憶するデータ記憶部を備え、前記期待値計算部は、前記データ記憶部に記憶されるデータであって、前記第1車両から取り外されて前記第2車両に搭載される車載コンピュータが前記第2車両に搭載される時点で当該車載コンピュータに適用されているデータについての前記測定の期待値を計算する、再利用システムである。
本発明の一態様は、鍵生成装置と、第1車両から取り外されて第2車両に搭載されるデータ保安装置と、を備え、前記鍵生成装置は、前記第2車両とデータを送受する車両インタフェースと、前記データ保安装置の装置識別子と、前記第1車両と前記第2車両とに共通のマスタ鍵とを使用して、前記第1車両に搭載時から前記データ保安装置に格納されている鍵と同じ第3鍵を生成する鍵生成部と、前記第2車両に搭載される車載コンピュータの第4鍵を前記第3鍵により暗号化して暗号化第4鍵を生成する暗号処理部と、を備え、前記車両インタフェースにより前記暗号化第4鍵を前記第2車両に送信し、前記データ保安装置は、自データ保安装置の外部の装置とデータを送受する第1インタフェース部と、前記第1車両に搭載時から第3鍵を格納する第1記憶部と、前記第1インタフェース部により前記鍵生成装置から受信した暗号化第4鍵を、前記第1記憶部に格納されている第3鍵により復号する第1暗号処理部と、を備え、前記データ保安装置は、第2鍵を前記第1記憶部にさらに格納し、前記第1記憶部に格納されている第2鍵を使用して、自データ保安装置に適用しているデータの測定を行う測定部をさらに備え、前記鍵生成部は、前記装置識別子と前記マスタ鍵とを使用して、前記データ保安装置に格納されている鍵と同じ第2鍵をさらに生成し、前記鍵生成装置は、前記鍵生成部が生成した第2鍵を使用して、前記測定の期待値を計算する期待値計算部をさらに備え、前記鍵生成装置は、前記車両インタフェースにより前記第2車両から受信した前記測定部の測定結果を、前記期待値により検証する検証部をさらに備える、再利用システムであって、前記鍵生成装置は、車両の外部に設けられ、中古のデータ保安装置の再利用に関する処理を実行するサーバ装置であり、前記サーバ装置は、中古のデータ保安装置に適用されているデータを記憶するデータ記憶部を備え、前記期待値計算部は、前記データ記憶部に記憶されるデータであって、前記第1車両から取り外されて前記第2車両に搭載されるデータ保安装置が前記第2車両に搭載される時点で当該データ保安装置に適用されているデータについての前記測定の期待値を計算する、再利用システムである。
本発明の一態様は、上記の再利用システムにおいて、前記第1暗号処理部は、前記車載コンピュータに適用される第1データを、前記暗号化第4鍵の復号により取得した第4鍵により暗号化して暗号化第1データを生成し、前記データ保安装置は、前記第1インタフェース部により前記暗号化第1データを前記車載コンピュータに送信する、再利用システムである。
本発明の一態様は、車両の外部に設けられ、中古の車載コンピュータの再利用に関する処理を実行するサーバ装置であって、第1車両から取り外された車載コンピュータが搭載される第2車両とデータを送受する車両インタフェースと、前記車載コンピュータの車載コンピュータ識別子と、前記第1車両と前記第2車両とに共通のマスタ鍵とを使用して、前記第1車両に搭載時から前記車載コンピュータに格納されている鍵と同じ第1鍵を生成する鍵生成部と、を備え、前記車両インタフェースにより前記第1鍵を前記第2車両に送信する、サーバ装置であり、前記鍵生成部は、前記車載コンピュータ識別子と前記マスタ鍵とを使用して、前記車載コンピュータに格納されている鍵と同じ第2鍵をさらに生成し、前記サーバ装置は、前記鍵生成部が生成した第2鍵を使用して、前記車載コンピュータに適用されているデータの測定の期待値を計算する期待値計算部と、前記第2車両から受信した前記測定の測定結果を、前記期待値により検証する検証部とをさらに備え、前記サーバ装置は、中古の車載コンピュータに適用されているデータを記憶するデータ記憶部をさらに備え、前記期待値計算部は、前記データ記憶部に記憶されるデータであって、前記第1車両から取り外されて前記第2車両に搭載される車載コンピュータが前記第2車両に搭載される時点で当該車載コンピュータに適用されているデータについての前記測定の期待値を計算する、サーバ装置である。
本発明の一態様は、車両の外部に設けられ、中古のデータ保安装置の再利用に関する処理を実行するサーバ装置であって、第1車両から取り外されたデータ保安装置が搭載される第2車両とデータを送受する車両インタフェースと、前記データ保安装置の装置識別子と、前記第1車両と前記第2車両とに共通のマスタ鍵とを使用して、前記第1車両に搭載時から前記データ保安装置に格納されている鍵と同じ第3鍵を生成する鍵生成部と、前記第2車両に搭載される車載コンピュータの第4鍵を前記第3鍵により暗号化して暗号化第4鍵を生成する暗号処理部と、を備え、前記車両インタフェースにより前記暗号化第4鍵を前記第2車両に送信する、サーバ装置であり、前記鍵生成部は、前記装置識別子と前記マスタ鍵とを使用して、前記データ保安装置に格納されている鍵と同じ第2鍵をさらに生成し、前記サーバ装置は、前記鍵生成部が生成した第2鍵を使用して、前記データ保安装置に適用されているデータの測定の期待値を計算する期待値計算部と、前記第2車両から受信した前記測定の測定結果を、前記期待値により検証する検証部とをさらに備え、前記サーバ装置は、中古のデータ保安装置に適用されているデータを記憶するデータ記憶部をさらに備え、前記期待値計算部は、前記データ記憶部に記憶されるデータであって、前記第1車両から取り外されて前記第2車両に搭載されるデータ保安装置が前記第2車両に搭載される時点で当該データ保安装置に適用されているデータについての前記測定の期待値を計算する、サーバ装置である。
(11)本発明の一態様は、第1車両から取り外されて第2車両に搭載されるデータ保安装置において、自データ保安装置の外部の装置とデータを送受する第1インタフェース部と、前記第1車両に搭載時から第3鍵を格納する第1記憶部と、前記第1インタフェース部により鍵生成装置から受信した暗号化第4鍵を、前記第1記憶部に格納されている第3鍵により復号する第1暗号処理部と、を備えるデータ保安装置である。
本発明の一態様は、第1車両から取り外されて第2車両に搭載される車載コンピュータの再利用方法において、車両の外部に設けられ、中古の車載コンピュータの再利用に関する処理を実行するサーバ装置が、前記車載コンピュータの車載コンピュータ識別子と、前記第1車両と前記第2車両とに共通のマスタ鍵とを使用して、前記第1車両に搭載時から前記車載コンピュータに格納されている鍵と同じ第1鍵を生成する鍵生成ステップと、前記サーバ装置が、前記第2車両とデータを送受する車両インタフェースにより、前記第1鍵を前記第2車両に送信する第1鍵送信ステップと、データ保安装置が、前記車載コンピュータに適用される第1データを、自データ保安装置の外部の装置とデータを送受する第1インタフェース部により前記鍵生成装置から受信した第1鍵により暗号化して、暗号化第1データを生成する暗号化ステップと、前記データ保安装置が、前記第1インタフェース部により前記暗号化第1データを前記車載コンピュータに送信する暗号化第1データ送信ステップと、前記車載コンピュータが、自車載コンピュータの外部の装置とデータを送受する第2インタフェース部により前記データ保安装置から受信した暗号化第1データを、前記第1車両に搭載時から自己の第2記憶部に格納されている第1鍵により復号する復号ステップと、前記車載コンピュータが、自己が格納する第2鍵を使用して、自車載コンピュータに適用しているデータの測定を行う測定ステップと、前記サーバ装置が、前記車載コンピュータ識別子と前記マスタ鍵とを使用して、前記車載コンピュータに格納されている鍵と同じ第2鍵を生成するステップと、前記サーバ装置が、前記生成した第2鍵を使用して、前記測定の期待値を計算する期待値計算ステップと、前記サーバ装置が、前記第2車両から受信した前記測定の測定結果を、前記期待値により検証する検証ステップと、を含み、前記サーバ装置は、中古の車載コンピュータに適用されているデータを記憶するデータ記憶部を備え、前記期待値計算ステップは、前記データ記憶部に記憶されるデータであって、前記第1車両から取り外されて前記第2車両に搭載される車載コンピュータが前記第2車両に搭載される時点で当該車載コンピュータに適用されているデータについての前記測定の期待値を計算する、再利用方法である。
本発明の一態様は、第1車両から取り外されて第2車両に搭載されるデータ保安装置の再利用方法において、車両の外部に設けられ、中古のデータ保安装置の再利用に関する処理を実行するサーバ装置が、前記データ保安装置の装置識別子と、前記第1車両と前記第2車両とに共通のマスタ鍵とを使用して、前記第1車両に搭載時から前記データ保安装置に格納されている鍵と同じ第3鍵を生成する鍵生成ステップと、前記サーバ装置が、前記第2車両に搭載される車載コンピュータの第4鍵を前記第3鍵により暗号化して暗号化第4鍵を生成する暗号化ステップと、前記サーバ装置が、前記第2車両とデータを送受する車両インタフェースにより、前記暗号化第4鍵を前記第2車両に送信する暗号化鍵送信ステップと、前記データ保安装置が、自データ保安装置の外部の装置とデータを送受する第1インタフェース部により前記鍵生成装置から受信した暗号化第4鍵を、前記第1車両に搭載時から自己の第1記憶部に格納されている第3鍵により復号する復号ステップと、前記データ保安装置が、自己が格納する第2鍵を使用して、自データ保安装置に適用しているデータの測定を行う測定ステップと、前記サーバ装置が、前記装置識別子と前記マスタ鍵とを使用して、前記データ保安装置に格納されている鍵と同じ第2鍵を生成するステップと、前記サーバ装置が、前記生成した第2鍵を使用して、前記測定の期待値を計算する期待値計算ステップと、前記サーバ装置が、前記第2車両から受信した前記測定の測定結果を、前記期待値により検証する検証ステップと、を含み、前記サーバ装置は、中古のデータ保安装置に適用されているデータを記憶するデータ記憶部を備え、 前記期待値計算ステップは、前記データ記憶部に記憶されるデータであって、前記第1車両から取り外されて前記第2車両に搭載されるデータ保安装置が前記第2車両に搭載される時点で当該データ保安装置に適用されているデータについての前記測定の期待値を計算する、再利用方法である。
本発明の一態様は、車両の外部に設けられ、中古の車載コンピュータの再利用に関する処理を実行するサーバコンピュータであって、第1車両から取り外された車載コンピュータが搭載される第2車両とデータを送受する車両インタフェースを備える前記サーバコンピュータに、前記車載コンピュータの車載コンピュータ識別子と、前記第1車両と前記第2車両とに共通のマスタ鍵とを使用して、前記第1車両に搭載時から前記車載コンピュータに格納されている鍵と同じ第1鍵を生成する鍵生成機能と、前記車両インタフェースにより前記第1鍵を前記第2車両に送信する送信機能と、を実現させ、前記鍵生成機能は、前記車載コンピュータ識別子と前記マスタ鍵とを使用して、前記車載コンピュータに格納されている鍵と同じ第2鍵をさらに生成する、コンピュータプログラムであって、前記鍵生成機能が生成した第2鍵を使用して、前記車載コンピュータに適用されているデータの測定の期待値を計算する期待値計算機能と、前記第2車両から受信した前記測定の測定結果を、前記期待値により検証する検証機能とをさらに前記サーバコンピュータに実現させ、前記サーバコンピュータは、中古の車載コンピュータに適用されているデータを記憶するデータ記憶部を備え、前記期待値計算機能は、前記データ記憶部に記憶されるデータであって、前記第1車両から取り外されて前記第2車両に搭載される車載コンピュータが前記第2車両に搭載される時点で当該車載コンピュータに適用されているデータについての前記測定の期待値を計算する、コンピュータプログラムである。
本発明の一態様は、車両の外部に設けられ、中古のデータ保安装置の再利用に関する処理を実行するサーバコンピュータであって、第1車両から取り外されたデータ保安装置が搭載される第2車両とデータを送受する車両インタフェースを備える前記サーバコンピュータに、前記データ保安装置の装置識別子と、前記第1車両と前記第2車両とに共通のマスタ鍵とを使用して、前記第1車両に搭載時から前記データ保安装置に格納されている鍵と同じ第3鍵を生成する鍵生成機能と、前記第2車両に搭載される車載コンピュータの第4鍵を前記第3鍵により暗号化して暗号化第4鍵を生成する暗号処理機能と、前記車両インタフェースにより前記暗号化第4鍵を前記第2車両に送信する送信機能と、を実現させ、前記鍵生成機能は、前記装置識別子と前記マスタ鍵とを使用して、前記データ保安装置に格納されている鍵と同じ第2鍵をさらに生成する、コンピュータプログラムであって、前記鍵生成機能が生成した第2鍵を使用して、前記データ保安装置に適用されているデータの測定の期待値を計算する期待値計算機能と、前記第2車両から受信した前記測定の測定結果を、前記期待値により検証する検証機能とをさらに前記サーバコンピュータに実現させ、前記サーバコンピュータは、中古のデータ保安装置に適用されているデータを記憶するデータ記憶部を備え、前記期待値計算機能は、前記データ記憶部に記憶されるデータであって、前記第1車両から取り外されて前記第2車両に搭載されるデータ保安装置が前記第2車両に搭載される時点で当該データ保安装置に適用されているデータについての前記測定の期待値を計算する、コンピュータプログラムである。
本発明によれば、中古のECUが搭載される自動車の信頼性を向上させることができるという効果が得られる。
一実施形態に係る再利用システム及び自動車1001の構成例を示す図である。 一実施形態に係るサーバ装置2000の構成例を示す図である。 一実施形態に係るデータ保安装置1010の構成例を示す図である。 一実施形態に係るECU1020の構成例を示す図である。 一実施形態に係る再利用方法の例1を示すシーケンスチャートである。 一実施形態に係る再利用方法の例1の変形例aを示すシーケンスチャートである。 一実施形態に係る再利用方法の例2を示すシーケンスチャートである。 一実施形態に係る再利用方法の例2の変形例bを示すシーケンスチャートである。 一実施形態に係る再利用方法の例3を示すシーケンスチャートである。 一実施形態に係る再利用方法の例3の変形例cを示すシーケンスチャートである。
以下、図面を参照し、本発明の実施形態について説明する。なお、以下に示す実施形態では、車両として自動車を例に挙げて説明する。
図1は、一実施形態に係る再利用システム及び自動車1001の構成例を示す図である。本実施形態では、車載コンピュータの一例として、自動車1001に搭載されるECU(電子制御装置)を挙げて説明する。
図1において、自動車1001は、データ保安装置1010と複数のECU1020とを備える。ECU1020は、自動車1001に備わる車載コンピュータである。ECU1020は、自動車1001のエンジン制御等の制御機能を有する。ECU1020として、例えば、エンジン制御機能を有するECU、ハンドル制御機能を有するECU、ブレーキ制御機能を有するECUなどがある。データ保安装置1010は、自動車1001に搭載されたECU1020に適用されるデータのセキュリティ(保安)の機能を有する。なお、自動車1001に搭載されたいずれかのECUをデータ保安装置1010として機能させてもよい。
データ保安装置1010と複数のECU1020は、自動車1001に備わるCAN(Controller Area Network)1030に接続される。CAN1030は通信ネットワークである。CANは車両に搭載される通信ネットワークの一つとして知られている。データ保安装置1010は、CAN1030を介して、各ECU1020との間でデータを交換する。ECU1020は、CAN1030を介して、他のECU1020との間でデータを交換する。
なお、車両に搭載される通信ネットワークとして、CAN以外の通信ネットワークを自動車1001に備え、CAN以外の通信ネットワークを介して、データ保安装置1010とECU1020との間のデータの交換、及び、ECU1020同士の間のデータの交換が行われてもよい。例えば、LIN(Local Interconnect Network)を自動車1001に備えてもよい。また、CANとLINとを自動車1001に備えてもよい。また、自動車1001において、LINに接続するECU1020を備えてもよい。また、データ保安装置1010は、CANとLINとに接続されてもよい。また、データ保安装置1010は、CANを介して該CANに接続されるECU1020との間でデータを交換し、また、LINを介して該LINに接続されるECU1020との間でデータを交換してもよい。また、ECU1020同士が、LINを介してデータを交換してもよい。
自動車1001に備わる車載コンピュータシステム1002は、データ保安装置1010と複数のECU1020とがCAN1030に接続されて構成される。本実施形態において、車載コンピュータシステム1002は、自動車1001の車載制御システムとして機能する。
データ保安装置1010は、車載コンピュータシステム1002の内部と外部の間の通信を監視する。データ保安装置1010は、車載コンピュータシステム1002の外部の装置の例として、インフォテイメント機器1040、TCU(Tele Communication Unit)1050及び診断ポート1060と接続される。ECU1020は、データ保安装置1010を介して、車載コンピュータシステム1002の外部の装置と通信を行う。
なお、CAN1030の構成として、CAN1030が複数のバス(通信線)を備え、該複数のバスをデータ保安装置1010に接続してもよい。この場合、一つのバスに、一つのECU1020又は複数のECU1020が接続される。
自動車1001は診断ポート1060を備える。診断ポート1060として、例えばOBD(On-board Diagnostics)ポートを使用してもよい。診断ポート1060には、自動車1001の外部の装置を接続可能である。診断ポート1060に接続可能な自動車1001の外部の装置として、例えば、図1に示されるメンテナンスツール2100などがある。データ保安装置1010と、診断ポート1060に接続された装置、例えばメンテナンスツール2100とは、診断ポート1060を介して、データを交換する。メンテナンスツール2100は、OBDポートに接続される従来の診断端末の機能を有していてもよい。
自動車1001はインフォテイメント(Infotainment)機器1040を備える。インフォテイメント機器1040として、例えば、ナビゲーション機能、位置情報サービス機能、音楽や動画などのマルチメディア再生機能、音声通信機能、データ通信機能、インターネット接続機能などを有するものが挙げられる。
自動車1001はTCU1050を備える。TCU1050は通信装置である。TCU1050は通信モジュール1051を備える。通信モジュール1051は、無線通信ネットワークを利用して無線通信を行う。通信モジュール1051は、SIM(Subscriber Identity Module)1052を備える。SIM1052は、無線通信ネットワークを利用するための情報が書き込まれたSIMである。通信モジュール1051は、SIM1052を使用することにより該無線通信ネットワークに接続して無線通信を行うことができる。なお、SIM1052として、eSIM(Embedded Subscriber Identity Module)を使用してもよい。
データ保安装置1010はTCU1050とデータを交換する。なお、TCU1050の他の接続形態として、例えば、TCU1050をインフォテイメント機器1040に接続し、データ保安装置1010が、インフォテイメント機器1040を介して、TCU1050とデータを交換してもよい。又は、TCU1050を診断ポート1060に接続し、データ保安装置1010が、診断ポート1060を介して、該診断ポート1060に接続されたTCU1050とデータを交換してもよい。又は、データ保安装置1010が、SIM1052を含む通信モジュール1051を備えてもよい。データ保安装置1010がSIM1052を含む通信モジュール1051を備える場合には、自動車1001はTCU1050を備えなくてもよい。
データ保安装置1010は、メイン演算器1011とHSM(Hardware Security Module)1012を備える。メイン演算器1011は、データ保安装置1010の機能を実現させるためのコンピュータプログラムを実行する。HSM1012は暗号処理機能等を有する。HSM1012は耐タンパー性(Tamper Resistant)を有する。HSM1012はセキュアエレメント(Secure Element:SE)の例である。HSM1012は、データを記憶する記憶部1013を備える。メイン演算器1011はHSM1012を使用する。
ECU1020は、メイン演算器1021とSHE(Secure Hardware Extension)1022を備える。メイン演算器1021は、ECU1020の機能を実現させるためのコンピュータプログラムを実行する。SHE1022は暗号処理機能等を有する。SHE1022は耐タンパー性を有する。SHE1022はセキュアエレメントの例である。SHE1022は、データを記憶する記憶部1023を備える。メイン演算器1021はSHE1022を使用する。
サーバ装置2000は、通信回線を介して、自動車1001のTCU1050の通信モジュール1051とデータを送受する。サーバ装置2000は、自動車1001のTCU1050の通信モジュール1051が利用する無線通信ネットワークを介して、該通信モジュール1051とデータを送受する。又は、サーバ装置2000は、インターネット等の通信ネットワークと該無線通信ネットワークとを介して、該通信モジュール1051とデータを送受してもよい。また、例えば、サーバ装置2000と通信モジュール1051との間をVPN(Virtual Private Network)回線等の専用回線で接続し、該専用回線でデータを送受してもよい。例えば、SIM1052に対応する無線通信ネットワークによって、VPN回線等の専用回線が提供されてもよい。なお、サーバ装置2000と自動車1001とを通信ケーブルで接続してもよい。例えば、サーバ装置2000と自動車1001のデータ保安装置1010とを通信ケーブルで接続するように構成してもよい。
サーバ装置2000は、鍵生成機能等を有する。サーバ装置2000は、中古のECUの再利用に関する処理を実行する。本実施形態では、サーバ装置2000は鍵生成装置の例である。
図2は、サーバ装置2000の構成例を示す図である。図2において、サーバ装置2000は、通信部2011と記憶部2012と期待値計算部2013と検証部2014と鍵生成部2015と暗号処理部2016とを備える。通信部2011は、通信回線を介して、他の装置と通信を行う。通信部2011は車両インタフェースに対応する。記憶部2012は、データを記憶する。
期待値計算部2013は、自動車1001に適用されているデータについての測定の期待値を計算する。検証部2014は、自動車1001の測定値の検証に係る処理を行う。鍵生成部2015は、鍵を生成する。暗号処理部2016は、データの暗号化及び暗号化データの復号を行う。
サーバ装置2000の機能は、該サーバ装置2000が備えるCPU(Central Processing Unit:中央演算処理装置)がコンピュータプログラムを実行することにより実現される。なお、サーバ装置2000として、汎用のコンピュータ装置を使用して構成してもよく、又は、専用のハードウェア装置として構成してもよい。
図3は、データ保安装置1010の構成例を示す図である。図3において、データ保安装置1010は、メイン演算器1011とHSM1012とインタフェース部20とを備える。メイン演算器1011は、制御部21と記憶部22と検証部23とを備える。HSM1012は、記憶部1013と暗号処理部32と測定部33と鍵生成部34とを備える。
インタフェース部20は、自データ保安装置1010の外部の装置とデータを送受する。インタフェース部20は、CAN1030を介してデータを送受するインタフェースと、インフォテイメント機器1040とデータを送受するインタフェースと、TCU1050とデータを送受するインタフェースと、診断ポート1060を介してデータを送受するインタフェースとを備える。メイン演算器1011は、インタフェース部20を介して、データ保安装置1010以外の他の装置とデータの送受を行う。
制御部21は、データ保安装置1010の制御を行う。記憶部22は、データを記憶する。検証部23は、測定値の検証に係る処理を行う。記憶部1013は、データを記憶する。暗号処理部32は、データの暗号化及び暗号化データの復号を行う。測定部33は、自データ保安装置1010に適用されているデータの測定を行う。鍵生成部34は、鍵を生成する。
図4は、ECU1020の構成例を示す図である。図4において、ECU1020は、メイン演算器1021とSHE1022とインタフェース部40とを備える。メイン演算器1021は、制御部41と記憶部42とを備える。SHE1022は、記憶部1023と暗号処理部52と測定部53とを備える。
インタフェース部40は、自ECU1020の外部の装置とデータを送受する。インタフェース部40は、CAN1030を介してデータを送受するインタフェースを備える。メイン演算器1021は、インタフェース部40を介して、自ECU1020以外の他の装置とデータの送受を行う。
制御部41は、ECU1020の制御を行う。記憶部42は、データを記憶する。記憶部1023は、データを記憶する。暗号処理部52は、データの暗号化及び暗号化データの復号を行う。測定部53は、自ECU1020に適用されているデータの測定を行う。
なお、本実施形態では、データ保安装置1010にHSMを使用しているが、データ保安装置1010においてHSMの代わりにSHEを使用してもよい。なお、SHEについては、例えば非特許文献3に記載されている。
[ECU識別子の構成例]
本実施形態に係るECU識別子の構成例を説明する。ECU識別子は、ECUを識別する情報である。本実施形態では、中古のECUのECU識別子が分かりやすいように、ECU識別子を構成する。
<ECU識別子の構成例1>
ECU識別子の構成例1では、ECU識別子のビット長を113ビットにする。このECU識別子のビットの内訳を以下に示す。
・車両識別番号(VIN:Vehicle Identification Number):102ビット(17ケタの英数字、1文字は6ビット)
・CAN識別子:11ビット
CAN識別子の11ビットは、CANの標準フォーマットのデータフレーム中の11ビット長のIDフィールドに格納されるCAN識別子である。又は、CAN識別子の11ビットは、CANの拡張フォーマットのデータフレーム中の11ビット長のベースID(Base ID)フィールドに格納されるCAN識別子である。なお、車両識別番号(VIN)については、例えば非特許文献2に記載されている。
<ECU識別子の構成例2>
ECU識別子の構成例2では、ECU識別子のビット長を131ビットにする。このECU識別子のビットの内訳を以下に示す。
・車両識別番号(VIN):102ビット(17ケタの英数字、1文字は6ビット)
・CAN識別子:29ビット
CAN識別子の29ビットは、CANの拡張フォーマットのデータフレーム中の11ビット長のベースIDフィールドに格納されるCAN識別子部分「11ビット」と、18ビット長の拡張ID(Extend ID)フィールドに格納されるCAN識別子部分「18ビット」との合計である。
<ECU識別子の構成例3>
ECU識別子の構成例3では、ECU識別子のビット長を113ビットにする。このECU識別子のビットの内訳を以下に示す。
・車両識別番号(VIN)の製造業者識別コード(WMI:World Manufacturer Identifier)以外の残りの部分:84ビット(14ケタの英数字、1文字6ビット)
・CAN識別子:29ビット
CAN識別子の29ビットは、CANの拡張フォーマットのデータフレーム中の11ビット長のベースIDフィールドに格納されるCAN識別子部分「11ビット」と、18ビット長の拡張IDフィールドに格納されるCAN識別子部分「18ビット」との合計である。
<ECU識別子の構成例4>
ECU識別子の構成例4では、ECUに備わるSHEのUIDを当該ECUのECU識別子に使用する。
・SHEの識別子(UID):120ビット
ECU識別子の構成例4では、ECU識別子のビット長は120ビットである。
車両識別番号(VIN)、CAN識別子及びSHEのUIDは、例えば自動車1001の製造工場において取得される。ECU識別子の構成例1,2,3では、ECU識別子は車両識別番号(VIN)を含む。このため、ECU識別子の構成例1,2,3では、ECUが搭載される自動車が変わるとECU識別子も変わる。一方、ECU識別子の構成例4では、ECUに備わるSHEのUIDが当該ECUのECU識別子であるので、ECUが搭載される自動車が変わってもECU識別子は変わらず同じである。
[再利用方法の例]
次に本実施形態に係る再利用方法の例を説明する。以下の再利用方法の例の説明では、ECU識別子の一例として、上記したECU識別子の構成例4、つまり、ECUに備わるSHEのUIDを当該ECUのECU識別子に使用する。したがって、ECUのECU識別子は、当該ECUが搭載される自動車が変わっても、同じである。
<再利用方法の例1>
図5は、本実施形態に係る再利用方法の例1を示すシーケンスチャートである。図5を参照して本実施形態に係る再利用方法の例1を説明する。再利用方法の例1は、中古のECUを再利用する場合である。以下、中古のECUをECU(used)と称する。
図5において、ECU(used)1020は、図示しないある自動車(第1車両に対応)から取り外されて自動車1001(第2車両に対応)に搭載されている。サーバ装置2000は、マスタ鍵Master_Secretと、プログラムコードとを予め記憶部2012に格納している。プログラムコードは、更新プログラム等のコンピュータプログラムであってもよく、又は、パラメータ設定値などの設定データであってもよい。記憶部2012に格納されているプログラムコードは、ECU(used)1020が自動車1001に搭載される時点で該ECU(used))1020に適用されているECUコード(ECU code)を含む。ECUコードは、ECUのプログラムコードである。
データ保安装置1010は、Root鍵Krc、署名鍵Kbc、暗号鍵Kec、期待値Ecn及び車内鍵Kvを予めHSM1012の記憶部1013に格納している。ECU(used)1020は、Root鍵Kre、署名鍵Kbe、暗号鍵Kee、期待値Een_old及び車内鍵Kv_oldを予めSHE1022の記憶部1023に格納している。
以下、サーバ装置2000は、通信部2011により、自動車1001のTCU1050と通信を行い、TCU1050を介して、自動車1001のデータ保安装置1010との間でデータを送受する。また、データ保安装置1010とECU(used)1020とは、CAN1030を介して、データを送受する。なお、サーバ装置2000とデータ保安装置1010との間の通信路として、暗号化通信路を使用してもよい。例えば、サーバ装置2000とデータ保安装置1010は、暗号化通信路の一例として、https(hypertext transfer protocol secure)通信を行ってもよい。
(ステップS101)サーバ装置2000の鍵生成部2015は、自動車1001に搭載されているデータ保安装置1010のRoot鍵Krcと、ECU(used)1020のRoot鍵Kre及び署名鍵Kbeとを生成する。
鍵生成部2015の鍵生成方法の例を説明する。鍵生成部2015は、記憶部2012に格納されているマスタ鍵Master_Secretと、鍵生成対象装置の識別子UNIT_IDと、変数Nkとを使用して、次式により鍵(共通鍵)を生成する。
共通鍵=ダイジェスト(Master_Secret、UNIT_ID、Nk)
但し、鍵生成対象装置がデータ保安装置1010である場合には、UNIT_IDはデータ保安装置1010の装置識別子SecU_IDである。鍵生成対象装置がECU1020である場合には、UNIT_IDはECU1020のECU識別子ECU_IDである。ダイジェスト(Master_Secret、UNIT_ID、Nk)は、マスタ鍵Master_Secretと識別子UNIT_IDと変数Nkとから生成されるダイジェスト値である。ダイジェスト値として、例えば、ハッシュ(hash)関数により算出される値、又は、排他的論理和演算により算出される値などが挙げられる。例えば、共通鍵は、マスタ鍵Master_Secretと識別子UNIT_IDと変数Nkとを入力値に使用して算出されるハッシュ関数値である。
変数Nkの値が異なれば、ダイジェスト値は異なる。変数Nkの値を変えることによって、同じマスタ鍵Master_Secretと識別子UNIT_IDとから、異なる共通鍵を生成することができる。例えば、Root鍵用の変数Nkの値をNk_zとし、署名鍵用の変数Nkの値をNk_aとし、暗号鍵用の変数Nkの値をNk_bとする。鍵生成部2015は、マスタ鍵Master_Secretと、データ保安装置1010の識別子SecU_IDと、変数Nk_z,Nk_a,Nk_bとを使用して、
Root鍵Krc=ダイジェスト(Master_Secret、SecU_ID、Nk_z)、
署名鍵Kbc=ダイジェスト(Master_Secret、SecU_ID、Nk_a)、
暗号鍵Kec=ダイジェスト(Master_Secret、SecU_ID、Nk_b)、
により、データ保安装置1010のRoot鍵Krcと署名鍵Kbcと暗号鍵Kecとを異なる鍵として生成することができる。
また、鍵生成部2015は、マスタ鍵Master_Secretと、ECU1020の識別子ECU_IDと、変数Nk_z,Nk_a,Nk_bとを使用して、
Root鍵Kre=ダイジェスト(Master_Secret、ECU_ID、Nk_z)、
署名鍵Kbe=ダイジェスト(Master_Secret、ECU_ID、Nk_a)、
暗号鍵Kee=ダイジェスト(Master_Secret、ECU_ID、Nk_a)、
により、ECU1020のRoot鍵Kreと署名鍵Kbeと暗号鍵Keeとを異なる鍵として生成することができる。
記憶部2012は、データ保安装置1010のRoot鍵Krcと、ECU(used)1020のRoot鍵Kre及び署名鍵Kbeとを格納する。データ保安装置1010のHSM1012の記憶部1013は、サーバ装置2000と同じ鍵生成方法によって生成されたRoot鍵Krcを予め格納している。ECU(used)1020のSHE1022の記憶部1023は、サーバ装置2000と同じ鍵生成方法によって生成されたRoot鍵Kre及び署名鍵Kbeを予め格納している。
(ステップS102)ECU(used)1020の制御部41は、自動車1001に搭載された後、セキュアブートを実行する。このセキュアブートでは、SHE1022の測定部53は、記憶部1023に格納している署名鍵KbeによりECUコードの測定値を計算する。本実施形態では、測定値の一例として、CMAC(Cipher-based Message Authentication Code)を使用する。よって、測定部53は、記憶部1023に格納している署名鍵Kbeにより、ECUコードのCMACを計算する。この計算結果のCMACを測定値Een_aと称する。SHE1022は、測定値Een_aを制御部41に渡す。制御部41は、測定値Een_aにより、SHE1022の憶部1023に格納している期待値Een_oldを更新する。これにより、記憶部1023に格納している期待値Een_oldが測定値Een_aに書き換えられる。よって、該更新後の記憶部1023に格納される期待値は測定値Een_aである。
(ステップS103)ECU(used)1020の制御部41は、測定値Een_aをSHE1022に渡して暗号化を実行させる。SHE1022の暗号処理部52は、記憶部1023に格納しているRoot鍵Kreにより測定値Een_aを暗号化して暗号化データKre(Een_a)を生成する。SHE1022は、暗号化データKre(Een_a)を制御部41に渡す。制御部41は、インタフェース部40により、暗号化データKre(Een_a)を、CAN1030を介してデータ保安装置1010経由でサーバ装置2000に送信する。サーバ装置2000は、自動車1001のデータ保安装置1010から暗号化データKre(Een_a)を受信する。測定値Een_aは、セキュアブート結果の例である。
(ステップS104)サーバ装置2000の暗号処理部2016は、記憶部2012に格納しているRoot鍵Kreにより暗号化データKre(Een_a)を復号して、測定値Een_aを取得する。なお、ECU(used)1020は、測定値Een_aを暗号化しないでそのままのデータでサーバ装置2000に送信してもよい。
期待値計算部2013は、記憶部2012に格納している署名鍵Kbeにより、記憶部2012に格納しているECU(used)1020のECUコードについてのCMACを計算する。この計算結果のCMACを期待値Een_bと称する。検証部2014は、測定値Een_aと期待値Een_bとを比較し、両者が一致するか否かを判断する。この判断の結果、両者が一致する場合には測定値Een_aの検証が合格である。測定値Een_aの検証が合格である場合には、ステップS105に進む。一方、両者が一致しない場合には測定値Een_aの検証が不合格である。測定値Een_aの検証が不合格である場合には、当該ECU(used)1020について図5の処理を終了する。よって、測定値Een_aの検証が不合格である場合には、当該ECU(used)1020についてステップS105以降は実行されない。また、測定値Een_aの検証が不合格である場合には、サーバ装置2000は所定のエラー処理を実行してもよい。
(ステップS105)サーバ装置2000は、車内鍵送付要求メッセージを自動車1001のデータ保安装置1010に送信する。この車内鍵送付要求メッセージは、測定値Een_aの検証が合格したECU(used)1020に車内鍵Kvを送付することを要求するメッセージである。該車内鍵送付要求メッセージは、ECU(used)1020のRoot鍵Kreを含む。サーバ装置2000は、暗号処理部2016によりデータ保安装置1010のRoot鍵KrcでRoot鍵Kreを暗号化し、該Root鍵Kreの暗号化データKrc(Kre)を車内鍵送付要求メッセージに格納することが好ましい。自動車1001のデータ保安装置1010は、サーバ装置2000から車内鍵送付要求メッセージを受信する。
(ステップS106)データ保安装置1010の制御部21は、車内鍵送付要求メッセージに含まれるECU(used)1020のRoot鍵KreをHSM1012に渡して、車内鍵Kvの暗号化を実行させる。なお、車内鍵送付要求メッセージに含まれるECU(used)1020のRoot鍵Kreが暗号化されている場合には、制御部21は、該Root鍵Kreの暗号化データKrc(Kre)をHSM1012に渡して、Root鍵Krcにより復号させることにより、ECU(used)1020のRoot鍵Kreを取得する。
HSM1012の暗号処理部32は、ECU(used)1020のRoot鍵Kreにより、記憶部1013に格納している車内鍵Kvを暗号化して、暗号化データKre(Kv)を生成する。HSM1012は、暗号化データKre(Kv)を制御部21に渡す。制御部21は、インタフェース部20により、暗号化データKre(Kv)をECU(used)1020に送信する。ECU(used)1020は、インタフェース部40により、データ保安装置1010から暗号化データKre(Kv)を受信する。
(ステップS107)ECU(used)1020の制御部41は、暗号化データKre(Kv)をSHE1022に渡して復号を実行させる。SHE1022の暗号処理部52は、記憶部1023に格納しているRoot鍵Kreにより暗号化データKre(Kv)を復号して、車内鍵Kvを取得する。SHE1022は、該車内鍵Kvにより、記憶部1023に格納している車内鍵Kv_oldを更新する。これにより、記憶部1023に格納している車内鍵Kv_oldが車内鍵Kvに書き換えられる。よって、該更新後の記憶部1023に格納される車内鍵は車内鍵Kvである。これにより、ECU(used)1020は、自動車1001のデータ保安装置1010及び各ECU1020に共通の車内鍵Kvを格納する。
上記の図5の各ステップは、自動車1001に搭載されている全てのECU(used)1020に対して同様に実行される。本再利用方法の例1において、車内鍵Kvは、ECU(used)1020に適用される第1データの例である。また、Root鍵Kreは、第1鍵の例である。また、署名鍵Kbeは、第2鍵の例である。
上述した再利用方法の例1によれば、自動車1001に搭載されたECU(used)1020の従前の車内鍵Kv_oldが、自動車1001で使用されている車内鍵Kvに更新される。これにより、ECU(used)1020は、自動車1001の他のECU1020やデータ保安装置1010との間で、車内鍵Kvを使用して安全な通信を行うことができる。これは、ECU(used)1020が搭載される自動車1001の信頼性を向上させることに寄与するという効果を奏する。
<再利用方法の例1の変形例a>
図6は、再利用方法の例1の変形例aを示すシーケンスチャートである。図6を参照して、再利用方法の例1の変形例aを説明する。図6において図5の各ステップに対応する部分には同一の符号を付している。再利用方法の例1の変形例aでは、ECU(used)1020のセキュアブートの測定の期待値を、サーバ装置2000からECU(used)1020に供給する。
図6において、ステップS101が実行される。ステップS101は、上記の再利用方法の例1と同じである。
(ステップS101a)ステップS101の後、サーバ装置2000の期待値計算部2013は、記憶部2012に格納している署名鍵Kbeにより、記憶部2012に格納しているECU(used)1020のECUコードについてのCMACを計算する。この計算結果のCMACは期待値Een_bである。
(ステップS101b)サーバ装置2000は、期待値Een_bをECU(used)1020に送信する。
(ステップS102)ECU(used)1020は、サーバ装置2000から受信した期待値Een_bにより、SHE1022の記憶部1023に格納している期待値Een_oldを更新する。これにより、記憶部1023に格納している期待値Een_oldが期待値Een_bに書き換えられる。よって、該更新後の記憶部1023に格納される期待値は期待値Een_bである。ECU(used)1020は、セキュアブートの測定値Een_aと、記憶部1023に格納される期待値Een_bとを比較し、両者が一致するか否かを判断する。この判断の結果、両者が一致する場合にはセキュアブート結果が合格である。一方、両者が一致しない場合にはセキュアブート結果が不合格である。
(ステップS103)ECU(used)1020は、セキュアブート結果「合格又は不合格」をサーバ装置2000に送信する。
(ステップS104)サーバ装置2000は、ECU(used)1020から受信したセキュアブート結果により、ECU(used)1020のセキュアブートの合否を判断する。ECU(used)1020から受信したセキュアブート結果が合格である場合には、ステップS105に進む。一方、ECU(used)1020から受信したセキュアブート結果が不合格である場合には、当該ECU(used)1020について図6の処理を終了する。よって、該セキュアブート結果が不合格である場合には、当該ECU(used)1020についてステップS105以降は実行されない。また、セキュアブート結果が不合格である場合には、サーバ装置2000は所定のエラー処理を実行してもよい。
次いで、ステップS105,S106,S107が実行される。ステップS105,S106,S107は、上記の再利用方法の例1と同じである。
なお、サーバ装置2000は、検証値(例えば、乱数)を予めECU(used)1020に供給してもよい。そして、ステップS103において、ECU(used)1020は、セキュアブート結果が合格である場合にはセキュアブート結果「合格」に検証値を含め、一方、セキュアブート結果が不合格である場合にはセキュアブート結果「不合格」に検証値を含めない。サーバ装置2000の検証部2014は、ECU(used)1020のセキュアブート結果「合格」に含まれる検証値と、予めECU(used)1020に供給した元の検証値とを比較する。サーバ装置2000の検証部2014は、該比較の結果、両者が一致する場合にはECU(used)1020のセキュアブート結果が合格であると判断し、両者が一致しない場合にはECU(used)1020のセキュアブート結果が不合格であると判断する。
また、ECU(used)1020は、SHE1022の暗号処理部52によりセキュアブート結果を暗号化して、サーバ装置2000に送信してもよい。この暗号化に用いる暗号鍵Keeは、予め、サーバ装置2000とECU(used)1020間で共有しておく。サーバ装置2000は、ECU(used)1020からの暗号化データを、暗号処理部2016により、記憶部2012に格納されている暗号鍵Keeで復号して、セキュアブート結果を取得する。なお、暗号鍵Keeは、セキュアブート結果が合格である場合にのみSHE1022で使用可能となる鍵であってもよい。この場合、SHE1022の暗号処理部52はセキュアブート結果「合格」を該暗号鍵Keeにより暗号化する。
以上が再利用方法の例1の変形例aの説明である。
<再利用方法の例2>
図7は、本実施形態に係る再利用方法の例2を示すシーケンスチャートである。図7を参照して本実施形態に係る再利用方法の例2を説明する。再利用方法の例2は、上記の再利用方法の例1と同様に、中古のECU(ECU(used))を再利用する場合である。再利用方法の例2では、ECU(used)1020のセキュアブート結果の検証を、データ保安装置1010が行う点が再利用方法の例1と異なる。以下、再利用方法の例1と異なる点を主に説明する。
図7において、ECU(used)1020は、図示しないある自動車(第1車両に対応)から取り外されて自動車1001(第2車両に対応)に搭載されている。サーバ装置2000は、マスタ鍵Master_Secretと、プログラムコードとを予め記憶部2012に格納している。記憶部2012に格納されているプログラムコードは、ECU(used)1020が自動車1001に搭載される時点で該ECU(used))1020に適用されているECUコードを含む。
データ保安装置1010は、Root鍵Krc、署名鍵Kbc、暗号鍵Kec、期待値Ecn及び車内鍵Kvを予めHSM1012の記憶部1013に格納している。ECU(used)1020は、Root鍵Kre、署名鍵Kbe、暗号鍵Kee、期待値Een_old及び車内鍵Kv_oldを予めSHE1022の記憶部1023に格納している。
以下、サーバ装置2000は、自動車1001のTCU1050を介して、自動車1001のデータ保安装置1010との間でデータを送受する。また、データ保安装置1010とECU(used)1020とは、CAN1030を介して、データを送受する。なお、サーバ装置2000とデータ保安装置1010は、暗号化通信路の一例として、https通信を行ってもよい。
(ステップS111)サーバ装置2000の鍵生成部2015は、自動車1001に搭載されているデータ保安装置1010のRoot鍵Krcと、ECU(used)1020のRoot鍵Kre及び署名鍵Kbeとを生成する。この鍵の生成に係る処理は、上述した図5の再利用方法の例1のステップS101と同じである。記憶部2012は、データ保安装置1010のRoot鍵Krcと、ECU(used)1020のRoot鍵Kre及び署名鍵Kbeとを格納する。データ保安装置1010のHSM1012の記憶部1013は、サーバ装置2000と同じ鍵生成方法によって生成されたRoot鍵Krcを予め格納している。ECU(used)1020のSHE1022の記憶部1023は、サーバ装置2000と同じ鍵生成方法によって生成されたRoot鍵Kre及び署名鍵Kbeを予め格納している。
(ステップS112)サーバ装置2000の期待値計算部2013は、記憶部2012に格納している署名鍵Kbeにより、記憶部2012に格納しているECU(used)1020のECUコードについてのCMACを計算する。この計算結果のCMACは期待値Een_bである。
(ステップS113)サーバ装置2000は、期待値Een_bと、ECU(used)1020のRoot鍵Kreとをデータ保安装置1010に送信する。データ保安装置1010は、サーバ装置2000から、期待値Een_bと、ECU(used)1020のRoot鍵Kreとを受信する。データ保安装置1010の記憶部22は、サーバ装置2000から受信した期待値Een_bを格納する。データ保安装置1010のHSM1012の記憶部1013は、サーバ装置2000から受信したECU(used)1020のRoot鍵Kreを格納する。
なお、サーバ装置2000は、暗号処理部2016によりデータ保安装置1010のRoot鍵KrcでRoot鍵Kreを暗号化し、該Root鍵Kreの暗号化データKrc(Kre)をデータ保安装置1010に送信することが好ましい。データ保安装置1010のHSM1012は、暗号処理部32により該Root鍵Kreの暗号化データKrc(Kre)をRoot鍵Krcで復号して、ECU(used)1020のRoot鍵Kreを取得する。同様に、期待値Een_bは、データ保安装置1010のRoot鍵Krcにより暗号化されて、サーバ装置2000からデータ保安装置1010に送信されてもよい。
(ステップS114)ECU(used)1020の制御部41は、自動車1001に搭載された後、セキュアブート及び期待値の更新を実行する。このセキュアブート及び期待値の更新に係る処理は、上述した図5の再利用方法の例1のステップS102と同じである。
(ステップS115)ECU(used)1020は、セキュアブート結果として測定値Een_aの暗号化データKre(Een_a)をデータ保安装置1010に送信する。測定値Een_aの暗号化処理は、上述した図5の再利用方法の例1のステップS103と同じである。データ保安装置1010は、ECU(used)1020から暗号化データKre(Een_a)を受信する。
(ステップS116)データ保安装置1010の制御部21は、暗号化データKre(Een_a)をHSM1012に渡して復号を実行させる。HSM1012の暗号処理部32は、記憶部1013に格納しているECU(used)1020のRoot鍵Kreにより暗号化データKre(Een_a)を復号して、測定値Een_aを取得する。なお、ECU(used)1020は、測定値Een_aを暗号化しないでそのままのデータでデータ保安装置1010に送信してもよい。
データ保安装置1010の検証部23は、HSM1012により取得した測定値Een_aと、記憶部22に格納している期待値Een_bとを比較し、両者が一致するか否かを判断する。この判断の結果、両者が一致する場合には測定値Een_aの検証が合格である。測定値Een_aの検証が合格である場合には、ステップS117に進む。一方、両者が一致しない場合には測定値Een_aの検証が不合格である。測定値Een_aの検証が不合格である場合には、当該ECU(used)1020について図7の処理を終了する。よって、測定値Een_aの検証が不合格である場合には、当該ECU(used)1020についてステップS117以降は実行されない。また、測定値Een_aの検証が不合格である場合には、データ保安装置1010は所定のエラー処理を実行してもよい。
(ステップS117)データ保安装置1010の制御部21は、HSM1012により生成した車内鍵Kvの暗号化データKre(Kv)を、ECU(used)1020に送信する。車内鍵Kvの暗号化データKre(Kv)は、上述した図5の再利用方法の例1のステップS106と同様に、HSM1012により生成される。ECU(used)1020は、データ保安装置1010から暗号化データKre(Kv)を受信する。
(ステップS118)ECU(used)1020は、データ保安装置1010から受信した暗号化データKre(Kv)を復号して取得した車内鍵Kvを設定する。この車内鍵Kvの設定に係る処理は、上述した図5の再利用方法の例1のステップS107と同じである。この車内鍵Kvの設定により、ECU(used)1020のSHE1022の記憶部1023に格納している車内鍵Kv_oldが車内鍵Kvに書き換えられて、記憶部1023に格納される車内鍵が車内鍵Kvに更新される。これにより、ECU(used)1020は、自動車1001のデータ保安装置1010及び各ECU1020に共通の車内鍵Kvを格納する。
上記の図7の各ステップは、自動車1001に搭載されている全てのECU(used)1020に対して同様に実行される。本再利用方法の例2において、車内鍵Kvは、ECU(used)1020に適用される第1データの例である。また、Root鍵Kreは、第1鍵の例である。また、署名鍵Kbeは、第2鍵の例である。
上述した再利用方法の例2によれば、再利用方法の例1と同様に、自動車1001に搭載されたECU(used)1020の従前の車内鍵Kv_oldが、自動車1001で使用されている車内鍵Kvに更新される。これにより、ECU(used)1020は、自動車1001の他のECU1020やデータ保安装置1010との間で、車内鍵Kvを使用して安全な通信を行うことができる。これは、ECU(used)1020が搭載される自動車1001の信頼性を向上させることに寄与するという効果を奏する。
また、上述した再利用方法の例2によれば、データ保安装置1010がセキュアブート結果の検証を行う。これにより、再利用方法の例1のように、自動車1001の外部のサーバ装置2000でセキュアブート結果の検証を行う場合に比して、処理の効率化を図ることができる。
<再利用方法の例2の変形例b>
図8は、再利用方法の例2の変形例bを示すシーケンスチャートである。図8を参照して、再利用方法の例2の変形例bを説明する。図8において図7の各ステップに対応する部分には同一の符号を付している。再利用方法の例2の変形例bでは、上述の再利用方法の例1の変形例aと同様に、ECU(used)1020のセキュアブートの測定の期待値を、サーバ装置2000からECU(used)1020に供給する。
図8において、ステップS111,S112,S113が実行される。ステップS111,S112,S113は、上記の再利用方法の例2と同じである。
(ステップS113a)データ保安装置1010は、サーバ装置2000から受信した期待値Een_bを、ECU(used)1020に送信する。
(ステップS114)ECU(used)1020は、データ保安装置1010から受信した期待値Een_bにより、記憶部1023に格納している期待値Een_oldを更新する。これにより、記憶部1023に格納している期待値Een_oldが期待値Een_bに書き換えられる。よって、該更新後の記憶部1023に格納される期待値は期待値Een_bである。ECU(used)1020は、セキュアブートの測定値Een_aと、記憶部1023に格納される期待値Een_bとを比較し、両者が一致するか否かを判断する。この判断の結果、両者が一致する場合にはセキュアブート結果が合格である。一方、両者が一致しない場合にはセキュアブート結果が不合格である。
(ステップS115)ECU(used)1020は、セキュアブート結果「合格又は不合格」をデータ保安装置1010に送信する。
(ステップS116)データ保安装置1010は、ECU(used)1020から受信したセキュアブート結果により、ECU(used)1020のセキュアブートの合否を判断する。ECU(used)1020から受信したセキュアブート結果が合格である場合には、ステップS117に進む。一方、ECU(used)1020から受信したセキュアブート結果が不合格である場合には、当該ECU(used)1020について図6の処理を終了する。よって、該セキュアブート結果が不合格である場合には、当該ECU(used)1020についてステップS117以降は実行されない。また、セキュアブート結果が不合格である場合には、データ保安装置1010は所定のエラー処理を実行してもよい。
次いで、ステップS117,S118が実行される。ステップS117,S118は、上記の再利用方法の例2と同じである。
なお、データ保安装置1010は、検証値(例えば、乱数)を予めECU(used)1020に供給してもよい。そして、ステップS115において、ECU(used)1020は、セキュアブート結果が合格である場合にはセキュアブート結果「合格」に検証値を含め、一方、セキュアブート結果が不合格である場合にはセキュアブート結果「不合格」に検証値を含めない。データ保安装置1010の検証部23は、ECU(used)1020のセキュアブート結果「合格」に含まれる検証値と、予めECU(used)1020に供給した元の検証値とを比較する。データ保安装置1010の検証部23は、該比較の結果、両者が一致する場合にはECU(used)1020のセキュアブート結果が合格であると判断し、両者が一致しない場合にはECU(used)1020のセキュアブート結果が不合格であると判断する。
また、ECU(used)1020は、SHE1022の暗号処理部52によりセキュアブート結果を暗号化して、データ保安装置1010に送信してもよい。この暗号化に用いる暗号鍵Keeは、予め、データ保安装置1010とECU(used)1020間で共有しておく。例えば、サーバ装置2000が暗号鍵Keeをデータ保安装置1010に供給する。データ保安装置1010は、ECU(used)1020からの暗号化データを、暗号処理部32により暗号鍵Keeで復号して、セキュアブート結果を取得する。なお、暗号鍵Keeは、セキュアブート結果が合格である場合にのみSHE1022で使用可能となる鍵であってもよい。この場合、SHE1022の暗号処理部52はセキュアブート結果「合格」を該暗号鍵Keeにより暗号化する。
以上が再利用方法の例2の変形例bの説明である。
<再利用方法の例3>
図9は、本実施形態に係る再利用方法の例3を示すシーケンスチャートである。図9を参照して本実施形態に係る再利用方法の例3を説明する。再利用方法の例3は、中古のデータ保安装置を再利用する場合である。以下、中古のデータ保安装置をデータ保安装置(used)と称する。
図9には、説明の便宜上、自動車1001に搭載されるECU(n)1020のうち、1個のECU(1)1020のみを示している。但し、nは1からNまでの整数である。Nは、自動車1001に搭載されているECU1020のうち、車内鍵配信対象のECU1020の個数である。
図9において、データ保安装置(used)1010は、図示しないある自動車(第1車両に対応)から取り外されて自動車1001(第2車両に対応)に搭載されている。サーバ装置2000は、マスタ鍵Master_Secretと、プログラムコードとを予め記憶部2012に格納している。プログラムコードは、更新プログラム等のコンピュータプログラムであってもよく、又は、パラメータ設定値などの設定データであってもよい。記憶部2012に格納されているプログラムコードは、データ保安装置(used)1010が自動車1001に搭載される時点で該データ保安装置(used)1010に適用されているデータ保安装置コードを含む。データ保安装置コードは、データ保安装置のプログラムコードである。
データ保安装置1010は、Root鍵Krc、署名鍵Kbc、暗号鍵Kec、期待値Ecn_old及び車内鍵Kv_old_aを予めHSM1012の記憶部1013に格納している。ECU(1)1020は、Root鍵Kr1、署名鍵Kb1、暗号鍵Ke1、期待値E1n及び車内鍵Kv_old_bを予めSHE1022の記憶部1023に格納している。データ保安装置(used)1010が格納する車内鍵Kv_old_aと、ECU(1)1020が格納する車内鍵Kv_old_bとは異なる。
以下、サーバ装置2000は、通信部2011により、自動車1001のTCU1050と通信を行い、TCU1050を介して、自動車1001のデータ保安装置(used)1010との間でデータを送受する。また、データ保安装置(used)1010とECU(1)1020とは、CAN1030を介して、データを送受する。なお、サーバ装置2000とデータ保安装置(used)1010は、暗号化通信路の一例として、https通信を行ってもよい。
(ステップS201)サーバ装置2000の鍵生成部2015は、自動車1001に搭載されているデータ保安装置(used)1010のRoot鍵Krc及び署名鍵Kbcと、ECU(1)1020のRoot鍵Kr1とを生成する。この鍵生成方法は、上述した図5の再利用方法の例1と同じである。記憶部2012は、データ保安装置(used)1010のRoot鍵Krc及び署名鍵Kbcと、ECU(1)1020のRoot鍵Kr1とを格納する。データ保安装置(used)1010のHSM1012の記憶部1013は、サーバ装置2000と同じ鍵生成方法によって生成されたRoot鍵Krc及び署名鍵Kbcを予め格納している。ECU1020のSHE1022の記憶部1023は、サーバ装置2000と同じ鍵生成方法によって生成されたRoot鍵Kr1を予め格納している。
(ステップS202)データ保安装置(used)1010の制御部21は、自動車1001に搭載された後、セキュアブートを実行する。このセキュアブートでは、HSM1012の測定部33は、記憶部1013に格納している署名鍵Kbcによりデータ保安装置コードの測定値を計算する。本実施形態では、測定値の一例として、CMACを使用する。よって、測定部33は、記憶部1013に格納している署名鍵Kbcにより、データ保安装置コードのCMACを計算する。この計算結果のCMACを測定値Ecn_aと称する。HSM1012は、測定値Ecn_aを制御部21に渡す。HSM1012は、測定値Ecn_aにより、記憶部1013に格納している期待値Ecn_oldを更新する。これにより、記憶部1013に格納している期待値Ecn_oldが測定値Ecn_aに書き換えられる。よって、該更新後の記憶部1013に格納される期待値は測定値Ecn_aである。
(ステップS203)データ保安装置(used)1010の制御部21は、測定値Ecn_aをHSM1012に渡して暗号化を実行させる。HSM1012の暗号処理部32は、記憶部1013に格納しているRoot鍵Krcにより測定値Ecn_aを暗号化して暗号化データKrc(Ecn_a)を生成する。HSM1012は、暗号化データKrc(Ecn_a)を制御部21に渡す。制御部21は、インタフェース部20により、暗号化データKrc(Ecn_a)をサーバ装置2000に送信する。サーバ装置2000は、自動車1001のデータ保安装置(used)1010から暗号化データKrc(Ecn_a)を受信する。測定値Ecn_aは、セキュアブート結果の例である。
(ステップS204)サーバ装置2000の暗号処理部2016は、記憶部2012に格納しているRoot鍵Krcにより暗号化データKrc(Ecn_a)を復号して、測定値Ecn_aを取得する。なお、データ保安装置(used)1010は、測定値Ecn_aを暗号化しないでそのままのデータでサーバ装置2000に送信してもよい。
期待値計算部2013は、記憶部2012に格納している署名鍵Kbcにより、記憶部2012に格納しているデータ保安装置(used)1010のデータ保安装置コードについてのCMACを計算する。この計算結果のCMACを期待値Ecn_bと称する。検証部2014は、測定値Ecn_aと期待値Ecn_bとを比較し、両者が一致するか否かを判断する。この判断の結果、両者が一致する場合には測定値Ecn_aの検証が合格である。測定値Ecn_aの検証が合格である場合には、ステップS205に進む。一方、両者が一致しない場合には測定値Ecn_aの検証が不合格である。測定値Ecn_aの検証が不合格である場合には、当該データ保安装置(used)1010について図9の処理を終了する。よって、測定値Ecn_aの検証が不合格である場合には、当該データ保安装置(used)1010についてステップS205以降は実行されない。また、測定値Ecn_aの検証が不合格である場合には、サーバ装置2000は所定のエラー処理を実行してもよい。
(ステップS205)サーバ装置2000は、車内鍵送付要求メッセージを自動車1001のデータ保安装置(used)1010に送信する。この車内鍵送付要求メッセージは、測定値Ecn_aの検証が合格したデータ保安装置(used)1010に新車内鍵Kv_newを送付することを要求するメッセージである。該車内鍵送付要求メッセージは、ECU(1)1020のRoot鍵Kr1を含む。サーバ装置2000は、暗号処理部2016によりデータ保安装置(used)1010のRoot鍵KrcでRoot鍵Kr1を暗号化し、該Root鍵Kr1の暗号化データKrc(Kr1)を車内鍵送付要求メッセージに格納することが好ましい。自動車1001のデータ保安装置(used)1010は、サーバ装置2000から車内鍵送付要求メッセージを受信する。
(ステップS206)データ保安装置(used)1010の制御部21は、HSM1012に、新車内鍵Kv_newの生成を実行させる。HSM1012の鍵生成部34は、新車内鍵Kv_newを生成する。例えば、HSM1012の鍵生成部34は、乱数を発生し、該乱数に基づいて新車内鍵Kv_newを生成する。HSM1012は、新車内鍵Kv_newにより、記憶部1013に格納している車内鍵Kv_old_aを更新する。これにより、記憶部1013に格納している車内鍵Kv_old_aが新車内鍵Kv_newに書き換えられる。よって、該更新後の記憶部1013に格納される車内鍵は新車内鍵Kv_newである。
(ステップS207)データ保安装置(used)1010の制御部21は、車内鍵送付要求メッセージに含まれるECU(1)1020のRoot鍵Kr1をHSM1012に渡して、新車内鍵Kv_newの暗号化を実行させる。なお、車内鍵送付要求メッセージに含まれるECU(1)1020のRoot鍵Kr1が暗号化されている場合には、制御部21は、該Root鍵Kr1の暗号化データKrc(Kr1)をHSM1012に渡して、Root鍵Krcにより復号させることにより、ECU(1)1020のRoot鍵Kr1を取得する。
HSM1012の暗号処理部32は、ECU(1)1020のRoot鍵Kr1により、記憶部1013に格納している新車内鍵Kv_newを暗号化して、暗号化データKr1(Kv_new)を生成する。HSM1012は、暗号化データKr1(Kv_new)を制御部21に渡す。制御部21は、インタフェース部20により、暗号化データKr1(Kv_new)をECU(1)1020に送信する。ECU(1)1020は、インタフェース部40により、データ保安装置(used)1010から暗号化データKr1(Kv_new)を受信する。
(ステップS208)ECU(1)1020の制御部41は、暗号化データKr1(Kv_new)をSHE1022に渡して復号を実行させる。SHE1022の暗号処理部52は、記憶部1023に格納しているRoot鍵Kr1により暗号化データKr1(Kv_new)を復号して、新車内鍵Kv_newを取得する。SHE1022は、該新車内鍵Kv_newにより、記憶部1023に格納している車内鍵Kv_old_bを更新する。これにより、記憶部1023に格納している車内鍵Kv_old_bが新車内鍵Kv_newに書き換えられる。よって、該更新後の記憶部1023に格納される車内鍵は新車内鍵Kv_newである。これにより、ECU(1)1020は、データ保安装置(used)1010と共通の新車内鍵Kv_newを格納する。
上記の図9の各ステップは、自動車1001に搭載されている全てのECU(n)1020に対して同様に実行される。これにより、自動車1001において、データ保安装置(used)1010と各ECU(n)1020とは、共通の新車内鍵Kv_newを格納する。本再利用方法の例3において、Root鍵Krcは、第3鍵の例である。また、Root鍵Kr1は第4鍵の例である。また、新車内鍵Kv_newは、ECU(1)1020に適用される第1データの例である。
上述した再利用方法の例3によれば、自動車1001に搭載されたデータ保安装置(used)1010は該自動車1001に搭載されている各ECU(n)1020のRoot鍵Krn(nは1からNまでの整数)を共有することができる。これにより、自動車1001において、データ保安装置(used)1010は、各ECU(n)1020との間で、各Root鍵Krnを使用して安全な通信を行うことができる。これは、データ保安装置(used)1010が搭載される自動車1001の信頼性を向上させることに寄与するという効果を奏する。
また、上述した再利用方法の例3によれば、自動車1001において、データ保安装置(used)1010と各ECU(n)1020は、新車内鍵Kv_newを共有することができる。これにより、ECU(n)1020は、自動車1001の他のECU(n)1020やデータ保安装置(used)1010との間で、新車内鍵Kv_newを使用して安全な通信を行うことができる。
<再利用方法の例3の変形例c>
図10は、再利用方法の例3の変形例cを示すシーケンスチャートである。図10を参照して、再利用方法の例3の変形例cを説明する。図10において図9の各ステップに対応する部分には同一の符号を付している。
再利用方法の例3の変形例cでは、データ保安装置(used)1010のセキュアブートの測定の期待値を、サーバ装置2000からデータ保安装置(used)1010に供給する。
図10において、ステップS201が実行される。ステップS201は、上記の再利用方法の例3と同じである。
(ステップS201a)ステップS201の後、サーバ装置2000の期待値計算部2013は、記憶部2012に格納している署名鍵Kbcにより、記憶部2012に格納しているデータ保安装置(used)1010のデータ保安装置コードについてのCMACを計算する。この計算結果のCMACは期待値Ecn_bである。
(ステップS201b)サーバ装置2000は、期待値Ecn_bをデータ保安装置(used)1010に送信する。
(ステップS202)データ保安装置(used)1010は、サーバ装置2000から受信した期待値Ecn_bにより、記憶部1013に格納している期待値Ecn_oldを更新する。これにより、記憶部1013に格納している期待値Ecn_oldが期待値Ecn_bに書き換えられる。よって、該更新後の記憶部1013に格納される期待値は期待値Ecn_bである。データ保安装置(used)1010は、セキュアブートの測定値Ecn_aと、記憶部1013に格納される期待値Ecn_bとを比較し、両者が一致するか否かを判断する。この判断の結果、両者が一致する場合にはセキュアブート結果が合格である。一方、両者が一致しない場合にはセキュアブート結果が不合格である。
(ステップS203)データ保安装置(used)1010は、セキュアブート結果「合格又は不合格」をサーバ装置2000に送信する。
(ステップS204)サーバ装置2000は、データ保安装置(used)1010から受信したセキュアブート結果により、データ保安装置(used)1010のセキュアブートの合否を判断する。データ保安装置(used)1010から受信したセキュアブート結果が合格である場合には、ステップS205に進む。一方、データ保安装置(used)1010から受信したセキュアブート結果が不合格である場合には、当該データ保安装置(used)1010について図10の処理を終了する。よって、該セキュアブート結果が不合格である場合には、当該データ保安装置(used)1010についてステップS205以降は実行されない。また、セキュアブート結果が不合格である場合には、サーバ装置2000は所定のエラー処理を実行してもよい。
次いで、ステップS205,S206,S207,S208が実行される。ステップS205,S206,S207,S208は、上記の再利用方法の例3と同じである。
なお、サーバ装置2000は、検証値(例えば、乱数)を予めデータ保安装置(used)1010に供給してもよい。そして、ステップS203において、データ保安装置(used)1010は、セキュアブート結果が合格である場合にはセキュアブート結果「合格」に検証値を含め、一方、セキュアブート結果が不合格である場合にはセキュアブート結果「不合格」に検証値を含めない。サーバ装置2000の検証部2014は、データ保安装置(used)1010のセキュアブート結果「合格」に含まれる検証値と、予めデータ保安装置(used)1010に供給した元の検証値とを比較する。サーバ装置2000の検証部2014は、該比較の結果、両者が一致する場合にはデータ保安装置(used)1010のセキュアブート結果が合格であると判断し、両者が一致しない場合にはデータ保安装置(used)1010のセキュアブート結果が不合格であると判断する。
また、データ保安装置(used)1010は、HSM1012の暗号処理部32によりセキュアブート結果を暗号化して、サーバ装置2000に送信してもよい。この暗号化に用いる暗号鍵Kecは、予め、サーバ装置2000とデータ保安装置(used)1010間で共有しておく。サーバ装置2000は、データ保安装置(used)1010からの暗号化データを、暗号処理部2016により、記憶部2012に格納されている暗号鍵Kecで復号して、セキュアブート結果を取得する。なお、暗号鍵Kecは、セキュアブート結果が合格である場合にのみHSM1012で使用可能となる鍵であってもよい。この場合、HSM1012の暗号処理部32はセキュアブート結果「合格」を該暗号鍵Kecにより暗号化する。
以上が再利用方法の例3の変形例cの説明である。
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
上述した実施形態に係る再利用方法の例の説明では、ECU識別子の一例として、ECU識別子の構成例4、つまり、ECUに備わるSHEのUIDを当該ECUのECU識別子に使用したが、これに限定されない。例えば、SHEのUID以外の他のECUに固有の値をECU識別子に使用してもよい。
又は、ECU識別子の構成例1,2,3を使用してもよい。ECU識別子の構成例1,2,3を使用する場合、ECUのECU識別子は、当該ECUが搭載される自動車の車両識別番号(VIN)を含むので、当該ECUが搭載される自動車が変わると、異なる値に変わる。このため、中古のECUのECU識別子は、該中古のECUが再利用される先の自動車の車両識別番号(VIN)を使用して生成される。サーバ装置2000は、再利用先の自動車(第2車両)に搭載された中古のECUに対して、該再利用先の自動車の車両識別番号(VIN)を使用して生成された新ECU識別子を使用して、各種の新しい鍵(例えば、新Root鍵、新署名鍵、新暗号鍵など)を生成する。この鍵生成方法は、上述の実施形態と同じである。
サーバ装置2000は、それら新しい鍵、例えば新Root鍵を再利用先の自動車に搭載された中古のECUに供給し、該中古のECUのRoot鍵を新Root鍵に更新させる。サーバ装置2000は、該中古のECUに予め格納されている旧Root鍵により新Root鍵を暗号化し、該暗号化新Root鍵を再利用先の自動車に搭載された中古のECUに送信することが好ましい。中古のECUは、自己に格納している旧Root鍵により暗号化新Root鍵を復号して新Root鍵を取得する。中古のECUの旧Root鍵は、該中古のECUが取り外された自動車(第1車両)の車両識別番号(VIN)を使用して生成された旧ECU識別子を使用して、生成される。
なお、データ保安装置の装置識別子についても、ECU識別子と同様に、データ保安装置に固有の値であってもよく、又は、ECU識別子の構成例1,2,3のようにデータ保安装置が搭載される自動車別の値であってもよい。データ保安装置の装置識別子が、ECU識別子の構成例1,2,3のようにデータ保安装置が搭載される自動車別の値である場合には、上述したECUと同様に、中古のデータ保安装置の再利用先の自動車において、該中古のデータ保安装置の各種の旧鍵は新鍵に更新される。
なお、メンテナンスツール2100が、サーバ装置2000と同様の機能を備え、鍵生成装置として機能してもよい。また、自動車1001のTCU1050又はインフォテイメント機器1040が、サーバ装置2000と同様の機能を備え、鍵生成装置として機能してもよい。
上述した実施形態では、データ保安装置1010やECU1020にHSMやSHEを使用したが、HSM及びSHE以外の暗号処理チップを使用してもよい。データ保安装置1010に対して、例えば「TPM(Trusted Platform Module)f」と呼ばれる暗号処理チップを使用してもよい。TPMfは耐タンパー性を有する。TPMfはセキュアエレメントの例である。ECU1020に対して、例えば「TPMt」と呼ばれる暗号処理チップを使用してもよい。TPMtは耐タンパー性を有する。TPMtはセキュアエレメントの例である。
上述した実施形態は、例えば、自動車の整備工場や販売店等において、自動車のECU又はデータ保安装置を中古品に交換した際に、自動車に搭載された該中古品に適用してもよい。
上述した実施形態では、車両として自動車を例に挙げたが、原動機付自転車や鉄道車両等の自動車以外の他の車両にも適用可能である。
また、上述した各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
20,40…インタフェース部、21,41…制御部、22,42,2012…記憶部、23,2014…検証部、32,52,2016…暗号処理部、33,53…測定部、34,2015…鍵生成部、1001…自動車、1002…車載コンピュータシステム、1010…データ保安装置、1011,1021…メイン演算器、1012…HSM、1013,1023…記憶部、1020…ECU、1022…SHE、1030…CAN、1040…インフォテイメント機器、1050…TCU、1051…通信モジュール、1052…SIM、1060…診断ポート、2000…サーバ装置、2011…通信部、2013…期待値計算部、2100…メンテナンスツール

Claims (10)

  1. 鍵生成装置と、第1車両から取り外されて第2車両に搭載される車載コンピュータと、前記第2車両に搭載されるデータ保安装置とを備え、
    前記鍵生成装置は、
    前記第2車両とデータを送受する車両インタフェースと、
    前記車載コンピュータの車載コンピュータ識別子と、前記第1車両と前記第2車両とに共通のマスタ鍵とを使用して、前記第1車両に搭載時から前記車載コンピュータに格納されている鍵と同じ第1鍵を生成する鍵生成部と、を備え、前記車両インタフェースにより前記第1鍵を前記第2車両に送信し、
    前記データ保安装置は、
    自データ保安装置の外部の装置とデータを送受する第1インタフェース部と、
    前記車載コンピュータに適用される第1データを、前記第1インタフェース部により前記鍵生成装置から受信した第1鍵により暗号化して暗号化第1データを生成する第1暗号処理部と、を備え、前記第1インタフェース部により前記暗号化第1データを前記車載コンピュータに送信し、
    前記車載コンピュータは、
    自車載コンピュータの外部の装置とデータを送受する第2インタフェース部と、
    前記第1車両に搭載時から第1鍵を格納する第2記憶部と、
    前記第2インタフェース部により前記データ保安装置から受信した暗号化第1データを、前記第2記憶部に格納されている第1鍵により復号する第2暗号処理部と、を備え
    前記車載コンピュータは、
    第2鍵を前記第2記憶部にさらに格納し、
    前記第2記憶部に格納されている第2鍵を使用して、自車載コンピュータに適用しているデータの測定を行う測定部をさらに備え、
    前記鍵生成部は、前記車載コンピュータ識別子と前記マスタ鍵とを使用して、前記車載コンピュータに格納されている鍵と同じ第2鍵をさらに生成し、
    前記鍵生成装置は、前記鍵生成部が生成した第2鍵を使用して、前記測定の期待値を計算する期待値計算部をさらに備え、
    前記鍵生成装置は、前記車両インタフェースにより前記第2車両から受信した前記測定部の測定結果を、前記期待値により検証する検証部をさらに備える、再利用システムであって、
    前記鍵生成装置は、車両の外部に設けられ、中古の車載コンピュータの再利用に関する処理を実行するサーバ装置であり、
    前記サーバ装置は、中古の車載コンピュータに適用されているデータを記憶するデータ記憶部を備え、
    前記期待値計算部は、前記データ記憶部に記憶されるデータであって、前記第1車両から取り外されて前記第2車両に搭載される車載コンピュータが前記第2車両に搭載される時点で当該車載コンピュータに適用されているデータについての前記測定の期待値を計算する、
    再利用システム。
  2. 鍵生成装置と、第1車両から取り外されて第2車両に搭載される車載コンピュータと、前記第2車両に搭載されるデータ保安装置とを備え、
    前記鍵生成装置は、
    前記第2車両とデータを送受する車両インタフェースと、
    前記車載コンピュータの車載コンピュータ識別子と、前記第1車両と前記第2車両とに共通のマスタ鍵とを使用して、前記第1車両に搭載時から前記車載コンピュータに格納されている鍵と同じ第1鍵を生成する鍵生成部と、を備え、前記車両インタフェースにより前記第1鍵を前記第2車両に送信し、
    前記データ保安装置は、
    自データ保安装置の外部の装置とデータを送受する第1インタフェース部と、
    前記車載コンピュータに適用される第1データを、前記第1インタフェース部により前記鍵生成装置から受信した第1鍵により暗号化して暗号化第1データを生成する第1暗号処理部と、を備え、前記第1インタフェース部により前記暗号化第1データを前記車載コンピュータに送信し、
    前記車載コンピュータは、
    自車載コンピュータの外部の装置とデータを送受する第2インタフェース部と、
    前記第1車両に搭載時から第1鍵を格納する第2記憶部と、
    前記第2インタフェース部により前記データ保安装置から受信した暗号化第1データを、前記第2記憶部に格納されている第1鍵により復号する第2暗号処理部と、を備え、
    前記車載コンピュータは、
    第2鍵を前記第2記憶部にさらに格納し、
    前記第2記憶部に格納されている第2鍵を使用して、自車載コンピュータに適用しているデータの測定を行う測定部をさらに備え、
    前記鍵生成部は、前記車載コンピュータ識別子と前記マスタ鍵とを使用して、前記車載コンピュータに格納されている鍵と同じ第2鍵をさらに生成し、
    前記鍵生成装置は、前記鍵生成部が生成した第2鍵を使用して、前記測定の期待値を計算する期待値計算部をさらに備え、
    前記データ保安装置は、前記第1インタフェース部により前記車載コンピュータから受信した前記測定部の測定結果を、前記期待値により検証する検証部をさらに備える、再利用システムであり、
    前記鍵生成装置は、車両の外部に設けられ、中古の車載コンピュータの再利用に関する処理を実行するサーバ装置であって、
    前記サーバ装置は、中古の車載コンピュータに適用されているデータを記憶するデータ記憶部を備え、
    前記期待値計算部は、前記データ記憶部に記憶されるデータであって、前記第1車両から取り外されて前記第2車両に搭載される車載コンピュータが前記第2車両に搭載される時点で当該車載コンピュータに適用されているデータについての前記測定の期待値を計算する、
    再利用システム。
  3. 鍵生成装置と、第1車両から取り外されて第2車両に搭載されるデータ保安装置と、を備え、
    前記鍵生成装置は、
    前記第2車両とデータを送受する車両インタフェースと、
    前記データ保安装置の装置識別子と、前記第1車両と前記第2車両とに共通のマスタ鍵とを使用して、前記第1車両に搭載時から前記データ保安装置に格納されている鍵と同じ第3鍵を生成する鍵生成部と、
    前記第2車両に搭載される車載コンピュータの第4鍵を前記第3鍵により暗号化して暗号化第4鍵を生成する暗号処理部と、を備え、前記車両インタフェースにより前記暗号化第4鍵を前記第2車両に送信し、
    前記データ保安装置は、
    自データ保安装置の外部の装置とデータを送受する第1インタフェース部と、
    前記第1車両に搭載時から第3鍵を格納する第1記憶部と、
    前記第1インタフェース部により前記鍵生成装置から受信した暗号化第4鍵を、前記第1記憶部に格納されている第3鍵により復号する第1暗号処理部と、を備え、
    前記データ保安装置は、
    第2鍵を前記第1記憶部にさらに格納し、
    前記第1記憶部に格納されている第2鍵を使用して、自データ保安装置に適用しているデータの測定を行う測定部をさらに備え、
    前記鍵生成部は、前記装置識別子と前記マスタ鍵とを使用して、前記データ保安装置に格納されている鍵と同じ第2鍵をさらに生成し、
    前記鍵生成装置は、前記鍵生成部が生成した第2鍵を使用して、前記測定の期待値を計算する期待値計算部をさらに備え、
    前記鍵生成装置は、前記車両インタフェースにより前記第2車両から受信した前記測定部の測定結果を、前記期待値により検証する検証部をさらに備える、再利用システムであって、
    前記鍵生成装置は、車両の外部に設けられ、中古のデータ保安装置の再利用に関する処理を実行するサーバ装置であり、
    前記サーバ装置は、中古のデータ保安装置に適用されているデータを記憶するデータ記憶部を備え、
    前記期待値計算部は、前記データ記憶部に記憶されるデータであって、前記第1車両から取り外されて前記第2車両に搭載されるデータ保安装置が前記第2車両に搭載される時点で当該データ保安装置に適用されているデータについての前記測定の期待値を計算する、
    再利用システム。
  4. 前記第1暗号処理部は、前記車載コンピュータに適用される第1データを、前記暗号化第4鍵の復号により取得した第4鍵により暗号化して暗号化第1データを生成し、
    前記データ保安装置は、前記第1インタフェース部により前記暗号化第1データを前記車載コンピュータに送信する、
    請求項に記載の再利用システム。
  5. 車両の外部に設けられ、中古の車載コンピュータの再利用に関する処理を実行するサーバ装置であって、
    第1車両から取り外された車載コンピュータが搭載される第2車両とデータを送受する車両インタフェースと、
    前記車載コンピュータの車載コンピュータ識別子と、前記第1車両と前記第2車両とに共通のマスタ鍵とを使用して、前記第1車両に搭載時から前記車載コンピュータに格納されている鍵と同じ第1鍵を生成する鍵生成部と、を備え、
    前記車両インタフェースにより前記第1鍵を前記第2車両に送信する、サーバ装置であり、
    前記鍵生成部は、前記車載コンピュータ識別子と前記マスタ鍵とを使用して、前記車載コンピュータに格納されている鍵と同じ第2鍵をさらに生成し、
    前記サーバ装置は、
    前記鍵生成部が生成した第2鍵を使用して、前記車載コンピュータに適用されているデータの測定の期待値を計算する期待値計算部と、
    前記第2車両から受信した前記測定の測定結果を、前記期待値により検証する検証部とをさらに備え、
    前記サーバ装置は、中古の車載コンピュータに適用されているデータを記憶するデータ記憶部をさらに備え、
    前記期待値計算部は、前記データ記憶部に記憶されるデータであって、前記第1車両から取り外されて前記第2車両に搭載される車載コンピュータが前記第2車両に搭載される時点で当該車載コンピュータに適用されているデータについての前記測定の期待値を計算する、
    サーバ装置。
  6. 車両の外部に設けられ、中古のデータ保安装置の再利用に関する処理を実行するサーバ装置であって、
    第1車両から取り外されたデータ保安装置が搭載される第2車両とデータを送受する車両インタフェースと、
    前記データ保安装置の装置識別子と、前記第1車両と前記第2車両とに共通のマスタ鍵とを使用して、前記第1車両に搭載時から前記データ保安装置に格納されている鍵と同じ第3鍵を生成する鍵生成部と、
    前記第2車両に搭載される車載コンピュータの第4鍵を前記第3鍵により暗号化して暗号化第4鍵を生成する暗号処理部と、を備え、前記車両インタフェースにより前記暗号化第4鍵を前記第2車両に送信する、サーバ装置であり、
    前記鍵生成部は、前記装置識別子と前記マスタ鍵とを使用して、前記データ保安装置に格納されている鍵と同じ第2鍵をさらに生成し、
    前記サーバ装置は、前記鍵生成部が生成した第2鍵を使用して、前記データ保安装置に適用されているデータの測定の期待値を計算する期待値計算部と、
    前記第2車両から受信した前記測定の測定結果を、前記期待値により検証する検証部とをさらに備え、
    前記サーバ装置は、中古のデータ保安装置に適用されているデータを記憶するデータ記憶部をさらに備え、
    前記期待値計算部は、前記データ記憶部に記憶されるデータであって、前記第1車両から取り外されて前記第2車両に搭載されるデータ保安装置が前記第2車両に搭載される時点で当該データ保安装置に適用されているデータについての前記測定の期待値を計算する、
    サーバ装置。
  7. 第1車両から取り外されて第2車両に搭載される車載コンピュータの再利用方法において、
    車両の外部に設けられ、中古の車載コンピュータの再利用に関する処理を実行するサーバ装置が、前記車載コンピュータの車載コンピュータ識別子と、前記第1車両と前記第2車両とに共通のマスタ鍵とを使用して、前記第1車両に搭載時から前記車載コンピュータに格納されている鍵と同じ第1鍵を生成する鍵生成ステップと、
    前記サーバ装置が、前記第2車両とデータを送受する車両インタフェースにより、前記第1鍵を前記第2車両に送信する第1鍵送信ステップと、
    データ保安装置が、前記車載コンピュータに適用される第1データを、自データ保安装置の外部の装置とデータを送受する第1インタフェース部により前記鍵生成装置から受信した第1鍵により暗号化して、暗号化第1データを生成する暗号化ステップと、
    前記データ保安装置が、前記第1インタフェース部により前記暗号化第1データを前記車載コンピュータに送信する暗号化第1データ送信ステップと、
    前記車載コンピュータが、自車載コンピュータの外部の装置とデータを送受する第2インタフェース部により前記データ保安装置から受信した暗号化第1データを、前記第1車両に搭載時から自己の第2記憶部に格納されている第1鍵により復号する復号ステップと、
    前記車載コンピュータが、自己が格納する第2鍵を使用して、自車載コンピュータに適用しているデータの測定を行う測定ステップと、
    前記サーバ装置が、前記車載コンピュータ識別子と前記マスタ鍵とを使用して、前記車載コンピュータに格納されている鍵と同じ第2鍵を生成するステップと、
    前記サーバ装置が、前記生成した第2鍵を使用して、前記測定の期待値を計算する期待値計算ステップと、
    前記サーバ装置が、前記第2車両から受信した前記測定の測定結果を、前記期待値により検証する検証ステップと、を含み、
    前記サーバ装置は、中古の車載コンピュータに適用されているデータを記憶するデータ記憶部を備え、
    前記期待値計算ステップは、前記データ記憶部に記憶されるデータであって、前記第1車両から取り外されて前記第2車両に搭載される車載コンピュータが前記第2車両に搭載される時点で当該車載コンピュータに適用されているデータについての前記測定の期待値を計算する、
    再利用方法。
  8. 第1車両から取り外されて第2車両に搭載されるデータ保安装置の再利用方法において、
    車両の外部に設けられ、中古のデータ保安装置の再利用に関する処理を実行するサーバ装置が、前記データ保安装置の装置識別子と、前記第1車両と前記第2車両とに共通のマスタ鍵とを使用して、前記第1車両に搭載時から前記データ保安装置に格納されている鍵と同じ第3鍵を生成する鍵生成ステップと、
    前記サーバ装置が、前記第2車両に搭載される車載コンピュータの第4鍵を前記第3鍵により暗号化して暗号化第4鍵を生成する暗号化ステップと、
    前記サーバ装置が、前記第2車両とデータを送受する車両インタフェースにより、前記暗号化第4鍵を前記第2車両に送信する暗号化鍵送信ステップと、
    前記データ保安装置が、自データ保安装置の外部の装置とデータを送受する第1インタフェース部により前記鍵生成装置から受信した暗号化第4鍵を、前記第1車両に搭載時から自己の第1記憶部に格納されている第3鍵により復号する復号ステップと、
    前記データ保安装置が、自己が格納する第2鍵を使用して、自データ保安装置に適用しているデータの測定を行う測定ステップと、
    前記サーバ装置が、前記装置識別子と前記マスタ鍵とを使用して、前記データ保安装置に格納されている鍵と同じ第2鍵を生成するステップと、
    前記サーバ装置が、前記生成した第2鍵を使用して、前記測定の期待値を計算する期待値計算ステップと、
    前記サーバ装置が、前記第2車両から受信した前記測定の測定結果を、前記期待値により検証する検証ステップと、を含み、
    前記サーバ装置は、中古のデータ保安装置に適用されているデータを記憶するデータ記憶部を備え、
    前記期待値計算ステップは、前記データ記憶部に記憶されるデータであって、前記第1車両から取り外されて前記第2車両に搭載されるデータ保安装置が前記第2車両に搭載される時点で当該データ保安装置に適用されているデータについての前記測定の期待値を計算する、
    再利用方法。
  9. 車両の外部に設けられ、中古の車載コンピュータの再利用に関する処理を実行するサーバコンピュータであって、第1車両から取り外された車載コンピュータが搭載される第2車両とデータを送受する車両インタフェースを備える前記サーバコンピュータに、
    前記車載コンピュータの車載コンピュータ識別子と、前記第1車両と前記第2車両とに共通のマスタ鍵とを使用して、前記第1車両に搭載時から前記車載コンピュータに格納されている鍵と同じ第1鍵を生成する鍵生成機能と、
    前記車両インタフェースにより前記第1鍵を前記第2車両に送信する送信機能と、を実現させ、
    前記鍵生成機能は、前記車載コンピュータ識別子と前記マスタ鍵とを使用して、前記車載コンピュータに格納されている鍵と同じ第2鍵をさらに生成する、コンピュータプログラムであって、
    前記鍵生成機能が生成した第2鍵を使用して、前記車載コンピュータに適用されているデータの測定の期待値を計算する期待値計算機能と、
    前記第2車両から受信した前記測定の測定結果を、前記期待値により検証する検証機能とをさらに前記サーバコンピュータに実現させ、
    前記サーバコンピュータは、中古の車載コンピュータに適用されているデータを記憶するデータ記憶部を備え、
    前記期待値計算機能は、前記データ記憶部に記憶されるデータであって、前記第1車両から取り外されて前記第2車両に搭載される車載コンピュータが前記第2車両に搭載される時点で当該車載コンピュータに適用されているデータについての前記測定の期待値を計算する、
    コンピュータプログラム。
  10. 車両の外部に設けられ、中古のデータ保安装置の再利用に関する処理を実行するサーバコンピュータであって、第1車両から取り外されたデータ保安装置が搭載される第2車両とデータを送受する車両インタフェースを備える前記サーバコンピュータに、
    前記データ保安装置の装置識別子と、前記第1車両と前記第2車両とに共通のマスタ鍵とを使用して、前記第1車両に搭載時から前記データ保安装置に格納されている鍵と同じ第3鍵を生成する鍵生成機能と、
    前記第2車両に搭載される車載コンピュータの第4鍵を前記第3鍵により暗号化して暗号化第4鍵を生成する暗号処理機能と、
    前記車両インタフェースにより前記暗号化第4鍵を前記第2車両に送信する送信機能と、を実現させ、
    前記鍵生成機能は、前記装置識別子と前記マスタ鍵とを使用して、前記データ保安装置に格納されている鍵と同じ第2鍵をさらに生成する、コンピュータプログラムであって、
    前記鍵生成機能が生成した第2鍵を使用して、前記データ保安装置に適用されているデータの測定の期待値を計算する期待値計算機能と、
    前記第2車両から受信した前記測定の測定結果を、前記期待値により検証する検証機能とをさらに前記サーバコンピュータに実現させ、
    前記サーバコンピュータは、中古のデータ保安装置に適用されているデータを記憶するデータ記憶部を備え、
    前記期待値計算機能は、前記データ記憶部に記憶されるデータであって、前記第1車両から取り外されて前記第2車両に搭載されるデータ保安装置が前記第2車両に搭載される時点で当該データ保安装置に適用されているデータについての前記測定の期待値を計算する、
    コンピュータプログラム。
JP2016219709A 2016-11-10 2016-11-10 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム Expired - Fee Related JP6683588B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2016219709A JP6683588B2 (ja) 2016-11-10 2016-11-10 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム
US16/315,891 US11082228B2 (en) 2016-11-10 2017-07-26 Reuse system, key generation device, data security device, in-vehicle computer, reuse method, and computer program
EP17868999.8A EP3541006B1 (en) 2016-11-10 2017-07-26 Reuse system, key creating device, data security device, on-vehicle computer, reuse method, and computer program
PCT/JP2017/027036 WO2018087963A1 (ja) 2016-11-10 2017-07-26 再利用システム、鍵生成装置、データ保安装置、車載コンピュータ、再利用方法、及びコンピュータプログラム
CN201780042605.9A CN109479000B (zh) 2016-11-10 2017-07-26 再利用系统、密钥生成装置、数据安全装置、车载计算机、再利用方法以及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016219709A JP6683588B2 (ja) 2016-11-10 2016-11-10 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2018078484A JP2018078484A (ja) 2018-05-17
JP6683588B2 true JP6683588B2 (ja) 2020-04-22

Family

ID=62109514

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016219709A Expired - Fee Related JP6683588B2 (ja) 2016-11-10 2016-11-10 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム

Country Status (5)

Country Link
US (1) US11082228B2 (ja)
EP (1) EP3541006B1 (ja)
JP (1) JP6683588B2 (ja)
CN (1) CN109479000B (ja)
WO (1) WO2018087963A1 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6683588B2 (ja) * 2016-11-10 2020-04-22 Kddi株式会社 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム
JP6731887B2 (ja) * 2017-06-27 2020-07-29 Kddi株式会社 保守システム及び保守方法
JP6696942B2 (ja) * 2017-08-14 2020-05-20 Kddi株式会社 車両保安システム及び車両保安方法
JP6863227B2 (ja) * 2017-10-26 2021-04-21 トヨタ自動車株式会社 電子制御装置、通信管理方法、及びプログラム
JP2020088836A (ja) * 2018-11-15 2020-06-04 Kddi株式会社 車両メンテナンスシステム、メンテナンスサーバ装置、管理サーバ装置、車載装置、メンテナンスツール、コンピュータプログラム及び車両メンテナンス方法
US11240006B2 (en) * 2019-03-25 2022-02-01 Micron Technology, Inc. Secure communication for a key exchange
AU2020264092A1 (en) * 2019-04-25 2021-08-12 Deere & Company Systems, methods and controllers for secure communications
DE102019207753A1 (de) * 2019-05-27 2020-12-03 Robert Bosch Gmbh Verfahren zum Ansteuern eines Fahrzeugs
CN110752915A (zh) * 2019-09-06 2020-02-04 惠州市德赛西威汽车电子股份有限公司 一种车载电子设备的安全密钥加密系统及方法
CN111428892B (zh) * 2020-03-24 2024-01-02 深圳市易孔立出软件开发有限公司 一种车辆控制单元更换方法、系统及电子设备和存储介质
CN113497704A (zh) * 2020-04-01 2021-10-12 罗伯特·博世有限公司 车载密钥生成方法、车辆及计算机可读存储介质
DE102020212772A1 (de) * 2020-10-09 2022-04-14 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren und Vorrichtung zum Verwalten von kryptografischen Schlüsseln
DE102020214508A1 (de) 2020-11-18 2022-05-19 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Speichern eines digitalen Schlüssels in einem Steuergerät
DE102020214515A1 (de) 2020-11-18 2022-05-19 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Speichern eines digitalen Schlüssels in einem Steuergerät
EP4322467A1 (en) * 2021-04-28 2024-02-14 Huawei Technologies Co., Ltd. Key processing method and apparatus
EP4329240A1 (en) * 2021-04-30 2024-02-28 Huawei Technologies Co., Ltd. Key updating method and related device thereof

Family Cites Families (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06171477A (ja) * 1992-12-04 1994-06-21 Mazda Motor Corp リサイクル自動車の製造システムとその製造方法及びリビルト自動車の製造システムとその製造方法
JP2001195587A (ja) * 2000-01-14 2001-07-19 Sharp Corp 部品が搭載されたプリント基板の解体装置および解体方法
US6360161B1 (en) * 2000-05-04 2002-03-19 Bombardier Motor Corporation Of America Method and system for fuel injector coefficient installation
JP3613516B2 (ja) 2000-08-28 2005-01-26 本田技研工業株式会社 製品の樹脂部品のリサイクル回数を管理する解体管理システム及び解体管理方法
US10678734B2 (en) * 2016-07-25 2020-06-09 General Electric Company Communication system for controlling or monitoring vehicle components
US7228420B2 (en) * 2002-06-28 2007-06-05 Temic Automotive Of North America, Inc. Method and system for technician authentication of a vehicle
US7010682B2 (en) * 2002-06-28 2006-03-07 Motorola, Inc. Method and system for vehicle authentication of a component
JP4576997B2 (ja) * 2004-04-28 2010-11-10 株式会社デンソー 通信システム、鍵配信装置、暗号処理装置
US8626882B2 (en) * 2005-10-07 2014-01-07 GM Global Technology Operations LLC Reconfigurable communication for distributed embedded systems
US20070113070A1 (en) * 2005-11-04 2007-05-17 Lackritz Neal M Secure active suspension system
JP2007253792A (ja) * 2006-03-23 2007-10-04 Denso Corp 車両用電子制御装置のソフトウェアシステムおよびその設計方法
JP2010011400A (ja) * 2008-06-30 2010-01-14 National Institute Of Advanced Industrial & Technology 共通鍵方式の暗号通信システム
JP5173891B2 (ja) * 2009-03-02 2013-04-03 株式会社東海理化電機製作所 秘密鍵登録システム及び秘密鍵登録方法
JP5249175B2 (ja) * 2009-11-11 2013-07-31 株式会社東海理化電機製作所 電子キーシステムのキー位置判定装置
JP5367917B2 (ja) * 2011-01-25 2013-12-11 三洋電機株式会社 車載器
JP2013031151A (ja) * 2011-06-20 2013-02-07 Renesas Electronics Corp 暗号通信システムおよび暗号通信方法
JP5479408B2 (ja) 2011-07-06 2014-04-23 日立オートモティブシステムズ株式会社 車載ネットワークシステム
US20140143839A1 (en) * 2011-11-16 2014-05-22 Flextronics Ap, Llc. On board vehicle remote control module
US9147910B2 (en) * 2011-12-28 2015-09-29 General Electric Company Method and system for controlling energy storage device
JP5435513B2 (ja) * 2012-01-27 2014-03-05 トヨタ自動車株式会社 暗号通信システム、鍵配布装置、暗号通信方法
JP5866216B2 (ja) * 2012-01-31 2016-02-17 株式会社東海理化電機製作所 電子キー登録システム
JP6093503B2 (ja) * 2012-01-31 2017-03-08 株式会社東海理化電機製作所 電子キー登録方法
US9270468B2 (en) * 2013-05-29 2016-02-23 GM Global Technology Operations LLC Methods to improve secure flash programming
US9769658B2 (en) * 2013-06-23 2017-09-19 Shlomi Dolev Certificating vehicle public key with vehicle attributes
WO2015129352A1 (ja) * 2014-02-28 2015-09-03 日立オートモティブシステムズ株式会社 認証システム、車載制御装置
US20160098555A1 (en) * 2014-10-02 2016-04-07 Arm Limited Program code attestation circuitry, a data processing apparatus including such program code attestation circuitry and a program attestation method
CN105989477A (zh) 2014-11-07 2016-10-05 天地融科技股份有限公司 数据交互方法
WO2016075869A1 (ja) * 2014-11-13 2016-05-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 鍵管理方法、車載ネットワークシステム及び鍵管理装置
JP6173411B2 (ja) 2014-12-12 2017-08-02 Kddi株式会社 管理装置、車両、管理システム、管理方法、及びコンピュータプログラム
JP6079768B2 (ja) 2014-12-15 2017-02-15 トヨタ自動車株式会社 車載通信システム
KR101759133B1 (ko) * 2015-03-17 2017-07-18 현대자동차주식회사 비밀 정보 기반의 상호 인증 방법 및 장치
JP6262681B2 (ja) * 2015-03-26 2018-01-17 Kddi株式会社 管理装置、車両、管理方法、及びコンピュータプログラム
US9607457B2 (en) * 2015-06-25 2017-03-28 Ford Global Technologies, Llc Reuseable keyfob for use prior to sale of keyless vehicle
JP6345157B2 (ja) * 2015-06-29 2018-06-20 クラリオン株式会社 車載情報通信システム及び認証方法
JP6536251B2 (ja) * 2015-07-24 2019-07-03 富士通株式会社 通信中継装置、通信ネットワーク、通信中継プログラム及び通信中継方法
WO2017022821A1 (ja) * 2015-08-05 2017-02-09 Kddi株式会社 管理装置、管理システム、鍵生成装置、鍵生成システム、鍵管理システム、車両、管理方法、鍵生成方法、及びコンピュータプログラム
DE102015220224A1 (de) * 2015-10-16 2017-04-20 Volkswagen Aktiengesellschaft Verfahren zur geschützten Kommunikation eines Fahrzeugs
JP6217728B2 (ja) * 2015-10-19 2017-10-25 トヨタ自動車株式会社 車両システムおよび認証方法
JP6502832B2 (ja) * 2015-11-13 2019-04-17 株式会社東芝 検査装置、通信システム、移動体および検査方法
US10285051B2 (en) * 2016-09-20 2019-05-07 2236008 Ontario Inc. In-vehicle networking
JP6683588B2 (ja) * 2016-11-10 2020-04-22 Kddi株式会社 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム
US11449331B2 (en) * 2018-01-25 2022-09-20 Lg Electronics Inc. Vehicular update system and control method thereof

Also Published As

Publication number Publication date
JP2018078484A (ja) 2018-05-17
WO2018087963A1 (ja) 2018-05-17
EP3541006B1 (en) 2023-02-15
US11082228B2 (en) 2021-08-03
EP3541006A1 (en) 2019-09-18
EP3541006A4 (en) 2020-06-24
US20190245691A1 (en) 2019-08-08
CN109479000A (zh) 2019-03-15
CN109479000B (zh) 2021-10-22

Similar Documents

Publication Publication Date Title
JP6683588B2 (ja) 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム
CN109314639B (zh) 管理系统、密钥生成装置、车载计算机、管理方法以及记录介质
CN109314640B (zh) 车辆信息收集系统、车载计算机、车辆信息收集装置、车辆信息收集方法以及记录介质
CN109314644B (zh) 数据提供系统、数据保护装置、数据提供方法以及存储介质
JP6238939B2 (ja) 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
CN109314645B (zh) 数据提供系统、数据保护装置、数据提供方法以及存储介质
WO2017115751A1 (ja) 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
CN112913189A (zh) 一种ota升级方法及装置
JP6476462B2 (ja) 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
JP6218914B1 (ja) 配信システム、データ保安装置、配信方法、及びコンピュータプログラム
WO2018100789A1 (ja) 配信システム、鍵生成装置、車載コンピュータ、データ保安装置、配信方法、及びコンピュータプログラム
JP6830877B2 (ja) 配信システム、鍵生成装置、配信方法、及びコンピュータプログラム
JP6454919B2 (ja) 管理システム、データ提供装置、車載コンピュータ、管理方法、及びコンピュータプログラム
JP6554704B2 (ja) データ提供システム及びデータ提供方法
JP6672243B2 (ja) データ提供システム、データ提供装置、データ提供方法、及びデータ提供プログラム
JP6354099B2 (ja) データ提供システム及びデータ提供方法
JP7049789B2 (ja) 鍵配信システム、鍵配信装置及び鍵配信方法
JP6519060B2 (ja) 管理装置、車両、管理方法、及びコンピュータプログラム
JP2019029847A (ja) 通信システム及び通信方法
JP2018098760A (ja) 配信システム、データ保安装置、配信方法、及びコンピュータプログラム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20161111

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190903

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191028

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200317

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200326

R150 Certificate of patent or registration of utility model

Ref document number: 6683588

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees