▶ コンティネンタル・テーベス・アクチエンゲゼルシヤフト・ウント・コンパニー・オッフェネ・ハンデルスゲゼルシヤフトの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-05-02
(45)【発行日】2023-05-15
(54)【発明の名称】暗号鍵を車内で管理するための方法
(51)【国際特許分類】
H04L 9/08 20060101AFI20230508BHJP
【FI】
H04L9/08 C
H04L9/08 E
【請求項の数】
9
(21)【出願番号】P 2021505801
(86)(22)【出願日】2019-07-25
(65)【公表番号】
(43)【公表日】2021-11-25
(86)【国際出願番号】 EP2019070139
(87)【国際公開番号】W WO2020025464
(87)【国際公開日】2020-02-06
【審査請求日】2021-03-16
(31)【優先権主張番号】102018213038.8
(32)【優先日】2018-08-03
(33)【優先権主張国・地域又は機関】DE
【前置審査】
(73)【特許権者】
【識別番号】399023800
【氏名又は名称】コンティネンタル・テーベス・アクチエンゲゼルシヤフト・ウント・コンパニー・オッフェネ・ハンデルスゲゼルシヤフト
(74)【代理人】
【識別番号】100069556
【弁理士】
【氏名又は名称】江崎 光史
(74)【代理人】
【識別番号】100111486
【弁理士】
【氏名又は名称】鍛冶澤 實
(74)【代理人】
【識別番号】100191835
【弁理士】
【氏名又は名称】中村 真介
(74)【代理人】
【識別番号】100221981
【弁理士】
【氏名又は名称】石田 大成
(72)【発明者】
【氏名】シュテッティンガー・マルク・ゼバスティアン・パトリク
(72)【発明者】
【氏名】クラッパー・パトリック・トーマス・ミヒャエル
【審査官】金沢 史明
(56)【参考文献】
【文献】特開2005-203882(JP,A)
【文献】特開2017-188959(JP,A)
【文献】特開2008-271506(JP,A)
【文献】特開平06-152592(JP,A)
【文献】米国特許出願公開第2017/0310674(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G09C 1/00
H04L 9/00- 9/40
G06F 21/00-21/88
(57)【特許請求の範囲】
【請求項1】
-車内の制御ユニット(12)が、車内の鍵生成装置(10,10a,10b)のために少なくとも1つの機密情報(24,24a,24b)を提供するステップと、-前記少なくとも1つの機密情報(24,24a,24b)に基づいて前記車内の鍵生成装置(10,10a,10b)によって少なくとも1つの新しい暗号鍵(26,26a,26b)を生成するステップとによって、暗号鍵を車内で管理するための方法において、 前記少なくとも1つの新しい暗号鍵(26,26a,26b)の生成、又は前記少なくとも1つの新しい暗号鍵(26,26a,26b)の提供、又は前記少なくとも1つの新しい暗号鍵(26,26a,26b)の生成及び提供は、1つの鍵交換イベント(20,20a,20b)又は複数の鍵交換イベント(20,20a,20b)の組み合わせによって開始されるか若しくは自動的に実行され、
前記鍵交換イベント(20,20a,20b)は、車内の変化(20a)としての異常検出によって捕捉され得る車内の変化、又は環境の変化(20b)としての車両の位置の変化、計画された走行経路の変化、物理的な限界パラメータの超過又は時系列の変化若しくは限界であることを特徴とする当該方法。
【請求項2】
-前記車内の鍵生成装置(10,10a,10b)が、少なくとも1つの車内の制御装置(18a-18c)のために前記少なくとも1つの新しい暗号鍵(26,26a,26b)を提供するステップと、-暗号化による安全対策(16a-16c)で前記少なくとも1つの車内の制御装置(18a-18c)によって前記少なくとも1つの新しい暗号鍵(26,26a,26b)を使用するステップを特徴とする請求項1に記載の方法。
【請求項3】
前記鍵交換イベントは、車内の制御ユニット(12)によって捕捉され、この制御ユニット(12)が、前記少なくとも1つの新しい暗号鍵(26,26a,26b)の生成及び開始、又は前記少なくとも1つの新しい暗号鍵(26,26a,26b)の生成、又は前記少なくとも1つの新しい暗号鍵(26,26a,26b)の提供を開始することを特徴とする請求項1又は2に記載の方法。
【請求項4】
-前記鍵生成装置(10,10a,10b)によって実行される鍵の生成を前記制御ユニット(12)によって制御するステップを特徴とする請求項3に記載の方法。
【請求項5】
-新しい暗号鍵(26,26a,26b)を1つ又は複数の制御装置(18a-18c)に提供し分配すること、又は新しい暗号鍵(26,26a,26b)を1つ又は複数の制御装置(18a-18c)に提供すること、又は新しい暗号鍵(26,26a,26b)を1つ又は複数の制御装置(18a-18c)に分配することを前記制御ユニット(12)によって制御するステップを特徴とする請求項3又は4に記載の方法。
【請求項6】
-車内の通信システム(100)が、車内の制御装置(18a-18c)によって使用される前記少なくとも1つの新しい暗号鍵(26,26a,26b)を車外のコンピュータシステム(102)に生成させることを許容する鍵生成パラメータを前記車外のコンピュータシステム(102)のために提供するステップと、-車内の制御装置(18a-18c)によって使用される少なくとも1つの暗号鍵(26,26a,26b)を前記車外のコンピュータシステム(102)によって生成するステップを特徴とする請求項1~5のいずれか1項に記載の方法。
【請求項7】
-車内の制御ユニット(12)が、前記車内の鍵生成装置(10,10a,10b)のために認可情報(22)を提供するステップであって、前記車内の鍵生成装置(10,10a,10b)による前記少なくとも1つの新しい暗号鍵(26,26a,26b)の生成は、前記認可情報(22)に基づいても実行されることを特徴とする請求項1~6のいずれか1項に記載の方法。
【請求項8】
-請求項1又は2に記載の暗号鍵を車内で管理するための方法を実行するように構成されている車内の通信システム(100)で使用するための、少なくとも1つの機密情報(24,24a,24b)を記憶するための記憶装置を有する鍵生成装置(10,10a,10b)において、少なくとも1つの新しい暗号鍵(26,26a,26b)を前記少なくとも1つの機密情報(24,24a,24b)に基づいて生成するように構成されている演算装置を特徴とする鍵生成装置(10,10a,10b)。
【請求項9】
-1つの鍵生成装置(10,10a,10b)と、-1つの制御ユニット(12)と、
-少なくとも1つの制御装置(18a-18c)とを有する車内の通信システム(100)において、
請求項1~7のいずれか1項に記載の暗号鍵を車内で管理するための方法を実行するように構成されていることを特徴とする車内の通信システム(100)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号鍵を車内で管理するための方法に関する。
【0002】
さらに、本発明は、機密情報を記憶するための記憶装置を有する、車内の通信システムで使用するための鍵生成装置に関する。
【0003】
さらに、本発明は、1つの鍵生成装置と1つの制御ユニットと少なくとも1つの制御装置とを有する車内の通信システムに関する。
【背景技術】
【0004】
異なる複数の車内の制御装置同士の車内通信を暗号で保護し、これらの車内の制御装置のソフトウェアの完全性を暗号で保護するため、暗号鍵が、車両内で使用される。
【0005】
暗号による適切な保護が、車両の耐用期間にわたって維持され得るように、車内の通信システム内で新しい暗号鍵を定期的に生成し分配することが必要である。これに関連して、用語である鍵の再生成が広く知られている。
【0006】
新しい鍵材料を車内の通信システムに導入するため、様々な取り組みが知られている。例えば、暗号鍵が、現場の技術者によって試験装置を用いて車内の通信システム内に直接にダウンロードされる。さらに、鍵を生成させる命令を、鍵を生成する車内の制御装置に送信することが知られている。当該取り組みは、現場の権限のある技術者によって、又は車両に対する保護されたエンドツーエンド接続を介したバックエンドによって実行され得る。さらに、バックエンドから保護されたエンドツーエンド接続を介して車両に鍵材料を送信することが知られている。
【0007】
しかしながら、当該既知の解決策は、相当な問題を部分的に伴う。技術者による鍵材料又は鍵を生成させる命令のダウンロード時に、車両が物理的に提供される必要がある。したがって、車両のユーザーにとっては不便である。鍵の再生成が、定期的に実行すべきメンテナンス作業中に車両で実行されると、鍵の使用期間が長くなり得る。その結果、車内の通信信頼性が直ちに保証され得ない。さらに、第三者が、鍵材料のダウンロードに携わる現場の作業員に悪影響を及ぼすことが排除され得ない。
【0008】
安全なインターネット接続を使用して鍵材料又は鍵を生成させる制御命令を伝送する場合、セキュリティ破壊の招来の危険(Kompromittierungsrisiko)が常にある。その結果、この方式でも、安全な鍵の再生成が実行され得ない。
【発明の概要】
【発明が解決しようとする課題】
【0009】
したがって、本発明の課題は、車内の制御機器用の暗号鍵の生成及び提供時の安全性を向上させることにある。
【課題を解決するための手段】
【0010】
本発明の当該課題は、冒頭で述べた種類の方法によって解決される。この場合、車内の鍵生成装置の本発明の方法の実行中に、少なくとも1つの機密情報が提供され、少なくとも1つの新しい暗号鍵が、当該少なくとも1つの機密情報に基づいて当該車内の鍵生成装置によって生成される。
【0011】
本発明は、車内で鍵を生成することによって、例えば技術者又はバックエンドを介して鍵を直接に導入することの必要性がないことを利用している。その結果、対応するセキュリティ破壊の招来の危険が排除される。車内の通信システムに導入すべき当該少なくとも1つの機密情報は、例えば塩パラメータ(Salt-Parameter)又は種パラメータ(Seed-Parameter)のような追加の生成パラメータなしでは鍵を生成するために使用され得ない。したがって、当該少なくとも1つの機密情報の提供工程に向けられた攻撃は、車両内の通信の安全性を損なうために適切でない。こうして、鍵の再生成の安全性が著しく向上する。
【0012】
鍵生成装置は、少なくとも1つの鍵を生成するために、例えばPBKDF2のような鍵導出関数を使用する。当該少なくとも1つの機密情報は、例えば秘密鍵、パスワード又はパスフレーズでもよい。当該少なくとも1つの機密情報は、例えば最初に鍵生成装置にダウンロードされ得て、及び/又は例えばディフィー・ヘルマン又はエルガマンのような鍵交換方法及び/又は鍵共有方法によって伝送され得る。複数の機密情報が、車内の鍵生成装置に提供されてもよい。当該鍵生成装置は、1つ又は複数の機密情報に基づいて複数の新しい暗号鍵を生成できる。
【0013】
さらに、本発明の方法は、少なくとも1つの新しい暗号鍵が少なくとも1つの車内の制御装置に提供されることによって有益に改良される。代わりに又はさらに、当該少なくとも1つの新しい暗号鍵は、当該車内の制御装置によって暗号化による安全対策と非暗号化による安全対策とで使用される。当該少なくとも1つの新しい暗号鍵は、鍵分配工程によって、特に鍵交換アルゴリズムを使用して複数の車内の制御装置に提供されてもよく、又はこれらの制御装置の下で取り決められてもよい。この場合、当該複数の車内の制御装置は、当該少なくとも1つの新しい暗号鍵を暗号化による安全対策と非暗号化による安全対策とで使用できる。当該車内の制御装置は、例えばエレクトロニックコントロールユニット(ECU)でもよい。暗号化による安全対策は、例えばメッセージの暗号化に関連する。非暗号化による安全対策は、例えばメッセージの署名に関連する。例えば、車内の制御装置ごとに1つ又は複数の機密情報が、車内の鍵生成装置に提供される。その結果、制御装置に固有の暗号鍵が、それぞれの1つの機密情報又はそれぞれの複数の機密情報に基づいて生成され得る。当該暗号鍵は、それぞれの車内の制御装置に割り当てられている。
【0014】
さらに、本発明の方法は、少なくとも1つの新しい暗号鍵の生成及び/又は少なくとも1つの新しい暗号鍵の提供が1つの鍵交換イベント又は複数の鍵交換イベントの組み合わせによって開始され、及び/又は自動的に実行される場合に有益である。当該鍵交換イベントは、例えば、ファイアウォールの警告、侵入検出、失敗したIDチェック又は認証規則の違反(自ら署名した証明書による不正の身元証明(false identity proof via own signed backend certificate))のようなセキュリティイベントでもよい。当該鍵交換イベントは、例えば、位置の変化、走行経路の変化及び/又は物理的な限界パラメータの超過のような環境の変化でもよい。さらに、当該鍵交換イベントは、時間の超過でもよい。さらに、当該鍵交換イベントは、異常検知によって確認され得る車内の変化でもよい。
【0015】
さらに、本発明の方法は、鍵交換イベントが車内の制御ユニットによって捕捉されることによって有益に改良される。この場合、当該制御ユニットは、少なくとも1つの新しい暗号鍵の生成及び/又は当該少なくとも1つの新しい暗号鍵の提供を開始する。したがって、当該車内の制御ユニットは、特に鍵の再生成マネージャーとして機能する。特に、当該方法は、1つの鍵交換イベント又は複数の鍵交換イベントの組み合わせを当該車内の制御ユニットによって捕捉する。当該鍵生成装置と当該制御ユニットとは、独立した電子モジュールでもよく、又は共通の1つの電子モジュール内に組み込まれてもよい。
【0016】
本発明の方法の別の実施の形態では、制御ユニットが、鍵生成装置によって実行される鍵の生成を制御し、及び/又は当該鍵生成装置によって実行される鍵の生成を適合する。代わりに又はさらに、当該制御ユニットは、1つ又は複数の制御装置に対する新しい暗号鍵の提供及び/又は分配を制御し、1つ又は複数の制御装置に対する新しい暗号鍵の提供及び/又は分配を適合する。当該制御ユニットが、当該鍵の生成の適合及び/又は当該鍵の分配の適合を可能にすることによって、鍵の再生成の工程が、動的に変更可能である。特に、当該制御ユニットは、鍵の生成のために使用すべき機密情報を当該鍵生成装置に事前に提供する。当該工程を変更することによって、1つ又は複数の機密情報が、例えば当該機密情報のセキュリティ破壊(Kompromittierung)の確認後にもはや使用されることはあり得ない。さらに、当該制御ユニットは、鍵導出関数の枠組みの中で使用すべきパラメータを当該鍵生成装置に事前に提供され得る。したがって、当該パラメータを変更することによって、新しい暗号鍵が、不変の機密情報に基づいて生成され得る。
【0017】
本発明の方法の好適な実施の形態では、車内の制御装置によって使用される少なくとも1つの暗号鍵を車外のコンピュータシステムに生成させることを許容する鍵生成パラメータが、当該車外のコンピュータシステムに提供される。代わりに又はさらに、当該方法は、車内の制御装置によって使用される少なくとも1つの暗号鍵を外部のコンピュータシステムによって生成することを含む。当該外部のコンピュータシステムは、車両メーカー又は第三者のサプライヤーによって稼働される、例えばバックエンドでもよい。当該鍵生成パラメータの提供は、特に保護されたインターネット接続を使用して、例えば鍵生成パラメータを車内の通信システムから車外のコンピュータシステムに送信することを含み得る。特に、鍵を生成するために車内の鍵生成装置に提供された少なくとも1つの機密情報も、当該車外のコンピュータシステムに通知されている。当該提供された鍵生成パラメータと当該少なくとも1つの機密情報とに基づいて、当該車外のコンピュータシステムは、当該車内の通信システムの枠組みの中でも使用される適切な暗号鍵を生成することができる。
【0018】
さらに、本発明の方法は、認可情報が車内の鍵生成装置に提供され、少なくとも1つの新しい暗号鍵が当該認可情報に基づいて当該車内の鍵生成装置によって生成される場合に有益である。当該認可情報は、クレデンシャルとも呼ばれ得て、例えばカウンタ、トークン及び/又は認証情報を含み得る。特に、当該認可情報は、制御ユニットから当該鍵生成装置に提供される。
【0019】
さらに、本発明の課題は、冒頭で述べた種類の鍵生成装置によって解決される。この場合、本発明の鍵生成装置は、少なくとも1つの機密情報に基づいて少なくとも1つの新しい暗号鍵を生成するように構成されている演算装置を有する。特に、当該鍵生成装置は、当該方法の実行中に暗号鍵を車内で管理するために上記の複数の実施の形態のうちの1つの実施の形態にしたがって使用されるように構成されている。本発明の鍵生成装置の利点及び変更例は、暗号鍵を車内で管理するための方法の利点及び変更例に記載されている。
【0020】
さらに、本発明の課題は、冒頭で述べた種類の車内の通信システムによって解決される。この場合、本発明の通信システムは、暗号鍵を車内で管理するための方法を上記の複数の実施の形態のうちの1つの実施の形態にしたがって実行するように構成されている。本発明の通信システムの利点及び変更例は、暗号鍵を車内で管理するための本発明の方法の利点及び変更例に記載されている。
【0021】
以下に、本発明の好適な実施の形態を添付図面を参照して詳しく説明し記載する。
【図面の簡単な説明】
【0022】
【図1】本発明の通信システムの実施の形態を概略的に示す。
【図2】本発明の通信システムの別の実施の形態を概略的に示す。
【図3】本発明の通信システムの別の実施の形態を概略的に示す。
【図4】本発明の方法の概略的なフローチャートである。
【発明を実施するための形態】
【0023】
図1によれば、社内の通信システム100は、1つの鍵生成装置10、1つの制御ユニット12及び複数の、すなわち3つの制御装置18a-18cを含む。
【0024】
鍵生成装置10は、提供された機密情報24a,24bを記憶するための記憶装置を有する。この場合、機密情報24a,24bは、例えば暗号鍵、パスワード又はパスフレーズでもよい。鍵生成装置10用の機密情報24a,24bは、例えば、通信システム100の実行中に最初にダウンロードすることによって、及び/又は事後的に例えばディフィー・ヘルマン又はエルガマンのような鍵交換方法及び/又は鍵共有方法によって提供され得る。
【0025】
さらに、認可情報22が、制御ユニット12によって鍵生成装置10に提供される。認可情報22は、「クレデンシャル」とも呼ばれ、例えばカウンタ、トークン及び/又は認証情報を含む。
【0026】
鍵生成装置10は、機密情報24a,24bと認可情報22とに基づいて暗号鍵26a,26bを生成する演算装置を有する。当該生成された鍵26a,26bは、鍵交換アルゴリズムを使用して分配装置14によって車内の複数の制御装置18a-18cに提供される。図示された実施の形態では、鍵生成装置10は、機密情報24aに基づいて暗号鍵26aを生成し、機密情報24bに基づいて暗号鍵26bを生成する。暗号鍵26aは、車内の制御装置18a,18bに提供される。暗号鍵26bは、車内の制御装置18cに提供される。
【0027】
車内の制御装置18a-18cは、エレクトロニックコントロールユニット(ECU)として構成されていて、暗号化又はメッセージの署名のように、暗号化による安全対策16a-16cと非暗号化による安全対策16a-16cとの枠組みの中で、提供された暗号鍵26a,26bを使用する。
【0028】
暗号鍵26a,26bの生成及び生成された暗号鍵26a,26bの提供は、1つの鍵交換イベント20a-20c又は複数の鍵交換イベント20a-20cの組み合わせによって開始され、その鍵交換イベント20a-20cの発生時に又はそれらの鍵交換イベント20a-20cの組み合わせの発生時に自動的に実行される。
【0029】
鍵交換イベント20a-20cは、車内の制御ユニット12によって捕捉される。その結果、制御ユニット12は、新しい暗号鍵26a,26bの生成と、当該生成された暗号鍵26a,26bの提供を開始する。さらに、制御ユニット12は、鍵生成装置10によって実行された鍵生成を制御するために使用され、鍵生成装置10によって実行された鍵生成を適合するために使用される。
【0030】
鍵交換イベント20a-20cは、車内の変化20a、環境の変化20b又はセキュリティイベント20cでもよい。車内の変化20aは、異常検出によって捕捉され得る。環境の変化20bは、例えば、車両の位置の変化、計画された走行経路の変化又は物理的な限界パラメータの超過に関連してもよい。さらに、環境の変化20bは、時系列の変化又は限界に関連してもよい。セキュリティイベント20cは、例えば、ファイアウォールの警告、侵入検出、失敗したIDチェック又は認証規則の違反(自ら署名した証明書による不正の身元証明(false identity proof via own signed backend certificate))でもよい。
【0031】
さらに、車内の通信システム100は、鍵生成パラメータを、例えばインターネット接続を介して車外のコンピュータシステム102に提供するように構成されている。当該鍵生成パラメータは、車内の制御装置18a-18cによって使用される暗号鍵26a,26bを生成することを車外のコンピュータシステム102に許可する。その結果、車内で生成される鍵26a,26bが、車外でも生成可能になる。
【0032】
図2に示された通信システム100は、独立した2つの鍵生成装置10a,10bを含む。この場合、鍵生成装置10aは、車内の制御装置18aの構成要素であり、鍵生成装置10bは、車内の制御装置18bの構成要素である。機密情報24が、鍵生成装置10a,10bに提供される。この場合、鍵生成装置10a,10bは、機密情報24に基づいて暗号鍵を導出するように構成されている。この場合、この暗号鍵は、安全対策16a,16bの枠組みの中でそれぞれの制御装置18a,18bによって直接に使用可能である。
【0033】
鍵生成装置10a,10bは、それぞれの鍵を生成するために、例えば鍵導出関数を使用する。鍵生成装置10a,10bが、車内の制御装置18a,18b内に組み込まれているので、当該生成された鍵を分配する必要はない。
【0034】
図3は、車内の通信システム100を示す。この通信システム100の場合、エレクトロニックコントロールユニット(ECU)としてそれぞれ構成された2つの制御装置18a,18bが、暗号化され且つ署名されたメッセージ32a,32bを互いに入れ替える。この場合、メッセージ32a,32bは、例えば暗号タグ(Chiffre)又はMACタグ(MAC-Tag)のような識別子34を有する。侵入検出装置30が、車外の攻撃者104の攻撃を捕捉するために使用される。
【0035】
したがって、鍵の新規の生成を必要とするセキュリティイベント20が発生しているか否かが、侵入検出装置30によって確認され得る。当該確認されたセキュリティイベント20に起因して、制御ユニット12は、新しい暗号鍵26の生成及び分配の命令を発する。制御装置18a,18bは、互いにさらに通信するために当該新しい暗号鍵26を使用できる。こうして、これらの制御装置18a,18bの場合に、古い鍵28が、新しい鍵26に自動的に入れ替えられる。当該入れ替えは、外部の攻撃を検出することによって引き起こされる。
【0036】
図4に示されたフローチャートは、暗号鍵を車内で管理するための方法の実行中の方法の流れ200を例示する。
【0037】
ステップ202では、メッセージが、車内の制御装置18aによって暗号化され署名される。当該メッセージは、識別子を含む。ステップ204では、当該メッセージが、車内の制御装置18bに送信される。この場合、制御装置18bに対してアドレス付けされた当該メッセージは、ステップ206で攻撃者104によって捕らえられ改竄される。当該改竄は、ステップ208で車内の侵入検出装置30によって捕捉される。この場合、当該改竄されたメッセージは、攻撃者104から車内の制御装置18bに送信される。
【0038】
ステップ212によって、車内の制御ユニット12が、当該侵入検出装置によって制御装置18aと制御装置18bとの間の通信に対する攻撃に関して通知される。これに伴って、制御ユニット12は、ステップ214で制御装置18aと制御装置18bとの間の通信中に使用された暗号鍵を確認し、対応する生成命令によって新しい暗号鍵を生成する命令を発する。当該命令は、ステップ216で鍵生成装置10に送信される。さらに、ステップ218で、制御装置18aと制御装置18bとの間の通信のために今まで使用された暗号鍵は現在では無効であり、新しい鍵が、当該無効の鍵と入れ替えるために生成されることが、車外のコンピュータシステムに通知される。
【0039】
すると、制御装置18aと制御装置18bとの間の通信を保護するための新しい暗号鍵を生成するため、鍵生成装置10は、予め提供され且つこの鍵生成装置10のメモリ上に記憶された機密情報を使用する。当該生成された暗号鍵は、暗号分配工程によってステップ222で制御装置18aに提供され、ステップ224で制御装置18bに提供される。
【0040】
制御装置18aは、ステップ228で今まで使用し且つ現在では無効の暗号鍵を新たに生成され且つ鍵生成装置10によって提供された暗号鍵に入れ替える。制御装置18bは、ステップ226で今まで使用し且つ現在では無効の暗号鍵を新たに生成され且つ鍵生成装置10によって提供された暗号鍵に入れ替える。すると、制御装置18aと制御装置18bとの間の通信が、当該新たに生成された暗号鍵によって保護される。
【0041】
したがって、本発明は、車内の安全上の欠陥の自動的な排除を可能にする。当該安全上の欠陥の自動的な排除は、鍵入れ替えイベントを確認することによって開始され、外部の技術者のさらなる対策、又は外部のコンピュータシステムとのデータ交換を必要としない。
【符号の説明】
【0042】
10,10a,10b 鍵生成装置
12 制御ユニット
14 分配装置
16a-16c 安全対策
18a-18c 制御装置
20,20a-20c 鍵入れ替えイベント
22 認可情報
24,24a,24b 機密情報
26,26a,26b 鍵
28 古い鍵
30 侵入検出装置
32a,32b メッセージ
34 識別子
100 通信システム
102 コンピュータシステム
104 攻撃者
200 方法の流れ
202-228 方法ステップ
12 制御ユニット
14 分配装置
16a-16c 安全対策
18a-18c 制御装置
20,20a-20c 鍵入れ替えイベント
22 認可情報
24,24a,24b 機密情報
26,26a,26b 鍵
28 古い鍵
30 侵入検出装置
32a,32b メッセージ
34 識別子
100 通信システム
102 コンピュータシステム
104 攻撃者
200 方法の流れ
202-228 方法ステップ
【図1】
【図2】
【図3】
【図4】