JP6926671B2 - 電子制御装置および電子制御装置における鍵登録方法 - Google Patents
電子制御装置および電子制御装置における鍵登録方法 Download PDFInfo
- Publication number
- JP6926671B2 JP6926671B2 JP2017100785A JP2017100785A JP6926671B2 JP 6926671 B2 JP6926671 B2 JP 6926671B2 JP 2017100785 A JP2017100785 A JP 2017100785A JP 2017100785 A JP2017100785 A JP 2017100785A JP 6926671 B2 JP6926671 B2 JP 6926671B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- electronic control
- control device
- encrypted
- volatile memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、電子制御装置(ECU:Electric Control Unit)のセキュリティを確保するための暗号鍵の登録に関するものであり、主として車載の電子制御装置に用いるものである。
近年、自動車は駆動、制動に限らず、車内環境全般、あるいは通信などにも電子制御装置を用いた制御が用いられるようになってきている。また、運転そのものについても、運転者に対する運転サポートを行う安全運転支援システム、さらには運転者そのものが不要な自動運転システムの開発が活発になっている。これらの流れの中で、電子制御装置が接続された車内ネットワークのハッキングが大きな問題となっている。一旦車内ネットワークがハッキングされると、自動車運転の安全性そのものに影響が生じ、通常のコンピュータのハッキングよりも深刻な危険が生じる可能性がある。そこで、車載向け電子制御装置のセキュリティ規格が各方面で提案されている。SHE(Secure Hardware Extension)規格も、その一つである。
Using the Cryptographic Service Engine (CSE) An introduction to the CSE modulehttp://cache.freescale.com/files/32bit/doc/app_note/AN4234.pdf
非特許文献1のようなSHE準拠のセキュアマイコンでは、汎用領域データフラッシュとセキュア領域データフラッシュが設けられる。一般的に、それぞれのデータフラッシュのコントローラは1つの共通のフラッシュコントローラとして共用されている(図6参照)。
また、SHEでは鍵登録の際のセキュリティを確保するための制約(表3、および2.8.1参照)が規定されている。
また、SHEでは鍵登録の際のセキュリティを確保するための制約(表3、および2.8.1参照)が規定されている。
しかし、このセキュアマイコンを用いると、フラッシュコントローラが共用されているので、データフラッシュアクセスとセキュア領域のデータフラッシュを用いた暗号鍵を使用する暗号コマンドとが同時に発生した場合は、データフラッシュアクセス競合を起こすという問題があることを本発明者は知見した。一般的にデータフラッシュアクセスには時間がかかるため、ギガビットイーサネット(登録商標)を使用するような処理時間がクリティカルな製品に関しては、データフラッシュ領域の暗号鍵にアクセスする時間が許容できない可能性がある。
本発明の目的は、セキュリティを確保しつつ、暗号鍵へのアクセスを高速化することにある。
上記課題を解決するために、本発明の電子制御装置(100)は、
第1の鍵で暗号化された鍵、および、第2の鍵で暗号化された鍵、のいずれも書き込むことが可能であるセキュア領域不揮発性メモリ(102)、並びに、前記第1の鍵で暗号化された鍵を書き込むことができず、かつ、前記第2の鍵で暗号化された鍵を書き込むことが可能であるセキュア領域揮発性メモリ(105)、を有する電子制御装置(100)であって、
当該電子制御装置を識別する識別符号を鍵配布元装置に送信する送信部(106)と、
前記識別符号と対応関係を有する前記第2の鍵で暗号化された目的鍵を前記鍵配布元装置から受信する受信部(107)と、
前記第2の鍵で復号した前記目的鍵が書き込まれる前記セキュア領域揮発性メモリ(105)と、
を備える。
第1の鍵で暗号化された鍵、および、第2の鍵で暗号化された鍵、のいずれも書き込むことが可能であるセキュア領域不揮発性メモリ(102)、並びに、前記第1の鍵で暗号化された鍵を書き込むことができず、かつ、前記第2の鍵で暗号化された鍵を書き込むことが可能であるセキュア領域揮発性メモリ(105)、を有する電子制御装置(100)であって、
当該電子制御装置を識別する識別符号を鍵配布元装置に送信する送信部(106)と、
前記識別符号と対応関係を有する前記第2の鍵で暗号化された目的鍵を前記鍵配布元装置から受信する受信部(107)と、
前記第2の鍵で復号した前記目的鍵が書き込まれる前記セキュア領域揮発性メモリ(105)と、
を備える。
本発明の電子制御装置等によれば、セキュリティを確保しつつ、暗号鍵へのアクセスを高速化することができる。
以下、従来技術の説明に続き、本発明の実施形態について、図面を参照して説明する。なお、本発明とは、特許請求の範囲に記載された発明(又は実施形態の中で特に発明であると言及するもの。以下同様)を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語は、特許請求の範囲に記載された語を意味し、同じく以下の実施形態に限定されるものではない。
