WO2018211815A1

WO2018211815A1 - 暗号鍵の処理を行う車両用システム及び電子制御装置

Info

Publication number: WO2018211815A1
Application number: PCT/JP2018/011269
Authority: WO
Inventors: 康治菅野
Original assignee: 株式会社デンソー
Priority date: 2017-05-16
Filing date: 2018-03-22
Publication date: 2018-11-22
Also published as: US20200059359A1; EP3627756A4; EP3627756B1; US11374747B2; JP2018195932A; EP3627756A1; JP6855918B2

Abstract

車両用システムは暗号鍵を管理する第１の電子制御装置（３００）と、暗号鍵を使用する第２の電子制御装置（４００）と、を備える。第１の電子制御装置（３００）は、第１の電子制御装置及び第２の電子制御装置を備える車両の所有者に変更があった場合に暗号鍵を生成する鍵生成部（３０２）と、第２の電子制御装置に暗号鍵を出力する鍵配布部（３０３）と、を有し、第２の電子制御装置（４００）は、使用中の暗号鍵である第１の暗号鍵を記憶する鍵保持部（４０２）と、鍵配布部から出力された暗号鍵である第２の暗号鍵を受信する鍵受信部（４０１）と、鍵保持部に記憶されている第１の暗号鍵を、第２の暗号鍵に更新する鍵更新部（４０５）と、を有する。

Description

暗号鍵の処理を行う車両用システム及び電子制御装置

関連出願の相互参照

　本出願は、２０１７年５月１６日に出願された日本国特許出願２０１７－９７１０７号に基づくものであり、ここにその記載内容を参照により援用する。

　本開示は、セキュリティを確保するための暗号鍵の処理に関し、主として車両用システムを構成する電子制御装置が使用する暗号鍵の処理に関する。

　自動車に搭載される通信装置はネットワークを介して様々な情報を送受信している。近年では、無線通信の発達に伴い、ネットワークを介して車載センサで取得した車両の状態や道路状況を収集、分析する技術や、ネットワークを介してコマンドを送受信することにより走行を制御する自動運転車両の開発が活発になっている。

　自動車をネットワークに接続する場合、車載装置が車外のネットワークからの不正アクセスによって影響を受ける可能性が高まる。特に、車両の駆動機構の動作を制御するＥＣＵについては、自動車の走行の安全性を担保すべく、高いセキュリティを確保する必要性が高まっている。

　例えば、特許文献１には、自動車に搭載される管理装置と、自動車の製造会社にて管理され、自動車側の管理装置と無線通信を行う鍵管理サーバ装置とを有する鍵管理システムを用いて自動車で使用する暗号鍵の生成及び管理を行い、暗号鍵を定期的に更新することにより、自動車のセキュリティを高める技術が開示されている。

ＪＰ２０１６－９２８１１　Ａ

　自動車は家電製品などと比較して中古市場が盛んな製品であり、所有者が代わることは珍しくない。また、レンタカーやカーシェアリングのように、自動車の利用者が短期間で頻繁に代わることもある。しかしながら、悪意を持った自動車の所有者又は一時的な利用者が車両のＥＣＵを解析して、メッセージの完全性確保やデータ保護に使用されている暗号鍵を入手された場合、次の所有者又は利用者が使用する車両が悪意を持った前所有者等によって不正にアクセスされ、不正メッセージの挿入等によりＥＣＵが不正操作されることが起こりうる。

　本開示は、車両の所有者に変更があった場合に、自動車で使用する暗号鍵を新たな暗号鍵に変更してセキュリティを確保する車両用システムを実現することを目的とする。

　本開示の一態様によると、車両用システムは、暗号鍵を管理する第１の電子制御装置と、暗号鍵を使用する第２の電子制御装置と、を備える。第１の電子制御装置は、第１及び第２の電子制御装置を備える車両の所有者に変更があった場合に暗号鍵を生成する鍵生成部と、第２の電子制御装置に暗号鍵を出力する鍵配布部と、を有する。第２の電子制御装置は、使用中の暗号鍵である第１の暗号鍵を記憶する鍵保持部と、鍵配布部から出力された暗号鍵である第２の暗号鍵を受信する鍵受信部と、鍵保持部に記憶されている第１の暗号鍵を、第２の暗号鍵に更新する鍵更新部と、を有する。

　本開示の他の一態様によると、電子制御装置は、記憶部に記憶される暗号鍵を使用する他装置と通信可能であって、電子制御装置を備える車両の所有者に変更があった場合に暗号鍵を生成する鍵生成部と、暗号鍵を受信した場合に記憶部に記憶される暗号鍵を更新する他装置に対し、暗号鍵を出力する鍵配布部と、を備える。

　本開示の他の一態様によると、電子制御装置は、車両の所有者に変更があった場合に暗号鍵を生成する他装置と通信可能であり、暗号鍵を使用する。電子制御装置は、使用中の暗号鍵である第１の暗号鍵を記憶する鍵保持部と、他装置から第２の暗号鍵を受信する鍵受信部と、鍵保持部に記憶されている第１の暗号鍵を、第２の暗号鍵に更新する鍵更新部と、を備える。

本開示の他の一態様によると、暗号鍵生成更新方法は、暗号鍵を管理する第１の電子制御装置と、暗号鍵を使用する第２の電子制御装置と、を備える車両用システムにおいて行われる。暗号鍵生成更新方法は、第１の電子制御装置において、第１及び第２の電子制御装置を備える車両の所有者に変更があった場合に暗号鍵を生成することと、第１の電子制御装置の鍵配布部から第２の電子制御装置に暗号鍵を出力することと、第２の電子制御装置において、鍵配布部から出力された暗号鍵である第２の暗号鍵を受信することと、第２の電子制御装置の鍵保持部に記憶されている使用中の暗号鍵である第１の暗号鍵を、第２の暗号鍵に更新することと、を含む。

　本開示の他の一態様によると、暗号鍵生成方法は、記憶部に記憶される暗号鍵を使用する他装置と通信可能な電子制御装置において行われる。暗号鍵生成方法は、電子制御装置を備える車両の所有者に変更があった場合に暗号鍵を生成することと、暗号鍵を受信した場合に記憶部に記憶される暗号鍵を更新する他装置に対し、暗号鍵を出力することと、を含む。

　本開示の他の一態様によると、暗号鍵更新方法は、車両の所有者に変更があった場合に暗号鍵を生成する他装置と通信可能であり、暗号鍵を使用する電子制御装置において行われる。暗号鍵更新方法は、他装置から第２の暗号鍵を受信することと、鍵保持部に記憶されている使用中の暗号鍵である第１の暗号鍵を、第２の暗号鍵に更新することと、を含む。

　さらに本開示の他の態様によると、暗号鍵生成更新方法、暗号鍵生成方法、または暗号鍵更新方法を実行するプログラムが提供される。

　本開示によれば、車両の所有者に変更があった場合に、自動車で使用する暗号鍵を新たな暗号鍵に変更して、セキュリティを確保することができる。

　本開示についての上記および他の目的、特徴や利点は、添付図面を参照した下記詳細な説明から、より明確になる。添付図面において、
図１は、第１実施形態の車両用システムの構成を説明するブロック図であり、図２は、第１実施形態の所有者管理装置の構成を説明するブロック図であり、図３は、第１実施形態の鍵管理装置の構成を説明するブロック図であり、図４は、第１実施形態の車両制御装置の構成を説明するブロック図であり、図５は、第１実施形態の車両用システムの動作を説明するフローチャートであり、図６Ａは、第１実施形態の車両制御装置が使用する暗号鍵の使用状態を説明する図であり、図６Ｂは、第１実施形態の車両制御装置が使用する暗号鍵の使用状態を説明する図であり、図６Ｃは、第１実施形態の車両制御装置が使用する暗号鍵の使用状態を説明する図であり、図７は、第２実施形態の車両用システムの動作を説明するフローチャートである。

　以下に、図面を参照しながら本開示を実施するための複数の実施形態を説明する。

　（第１実施形態）
　図１は、第１実施形態の車両用システム１００の構成を示している。本開示の車両用システム１００は、所有者管理装置２００、鍵管理装置３００、及び複数の車両制御装置４００を備える。所有者管理装置２００、鍵管理装置３００、及び車両制御装置４００はいずれも、車両用の電子制御装置（ＥＣＵ）であり、所有者管理装置２００と鍵管理装置３００、鍵管理装置３００と車両制御装置４００はそれぞれ、車載ネットワークを介して接続されている。また、所有者管理装置２００は、本開示の第３の電子制御装置に対応し、鍵管理装置３００は、本開示の第１の電子制御装置に対応し、車両制御装置４００は、本開示の第２の電子制御装置に対応する。

　なお、第１実施形態では、所有者管理装置２００は車両に搭載される車両用システムとして構成されているが、所有者管理装置２００を車外サーバとして、鍵管理装置３００と有線又は無線通信するように構成してもよい。また、所有者管理装置２００及び鍵管理装置３００を１つの電子制御装置として構成する場合には、所有者管理装置２００及び鍵管理装置３００の双方の機能を具備する電子制御装置を車外サーバとして構成してもよい。

　なお、以下の記載は車両用システム１００を説明するものであるが、車両用システム１００を構成する各電子制御装置の説明を含んでいる。ここで、本開示の第１の電子制御装置、第２の電子制御装置、及び第３の電子制御装置は、機能として分離できればよく、物理的に分離するか否かは問わない。また、本開示における他装置とは、各電子制御装置から見た他の電子制御装置に該当する。
　また、本開示の車両用という表現とは、車両に予め搭載されるもの、及び車両に後付けで搭載されるものや、車両に搭載された電子制御装置に対して信号を出力するもの、例えば、車外に設けられたサーバや、ディーラーにおいて使用される電子制御装置等を含むことができる。

　以下に、所有者管理装置２００、鍵管理装置３００、及び車両制御装置４００の構成及び機能をそれぞれ説明する。

１．所有者管理装置２００
　所有者管理装置２００は、車両の所有者に関する情報を管理する電子制御装置であり、図２に示すとおり、受信部２０１、記憶部２０２、制御部２０３、及び送信部２０４を備える。所有者管理装置２００は、本開示の第３の電子制御装置又は電子制御装置に対応する。

　受信部２０１は、車両の所有者に関する新たな所有者情報を受信する。この所有者情報は、車両に設置されたカーナビゲーションシステム等のインタフェースを介して、あるいは無線通信によって入力された車両の所有者に関する個人情報、例えば、氏名、住所、電話番号、メールアドレス、又は、ドライビングポジション等の情報を含む。受信部２０１は所有者情報を受信すると、当該所有者情報を制御部２０３に入力する。また、車両の所有者に関する新たな所有者情報とは、本開示の更新情報に対応する。

　ここで、本開示に記載の所有者とは、車両を所有するオーナーや、一時的に車両を占有する使用者をも含む。また、所有者に関する情報とは、所有者を特定する情報や、所有者の属性、識別番号等、所有者に紐づけられる情報も含む。以下に記載する旧所有者に関する旧情報も同様に、旧所有者を特定する情報そのものの他、旧所有者の属性、識別番号等、旧所有者に紐づけられる情報も含む。

　記憶部２０２は、元から記憶されている旧所有者に関する所有者情報に加えて、受信部２０１に入力された所有者情報を記憶する。記憶部２０２に記憶された所有者情報は、制御部２０３からの指示に基づいて、書き込み、読み出し、又は消去することができる。なお、記憶部２０２は、例えば、ＥＥＰＲＯＭ（ｅｌｅｃｔｒｉｃａｌｌｙ　ｅｒａｓａｂｌｅ　ｐｒｏｇｒａｍｍａｂｌｅ　ｒｅａｄ－ｏｎｌｙ　ｍｅｍｏｒｙ）、フラッシュＲＯＭ、ハードディスク等の不揮発性メモリから構成される。また、元から記憶されている旧所有者に関する所有者情報とは、本開示の旧情報に対応する。

　制御部２０３は、受信部２０１を介して新たな所有者情報が入力されると、記憶部２０２に記憶されている旧所有者に関する所有者情報を読み出して新たな所有者情報と比較し、車両の所有者に変更があるか否かを判断する。

　新たな所有者情報と、記憶部２０２から読み出した所有者情報とを比較した結果、車両の所有者に変更があったと判断した場合、制御部２０３は、所有者の変更を示す所有者変更情報を送信部２０４に入力する。制御部２０３はさらに、記憶部２０２に対して新たな所有者情報を記憶することを指示する信号を出力する。

　送信部２０４は、所有者変更情報を鍵管理装置３００に出力し、所有者に変更があったことを鍵管理装置３００に通知する。

　なお、車両の所有者に変更があったか否かを判断する基準は、任意に設定することができる。例えば、変更された情報が所有者の氏名である場合には、制御部２０３は所有者に変更があったと判断してもよい。また、住所、電話番号、メールアドレスは、同一所有者であっても変更される可能性はあるが、これらの情報のうち２つ以上が変更された場合には、制御部２０３は所有者に変更があったと判断してもよい。しかしながら、所有者に変更があったか否かの基準は、この例に限定されるものではない。

２．鍵管理装置３００
　鍵管理装置３００は、車両制御装置４００がメッセージの完全性確保やデータ保護等により、セキュリティを高めるために使用する暗号鍵を管理する電子制御装置であり、図３に示すとおり、受信部３０１、鍵生成部３０２、及び鍵配布部３０３を備える。鍵管理装置３００は、本開示の第１の電子制御装置又は電子制御装置に対応する。

　受信部３０１は、所有者管理装置２００の送信部２０４から、車両の所有者に変更があったことを示す所有者変更情報を受信する。

　鍵生成部３０２は、受信部３０１が所有者変更情報を受信したと判断した場合には、例えば、１２８ビットの暗号鍵を生成する。そして、鍵生成部３０２は、生成した暗号鍵を、鍵配布部３０３を介して車両制御装置４００に出力する。

　本開示の場合にとの表現は、所有者変更情報を受信すると直ちに暗号鍵の生成する場合や、その他の条件を更に満たしたときに暗号鍵を生成する場合を含む。

３．車両制御装置４００
　車両制御装置４００は、プログラムを用いて車両に搭載されたエンジン等を含む機構を制御し、所望の動作をさせる電子制御装置であり、図４に示すとおり、鍵受信部４０１、鍵保持部４０２、及び制御部４０３を備える。また、制御部４０３は、鍵切替部４０４及び鍵更新部４０５を備える。この車両制御装置４００は、図１に示すように、駆動機構を制御する駆動系制御装置４１１、ドアの開閉等を制御する車体系制御装置４１２、エアバッグ等の動作を制御する安全制御系制御装置４１３や、任意の制御装置を含む。車両制御装置４００は、本開示の第２の電子制御装置又は電子制御装置に対応する。

　鍵受信部４０１は、鍵管理装置３００の鍵配布部３０３から暗号鍵を受信する。受信した新たな暗号鍵は、制御部４０３に入力される。受信した新たな暗号鍵は、本開示の第２の暗号鍵に対応する。

　鍵保持部４０２は、エンジン等の機構を制御するプログラムやデータ等の暗号化及び復号化に使用される暗号鍵を記憶している。鍵保持部４０２は２つの暗号鍵を記憶していることが望ましく、２つの暗号鍵のうち１つは使用中の暗号鍵Ｋ１であり、もう１つは現在使用されていないが、現在使用中の暗号鍵Ｋ１の次に使用される暗号鍵Ｋ２である。なお、鍵保持部４０２は、例えば、ＥＥＰＲＯＭ、フラッシュＲＯＭ、ハードディスク等の不揮発性メモリから構成される。暗号鍵Ｋ１は本開示の第１の暗号鍵に対応し、暗号鍵Ｋ２は本開示の第３の暗号鍵に対応する。

　新車である車両の鍵保持部４０２に記憶される初期の暗号鍵Ｋ１及び暗号鍵Ｋ２は、工場から出荷される前に車両製造工場又はＥＣＵ製造工場等において書き込まれる。

　制御部４０３の鍵切替部４０４は、鍵受信部４０１が新たな暗号鍵を受信したと判断した場合には、使用する暗号鍵を、使用中の暗号鍵である暗号鍵Ｋ１から暗号鍵Ｋ２に切り替える処理を行う。

　ここで、本開示の場合にとの表現は、第２の暗号鍵を受信すると直ちに暗号鍵を切り替える処理をする場合や、所定時間経過後に暗号鍵を切り替える処理を行う場合を含む。

　制御部４０３の鍵更新部４０５はさらに、鍵保持部４０２に記憶されている暗号鍵Ｋ１を、鍵受信部４０１から入力された新たな暗号鍵Ｋ３に書き換えて、鍵保持部４０２に記憶されている暗号鍵を更新する。

　なお、本実施形態では、鍵保持部４０２が２つの暗号鍵を記憶している例を記載しているが、鍵保持部４０２は１つの暗号鍵Ｋ１のみを記憶するものであってもよい。暗号鍵Ｋ１のみを記憶する場合、鍵受信部４０１が鍵配布部３０３から暗号鍵Ｋ３を受信すると、使用する暗号鍵を暗号鍵Ｋ１から暗号鍵Ｋ３へと切り替えた後、鍵保持部４０２に記憶される暗号鍵をＫ１からＫ３へと更新する。

　鍵更新部４０５は、任意のタイミングで暗号鍵の更新を行うことができる。しかしながら、暗号鍵の更新に伴う記憶領域の書き換えは確実に行う必要がある。車両の走行中に書き換えを行う場合、例えば書き換え処理の途中で所有者によるイグニッションオフが行われる可能性がある。そのため、暗号鍵をＫ１からＫ３に書き換えて更新する際に、書き換えミスが発生するおそれがある。以上に照らせば、暗号鍵の更新は、鍵保持部４０２の動作がより安定している間、例えば、車両のイグニッションがオフからオンになったときに行うことが望ましい。

　なお、本開示のイグニッションがオフからオンになる場合とは、ガソリン車においてイグニッションをオンにする場合や、電気自動車又はハイブリッド車のパワースイッチをオンにする場合をも含む。

　以下に、図５、図６Ａ、図６Ｂ、図６Ｃを参照して、本開示の車両用システム１００の動作を説明する。

　図５は、新たな所有者情報が入力されてから暗号鍵を更新するまでに車両用システム１００において行われる一連の動作を示すフローチャートであり、図６Ａ、図６Ｂ、図６Ｃは、車両制御装置４００に記憶されている暗号鍵及び使用される暗号鍵の使用状態を示している。図６Ａは、Ｓ１０１～Ｓ１０７における暗号鍵の使用状況を示し、図６Ｂは、Ｓ１０８における暗号鍵の使用状態を示し、図６のＣはＳ１０９における暗号鍵の使用状態を示す。

　まず、インタフェース等を介して新たな所有者情報が入力された場合、Ｓ１０１において所有者管理装置２００の受信部２０１は新たな所有者情報を更新情報として受信し、Ｓ１０２で当該更新情報を記憶部２０２に記憶する。また、Ｓ１０３で所有者管理装置２００の制御部２０３は、記憶部２０２に記憶されていた所有者情報と更新情報とを比較し、車両の所有者に変更があったかどうかを判断する。そして、車両の所有者に変更があったと判断した場合、所有者管理装置２００は、鍵管理装置３００に対して、所有者の変更を示す所有者変更情報を出力する。

　鍵管理装置３００は、Ｓ１０４において所有者管理装置２００から所有者変更情報を受信すると、Ｓ１０５で鍵生成部３０２にて暗号鍵Ｋ３を生成する。そして、Ｓ１０６では、生成された暗号鍵Ｋ３は、受信部３０１から、車載ネットワークを介して車両制御装置４００へと配布される。

　次いで、Ｓ１０７において車両制御装置４００が鍵管理装置３００から暗号鍵Ｋ３を受信すると、Ｓ１０８で、現在使用されている暗号鍵を、暗号鍵Ｋ１から暗号鍵Ｋ２に切り替える。

　ここで、図６Ａに示すように、Ｓ１０１～Ｓ１０７の処理が行われている間、車両制御装置４００は暗号鍵として暗号鍵Ｋ１を使用している。そして、図６Ｂに示すように、Ｓ１０８の処理により、使用中の暗号鍵は暗号鍵Ｋ２となる。

　車両制御装置４００は、Ｓ１０８にて暗号鍵を暗号鍵Ｋ１から暗号鍵Ｋ２に切り替えた後、図６Ｃに示すように、Ｓ１０９で、暗号鍵Ｋ１をＳ１０７にて受信した暗号鍵Ｋ３に更新する。

　図５に示す処理は、新たな所有者情報が入力される度に行われる。したがって、新たな所有者情報が再度インタフェース等に入力され、所有者管理装置２００が所有者に変更があったと判断した場合には、図５に示す処理に基づいて、鍵管理装置３００は新たに暗号鍵Ｋ４を生成し、暗号鍵Ｋ４を車両制御装置４００に配布する。また、車両制御装置４００は、使用する暗号鍵を暗号鍵Ｋ２から暗号鍵Ｋ３に切り替えると共に、暗号鍵Ｋ２を鍵管理装置３００から受信した暗号鍵Ｋ４に更新する。

　なお、本実施形態では、所有者管理装置２００と鍵管理装置３００は別個の電子制御装置として構成されている。しかしながら、所有者管理装置２００及び鍵管理装置３００は、双方の機能を具備する１つの電子制御装置として構成してもよい。所有者管理装置は所有者情報管理装置とも呼ぶ。

　この場合、図５におけるＳ１０４は省略される。そして、制御部が車両の所有者に変更があったことを判断した場合には、鍵生成部は新たな暗号鍵を生成する。

　本開示の場合にとの表現は、所有者に変更があったことを判断すると直ちに暗号鍵の生成する場合や、その他の条件を更に満たしたときに暗号鍵を生成する場合を含む。

　なお、鍵保持部４０２が１つの暗号鍵Ｋ１のみを記憶している場合は、Ｓ１０７にて車両制御装置４００が暗号鍵Ｋ３を受信すると、Ｓ１０８において、現在使用されている暗号鍵を暗号鍵Ｋ１から暗号鍵Ｋ３に切り替える。その後、Ｓ１０９において、鍵保持部４０２に記憶される暗号鍵を暗号鍵Ｋ１から暗号鍵Ｋ３に更新する。

　第１実施形態によれば、車両の所有者に変更があった場合には、車両制御装置が使用する暗号鍵を更新することができるため、以前の所有者による車両用システムへの不正アクセス等に対するセキュリティ確保が可能となる。

　（第１変形例）
　第１実施形態では、所有者管理装置２００の制御部２０３は、記憶部２０２に記憶されている所有者情報と、新たな所有者情報である更新情報とを比較して、所有者に変更があったか否かを判断している。しかしながら、制御部２０３は、比較以外の手段を用いて所有者に変更があったか否かを判断してもよい。

　例えば、制御部２０３は、新たな所有者情報が入力され、所有者管理装置２００の受信部２０１が新たな所有者情報を更新情報として受信した場合には常に、所有者に変更があったものと判断してもよい。あるいは、インタフェース等を介して記憶部２０２が初期化された場合には、制御部２０３は所有者に変更があったものと判断してもよい。また、初期化された場合とは、所有者情報が消去された場合を含んでもよい。

　本変形例によれば、車両の所有者に変更がある可能性がある場合には暗号鍵が更新されるため、より高いセキュリティを確保することが可能となる。

　（第２実施形態）
　第１実施形態では、所有者管理装置２００の制御部２０３が更新情報に基づいて所有者の変更があったと判断した場合には、自動的に、鍵管理装置３００に所有者の変更を示す所有者変更情報を鍵管理装置３００に入力している。しかしながら、例えば、引越により住所変更をした場合等のように、新たな所有者情報が入力された場合であっても車両の所有者に変更がないことがある。

　第２実施形態では、新たな所有者情報が入力された場合には、所有者管理装置２００は、車両の所有者に対して暗号鍵を更新するかどうかの確認、言い換えれば、要否に関する確認を行い、必要な場合にのみ暗号鍵の更新を行う。

　本開示の要否に関する確認という表現とは、暗号鍵を更新するか否かを直接的に確認することに限定されるものではなく、電子制御装置が暗号鍵を更新することが必要であるか否かを判断可能な内容、例えば、所有者に変更があったか否か、あるいは、システムのセキュリティをリセットするか否か等を間接的に確認するものであってもよい。

　図７を参照して、第２実施形態の車両用システムの動作を以下に説明する。なお、第１実施形態との共通点については詳しい説明は省略し、第１実施形態との相違点を中心に説明する。

　第２実施形態における所有者管理装置２００の制御部２０３は、第１実施形態と同様、インタフェース等を介して入力された新たな車両の所有者情報を更新情報として受信した場合、Ｓ１０３において、所有者に変更があったかどうかを判断する。Ｓ１０３にて、制御部２０３が、入力された更新情報に基づいて所有者に変更があった可能性が高いと判断した場合、Ｓ２０１にて、車両の所有者に対して暗号鍵を更新すべきか否かを確認するために、例えば、車両に搭載されたインタフェースに「車両のセキュリティを更新しますか？（Ｙｅｓ／Ｎｏ）」といったメッセージを表示させる。Ｓ２０２にて、車両の所有者がＹｅｓを選択した場合、制御部２０３は、所有者の変更を示す所有者変更情報を鍵管理装置３００に対して出力する。そして、所有者変更情報を受信した鍵管理装置３００は、第１実施形態と同様、暗号鍵Ｋ３を生成する。

　なお、第２実施形態では、所有者管理装置２００が、車両の所有者に対して暗号鍵の更新の要否を確認すると共に、鍵更新の指示に基づいて鍵管理装置３００に対して所有者変更情報を出力している。しかしながら、所有者管理装置２００に代わり、鍵管理装置３００が車両の所有者に対して暗号鍵の更新の要否を確認し、鍵更新の指示を受信してもよい。

　この場合、所有者管理装置２００が、Ｓ１０３にて車両の所有者に変更があったと判断し、鍵管理装置３００に所有者変更情報が出力されると、鍵管理装置３００は、車両の所有者に対して暗号鍵の更新の要否を確認するメッセージをインタフェースに表示させる。そして、鍵管理装置３００の受信部３０１が車両の所有者から暗号鍵更新の指示を受信すると、鍵管理装置３００は暗号鍵Ｋ３を生成する。

　以上、第２実施形態によれば、車両の所有者に変更があったときにのみ暗号鍵を確実に更新することが可能となる。

　（第２変形例）
　第２実施形態では、所有者管理装置２００の制御部２０３が、所有者に変更がある可能性が高いと判断した場合に、暗号鍵を更新することの要否に関する確認をインタフェースに表示して、車両の所有者から暗号鍵更新に関する指示を受けるように構成されている。しかしながら、制御部２０３が、車両の所有者に変更があると判断していない場合であっても、車両の所有者は任意のタイミングで、車両の所有者に変更があったことをインタフェースから入力してもよい。なお、車両の所有者に変更があったことをインタフェースから入力した場合も車両の所有者に変更があった場合に含まれる。

　本変形例によれば、レンタカーやカーシェアリングのように、車両の所有者自体に変更がない場合であっても、利用者が代わるごとに暗号鍵を手動で更新することができるため、前の利用者が車両に不正アクセスするのを防ぐことが可能となる。

　（その他の実施形態）
　第１実施形態、第２実施形態はいずれも、所有者管理装置２００が車両の所有者に変更があったと判断した場合に、鍵管理装置３００が新たな暗号鍵を生成して車両制御装置４００に出力することにより、車両制御装置４００は使用する暗号鍵を更新している。しかしながら、暗号鍵の生成は、必ずしも車両用システムにおいて行わなくてもよい。

　例えば、所有者管理装置２００が車両の所有者に変更があったと判断した場合には、制御部２０３は、車両の所有者に対して、セキュリティの更新が必要であることを通知してもよい。そして、その通知を受け取った所有者は、車両をディーラーに持ち込むことにより、ディーラーにて暗号鍵を更新してもよい。

　なお、本開示の車両用という表現とは、車両に予め搭載されるもの、及び車両に後付けで搭載されるものや、車両に搭載された電子制御装置に対して信号を出力するもの、例えば、車外に設けられたサーバや、ディーラーにおいて使用される電子制御装置をも含む。また、本開示の車両用システムとは、車両に搭載されている電子制御装置から構成されるシステムや、当該システムの電子制御装置の一部が車外に設けられているものをも含む。Ｓ１０５，Ｓ１０６，Ｓ１０７，Ｓ１０９は本開示の暗号鍵生成更新方法の一例に相当する。Ｓ１０５，Ｓ１０６は本開示の暗号鍵生成方法の一例に相当する。Ｓ１０７，Ｓ１０９は本開示の暗号鍵更新方法の一例に相当する。

　以上、本開示の各実施形態における車両用システム、及び、所有者管理装置、鍵管理装置、及び車両制御装置を含む電子制御装置について説明した。

　各実施形態における電子制御装置の動作は、ブロック図及びフローチャートで方法の説明としても説明した。かかる方法は上述の物で実現できるだけでなく、非遷移的実体的記録媒体（コンピュータ読み取り可能な非一時的な記憶媒体ともよぶ）、例えば、ＲＡＭ、ＲＯＭ、フラッシュメモリ（以下、メモリとする）やハードディスク等の記録媒体に記録したプログラム、及びこれを実行する専用又は汎用ＣＰＵ及びメモリ等を有するマイクロコンピュータとの組み合わせとしても実現できる。プログラムは、記録媒体を介さずにサーバから通信回線を経由して提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。また、マイクロコンピュータの数は１つでも複数でもよい。

　本開示にかかる車両用システム及び電子制御装置は、主として自動車のセキュリティを確保するために用いられるものであるが、自動車以外の車両、例えば、二輪車、電動アシスト自転車や、船舶、航空機等のセキュリティを確保するために用いてもよい。さらに、本開示はこれらの用途に限られるものではない。また本開示において、電子制御装置は、暗号鍵を使用又は生成する他装置と通信可能であってもよい。

　ここで、本出願に記載されるフローチャート、あるいは、フローチャートの処理は、複数のステップ（あるいはセクションと言及される）から構成され、各ステップは、たとえば、Ｓ１０１と表現される。さらに、各ステップは、複数のサブステップに分割されることができる、一方、複数のステップが合わさって一つのステップにすることも可能である。

　以上、本開示の一態様に係る暗号鍵の処理を行う車両用システム及び電子制御装置の実施形態、構成、態様を例示したが、本開示に係る実施形態、構成、態様は、上述した各実施形態、各構成、各態様に限定されるものではない。例えば、異なる実施形態、構成、態様にそれぞれ開示された技術的部を適宜組み合わせて得られる実施形態、構成、態様についても本開示に係る実施形態、構成、態様の範囲に含まれる。

Claims

　暗号鍵を管理する第１の電子制御装置（３００）と、
　前記暗号鍵を使用する第２の電子制御装置（４００）と、を備え、
　前記第１の電子制御装置（３００）は、
　前記第１の電子制御装置及び前記第２の電子制御装置を備える車両の所有者に変更があった場合に前記暗号鍵を生成する鍵生成部（３０２）と、
　前記第２の電子制御装置に前記暗号鍵を出力する鍵配布部（３０３）と、を有し、
　前記第２の電子制御装置（４００）は、
　使用中の暗号鍵である第１の暗号鍵を記憶する鍵保持部（４０２）と、
　前記鍵配布部から出力された前記暗号鍵である第２の暗号鍵を受信する鍵受信部（４０１）と、
　前記鍵保持部に記憶されている前記第１の暗号鍵を、前記第２の暗号鍵に更新する鍵更新部（４０５）と、を有する、
　車両用システム。
　前記鍵保持部はさらに、第３の暗号鍵を記憶し、
　前記第２の電子制御装置はさらに、前記第２の暗号鍵を受信した場合に、前記使用中の暗号鍵を前記第１の暗号鍵から前記第３の暗号鍵に切り替える鍵切替部（４０４）を備える、
　請求項１記載の車両用システム。
　前記車両の所有者に関する更新情報を受信する受信部（２０１）と、
　前記更新情報を記憶する記憶部（２０２）と、
　前記更新情報を受信したこと、前記記憶部を初期化したこと、又は、前記記憶部にさらに記憶された旧所有者に関する旧情報及び前記更新情報の内容に基づいて、前記車両の前記所有者に変更があったことを判断する処理部（２０３）と、
　前記所有者に変更があったことを前記第１の電子制御装置に通知する送信部（２０４）と、
　を有する第３の電子制御装置（２００）をさらに備える、
　請求項１記載の車両用システム。
　記憶部に記憶される暗号鍵を使用する他装置と通信可能な電子制御装置であって、
　前記電子制御装置を備える車両の所有者に変更があった場合に前記暗号鍵を生成する鍵生成部（３０２）と、
　前記暗号鍵を受信した場合に前記記憶部に記憶される暗号鍵を更新する前記他装置に対し、前記暗号鍵を出力する鍵配布部（３０３）と、
　を備える電子制御装置。
　車両の所有者に変更があった場合に暗号鍵を生成する他装置と通信可能であり、前記暗号鍵を使用する電子制御装置であって、
　使用中の暗号鍵である第１の暗号鍵を記憶する鍵保持部（４０２）と、
　前記他装置から第２の暗号鍵を受信する鍵受信部（４０１）と、
　前記鍵保持部に記憶されている前記第１の暗号鍵を、前記第２の暗号鍵に更新する鍵更新部（４０５）と、
　を備える電子制御装置。
　前記鍵保持部はさらに、第３の暗号鍵を記憶し、
　前記電子制御装置はさらに、前記第２の暗号鍵を受信した場合に、前記使用中の暗号鍵を前記第１の暗号鍵から前記第３の暗号鍵に切り替える鍵切替部（４０４）を備える、
　請求項５記載の電子制御装置。
　前記車両は、前記所有者に暗号鍵更新の要否に関する確認を通知すると共に、前記所有者から前記暗号鍵更新の要否に関する指示を受信するインタフェースを備え、
　前記鍵生成部は前記指示に基づいて前記暗号鍵を生成する、
　請求項４記載の電子制御装置。
　前記鍵更新部は、前記車両のイグニッションがオフからオンになったときに前記第１の暗号鍵を前記第２の暗号鍵に更新する、
　請求項５記載の電子制御装置。
　暗号鍵を管理する第１の電子制御装置（３００）と、前記暗号鍵を使用する第２の電子制御装置（４００）と、を備える車両用システム（１００）において行われる暗号鍵生成更新方法であって、
　前記第１の電子制御装置において、
　前記第１の電子制御装置及び前記第２の電子制御装置を備える車両の所有者に変更があった場合に前記暗号鍵を生成することと、
　前記第１の電子制御装置の鍵配布部から前記第２の電子制御装置に前記暗号鍵を出力することと、
　前記第２の電子制御装置において、
　前記鍵配布部から出力された前記暗号鍵である第２の暗号鍵を受信することと、
　前記第２の電子制御装置の鍵保持部に記憶されている使用中の暗号鍵である第１の暗号鍵を、前記第２の暗号鍵に更新することと、
　を含む、暗号鍵生成更新方法。
　記憶部に記憶される暗号鍵を使用する他装置と通信可能な電子制御装置（３００）において行われる暗号鍵生成方法であって、
　前記電子制御装置を備える車両の所有者に変更があった場合に前記暗号鍵を生成することと、
　前記暗号鍵を受信した場合に前記記憶部に記憶される暗号鍵を更新する前記他装置に対し、前記暗号鍵を出力することと、
　を含む、暗号鍵生成方法。
　車両の所有者に変更があった場合に暗号鍵を生成する他装置と通信可能であり、前記暗号鍵を使用する電子制御装置（４００）において行われる暗号鍵更新方法であって、
　前記他装置から第２の暗号鍵を受信することと、
　鍵保持部に記憶されている使用中の暗号鍵である第１の暗号鍵を、前記第２の暗号鍵に更新することと、
　を含む、暗号鍵更新方法。
　暗号鍵を管理する第１の電子制御装置（３００）と、前記暗号鍵を使用する第２の電子制御装置（４００）と、を備える車両用システム（１００）において行われる暗号鍵生成更新方法を実行するプログラムであって、
　前記第１の電子制御装置において、
　前記第１の電子制御装置及び前記第２の電子制御装置を備える車両の所有者に変更があった場合に前記暗号鍵を生成することと、
　前記第１の電子制御装置の鍵配布部から前記第２の電子制御装置に前記暗号鍵を出力することと、
　を実行する第１のプログラムと、
　前記第２の電子制御装置において、
　前記鍵配布部から出力された前記暗号鍵である第２の暗号鍵を受信することと、
　前記第２の電子制御装置の鍵保持部に記憶されている使用中の暗号鍵である第１の暗号鍵を、前記第２の暗号鍵に更新することと、
　を実行する第２のプログラムと、
　を含む、暗号鍵生成更新プログラム。
　記憶部に記憶される暗号鍵を使用する他装置と通信可能な電子制御装置（３００）において行われる暗号鍵生成方法を実行するプログラムであって、
　前記電子制御装置を備える車両の所有者に変更があった場合に前記暗号鍵を生成することと、
　前記暗号鍵を受信した場合に前記記憶部に記憶される暗号鍵を更新する前記他装置に対し、前記暗号鍵を出力することと、
　を含む、暗号鍵生成プログラム。
　車両の所有者に変更があった場合に暗号鍵を生成する他装置と通信可能であり、前記暗号鍵を使用する電子制御装置（４００）において行われる暗号鍵更新方法を実行するプログラムであって、
　前記他装置から第２の暗号鍵を受信することと、
　鍵保持部に記憶されている使用中の暗号鍵である第１の暗号鍵を、前記第２の暗号鍵に更新することと、
　を含む、暗号鍵更新プログラム。
　請求項１２に記載の暗号鍵生成更新プログラムを記憶する、コンピュータ読み取り可能な非一時的な記憶媒体。
　請求項１３に記載の暗号鍵生成プログラムを記憶する、コンピュータ読み取り可能な非一時的な記憶媒体。
　請求項１４に記載の暗号鍵更新プログラムを記憶する、コンピュータ読み取り可能な非一時的な記憶媒体。