特許第6262681号(P6262681)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > KDDI株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ KDDI株式会社の特許一覧

特許6262681管理装置、車両、管理方法、及びコンピュータプログラム
<>
  • 特許6262681-管理装置、車両、管理方法、及びコンピュータプログラム 図000002
  • 特許6262681-管理装置、車両、管理方法、及びコンピュータプログラム 図000003
  • 特許6262681-管理装置、車両、管理方法、及びコンピュータプログラム 図000004
  • 特許6262681-管理装置、車両、管理方法、及びコンピュータプログラム 図000005
  • 特許6262681-管理装置、車両、管理方法、及びコンピュータプログラム 図000006
  • 特許6262681-管理装置、車両、管理方法、及びコンピュータプログラム 図000007
  • 特許6262681-管理装置、車両、管理方法、及びコンピュータプログラム 図000008
  • 特許6262681-管理装置、車両、管理方法、及びコンピュータプログラム 図000009
  • 特許6262681-管理装置、車両、管理方法、及びコンピュータプログラム 図000010
  • 特許6262681-管理装置、車両、管理方法、及びコンピュータプログラム 図000011
  • 特許6262681-管理装置、車両、管理方法、及びコンピュータプログラム 図000012
  • 特許6262681-管理装置、車両、管理方法、及びコンピュータプログラム 図000013
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6262681
(24)【登録日】2017年12月22日
(45)【発行日】2018年1月17日
(54)【発明の名称】管理装置、車両、管理方法、及びコンピュータプログラム
(51)【国際特許分類】
   H04L 9/16 20060101AFI20180104BHJP
   H04L 9/08 20060101ALI20180104BHJP
   H04L 9/32 20060101ALI20180104BHJP
   G06F 21/44 20130101ALI20180104BHJP
【FI】
   H04L9/00 643
   H04L9/00 601B
   H04L9/00 675A
   G06F21/44
【請求項の数】4
【全頁数】22
(21)【出願番号】特願2015-63680(P2015-63680)
(22)【出願日】2015年3月26日
(65)【公開番号】特開2016-184835(P2016-184835A)
(43)【公開日】2016年10月20日
【審査請求日】2017年2月17日
(73)【特許権者】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100106909
【弁理士】
【氏名又は名称】棚井 澄雄
(74)【代理人】
【識別番号】100064908
【弁理士】
【氏名又は名称】志賀 正武
(74)【代理人】
【識別番号】100146835
【弁理士】
【氏名又は名称】佐伯 義文
(72)【発明者】
【氏名】竹森 敬祐
(72)【発明者】
【氏名】川端 秀明
【審査官】 圓道 浩史
(56)【参考文献】
【文献】 特開2013−017140(JP,A)
【文献】 特開2013−138304(JP,A)
【文献】 特開2013−168865(JP,A)
【文献】 竹森 敬祐,セキュアエレメントを基点とした車載制御システムの保護,電子情報通信学会技術研究報告,日本,一般社団法人電子情報通信学会 The Institute of Electronics,Information and Communication Engineers,2015年 3月 9日,Vol.114 No.508,p.73-78
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/16
G06F 21/44
H04L 9/08
H04L 9/32
(57)【特許請求の範囲】
【請求項1】
車両に備わる管理装置であり、
前記車両に備わる車載コンピュータに保持される出荷初期鍵の候補である複数の出荷初期鍵を記憶する出荷初期鍵記憶部と、
前記車両に備わる車載コンピュータと通信する第1通信部と、
前記車両に備わる車載コンピュータから前記第1通信部により受信した暗号化データを、前記出荷初期鍵記憶部に記憶される出荷初期鍵を使用して検証する検証部と、
前記車両に新たに実装される車載コンピュータに保持される新規の出荷初期鍵を、管理サーバ装置から通信ネットワークを介して受信する第2通信部と、を備え、
前記出荷初期鍵記憶部は、前記第2通信部により受信された前記新規の出荷初期鍵を記憶する、管理装置であって、
前記車両に備わる車載コンピュータで使用される最新の鍵を記憶する最新鍵記憶部と、
前記検証部による検証が成功した際に使用された前記新規の出荷初期鍵により前記最新の鍵を暗号化して暗号化鍵を生成する暗号処理部と、をさらに備え、
前記第1通信部は、前記車両に備わる車載コンピュータのうち前記検証部による検証が前記新規の出荷初期鍵により成功した車載コンピュータへ、前記暗号化鍵を送信する、
管理装置。
【請求項2】
請求項1に記載の管理装置を備える車両。
【請求項3】
車両に備わる管理装置が、前記車両に備わる車載コンピュータに保持される出荷初期鍵の候補である複数の出荷初期鍵を出荷初期鍵記憶部に記憶する出荷初期鍵記憶ステップと、
前記管理装置が、前記車両に備わる車載コンピュータで使用される最新の鍵を最新鍵記憶部に記憶する最新鍵記憶ステップと、
前記管理装置が、前記車両に新たに実装される車載コンピュータに保持される新規の出荷初期鍵を、管理サーバ装置から通信ネットワークを介して受信する第1通信ステップと、
前記管理装置が、前記第1通信ステップにより受信された前記新規の出荷初期鍵を前記出荷初期鍵記憶部に記憶するステップと、
前記管理装置が、前記車両に備わる車載コンピュータと通信する第通信ステップと、
前記管理装置が、前記車両に備わる車載コンピュータから前記第通信ステップにより受信した暗号化データを、前記出荷初期鍵記憶部に記憶される出荷初期鍵を使用して検証する検証ステップと、
前記管理装置が、前記検証ステップによる検証が成功した際に使用された前記新規の出荷初期鍵により前記最新の鍵を暗号化して暗号化鍵を生成する暗号処理ステップと、
前記管理装置が前記車両に備わる車載コンピュータのうち前記検証ステップによる検証が前記新規の出荷初期鍵により成功した車載コンピュータへ、前記暗号化鍵を送信するステップと、
を含む管理方法。
【請求項4】
車両に備わる管理コンピュータに、
前記車両に備わる車載コンピュータに保持される出荷初期鍵の候補である複数の出荷初期鍵を出荷初期鍵記憶部に記憶する出荷初期鍵記憶ステップと、
前記車両に備わる車載コンピュータで使用される最新の鍵を最新鍵記憶部に記憶する最新鍵記憶ステップと、
前記車両に新たに実装される車載コンピュータに保持される新規の出荷初期鍵を、管理サーバ装置から通信ネットワークを介して受信する第1通信ステップと、
前記第1通信ステップにより受信された前記新規の出荷初期鍵を前記出荷初期鍵記憶部に記憶するステップと、
前記車両に備わる車載コンピュータと通信する第通信ステップと、
前記車両に備わる車載コンピュータから前記第通信ステップにより受信した暗号化データを、前記出荷初期鍵記憶部に記憶される出荷初期鍵を使用して検証する検証ステップと、
前記検証ステップによる検証が成功した際に使用された前記新規の出荷初期鍵により前記最新の鍵を暗号化して暗号化鍵を生成する暗号処理ステップと、
前記車両に備わる車載コンピュータのうち前記検証ステップによる検証が前記新規の出荷初期鍵により成功した車載コンピュータへ、前記暗号化鍵を送信するステップと、
を実行させるためのコンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、管理装置、車両、管理方法、及びコンピュータプログラムに関する。
【背景技術】
【0002】
近年、自動車は、ECU(Electronic Control Unit)を有し、ECUによってエンジン制御等の機能を実現する。ECUは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。既に使用されている自動車について、ECUのコンピュータプログラムの更新は、通常、自動車の検査時や定期点検時などに、一般の自動車整備工場で行われる。
【0003】
従来、ECUのコンピュータプログラムの更新では、作業者が、自動車のOBD(On-board Diagnostics)ポートと呼ばれる診断ポートにメンテナンス専用の診断端末を接続し、該診断端末から更新プログラムのインストール及びデータの設定変更などを行う。これに関し例えば非特許文献1、2にはセキュリティについて記載されている。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】C. Miller、C. Valasek、“Adventures in Automotive Networks and Control Units”、DEF CON 21、2013年8月
【非特許文献2】高田広章、松本勉、“車載組込みシステムの情報セキュリティ強化に関する提言”、2013年9月、インターネット<URL:https://www.ipa.go.jp/files/000034668.pdf>
【非特許文献3】Trusted Computing Group、インターネット<URL:http://www.trustedcomputinggroup.org/>
【非特許文献4】竹森敬祐、“Android+TPMによるセキュアブート”、日経エレクトロニクス、2012年8月6日号.
【非特許文献5】竹森敬祐、川端秀明、磯原隆将、窪田歩、“Android(ARM)+TPMによるセキュアブート”、電子情報通信学会、SCIS2013シンポジウム、2013年1月.
【非特許文献6】竹森敬祐、川端秀明、窪田歩、“ARM+SIM/UIMによるセキュアブート”、電子情報通信学会、SCIS2014シンポジウム、2014年1月.
【発明の概要】
【発明が解決しようとする課題】
【0005】
上述した非特許文献1、2では、セキュリティの向上を実現する手段については記載されない。このため、自動車等の車両に備わるECU等の車載コンピュータに使用されるコンピュータプログラム等のデータの適用についての信頼性を向上させることが望まれる。例えば、ECUが起動した後に、ECUが保持する鍵を使用してデータの交換相手を相互認証することによって、車載コンピュータシステムの防御能力を向上させることが考えられる。また、例えば、ECUが保持する鍵を使用して、ECU間で交換するデータの正当性を検証することが考えられる。また、例えば、ECUに使用されるコンピュータプログラム等のデータに電子署名を付して自動車の管理装置へ配布し、管理装置が保持する鍵を使用して、配布されたデータの電子署名を検証することにより、ECUに使用されるコンピュータプログラム等のデータを検査することが考えられる。ここで、自動車に保持される鍵の管理や更新をどのようにして実現するのかが、鍵の保安上の課題である。
【0006】
本発明は、このような事情を考慮してなされたものであり、自動車等の車両に保持される鍵の管理や更新に寄与できる、管理装置、車両、管理方法、及びコンピュータプログラムを提供することを課題とする。
【課題を解決するための手段】
【0007】
(1)本発明の一態様は、車両に備わる管理装置であり、前記車両に備わる車載コンピュータに保持される出荷初期鍵の候補である複数の出荷初期鍵を記憶する出荷初期鍵記憶部と、前記車両に備わる車載コンピュータと通信する第1通信部と、前記車両に備わる車載コンピュータから前記第1通信部により受信した暗号化データを、前記出荷初期鍵記憶部に記憶される出荷初期鍵を使用して検証する検証部と、前記車両に新たに実装される車載コンピュータに保持される新規の出荷初期鍵を、管理サーバ装置から通信ネットワークを介して受信する第2通信部と、を備え、前記出荷初期鍵記憶部は、前記第2通信部により受信された前記新規の出荷初期鍵を記憶する、管理装置であって、前記車両に備わる車載コンピュータで使用される最新の鍵を記憶する最新鍵記憶部と、前記検証部による検証が成功した際に使用された前記新規の出荷初期鍵により前記最新の鍵を暗号化して暗号化鍵を生成する暗号処理部と、をさらに備え、前記第1通信部は、前記車両に備わる車載コンピュータのうち前記検証部による検証が前記新規の出荷初期鍵により成功した車載コンピュータへ、前記暗号化鍵を送信する、管理装置である。
(2)本発明の一態様は、車両に備わる管理装置であり、前記車両に備わる車載コンピュータに保持される出荷初期鍵と、前記車両に新たに実装される車載コンピュータに保持される新規の出荷初期鍵と、を記憶する出荷初期鍵記憶部と、前記車両に備わる車載コンピュータと通信する第1通信部と、前記車両に備わる車載コンピュータから前記第1通信部により受信した暗号化データを、前記出荷初期鍵記憶部に記憶される出荷初期鍵を使用して検証する検証部と、前記車両に備わる車載コンピュータで使用される最新の鍵を記憶する最新鍵記憶部と、前記検証部による検証が成功した際に使用された前記新規の出荷初期鍵により前記最新の鍵を暗号化して暗号化鍵を生成する暗号処理部と、を備え、前記第1通信部は、前記車両に備わる車載コンピュータのうち前記検証部による検証が前記新規の出荷初期鍵により成功した車載コンピュータへ、前記暗号化鍵を送信する、管理装置である。
)本発明の一態様は、上記(1)又は(2)のいずれかの管理装置を備える車両である。
【0008】
)本発明の一態様は、車両に備わる管理装置が、前記車両に備わる車載コンピュータに保持される出荷初期鍵の候補である複数の出荷初期鍵を出荷初期鍵記憶部に記憶する出荷初期鍵記憶ステップと、前記管理装置が、前記車両に備わる車載コンピュータと通信する第1通信ステップと、前記管理装置が、前記車両に備わる車載コンピュータから前記第1通信ステップにより受信した暗号化データを、前記出荷初期鍵記憶部に記憶される出荷初期鍵を使用して検証する検証ステップと、前記管理装置が、前記車両に新たに実装される車載コンピュータに保持される新規の出荷初期鍵を、管理サーバ装置から通信ネットワークを介して受信する第2通信ステップと、前記管理装置が、前記第2通信ステップにより受信された前記新規の出荷初期鍵を前記出荷初期鍵記憶部に記憶するステップと、前記管理装置が、前記車両に備わる車載コンピュータで使用される最新の鍵を最新鍵記憶部に記憶する最新鍵記憶ステップと、前記管理装置が、前記検証ステップによる検証が成功した際に使用された前記新規の出荷初期鍵により前記最新の鍵を暗号化して暗号化鍵を生成する暗号処理ステップと、前記管理装置が、前記第1通信ステップにより、前記車両に備わる車載コンピュータのうち前記検証ステップによる検証が前記新規の出荷初期鍵により成功した車載コンピュータへ、前記暗号化鍵を送信するステップと、を含む管理方法である。
)本発明の一態様は、車両に備わる管理装置が、前記車両に備わる車載コンピュータに保持される出荷初期鍵と、前記車両に新たに実装される車載コンピュータに保持される新規の出荷初期鍵と、を出荷初期鍵記憶部に記憶する出荷初期鍵記憶ステップと、前記管理装置が、前記車両に備わる車載コンピュータと通信する第1通信ステップと、前記管理装置が、前記車両に備わる車載コンピュータから前記第1通信ステップにより受信した暗号化データを、前記出荷初期鍵記憶部に記憶される出荷初期鍵を使用して検証する検証ステップと、前記管理装置が、前記車両に備わる車載コンピュータで使用される最新の鍵を最新鍵記憶部に記憶する最新鍵記憶ステップと、前記管理装置が、前記検証ステップによる検証が成功した際に使用された前記新規の出荷初期鍵により前記最新の鍵を暗号化して暗号化鍵を生成する暗号処理ステップと、前記管理装置が、前記第1通信ステップにより、前記車両に備わる車載コンピュータのうち前記検証ステップによる検証が前記新規の出荷初期鍵により成功した車載コンピュータへ、前記暗号化鍵を送信するステップと、を含む管理方法である。
【0009】
)本発明の一態様は、車両に備わるコンピュータに、前記車両に備わる車載コンピュータに保持される出荷初期鍵の候補である複数の出荷初期鍵を出荷初期鍵記憶部に記憶する出荷初期鍵記憶ステップと、前記車両に備わる車載コンピュータと通信する第1通信ステップと、前記車両に備わる車載コンピュータから前記第1通信ステップにより受信した暗号化データを、前記出荷初期鍵記憶部に記憶される出荷初期鍵を使用して検証する検証ステップと、前記車両に新たに実装される車載コンピュータに保持される新規の出荷初期鍵を、管理サーバ装置から通信ネットワークを介して受信する第2通信ステップと、前記第2通信ステップにより受信された前記新規の出荷初期鍵を前記出荷初期鍵記憶部に記憶するステップと、前記車両に備わる車載コンピュータで使用される最新の鍵を最新鍵記憶部に記憶する最新鍵記憶ステップと、前記検証ステップによる検証が成功した際に使用された前記新規の出荷初期鍵により前記最新の鍵を暗号化して暗号化鍵を生成する暗号処理ステップと、前記第1通信ステップにより、前記車両に備わる車載コンピュータのうち前記検証ステップによる検証が前記新規の出荷初期鍵により成功した車載コンピュータへ、前記暗号化鍵を送信するステップと、を実行させるためのコンピュータプログラムである。
)本発明の一態様は、車両に備わるコンピュータに、前記車両に備わる車載コンピュータに保持される出荷初期鍵と、前記車両に新たに実装される車載コンピュータに保持される新規の出荷初期鍵と、を出荷初期鍵記憶部に記憶する出荷初期鍵記憶ステップと、前記車両に備わる車載コンピュータと通信する第1通信ステップと、前記車両に備わる車載コンピュータから前記第1通信ステップにより受信した暗号化データを、前記出荷初期鍵記憶部に記憶される出荷初期鍵を使用して検証する検証ステップと、前記車両に備わる車載コンピュータで使用される最新の鍵を最新鍵記憶部に記憶する最新鍵記憶ステップと、前記検証ステップによる検証が成功した際に使用された前記新規の出荷初期鍵により前記最新の鍵を暗号化して暗号化鍵を生成する暗号処理ステップと、前記第1通信ステップにより、前記車両に備わる車載コンピュータのうち前記検証ステップによる検証が前記新規の出荷初期鍵により成功した車載コンピュータへ、前記暗号化鍵を送信するステップと、を実行させるためのコンピュータプログラムである。
【発明の効果】
【0010】
本発明によれば、自動車等の車両に保持される鍵の管理や更新に寄与できるという効果が得られる。
【図面の簡単な説明】
【0011】
図1】第1実施形態に係る管理システムの構成図である。
図2】第1実施形態に係る管理装置10を示す構成図である。
図3】第1実施形態に係る鍵記憶部22を示す構成図である。
図4】第1実施形態に係る出荷初期鍵記憶部25と通信事業者鍵記憶部26とを示す構成図である。
図5】第1実施形態に係るECU50を示す構成図である。
図6】第1実施形態に係る管理サーバ装置60を示す構成図である。
図7】第1実施形態に係るECU鍵管理鍵の更新方法の例1を示すシーケンスチャートである。
図8】第1実施形態に係るECU鍵管理鍵の更新方法の例2を示すシーケンスチャートである。
図9】第1実施形態に係るECU鍵管理鍵の更新方法の例2を示すシーケンスチャートである。
図10】第1実施形態に係るECU鍵管理鍵の更新方法の例2を示すシーケンスチャートである。
図11】第1実施形態に係るECU鍵管理鍵の更新方法の例3を示すシーケンスチャートである。
図12】第2実施形態に係る自動車1を示す構成図である。
【発明を実施するための形態】
【0012】
以下、図面を参照し、本発明の実施形態について説明する。なお、以下に示す実施形態では、車両として自動車を例に挙げて説明する。
【0013】
[第1実施形態]
図1は、本発明の第1実施形態に係る管理システムの構成図である。図1において、管理システムは、管理装置10と管理サーバ装置60とを備える。管理装置10は自動車1に備わる。管理サーバ装置60は、無線通信ネットワーク2の通信事業者に備わる。
【0014】
無線通信ネットワーク2を利用するためには、無線通信ネットワーク2の契約者情報が書き込まれたeSIM(Embedded Subscriber Identity Module)又はSIM(Subscriber Identity Module)が必要である。管理装置10は、eSIM_20を備える。eSIM_20は、無線通信ネットワーク2の契約者情報が書き込まれたeSIMである。よって、管理装置10は、eSIM_20を使用することにより無線通信ネットワーク2を利用できる。管理装置10は、eSIM_20を使用して確立される無線通信回線3により無線通信ネットワーク2に接続する。
【0015】
管理サーバ装置60は、無線通信ネットワーク2の通信事業者の通信回線4により無線通信ネットワーク2に接続する。管理装置10と管理サーバ装置60とは、無線通信ネットワーク2を介して通信する。
【0016】
なお、管理装置10と管理サーバ装置60との間に無線通信ネットワーク2を介した専用線を確立し、管理装置10と管理サーバ装置60とが専用線を介してデータを送受するようにしてもよい。
【0017】
自動車1において、管理装置10は制御用車載ネットワーク40に接続される。制御用車載ネットワーク40として、例えばCAN(Controller Area Network)が使用される。本実施形態では、制御用車載ネットワーク40はCANである。制御用車載ネットワーク40には、各種のECU50が接続される。ECU50は、自動車1に備わる車載コンピュータである。ECU50は、例えば、駆動系ECU、車体系ECU、安全制御系ECUなどである。管理装置10は、制御用車載ネットワーク40を介して、各ECU50との間でデータを交換する。ECU50は、制御用車載ネットワーク40を介して、他のECU50との間でデータを交換する。
【0018】
図2は、第1実施形態に係る管理装置10を示す構成図である。図2において、管理装置10は、eSIM_20と無線通信部11とCANインタフェース12とを備える。これら各部はデータを交換できるように構成される。eSIM_20は、鍵生成部21と鍵記憶部22と検証部23と暗号処理部24と出荷初期鍵記憶部25と通信事業者鍵記憶部26とを備える。
【0019】
eSIM_20はセキュアエレメントである。セキュアエレメントは、当該セキュアエレメントの外部からアクセスできないセキュア領域を含む。eSIM_20において、鍵記憶部22と出荷初期鍵記憶部25と通信事業者鍵記憶部26とはセキュア領域に在る。なお、セキュアエレメントとして、eSIM_20の代わりにSIMを利用してもよい。eSIMおよびSIMは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。
【0020】
無線通信部11は無線通信によりデータを送受する。eSIM_20は、無線通信ネットワーク2の契約者情報が書き込まれたeSIMである。よって、無線通信部11は、eSIM_20を使用することにより、無線通信回線3を介して無線通信ネットワーク2に接続する。CANインタフェース12は、ECU50と通信する通信部である。CANインタフェース12は、制御用車載ネットワーク40と接続し、制御用車載ネットワーク40を介して各ECU50とデータを交換する。
【0021】
eSIM_20において、鍵生成部21は鍵を生成する。鍵記憶部22は鍵を記憶する。検証部23は、データの交換についての検証を行う。暗号処理部24は、データの暗号化と暗号化データの復号化とを行う。出荷初期鍵記憶部25は出荷初期鍵を記憶する。通信事業者鍵記憶部26は通信事業者鍵を記憶する。
【0022】
本実施形態では、鍵生成部21が生成する鍵として、ECU鍵管理鍵とECU鍵との2種類がある。ECU鍵管理鍵は、例えば、ECU鍵等の鍵の更新をECU50に行うときに使用される。ECU鍵は、例えば、ECU50の保安のための処理に使用される。ECU鍵は、例えば、ECU50間の相互認証やデータの暗号化および復号化など、に使用される。
【0023】
鍵生成部21は、所定のタイミングで、ECU鍵管理鍵とECU鍵とを生成する。ECU鍵管理鍵の生成タイミングとECU鍵の生成タイミングとは、同じでもよく、又は、異なってもよい。鍵生成部21は、eSIM_20の外部からの鍵生成要求に応じて、ECU鍵管理鍵もしくはECU鍵のいずれか、又は、ECU鍵管理鍵とECU鍵との両方を生成してもよい。鍵生成部21は、ECU鍵管理鍵とECU鍵との生成を繰り返してもよい。
【0024】
鍵記憶部22は、鍵生成部21が生成したECU鍵管理鍵とECU鍵とを記憶する。図3は、第1実施形態に係る鍵記憶部22を示す構成図である。図3において、鍵記憶部22は、ECU鍵管理鍵Kmn記憶部31とECU鍵管理鍵Km(n−1)記憶部32とECU鍵kn記憶部33とを備える。
【0025】
ECU鍵管理鍵Kmn記憶部31は、鍵生成部21が生成したECU鍵管理鍵のうち最新のECU鍵管理鍵Kmnを記憶する。ECU鍵管理鍵Km(n−1)記憶部32は、鍵生成部21が生成したECU鍵管理鍵のうち、最新のECU鍵管理鍵Kmnの1つ前のECU鍵管理鍵Km(n−1)を記憶する。ECU鍵kn記憶部33は、鍵生成部21が生成したECU鍵のうち最新のECU鍵knを記憶する。
【0026】
図4は、第1実施形態に係る出荷初期鍵記憶部25と通信事業者鍵記憶部26とを示す構成図である。
【0027】
図4(1)において、出荷初期鍵記憶部25は、「x+1」個の出荷初期鍵Kr0、Kr1、・・・、Krxを記憶する。但し、xは0以上の整数である。出荷初期鍵Kr0、Kr1、・・・、Krxは、ECU50に保持される出荷初期鍵の候補である。ECU50には、ECU50の製造時や出荷時、自動車1にECU50が実装された後などに、出荷初期鍵が書き込まれる。出荷初期鍵は、通常、複数が生成される。ECU50には、複数の出荷初期鍵の中から選択された出荷初期鍵が書き込まれる。ECU50に書き込まれる出荷初期鍵の候補として、出荷初期鍵Kr0、Kr1、・・・、Krxがある。
【0028】
出荷初期鍵の発行形態の例1、2、3を以下に挙げる。
【0029】
(出荷初期鍵の発行形態の例1)
無線通信ネットワーク2の通信事業者が出荷初期鍵Kr0、Kr1、・・・、Krxを発行する。出荷初期鍵Kr0、Kr1、・・・、Krxは、ECU50の製造会社や自動車1の製造会社に配布される。無線通信ネットワーク2の通信事業者は、eSIM_20に出荷初期鍵Kr0、Kr1、・・・、Krxを書き込む。eSIM_20は、出荷初期鍵Kr0、Kr1、・・・、Krxを出荷初期鍵記憶部25に記憶する。ECU50の製造会社又は自動車1の製造会社で、出荷初期鍵Kr0、Kr1、・・・、Krxから選択された出荷初期鍵がECU50に書き込まれる。ECU50は、書き込まれた出荷初期鍵を保持する。
【0030】
(出荷初期鍵の発行形態の例2)
自動車1の製造会社が出荷初期鍵Kr0、Kr1、・・・、Krxを発行する。出荷初期鍵Kr0、Kr1、・・・、Krxは、無線通信ネットワーク2の通信事業者に配布される。無線通信ネットワーク2の通信事業者は、eSIM_20に出荷初期鍵Kr0、Kr1、・・・、Krxを書き込む。eSIM_20は、出荷初期鍵Kr0、Kr1、・・・、Krxを出荷初期鍵記憶部25に記憶する。自動車1の製造会社で、出荷初期鍵Kr0、Kr1、・・・、Krxから選択された出荷初期鍵がECU50に書き込まれる。ECU50は、書き込まれた出荷初期鍵を保持する。又は、出荷初期鍵Kr0、Kr1、・・・、Krxは、ECU50の製造会社に配布される。ECU50の製造会社で、出荷初期鍵Kr0、Kr1、・・・、Krxから選択された出荷初期鍵がECU50に書き込まれる。ECU50は、書き込まれた出荷初期鍵を保持する。
【0031】
(出荷初期鍵の発行形態の例3)
ECU50の製造会社が出荷初期鍵Kr0、Kr1、・・・、Krxを発行する。出荷初期鍵Kr0、Kr1、・・・、Krxは、無線通信ネットワーク2の通信事業者に配布される。無線通信ネットワーク2の通信事業者は、eSIM_20に出荷初期鍵Kr0、Kr1、・・・、Krxを書き込む。eSIM_20は、出荷初期鍵Kr0、Kr1、・・・、Krxを出荷初期鍵記憶部25に記憶する。ECU50の製造会社で、出荷初期鍵Kr0、Kr1、・・・、Krxから選択された出荷初期鍵がECU50に書き込まれる。ECU50は、書き込まれた出荷初期鍵を保持する。又は、出荷初期鍵Kr0、Kr1、・・・、Krxは、自動車1の製造会社に配布される。自動車1の製造会社で、出荷初期鍵Kr0、Kr1、・・・、Krxから選択された出荷初期鍵がECU50に書き込まれる。ECU50は、書き込まれた出荷初期鍵を保持する。
【0032】
なお、出荷初期鍵Kr0、Kr1、・・・、Krxが漏洩しないように、無線通信ネットワーク2の通信事業者と、ECU50の製造会社と、自動車1の製造会社との各々において、出荷初期鍵Kr0、Kr1、・・・、Krxが慎重に取り扱われることが好ましい。
【0033】
図4(2)において、通信事業者鍵記憶部26は、「y+1」個の通信事業者鍵Kc0、Kc1、・・・、Kcyを記憶する。但し、yは0以上の整数である。通信事業者鍵Kc0、Kc1、・・・、Kcyは、eSIM_20により無線通信ネットワーク2を利用するときに使用される通信事業者鍵の候補である。eSIM_20には、eSIM_20の製造時や出荷時、管理装置10にeSIM_20が実装された後などに、通信事業者鍵Kc0、Kc1、・・・、Kcyが書き込まれる。eSIM_20は、通信事業者鍵Kc0、Kc1、・・・、Kcyを通信事業者鍵記憶部26に記憶する。また、eSIM_20には、通信事業者鍵Kc0、Kc1、・・・、Kcyの中から使用する通信事業者鍵が設定される。eSIM_20は、設定に従って通信事業者鍵Kc0、Kc1、・・・、Kcyの中から通信事業者鍵を選択し、選択した通信事業者鍵を使用する。無線通信ネットワーク2の通信事業者は、eSIM_20が使用する通信事業者鍵を特定する情報を記録する。
【0034】
図5は、第1実施形態に係るECU50を示す構成図である。図5において、ECU50は、制御部51とCANインタフェース52と暗号処理部53と鍵記憶部54と出荷初期鍵記憶部55と検証部57とを備える。これら各部はデータを交換できるように構成される。
【0035】
制御部51は、所定の制御機能を備える。CANインタフェース52は、管理装置10や他のECU50と通信する通信部である。CANインタフェース52は、制御用車載ネットワーク40と接続し、制御用車載ネットワーク40を介して管理装置10や他のECU50とデータを交換する。
【0036】
暗号処理部53は、データの暗号化と暗号化データの復号化とを行う。鍵記憶部54は鍵を記憶する。本実施形態では、鍵記憶部54が記憶する鍵として、ECU鍵管理鍵とECU鍵との2種類がある。出荷初期鍵記憶部55は出荷初期鍵を記憶する。検証部57は、データの交換についての検証を行う。
【0037】
図6は、第1実施形態に係る管理サーバ装置60を示す構成図である。図6において、管理サーバ装置60は、通信部61と通信事業者鍵記憶部62と管理部63と管理データ記憶部64とを備える。これら各部はデータを交換できるように構成される。通信部61は、通信回線4を介してデータを送受する。通信部61は、通信回線4を介して無線通信ネットワーク2に接続する。通信事業者鍵記憶部62は通信事業者鍵を記憶する。管理部63は、自動車1に関する管理を行う。管理データ記憶部64は、自動車1に関する管理データを記憶する。
【0038】
次に、第1実施形態に係る管理方法を説明する。なお、以下の説明において、管理サーバ装置60と自動車1の管理装置10とは無線通信ネットワーク2を介してデータを送受する。管理装置10とECU50とは、制御用車載ネットワーク40を介してデータを送受する。管理装置10のeSIM_20は、CANインタフェース12を介してECU50とデータを送受する。ECU50の各部はCANインタフェース52を介して管理装置10のeSIM_20とデータを送受する。
【0039】
[ECU鍵管理鍵の更新方法の例1]
図7は、第1実施形態に係るECU鍵管理鍵の更新方法の例1を示すシーケンスチャートである。ECU鍵管理鍵の更新方法の例1は、自動車1に対して新たにECU50が実装される場合のECU鍵管理鍵の更新方法である。自動車1に対して新たに実装されるECU50のことを新ECU50と称する。
【0040】
ECU鍵管理鍵の更新方法の例1が適用される場合として、例えば、eSIM_20が自動車1に実装された後に、eSIM_20の出荷初期鍵記憶部25で保持されない新規の出荷初期鍵Knewを保持する新ECU50が自動車1に実装される場合が挙げられる。新ECU50は、自己の出荷初期鍵記憶部55に出荷初期鍵Knewを記憶する。
【0041】
図7には、管理サーバ装置60と自動車1の管理装置10のeSIM_20との間の手順と、自動車1における管理装置10のeSIM_20とECU50との間の手順とが示される。eSIM_20において、鍵記憶部22のECU鍵管理鍵Kmn記憶部31は、鍵生成部21が生成したECU鍵管理鍵のうち最新のECU鍵管理鍵Km3を記憶する。鍵記憶部22のECU鍵管理鍵Km(n−1)記憶部32は、鍵生成部21が生成したECU鍵管理鍵のうち最新のECU鍵管理鍵Km3の1つ前のECU鍵管理鍵Km2を記憶する。以下、図7を参照して、ECU鍵管理鍵の更新方法の例1を説明する。
【0042】
(ステップS1)管理サーバ装置60は、新規の出荷初期鍵Knewの配信指示を受信する。
【0043】
(ステップS2)管理サーバ装置60の管理部63は、eSIM_20が使用する通信事業者鍵Kc0で出荷初期鍵Knewを暗号化した暗号化データKc0(Knew)を生成する。eSIM_20が使用する通信事業者鍵Kc0を特定する情報は、無線通信ネットワーク2の通信事業者によって記録されている。管理部63は、該記録に基づいて、通信事業者鍵記憶部62から、eSIM_20が使用する通信事業者鍵Kc0を取得する。管理サーバ装置60の通信部61は、無線通信ネットワーク2を介して、暗号化データKc0(Knew)を自動車1の管理装置10のeSIM_20へ送信する。
【0044】
(ステップS3)自動車1の管理装置10のeSIM_20において、暗号処理部24は、管理サーバ装置60から受信した暗号化データKc0(Knew)を、通信事業者鍵Kc0で復号化する。暗号処理部24は、eSIM_20の設定に従って、通信事業者鍵記憶部26から、暗号化データKc0(Knew)の復号化に使用する通信事業者鍵Kc0を取得する。暗号化データKc0(Knew)の復号化結果として出荷初期鍵Knewが得られる。暗号化データKc0(Knew)の復号化結果の出荷初期鍵Knewは、出荷初期鍵記憶部25に追加して記憶される。
【0045】
(ステップS4)新ECU50の制御部51は、eSIM_20へ、自動車1への新ECU50の実装を通知する実装通知メッセージを送信する。eSIM_20は、新ECU50から送信された実装通知メッセージを受信する。
【0046】
(ステップS5)eSIM_20の検証部23は、乱数を生成し、生成した乱数をチャレンジ値とする。eSIM_20は、実装通知メッセージの送信元の新ECU50へ、チャレンジ値(乱数)を送信する。
【0047】
(ステップS6)新ECU50の暗号処理部53は、eSIM_20から受信したチャレンジ値(乱数)を、出荷初期鍵記憶部55に記憶される出荷初期鍵Knewで暗号化した暗号化データKnew(乱数)を生成する。新ECU50は、暗号化データKnew(乱数)をレスポンス値として、eSIM_20へ送信する。
【0048】
eSIM_20の検証部23は、新ECU50から受信したレスポンス値Knew(乱数)に対して、レスポンスマッチング処理を実行する。レスポンスマッチング処理では、検証部23は、出荷初期鍵記憶部25に記憶される出荷初期鍵Kr0、Kr1、・・・、Knewを使用して、レスポンス値Knew(乱数)を検証する。レスポンス値Knew(乱数)の検証方法として、以下に示す検証方法の例1、2が挙げられる。
【0049】
(検証方法の例1)
検証部23は、出荷初期鍵記憶部25に記憶される出荷初期鍵Kr0、Kr1、・・・、Knewの各々でチャレンジ値(乱数)を暗号化し、各暗号化結果がレスポンス値Knew(乱数)に一致するかを判定する。判定の結果、レスポンス値Knew(乱数)に一致する暗号化結果が一つだけある場合には、レスポンス値Knew(乱数)の検証が成功である。一方、判定の結果、レスポンス値Knew(乱数)に一致する暗号化結果がない場合、及び、レスポンス値Knew(乱数)に一致する暗号化結果が複数ある場合には、レスポンス値Knew(乱数)の検証が失敗である。
【0050】
(検証方法の例2)
検証部23は、出荷初期鍵記憶部25に記憶される出荷初期鍵Kr0、Kr1、・・・、Knewの各々でレスポンス値Knew(乱数)を復号化し、各復号化結果がチャレンジ値(乱数)に一致するかを判定する。判定の結果、チャレンジ値(乱数)に一致する復号化結果が一つだけある場合には、レスポンス値Knew(乱数)の検証が成功である。一方、判定の結果、チャレンジ値(乱数)に一致する復号化結果がない場合、及び、チャレンジ値(乱数)に一致する復号化結果が複数ある場合には、レスポンス値Knew(乱数)の検証が失敗である。
【0051】
レスポンス値Knew(乱数)の検証が成功である場合には以降のステップへ進む。一方、レスポンス値Knew(乱数)の検証が失敗である場合には、図7の処理を終了する。なお、レスポンス値Knew(乱数)の検証が失敗である場合には、所定のエラー処理を行ってもよい。
【0052】
(ステップS7)新ECU50の検証部57は、乱数を生成し、生成した乱数をチャレンジ値とする。新ECU50は、eSIM_20へ、チャレンジ値(乱数)を送信する。
【0053】
(ステップS8)eSIM_20の暗号処理部24は、新ECU50から受信したチャレンジ値(乱数)を、上記ステップS6のレスポンス値Knew(乱数)の検証で成功した際に使用された出荷初期鍵Knewで暗号化した暗号化データKnew(乱数)を生成する。eSIM_20は、暗号化データKnew(乱数)をレスポンス値として、新ECU50へ送信する。
【0054】
新ECU50の検証部57は、eSIM_20から受信したレスポンス値Knew(乱数)に対して、レスポンスマッチング処理を実行する。レスポンスマッチング処理では、検証部57は、出荷初期鍵記憶部55に記憶される出荷初期鍵Knewを使用して、レスポンス値Knew(乱数)を検証する。レスポンス値Knew(乱数)の検証方法として、上述した検証方法の例1、2が挙げられる。
【0055】
レスポンス値Knew(乱数)の検証が成功である場合には以降のステップへ進む。一方、レスポンス値Knew(乱数)の検証が失敗である場合には、図7の処理を終了する。なお、レスポンス値Knew(乱数)の検証が失敗である場合には、所定のエラー処理を行ってもよい。
【0056】
(ステップS9)eSIM_20の暗号処理部24は、上記ステップS6のレスポンス値Knew(乱数)の検証で成功した際に使用された出荷初期鍵Knewを使用して、鍵記憶部22のECU鍵管理鍵Kmn記憶部31に記憶されるECU鍵管理鍵Km3を暗号化し、暗号化ECU鍵管理鍵Knew(Km3)を生成する。eSIM_20は、新ECU50へ、暗号化ECU鍵管理鍵Knew(Km3)を送信する。
【0057】
(ステップS10)新ECU50の暗号処理部53は、eSIM_20から受信した暗号化ECU鍵管理鍵Knew(Km3)を、出荷初期鍵記憶部55に記憶される出荷初期鍵Knewで復号化する。この復号化結果としてECU鍵管理鍵Km3が得られる。
【0058】
(ステップS11)新ECU50の鍵記憶部54は、暗号処理部53の復号化結果であるECU鍵管理鍵Km3を記憶する。これにより、新ECU50の鍵記憶部54に記憶されるECU鍵管理鍵が、最新のECU鍵管理鍵Km3に更新される。
【0059】
上述したECU鍵管理鍵の更新方法の例1によれば、自動車1に実装されたeSIM_20の出荷初期鍵記憶部25で保持されない新規の出荷初期鍵Knewを保持する新ECU50が自動車1に実装される場合に、自動車1に実装された新ECU50に対してECU鍵管理鍵を自動車1の最新のECU鍵管理鍵に更新することができる。これにより、自動車1に実装される各ECU50で保持されるECU鍵管理鍵を、最新のECU鍵管理鍵に合わせることができる。
【0060】
また、ECU鍵管理鍵は、eSIM_20と新ECU50とで共有される出荷初期鍵Knewで暗号化されてeSIM_20から新ECU50へ送信される。これにより、ECU鍵管理鍵の更新の安全性が向上する。
【0061】
また、自動車1に実装されたeSIM_20の出荷初期鍵記憶部25で保持されない新規の出荷初期鍵Knewが管理サーバ装置60からeSIM_20に無線送信され、eSIM_20で無線受信された出荷初期鍵KnewがeSIM_20の出荷初期鍵記憶部25に追加して記憶される。これにより、自動車整備工場等で自動車1のOBDポートから出荷初期鍵Knewを管理装置10へ入力する手間が不要となる。
【0062】
[ECU鍵管理鍵の更新方法の例2]
図8図9及び図10は、第1実施形態に係るECU鍵管理鍵の更新方法の例2を示すシーケンスチャートである。ECU鍵管理鍵の更新方法の例2は、自動車1に対して新たにECU50が実装される場合のECU鍵管理鍵の更新方法である。自動車1に対して新たに実装されるECU50のことを新ECU50と称する。
【0063】
ECU鍵管理鍵の更新方法の例2が適用される場合として、例えば、eSIM_20が自動車1に実装された後に、eSIM_20の出荷初期鍵記憶部25で保持されない新規の出荷初期鍵Knewを保持する新ECU50が自動車1に実装される場合が挙げられる。新ECU50は、自己の出荷初期鍵記憶部55に出荷初期鍵Knewを記憶する。但し、ECU鍵管理鍵の更新方法の例2では、上述したECU鍵管理鍵の更新方法の例1とは異なり、新ECU50が実装される自動車1のeSIM_20を、出荷初期鍵Knewを保持するeSIM_20に交換する。自動車1に対して交換により新たに実装されるeSIM_20のことを新eSIM_20と称する。新eSIM_20は、自己の出荷初期鍵記憶部25に出荷初期鍵Knewを記憶する。
【0064】
図8には、管理サーバ装置60と自動車1の管理装置10の交換前のeSIM_20との間の手順と、自動車1における管理装置10の交換前のeSIM_20とECU50との間の手順とが示される。eSIM_20において、鍵記憶部22のECU鍵管理鍵Kmn記憶部31は、鍵生成部21が生成したECU鍵管理鍵のうち最新のECU鍵管理鍵Km3を記憶する。鍵記憶部22のECU鍵管理鍵Km(n−1)記憶部32は、鍵生成部21が生成したECU鍵管理鍵のうち最新のECU鍵管理鍵Km3の1つ前のECU鍵管理鍵Km2を記憶する。ECU50の鍵記憶部54は、ECU鍵管理鍵Km3を記憶する。以下、図8を参照して、ECU鍵管理鍵の更新方法の例2の第1段階を説明する。
【0065】
(ステップS21)自動車1の管理装置10の交換前のeSIM_20(以下、単にeSIM_20と称する)は、ECU50の交換通知を受信する。ECU50の交換通知は、例えば自動車1のOBDポートから管理装置10へ入力される。
【0066】
(ステップS22)eSIM_20の暗号処理部24は、鍵記憶部22のECU鍵管理鍵Kmn記憶部31に記憶されるECU鍵管理鍵Km3を使用して所定の出荷初期鍵Kr9を暗号化し、暗号化出荷初期鍵Km3(Kr9)を生成する。ECU50の交換通知に応じて出荷初期鍵Kr9が使用されることは、予め、eSIM_20に設定される。eSIM_20は、ECU50へ、暗号化出荷初期鍵Km3(Kr9)を送信する。
【0067】
(ステップS23)ECU50の暗号処理部53は、eSIM_20から受信した暗号化出荷初期鍵Km3(Kr9)を、鍵記憶部54に記憶されるECU鍵管理鍵Km3で復号化する。この復号化結果として出荷初期鍵Kr9が得られる。
【0068】
(ステップS24)ECU50の出荷初期鍵記憶部55は、暗号処理部53の復号化結果である出荷初期鍵Kr9を記憶する。これにより、ECU50の出荷初期鍵記憶部55に記憶される出荷初期鍵が、出荷初期鍵Kr9に更新される。
【0069】
図9には、自動車1における管理装置10の新eSIM_20とECU50との間の手順とが示される。新eSIM_20の出荷初期鍵記憶部25は、出荷初期鍵Kr9及びKnewを記憶する。以下、図9を参照して、ECU鍵管理鍵の更新方法の例2の第2段階を説明する。
【0070】
(ステップS31)自動車1の管理装置10において、eSIM_20から新eSIM_20に交換される。なお、管理装置10自体を、新eSIM_20が実装された管理装置10に交換してもよい。新eSIM_20は、ECU50へ、自動車1への新eSIM_20の実装を通知する実装通知メッセージを送信する。新eSIM_20からの実装通知メッセージは、ブロードキャストにより全ECU50へ送信される。以下、一のECU50に対する手順を説明するが、同じ手順が全ECU50に対して実行される。
【0071】
(ステップS32)新eSIM_20の検証部23は、乱数を生成し、生成した乱数をチャレンジ値とする。新eSIM_20は、ECU50へ、チャレンジ値(乱数)を送信する。
【0072】
(ステップS33)ECU50の暗号処理部53は、新eSIM_20から受信したチャレンジ値(乱数)を、出荷初期鍵記憶部55に記憶される出荷初期鍵Kr9で暗号化した暗号化データKr9(乱数)を生成する。ECU50は、暗号化データKr9(乱数)をレスポンス値として、新eSIM_20へ送信する。
【0073】
新eSIM_20の検証部23は、ECU50から受信したレスポンス値Kr9(乱数)に対して、レスポンスマッチング処理を実行する。レスポンスマッチング処理では、検証部23は、出荷初期鍵記憶部25に記憶される出荷初期鍵Kr9、Knewを使用して、レスポンス値Kr9(乱数)を検証する。レスポンス値Kr9(乱数)の検証方法として、上述した検証方法の例1、2が挙げられる。
【0074】
レスポンス値Kr9(乱数)の検証が成功である場合には以降のステップへ進む。一方、レスポンス値Kr9(乱数)の検証が失敗である場合には、検証が失敗したレスポンス値Kr9(乱数)の送信元のECU50に対する図9の処理を終了する。なお、レスポンス値Kr9(乱数)の検証が失敗である場合には、所定のエラー処理を行ってもよい。
【0075】
(ステップS34)ECU50の検証部57は、乱数を生成し、生成した乱数をチャレンジ値とする。ECU50は、新eSIM_20へ、チャレンジ値(乱数)を送信する。
【0076】
(ステップS35)新eSIM_20の暗号処理部24は、ECU50から受信したチャレンジ値(乱数)を、上記ステップS33のレスポンス値Kr9(乱数)の検証で成功した際に使用された出荷初期鍵Kr9で暗号化した暗号化データKr9(乱数)を生成する。新eSIM_20は、暗号化データKr9(乱数)をレスポンス値として、ECU50へ送信する。
【0077】
ECU50の検証部57は、新eSIM_20から受信したレスポンス値Kr9(乱数)に対して、レスポンスマッチング処理を実行する。レスポンスマッチング処理では、検証部57は、出荷初期鍵記憶部55に記憶される出荷初期鍵Kr9を使用して、レスポンス値Kr9(乱数)を検証する。レスポンス値Kr9(乱数)の検証方法として、上述した検証方法の例1、2が挙げられる。
【0078】
レスポンス値Kr9(乱数)の検証が成功である場合には以降のステップへ進む。一方、レスポンス値Kr9(乱数)の検証が失敗である場合には、検証が失敗したレスポンス値Kr9(乱数)を受信したECU50に対する図9の処理を終了する。なお、レスポンス値Kr9(乱数)の検証が失敗である場合には、所定のエラー処理を行ってもよい。
【0079】
(ステップS36)新eSIM_20の鍵生成部21は、新たなECU鍵管理鍵Km4を生成する。鍵記憶部22のECU鍵管理鍵Kmn記憶部31は、鍵生成部21が生成した新たなECU鍵管理鍵Km4を記憶する。新eSIM_20の暗号処理部24は、上記ステップS33のレスポンス値Kr9(乱数)の検証で成功した際に使用された出荷初期鍵Kr9を使用して、鍵記憶部22のECU鍵管理鍵Kmn記憶部31に記憶されるECU鍵管理鍵Km4を暗号化し、暗号化ECU鍵管理鍵Kr9(Km4)を生成する。新eSIM_20は、ECU50へ、暗号化ECU鍵管理鍵Kr9(Km4)を送信する。
【0080】
(ステップS37)ECU50の暗号処理部53は、新eSIM_20から受信した暗号化ECU鍵管理鍵Kr9(Km4)を、出荷初期鍵記憶部55に記憶される出荷初期鍵Kr9で復号化する。この復号化結果としてECU鍵管理鍵Km4が得られる。
【0081】
(ステップS38)ECU50の鍵記憶部54は、暗号処理部53の復号化結果であるECU鍵管理鍵Km4を記憶する。これにより、ECU50の鍵記憶部54に記憶されるECU鍵管理鍵が、最新のECU鍵管理鍵Km4に更新される。
【0082】
図10には、自動車1における管理装置10の新eSIM_20と新ECU50との間の手順とが示される。新ECU50の出荷初期鍵記憶部55は、出荷初期鍵Knewを記憶する。以下、図10を参照して、ECU鍵管理鍵の更新方法の例2の第3段階を説明する。
【0083】
(ステップS41)上述したステップS31により新eSIM_20からブロードキャストで送信された実装通知メッセージは、新ECU50で受信される。
【0084】
(ステップS42)新eSIM_20の検証部23は、乱数を生成し、生成した乱数をチャレンジ値とする。新eSIM_20は、新ECU50へ、チャレンジ値(乱数)を送信する。
【0085】
(ステップS43)新ECU50の暗号処理部53は、新eSIM_20から受信したチャレンジ値(乱数)を、出荷初期鍵記憶部55に記憶される出荷初期鍵Knewで暗号化した暗号化データKnew(乱数)を生成する。新ECU50は、暗号化データKnew(乱数)をレスポンス値として、新eSIM_20へ送信する。
【0086】
新eSIM_20の検証部23は、新ECU50から受信したレスポンス値Knew(乱数)に対して、レスポンスマッチング処理を実行する。レスポンスマッチング処理では、検証部23は、出荷初期鍵記憶部25に記憶される出荷初期鍵Kr9、Knewを使用して、レスポンス値Knew(乱数)を検証する。レスポンス値Knew(乱数)の検証方法として、上述した検証方法の例1、2が挙げられる。
【0087】
レスポンス値Knew(乱数)の検証が成功である場合には以降のステップへ進む。一方、レスポンス値Knew(乱数)の検証が失敗である場合には、検証が失敗したレスポンス値Knew(乱数)の送信元の新ECU50に対する図10の処理を終了する。なお、レスポンス値Knew(乱数)の検証が失敗である場合には、所定のエラー処理を行ってもよい。
【0088】
(ステップS44)新ECU50の検証部57は、乱数を生成し、生成した乱数をチャレンジ値とする。新ECU50は、新eSIM_20へ、チャレンジ値(乱数)を送信する。
【0089】
(ステップS45)新eSIM_20の暗号処理部24は、新ECU50から受信したチャレンジ値(乱数)を、上記ステップS43のレスポンス値Knew(乱数)の検証で成功した際に使用された出荷初期鍵Knewで暗号化した暗号化データKnew(乱数)を生成する。新eSIM_20は、暗号化データKnew(乱数)をレスポンス値として、新ECU50へ送信する。
【0090】
新ECU50の検証部57は、新eSIM_20から受信したレスポンス値Knew(乱数)に対して、レスポンスマッチング処理を実行する。レスポンスマッチング処理では、検証部57は、出荷初期鍵記憶部55に記憶される出荷初期鍵Knewを使用して、レスポンス値Knew(乱数)を検証する。レスポンス値Knew(乱数)の検証方法として、上述した検証方法の例1、2が挙げられる。
【0091】
レスポンス値Knew(乱数)の検証が成功である場合には以降のステップへ進む。一方、レスポンス値Knew(乱数)の検証が失敗である場合には、検証が失敗したレスポンス値Knew(乱数)を受信した新ECU50に対する図10の処理を終了する。なお、レスポンス値Kr9(乱数)の検証が失敗である場合には、所定のエラー処理を行ってもよい。
【0092】
(ステップS46)新eSIM_20の暗号処理部24は、上記ステップS43のレスポンス値Knew(乱数)の検証で成功した際に使用された出荷初期鍵Knewを使用して、鍵記憶部22のECU鍵管理鍵Kmn記憶部31に記憶されるECU鍵管理鍵Km4を暗号化し、暗号化ECU鍵管理鍵Knew(Km4)を生成する。新eSIM_20は、新ECU50へ、暗号化ECU鍵管理鍵Knew(Km4)を送信する。
【0093】
(ステップS47)新ECU50の暗号処理部53は、新eSIM_20から受信した暗号化ECU鍵管理鍵Knew(Km4)を、出荷初期鍵記憶部55に記憶される出荷初期鍵Knewで復号化する。この復号化結果としてECU鍵管理鍵Km4が得られる。
【0094】
(ステップS48)新ECU50の鍵記憶部54は、暗号処理部53の復号化結果であるECU鍵管理鍵Km4を記憶する。これにより、新ECU50の鍵記憶部54に記憶されるECU鍵管理鍵が、最新のECU鍵管理鍵Km4に更新される。
【0095】
なお、上述したECU鍵管理鍵の更新方法の例2において、第2段階と第3段階とはいずれの段階を先に実行してもよい。但し、第2段階又は第3段階のうち先に実行する段階において、新たなECU鍵管理鍵Km4が生成される。
【0096】
上述したECU鍵管理鍵の更新方法の例2によれば、自動車1に実装されたeSIM_20の出荷初期鍵記憶部25で保持されない新規の出荷初期鍵Knewを保持する新ECU50が自動車1に実装される場合に、自動車1に実装された新ECU50に対してECU鍵管理鍵を自動車1の最新のECU鍵管理鍵に更新することができる。これにより、自動車1に実装される各ECU50で保持されるECU鍵管理鍵を、最新のECU鍵管理鍵に合わせることができる。
【0097】
また、ECU鍵管理鍵は、新eSIM_20とECU50とで共有される出荷初期鍵Kr9で暗号化されて新eSIM_20からECU50へ送信される。また、ECU鍵管理鍵は、新eSIM_20と新ECU50とで共有される出荷初期鍵Knewで暗号化されて新eSIM_20から新ECU50へ送信される。これにより、ECU鍵管理鍵の更新の安全性が向上する。
【0098】
また、自動車1に対し、新規の出荷初期鍵Knewを保持しないeSIM_20から、新規の出荷初期鍵Knewを保持する新eSIM_20に交換することに対応するので、無線通信環境が整備されていない地域においても適用可能である。
【0099】
[ECU鍵管理鍵の更新方法の例3]
図11は、第1実施形態に係るECU鍵管理鍵の更新方法の例3を示すシーケンスチャートである。ECU鍵管理鍵の更新方法の例3は、上述したECU鍵管理鍵の更新方法の例2の変形例である。ECU鍵管理鍵の更新方法の例3では、自動車1に対して交換により新たに実装される新eSIM_20が新規の出荷初期鍵Knewを保持しない場合に、管理サーバ装置60から新eSIM_20へ、無線通信により新規の出荷初期鍵Knewを送信する。
【0100】
図11には、管理サーバ装置60と自動車1の管理装置10の新eSIM_20との間の手順と、自動車1における管理装置10の新eSIM_20とECU50との間の手順とが示される。以下、図11を参照して、ECU鍵管理鍵の更新方法の例3の第1段階を説明する。ECU鍵管理鍵の更新方法の例3の第1段階は、上述した図9に示されるECU鍵管理鍵の更新方法の例2の第2段階に対応する。
【0101】
(ステップS51)管理サーバ装置60は、新規の出荷初期鍵Knewを含む出荷初期鍵リストの配信指示を受信する。
【0102】
(ステップS52)管理サーバ装置60の管理部63は、新eSIM_20が使用する通信事業者鍵Kc0で出荷初期鍵リストを暗号化した暗号化データKc0(リスト)を生成する。新eSIM_20が使用する通信事業者鍵Kc0を特定する情報は、無線通信ネットワーク2の通信事業者によって記録されている。管理部63は、該記録に基づいて、通信事業者鍵記憶部62から、新eSIM_20が使用する通信事業者鍵Kc0を取得する。管理サーバ装置60の通信部61は、無線通信ネットワーク2を介して、暗号化データKc0(リスト)を自動車1の管理装置10の新eSIM_20へ送信する。
【0103】
(ステップS53)自動車1の管理装置10の新eSIM_20において、暗号処理部24は、管理サーバ装置60から受信した暗号化データKc0(リスト)を、通信事業者鍵Kc0で復号化する。暗号処理部24は、新eSIM_20の設定に従って、通信事業者鍵記憶部26から、暗号化データKc0(リスト)の復号化に使用する通信事業者鍵Kc0を取得する。暗号化データKc0(リスト)の復号化結果として出荷初期鍵リストが得られる。暗号化データKc0(リスト)の復号化結果の出荷初期鍵リストに含まれる出荷初期鍵Kr0、・・・、Kr9、・・・、Knewは、出荷初期鍵記憶部25に記憶される。
【0104】
図11のステップS54からS61までは、上述した図9のステップS31からS38までに対応し、同様の処理が行われる。但し、図11のステップS56のレスポンスマッチング処理では、新eSIM_20の検証部23は、出荷初期鍵記憶部25に記憶される出荷初期鍵Kr0、・・・、Kr9、・・・、Knewを使用して、ECU50から受信したレスポンス値Kr9(乱数)を検証する。
【0105】
なお、ECU鍵管理鍵の更新方法の例3の第2段階は、上述した図10に示されるECU鍵管理鍵の更新方法の例2の第3段階と同様に実行される。但し、ECU鍵管理鍵の更新方法の例3の第2段階では、図10のステップS43のレスポンスマッチング処理に対応するレスポンスマッチング処理として、新eSIM_20の検証部23は、出荷初期鍵記憶部25に記憶される出荷初期鍵Kr0、・・・、Kr9、・・・、Knewを使用して、新ECU50から受信したレスポンス値Knew(乱数)を検証する。
【0106】
上述したECU鍵管理鍵の更新方法の例3によれば、自動車1において、eSIM_20を新eSIM_20に交換した際に、無線通信により、管理サーバ装置60から新eSIM_20へ、新規の出荷初期鍵Knewを含む出荷初期鍵リストを配信できる。
【0107】
上述した第1実施形態によれば、自動車1に保持される鍵の管理や更新に寄与できるという効果が得られる。
【0108】
[第2実施形態]
図12は、本発明の第2実施形態に係る自動車1を示す構成図である。図12において、図1の各部に対応する部分には同一の符号を付け、その説明を省略する。以下、図12を参照して、第2実施形態に係る自動車1を説明する。
【0109】
図12に示される自動車1は、図1の自動車1に対して、さらに、ゲートウェイ100とインフォテイメント(Infotainment)機器110と通信装置120とを備える。通信装置120は、eSIM_121を備える。eSIM_121は、無線通信ネットワーク2の契約者情報が書き込まれたeSIMである。よって、通信装置120は、eSIM_121を使用することにより無線通信ネットワーク2を利用できる。通信装置120は、eSIM_121を使用して確立される無線通信回線161により無線通信ネットワーク2に接続する。無線通信ネットワーク2は通信回線162を介してインターネット150と接続する。インターネット150には通信回線163を介してサーバ装置140が接続される。通信装置120は、無線通信ネットワーク2を介して、インターネット150に接続されるサーバ装置140と通信する。
【0110】
自動車1のインフォテイメント機器110は、通信装置120を介して、サーバ装置140とデータを送受する。インフォテイメント機器110は、外部機器130と接続して、外部機器130とデータを交換する。外部機器130として、例えば、携帯通信端末やオーディオビジュアル機器などが挙げられる。
【0111】
自動車1において、ゲートウェイ100は、制御用車載ネットワーク40に接続される。インフォテイメント機器110は、ゲートウェイ100を介して、制御用車載ネットワーク40に接続されるECU50や管理装置10とデータを送受する。ゲートウェイ100は、インフォテイメント機器110とECU50との間のデータの送受、及び、インフォテイメント機器110と管理装置10との間のデータの送受、を監視する。
【0112】
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
【0113】
上述した実施形態では、セキュアエレメントとして、eSIM又はSIMを使用する例を挙げたが、これに限定されない。セキュアエレメントとして、例えば、耐タンパー性(Tamper Resistant)のある暗号処理チップを使用してもよい。耐タンパー性のある暗号処理チップとして、例えば、TPM(Trusted Platform Module)と呼ばれる暗号処理チップが知られている。TPMについては、例えば非特許文献3に記載されている。
【0114】
管理装置10及びECU50において、セキュアブート(Secure Boot)を行うことも好ましい。セキュアブートによれば、コンピュータの起動時に当該コンピュータのオペレーティングシステム(Operating System:OS)の正当性を検証することができる。セキュアブートについては、例えば非特許文献4,5,6に記載されている。
【0115】
上述した実施形態に係る管理方法は、自動車1の販売、定期点検、車両検査、転売、廃車など、自動車1の様々な管理の場面に適用可能である。
【0116】
上述した実施形態では、車両として自動車を例に挙げたが、原動機付自転車や鉄道車両等の自動車以外の他の車両にも適用可能である。
【0117】
また、上述した管理装置10、ECU50又は管理サーバ装置60が実行する管理方法の各ステップを実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
【0118】
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【符号の説明】
【0119】
1…自動車、2…無線通信ネットワーク、3…無線通信回線、4…通信回線、10…管理装置、11…無線通信部、12…CANインタフェース、20…eSIM、21…鍵生成部、22…鍵記憶部、23…検証部、24…暗号処理部、25…出荷初期鍵記憶部、26…通信事業者鍵記憶部、31…ECU鍵管理鍵Kmn記憶部、32…ECU鍵管理鍵Km(n−1)記憶部、33…ECU鍵kn記憶部、40…制御用車載ネットワーク、50…ECU、51…制御部、52…CANインタフェース、53…暗号処理部、54…鍵記憶部、55…出荷初期鍵記憶部、57…検証部、60…管理サーバ装置、61…通信部、62…通信事業者鍵記憶部、63…管理部、64…管理データ記憶部
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.