また、特許請求の範囲の従属項に記載の構成及び方法、および従属項に記載の構成及び方法に対応する実施形態の構成及び方法は、本発明においては任意の構成及び方法である。
また、特許請求の範囲の従属項に記載の構成及び方法、および従属項に記載の構成及び方法に対応する実施形態の構成及び方法は、本発明においては任意の構成及び方法である。
(従来技術)
SHE規格の鍵登録方法の制約(ルール)を、図4を用いて説明する。
SHE規格では、鍵登録の領域(スロット)として、MASTER ECU KEY領域、BOOT MAC KEY領域、BOOT MAC領域、KEY<N>領域、及びRAM KEY領域が定義されている。なお、Nは1から10の整数である。そして、前4者はSHE規格準拠の電子制御装置において、セキュア領域データフラッシュに設けられ、後1者はセキュア領域ランダムアクセスメモリに設けられている。
SHE規格では、鍵登録の領域(スロット)として、MASTER ECU KEY領域、BOOT MAC KEY領域、BOOT MAC領域、KEY<N>領域、及びRAM KEY領域が定義されている。なお、Nは1から10の整数である。そして、前4者はSHE規格準拠の電子制御装置において、セキュア領域データフラッシュに設けられ、後1者はセキュア領域ランダムアクセスメモリに設けられている。
そして、各領域の鍵を登録(アップデート)するにあたり、以下の制約がある。
MASTER ECU KEY(本発明の「第1の鍵」に相当)で暗号化された鍵は、MASTER ECU KEY領域、BOOT MAC KEY領域、BOOT MAC領域、KEY<N>領域に書き込むことができる。
BOOT MAC KEYで暗号化された鍵は、BOOT MAC KEY領域、BOOT MAC領域に書き込むことができる。
KEY<N>(本発明の「第2の鍵」に相当)で暗号化された鍵は、KEY<N>領域、RAM KEY領域に書き込むことができる。なお、Nは1から10の整数である。すなわち、KEY<N>は合計10個の鍵からなる。以降、単にKEY<N>と表現するときは、10個のうち特定の一つの鍵を意味する。
MASTER ECU KEY(本発明の「第1の鍵」に相当)で暗号化された鍵は、MASTER ECU KEY領域、BOOT MAC KEY領域、BOOT MAC領域、KEY<N>領域に書き込むことができる。
BOOT MAC KEYで暗号化された鍵は、BOOT MAC KEY領域、BOOT MAC領域に書き込むことができる。
KEY<N>(本発明の「第2の鍵」に相当)で暗号化された鍵は、KEY<N>領域、RAM KEY領域に書き込むことができる。なお、Nは1から10の整数である。すなわち、KEY<N>は合計10個の鍵からなる。以降、単にKEY<N>と表現するときは、10個のうち特定の一つの鍵を意味する。
すなわち、MASTER ECU KEY(本発明の「第1の鍵」に相当)およびKEY<N>(本発明の「第2の鍵」に相当)に着目すれば、セキュア領域データフラッシュ(KEY<N>領域)(本発明の「セキュア領域不揮発性メモリ」に相当)は、MASTER ECU KEY、およびKEY<N>いずれの鍵で暗号化された鍵も書き込むことが可能であり、セキュア領域ランダムアクセスメモリ(RAM KEY領域)(本発明の「セキュア領域揮発性メモリ」に相当)は、MASTER ECU KEYで暗号化された鍵は書き込むことができず、かつ、KEY<N>で暗号化された鍵は書き込むことが可能であるという制約がある。
この制約のもとで電子制御装置に鍵を登録する従来の方法を、図5を用いて説明する。
鍵配布元装置は、鍵書き込み対象電子制御装置(以下、「電子制御装置」という。)に対して、電子制御装置に付与された当該電子制御装置を識別する識別符号(ID)を通知するよう指示し(S501)、電子制御装置は識別符号を鍵配布元装置に送信する(S502)。鍵配布元装置は、電子制御装置の識別符号とMASTER ECU KEYとを紐づけて管理しており、送信された識別符号からMASTER ECU KEYを入手する(S503)。そして、鍵配布元装置は、目的鍵を当該MASTER ECU KEYで暗号化(S504)及び送信し、電子制御装置はMASTER ECU KEYで暗号化された目的鍵を受信する(S505)。そして、電子制御装置は、目的鍵をMASTER ECU KEYで復号してセキュア領域データフラッシュに書き込む(S506)。
鍵配布元装置は、鍵書き込み対象電子制御装置(以下、「電子制御装置」という。)に対して、電子制御装置に付与された当該電子制御装置を識別する識別符号(ID)を通知するよう指示し(S501)、電子制御装置は識別符号を鍵配布元装置に送信する(S502)。鍵配布元装置は、電子制御装置の識別符号とMASTER ECU KEYとを紐づけて管理しており、送信された識別符号からMASTER ECU KEYを入手する(S503)。そして、鍵配布元装置は、目的鍵を当該MASTER ECU KEYで暗号化(S504)及び送信し、電子制御装置はMASTER ECU KEYで暗号化された目的鍵を受信する(S505)。そして、電子制御装置は、目的鍵をMASTER ECU KEYで復号してセキュア領域データフラッシュに書き込む(S506)。
この場合、電子制御装置は、図4の制約により、MASTER ECU KEYで暗号化されている目的鍵をセキュア領域データフラッシュ(KEY<N>領域)にのみ書き込むことができ、セキュア領域ランダムアクセスメモリ(RAM KEY領域)に書き込むことはできない。
この結果、読み書き速度が相対的にランダムアクセスメモリよりも遅いデータフラッシュに目的鍵を置くことになり、アクセス速度が遅くなる。また、汎用領域データフラッシュとセキュア領域データフラッシュを一つのフラッシュコントローラで制御している場合はデータフラッシュアクセス競合が起こることがあり、セキュア領域データフラッシュに書き込んだ目的鍵のアクセス速度はより遅くなる。本発明者は、この問題を知見したものである。
本発明者は、この問題に対し、暗号鍵を登録する領域としてセキュア領域ランダムアクセスメモリを活用することで、暗号鍵へのアクセスを高速化する方法を発明したものである。以下、本発明の実施形態を説明する。
(実施形態1)
1.電子制御装置の構成
まず、本発明の実施形態1の電子制御装置の構成を、図1を用いて説明する。
まず、本発明の実施形態1の電子制御装置の構成を、図1を用いて説明する。
本発明の電子制御装置は、SHE規格に「準拠した」ものであり、セキュアマイコンと呼ばれるものである。SHE規格の制約については図4を用いて説明した通りである。
そして、本発明の実施形態の電子制御装置100は、CPU101、セキュア領域データフラッシュ102、汎用領域データフラッシュ103、フラッシュコントローラ104(本発明の「コントローラ」に相当)、セキュア領域ランダムアクセスメモリ105、送信部106、受信部107を有する。本実施形態では、1つのフラッシュコントローラ104が、セキュア領域データフラッシュ102および汎用領域データフラッシュ103に共用されるものとなっているが、本発明はこれに限るものではない。共用のフラッシュコントローラ104においては、CPU101からの暗号コマンドと、同じくCPU101からのデータフラッシュアクセスが、フラッシュコントローラ104において競合し、データフラッシュアクセス競合が起こることがある。
そして、本発明の実施形態の電子制御装置100は、CPU101、セキュア領域データフラッシュ102、汎用領域データフラッシュ103、フラッシュコントローラ104(本発明の「コントローラ」に相当)、セキュア領域ランダムアクセスメモリ105、送信部106、受信部107を有する。本実施形態では、1つのフラッシュコントローラ104が、セキュア領域データフラッシュ102および汎用領域データフラッシュ103に共用されるものとなっているが、本発明はこれに限るものではない。共用のフラッシュコントローラ104においては、CPU101からの暗号コマンドと、同じくCPU101からのデータフラッシュアクセスが、フラッシュコントローラ104において競合し、データフラッシュアクセス競合が起こることがある。
ここで、本発明の「準拠した」とは、少なくとも鍵登録に関する部分がSHE規格を用いていれば足りる。以下の発明においても同様である。
セキュア領域データフラッシュ102(本発明の「セキュア領域不揮発性メモリ」に相当)はセキュア領域に設けられたデータフラッシュ、汎用領域データフラッシュ103(本発明の「汎用領域不揮発性メモリ」に相当)はセキュア領域外に設けられたデータフラッシュである。データフラッシュは不揮発性メモリであり、不揮発性メモリは他にフラッシュEPROMやフラッシュROMと呼ばれるものを含む。
セキュア領域ランダムアクセスメモリ105(本発明の「セキュア領域揮発性メモリ」に相当)は、セキュア領域に設けられたランダムアクセスメモリである。ランダムアクセスメモリは揮発性メモリであり、SRAMやDRAMをはじめ、様々な方式のメモリを含む。揮発性メモリ(例えばランダムアクセスメモリ)は、不揮発性メモリ(例えばデータフラッシュ)に比べ、読み書き速度が速いという特徴を有する。
その他、本実施形態の電子制御装置100は、セキュア領域に、AES(Advanced Encryption Standard)、PRNG(Pseudo Random Number Generator)、ROM(リードオンリーメモリ)、セキュリティーコントローラを有する。
電子制御装置100は固有の識別符号を有しており、送信部106を介して外部の鍵配布元装置に送信する。また、電子制御装置100は、外部の鍵配布元装置から暗号化された鍵を受信部107を介して受信する。暗号化された鍵は暗号化されたままセキュア領域に送られ、セキュア領域の中で自動的に復号され、セキュア領域データフラッシュ102やセキュア領域ランダムアクセスメモリ105に書き込まれる。どの鍵がどの領域に書き込まれるかについての詳細は後述する。鍵配布元装置は、車内に置かれた他の電子制御装置やサーバ等、あるいは、車外に置かれたサーバ等である。
2.電子制御装置の動作
次に、本実施形態の電子制御装置100の動作を、図2を用いて説明する。
次に、本実施形態の電子制御装置100の動作を、図2を用いて説明する。
鍵配布元装置は、本実施形態の鍵書き込み対象である電子制御装置100(以下、「電子制御装置」という。)に対して、電子制御装置100に付与された当該電子制御装置100を識別する識別符号(ID)を通知するよう指示し(S101)、電子制御装置100は識別符号を鍵配布元装置に送信する(本発明の「送信ステップ」に相当)(S102)。鍵配布元装置は、電子制御装置100の識別符号と電子制御装置100に固有のMASTER ECU KEYとを「紐づけて」管理しており、送信された識別符号に「紐づけられた」MASTER ECU KEY(本発明の「第1の鍵」に相当)を入手する(S103)。そして、鍵配布元装置は、一時鍵(本発明の「第2の鍵」に相当)を生成し(S104)、MASTER ECU KEYで一時鍵を暗号化し(S105)、暗号化した一時鍵を電子制御装置100に送信する。また、鍵配布元装置は、目的鍵を一時鍵で暗号化し(S107)、暗号化した目的鍵を電子制御装置100に送信する。つまり、鍵配布元装置は、識別符号と「対応関係を有する」一時鍵で暗号化された目的鍵を電子制御装置100に送信する。
目的鍵とは、電子制御装置が鍵登録(更新)する対象の鍵であり、図4に記載の鍵を含め、任意の鍵が対象となる。SHEに準拠した電子制御装置では、目的鍵は通常はKEY<N>に登録して使用する鍵であり、暗号化や改ざん検知等に使用する鍵となる。
一時鍵とは、鍵配布元装置と電子制御装置100との間で目的鍵を暗号化するために用いられる鍵である。SHEに準拠した電子制御装置では、鍵配布元装置で乱数等を用いて生成され、電子制御装置100のKEY<N>領域に格納される。
目的鍵とは、電子制御装置が鍵登録(更新)する対象の鍵であり、図4に記載の鍵を含め、任意の鍵が対象となる。SHEに準拠した電子制御装置では、目的鍵は通常はKEY<N>に登録して使用する鍵であり、暗号化や改ざん検知等に使用する鍵となる。
一時鍵とは、鍵配布元装置と電子制御装置100との間で目的鍵を暗号化するために用いられる鍵である。SHEに準拠した電子制御装置では、鍵配布元装置で乱数等を用いて生成され、電子制御装置100のKEY<N>領域に格納される。
ここで、本発明の「紐づけられた」とは、識別符号と第1の鍵とが直接紐づけられている場合の他、間接的に紐づけられている場合も含む。
また、本発明の「対応関係を有する」とは、識別符号と第2の鍵とが直接的に対応することはもちろん、1つ以上の鍵、符号、または演算を介して間接的に対応していればよい。本実施形態は、1つの鍵を介して間接的に対応している場合の例である。
また、本発明の「対応関係を有する」とは、識別符号と第2の鍵とが直接的に対応することはもちろん、1つ以上の鍵、符号、または演算を介して間接的に対応していればよい。本実施形態は、1つの鍵を介して間接的に対応している場合の例である。
電子制御装置100は、MASTER ECU KEY(本発明の「第1の鍵」に相当)で暗号化された一時鍵(本発明の「第2の鍵」に相当)を鍵配布元装置から受信するとともに(本発明の「第1の受信ステップ」に相当)(S106)、一時鍵で暗号化された目的鍵を鍵配布元装置から受信する(本発明の「受信ステップ」又は「第2の受信ステップ」に相当)(S108)。そして、電子制御装置100は、MASTER ECU KEYで復号した一時鍵をセキュア領域データフラッシュ102のKEY<N>領域に書き込む(本発明の「第1の保存ステップ」に相当)(S109)。また、電子制御装置100は、KEY<N>領域に書き込まれた一時鍵で復号した目的鍵をセキュア領域ランダムアクセスメモリ105のRAM KEY領域に書き込む(本発明の「保存ステップ」又は「第2の保存ステップ」に相当)(S110)。
さらに、電子制御装置100は、電子制御装置100の固有鍵で目的鍵を暗号化し(S111)、汎用領域データフラッシュ103に対して書き込み指示を行い、固有鍵で暗号化した目的鍵を汎用領域データフラッシュ103に書き込む(本発明の「第3の保存ステップ」に相当)(S112)。固有鍵とは、電子制御装置100において外部から読み出すことのできない鍵である。以上が初回に目的鍵を登録するステップである。
そして、電子制御装置100が搭載された自動車のエンジンキーをOFFにする等、電子制御装置100が一旦リセットされた後、再度エンジンキーをONにした場合、汎用領域データフラッシュ103に書き込まれた固有鍵で暗号化した目的鍵を、固有鍵で復号してセキュア領域ランダムアクセスメモリに105に書き込む(S113)。以降、同様にエンジンキーをONにする毎にS113のステップを実行する。
以上、本実施形態によれば、MASTER ECU KEYは、電子制御装置に個別であり、かつ当該電子制御装置と鍵配布元装置しか知らないため、MASTER ECU KEYで暗号化された一時鍵はセキュリティ上安全であり、かかる一時鍵で暗号化された目的鍵もセキュリティ上安全である。
また、本実施形態によれば、MASTER ECU KEYで暗号化された鍵を通常書き込むことのできないセキュア領域ランダムアクセスメモリにMASTER ECU KEYを用いて目的鍵を書き込むことができる。セキュア領域ランダムアクセスメモリは、通常平文か一般鍵であるKEY<N>によってしか書き込むことができないが、これらの場合に比べてセキュリティ上安全度は高い。
さらに、目的鍵をセキュア領域ランダムアクセスメモリに書き込むことにより、目的鍵へのアクセスを高速化することができるとともに、フラッシュコントローラが共用の場合でもデータフラッシュアクセス競合を起こすことがない。後述の他の実施形態でも同様である。
そして、固有鍵で暗号化した目的鍵を汎用領域データフラッシュに書き込むことにより、エンジンキーをOFFにしてリセット状態になっても目的鍵が消えることがないので、初回の目的鍵登録以降は鍵配布元装置にアクセスすることなく目的鍵をセキュア領域ランダムアクセスメモリに展開して利用することが可能である。後述の他の実施形態でも同様である。
本実施形態は、SHE規格に準拠した電子制御装置を対象に説明したが、SHE規格の鍵登録に関する部分が同様の制約を有する条件であれば、本発明はSHE規格に準拠した電子制御装置に限られない。なお、SHE規格に準拠した電子制御装置における発明の部分は以下の通りである。
(発明1)
SHE(Secure Hardware Extension)規格に準拠した電子制御装置(100)において、
当該電子制御装置を識別する識別符号を鍵配布元装置に送信する送信部(106)と、
前記識別符号に紐づけられたMASTER ECU KEYで暗号化された一時鍵、および前記一時鍵で暗号化された目的鍵、を前記鍵配布元装置から受信する受信部(107)と、
前記MASTER ECU KEYで復号した前記一時鍵が書き込まれるセキュア領域データフラッシュ(102)と、
前記一時鍵で復号した前記目的鍵が書き込まれるセキュア領域ランダムアクセスメモリ(105)と、
を有する電子制御装置(100)。
(発明2)
SHE(Secure Hardware Extension)規格に準拠した電子制御装置における鍵登録方法であり、
当該電子制御装置を識別する識別符号を鍵配布元装置に送信する送信ステップと、
前記識別符号に紐づけられたMASTER ECU KEYで暗号化された一時鍵を前記鍵配布元装置から受信する第1の受信ステップと、
