JPWO2020090418A1 - 電子制御装置、電子制御装置のリプログラミング方法 - Google Patents

電子制御装置、電子制御装置のリプログラミング方法 Download PDF

Info

Publication number
JPWO2020090418A1
JPWO2020090418A1 JP2020553737A JP2020553737A JPWO2020090418A1 JP WO2020090418 A1 JPWO2020090418 A1 JP WO2020090418A1 JP 2020553737 A JP2020553737 A JP 2020553737A JP 2020553737 A JP2020553737 A JP 2020553737A JP WO2020090418 A1 JPWO2020090418 A1 JP WO2020090418A1
Authority
JP
Japan
Prior art keywords
secure
information
main
code
area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2020553737A
Other languages
English (en)
Inventor
裕紀 山▲崎▼
裕紀 山▲崎▼
尚幸 山本
尚幸 山本
矢野 正
正 矢野
伸義 森田
伸義 森田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Astemo Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Astemo Ltd filed Critical Hitachi Astemo Ltd
Publication of JPWO2020090418A1 publication Critical patent/JPWO2020090418A1/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Mechanical Engineering (AREA)
  • Stored Programmes (AREA)

Abstract

本発明は、セキュア領域のリプログラミングの柔軟性を高めることができるようにする。セキュア領域2は、セキュア制御部20を動作させるセキュア制御コード210及びセキュア制御データ220と、セキュア制御コード及びセキュア制御データを更新するセキュア書込ソフトウェア211と、を格納し、セキュア制御コード及びセキュア制御データは、セキュアコード記憶部21及びセキュアデータ記憶部22内の動作面に格納されたセキュア制御コード210Aと、メインコード記憶部及びメインデータ記憶部内の非動作面に格納されたセキュア制御コード210Bと、を有し、セキュア制御部は、セキュア制御情報210Aによってセキュア書込ソフトウェアを動作させて、外部からメイン領域を介して受信した更新情報によってセキュア制御情報210Bを更新する。

Description

本発明は、電子制御装置、電子制御装置のリプログラミング方法に関する。
近年、安全運転支援及び自動運転技術の進展によって、車両がサーバまたはクラウドのような車外システムと繋がるようになっている。車内外の通信セキュリティを確保するために、車載装置(電子制御装置)には、セキュリティモジュールが搭載されている。
特許文献1には、車搭載装置に更新データを適用する方法が開示されている。
特開2018−58582号公報
車載装置の制御コードは、セキュリティを確保するために、適宜更新される必要がある。車載装置に搭載されるHSM(Hardware Security Module)のようなセキュア領域のセキュア制御コードも、暗号アルゴリズムの脆弱性が発覚した場合、暗号化方法を変更する場合、または機能をアップデートする場合、更新できることが望ましい。
一方、セキュア領域のセキュア制御コードは、自由に書換え可能であると、セキュア領域の信頼性が損なわれてしまうため、メイン領域の書込ソフトから直接書き換えることが禁止されている。このようにメイン領域からの書き換えが禁止された車載装置は、セキュア制御コードを書き換えることができないという課題がある。しかし、セキュア制御コードを更新する方法は、特許文献1には開示されていない。
本発明は、上記課題を解決するためのものであり、その目的は、セキュア領域のリプログラミングの柔軟性を高めることができる技術を提供することにある。
上記課題を解決するため、本発明に従う電子制御装置は、移動体に搭載される電子制御装置であって、複数のCPUと、複数のメモリと、を備え、複数のCPUのうちの一のCPUと、複数のメモリのうちの一のメモリとによってメイン領域が構成され、複数のCPUのうちの他のCPUと、複数のメモリのうちの他のメモリとによってセキュア領域が構成され、前記他のメモリは、前記他のCPUを動作させるセキュア制御情報と、該セキュア制御情報を更新するセキュア書込ソフトウェアと、を格納し、前記セキュア制御情報は、前記他のメモリ内の一の領域に格納された第一セキュア制御情報と、前記他のメモリ内の他の領域に格納された第二セキュア制御情報と、を有し、前記他のCPUは、前記第一セキュア制御情報によって前記セキュア書込ソフトウェアを動作させて、外部から前記メイン領域を介して受信した更新情報によって前記第二セキュア制御情報を更新する。
本発明によれば、セキュリティのリプログラミングの柔軟性を高めることができる。
第1実施形態に係る車両情報システムを示すブロック図。 第1実施形態に係るECUを示すブロック図。 第1実施形態に係るリプログラミングデータの構成図。 第1実施形態に係るリプログラミング処理を示すフローチャート。 第1実施形態に係るセキュアブート処理を示すフローチャート。 第2実施形態に係るリプログラミング処理を示すフローチャート。 第3実施形態に係るリプログラミング処理を示すフローチャート。
以下、添付図面を参照して幾つかの実施形態について説明する。本実施形態は、本発明を実現するための一例に過ぎず、本発明の技術的範囲を限定するものではないことに注意すべきである。各図において共通の構成については、同一の参照符号が付されている。
本実施形態では、電子制御装置(Electronic Control Unit。以下、ECU)のリプログラミング(以下、リプロまたは更新とも呼ぶ)処理を実行する車両情報システムの一例を説明する。
<第1実施形態>
図1は、第1実施形態に係る車両情報システムの構成例を示すブロック図である。
車両情報システムは、相互に通信可能な、「移動体」の一例としての車両900と、リプロ装置800を有する。リプロ装置800は、診断機800Aと、車載リプロマスター800B1と、通信装置800B2と、OTAサーバ800B3とから構成されている。
車両900は、リプロ対象となるECU901と、車載リプロマスター800B1と、通信装置800B2とを有する。
なお、車両情報システムに含まれる各構成要素は、図1で示していない経路によって接続されてよい。さらに、車両情報システム内のある構成要素は、他の構成要素を含んでよい。車載リプロマスター800B1は、通信装置800B2を含んでよい。
以降、診断機800A、車載リプロマスター800B1、通信装置800B2、及びOTAサーバ800B3を区別する必要がない場合、これらを単にリプロ装置800と記述する。
車両900は、リプロ対象となる車載装置のECU901を備える自動車である。車両900は、車載リプロマスター800B1と、通信装置800B2との少なくとも何れか一方を含んでよい。車両900は、車載機器である複数のECUを備え、各ECUは、車内のネットワークで接続されている。
リプロ装置800は、ECU901をリプロする装置である。リプロ装置800は、診断機800A、車載リプロマスター800B1、通信装置800B2、及びOTAサーバ800B3を例に説明する。
診断機800Aは、ECU901のリプロデータをECU901に書き込むための装置である。診断機800Aは、OBD−IIポートを通して、車内ネットワークに接続されている。診断機800Aは、CAN(Control Area Network)、CAN FD、Ethernet(登録商標、以下同じ)、またはFlexRay(登録商標、以下同じ)を介して、ECU901の診断及びリプロに関するコマンド及びデータを受信する。診断機800AとECU901との間には、図示しないゲートウェイが介在してよい。さらに、診断機800Aは、OTAサーバ800B3と通信してよい。さらに、診断機800Aは、車載リプロマスター800B1を経由して、コマンド及びデータを受信してよい。
車載リプロマスター800B1は、ECU901にリプロデータを書き込むための車載装置である。車載リプロマスター800B1は、CAN、CAN FD、Ethernet、FlexRayのような車内ネットワークに接続されており、ECU901の診断及びリプロに関するコマンド及びデータを送受信する。車載リプロマスター800B1とECU901との間には、図示しないゲートウェイが介在してよいし、車載リプロマスター800B1は、ゲートウェイと同一の装置でよい。さらに、車載リプロマスター800B1は、リプロ対象、すなわちECU901と同一の装置でよい。
さらに、車載リプロマスター800B1は、リプロデータ及びコマンドを受信するために、通信装置800B2を介してOTAサーバ800B3と通信してよい。車載リプロマスター800B1は、通信装置800B2と同一の装置でよい。
通信装置800B2は、車両900が車外と通信するための装置である。通信装置800B2は、無線通信、または有線LAN、インターネット、若しくは専用回線を用いた有線通信によって、車外と通信する。無線通信は、LTE(Long Term Evolution)、3G(3rd Generation)、WiMAX(Worldwide Interoperability for Microwave Access)、無線LAN(Local Area Network)、またはWAN(Wide Area Network)、C2X、V2Xでよい。通信装置800B2は、車載リプロマスター800B1がECU901に書き込むためのリプロデータ及びコマンドを、OTAサーバ800B3から取得する。
通信装置800B2は、CAN、CAN FD、Ethernet、FlexRayのような車内ネットワークに接続され、車載リプロマスター800B1に対してコマンド及びデータを送受信する。通信装置800B2は、車載リプロマスター800B1と同一の装置でよい。さらに、通信装置800B2と車載リプロマスター800B1との間には、図示しないゲートウェイが介在してよいし、通信装置800B2は、ゲートウェイと同一の装置でよい。さらに、通信装置800B2は、リプロ対象、すなわちECU901と同一の装置でよい。
OTAサーバ800B3は、ネットワークを通じて車両900と通信するサーバである。なお、OTAサーバ800B3は、診断機800Aと通信してよい。
OTAサーバ800B3は、ECU901のリプロデータを配信する。リプロデータは、OTAサーバ800B3若しくは図示していない他の構成要素によって暗号化及び改竄検知処コード付与が施される。OTAサーバ800B3から配信されたリプロデータは、ECU901によって復号化される。OTAサーバ800B3は、更新プログラム以外の配信機能を備えたサービスサーバでよい。OTAサーバ800B3は、地図情報を配信するサーバ、或いは一般に鍵管理、及びインシデント管理を実行するサーバでよい。
さらに、OTAサーバ800B3は、リプロデータの登録の指示を外部から受ける機能を備えてよい。外部からの指示は、ネットワーク経由でよいし、画面の操作でよい。
リプロ装置800は、診断機800A、車載リプロマスター800B1、通信装置800B2、及びOTAサーバ800B3が有する機能またはその組み合わせから成り、ECU901のリプロデータを配信する。図示した構成は一例であり、リプロデータは、図に繋がりを示していない経路によって配信されてよい。
図2は、第1実施形態に係るECUの構成例を示すブロック図である。
ECU901は、互いにバス線で結線された、通信部19と、「一のCPU」の一例としてのメイン制御部10と、「一のメモリ」の一例としてのメインコード記憶部11と、「一のメモリ」の一例としてのメインデータ記憶部12とを備える。さらに、バス線は、後述するセキュア制御部20からアクセスすることができる。後述するセキュア領域に対し、これらの構成要素が所属する領域及び結線を、便宜的にメイン領域1と呼称する。
通信部19は、ECU901が車両900の他の構成要素と通信するための構成要素である。通信部19は、CAN、CAN FD、Ethernet、またはFlexRayによって通信するためのモジュールである。ECU901は、用途及び通信方式に応じて複数の通信部19を含んでよい。さらに、通信部19は、他の通信を実施するモジュールと共用でよい。なお、通信部19は、無線通信する場合、アンテナ及び変復調回路を含んでよい。通信部19は、有線通信する場合、コネクタ及び変復調回路を含んでよい。
さらに、ECU901は、互いにバス線で結線された、「他のCPU」の一例としてのセキュア制御部20と、「他のメモリ」の一例としてのセキュアコード記憶部21と、「他のメモリ」の一例としてのセキュアデータ記憶部22とを備える。セキュア制御部20、セキュアコード記憶部21、及びセキュアデータ記憶部22が所属する領域及び結線を、便宜的にセキュア領域2と呼称する。前記メイン領域1は、ECU901において、セキュア領域2を除く部分である。
メイン領域1のバス線と、セキュア領域2のバス線とは、セキュリティ確保の理由から、直接接続されていない。両領域1,2間のコマンド及びデータの転送は、セキュア制御部20を介して行われる。
メイン制御部10は、プロセッサ(CPU、MPU、またはDSP)を有しており、メインコード記憶部11に格納されたプログラムを実行する。
メインコード記憶部11は、メイン制御部10が実行するプログラムを格納する。メインコード記憶部11は、フラッシュメモリ、EEPROM、SSD、FRAM(登録商標、以下同じ)、または磁気ディスクのような不揮発性の記憶装置でよい。メインコード記憶部11は、複数の記憶装置から構成されてよく、各プログラムは、複数の記憶装置に分散して格納されてよい。
メインデータ記憶部12は、メイン制御部10がプログラムを実行するときに使用されるデータを格納する。メインデータ記憶部12は、フラッシュメモリ、EEPROM、SSD、FRAM、または磁気ディスクのような不揮発性の記憶装置でよい。データ記憶部11は、複数の記憶装置から構成されてよく、各データは、複数の記憶装置に分散して格納されてよい。
メインコード記憶部11及びメインデータ記憶部12は、不揮発性の記憶素子であるROMと、揮発性の記憶素子であるRAMとを有するメモリでよい。ROMは、不変のプログラムを格納する。RAMは、DRAM(Dynamic Random Access Memory)のような高速かつ揮発性の記憶素子であり、メイン制御部10が実行するプログラムと、プログラムの実行時に使用されるデータとを一時的に格納する。
なお、メインコード記憶部11及びメインデータ記憶部12は、その一部または全部を互いの構成要素として有してよい。デバイスとして明確な区別が無くても、メインコード記憶部11は、コードを記憶している部分を示し、メインデータ記憶部12は、データを記憶している部分を示すものとする。
メインコード記憶部11は、「メイン制御情報」の一例としてのメイン制御コード110と、メイン書込ソフトウェア(以下、メイン書込ソフト)111とを備える。メイン制御コード110は、メイン制御部10が実行するプログラムであり、ECU901の車載装置としての機能を実現させるためのプログラムである。メイン制御コード110は、複数でよく、図2においては、メイン制御コード110Aと、メイン制御コード110Bとの2つを図示している。以降の説明では、メイン制御コード110Aと、メイン制御コード110Bとは、更新前後の新旧プログラムの関係とする。
メイン書込ソフト111は、メイン制御部10に実行されるプログラムであり、メイン制御コード110を書き換える(リプロする)ためのプログラムである。メイン書込ソフト111は、ECU901が受け取った新しいプログラム(リプロデータ)を、新たなメイン制御コード110としてメインコード記憶部11に書き込む。
メイン書込ソフト111は、後述するシーケンスによって、通信部19及びセキュア制御部20と連携し、後述するセキュアコード記憶部21の「セキュア制御情報」の一例としてのセキュア制御コード210をセキュアにリプロするトリガを与えて、シーケンスをコントロールする。
なお、メイン書込ソフト111、または後述するセキュア書込ソフト211は、メイン制御コード110Aまたはメイン制御コード110Bのうち、メイン制御部10が動作に用いていない何れか一方を書換えの対象とする。メイン制御部10がメイン制御コード110Aを動作に用いている場合、メイン書込ソフト111は、メイン制御コード110Bを書き換える。一方、メイン制御部10がメイン制御コード110Bを動作に用いている場合、メイン書込ソフト111は、メイン制御コード110Aを書き換える。
さらに、メイン制御部10がメイン制御コード110Aとメイン制御コード110Bとの何れも動作に使用していない場合、メイン制御コード110Aとメイン制御コード110Bとの何れかを書き換えてよいし、両方を書き換えてよい。これらリプロ処理は、メイン制御コード110が1つのみの場合にも当て嵌る。この場合、メイン制御部10は、メイン書込ソフト111を動作に用い、メイン制御コード110を動作に用いない状態でメイン制御コード110を書き換える。
メインデータ記憶部12は、「メイン制御情報」の一例としてのメイン制御データ120と、「共有メモリ」の一例としてのリプロデータ格納部121とを備える。メイン制御データ120は、メイン制御部10に実行されるメイン制御コード110が処理に使用するデータであり、ECU901の車載装置としての機能を実現させるためのデータである。メイン制御データ120は、用途に応じて複数でよい。
リプロデータ格納部121は、メイン書込ソフト111が通信装置19から受信したリプロデータを格納するための領域である。格納されるリプロデータには、セキュア制御コード210、メイン制御コード110、またはそれらの両方の新たな制御プログラムが含まれている。リプロデータの内容は、図3で後述する。リプロデータは、暗号化、改竄検知コード付与、及び署名付与が成されていることがあり、後述のシーケンスで復号及び検証される。
セキュア制御部20は、HSM、SHE、TPM、その他セキュアマイコン、またはセキュアコアと呼ばれるプロセッサ(CPU、MPU、またはDSP)から構成される。セキュア制御部20は、セキュアコード記憶部21に格納されたプログラムを実行する。セキュア制御部20には、耐タンパ性を有してよい。なお、セキュア制御部20の例として示したHSM,SHE、またはTPMは、後述のセキュアコード記憶部21、及びセキュアデータ記憶部22を包含してよい。
セキュアコード記憶部21は、セキュア制御部20が実行するプログラムを格納する。セキュアコード記憶部21は、フラッシュメモリ、EEPROM、SSD、FRAM、または磁気ディスクのような不揮発性の記憶装置でよい。セキュアコード記憶部21は、耐タンパ性を有してよい。セキュアコード記憶部21は、複数の記憶装置から構成されてよく、各プログラムは、複数の記憶装置に分散して格納されてよい。
セキュアデータ記憶部22は、セキュア制御部20がプログラムを実行するときに使用されるデータを格納する。セキュアデータ記憶部22は、フラッシュメモリ、EEPROM、SSD、FRAM、または磁気ディスクのような不揮発性の記憶装置でよい。セキュアデータ記憶部22は、耐タンパ性を有してよい。
セキュアコード記憶部21及びセキュアデータ記憶部22は、不揮発性の記憶素子であるROMと、揮発性の記憶素子であるRAMとを有するメモリでよい。ROMは、不変のプログラムを格納する。RAMは、DRAM(Dynamic Random Access Memory)のような高速かつ揮発性の記憶素子であり、セキュア制御部20が実行するプログラム及びプログラムの実行時に使用されるデータを一時的に格納する。
さらに、セキュアコード記憶部21及びセキュアデータ記憶部22は、その一部または全部を互いの構成要素として有してよい。デバイスとして明確な区別が無くても、セキュアコード記憶部21は、セキュア領域2においてコードを記憶している部分を示し、セキュアデータ記憶部22は、セキュア領域2においてデータを記憶している部分を示すものとする。
セキュアコード記憶部21は、セキュア制御コード210と、セキュア書込ソフト(以下、セキュア書込ソフト)211とを備える。セキュア制御コード210は、セキュア制御部20で実行されるプログラムであり、ECU901の車載装置としてのセキュリティ機能を実現させるためのプログラムである。セキュア制御コード210は、複数でよく、図2においては、「第一セキュア制御情報」の一例としてのセキュア制御コード210Aと、「第二セキュア制御情報」の一例としての制御コード210Bとの2つを図示している。以降の説明では、セキュア制御コード210Aと、セキュア制御コード210Bとは、更新前後の新旧プログラムの関係とする。
セキュア書込ソフト211は、セキュア制御部20に実行されるプログラムであり、セキュア制御コード210を書き換える(リプロする)ためのプログラムである。セキュア書込ソフト211は、ECU901が受け取った新しいプログラム(リプロデータ)を、新たなセキュア制御コード210としてセキュアコード記憶部21に書き込む。
セキュア書込ソフト211は、後述するシーケンスによって、メイン制御部10及びメイン書込ソフト111と連携し、セキュアコード記憶部21のセキュア制御コード210をセキュアにリプロする。このとき、セキュア書込ソフト221は、リプロデータの復号、改竄検知コード検証、及び署名検証するときに、後述するメイン領域用鍵225及びセキュア領域用鍵226を使用する。
なお、セキュア書込ソフト211は、セキュア制御コード210Aまたはセキュア制御コード210Bのうち、セキュア制御部20が動作に使用していない何れか一方を書換えの対象とする。セキュア制御部20がセキュア制御コード210Aを動作に使用している場合、セキュア書込ソフト211は、セキュア制御コード210Bを書き換える。一方、セキュア制御部20がセキュア制御コード210Bを動作に使用している場合、セキュア書込ソフト211は、セキュア制御コード210Aを書き換える。
さらに、セキュア制御部20がセキュア制御コード210Aとセキュア制御コード210Bとの何れも動作に使用していない場合、セキュア制御コード210Aとセキュア制御コード210Bとの何れかを書き換えてよいし、両方を書き換えてよい。これらリプロ処理は、セキュア制御コード210が1つのみの場合にも当て嵌る。この場合、セキュア制御部20は、セキュア書込ソフト211を動作に使用し、セキュア制御コード210を動作に使用しない状態でセキュア制御コード210を書き換える。
セキュアデータ記憶部22は、セキュア制御データ220と、メイン領域用鍵225と、セキュア領域用鍵226と、動作コード選択情報229とを備える。セキュア制御データ220は、「セキュア制御情報」の一例である。メイン領域用鍵225は、「第三復号鍵」の一例である。セキュア領域用鍵226は、「第一復号鍵」及び「検証鍵」の一例である。動作コード選択情報229は、「動作情報選択情報」の一例である。セキュアデータ記憶部22は、メインデータ記憶部12と同様に、リプロデータ格納部を備えてもよい。
セキュア制御データ220は、セキュア制御部20に実行されるセキュア制御コード210が処理に使用するデータであり、ECU901の車載装置としてのセキュリティ機能を実現させるためのデータである。セキュア制御データ220は、用途に応じて複数でよい。
メイン領域用鍵225は、セキュア制御部20に実行されるセキュア書込ソフト211が、リプロデータ格納部121に格納されたリプロデータを復号または改竄検知するための鍵である。メイン領域用鍵225は、AESのような対称暗号の鍵でも、RSAまたは楕円曲線暗号のような非対称暗号の鍵でもよい。メイン領域用鍵225は、復号と改竄検知との両方を実行する場合、それぞれで使用する互いに異なる鍵を複数有してよい。さらに、改竄検知を非対称鍵の署名によって実行する場合、メイン書込ソフト111が検証処理を実行してよい。
セキュア領域用鍵226は、セキュア制御部20に実行されるセキュア書込ソフト211が、リプロデータ格納部121に格納されたリプロデータを復号または改竄検知するための鍵である。セキュア領域用鍵226は、リプロデータのうち、特にセキュア制御コード210に関する部分を復号または改竄検知するために使用される。セキュア領域用鍵226は、AESのような対称暗号の鍵でも、RSA、楕円曲線暗号のような非対称暗号の鍵でもよい。復号と改竄検知との両方を実行する場合、それぞれで使用する互いに異なる鍵を複数有してよい。なお、セキュア領域用鍵226と、メイン領域用鍵225との区別が特にない構成でもよい。
動作コード選択情報229は、メイン制御部コード110及びセキュア制御コード210が複数ある場合に、メイン制御部10またはセキュア制御部20が、起動後に読み込んで実行するコードを選択するための情報である。動作コード選択情報229は、後述するリプロシーケンスによって、新旧プログラムの入れ替えを決定付けるときに書き換わる、フラグ及びデータでよい。さらに、動作コード選択情報229は、メイン制御コード110と、セキュア制御コード210とで、それぞれ別個の選択情報を示すように、複数の情報を含んでよい。さらに、動作コード選択情報229は、コードが書き換え途中か否かのような情報によって置き換えられてよい。
図3は、第1実施形態に係るリプログラミングデータの構成図である。
リプロデータは、リプロデータ格納部121に格納される。リプロデータは、一例として、メイン制御コード用リプロデータ601と、署名602と、セキュア制御コード用リプロデータ603と、改竄検知コード604とを含む。
メイン制御コード用リプロデータ601は、メイン制御コード110の新しいプログラムを含む。メイン制御コード用リプロデータ601は、メイン領域用鍵225に属する鍵で復号される暗号化データでよい。メイン制御コード用リプロデータ601の暗号方式は、対称鍵でも、非対称鍵でもよい。メイン制御コード用リプロデータ601は、用途によっては、暗号化されなくてよい。
署名602は、リプロデータを改竄検知するための情報である。署名602は、メイン制御コード用リプロデータ601、セキュア制御コード用リプロデータ603及び改竄検知コード604を検証対象とした電子書名でよい。メイン書込ソフト111またはセキュア書込ソフト211は、メイン領域用鍵225に属する鍵によって、署名602を検証し、リプロデータが改竄されていないことを確認することができる。
セキュア制御コード用リプロデータ603は、セキュア制御コード210の新しいプログラムを含む。セキュア制御コード用リプロデータ603は、セキュア領域用鍵226に属する鍵で復号される暗号化データでよい。セキュア制御コード用リプロデータ603の暗号方式は、対称鍵でも、非対称鍵でもよい。
改竄検知コード604は、セキュア制御コード用リプロデータ603を改竄検知するための情報である。改竄検知コード604は、セキュア制御コード用リプロデータ603を検証対象としたMAC(Message Authentication Code)でよい。セキュア書込ソフト211は、セキュア領域用鍵226に属する鍵によって、改竄検知コード604を検証し、セキュア制御コード用リプロデータ603が改竄されていなことを確認することができる。
リプロデータは、図3で示した構成要素の一部を欠いてよく、メイン制御コード用リプロデータ601と、セキュア制御コード用リプロデータ603との何れか一方を欠いてよい。
さらに、署名602の検証範囲は、例示したものに限定するものではない。署名602の検証範囲は、メイン制御コード用リプロデータ601のみ、セキュア制御コード用リプロデータ603のみ、または、セキュア制御コード用リプロデータ603及び改竄検知コード604のみでもよい。
さらに、署名602の検証アルゴリズムは、改竄検知が可能な方法であれば、非対称鍵によるものでなくてよく、改竄検知コード604の例で示したように、対象鍵を使用したMACでもよい。さらに、署名602は、改竄検知コード604の検証範囲にメイン制御コード用リプロデータ601を含めた場合、省略してよい。
さらに、改竄検知コード604の検証アルゴリズムは、改竄検知が可能な方法であれば、対称鍵によるものでなくてよく、署名602の例で示したように、非対象鍵を使用した電子署名でもよい。
以下、図4を参照しながら車両情報システムの処理の一例を説明する。
図4は、第1実施形態に係るリプログラミング処理を示すフローチャートである。
リプロ装置800(診断機800A、車載リプロマスター800B1、通信装置800B2、OTAセンタ800B3)と、ECU901の構成要素とが、コマンド及びデータを転送することによって、セキュア制御コード210をセキュアにリプロする。以下、リプロ装置800は、診断機800A、車載リプロマスター800B1、通信装置800B2、及びOTAセンタ800B3のうちの何れかまたはその組み合わせであり、各機器が必要に応じてECU901までの通信経路を中継するものとする。さらに、ECU901と外部との通信は、必要に応じて通信部19が中継するものとする。
以下、メインコード記憶部11のプログラムが実行主体となる記述をした場合、メイン制御部10によって当該プログラムが実行されるものとする。さらに、セキュアコード記憶部21のプログラムが実行主体となる記述をした場合、セキュア制御部20によって当該プログラムが実行されるものとする。
さらに、以下の図中の矢印は、概念的なコマンド及びデータの流れを示したものであって、通信方向及び指示方向を限定するものではない。矢印で図示されていない処理指示及びデータの流れがあってよい。
図示したシーケンスは、リプロ装置800が、リプロデータを所持した状態から開始する。
まず、リプロ装置800は、リプロ開始をメイン書込ソフト111に通知する(S101)。続いて、メイン書込ソフト111は、リプロ装置800からリプロデータを受信する(S102)。受信したリプロデータは、改竄検知のために、リプロデータ格納部121に格納される(S103)。ここで、署名602が非対称鍵による署名の場合、メイン書込ソフト111は、セキュア書込ソフト211から、メイン領域用鍵225に属する公開鍵を受け取って、署名602を検証してよい。
続いて、メイン書込ソフト111は、リプロ開始をセキュア書込ソフト211に通知する(S104)。リプロ開始の通知を受けたセキュア書込ソフト211は、リプロデータ格納部121に格納されたリプロデータの改竄検知コード604を、セキュア領域用鍵226に属する鍵によって検証する(S105)。ここで、メイン領域用鍵に属する鍵を使用して、署名602を検証してよい。さらに、改竄検知の検証が失敗した場合、所定のリトライを行った後、メイン書込ソフト111に異常を通知し、以降のリプロ処理を中止してよい。
続いて、セキュア書込ソフト211は、リプロデータをリプロデータ格納部121から取得し(S106)、セキュア領域用鍵226に属する復号用の鍵を使用して復号処理を実行する(S107)。そして、セキュア書込ソフト211は、復号化されたリプロデータをセキュアコード記憶部21の所定の箇所に書き込むことによって、セキュア制御コード210を更新する(S108)。S106からS108の処理は、セキュア領域2がこれらの処理のために確保できるワークメモリ領域の容量に応じて、繰り返し実行してもよい。なお、S108において、セキュア制御部20が動作に使用していないセキュア制御コード210を書き換えることは、図2で説明した通りである。
続いて、セキュア書込ソフト211は、S108の書き込みが正常に実行されたか否かを検証し、検証結果が正しい場合、動作コード選択情報229を、書き込んだ新しいプログラムを選択することを示す情報に書き換える(S109)。検証は、対象領域から計算した改竄検知コードと、改竄検知コード604とを比較してよいし、改竄検知コード604が電子署名の場合、その検証でよい。検証は、他の誤り検知符号または誤り訂正符号の計算に基づいて判断してよい。さらに、S108の書き込みが失敗した場合、所定のリトライを実行した後、メイン書込ソフト111に異常を通知し、以降のリプロ処理を継続しなくてよい。さらに、検証または動作コードの切り替えは、メイン書込ソフト111に所定の通知を行った後に、メイン書込ソフト111からの指示を受けたことをトリガに判断または実行してよい。
続いて、セキュア書込ソフト211は、セキュアコード記憶部21のリプロが正常に終了したことを、メイン書込ソフト111に通知する(S110)。
完了通知を受けたメイン書込ソフト111は、リプロデータ格納部121に格納されていたリプロデータを削除する(S111)。リプロデータの削除は、後述のS112の後に、リプロ装置800からの指示を受けたことをトリガに判断または実行してよい。
続いて、メイン書込ソフト111は、リプロが正常に終了したことを、リプロ装置800に通知する(S112)。なお、一連の処理中にメイン書込ソフト111が何らかの異常を検知した場合、リプロ装置800に異常を通知し、以降のリプロ処理を中止してよい。
この構成によれば、セキュア書込ソフト211がデータ認証及び復号処理を実行し、セキュア制御コード210を書き換えるように制御することによって、セキュリティの強度を保ちつつリプログラミングの柔軟性を高めることができる。
図5は、第1実施形態に係るセキュアブート処理を示すフローチャートである。セキュアブート処理は、図4のシーケンスで示したリプロ処理の結果として、ECU901が新しいプログラムで起動するときに実行される。
ECU901が起動すると(S401)、セキュア制御部20は、セキュアブート処理を開始する(S402)。セキュア制御部20は、ブートコード(図示なし)によって、自己が動作に使用するセキュア制御コード210の自己検証を実行する(S403)。検証方法は、対称鍵方式によるMACの検証、または非対称鍵方式による署名の検証でよい。S403の自己検証のときに異常を検知した場合、セキュア制御部20は、所定のエラー処理を実行してよい。エラー処理では、ログを保存して、セキュアブート処理を中止する。続いて、セキュア制御部20は、正しいことが検証された動作コードを選択し、処理主体を選択したセキュア制御コード210に移す(S404)。
続いて、セキュア制御コード210は、メイン制御部10の動作コードであるメイン制御コード110を検証し(S405)、検証結果が正常か否かを判定する(S406)。S406の判定結果が真の場合(S406:YES)、動作許可をメイン制御部10のブートコード(図示なし)に与える(S408)。S406の判定結果が偽の場合(S406:NO)、所定のエラー処理を実行する(S407)。S407のエラー処理では、ログを保存し、セキュアブート処理を中止してよい。
動作許可を得たメイン制御部10は、ブートコード(図示なし)によってブート処理を開始する(S409)。ここで、動作コードの選択が必要な場合、セキュア制御部20に動作コード選択情報229を問い合わせ(S410)、セキュア制御コード210は、動作コード選択情報229をメイン制御部10に提示する(S411)。続いて、メイン制御部10は、S410で取得した動作コード選択情報229に応じて、処理主体を所定のメイン制御コード110に移す(S412)。
この構成によれば、セキュアに管理及び更新される動作コード選択情報229を使用して、メイン制御部10は、正しい制御コードで動作することが可能となる。
なお、本実施形態において説明したステップが、実施されている最中に、何らかのエラーが発生した場合、そのエラーが車両情報システムの各構成要素の制御部に通知されてよい。
また、メイン書込ソフト111、セキュア書込ソフト211、メイン制御コード110、及びセキュア制御コード210に含まれる各プログラムは、必要に応じて、実行中の処理を示す情報を表示装置に表示してよい。これら各プログラムは、特に一連の処理の完了や、分岐処理の発生を示す情報を表示装置に表示することが望ましい。さらに、分岐処理における判定を、入力装置を介してユーザが実行してよい。
さらに、本実施形態において、各ステップ間の情報のやり取りを省略していることがある。しかし、実際には、コマンドに対するレスポンスのペアを成していることがある。さらに、各ステップ間の情報のやり取りを一組の双方向矢印で示している場合でも、このやり取りにおいて複数のコマンド及びレスポンスを含んでよい。さらに、エンティティ間でデータを送受信する内容を記述している場合でも、実際の通信は、一方のエンティティがクライアント役、他方のエンティティがサーバ役となることがある。この場合、実際の通信は、コマンド及びレスポンスを通じて実施され、その結果として前述のデータを送信してよい。
<第2実施形態>
第2実施形態に係るリプログラミング処理について説明する。尚、第2実施形態に係るリプログラミング処理は、第1実施形態に係るリプログラミング処理とは、リプロデータの送受信の構成が異なるだけであり、その他の構成は、第1実施形態に係るリプログラミング処理と同様である。したがって、第1実施形態との相違点を中心に述べる。
図6は、第2実施形態に係るリプログラミング処理を示すフローチャートである。
図6では、図4のS106に変わり、メイン書込ソフト111からセキュア書込ソフト211にリプロデータを送付する。この実施形態は、セキュア領域2にデータ受信用のワークメモリを十分確保できる場合に有効な方法であり、セキュア書込ソフト211がメインデータ記憶部12を直接参照できない場合でも、実現可能な方式である。
具体的には、メイン書込ソフト111は、S104でリプロ開始をセキュア書込ソフト211に通知した後(S104)、リプロデータをリプロデータ格納部121から取得し、セキュア書込ソフト211に送信する(S201)。セキュア書込ソフト211は、受信したリプロデータをセキュアデータ記憶部22のような適当なワークメモリ(図示なし)に保持する(S202)。S201及びS202は、構成要素間の通信帯域に応じて、所定量ずつ繰り返し行われてもよい。
セキュア書込ソフト211は、S202で受信したリプロデータに対して、S105で改竄検知を実行し、S107以降、図4で示したフローと同様の処理を実行する。
この構成によれば、セキュア領域2に十分なワークメモリを確保できる場合に、セキュア書込ソフト211がメインデータ記憶部12を直接参照できない場合でも、セキュア書込ソフト211によってデータ認証及び復号処理を実行することができる。即ち、セキュア制御コード210を書き換えるように制御することによって、セキュリティの強度を保ちつつリプログラミングの柔軟性を高めることができる。
<第3実施形態>
第3実施形態に係るリプログラミング処理について説明する。尚、第3実施形態に係るリプログラミング処理は、第1実施形態に係るリプログラミング処理とは、リプロデ対象の構成が異なるだけであり、その他の構成は、第1実施形態に係るリプログラミング処理と同様である。したがって、第1実施形態との相違点を中心に述べる。
図7は、第3実施形態に係るリプログラミング処理を示すフローチャートである。
図7では、図4のS104〜S111の前または後に(前の場合の例を図示)、メイン領域1のメインコード記憶部11をセキュア書込ソフト211から書き換える方法を示す。図6の処理では、メイン書込ソフト111は、リプロ処理をセキュア書込ソフト211に委譲するため、リプロ処理に関するセキュリティ判定を全てセキュア領域2で実施することによって、よりセキュアなリプロが可能となる。
メイン書込ソフト111は、S103の後、リプロ開始の要求を、セキュア書込ソフト211に対して実行する(S301)。なお、リプロ開始要求のS301と、リプロ開始通知のS104とは、両方の意味を含む一つのコマンドでよい。
リプロ開始の要求を受けたセキュア書込ソフト211は、リプロデータ格納部121に格納されたリプロデータの署名602を、メイン領域用鍵226に属する鍵によって検証する(S302)。セキュア書込ソフト211は、改竄検知の検証が失敗した場合、所定のリトライを行った後、メイン書込ソフト111に異常を通知し、以降のリプロ処理を中止してもよい。
続いて、セキュア書込ソフト211は、リプロデータをリプロデータ格納部121から取得し(S303)、メイン領域用鍵225に属する復号用の鍵を使用して復号処理を実行し(S304)、メインコード記憶部11の所定の箇所に書き込むことによってメイン制御コード110を更新する(S305)。S303からS305の処理は、セキュア領域2がこれら処理のために確保できるワークメモリ領域の容量に応じて、所定量ずつ繰り返し実行してよい。なお、S305において、メイン制御部10が動作に使用していないメイン制御コード110を書き換えることは、図2で説明した通りである。
続いて、セキュア書込ソフト211は、S305での書き込みが正常に実行されたか否かを検証し、検証結果が正しければ、動作コード選択情報229を、書き込んだ新しいプログラムを選択することを示す情報に書き換える(S306)。検証は、署名602から抽出したハッシュ値と、対象領域から計算したハッシュ値とを比較してよいし、署名602がMACの場合、その検証でよい。さらに、他の誤り検知符号または誤り訂正符号の計算に基づいて判断してよい。さらに、書き込みが失敗した場合、所定のリトライを行った後、メイン書込ソフト111に異常を通知し、以降のリプロ処理を中止してもよい。さらに、検証または動作コードの切り替えは、メイン書込ソフト111に所定の通知を行った後に、メイン書込ソフト111からの指示を受けたことをトリガに判断または実行してよい。
続いて、セキュア書込ソフト211は、メインコード記憶部11のリプロが正常に終了したことを、メイン書込ソフト111に通知する(S307)。
ここで、S306の動作コード切り替えと、S109の動作コード切り替えとは、メインコード記憶部11と、セキュアコード記憶部21との両方の書き換え処理が完了した後に、一纏めのステップとして実行されてよい。そのとき、S307及びS110の完了通知は、両方の意味を含む一つの通知でよい。
図7では、S301〜S307は、S104〜S110の前に実行した。しかし、S301〜S307は、S104〜S110の後に実行してよい。さらに、S104〜S110の処理を省略し、メインコード記憶部11のリプロのみを実行してよい。
図7に示した処理におけるS107、S303では、図6で示した例のように、メイン書込ソフト111がセキュア書込ソフト211にリプロデータを送信してよい。
この構成によれば、セキュア書込ソフト211がデータ認証及び復号処理を実行し、メイン制御コード110、セキュア制御コード210、またはそれらの両方を書き換えるように制御することができる。この結果、セキュリティの強度を保ちつつリプログラミングの柔軟性を高めることができる。
なお、本発明は上記した各実施形態に限定されるものではなく、様々な変形例が含まれる。上記した各実施形態は本発明を分かりやすく説明するために詳細に説明されたものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。さらに、ある実施形態の構成の一部を他の実施形態の構成に置き換えることが可能であり、さらに、ある実施形態の構成に他の実施形態の構成を加えることも可能である。さらに、各実施形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
例えば、セキュア書込ソフト211は、セキュア制御コード210Aよりもコード量が少なくてよい。この構成によれば、容量が少ない場合でも、セキュア制御コード210Aに書込みすることができる。
さらに、上記の各構成、機能、処理部、処理手段は、それらの一部または全部を、集積回路で設計することによって、ハードウェアで実現してよい。さらに、上記の各構成、機能は、プロセッサがそれぞれの機能を実現するプログラムを解釈及び実行することによって、ソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、及びファイルのような情報は、メモリ、ハードディスク、若しくはSSDの記録装置、または、ICカード、SDカード、若しくはDVDのような記録媒体に格納されてよい。
さらに、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には、殆ど全ての構成が相互に接続されてよい。
1…メイン領域、2…セキュア領域、10…メイン制御部、11…メインコード記憶部、12…メインデータ記憶部、20…セキュア制御部、21…セキュアコード記憶部、22…セキュアデータ記憶部、110A…メイン制御コード、110B…メイン制御コード、121…リプロデータ格納部、210A…セキュア制御コード、210B…セキュア制御コード、211…セキュア書込ソフト、225…メイン領域用鍵、226…セキュア領域用鍵、229…動作コード選択情報、901…ECU

Claims (9)

  1. 移動体に搭載される電子制御装置であって、
    複数のCPUと、
    複数のメモリと、を備え、
    複数のCPUのうちの一のCPUと、複数のメモリのうちの一のメモリとによってメイン領域が構成され、
    複数のCPUのうちの他のCPUと、複数のメモリのうちの他のメモリとによってセキュア領域が構成され、
    前記他のメモリは、前記他のCPUを動作させるセキュア制御情報と、当該セキュア制御情報を更新するセキュア書込ソフトウェアと、を格納し、
    前記セキュア制御情報は、前記他のメモリ内の一の領域に格納された第一セキュア制御情報と、前記他のメモリ内の他の領域に格納された第二セキュア制御情報と、を有し、
    前記他のCPUは、前記第一セキュア制御情報によって前記セキュア書込ソフトウェアを動作させて、外部から前記メイン領域を介して受信した更新情報によって前記第二セキュア制御情報を更新する電子制御装置。
  2. 前記他のメモリは、前記更新情報が第一鍵を使用して暗号化された暗号更新情報を復号する第一復号鍵機能を格納し、
    前記他のCPUは、前記第一セキュア制御情報によって前記セキュア書込ソフトウェアを動作させて、外部から前記メイン領域を介して受信した前記暗号更新情報を前記第一復号鍵を使用して復号化し、当該暗号更新情報を復号化した更新情報によって前記第二セキュア制御情報を更新する、請求項1に記載の電子制御装置。
  3. 前記他のメモリは、前記更新情報が第二鍵を使用して改竄防止された改竄防止付き更新情報を検証する検証鍵を格納し、
    前記他のCPUは、外部から前記メイン領域を介して受信した前記改竄防止付き更新情報を、前記検証鍵を使用して検証する、請求項2に記載の電子制御装置。
  4. 前記他のメモリは、当該メイン領域を制御するメイン制御部と、当該メイン制御部を動作させるメイン制御部情報と、を格納し、
    前記他のCPUは、前記第一セキュア制御情報によって前記セキュア書込ソフトウェアを動作させて、外部から受信した更新情報によって前記メイン制御情報を更新する、請求項1に記載の電子制御装置。
  5. 前記他のメモリは、前記第一セキュア制御情報及び前記第二セキュア制御情報のうち、動作に使用するセキュア制御情報を選択する動作情報選択情報を格納し、
    前記他のCPUは、前記第二セキュア制御情報を更新する場合、前記動作情報選択情報を更新する、請求項1に記載の電子制御装置。
  6. 前記セキュア書込ソフトウェアは、前記第一セキュア制御情報よりもコード量が少ない、
    請求項5に記載の電子制御装置。
  7. 前記一のメモリは、外部から受信した前記更新情報を格納する共有メモリを有し、
    前記他のCPUは、前記共有メモリから前記更新情報を受信する、請求項1に記載の電子制御装置。
  8. 前記他のメモリは、前記更新情報が第三鍵を使用して暗号化された暗号更新情報を復号する第三復号鍵を格納し、
    前記他のCPUは、前記暗号更新情報を外部から受信し、当該受信した暗号更新情報を前記第三復号鍵を使用して復号化し、当該暗号更新情報を復号化した更新情報を前記他のメモリに転送する、請求項1に記載の電子制御装置。
  9. 複数のCPUと、
    複数のメモリと、を備え、
    複数のCPUのうちの一のCPUと、複数のメモリのうちの一のメモリとによってメイン領域が構成され、
    複数のCPUのうちの他のCPUと、複数のメモリのうちの他のメモリとによってセキュア領域が構成され、
    移動体に搭載される電子制御装置のリプログラミング方法であって、
    前記一のCPUは、更新情報が第一鍵を使用して暗号化された暗号更新情報を外部から受信し、当該受信した暗号更新情報に第一復号鍵を使用して復号化し、前記暗号更新情報を復号化した更新情報を前記セキュア領域に転送し、
    前記他のCPUは、前記他のメモリ内の一の領域に格納された第一セキュア制御情報によってセキュア書込ソフトウェアを動作させて、前記メイン領域から受信した更新情報によって前記他のメモリ内の他の領域に格納された第二セキュア制御情報を更新する電子制御装置のリプログラミング方法。
JP2020553737A 2018-10-31 2019-10-11 電子制御装置、電子制御装置のリプログラミング方法 Pending JPWO2020090418A1 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018204695 2018-10-31
JP2018204695 2018-10-31
PCT/JP2019/040168 WO2020090418A1 (ja) 2018-10-31 2019-10-11 電子制御装置、電子制御装置のリプログラミング方法

Publications (1)

Publication Number Publication Date
JPWO2020090418A1 true JPWO2020090418A1 (ja) 2021-09-30

Family

ID=70462214

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020553737A Pending JPWO2020090418A1 (ja) 2018-10-31 2019-10-11 電子制御装置、電子制御装置のリプログラミング方法

Country Status (2)

Country Link
JP (1) JPWO2020090418A1 (ja)
WO (1) WO2020090418A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7472844B2 (ja) 2021-04-14 2024-04-23 株式会社デンソー 電子制御装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005284902A (ja) * 2004-03-30 2005-10-13 Net Conscious Kk 端末装置、その制御方法及び制御プログラム、ホスト装置、その制御方法及び制御プログラム、遠隔更新システム、方法及びプログラム
JP2010501953A (ja) * 2006-09-07 2010-01-21 ノキア コーポレイション セキュアモジュールアプリケーションに関連する情報の管理
US20150172255A1 (en) * 2013-12-13 2015-06-18 Nxp B.V. Updating software on a secure element
US20150199190A1 (en) * 2012-02-23 2015-07-16 Google Inc. System and method for updating firmware
JP2017021509A (ja) * 2015-07-09 2017-01-26 日本電気株式会社 記憶装置およびその制御方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160127478A (ko) * 2015-04-27 2016-11-04 삼성전자주식회사 소프트웨어 업데이트 방법 및 시스템

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005284902A (ja) * 2004-03-30 2005-10-13 Net Conscious Kk 端末装置、その制御方法及び制御プログラム、ホスト装置、その制御方法及び制御プログラム、遠隔更新システム、方法及びプログラム
JP2010501953A (ja) * 2006-09-07 2010-01-21 ノキア コーポレイション セキュアモジュールアプリケーションに関連する情報の管理
US20150199190A1 (en) * 2012-02-23 2015-07-16 Google Inc. System and method for updating firmware
US20150172255A1 (en) * 2013-12-13 2015-06-18 Nxp B.V. Updating software on a secure element
JP2017021509A (ja) * 2015-07-09 2017-01-26 日本電気株式会社 記憶装置およびその制御方法

Also Published As

Publication number Publication date
WO2020090418A1 (ja) 2020-05-07

Similar Documents

Publication Publication Date Title
US11962701B2 (en) Verifying identity of a vehicle entering a trust zone
US11361660B2 (en) Verifying identity of an emergency vehicle during operation
US10855460B2 (en) In-vehicle computer system, vehicle, key generation device, management method, key generation method, and computer program
US11323275B2 (en) Verification of identity using a secret key
KR20210131444A (ko) 물리적 복제 방지 기능을 사용한 컴퓨팅 디바이스에 대한 신원 생성
US20110138475A1 (en) Systems and method for providing trusted system functionalities in a cluster based system
US11728987B2 (en) Secure vehicular part communication
US20140040631A1 (en) Memory controller, nonvolatile memory device, nonvolatile memory system, and access device
KR20210134798A (ko) 블록 체인을 이용한 보안 모니터링
US11811743B2 (en) Online service store for endpoints
CN111404706B (zh) 应用下载方法、安全元件、客户端设备及服务管理设备
JPWO2020090418A1 (ja) 電子制御装置、電子制御装置のリプログラミング方法
EP3486832B1 (en) Semiconductor device, authentication system, and authentication method
EP3989480A1 (en) Virtual subscriber identification module and virtual smart card
US20220131847A1 (en) Subscription Sharing among a Group of Endpoints having Memory Devices Secured for Reliable Identity Validation
US20220129390A1 (en) Monitor Integrity of Endpoints having Secure Memory Devices for Identity Authentication
US20220129389A1 (en) Online Security Services based on Security Features Implemented in Memory Devices
US20220129259A1 (en) Endpoint Customization via Online Firmware Store
US20240020386A1 (en) Control apparatus
CN115021950A (zh) 用于端点的在线服务商店
CN115037491A (zh) 具有被保护用于可靠身份验证的存储器装置的端点群组中的订阅共享
CN115037494A (zh) 无需预先定制端点的云服务登入
CN115037493A (zh) 监测具有安全存储器装置的端点的完整性以用于身份认证

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210416

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220524

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220721

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20220809