JP6860464B2 - System and management method - Google Patents

System and management method Download PDF

Info

Publication number
JP6860464B2
JP6860464B2 JP2017198560A JP2017198560A JP6860464B2 JP 6860464 B2 JP6860464 B2 JP 6860464B2 JP 2017198560 A JP2017198560 A JP 2017198560A JP 2017198560 A JP2017198560 A JP 2017198560A JP 6860464 B2 JP6860464 B2 JP 6860464B2
Authority
JP
Japan
Prior art keywords
vehicle
data
vehicle computer
terminal
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017198560A
Other languages
Japanese (ja)
Other versions
JP2018042256A (en
Inventor
竹森 敬祐
敬祐 竹森
秀明 川端
秀明 川端
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2017198560A priority Critical patent/JP6860464B2/en
Publication of JP2018042256A publication Critical patent/JP2018042256A/en
Application granted granted Critical
Publication of JP6860464B2 publication Critical patent/JP6860464B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、システム及び管理方法に関する。 The present invention relates to a system and a management method.

近年、自動車は、ECU(Electronic Control Unit)を有し、ECUによってエンジン制御等の機能を実現する。ECUは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。既に使用されている自動車について、ECUのコンピュータプログラムの更新は、通常、自動車の検査時や定期点検時などに、一般の自動車整備工場で行われる。 In recent years, automobiles have an ECU (Electronic Control Unit), and the ECU realizes functions such as engine control. The ECU is a kind of computer, and realizes a desired function by a computer program. For automobiles that are already in use, the computer program of the ECU is usually updated at a general automobile maintenance shop at the time of automobile inspection or periodic inspection.

従来、ECUのコンピュータプログラムの更新では、作業者が、自動車のOBD(On-board Diagnostics)ポートと呼ばれる診断ポートにメンテナンス専用の診断端末を接続し、該診断端末から更新プログラムのインストール及びデータの設定変更などを行う。これに関し例えば非特許文献1,2にはセキュリティについて記載されている。 Conventionally, when updating an ECU computer program, an operator connects a diagnostic terminal dedicated to maintenance to a diagnostic port called an OBD (On-board Diagnostics) port of an automobile, and installs the update program and sets data from the diagnostic terminal. Make changes, etc. Regarding this, for example, Non-Patent Documents 1 and 2 describe security.

C. Miller、C. Valasek、“Adventures in Automotive Networks and Control Units”、DEF CON 21、2013年8月C. Miller, C. Valasek, “Adventures in Automotive Networks and Control Units”, DEF CON 21, August 2013 高田広章、松本勉、“車載組込みシステムの情報セキュリティ強化に関する提言”、2013年9月、インターネット<URL:https://www.ipa.go.jp/files/000034668.pdf>Hiroaki Takada, Tsutomu Matsumoto, "Proposals for Strengthening Information Security for Embedded Embedded Systems", September 2013, Internet <URL: https://www.ipa.go.jp/files/000034668.pdf> Trusted Computing Group, インターネット<URL:http://www.trustedcomputinggroup.org/>Trusted Computing Group, Internet <URL: http://www.trustedcomputinggroup.org/> 竹森敬祐、“Android+TPMによるセキュアブート”、日経エレクトロニクス、2012年8月6日号.Keisuke Takemori, "Secure Boot with Android + TPM", Nikkei Electronics, August 6, 2012 issue. 竹森敬祐、川端秀明、磯原隆将、窪田歩、“Android(ARM)+TPMによるセキュアブート”、電子情報通信学会、SCIS2013シンポジウム、2013年1月.Keisuke Takemori, Hideaki Kawabata, Takamasa Isohara, Ayumu Kubota, "Secure Boot by Android (ARM) + TPM", Institute of Electronics, Information and Communication Engineers, SCIS2013 Symposium, January 2013. 竹森敬祐、川端秀明、窪田歩、“ARM+SIM/UIMによるセキュアブート”、電子情報通信学会、SCIS2014シンポジウム、2014年1月.Keisuke Takemori, Hideaki Kawabata, Ayumu Kubota, "Secure Boot by ARM + SIM / UIM", Institute of Electronics, Information and Communication Engineers, SCIS2014 Symposium, January 2014.

上述した非特許文献1,2では、セキュリティの向上を実現する手段については記載されない。このため、自動車等の車両に備わるECU等の車載コンピュータに使用されるコンピュータプログラム等のデータの適用についての信頼性を向上させることが課題である。 The above-mentioned Non-Patent Documents 1 and 2 do not describe the means for improving security. Therefore, it is an issue to improve the reliability of applying data such as a computer program used for an in-vehicle computer such as an ECU provided in a vehicle such as an automobile.

本発明は、このような事情を考慮してなされたものであり、車載コンピュータに使用されるデータの適用についての信頼性を向上させることができるシステム及び管理方法を提供することを課題とする。 The present invention has been made in consideration of such circumstances, and an object of the present invention is to provide a system and a management method capable of improving reliability in applying data used in an in-vehicle computer.

(1)本発明の一態様は、車両に搭載された管理装置と、前記管理装置との間で通信によりデータを交換する端末と、を備え、前記管理装置は、前記端末とデータを交換する入出力インタフェースと、認証検証鍵を保持する鍵保持部と、前記認証検証鍵を使用して前記端末の認証を行う端末認証部と、実行部と、前記車両の内部の通信ネットワークを介して、前記車両に搭載された車載コンピュータとの間でデータを交換する車載ネットワークインタフェースと、を備え、前記端末は、前記認証検証鍵に対応する認証鍵を保持し、前記端末認証部からの認証要求に対して前記認証鍵を使用して応答する情報処理部を備え、前記車載コンピュータに使用されるデータを前記管理装置に送信し、前記実行部は、前記端末の認証が成功である場合に前記端末から受信したデータを前記車載コンピュータに使用し、前記端末の認証が失敗である場合には前記端末から受信したデータを使用しない、システムであって、前記車載コンピュータに使用されるデータは、処理の実行先の車載コンピュータを特定する車載コンピュータ識別子と、車載コンピュータに対する処理内容を特定する権限情報とを含み、前記実行部は、前記車載コンピュータ識別子で特定される車載コンピュータのみに対して前記権限情報で特定される前記処理内容を実行する、システムであり、前記車載コンピュータに使用されるデータは、車載コンピュータに対する処理の実行の対象のデータである処理実行対象データであって当該処理実行対象データの種別を含む処理実行対象データと、当該種別とは独立に設けられた、車載コンピュータに対する処理の実行の権限を示す権限証明書であって処理の実行先の車載コンピュータを特定する車載コンピュータ識別子と車載コンピュータに対する処理内容を特定する権限情報とから構成される権限証明書と、であり、前記実行部は、権限証明書に示される権限の範囲内で、処理実行対象データの種別に応じた処理を実行する、システムである。
(2)本発明の一態様は、上記(1)のシステムにおいて、前記処理実行対象データは、車載コンピュータの更新プログラム又は設定変更データであり、前記権限情報が特定する処理内容は、車載コンピュータへのデータの書き込みと車載コンピュータからのデータの読み出しとのうち少なくとも一方であり、前記実行部は、前記権限情報で特定される前記処理内容が車載コンピュータへのデータの書き込みである場合において処理実行対象データの種別が更新プログラムであるときには前記車載コンピュータ識別子で特定される車載コンピュータのみに対して処理実行対象データの更新プログラムをインストールし、前記実行部は、前記権限情報で特定される前記処理内容が車載コンピュータへのデータの書き込みである場合において処理実行対象データの種別が設定変更データであるときには前記車載コンピュータ識別子で特定される車載コンピュータのみに対して処理実行対象データの設定変更データで該当データを書き換える、システムである。
(3)本発明の一態様は、上記(1)又は(2)のいずれかのシステムにおいて、前記実行部は、前記権限情報で特定される前記処理内容が車載コンピュータからのデータの読み出しである場合に、前記車載コンピュータ識別子で特定される車載コンピュータのみに対してデータの読み出しを実行する、システムである。 (1) One aspect of the present invention includes a management device mounted on a vehicle and a terminal for exchanging data between the management device by communication, and the management device exchanges data with the terminal. An input / output interface, a key holding unit that holds an authentication verification key, a terminal authentication unit that authenticates the terminal using the authentication verification key, an execution unit, and a communication network inside the vehicle. It is provided with an in-vehicle network interface for exchanging data with an in-vehicle computer mounted on the vehicle, and the terminal holds an authentication key corresponding to the authentication verification key and responds to an authentication request from the terminal authentication unit. said terminal when using said authentication key with the information processing unit to respond, transmit the data used in the vehicle computer to the management device, the execution unit for the authentication of the terminal is successful The data received from the in-vehicle computer is used for the in-vehicle computer, and the data received from the terminal is not used when the authentication of the terminal fails. The data used in the in-vehicle computer is processed. The execution unit includes the in-vehicle computer identifier that identifies the in-vehicle computer to be executed and the authority information that specifies the processing content for the in-vehicle computer, and the execution unit uses the authority information only for the in-vehicle computer specified by the in-vehicle computer identifier. The data that is a system that executes the specified processing content and is used by the in-vehicle computer is the processing execution target data that is the data to be executed for the in-vehicle computer, and is the type of the processing execution target data. The processing execution target data including the above, and the in-vehicle computer identifier and the in-vehicle computer that are provided independently of the type and indicate the authority to execute the processing on the in-vehicle computer and specify the in-vehicle computer to execute the processing. It is an authority certificate composed of authority information that specifies the processing content for the computer, and the execution unit executes processing according to the type of processing execution target data within the range of the authority indicated in the authority certificate. It is a system.
(2) In one aspect of the present invention, in the system of the above (1), the processing execution target data is the update program or setting change data of the in-vehicle computer, and the processing content specified by the authority information is sent to the in-vehicle computer. Is at least one of writing data and reading data from the in-vehicle computer, and the execution unit is a processing execution target when the processing content specified by the authority information is writing data to the in-vehicle computer. When the data type is an update program, the update program of the processing execution target data is installed only on the in-vehicle computer specified by the in-vehicle computer identifier, and the execution unit has the processing content specified by the authority information. When the data is written to the in-vehicle computer and the type of the processing execution target data is the setting change data, the corresponding data is used as the setting change data of the processing execution target data only for the in-vehicle computer specified by the in-vehicle computer identifier. It is a system to rewrite.
(3) One aspect of the present invention is that in the system according to any one of (1) and (2) above, the execution unit reads data whose processing content specified by the authority information is from an in-vehicle computer. In this case, it is a system that reads data only to the in-vehicle computer specified by the in-vehicle computer identifier.

(4)本発明の一態様は、車両に搭載された管理装置が、前記車両の内部の通信ネットワークを介して、前記車両に搭載された車載コンピュータとの間でデータを交換する車載ネットワークインタフェースを備え、前記管理装置が、前記管理装置との間で通信によりデータを交換する端末に対して、認証検証鍵を使用して端末の認証を行う端末認証ステップと、前記端末が、前記認証検証鍵に対応する認証鍵を保持し、前記管理装置からの認証要求に対して前記認証鍵を使用して応答するステップと、前記端末が、前記車載コンピュータに使用されるデータを前記管理装置に送信するステップと、前記管理装置が、前記端末の認証が成功である場合に前記端末から受信したデータを前記車載コンピュータに使用し、前記端末の認証が失敗である場合には前記端末から受信したデータを使用しない実行ステップと、を含む管理方法であって、前記車載コンピュータに使用されるデータは、処理の実行先の車載コンピュータを特定する車載コンピュータ識別子と、車載コンピュータに対する処理内容を特定する権限情報とを含み、前記管理装置は、前記実行ステップにおいて、前記車載コンピュータ識別子で特定される車載コンピュータのみに対して前記権限情報で特定される前記処理内容を実行する、管理方法であり、前記車載コンピュータに使用されるデータは、車載コンピュータに対する処理の実行の対象のデータである処理実行対象データであって当該処理実行対象データの種別を含む処理実行対象データと、当該種別とは独立に設けられた、車載コンピュータに対する処理の実行の権限を示す権限証明書であって処理の実行先の車載コンピュータを特定する車載コンピュータ識別子と車載コンピュータに対する処理内容を特定する権限情報とから構成される権限証明書と、であり、前記実行部は、権限証明書に示される権限の範囲内で、処理実行対象データの種別に応じた処理を実行する、管理方法である。
(4) One aspect of the present invention is an in-vehicle network interface in which a management device mounted on a vehicle exchanges data with an in-vehicle computer mounted on the vehicle via a communication network inside the vehicle. A terminal authentication step in which the management device authenticates the terminal using the authentication verification key to the terminal that exchanges data with the management device by communication, and the terminal uses the authentication verification key. holding the corresponding authentication key, and the step of responding using the authentication key to the authentication request from the management apparatus, the terminal transmits the data to be used for the vehicle computer to the management device The step and the management device use the data received from the terminal when the authentication of the terminal is successful for the in-vehicle computer, and the data received from the terminal when the authentication of the terminal is unsuccessful. The data used in the in-vehicle computer is a management method including an execution step that is not used, and includes an in-vehicle computer identifier that identifies the in-vehicle computer to which the processing is executed and authority information that specifies the processing content for the in-vehicle computer. The management device is a management method for executing the processing content specified by the authority information only for the vehicle-mounted computer specified by the vehicle-mounted computer identifier in the execution step. The data used is the processing execution target data which is the data to be executed for the in-vehicle computer, and the processing execution target data including the type of the processing execution target data and the processing execution target data provided independently of the type. An authority certificate that indicates the authority to execute processing on the in-vehicle computer and consists of an in-vehicle computer identifier that identifies the in-vehicle computer to which the processing is executed and authority information that specifies the processing content for the in-vehicle computer. The execution unit is a management method that executes processing according to the type of processing execution target data within the scope of the authority indicated in the authority certificate.

本発明によれば、車載コンピュータに使用されるデータの適用についての信頼性を向上させることができるという効果が得られる。 According to the present invention, there is an effect that the reliability of the application of data used in an in-vehicle computer can be improved.

本発明の第1実施形態に係る管理ゲートウェイ1の構成を示すブロック図である。It is a block diagram which shows the structure of the management gateway 1 which concerns on 1st Embodiment of this invention. 本発明の第1実施形態に係る自動車100の概略構成図である。It is a schematic block diagram of the automobile 100 which concerns on 1st Embodiment of this invention. 本発明の第1実施形態に係るセンタ局200の構成を示すブロック図である。It is a block diagram which shows the structure of the center station 200 which concerns on 1st Embodiment of this invention. 本発明の第1実施形態に係る無線通信システムの概略構成図である。It is a schematic block diagram of the wireless communication system which concerns on 1st Embodiment of this invention. 本発明の第1実施形態に係る管理方法の手順を示すフローチャートである。It is a flowchart which shows the procedure of the management method which concerns on 1st Embodiment of this invention. 本発明の第1実施形態の変形例1に係る自動車100の概略構成図である。It is a schematic block diagram of the automobile 100 which concerns on modification 1 of 1st Embodiment of this invention. 本発明の第1実施形態の変形例2に係る自動車100の概略構成図である。It is a schematic block diagram of the automobile 100 which concerns on modification 2 of 1st Embodiment of this invention. 本発明の第2実施形態に係る自動車100の概略構成図である。It is a schematic block diagram of the automobile 100 which concerns on 2nd Embodiment of this invention. 本発明の第3実施形態に係る管理ゲートウェイ1の構成を示すブロック図である。It is a block diagram which shows the structure of the management gateway 1 which concerns on 3rd Embodiment of this invention. 本発明の第3実施形態に係る自動車100の概略構成図である。It is a schematic block diagram of the automobile 100 which concerns on 3rd Embodiment of this invention.

以下、図面を参照し、本発明の実施形態について説明する。なお、以下に示す実施形態では、車両として自動車を例に挙げて説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. In the embodiment shown below, an automobile will be described as an example of the vehicle.

[第1実施形態]
図1は、本発明の第1実施形態に係る管理ゲートウェイ1の構成を示すブロック図である。管理ゲートウェイ1は管理装置である。図1において、管理ゲートウェイ1は、eSIM(Embedded Subscriber Identity Module)_10とCAN(Controller Area Network)インタフェース31と実行部32と無線通信部33と入出力インタフェース34とを備える。これら各部はデータを交換できるように構成されている。eSIM_10は、復号部11と鍵保持部12と署名検証部13と端末認証部14とを備える。 [First Embodiment]
FIG. 1 is a block diagram showing a configuration of a management gateway 1 according to a first embodiment of the present invention. The management gateway 1 is a management device. In FIG. 1, the management gateway 1 includes an eSIM (Embedded Subscriber Identity Module) _10, a CAN (Controller Area Network) interface 31, an execution unit 32, a wireless communication unit 33, and an input / output interface 34. Each of these parts is configured so that data can be exchanged. The eSIM_10 includes a decryption unit 11, a key holding unit 12, a signature verification unit 13, and a terminal authentication unit 14.

eSIM_10はセキュアエレメントである。セキュアエレメントは、当該セキュアエレメントの外部からアクセスできないセキュア領域を含む。eSIM_10において、鍵保持部12はセキュア領域に在る。なお、セキュアエレメントとして、eSIM_10の代わりにSIM(Subscriber Identity Module)を利用してもよい。eSIMおよびSIMは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。 eSIM_10 is a secure element. The secure element includes a secure area that cannot be accessed from the outside of the secure element. In the eSIM_10, the key holding unit 12 is in the secure area. As a secure element, SIM (Subscriber Identity Module) may be used instead of eSIM_10. eSIM and SIM are a kind of computer, and realize desired functions by a computer program.

図2は、本発明の第1実施形態に係る自動車100の概略構成図である。図2において、自動車100は、管理ゲートウェイ1と制御用車載ネットワーク110と駆動系ECU群120と車体系ECU群121と安全制御系ECU群122と診断ポート130とを備える。管理ゲートウェイ1は、制御用車載ネットワーク110に接続される。本実施形態では、制御用車載ネットワーク110はCAN(Controller Area Network)である。制御用車載ネットワーク110には、駆動系ECU群120と車体系ECU群121と安全制御系ECU群122とが接続される。管理ゲートウェイ1は、制御用車載ネットワーク110を介して、駆動系ECU群120、車体系ECU群121及び安全制御系ECU群122との間でデータを交換する。 FIG. 2 is a schematic configuration diagram of an automobile 100 according to the first embodiment of the present invention. In FIG. 2, the automobile 100 includes a management gateway 1, a control in-vehicle network 110, a drive system ECU group 120, a vehicle body system ECU group 121, a safety control system ECU group 122, and a diagnostic port 130. The management gateway 1 is connected to the control vehicle-mounted network 110. In the present embodiment, the control vehicle-mounted network 110 is a CAN (Controller Area Network). The drive system ECU group 120, the vehicle body system ECU group 121, and the safety control system ECU group 122 are connected to the control vehicle-mounted network 110. The management gateway 1 exchanges data between the drive system ECU group 120, the vehicle body system ECU group 121, and the safety control system ECU group 122 via the control vehicle-mounted network 110.

駆動系ECU群120、車体系ECU群121及び安全制御系ECU群122のそれぞれは、エンジン制御等の機能を実現するECUを含む。以下、駆動系ECU群120、車体系ECU群121及び安全制御系ECU群122に含まれる各ECUを特に区別しないときは、該各ECUのことを「車載ECU」と称する。車載ECUは車載コンピュータである。管理ゲートウェイ1は、制御用車載ネットワーク110を介して、各車載ECUとの間でデータを交換する。 Each of the drive system ECU group 120, the vehicle body system ECU group 121, and the safety control system ECU group 122 includes an ECU that realizes a function such as engine control. Hereinafter, when each ECU included in the drive system ECU group 120, the vehicle body system ECU group 121, and the safety control system ECU group 122 is not particularly distinguished, each ECU is referred to as an "vehicle-mounted ECU". The in-vehicle ECU is an in-vehicle computer. The management gateway 1 exchanges data with each vehicle-mounted ECU via the control vehicle-mounted network 110.