前記MASTER ECU KEYで復号した前記一時鍵をセキュア領域データフラッシュに書き込む第1の保存ステップと、
前記一時鍵で暗号化された目的鍵を前記鍵配布元装置から受信する第2の受信ステップと、
前記一時鍵で復号した前記目的鍵をセキュア領域ランダムアクセスメモリに書き込む第2の保存ステップと、
を有する鍵登録方法。
(発明1)
SHE(Secure Hardware Extension)規格に準拠した電子制御装置(100)において、
当該電子制御装置を識別する識別符号を鍵配布元装置に送信する送信部(106)と、
前記識別符号に紐づけられたMASTER ECU KEYで暗号化された一時鍵、および前記一時鍵で暗号化された目的鍵、を前記鍵配布元装置から受信する受信部(107)と、
前記MASTER ECU KEYで復号した前記一時鍵が書き込まれるセキュア領域データフラッシュ(102)と、
前記一時鍵で復号した前記目的鍵が書き込まれるセキュア領域ランダムアクセスメモリ(105)と、
を有する電子制御装置(100)。
(発明2)
SHE(Secure Hardware Extension)規格に準拠した電子制御装置における鍵登録方法であり、
当該電子制御装置を識別する識別符号を鍵配布元装置に送信する送信ステップと、
前記識別符号に紐づけられたMASTER ECU KEYで暗号化された一時鍵を前記鍵配布元装置から受信する第1の受信ステップと、
前記MASTER ECU KEYで復号した前記一時鍵をセキュア領域データフラッシュに書き込む第1の保存ステップと、
前記一時鍵で暗号化された目的鍵を前記鍵配布元装置から受信する第2の受信ステップと、
前記一時鍵で復号した前記目的鍵をセキュア領域ランダムアクセスメモリに書き込む第2の保存ステップと、
を有する鍵登録方法。
(実施形態2)
1.電子制御装置の構成
本発明の実施形態2の電子制御装置は、実施形態1と同様、図1の構成を有するので、そちらを参照する。
本発明の実施形態2の電子制御装置は、実施形態1と同様、図1の構成を有するので、そちらを参照する。
2.電子制御装置の動作
次に、本実施形態の電子制御装置100の動作を、図3を用いて説明する。
次に、本実施形態の電子制御装置100の動作を、図3を用いて説明する。
鍵配布元装置は、電子制御装置100に対して、電子制御装置100に付与された当該電子制御装置100を識別する識別符号(ID)を通知するよう指示し(S201)、電子制御装置100は識別符号を鍵配布元装置に送信する(本発明の「送信ステップ」に相当)(S202)。鍵配布元装置は、電子制御装置100の識別符号と電子制御装置100のKEY<N>とを紐づけて管理しており、送信された識別符号に「紐づけられた」KEY<N>(本発明の「第2の鍵」に相当)を入手する(S203)。そして、鍵配布元装置は、目的鍵をKEY<N>で暗号化し(S204)、暗号化した目的鍵を電子制御装置100に送信する。つまり、鍵配布元装置は、識別符号と「対応関係を有する」KEY<N>で暗号化された目的鍵を電子制御装置100に送信する。
なお、ここでのKEY<N>は、セキュア領域データフラッシュ102のKEY<N>領域に事前に登録しておいたものであり、実施形態1の一時鍵と同様の用途で使用される。また、KEY<N>は、電子制御装置100に固有の鍵であってもよい。電子制御装置100の固有の鍵とすることにより、セキュリティ性がより高まる。
ここで、本発明の「紐づけられた」とは、識別符号と第2の鍵とが直接紐づけられている場合の他、間接的に紐づけられている場合も含む。
また、本発明の「対応関係を有する」とは、識別符号と第2の鍵とが直接的に対応することはもちろん、1つ以上の鍵、符号、または演算を介して間接的に対応していればよい。本実施形態は、直接的に対応している場合の例である。
なお、ここでのKEY<N>は、セキュア領域データフラッシュ102のKEY<N>領域に事前に登録しておいたものであり、実施形態1の一時鍵と同様の用途で使用される。また、KEY<N>は、電子制御装置100に固有の鍵であってもよい。電子制御装置100の固有の鍵とすることにより、セキュリティ性がより高まる。
ここで、本発明の「紐づけられた」とは、識別符号と第2の鍵とが直接紐づけられている場合の他、間接的に紐づけられている場合も含む。
また、本発明の「対応関係を有する」とは、識別符号と第2の鍵とが直接的に対応することはもちろん、1つ以上の鍵、符号、または演算を介して間接的に対応していればよい。本実施形態は、直接的に対応している場合の例である。
電子制御装置100は、KEY<N>(本発明の「第2の鍵」に相当)で暗号化され目的鍵を鍵配布元装置から受信する(本発明の「受信ステップ」に相当)(S205)。そして、電子制御装置100は、KEY<N>で復号した目的鍵をセキュア領域ランダムアクセスメモリ105のRAM KEY領域に書き込む(本発明の「保存ステップ」に相当)(S206)。それ以降のステップ(S207、S208、S209)は、実施形態1(図2(S111、S112、S113))と同様であるので説明を省略する。
以上、本実施形態によれば、KEY<N>は電子制御装置に個別であり、かつ当該電子制御装置と鍵配布元装置しか知らないように管理することで、KEY<N>で暗号化された目的鍵はセキュリティ上安全である。
また、本実施形態によれば、目的鍵をKEY<N>で暗号化しているので、目的鍵を直接セキュア領域ランダムアクセスメモリに書き込むことができる。
本実施形態も、SHE規格に準拠した電子制御装置を対象に説明したが、SHE規格の鍵登録に関する部分が同様の制約を有する条件であれば、本発明はSHE規格に準拠した電子制御装置に限られない。なお、SHE規格に準拠した電子制御装置における発明の部分は以下の通りである。
(発明3)
SHE(Secure Hardware Extension)規格に準拠した電子制御装置(100)において、
当該電子制御装置を識別する識別符号を鍵配布元装置に送信する送信部(106)と、
前記識別符号に紐づけられたKEY<N>で暗号化された目的鍵を前記鍵配布元装置から受信する受信部(107)と、
前記KEY<N>で復号した前記目的鍵が書き込まれるセキュア領域ランダムアクセスメモリと(105)、
を有する電子制御装置(100)。
(発明4)
SHE(Secure Hardware Extension)規格に準拠した電子制御装置における鍵登録方法であり、
当該電子制御装置を識別する識別符号を鍵配布元装置に送信する送信ステップと、
前記識別符号に紐づけられたKEY<N>で暗号化された目的鍵を前記鍵配布元装置から受信する受信ステップと、
前記KEY<N>で復号した前記目的鍵をセキュア領域ランダムアクセスメモリに書き込む保存ステップと、
を有する鍵登録方法。
(発明3)
SHE(Secure Hardware Extension)規格に準拠した電子制御装置(100)において、
当該電子制御装置を識別する識別符号を鍵配布元装置に送信する送信部(106)と、
前記識別符号に紐づけられたKEY<N>で暗号化された目的鍵を前記鍵配布元装置から受信する受信部(107)と、
前記KEY<N>で復号した前記目的鍵が書き込まれるセキュア領域ランダムアクセスメモリと(105)、
を有する電子制御装置(100)。
(発明4)
SHE(Secure Hardware Extension)規格に準拠した電子制御装置における鍵登録方法であり、
当該電子制御装置を識別する識別符号を鍵配布元装置に送信する送信ステップと、
前記識別符号に紐づけられたKEY<N>で暗号化された目的鍵を前記鍵配布元装置から受信する受信ステップと、
前記KEY<N>で復号した前記目的鍵をセキュア領域ランダムアクセスメモリに書き込む保存ステップと、
を有する鍵登録方法。
(総括)
以上、本発明の実施形態における電子制御装置および電子制御装置の鍵登録方法について説明した。
以上、本発明の実施形態における電子制御装置および電子制御装置の鍵登録方法について説明した。
本発明の電子制御装置は、セキュアマイコンを搭載する車載の各種電子制御装置(ECU)すべてが該当する。
また、本発明の電子制御装置の形態の例として、半導体、電子回路、モジュール、マイクロコンピュータが挙げられる。またこれらにアンテナや通信用インターフェースなど、必要な機能を追加してもよい。また、カーナビゲーションシステム、スマートフォン、パーソナルコンピュータ、携帯情報端末のような形態をとることも可能である。
また、本発明の電子制御装置の形態の例として、半導体、電子回路、モジュール、マイクロコンピュータが挙げられる。またこれらにアンテナや通信用インターフェースなど、必要な機能を追加してもよい。また、カーナビゲーションシステム、スマートフォン、パーソナルコンピュータ、携帯情報端末のような形態をとることも可能である。
加えて、本発明は、上述の専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録したプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
専用や汎用のハードウェアの記憶領域(外部記憶装置(ハードディスク、USBメモリ等)、内部記憶装置(RAM,ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して上述の専用又は汎用のハードウェア(本発明の「コンピュータ」に相当」に提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
すなわち、電子制御装置の鍵登録方法をコンピュータにて実行可能な鍵登録プログラムも本発明に含まれる。
すなわち、電子制御装置の鍵登録方法をコンピュータにて実行可能な鍵登録プログラムも本発明に含まれる。
本発明の電子制御装置およびそれにおける鍵登録方法は、各実施形態で自動車に搭載される電子制御装置を念頭に置いて説明したが、自動二輪車、船舶、鉄道、航空機等、移動する移動体全般に適用することが可能である。また、移動体に限らず、マイクロコンピュータを包含する製品全般に適用可能である。
100 電子制御装置、101 CPU、102 セキュア領域データフラッシュ、103 汎用領域データフラッシュ、104 フラッシュコントローラ、105 セキュア領域ランダムアクセスメモリ、106 送信部、107 受信部
Claims (8)
- セキュア領域不揮発性メモリ(102)、並びに、セキュア領域揮発性メモリ(105)、を有する電子制御装置(100)であって、
前記セキュア領域不揮発性メモリは、第1の鍵で暗号化された鍵、および、第2の鍵で暗号化された鍵、をいずれも復号して書き込むことが制限されないメモリであり、
前記セキュア領域揮発性メモリは、前記第1の鍵で暗号化された鍵を復号して書き込むことが制限され、かつ、前記第2の鍵で暗号化された鍵を復号して書き込むことが制限されないメモリであり、
当該電子制御装置を識別する識別符号を鍵配布元装置に送信する送信部(106)と、
前記識別符号と対応関係を有する前記第2の鍵で暗号化された目的鍵を前記鍵配布元装置から受信する受信部(107)と、
前記第2の鍵で復号した前記目的鍵が書き込まれる前記セキュア領域揮発性メモリ(105)と、
当該電子制御装置の固有鍵で暗号化した前記目的鍵が書き込まれる汎用領域不揮発性メモリ(103)と、
を有し、
当該電子制御装置がリセットされた場合、前記汎用領域不揮発性メモリに書き込まれている前記固有鍵で暗号化した前記目的鍵を復号して、前記セキュア領域揮発性メモリに書き込む、電子制御装置(100)。 - 前記受信部は、前記識別符号に紐づけられた前記第1の鍵で暗号化された前記第2の鍵、および前記第2の鍵で暗号化された目的鍵、を前記鍵配布元装置から受信し、
当該電子制御装置はさらに、前記第1の鍵で復号した前記第2の鍵が書き込まれる前記セキュア領域不揮発性メモリ(102)、
を有する請求項1記載の電子制御装置(100)。 - 前記受信部は、前記識別符号に紐づけられた前記第2の鍵で暗号化された目的鍵を前記鍵配布元装置から受信する
請求項1記載の電子制御装置(100)。 - さらに、前記セキュア領域不揮発性メモリ、および前記汎用領域不揮発性メモリを制御する共用のコントローラ(104)、を有する請求項1記載の電子制御装置(100)。
- セキュア領域不揮発性メモリ、並びに、セキュア領域揮発性メモリ、を有する電子制御装置における鍵登録方法であって、
前記セキュア領域不揮発性メモリは、第1の鍵で暗号化された鍵、および、第2の鍵で暗号化された鍵、をいずれも復号して書き込むことが制限されないメモリであり、
前記セキュア領域揮発性メモリは、前記第1の鍵で暗号化された鍵を復号して書き込むことが制限され、かつ、前記第2の鍵で暗号化された鍵を復号して書き込むことが制限されないメモリであり、
当該電子制御装置を識別する識別符号を鍵配布元装置に送信する送信ステップと、
前記識別符号と対応関係を有する前記第2の鍵で暗号化された目的鍵を前記鍵配布元装置から受信する受信ステップと、
前記第2の鍵で復号した前記目的鍵を前記セキュア領域揮発性メモリに書き込む第1の保存ステップと、
前記電子制御装置の固有鍵で暗号化した前記目的鍵を汎用領域不揮発性メモリに書き込む第2の保存ステップと、
を有し、
前記電子制御装置がリセットされた場合、前記汎用領域不揮発性メモリに書き込まれている前記固有鍵で暗号化した前記目的鍵を復号して、前記セキュア領域揮発性メモリに書き込む、鍵登録方法。 - 前記受信ステップは、前記識別符号に紐づけられた前記第1の鍵で暗号化された前記第2の鍵を鍵配布元装置から受信する第1の受信ステップ、および前記第2の鍵で暗号化された目的鍵を前記鍵配布元装置から受信する第2の受信ステップ、とからなり、
前記第1及び第2の保存ステップに加え、前記第1の鍵で復号した前記第2の鍵を前記セキュア領域不揮発性メモリに書き込む第3の保存ステップと、
を有する請求項5記載の鍵登録方法。 - セキュア領域不揮発性メモリ、並びに、セキュア領域揮発性メモリ、を有する電子制御装置における鍵登録方法を実行可能なプログラムであって、
前記セキュア領域不揮発性メモリは、第1の鍵で暗号化された鍵、および、第2の鍵で暗号化された鍵、をいずれも復号して書き込むことが制限されないメモリであり、
前記セキュア領域揮発性メモリは、前記第1の鍵で暗号化された鍵を復号して書き込むことが制限され、かつ、前記第2の鍵で暗号化された鍵を復号して書き込むことが制限されないメモリであり、
当該電子制御装置を識別する識別符号を鍵配布元装置に送信する送信ステップと、
前記識別符号と対応関係を有する前記第2の鍵で暗号化された目的鍵を前記鍵配布元装置から受信する受信ステップと、
前記第2の鍵で復号した前記目的鍵を前記セキュア領域揮発性メモリに書き込む第1の保存ステップと、
前記電子制御装置の固有鍵で暗号化した前記目的鍵を汎用領域不揮発性メモリに書き込む第2の保存ステップと、
を有し、
前記電子制御装置がリセットされた場合、前記汎用領域不揮発性メモリに書き込まれている前記固有鍵で暗号化した前記目的鍵を復号して、前記セキュア領域揮発性メモリに書き込む、
鍵登録方法をコンピュータにて実行可能な鍵登録プログラム。 - 前記受信ステップは、前記識別符号に紐づけられた前記第1の鍵で暗号化された前記第2の鍵を鍵配布元装置から受信する第1の受信ステップ、および前記第2の鍵で暗号化された目的鍵を前記鍵配布元装置から受信する第2の受信ステップ、とからなり、
前記第1及び第2の保存ステップに加え、前記第1の鍵で復号した前記第2の鍵を前記セキュア領域不揮発性メモリに書き込む第3の保存ステップと、
を有する請求項7記載の鍵登録プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017100785A JP6926671B2 (ja) | 2017-05-22 | 2017-05-22 | 電子制御装置および電子制御装置における鍵登録方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017100785A JP6926671B2 (ja) | 2017-05-22 | 2017-05-22 | 電子制御装置および電子制御装置における鍵登録方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018196080A JP2018196080A (ja) | 2018-12-06 |
| JP6926671B2 true JP6926671B2 (ja) | 2021-08-25 |
Family
ID=64571637
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017100785A Active JP6926671B2 (ja) | 2017-05-22 | 2017-05-22 | 電子制御装置および電子制御装置における鍵登録方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6926671B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2021048518A (ja) * | 2019-09-19 | 2021-03-25 | 株式会社東芝 | 情報処理装置、情報処理システム及び情報処理装置の制御方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090285390A1 (en) * | 2008-05-16 | 2009-11-19 | Ati Technologies Ulc | Integrated circuit with secured software image and method therefor |
| JP6238939B2 (ja) * | 2015-08-24 | 2017-11-29 | Kddi株式会社 | 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム |
-
2017
- 2017-05-22 JP JP2017100785A patent/JP6926671B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018196080A (ja) | 2018-12-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108063756B (zh) | 一种密钥管理方法、装置及设备 | |
| US9806883B2 (en) | Secure provision of a key | |
| US20190245691A1 (en) | Reuse system, key generation device, data security device, in-vehicle computer, reuse method, and computer program | |
| US20080285747A1 (en) | Encryption-based security protection method for processor and apparatus thereof | |
| US9769654B2 (en) | Method of implementing a right over a content | |
| US9288054B2 (en) | Method and apparatus for authenticating and managing application using trusted platform module | |
| MX2007008540A (es) | Metodo y dispositivo de almacenamiento portatil para asignar area segura en area insegura. | |
| CN107534551B (zh) | 提供加密数据的方法、计算设备和计算机可读介质 | |
| JP6192673B2 (ja) | 鍵管理システム、鍵管理方法およびコンピュータプログラム | |
| KR20200061702A (ko) | 차량 내부 네트워크의 키 관리 시스템 | |
| US10528485B2 (en) | Method and apparatus for sharing security metadata memory space | |
| WO2018047510A1 (ja) | 車載用処理装置 | |
| US20210136051A1 (en) | Apparatus and method for in-vehicle network communication | |
| US20150227755A1 (en) | Encryption and decryption methods of a mobile storage on a file-by-file basis | |
| JP6926671B2 (ja) | 電子制御装置および電子制御装置における鍵登録方法 | |
| JP6888122B2 (ja) | 半導体装置、更新データ提供方法、更新データ受取方法およびプログラム | |
| CN109889334A (zh) | 嵌入式固件加密方法、装置、wifi设备及存储介质 | |
| CN114428976A (zh) | 用于管理假名证书的装置和方法 | |
| CN109560925B (zh) | 密钥信息供应方法及利用密钥信息供应方法的装置 | |
| CN103530169A (zh) | 虚拟机文件保护方法和用户终端 | |
| KR101719129B1 (ko) | 크로스 플랫폼 엔드포인트 보안시스템 | |
| US20170075825A1 (en) | Automatic memory security | |
| CN106878010A (zh) | 基于安全芯片密钥对的加解密方法及装置 | |
| KR20170138412A (ko) | 장치의 시스템 온 칩의 보안 모듈로의 복수의 액세스를 관리하기 위한 디바이스 | |
| KR101887498B1 (ko) | 보안 모듈이 적용된 이모빌라이저 시스템 및 그 인증방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200416 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210129 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210209 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210324 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210706 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210719 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6926671 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |