WO2009147734A1 - 車両、メンテナンス装置、メンテナンスサービスシステム及びメンテナンスサービス方法 - Google Patents

Abstract

　車両（１）の電子制御装置（１０，３１）をアクセスする車外装置、例えばメンテナンス装置（６０）の正当性を車両が認証処理を行って判定するものである。車両はその判定結果に従ってメンテナンス装置による電子制御装置へのアクセス可能な範囲を決定する。認証には例えばメンテナンス装置と車両の双方で認証用マイクロコンピュータを用いる。これにより、車外装置による車両の電子制御装置に対する不所望なアクセスを抑止することができる。

Description

車両、メンテナンス装置、メンテナンスサービスシステム及びメンテナンスサービス方法

　本発明は車両とそのメンテナンス装置との認証技術に関し、例えば、自動車のメンテナンスサービスに適用して有効な技術に関する。

　従来、データ保護の等の観点からは様々な分野でセキュリティ対策が行われている。例えば、 (1)IDカード、(2)クレジットカード、(3)ネットワーク認証、(4)映像、音楽コンテンツの保護において施されている。これらのセキュリティ対策として、パスワードの利用、暗号化データを用いた送受信、IDカードの保持等の手段を用いた認証等の手段が講じられている。しかし、パスワード及び暗号鍵の漏洩、IDカードの盗難等によって簡単にセキュリティシステムが崩壊してしまうものもある。このため、いかに強固なセキュリティシステムを構築するかが課題となっている。特に人命に直接関わる分野ではより強固なセキュリティが要求される傾向にある。

　民生分野ではバッテリ認証やデジタル機器のアクセサリ認証等に、セキュリティが強固な認証チップ（認証用のマイクロコンピュータ）を用いた例がある。これらは、お互いの機器を認証する程度に止むものである。そのような技術については特許文献１，２がある。

　自動車関連の認証技術として、特許文献３には自動車の車載ネットワークを共有する電子制御装置間の認証技術について記載される。特許文献４には自動車のメンテナンス情報をネットワークを用いて顧客、整備工場及びリース会社間で共有し、認証を行ってセキュリティを確保する記載がある。特許文献５には自動車の車載ＬＡＮと車外装置との間で認証を行って通信を行う技術について記載される。この自動車関連技術において認証用マイクロコンピュータを用いて認証処理を行うことについて記載はない。

特開2005-151368号公報 特開2004-310387号公報 特開2007-214696号公報 特開2007-66116号公報 特開2003-046536号公報

　近年、自動車に搭載されるＥＣＵ(Electronic Control Unit)の数が増加しており、自動車の電子制御化が進んでいる。それに伴い、エンジン、ブレーキ、エアバック、スピードリミッタ等の重要な制御もＥＣＵの制御下におかれ、自動車メーカーが意図しないＥＣＵのプログラム書き換えにより発生する故障、事故が人命に関わってくる。さらに、ＥＣＵのプログラムが変更された時期、場所が特定できないため自動車メーカーへの訴訟問題に発展する事もある。そのため、不正なＥＣＵの書き換えを防ぐ手段、変更箇所や変更を行った場所を特定する技術が所望されると考えられる。この点について上記特許文献は考慮されていない。

　本発明の目的は、車外装置による車両の電子制御装置に対する不所望なアクセスを抑止する技術を提供することにある。

　本発明の別の目的は車両の電子制御装置に対する高度なセキュリティ管理を容易に実現できる技術を提供することにある。

　本発明の前記並びにその他の目的と新規な特徴は本明細書の記述及び添付図面から明らかになるであろう。

　本願において開示される発明のうち代表的なものについて簡単に説明すれば下記のとおりである。

　すなわち、車両の電子制御装置をアクセスする車外装置例えばメンテナンス装置の正当性を車両が認証処理を行って判定する。車両はその判定結果に従ってメンテナンス装置による電子制御装置へのアクセス可能な範囲を決定する。認証には例えばメンテナンス装置と車両双方で認証用マイクロコンピュータを用いる。

　本願において開示される発明のうち代表的なものによって得られる効果を簡単に説明すれば下記の通りである。

　すなわち、車両が詐害装置の認証を行うから、車外装置による車両の電子制御装置に対する不所望なアクセスを抑止することができる。

　認証用マイクロコンピュータを用いて必要な認証を行うことにより、車両の電子制御装置に対する高度なセキュリティ管理の実現も容易になる。

図１は外部接続用の電子制御ユニットとメンテナンス装置とのインタフェース部分の構成を例示するブロックダイヤグラムである。 図２は電子制御装置を主体として自動車の構成を例示するブロックダイヤグラムである。 図３は認証チップのＩＤ番号（認証チップＩＤ番号）によるセキュリティレベルの説明図である。 図４は自動車とメンテナンス装置間での認証処理の基本形態を例示するフローチャートである。 図５は認証チップを用いない場合の図４に対する比較例を示すフローチャートである。 図６は図４の認証処理の更に具体的な処理手順を示すフローチャートである。 図７はメンテナンス装置と自動車メーカーのオンラインサーバから成るメンテナンスサービスシステムの基本形態を例示するブロックダイヤグラムである。 図８はメンテナンスサービスシステムにおける認証処理の具体的な一例を示すフローチャートである。 図９は自動車のＥＣＵのそれぞれにも認証チップを搭載した例を示すブロックダイヤグラムである。 図１０は個別ＥＣＵの認証チップを用いた認証処理方法を例示するフローチャートである。

符号の説明

　１　自動車
　１０～１４　電子制御装置
　１５　駆動系の車載ネットワーク（ＰＴＣＡＮ）
　２０～２２　電子制御装置
　２３　ボディー系の車載ネットワーク（ＢＤＣＡＮ）
　３０～３１　電子制御装置
　３２　オーディオビデオ系の車載ネットワーク（ＡＶＣＡＮ）
　４０　車外接続用の電子制御装置（ＧＴＷＥＣＵ）
　５０　無線装置
　６０　メンテナンス装置
　７０　メモリ回路
　８０　メンテナンス支援制御用のマイクロコンピュータ
　８００　CPU
　８０１　メモリ
　８０２　８０２
　９０　自動車メーカーのオンラインサーバ
　９００　車両情報格納部
　９０１　メンテナンス情報格納部
　９０２　暗号鍵生成部
　９０３　認証システム部
　１００　認証チップ
　４００，６００　認証用のマイクロコンピュータ（認証チップ）
　４００A，６００A　認証用のマイクロコンピュータ（認証チップ）
　４０１，６０１　中央処理装置（ＣＰＵ）
　４０２，６０２　メモリ
　４０３，６０３　暗号化回路
　４０４，６０４　復号回路
　４０５，６０５　乱数発生回路
　４０６，６０６　インタフェース回路（MIF）
　４０７，６０７　インタフェース回路（NIF）
　４０８，６０８　インタフェース回路（RIF）

１．実施の形態の概要
　先ず、本願において開示される発明の代表的な実施の形態について概要を説明する。代表的な実施の形態についての概要説明で括弧を付して参照する図面中の参照符号はそれが付された構成要素の概念に含まれるものを例示するに過ぎない。

　〔１〕本発明に係る車両は、車両の動作を電子的に制御するために配置された複数の電子制御装置（１０～１３、２０～２２、３０～３１）と、前記電子制御装置が接続された車載ネットワーク（１５、２３、３２）と、前記車載ネットワークを車外のメンテナンス装置（６０）とインタフェース可能にする車外接続用電子制御装置（４０）とを有する。前記車外接続用電子制御装置は、前記メンテナンス装置による前記電子制御装置へのアクセス可能な範囲を決定するために前記メンテナンス装置に対する認証処理を行う。

　特定の車両にとって、接続可能なメンテナンス装置は任意の正規ディーラが保有するもの、協力ディーラが保有するもの、其れ以外のサービス工場が保有するもの等、多岐に亘る。この事情の下において、車両がメンテナンス装置の認証を行うから、メンテナンス装置による車両の電子制御装置に対する不所望なアクセスを抑止することができる。

　〔２〕項１の車両において、前記車外接続用電子制御装置は前記認証処理を行うための認証用マイクロコンピュータ（４００）を有し、前記認証用マイクロコンピュータは前記メンテナンス装置が保有する認証用マイクロコンピュータ（６００）との間で前記認証処理を行う。車両とメンテナンス装置のそれぞれが保有する認証用マイクロコンピュータを用いて前記認証処理を行うから、物理アタック、情報リークアタック、誤動作アタックに強くセキュリティが強固になる。また、前記認証用マイクロコンピュータによって乱数発生や公開鍵暗号方式の利用も可能になり、互いに認証用マイクロコンピュータを認証する事により、ソフトウェアを介在したシステムやＬＳＩのコピーによるなりすましを防ぐ事が可能になる。さらに、暗号鍵の配布方法、パラメータ、ID番号の管理等を工夫する事により認証される側に複数のセキュリティレベルを付与する事も可能になる。認証される側に複数のセキュリティレベルを付与する事により、セキュリティレベルに応じて認証される側（メンテナンス装置）から認証する側（車両側）へのアクセス範囲に制限をかける事が可能となる。これにより、セキュア認証チップと称されるような認証用マイクロコンピュータを介したＬＳＩへのアクセス範囲を制限し、認証用マイクロコンピュータを用いてアクセス履歴(ログ)を暗号化して車両内の不揮発性メモリに保存する事により、自動車のメンテナンス性能を向上させる事も可能になる。

　〔３〕項２の車両において、前記電子制御装置は認証用マイクロコンピュータ（１００）を備え、相互に一方の電子制御装置が保有する認証用マイクロコンピュータは他の電子制御装置が保有する認証用マイクロコンピュータとの間で相互の正当性を判別するための認証処理を行う。不正なＬＳＩコピーによるなりすましを抑制することができる。

　〔４〕項３の車両において、前記電子制御装置が保有する認証用マイクロコンピュータ（１００）は動作電源の投入に応答して前記認証処理を開始する。電源投入毎になりすましを監視することができる。

　〔５〕項１の車両において、前記車外接続用電子制御装置はこれに接続された前記メンテナンス装置の正当性を前記認証処理により確認したとき、当該メンテナンス装置から与えられるＩＤコードに基づいて制限すべきアクセス範囲を決定する。ＩＤコードを用いてセキュアレベルによる制御を容易に実現することができる。

　〔６〕項５の車両において、前記メンテナンス装置によるメンテナンスの履歴を保持するメモリ（７０，４０２）を更に有し、前記メモリは認証処理結果に応じたアクセス範囲の制御の対象にされる。メンテナンスの履歴情報を暗号化し、セキュリティを確保しながら車両に保持させることができるから、メンテナンスの履歴情報の管理が簡単になる。

　〔７〕本発明の別の観点による車両は、車両の動作を電子的に制御するために配置された複数の電子制御装置と、前記電子制御装置が接続された車載ネットワークと、前記車載ネットワークを車外のメンテナンス装置とインタフェース可能とする車外接続用電子制御装置とを有し、前記車外接続用電子制御装置は認証用マイクロコンピュータを有し、当該認証用マイクロコンピュータは、前記メンテナンス装置による前記電子制御装置へのアクセスの可否を決定するために前記メンテナンス装置に対する認証処理を行う。

　〔８〕本発明の別の観点による車両は、車両の動作を電子的に制御するために配置された複数の電子制御装置と、前記電子制御装置が接続された車載ネットワークと、前記車載ネットワークを車外装置とインタフェースするための車外接続用電子制御装置とを有し、前記車外接続用電子制御装置は、車外装置による前記電子制御装置へのアクセスの可否を決定するために前記車外装置に対する認証処理を行う。

　〔９〕本発明に係るメンテナンス装置は、車両の動作を電子的に制御する複数の電子制御装置を搭載した車両のメンテナンスを支援するものであって、前記車両の車外接続用電子制御装置に接続可能な認証用マイクロコンピュータと、メンテナンス支援制御用のマイクロコンピュータとを有する。前記認証用マイクロコンピュータはこれに接続された車両の車外接続用電子制御装置との間で相互に認証処理を行う。前記メンテナンス支援制御用のマイクロコンピュータは、前記車両の車外接続用電子制御装置による認証処理の結果に従って、当該車両の電子制御装置に対するアクセス可能な範囲が決定される。

　これにより、上記メンテナンス装置に対応される車両は、上記メンテナンス装置とはセキュリティ方式の異なる別のメンテナンス装置によってその電子制御装置がアクセスされてしまうことを防止することができる。

　〔１０〕項９のメンテナンス装置において、前記認証用マイクロコンピュータはこれに接続された車両の正当性の判定結果を前記メンテナンス支援制御用のマイクロコンピュータに返す。これにより、車両が電子制御装置に対して行うアクセス制限に反してメンテナンス装置がアクセスしようとする無駄を容易に排除することができる。

　〔１１〕本発明に係るメンテナンスサービスシステムは、車両の動作を電子的に制御する複数の電子制御装置を搭載した車両のメンテナンスを支援するメンテナンス装置と、前記車両のメンテナンス情報を管理するオンラインサーバ（９０）とを有する。前記車両と前記メンテナンス装置との間の認証処理、前記メンテナンス装置と前記オンラインサーバとの間の認証処理、及び前記オンラインサーバと前記車両との間の認証処理により、前記車両、メンテナンス装置、及びオンラインサーバの正規性が確認されることを条件に、前記メンテナンス装置はオンラインサーバのメンテナンス情報のアクセスが可能にされる。前記メンテナンス装置は前記車両との間の認証処理結果に従って、当該車両の電子制御装置に対するアクセス可能な範囲が決定される。

　上記同様に、メンテナンス装置による車両の電子制御装置に対する不所望なアクセスを抑止することができる。さらに、メンテナンスの履歴情報を、セキュリティを確保しながらオンラインサーバで一元管理することができる。

　〔１２〕項１１のメンテナンスサービスシステムにおいて、前記メンテナンス装置は前記オンラインサーバと相互に認証処理を行うための認証用マイクロコンピュータ（６００Ａ）を保有し、オンラインサーバは前記車両が保有する認証用マイクロコンピュータ（４００Ａ）と認証処理を行い、前記メンテナンス装置の認証用マイクロコンピュータは前記車両が保有する認証用マイクロコンピュータと認証処理を行う。

　〔１３〕本発明に係るメンテナンスサービス方法は、車両の動作を電子的に制御する複数の電子制御装置を搭載した車両のメンテナンスを支援するメンテナンス装置と、前記車両のメンテナンス情報を管理するオンラインサーバとを用いる方法であって、第１乃至第５処理を含む。第１処理は前記車両と前記メンテナンス装置との間で認証処理を行う処理である。第２処理は前記メンテナンス装置と前記オンラインサーバとの間で認証処理を行う処理である。第３処理は前記オンラインサーバ装置と前記車両との間で認証処理を行う処理である。第４処理は前記第１処理乃至第３処理よって前記車両、メンテナンス装置、及びオンラインサーバの正規性が確認されることを条件に、前記メンテナンス装置がオンラインサーバのメンテナンス情報をアクセスする処理である。第５処理は前記メンテナンス装置が前記車両との間の認証処理結果に従って決定された範囲で当該車両の電子制御装置をアクセスする処理である。

　上記同様に、メンテナンス装置による車両の電子制御装置に対する不所望なアクセスを抑止することができる。さらに、メンテナンスの履歴情報を、セキュリティを確保しながらオンラインサーバで一元管理することができる。

　〔１４〕項１３のメンテナンスサービス方法において、前記メンテナンス装置は前記オンラインサーバと相互に認証処理を行うための認証用マイクロコンピュータを保有し、オンラインサーバは前記自動車が保有する認証用マイクロコンピュータと認証処理を行い、前記メンテナンス装置の認証用マイクロコンピュータは前記自動車が保有する認証用マイクロコンピュータと認証処理を行う。

　２．実施の形態の詳細
　実施の形態について更に詳述する。以下、本発明を実施するための形態を図面に基づいて詳細に説明する。なお、発明を実施するための形態を説明するための全図において、同一の機能を有する要素には同一の符号を付して、その繰り返しの説明を省略する。

　《自動車》
　図２には電子制御装置を主体として自動車１の構成が例示される。電子制御装置(ＥＣＵ)は自動車の動作を電子的に制御するための制御回路であり、例えば、自動車の駆動系、シャーシ系等を制御するために電子制御装置１０～１４等が設けられ、駆動系、シャーシ系等の車載ネットワーク（ＰＴＣＡＮ）１５に接続される。また、自動車のボディー系を制御するために電子制御装置２０～２２等が設けられ、ボディー系の車載ネットワーク（ＢＤＣＡＮ）２３に接続される。また、自動車のオーディオビデオ系を制御するために電子制御装置３０～３１等が設けられ、オーディオビデオ系の車載ネットワーク（ＡＶＣＡＮ）３２に接続される。更に前記車載ネットワーク１５，２３，３２を自動車の外部とインタフェースするため車外接続用の電子制御装置（ＧＴＷＥＣＵ）４０が設けられる。

　電子制御装置１０はエンジンのスロットルバルブやエアーバルブ等の制御を行うエンジン制御用の電子制御装置（ＥＧＮＥＣＵ）である。電子制御装置１１はパワーステアリングの制御を行う電子制御装置（ＰＷＳＥＣＵ）である。電子制御装置１２はサスペンションの制御を行う電子制御装置（ＳＳＰＥＣＵ）である。電子制御装置１３はトランスミッションの制御を行う電子制御装置（ＴＲＳＥＣＵ）である。電子制御装置１４はＡＢＳの制御を行う電子制御装置（ＡＢＳＥＣＵ）である。電子制御装置２０はパワーウインドウの制御を行う電子制御装置（ＰＷＮＥＣＵ）、電子制御装置２１はエアコンの制御を行う電子制御装置（ＡＲＣＥＣＵ）、電子制御装置２２はインパネの制御を行う電子制御装置（ＩＮＰＥＣＵ）である。電子制御装置３０はＥＴＣの制御を行う電子制御装置（ＥＴＣＥＣＵ）、電子制御装置３１はオーディオ等の制御を行う電子制御装置（ＡＤＯＥＣＵ）である。また、図示されないが、エアバッグ等の安全系もネットワークを構築しており、本発明を適用してよい。それぞれの電子制御装置はＣＰＵ及びメモリ等を備え、ＣＰＵのプログラム制御によって所要の機能を実現している。

　車載ネットワーク１５，２３，３２は例えばＩＳＯ１１８９８として標準化されている一つの車載ネットワークプロトコルであるＣＡＮ（Controller Area Network）に準拠したネットワークである。

　前記車外接続用の電子制御装置（ＧＴＷＥＣＵ）４０は、移動体通信やその他の無線通信プロトコルに従って無線通信を行う無線通信装置５０とインタフェースされると共に、車検や定期点検等に際して正規のディーラやその他の自動車修理工場において自動車のメンテナンスを支援するメンテナンス装置６０とインタフェース可能にされ、そのような車外装置とＥＣＵとを接続するゲートウェイ制御を行う。特に車外接続用の電子制御装置４０は、前記メンテナンス装置６０による前記電子制御装置１０～１４，２０～２２，３０～３１へのアクセス可能な範囲を決定するために前記メンテナンス装置６０に対する認証処理を行う。車両がメンテナンス装置に対して認証処理を行う意義は以下の通りである。すなわち、自動車メーカーが意図しないＥＣＵのプログラム書き換えが行われると、それによって事故の発生する虞があり、ＥＣＵのプログラムからだけでは変更された時期や場所を明確に特定することは難しいから、不正なＥＣＵの書き換えを防ぐことを第一義とする。以下、車両による認証処理の詳細を説明する。

　《認証チップ》
　図１には外部接続用の電子制御ユニット４０とメンテナンス装置６０とのインタフェース部分の構成が例示される。自動車１の外部接続用の電子制御ユニット４０は認証用のマイクロコンピュータ（以下単に認証チップとも称する）４００を有し、メンテナンス装置６０は認証チップ６００を有する。認証チップ４００，６００はそれぞれ単一の半導体集積回路として構成され、表面保護膜の剥離等の物理的破壊によって回路パターンから情報を読み取るような物理アタック、電流解析等による情報リークアタック、積極的に誤動作させることによる誤動作アタック等に対する公知の対策が施され、また、一般には、乱数発生や公開鍵暗号方式を利用して秘匿性や正規性を保証するための公知のプログラム処理を行うことが可能にされる。ここでは、プログラム処理によって互いに認証チップを認証する事により、ソフトウェアを介在したシステムやＬＳＩのコピーによるなりすまし等を防ぎ、さらに、認証される側にＩＤ番号を用いて複数のセキュリティレベルを付与する事により、セキュリティレベルに応じて認証される側（メンテナンス装置）から認証する側（車両側）へのアクセス範囲に制限をかける事を可能とするものである。

　認証チップ４００は、中央処理装置（ＣＰＵ）４０１、ＳＲＡＭ等の揮発性メモリ及びフラッシュメモリ等の不揮発性メモリを総称するメモリ４０２、暗号化回路４０３、暗号を復号する復号回路４０４、乱数発生回路４０５、メンテナンス装置６０に接続されるインタフェース回路（ＭＩＦ）４０６、車載ネットワーク１５，２３，３２に接続されるインタフェース回路（ＮＩＦ）４０７、無線通信装置に接続されるインタフェース回路（ＲＩＦ）４０８が設けられる。ＣＰＵ４０１はメモリ４０２が保有するプログラムを実行して認証処理やデータ転送等のデータ処理を行う。特に制限されないが、車載ネットワーク１５，２３，３２にはＥＣＵだけでなくメモリ回路７０も単体で接続されている。メモリ４０２及びメモリ回路７０はＥＣＵのアクセス履歴等の格納に利用される。アクセス履歴として、どのＥＣＵにアクセスしたかを示すアクセスアドレス、アクセス時間を示すタイムスタンプ、書き換えたプログラムを判別できるプログラムコード、及びアクセス主体となるメンテナンス装置の装置ＩＤ等とされ、そのアクセス主体はメンテナンス装置となる。

　認証チップ６００は、中央処理装置（ＣＰＵ）６０１、ＳＲＡＭ等の揮発性メモリ及びフラッシュメモリ等の不揮発性メモリを総称するメモリ６０２、暗号化回路６０３、暗号を復号する復号回路６０４、乱数発生回路６０５、自動車１の車外接続用電子制御装置４０に接続されるインタフェース回路（ＡＩＦ）６０６、メンテナンス支援制御用のマイクロコンピュータ８０に接続されるインタフェース回路（μＩＦ）６０７、及びその他のインタフェース回路（ＯＩＦ）６０８が設けられる。ＣＰＵ６０１はメモリ６０２が保有するプログラムを実行して認証処理やデータ転送等のデータ処理を行う。特に制限されないが、メンテナンス支援制御用のマイクロコンピュータ８０はＣＰＵ８００、メモリ８０１、インタフェース回路８０２等を有し、図示を省略するセンサからの出力やキーボードからの入力データを受取って、自動車のメンテナンスに必要なデータ処理を行い、必要に応じて認証チップ６００を介して自動車１のＥＣＵ１０～３１が保有するメモリの書き換えや、メモリ回路７０のアクセスを行う。

　メンテナンス装置６０の認証チップ６００にはＩＤ番号（認証チップＩＤ番号）が付与される。図３に例示されるように、自動車メーカー向け、ディーラ向け、ディーラ認定工場向け、優良修理工場向け、普通修理工場向けに分けてＩＤ番号が区分され、その区分毎にセキュリティレベルが相違される。自動車メーカー向けのセキュリティレベルが最も高く、レベル１０とされる。セキュリティレベルが高いほど自動車のＥＣＵに対するアクセス制限が少なくされる。レベル１０のセキュリティレベルを有するメンテナンス装置６０は自動車のＥＣＵに対してフルアクセスすることができる。図１に従えば、ＥＣＵ１０～３１及びメモリ回路７０に対して、全面的にリード・ライトアクセス可能にされる。それよりも低いセキュリティレベルの場合には、全てのＥＣＵ１０～３１及びメモリ回路７０に対するフルアクセスは抑制される場合がある。アクセス制限の制御を行うのは、第一義的には、認証する側の自動車の認証チップ４００が認証処理にて把握する認証チップＩＤ番号に基づいて行う。認証チップＩＤ番号は例えばメンテナンス装置の不揮発性メモリに対してその工場出荷時に書き込まれる。アクセス制限の具体的な手法については特に制限されないが、メンテナンス装置６０から供給されるアクセスコマンドで指定されるアクセス対象アドレスに対するアドレス管理をセキュリティレベル毎に分けて行うようにすればよい。例えば、そのようアドレス管理をプログラムに従ってＣＰＵ４０１が行うものとし、どのアドレス管理プログラムを用いるかはメンテナンス装置６０から取得したセキュリティレベルによって決定する。

　《自動車とメンテナンス装置間での認証処理》
　図４には自動車とメンテナンス装置間での認証処理の基本形態が例示される。自動車１の認証チップ４００にメンテナンス装置６０の認証チップ６００が接続された場合、それぞれの認証チップ４００，６００がお互いの認証チップの認証を行う。まず初めに、認証チップ４００が乱数発生回路４０５及び暗号化回路４０３を使用し認証チップ６００が正規のチップであるかを確認するための認証確認（質問）を行う(Ｓ１)。この認証確認はインタフェース回路４０６と６０６を通して暗号化通信で行われる。暗号化には例えば公開鍵暗号方式が採用される。次に認証チップ６００が復号回路６０４を用いて認証確認（質問）の解読を行う(Ｓ２)。ここで、解読用の暗号鍵が合わない場合は暗号解読ができないため認証失敗となる。暗号が解読されると次に、乱数発生回路６０５及び暗号化回路６０３を用いて認証確認（質問）に対する回答を作成し、認証チップ４００へ送信する(Ｓ３)。そして、認証チップ４００でも復号回路４０４、暗号鍵を用いてその回答を解読し、認証チップ６００が正規の製品であるか否か(Ｓ４)、並びに認証チップ６００のセキュリティレベルの確認を行う(Ｓ５)。確認されたセキュリティレベルがレベル１０であれば、メンテナンス装置６０が搭載するメンテナンス支援制御用のマイクロコンピュータ８０は自動車のＥＣＵ１０～３１及びメモリ回路７０に対してフルアクセスを行うことができる。確認されたセキュリティレベルがレベル１０よりも低ければ、それに応じて認証チップ４００はメンテナンス支援制御用のマイクロコンピュータ８０によるＥＣＵ１０～３１及びメモリ回路７０のアクセスを制限する。要するに、アクセス制限のあるアクセス要求に対してこれを拒絶する、例えば当該アクセス要求を車載ネットワーク１５，２３，３２に伝達せず、アクセス要求元にエラーコードを返す。例えばセキュリティレベル７の普通修理工場のメンテナンス装置に対しては、ＥＣＵ１０とメモリ回路７０へのアクセスを拒絶する。

　図４のステップＳ２における質問の解読、Ｓ４における回答の解読は認証チップ４００，６００を用いたＲＳＡ暗号方式によるような堅牢な認証方式とされるから、完全コピーでない限り、代替チップやコピーチップによるなりすましも防止でき、認証チップを解析しコピーする事は実質不可能であるから、認証処理には高い信頼性が保障される。認証チップ４００，６００を用いない場合には図５のように単なるソフトウェアによる暗号化復号による処理となり、高い信頼性を期待することはできない。

　図６には上記認証処理の更に具体的な例が示される。認証する側（自動車）と認証される側（メンテナンス装置）を接続すると、まず認証される側より認証する側へチャレンジコードの送信要求を出す(Ｓ１１)。チャレンジコードとは乱数発生器を用いて生成された文字列である。チャレンジコードの送信要求を受けた認証する側では、乱数発生回路４０５を用いてチャレンジコードを生成し(Ｓ１２)、認証される側へ送信する(Ｓ１３)。このとき、必要に応じて当該自動車に搭載された認証チップ４００のＩＤ番号等のデータも同時に送信する。次にチャレンジコードを受信した認証される側では、自身の暗号化回路６０３を用いてチャレンジコードを暗号化し(Ｓ１４)、認証する側からの送信要求（Ｓ１５）に応答して当該暗号化されたチャレンジコードを送信する(Ｓ１６)。そして、認証する側がこの暗号化されたチャレンジコードを、暗号鍵を用いて解読し、送信したチャレンジコードが一致するか否かを判定し、一致であれば認証する側は認証される側が正規であると判別して相手を認証する（Ｓ１７）。

　今度は認証する側より認証される側へチャレンジコードの送信要求を出し(Ｓ１８)、上記ステップＳ１２乃至Ｓ１７と同様のステップＳ１９乃至Ｓ２４の処理を繰り返すことによって、認証チップ４００と６００の相互認証が完了する。特に、ステップＳ２０で出力するＩＤ番号は図３で説明したメンテナンス装置における認証チップ６００の認証チップＩＤ番号とされる。ステップＳ１１において認証チップ４００は認証チップ６００から受取った認証チップＩＤ番号に基づいて認証チップ６００のセキュリティレベルを判定し、これに基づいて、認証する側の認証チップ４００はメンテナンス装置６０からのアクセスに対する許容範囲を認識する。尚、そのような認証チップ６００の認証チップＩＤ番号はステップＳ１４においてチャレンジコードと一緒に暗号化し、これをステップＳ１６で一緒に送信し、Ｓ１７でセキュリティレベルの判定を行ってもよい。

　自動車とメンテナンス装置のそれぞれに認証チップを搭載し、自動車でメンテナンス装置の認証を行うことにより、非正規のメンテナンス装置によるＥＣＵの書換えやアクセスを拒むことができる。また、メンテナンス装置に搭載された認証チップのセキュリティレベルに応じて、メンテナンス装置によるＥＣＵに対するアクセス範囲を特定の範囲に制限することが可能になる。従って、自動車ディーラのみがアクセスできる範囲、修理工場がアクセスできる範囲等の区別する事ができ、ＥＣＵへの書き換え権限の範囲や、メモリに書き込まれたメンテナンス履歴のアクセス範囲を制限する事ができる。これにより、自動車メーカーが意図しないＥＣＵのプログラム変更等を防止することができる。また、メンテナンス装置に搭載されたセキュア認証チップの出荷先を管理しておく事で、「いつ」、「どこで」、「誰が」自動車に搭載されているＥＣＵのプログラム変更、データ領域へのアクセス等を行ったかが分かるようになる。

　《メンテナンスサービスシステムにおける認証処理》
　図７にはメンテナンス装置と自動車メーカーのオンラインサーバから成るメンテナンスサービスシステムの基本形態が例示される。

　自動車メーカーのオンラインサーバ９０は前記自動車のメンテナンス情報を管理するためのものであり、車両情報格納部９００、メンテナンス情報格納部９０１、暗号鍵生成部９０２、及び認証システム部９０３を有する。認証システム部９０３は認証チップの暗号化通信を認識する。暗号鍵生成部９０２は認証チップ６００Ａへの暗号化鍵を作成する。車両情報格納部９００はメンテナンスの対象となる自動車の車両情報が格納される。メンテナンス情報格納部９０１はメンテナンスを行った箇所のメンテナンス情報を保管して管理する。自動車１の認証チップ４００Ａはインタフェース回路４０８を介してオンラインサーバ９０に接続され、オンラインサーバと通信可能にされる点が図１の認証チップ４００と相違される。メンテナンス装置６０の認証チップ６００Ａはインタフェース回路６０８を介してオンラインサーバ９０に接続され、オンラインサーバと通信可能にされる点が図１の認証チップ６００と相違される。

　オンラインサーバ９０を用いた自動車のメンテナンスを行うには、前記自動車１と前記メンテナンス装置６０との間の認証処理、前記メンテナンス装置６０と前記オンラインサーバ９０との間の認証処理、及び前記オンラインサーバ９０と前記自動車１との間の認証処理により、前記自動車１、メンテナンス装置６０、及びオンラインサーバ９０の正規性が確認されることを条件とする。この条件が成立すると、前記メンテナンス装置６０はオンラインサーバ９０のメンテナンス情報格納部９０１のアクセスが可能にされる。前記自動車はメンテナンス装置６０との間の認証処理結果に従って、当該自動車１の電子制御装置１０～３１およびメモリ回路７０に対するアクセス可能な範囲を制限する。その制限の内容は上述の通りメンテナンス装置６０の認証チップ６００Ａに割当てられているＩＤ番号に従って決定される。

　メンテナンス装置６０はネットワークＮＥＴ１を介してオンラインサーバ９０に接続される。自動車１は別のネットワークＮＥＴ２を介してオンラインサーバ９０に接続可能な場合もあれば、電波の影響により接続不可能な場合もある。自動車が物理的に無線インタフェースを持たない場合もある。自動車１がネットワークＮＲＴ２を介してオンラインサーバ９０に接続不可能な場合、自動車１はメンテナンス装置６０を経由してネットワークサーバ９０に接続可能とされる。

　図８にはメンテナンスサービスシステムにおける認証処理の具体的な一例が示される。まず、メンテナンス装置６０とオンラインサーバ９０との認証をチャレンジコードを用いて行う。図６と同様の認証方式によりメンテナンス装置６０とオンラインサーバ９０との間で認証が確立できたとときは、メンテナンス装置６０より時間同期信号を送信し、自動車１、メンテナンス装置６０、オンラインサーバ９０それぞれにおいて時間同期と同一アルゴリズムを用いてワンタイムパスワードを生成する。このパスワードは時間の概念を含んで生成しているため、作成する度にパスワードは変化する。これにより、自動車１、メンテナンス装置６０、オンラインサーバ９０で同一のワンタイムパスワードを保持することができる。次にこのパスワードを用いて図６と同様の認証方式で自動車１とメンテナンス装置６０間の認証を行い、さらに図６と同様の認証方式で自動車１とオンラインサーバ９０間の認証を行う。これにより、自動車１とメンテナンス装置６０とオンラインサーバ９０と間の認証を確立することが可能になる。

　ネットワークサーバを用いるメンテナンスサービスシステムによれば、自動車メーカー自身で暗号鍵の管理ができ、メンテナンス頻度、箇所等のデータ管理も行う事ができる。暗号鍵をメンテナンスする度に配布する事ができ、暗号鍵に変更があった場合の変更が容易になる。また、ワンタイムパスワードの発行も行う事ができる。これにより修理履歴等の一括管理を自動車メーカーで容易に行う事ができ、自動車のメンテナンス性を向上させることができる。

　《個別ＥＣＵに認証チップを搭載》
　図９には自動車のＥＣＵ１０～１４、２０～２２、３０～３１のそれぞれにも認証チップ１００を搭載した例が示される。認証チップ１００は認証チップ４００と同様に構成される。それぞれの認証チップ１００、４００は車載ネットワーク１５，２３，３２を介して相互に接続可能にされる。認証チップ１００
はＥＣＵの正規性の判定に用いられる。

　図１０にはＥＣＵの認証チップを用いたＥＣＵの認証処理方法が例示される。ここでは説明を簡単にするために４個のＥＣＵの場合について説明する。自動車１のエンジン始動時、即ちＥＣＵに対する動作電源投入時に、各ＥＣＵが正規のものであるかを確認する。図１０に示すように、ＥＣＵの認証は一対のペアで同時に開始する。ＥＣＵ１とＥＣＵ２のペア、ＥＣＵ３とＥＣＵ４のペアについて、ペア毎に図６と同様の方式で認証処理を行う。次に、先に認証が確立したペアの一方どうしで再度新たなペアを作って、同様の認証処理を行い、これを順次繰り返すことによって全てのＥＣＵが正規のものであるか否かを確認する事ができる。どこかで認証エラーを生じたときは、例えば認証エラーになったＥＣＵの番号データを内部に格納し、エラーコードを表示して、エンジンの停止などの処理を行う。

　ＥＣＵの不正改造はＥＣＵのプログラムの書き換えだけでなく、ＥＣＵの置き換えや新たにサブＥＣＵを追加する事によりシステムそのものを変えてしまう手法も存在する。個別ＥＣＵに認証チップを搭載することにより、ＥＣＵ間のアクセスも認証チップを介して行うシステムが構築できる。これによりＥＣＵの置き換え、新たにＥＣＵを追加する等のシステムに変更があった場合は認証されないため、システムが動作せず、自動車メーカーの意図しない改造を防ぐ事ができる。また、自動車メーカー側はＩＤの管理を行っている正規の認証チップ、自動車メーカーしか知らない暗号鍵を保有しているため、ＥＣＵに不具合や故障があった際にそのＥＣＵのみを交換する事は可能である。

　以上本発明者によってなされた発明を実施形態に基づいて具体的に説明したが、本発明はそれに限定されるものではなく、その要旨を逸脱しない範囲において種々変更可能であることは言うまでもない。

　例えば、それぞれのＥＣＵが個別に認証チップを持つ構成に対してはネットワークサーバを用いないメンテナンスサービスにも適用可能である。また、アクセス範囲の制限は単にアクセス許容とアクセス拒否の２段階であってもよい。アクセス制限の具体的な制御方法は前記アドレス管理に限定されず、リードコマンド、ライトコマンド等のコマンドの種別に応じた実行制限であってもよい。

　本発明は自動車等の各種車両に対するメンテナンスサービス、並びに車両やメンテナンス装置それ自体に広く適用することができる。

Claims (14)

1. 　車両の動作を電子的に制御するために配置された複数の電子制御装置と、前記電子制御装置が接続された車載ネットワークと、前記車載ネットワークを車外のメンテナンス装置とインタフェース可能にする車外接続用電子制御装置とを有する車両であって、
   　前記車外接続用電子制御装置は、前記メンテナンス装置による前記電子制御装置へのアクセス可能な範囲を決定するために前記メンテナンス装置に対する認証処理を行う、車両。
2. 　前記車外接続用電子制御装置は前記認証処理を行うための認証用マイクロコンピュータを有し、前記認証用マイクロコンピュータは前記メンテナンス装置が保有する認証用マイクロコンピュータとの間で前記認証処理を行う、請求項１記載の車両。
3. 　前記電子制御装置は認証用マイクロコンピュータを備え、相互に一方の電子制御装置が保有する認証用マイクロコンピュータは他の電子制御装置が保有する認証用マイクロコンピュータとの間で相互の正当性を判別するための認証処理を行う、請求項２記載の車両。
4. 　前記電子制御装置が保有する認証用マイクロコンピュータは動作電源の投入に応答して前記認証処理を開始する、請求項３記載の車両。
5. 　前記車外接続用電子制御装置はこれに接続された前記メンテナンス装置の正当性を前記認証処理により確認したとき、当該メンテナンス装置から与えられるＩＤコードに基づいて制限すべきアクセス範囲を決定する、請求項１記載の車両。
6. 　前記メンテナンス装置によるメンテナンスの履歴を保持するメモリを更に有し、前記メモリは認証処理結果に応じたアクセス範囲の制御の対象にされる、請求項５記載の車両。
7. 　車両の動作を電子的に制御するために配置された複数の電子制御装置と、前記電子制御装置が接続された車載ネットワークと、前記車載ネットワークを車外のメンテナンス装置とインタフェース可能とする車外接続用電子制御装置とを有する車両であって、
   　前記車外接続用電子制御装置は認証用マイクロコンピュータを有し、当該認証用マイクロコンピュータは、前記メンテナンス装置による前記電子制御装置へのアクセスの可否を決定するために前記メンテナンス装置に対する認証処理を行う、車両。
8. 　車両の動作を電子的に制御するために配置された複数の電子制御装置と、前記電子制御装置が接続された車載ネットワークと、前記車載ネットワークを車外装置とインタフェースするための車外接続用電子制御装置とを有する車両であって、
   　前記車外接続用電子制御装置は、車外装置による前記電子制御装置へのアクセスの可否を決定するために前記車外装置に対する認証処理を行う、車両。
9. 　車両の動作を電子的に制御する複数の電子制御装置を搭載した車両のメンテナンスを支援するメンテナンス装置であって、
   　前記車両の車外接続用電子制御装置に接続可能な認証用マイクロコンピュータと、メンテナンス支援制御用のマイクロコンピュータとを有し、
   　前記認証用マイクロコンピュータはこれに接続された車両の車外接続用電子制御装置との間で相互に認証処理を行い、
   　前記メンテナンス支援制御用のマイクロコンピュータは、前記車両の車外接続用電子制御装置による認証処理の結果に従って、当該車両の電子制御装置に対するアクセス可能な範囲が決定される、メンテナンス装置。
10. 　前記認証用マイクロコンピュータはこれに接続された車両の正当性の判定結果を前記メンテナンス支援制御用のマイクロコンピュータに返す、請求項９記載のメンテナンス装置。
11. 　車両の動作を電子的に制御する複数の電子制御装置を搭載した車両のメンテナンスを支援するメンテナンス装置と、前記車両のメンテナンス情報を管理するオンラインサーバとを有するメンテナンスサービスシステムであって、
    　前記車両と前記メンテナンス装置との間の認証処理、前記メンテナンス装置と前記オンラインサーバとの間の認証処理、及び前記オンラインサーバと前記車両との間の認証処理により、前記車両、メンテナンス装置、及びオンラインサーバの正規性が確認されることを条件に、前記メンテナンス装置はオンラインサーバのメンテナンス情報のアクセスが可能にされ、
    　前記メンテナンス装置は前記車両との間の認証処理結果に従って、当該車両の電子制御装置に対するアクセス可能な範囲が決定される、メンテナンスサービスシステム。
12. 　前記メンテナンス装置は前記オンラインサーバと相互に認証処理を行うための認証用マイクロコンピュータを保有し、オンラインサーバは前記車両が保有する認証用マイクロコンピュータと認証処理を行い、前記メンテナンス装置の認証用マイクロコンピュータは前記車両が保有する認証用マイクロコンピュータと認証処理を行う、請求項１１記載のメンテナンスサービスシステム。
13. 　車両の動作を電子的に制御する複数の電子制御装置を搭載した車両のメンテナンスを支援するメンテナンス装置と、前記車両のメンテナンス情報を管理するオンラインサーバとを用いる車両のメンテナンスサービス方法であって、
    　前記車両と前記メンテナンス装置との間で認証処理を行う第１処理と、
    　前記メンテナンス装置と前記オンラインサーバとの間で認証処理を行う第２処理と、
    　前記オンラインサーバ装置と前記車両との間で認証処理を行う第３処理と、
    　前記第１処理乃至第３処理よって前記車両、メンテナンス装置、及びオンラインサーバの正規性が確認されることを条件に、前記メンテナンス装置がオンラインサーバのメンテナンス情報をアクセスする第４処理と、
    　前記メンテナンス装置が前記車両との間の認証処理結果に従って決定された範囲で当該車両の電子制御装置をアクセスする第５処理と、を含むメンテナンスサービス方法。
14. 　前記メンテナンス装置は前記オンラインサーバと相互に認証処理を行うための認証用マイクロコンピュータを保有し、オンラインサーバは前記自動車が保有する認証用マイクロコンピュータと認証処理を行い、前記メンテナンス装置の認証用マイクロコンピュータは前記自動車が保有する認証用マイクロコンピュータと認証処理を行う、請求項１３記載のメンテナンスサービス方法。

Images