知財求人 - 知財ポータルサイト「IP Force」
特許6132955検証システム、検証装置、検証方法、及びコンピュータプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】6132955
(24)【登録日】2017年4月28日
(45)【発行日】2017年5月24日
(54)【発明の名称】検証システム、検証装置、検証方法、及びコンピュータプログラム
(51)【国際特許分類】
H04L 9/08 20060101AFI20170515BHJP
【FI】
H04L9/00 601B
【請求項の数】9
【全頁数】15
(21)【出願番号】特願2016-84545(P2016-84545)
(22)【出願日】2016年4月20日
【審査請求日】2017年2月17日
(73)【特許権者】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100106909
【弁理士】
【氏名又は名称】棚井 澄雄
(74)【代理人】
【識別番号】100064908
【弁理士】
【氏名又は名称】志賀 正武
(74)【代理人】
【識別番号】100146835
【弁理士】
【氏名又は名称】佐伯 義文
(72)【発明者】
【氏名】高木 佳彦
(72)【発明者】
【氏名】竹森 敬祐
(72)【発明者】
【氏名】川端 秀明
【審査官】
金沢 史明
(56)【参考文献】
【文献】
特開2014−53675(JP,A)
【文献】
倉地亮,他,メッセージ認証を用いたCANの集中監視システム,電子情報通信学会論文誌A,日本,電子情報通信学会,2016年 2月 1日,Vol. J99-A,No. 2,pp. 118-130
【文献】
竹森敬祐,他,セキュアエレメントを活用したECU認証とコード認証の鍵管理,電子情報通信学会技術研究報告,日本,電子情報通信学会,2015年12月10日,Vol. 115,No. 365,pp. 227-232
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/08
(57)【特許請求の範囲】
【請求項1】
車両に搭載される車載コンピュータに個別の初期鍵又は複数の車載コンピュータに共通の初期鍵を車載コンピュータに書き込む書込装置と、
車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する検証装置と、
を備える検証システム。
車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する検証装置と、
を備える検証システム。
【請求項2】
前記書込装置は、前記鍵種別情報をさらに車載コンピュータに書き込む、
請求項1に記載の検証システム。
請求項1に記載の検証システム。
【請求項3】
前記書込装置は、車載コンピュータに個別の初期鍵と共に該初期鍵の生成に使用されたマスタ鍵を識別するマスタ鍵識別情報を車載コンピュータに書き込む、
請求項1又は2のいずれか1項に記載の検証システム。
請求項1又は2のいずれか1項に記載の検証システム。
【請求項4】
前記車載コンピュータに個別の初期鍵は、マスタ鍵と車載コンピュータ識別子とから生成された、
請求項1から3のいずれか1項に記載の検証システム。
請求項1から3のいずれか1項に記載の検証システム。
【請求項5】
前記複数の車載コンピュータに共通の初期鍵は、マスタ鍵と該複数の車載コンピュータに共通の車載コンピュータ識別子とから生成された、
請求項1から4のいずれか1項に記載の検証システム。
請求項1から4のいずれか1項に記載の検証システム。
【請求項6】
マスタ鍵と車載コンピュータ識別子とから初期鍵を生成する鍵生成装置をさらに備える、
請求項1から5のいずれか1項に記載の検証システム。
請求項1から5のいずれか1項に記載の検証システム。
【請求項7】
車両に搭載される車載コンピュータについての検証装置であり、
車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する、
検証装置。
車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する、
検証装置。
【請求項8】
書込装置が、車両に搭載される車載コンピュータに個別の初期鍵又は複数の車載コンピュータに共通の初期鍵を車載コンピュータに書き込む書込ステップと、
検証装置が、車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する検証ステップと、
を含む検証方法。
検証装置が、車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する検証ステップと、
を含む検証方法。
【請求項9】
コンピュータに、
車両に搭載される車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する機能、
を実現させるためのコンピュータプログラム。
車両に搭載される車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する機能、
を実現させるためのコンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、検証システム、検証装置、検証方法、及びコンピュータプログラムに関する。
【背景技術】
【0002】
従来、自動車は、ECU(Electronic Control Unit:電子制御装置)を有し、ECUによってエンジン制御等の機能を実現する。ECUは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。複数のECUをCAN(Controller Area Network)に接続して構成される車載制御システムについてのセキュリティ技術が例えば非特許文献1に記載されている。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】竹森敬祐、“セキュアエレメントを基点とした車載制御システムの保護 −要素技術の整理と考察−”、電子情報通信学会、信学技報、vol. 114、no. 508、pp. 73-78、2015年3月
【発明の概要】
【発明が解決しようとする課題】
【0004】
ECUには、ECUの製造時などに初期鍵がセットされる。初期鍵は、自動車に搭載されるECUを認証したり、又は、自動車に搭載されるECUに初期の鍵交換鍵をセットしたりする処理に使用される。初期鍵はECU毎に異なる個別の鍵であることが安全上好ましい。しかし、各ECUに個別に鍵を書き込むことはECUメーカに負担になる可能性があった。
【0005】
本発明は、このような事情を考慮してなされたものであり、初期鍵をECU等の車載コンピュータにセットする際の負担の軽減を図ることができる、検証システム、検証装置、検証方法、及びコンピュータプログラムを提供することを課題とする。
【課題を解決するための手段】
【0006】
(1)本発明の一態様は、車両に搭載される車載コンピュータに個別の初期鍵又は複数の車載コンピュータに共通の初期鍵を車載コンピュータに書き込む書込装置と、車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する検証装置と、を備える検証システムである。(2)本発明の一態様は、上記(1)の検証システムにおいて、前記書込装置は、前記鍵種別情報をさらに車載コンピュータに書き込む、検証システムである。
(3)本発明の一態様は、上記(1)又は(2)のいずれかの検証システムにおいて、前記書込装置は、車載コンピュータに個別の初期鍵と共に該初期鍵の生成に使用されたマスタ鍵を識別するマスタ鍵識別情報を車載コンピュータに書き込む、検証システムである。
(4)本発明の一態様は、上記(1)から(3)のいずれかの検証システムにおいて、前記車載コンピュータに個別の初期鍵は、マスタ鍵と車載コンピュータ識別子とから生成された、検証システムである。
(5)本発明の一態様は、上記(1)から(4)のいずれかの検証システムにおいて、前記複数の車載コンピュータに共通の初期鍵は、マスタ鍵と該複数の車載コンピュータに共通の車載コンピュータ識別子とから生成された、検証システムである。
(6)本発明の一態様は、上記(1)から(5)のいずれかの検証システムにおいて、マスタ鍵と車載コンピュータ識別子とから初期鍵を生成する鍵生成装置をさらに備える、検証システムである。
【0007】
(7)本発明の一態様は、車両に搭載される車載コンピュータについての検証装置であり、車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する、検証装置である。
【0008】
(8)本発明の一態様は、書込装置が、車両に搭載される車載コンピュータに個別の初期鍵又は複数の車載コンピュータに共通の初期鍵を車載コンピュータに書き込む書込ステップと、検証装置が、車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する検証ステップと、を含む検証方法である。
【0009】
(9)本発明の一態様は、コンピュータに、車両に搭載される車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する機能、を実現させるためのコンピュータプログラムである。
【発明の効果】
【0010】
本発明によれば、初期鍵をECU等の車載コンピュータにセットする際の負担の軽減を図ることができるという効果が得られる。
【図面の簡単な説明】
【0011】
【図1】第1実施形態に係る検証システムの構成例を示す図である。
【図2】第1実施形態に係る自動車100の構成例を示す図である。
【図3】第1実施形態に係る書込装置20aの動作の説明図である。
【図4】第1実施形態に係る書込装置20bの動作の説明図である。
【図5】第1実施形態に係る検証方法の例を示すフローチャートである。
【図6】第2実施形態に係る検証システムの構成例を示す図である。
【図7】第2実施形態に係るOEM供給元メーカ10−2の書込装置20aの動作の説明図である。
【図8】第3実施形態に係る検証システムの構成例を示す図である。
【発明を実施するための形態】
【0012】
以下、図面を参照し、本発明の実施形態について説明する。なお、以下に示す実施形態では、車両として自動車を例に挙げて説明する。
【0014】
[自動車の構成例]はじめに図2を参照して、自動車100の構成例を説明する。図2において、自動車100は、複数のECU(電子制御装置)110,120と、CAN130と、インフォテイメント(Infotainment)機器140と、診断ポート150とを備える。ECU110,120はCAN130に接続されている。CAN130は通信ネットワークである。CANは車両に搭載される通信ネットワークの一例として知られている。ECU110は、CAN130を介して、ECU120との間でデータを交換する。ECU120は、CAN130を介して、他のECU120との間でデータを交換する。
【0015】
なお、車両に搭載される通信ネットワークとして、CAN以外の通信ネットワークを自動車100に備え、CAN以外の通信ネットワークを介して、各ECU110,120の通信が行われてもよい。CAN以外の通信ネットワークとして、例えば、LIN(Local Interconnect Network)を自動車100に備えてもよい。
【0016】
ECU110,120は、コンピュータの一種である。ECU110,120は、自動車100に備わる車載コンピュータである。ECU110は、メイン演算部111とセキュアエレメント112とを備える。メイン演算部111は、CPU(Central Processing Unit:中央演算処理装置)及びメモリ等から構成される。セキュアエレメント(Secure Element)112は、耐タンパー性(Tamper Resistant)を有する。ECU120は、メイン演算部121とセキュアエレメント122とを備える。メイン演算部121は、CPU及びメモリ等から構成される。セキュアエレメント122は、耐タンパー性を有する。
【0017】
ECU110のメイン演算部111が該ECU110の機能を実現させるためのコンピュータプログラムを実行することによって、該ECU110の機能が実現される。同様に、ECU120のメイン演算部121が該ECU120の機能を実現させるためのコンピュータプログラムを実行することによって、該ECU120の機能が実現される。例えば、ECU110,120は、自動車100内の機器を制御する制御機能を有する。
【0018】
以下、説明の便宜上、ECU110を第1ECU110と称し、ECU120を第2ECU120と称する場合がある。また、第1ECU110と第2ECU120を特に区別しないときはECUと称する。第1ECU110は、自動車100に搭載されたECUのうち、ゲートウェイ機能を有するECUである。第2ECU120は、自動車100に搭載されたECUのうち、エンジン制御等の機能を有するECUである。第2ECU120として、例えば、エンジン制御機能を有するECU、ハンドル制御機能を有するECU、ブレーキ制御機能を有するECUなどがある。本実施形態において、自動車100の車載制御システムは、第1ECU110と第2ECU120とCAN130とを備える。
【0019】
セキュアエレメント112,122はデータの記憶機能を有する。また、セキュアエレメント112,122は、暗号処理機能を有してもよい。セキュアエレメント112,122として、例えば、耐タンパー性を有するICチップを使用してもよい。また、セキュアエレメント112,122として、耐タンパー性のある暗号処理チップを使用してもよい。耐タンパー性のある暗号処理チップとして、例えば、HSM(Hardware Security Module)、TPM(Trusted Platform Module)、TPMf、TPMt、又はSHE(Secure Hardware Extension)などと呼ばれる暗号処理チップが知られている。
【0020】
なお、セキュアエレメントとして、SIM(Subscriber Identity Module)やeSIM(Embedded Subscriber Identity Module)などの耐タンパー性を有する通信モジュールを使用してもよい。eSIMは、SIMの一種である。SIM及びeSIMは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。
【0021】
インフォテイメント機器140として、例えば、ナビゲーション機能、位置情報サービス機能、音楽や動画などのマルチメディア再生機能、音声通信機能、データ通信機能、インターネット接続機能などを有するものが挙げられる。インフォテイメント機器140は、外部機器200と接続して、外部機器200とデータを交換する。外部機器200として、例えば、携帯通信端末やオーディオビジュアル機器などが挙げられる。インフォテイメント機器140は第1ECU110に接続される。
【0022】
診断ポート150は、診断ツール210を接続する。診断ツール210は、診断ポート150を介して、第1ECU110や第2ECU120等の更新プログラムのインストールやデータの設定変更などを実行する。診断ポート150として、例えば、OBD(On-board Diagnostics)ポートを使用してもよい。
【0023】
インフォテイメント機器140は、第1ECU110を介して、CAN130に接続されている第2ECU120とデータを送受する。第1ECU110は、インフォテイメント機器140と第2ECU120との間のデータの送受を監視する。
【0024】
診断ツール210は、診断ポート150及び第1ECU110を介して、CAN130に接続されている第2ECU120とデータを送受する。第1ECU110は、診断ツール210と第2ECU120との間のデータの送受を監視する。
【0025】
[検証システムの構成例]次に図1を参照して、検証システムの構成例を説明する。図1において、OEM(Original Equipment Manufacturing)供給元メーカ10−1,10−2は、第1ECU110又は第2ECU120を製造する。また、OEM供給元メーカ10−1,10−2は、第1ECU110と第2ECU120の両方を製造してもよい。
【0026】
OEM供給元メーカ10−1は書込装置20aを備える。書込装置20aは、各ECUに個別に初期鍵を書き込む。書込装置20aにはリストファイル11aが入力される。リストファイル11aは、ECU識別子と初期鍵の組を有する。書込装置20aは、入力されたリストファイル11aが有するECU識別子と初期鍵の組ごとに、ECU識別子に対応するECUに初期鍵を書き込む。初期鍵が書き込まれたECU110,120は、OEM供給元メーカ10−1からOEM供給先メーカ30へ供給される。
【0027】
OEM供給元メーカ10−2は書込装置20bを備える。書込装置20bは、各ECUに共通に初期鍵を書き込む。書込装置20bには複数のECUに共通の初期鍵(鍵データ)Key_Yが入力される。書込装置20bは、入力された初期鍵Key_Yを、複数のECUに書き込む。初期鍵が書き込まれたECU110,120は、OEM供給元メーカ10−2からOEM供給先メーカ30へ供給される。
【0028】
OEM供給先メーカ30は、OEM供給元メーカ10−1,10−2から供給される第1ECU110及び第2ECU120を自社ブランドECUとして自動車100に使用する。OEM供給先メーカ30は検証装置40を備える。検証装置40は、OEM供給元メーカ10−1,10−2から供給された第1ECU110及び第2ECU120を検証する機能を有する。
【0029】
なお、検証装置40は、自動車100に備えられてもよい。例えば、自動車100のCAN130に検証装置40を接続し、検証装置40は、CAN130を介して、通信により、自動車100に備わる第1ECU110及び第2ECU120の検証を行ってもよい。また、自動車100に備わる第1ECU110が検証装置40の機能を有し、第1ECU110は、CAN130を介して、通信により、自動車100に備わる第2ECU120の検証を行ってもよい。
【0030】
図3は、本実施形態に係る書込装置20aの動作の説明図である。図3を参照して本実施形態に係る書込装置20aの動作を説明する。書込装置20aにはリストファイル11aが入力される。リストファイル11aは、ECU識別子と初期鍵の組を有する。例えば、リストファイル11aは、ECU識別子ECU_ID1−1と初期鍵Key_1−1の組、ECU識別子ECU_ID1−2と初期鍵Key_1−2の組、ECU識別子ECU_ID1−3と初期鍵Key_1−3の組などを有する。書込装置20aは、入力されたリストファイル11aが有するECU識別子と初期鍵の組ごとに、各ECUに個別に初期鍵を書き込む。例えば、書込装置20aは、ECU識別子ECU_ID1−1のECU#1−1に初期鍵Key_1−1を書き込み、またECU識別子ECU_ID1−2のECU#1−2に初期鍵Key_1−2を書き込み、またECU識別子ECU_ID1−3のECU#1−3に初期鍵Key_1−3を書き込む。
【0031】
また、書込装置20aは、ECUに共通パラメータを書き込む。共通パラメータは、鍵種別パラメータとサプライヤ種別パラメータとを有する。鍵種別パラメータは、「個別」又は「共通」のいずれかを表す情報である。鍵種別パラメータ「個別」は、ECUに書き込まれた初期鍵がECUに個別の初期鍵であることを表す。鍵種別パラメータ「個別」は、ECUに書き込まれた初期鍵がECUに個別の初期鍵であることを表す。鍵種別パラメータ「共通」は、ECUに書き込まれた初期鍵が複数のECUに共通の初期鍵であることを表す。
【0032】
サプライヤ種別パラメータは、ECUの供給元の種別を表す情報である。サプライヤ種別パラメータ「1」は、OEM供給元メーカ10−1が供給元であることを表す。サプライヤ種別パラメータ「2」は、OEM供給元メーカ10−2が供給元であることを表す。本実施形態では、サプライヤ種別パラメータは、マスタ鍵識別情報に対応する。本実施形態では、各OEM供給元メーカ10−1,10−2に個別のマスタ鍵を設ける。マスタ鍵は、初期鍵の生成に使用される。よって、サプライヤ種別パラメータは、初期鍵の生成に使用されたマスタ鍵を識別する情報となる。
【0033】
書込装置20aがECUに書き込む共通パラメータは、鍵種別パラメータ「個別」とサプライヤ種別パラメータ「1」である。よって、OEM供給元メーカ10−1からOEM供給先メーカ30へ供給されるECUは、ECUに個別の初期鍵と、共通パラメータとして鍵種別パラメータ「個別」及びサプライヤ種別パラメータ「1」とを格納している。
【0034】
図4は、本実施形態に係る書込装置20bの動作の説明図である。図4を参照して本実施形態に係る書込装置20bの動作を説明する。書込装置20bには初期鍵(鍵データ)Key_Yが入力される。書込装置20bは、入力された初期鍵Key_Yを、複数のECUに書き込む。例えば、書込装置20bは、ECU識別子ECU_ID2−1のECU#2−1、ECU識別子ECU_ID2−2のECU#2−2、及びECU識別子ECU_ID2−3のECU#2−3などの複数のECUに同じ初期鍵Key_Yを書き込む。
【0035】
書込装置20bは、例えば複数台のECUを書込装置20bにセットして同じ初期鍵を書き込むように構成することができる。この時、書込装置20bは、ECU毎に初期鍵とECU(ECU識別子)との対応付けを確認する必要はない。一方、書込装置20aは、例えば複数台のECUを書込装置20aにセットしても、ECU毎に初期鍵とECU(ECU識別子)との対応付けを確認しながら初期鍵の書込みを行う必要がある。このため、書込装置20bは、書込装置20aに比して、構成を簡略化できたり、また書込み時間を短縮できたりする等の利点がある。
【0036】
また、書込装置20bは、ECUに共通パラメータを書き込む。書込装置20bがECUに書き込む共通パラメータは、鍵種別パラメータ「共通」とサプライヤ種別パラメータ「2」である。よって、OEM供給元メーカ10−2からOEM供給先メーカ30へ供給されるECUは、複数のECUに共通の初期鍵Key_Yと、共通パラメータとして鍵種別パラメータ「共通」及びサプライヤ種別パラメータ「2」とを格納している。
【0037】
OEM供給元メーカ10−2は、同じ初期鍵を格納するECU群を表すECU群情報をOEM供給先メーカ30へ通知する。例えば、ECU群情報として、製造時期やロット番号などが挙げられる。OEM供給先メーカ30は、ECU群情報によって、どのECUが同じ初期鍵を格納しているのかを知ることができる。
【0038】
なお、書込装置20a,20bは、ECU110,120のセキュアエレメント112,122に初期鍵を書き込むことが好ましい。セキュアエレメント112,122は耐タンパー性を有するので、セキュアエレメント112,122に初期鍵を書き込むことによって初期鍵の安全性が増す。
【0039】
次に図5を参照して、本実施形態に係る検証装置40の動作を説明する。図5は、本実施形態に係る検証方法の例を示すフローチャートである。OEM供給先メーカ30は、OEM供給元メーカ10−1,10−2から供給されたECUを検証装置40により検証する。検証装置40が検証する対象のECUを検証対象ECUと称する。図5の処理は、例えば、検証対象ECUが検証装置40にセットされると開始される。
【0040】
(ステップS11)検証装置40は、検証対象ECUから共通パラメータを取得する。
【0041】
(ステップS12)検証装置40は、検証対象ECUから取得した共通パラメータの鍵種別パラメータが「個別」であるか又は「共通」であるかを判断する。この結果、「個別」である場合にはステップS13に進み、「共通」である場合にはステップS14に進む。
【0042】
(ステップS13)検証装置40は、検証対象ECUに対応する個別検証鍵を取得する。個別検証鍵は、ECUに個別の初期鍵に対応する鍵である。個別検証鍵の取得方法の例を以下に示す。
【0043】
(個別検証鍵の取得方法の例1)検証装置40に対して、予め、OEM供給元メーカ10−1のマスタ鍵MASTER_KEY1と、OEM供給元メーカ10−2のマスタ鍵MASTER_KEY2とを設定しておく。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータが「1」である場合には、OEM供給元メーカ10−1のマスタ鍵MASTER_KEY1を使用する。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータが「2」である場合には、OEM供給元メーカ10−2のマスタ鍵MASTER_KEY2を使用する。
【0044】
検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータに対応するマスタ鍵と、検証対象ECUのECU識別子とから、検証対象ECUの個別検証鍵を生成する。個別検証鍵の生成方法(例えば鍵の演算式など)は、予め、検証装置40に設定しておく。
【0045】
(個別検証鍵の取得方法の例2)OEM供給先メーカ30には、OEM供給元メーカ10−1,10−2から供給されたECUについて、ECU識別子と個別検証鍵の組を有する個別検証鍵リストが、予め、各OEM供給元メーカ10−1,10−2から安全に供給される。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータが「1」である場合には、OEM供給元メーカ10−1の個別検証鍵リストを使用する。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータが「2」である場合には、OEM供給元メーカ10−2の個別検証鍵リストを使用する。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータに対応する個別検証鍵リストから、検証対象ECUのECU識別子に対応する個別検証鍵を取得する。
【0046】
(ステップS14)検証装置40は、検証対象ECUに対応する共通検証鍵を取得する。共通検証鍵は、複数のECUに共通の初期鍵に対応する鍵である。共通検証鍵の取得方法の例を以下に示す。
【0047】
(共通検証鍵の取得方法の例1)検証装置40に対して、予め、OEM供給元メーカ10−1のマスタ鍵MASTER_KEY1と、OEM供給元メーカ10−2のマスタ鍵MASTER_KEY2とを設定しておく。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータが「1」である場合には、OEM供給元メーカ10−1のマスタ鍵MASTER_KEY1を使用する。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータが「2」である場合には、OEM供給元メーカ10−2のマスタ鍵MASTER_KEY2を使用する。
【0048】
また、検証装置40に対して、予め、OEM供給元メーカ10−1の代表ECU識別子ECU_ID1−masterと、OEM供給元メーカ10−2の代表ECU識別子ECU_ID2−masterとを設定しておく。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータが「1」である場合には、OEM供給元メーカ10−1の代表ECU識別子ECU_ID1−masterを使用する。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータが「2」である場合には、OEM供給元メーカ10−2の代表ECU識別子ECU_ID2−masterを使用する。
【0049】
検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータに対応するマスタ鍵及び代表ECU識別子から、検証対象ECUの共通検証鍵を生成する。共通検証鍵の生成方法(例えば鍵の演算式など)は、予め、検証装置40に設定しておく。
【0050】
(共通検証鍵の取得方法の例2)OEM供給先メーカ30には、OEM供給元メーカ10−1,10−2から供給されたECUについて、共通検証鍵(鍵データ)が、予め、各OEM供給元メーカ10−1,10−2から安全に供給される。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータが「1」である場合には、OEM供給元メーカ10−1の共通検証鍵を使用する。検証装置40は、検証対象ECUから取得した共通パラメータのサプライヤ種別パラメータが「2」である場合には、OEM供給元メーカ10−2の共通検証鍵を使用する。
【0051】
(ステップS15)検証装置40は、検証対象ECUから取得した共通パラメータの鍵種別パラメータが「個別」である場合には、検証対象ECUに対応する個別検証鍵を使用して検証対象ECUの検証を行う。一方、検証装置40は、検証対象ECUから取得した共通パラメータの鍵種別パラメータが「共通」である場合には、検証対象ECUに対応する共通検証鍵を使用して検証対象ECUの検証を行う。
【0052】
ECUの検証方法は、予め、検証装置40に設定しておく。ECUの検証方法の一例として、検証対象ECUの初期鍵と検証鍵(個別検証鍵又は共通検証鍵)とが同一であり、検証対象ECUと検証装置40とは、初期鍵及び検証鍵に基づいた認証(例えば、チャレンジ/レスポンス認証方式など)を行うことが挙げられる。
【0053】
第1実施形態によれば、ECUに個別の初期鍵と複数のECUに共通の初期鍵とを混在させることができる。これにより、OEM供給元メーカは、自己の事情に応じてECUに個別の初期鍵を採用するか又は複数のECUに共通の初期鍵を採用するかを選択できるので、初期鍵をECUにセットする際の負担の軽減を図ることができるという効果が得られる。
【0054】
[第2実施形態]図6は、第2実施形態に係る検証システムの構成例を示す図である。第2実施形態においても上述した図2に示す自動車100を適用できる。図6において図1の各部に対応する部分には同一の符号を付け、その説明を省略する。図6において、図1に示す第1実施形態の構成と異なる点は、第2実施形態に係るOEM供給元メーカ10−2が、書込装置20bの代わりに書込装置20aを備える点である。これ以外の構成は、上述した第1実施形態と同じである。
【0055】
OEM供給元メーカ10−2において、書込装置20aにはリストファイル11bが入力される。リストファイル11bは、上述した図1に示すリストファイル11aと同様に、ECU識別子と初期鍵の組を有する。但し、リストファイル11bにおいて、各組の初期鍵は同じである。書込装置20aは、入力されたリストファイル11bが有するECU識別子と初期鍵の組ごとに、ECU識別子に対応するECUに初期鍵を書き込む。初期鍵が書き込まれたECU110,120は、OEM供給元メーカ10−2からOEM供給先メーカ30へ供給される。
【0056】
図7は、本実施形態に係るOEM供給元メーカ10−2の書込装置20aの動作の説明図である。図7を参照して本実施形態に係るOEM供給元メーカ10−2の書込装置20aの動作を説明する。書込装置20aにはリストファイル11bが入力される。リストファイル11bは、ECU識別子と初期鍵の組を有するが、各組の初期鍵は同じ初期鍵Key_Yである。例えば、リストファイル11bは、ECU識別子ECU_ID2−1と初期鍵Key_Yの組、ECU識別子ECU_ID2−2と初期鍵Key_Yの組、ECU識別子ECU_ID2−3と初期鍵Key_Yの組などを有する。
【0057】
書込装置20aは、入力されたリストファイル11bが有するECU識別子と初期鍵の組ごとに、各ECUに個別に初期鍵を書き込む。例えば、書込装置20aは、ECU識別子ECU_ID2−1のECU#2−1に初期鍵Key_Yを書き込み、またECU識別子ECU_ID2−2のECU#2−2に初期鍵Key_Yを書き込み、またECU識別子ECU_ID2−3のECU#2−3に初期鍵Key_Yを書き込む。
【0058】
また、書込装置20aは、ECUに共通パラメータを書き込む。図7において、書込装置20aがECUに書き込む共通パラメータは、鍵種別パラメータ「共通」とサプライヤ種別パラメータ「2」である。よって、本第2実施形態においても上述の第1実施形態と同様に、OEM供給元メーカ10−2からOEM供給先メーカ30へ供給されるECUは、複数のECUに共通の初期鍵Key_Yと、共通パラメータとして鍵種別パラメータ「共通」及びサプライヤ種別パラメータ「2」とを格納している。これにより、本第2実施形態においても上述の第1実施形態と同様に、OEM供給先メーカ30は、検証装置40によって各OEM供給元メーカ10−1,10−2のECUを検証することができる。
【0059】
第2実施形態によれば、上述の第1実施形態と同様に、ECUに個別の初期鍵と複数のECUに共通の初期鍵とを混在させることができる。これにより、OEM供給元メーカは、自己の事情に応じてECUに個別の初期鍵を採用するか又は複数のECUに共通の初期鍵を採用するかを選択できるので、初期鍵をECUにセットする際の負担の軽減を図ることができるという効果が得られる。
【0060】
また、第2実施形態によれば、同じ書込装置20aによって、ECUに個別の初期鍵と複数のECUに共通の初期鍵との両方に対応することができる。これにより、例えば、複数のECUに共通の初期鍵を採用していたOEM供給元メーカがECUに個別の初期鍵に変更する場合に、同じ書込装置20aによって該変更に対処することができるので、設備の変更の負担を軽減できるという効果が得られる。
【0061】
[第3実施形態]図8は、第3実施形態に係る検証システムの構成例を示す図である。第3実施形態においても上述した図2に示す自動車100を適用できる。図8において図1の各部に対応する部分には同一の符号を付け、その説明を省略する。図8において、図1に示す第1実施形態の構成と異なる点は、第3実施形態に係るOEM供給元メーカ10−1が、さらに鍵生成装置50を備える点である。これ以外の構成は、上述した第1実施形態と同じである。
【0062】
鍵生成装置50は、マスタ鍵とECU識別子とから初期鍵を生成する。OEM供給元メーカ10−1において、鍵生成装置50は、OEM供給元メーカ10−1のマスタ鍵MASTER_KEY1を備える。また、鍵生成装置50にはECUIDリストが入力される。該ECUIDリストは、OEM供給元メーカ10−1が製造するECUのECU識別子のリストである。鍵生成装置50は、ECUIDリストが含むECU識別子毎に、マスタ鍵MASTER_KEY1とECU識別子とから初期鍵を生成する。例えば、マスタ鍵MASTER_KEY1とECU識別子ECU_ID1−1とから初期鍵Key_1−1を生成し、またマスタ鍵MASTER_KEY1とECU識別子ECU_ID1−2とから初期鍵Key_1−2を生成し、またマスタ鍵MASTER_KEY1とECU識別子ECU_ID1−3とから初期鍵Key_1−3を生成する。鍵生成装置50は、初期鍵の生成の結果として、リストファイル11aを出力する。該リストファイル11aは、ECU識別子と鍵生成装置50が生成した初期鍵との組を有する。
【0063】
初期鍵の生成方法は、予め、鍵生成装置50に設定しておく。初期鍵の生成方法として、例えば、マスタ鍵とECU識別子とからダイジェスト値を算出することが挙げられる。ダイジェスト値として、例えば、ハッシュ(hash)関数により算出される値や排他的論理和演算により算出される値などが挙げられる。
【0064】
第3実施形態によれば、鍵生成装置50によってECUに個別の初期鍵を生成することができる。
【0065】
なお、図8の例では、OEM供給元メーカが鍵生成装置50を備えて初期鍵を生成するが、これに限定されない。例えば、ECUに搭載されるセキュアエレメントの製造元(セキュアエレメントメーカ)が鍵生成装置50を備えて初期鍵を生成してもよい。例えば、OEM供給元メーカ10−1がECUIDリストをセキュアエレメントメーカに供給し、セキュアエレメントメーカが該ECUIDリストの各ECU識別子の初期鍵を生成し、セキュアエレメントメーカが初期鍵の生成の結果としてリストファイル11aをOEM供給元メーカ10−1へ供給してもよい。
【0066】
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
【0067】
上述した実施形態では、車両として自動車を例に挙げたが、原動機付自転車や鉄道車両等の自動車以外の他の車両にも適用可能である。
【0068】
また、上述した各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
【0069】
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【符号の説明】
【0070】
10−1,10−2…OEM供給元メーカ、11a,11b…リストファイル、12−1,12−2…共通パラメータ、20a,20b…書込装置、30…OEM供給先メーカ、40…検証装置、50…鍵生成装置、100…自動車、110,120…ECU、111,121…メイン演算部、112,122セキュアエレメント、130…CAN、140…インフォテイメント機器、150…診断ポート
【要約】
【課題】初期鍵をECU等の車載コンピュータにセットする際の負担の軽減を図る。【解決手段】車両に搭載される車載コンピュータに個別の初期鍵又は複数の車載コンピュータに共通の初期鍵を車載コンピュータに書き込む書込装置と、車載コンピュータに格納されている初期鍵が車載コンピュータに個別の初期鍵であるか又は複数の車載コンピュータに共通の初期鍵であるかを表す鍵種別情報に基づいて、検証対象の車載コンピュータに対応する検証鍵を取得する検証装置と、を備える。
【選択図】図1