WO2024069264A1 - 機能管理システム、および機能管理方法 - Google Patents
機能管理システム、および機能管理方法 Download PDFInfo
- Publication number
- WO2024069264A1 WO2024069264A1 PCT/IB2023/058031 IB2023058031W WO2024069264A1 WO 2024069264 A1 WO2024069264 A1 WO 2024069264A1 IB 2023058031 W IB2023058031 W IB 2023058031W WO 2024069264 A1 WO2024069264 A1 WO 2024069264A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- function
- unit
- message
- electronic control
- command
- Prior art date
Links
- 238000007726 management method Methods 0.000 title claims abstract description 53
- 238000000034 method Methods 0.000 claims abstract description 15
- 230000006870 function Effects 0.000 claims description 72
- 230000004044 response Effects 0.000 claims description 5
- 230000015654 memory Effects 0.000 description 25
- 238000010586 diagram Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 2
- VIEYMVWPECAOCY-UHFFFAOYSA-N 7-amino-4-(chloromethyl)chromen-2-one Chemical compound ClCC1=CC(=O)OC2=CC(N)=CC=C21 VIEYMVWPECAOCY-UHFFFAOYSA-N 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/12—Arrangements for remote connection or disconnection of substations or of equipment thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/48—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Definitions
- the present invention relates to a vehicle function management system and a function management method.
- Patent Document 1 Conventionally, a system has been known in which a server device verifies the authenticity of a plurality of electronic control devices mounted on a vehicle using a common key shared by each of the electronic control devices (see Patent Document 1).
- the device described in Patent Document 1 is configured to permit electronic control devices authenticated by the server device to update firmware, etc.
- Patent Document 1 Japanese Patent Application Laid-Open No. 2017-017616
- an object of the present invention is to provide a function management system and a function management method that provide high convenience for users while realizing highly secure authentication.
- functions of an electronic control device that constitutes an in-vehicle network installed in a vehicle are enabled or A management section that has a message generation section that generates a message for invalidation, a processing section that processes the message using identification information assigned to each function of the electronic control unit, and a message processing section that processes the message using the identification information assigned to each function of the electronic control unit.
- the function management system includes: an execution unit that changes the functional state of enabling or disabling the function according to the message; and a processing unit that reads the current functional state of the function after receiving the message.
- a reading unit that outputs a command
- a determining unit that compares a message request and a functional state and determines whether to change the functional state
- a command generating unit that generates a command to be sent to an execution unit according to the determination.
- FIG. 1 A diagram showing an example of the configuration of a function management system according to an embodiment of the present invention.
- FIG. 2 A block diagram schematically showing the main components of the management unit, processing unit, and execution unit in Figure 1.
- FIG. 3 A diagram showing an example of the functional state of an electronic control device stored in the memory unit of the execution unit.
- FIG. 4 A diagram showing an example of identification information assigned to each of the functions of the electronic control device stored in the memory unit of the processing unit.
- FIG. 5 A sequence diagram showing a first embodiment of authentication processing in a server device, a gateway, and an electronic control device executed by the function management system in FIG. 1.
- FIG. 6 is a sequence diagram showing a second embodiment of authentication processing in an electronic control device.
- FIG. 7 A sequence diagram showing a third embodiment of the authentication processing in the server device, gateway, and electronic control device executed by the function management system of Figure 1.
- FIG. 1 is a diagram showing a vehicle 10 and a function management system 1 according to one embodiment.
- a straddle-type vehicle (such as a motorcycle) is shown as an example of the vehicle 10.
- vehicle 1
- the electronic control device 40 includes a gateway 20, a user interface 30, an ECU_A (40a) for drive control, an ECU_B (40b) for brake control, an ECU_C (40c) for steering control, and an in-vehicle network 50.
- the ECU_A (40a) for drive control, the ECU_B (40) for brake control, and the ECU_C (40c) for steering control may be collectively referred to as an electronic control device 40.
- the gateway 20, the user interface 30, and the multiple electronic control devices 40 are connected to an in-vehicle network 50.
- a CAN is used as the in-vehicle network 50.
- CAN is known as one of the communication networks installed in a vehicle.
- the gateway 20, the user interface 30, and each electronic control device 40 can exchange data via the in-vehicle network 50.
- the electronic control device 40 exchanges data with other electronic control devices 40 via the in-vehicle network 50.
- the electronic control device 40 is an on-board computer provided in the vehicle 10.
- the electronic control device 40 is composed of multiple ECUs with different functions, such as ECU_A (40a) for drive control, ECU_B (40b) for brake control, and ECU_C (40c) for steering control.
- ECU_A (40a) for drive control ECU_B (40b) for brake control
- ECU_C (40c) for steering control Depending on the type of vehicle control function to be executed, one function may be realized by simultaneously controlling multiple electronic control devices 40. For example, to realize an emergency vehicle stopping function that makes the vehicle stop on the road shoulder, it is necessary to simultaneously control ECU_B (40b) for brake control and ECU_C (40c) for steering control. Furthermore, when performing traction control of a vehicle, the drive control ECU_A (40a) and the brake control ECU_B (40b) may be controlled simultaneously.
- the electronic control unit 40 includes an execution unit 80, a CPU (CPU) 41, and a nonvolatile memory 42.
- ECU_A (40a) for drive control ECU_B (40b) for brake control
- ECU_C (40c) for steering control are used as individual execution units, CPU, and non-volatile memory.
- the CPU 41 executes the firmware installed on the electronic control unit 40.
- Firmware is a type of software or computer program.
- the non-volatile memory 42 stores firmware, data, etc. executed by the electronic control unit 4 ⁇ .
- the non-volatile memory 42 also stores functional status data that enables or disables execution of each firmware by the CPU.
- Non-volatile memory 42 consists of ROM (read-only memory), RAM (random access memory), flash memory, etc.
- the gateway 20 communicates with the server device 100 and the terminal device 200 via a wireless communication network 400 including a public wireless communication network such as the Internet or a mobile phone network.
- the gateway 20 can also exchange data with the diagnostic tester 300 via the diagnostic connector 310.
- the gateway 20 includes a processing unit 70 as a functional configuration.
- the processing unit 7 ⁇ processes messages sent from the server device 1 ⁇ and the terminal device 2 0 0, and generates a command for causing the execution unit 8 ⁇ of the electronic control unit 4 ⁇ to change the functional state.
- the server device 100, the terminal device 200, and the diagnostic tester 300 are equipped with a management section 60 as a functional configuration, which controls electronic control according to user input. Generates a message to enable or disable the execution of a function on device 40.
- the terminal device 200 may be a mobile terminal such as a smartphone owned by a user, or a computer terminal operated by an operator of the company that manages the firmware.
- the server device 100 manages updated firmware and has a function of distributing the updated firmware in response to a request from the terminal device 200.
- the updated firmware may be installed directly from the server device 100 to the electronic control device 40 in response to a command from the terminal device 200, or the updated firmware may be downloaded from the server device 100 to the terminal device 200 and then installed from the terminal device 200 to the electronic control device 40.
- Diagnostic Tester 3 0 0 is a diagnostic machine that can read out faulty parts of the firmware of the electronic control unit 4 0, erase the firmware in non-volatile memory, and perform simulation tests. be.
- FIG. 2 is a block diagram showing a schematic configuration of the main components of a management unit 60, a processing unit 70, and an execution unit 80.
- the management unit 6 ⁇ has an interface 6 1 , a message generation unit 6 2 , a MAC generation unit 6 3 , and a storage unit 6 4 as functional components.
- the message generation section 62 constitutes a data generation section
- the MAC generation section 63 constitutes a code generation section.
- Message generation unit 62 generates a message reflecting a user request recognized by interface 61. Specifically, it generates a message for enabling or disabling part of the functions of electronic control device 40.
- the message generated by message generation unit 62 is stored in memory unit 64 together with a preset validity period (e.g., 10 minutes).
- the MAC generation unit 63 encrypts the message generated by the message generation unit 62 using the MAC key (encryption key) stored in the storage unit 64, and generates a message using the message as original data. Generates an authentication code (hereinafter also simply referred to as MAC (M e s s a g e A u t h e n t i c a t i ⁇ n C o d e ) J).
- the MAC generated by the MAC generation unit 6 3 constitutes the authentication code, and the MAC generation unit 6 3 generates a MAC (authentication code) to be sent to the processing unit 70.
- the MAC generated by the MAC generation unit 63 is generated using a known MAC algorithm.
- Known MAC algorithms include a method that uses a hash function (HMAC) and a method that uses a block cipher algorithm ( ⁇ MAC/CMAC, C B C — MAC, P M A C ), and the MAC generation unit 63 uses these.
- the data is encrypted using the MAC key.
- the processing unit 7 ⁇ has the following functional configurations: a reading unit 7 1 , a determining unit 7 2 , a command generation unit 7 3 , an encryption unit 7 4 , and a MAC decryption unit 7 5 . It has a storage section 76.
- the reading unit 71 reads out the functional status of each function in each electronic control unit 40. Specifically, whether the functions stored in the electronic control unit 40 are enabled, disabled, or [ 0 0 3 1 ]
- the encryption unit 74 encrypts the command generated by the command generation unit 73 using the key stored in the storage unit 76 to generate a key.
- the key generated by the encryption unit 74 is generated using a publicly known common key cryptosystem (AES).
- AES publicly known common key cryptosystem
- the key generated by the encryption unit 74 is stored in the storage unit 76 with a preset validity period (for example, 10 minutes).
- a public key cryptosystem may be used in addition to the common key cryptosystem.
- the MAC decryption unit 75 decrypts the message sent from the management unit 60 using the MAC key stored in the storage unit 76, and returns the MAC to the original data before encryption. That is, the MAC decoding unit 75 decodes the MAC and returns it to the original data message.
- the MAC decryption unit 75 decrypts the MAC using the same MAC algorithm encryption method as the management unit 60. Therefore, the MAC algorithm used for encryption and decryption is set in advance in the management unit 60 and the processing unit 70. By decoding the MAC, it becomes possible for the determination unit 72 to make a determination.
- the execution unit 8 ⁇ has, as a functional configuration, a decryption unit 8 1 , an authentication unit 8 2 , an output unit 8 3 , and a storage unit 8 4 .
- the decryption unit 81 decrypts the encrypted command sent from the processing unit 70 using the key stored in the storage unit 84.
- the decryption unit 81 decrypts the command using the common key used by the encryption unit 74 and stored in the storage unit 84.
- the authentication unit 8 2 authenticates the processing unit 7 ⁇ when it is determined that the transmitted command and the decrypted command match. On the other hand, if the authentication section 82 determines that the transmitted command and the decrypted command do not match, the authentication section 82 does not authenticate the processing section 70. In this case, the authentication section 82 cuts off the connection with the processing section 70.
- the storage unit 84 stores a command for changing the functional state based on a command sent from the processing unit 70.
- the output unit 83 overwrites the current functional state stored in the non-volatile memory 42 of the electronic control unit 40 in accordance with the command stored in the memory unit 84 at the next power cycle of the vehicle 10.
- Fig. 5 is a sequence chart of a function management method of the first embodiment.
- Step S1 A user or the like operates an input unit (not shown) of the terminal device 200 or the diagnostic tester 300 to request a change in the functional state of the electronic control device 40. Specifically, a request to enable or disable a specific function is input via the input unit.
- Step S2 The message generating unit 62 generates a message for enabling or disabling a function based on the user's input in step S1.
- the message generated by the message generating unit 62 has a preset validity period (e.g., 10 minutes) and Both are temporarily stored in memory unit 64.
- Step S3 The MAC generation unit 63 encrypts the message generated by the message generation unit 62 using the MAC key (encryption key) stored in the storage unit 64. , generates a message authentication code using the message as the source data.
- Step S4 The management unit 60 sends the message encrypted in step S3 to the processing unit 70.
- Step S5 The MAC decryption unit 75 of the processing unit 70 decrypts the MAC of the message received from the management unit 60 using the MAC key stored in the storage unit 76. If the MAC cannot be decrypted using the predetermined algorithm (no), an error message is sent to the management unit 60 and the process ends.
- Step S6 When the decoding in step S5 is successful (y e s), the reading unit 71 reads out the functional status of the target function in the electronic control device 40.
- the reading unit 71 inquires of the electronic control unit 40 about the functional status of the function, and obtains a response from the electronic control unit 40 regarding the current functional status.
- Step S7 The judgment unit 72 compares the message decoded in step S5 with the current functional state obtained from the electronic control unit 40 in step S6, and judges whether the functional state should be changed according to the message. At least the following points are taken into consideration when making the judgment:
- Step S8 When the determining unit 72 determines in step S7 that the functional state should be changed according to the message (y e s), the command generating unit 73 generates a command for changing the functional state. generate. Identification information is referenced when generating commands.
- Step S9 The encryption unit 74 encrypts the command generated by the command generation unit 73 using the common key stored in the storage unit 76 to generate a key.
- the key generated by the encryption unit 74 is generated using a publicly known common key cryptosystem (AES).
- AES common key cryptosystem
- the key generated by the encryption unit 74 is stored in the storage unit 76 with a preset validity period (for example, 10 minutes).
- Step S1: O The processing unit 70 sends the command encrypted in step S9 to the execution unit 80.
- Step S11 The execution unit 8O decrypts the electronic signature of the encrypted command received from the processing unit 7O using the common key of the electronic control device 40.
- the memory unit 84 holds the common key of the electronic control device 40 in advance.
- the decrypted command is temporarily stored in the memory unit 84 before overwriting the functional state of the electronic control device 40 based on the command. If decryption is not possible using the common key (n o), the processing unit 70 is not authenticated and the connection with the processing unit 70 is cut off.
- Step S12 The execution unit 80 executes the control signal stored in the memory unit 84 at the next power cycle of the vehicle 10 (i.e., turning on and off the vehicle power supply or turning on and off the ignition). Based on the received command, the electronic control device 40 updates the functional status of the functional status management data stored in the non-volatile memory 42. The updating may be performed only when the vehicle is stopped or parked. The stopped or parked state of the vehicle can be determined, for example, by evaluating a signal from a vehicle speed sensor or, in the case of a saddle-type vehicle, by evaluating a signal from a sensor that detects the state of a stand used when parking the saddle-type vehicle.
- Step S13 When the execution unit 80 completes the function status update process, the execution unit 80 transmits an update completion notification to the processing unit 70.
- the processing unit 70 receives the update completion notification from the execution unit 80, it transmits an update completion notification of the function status of the electronic control device 40 to the management unit 60. This allows the user to confirm that the function status update has been completed.
- step S13 may or may not be executed. Further, the update completion notification may be sent from the processing unit 70 to the user interface 30.
- the processing unit of the gateway decrypts the electronic signature of the message with MAC received from the server device or the terminal device.
- the processing unit compares the message whose electronic signature has been successfully decrypted with the current functional status of the electronic control unit, and if it determines that the functional status should be changed, applies an electronic signature using the common key of the electronic control unit.
- the processing unit sends the command, which has been digitally signed using the common key of the electronic control unit, to the execution unit of the electronic control unit.
- the execution unit verifies the digitally signed command received from the processing unit using its own common key.
- the electronic control unit only uses commands for which the electronic signature has been successfully verified to change its functional state.
- FIG. 6 is a sequence chart of the function management method of the second embodiment. Note that steps S1 to S9 are the same as in the first embodiment, so steps S10 and subsequent steps in the second embodiment will be described below.
- Step S1 ⁇ The processing unit 70 transmits the command encrypted in step S9 to one electronic control device selected to execute the target function.
- the command is transmitted to the execution unit 80 of the ECU_B (40b) selected to execute the function.
- Step S11 The execution unit 80b of the selected ECU_B (40b) receives the encrypted command from the processing unit 70 and decrypts the electronic signature of the command using the common key of the electronic control device 40.
- the memory unit 84 holds the common key of the electronic control device 40 in advance.
- the decrypted command is temporarily stored in the memory unit 84 of the execution unit before overwriting the functional state of the electronic control device 40 based on the command. If the execution unit 80b cannot decrypt the command using the common key (no), it does not authenticate the processing unit 70 and cuts off the connection to the processing unit 70.
- the electronic control device 40 receives the command from the electronic control device 40 and decrypts the electronic signature of the encrypted command using the common key of the electronic control device 40.
- the memory unit 84 holds the common key of the electronic control device 40 in advance.
- the decrypted command is temporarily stored in the memory units of the execution unit 80a and execution unit 80 before overwriting the functional states of the ECU_A (40a) and ECU_B (40b) based on the command. If the execution unit 80a, 80b of either the ECU_A (40a) or ECU_B (40b) cannot decrypt the command using the common key, the processing unit 70 is not authenticated and the connection to the processing unit 70 is cut off.
- Step S12, Step S12' In the next power cycle of the vehicle 10, the execution units 80a, 80b update the functional status of the functional status management data stored in the non-volatile memories 42a, 42b of the ECU_A (40a) and the ECU_B (40b) based on the command stored in the memory units of the execution units 80a and 80b.
- overwriting may be performed only when the vehicle is in a stopped state.
- Step S13, Step S13' When the execution units 80a, 80b have completed the execution of the functional status update process, they send an update completion notification to the processing unit 70.
- the processing unit 70 receives the update completion notification from the execution units 80a, 80b, it sends an update completion notification of the functional status of the electronic control device 40 to the management unit 60. This allows the user to confirm that the functional status update has been completed.
- the command generation unit generates individual commands for each electronic control device.
- Function management system 1 ⁇ vehicle, 2 0 gateway, 3 ⁇ user interface, 4 0 electronic control unit, 4 1 CPU, 4 2 nonvolatile memory, 5 ⁇ in-vehicle network, 6 0 management section, 6 2 message generation unit, 6 3 MAC generation unit, 6 4 storage unit, 7 ⁇ processing unit, 7 1 reading unit, 7 2 determination unit, 7 3 command generation unit, 7 4 encryption unit, 7 5 MAC decryption unit, 7 6 storage section, 8 ⁇ execution section, 8 1 decryption section, 8 2 authentication section, 8 3 output section, 8 4 storage section, 1 0 0 server device, 2 0 0 terminal device, 3 0 0 diagnostic tester, 3 1
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Power Engineering (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Small-Scale Networks (AREA)
Abstract
セキュリティ性の高い認証を実現しつつ、ユーザーにとって利便性の高い、機能管理シ ステムおよび機能管理方法を提供することこと。 本発明の係る機能管理システム(1)は、車両(10)に搭乗するユーザの入力に応じ て、車両に搭載される車載ネットワーク(50)を構成する電子制御装置(40)の機能 を有効化または無効化するためのメッセージを生成するメッセージ生成部(62)を有す る管理部(60)と、電子制御装置の機能毎に割り当てられる識別情報を用いて、メッセ ージを処理する処理部(70)と、処理部によって処理されるメッセージに応じて、機能 の実行を有効または無効にする機能状態を変更する実行部(80)とを備える、機能管理 システムにおいて、管理部(60)は、メッセージを受信したのちに、現在の機能の機能 状態を読出す読出部(71)と、メッセージによる要求と機能状態を比較し、機能を有効 または無効にするかどうかを判定する判定部(72)と、判定に従い、実行部へ送信する コマンドを生成するコマンド生成部(73)と、を備える。
Description
【書類名】 明細書
【発明の名称】 機能管理システム、 および機能管理方法
【技術分野】
【。 0 0 1】 本発明は、 車両の機能管理システム、 および機能管理方法に関する。
【背景技術】
【。 0 0 2】 従来から、 車両に搭載される複数の電子制御装置に共通の共通鍵を用いて、 サーバ装置 が各電子制御装置の正当性を検証するシステムが知られている (特許文献 1参照) 。 特許 文献 1記載の装置では、 サーバ装置により認証された電子制御装置に更新ファームウェア の更新等を許可するように構成される。
【先行技術文献】
【特許文献】
【〇 0 0 3】
【特許文献 1】 特開 2 0 1 7 — 0 1 7 6 1 6号公報
【発明の概要】
【発明が解決しよう とする課題】
【〇 0 0 4】 しかし、 特許文献 1記載の装置のように、 複数の電子制御装置に共通する共通鍵を用い て電子制御装置等の正当性を検証する場合、 共通鍵が漏洩すると、 共通鍵の漏洩元の特定 が困難となり、 漏洩した共通鍵を用いてサーバ装置に不正アクセスされる恐れがある
【〇 0 0 5】 そこで、 本発明は、 セキュリティ性の高い認証を実現しつつ、 ユーザーにとって利便性 の高い、 機能管理システムおよび機能管理方法を提供することを目的とする。
【課題を解決するための手段】
【〇 0 0 6】 上記目的を達成するため、 本発明の一局面によれば、 ユーザの入力に応じて、 車両に搭 載される車載ネッ トワークを構成する電子制御装置の機能を有効化または無効化するため のメッセージを生成するメッセージ生成部を有する管理部と、 電子制御装置の機能毎に割 り当てられる識別情報を用いて、 メッセージを処理する処理部と、 処理部によって処理さ れるメ ッセージに応じて、 機能の有効化または無効化の機能状態を変更する実行部と、 を 備える、 機能管理システムにおいて、 処理部は、 メッセージを受信したのちに、 現在の機 能の機能状態を読出す読出部と、 メッセージによる要求と機能状態を比較し、 機能状態を 変更するかどうかを判定する判定部と、 該判定に従い、 実行部へ送信するコマンドを生成 するコマンド生成部と、 を備える機能管理システムが提供される。
【発明の効果】
【〇 0 0 7】 本発明によれば、 セキュリティ性の高い認証を実現しつつ、 迅速に機能状態を更新でき る機能管理システムおよび機能管理方法を提供することができる。
【図面の簡単な説明】
【〇 0 0 8】
【図 1】 本発明の実施形態に係る機能管理システムの構成の一例を概略的に示す図。
【図 2】 図 1の管理部、 処理部、 実行部のそれぞれの要部構成を概略的に示すブロッ ク図。
【図 3】 実行部の記憶部に記憶される電子制御装置の機能状態の一例を示す図。
【図 4】 処理部の記憶部に記憶される電子制御装置の前記機能毎に割り当てられる識 別情報の一例を示す図。
【図 5】 図 1の機能管理システムにより実行されるサーバ装置、 ゲートウェイ、 およ び電子制御装置における認証処理の第 1実施形態を示すシーケンス図。
【図 6】 図 1の機能管理システムにより実行されるサーバ装置、 ゲートウェイ、 およ
び電子制御装置における認証処理の第 2実施形態を示すシーケンス図。
【図 7】 図 1の機能管理システムにより実行されるサーバ装置、 ゲートウェイ、 およ び電子制御装置における認証処理の第 3実施形態を示すシーケンス図。
【発明を実施するための形態】
[ 0 0 0 9 ] 図 1は、 一つの実施形態に係る車両 1 0及び機能管理システム 1を示す図である。 図 1 においては、 車両 1 0の一例として鞍乗型車両 (自動二輪車等) が示されている。 車両 1
〇は、 ゲートウェイ 2 0 と、 ユーザインターフェース 3 0 と、 駆動制御用 E C U_A ( 4 。 a ) 、 ブレーキ制御用 E C U_B ( 4 0 b ) 、 ステアリング制御用 E C U_C ( 4 〇 c ) と車載ネッ トワーク 5 0を備える。 尚、 以下の説明において駆動制御用 E C U_A (4 0 a ) 、 ブレーキ制御用 E C U_B ( 4 0 ) 、 およびステアリング制御用 E C U_ C (4 0 c ) をまとめて、 電子制御装置 4 0として表現する場合がある。 ゲートウェイ 2 〇とユーザインターフェース 3 〇 と複数の電子制御装置 4 〇は、 車載ネッ トワーク 5 0に 接続される。 車載ネッ トワーク 5 0として、 例えば C ANが使用される。 CANは車両に 搭載される通信ネッ トワークの一っとして知られている。 ゲートウェイ 2 0 とユーザイン ターフェース 3 〇 と各電子制御装置 4 〇とは、 車載ネッ トワーク 5 〇を介してデータを交 換することができる。 電子制御装置 4 〇は、 車載ネッ トワーク 5 0を介して、 他の電子制 御装置 4 0との間でデータを交換する。
[ 0 0 1 0 ] 電子制御装置 4 0は、 車両 1 0に備わる車載コンピュータである。 電子制御装置 4 0 は、 駆動制御用 E C U_A (4 0 a ) 、 ブレーキ制御用 E C U_B ( 4 0 b ) 、 ステァリ ング制御用 E C U_C ( 4 0 c ) 等、 機能の異なる複数の E C Uにより構成される。 尚、 実行される車両制御機能の種類によっては、 複数の電子制御装置 4 〇を同時に制御するこ とによって 1つの機能が実現される場合もある。 例えば、 車両を道路の路肩に緊急停車さ せる緊急車両停車機能を実現するには、 ブレーキ制御用 E C U_B ( 4 0 b ) とステアリ ング制御用 E C U_C ( 4 0 c ) を同時に制御することが必要となる。 また、 車両のトラ クション制御を行う場合には、 駆動制御用 E C U_A ( 4 0 a ) とブレーキ制御用 E C U _B ( 4 0 b ) を同時に制御する場合がある。
[ 0 0 1 1 ] 電子制御装置 4 0は、 実行部 8 0、 C P U (C e n t r a 1 P r o c e s s i n g U n i t ) 4 1、 および不揮発性メモリ 4 2を備える。 尚、 以下の説明において駆動制御 用 E C U_A ( 4 0 a ) 、 ブレーキ制御用 E C U_B ( 4 0 b ) 、 およびステアリング制 御用 E C U_C (4 0 c ) 個別の実行部、 C P U、 および不揮発性メモリを表現する場合 は、 図 1における符号 a~ cを付して説明する。 C P U 4 1は、 電子制御装置 4 0にイン ス トールされたファームウエアを実行する。 ファームウェアはソフ トウェアつまりコンピ ユータプログラムの一種である。 不揮発性メモリ 4 2は電子制御装置 4 〇が実行するファ ームウェアやデータ等を記憶する。 また不揮発性メモリ 4 2は、 C P Uによる各ファーム ウェアの実行を可能または無効にする機能状態データを記憶する。 不揮発性メモリ 4 2 は、 R OM (リードオンリメモリ ) や R AM (ランダムアクセスメモリ ) 、 フラッシュメ モリなどから構成される。
[ 0 0 1 2 ] ゲートウェイ 2 0は、 インターネッ ト網や携帯電話網などに代表される公衆無線通信網 を含む無線通信ネッ トワーク 4 0 0を介してサーバ装置 1 〇 〇や端末装置 2 0 0 と通信す る。 また、 ゲートウェイ 2 〇は診断コネクタ 3 1 0を介して、 診断テスタ 3 0 0 とデータの やり取りが可能である。
[ 0 0 1 3 ] ゲートウェイ 2 0は、 機能的構成としての処理部 7 〇を備える。 処理部 7 〇は、 サーバ 装置 1 〇 〇や端末装置 2 0 0から送信されるメッセージを処理し、 電子制御装置 4 〇の実 行部 8 〇に機能状態を変更させるためのコマンドを生成する。
[ 0 0 1 4 ] サーバ装置 1 0 0、 端末装置 2 0 0、 および診断テスタ 3 0 0には機能的構成として、 管理部 6 0が備えられており、 ユーザの入力に応じて、 電子制御装置 4 0の機能の実行を 有効、 または無効にするためメッセージを生成する。
[ 0 0 1 5 ] 端末装置 2 0 0は、 ユーザが所有するスマートフォーン等の携帯端末や、 ファームウェ アを管理する会社のオペレータが操作するコンピュータ端末のことである。
[ 0 0 1 6 ] サーバ装置 1 〇 〇は更新されたファームウェアを管理し、 端末装置 2 0 0からの要求に 応じて、 更新されたファームウェアを配信する機能を備える。 更新されたファームウェア は、 端末装置 2 0 0からの指令により、 サーバ装置 1 0 0から直接電子制御装置 4 0へイ ンス トールされても良いし、 サーバ装置 1 〇 〇から更新されたファームウェアを一旦端末 装置 2 〇 〇へダウンロードして、 端末装置 2 0 0から電子制御装置 4 〇へインス トールさ れるようにしてもよい。
[ 0 0 1 7 ] 診断テスタ 3 0 0は、 電子制御装置 4 0のファームウェアの不具合箇所を読み出し、 不 揮発性メモリ内のファームウェアを消去したり、 シミュレーションテス ト等を行うことの できる診断機である。
[ 0 0 1 8 ] 図 2は、 管理部 6 0、 処理部 7 0、 および実行部 8 0の要部構成を概略的に示すブロッ ク図である。
[ 0 0 1 9 ] 管理部 6 〇は、 機能的構成として、 インターフェース 6 1 と、 メ ッセージ生成部 6 2 と、 MAC 生成部 6 3 と記憶部 6 4を有する。 メッセージ生成部 6 2はデータ生成部を構 成し、 MAC 生成部 6 3はコード生成部を構成する。
[ 0 0 2 0 ] メ ッセージ生成部 6 2は、 インターフェース 6 1によって認識されるユーザからの要求 を反映したメ ッセージを生成する。 具体的には、 電子制御装置 4 0の機能の一部を有効 化、 または無効化するためのメ ッセージを生成する。 メ ッセージ生成部 6 2により生成さ れたメ ッセージは、 予め設定された有効期間 (例えば、 1 0分間) とともに記憶部 6 4に 記憶される。
[ 0 0 2 1 ]
MAC 生成部 6 3は、 メッセージ生成部 6 2により生成されたメ ッセージを、 記憶部 6 4 に記憶された MAC鍵 (暗号化鍵) を用いて暗号化し、 メ ッセージを元データとするメ ッセージ認証コード (以下、 単に 「MAC (M e s s a g e A u t h e n t i c a t i 〇 n C o d e ) J ともいう ) を生成する。 MA C生成部 6 3により生成される MA C は、 認証コードを構成し、 MAC生成部 6 3は、 処理部 7 0に送信するための MAC (認 証コード) を生成する。
[ 0 0 2 2 ]
MAC 生成部 6 3により生成される MA Cは、 公知の MACアルゴリズムを用いて生成 される。 公知の MACアルゴリズムには、 ハッシュ関数を使用する方式 (HMAC) やブ ロック暗号アルゴリズムを使用する方式 (〇 MAC/CMAC 、 C B C — MAC、 P M A C ) などがあり、 MAC生成部 6 3は、 これらを使用して MA C鍵を用いたデータの暗号 化を行う。
[ 0 0 2 3 ] 処理部 7 〇は機能的構成として、 読出部 7 1 と、 判定部 7 2 と、 コマンド生成部 7 3 と、 暗号化部 7 4 と、 MA C復号部 7 5 と、 記憶部 7 6を有する。
[ 0 0 2 4 ] 読出部 7 1は、 各電子制御装置 4 0における各機能の機能状態を読み出す。 具体的に は、 電子制御装置 4 0に格納された機能が、 有効であるのか、 無効であるのか、 それとも
[ 0 0 3 1 ] 暗号化部 7 4は、 コマンド生成部 7 3により生成されたコマンドを、 記憶部 7 6に記憶 された鍵を用いて暗号化し、 k e yを生成する。 暗号化部 7 4により生成される k e y は、 公知の共通鍵暗号方式 ( A E S ) を用いて生成される。 暗号化部 7 4により生成され た k e yは、 予め設定された有効期間 (例えば、 1 0分間) とともに記憶部 7 6に記憶さ れる。
[ 0 0 3 2 ] 暗号化方式は共通鍵暗号方式以外に公開鍵暗号方式が用いられてもよい。 しかし、 本実 施例においては、 処理時間がより速い共通鍵暗号方式であることが望ましい。 コマンドの 送受信は車載ネッ トワーク内で実施されるため、 共通鍵が外部に漏洩するリスクは低いの で、 共通鍵暗号方式を採用することにより安全かつ迅速な処理が可能となる。
[ 0 0 3 3 ]
M A C復号部 7 5は、 記憶部 7 6に記憶された M A C鍵を用いて、 管理部 6 0から送信 されるメ ッセージを復号して、 M A Cを暗号化前の元データに戻す。 すなわち、 M A C復 号部 7 5は、 M A Cを復号して、 元データのメ ッセージに戻す。 M A C復号部 7 5は、 管 理部 6 0 と同じ M A Cアルゴリズムの暗号化方式を用いて、 M A Cを復号する。 このた め、 管理部 6 0 と処理部 7 0とでは、 暗号化および復号に使用される M A Cアルゴリズム の方式が予め設定されている。 M A Cが復号されることによって、 判定部 7 2における判 定を行うことが可能となる。
[ 0 0 3 4 ] 次に実行部 8 〇について説明する。 実行部 8 〇は機能的構成として、 復号部 8 1 と、 認証部 8 2 と、 出力部 8 3 と、 記憶部 8 4と、 を有する。
[ 0 0 3 5 ] 復号部 8 1は、 記憶部 8 4に記憶される鍵を用いて、 処理部 7 0から送信され、 暗号化 されたコマンドを復号する。 復号部 8 1は、 暗号化部 7 4で使用され、 記憶部 8 4に記憶 される共通鍵を使用してコマンドを復号する。
[ 0 0 3 6 ] 認証部 8 2は、 送信されたコマンドと復号されたコマンドとが一致すると判定された場 合に、 処理部 7 〇を認証する。 一方、 認証部 8 2によって、 送信されたコマンドと復号さ れたコマンドが一致しないと判定されると、 認証部 8 2は処理部 7 0を認証しない。 この 場合には、 認証部 8 2は、 処理部 7 0との接続を遮断させる。
[ 0 0 3 7 ] 記憶部 8 4は、 処理部 7 0が認証されると、 処理部 7 0から送信されるコマンドに基づ き、 機能状態の変更するためのコマンドを記憶する。
[ 0 0 3 8 ] 出力部 8 3は、 車両 1 0の次のパワーサイクルにおいて、 記憶部 8 4に記憶されたコマ ンドに従い、 電子制御装置 4 〇の不揮発性メモリ 4 2に記憶される現在の機能状態を上書 きする。
[ 0 0 3 9 ] 次に図 5を参照して、 第 1実施形態の動作を説明する。 図 5は、 第 1実施形態の機能管 理方法のシーケンスチャートである。
[ 0 0 4 0 ]
(ステップ S 1 ) 利用者等が端末装置 2 0 0または診断テスタ 3 0 0の入力部 (図示せ ず) を操作して電子制御装置 4 0の機能状態の変更を要求する。 具体的には、 入力部を介 して、 特定の機能を有効化、 または無効化するための要求を入力する。
[ 0 0 4 1 ]
(ステップ S 2 ) メ ッセージ生成部 6 2は、 ステップ S 1におけるユーザによる入力に 基づき、 機能を有効化、 または無効化するためのメ ッセージを生成する。 メ ッセージ生成 部 6 2により生成されるメッセージは、 予め設定された有効期間 (例えば、 1 0分間) と
ともに記憶部 6 4に一時的に記憶される。
[ 0 0 4 2 ]
(ステップ S 3 ) MA C生成部 6 3は、 メ ッセージ生成部 6 2により生成されたメ ッセ ージを、 記憶部 6 4に記憶された MAC鍵 (暗号化鍵) を用いて暗号化し、 メ ッセージを 元データとするメッセージ認証コードを生成する。
[ 0 0 4 3 ]
(ステップ S 4 ) 管理部 6 0は、 ステップ S 3により暗号化されたメ ッセージを処理部 7 〇へ送信する。
[ 0 0 4 4 ]
(ステップ S 5 ) 処理部 7 0の MAC復号部 7 5は、 管理部 6 0から受信したメ ッセー ジを記憶部 7 6に記憶される MAC鍵を使用して MAC を復号する。 所定のアルゴリズム により MAC を復号できない場合 (n o ) には、 エラーメッセージを管理部 6 0へ送信 し、 処理を終了する。
[ 0 0 4 5 ]
(ステップ S 6 ) ステップ S 5における復号が成功する ( y e s ) と、 読出部 7 1は、 対象となる機能の電子制御装置 4 〇における機能状態の読出しを実施する。 読出部 7 1 は、 電子制御装置 4 0に対して当該機能の機能状態の問い合わせし、 電子制御装置 4 0か ら現在の機能状態の応答を得る。
[ 0 0 4 6 ]
(ステップ S 7 ) 判定部 7 2は、 ステップ S 5で復号されたメッセージとステップ S 6 で電子制御装置 4 〇から得た現在の機能状態を比較し、 メ ッセージに従い機能状態を変更 すべきかどうかの判定を行う。 判定に際して、 少なく とも以下の点が考慮される :
•機能状態の変更が禁止されている機能に該当しないか
• メッセージによる要求と現在の機能状態の整合が取れているか (つまりメ ッセージに よる要求と現在の機能状態に違いがあるか) メ ッセージに従い機能状態を変更すべきでない (n o ) 、 と判定されると、 「変更済 み」 、 または 「変更のサポートがされていない」 旨のメ ッセージを管理部へ送信し、 処理 を終了する。
[ 0 0 4 7 ]
(ステップ S 8 ) ステップ S 7において、 判定部 7 2によりメ ッセージに従い機能状態 を変更すべき (y e s ) と判定されると、 コマンド生成部 7 3は、 機能状態を変更するた めのコマンドを生成する。 コマンドの生成にあたり、 識別情報が参照される。
[ 0 0 4 8 ]
(ステップ S 9 ) 暗号化部 7 4は、 コマンド生成部 7 3により生成されたコマンドを、 記憶部 7 6に記憶された共通鍵を用いて暗号化し、 k e yを生成する。 暗号化部 7 4によ り生成される k e yは、 公知の共通鍵暗号方式 (AE S ) を用いて生成される。 暗号化部 7 4により生成された k e yは、 予め設定された有効期間 (例えば、 1 0分間) とともに 記憶部 7 6に記憶される。
[ 0 0 4 9 ]
(ステップ S 1 〇 ) 処理部 7 0は、 ステップ S 9によって暗号化されたコマンドを実行 部 8 0へ送信する。
[ 0 0 5 0 ]
(ステップ S 1 1 ) 実行部 8 〇は、 処理部 7 〇から受信し、 暗号化されたコマンドの電 子署名を電子制御装置 4 0の共通鍵を使用して復号する。 記憶部 8 4は、 予め、 電子制御 装置 4 0の共通鍵を保持する。 復号されたコマンドは、 当該コマンドに基づき、 電子制御 装置 4 0の機能状態を上書きする前に、 一旦記憶部 8 4に保存される。 共通鍵により復号 できない場合 (n o ) には、 処理部 7 0を認証せず、 処理部 7 0との接続を遮断する。
[ 0 0 5 1 ]
(ステップ S 1 2 ) 実行部 8 0は、 車両 1 〇における次のパワーサイクル (つまり、 車 両電源のオンオフ、 またはイグニッションのオンオフ) において、 記憶部 8 4に保存され
たコマンドに基づき、 電子制御装置 4 〇の不揮発性メモリ 4 2に記憶される機能状態管理 データの機能状態を更新する。 車両が停車または駐車状態にある場合にのみ更新を実行す るようにしてもよい。 車両の停車状態や駐車状態は、 例えば、 車速センサの信号を評価す ることによって、 または車両が鞍乗型車両である場合には、 鞍乗型車両を駐車する際に使 用するスタンドの状態を検出するセンサの信号を評価することによって判断することがで きる。
[ 0 0 5 2 ]
(ステップ S 1 3 ) 実行部 8 〇は、 機能状態の更新処理の実行が完了した場合に、 更新 完了通知を処理部 7 0へ送信する。 処理部 7 0は、 実行部 8 0から更新完了通知を受信す ると、 電子制御装置 4 0の機能状態の更新完了通知を管理部 6 0へ送信する。 これにより ユーザは機能状態の更新完了を確認することができる。
[ 0 0 5 3 ] なお、 ステップ S 1 3の更新完了通知については、 実行してもよく、 又は、 実行しなく てもよい。 また、 更新完了通知は処理部 7 0からユーザインターフェース 3 0へ送信され てもよい。
[ 0 0 5 4 ] 上述した第 1実施形態によれば、 ゲートウェイの処理部が、 サーバ装置または端末装置 から受信した M A C付きメッセージの電子署名を復号する。 次いで、 処理部が、 電子署名 の復号が成功したメッセージと現在の電子制御装置の機能状態を比較し、 機能状態を変更 すべきと判定すると電子制御装置の共通鍵を使用して電子署名を施す。 次いで、 処理部 が、 電子制御装置の共通鍵を使用して電子署名が施されたコマンドを電子制御装置の実行 部へ送信する。 実行部は、 処理部から受信した電子署名付きコマンドを、 自己の共通鍵で 検証する。 電子制御装置は、 電子署名の検証が成功したコマンドのみを使用して、 機能状 態を変更する。
[ 0 0 5 5 ] これにより、 端末装置等とゲートウェイ間のワイヤレス通信におけるメ ッセージの送受 信においては、 M A C付きのメ ッセージの送受信となるので、 なりすまし等による他人か らのアクセスを遮断することができる。 一方、 ゲートウェイと電子制御装置間の送受信は 車載ネッ トワーク内の閉じられた回路内で行われるため、 共通鍵を使用することによって セキュリティ とプロセスの迅速化の両面を満たすことのできるデータの送受信が可能とな る。
[ 0 0 5 6 ] 次に図 6を参照して、 機能が少なく とも 2つの電子制御装置を用いて実行される第 2実 施形態の動作を説明する。 図 6は、 第 2実施形態の機能管理方法のシーケンスチャートで ある。 なお、 ステップ S 1からステップ S 9までは第 1実施形態と同一であるので、 以下では 第 2実施形態におけるステップ S 1 〇以降について説明する。
[ 0 0 5 7 ]
(ステップ S 1 〇 ) 処理部 7 0は、 ステップ S 9によって暗号化されたコマンドを対象 の機能を実行するために選択された 1つの電子制御装置へ送信する。 第 2実施形態におい ては、 機能を実行するために選択された E C U _ B ( 4 0 b ) の実行部 8 0 へコマンド が送信される。
[ 0 0 5 8 ]
(ステップ S 1 1 ) 選択された E C U _ B ( 4 0 b ) の実行部 8 0 bは、 処理部 7 〇か ら受信し、 暗号化されたコマンドの電子署名を電子制御装置 4 〇の共通鍵を使用して復号 する。 記憶部 8 4は、 予め、 電子制御装置 4 0の共通鍵を保持する。 復号されたコマンド は、 当該コマンドに基づき、 電子制御装置 4 0の機能状態を上書きする前に、 一旦該実行 部の記憶部 8 4に保存される。 実行部 8 0 bで共通鍵により復号できない場合 ( n o ) に は、 処理部 7 0を認証せず、 処理部 7 0 との接続を遮断する。
[ 0 0 5 9 ]
〇から受信し、 暗号化されたコマンドの電子署名を電子制御装置 4 〇の共通鍵を使用して 復号する。 記憶部 8 4は、 予め、 電子制御装置 4 0の共通鍵を保持する。 復号されたコマ ン ドは、 当該コマンドに基づき、 E C U_A ( 4 0 a ) と E C U_B ( 4 0 b ) の機能状 態を上書きする前に、 一旦実行部 8 0 a と実行部 8 0 の記憶部に保存される。 E C U_ A (4 0 a ) と E C U_B ( 4 0 b ) のいずれかの実行部 8 0 a、 8 0 bで共通鍵により 復号できない場合には、 処理部 7 0を認証せず、 処理部 7 0 との接続を遮断する。
[ 0 0 6 8 ]
(ステップ S 1 2、 ステップ S 1 2 ' ) 実行部 8 0 a、 8 0 bは、 車両 1 〇における次 のパワーサイクルにおいて、 実行部 8 〇 a と実行部 8 〇 bの記憶部に保存されたコマンド に基づき、 E C U_A ( 4 0 a ) と E C U_B ( 4 0 b ) の不揮発性メモリ 4 2 a、 4 2 b に記憶される機能状態管理データの機能状態を更新する。 更新を行うにあたり、 車両が 停車状態にある場合にのみ上書きを実行するようにしてもよい。
[ 0 0 6 9 ]
(ステップ S 1 3、 ステップ S 1 3 ' ) 実行部 8 0 a、 8 0 bは、 機能状態の更新処理 の実行が完了した場合に、 更新完了通知を処理部 7 0へ送信する。 処理部 7 0は、 実行部 8 0 a、 8 0 bから更新完了通知を受信すると、 電子制御装置 4 0の機能状態の更新完了 通知を管理部 6 〇へ送信する。 これによりユーザは機能状態の更新完了を確認することが できる。
[ 0 0 7 0 ] 上述した第 3実施形態によれば、 コマンド生成部がそれぞれの電子制御装置向けに個別 のコマンドを生成する。
[ 0 0 7 1 ] これにより、 複数の電子制御装置によって機能が実施される場合のコマンドの実行を各 電子制御装置内で完結させることができ、 セキュリティをさらに向上させることができ る。
[符号の説明]
[ 0 0 7 2 ]
! 機能管理システム、 1 〇 車両、 2 0 ゲートウェイ、 3 〇 ユーザインターフェー ス、 4 0 電子制御装置、 4 1 C P U、 4 2 不揮発性メモリ、 5 〇 車載ネッ トワー ク、 6 0 管理部、 6 2 メッセージ生成部、 6 3 MAC生成部、 6 4 記憶部、 7 〇 処理部、 7 1 読出部、 7 2 判定部、 7 3 コマンド生成部、 7 4 暗号化部、 7 5 MAC 復号部、 7 6 記憶部、 8 〇 実行部、 8 1 復号部、 8 2 認証部、 8 3 出力 部、 8 4 記憶部、 1 0 0 サーバ装置、 2 0 0 端末装置、 3 0 0 診断テスタ、 3 1
〇 診断コネクタ、 4 0 0 無線通信ネッ トワーク。
Claims
【請求項 1】 ユーザの入力に応じて、 車両に搭載される車載ネッ トワークを構成する電子制御装置 ( 4 〇 ) の機能を有効化または無効化するためのメ ッセージを生成するメ ッセージ生成部 ( 6 2 ) を有する管理部 ( 6 0 ) と、 前記電子制御装置の前記機能毎に割り当てられる識別情報を用いて、 前記メ ッセージを 処理する処理部 ( 7 0 ) と、 前記処理部によって処理される前記メッセージに応じて、 前記機能の実行を有効または 無効にする機能状態を変更する実行部 ( 8 0 ) と、 を備える、 機能管理システム ( 1 ) に おいて、 前記処理部は、 前記メ ッセージを受信したのちに、 前記機能状態を読出す読出部 ( 7 1 ) と、 前記メ ッセージによる要求と前記機能状態を比較し、 前記機能状態を変更するかどうか を判定する判定部 ( 7 2 ) と、 前記判定に従い、 前記実行部へ送信するコマンドを生成するコマンド生成部 ( 7 3 ) と 、 を備える機能管理システム。
【請求項 2】 前記処理部は、 メ ッセージ認証コードが施された前記メ ッセージを、 M A C鍵を使用し て復号する M A C復号部 ( 7 5 ) を有する、 請求項 1記載の機能管理システム。
【請求項 3】 前記処理部は、 前記コマンドに共通鍵を使用して暗号化を施す暗号化部 ( 7 4 ) を有す る、 請求項 1記載の機能管理システム。
【請求項 4 ] 前記実行部は、 前記車両の停車または駐車状態を確認した後に、 前記電子制御装置の前 記機能状態を変更する、 請求項 1記載の機能管理システム。
【請求項 5】 前記機能が複数の前記電子制御装置により実現される場合、 選択された 1つの前記電子 制御装置における前記実行部が、 それぞれの前記電子制御装置における前記機能状態を変 更する、 請求項 1記載の機能管理システム。
【請求項 6】 前記機能が複数の前記電子制御装置により実現される場合、 前記コマンド生成部がそれ ぞれの前記電子制御装置に対する個別の前記コマンドを生成する請求項 1記載の機能管理 システム。
【請求項 ? ] 前記車両は、 鞍乗型車両 ( i o ) である、 請求項 1記載の機能管理システム。
【請求項 8 ] 車両に搭載される車載ネッ トワークを構成する電子制御装置の機能の機能状態を管理す る機能管理方法であって、 ユーザの入力に応じて、 前記機能の実行を有効または無効にするためのメッセージを生 成するメ ッセージ生成ステップと、 前記メ ッセージ生成ステップの後に、 現在の前記機能状態を読出す読出ステップと、 前記メ ッセージによる要求と前記機能状態を比較し、 前記機能を有効または無効にする かどうかを判定する判定ステップと、 前記判定に従い、 前記機能状態を変更するためのコマンドを生成するコマンド生成ステ ップと、 を備える機能管理方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022152932 | 2022-09-26 | ||
JP2022-152932 | 2022-09-26 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2024069264A1 true WO2024069264A1 (ja) | 2024-04-04 |
Family
ID=87974773
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/IB2023/058031 WO2024069264A1 (ja) | 2022-09-26 | 2023-08-09 | 機能管理システム、および機能管理方法 |
Country Status (1)
Country | Link |
---|---|
WO (1) | WO2024069264A1 (ja) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170278320A1 (en) * | 2016-03-23 | 2017-09-28 | Kabushiki Kaisha Toshiba | In-vehicle gateway device, storage control method, and computer program product |
US20200053112A1 (en) * | 2018-01-22 | 2020-02-13 | Panasonic Intellectual Property Corporation Of America | Vehicle anomaly detection server, vehicle anomaly detection system, and vehicle anomaly detection method |
US20200211301A1 (en) * | 2018-12-27 | 2020-07-02 | Didi Research America, Llc | Repair management system for autonomous vehicle in a trusted platform |
-
2023
- 2023-08-09 WO PCT/IB2023/058031 patent/WO2024069264A1/ja unknown
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170278320A1 (en) * | 2016-03-23 | 2017-09-28 | Kabushiki Kaisha Toshiba | In-vehicle gateway device, storage control method, and computer program product |
US20200053112A1 (en) * | 2018-01-22 | 2020-02-13 | Panasonic Intellectual Property Corporation Of America | Vehicle anomaly detection server, vehicle anomaly detection system, and vehicle anomaly detection method |
US20200211301A1 (en) * | 2018-12-27 | 2020-07-02 | Didi Research America, Llc | Repair management system for autonomous vehicle in a trusted platform |
Non-Patent Citations (1)
Title |
---|
KORNAROS G ET AL: "Towards holistic secure networking in connected vehicles through securing CAN-bus communication and firmware-over-the-air updating", JOURNAL OF SYSTEMS ARCHITECTURE, ELSEVIER BV, NL, vol. 109, 17 March 2020 (2020-03-17), XP086272655, ISSN: 1383-7621, [retrieved on 20200317], DOI: 10.1016/J.SYSARC.2020.101761 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3690643B1 (en) | Vehicle-mounted device upgrading method and related device | |
EP3780481B1 (en) | Method for upgrading vehicle-mounted device, and related device | |
CN111131313B (zh) | 智能网联汽车更换ecu的安全保障方法及系统 | |
EP3723399A1 (en) | Identity verification method and apparatus | |
US11321074B2 (en) | Vehicle-mounted device upgrade method and related apparatus | |
JP6065113B2 (ja) | データ認証装置、及びデータ認証方法 | |
EP3926500B1 (en) | Device upgrade method and related device | |
JP5189073B2 (ja) | 動産、特に自動車を未許可の使用から保護する方法、コンピュータプログラム、および動産 | |
CN110708388B (zh) | 用于提供安全服务的车身安全锚节点设备、方法以及网络系统 | |
CN110621014B (zh) | 一种车载设备及其程序升级方法、服务器 | |
JP2010011400A (ja) | 共通鍵方式の暗号通信システム | |
CN115396121B (zh) | 安全芯片ota数据包的安全认证方法及安全芯片装置 | |
CN110768938A (zh) | 一种车辆安全通信方法及装置 | |
US9230433B2 (en) | Method and apparatus for authenticating group driving of moving object | |
CN111565182B (zh) | 一种车辆诊断方法、装置及存储介质 | |
CN113709695A (zh) | 车辆使用的授权方法及系统 | |
CN111083696B (zh) | 通信验证方法和系统、移动终端、车机端 | |
JP2021145205A (ja) | 認証システム | |
CN108599961A (zh) | 一种通信方法、车载终端、汽车服务平台及系统 | |
CN111510448A (zh) | 汽车ota升级中的通讯加密方法、装置及系统 | |
CN113556710B (zh) | 一种车辆蓝牙钥匙方法、装置及车辆 | |
CN109743283B (zh) | 一种信息传输方法及设备 | |
WO2024069264A1 (ja) | 機能管理システム、および機能管理方法 | |
US10263976B2 (en) | Method for excluding a participant from a group having authorized communication | |
JP2016152438A (ja) | ソフトウェア更新装置、携帯端末及びソフトウェア更新システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 23767969 Country of ref document: EP Kind code of ref document: A1 |