JP7143744B2 - 機器統合システム及び更新管理システム - Google Patents
機器統合システム及び更新管理システム Download PDFInfo
- Publication number
- JP7143744B2 JP7143744B2 JP2018226497A JP2018226497A JP7143744B2 JP 7143744 B2 JP7143744 B2 JP 7143744B2 JP 2018226497 A JP2018226497 A JP 2018226497A JP 2018226497 A JP2018226497 A JP 2018226497A JP 7143744 B2 JP7143744 B2 JP 7143744B2
- Authority
- JP
- Japan
- Prior art keywords
- update data
- encrypted
- data
- update
- package
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、機器統合システム及び更新管理システムに関する。
従来、自動車には、ソフトウェアにより制御されるECU(電子制御ユニット)等の機器が複数搭載されている。ECUは、ファームウェア等のソフトウェアを記憶し、ソフトウェアを実行して制御する装置である。現状において、ファームウェア等の更新が必要な場合には、サービスマン等の人手によって、直接ECUに対して更新作業を行っている。しかし、人手によるデータ更新は、煩雑である。そこで、近年では、インターネット等を介して遠隔で更新する方法が開示されている(例えば、特許文献1参照)。
特許文献1に記載の技術を用いると、機器を人が直接操作することなく、遠隔でデータを更新することができるため、煩雑性が解消されうる。しかし、サーバやクラウドから更新データを対象機器に送信するため、不正な第三者が行う盗聴や改ざんから更新データを保護する必要がある。
データを安全に送信する技術としては、例えば、サーバと端末とを相互認証させる仕組み(特許文献2参照)や、公開鍵方式と暗号鍵とを組み合わせて受信側に安全にデータを届ける方法(特許文献3参照)等がある。
データを安全に送信する技術としては、例えば、サーバと端末とを相互認証させる仕組み(特許文献2参照)や、公開鍵方式と暗号鍵とを組み合わせて受信側に安全にデータを届ける方法(特許文献3参照)等がある。
上述の特許文献に記載の技術では、データを暗号化して送信されているものの、ネットワークを介して暗号鍵を送信するものであり、不正な第三者に取得される危険性が残るものであった。
そこで、本発明は、更新データを適用する機器に対してより安全に更新データを送信することが可能な機器統合システム及び更新管理システムを提供することを目的とする。
本発明は、以下のような解決手段により、前記課題を解決する。なお、理解を容易にするために、本発明の実施形態に対応する符号を付して説明するが、これに限定されるものではない。また、符号を付して説明した構成は、適宜改良してもよく、また、少なくとも一部を他の構成物に代替してもよい。
第1の発明は、更新データの適用対象である機器(4)と、前記機器に対して接続され、外部のコンピュータとの間で通信可能な機器仲介装置(2)と、を備えた機器統合システム(1)であって、前記機器仲介装置は、前記機器に適用する更新データが保存された外部のコンピュータの保存先を示す保存先情報と、前記更新データに基づいて生成されたデータの検証に用いる期待値とを含み、暗号化がされたパッケージデータを、前記機器仲介装置が有する装置復号鍵で復号して、前記保存先情報と前記期待値とを得る復号手段(22)と、前記復号手段によって得られた前記保存先情報が示す保存先にアクセスして暗号化済更新データを受信し、前記機器に受け渡す暗号化済更新データ受渡手段(24)と、を備え、前記機器は、前記暗号化済更新データ受渡手段により受信した前記暗号化済更新データを、前記機器が有する機器暗号鍵でさらに暗号化して得た二重暗号更新データからデータの検証に用いる期待値を生成する期待値生成手段(41)と、前記期待値生成手段によって生成された期待値と、前記機器仲介装置の前記復号手段により得た前記期待値とを照合する照合手段(42)と、前記照合手段によって照合できた場合に、前記暗号化済更新データ受渡手段により受信した前記暗号化済更新データを、前記機器が有する業者復号鍵で復号して更新データを得る更新データ取得手段(43)と、前記更新データ取得手段によって得た更新データを、前記機器に適用する更新手段(44)と、を備えること、を特徴とする機器統合システムである。
第2の発明は、第1の発明の機器統合システム(1)において、前記機器(4)は、前記照合手段(42)によって照合できなかった場合に、前記暗号化済更新データ受渡手段(24)により受信した前記暗号化済更新データを削除するデータ削除手段(45)を備えること、を特徴とする機器統合システムである。
第3の発明は、第1の発明又は第2の発明の機器統合システムにおいて、前記パッケージデータは、さらに前記機器仲介装置を識別する装置識別情報が対応付けられていること、を特徴とする機器統合システムである。
第4の発明は、第1の発明から第3の発明までのいずれかの機器統合システムにおいて、複数の前記機器を備え、前記パッケージデータは、さらに前記機器を識別する機器識別情報を含んで暗号化がされたものであること、を特徴とする機器統合システムである。
第5の発明は、第1の発明から第4の発明までのいずれかの機器統合システム(1)において、前記機器仲介装置(2)は、予め前記装置復号鍵(91b)を記憶しており、前記機器(4)は、予め前記機器暗号鍵(92)及び前記業者復号鍵(94b)を記憶しており、前記機器仲介装置が有する前記装置復号鍵と、前記機器が有する前記業者復号鍵とは、異なる鍵であること、を特徴とする機器統合システムである。
第2の発明は、第1の発明の機器統合システム(1)において、前記機器(4)は、前記照合手段(42)によって照合できなかった場合に、前記暗号化済更新データ受渡手段(24)により受信した前記暗号化済更新データを削除するデータ削除手段(45)を備えること、を特徴とする機器統合システムである。
第3の発明は、第1の発明又は第2の発明の機器統合システムにおいて、前記パッケージデータは、さらに前記機器仲介装置を識別する装置識別情報が対応付けられていること、を特徴とする機器統合システムである。
第4の発明は、第1の発明から第3の発明までのいずれかの機器統合システムにおいて、複数の前記機器を備え、前記パッケージデータは、さらに前記機器を識別する機器識別情報を含んで暗号化がされたものであること、を特徴とする機器統合システムである。
第5の発明は、第1の発明から第4の発明までのいずれかの機器統合システム(1)において、前記機器仲介装置(2)は、予め前記装置復号鍵(91b)を記憶しており、前記機器(4)は、予め前記機器暗号鍵(92)及び前記業者復号鍵(94b)を記憶しており、前記機器仲介装置が有する前記装置復号鍵と、前記機器が有する前記業者復号鍵とは、異なる鍵であること、を特徴とする機器統合システムである。
第6の発明は、第1の発明から第5の発明までのいずれかの機器統合システム(1)と、前記機器統合システムを管理する更新管理サーバ(7)と、前記更新データを管理する更新データサーバ(6)と、を備えた更新管理システム(100)であって、前記更新データサーバは、前記機器(4)に適用する前記更新データを、前記機器が有する前記業者復号鍵(94b)と対になる第1暗号鍵(94a)で暗号化して得た前記暗号化済更新データを、暗号化済更新データ記憶部(68)に記憶させる更新データ暗号化処理手段(61)と、前記暗号化済更新データ記憶部に記憶された前記暗号化済更新データを、前記更新管理サーバに送信する暗号化済更新データ送信手段(62)と、を備え、前記更新管理サーバは、前記更新データサーバから前記暗号化済更新データを受信する暗号化済更新データ受信手段(71)と、前記暗号化済更新データを、前記機器が有する前記機器暗号鍵と同一の第2暗号鍵(92)で暗号化して得た二重暗号更新データからデータの検証に用いる期待値を生成する期待値生成手段(72)と、前記暗号化済更新データ記憶部における前記暗号化済更新データの保存先を示す前記保存先情報と、前記期待値生成手段によって生成した前記期待値とを含んでパッケージ化し、前記機器仲介装置(2)が有する前記装置復号鍵(91b)と対になる第3暗号鍵(91a)で暗号化した前記パッケージデータを生成するパッケージ生成手段(73)と、前記パッケージ生成手段によって生成した前記パッケージデータを、前記機器仲介装置に送信するパッケージ送信手段(74)と、を備え、前記機器仲介装置は、前記パッケージデータを受信するパッケージ受信手段(21)を備えること、を特徴とする更新管理システムである。
第7の発明は、第6の発明の更新管理システム(100)において、前記更新管理サーバ(7)で使用する前記第2暗号鍵(92)及び前記第3暗号鍵(91a)を管理する鍵管理サーバ(8)を備えること、を特徴とする更新管理システムである。
第8の発明は、第6の発明又は第7の発明の更新管理システム(200)において、前記パッケージデータは、さらにワンタイムパスワードを含んで暗号化がされたものであり、前記機器仲介装置(202)の前記復号手段(22)は、前記ワンタイムパスワードをさらに得るものであり、前記機器仲介装置は、前記復号手段によって得られた前記保存先情報に基づく前記更新データサーバ(206)に対して、前記ワンタイムパスワードを送信するパスワード送信手段(223)を備え、前記更新データサーバは、前記ワンタイムパスワードによる認証を、前記更新管理サーバ(207)に依頼する認証依頼手段(263)を備え、前記機器仲介装置の前記暗号化済更新データ受渡手段(224)は、前記ワンタイムパスワードによる認証ができた場合に限り、前記更新データサーバから前記暗号化済更新データを受信し、前記機器(4)に受け渡すこと、を特徴とする更新管理システムである。
第7の発明は、第6の発明の更新管理システム(100)において、前記更新管理サーバ(7)で使用する前記第2暗号鍵(92)及び前記第3暗号鍵(91a)を管理する鍵管理サーバ(8)を備えること、を特徴とする更新管理システムである。
第8の発明は、第6の発明又は第7の発明の更新管理システム(200)において、前記パッケージデータは、さらにワンタイムパスワードを含んで暗号化がされたものであり、前記機器仲介装置(202)の前記復号手段(22)は、前記ワンタイムパスワードをさらに得るものであり、前記機器仲介装置は、前記復号手段によって得られた前記保存先情報に基づく前記更新データサーバ(206)に対して、前記ワンタイムパスワードを送信するパスワード送信手段(223)を備え、前記更新データサーバは、前記ワンタイムパスワードによる認証を、前記更新管理サーバ(207)に依頼する認証依頼手段(263)を備え、前記機器仲介装置の前記暗号化済更新データ受渡手段(224)は、前記ワンタイムパスワードによる認証ができた場合に限り、前記更新データサーバから前記暗号化済更新データを受信し、前記機器(4)に受け渡すこと、を特徴とする更新管理システムである。
本発明によれば、更新データを適用する機器に対してより安全に更新データを送信することが可能な機器統合システム及び更新管理システムを提供することができる。
以下、本発明を実施するための形態について、図を参照しながら説明する。なお、これは、あくまでも一例であって、本発明の技術的範囲はこれに限られるものではない。
(第1実施形態)
<更新管理システム100>
図1は、第1実施形態に係る更新管理システム100の全体構成図である。
更新管理システム100では、車両Cの内部に組み込まれて車両Cを動作させるECUのファームウェアの更新データを、通信ネットワーク等を介してECUに安全に送信し、更新データをECUに適用するためのシステムである。
(第1実施形態)
<更新管理システム100>
図1は、第1実施形態に係る更新管理システム100の全体構成図である。
更新管理システム100では、車両Cの内部に組み込まれて車両Cを動作させるECUのファームウェアの更新データを、通信ネットワーク等を介してECUに安全に送信し、更新データをECUに適用するためのシステムである。
図1に示す更新管理システム100は、機器統合システム1と、更新データサーバ6と、更新管理サーバ7と、鍵管理サーバ8とを備えている。そして、更新管理システム100は、車両Cの内部に機器統合システム1を備える。機器統合システム1は、基地局B及び通信ネットワークNを介して、更新データサーバ6及び更新管理サーバ7に対して通信可能に接続されている。また、更新管理サーバ7は、鍵管理サーバ8に対して通信可能に接続されている。
基地局Bは、無線通信の基地局であって、例えば、Wi-Fi等の無線LAN(Local Area Network)の基地局や、通信事業者の携帯端末通信網用の基地局である。
通信ネットワークNは、例えば、インターネット回線等である。
基地局Bは、無線通信の基地局であって、例えば、Wi-Fi等の無線LAN(Local Area Network)の基地局や、通信事業者の携帯端末通信網用の基地局である。
通信ネットワークNは、例えば、インターネット回線等である。
更新データサーバ6は、各業者に設けられたサーバである。図1では、業者Xと業者Yとの2つの業者が有する更新データサーバ6X及び6Yを示しているが、他の業者の有する更新データサーバ6があってもよい。業者とは、ここでは、車両Cに組み込まれている後述するECU4(機器)やECU4を動作させるファームウェアを開発する企業をいう。
更新管理サーバ7は、例えば、車両Cを製造する車両メーカが有するサーバである。更新管理サーバ7は、車両Cごとの更新データの更新状況を管理する。
鍵管理サーバ8は、更新管理サーバ7で用いる鍵を管理するサーバである。鍵管理サーバ8は、例えば、更新管理システム100の仕組みを運営するシステム運営会社が有する。
更新管理サーバ7は、例えば、車両Cを製造する車両メーカが有するサーバである。更新管理サーバ7は、車両Cごとの更新データの更新状況を管理する。
鍵管理サーバ8は、更新管理サーバ7で用いる鍵を管理するサーバである。鍵管理サーバ8は、例えば、更新管理システム100の仕組みを運営するシステム運営会社が有する。
次に、各装置について、機能を中心に説明する。
図2は、第1実施形態に係る機器統合システム1の全体構成図及び機器仲介装置2の機能ブロック図である。
図3は、第1実施形態に係るECU4及び更新データサーバ6の機能ブロック図である。
図4は、第1実施形態に係る更新管理サーバ7及び鍵管理サーバ8の機能ブロック図である。
図5は、第1実施形態に係る更新管理システム100で用いる鍵を説明するための図である。
図2は、第1実施形態に係る機器統合システム1の全体構成図及び機器仲介装置2の機能ブロック図である。
図3は、第1実施形態に係るECU4及び更新データサーバ6の機能ブロック図である。
図4は、第1実施形態に係る更新管理サーバ7及び鍵管理サーバ8の機能ブロック図である。
図5は、第1実施形態に係る更新管理システム100で用いる鍵を説明するための図である。
<機器統合システム1>
図2に示すように、機器統合システム1は、機器仲介装置2と、複数のECU4(ECUA,4B,4C,・・・)とを有する。以降において、ECU4A,4B,4C,・・・を区別しない場合には、以降において、単にECU4として説明する。
図2に示すように、機器統合システム1は、機器仲介装置2と、複数のECU4(ECUA,4B,4C,・・・)とを有する。以降において、ECU4A,4B,4C,・・・を区別しない場合には、以降において、単にECU4として説明する。
<機器仲介装置2>
機器仲介装置2は、車両Cの内部に組み込まれてECU4に対して接続された装置であって、例えば、リプログコントローラである。機器仲介装置2は、各ECU4のゲートウェイの役割を有する。
機器仲介装置2は、制御部20と、記憶部30と、接続IF(インタフェース)部38と、通信部39とを備える。
制御部20は、機器統合システム1の全体を制御するCPU(中央処理装置)である。制御部20は、記憶部30に記憶されているオペレーティングシステム(OS)や各種アプリケーションプログラムを適宜読み出して実行することにより、上述したハードウェアと協働し各種機能を実行する。
機器仲介装置2は、車両Cの内部に組み込まれてECU4に対して接続された装置であって、例えば、リプログコントローラである。機器仲介装置2は、各ECU4のゲートウェイの役割を有する。
機器仲介装置2は、制御部20と、記憶部30と、接続IF(インタフェース)部38と、通信部39とを備える。
制御部20は、機器統合システム1の全体を制御するCPU(中央処理装置)である。制御部20は、記憶部30に記憶されているオペレーティングシステム(OS)や各種アプリケーションプログラムを適宜読み出して実行することにより、上述したハードウェアと協働し各種機能を実行する。
制御部20は、パッケージ受信部21(パッケージ受信手段)と、パッケージ復号部22(復号手段)と、暗号化済更新データ受渡部24(暗号化済更新データ受渡手段)とを備える。
パッケージ受信部21は、更新管理サーバ7で生成され、暗号化されたパッケージデータを、更新管理サーバ7から受信する。パッケージデータは、機器統合システム1に含まれるいずれかのECU4に適用する更新データの保存先を示すURI(Uniform Resource Identifier)(保存先情報)と、暗号化済更新データから生成したデータの検証に用いる計算値であるハッシュ値(期待値)とを含み、URIとハッシュ値とを対にした組み合わせを1以上含むデータである。更新データの保存先を示すURIは、例えば、更新データサーバ6の暗号化済更新データ記憶部68のアドレスを含む。
パッケージ受信部21は、更新管理サーバ7で生成され、暗号化されたパッケージデータを、更新管理サーバ7から受信する。パッケージデータは、機器統合システム1に含まれるいずれかのECU4に適用する更新データの保存先を示すURI(Uniform Resource Identifier)(保存先情報)と、暗号化済更新データから生成したデータの検証に用いる計算値であるハッシュ値(期待値)とを含み、URIとハッシュ値とを対にした組み合わせを1以上含むデータである。更新データの保存先を示すURIは、例えば、更新データサーバ6の暗号化済更新データ記憶部68のアドレスを含む。
パッケージ復号部22は、パッケージ受信部21が受信したパッケージデータを、機器仲介装置2の鍵記憶部32に記憶された装置復号鍵で復号して、更新データのURIと、ハッシュ値とを得る。
暗号化済更新データ受渡部24は、更新データのURIが示す更新データの保存先にアクセスして、暗号化済更新データを受信する。また、暗号化済更新データ受渡部24は、受信した暗号化済更新データを、更新データを適用する対象のECU4に受け渡す。
暗号化済更新データ受渡部24は、更新データのURIが示す更新データの保存先にアクセスして、暗号化済更新データを受信する。また、暗号化済更新データ受渡部24は、受信した暗号化済更新データを、更新データを適用する対象のECU4に受け渡す。
記憶部30は、制御部20が各種の処理を実行するために必要なプログラム、データ等を記憶するためのハードディスク、半導体メモリ素子等の記憶領域である。
記憶部30は、プログラム記憶部31と、鍵記憶部32とを備える。
プログラム記憶部31は、機器仲介装置2の制御部20の各種機能を実行するための各種のプログラムを記憶する記憶領域である。
鍵記憶部32は、装置復号鍵を記憶する記憶領域である。装置復号鍵は、車両Cごとの固有の鍵であり、例えば、車両Cに機器仲介装置2を組み込む前に、予め鍵記憶部32に記憶させたものである。
接続IF部38は、複数のECU4との間を接続するための、例えば、車載ネットワークのインタフェースである。
通信部39は、基地局B及び通信ネットワークNを介して更新データサーバ6及び更新管理サーバ7との間の通信を行うためのインタフェースである。
記憶部30は、プログラム記憶部31と、鍵記憶部32とを備える。
プログラム記憶部31は、機器仲介装置2の制御部20の各種機能を実行するための各種のプログラムを記憶する記憶領域である。
鍵記憶部32は、装置復号鍵を記憶する記憶領域である。装置復号鍵は、車両Cごとの固有の鍵であり、例えば、車両Cに機器仲介装置2を組み込む前に、予め鍵記憶部32に記憶させたものである。
接続IF部38は、複数のECU4との間を接続するための、例えば、車載ネットワークのインタフェースである。
通信部39は、基地局B及び通信ネットワークNを介して更新データサーバ6及び更新管理サーバ7との間の通信を行うためのインタフェースである。
<ECU4>
ECU4は、車両Cの機器統合システム1に有する電子制御装置である。各ECU4は、例えば、モータ、ドアのオートロック、空調等の各種の電子機器の制御を行う。
図3(A)に示すように、ECU4は、制御部40と、記憶部50と、接続IF部58とを備える。
制御部40は、ECU4の全体を制御するCPUである。制御部40は、記憶部50に記憶されているOSやアプリケーションプログラムを適宜読み出して実行することにより、上述したハードウェアと協働し各種機能を実行する。
なお、制御部40は、外付けのSE(セキュアエレメント)によって実現してもよい。
ECU4は、車両Cの機器統合システム1に有する電子制御装置である。各ECU4は、例えば、モータ、ドアのオートロック、空調等の各種の電子機器の制御を行う。
図3(A)に示すように、ECU4は、制御部40と、記憶部50と、接続IF部58とを備える。
制御部40は、ECU4の全体を制御するCPUである。制御部40は、記憶部50に記憶されているOSやアプリケーションプログラムを適宜読み出して実行することにより、上述したハードウェアと協働し各種機能を実行する。
なお、制御部40は、外付けのSE(セキュアエレメント)によって実現してもよい。
制御部40は、ハッシュ値生成部41(期待値生成手段)と、ハッシュ値照合部42(照合手段)と、更新データ取得部43(更新データ取得手段)と、データ更新部44(更新手段)と、データ削除部45(データ削除手段)とを備える。
ハッシュ値生成部41は、機器仲介装置2から受け取った暗号化済更新データを、記憶部50に一時保存し、暗号化済更新データに対して鍵記憶部52に記憶されたECU暗号鍵(機器暗号鍵)で暗号化した二重暗号更新データからハッシュ値を生成する。ここで、ハッシュ値は、例えば、SHA-256のハッシュ関数によるハッシュ演算によって生成されるものであり、公知の技術によって行うことができる。
ハッシュ値生成部41は、機器仲介装置2から受け取った暗号化済更新データを、記憶部50に一時保存し、暗号化済更新データに対して鍵記憶部52に記憶されたECU暗号鍵(機器暗号鍵)で暗号化した二重暗号更新データからハッシュ値を生成する。ここで、ハッシュ値は、例えば、SHA-256のハッシュ関数によるハッシュ演算によって生成されるものであり、公知の技術によって行うことができる。
ハッシュ値照合部42は、ハッシュ値生成部41によって生成したハッシュ値と、機器仲介装置2がパッケージデータを復号して得たハッシュ値とを照合する。ここで、ハッシュ値生成部41によって生成したハッシュ値と、機器仲介装置2がパッケージデータを復号して得たハッシュ値とは、同一の暗号化済更新データと、同一のECU暗号鍵とによって生成するため、通信途中で改ざん等がされない限りにおいて一致する。
