知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6228093
(24)【登録日】2017年10月20日
(45)【発行日】2017年11月8日
(54)【発明の名称】システム
(51)【国際特許分類】
H04L 9/32 20060101AFI20171030BHJP
H04L 9/08 20060101ALI20171030BHJP
G06F 21/64 20130101ALI20171030BHJP
G06F 21/44 20130101ALI20171030BHJP
【FI】
H04L9/00 675B
H04L9/00 601A
G06F21/64
G06F21/44
【請求項の数】2
【全頁数】16
(21)【出願番号】特願2014-197075(P2014-197075)
(22)【出願日】2014年9月26日
(65)【公開番号】特開2016-72675(P2016-72675A)
(43)【公開日】2016年5月9日
【審査請求日】2017年1月27日
(73)【特許権者】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100106909
【弁理士】
【氏名又は名称】棚井 澄雄
(74)【代理人】
【識別番号】100064908
【弁理士】
【氏名又は名称】志賀 正武
(74)【代理人】
【識別番号】100146835
【弁理士】
【氏名又は名称】佐伯 義文
(72)【発明者】
【氏名】竹森 敬祐
(72)【発明者】
【氏名】川端 秀明
【審査官】
行田 悦資
(56)【参考文献】
【文献】
特開2014−048800(JP,A)
【文献】
特開2006−301960(JP,A)
【文献】
米国特許出願公開第2002/0120856(US,A1)
【文献】
特表2009−525677(JP,A)
【文献】
特開2012−224239(JP,A)
【文献】
国際公開第2005/104431(WO,A1)
【文献】
米国特許第07127611(US,B1)
【文献】
国際公開第2009/147734(WO,A1)
【文献】
特開2005−244313(JP,A)
【文献】
竹森敬祐,”スマホ端末、制御システムの堅牢化”,日本,経済産業省,2014年 7月24日,1-32頁,[online]、[平成29年3月15日検索]、インターネット<URL:http://www.chubu.meti.go.jp/b34jyoho/shiryo/shiryo-security.html>
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/32
G06F 21/44
G06F 21/64
H04L 9/08
(57)【特許請求の範囲】
【請求項1】
車載コンピュータに使用されるデータの電子署名を検証する第1セキュアエレメントと、
前記電子署名の検証が成功である場合に前記データを前記車載コンピュータに使用し、前記電子署名の検証が失敗である場合には前記データを使用しない実行部と、を備えた管理装置と、
携帯通信端末と、を備え、
前記管理装置は、前記携帯通信端末とデータを交換する入出力インタフェースをさらに備え、
前記携帯通信端末は、前記車載コンピュータに使用されるデータと当該データの電子署名とを前記管理装置に送信し、
前記第1セキュアエレメントは認証検証鍵を保持し、
前記携帯通信端末は、前記認証検証鍵に対応する認証鍵を保持する第2セキュアエレメントを備え、
前記第1セキュアエレメントは、前記認証検証鍵を使用して前記携帯通信端末の認証を行う端末認証部をさらに備え、
前記第2セキュアエレメントは、前記端末認証部からの認証要求に対して前記認証鍵を使用して応答する、
システム。
前記電子署名の検証が成功である場合に前記データを前記車載コンピュータに使用し、前記電子署名の検証が失敗である場合には前記データを使用しない実行部と、を備えた管理装置と、
携帯通信端末と、を備え、
前記管理装置は、前記携帯通信端末とデータを交換する入出力インタフェースをさらに備え、
前記携帯通信端末は、前記車載コンピュータに使用されるデータと当該データの電子署名とを前記管理装置に送信し、
前記第1セキュアエレメントは認証検証鍵を保持し、
前記携帯通信端末は、前記認証検証鍵に対応する認証鍵を保持する第2セキュアエレメントを備え、
前記第1セキュアエレメントは、前記認証検証鍵を使用して前記携帯通信端末の認証を行う端末認証部をさらに備え、
前記第2セキュアエレメントは、前記端末認証部からの認証要求に対して前記認証鍵を使用して応答する、
システム。
【請求項2】
前記第2セキュアエレメントは、無線通信ネットワークのeSIM(Embedded Subscriber Identity Module)又はSIM(Subscriber Identity Module)であり、
前記携帯通信端末は、前記第2セキュアエレメントを使用して前記無線通信ネットワークに接続し無線通信を行う無線通信部をさらに備える、
請求項1に記載のシステム。
前記携帯通信端末は、前記第2セキュアエレメントを使用して前記無線通信ネットワークに接続し無線通信を行う無線通信部をさらに備える、
請求項1に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、システムに関する。
【背景技術】
【0002】
近年、自動車は、ECU(Electronic Control Unit)を有し、ECUによってエンジン制御等の機能を実現する。ECUは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。既に使用されている自動車について、ECUのコンピュータプログラムの更新は、通常、自動車の検査時や定期点検時などに、一般の自動車整備工場で行われる。
【0003】
従来、ECUのコンピュータプログラムの更新では、作業者が、自動車のOBD(On-board Diagnostics)ポートと呼ばれる診断ポートにメンテナンス専用の診断端末を接続し、該診断端末から更新プログラムのインストール及びデータの設定変更などを行う。これに関し例えば非特許文献1,2にはセキュリティについて記載されている。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】C. Miller、C. Valasek、“Adventures in Automotive Networks and Control Units”、DEF CON 21、2013年8月
【非特許文献2】高田広章、松本勉、“車載組込みシステムの情報セキュリティ強化に関する提言”、2013年9月、インターネット<URL:https://www.ipa.go.jp/files/000034668.pdf>
【非特許文献3】Trusted Computing Group, インターネット<URL:http://www.trustedcomputinggroup.org/>
【非特許文献4】竹森敬祐、“Android+TPMによるセキュアブート”、日経エレクトロニクス、2012年8月6日号.
【非特許文献5】竹森敬祐、川端秀明、磯原隆将、窪田歩、“Android(ARM)+TPMによるセキュアブート”、電子情報通信学会、SCIS2013シンポジウム、2013年1月.
【非特許文献6】竹森敬祐、川端秀明、窪田歩、“ARM+SIM/UIMによるセキュアブート”、電子情報通信学会、SCIS2014シンポジウム、2014年1月.
【発明の概要】
【発明が解決しようとする課題】
【0005】
上述した非特許文献1,2では、セキュリティの向上を実現する手段については記載されない。このため、自動車等の車両に備わるECU等の車載コンピュータに使用されるコンピュータプログラム等のデータの適用についての信頼性を向上させることが課題である。
【0006】
本発明は、このような事情を考慮してなされたものであり、車載コンピュータに使用されるデータの適用についての信頼性を向上させることができるシステムを提供することを課題とする。【課題を解決するための手段】
【0007】
本発明の一態様は、車載コンピュータに使用されるデータの電子署名を検証する第1セキュアエレメントと、前記電子署名の検証が成功である場合に前記データを前記車載コンピュータに使用し、前記電子署名の検証が失敗である場合には前記データを使用しない実行部と、を備えた管理装置と、携帯通信端末と、を備え、前記管理装置は、前記携帯通信端末とデータを交換する入出力インタフェースをさらに備え、前記携帯通信端末は、前記車載コンピュータに使用されるデータと当該データの電子署名とを前記管理装置に送信する、システムである。本発明の一態様は、上記のシステムにおいて、前記第1セキュアエレメントは認証検証鍵を保持し、前記携帯通信端末は、前記認証検証鍵に対応する認証鍵を保持する第2セキュアエレメントを備え、前記第1セキュアエレメントは、前記認証検証鍵を使用して前記携帯通信端末の認証を行う端末認証部をさらに備え、前記第2セキュアエレメントは、前記端末認証部からの認証要求に対して前記認証鍵を使用して応答する、システムである。
本発明の一態様は、上記のシステムにおいて、前記第2セキュアエレメントは、無線通信ネットワークのeSIM(Embedded Subscriber Identity Module)又はSIM(Subscriber Identity Module)であり、前記携帯通信端末は、前記第2セキュアエレメントを使用して前記無線通信ネットワークに接続し無線通信を行う無線通信部をさらに備える、システムである。
本発明の一態様は、携帯通信端末であり、車載コンピュータに使用されるデータの電子署名を検証する第1セキュアエレメントと、前記電子署名の検証が成功である場合に前記データを前記車載コンピュータに使用し、前記電子署名の検証が失敗である場合には前記データを使用しない実行部と、前記携帯通信端末とデータを交換する入出力インタフェースと、を備えた管理装置に、前記車載コンピュータに使用されるデータと当該データの電子署名とを送信する、携帯通信端末である。
本発明の一態様は、上記の携帯通信端末において、前記携帯通信端末は、前記第1セキュアエレメントが保持する認証検証鍵に対応する認証鍵を保持する第2セキュアエレメントを備え、前記第2セキュアエレメントは、前記認証検証鍵を使用して前記携帯通信端末の認証を行う前記第1セキュアエレメントの端末認証部からの認証要求に対して前記認証鍵を使用して応答する、携帯通信端末である。
本発明の一態様は、上記の携帯通信端末において、前記第2セキュアエレメントは、無線通信ネットワークのeSIM(Embedded Subscriber Identity Module)又はSIM(Subscriber Identity Module)であり、前記携帯通信端末は、前記第2セキュアエレメントを使用して前記無線通信ネットワークに接続し無線通信を行う無線通信部をさらに備える、携帯通信端末である。
(1)本発明の一態様は、車載コンピュータに使用されるデータの電子署名を検証するセキュアエレメントと、前記電子署名の検証が成功である場合に前記データを前記車載コンピュータに使用し、前記電子署名の検証が失敗である場合には前記データを使用しない実行部と、を備えた管理装置である。
(2)本発明の一態様は、上記(1)の管理装置において、前記セキュアエレメントは、権限証明書の電子署名を検証し、前記実行部は、前記権限証明書の検証が成功である場合に前記権限証明書で示される権限を前記車載コンピュータに実行し、前記権限証明書の検証が失敗である場合には前記権限証明書で示される権限を実行しない、管理装置である。
(3)本発明の一態様は、上記(1)又は(2)のいずれかの管理装置において、前記セキュアエレメントは、前記車載コンピュータを有する車両に接続された端末の認証を行い、前記実行部は、前記端末の認証が成功である場合に前記端末からの要求を実行し、前記端末の認証が失敗である場合には前記端末からの要求を実行しない、管理装置である。
(4)本発明の一態様は、上記(3)の管理装置において、前記セキュアエレメントは、暗号化認証検証鍵を復号する復号部と、該復号により得られた認証検証鍵を使用して前記端末の認証を行う端末認証部と、を備える管理装置である。
(5)本発明の一態様は、上記(1)から(4)のいずれかの管理装置において、前記セキュアエレメントは、暗号化署名検証鍵を復号する復号部と、該復号により得られた署名検証鍵を使用して前記電子署名の検証を行う署名検証部と、を備える管理装置である。
(6)本発明の一態様は、上記(1)から(5)のいずれかの管理装置において、前記セキュアエレメントは、eSIM(Embedded Subscriber Identity Module)又はSIM(Subscriber Identity Module)である管理装置である。
(7)本発明の一態様は、上記(6)の管理装置において、前記eSIM又は前記SIMを使用して無線通信を行う無線通信部を備えた管理装置である。
【0008】
(8)本発明の一態様は、上記(1)から(7)のいずれかの管理装置と、前記管理装置からアクセスされる車載コンピュータと、を備えた車両である。
【0009】
(9)本発明の一態様は、車両に備わる管理装置のセキュアエレメントが、前記車両の車載コンピュータに使用されるデータの電子署名を検証する署名検証ステップと、前記管理装置の実行部が、前記電子署名の検証が成功である場合に前記データを前記車載コンピュータに使用し、前記電子署名の検証が失敗である場合には前記データを使用しない実行ステップと、を含む管理方法である。
【0010】
(10)本発明の一態様は、車両に備わる管理装置のセキュアエレメントのコンピュータに、前記車両の車載コンピュータに使用されるデータの電子署名を検証する署名検証機能を実現させるためのコンピュータプログラムである。(11)本発明の一態様は、車両に備わる管理装置のコンピュータに、前記管理装置のセキュアエレメントによって行われる「前記車両の車載コンピュータに使用されるデータの電子署名の検証」が成功である場合に前記データを前記車載コンピュータに使用し、前記電子署名の検証が失敗である場合には前記データを使用しない実行機能を実現させるためのコンピュータプログラムである。
【発明の効果】
【0011】
本発明によれば、車載コンピュータに使用されるデータの適用についての信頼性を向上させることができるという効果が得られる。
【図面の簡単な説明】
【0012】
【図1】本発明の第1実施形態に係る管理ゲートウェイ1の構成を示すブロック図である。
【図2】本発明の第1実施形態に係る自動車100の概略構成図である。
【図3】本発明の第1実施形態に係るセンタ局200の構成を示すブロック図である。
【図4】本発明の第1実施形態に係る無線通信システムの概略構成図である。
【図5】本発明の第1実施形態に係る管理方法の手順を示すフローチャートである。
【図6】本発明の第1実施形態の変形例1に係る自動車100の概略構成図である。
【図7】本発明の第1実施形態の変形例2に係る自動車100の概略構成図である。
【図8】本発明の第2実施形態に係る自動車100の概略構成図である。
【図9】本発明の第3実施形態に係る管理ゲートウェイ1の構成を示すブロック図である。
【図10】本発明の第3実施形態に係る自動車100の概略構成図である。
【発明を実施するための形態】
【0013】
以下、図面を参照し、本発明の実施形態について説明する。なお、以下に示す実施形態では、車両として自動車を例に挙げて説明する。
【0014】
[第1実施形態]図1は、本発明の第1実施形態に係る管理ゲートウェイ1の構成を示すブロック図である。管理ゲートウェイ1は管理装置である。図1において、管理ゲートウェイ1は、eSIM(Embedded Subscriber Identity Module)_10とCAN(Controller Area Network)インタフェース31と実行部32と無線通信部33と入出力インタフェース34とを備える。これら各部はデータを交換できるように構成されている。eSIM_10は、復号部11と鍵保持部12と署名検証部13と端末認証部14とを備える。
【0015】
eSIM_10はセキュアエレメントである。セキュアエレメントは、当該セキュアエレメントの外部からアクセスできないセキュア領域を含む。eSIM_10において、鍵保持部12はセキュア領域に在る。なお、セキュアエレメントとして、eSIM_10の代わりにSIM(Subscriber Identity Module)を利用してもよい。eSIMおよびSIMは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。
【0016】
図2は、本発明の第1実施形態に係る自動車100の概略構成図である。図2において、自動車100は、管理ゲートウェイ1と制御用車載ネットワーク110と駆動系ECU群120と車体系ECU群121と安全制御系ECU群122と診断ポート130とを備える。管理ゲートウェイ1は、制御用車載ネットワーク110に接続される。本実施形態では、制御用車載ネットワーク110はCAN(Controller Area Network)である。制御用車載ネットワーク110には、駆動系ECU群120と車体系ECU群121と安全制御系ECU群122とが接続される。管理ゲートウェイ1は、制御用車載ネットワーク110を介して、駆動系ECU群120、車体系ECU群121及び安全制御系ECU群122との間でデータを交換する。
【0017】
駆動系ECU群120、車体系ECU群121及び安全制御系ECU群122のそれぞれは、エンジン制御等の機能を実現するECUを含む。以下、駆動系ECU群120、車体系ECU群121及び安全制御系ECU群122に含まれる各ECUを特に区別しないときは、該各ECUのことを「車載ECU」と称する。車載ECUは車載コンピュータである。管理ゲートウェイ1は、制御用車載ネットワーク110を介して、各車載ECUとの間でデータを交換する。
【0018】
診断ポート130は従来のOBDポートである。診断ポート130は診断端末140を接続する。診断ポート130は管理ゲートウェイ1に接続される。診断端末140と管理ゲートウェイ1とは、診断ポート130を介して、データを交換する。
【0019】
管理ゲートウェイ1において、CANインタフェース31は、制御用車載ネットワーク110と接続し、制御用車載ネットワーク110を介して車載ECUとデータを交換する。実行部32は、車載ECUに対する処理を実行する。無線通信部33は無線通信によりデータを送受する。入出力インタフェース34は、診断ポート130と接続し、診断ポート130を介して診断端末140とデータを交換する。
【0020】
図3は、本発明の第1実施形態に係るセンタ局200の構成を示すブロック図である。図3において、センタ局200は、認証鍵保持部210と署名鍵保持部220とECUコード署名処理部222と権限証明書署名処理部224と無線通信部230とeSIM_232とを備える。認証鍵保持部210は、認証鍵(Ks_1)と認証検証鍵(Kp_1)とを保持する。本実施形態では、認証鍵(Ks_1)は秘密鍵であり、認証検証鍵(Kp_1)は認証鍵(Ks_1)に対応する公開鍵である。署名鍵保持部220は、署名鍵(Ks_2)と署名検証鍵(Kp_2)とを保持する。本実施形態では、署名鍵(Ks_2)は秘密鍵であり、署名検証鍵(Kp_2)は署名鍵(Ks_2)に対応する公開鍵である。
【0021】
ECUコード署名処理部222は、ECUコードに対して、署名鍵保持部220に保持される署名鍵(Ks_2)を使用して電子署名を行う。ECUコードは、車載ECUに使用されるデータである。ECUコードとして、例えば、車載ECUのコンピュータプログラムに関する更新プログラム又は設定変更データなどが挙げられる。
【0022】
権限証明書署名処理部224は、権限証明書に対して、署名鍵保持部220に保持される署名鍵(Ks_2)を使用して電子署名を行う。権限証明書は、車載ECUに対する処理の実行の権限を示す。権限証明書は、処理の実行先の車載ECU又は車載ECU群を特定するECU識別子(ECU ID)と、処理内容を特定する権限情報とを含む。処理内容として、例えば、車載ECUからのデータの読み出し(リード:R)と、車載ECUへのデータの書き込み(ライト:W)とがある。以下、電子署名のことを単に「署名」と称する。
【0023】
無線通信部230は無線通信によりデータを送受する。eSIM_232は、無線通信部230によって使用される。
【0024】
図4は、本発明の第1実施形態に係る無線通信システムの概略構成図である。図4において、無線通信ネットワーク300は、通信事業者によって運用される。無線通信ネットワーク300を利用するためには、無線通信ネットワーク300の契約者情報が書き込まれたeSIM又はSIMが必要である。管理ゲートウェイ1のeSIM_10は、無線通信ネットワーク300の契約者情報が書き込まれたeSIMである。よって、管理ゲートウェイ1の無線通信部33は、eSIM_10を使用することにより無線通信ネットワーク300を利用できる。センタ局200のeSIM_232は、無線通信ネットワーク300の契約者情報が書き込まれたeSIMである。よって、センタ局200の無線通信部230は、eSIM_232を使用することにより無線通信ネットワーク300を利用できる。診断端末140は、無線通信部1410とeSIM_1420とを備える。診断端末140のeSIM_1420は、無線通信ネットワーク300の契約者情報が書き込まれたeSIMである。よって、診断端末140の無線通信部1410は、eSIM_1420を使用することにより無線通信ネットワーク300を利用できる。無線通信部1410は無線通信によりデータを送受する。
【0025】
管理ゲートウェイ1、センタ局200及び診断端末140において、各無線通信部33,230,1410は、各eSIM_10,232,1420を使用することにより、無線通信ネットワーク300に接続し通信する。センタ局200の無線通信部230は、無線通信ネットワーク300を介して、管理ゲートウェイ1の無線通信部33と通信する。センタ局200の無線通信部230は、無線通信ネットワーク300を介して、診断端末140の無線通信部1410と通信する。
【0027】
(ステップS1)センタ局200の無線通信部230は、無線通信ネットワーク300を介して、管理ゲートウェイ1の無線通信部33と通信する。センタ局200と管理ゲートウェイ1は、各eSIM_232,10を使用することにより、認証を行い、センタ局200から管理ゲートウェイ1へ認証検証鍵(Kp_1)及び署名検証鍵(Kp_2)を暗号化して配布する。各eSIM_232,10は、予め、同じ共通鍵を保持する。センタ局200と管理ゲートウェイ1との間の認証は、各eSIM_232,10に保持される共通鍵を使用して実行される。認証検証鍵(Kp_1)及び署名検証鍵(Kp_2)の暗号化は、eSIM_232に保持される共通鍵を使用して実行される。管理ゲートウェイ1のeSIM_10の復号部11は、センタ局200から受信した暗号化認証検証鍵(Kp_1)及び暗号化署名検証鍵(Kp_2)を復号する。暗号化認証検証鍵(Kp_1)及び暗号化署名検証鍵(Kp_2)の復号化は、eSIM_10に保持される共通鍵を使用して実行される。この復号により得られた認証検証鍵(Kp_1)及び署名検証鍵(Kp_2)は、eSIM_10の鍵保持部12に保持される。
【0028】
センタ局200の無線通信部230は、無線通信ネットワーク300を介して、診断端末140の無線通信部1410と通信する。センタ局200と診断端末140は、各eSIM_232,1420を使用することにより、認証を行い、センタ局200から診断端末140へ認証鍵(Ks_1)を暗号化して配布する。各eSIM_232,1420は、予め、同じ共通鍵を保持する。センタ局200と診断端末140との間の認証は、各eSIM_232,1420に保持される共通鍵を使用して実行される。認証鍵(Ks_1)の暗号化は、eSIM_232に保持される共通鍵を使用して実行される。診断端末140のeSIM_1420は、センタ局200から受信した暗号化認証鍵(Ks_1)を復号する。暗号化認証鍵(Ks_1)の復号化は、eSIM_1420に保持される共通鍵を使用して実行される。この復号により得られた認証鍵(Ks_1)は、eSIM_1420のセキュア領域に保持される。
【0029】
(ステップS2)管理ゲートウェイ1のeSIM_10の端末認証部14は、鍵保持部12に保持される認証検証鍵(Kp_1)を使用して、自動車100の診断ポート130に接続された診断端末140の認証を行う。この認証の方法として、本実施形態ではチャレンジ・レスポンス認証方法を使用する。このチャレンジ・レスポンス認証方法を説明する。まず、端末認証部14は、チャレンジ値を生成し、このチャレンジ値を入出力インタフェース34から出力させる。入出力インタフェース34から出力されたチャレンジ値は、診断ポート130を介して診断端末140に入力される。診断端末140のeSIM_1420は、入力されたチャレンジ値を、自己のセキュア領域に保持される認証鍵(Ks_1)を使用して暗号化する。この暗号化チャレンジ値はレスポンス値である。このレスポンス値は、診断端末140から診断ポート130へ出力され、診断ポート130を介して管理ゲートウェイ1に入力される。管理ゲートウェイ1の入出力インタフェース34は、入力されたレスポンス値をeSIM_10へ出力する。端末認証部14は、入力されたレスポンス値を、鍵保持部12に保持される認証検証鍵(Kp_1)で復号する。端末認証部14は、レスポンス値の復号により得られた復号結果値がチャレンジ値と一致するかを判断する。この判断の結果、一致である場合には診断端末140の認証が成功であり、不一致である場合には診断端末140の認証が失敗である。
【0030】
(ステップS3)センタ局200は、権限証明書250を診断端末140へ送信する。権限証明書250は、権限証明書署名処理部224によって署名252が行われている(図2参照)。診断端末140は、権限証明書250を診断ポート130へ出力する。この出力された権限証明書250は診断ポート130を介して管理ゲートウェイ1へ入力される。管理ゲートウェイ1の入出力インタフェース34は、入力された権限証明書250をeSIM_10へ出力する。eSIM_10の署名検証部13は、入力された権限証明書250の署名252を、鍵保持部12に保持される署名検証鍵(Kp_2)を使用して検証する。
【0031】
(ステップS4)センタ局200は、ECUコード240を診断端末140へ送信する。ECUコード240は、ECUコード署名処理部222によって署名242が行われている(図2参照)。診断端末140は、ECUコード240を診断ポート130へ出力する。この出力されたECUコード240は診断ポート130を介して管理ゲートウェイ1へ入力される。管理ゲートウェイ1の入出力インタフェース34は、入力されたECUコード240をeSIM_10へ出力する。eSIM_10の署名検証部13は、入力されたECUコード240の署名242を、鍵保持部12に保持される署名検証鍵(Kp_2)を使用して検証する。
【0032】
(ステップS5)管理ゲートウェイ1の実行部32は、車載ECUに対する処理を実行する。以下に、実行部32による車載ECUに対する処理の実行例について説明する。
【0033】
<処理の実行例1:ECUコードの適用>管理ゲートウェイ1の実行部32は、ECUコード240の署名242の検証が成功である場合には、当該ECUコード240を車載ECUに使用する。一方、管理ゲートウェイ1の実行部32は、ECUコード240の署名242の検証が失敗である場合には、当該ECUコード240を使用しない。以下にECUコードの使用例を挙げる。
(ECUコードの使用例1)
実行部32は、署名242の検証が成功であるECUコード240が更新プログラムである場合に、該更新プログラムを車載ECUにインストールする。
(ECUコードの使用例2)
実行部32は、署名242の検証が成功であるECUコード240が設定変更データである場合に、該設定変更データで車載ECUの該当データを書き換える。
【0034】
<処理の実行例2:権限証明書の適用>管理ゲートウェイ1の実行部32は、権限証明書250の署名252の検証が成功である場合には、当該権限証明書250で示される権限を車載ECUに実行する。一方、管理ゲートウェイ1の実行部32は、権限証明書250の署名252の検証が失敗である場合には、当該権限証明書250で示される権限を実行しない。
(権限の実行例1)
実行部32は、署名252の検証が成功である権限証明書250で示される権限が「ECU ID:3、ライト」である場合に、「ECU ID」が3である車載ECUに対して、データの書き込みを実行する。署名252の検証が成功である権限証明書250において権限「ECU ID:3、ライト」だけが示される場合には、実行部32は、「ECU ID」が3である車載ECUに対するデータの書き込みだけを実行する。この場合、例えば、上述したECUコードの使用例1においては、「ECU ID」が3である車載ECUだけに、更新プログラムをインストールする。ECUコードの使用例2においては、「ECU ID」が3である車載ECUだけに、設定変更データで該当データを書き換える。
(権限の実行例2)
実行部32は、署名252の検証が成功である権限証明書250で示される権限が「ECU ID:全て、リード」である場合に、全ての「ECU ID」の車載ECUに対して、データの読み出しを実行する。
【0035】
<処理の実行例3:診断端末の適用>管理ゲートウェイ1の実行部32は、診断端末140の認証が成功である場合には、当該診断端末140からの要求を実行する。一方、管理ゲートウェイ1の実行部32は、診断端末140の認証が失敗である場合には、当該診断端末140からの要求を実行しない。
(診断端末の要求の実行例)
実行部32は、認証が成功である診断端末140からの要求が車載ECUからのデータの読み出しである場合に、車載ECUからデータを読み出して該診断端末140へ出力する。実行部32は、認証が成功である診断端末140からの要求が車載ECUへのデータの書き込みである場合に、該診断端末140から入力されたデータを車載ECUへ書き込む。
【0036】
上述した処理の実行例1,2,3は組み合わせてもよい。例えば、実行部32は、認証が成功である診断端末140から入力されたECUコード240及び権限証明書250だけを使用する。したがって、実行部32は、認証が失敗である診断端末140から入力されたECUコード240及び権限証明書250を使用しない。例えば、実行部32は、署名252の検証が成功である権限証明書250で示される権限の範囲内だけで、ECUコード240を使用する。したがって、実行部32は、署名252の検証が成功である権限証明書250で示される権限の範囲外では、ECUコード240を使用しない。例えば、実行部32は、署名252の検証が成功である権限証明書250で示される権限の範囲内だけで、認証が成功である診断端末140からの要求を実行する。したがって、実行部32は、署名252の検証が成功である権限証明書250で示される権限の範囲外では、認証が成功である診断端末140からの要求を実行しない。
【0037】
上述した第1実施形態によれば、車載ECUに使用されるデータの適用についての信頼性を向上させることができるという効果が得られる。署名242の検証が成功であるECUコード240だけが車載ECUに使用されることにより、車載ECUに適用されるECUコード240の信頼性が向上する。さらに、署名252の検証が成功である権限証明書250で示される権限の範囲内だけで、署名242の検証が成功であるECUコード240が使用されることにより、車載ECUに対する処理実行の信頼性が向上する。さらに、認証が成功である診断端末140からの要求だけを行うことにより、車載ECUに対する処理実行の行為者の信頼性が向上する。例えば、管理ゲートウェイ1が、認証が成功である診断端末140の端末識別情報を記録することにより、車載ECUに対する処理実行に使用された診断端末140を特定することができる。この診断端末140の特定によって、車載ECUに対する処理実行の行為者を特定することができるようになる。
【0038】
[第1実施形態の変形例1]図6は、本発明の第1実施形態の変形例1に係る自動車100の概略構成図である。この図6において、図2の各部に対応する部分には同一の符号を付け、その説明を省略する。第1実施形態の変形例1では、診断端末140の代わりに端末142を利用する。
【0039】
端末142は、図4に示される無線通信ネットワーク300の契約者情報が書き込まれたeSIMを備える無線通信端末である。端末142は、例えば、スマートフォンやタブレット型のコンピュータ(タブレットPC)等の携帯通信端末である。端末142は、自己のeSIMを使用することにより無線通信ネットワーク300を利用できる。なお、端末142は、eSIMの代わりに、無線通信ネットワーク300の契約者情報が書き込まれたSIM、を備える無線通信端末であってもよい。
【0040】
端末142は、自動車100の管理ゲートウェイ1に接続される。管理ゲートウェイ1の入出力インタフェース34は、端末142と接続して該端末142とデータを交換する。なお、図6の例では、管理ゲートウェイ1の入出力インタフェース34は、自動車100に備わるインフォテイメント(Infotainment)機器150にも接続して該インフォテイメント機器150とデータを交換する。端末142は、インフォテイメント機器150に接続して該インフォテイメント機器150とデータを交換する。端末142は、無線通信ネットワーク300を介して取得した情報をインフォテイメント機器150に出力する。管理ゲートウェイ1は、インフォテイメント機器150から入力された情報を車載ECUへ出力する。
【0041】
端末142は、上述した第1実施形態の診断端末140と同様の機能を有する。これは、診断端末140の機能を実現するコンピュータプログラムを端末142にインストールし、該コンピュータプログラムが端末142で実行されることによって実現される。これにより、第1実施形態の変形例1においても、上述した図5の管理方法と同様の手順が行われる。第1実施形態の変形例1では、図5の管理方法において、上述した第1実施形態で診断端末140が行う処理を端末142が行う。管理ゲートウェイ1は、診断端末140の代わりに、端末142との間で認証を行う。管理ゲートウェイ1は、診断端末140の代わりに、端末142からECUコード240及び権限証明書250を入力する。
【0042】
第1実施形態の変形例1によれば、メンテナンス専用の診断端末140を使用しなくてもよい。これにより、自動車100の所有者は自己の端末142を使用して車載ECUの保守を行うことができる。
【0043】
[第1実施形態の変形例2]図7は、本発明の第1実施形態の変形例2に係る自動車100の概略構成図である。この図7において、図2及び図6の各部に対応する部分には同一の符号を付け、その説明を省略する。第1実施形態の変形例2では、診断端末140又は端末142のどちらでも利用可能な構成である。第1実施形態の変形例2においても、上述した図5の管理方法と同様の手順が行われる。管理ゲートウェイ1は、診断端末140又は端末142のいずれかとの間で認証を行う。管理ゲートウェイ1は、その認証相手の診断端末140又は端末142のいずれかから、ECUコード240及び権限証明書250を入力する。
【0044】
第1実施形態の変形例2によれば、自動車整備工場でメンテナンス専用の診断端末140を使用して車載ECUの保守を行うこともできるし、自動車100の所有者が自己の端末142を使用して車載ECUの保守を行うこともできる。
【0045】
[第2実施形態]図8は、本発明の第2実施形態に係る自動車100の概略構成図である。この図8において、図2の各部に対応する部分には同一の符号を付け、その説明を省略する。第2実施形態では、診断端末140及び端末142を使用しない。第2実施形態において、管理ゲートウェイ1は、無線通信ネットワーク300を介して、センタ局200から直接にECUコード240及び権限証明書250を受信する。このため、第2実施形態では、管理ゲートウェイ1は、端末認証部14が不要である。
【0046】
第2実施形態においても、上述した図5の管理方法と同様の手順が行われる。但し、第2実施形態では、図5の管理方法において、管理ゲートウェイ1がセンタ局200から直接にECUコード240及び権限証明書250を受信する。したがって、センタ局200は、管理ゲートウェイ1へ、ECUコード240及び権限証明書250を送信する。管理ゲートウェイ1は、センタ局200から受信したECUコード240及び権限証明書250の各署名242,252を検証する。
【0047】
第2実施形態の変形例2によれば、センタ局200から直接に管理ゲートウェイ1へECUコード240及び権限証明書250が送られるので、自動的に車載ECUの保守を行うこともできる。
【0048】
[第3実施形態]図9は、本発明の第3実施形態に係る管理ゲートウェイ1の構成を示すブロック図である。図10は、本発明の第3実施形態に係る自動車100の概略構成図である。この図9,図10において、図1,図2の各部に対応する部分には同一の符号を付け、その説明を省略する。第3実施形態では、診断ポート500が管理装置である。図9において、診断ポート500は、図1に示される管理ゲートウェイ1と同じeSIM_10、CANインタフェース31、実行部32、無線通信部33及び入出力インタフェース34を備える。診断ポート500のeSIM_10は、管理ゲートウェイ1のeSIM_10と同じ復号部11、鍵保持部12、署名検証部13及び端末認証部14を備える。
【0049】
図10において、診断ポート500は、CANインタフェース31により、制御用車載ネットワーク110を介して車載ECUとデータを交換する。診断ポート500の入出力インタフェース34は診断端末140を接続する。診断ポート500と診断端末140とは接続したり、接続を外したりできる。例えば、診断ポート500と診断端末140との間は、通信ケーブルで接続してもよく、又は、近距離無線通信により接続してもよい。診断ポート500は、入出力インタフェース34により、診断端末140とデータを交換する。
【0050】
第3実施形態においても、上述した図5の管理方法と同様の手順が行われる。第3実施形態では、図5の管理方法において、上述した第1実施形態で管理ゲートウェイ1が行う処理を診断ポート500が行う。診断ポート500は、診断端末140との間で認証を行う。診断ポート500は、診断端末140からECUコード240及び権限証明書250を入力し、入力したECUコード240及び権限証明書250の各署名242,252を検証する。診断ポート500は、車載ECUに対する処理を実行する。
【0051】
第3実施形態によれば、診断ポート500に管理装置の機能を備えることにより、構成の簡素化を図ることができる。従来の自動車100に備わる診断ポートに管理装置の機能を備えるので、別途、管理ゲートウェイ1を自動車100に設ける必要がない。
【0052】
なお、第3実施形態では、インフォテイメント機器150については制御用車載ネットワーク110に接続しない。これは、セキュリティの観点から、管理ゲートウェイ1を介さずにインフォテイメント機器150を制御用車載ネットワーク110に接続することを避けるためである。
【0053】
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
【0054】
例えば、セキュアエレメントとして、eSIM又はSIMのいずれを使用してもよい。eSIMは、通常、電子基板にハンダ付け(ハードウェア・バインド(H/Wバインド))される。SIMは、通常、電子基板にプログラム的に紐付けられる(ソフトウェア・バインド(S/Wバインド))される。
【0055】
上述した実施形態では、公開鍵と秘密鍵を使用する認証方法を使用したが、共通鍵を使用する認証方法を使用してもよい。共通鍵を使用する場合には、セキュアエレメント内のセキュア領域のみで鍵が保持されることがセキュリティの観点で好ましい。
【0056】
管理ゲートウェイ1、診断端末140、診断ポート500及び車載ECUにおいて、セキュアブート(Secure Boot)を行うことも好ましい。セキュアブートによれば、コンピュータの起動時に当該コンピュータのオペレーティングシステム(Operating System:OS)の正当性を検証することができる。セキュアブートについては、例えば非特許文献3,4,5,6に記載されている。
【0057】
上述した実施形態では、車両として自動車を例に挙げたが、原動機付自転車や鉄道車両等の自動車以外の他の車両にも適用可能である。
【0058】
また、上述した管理ゲートウェイ1又は診断ポート500の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
【0059】
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【符号の説明】
【0060】
1…管理ゲートウェイ(管理装置)、10,232,1420…eSIM(セキュアエレメント)、31…CANインタフェース、32…実行部、33,230,1410…無線通信部、34…入出力インタフェース、11…復号部、12…鍵保持部、13…署名検証部、14…端末認証部、100…自動車、110…制御用車載ネットワーク、120…駆動系ECU群、121…車体系ECU群、122…安全制御系ECU群、130…診断ポート、140…診断端末、200…センタ局、210…認証鍵保持部、220…署名鍵保持部、222…ECUコード署名処理部、224…権限証明書署名処理部、240…ECUコード、242,252…電子署名、250…権限証明書