診断ポート130は従来のOBDポートである。診断ポート130は診断端末140を接続する。診断ポート130は管理ゲートウェイ1に接続される。診断端末140と管理ゲートウェイ1とは、診断ポート130を介して、データを交換する。 The diagnostic port 130 is a conventional OBD port. The diagnostic port 130 connects the diagnostic terminal 140. The diagnostic port 130 is connected to the management gateway 1. The diagnostic terminal 140 and the management gateway 1 exchange data via the diagnostic port 130.

管理ゲートウェイ1において、CANインタフェース31は、制御用車載ネットワーク110と接続し、制御用車載ネットワーク110を介して車載ECUとデータを交換する。実行部32は、車載ECUに対する処理を実行する。無線通信部33は無線通信によりデータを送受する。入出力インタフェース34は、診断ポート130と接続し、診断ポート130を介して診断端末140とデータを交換する。 In the management gateway 1, the CAN interface 31 connects to the control vehicle-mounted network 110 and exchanges data with the vehicle-mounted ECU via the control vehicle-mounted network 110. The execution unit 32 executes processing for the vehicle-mounted ECU. The wireless communication unit 33 transmits / receives data by wireless communication. The input / output interface 34 connects to the diagnostic port 130 and exchanges data with the diagnostic terminal 140 via the diagnostic port 130.

図3は、本発明の第1実施形態に係るセンタ局200の構成を示すブロック図である。図3において、センタ局200は、認証鍵保持部210と署名鍵保持部220とECUコード署名処理部222と権限証明書署名処理部224と無線通信部230とeSIM_232とを備える。認証鍵保持部210は、認証鍵(Ks_1)と認証検証鍵(Kp_1)とを保持する。本実施形態では、認証鍵(Ks_1)は秘密鍵であり、認証検証鍵(Kp_1)は認証鍵(Ks_1)に対応する公開鍵である。署名鍵保持部220は、署名鍵(Ks_2)と署名検証鍵(Kp_2)とを保持する。本実施形態では、署名鍵(Ks_2)は秘密鍵であり、署名検証鍵(Kp_2)は署名鍵(Ks_2)に対応する公開鍵である。 FIG. 3 is a block diagram showing the configuration of the center station 200 according to the first embodiment of the present invention. In FIG. 3, the center station 200 includes an authentication key holding unit 210, a signature key holding unit 220, an ECU code signing processing unit 222, an authority certificate signing processing unit 224, a wireless communication unit 230, and eSIM_232. The authentication key holding unit 210 holds an authentication key (Ks_1) and an authentication verification key (Kp_1). In the present embodiment, the authentication key (Ks_1) is a private key, and the authentication verification key (Kp_1) is a public key corresponding to the authentication key (Ks_1). The signature key holding unit 220 holds the signature key (Ks_2) and the signature verification key (Kp_2). In the present embodiment, the signature key (Ks_2) is a private key, and the signature verification key (Kp_2) is a public key corresponding to the signature key (Ks_2).

ECUコード署名処理部222は、ECUコードに対して、署名鍵保持部220に保持される署名鍵(Ks_2)を使用して電子署名を行う。ECUコードは、車載ECUに使用されるデータである。ECUコードとして、例えば、車載ECUのコンピュータプログラムに関する更新プログラム又は設定変更データなどが挙げられる。 The ECU code signing processing unit 222 digitally signs the ECU code using the signature key (Ks_2) held in the signature key holding unit 220. The ECU code is data used for an in-vehicle ECU. Examples of the ECU code include an update program or setting change data related to a computer program of an in-vehicle ECU.

権限証明書署名処理部224は、権限証明書に対して、署名鍵保持部220に保持される署名鍵(Ks_2)を使用して電子署名を行う。権限証明書は、車載ECUに対する処理の実行の権限を示す。権限証明書は、処理の実行先の車載ECU又は車載ECU群を特定するECU識別子(ECU ID)と、処理内容を特定する権限情報とを含む。処理内容として、例えば、車載ECUからのデータの読み出し(リード:R)と、車載ECUへのデータの書き込み(ライト:W)とがある。以下、電子署名のことを単に「署名」と称する。 The authority certificate signature processing unit 224 digitally signs the authority certificate using the signature key (Ks_2) held in the signature key holding unit 220. The authority certificate indicates the authority to execute the process on the in-vehicle ECU. The authority certificate includes an ECU identifier (ECU ID) that identifies an in-vehicle ECU or an in-vehicle ECU group to execute processing, and authority information that specifies the processing content. The processing contents include, for example, reading data from the in-vehicle ECU (read: R) and writing data to the in-vehicle ECU (write: W). Hereinafter, the electronic signature is simply referred to as a "signature".

無線通信部230は無線通信によりデータを送受する。eSIM_232は、無線通信部230によって使用される。 The wireless communication unit 230 transmits / receives data by wireless communication. The eSIM_232 is used by the wireless communication unit 230.

図4は、本発明の第1実施形態に係る無線通信システムの概略構成図である。図4において、無線通信ネットワーク300は、通信事業者によって運用される。無線通信ネットワーク300を利用するためには、無線通信ネットワーク300の契約者情報が書き込まれたeSIM又はSIMが必要である。管理ゲートウェイ1のeSIM_10は、無線通信ネットワーク300の契約者情報が書き込まれたeSIMである。よって、管理ゲートウェイ1の無線通信部33は、eSIM_10を使用することにより無線通信ネットワーク300を利用できる。センタ局200のeSIM_232は、無線通信ネットワーク300の契約者情報が書き込まれたeSIMである。よって、センタ局200の無線通信部230は、eSIM_232を使用することにより無線通信ネットワーク300を利用できる。診断端末140は、無線通信部1410とeSIM_1420とを備える。診断端末140のeSIM_1420は、無線通信ネットワーク300の契約者情報が書き込まれたeSIMである。よって、診断端末140の無線通信部1410は、eSIM_1420を使用することにより無線通信ネットワーク300を利用できる。無線通信部1410は無線通信によりデータを送受する。 FIG. 4 is a schematic configuration diagram of a wireless communication system according to the first embodiment of the present invention. In FIG. 4, the wireless communication network 300 is operated by a telecommunications carrier. In order to use the wireless communication network 300, an eSIM or SIM in which the contractor information of the wireless communication network 300 is written is required. The eSIM_10 of the management gateway 1 is an eSIM in which the contractor information of the wireless communication network 300 is written. Therefore, the wireless communication unit 33 of the management gateway 1 can use the wireless communication network 300 by using the eSIM_10. The eSIM_232 of the center station 200 is an eSIM in which the contractor information of the wireless communication network 300 is written. Therefore, the wireless communication unit 230 of the center station 200 can use the wireless communication network 300 by using eSIM_232. The diagnostic terminal 140 includes a wireless communication unit 1410 and an eSIM_1420. The eSIM_1420 of the diagnostic terminal 140 is an eSIM in which the contractor information of the wireless communication network 300 is written. Therefore, the wireless communication unit 1410 of the diagnostic terminal 140 can use the wireless communication network 300 by using the eSIM_1420. The wireless communication unit 1410 sends and receives data by wireless communication.

管理ゲートウェイ1、センタ局200及び診断端末140において、各無線通信部33,230,1410は、各eSIM_10,232,1420を使用することにより、無線通信ネットワーク300に接続し通信する。センタ局200の無線通信部230は、無線通信ネットワーク300を介して、管理ゲートウェイ1の無線通信部33と通信する。センタ局200の無線通信部230は、無線通信ネットワーク300を介して、診断端末140の無線通信部1410と通信する。 In the management gateway 1, the center station 200, and the diagnostic terminal 140, the wireless communication units 33, 230, and 1410 connect to and communicate with the wireless communication network 300 by using the eSIM_10, 232, and 1420. The wireless communication unit 230 of the center station 200 communicates with the wireless communication unit 33 of the management gateway 1 via the wireless communication network 300. The wireless communication unit 230 of the center station 200 communicates with the wireless communication unit 1410 of the diagnostic terminal 140 via the wireless communication network 300.

次に図5を参照して第1実施形態に係る管理ゲートウェイ1の動作を説明する。図5は、本発明の第1実施形態に係る管理方法の手順を示すフローチャートである。 Next, the operation of the management gateway 1 according to the first embodiment will be described with reference to FIG. FIG. 5 is a flowchart showing the procedure of the management method according to the first embodiment of the present invention.

(ステップS1)センタ局200の無線通信部230は、無線通信ネットワーク300を介して、管理ゲートウェイ1の無線通信部33と通信する。センタ局200と管理ゲートウェイ1は、各eSIM_232,10を使用することにより、認証を行い、センタ局200から管理ゲートウェイ1へ認証検証鍵(Kp_1)及び署名検証鍵(Kp_2)を暗号化して配布する。各eSIM_232,10は、予め、同じ共通鍵を保持する。センタ局200と管理ゲートウェイ1との間の認証は、各eSIM_232,10に保持される共通鍵を使用して実行される。認証検証鍵(Kp_1)及び署名検証鍵(Kp_2)の暗号化は、eSIM_232に保持される共通鍵を使用して実行される。管理ゲートウェイ1のeSIM_10の復号部11は、センタ局200から受信した暗号化認証検証鍵(Kp_1)及び暗号化署名検証鍵(Kp_2)を復号する。暗号化認証検証鍵(Kp_1)及び暗号化署名検証鍵(Kp_2)の復号化は、eSIM_10に保持される共通鍵を使用して実行される。この復号により得られた認証検証鍵(Kp_1)及び署名検証鍵(Kp_2)は、eSIM_10の鍵保持部12に保持される。 (Step S1) The wireless communication unit 230 of the center station 200 communicates with the wireless communication unit 33 of the management gateway 1 via the wireless communication network 300. The center station 200 and the management gateway 1 authenticate by using each eSIM_232,10, and the authentication verification key (Kp_1) and the signature verification key (Kp_2) are encrypted and distributed from the center station 200 to the management gateway 1. .. Each eSIM_232,10 holds the same common key in advance. Authentication between the center station 200 and the management gateway 1 is performed using the common key held in each eSIM_232,10. The encryption of the authentication verification key (Kp_1) and the signature verification key (Kp_2) is performed using the common key held in eSIM_232. The decryption unit 11 of the eSIM_10 of the management gateway 1 decrypts the encryption authentication verification key (Kp_1) and the encryption signature verification key (Kp_2) received from the center station 200. Decryption of the encryption authentication verification key (Kp_1) and the encryption signature verification key (Kp_2) is executed using the common key held in the eSIM_10. The authentication verification key (Kp_1) and the signature verification key (Kp_2) obtained by this decryption are held in the key holding unit 12 of the eSIM_10.

センタ局200の無線通信部230は、無線通信ネットワーク300を介して、診断端末140の無線通信部1410と通信する。センタ局200と診断端末140は、各eSIM_232,1420を使用することにより、認証を行い、センタ局200から診断端末140へ認証鍵(Ks_1)を暗号化して配布する。各eSIM_232,1420は、予め、同じ共通鍵を保持する。センタ局200と診断端末140との間の認証は、各eSIM_232,1420に保持される共通鍵を使用して実行される。認証鍵(Ks_1)の暗号化は、eSIM_232に保持される共通鍵を使用して実行される。診断端末140のeSIM_1420は、センタ局200から受信した暗号化認証鍵(Ks_1)を復号する。暗号化認証鍵(Ks_1)の復号化は、eSIM_1420に保持される共通鍵を使用して実行される。この復号により得られた認証鍵(Ks_1)は、eSIM_1420のセキュア領域に保持される。 The wireless communication unit 230 of the center station 200 communicates with the wireless communication unit 1410 of the diagnostic terminal 140 via the wireless communication network 300. The center station 200 and the diagnostic terminal 140 perform authentication by using each eSIM_232, 1420, and the authentication key (Ks_1) is encrypted and distributed from the center station 200 to the diagnostic terminal 140. Each eSIM_232,1420 holds the same common key in advance. Authentication between the center station 200 and the diagnostic terminal 140 is performed using the common key held in each eSIM_232,1420. The encryption of the authentication key (Ks_1) is performed using the common key held in eSIM_232. The eSIM_1420 of the diagnostic terminal 140 decrypts the encryption authentication key (Ks_1) received from the center station 200. Decryption of the encryption authentication key (Ks_1) is performed using the common key held in eSIM_1420. The authentication key (Ks_1) obtained by this decryption is held in the secure area of eSIM_1420.

(ステップS2)管理ゲートウェイ1のeSIM_10の端末認証部14は、鍵保持部12に保持される認証検証鍵(Kp_1)を使用して、自動車100の診断ポート130に接続された診断端末140の認証を行う。この認証の方法として、本実施形態ではチャレンジ・レスポンス認証方法を使用する。このチャレンジ・レスポンス認証方法を説明する。まず、端末認証部14は、チャレンジ値を生成し、このチャレンジ値を入出力インタフェース34から出力させる。入出力インタフェース34から出力されたチャレンジ値は、診断ポート130を介して診断端末140に入力される。診断端末140のeSIM_1420は、入力されたチャレンジ値を、自己のセキュア領域に保持される認証鍵(Ks_1)を使用して暗号化する。この暗号化チャレンジ値はレスポンス値である。このレスポンス値は、診断端末140から診断ポート130へ出力され、診断ポート130を介して管理ゲートウェイ1に入力される。管理ゲートウェイ1の入出力インタフェース34は、入力されたレスポンス値をeSIM_10へ出力する。端末認証部14は、入力されたレスポンス値を、鍵保持部12に保持される認証検証鍵(Kp_1)で復号する。端末認証部14は、レスポンス値の復号により得られた復号結果値がチャレンジ値と一致するかを判断する。この判断の結果、一致である場合には診断端末140の認証が成功であり、不一致である場合には診断端末140の認証が失敗である。 (Step S2) The terminal authentication unit 14 of the eSIM_10 of the management gateway 1 uses the authentication verification key (Kp_1) held in the key holding unit 12 to authenticate the diagnostic terminal 140 connected to the diagnostic port 130 of the automobile 100. I do. As this authentication method, the challenge-response authentication method is used in this embodiment. This challenge-response authentication method will be described. First, the terminal authentication unit 14 generates a challenge value and outputs the challenge value from the input / output interface 34. The challenge value output from the input / output interface 34 is input to the diagnostic terminal 140 via the diagnostic port 130. The eSIM_1420 of the diagnostic terminal 140 encrypts the input challenge value using the authentication key (Ks_1) held in its own secure area. This encryption challenge value is a response value. This response value is output from the diagnostic terminal 140 to the diagnostic port 130, and is input to the management gateway 1 via the diagnostic port 130. The input / output interface 34 of the management gateway 1 outputs the input response value to the eSIM_10. The terminal authentication unit 14 decrypts the input response value with the authentication verification key (Kp_1) held in the key holding unit 12. The terminal authentication unit 14 determines whether the decryption result value obtained by decoding the response value matches the challenge value. As a result of this determination, if there is a match, the authentication of the diagnostic terminal 140 is successful, and if there is a mismatch, the authentication of the diagnostic terminal 140 is unsuccessful.

(ステップS3)センタ局200は、権限証明書250を診断端末140へ送信する。権限証明書250は、権限証明書署名処理部224によって署名252が行われている(図2参照)。診断端末140は、権限証明書250を診断ポート130へ出力する。この出力された権限証明書250は診断ポート130を介して管理ゲートウェイ1へ入力される。管理ゲートウェイ1の入出力インタフェース34は、入力された権限証明書250をeSIM_10へ出力する。eSIM_10の署名検証部13は、入力された権限証明書250の署名252を、鍵保持部12に保持される署名検証鍵(Kp_2)を使用して検証する。 (Step S3) The center station 200 transmits the authority certificate 250 to the diagnostic terminal 140. The authority certificate 250 is signed 252 by the authority certificate signature processing unit 224 (see FIG. 2). The diagnostic terminal 140 outputs the authority certificate 250 to the diagnostic port 130. The output authority certificate 250 is input to the management gateway 1 via the diagnostic port 130. The input / output interface 34 of the management gateway 1 outputs the input authority certificate 250 to the eSIM_10. The signature verification unit 13 of the eSIM_10 verifies the signature 252 of the input authority certificate 250 by using the signature verification key (Kp_2) held by the key holding unit 12.

(ステップS4)センタ局200は、ECUコード240を診断端末140へ送信する。ECUコード240は、ECUコード署名処理部222によって署名242が行われている(図2参照)。診断端末140は、ECUコード240を診断ポート130へ出力する。この出力されたECUコード240は診断ポート130を介して管理ゲートウェイ1へ入力される。管理ゲートウェイ1の入出力インタフェース34は、入力されたECUコード240をeSIM_10へ出力する。eSIM_10の署名検証部13は、入力されたECUコード240の署名242を、鍵保持部12に保持される署名検証鍵(Kp_2)を使用して検証する。 (Step S4) The center station 200 transmits the ECU code 240 to the diagnostic terminal 140. The ECU code 240 is signed by the ECU code signing processing unit 222 (see FIG. 2). The diagnostic terminal 140 outputs the ECU code 240 to the diagnostic port 130. The output ECU code 240 is input to the management gateway 1 via the diagnostic port 130. The input / output interface 34 of the management gateway 1 outputs the input ECU code 240 to the eSIM_10. The signature verification unit 13 of the eSIM_10 verifies the signature 242 of the input ECU code 240 by using the signature verification key (Kp_2) held by the key holding unit 12.

(ステップS5)管理ゲートウェイ1の実行部32は、車載ECUに対する処理を実行する。以下に、実行部32による車載ECUに対する処理の実行例について説明する。 (Step S5) The execution unit 32 of the management gateway 1 executes a process for the vehicle-mounted ECU. An example of executing processing for the vehicle-mounted ECU by the execution unit 32 will be described below.

<処理の実行例1:ECUコードの適用>
管理ゲートウェイ1の実行部32は、ECUコード240の署名242の検証が成功である場合には、当該ECUコード240を車載ECUに使用する。一方、管理ゲートウェイ1の実行部32は、ECUコード240の署名242の検証が失敗である場合には、当該ECUコード240を使用しない。以下にECUコードの使用例を挙げる。
(ECUコードの使用例1)
実行部32は、署名242の検証が成功であるECUコード240が更新プログラムである場合に、該更新プログラムを車載ECUにインストールする。
(ECUコードの使用例2)
実行部32は、署名242の検証が成功であるECUコード240が設定変更データである場合に、該設定変更データで車載ECUの該当データを書き換える。 <Process execution example 1: Application of ECU code>
When the verification of the signature 242 of the ECU code 240 is successful, the execution unit 32 of the management gateway 1 uses the ECU code 240 for the vehicle-mounted ECU. On the other hand, the execution unit 32 of the management gateway 1 does not use the ECU code 240 when the verification of the signature 242 of the ECU code 240 fails. An example of using the ECU code is given below.
(Example of using the ECU code 1)
When the ECU code 240 whose signature 242 is successfully verified is an update program, the execution unit 32 installs the update program in the vehicle-mounted ECU.
(Usage example 2 of ECU code)
When the ECU code 240 for which the verification of the signature 242 is successful is the setting change data, the execution unit 32 rewrites the corresponding data of the vehicle-mounted ECU with the setting change data.

<処理の実行例2:権限証明書の適用>
管理ゲートウェイ1の実行部32は、権限証明書250の署名252の検証が成功である場合には、当該権限証明書250で示される権限を車載ECUに実行する。一方、管理ゲートウェイ1の実行部32は、権限証明書250の署名252の検証が失敗である場合には、当該権限証明書250で示される権限を実行しない。
(権限の実行例1)
実行部32は、署名252の検証が成功である権限証明書250で示される権限が「ECU ID:3、ライト」である場合に、「ECU ID」が3である車載ECUに対して、データの書き込みを実行する。署名252の検証が成功である権限証明書250において権限「ECU ID:3、ライト」だけが示される場合には、実行部32は、「ECU ID」が3である車載ECUに対するデータの書き込みだけを実行する。この場合、例えば、上述したECUコードの使用例1においては、「ECU ID」が3である車載ECUだけに、更新プログラムをインストールする。ECUコードの使用例2においては、「ECU ID」が3である車載ECUだけに、設定変更データで該当データを書き換える。
(権限の実行例2)
実行部32は、署名252の検証が成功である権限証明書250で示される権限が「ECU ID:全て、リード」である場合に、全ての「ECU ID」の車載ECUに対して、データの読み出しを実行する。 <Process execution example 2: Applying authority certificate>
When the verification of the signature 252 of the authority certificate 250 is successful, the execution unit 32 of the management gateway 1 executes the authority indicated by the authority certificate 250 to the vehicle-mounted ECU. On the other hand, the execution unit 32 of the management gateway 1 does not execute the authority indicated by the authority certificate 250 when the verification of the signature 252 of the authority certificate 250 fails.
(Execution example of authority 1)
When the authority indicated by the authority certificate 250 in which the verification of the signature 252 is successful is "ECU ID: 3, write", the execution unit 32 requests data for the in-vehicle ECU whose "ECU ID" is 3. Write to. When only the authority "ECU ID: 3, write" is shown in the authority certificate 250 in which the verification of the signature 252 is successful, the execution unit 32 only writes data to the in-vehicle ECU whose "ECU ID" is 3. To execute. In this case, for example, in the above-mentioned use example 1 of the ECU code, the update program is installed only in the in-vehicle ECU whose "ECU ID" is 3. In the usage example 2 of the ECU code, the corresponding data is rewritten with the setting change data only for the in-vehicle ECU whose "ECU ID" is 3.
(Execution example 2 of authority)
When the authority indicated by the authority certificate 250 in which the verification of the signature 252 is successful is "ECU ID: all, read", the execution unit 32 applies data to all the "ECU ID" in-vehicle ECUs. Perform a read.

<処理の実行例3:診断端末の適用>
管理ゲートウェイ1の実行部32は、診断端末140の認証が成功である場合には、当該診断端末140からの要求を実行する。一方、管理ゲートウェイ1の実行部32は、診断端末140の認証が失敗である場合には、当該診断端末140からの要求を実行しない。
(診断端末の要求の実行例)
実行部32は、認証が成功である診断端末140からの要求が車載ECUからのデータの読み出しである場合に、車載ECUからデータを読み出して該診断端末140へ出力する。実行部32は、認証が成功である診断端末140からの要求が車載ECUへのデータの書き込みである場合に、該診断端末140から入力されたデータを車載ECUへ書き込む。 <Process execution example 3: Application of diagnostic terminal>
If the authentication of the diagnostic terminal 140 is successful, the execution unit 32 of the management gateway 1 executes the request from the diagnostic terminal 140. On the other hand, the execution unit 32 of the management gateway 1 does not execute the request from the diagnostic terminal 140 when the authentication of the diagnostic terminal 140 fails.
(Execution example of request of diagnostic terminal)
When the request from the diagnostic terminal 140 for which the authentication is successful is to read the data from the vehicle-mounted ECU, the execution unit 32 reads the data from the vehicle-mounted ECU and outputs the data to the diagnostic terminal 140. When the request from the diagnostic terminal 140 for which the authentication is successful is to write the data to the vehicle-mounted ECU, the execution unit 32 writes the data input from the diagnostic terminal 140 to the vehicle-mounted ECU.

上述した処理の実行例1,2,3は組み合わせてもよい。例えば、実行部32は、認証が成功である診断端末140から入力されたECUコード240及び権限証明書250だけを使用する。したがって、実行部32は、認証が失敗である診断端末140から入力されたECUコード240及び権限証明書250を使用しない。例えば、実行部32は、署名252の検証が成功である権限証明書250で示される権限の範囲内だけで、ECUコード240を使用する。したがって、実行部32は、署名252の検証が成功である権限証明書250で示される権限の範囲外では、ECUコード240を使用しない。例えば、実行部32は、署名252の検証が成功である権限証明書250で示される権限の範囲内だけで、認証が成功である診断端末140からの要求を実行する。したがって、実行部32は、署名252の検証が成功である権限証明書250で示される権限の範囲外では、認証が成功である診断端末140からの要求を実行しない。 Execution examples 1, 2, and 3 of the above-described processing may be combined. For example, the execution unit 32 uses only the ECU code 240 and the authority certificate 250 input from the diagnostic terminal 140 for which authentication is successful. Therefore, the execution unit 32 does not use the ECU code 240 and the authority certificate 250 input from the diagnostic terminal 140 whose authentication has failed. For example, the execution unit 32 uses the ECU code 240 only within the range of the authority indicated by the authority certificate 250 in which the verification of the signature 252 is successful. Therefore, the execution unit 32 does not use the ECU code 240 outside the scope of the authority indicated by the authority certificate 250 in which the verification of the signature 252 is successful. For example, the execution unit 32 executes the request from the diagnostic terminal 140 in which the authentication is successful only within the range of the authority indicated by the authority certificate 250 in which the verification of the signature 252 is successful. Therefore, the execution unit 32 does not execute the request from the diagnostic terminal 140 in which the authentication is successful, outside the range of the authority indicated by the authority certificate 250 in which the verification of the signature 252 is successful.

上述した第1実施形態によれば、車載ECUに使用されるデータの適用についての信頼性を向上させることができるという効果が得られる。署名242の検証が成功であるECUコード240だけが車載ECUに使用されることにより、車載ECUに適用されるECUコード240の信頼性が向上する。さらに、署名252の検証が成功である権限証明書250で示される権限の範囲内だけで、署名242の検証が成功であるECUコード240が使用されることにより、車載ECUに対する処理実行の信頼性が向上する。さらに、認証が成功である診断端末140からの要求だけを行うことにより、車載ECUに対する処理実行の行為者の信頼性が向上する。例えば、管理ゲートウェイ1が、認証が成功である診断端末140の端末識別情報を記録することにより、車載ECUに対する処理実行に使用された診断端末140を特定することができる。この診断端末140の特定によって、車載ECUに対する処理実行の行為者を特定することができるようになる。 According to the first embodiment described above, it is possible to improve the reliability of applying the data used in the in-vehicle ECU. By using only the ECU code 240 for which the verification of the signature 242 is successful in the vehicle-mounted ECU, the reliability of the ECU code 240 applied to the vehicle-mounted ECU is improved. Further, the reliability of the processing execution for the in-vehicle ECU is obtained by using the ECU code 240 in which the signature 242 is successfully verified only within the range of the authority indicated by the authority certificate 250 in which the signature 252 is successfully verified. Is improved. Further, by making only the request from the diagnostic terminal 140 for which the authentication is successful, the reliability of the actor who executes the process for the in-vehicle ECU is improved. For example, the management gateway 1 can identify the diagnostic terminal 140 used to execute the processing for the in-vehicle ECU by recording the terminal identification information of the diagnostic terminal 140 whose authentication is successful. By identifying the diagnostic terminal 140, it becomes possible to identify the person who executes the process for the in-vehicle ECU.

[第1実施形態の変形例1]
図6は、本発明の第1実施形態の変形例1に係る自動車100の概略構成図である。この図6において、図2の各部に対応する部分には同一の符号を付け、その説明を省略する。第1実施形態の変形例1では、診断端末140の代わりに端末142を利用する。 [Modification 1 of the first embodiment]
FIG. 6 is a schematic configuration diagram of the automobile 100 according to the first modification of the first embodiment of the present invention. In FIG. 6, the parts corresponding to the respective parts of FIG. 2 are designated by the same reference numerals, and the description thereof will be omitted. In the first modification of the first embodiment, the terminal 142 is used instead of the diagnostic terminal 140.

端末142は、図4に示される無線通信ネットワーク300の契約者情報が書き込まれたeSIMを備える無線通信端末である。端末142は、例えば、スマートフォンやタブレット型のコンピュータ(タブレットPC)等の携帯通信端末である。端末142は、自己のeSIMを使用することにより無線通信ネットワーク300を利用できる。なお、端末142は、eSIMの代わりに、無線通信ネットワーク300の契約者情報が書き込まれたSIM、を備える無線通信端末であってもよい。 The terminal 142 is a wireless communication terminal including an eSIM in which the contractor information of the wireless communication network 300 shown in FIG. 4 is written. The terminal 142 is, for example, a mobile communication terminal such as a smartphone or a tablet-type computer (tablet PC). The terminal 142 can use the wireless communication network 300 by using its own eSIM. The terminal 142 may be a wireless communication terminal including a SIM in which the contractor information of the wireless communication network 300 is written instead of the eSIM.

端末142は、自動車100の管理ゲートウェイ1に接続される。管理ゲートウェイ1の入出力インタフェース34は、端末142と接続して該端末142とデータを交換する。なお、図6の例では、管理ゲートウェイ1の入出力インタフェース34は、自動車100に備わるインフォテイメント(Infotainment)機器150にも接続して該インフォテイメント機器150とデータを交換する。端末142は、インフォテイメント機器150に接続して該インフォテイメント機器150とデータを交換する。端末142は、無線通信ネットワーク300を介して取得した情報をインフォテイメント機器150に出力する。管理ゲートウェイ1は、インフォテイメント機器150から入力された情報を車載ECUへ出力する。 The terminal 142 is connected to the management gateway 1 of the automobile 100. The input / output interface 34 of the management gateway 1 connects to the terminal 142 and exchanges data with the terminal 142. In the example of FIG. 6, the input / output interface 34 of the management gateway 1 is also connected to the infotainment device 150 provided in the automobile 100 to exchange data with the infotainment device 150. The terminal 142 connects to the infotainment device 150 and exchanges data with the infotainment device 150. The terminal 142 outputs the information acquired via the wireless communication network 300 to the infotainment device 150. The management gateway 1 outputs the information input from the infotainment device 150 to the vehicle-mounted ECU.

端末142は、上述した第1実施形態の診断端末140と同様の機能を有する。これは、診断端末140の機能を実現するコンピュータプログラムを端末142にインストールし、該コンピュータプログラムが端末142で実行されることによって実現される。これにより、第1実施形態の変形例1においても、上述した図5の管理方法と同様の手順が行われる。第1実施形態の変形例1では、図5の管理方法において、上述した第1実施形態で診断端末140が行う処理を端末142が行う。管理ゲートウェイ1は、診断端末140の代わりに、端末142との間で認証を行う。管理ゲートウェイ1は、診断端末140の代わりに、端末142からECUコード240及び権限証明書250を入力する。 The terminal 142 has the same function as the diagnostic terminal 140 of the first embodiment described above. This is realized by installing a computer program that realizes the function of the diagnostic terminal 140 on the terminal 142 and executing the computer program on the terminal 142. As a result, in the modified example 1 of the first embodiment, the same procedure as the management method of FIG. 5 described above is performed. In the first modification of the first embodiment, in the management method of FIG. 5, the terminal 142 performs the process performed by the diagnostic terminal 140 in the above-described first embodiment. The management gateway 1 authenticates with the terminal 142 instead of the diagnostic terminal 140. The management gateway 1 inputs the ECU code 240 and the authority certificate 250 from the terminal 142 instead of the diagnostic terminal 140.

第1実施形態の変形例1によれば、メンテナンス専用の診断端末140を使用しなくてもよい。これにより、自動車100の所有者は自己の端末142を使用して車載ECUの保守を行うことができる。 According to the first modification of the first embodiment, it is not necessary to use the diagnostic terminal 140 dedicated to maintenance. As a result, the owner of the automobile 100 can maintain the in-vehicle ECU by using his / her own terminal 142.

[第1実施形態の変形例2]
図7は、本発明の第1実施形態の変形例2に係る自動車100の概略構成図である。この図7において、図2及び図6の各部に対応する部分には同一の符号を付け、その説明を省略する。第1実施形態の変形例2では、診断端末140又は端末142のどちらでも利用可能な構成である。第1実施形態の変形例2においても、上述した図5の管理方法と同様の手順が行われる。管理ゲートウェイ1は、診断端末140又は端末142のいずれかとの間で認証を行う。管理ゲートウェイ1は、その認証相手の診断端末140又は端末142のいずれかから、ECUコード240及び権限証明書250を入力する。 [Modification 2 of the first embodiment]
FIG. 7 is a schematic configuration diagram of the automobile 100 according to the second modification of the first embodiment of the present invention. In FIG. 7, the parts corresponding to the parts of FIGS. 2 and 6 are designated by the same reference numerals, and the description thereof will be omitted. In the second modification of the first embodiment, the configuration can be used by either the diagnostic terminal 140 or the terminal 142. In the second modification of the first embodiment, the same procedure as the management method of FIG. 5 described above is performed. The management gateway 1 authenticates with either the diagnostic terminal 140 or the terminal 142. The management gateway 1 inputs the ECU code 240 and the authority certificate 250 from either the diagnostic terminal 140 or the terminal 142 of the authentication partner.

第1実施形態の変形例2によれば、自動車整備工場でメンテナンス専用の診断端末140を使用して車載ECUの保守を行うこともできるし、自動車100の所有者が自己の端末142を使用して車載ECUの保守を行うこともできる。 According to the second modification of the first embodiment, the maintenance of the in-vehicle ECU can be performed by using the diagnostic terminal 140 dedicated to maintenance at the automobile maintenance shop, or the owner of the automobile 100 uses his / her own terminal 142. It is also possible to maintain the in-vehicle ECU.

[第2実施形態]
図8は、本発明の第2実施形態に係る自動車100の概略構成図である。この図8において、図2の各部に対応する部分には同一の符号を付け、その説明を省略する。第2実施形態では、診断端末140及び端末142を使用しない。第2実施形態において、管理ゲートウェイ1は、無線通信ネットワーク300を介して、センタ局200から直接にECUコード240及び権限証明書250を受信する。このため、第2実施形態では、管理ゲートウェイ1は、端末認証部14が不要である。 [Second Embodiment]
FIG. 8 is a schematic configuration diagram of an automobile 100 according to a second embodiment of the present invention. In FIG. 8, the parts corresponding to the parts of FIG. 2 are designated by the same reference numerals, and the description thereof will be omitted. In the second embodiment, the diagnostic terminal 140 and the terminal 142 are not used. In the second embodiment, the management gateway 1 receives the ECU code 240 and the authority certificate 250 directly from the center station 200 via the wireless communication network 300. Therefore, in the second embodiment, the management gateway 1 does not require the terminal authentication unit 14.

第2実施形態においても、上述した図5の管理方法と同様の手順が行われる。但し、第2実施形態では、図5の管理方法において、管理ゲートウェイ1がセンタ局200から直接にECUコード240及び権限証明書250を受信する。したがって、センタ局200は、管理ゲートウェイ1へ、ECUコード240及び権限証明書250を送信する。管理ゲートウェイ1は、センタ局200から受信したECUコード240及び権限証明書250の各署名242,252を検証する。 Also in the second embodiment, the same procedure as the management method of FIG. 5 described above is performed. However, in the second embodiment, in the management method of FIG. 5, the management gateway 1 receives the ECU code 240 and the authority certificate 250 directly from the center station 200. Therefore, the center station 200 transmits the ECU code 240 and the authority certificate 250 to the management gateway 1. The management gateway 1 verifies each signature 242,252 of the ECU code 240 and the authority certificate 250 received from the center station 200.

第2実施形態の変形例2によれば、センタ局200から直接に管理ゲートウェイ1へECUコード240及び権限証明書250が送られるので、自動的に車載ECUの保守を行うこともできる。 According to the second modification of the second embodiment, the ECU code 240 and the authority certificate 250 are sent directly from the center station 200 to the management gateway 1, so that the vehicle-mounted ECU can be automatically maintained.

[第3実施形態]
図9は、本発明の第3実施形態に係る管理ゲートウェイ1の構成を示すブロック図である。図10は、本発明の第3実施形態に係る自動車100の概略構成図である。この図9,図10において、図1,図2の各部に対応する部分には同一の符号を付け、その説明を省略する。第3実施形態では、診断ポート500が管理装置である。図9において、診断ポート500は、図1に示される管理ゲートウェイ1と同じeSIM_10、CANインタフェース31、実行部32、無線通信部33及び入出力インタフェース34を備える。診断ポート500のeSIM_10は、管理ゲートウェイ1のeSIM_10と同じ復号部11、鍵保持部12、署名検証部13及び端末認証部14を備える。 [Third Embodiment]
FIG. 9 is a block diagram showing a configuration of the management gateway 1 according to the third embodiment of the present invention. FIG. 10 is a schematic configuration diagram of an automobile 100 according to a third embodiment of the present invention. In FIGS. 9 and 10, the parts corresponding to the parts of FIGS. 1 and 2 are designated by the same reference numerals, and the description thereof will be omitted. In the third embodiment, the diagnostic port 500 is the management device. In FIG. 9, the diagnostic port 500 includes the same eSIM_10, CAN interface 31, execution unit 32, wireless communication unit 33, and input / output interface 34 as the management gateway 1 shown in FIG. The eSIM_10 of the diagnostic port 500 includes the same decryption unit 11, key holding unit 12, signature verification unit 13, and terminal authentication unit 14 as the eSIM_10 of the management gateway 1.

図10において、診断ポート500は、CANインタフェース31により、制御用車載ネットワーク110を介して車載ECUとデータを交換する。診断ポート500の入出力インタフェース34は診断端末140を接続する。診断ポート500と診断端末140とは接続したり、接続を外したりできる。例えば、診断ポート500と診断端末140との間は、通信ケーブルで接続してもよく、又は、近距離無線通信により接続してもよい。診断ポート500は、入出力インタフェース34により、診断端末140とデータを交換する。 In FIG. 10, the diagnostic port 500 exchanges data with the vehicle-mounted ECU via the control vehicle-mounted network 110 by the CAN interface 31. The input / output interface 34 of the diagnostic port 500 connects the diagnostic terminal 140. The diagnostic port 500 and the diagnostic terminal 140 can be connected to or disconnected from each other. For example, the diagnostic port 500 and the diagnostic terminal 140 may be connected by a communication cable or by short-range wireless communication. The diagnostic port 500 exchanges data with the diagnostic terminal 140 by means of the input / output interface 34.

第3実施形態においても、上述した図5の管理方法と同様の手順が行われる。第3実施形態では、図5の管理方法において、上述した第1実施形態で管理ゲートウェイ1が行う処理を診断ポート500が行う。診断ポート500は、診断端末140との間で認証を行う。診断ポート500は、診断端末140からECUコード240及び権限証明書250を入力し、入力したECUコード240及び権限証明書250の各署名242,252を検証する。診断ポート500は、車載ECUに対する処理を実行する。 Also in the third embodiment, the same procedure as the management method of FIG. 5 described above is performed. In the third embodiment, in the management method of FIG. 5, the diagnostic port 500 performs the processing performed by the management gateway 1 in the above-described first embodiment. The diagnostic port 500 authenticates with the diagnostic terminal 140. The diagnostic port 500 inputs the ECU code 240 and the authority certificate 250 from the diagnostic terminal 140, and verifies the signatures 242 and 252 of the input ECU code 240 and the authority certificate 250. The diagnostic port 500 executes processing for the vehicle-mounted ECU.

第3実施形態によれば、診断ポート500に管理装置の機能を備えることにより、構成の簡素化を図ることができる。従来の自動車100に備わる診断ポートに管理装置の機能を備えるので、別途、管理ゲートウェイ1を自動車100に設ける必要がない。 According to the third embodiment, the configuration can be simplified by providing the diagnostic port 500 with the function of the management device. Since the diagnostic port provided in the conventional automobile 100 is provided with the function of the management device, it is not necessary to separately provide the management gateway 1 in the automobile 100.

なお、第3実施形態では、インフォテイメント機器150については制御用車載ネットワーク110に接続しない。これは、セキュリティの観点から、管理ゲートウェイ1を介さずにインフォテイメント機器150を制御用車載ネットワーク110に接続することを避けるためである。 In the third embodiment, the infotainment device 150 is not connected to the control vehicle-mounted network 110. This is to avoid connecting the infotainment device 150 to the control in-vehicle network 110 without going through the management gateway 1 from the viewpoint of security.

以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。 Although the embodiments of the present invention have been described in detail with reference to the drawings, the specific configuration is not limited to this embodiment, and design changes and the like within a range not deviating from the gist of the present invention are also included.

例えば、セキュアエレメントとして、eSIM又はSIMのいずれを使用してもよい。eSIMは、通常、電子基板にハンダ付け(ハードウェア・バインド(H/Wバインド))される。SIMは、通常、電子基板にプログラム的に紐付けられる(ソフトウェア・バインド(S/Wバインド))される。 For example, either eSIM or SIM may be used as the secure element. The eSIM is usually soldered (hardware bound (H / W bound)) to an electronic board. The SIM is usually programmatically associated with an electronic board (software bind (S / W bind)).

上述した実施形態では、公開鍵と秘密鍵を使用する認証方法を使用したが、共通鍵を使用する認証方法を使用してもよい。共通鍵を使用する場合には、セキュアエレメント内のセキュア領域のみで鍵が保持されることがセキュリティの観点で好ましい。 In the above-described embodiment, the authentication method using the public key and the private key is used, but the authentication method using the common key may be used. When using a common key, it is preferable from the viewpoint of security that the key is held only in the secure area in the secure element.

管理ゲートウェイ1、診断端末140、診断ポート500及び車載ECUにおいて、セキュアブート(Secure Boot)を行うことも好ましい。セキュアブートによれば、コンピュータの起動時に当該コンピュータのオペレーティングシステム(Operating System:OS)の正当性を検証することができる。セキュアブートについては、例えば非特許文献3,4,5,6に記載されている。 It is also preferable to perform Secure Boot in the management gateway 1, the diagnostic terminal 140, the diagnostic port 500, and the in-vehicle ECU. According to secure boot, the validity of the operating system (OS) of the computer can be verified when the computer is started. Secure boot is described, for example, in Non-Patent Documents 3, 4, 5, and 6.

上述した実施形態では、車両として自動車を例に挙げたが、原動機付自転車や鉄道車両等の自動車以外の他の車両にも適用可能である。 In the above-described embodiment, an automobile is taken as an example of the vehicle, but the present invention can be applied to other vehicles other than automobiles such as motorized bicycles and railway vehicles.

また、上述した管理ゲートウェイ1又は診断ポート500の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。 Further, a computer program for realizing the function of the management gateway 1 or the diagnostic port 500 described above is recorded on a computer-readable recording medium, and the program recorded on the recording medium is read into the computer system and executed. You may do it. The "computer system" referred to here may include hardware such as an OS and peripheral devices.
The "computer-readable recording medium" is a writable non-volatile memory such as a flexible disk, a magneto-optical disk, a ROM, or a flash memory, a portable medium such as a DVD (Digital Versatile Disk), or a built-in computer system. A storage device such as a hard disk.

さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。 Furthermore, the "computer-readable recording medium" is a volatile memory inside a computer system that serves as a server or client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line (for example, DRAM (Dynamic)). It also includes those that hold the program for a certain period of time, such as Random Access Memory)).
Further, the program may be transmitted from a computer system in which this program is stored in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the "transmission medium" for transmitting a program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
Further, the above program may be for realizing a part of the above-mentioned functions. Further, a so-called difference file (difference program) may be used, which can realize the above-mentioned functions in combination with a program already recorded in the computer system.

1…管理ゲートウェイ(管理装置)、10,232,1420…eSIM(セキュアエレメント)、31…CANインタフェース、32…実行部、33,230,1410…無線通信部、34…入出力インタフェース、11…復号部、12…鍵保持部、13…署名検証部、14…端末認証部、100…自動車、110…制御用車載ネットワーク、120…駆動系ECU群、121…車体系ECU群、122…安全制御系ECU群、130…診断ポート、140…診断端末、200…センタ局、210…認証鍵保持部、220…署名鍵保持部、222…ECUコード署名処理部、224…権限証明書署名処理部、240…ECUコード、242,252…電子署名、250…権限証明書 1 ... Management gateway (management device), 10,232,1420 ... eSIM (secure element), 31 ... CAN interface, 32 ... Execution unit, 33,230,1410 ... Wireless communication unit, 34 ... Input / output interface, 11 ... Decryption Unit, 12 ... Key holding unit, 13 ... Signature verification unit, 14 ... Terminal authentication unit, 100 ... Automobile, 110 ... In-vehicle network for control, 120 ... Drive system ECU group, 121 ... Body system ECU group, 122 ... Safety control system ECU group, 130 ... diagnostic port, 140 ... diagnostic terminal, 200 ... center station, 210 ... authentication key holding unit, 220 ... signature key holding unit, 222 ... ECU code signature processing unit, 224 ... authority certificate signature processing unit, 240 … ECU code, 242,252… electronic signature, 250… authorization certificate

Claims (4)

車両に搭載された管理装置と、前記管理装置との間で通信によりデータを交換する端末と、を備え、
前記管理装置は、
前記端末とデータを交換する入出力インタフェースと、
認証検証鍵を保持する鍵保持部と、
前記認証検証鍵を使用して前記端末の認証を行う端末認証部と、
実行部と、
前記車両の内部の通信ネットワークを介して、前記車両に搭載された車載コンピュータとの間でデータを交換する車載ネットワークインタフェースと、を備え、
前記端末は、
前記認証検証鍵に対応する認証鍵を保持し、前記端末認証部からの認証要求に対して前記認証鍵を使用して応答する情報処理部を備え、前記車載コンピュータに使用されるデータを前記管理装置に送信し、
前記実行部は、前記端末の認証が成功である場合に前記端末から受信したデータを前記車載コンピュータに使用し、前記端末の認証が失敗である場合には前記端末から受信したデータを使用しない、システムであって、
前記車載コンピュータに使用されるデータは、処理の実行先の車載コンピュータを特定する車載コンピュータ識別子と、車載コンピュータに対する処理内容を特定する権限情報とを含み、
前記実行部は、前記車載コンピュータ識別子で特定される車載コンピュータのみに対して前記権限情報で特定される前記処理内容を実行する、システムであり、
前記車載コンピュータに使用されるデータは、車載コンピュータに対する処理の実行の対象のデータである処理実行対象データであって当該処理実行対象データの種別を含む処理実行対象データと、当該種別とは独立に設けられた、車載コンピュータに対する処理の実行の権限を示す権限証明書であって処理の実行先の車載コンピュータを特定する車載コンピュータ識別子と車載コンピュータに対する処理内容を特定する権限情報とから構成される権限証明書と、であり、
前記実行部は、権限証明書に示される権限の範囲内で、処理実行対象データの種別に応じた処理を実行する、
システム。 It is equipped with a management device mounted on the vehicle and a terminal for exchanging data by communication between the management device.
The management device is
An input / output interface that exchanges data with the terminal,
A key holder that holds the authentication verification key,
A terminal authentication unit that authenticates the terminal using the authentication verification key,
Execution part and
It is provided with an in-vehicle network interface for exchanging data with an in-vehicle computer mounted on the vehicle via a communication network inside the vehicle.
The terminal
The authentication corresponding to the verification key holds the authentication key, the comprising information processing unit to respond by using the authentication key to the authentication request from the terminal authentication unit, the management data to be used for the vehicle computer Send to the device,
The execution unit uses the data received from the terminal for the in-vehicle computer when the authentication of the terminal is successful, and does not use the data received from the terminal when the authentication of the terminal is unsuccessful. It ’s a system,
The data used for the in-vehicle computer includes an in-vehicle computer identifier that identifies the in-vehicle computer to which the processing is executed and authority information that specifies the processing content for the in-vehicle computer.
The execution unit is a system that executes the processing content specified by the authority information only for the vehicle-mounted computer specified by the vehicle-mounted computer identifier.
The data used for the in-vehicle computer is the processing execution target data which is the data to be executed for the in-vehicle computer, and the processing execution target data including the type of the processing execution target data is independent of the type. An authority certificate that is provided and indicates the authority to execute processing on the in-vehicle computer, and is composed of an in-vehicle computer identifier that identifies the in-vehicle computer to which the processing is executed and authority information that specifies the processing content for the in-vehicle computer. With a certificate,
The execution unit executes processing according to the type of processing execution target data within the range of authority indicated in the authority certificate.
system. 前記処理実行対象データは、車載コンピュータの更新プログラム又は設定変更データであり、
前記権限情報が特定する処理内容は、車載コンピュータへのデータの書き込みと車載コンピュータからのデータの読み出しとのうち少なくとも一方であり、
前記実行部は、前記権限情報で特定される前記処理内容が車載コンピュータへのデータの書き込みである場合において処理実行対象データの種別が更新プログラムであるときには前記車載コンピュータ識別子で特定される車載コンピュータのみに対して処理実行対象データの更新プログラムをインストールし、
前記実行部は、前記権限情報で特定される前記処理内容が車載コンピュータへのデータの書き込みである場合において処理実行対象データの種別が設定変更データであるときには前記車載コンピュータ識別子で特定される車載コンピュータのみに対して処理実行対象データの設定変更データで該当データを書き換える、
請求項1に記載のシステム。 The processing execution target data is update program or setting change data of the in-vehicle computer, and is
The processing content specified by the authority information is at least one of writing data to the in-vehicle computer and reading data from the in-vehicle computer.
The execution unit is limited to the in-vehicle computer specified by the in-vehicle computer identifier when the processing content specified by the authority information is writing data to the in-vehicle computer and the type of data to be processed is an update program. Install the update program of the processing execution target data for
The execution unit is the in-vehicle computer specified by the in-vehicle computer identifier when the processing content specified by the authority information is writing data to the in-vehicle computer and the type of processing execution target data is setting change data. Rewrite the corresponding data with the setting change data of the processing execution target data for only
The system according to claim 1. 前記実行部は、前記権限情報で特定される前記処理内容が車載コンピュータからのデータの読み出しである場合に、前記車載コンピュータ識別子で特定される車載コンピュータのみに対してデータの読み出しを実行する、
請求項1又は2のいずれか1項に記載のシステム。 When the processing content specified by the authority information is reading data from an in-vehicle computer, the execution unit executes data reading only for the in-vehicle computer specified by the in-vehicle computer identifier.
The system according to any one of claims 1 or 2. 車両に搭載された管理装置が、前記車両の内部の通信ネットワークを介して、前記車両に搭載された車載コンピュータとの間でデータを交換する車載ネットワークインタフェースを備え、
前記管理装置が、前記管理装置との間で通信によりデータを交換する端末に対して、認証検証鍵を使用して前記端末の認証を行う端末認証ステップと、
前記端末が、前記認証検証鍵に対応する認証鍵を保持し、前記管理装置からの認証要求に対して前記認証鍵を使用して応答するステップと、
前記端末が、前記車載コンピュータに使用されるデータを前記管理装置に送信するステップと、
前記管理装置が、前記端末の認証が成功である場合に前記端末から受信したデータを前記車載コンピュータに使用し、前記端末の認証が失敗である場合には前記端末から受信したデータを使用しない実行ステップと、を含む管理方法であって、
前記車載コンピュータに使用されるデータは、処理の実行先の車載コンピュータを特定する車載コンピュータ識別子と、車載コンピュータに対する処理内容を特定する権限情報とを含み、
前記管理装置は、前記実行ステップにおいて、前記車載コンピュータ識別子で特定される車載コンピュータのみに対して前記権限情報で特定される前記処理内容を実行する、管理方法であり、
前記車載コンピュータに使用されるデータは、車載コンピュータに対する処理の実行の対象のデータである処理実行対象データであって当該処理実行対象データの種別を含む処理実行対象データと、当該種別とは独立に設けられた、車載コンピュータに対する処理の実行の権限を示す権限証明書であって処理の実行先の車載コンピュータを特定する車載コンピュータ識別子と車載コンピュータに対する処理内容を特定する権限情報とから構成される権限証明書と、であり、
前記実行部は、権限証明書に示される権限の範囲内で、処理実行対象データの種別に応じた処理を実行する、
管理方法。 A management device mounted on the vehicle is provided with an in-vehicle network interface for exchanging data with an in-vehicle computer mounted on the vehicle via a communication network inside the vehicle.
Said management device, to the terminal to exchange data by communication with the management device, a terminal authentication step that uses the authentication verification key to authenticate the terminal,
A step in which the terminal holds an authentication key corresponding to the authentication verification key and responds to an authentication request from the management device by using the authentication key.
A step wherein the terminal is to transmit the data used in the vehicle computer to the management device,
Execution in which the management device uses the data received from the terminal for the in-vehicle computer when the authentication of the terminal is successful, and does not use the data received from the terminal when the authentication of the terminal is unsuccessful. A management method that includes steps and
The data used for the in-vehicle computer includes an in-vehicle computer identifier that identifies the in-vehicle computer to which the processing is executed and authority information that specifies the processing content for the in-vehicle computer.
The management device is a management method that executes the processing content specified by the authority information only for the vehicle-mounted computer specified by the vehicle-mounted computer identifier in the execution step.
The data used for the in-vehicle computer is the processing execution target data which is the data to be executed for the in-vehicle computer, and the processing execution target data including the type of the processing execution target data is independent of the type. An authority certificate that is provided and indicates the authority to execute processing on the in-vehicle computer, and is composed of an in-vehicle computer identifier that identifies the in-vehicle computer to which the processing is executed and authority information that specifies the processing content for the in-vehicle computer. With a certificate,
The execution unit executes processing according to the type of processing execution target data within the range of authority indicated in the authority certificate.
Management method.
JP2017198560A 2017-10-12 2017-10-12 System and management method Active JP6860464B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017198560A JP6860464B2 (en) 2017-10-12 2017-10-12 System and management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017198560A JP6860464B2 (en) 2017-10-12 2017-10-12 System and management method

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2014197075A Division JP6228093B2 (en) 2014-09-26 2014-09-26 system

Publications (2)

Publication Number Publication Date
JP2018042256A JP2018042256A (en) 2018-03-15
JP6860464B2 true JP6860464B2 (en) 2021-04-14

Family

ID=61626560

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017198560A Active JP6860464B2 (en) 2017-10-12 2017-10-12 System and management method

Country Status (1)

Country Link
JP (1) JP6860464B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7206794B2 (en) * 2018-10-22 2023-01-18 トヨタ自動車株式会社 mobile control system
JP7008661B2 (en) * 2019-05-31 2022-01-25 本田技研工業株式会社 Authentication system

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2009147734A1 (en) * 2008-06-04 2011-10-20 ルネサスエレクトロニクス株式会社 Vehicle, maintenance device, maintenance service system, and maintenance service method
JP5395036B2 (en) * 2010-11-12 2014-01-22 日立オートモティブシステムズ株式会社 In-vehicle network system
US9457740B2 (en) * 2011-01-31 2016-10-04 Honda Motor Co., Ltd. Vehicle control system
JP2013138304A (en) * 2011-12-28 2013-07-11 Toyota Motor Corp Security system and key data operation method
JP5772610B2 (en) * 2012-01-12 2015-09-02 株式会社デンソー In-vehicle system, relay device
JP5772609B2 (en) * 2012-01-12 2015-09-02 株式会社デンソー Vehicle communication system
JP5900007B2 (en) * 2012-02-20 2016-04-06 株式会社デンソー VEHICLE DATA COMMUNICATION AUTHENTICATION SYSTEM AND VEHICLE GATEWAY DEVICE
JP5905072B2 (en) * 2012-03-02 2016-04-20 三菱電機株式会社 Information processing apparatus, information processing method, and program

Also Published As

Publication number Publication date
JP2018042256A (en) 2018-03-15

Similar Documents

Publication Publication Date Title
JP6228093B2 (en) system
JP6197000B2 (en) System, vehicle, and software distribution processing method
JP6262681B2 (en) Management device, vehicle, management method, and computer program
US20200177398A1 (en) System, certification authority, vehicle-mounted computer, vehicle, public key certificate issuance method, and program
CN107113167B (en) Management device, key generation device, vehicle, maintenance tool, management system, management method, and computer program
JP6731887B2 (en) Maintenance system and maintenance method
JP6188672B2 (en) Key management system
CN109314639B (en) Management system, key generation device, vehicle-mounted computer, management method, and recording medium
JP6178390B2 (en) Management device, management system, vehicle, management method, and computer program
JP6238939B2 (en) In-vehicle computer system, vehicle, management method, and computer program
WO2017022821A1 (en) Management device, management system, key generation device, key generation system, key management system, vehicle, management method, key generation method, and computer program
JP6440334B2 (en) System, vehicle, and software distribution processing method
JP6192673B2 (en) Key management system, key management method, and computer program
CN109314644B (en) Data providing system, data protection device, data providing method, and storage medium
CN112513844A (en) Secure element for processing and authenticating digital keys and method of operation thereof
JP2018019415A (en) System, authentication station, on-vehicle computer, public key certificate issuing method, and program
JP6860464B2 (en) System and management method
JP6476462B2 (en) In-vehicle computer system, vehicle, management method, and computer program
JP2018006782A (en) Data providing system, data providing apparatus, on-vehicle computer, data providing method, and computer program
JP6188744B2 (en) Management system, vehicle and management method
JP6672243B2 (en) Data providing system, data providing device, data providing method, and data providing program
JP6519060B2 (en) Management device, vehicle, management method, and computer program
JP6132955B1 (en) Verification system, verification device, verification method, and computer program
JP2018026874A (en) Data providing system and data providing method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171012

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190108

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190308

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20190903

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191202

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20191202

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20191210

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20191217

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20200207

C211 Notice of termination of reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C211

Effective date: 20200212

C22 Notice of designation (change) of administrative judge

Free format text: JAPANESE INTERMEDIATE CODE: C22

Effective date: 20200714

C13 Notice of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: C13

Effective date: 20201110

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210106

C23 Notice of termination of proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C23

Effective date: 20210202

C03 Trial/appeal decision taken

Free format text: JAPANESE INTERMEDIATE CODE: C03

Effective date: 20210309

C30A Notification sent

Free format text: JAPANESE INTERMEDIATE CODE: C3012

Effective date: 20210309

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210326

R150 Certificate of patent or registration of utility model

Ref document number: 6860464

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150