更新データ取得部43は、ハッシュ値照合部42による照合の結果、ハッシュ値が一致した(照合できた)場合に、機器仲介装置2から受け取った暗号化済更新データに対して、鍵記憶部52に記憶された業者復号鍵で復号して、更新データを得る。
更新データ取得部43は、ハッシュ値照合部42による照合の結果、ハッシュ値が一致した(照合できた)場合に、機器仲介装置2から受け取った暗号化済更新データに対して、鍵記憶部52に記憶された業者復号鍵で復号して、更新データを得る。
データ更新部44は、更新データ取得部43によって得た更新データを、プログラム記憶部51に記憶された該当のファームウェアに対して適用して、ファームウェアのアップデートを行う。
データ削除部45は、ハッシュ値照合部42による照合の結果、ハッシュ値が不一致だった(照合できなかった)場合に、機器仲介装置2から受け取った暗号化済更新データを、記憶部50から削除する。
データ削除部45は、ハッシュ値照合部42による照合の結果、ハッシュ値が不一致だった(照合できなかった)場合に、機器仲介装置2から受け取った暗号化済更新データを、記憶部50から削除する。
記憶部50は、制御部40が各種の処理を実行するために必要なプログラム、データ等を記憶するためのハードディスク、半導体メモリ素子等の記憶領域である。
記憶部50は、プログラム記憶部51と、鍵記憶部52とを備える。
プログラム記憶部51は、ECU4の制御部40の各種機能を実行するための各種のプログラムやファームウェアを記憶する記憶領域である。
鍵記憶部52は、ECU暗号鍵と、業者復号鍵とを記憶する記憶領域である。ECU暗号鍵は、ECU4の種類に対応した鍵である。また、業者復号鍵は、業者ごとに有する鍵である。ECU暗号鍵と、業者復号鍵とは、例えば、車両CにECU4を組み込む際に、予め鍵記憶部52に記憶させておく。
接続IF部58は、機器統合システム1との間を接続するためのインタフェースである。
記憶部50は、プログラム記憶部51と、鍵記憶部52とを備える。
プログラム記憶部51は、ECU4の制御部40の各種機能を実行するための各種のプログラムやファームウェアを記憶する記憶領域である。
鍵記憶部52は、ECU暗号鍵と、業者復号鍵とを記憶する記憶領域である。ECU暗号鍵は、ECU4の種類に対応した鍵である。また、業者復号鍵は、業者ごとに有する鍵である。ECU暗号鍵と、業者復号鍵とは、例えば、車両CにECU4を組み込む際に、予め鍵記憶部52に記憶させておく。
接続IF部58は、機器統合システム1との間を接続するためのインタフェースである。
<更新データサーバ6>
更新データサーバ6は、ECU4に適用する更新データを暗号化して、記憶部65に記憶させる。また、更新データサーバ6は、暗号化済更新データを、更新管理サーバ7に送信する。さらに、更新データサーバ6は、機器仲介装置2からのアクセスを受け付けて、該当の暗号化済更新データを、機器仲介装置2に送信する。
図3(B)に示すように、更新データサーバ6は、制御部60と、記憶部65と、通信部69とを備える。
制御部60は、更新データサーバ6の全体を制御するCPUである。制御部60は、記憶部65に記憶されているOSや各種アプリケーションプログラムを適宜読み出して実行することにより、上述したハードウェアと協働し、各種機能を実行する。
更新データサーバ6は、ECU4に適用する更新データを暗号化して、記憶部65に記憶させる。また、更新データサーバ6は、暗号化済更新データを、更新管理サーバ7に送信する。さらに、更新データサーバ6は、機器仲介装置2からのアクセスを受け付けて、該当の暗号化済更新データを、機器仲介装置2に送信する。
図3(B)に示すように、更新データサーバ6は、制御部60と、記憶部65と、通信部69とを備える。
制御部60は、更新データサーバ6の全体を制御するCPUである。制御部60は、記憶部65に記憶されているOSや各種アプリケーションプログラムを適宜読み出して実行することにより、上述したハードウェアと協働し、各種機能を実行する。
制御部60は、更新データ暗号化処理部61(更新データ暗号化処理手段)と、暗号化済更新データ送信部62(暗号化済更新データ送信手段)とを備える。
更新データ暗号化処理部61は、ECU4に適用する更新データを、業者ごとに有する業者暗号鍵で暗号化して、暗号化済更新データを得る。
暗号化済更新データ送信部62は、暗号化済更新データを、更新管理サーバ7に対して送信する。
更新データ暗号化処理部61は、ECU4に適用する更新データを、業者ごとに有する業者暗号鍵で暗号化して、暗号化済更新データを得る。
暗号化済更新データ送信部62は、暗号化済更新データを、更新管理サーバ7に対して送信する。
記憶部65は、制御部60が各種の処理を実行するために必要なプログラム、データ等を記憶するためのハードディスク、半導体メモリ素子等の記憶領域である。
記憶部65は、プログラム記憶部66と、鍵記憶部67と、暗号化済更新データ記憶部68とを備える。
プログラム記憶部66は、更新データサーバ6の制御部60の各種機能を実行するための各種のプログラムを記憶する記憶領域である。
鍵記憶部67は、業者暗号鍵を記憶する記憶領域である。
暗号化済更新データ記憶部68は、暗号化済更新データを記憶する記憶領域である。暗号化済更新データ記憶部68は、例えば、フォルダ形式になっている。そして、暗号化済更新データ記憶部68は、フォルダごとに1つの暗号化済更新データを格納する。
通信部69は、通信ネットワークNを介して更新管理サーバ7や機器仲介装置2との間の通信を行うためのインタフェースである。
記憶部65は、プログラム記憶部66と、鍵記憶部67と、暗号化済更新データ記憶部68とを備える。
プログラム記憶部66は、更新データサーバ6の制御部60の各種機能を実行するための各種のプログラムを記憶する記憶領域である。
鍵記憶部67は、業者暗号鍵を記憶する記憶領域である。
暗号化済更新データ記憶部68は、暗号化済更新データを記憶する記憶領域である。暗号化済更新データ記憶部68は、例えば、フォルダ形式になっている。そして、暗号化済更新データ記憶部68は、フォルダごとに1つの暗号化済更新データを格納する。
通信部69は、通信ネットワークNを介して更新管理サーバ7や機器仲介装置2との間の通信を行うためのインタフェースである。
<更新管理サーバ7>
更新管理サーバ7は、更新データサーバ6から受信した暗号化済更新データに基づいて、機器仲介装置2に送信するパッケージデータを生成する。
図4(A)に示すように、更新管理サーバ7は、制御部70と、記憶部75と、通信部79とを備える。
制御部70は、更新管理サーバ7の全体を制御するCPUである。制御部70は、記憶部75に記憶されているOSや各種アプリケーションプログラムを適宜読み出して実行することにより、上述したハードウェアと協働し、各種機能を実行する。
更新管理サーバ7は、更新データサーバ6から受信した暗号化済更新データに基づいて、機器仲介装置2に送信するパッケージデータを生成する。
図4(A)に示すように、更新管理サーバ7は、制御部70と、記憶部75と、通信部79とを備える。
制御部70は、更新管理サーバ7の全体を制御するCPUである。制御部70は、記憶部75に記憶されているOSや各種アプリケーションプログラムを適宜読み出して実行することにより、上述したハードウェアと協働し、各種機能を実行する。
制御部70は、暗号化済更新データ受信部71(暗号化済更新データ受信手段)と、ハッシュ値生成部72(期待値生成手段)と、パッケージ生成部73(パッケージ生成手段)と、パッケージ送信部74(パッケージ送信手段)とを備える。
暗号化済更新データ受信部71は、更新データサーバ6が送信した暗号化済更新データを受信する。
ハッシュ値生成部72は、暗号化済更新データを復号した更新データを適用するECU4に対応したECU暗号鍵(第2暗号鍵)を、鍵管理サーバ8から取得する。そして、ハッシュ値生成部72は、暗号化済更新データを、ECU暗号鍵でさらに暗号化し、二重暗号更新データを得る。さらに、ハッシュ値生成部72は、二重暗号更新データからハッシュ値を生成する。
暗号化済更新データ受信部71は、更新データサーバ6が送信した暗号化済更新データを受信する。
ハッシュ値生成部72は、暗号化済更新データを復号した更新データを適用するECU4に対応したECU暗号鍵(第2暗号鍵)を、鍵管理サーバ8から取得する。そして、ハッシュ値生成部72は、暗号化済更新データを、ECU暗号鍵でさらに暗号化し、二重暗号更新データを得る。さらに、ハッシュ値生成部72は、二重暗号更新データからハッシュ値を生成する。
パッケージ生成部73は、更新データサーバ6での暗号化済更新データの保存先を示すURIと、ハッシュ値生成部72によって生成したハッシュ値とを含んでパッケージ化する。そして、パッケージ生成部73は、パッケージ化したものに、このパッケージ化したものを送信する機器仲介装置2の装置暗号鍵(第3暗号鍵)で暗号化してパッケージデータを生成する。
パッケージ送信部74は、パッケージ生成部73で生成した暗号化されたパッケージデータを、機器仲介装置2に送信する。
パッケージ送信部74は、パッケージ生成部73で生成した暗号化されたパッケージデータを、機器仲介装置2に送信する。
記憶部75は、制御部70が各種の処理を実行するために必要なプログラム、データ等を記憶するためのハードディスク、半導体メモリ素子等の記憶領域である。
記憶部75は、プログラム記憶部76を備える。
プログラム記憶部76は、更新管理サーバ7の制御部70の各種機能を実行するための各種のプログラムを記憶する記憶領域である。
通信部79は、通信ネットワークNを介して更新データサーバ6、鍵管理サーバ8、機器仲介装置2等との間の通信を行うためのインタフェースである。
記憶部75は、プログラム記憶部76を備える。
プログラム記憶部76は、更新管理サーバ7の制御部70の各種機能を実行するための各種のプログラムを記憶する記憶領域である。
通信部79は、通信ネットワークNを介して更新データサーバ6、鍵管理サーバ8、機器仲介装置2等との間の通信を行うためのインタフェースである。
<鍵管理サーバ8>
図4(B)に示す鍵管理サーバ8は、制御部80と、記憶部85と、通信部89とを備える。
制御部80は、鍵管理サーバ8の全体を制御するCPUである。制御部80は、記憶部85に記憶されているOSや各種アプリケーションプログラムを適宜読み出して実行することにより、上述したハードウェアと協働し、各種機能を実行する。
図4(B)に示す鍵管理サーバ8は、制御部80と、記憶部85と、通信部89とを備える。
制御部80は、鍵管理サーバ8の全体を制御するCPUである。制御部80は、記憶部85に記憶されているOSや各種アプリケーションプログラムを適宜読み出して実行することにより、上述したハードウェアと協働し、各種機能を実行する。
記憶部85は、制御部80が各種の処理を実行するために必要なプログラム、データ等を記憶するためのハードディスク、半導体メモリ素子等の記憶領域である。
記憶部85は、鍵記憶部87を備える。
鍵記憶部87は、装置暗号鍵と、ECU暗号鍵とを記憶する記憶領域である。
通信部89は、通信ネットワークNを介して更新管理サーバ7との間の通信を行うためのインタフェースである。
記憶部85は、鍵記憶部87を備える。
鍵記憶部87は、装置暗号鍵と、ECU暗号鍵とを記憶する記憶領域である。
通信部89は、通信ネットワークNを介して更新管理サーバ7との間の通信を行うためのインタフェースである。
<鍵情報の説明>
次に、更新管理システム100で用いる鍵情報について説明する。
図5は、第1実施形態に係る更新管理システム100で用いる鍵を説明するための図である。
この例では、車両Cが有する機器仲介装置2には、2つのECU4(ECU4A、ECU4B)を有する。
更新データサーバ6は、各更新データサーバ6を有する業者の業者暗号鍵を有する。例えば、業者Xが更新データサーバ6Xを有する場合、更新データサーバ6Xは、業者暗号鍵94aX(第1暗号鍵)を備える。また、例えば、業者Yが更新データサーバ6Yを有する場合、更新データサーバ6Yは、業者暗号鍵94aY(第1暗号鍵)を備える。業者暗号鍵94aXと、94aYとは、異なる暗号鍵である。
次に、更新管理システム100で用いる鍵情報について説明する。
図5は、第1実施形態に係る更新管理システム100で用いる鍵を説明するための図である。
この例では、車両Cが有する機器仲介装置2には、2つのECU4(ECU4A、ECU4B)を有する。
更新データサーバ6は、各更新データサーバ6を有する業者の業者暗号鍵を有する。例えば、業者Xが更新データサーバ6Xを有する場合、更新データサーバ6Xは、業者暗号鍵94aX(第1暗号鍵)を備える。また、例えば、業者Yが更新データサーバ6Yを有する場合、更新データサーバ6Yは、業者暗号鍵94aY(第1暗号鍵)を備える。業者暗号鍵94aXと、94aYとは、異なる暗号鍵である。
鍵管理サーバ8は、更新管理サーバ7で使用する鍵を保管及び管理する。鍵管理サーバ8は、車両Cごとに、装置暗号鍵91aと、ECU4AのECU暗号鍵92と、ECU4BのECU暗号鍵93とを備える。ECU暗号鍵92は、ECU4Aに対応した暗号化済更新データを暗号化して、ハッシュ値を生成する際に用いる。ECU暗号鍵93は、ECU4Bに対応した暗号化済更新データを暗号化して、ハッシュ値を生成する際に用いる。装置暗号鍵91aは、車両Cの機器仲介装置2に送信するパッケージデータを暗号化する際に用いられる。
車両Cの機器仲介装置2は、装置復号鍵91bを備える。装置復号鍵91bは、更新管理サーバ7から受信した暗号化されたパッケージデータを復号するのに用いる。よって、鍵管理サーバ8に記憶された装置暗号鍵91aと、機器仲介装置2に記憶された装置復号鍵91bとは、対になった鍵である。
ECU4Aは、業者復号鍵94bXと、ECU暗号鍵92とを備える。業者復号鍵94bXは、ECU4Aに更新データを適用する際に、暗号化済更新データを復号するために用いる。よって、更新データサーバ6Xに記憶された業者暗号鍵94aXと、業者復号鍵94bXとは、対になった鍵である。ECU暗号鍵92は、更新データの正当性を確認するために、暗号化済更新データを暗号化してハッシュ値を生成する際に用いる。よって、鍵管理サーバ8に記憶されたECU暗号鍵92と、ECU4Aに記憶されたECU暗号鍵92は、同一の鍵である。
同様に、ECU4Bは、業者復号鍵94bYと、ECU暗号鍵93とを備える。
ECU4Aは、業者復号鍵94bXと、ECU暗号鍵92とを備える。業者復号鍵94bXは、ECU4Aに更新データを適用する際に、暗号化済更新データを復号するために用いる。よって、更新データサーバ6Xに記憶された業者暗号鍵94aXと、業者復号鍵94bXとは、対になった鍵である。ECU暗号鍵92は、更新データの正当性を確認するために、暗号化済更新データを暗号化してハッシュ値を生成する際に用いる。よって、鍵管理サーバ8に記憶されたECU暗号鍵92と、ECU4Aに記憶されたECU暗号鍵92は、同一の鍵である。
同様に、ECU4Bは、業者復号鍵94bYと、ECU暗号鍵93とを備える。
<処理の説明>
次に、更新管理システム100による処理について説明する。
図6は、第1実施形態に係る更新管理システム100の全体の処理の流れを説明するための図である。
まず、更新管理サーバ7を有する車両メーカは、ECU4の更新が必要になった場合に、更新データサーバ6を有する該当のECU4のファームウェアを作成した業者に対して更新データの作成を指示する。
指示された業者は、ファームウェアの更新データを準備して更新データサーバ6に記憶させる。そして、更新データサーバ6は、(1)において、業者暗号鍵で更新データを暗号化し、暗号化済更新データを生成する。更新データサーバ6は、暗号化済更新データを、機器仲介装置2がアクセス可能な領域に保存しておくと共に、更新管理サーバ7に送信する(2)。
次に、更新管理システム100による処理について説明する。
図6は、第1実施形態に係る更新管理システム100の全体の処理の流れを説明するための図である。
まず、更新管理サーバ7を有する車両メーカは、ECU4の更新が必要になった場合に、更新データサーバ6を有する該当のECU4のファームウェアを作成した業者に対して更新データの作成を指示する。
指示された業者は、ファームウェアの更新データを準備して更新データサーバ6に記憶させる。そして、更新データサーバ6は、(1)において、業者暗号鍵で更新データを暗号化し、暗号化済更新データを生成する。更新データサーバ6は、暗号化済更新データを、機器仲介装置2がアクセス可能な領域に保存しておくと共に、更新管理サーバ7に送信する(2)。
更新管理サーバ7は、(3)において、暗号化済更新データをECU暗号鍵で暗号化してハッシュ値を生成する。また、更新管理サーバ7は、生成したハッシュ値と、更新データサーバ6の暗号化済更新データの保存先を示すURIとを含むパッケージデータを生成し、装置暗号鍵でパッケージデータを暗号化し、暗号化済パッケージデータを生成する。そして、更新管理サーバ7は、(4)において、暗号化済パッケージデータを、機器仲介装置2に送信する。
機器仲介装置2では、(5)において、暗号化済パッケージデータを装置復号鍵で復号し、パッケージデータを得る。また、機器仲介装置2では、(6)において、パッケージデータに含まれる更新データサーバ6の暗号化済更新データの保存先を示すURIによって、暗号化済更新データを得ると共に、ECU4に暗号化済更新データを受け渡す。
ECU4では、暗号化済更新データをECU暗号鍵で暗号化し、ハッシュ値を生成し、機器仲介装置2に有するハッシュ値と照合する。そして、ハッシュ値が一致すると、ECU4は、暗号化済更新データを業者復号鍵で復号することで得た更新データを、ECU4に適用する。
次に、各装置の処理の詳細について、フローチャートに基づき説明する。
最初に、更新データサーバ6での処理について説明する。
図7は、第1実施形態に係る更新データサーバ6の更新データ保存処理を示すフローチャートである。
この処理は、ECU4に更新データを適用する必要が生じた場合に行われる。
最初に、更新データサーバ6での処理について説明する。
図7は、第1実施形態に係る更新データサーバ6の更新データ保存処理を示すフローチャートである。
この処理は、ECU4に更新データを適用する必要が生じた場合に行われる。
図7のステップS(以下、単に「S」という。)10において、更新データサーバ6の制御部60は、更新データを作成する。ここで、更新データサーバ6で更新データを作成せずともよく、例えば、別のサーバ等によって作成された更新データを、更新データサーバ6が受領してもよい。
S11において、制御部60(更新データ暗号化処理部61)は、鍵記憶部67に記憶された業者暗号鍵を用いて更新データを暗号化し、暗号化済更新データを生成する。図5に示す更新データサーバ6Xでの処理の場合、制御部60は、業者暗号鍵94aXを用いて更新データを暗号化する。
S11において、制御部60(更新データ暗号化処理部61)は、鍵記憶部67に記憶された業者暗号鍵を用いて更新データを暗号化し、暗号化済更新データを生成する。図5に示す更新データサーバ6Xでの処理の場合、制御部60は、業者暗号鍵94aXを用いて更新データを暗号化する。
S12において、制御部60(更新データ暗号化処理部61)は、暗号化済更新データを、暗号化済更新データ記憶部68に記憶させる。そして、制御部60は、保存先のURIを得る。
S13において、制御部60(暗号化済更新データ送信部62)は、暗号化済更新データを、更新管理サーバ7に送信する。その際、制御部60は、保存先を示すURIを、暗号化済更新データに対応付けて送信する。その後、制御部60は、本処理を終了する。
S13において、制御部60(暗号化済更新データ送信部62)は、暗号化済更新データを、更新管理サーバ7に送信する。その際、制御部60は、保存先を示すURIを、暗号化済更新データに対応付けて送信する。その後、制御部60は、本処理を終了する。
次に、更新管理サーバ7での処理について説明する。
図8は、第1実施形態に係る更新管理サーバ7のパッケージ配信処理を示すフローチャートである。
図9は、第1実施形態に係る更新管理サーバ7の記憶部75に記憶された管理データ75aの例を示す。
図8のS20において、更新管理サーバ7の制御部70(暗号化済更新データ受信部71)は、更新データサーバ6から暗号化済更新データを受信する。
図8は、第1実施形態に係る更新管理サーバ7のパッケージ配信処理を示すフローチャートである。
図9は、第1実施形態に係る更新管理サーバ7の記憶部75に記憶された管理データ75aの例を示す。
図8のS20において、更新管理サーバ7の制御部70(暗号化済更新データ受信部71)は、更新データサーバ6から暗号化済更新データを受信する。
S21において、制御部70(ハッシュ値生成部72)は、暗号化済更新データに対応するECU暗号鍵を、鍵管理サーバ8から取得して、暗号化済更新データを暗号化し、二重暗号更新データを得る。
S22において、制御部70(ハッシュ値生成部72)は、二重暗号更新データからハッシュ値を生成する。
S23において、制御部70(パッケージ生成部73)は、暗号化済更新データを保存している更新データサーバ6の保存先を示すURIと、ハッシュ値とを含むパッケージデータを生成する。
S22において、制御部70(ハッシュ値生成部72)は、二重暗号更新データからハッシュ値を生成する。
S23において、制御部70(パッケージ生成部73)は、暗号化済更新データを保存している更新データサーバ6の保存先を示すURIと、ハッシュ値とを含むパッケージデータを生成する。
S24において、制御部70(パッケージ生成部73)は、装置暗号鍵を、鍵管理サーバ8から取得して、生成したパッケージデータを暗号化する。
S25において、制御部70(パッケージ送信部74)は、暗号化したパッケージデータを、装置暗号鍵に対応した機器仲介装置2を有する車両Cに送信する。その後、制御部70は、本処理を終了する。
S25において、制御部70(パッケージ送信部74)は、暗号化したパッケージデータを、装置暗号鍵に対応した機器仲介装置2を有する車両Cに送信する。その後、制御部70は、本処理を終了する。
なお、制御部70は、図9に示す管理データ75aを作成して、記憶部75に記憶することで、車両Cごとの更新データの適用状況について管理をしてもよい。
ここで、図9に示す管理データ75aについて説明する。
図9(A)は、車両ID(IDentification)(装置識別情報)が「0A1bCD2E_FG29871」である車両Cが有するECU4と、車両IDが「0A1bCD2E_FG29872」である車両Cが有するECU4とに対するファームウェアの更新を管理する管理データ75aである。管理データ75aは、ファームウェア情報と、保存先と、ハッシュ値と、対象ECUと、車両IDと、ステータスとを有する。なお、車両IDは、機器仲介装置2を識別する識別情報であってもよいし、機器仲介装置2を一意に特定できる識別情報であってもよい。
ここで、図9に示す管理データ75aについて説明する。
図9(A)は、車両ID(IDentification)(装置識別情報)が「0A1bCD2E_FG29871」である車両Cが有するECU4と、車両IDが「0A1bCD2E_FG29872」である車両Cが有するECU4とに対するファームウェアの更新を管理する管理データ75aである。管理データ75aは、ファームウェア情報と、保存先と、ハッシュ値と、対象ECUと、車両IDと、ステータスとを有する。なお、車両IDは、機器仲介装置2を識別する識別情報であってもよいし、機器仲介装置2を一意に特定できる識別情報であってもよい。
ファームウェア情報は、ファームウェア名を示すものであり、ファームウェアのデータ名であってもよい。
保存先は、更新データサーバ6に記憶された暗号化済更新データのアドレスである。
ハッシュ値は、更新管理サーバ7での処理によって生成されたものである。
対象ECUは、ファームウェアを適用するECU4の名称である。
車両IDは、車両Cを識別する識別情報である。
ステータスは、ファームウェアの適用状況を示す。
保存先は、更新データサーバ6に記憶された暗号化済更新データのアドレスである。
ハッシュ値は、更新管理サーバ7での処理によって生成されたものである。
対象ECUは、ファームウェアを適用するECU4の名称である。
車両IDは、車両Cを識別する識別情報である。
ステータスは、ファームウェアの適用状況を示す。
図9(A)は、1つの車両Cに対して対象のECU4と更新データとが1種の場合を示した。次に、1つの車両Cに対して対象のECU4と更新データとが複数の場合について、図9(B)に基づき説明する。
図9(B)は、車両IDが「0A1bCD2E_FG29873」である車両Cが有する複数のECU4に対するファームウェアの更新を管理する管理データ75aである。図9(B)では、1つの車両Cが有する複数のECU4の各々に、ファームウェアの更新が必要であることを示す。
図9(B)は、車両IDが「0A1bCD2E_FG29873」である車両Cが有する複数のECU4に対するファームウェアの更新を管理する管理データ75aである。図9(B)では、1つの車両Cが有する複数のECU4の各々に、ファームウェアの更新が必要であることを示す。
次に、機器統合システム1での処理について説明する。
図10は、第1実施形態に係る機器仲介装置2のデータ受渡処理を示すフローチャートである。
S30において、機器仲介装置2の制御部20(パッケージ受信部21)は、更新管理サーバ7から暗号化されたパッケージデータを受信する。
S31において、制御部20(パッケージ復号部22)は、暗号化がされたパッケージデータを復号し、更新データサーバ6の保存先を示すURIと、ハッシュ値とを得る。制御部20は、URIとハッシュ値とを、記憶部30に一時記憶させる。
S32において、制御部20(暗号化済更新データ受渡部24)は、更新データサーバ6の保存先を示すURIにアクセスし、暗号化済更新データを取得する。
図10は、第1実施形態に係る機器仲介装置2のデータ受渡処理を示すフローチャートである。
S30において、機器仲介装置2の制御部20(パッケージ受信部21)は、更新管理サーバ7から暗号化されたパッケージデータを受信する。
S31において、制御部20(パッケージ復号部22)は、暗号化がされたパッケージデータを復号し、更新データサーバ6の保存先を示すURIと、ハッシュ値とを得る。制御部20は、URIとハッシュ値とを、記憶部30に一時記憶させる。
S32において、制御部20(暗号化済更新データ受渡部24)は、更新データサーバ6の保存先を示すURIにアクセスし、暗号化済更新データを取得する。
S33において、制御部20(暗号化済更新データ受渡部24)は、取得した暗号化済更新データを、適用対象のECU4に送信する。
S34において、制御部20は、ECU4から処理結果を受信する。なお、ECU4から処理結果を受信するまで、制御部20は、本処理で待機する。
S35において、制御部20は、受信した処理結果を、更新管理サーバ7に送信する。その後、制御部20は、本処理を終了する。
S34において、制御部20は、ECU4から処理結果を受信する。なお、ECU4から処理結果を受信するまで、制御部20は、本処理で待機する。
S35において、制御部20は、受信した処理結果を、更新管理サーバ7に送信する。その後、制御部20は、本処理を終了する。
なお、更新管理サーバ7では、制御部70が処理結果を受信したことに応じて、制御部70は、記憶部75の管理データ75aのステータスを、処理結果の内容に更新する。
このようにすることで、更新管理サーバ7は、各車両Cに対する更新データの適用状況を管理することができる。
このようにすることで、更新管理サーバ7は、各車両Cに対する更新データの適用状況を管理することができる。
次に、ECU4での処理について説明する。
図11は、第1実施形態に係るECUのデータ更新処理を示すフローチャートである。
図11のS40において、ECU4の制御部40(ハッシュ値生成部41)は、機器仲介装置2から受け付けた暗号化済更新データを記憶部50に記憶し、さらに、ECU暗号鍵を用いて暗号化して、二重暗号更新データを得る。
S41において、制御部40(ハッシュ値生成部41)は、二重暗号更新データからハッシュ値を生成する。
図11は、第1実施形態に係るECUのデータ更新処理を示すフローチャートである。
図11のS40において、ECU4の制御部40(ハッシュ値生成部41)は、機器仲介装置2から受け付けた暗号化済更新データを記憶部50に記憶し、さらに、ECU暗号鍵を用いて暗号化して、二重暗号更新データを得る。
S41において、制御部40(ハッシュ値生成部41)は、二重暗号更新データからハッシュ値を生成する。
S42において、制御部40(ハッシュ値照合部42)は、S41で生成したハッシュ値と、機器仲介装置2の記憶部30に一時記憶されたハッシュ値とを照合する。ここで、S41でのハッシュ値の生成処理と、更新管理サーバ7でのハッシュ値の生成処理とは、同じ暗号化済更新データに対して同じECU暗号鍵を用いて暗号化した二重暗号更新データからハッシュ値を生成している。よって、通常であれば、ハッシュ値は一致する。他方、通信ネットワークNを用いた通信中等、機器統合システム1がデータを受信する前に、暗号化済更新データが改ざんされた場合等には、ハッシュ値が一致しない。
S43において、制御部40(ハッシュ値照合部42)は、照合の結果、ハッシュ値が一致したか否かを判断する。ハッシュ値が一致した場合(S43:YES)には、制御部40は、処理をS44に移す。他方、ハッシュ値が一致しない場合(S43:NO)には、制御部40は、処理をS46に移す。
S44において、制御部40(更新データ取得部43)は、業者復号鍵を用いて、暗号化済更新データを復号し、更新データを得る。
S44において、制御部40(更新データ取得部43)は、業者復号鍵を用いて、暗号化済更新データを復号し、更新データを得る。
S45において、制御部40(データ更新部44)は、更新データをECU4に適用し、ファームウェアをアップデートする。その後、制御部40は、処理をS47に移す。
他方、S46において、制御部40(データ削除部45)は、暗号化済更新データを、記憶部50から削除する。
S47において、制御部40は、ECU4での処理結果を、機器仲介装置2に対して送信する。更新データをECU4に適用した場合(S45)には、制御部40は、処理結果として、例えば、成功の旨を送信する。更新データをECU4に適用しなかった場合(S46)には、制御部40は、処理結果として、例えば、失敗の旨を送信する。その後、制御部40は、本処理を終了する。
他方、S46において、制御部40(データ削除部45)は、暗号化済更新データを、記憶部50から削除する。
S47において、制御部40は、ECU4での処理結果を、機器仲介装置2に対して送信する。更新データをECU4に適用した場合(S45)には、制御部40は、処理結果として、例えば、成功の旨を送信する。更新データをECU4に適用しなかった場合(S46)には、制御部40は、処理結果として、例えば、失敗の旨を送信する。その後、制御部40は、本処理を終了する。
このように、第1実施形態の更新管理システム100によれば、以下のような効果がある。
(1)通信ネットワークNによる通信中は、ECU4に適用する更新データを、常に暗号化された状態で送信する。また、暗号鍵や復号鍵等の暗号/復号に用いる鍵は、予め各装置が有し、通信ネットワークNを経由しない。よって、不正な第三者に更新データを取得される危険性が低減でき、より安全に更新データをECU4に送信することができる。
(2)更新管理サーバ7は、機器仲介装置2に対して更新データを保存する更新データサーバ6の保存先を示すURIと、ハッシュ値とをパッケージ化して暗号化したデータを送信する。よって、通信ネットワークNを通過するデータ量が少なくて済む。
(3)ハッシュ値を照合することで、不正な改ざん等がされていないことを確認でき、更新データの信頼性が担保できる。特に、車両Cが備えるECU4は、不正なデータにより更新された場合には、車両Cの特性により命に関わる問題になり得るため、更新データの信頼性は重要である。
(1)通信ネットワークNによる通信中は、ECU4に適用する更新データを、常に暗号化された状態で送信する。また、暗号鍵や復号鍵等の暗号/復号に用いる鍵は、予め各装置が有し、通信ネットワークNを経由しない。よって、不正な第三者に更新データを取得される危険性が低減でき、より安全に更新データをECU4に送信することができる。
(2)更新管理サーバ7は、機器仲介装置2に対して更新データを保存する更新データサーバ6の保存先を示すURIと、ハッシュ値とをパッケージ化して暗号化したデータを送信する。よって、通信ネットワークNを通過するデータ量が少なくて済む。
(3)ハッシュ値を照合することで、不正な改ざん等がされていないことを確認でき、更新データの信頼性が担保できる。特に、車両Cが備えるECU4は、不正なデータにより更新された場合には、車両Cの特性により命に関わる問題になり得るため、更新データの信頼性は重要である。
(4)ハッシュ値を照合し、不一致であった場合には、受信した暗号化済更新データを削除するので、ECU4では復号して更新データを得ることがなく、誤って不正な更新データをECU4に適用せずに済む。
(5)装置暗号鍵と、ECU暗号鍵とを、鍵管理サーバ8が車両Cごとに備えるので、鍵の管理を一元化できる。
(5)装置暗号鍵と、ECU暗号鍵とを、鍵管理サーバ8が車両Cごとに備えるので、鍵の管理を一元化できる。
(6)更新データサーバ6では、更新データごとにデータの格納先を指定できるように記憶するので、更新データの取得をより簡単かつ正確に行うことができる。
また、車両Cごとに更新データを用意することがないため、データの重複を抑えることができ、CDN(Contents Delivery Network)が利用可能となる。
また、車両Cごとに更新データを用意することがないため、データの重複を抑えることができ、CDN(Contents Delivery Network)が利用可能となる。
(第2実施形態)
第2実施形態では、さらにワンタイムパスワードを用いて、より安全に更新データを適用するものを説明する。なお、以降の説明において、上述した第1実施形態と同様の機能を果たす部分には、同一の符号又は末尾に同一の符号を付して、重複する説明を適宜省略する。
第2実施形態では、さらにワンタイムパスワードを用いて、より安全に更新データを適用するものを説明する。なお、以降の説明において、上述した第1実施形態と同様の機能を果たす部分には、同一の符号又は末尾に同一の符号を付して、重複する説明を適宜省略する。
<更新管理システム200>
図12は、第2実施形態に係る更新管理システム200の全体の処理の流れを説明するための図である。
図12に示す更新管理システム200は、機器統合システム201と、更新データサーバ206と、更新管理サーバ207と、鍵管理サーバ8(図示せず)とを備えている。
(1)から(6)までの処理の大まかな流れは、第1実施形態(図6)と同様である。以下において、第1実施形態と異なる点について説明する。
図12は、第2実施形態に係る更新管理システム200の全体の処理の流れを説明するための図である。
図12に示す更新管理システム200は、機器統合システム201と、更新データサーバ206と、更新管理サーバ207と、鍵管理サーバ8(図示せず)とを備えている。
(1)から(6)までの処理の大まかな流れは、第1実施形態(図6)と同様である。以下において、第1実施形態と異なる点について説明する。
(3)において、更新管理サーバ207は、暗号化済更新データをECU暗号鍵で暗号化してハッシュ値を生成する。また、更新管理サーバ207は、更新データサーバ206の暗号化済更新データの保存先を示すURIごとにワンタイムパスワードを発行する(A)。そして、更新管理サーバ207は、生成したハッシュ値と、URIと、ワンタイムパスワードとを含むパッケージデータを生成し、装置暗号鍵でパッケージデータを暗号化し、暗号化済パッケージデータを生成する。
機器仲介装置202では、(6)において、パッケージデータに含まれるURIにより更新データサーバ206の暗号化済更新データの保存先にアクセスする際、ワンタイムパスワードを更新データサーバ206に送信する(B)。ワンタイムパスワードを受信した更新データサーバ206は、配信APIによって、更新管理サーバ207にワンタイムパスワードを送信し、認証を依頼する(C)。更新管理サーバ207において認証ができた場合に、機器仲介装置202は、更新データサーバ206から暗号化済更新データを得ると共に、ECU4に暗号化済更新データを受け渡す。
次に、各装置について、機能を中心に説明する。
図13は、第2実施形態に係る機器統合システム201の全体構成図及び機器仲介装置202の機能ブロック図である。
図14は、第2実施形態に係る更新データサーバ206及び更新管理サーバ207の機能ブロック図である。
<機器統合システム201>
図13に示すように、機器統合システム201は、機器仲介装置202と、複数のECU4とを有する。
図13は、第2実施形態に係る機器統合システム201の全体構成図及び機器仲介装置202の機能ブロック図である。
図14は、第2実施形態に係る更新データサーバ206及び更新管理サーバ207の機能ブロック図である。
<機器統合システム201>
図13に示すように、機器統合システム201は、機器仲介装置202と、複数のECU4とを有する。
<機器仲介装置202>
機器仲介装置202は、制御部220と、記憶部230と、接続IF部38と、通信部39とを備える。
制御部220は、パッケージ受信部21と、パッケージ復号部22と、パスワード送信部223(パスワード送信手段)と、暗号化済更新データ受渡部224とを備える。
パスワード送信部223は、パッケージ復号部22によって暗号化されたパッケージデータから得たワンタイムパスワードを、URIが示す更新データの保存先である更新データサーバ206に送信する。
機器仲介装置202は、制御部220と、記憶部230と、接続IF部38と、通信部39とを備える。
制御部220は、パッケージ受信部21と、パッケージ復号部22と、パスワード送信部223(パスワード送信手段)と、暗号化済更新データ受渡部224とを備える。
パスワード送信部223は、パッケージ復号部22によって暗号化されたパッケージデータから得たワンタイムパスワードを、URIが示す更新データの保存先である更新データサーバ206に送信する。
暗号化済更新データ受渡部224は、URIが示す更新データの保存先にアクセスして、後述するパスワード認証ができた場合に、暗号化済更新データを受信する。また、暗号化済更新データ受渡部224は、受信した暗号化済更新データを、更新データを適用する対象のECU4に受け渡す。
記憶部230は、プログラム記憶部231と、鍵記憶部32とを備える。
プログラム記憶部231は、機器仲介装置202の制御部220の各種機能を実行するための各種のプログラムを記憶する記憶領域である。
記憶部230は、プログラム記憶部231と、鍵記憶部32とを備える。
プログラム記憶部231は、機器仲介装置202の制御部220の各種機能を実行するための各種のプログラムを記憶する記憶領域である。
<更新データサーバ206>
図14(A)に示すように、更新データサーバ206は、制御部260と、記憶部265と、通信部69とを備える。
制御部260は、更新データ暗号化処理部61と、暗号化済更新データ送信部62と、認証依頼部263(認証依頼手段)とを備える。
認証依頼部263は、機器仲介装置202から受信したワンタイムパスワードを、更新管理サーバ207に送信し、パスワード認証を依頼する配信API(Application Programming Interface)の機能を有する。
記憶部265は、プログラム記憶部266と、鍵記憶部67と、暗号化済更新データ記憶部68とを備える。
プログラム記憶部266は、更新データサーバ206の制御部260の各種機能を実行するための各種のプログラムを記憶する記憶領域である。
図14(A)に示すように、更新データサーバ206は、制御部260と、記憶部265と、通信部69とを備える。
制御部260は、更新データ暗号化処理部61と、暗号化済更新データ送信部62と、認証依頼部263(認証依頼手段)とを備える。
認証依頼部263は、機器仲介装置202から受信したワンタイムパスワードを、更新管理サーバ207に送信し、パスワード認証を依頼する配信API(Application Programming Interface)の機能を有する。
記憶部265は、プログラム記憶部266と、鍵記憶部67と、暗号化済更新データ記憶部68とを備える。
プログラム記憶部266は、更新データサーバ206の制御部260の各種機能を実行するための各種のプログラムを記憶する記憶領域である。
<更新管理サーバ207>
図14(B)に示すように、更新管理サーバ207は、制御部270と、記憶部275と、通信部79とを備える。
図14(B)に示すように、更新管理サーバ207は、制御部270と、記憶部275と、通信部79とを備える。
制御部270は、暗号化済更新データ受信部71と、ハッシュ値生成部72と、パスワード処理部272aと、パッケージ生成部273と、パッケージ送信部74とを備える。
パスワード処理部272aは、更新データサーバ206での暗号化済更新データの保存先を示すURIごとにワンタイムパスワードを生成する。そして、パスワード処理部272aは、生成したワンタイムパスワードを、記憶部275に記憶させる。
また、パスワード処理部272aは、更新データサーバ206からパスワード認証の依頼を受けた場合に、記憶部275に記憶させたワンタイムパスワードと照合して認証を行う。そして、パスワード処理部272aは、認証結果を更新データサーバ206に送信する。
パスワード処理部272aは、更新データサーバ206での暗号化済更新データの保存先を示すURIごとにワンタイムパスワードを生成する。そして、パスワード処理部272aは、生成したワンタイムパスワードを、記憶部275に記憶させる。
また、パスワード処理部272aは、更新データサーバ206からパスワード認証の依頼を受けた場合に、記憶部275に記憶させたワンタイムパスワードと照合して認証を行う。そして、パスワード処理部272aは、認証結果を更新データサーバ206に送信する。
パッケージ生成部273は、URIと、ハッシュ値生成部72によって生成したハッシュ値と、パスワード処理部272aによって生成したワンタイムパスワードとを含んでパッケージ化する。そして、パッケージ生成部273は、パッケージ化したものに、このパッケージ化したものを送信する機器仲介装置202の装置暗号鍵で暗号化してパッケージデータを生成する。
記憶部275は、プログラム記憶部276を備える。
プログラム記憶部276は、更新管理サーバ207の制御部270の各種機能を実行するための各種のプログラムを記憶する記憶領域である。
記憶部275は、プログラム記憶部276を備える。
プログラム記憶部276は、更新管理サーバ207の制御部270の各種機能を実行するための各種のプログラムを記憶する記憶領域である。
<処理の説明>
次に、各装置の処理の詳細について、フローチャートに基づき説明する。
更新データサーバ206での更新データ保存処理は、第1実施形態(図7)と同様である。
次に、更新管理サーバ207での処理について説明する。
図15は、第2実施形態に係る更新管理サーバ207のパッケージ配信処理を示すフローチャートである。
図15のS220からS222aまでは、第1実施形態(図8)のS20からS22までの処理と同様である。
次に、各装置の処理の詳細について、フローチャートに基づき説明する。
更新データサーバ206での更新データ保存処理は、第1実施形態(図7)と同様である。
次に、更新管理サーバ207での処理について説明する。
図15は、第2実施形態に係る更新管理サーバ207のパッケージ配信処理を示すフローチャートである。
図15のS220からS222aまでは、第1実施形態(図8)のS20からS22までの処理と同様である。
S222bにおいて、制御部220(パスワード処理部272a)は、暗号化済更新データを保存している更新データサーバ6のURIごとにワンタイムパスワードを生成する。ここで、ワンタイムパスワードは、例えば、生成から1週間以内等の有効期限が設けられ、期限内であれば、1回に限り認証を許可するものである。なお、制御部270は、管理データ75a(図9参照)に、ワンタイムパスワードと、有効期限とを対応付けて記憶部275に記憶してもよい。
S223において、制御部220(パッケージ生成部273)は、暗号化済更新データを保存している更新データサーバ206のURIと、ハッシュ値と、ワンタイムパスワードとを含むパッケージデータを生成する。
S224及びS225の処理は、第1実施形態(図8)のS24及びS25の処理と同様である。
S223において、制御部220(パッケージ生成部273)は、暗号化済更新データを保存している更新データサーバ206のURIと、ハッシュ値と、ワンタイムパスワードとを含むパッケージデータを生成する。
S224及びS225の処理は、第1実施形態(図8)のS24及びS25の処理と同様である。
次に、機器統合システム201での処理について説明する。
図16は、第2実施形態に係る機器仲介装置202のデータ受渡処理を示すフローチャートである。
S230及びS231の処理は、第1実施形態(図10)のS30及びS31の処理と同様である。
S232aにおいて、制御部220(パスワード送信部223)は、パッケージデータに含まれる更新データサーバ206の保存先を示すURIにアクセスし、対応するワンタイムパスワードを送信する。
図16は、第2実施形態に係る機器仲介装置202のデータ受渡処理を示すフローチャートである。
S230及びS231の処理は、第1実施形態(図10)のS30及びS31の処理と同様である。
S232aにおいて、制御部220(パスワード送信部223)は、パッケージデータに含まれる更新データサーバ206の保存先を示すURIにアクセスし、対応するワンタイムパスワードを送信する。
ワンタイムパスワードを受信した更新データサーバ206の制御部260(認証依頼部263)は、更新管理サーバ207に対しパスワード認証を依頼する。
更新管理サーバ207の制御部270(パスワード処理部272a)は、受信したワンタイムパスワードについての認証処理を行う。そして、制御部270は、有効期限内であって、初めての認証依頼であれば、認証可とし、有効期限内ではない場合や、2回目の認証依頼であれば、認証不可とした認証結果を、更新データサーバ206に送信する。
更新データサーバ206の制御部260は、認証結果が認証可であった場合に限り、保存先情報に記憶された暗号化済更新データを、機器仲介装置202に送信する。
更新管理サーバ207の制御部270(パスワード処理部272a)は、受信したワンタイムパスワードについての認証処理を行う。そして、制御部270は、有効期限内であって、初めての認証依頼であれば、認証可とし、有効期限内ではない場合や、2回目の認証依頼であれば、認証不可とした認証結果を、更新データサーバ206に送信する。
更新データサーバ206の制御部260は、認証結果が認証可であった場合に限り、保存先情報に記憶された暗号化済更新データを、機器仲介装置202に送信する。
S232bにおいて、機器仲介装置202の制御部220(暗号化済更新データ受渡部224)は、ワンタイムパスワード認証ができた場合に限り、更新データサーバ206から暗号化済更新データを受信する。
S233からS235までの処理は、第1実施形態(図10)のS33からS35までの処理と同様である。
また、ECU4でのデータ更新処理は、第1実施形態(図11)と同様である。
S233からS235までの処理は、第1実施形態(図10)のS33からS35までの処理と同様である。
また、ECU4でのデータ更新処理は、第1実施形態(図11)と同様である。
このように、第2実施形態の更新管理システム200によれば、以下のような効果がある。
(1)更新管理サーバ207は、ワンタイムパスワードを生成して更新データサーバ206の更新データの保存先を示すURIと対応付けてパッケージ化する。そして、機器仲介装置202で暗号化済更新データを得る場合に、ワンタイムパスワードによる認証を行い、認証できた場合に限り機器仲介装置202は、暗号化済更新データを得る。よって、より厳密に更新データを管理できる。
(2)ワンタイムパスワードには、有効期限や有効回数を設定しておくことで、有効期限後にアクセスしても暗号化済更新データを得ることがない。また、有効回数を超えて暗号化済更新データを得ることがない。よって、不正な第三者によるデータの不正取得がされにくい仕組みにできる。
(3)公知な技術であるワンタイムパスワードを用いるため、仕組みを比較的簡単に構築できる。
(1)更新管理サーバ207は、ワンタイムパスワードを生成して更新データサーバ206の更新データの保存先を示すURIと対応付けてパッケージ化する。そして、機器仲介装置202で暗号化済更新データを得る場合に、ワンタイムパスワードによる認証を行い、認証できた場合に限り機器仲介装置202は、暗号化済更新データを得る。よって、より厳密に更新データを管理できる。
(2)ワンタイムパスワードには、有効期限や有効回数を設定しておくことで、有効期限後にアクセスしても暗号化済更新データを得ることがない。また、有効回数を超えて暗号化済更新データを得ることがない。よって、不正な第三者によるデータの不正取得がされにくい仕組みにできる。
(3)公知な技術であるワンタイムパスワードを用いるため、仕組みを比較的簡単に構築できる。
以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限定されるものではない。また、実施形態に記載した効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載したものに限定されない。なお、上述した実施形態及び後述する変形形態は、適宜組み合わせて用いることもできるが、詳細な説明は省略する。
(変形形態)
(1)各実施形態では、更新データを、ECUのファームウェアに対して適用し、ファームウェアのアップデートをするものを例に説明したが、これに限定されない。例えば、更新データは、ECUのファームウェア等のソフトウェアに必要なパラメータデータ等を更新するものであってもよい。
(2)各実施形態では、鍵管理サーバを、更新管理サーバとは別に設け、システム運営会社が管理するものを例に説明したが、これに限定されない。更新管理サーバが、鍵管理サーバの機能を、更新管理サーバの一部として有してもよい。
(3)各実施形態では、車両のECUに対してファームウェアをアップデートするシステムについて説明したが、これに限定されない。機器仲介装置と、ECUとに対応する装置を有するシステムであれば、他の分野においても適用可能である。例えば、スマートホームのような家の中の様々な家電製品についてのソフトウェアの更新をするようなものについても適用できる。
(1)各実施形態では、更新データを、ECUのファームウェアに対して適用し、ファームウェアのアップデートをするものを例に説明したが、これに限定されない。例えば、更新データは、ECUのファームウェア等のソフトウェアに必要なパラメータデータ等を更新するものであってもよい。
(2)各実施形態では、鍵管理サーバを、更新管理サーバとは別に設け、システム運営会社が管理するものを例に説明したが、これに限定されない。更新管理サーバが、鍵管理サーバの機能を、更新管理サーバの一部として有してもよい。
(3)各実施形態では、車両のECUに対してファームウェアをアップデートするシステムについて説明したが、これに限定されない。機器仲介装置と、ECUとに対応する装置を有するシステムであれば、他の分野においても適用可能である。例えば、スマートホームのような家の中の様々な家電製品についてのソフトウェアの更新をするようなものについても適用できる。
(4)各実施形態では、データの検証に用いる計算値としてハッシュ値を用いるものを例に説明したが、これに限定されない。データの検証に用いることができるものであれば、どのような技術を用いたものであってもよく、例えば、MAC(Message Authentication Code)関数を用いたMAC値であってもよい。その場合には、更新管理サーバと、機器仲介装置とに共通鍵暗号鍵を有することで実現可能である。
(5)各実施形態では、1つのECUに対して1つの更新データを適用するものを例に説明したが、これに限定されない。複数のECUに対して複数の更新データを適用する場合であってもよい。その場合には、更新管理サーバは、パッケージデータを、更新データの保存先を示すURIと、ハッシュ値と、ECU4の識別情報(機器識別情報)とが対になったものを複数分まとめたものにすればよい。
(5)各実施形態では、1つのECUに対して1つの更新データを適用するものを例に説明したが、これに限定されない。複数のECUに対して複数の更新データを適用する場合であってもよい。その場合には、更新管理サーバは、パッケージデータを、更新データの保存先を示すURIと、ハッシュ値と、ECU4の識別情報(機器識別情報)とが対になったものを複数分まとめたものにすればよい。
(6)各実施形態では、鍵管理サーバが車両ごとに鍵を有するものとして説明したが、これに限定されない。例えば、車種ごとに鍵を有するものとしてもよい。その場合には、複数の車両で共通の鍵が使用できるので、鍵の管理がより簡単になる。
(7)各実施形態で使用する鍵の種類について、特に限定するものではない。共通鍵であってもよいし、公開鍵であってもよい。
(7)各実施形態で使用する鍵の種類について、特に限定するものではない。共通鍵であってもよいし、公開鍵であってもよい。
1,201 機器統合システム
2,202 機器仲介装置
4,4A,4B,4C ECU
6,6X,6Y,206 更新データサーバ
7,207 更新管理サーバ
8 鍵管理サーバ
20,40,60,70,80,220,260,270 制御部
21 パッケージ受信部
22 パッケージ復号部
24,224 暗号化済更新データ受渡部
30,50,65,75,85,230,265,275 記憶部
32,52,67,87 鍵記憶部
41,72 ハッシュ値生成部
42 ハッシュ値照合部
43 更新データ取得部
44 データ更新部
45 データ削除部
51 プログラム記憶部
61 更新データ暗号化処理部
62 暗号化済更新データ送信部
68 暗号化済更新データ記憶部
71 暗号化済更新データ受信部
73,273 パッケージ生成部
74 パッケージ送信部
91a 装置暗号鍵
91b 装置復号鍵
92,93 ECU暗号鍵
94a,94aX,94aY 業者暗号鍵
94b,94bX,94bY 業者復号鍵
100,200 更新管理システム
223 パスワード送信部
263 認証依頼部
272a パスワード処理部
C 車両
N 通信ネットワーク
2,202 機器仲介装置
4,4A,4B,4C ECU
6,6X,6Y,206 更新データサーバ
7,207 更新管理サーバ
8 鍵管理サーバ
20,40,60,70,80,220,260,270 制御部
21 パッケージ受信部
22 パッケージ復号部
24,224 暗号化済更新データ受渡部
30,50,65,75,85,230,265,275 記憶部
32,52,67,87 鍵記憶部
41,72 ハッシュ値生成部
42 ハッシュ値照合部
43 更新データ取得部
44 データ更新部
45 データ削除部
51 プログラム記憶部
61 更新データ暗号化処理部
62 暗号化済更新データ送信部
68 暗号化済更新データ記憶部
71 暗号化済更新データ受信部
73,273 パッケージ生成部
74 パッケージ送信部
91a 装置暗号鍵
91b 装置復号鍵
92,93 ECU暗号鍵
94a,94aX,94aY 業者暗号鍵
94b,94bX,94bY 業者復号鍵
100,200 更新管理システム
223 パスワード送信部
263 認証依頼部
272a パスワード処理部
C 車両
N 通信ネットワーク
Claims (8)
- 更新データの適用対象である機器と、
前記機器に対して接続され、外部のコンピュータとの間で通信可能な機器仲介装置と、
を備えた機器統合システムであって、
前記機器仲介装置は、
前記機器に適用する更新データが保存された外部のコンピュータの保存先を示す保存先情報と、前記更新データに基づいて生成されたデータの検証に用いる期待値とを含み、暗号化がされたパッケージデータを、前記機器仲介装置が有する装置復号鍵で復号して、前記保存先情報と前記期待値とを得る復号手段と、
前記復号手段によって得られた前記保存先情報が示す保存先にアクセスして暗号化済更新データを受信し、前記機器に受け渡す暗号化済更新データ受渡手段と、
を備え、
前記機器は、
前記暗号化済更新データ受渡手段により受信した前記暗号化済更新データを、前記機器が有する機器暗号鍵でさらに暗号化して得た二重暗号更新データからデータの検証に用いる期待値を生成する期待値生成手段と、
前記期待値生成手段によって生成された期待値と、前記機器仲介装置の前記復号手段により得た前記期待値とを照合する照合手段と、
前記照合手段によって照合できた場合に、前記暗号化済更新データ受渡手段により受信した前記暗号化済更新データを、前記機器が有する業者復号鍵で復号して更新データを得る更新データ取得手段と、
前記更新データ取得手段によって得た更新データを、前記機器に適用する更新手段と、
を備えること、
を特徴とする機器統合システム。 - 請求項1に記載の機器統合システムにおいて、
前記機器は、前記照合手段によって照合できなかった場合に、前記暗号化済更新データ受渡手段により受信した前記暗号化済更新データを削除するデータ削除手段を備えること、
を特徴とする機器統合システム。 - 請求項1又は請求項2に記載の機器統合システムにおいて、
前記パッケージデータは、さらに前記機器仲介装置を識別する装置識別情報が対応付けられていること、
を特徴とする機器統合システム。 - 請求項1から請求項3までのいずれか一項に記載の機器統合システムにおいて、
複数の前記機器を備え、
前記パッケージデータは、さらに前記機器を識別する機器識別情報を含んで暗号化がされたものであること、
を特徴とする機器統合システム。 - 請求項1から請求項4までのいずれか一項に記載の機器統合システムにおいて、
前記機器仲介装置は、予め前記装置復号鍵を記憶しており、
前記機器は、予め前記機器暗号鍵及び前記業者復号鍵を記憶しており、
前記機器仲介装置が有する前記装置復号鍵と、前記機器が有する前記業者復号鍵とは、異なる鍵であること、
を特徴とする機器統合システム。 - 請求項1から請求項5までのいずれか一項に記載の機器統合システムと、
前記機器統合システムを管理する更新管理サーバと、
前記更新データを管理する更新データサーバと、
を備えた更新管理システムであって、
前記更新データサーバは、
前記機器に適用する前記更新データを、前記機器が有する前記業者復号鍵と対になる第1暗号鍵で暗号化して得た前記暗号化済更新データを、暗号化済更新データ記憶部に記憶させる更新データ暗号化処理手段と、
前記暗号化済更新データ記憶部に記憶された前記暗号化済更新データを、前記更新管理サーバに送信する暗号化済更新データ送信手段と、
を備え、
前記更新管理サーバは、
前記更新データサーバから前記暗号化済更新データを受信する暗号化済更新データ受信手段と、
前記暗号化済更新データを、前記機器が有する前記機器暗号鍵と同一の第2暗号鍵で暗号化して得た二重暗号更新データからデータの検証に用いる期待値を生成する期待値生成手段と、
前記暗号化済更新データ記憶部における前記暗号化済更新データの保存先を示す前記保存先情報と、前記期待値生成手段によって生成した前記期待値とを含んでパッケージ化し、前記機器仲介装置が有する前記装置復号鍵と対になる第3暗号鍵で暗号化した前記パッケージデータを生成するパッケージ生成手段と、
前記パッケージ生成手段によって生成した前記パッケージデータを、前記機器仲介装置に送信するパッケージ送信手段と、
を備え、
前記機器仲介装置は、前記パッケージデータを受信するパッケージ受信手段を備えること、
を特徴とする更新管理システム。 - 請求項6に記載の更新管理システムにおいて、
前記更新管理サーバで使用する前記第2暗号鍵及び前記第3暗号鍵を管理する鍵管理サーバを備えること、
を特徴とする更新管理システム。 - 請求項6又は請求項7に記載の更新管理システムにおいて、
前記パッケージデータは、さらにワンタイムパスワードを含んで暗号化がされたものであり、
前記機器仲介装置の前記復号手段は、前記ワンタイムパスワードをさらに得るものであり、
前記機器仲介装置は、前記復号手段によって得られた前記保存先情報に基づく前記更新データサーバに対して、前記ワンタイムパスワードを送信するパスワード送信手段を備え、
前記更新データサーバは、前記ワンタイムパスワードによる認証を、前記更新管理サーバに依頼する認証依頼手段を備え、
前記機器仲介装置の前記暗号化済更新データ受渡手段は、前記ワンタイムパスワードによる認証ができた場合に限り、前記更新データサーバから前記暗号化済更新データを受信し、前記機器に受け渡すこと、
を特徴とする更新管理システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018226497A JP7143744B2 (ja) | 2018-12-03 | 2018-12-03 | 機器統合システム及び更新管理システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018226497A JP7143744B2 (ja) | 2018-12-03 | 2018-12-03 | 機器統合システム及び更新管理システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020092289A JP2020092289A (ja) | 2020-06-11 |
| JP7143744B2 true JP7143744B2 (ja) | 2022-09-29 |
Family
ID=71013143
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018226497A Active JP7143744B2 (ja) | 2018-12-03 | 2018-12-03 | 機器統合システム及び更新管理システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7143744B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023013471A1 (ja) * | 2021-08-06 | 2023-02-09 | 株式会社デンソー | センタ装置、車両側システム、コンテンツの保護方法及びコンテンツ保護用プログラム |
| CN115720179A (zh) * | 2021-08-24 | 2023-02-28 | 西南大学 | 车载网络安全混合芯片 |
| WO2023053623A1 (ja) * | 2021-09-30 | 2023-04-06 | 株式会社デンソー | データ通信システム、センター装置、マスタ装置、更新データ配置プログラム及び更新データ取得プログラム |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015129352A1 (ja) | 2014-02-28 | 2015-09-03 | 日立オートモティブシステムズ株式会社 | 認証システム、車載制御装置 |
| WO2016075865A1 (ja) | 2014-11-12 | 2016-05-19 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 更新管理方法、更新管理装置及び制御プログラム |
| US20160344705A1 (en) | 2015-05-19 | 2016-11-24 | Robert Bosch Gmbh | Method and update gateway for updating an embedded control unit |
| WO2018070242A1 (ja) | 2016-10-13 | 2018-04-19 | 日立オートモティブシステムズ株式会社 | 車載ゲートウェイ、鍵管理装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6197000B2 (ja) * | 2015-07-03 | 2017-09-13 | Kddi株式会社 | システム、車両及びソフトウェア配布処理方法 |
| JP2018079768A (ja) * | 2016-11-15 | 2018-05-24 | トヨタ自動車株式会社 | 更新データ保存システム |
-
2018
- 2018-12-03 JP JP2018226497A patent/JP7143744B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015129352A1 (ja) | 2014-02-28 | 2015-09-03 | 日立オートモティブシステムズ株式会社 | 認証システム、車載制御装置 |
| WO2016075865A1 (ja) | 2014-11-12 | 2016-05-19 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 更新管理方法、更新管理装置及び制御プログラム |
| US20160344705A1 (en) | 2015-05-19 | 2016-11-24 | Robert Bosch Gmbh | Method and update gateway for updating an embedded control unit |
| WO2018070242A1 (ja) | 2016-10-13 | 2018-04-19 | 日立オートモティブシステムズ株式会社 | 車載ゲートウェイ、鍵管理装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020092289A (ja) | 2020-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7280396B2 (ja) | 機器の安全なプロビジョニングと管理 | |
| KR100925329B1 (ko) | 디지털케이블 방송망에서 다운로더블 제한수신시스템을위한 상호인증 및 키 공유 방법과 장치 | |
| US9853973B2 (en) | Information distribution system, and server, on-board terminal and communication terminal used therefor | |
| JP5435022B2 (ja) | 車載システム及び通信方法 | |
| CN102246455B (zh) | 自我认证通信设备以及设备认证系统 | |
| CN110572418B (zh) | 车辆身份认证的方法、装置、计算机设备及存储介质 | |
| JP6731887B2 (ja) | 保守システム及び保守方法 | |
| JP4758095B2 (ja) | 証明書無効化装置、通信装置、証明書無効化システム、プログラム及び記録媒体 | |
| CN111526159B (zh) | 建立数据连接的方法、装置、终端设备及存储介质 | |
| CN102823217B (zh) | 证书机构 | |
| JP4607567B2 (ja) | 証明書転送方法、証明書転送装置、証明書転送システム、プログラム及び記録媒体 | |
| CN103685138A (zh) | 移动互联网上的Android平台应用软件的认证方法和系统 | |
| US9160723B2 (en) | Framework for provisioning devices with externally acquired component-based identity data | |
| JP7143744B2 (ja) | 機器統合システム及び更新管理システム | |
| JP6667371B2 (ja) | 通信システム、通信装置、通信方法、及びプログラム | |
| CN110611569B (zh) | 一种认证方法及相关设备 | |
| JPWO2018070242A1 (ja) | 車載ゲートウェイ、鍵管理装置 | |
| JP6192673B2 (ja) | 鍵管理システム、鍵管理方法およびコンピュータプログラム | |
| CN110891257A (zh) | 一种具有防攻击双向认证的网联车远程升级系统及方法 | |
| CN114547583A (zh) | 身份认证系统、方法、装置、设备及计算机可读存储介质 | |
| CN113785549B (zh) | 使用some/ip通信协议改进车载数据或消息的传输 | |
| CN110213039B (zh) | 一种管理方法、终端和服务器 | |
| CN115665138A (zh) | 一种汽车ota升级系统及方法 | |
| CN117097462B (zh) | 一种基于量子密钥体系的车载智能软件升级加密系统 | |
| CN114095919A (zh) | 一种基于车联网的证书授权处理方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211025 |
|
| TRDD | Decision of grant or rejection written | ||
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220720 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220816 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220829 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7143744 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |