IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > ホアウェイ・テクノロジーズ・カンパニー・リミテッド

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ ホアウェイ・テクノロジーズ・カンパニー・リミテッドの特許一覧

特表2022-545420車載システムにおけるセキュリティ保護方法およびデバイス
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2022-10-27
(54)【発明の名称】車載システムにおけるセキュリティ保護方法およびデバイス
(51)【国際特許分類】
   H04L 9/10 20060101AFI20221020BHJP
   H04L 9/32 20060101ALI20221020BHJP
   G06F 21/64 20130101ALI20221020BHJP
【FI】
H04L9/10 A
H04L9/32 200B
G06F21/64
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2022510835
(86)(22)【出願日】2020-08-19
(85)【翻訳文提出日】2022-03-18
(86)【国際出願番号】 CN2020110078
(87)【国際公開番号】W WO2021032132
(87)【国際公開日】2021-02-25
(31)【優先権主張番号】201910770024.8
(32)【優先日】2019-08-20
(33)【優先権主張国・地域又は機関】CN
(81)【指定国・地域】
(71)【出願人】
【識別番号】504161984
【氏名又は名称】ホアウェイ・テクノロジーズ・カンパニー・リミテッド
(74)【代理人】
【識別番号】110000877
【氏名又は名称】弁理士法人RYUKA国際特許事務所
(72)【発明者】
【氏名】ガオ、チョンジェン
(72)【発明者】
【氏名】ワン、ヨン
(72)【発明者】
【氏名】ユ、インホイ
(57)【要約】
本願の実施形態が車載システムにおけるセキュリティ保護方法およびデバイスを提供し、これらの実施形態は、「車両のインターネット」技術の分野に関し、ゲートウェイ、ドメインコントローラ、および電子制御ユニットのセキュリティレベル要件に基づいて、第1セキュリティ保護モジュールをゲートウェイに配置し、第2セキュリティ保護モジュールをドメインコントローラに配置し、第3セキュリティ保護モジュールを電子制御ユニットに配置する。そのため、ゲートウェイ、ドメインコントローラ、および電子制御ユニットは異なるセキュリティレベルを有する。第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルであり、第2セキュリティ保護モジュールのセキュリティレベルが第2セキュリティレベルであり、第3セキュリティ保護モジュールのセキュリティレベルが第3セキュリティレベルである。
【特許請求の範囲】
【請求項1】
ゲートウェイと、ドメインコントローラと、前記ドメインコントローラに対応する電子制御ユニット(ECU)とを備える車載システムであって、前記ゲートウェイが前記ドメインコントローラに接続されており、前記ドメインコントローラが前記ECUに接続されており、
前記ECUには第1セキュリティ保護モジュールが配置されており、前記第1セキュリティ保護モジュールが前記ECUに対してセキュリティ保護を提供するように構成されており、前記第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルであり、
前記ドメインコントローラには第2セキュリティ保護モジュールが配置されており、前記第2セキュリティ保護モジュールが前記ドメインコントローラに対してセキュリティ保護を提供するように構成されており、前記第2セキュリティ保護モジュールのセキュリティレベルが第2セキュリティレベルであり、
前記ゲートウェイには第3セキュリティ保護モジュールが配置されており、前記第3セキュリティ保護モジュールが前記ゲートウェイに対してセキュリティ保護を提供するように構成されており、前記第3セキュリティ保護モジュールのセキュリティレベルが第3セキュリティレベルである、車載システム。
【請求項2】
前記第3セキュリティレベルが前記第2セキュリティレベルより高いまたはこれに等しく、前記第2セキュリティレベルが前記第1セキュリティレベルより高い、請求項1に記載の車載システム。
【請求項3】
前記第1セキュリティ保護モジュールがデバイス識別子構成エンジン(DICE)を有し、
前記第2セキュリティ保護モジュールが、トラステッドプラットフォームモジュールシン、埋め込み型セキュアエレメント(eSE)、物理的に分離されたセキュリティプロセッサ(SP)システムを含むチップ、または物理的に分離されたハードウェアセキュリティモジュール(HSM)を含むチップを有し、
前記第3セキュリティ保護モジュールが、トラステッドプラットフォームモジュールリッチ、eSE、物理的に分離されたSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを有する、請求項1または2に記載の車載システム。
【請求項4】
車載システムにおけるセキュリティ保護方法であって、
電子制御ユニット(ECU)が第1セキュリティ保護モジュールを用いて前記ECUの公開鍵および前記ECUの秘密鍵を生成する段階であって、前記第1セキュリティ保護モジュールが前記ECUに対してセキュリティ保護を提供するように構成されており、前記第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルである、生成する段階と、
前記ECUが前記ECUの前記秘密鍵を用いて前記ECUのファームウェアダイジェストに署名し、第1署名情報を取得する段階と、
前記ECUが、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストをドメインコントローラに送信する段階と、
前記ドメインコントローラが、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ECUから受信する段階と、
前記ドメインコントローラが、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストをゲートウェイに送信する段階と、
前記ゲートウェイが、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ドメインコントローラから受信する段階と、
前記ゲートウェイが、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストをサーバに送信する段階と
を備える方法。
【請求項5】
前記第1セキュリティ保護モジュールがデバイス識別子構成エンジン(DICE)を有する、請求項4に記載の方法。
【請求項6】
前記ドメインコントローラがECUリストを格納し、前記ECUが前記ECUリスト内のECUである、請求項4または5に記載の方法。
【請求項7】
前記ECUの前記ファームウェアダイジェストが前記ECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる、請求項4から6のいずれか一項に記載の方法。
【請求項8】
前記方法がさらに、
前記サーバが、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ゲートウェイから受信する段階と、
前記サーバが前記ECUの前記公開鍵を用いて前記第1署名情報に対して検証を行う段階と、
前記第1署名情報が検証された場合、前記サーバが前記ゲートウェイに第1応答情報を送信する段階であって、前記第1応答情報は前記ECUを起動することを示すのに用いられる、送信する段階と、
前記ゲートウェイが前記第1応答情報を前記サーバから受信する段階と、
前記ゲートウェイが前記第1応答情報を前記ドメインコントローラに送信する段階と、
前記ドメインコントローラが前記第1応答情報を前記ゲートウェイから受信する段階と、
前記ドメインコントローラが前記第1応答情報を前記ECUに送信する段階と、
前記ECUが前記第1応答情報を前記ドメインコントローラから受信する段階と
を備える、請求項4から7のいずれか一項に記載の方法。
【請求項9】
車載システムにおけるセキュリティ保護方法であって、
電子制御ユニット(ECU)が第1セキュリティ保護モジュールを用いて前記ECUの公開鍵および前記ECUの秘密鍵を生成する段階であって、前記第1セキュリティ保護モジュールが前記ECUに対してセキュリティ保護を提供するように構成されており、前記第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルである、生成する段階と、
前記ECUが前記ECUの前記秘密鍵を用いて前記ECUのファームウェアダイジェストに署名し、第1署名情報を取得する段階と、
前記ECUが、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストをドメインコントローラに送信する段階と、
前記ドメインコントローラが、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ECUから受信する段階と、
前記ドメインコントローラが第2セキュリティ保護モジュールを用いて前記ドメインコントローラの公開鍵および前記ドメインコントローラの秘密鍵を生成する段階であって、前記第2セキュリティ保護モジュールが前記ドメインコントローラに対してセキュリティ保護を提供するように構成されており、前記第2セキュリティ保護モジュールのセキュリティレベルが第2セキュリティレベルである、生成する段階と、
前記ドメインコントローラが前記ECUの前記公開鍵を用いて前記第1署名情報に対して検証を行う段階と、
前記第1署名情報が検証された場合、前記ドメインコントローラが前記ドメインコントローラの前記秘密鍵を用いて前記ECUの前記ファームウェアダイジェストに署名し、第2署名情報を取得する段階と、
前記ドメインコントローラが、前記第2署名情報、前記ドメインコントローラの前記公開鍵、および前記ECUの前記ファームウェアダイジェストをゲートウェイに送信する段階と、
前記ゲートウェイが、前記第2署名情報、前記ドメインコントローラの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ドメインコントローラから受信する段階と、
前記ゲートウェイが第3セキュリティ保護モジュールを用いて前記ゲートウェイの公開鍵および前記ゲートウェイの秘密鍵を生成する段階であって、前記第3セキュリティ保護モジュールが前記ゲートウェイに対してセキュリティ保護を提供するように構成されており、前記第3セキュリティ保護モジュールのセキュリティレベルが第3セキュリティレベルである、生成する段階と、
前記ゲートウェイが前記ドメインコントローラの前記公開鍵を用いて前記第2署名情報に対して検証を行う段階と、
前記第2署名情報が検証された場合、前記ゲートウェイが前記ゲートウェイの前記秘密鍵を用いて前記ECUの前記ファームウェアダイジェストに署名し、第3署名情報を取得する段階と、
前記ゲートウェイが、前記第3署名情報、前記ゲートウェイの前記公開鍵、および前記ECUの前記ファームウェアダイジェストをサーバに送信する段階と
を備える方法。
【請求項10】
前記第3セキュリティレベルが前記第2セキュリティレベルより高いまたはこれに等しく、前記第2セキュリティレベルが前記第1セキュリティレベルより高い、請求項9に記載の方法。
【請求項11】
前記第1セキュリティ保護モジュールがデバイス識別子構成エンジン(DICE)を有し、
前記第2セキュリティ保護モジュールが、トラステッドプラットフォームモジュールシン、埋め込み型セキュアエレメント(eSE)、物理的に分離されたセキュリティプロセッサ(SP)システムを含むチップ、または物理的に分離されたハードウェアセキュリティモジュールHSMを含むチップを有し、
前記第3セキュリティ保護モジュールが、トラステッドプラットフォームモジュールリッチ、eSE、物理的に分離されたSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを有する、請求項9に記載の方法。
【請求項12】
前記ドメインコントローラがECUリストを格納し、前記ECUが前記ECUリスト内のECUである、請求項9から11のいずれか一項に記載の方法。
【請求項13】
前記ECUの前記ファームウェアダイジェストが前記ECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる、請求項9から12のいずれか一項に記載の方法。
【請求項14】
前記方法がさらに、
前記サーバが、前記第3署名情報、前記ゲートウェイの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ゲートウェイから受信する段階と、
前記サーバが前記ゲートウェイの前記公開鍵を用いて前記第3署名情報に対して検証を行う段階と、
前記第3署名情報が検証された場合、前記サーバが前記ゲートウェイに第1応答情報を送信する段階であって、前記第1応答情報は前記ECUが起動することを示すのに用いられる、送信する段階と、
前記ゲートウェイが前記第1応答情報を前記サーバから受信する段階と、
前記ゲートウェイが前記第1応答情報を前記ドメインコントローラに送信する段階と、
前記ドメインコントローラが前記第1応答情報を前記ゲートウェイから受信する段階と、
前記ドメインコントローラが前記第1応答情報を前記ECUに送信する段階と、
前記ECUが前記第1応答情報を前記ドメインコントローラから受信する段階と
を備える、請求項9から13のいずれか一項に記載の方法。
【請求項15】
電子制御ユニット(ECU)と、ドメインコントローラと、ゲートウェイとを備える車載セキュリティ保護システムであって、
前記ECUが第1セキュリティ保護モジュールを用いて前記ECUの公開鍵および前記ECUの秘密鍵を生成するように構成されており、前記第1セキュリティ保護モジュールが前記ECUに対してセキュリティ保護を提供するように構成されており、前記第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルであり、
前記ECUがさらに、前記ECUの前記秘密鍵を用いて前記ECUのファームウェアダイジェストに署名し、第1署名情報を取得するように構成されており、
前記ECUがさらに、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ドメインコントローラに送信するように構成されており、
前記ドメインコントローラが、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ECUから受信するように構成されており、
前記ドメインコントローラがさらに、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ゲートウェイに送信するように構成されており、
前記ゲートウェイが、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ドメインコントローラから受信するように構成されており、
前記ゲートウェイがさらに、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストをサーバに送信するように構成されている、車載セキュリティ保護システム。
【請求項16】
前記第1セキュリティ保護モジュールがデバイス識別子構成エンジン(DICE)を有する、請求項15に記載の車載セキュリティ保護システム。
【請求項17】
前記ドメインコントローラがECUリストを格納し、前記ECUが前記ECUリスト内のECUである、請求項15または16に記載の車載セキュリティ保護システム。
【請求項18】
前記ECUの前記ファームウェアダイジェストが前記ECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる、請求項15から17のいずれか一項に記載の車載セキュリティ保護システム。
【請求項19】
前記車載セキュリティ保護システムがさらに前記サーバを備え、
前記サーバが、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ゲートウェイから受信するように構成されており、
前記サーバがさらに、前記ECUの前記公開鍵を用いて前記第1署名情報に対して検証を行うように構成されており、
前記サーバがさらに、前記第1署名情報が検証された場合、前記ゲートウェイに第1応答情報を送信するように構成されており、前記第1応答情報が前記ECUを起動することを示すのに用いられ、
前記ゲートウェイがさらに、前記第1応答情報を前記サーバから受信するように構成されており、
前記ゲートウェイがさらに、前記第1応答情報を前記ドメインコントローラに送信するように構成されており、
前記ドメインコントローラがさらに、前記第1応答情報を前記ゲートウェイから受信するように構成されており、
前記ドメインコントローラがさらに、前記第1応答情報を前記ECUに送信するように構成されており、
前記ECUがさらに、前記第1応答情報を前記ドメインコントローラから受信するように構成されている、請求項15から18のいずれか一項に記載の車載セキュリティ保護システム。
【請求項20】
電子制御ユニット(ECU)と、ドメインコントローラと、ゲートウェイとを備える車載セキュリティ保護システムであって、
前記ECUが第1セキュリティ保護モジュールを用いて前記ECUの公開鍵および前記ECUの秘密鍵を生成するように構成されており、前記第1セキュリティ保護モジュールが前記ECUに対してセキュリティ保護を提供するように構成されており、前記第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルであり、
前記ECUがさらに、前記ECUの前記秘密鍵を用いて前記ECUのファームウェアダイジェストに署名し、第1署名情報を取得するように構成されており、
前記ECUがさらに、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ドメインコントローラに送信するように構成されており、
前記ドメインコントローラが、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ECUから受信するように構成されており、
前記ドメインコントローラがさらに、第2セキュリティ保護モジュールを用いて前記ドメインコントローラの公開鍵および前記ドメインコントローラの秘密鍵を生成するように構成されており、前記第2セキュリティ保護モジュールが前記ドメインコントローラに対してセキュリティ保護を提供するように構成されており、前記第2セキュリティ保護モジュールのセキュリティレベルが第2セキュリティレベルであり、
前記ドメインコントローラがさらに、前記ECUの前記公開鍵を用いて前記第1署名情報に対して検証を行うように構成されており、
前記ドメインコントローラがさらに、前記第1署名情報が検証された場合、前記ドメインコントローラの前記秘密鍵を用いて前記ECUの前記ファームウェアダイジェストに署名し、第2署名情報を取得するように構成されており、
前記ドメインコントローラがさらに、前記第2署名情報、前記ドメインコントローラの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ゲートウェイに送信するように構成されており、
前記ゲートウェイが、前記第2署名情報、前記ドメインコントローラの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ドメインコントローラから受信するように構成されており、
前記ゲートウェイがさらに、第3セキュリティ保護モジュールを用いて前記ゲートウェイの公開鍵および前記ゲートウェイの秘密鍵を生成するように構成されており、前記第3セキュリティ保護モジュールが前記ゲートウェイに対してセキュリティ保護を提供するように構成されており、前記第3セキュリティ保護モジュールのセキュリティレベルが第3セキュリティレベルであり、
前記ゲートウェイがさらに、前記ドメインコントローラの前記公開鍵を用いて前記第2署名情報に対して検証を行うように構成されており、
前記ゲートウェイがさらに、前記第2署名情報が検証された場合、前記ゲートウェイの前記秘密鍵を用いて前記ECUの前記ファームウェアダイジェストに署名し、第3署名情報を取得するように構成されており、
前記ゲートウェイがさらに、前記第3署名情報、前記ゲートウェイの前記公開鍵、および前記ECUの前記ファームウェアダイジェストをサーバに送信するように構成されている、車載セキュリティ保護システム。
【請求項21】
前記第3セキュリティレベルが前記第2セキュリティレベルより高いまたはこれに等しく、前記第2セキュリティレベルが前記第1セキュリティレベルより高い、請求項20に記載の車載セキュリティ保護システム。
【請求項22】
前記第1セキュリティ保護モジュールがデバイス識別子構成エンジン(DICE)を有し、
前記第2セキュリティ保護モジュールが、トラステッドプラットフォームモジュールシン、埋め込み型セキュアエレメント(eSE)、物理的に分離されたセキュリティプロセッサ(SP)システムを含むチップ、または物理的に分離されたハードウェアセキュリティモジュール(HSM)を含むチップを有し、
前記第3セキュリティ保護モジュールが、トラステッドプラットフォームモジュールリッチ、eSE、物理的に分離されたSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを有する、請求項20または21に記載の車載セキュリティ保護システム。
【請求項23】
前記ドメインコントローラがECUリストを格納し、前記ECUが前記ECUリスト内のECUである、請求項20から22のいずれか一項に記載の車載セキュリティ保護システム。
【請求項24】
前記ECUの前記ファームウェアダイジェストが前記ECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる、請求項20から23のいずれか一項に記載の車載セキュリティ保護システム。
【請求項25】
前記車載セキュリティ保護システムがさらに前記サーバを備え、
前記サーバが、前記第3署名情報、前記ゲートウェイの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ゲートウェイから受信するように構成されており、
前記サーバがさらに、前記ゲートウェイの前記公開鍵を用いて前記第3署名情報に対して検証を行うように構成されており、
前記サーバがさらに、前記第3署名情報が検証された場合、前記ゲートウェイに第1応答情報を送信するように構成されており、前記第1応答情報が前記ECUを起動することを示すのに用いられ、
前記ゲートウェイがさらに、前記第1応答情報を前記サーバから受信するように構成されており、
前記ゲートウェイがさらに、前記第1応答情報を前記ドメインコントローラに送信するように構成されており、
前記ドメインコントローラがさらに、前記第1応答情報を前記ゲートウェイから受信するように構成されており、
前記ドメインコントローラがさらに、前記第1応答情報を前記ECUに送信するように構成されており、
前記ECUがさらに、前記第1応答情報を前記ドメインコントローラから受信するように構成されている、請求項20から24のいずれか一項に記載の車載セキュリティ保護システム。
【請求項26】
車載システムに、請求項4から8のいずれか一項に記載の方法を実行させるためのプログラム。
【請求項27】
車載システムに、請求項9から14のいずれか一項に記載の方法を実行させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本願は「車両のインターネット」技術の分野に関し、具体的には、車載システムにおけるセキュリティ保護方法およびデバイスに関する。
【背景技術】
【0002】
現在、通信機能を有する車両が、インターネットを介してスマートフォンなどの移動端末デバイスに接続されることがあり、そのような車両は、様々な機能、例えば、車両測位および車両情報取得を実行するのに用いられている。したがって、通信機能を有する車両は、機械的車両よりもネットワーク攻撃に脆弱であり、極端な例では悪意を持って遠隔で制御されることさえあり得る。したがって、車両セキュリティがますます重要になっている。
【0003】
先行技術の場合、車両セキュリティは主に4層防御によって改善されている。第1層は、電子制御ユニット(electronic control unit、ECU)層であり、セキュアバーニング、セキュアブート、実行時の不具合監視、およびセキュアデバッグなどのセキュリティメカニズムをECUに用いて車両セキュリティを向上させることがある。第2層は、車載セキュリティ通信層であり、車載デバイスの通信情報を暗号化して車両セキュリティを向上させることができる。第3層は電気アーキテクチャ層であり、ゲートウェイを配置して通信データおよびアクセス権を管理することがある。第4層は、「車両のインターネット」層である。ファイアウォールが配置されることがあり、車載デバイスがファイアウォールを介して外部デバイスと通信する。前述の多層防御方法では、各層が異なる機能を有するが、各車載デバイスのセキュリティレベルは同じである。具体的には、比較的高いセキュリティレベル要件を有する車載デバイス(例えば、ゲートウェイ)、および比較的低いセキュリティレベル要件を有する車載デバイス(例えば、ECU)のセキュリティレベルは同じである。
【発明の概要】
【0004】
本願の実施形態が車載システムにおけるセキュリティ保護方法およびデバイスを提供し、ゲートウェイ、ドメインコントローラ、および電子制御ユニットのセキュリティレベル要件に基づいて、電子制御ユニットに第1セキュリティ保護モジュールを配置し、ドメインコントローラに第2セキュリティ保護モジュールを配置し、ゲートウェイに第3セキュリティ保護モジュールを配置する。そのため、ゲートウェイ、ドメインコントローラ、および電子制御ユニットは異なるセキュリティレベルを有する。
【0005】
前述の目的を達成するために、本願の実施形態では以下に挙げる技術的解決手段を用いる。
【0006】
第1態様によれば、本願の一実施形態が車載システムを提供する。車載システムには、ゲートウェイ、ドメインコントローラ、およびドメインコントローラに対応する電子制御ユニットECUが含まれ、ゲートウェイはドメインコントローラに接続され、ドメインコントローラはECUに接続される。第1セキュリティ保護モジュールがECUに配置され、第1セキュリティ保護モジュールは、ECUに対してセキュリティ保護を提供するように構成され、第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルである。第2セキュリティ保護モジュールがドメインコントローラに配置され、第2セキュリティ保護モジュールは、ドメインコントローラに対してセキュリティ保護を提供するように構成され、第2セキュリティ保護モジュールのセキュリティレベルが第2セキュリティレベルである。第3セキュリティ保護モジュールがゲートウェイに配置され、第3セキュリティ保護モジュールは、ゲートウェイに対してセキュリティ保護を提供するように構成され、第3セキュリティ保護モジュールのセキュリティレベルが第3セキュリティレベルである。
【0007】
第1態様で提供される技術的解決手段によれば、ゲートウェイ、ドメインコントローラ、および電子制御ユニットのセキュリティレベル要件に基づいて、第1セキュリティ保護モジュールは電子制御ユニットに配置されてよく、第2セキュリティ保護モジュールはドメインコントローラに配置されてよく、第3セキュリティ保護モジュールは電子制御ユニットに配置されてよい。そのため、ゲートウェイ、ドメインコントローラ、および電子制御ユニットは異なるセキュリティレベルを有する。
【0008】
第1態様に関連して、第1の実行可能な実装例では、第3セキュリティレベルは第2セキュリティレベルより高いまたはこれに等しく、第2セキュリティレベルは第1セキュリティレベルより高い。第1態様の第1の実行可能な実装例によれば、ゲートウェイ、ドメインコントローラ、および電子制御ユニットのセキュリティレベルは異なってもよい。
【0009】
第1態様および第1態様の第1の実行可能な実装例に関連して、第2の実行可能な実装例では、第1セキュリティ保護モジュールはデバイス識別子構成エンジンDICEを含む。第2セキュリティ保護モジュールは、トラステッドプラットフォームモジュールシンTPM-Thin、埋め込み型セキュアエレメントeSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたハードウェアセキュリティモジュールHSMを含むチップを内蔵する。第3セキュリティ保護モジュールは、トラステッドプラットフォームモジュールリッチTPM-Rich、eSE、物理的に分離されたSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを内蔵する。第1態様の第2の実行可能な実装例によれば、DICEのセキュリティレベルは、TPM-Thin、eSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMを含むチップのセキュリティレベルより低く、TPM-Thin、eSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMを含むチップのセキュリティレベルは、TPM-Richのセキュリティレベルより低い。したがって、第1セキュリティレベルは第2セキュリティレベルより低く、第2セキュリティレベルは第3セキュリティレベルより低いまたはこれに等しい。
【0010】
第2態様によれば、本願の一実施形態が車載システムにおけるセキュリティ保護方法を提供する。本方法は、電子制御ユニットECUが第1セキュリティ保護モジュールを用いてECUの公開鍵およびECUの秘密鍵を生成する段階を含み、第1セキュリティ保護モジュールはECUに対してセキュリティ保護を提供するように構成され、第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルである。ECUは、ECUの秘密鍵を用いてECUのファームウェアダイジェストに署名し、第1署名情報を取得する。ECUは、第1署名情報、ECUの公開鍵、ECUのファームウェアダイジェストをドメインコントローラに送信する。ドメインコントローラは、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをECUから受信する。ドメインコントローラは、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをゲートウェイに送信する。ゲートウェイは、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをドメインコントローラから受信する。ゲートウェイは、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをサーバに送信する。
【0011】
第2態様で提供される技術的解決手段によれば、ECUは、ドメインコントローラおよびゲートウェイを介してサーバに、ECUのファームウェアダイジェストに基づいて取得した第1署名情報を送信してよく、サーバは、ECUの公開鍵を用いて第1署名情報に対して検証を行い、ECUのファームウェアが改ざんされていないことを保証することにより、車載システムのセキュリティを向上させ得る。
【0012】
第2態様に関連して、第1の実行可能な実装例では、第1セキュリティ保護モジュールはデバイス識別子構成エンジンDICEを含む。第2態様の第1の実行可能な実装例によれば、ECUの公開鍵およびECUの秘密鍵はDICEを用いて生成され、DICEの複雑性およびコストは低い。したがって、ECUのファームウェアに対して検証を行うためにDICEをECUに配置することで、コストを削減することができる。
【0013】
第2態様および第2態様の様々な実行可能な実装例に関連して、第2の実行可能な実装例では、ドメインコントローラはECUリストを格納し、当該ECUはこのリストに含まれるECUである。第2態様の第2の実行可能な実装例によれば、ドメインコントローラは、格納されたECUリストに基づいて、ECUリストに含まれるECUのファームウェアダイジェストに対して検証を行うかどうかを監視してよい。
【0014】
第2態様および第2態様の様々な実行可能な実装例に関連して、第3の実行可能な実装例では、ECUのファームウェアダイジェストはECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる。第2態様の第3の実行可能な実装例によれば、ECUは、ECUのファームウェアを第1ダイジェスト関数に従って計算することによりECUのファームウェアダイジェストを求め、ECUの秘密鍵を用いてECUのファームウェアダイジェストに署名して、第1署名情報を取得し、ドメインコントローラおよびゲートウェイを用いて第1署名をサーバに送信してよい。こうして、サーバは、ECUの公開鍵を用いて第1署名情報に対して検証を行い、ECUのファームウェアが改ざんされていないことを保証することにより、車載システムのセキュリティが向上する。
【0015】
第2態様および第2態様の様々な実行可能な実装例に関連して、第4の実行可能な実装例では、本方法はさらに、サーバが第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをゲートウェイから受信する段階を含む。サーバは、ECUの公開鍵を用いて、第1署名情報に対して検証を行う。第1署名情報が検証された場合、サーバは第1応答情報をゲートウェイに送信する。第1応答情報は、ECUを起動することを示すのに用いられる。ゲートウェイは、第1応答情報をサーバから受信する。ゲートウェイは、第1応答情報をドメインコントローラに送信する。ドメインコントローラは、第1応答情報をゲートウェイから受信する。ドメインコントローラは、第1応答情報をECUに送信する。ECUは、第1応答情報をドメインコントローラから受信する。第2態様の第4の実行可能な実装例によれば、サーバがECUのファームウェアダイジェストを検証した後に、サーバは、ゲートウェイおよびドメインコントローラを介して第1応答情報をECUに送信してよい。ECUは、第1応答情報に基づいて起動してよい。その後、サーバはECUにサービスを提供してよい。
【0016】
第3態様によれば、本願の一実施形態が車載システムにおけるセキュリティ保護方法を提供する。本方法は、電子制御ユニットECUが第1セキュリティ保護モジュールを用いてECUの公開鍵およびECUの秘密鍵を生成する段階を含み、第1セキュリティ保護モジュールはECUに対してセキュリティ保護を提供するように構成され、第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルである。ECUは、ECUの秘密鍵を用いてECUのファームウェアダイジェストに署名し、第1署名情報を取得する。ECUは、第1署名情報、ECUの公開鍵、ECUのファームウェアダイジェストをドメインコントローラに送信する。ドメインコントローラは、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをECUから受信する。ドメインコントローラは、第2セキュリティ保護モジュールを用いてドメインコントローラの公開鍵およびドメインコントローラの秘密鍵を生成する。第2セキュリティ保護モジュールは、ドメインコントローラに対してセキュリティ保護を提供するように構成され、第2セキュリティ保護モジュールのセキュリティレベルが第2セキュリティレベルである。ドメインコントローラは、ECUの公開鍵を用いて、第1署名情報に対して検証を行う。第1署名情報が検証された場合、ドメインコントローラは、ドメインコントローラの秘密鍵を用いてECUのファームウェアダイジェストに署名し、第2署名情報を取得する。ドメインコントローラは、第2署名情報、ドメインコントローラの公開鍵、およびECUのファームウェアダイジェストをゲートウェイに送信する。ゲートウェイは、第2署名情報、ドメインコントローラの公開鍵、およびECUのファームウェアダイジェストをドメインコントローラから受信する。ゲートウェイは、第3セキュリティ保護モジュールを用いて、ゲートウェイの公開鍵およびゲートウェイの秘密鍵を生成する。第3セキュリティ保護モジュールはゲートウェイに対してセキュリティ保護を提供するように構成され、第3セキュリティ保護モジュールのセキュリティレベルが第3セキュリティレベルである。ゲートウェイは、ドメインコントローラの公開鍵を用いて第2署名情報に対して検証を行う。第2署名情報が検証された場合、ゲートウェイは、ゲートウェイの秘密鍵を用いてECUのファームウェアダイジェストに署名し、第3署名情報を取得する。ゲートウェイは、第3署名情報、ゲートウェイの公開鍵、およびECUのファームウェアダイジェストをサーバに送信する。
【0017】
第3態様で提供される技術的解決手段によれば、ドメインコントローラは、ECUの公開鍵を用いて、ECUのファームウェアダイジェストに基づいて取得した第1署名情報に対して検証を行ってよい。検証が成功した後に、ゲートウェイは、ドメインコントローラの公開鍵を用いて、ECUのファームウェアダイジェストに基づいて取得した第2署名情報に対して検証を行ってよい。検証が成功した後に、サーバは、ゲートウェイの公開鍵を用いて、ECUのファームウェアダイジェストに基づいて取得した第3署名情報に対して検証を行ってよい。検証が成功した後に、サーバは、ゲートウェイおよびドメインコントローラを介して第1応答情報をECUに送信してよい。したがって、ECUのファームウェアダイジェストに対して3段階検証が行われ、ECUのファームウェアが改ざんされていないことを保証することにより、車載システムのセキュリティが向上し得る。
【0018】
第3態様に関連して、第1の実行可能な実装例では、第3セキュリティレベルは第2セキュリティレベルより高いまたはこれに等しく、第2セキュリティレベルは第1セキュリティレベルより高い。第3態様の第1の実行可能な実装例によれば、ゲートウェイ、ドメインコントローラ、および電子制御ユニットのセキュリティレベルが異なってもよい。
【0019】
第3態様および第3態様の第1の実行可能な実装例に関連して、第2の実行可能な実装例では、第1セキュリティ保護モジュールはデバイス識別子構成エンジンDICEを含む。第2セキュリティ保護モジュールは、トラステッドプラットフォームモジュールシンTPM-Thin、埋め込み型セキュアエレメントeSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたハードウェアセキュリティモジュールHSMを含むチップを内蔵する。第3セキュリティ保護モジュールは、トラステッドプラットフォームモジュールリッチTPM-Rich、eSE、物理的に分離されたSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを内蔵する。第3態様の第2の実行可能な実装例によれば、DICEのセキュリティレベルは、TPM-Thin、eSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMを含むチップのセキュリティレベルより低く、TPM-Thin、eSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMを含むチップのセキュリティレベルは、TPM-Richのセキュリティレベルより低い。したがって、第1セキュリティレベルは第2セキュリティレベルより低く、第2セキュリティレベルは第3セキュリティレベルより低いまたはこれに等しい。さらに、DICEの複雑性およびコストが低い。したがって、ECUのファームウェアに対して検証を行うためにDICEをECUに配置することで、コストを削減することができる。
【0020】
第3態様および第3態様の様々な実行可能な実装例に関連して、第3の実行可能な実装例では、ドメインコントローラはECUリストを格納し、当該ECUはリストに含まれるECUである。第3態様の第3の実行可能な実装例によれば、ドメインコントローラは、格納されたECUリストに基づいて、ECUリストに含まれるECUのファームウェアダイジェストに対して検証を行うかどうかを監視してよい。
【0021】
第3態様および第3態様の様々な実行可能な実装例に関連して、第4の実行可能な実装例では、ECUのファームウェアダイジェストはECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる。第3態様の第4の実行可能な実装例によれば、ECUは、ECUのファームウェアを第1ダイジェスト関数に従って計算することによりECUのファームウェアダイジェストを求め、ECUの秘密鍵を用いてECUのファームウェアダイジェストに署名して、第1署名情報を取得し、第1署名をドメインコントローラに送信してよい。こうして、ドメインコントローラは、ECUの公開鍵を用いて第1署名情報に対して検証を行い、ECUのファームウェアが改ざんされていないことを保証することにより、車載システムのセキュリティが向上する。
【0022】
第3態様および第3態様の様々な実行可能な実装例に関連して、第5の実行可能な実装例では、本方法はさらに、サーバが第3署名情報、ゲートウェイの公開鍵、およびECUのファームウェアダイジェストをゲートウェイから受信する段階を含む。サーバは、ゲートウェイの公開鍵を用いて、第3署名情報に対して検証を行う。第3署名情報が検証された場合、サーバは第1応答情報をゲートウェイに送信する。第1応答情報は、ECUを起動することを示すのに用いられる。ゲートウェイは、第1応答情報をサーバから受信する。ゲートウェイは、第1応答情報をドメインコントローラに送信する。ドメインコントローラは、第1応答情報をゲートウェイから受信する。ドメインコントローラは、第1応答情報をECUに送信する。ECUは、第1応答情報をドメインコントローラから受信する。第3態様の第5の実行可能な実装例によれば、サーバがECUのファームウェアダイジェストを検証した後に、サーバは、ゲートウェイおよびドメインコントローラを介して第1応答情報をECUに送信してよい。ECUは、第1応答情報に基づいて起動してよい。その後、サーバはECUにサービスを提供してよい。
【0023】
第4態様によれば、本願の一実施形態が車載システムにおけるセキュリティ保護方法を提供する。本方法は、電子制御ユニットECUにより行われる。第1セキュリティ保護モジュールがECUに配置され、第1セキュリティ保護モジュールは、ECUに対してセキュリティ保護を提供するように構成され、第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルである。本方法は、第1セキュリティ保護モジュールを用いてECUの公開鍵およびECUの秘密鍵を生成する段階と、ECUの秘密鍵を用いてECUのファームウェアダイジェストに署名し、第1署名情報を取得する段階と、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをドメインコントローラに送信する段階とを含む。
【0024】
第4態様で提供される技術的解決手段によれば、ECUは、ECUの秘密鍵を用いてECUのファームウェアダイジェストに署名し、取得した第1署名情報をドメインコントローラに送信してよい。こうして、ドメインコントローラが第1署名情報に対して検証を行うことにより、車載システムのセキュリティが向上する。
【0025】
第4態様に関連して、第1の実行可能な実装例では、第2セキュリティ保護モジュールがドメインコントローラに配置され、第2セキュリティ保護モジュールは、ドメインコントローラに対してセキュリティ保護を提供するように構成され、第2セキュリティ保護モジュールのセキュリティレベルが第2セキュリティレベルである。第4態様の第1の実行可能な実装例によれば、第2セキュリティ保護モジュールはドメインコントローラに配置されてよい。そのため、ドメインコントローラのセキュリティレベルがECUのセキュリティレベルと異なる。
【0026】
第4態様の第1の実行可能な実装例に関連して、第2の実行可能な実装例では、第1セキュリティ保護モジュールはデバイス識別子構成エンジンDICEを含む。第2セキュリティ保護モジュールは、トラステッドプラットフォームモジュールシンTPM-Thin、埋め込み型セキュアエレメントeSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを内蔵する。第4態様の第2の実行可能な実装例によれば、DICEのセキュリティレベルは、TPM-Thin、eSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMチップを含むチップのセキュリティレベルより低い。したがって、第1セキュリティレベルは第2セキュリティレベルより低い。
【0027】
第4態様および第4態様の様々な実行可能な実装例に関連して、第3の実行可能な実装例では、ドメインコントローラはECUリストを格納し、当該ECUはこのリストに含まれるECUである。第4態様の第3の実行可能な実装例によれば、ドメインコントローラは、格納されたECUリストに基づいて、ECUリストに含まれるECUのファームウェアダイジェストに対して検証を行うかどうかを監視してよい。
【0028】
第4態様および第4態様の様々な実行可能な実装例に関連して、第4の実行可能な実装例では、ECUのファームウェアダイジェストはECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる。第4態様の第4の実行可能な実装例によれば、ECUは、ECUのファームウェアを第1ダイジェスト関数に従って計算することによりECUのファームウェアダイジェストを求め、ECUの秘密鍵を用いてECUのファームウェアダイジェストに署名して、第1署名情報を取得し、第1署名をドメインコントローラに送信してよい。こうして、ドメインコントローラまたはサーバは、ECUの公開鍵を用いて第1署名情報に対して検証を行い、ECUのファームウェアが改ざんされていないことを保証することにより、車載システムのセキュリティが向上する。
【0029】
第4態様および第4態様の様々な実行可能な実装例に関連して、第5の実行可能な実装例では、本方法はさらに、ドメインコントローラから第1応答情報を受信する段階を含み、第1応答情報はECUを起動することを示すのに用いられる。第4態様の第5の実行可能な実装例によれば、ECUのファームウェアダイジェストに基づいて取得した署名情報が検証された場合、ECUはドメインコントローラから第1応答情報を受信してよく、ECUは第1応答情報に基づいて起動する。その後、サーバはECUにサービスを提供してよい。
【0030】
第5態様によれば、本願の一実施形態が車載システムにおけるセキュリティ保護方法を提供する。本方法は、ドメインコントローラにより行われる。第2セキュリティ保護モジュールがドメインコントローラに配置され、第2セキュリティ保護モジュールは、ドメインコントローラに対してセキュリティ保護を提供するように構成され、第2セキュリティ保護モジュールのセキュリティレベルが第2セキュリティレベルである。本方法は、第1署名情報、電子制御ユニットECUの公開鍵、およびECUのファームウェアダイジェストをECUから受信する段階であって、第1署名情報はECUの秘密鍵を用いてECUのファームウェアダイジェストに署名することにより取得され、ECUのファームウェアダイジェストはECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる、受信する段階と、第2セキュリティ保護モジュールを用いてドメインコントローラの公開鍵およびドメインコントローラの秘密鍵を生成する段階と、ECUの公開鍵を用いて第1署名情報に対して検証を行う段階と、第1署名情報が検証された場合、ドメインコントローラの秘密鍵を用いてECUのファームウェアダイジェストに署名し、第2署名情報を取得する段階と、第2署名情報、ドメインコントローラの公開鍵、およびECUのファームウェアダイジェストをゲートウェイに送信する段階とを含む。
【0031】
第5態様で提供される技術的解決手段によれば、ドメインコントローラはECUの公開鍵を用いて第1署名情報に対して検証を行い、第1署名情報が検証された後に、ドメインコントローラの秘密鍵を用いてECUのファームウェアダイジェストに署名し、取得した第2署名情報をゲートウェイに送信してよい。こうして、ゲートウェイが第2署名情報に対して検証を行うことにより、車載システムのセキュリティが向上する。
【0032】
第5態様に関連して、第1の実行可能な実装例では、第1セキュリティ保護モジュールがECUに配置され、第1セキュリティ保護モジュールは、ECUに対してセキュリティ保護を提供するように構成され、第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルである。第3セキュリティ保護モジュールがゲートウェイに配置され、第3セキュリティ保護モジュールは、ゲートウェイに対してセキュリティ保護を提供するように構成され、第3セキュリティ保護モジュールのセキュリティレベルが第3セキュリティレベルである。第5態様の第1の実行可能な実装例によれば、第1セキュリティ保護モジュールはECUに配置されてよく、第2セキュリティ保護モジュールはドメインコントローラに配置されてよく、第3セキュリティ保護モジュールはゲートウェイに配置されてよい。そのため、ECU、ドメインコントローラ、およびゲートウェイは異なるセキュリティレベルを有する。
【0033】
第5態様の第1の実行可能な実装例に関連して、第2の実行可能な実装例では、第1セキュリティ保護モジュールはデバイス識別子構成エンジンDICEを含む。第2セキュリティ保護モジュールは、トラステッドプラットフォームモジュールシンTPM-Thin、埋め込み型セキュアエレメントeSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたハードウェアセキュリティモジュールHSMを含むチップを内蔵する。第3セキュリティ保護モジュールは、トラステッドプラットフォームモジュールリッチTPM-Rich、eSE、物理的に分離されたSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを内蔵する。第5態様の第2の実行可能な実装例によれば、DICEのセキュリティレベルは、TPM-Thin、eSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMを含むチップのセキュリティレベルより低く、TPM-Thin、eSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMを含むチップのセキュリティレベルは、TPM-Richのセキュリティレベルより低い。したがって、第1セキュリティレベルは第2セキュリティレベルより低く、第2セキュリティレベルは第3セキュリティレベルより低いまたはこれに等しい。
【0034】
第5態様および第5態様の様々な実行可能な実装例に関連して、第3の実行可能な実装例では、ドメインコントローラはECUリストを格納し、当該ECUはリストに含まれるECUである。第5態様の第3の実行可能な実装例によれば、ドメインコントローラは、格納されたECUリストに基づいて、ECUリストに含まれるECUのファームウェアダイジェストに対して検証を行うかどうかを監視してよい。
【0035】
第5態様および第5態様の様々な実行可能な実装例に関連して、第4の実行可能な実装例では、本方法はさらに、ゲートウェイから第1応答情報を受信する段階であって、第1応答情報はECUを起動することを示すのに用いられる、受信する段階と、第1応答情報をECUに送信する段階とを含む。第5態様の第4の実行可能な実装例によれば、ECUのファームウェアダイジェストに基づいて取得した署名情報が検証された場合、ドメインコントローラは第1応答情報をゲートウェイから受信してよい。これにより、ドメインコントローラは第1応答情報をECUに送信し、ECUは第1応答情報に基づいて起動する。その後、サーバはECUにサービスを提供してよい。
【0036】
第6態様によれば、本願の一実施形態が車載システムにおけるセキュリティ保護方法を提供する。本方法は、ゲートウェイにより行われる。第3セキュリティ保護モジュールがゲートウェイに配置され、第3セキュリティ保護モジュールは、ゲートウェイに対してセキュリティ保護を提供するように構成され、第3セキュリティ保護モジュールのセキュリティレベルが第3セキュリティレベルである。本方法は、第2署名情報、ドメインコントローラの公開鍵、およびECUのファームウェアダイジェストをドメインコントローラから受信する段階であって、第2署名情報はドメインコントローラの秘密鍵を用いてECUのファームウェアダイジェストに署名することにより取得され、ECUのファームウェアダイジェストはECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる、受信する段階と、第3セキュリティ保護モジュールを用いてゲートウェイの公開鍵およびゲートウェイの秘密鍵を生成する段階と、ドメインコントローラの公開鍵を用いて第2署名情報に対して検証を行う段階と、第2署名情報が検証された場合、ゲートウェイの秘密鍵を用いてECUのファームウェアダイジェストに署名し、第3署名情報を取得する段階と、第3署名情報、ゲートウェイの公開鍵、およびECUのファームウェアダイジェストをサーバに送信する段階とを含む。
【0037】
第6態様で提供される技術的解決手段によれば、ゲートウェイはドメインコントローラの公開鍵を用いて第2署名情報に対して検証を行い、第2署名情報が検証された後に、ゲートウェイの秘密鍵を用いてECUのファームウェアダイジェストに署名して、取得した第3署名情報をサーバに送信してよい。こうして、サーバが第3署名情報に対して検証を行うことにより、車載システムのセキュリティが向上する。
【0038】
第6態様に関連して、第1の実行可能な実装例では、第2セキュリティ保護モジュールがドメインコントローラに配置され、第2セキュリティ保護モジュールは、ドメインコントローラに対してセキュリティ保護を提供するように構成され、第2セキュリティ保護モジュールのセキュリティレベルが第2セキュリティレベルである。第6態様の第1の実行可能な実装例によれば、第2セキュリティ保護モジュールはドメインコントローラに配置されてよく、第3セキュリティ保護モジュールはゲートウェイに配置されてよい。そのため、ドメインコントローラおよびゲートウェイは異なるセキュリティレベルを有する。
【0039】
第6態様の第1の実行可能な実装例に関連して、第2の実行可能な実装例では、第2セキュリティ保護モジュールは、トラステッドプラットフォームモジュールシンTPM-Thin、埋め込み型セキュアエレメントeSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたハードウェアセキュリティモジュールHSMを含むチップを内蔵する。第3セキュリティ保護モジュールは、トラステッドプラットフォームモジュールリッチTPM-Rich、eSE、物理的に分離されたSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを内蔵する。第6態様の第2の実行可能な実装例によれば、TPM-Thin、eSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMチップを含むチップのセキュリティレベルが、TPM-Richのセキュリティレベルより低い。したがって、第2セキュリティレベルは第3セキュリティレベルより低いまたはこれに等しい。
【0040】
第6態様および第6態様の様々な実行可能な実装例に関連して、第3の実行可能な実装例では、ドメインコントローラはECUリストを格納し、当該ECUはリストに含まれるECUである。第6態様の第3の実行可能な実装例によれば、ドメインコントローラは、格納されたECUリストに基づいて、ECUリストに含まれるECUのファームウェアダイジェストに対して検証を行うかどうかを監視してよい。
【0041】
第6態様および第6態様の様々な実行可能な実装例に関連して、第4の実行可能な実装例では、本方法はさらに、サーバから第1応答情報を受信する段階であって、第1応答情報はECUを起動することを示すのに用いられる、受信する段階と、第1応答情報をドメインコントローラに送信する段階とを含む。第6態様の第4の実行可能な実装例によれば、ECUのファームウェアダイジェストに基づいて取得した署名情報が検証された場合、ゲートウェイは第1応答情報をサーバから受信してよい。これにより、ゲートウェイはドメインコントローラを介して第1応答情報をECUに送信し、ECUは第1応答情報に基づいて起動する。その後、サーバはECUにサービスを提供してよい。
【0042】
第7態様によれば、本願の一実施形態が車載システムにおけるセキュリティ保護方法を提供する。本方法は、ドメインコントローラにより行われる。第2セキュリティ保護モジュールがドメインコントローラに配置され、第2セキュリティ保護モジュールは、ドメインコントローラに対してセキュリティ保護を提供するように構成され、第2セキュリティ保護モジュールのセキュリティレベルが第2セキュリティレベルである。本方法は、第1署名情報、電子制御ユニットECUの公開鍵、およびECUのファームウェアダイジェストをECUから受信する段階であって、第1署名情報はECUの秘密鍵を用いてECUのファームウェアダイジェストに署名することにより取得され、ECUのファームウェアダイジェストはECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる、受信する段階と、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをゲートウェイに送信する段階とを含む。
【0043】
第7態様で提供される技術的解決手段によれば、ドメインコントローラは第1署名情報をゲートウェイに送信してよい。これにより、ゲートウェイが第1署名情報をサーバに送信し、サーバが第1署名情報に対して検証を行うことにより、車載システムのセキュリティが向上する。
【0044】
第7態様に関連して、第1の実行可能な実装例では、第1セキュリティ保護モジュールがECUに配置され、第1セキュリティ保護モジュールは、ECUに対してセキュリティ保護を提供するように構成され、第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルである。第3セキュリティ保護モジュールがゲートウェイに配置され、第3セキュリティ保護モジュールは、ゲートウェイに対してセキュリティ保護を提供するように構成され、第3セキュリティ保護モジュールのセキュリティレベルが第3セキュリティレベルである。第7態様の第1の実行可能な実装例によれば、第1セキュリティ保護モジュールはECUに配置されてよく、第2セキュリティ保護モジュールはドメインコントローラに配置されてよく、第3セキュリティ保護モジュールはゲートウェイに配置されてよい。そのため、ECU、ドメインコントローラ、およびゲートウェイは異なるセキュリティレベルを有する。
【0045】
第7態様の第1の実行可能な実装例に関連して、第2の実行可能な実装例では、第1セキュリティ保護モジュールはデバイス識別子構成エンジンDICEを含む。第2セキュリティ保護モジュールは、トラステッドプラットフォームモジュールシンTPM-Thin、埋め込み型セキュアエレメントeSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたハードウェアセキュリティモジュールHSMを含むチップを内蔵する。第3セキュリティ保護モジュールは、トラステッドプラットフォームモジュールリッチTPM-Rich、eSE、物理的に分離されたSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを内蔵する。第7態様の第2の実行可能な実装例によれば、DICEのセキュリティレベルは、TPM-Thin、eSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMを含むチップのセキュリティレベルより低く、TPM-Thin、eSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMを含むチップのセキュリティレベルは、TPM-Richのセキュリティレベルより低い。したがって、第1セキュリティレベルは第2セキュリティレベルより低く、第2セキュリティレベルは第3セキュリティレベルより低いまたはこれに等しい。
【0046】
第7態様および第7態様の様々な実行可能な実装例に関連して、第3の実行可能な実装例では、ドメインコントローラはECUリストを格納し、当該ECUはリストに含まれるECUである。第7態様の第3の実行可能な実装例によれば、ドメインコントローラは、格納されたECUリストに基づいて、ECUリストに含まれるECUのファームウェアダイジェストに対して検証を行うかどうかを監視してよい。
【0047】
第7態様および第7態様の様々な実行可能な実装例に関連して、第4の実行可能な実装例では、本方法はさらに、ゲートウェイから第1応答情報を受信する段階であって、第1応答情報はECUを起動することを示すのに用いられる、受信する段階と、第1応答情報をECUに送信する段階とを含む。第7態様の第4の実行可能な実装例によれば、ECUのファームウェアダイジェストに基づいて取得した署名情報が検証された場合、ドメインコントローラは第1応答情報をゲートウェイから受信してよい。これにより、ドメインコントローラは第1応答情報をECUに送信し、ECUは第1応答情報に基づいて起動する。その後、サーバはECUにサービスを提供してよい。
【0048】
第8態様によれば、本願の一実施形態が車載システムにおけるセキュリティ保護方法を提供する。本方法は、ゲートウェイにより行われる。第3セキュリティ保護モジュールがゲートウェイに配置され、第3セキュリティ保護モジュールは、ゲートウェイに対してセキュリティ保護を提供するように構成され、第3セキュリティ保護モジュールのセキュリティレベルが第3セキュリティレベルである。本方法は、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをドメインコントローラから受信する段階であって、第1署名情報はECUの秘密鍵を用いてECUのファームウェアダイジェストに署名することにより取得され、ECUのファームウェアダイジェストはECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる、受信する段階と、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをサーバに送信する段階とを含む。
【0049】
第8態様で提供される技術的解決手段によれば、ゲートウェイは第1署名情報をサーバに送信してよい。こうして、サーバが第1署名情報に対して検証を行うことにより、車載システムのセキュリティが向上する。
【0050】
第8態様に関連して、第1の実行可能な実装例では、第2セキュリティ保護モジュールがドメインコントローラに配置され、第2セキュリティ保護モジュールは、ドメインコントローラに対してセキュリティ保護を提供するように構成され、第2セキュリティ保護モジュールのセキュリティレベルが第2セキュリティレベルである。第8態様の第1の実行可能な実装例によれば、第2セキュリティ保護モジュールはドメインコントローラに配置されてよく、第3セキュリティ保護モジュールはゲートウェイに配置されてよい。そのため、ドメインコントローラおよびゲートウェイは異なるセキュリティレベルを有する。
【0051】
第8態様の第1の実行可能な実装例に関連して、第2の実行可能な実装例では、第2セキュリティ保護モジュールは、トラステッドプラットフォームモジュールシンTPM-Thin、埋め込み型セキュアエレメントeSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたハードウェアセキュリティモジュールHSMを含むチップを内蔵する。第3セキュリティ保護モジュールは、トラステッドプラットフォームモジュールリッチTPM-Rich、eSE、物理的に分離されたSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを内蔵する。第8態様の第2の実行可能な実装例によれば、TPM-Thin、eSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMチップを含むチップのセキュリティレベルが、TPM-Richのセキュリティレベルより低い。したがって、第2セキュリティレベルは第3セキュリティレベルより低いまたはこれに等しい。
【0052】
第8態様および第8態様の様々な実行可能な実装例に関連して、第3の実行可能な実装例では、ドメインコントローラはECUリストを格納し、当該ECUはリストに含まれるECUである。第8態様の第3の実行可能な実装例によれば、ドメインコントローラは、格納されたECUリストに基づいて、ECUリストに含まれるECUのファームウェアダイジェストに対して検証を行うかどうかを監視してよい。
【0053】
第8態様および第8態様の様々な実行可能な実装例に関連して、第4の実行可能な実装例では、本方法はさらに、サーバから第1応答情報を受信する段階であって、第1応答情報はECUを起動することを示すのに用いられる、受信する段階と、第1応答情報をドメインコントローラに送信する段階とを含む。第8態様の第4の実行可能な実装例によれば、ECUのファームウェアダイジェストに基づいて取得した署名情報が検証された場合、ゲートウェイは第1応答情報をサーバから受信してよい。これにより、ゲートウェイはドメインコントローラを介して第1応答情報をECUに送信し、ECUは第1応答情報に基づいて起動する。その後、サーバはECUにサービスを提供してよい。
【0054】
第9態様によれば、本願の一実施形態が車載セキュリティ保護システムを提供する。車載セキュリティ保護システムは、第2態様で説明した方法および機能を実装する機能を有する。この機能は、ハードウェアで実装されてもよく、またはハードウェアが対応するソフトウェアを実行することにより実装されてもよい。ハードウェアまたはソフトウェアは、この機能に対応する1つまたは複数のモジュールを含む。
【0055】
第10態様によれば、本願の一実施形態が車載セキュリティ保護システムを提供する。車載セキュリティ保護システムは、第3態様で説明した方法および機能を実装する機能を有する。この機能は、ハードウェアで実装されてもよく、またはハードウェアが対応するソフトウェアを実行することにより実装されてもよい。ハードウェアまたはソフトウェアは、この機能に対応する1つまたは複数のモジュールを含む。
【0056】
第11態様によれば、本願の一実施形態が電子制御ユニットECUを提供する。第1セキュリティ保護モジュールがECUに配置され、第1セキュリティ保護モジュールは、ECUに対してセキュリティ保護を提供するように構成され、第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルである。ECUは、生成モジュール、署名モジュール、および送信モジュールを含む。生成モジュールは、第1セキュリティ保護モジュールを用いてECUの公開鍵およびECUの秘密鍵を生成するように構成される。署名モジュールは、ECUの秘密鍵を用いてECUのファームウェアダイジェストに署名して、第1署名情報を取得するように構成され、ECUのファームウェアダイジェストはECUのファームウェアを計算することにより求められる。送信モジュールは、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをドメインコントローラに送信するように構成される。
【0057】
第11態様で提供される技術的解決手段によれば、ECUは、ECUの秘密鍵を用いてECUのファームウェアダイジェストに署名し、取得した第1署名情報をドメインコントローラに送信してよい。こうして、ドメインコントローラが第1署名情報に対して検証を行うことにより、車載システムのセキュリティが向上する。
【0058】
第11態様に関連して、第1の実行可能な実装例では、第2セキュリティ保護モジュールがドメインコントローラに配置され、第2セキュリティ保護モジュールは、ドメインコントローラに対してセキュリティ保護を提供するように構成され、第2セキュリティ保護モジュールのセキュリティレベルが第2セキュリティレベルである。第11態様の第1の実行可能な実装例によれば、第2セキュリティ保護モジュールはドメインコントローラに配置されてよい。そのため、ドメインコントローラのセキュリティレベルがECUのセキュリティレベルと異なる。
【0059】
第11態様の第1の実行可能な実装例に関連して、第2の実行可能な実装例では、第1セキュリティ保護モジュールはデバイス識別子構成エンジンDICEを含む。第2セキュリティ保護モジュールは、トラステッドプラットフォームモジュールシンTPM-Thin、埋め込み型セキュアエレメントeSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを内蔵する。第11態様の第2の実行可能な実装例によれば、DICEのセキュリティレベルは、TPM-Thin、eSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMチップを含むチップのセキュリティレベルより低い。したがって、第1セキュリティレベルは第2セキュリティレベルより低い。
【0060】
第11態様および第11態様の様々な実行可能な実装例に関連して、第3の実行可能な実装例では、ドメインコントローラはECUリストを格納し、当該ECUはこのリストに含まれるECUである。第11態様の第3の実行可能な実装例によれば、ドメインコントローラは、格納されたECUリストに基づいて、ECUリストに含まれるECUのファームウェアダイジェストに対して検証を行うかどうかを監視してよい。
【0061】
第11態様および第11態様の様々な実行可能な実装例に関連して、第4の実行可能な実装例では、ECUのファームウェアダイジェストはECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる。第11態様の第4の実行可能な実装例によれば、ECUは、ECUのファームウェアを第1ダイジェスト関数に従って計算することによりECUのファームウェアダイジェストを求め、ECUの秘密鍵を用いてECUのファームウェアダイジェストに署名して、第1署名情報を取得し、第1署名をドメインコントローラに送信してよい。こうして、ドメインコントローラまたはサーバは、ECUの公開鍵を用いて第1署名情報に対して検証を行い、ECUのファームウェアが改ざんされていないことを保証することにより、車載システムのセキュリティが向上する。
【0062】
第11態様および第11態様の様々な実行可能な実装例に関連して、第5の実行可能な実装例では、ECUはさらに、ドメインコントローラから第1応答情報を受信するように構成された受信モジュールを含み、第1応答情報はECUを起動することを示すのに用いられる。第11態様の第5の実行可能な実装例によれば、ECUのファームウェアダイジェストに基づいて取得した署名情報が検証された場合、ECUはドメインコントローラから第1応答情報を受信してよく、ECUは第1応答情報に基づいて起動する。その後、サーバはECUにサービスを提供してよい。
【0063】
第12態様によれば、本願の一実施形態がドメインコントローラを提供する。第2セキュリティ保護モジュールがドメインコントローラに配置され、第2セキュリティ保護モジュールは、ドメインコントローラに対してセキュリティ保護を提供するように構成され、第2セキュリティ保護モジュールのセキュリティレベルが第2セキュリティレベルである。ドメインコントローラは、受信モジュール、生成モジュール、検証モジュール、署名モジュール、および送信モジュールを含む。受信モジュールは、第1署名情報、電子制御ユニットECUの公開鍵、およびECUのファームウェアダイジェストをECUから受信するように構成されており、第1署名情報はECUの秘密鍵を用いてECUのファームウェアダイジェストに署名することにより取得され、ECUのファームウェアダイジェストはECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる。生成モジュールは、第2セキュリティ保護モジュールを用いてドメインコントローラの公開鍵およびドメインコントローラの秘密鍵を生成するように構成される。検証モジュールは、ECUの公開鍵を用いて第1署名情報に対して検証を行うように構成される。署名モジュールは、第1署名情報が検証された場合、ドメインコントローラの秘密鍵を用いてECUのファームウェアダイジェストに署名して、第2署名情報を取得するように構成される。送信モジュールは、第2署名情報、ドメインコントローラの公開鍵、およびECUのファームウェアダイジェストをゲートウェイに送信するように構成される。
【0064】
第12態様で提供される技術的解決手段によれば、ドメインコントローラはECUの公開鍵を用いて第1署名情報に対して検証を行い、第1署名情報が検証された後に、ドメインコントローラの秘密鍵を用いてECUのファームウェアダイジェストに署名し、取得した第2署名情報をゲートウェイに送信してよい。こうして、ゲートウェイが第2署名情報に対して検証を行うことにより、車載システムのセキュリティが向上する。
【0065】
第12態様に関連して、第1の実行可能な実装例では、第1セキュリティ保護モジュールがECUに配置され、第1セキュリティ保護モジュールは、ECUに対してセキュリティ保護を提供するように構成され、第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルである。第3セキュリティ保護モジュールがゲートウェイに配置され、第3セキュリティ保護モジュールは、ゲートウェイに対してセキュリティ保護を提供するように構成され、第3セキュリティ保護モジュールのセキュリティレベルが第3セキュリティレベルである。第12態様の第1の実行可能な実装例によれば、第1セキュリティ保護モジュールはECUに配置されてよく、第2セキュリティ保護モジュールはドメインコントローラに配置されてよく、第3セキュリティ保護モジュールはゲートウェイに配置されてよい。そのため、ECU、ドメインコントローラ、およびゲートウェイは異なるセキュリティレベルを有する。
【0066】
第12態様の第1の実行可能な実装例に関連して、第2の実行可能な実装例では、第1セキュリティ保護モジュールはデバイス識別子構成エンジンDICEを含む。第2セキュリティ保護モジュールは、トラステッドプラットフォームモジュールシンTPM-Thin、埋め込み型セキュアエレメントeSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたハードウェアセキュリティモジュールHSMを含むチップを内蔵する。第3セキュリティ保護モジュールは、トラステッドプラットフォームモジュールリッチTPM-Rich、eSE、物理的に分離されたSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを内蔵する。第12態様の第2の実行可能な実装例によれば、DICEのセキュリティレベルは、TPM-Thin、eSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMを含むチップのセキュリティレベルより低く、TPM-Thin、eSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMを含むチップのセキュリティレベルは、TPM-Richのセキュリティレベルより低い。したがって、第1セキュリティレベルは第2セキュリティレベルより低く、第2セキュリティレベルは第3セキュリティレベルより低いまたはこれに等しい。
【0067】
第12態様および第12態様の様々な実行可能な実装例に関連して、第3の実行可能な実装例では、ドメインコントローラはECUリストを格納し、当該ECUはリストに含まれるECUである。第12態様の第3の実行可能な実装例によれば、ドメインコントローラは、格納されたECUリストに基づいて、ECUリストに含まれるECUのファームウェアダイジェストに対して検証を行うかどうかを監視してよい。
【0068】
第12態様および第12態様の様々な実行可能な実装例に関連して、第4の実行可能な実装例では、受信モジュールはさらに、ゲートウェイから第1応答情報を受信するように構成され、第1応答情報はECUを起動することを示すのに用いられ、また送信モジュールはさらに、第1応答情報をECUに送信するように構成される。第12態様の第4の実行可能な実装例によれば、ECUのファームウェアダイジェストに基づいて取得した署名情報が検証された場合、ドメインコントローラは第1応答情報をゲートウェイから受信してよい。これにより、ドメインコントローラは第1応答情報をECUに送信し、ECUは第1応答情報に基づいて起動する。その後、サーバはECUにサービスを提供してよい。
【0069】
第13態様によれば、本願の一実施形態がゲートウェイを提供する。第3セキュリティ保護モジュールがゲートウェイに配置され、第3セキュリティ保護モジュールは、ゲートウェイに対してセキュリティ保護を提供するように構成され、第3セキュリティ保護モジュールのセキュリティレベルが第3セキュリティレベルである。ゲートウェイは、受信モジュール、生成モジュール、検証モジュール、署名モジュール、および送信モジュールを含む。受信モジュールは、第2署名情報、ドメインコントローラの公開鍵、およびECUのファームウェアダイジェストをドメインコントローラから受信するように構成され、第2署名情報はドメインコントローラの秘密鍵を用いてECUのファームウェアダイジェストに署名することにより取得され、ECUのファームウェアダイジェストはECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる。生成モジュールは、第3セキュリティ保護モジュールを用いてゲートウェイの公開鍵およびゲートウェイの秘密鍵を生成するように構成される。検証モジュールは、ドメインコントローラの公開鍵を用いて第2署名情報に対して検証を行うように構成される。署名モジュールは、第2署名情報が検証された場合、ゲートウェイの秘密鍵を用いてECUのファームウェアダイジェストに署名して、第3署名情報を取得するように構成される。送信モジュールは、第3署名情報、ゲートウェイの公開鍵、およびECUのファームウェアダイジェストをサーバに送信するように構成される。
【0070】
第13態様で提供される技術的解決手段によれば、ゲートウェイはドメインコントローラの公開鍵を用いて第2署名情報に対して検証を行い、第2署名情報が検証された後に、ゲートウェイの秘密鍵を用いてECUのファームウェアダイジェストに署名して、取得した第3署名情報をサーバに送信してよい。こうして、サーバが第3署名情報に対して検証を行うことにより、車載システムのセキュリティが向上する。
【0071】
第13態様に関連して、第1の実行可能な実装例では、第2セキュリティ保護モジュールがドメインコントローラに配置され、第2セキュリティ保護モジュールは、ドメインコントローラに対してセキュリティ保護を提供するように構成され、第2セキュリティ保護モジュールのセキュリティレベルが第2セキュリティレベルである。第13態様の第1の実行可能な実装例によれば、第2セキュリティ保護モジュールはドメインコントローラに配置されてよく、第3セキュリティ保護モジュールはゲートウェイに配置されてよい。そのため、ドメインコントローラおよびゲートウェイは異なるセキュリティレベルを有する。
【0072】
第13態様の第1の実行可能な実装例に関連して、第2の実行可能な実装例では、第2セキュリティ保護モジュールは、トラステッドプラットフォームモジュールシンTPM-Thin、埋め込み型セキュアエレメントeSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたハードウェアセキュリティモジュールHSMを含むチップを内蔵する。第3セキュリティ保護モジュールは、トラステッドプラットフォームモジュールリッチTPM-Rich、eSE、物理的に分離されたSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを内蔵する。第13態様の第2の実行可能な実装例によれば、TPM-Thin、eSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMチップを含むチップのセキュリティレベルが、TPM-Richのセキュリティレベルより低い。したがって、第2セキュリティレベルは第3セキュリティレベルより低いまたはこれに等しい。
【0073】
第13態様および第13態様の様々な実行可能な実装例に関連して、第3の実行可能な実装例では、ドメインコントローラはECUリストを格納し、当該ECUはリストに含まれるECUである。第13態様の第3の実行可能な実装例によれば、ドメインコントローラは、格納されたECUリストに基づいて、ECUリストに含まれるECUのファームウェアダイジェストに対して検証を行うかどうかを監視してよい。
【0074】
第13態様および第13態様の様々な実行可能な実装例に関連して、第4の実行可能な実装例では、受信モジュールはさらに、サーバから第1応答情報を受信するように構成され、第1応答情報はECUを起動することを示すのに用いられ、また送信モジュールはさらに、第1応答情報をドメインコントローラに送信するように構成される。第13態様の第4の実行可能な実装例によれば、ECUのファームウェアダイジェストに基づいて取得した署名情報が検証された場合、ゲートウェイは第1応答情報をサーバから受信してよい。これにより、ゲートウェイはドメインコントローラを介して第1応答情報をECUに送信し、ECUは第1応答情報に基づいて起動する。その後、サーバはECUにサービスを提供してよい。
【0075】
第14態様によれば、本願の一実施形態がドメインコントローラを提供する。第2セキュリティ保護モジュールがドメインコントローラに配置され、第2セキュリティ保護モジュールは、ドメインコントローラに対してセキュリティ保護を提供するように構成され、第2セキュリティ保護モジュールのセキュリティレベルが第2セキュリティレベルである。ドメインコントローラは、受信モジュールおよび送信モジュールを含む。受信モジュールは、第1署名情報、電子制御ユニットECUの公開鍵、およびECUのファームウェアダイジェストをECUから受信するように構成されており、第1署名情報はECUの秘密鍵を用いてECUのファームウェアダイジェストに署名することにより取得され、ECUのファームウェアダイジェストはECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる。送信モジュールは、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをゲートウェイに送信するように構成される。
【0076】
第14態様で提供される技術的解決手段によれば、ドメインコントローラは第1署名情報をゲートウェイに送信してよい。こうして、ゲートウェイが第1署名情報をサーバに送信し、サーバが第1署名情報に対して検証を行うことにより、車載システムのセキュリティが向上する。
【0077】
第14態様に関連して、第1の実行可能な実装例では、第1セキュリティ保護モジュールがECUに配置され、第1セキュリティ保護モジュールは、ECUに対してセキュリティ保護を提供するように構成され、第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルである。第3セキュリティ保護モジュールがゲートウェイに配置され、第3セキュリティ保護モジュールは、ゲートウェイに対してセキュリティ保護を提供するように構成され、第3セキュリティ保護モジュールのセキュリティレベルが第3セキュリティレベルである。第14態様の第1の実行可能な実装例によれば、第1セキュリティ保護モジュールはECUに配置されてよく、第2セキュリティ保護モジュールはドメインコントローラに配置されてよく、第3セキュリティ保護モジュールはゲートウェイに配置されてよい。そのため、ECU、ドメインコントローラ、およびゲートウェイは異なるセキュリティレベルを有する。
【0078】
第14態様の第1の実行可能な実装例に関連して、第2の実行可能な実装例では、第1セキュリティ保護モジュールはデバイス識別子構成エンジンDICEを含む。第2セキュリティ保護モジュールは、トラステッドプラットフォームモジュールシンTPM-Thin、埋め込み型セキュアエレメントeSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたハードウェアセキュリティモジュールHSMを含むチップを内蔵する。第3セキュリティ保護モジュールは、トラステッドプラットフォームモジュールリッチTPM-Rich、eSE、物理的に分離されたSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを内蔵する。第14態様の第2の実行可能な実装例によれば、DICEのセキュリティレベルは、TPM-Thin、eSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMを含むチップのセキュリティレベルより低く、TPM-Thin、eSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMを含むチップのセキュリティレベルは、TPM-Richのセキュリティレベルより低い。したがって、第1セキュリティレベルは第2セキュリティレベルより低く、第2セキュリティレベルは第3セキュリティレベルより低いまたはこれに等しい。
【0079】
第14態様および第14態様の様々な実行可能な実装例に関連して、第3の実行可能な実装例では、ドメインコントローラはECUリストを格納し、当該ECUはリストに含まれるECUである。第14態様の第3の実行可能な実装例によれば、ドメインコントローラは、格納されたECUリストに基づいて、ECUリストに含まれるECUのファームウェアダイジェストに対して検証を行うかどうかを監視してよい。
【0080】
第14態様および第14態様の様々な実行可能な実装例に関連して、第4の実行可能な実装例では、受信モジュールは、ゲートウェイから第1応答情報を受信するように構成され、第1応答情報はECUを起動することを示すのに用いられ、また送信モジュールは第1応答情報をECUに送信するように構成される。第14態様の第4の実行可能な実装例によれば、ECUのファームウェアダイジェストに基づいて取得した署名情報が検証された場合、ドメインコントローラは第1応答情報をゲートウェイから受信してよい。これにより、ドメインコントローラは第1応答情報をECUに送信し、ECUは第1応答情報に基づいて起動する。その後、サーバはECUにサービスを提供してよい。
【0081】
第15態様によれば、本願の一実施形態がゲートウェイを提供する。第3セキュリティ保護モジュールがゲートウェイに配置され、第3セキュリティ保護モジュールは、ゲートウェイに対してセキュリティ保護を提供するように構成され、第3セキュリティ保護モジュールのセキュリティレベルが第3セキュリティレベルである。ゲートウェイは、受信モジュールおよび送信モジュールを含む。受信モジュールは、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをドメインコントローラから受信するように構成され、第1署名情報はECUの秘密鍵を用いてECUのファームウェアダイジェストに署名することにより取得され、ECUのファームウェアダイジェストはECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる。送信モジュールは、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをサーバに送信するように構成される。
【0082】
第15態様で提供される技術的解決手段によれば、ゲートウェイは第1署名情報をサーバに送信してよい。こうして、サーバが第1署名情報に対して検証を行うことにより、車載システムのセキュリティが向上する。
【0083】
第15態様に関連して、第1の実行可能な実装例では、第2セキュリティ保護モジュールがドメインコントローラに配置され、第2セキュリティ保護モジュールは、ドメインコントローラに対してセキュリティ保護を提供するように構成され、第2セキュリティ保護モジュールのセキュリティレベルが第2セキュリティレベルである。第15態様の第1の実行可能な実装例によれば、第2セキュリティ保護モジュールはドメインコントローラに配置されてよく、第3セキュリティ保護モジュールはゲートウェイに配置されてよい。そのため、ドメインコントローラおよびゲートウェイは異なるセキュリティレベルを有する。
【0084】
第15態様の第1の実行可能な実装例に関連して、第2の実行可能な実装例では、第2セキュリティ保護モジュールは、トラステッドプラットフォームモジュールシンTPM-Thin、埋め込み型セキュアエレメントeSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたハードウェアセキュリティモジュールHSMを含むチップを内蔵する。第3セキュリティ保護モジュールは、トラステッドプラットフォームモジュールリッチTPM-Rich、eSE、物理的に分離されたSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを内蔵する。第15態様の第2の実行可能な実装例によれば、TPM-Thin、eSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMチップを含むチップのセキュリティレベルが、TPM-Richのセキュリティレベルより低い。したがって、第2セキュリティレベルは第3セキュリティレベルより低いまたはこれに等しい。
【0085】
第15態様および第15態様の様々な実行可能な実装例に関連して、第3の実行可能な実装例では、ドメインコントローラはECUリストを格納し、当該ECUはリストに含まれるECUである。第15態様の第3の実行可能な実装例によれば、ドメインコントローラは、格納されたECUリストに基づいて、ECUリストに含まれるECUのファームウェアダイジェストに対して検証を行うかどうかを監視してよい。
【0086】
第15態様および第15態様の様々な実行可能な実装例に関連して、第4の実行可能な実装例では、受信モジュールはさらに、サーバから第1応答情報を受信するように構成され、第1応答情報はECUを起動することを示すのに用いられ、また送信モジュールは、第1応答情報をドメインコントローラに送信するように構成される。第15態様の第4の実行可能な実装例によれば、ECUのファームウェアダイジェストに基づいて取得した署名情報が検証された場合、ゲートウェイは第1応答情報をサーバから受信してよい。これにより、ゲートウェイはドメインコントローラを介して第1応答情報をECUに送信し、ECUは第1応答情報に基づいて起動する。その後、サーバはECUにサービスを提供してよい。
【0087】
第16態様によれば、本願の一実施形態が電子制御ユニットECUを提供する。ECUは、少なくとも1つのプロセッサ、少なくとも1つのメモリ、および通信インタフェースを含む。通信インタフェースおよび少なくとも1つのメモリは、少なくとも1つのプロセッサに結合される。ECUは、通信インタフェースを介して別のデバイスと通信する。少なくとも1つのメモリはコンピュータプログラムを格納するように構成される。そのため、コンピュータプログラムが少なくとも1つのプロセッサにより実行されると、第4態様および第4態様の実行可能な実装例による車載システムにおけるセキュリティ保護方法が実施される。
【0088】
第17態様によれば、本願の一実施形態がドメインコントローラを提供する。ドメインコントローラは、少なくとも1つのプロセッサ、少なくとも1つのメモリ、および通信インタフェースを含む。通信インタフェースおよび少なくとも1つのメモリは、少なくとも1つのプロセッサに結合される。ドメインコントローラは、通信インタフェースを介して別のデバイスと通信する。少なくとも1つのメモリはコンピュータプログラムを格納するように構成される。そのため、コンピュータプログラムが少なくとも1つのプロセッサにより実行されると、第5態様および第5態様の実行可能な実装例による車載システムにおけるセキュリティ保護方法が実施される。
【0089】
第18態様によれば、本願の一実施形態がゲートウェイを提供する。ゲートウェイは、少なくとも1つのプロセッサ、少なくとも1つのメモリ、および通信インタフェースを含む。通信インタフェースおよび少なくとも1つのメモリは、少なくとも1つのプロセッサに結合される。ゲートウェイは、通信インタフェースを介して別のデバイスと通信する。少なくとも1つのメモリはコンピュータプログラムを格納するように構成される。そのため、コンピュータプログラムが少なくとも1つのプロセッサにより実行されると、第6態様および第6態様の実行可能な実装例による車載システムにおけるセキュリティ保護方法が実施される。
【0090】
第19態様によれば、本願の一実施形態がドメインコントローラを提供する。ドメインコントローラは、少なくとも1つのプロセッサ、少なくとも1つのメモリ、および通信インタフェースを含む。通信インタフェースおよび少なくとも1つのメモリは、少なくとも1つのプロセッサに結合される。ドメインコントローラは、通信インタフェースを介して別のデバイスと通信する。少なくとも1つのメモリはコンピュータプログラムを格納するように構成される。そのため、コンピュータプログラムが少なくとも1つのプロセッサにより実行されると、第7態様および第7態様の実行可能な実装例による車載システムにおけるセキュリティ保護方法が実施される。
【0091】
第20態様によれば、本願の一実施形態がゲートウェイを提供する。ゲートウェイは、少なくとも1つのプロセッサ、少なくとも1つのメモリ、および通信インタフェースを含む。通信インタフェースおよび少なくとも1つのメモリは、少なくとも1つのプロセッサに結合される。ゲートウェイは、通信インタフェースを介して別のデバイスと通信する。少なくとも1つのメモリはコンピュータプログラムを格納するように構成される。そのため、コンピュータプログラムが少なくとも1つのプロセッサにより実行されると、第8態様および第8態様の実行可能な実装例による車載システムにおけるセキュリティ保護方法が実施される。
【0092】
第21態様によれば、本願がシステムチップを提供する。システムチップは電子制御ユニットECUに用いられてよく、システムチップは少なくとも1つのプロセッサを含み、少なくとも1つのプロセッサでは関連するプログラム命令が実行され、第4態様および第4態様のいずれかの設計における方法に従ってECUの機能が実装される。任意選択的に、システムチップはさらに少なくとも1つのメモリを含んでよく、メモリは関連するプログラム命令を格納する。
【0093】
第22態様によれば、本願がシステムチップを提供する。システムチップはドメインコントローラに用いられてよく、システムチップは少なくとも1つのプロセッサを含み、少なくとも1つのプロセッサでは関連するプログラム命令が実行され、第5態様および第5態様のいずれかの設計における方法に従ってドメインコントローラの機能が実装される。任意選択的に、システムチップはさらに少なくとも1つのメモリを含んでよく、メモリは関連するプログラム命令を格納する。
【0094】
第23態様によれば、本願がシステムチップを提供する。システムチップはゲートウェイに用いられてよく、システムチップは少なくとも1つのプロセッサを含み、少なくとも1つのプロセッサでは関連するプログラム命令が実行され、第6態様および第6態様のいずれかの設計における方法に従ってゲートウェイの機能が実装される。任意選択的に、システムチップはさらに少なくとも1つのメモリを含んでよく、メモリは関連するプログラム命令を格納する。
【0095】
第24態様によれば、本願がシステムチップを提供する。システムチップはドメインコントローラに用いられてよく、システムチップは少なくとも1つのプロセッサを含み、少なくとも1つのプロセッサでは関連するプログラム命令が実行され、第7態様および第7態様のいずれかの設計における方法に従ってドメインコントローラの機能が実装される。任意選択的に、システムチップはさらに少なくとも1つのメモリを含んでよく、メモリは関連するプログラム命令を格納する。
【0096】
第25態様によれば、本願がシステムチップを提供する。システムチップはゲートウェイに用いられてよく、システムチップは少なくとも1つのプロセッサを含み、少なくとも1つのプロセッサでは関連するプログラム命令が実行され、第8態様および第8態様のいずれかの設計における方法に従ってゲートウェイの機能が実装される。任意選択的に、システムチップはさらに少なくとも1つのメモリを含んでよく、メモリは関連するプログラム命令を格納する。
【0097】
第26態様によれば、本願の一実施形態がコンピュータ可読記憶媒体、例えば、非一時的コンピュータ可読記憶媒体を提供する。コンピュータ可読記憶媒体にはコンピュータプログラムが格納され、コンピュータプログラムがコンピュータで実行されると、コンピュータは第2態様におけるいずれかの実行可能な方法を行うことが可能になる。例えば、コンピュータは少なくとも1つのストレージノードであってよい。
【0098】
第27態様によれば、本願の一実施形態がコンピュータ可読記憶媒体、例えば、非一時的コンピュータ可読記憶媒体を提供する。コンピュータ可読記憶媒体にはコンピュータプログラムが格納され、コンピュータプログラムがコンピュータで実行されると、コンピュータは第3態様におけるいずれかの実行可能な方法を行うことが可能になる。例えば、コンピュータは少なくとも1つのストレージノードであってよい。
【0099】
第28態様によれば、本願の一実施形態がコンピュータ可読記憶媒体、例えば、非一時的コンピュータ可読記憶媒体を提供する。コンピュータ可読記憶媒体にはコンピュータプログラムが格納され、コンピュータプログラムがコンピュータで実行されると、コンピュータは第4態様におけるいずれかの実行可能な方法を行うことが可能になる。例えば、コンピュータは少なくとも1つのストレージノードであってよい。
【0100】
第29態様によれば、本願の一実施形態がコンピュータ可読記憶媒体、例えば、非一時的コンピュータ可読記憶媒体を提供する。コンピュータ可読記憶媒体にはコンピュータプログラムが格納され、コンピュータプログラムがコンピュータで実行されると、コンピュータは第5態様におけるいずれかの実行可能な方法を行うことが可能になる。例えば、コンピュータは少なくとも1つのストレージノードであってよい。
【0101】
第30態様によれば、本願の一実施形態がコンピュータ可読記憶媒体、例えば、非一時的コンピュータ可読記憶媒体を提供する。コンピュータ可読記憶媒体にはコンピュータプログラムが格納され、コンピュータプログラムがコンピュータで実行されると、コンピュータは第6態様におけるいずれかの実行可能な方法を行うことが可能になる。例えば、コンピュータは少なくとも1つのストレージノードであってよい。
【0102】
第31態様によれば、本願の一実施形態がコンピュータ可読記憶媒体、例えば、非一時的コンピュータ可読記憶媒体を提供する。コンピュータ可読記憶媒体にはコンピュータプログラムが格納され、コンピュータプログラムがコンピュータで実行されると、コンピュータは第7態様におけるいずれかの実行可能な方法を行うことが可能になる。例えば、コンピュータは少なくとも1つのストレージノードであってよい。
【0103】
第32態様によれば、本願の一実施形態がコンピュータ可読記憶媒体、例えば、非一時的コンピュータ可読記憶媒体を提供する。コンピュータ可読記憶媒体にはコンピュータプログラムが格納され、コンピュータプログラムがコンピュータで実行されると、コンピュータは第8態様におけるいずれかの実行可能な方法を行うことが可能になる。例えば、コンピュータは少なくとも1つのストレージノードであってよい。
【0104】
第33態様によれば、本願の一実施形態がコンピュータプログラム製品を提供する。コンピュータプログラム製品がコンピュータで実行されると、第2態様で提供されるいずれかの方法が行われる。例えば、コンピュータは少なくとも1つのストレージノードであってよい。
【0105】
第34態様によれば、本願の一実施形態がコンピュータプログラム製品を提供する。コンピュータプログラム製品がコンピュータで実行されると、第3態様で提供されるいずれかの方法が行われる。例えば、コンピュータは少なくとも1つのストレージノードであってよい。
【0106】
第35態様によれば、本願の一実施形態がコンピュータプログラム製品を提供する。コンピュータプログラム製品がコンピュータで実行されると、第4態様で提供されるいずれかの方法が行われる。例えば、コンピュータは少なくとも1つのストレージノードであってよい。
【0107】
第36態様によれば、本願の一実施形態がコンピュータプログラム製品を提供する。コンピュータプログラム製品がコンピュータで実行されると、第5態様で提供されるいずれかの方法が行われる。例えば、コンピュータは少なくとも1つのストレージノードであってよい。
【0108】
第37態様によれば、本願の一実施形態がコンピュータプログラム製品を提供する。コンピュータプログラム製品がコンピュータで実行されると、第6態様で提供されるいずれかの方法が行われる。例えば、コンピュータは少なくとも1つのストレージノードであってよい。
【0109】
第38態様によれば、本願の一実施形態がコンピュータプログラム製品を提供する。コンピュータプログラム製品がコンピュータで実行されると、第7態様で提供されるいずれかの方法が行われる。例えば、コンピュータは少なくとも1つのストレージノードであってよい。
【0110】
第39態様によれば、本願の一実施形態がコンピュータプログラム製品を提供する。コンピュータプログラム製品がコンピュータで実行されると、第8態様で提供されるいずれかの方法が行われる。例えば、コンピュータは少なくとも1つのストレージノードであってよい。
【0111】
第40態様によれば、本願の一実施形態が車載セキュリティ保護システムを提供する。車載セキュリティ保護システムは以下に挙げるもののうちのいずれか1つまたは複数を含んでよい。すなわち、第4態様のECU、第5態様のドメインコントローラ、第6態様のゲートウェイ、第7態様のドメインコントローラ、第8態様のゲートウェイ、第11態様のECU、第12態様のドメインコントローラ、第13態様のゲートウェイ、第14態様のドメインコントローラ、第15態様のゲートウェイ、第16態様のECU、第17態様のドメインコントローラ、第18態様のゲートウェイ、第19態様のドメインコントローラ、第20態様のゲートウェイ、第21態様のシステムチップ、第22態様のシステムチップ、第23態様のシステムチップ、第24態様のシステムチップ、第25態様のシステムチップ、第26態様のコンピュータ可読記憶媒体、第27態様のコンピュータ可読記憶媒体、第28態様のコンピュータ可読記憶媒体、第29態様のコンピュータ可読記憶媒体、第30態様のコンピュータ可読記憶媒体、第31態様のコンピュータ可読記憶媒体、第32態様のコンピュータ可読記憶媒体、第33態様のコンピュータプログラム製品、第34態様のコンピュータプログラム製品、第35態様のコンピュータプログラム製品、第36態様のコンピュータプログラム製品、第37態様のコンピュータプログラム製品、第38態様のコンピュータプログラム製品、または第39態様のコンピュータプログラム製品のうちのいずれか1つまたは複数を含んでよい。
【0112】
上記で提供した車載システム、車載セキュリティ保護システム、ECU、ドメインコントローラ、ゲートウェイ、システムチップ、コンピュータ記憶媒体、またはコンピュータプログラム製品などのうちのいずれか1つは、上記で提供した対応する方法を行うように構成されることが理解されるであろう。したがって、車載セキュリティ保護システム、ECU、ドメインコントローラ、ゲートウェイ、システムチップ、コンピュータ記憶媒体、またはコンピュータプログラム製品などによって達成され得る有益な効果については、対応する方法の有益な効果を参照されたい。詳細については、再度ここで説明しない。
【図面の簡単な説明】
【0113】
図1(a)】本願の一実施形態による車載セキュリティ保護システムの概略アーキテクチャ図である。
【0114】
図1(b)】本願の一実施形態による車載システムの概略アーキテクチャ図である。
【0115】
図2】本願の一実施形態によるハードウェアデバイスのハードウェア構造に関する概略図である。
【0116】
図3A】本願の一実施形態による、車載システムにおけるセキュリティ保護方法の概略フローチャート1である。
図3B】本願の一実施形態による、車載システムにおけるセキュリティ保護方法の概略フローチャート1である。
図3C】本願の一実施形態による、車載システムにおけるセキュリティ保護方法の概略フローチャート1である。
【0117】
図4A】本願の一実施形態による、車載システムにおけるセキュリティ保護方法の概略フローチャート2である。
図4B】本願の一実施形態による、車載システムにおけるセキュリティ保護方法の概略フローチャート2である。
【0118】
図5】本願の一実施形態による車載システムの概略構造図である。
【0119】
図6】本願の一実施形態によるECUの概略構造図1である。
【0120】
図7】本願の一実施形態によるECUの概略構造図2である。
【0121】
図8】本願の一実施形態によるドメインコントローラの概略構造図1である。
【0122】
図9】本願の一実施形態によるゲートウェイの概略構造図1である。
【0123】
図10】本願の一実施形態によるドメインコントローラの概略構造図2である。
【0124】
図11】本願の一実施形態によるゲートウェイの概略構造図2である。
【発明を実施するための形態】
【0125】
以下では、添付図面を参照して、本願の実施形態の実装例を詳細に説明する。
【0126】
図1(a)は、本願の一実施形態による車載セキュリティ保護システム100の概略アーキテクチャ図である。図1(a)では、車載セキュリティ保護システム100は、車載システム10およびサーバ20を含んでよい。
【0127】
図1(a)の車載システム10は車両30の車載システムであってよく、車載システム10は複数のデバイスを含んでよい。例えば、車載システム10は、車載T-Box(Telematics BOX)、ゲートウェイ、車載インフォテインメント(in-vehicle infotainment、IVI)システム、車両制御ユニット(vehicle control unit、VCU)、および高度運転支援システム(advanced driving assistance system、ADAS)などのデバイスを含んでよい。具体的には、車載システム10のアーキテクチャが図1(b)に示されてよい。
【0128】
図1(b)は、本願の一実施形態による車載システム10の概略アーキテクチャ図である。図1(b)に示すように、車載システム10は、T-Box101、ゲートウェイ102、IVI103、VCU104、ADAS105、およびECU106~ECU110を含む。IVI103、VCU104、およびADAS105は、集合的にドメインコントローラと呼ばれることがある。ECU106およびECU107はIVI103に対応するECUであり、ECU108はVCU104に対応するECUであり、ECU109およびECU110はADAS105に対応するECUである。
【0129】
T-Box101およびゲートウェイ102は、イーサネット(登録商標)によって互いに接続されてよい。ゲートウェイ102およびドメインコントローラは、イーサネットまたはコントローラエリアネットワーク(controller area network、CAN)によって互いに接続されてよい。例えば、ゲートウェイ102およびIVI103は、イーサネットまたはCANによって互いに接続されてよい。ドメインコントローラおよびECUは、イーサネットまたはCANによって互いに接続されてよい。例えば、VCU104およびECU108はイーサネットまたはCANによって互いに接続されてよく、ADAS105およびECU109はイーサネットまたはCANによって互いに接続されてよい。
【0130】
図1(b)のT-Box101およびドメインコントローラ(例えば、IVI103、VCU104、またはADAS105)には、第2セキュリティ保護モジュールが配置されてよく、第2セキュリティ保護モジュールは、T-Box101またはドメインコントローラに対してセキュリティ保護を提供するように構成されてよい。第2セキュリティ保護モジュールのセキュリティレベルが、第2セキュリティレベルである。第2セキュリティ保護モジュールは、トラステッドプラットフォームモジュールシン(trusted platform module-thin、TPM-Thin)、埋め込み型セキュアエレメント(embedded secure element、eSE)、物理的に分離されたセキュリティプロセッサ(security processor、SP)システムを含むチップ、または物理的に分離されたハードウェアセキュリティモジュール(hardware security module、HSM)を含むチップを内蔵する。
【0131】
第3セキュリティ保護モジュールが図1(b)のゲートウェイ102に配置されてよく、第3セキュリティ保護モジュールは、ゲートウェイ102に対してセキュリティ保護を提供するように構成されてよく、第3セキュリティ保護モジュールのセキュリティレベルが第3セキュリティレベルである。第3セキュリティ保護モジュールは、トラステッドプラットフォームモジュールリッチ(trusted platform module-rich、TPM-Rich)、eSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを内蔵する。
【0132】
第1セキュリティ保護モジュールが図1(b)のECU106~ECU110に配置されてよく、第1セキュリティ保護モジュールは、ECU106~ECU110に対してセキュリティ保護を提供するように構成されてよく、第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルである。第1セキュリティ保護モジュールは、デバイス識別子構成エンジン(device identifier composition engine、DICE)を含む。
【0133】
当業者にはよく知られていることだが、ソフトウェアのセキュリティレベルがハードウェアのセキュリティレベルより低く、TPM-ThinのセキュリティレベルがTPM-Richのセキュリティレベルより低い。したがって、第1セキュリティレベルは第2セキュリティレベルより低く、第2セキュリティレベルは第3セキュリティレベルより低いまたはこれに等しい。
【0134】
第1セキュリティ保護モジュール、第2セキュリティ保護モジュール、および第3セキュリティ保護モジュールの配置方式は単なる例に過ぎないことに留意されたい。当業者であれば、特定の実装プロセスにおいて、対応するセキュリティ保護モジュールが、必要に応じて車載システムのデバイス(例えば、ゲートウェイ、T-Box、ドメインコントローラ、およびECU)に配置されてよいことを理解するはずである。例えば、VCU104のセキュリティレベルを改善する必要がある場合、第3セキュリティ保護モジュールがVCU104に配置されてよい。ECU106のセキュリティレベルを改善する必要がある場合、第2セキュリティ保護モジュールがECU106に配置されてよい。ECU107に対してセキュリティ保護を提供する必要がない場合、ECU107にはセキュリティ保護モジュールが配置されなくてもよい。
【0135】
図1(b)のT-Box101は、車載システム10の外部デバイスおよび車載システム10の内蔵デバイスと通信する能力を有してよい。車載システム10の外部デバイスは、車載システム10の外側にあるデバイス、例えば、図1(a)のサーバ20として説明されてよい。車載システム10の内蔵デバイスは、図1(b)に示すデバイス、例えば、ゲートウェイ102、IVI103、またはECU106であってよい。
【0136】
図1(b)のT-Box101は、車載システム10の内蔵デバイスと通信し、車載システム10の内蔵デバイスに関する情報(例えば、ECU106のファームウェアダイジェスト)を受信するように構成されてよい。T-Box101は、車載システム10の内蔵デバイスと通信し、さらに、受信した車載システム10の外部デバイスにより送信された情報を車載システム10の内蔵デバイスに転送する(または、トランスペアレントに伝送する)(例えば、サーバ20により送信された第1応答情報をゲートウェイ102に転送する(または、トランスペアレントに伝送する))ように構成されてよい。T-Box101は車載システム10の外部デバイスと通信し、車載システム10の内蔵デバイスに対して検証を行うように構成されてよい(例えばT-Box101は、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをサーバ20に送信し、サーバ20が第1署名情報に対して検証を行った後に、サーバ20により送信される第1応答情報を受信する)。
【0137】
図1(b)のゲートウェイ102は、ECUのファームウェアに対して検証を行う能力を有してよい。例えば、ゲートウェイ102は、第2署名情報、VCU104の公開鍵、およびECU108のファームウェアダイジェストをVCU104から受信し、第2署名情報は、ECU108のファームウェアダイジェストを第3ダイジェスト関数に従って計算し、計算によって求めたダイジェストをVCU104の秘密鍵を用いて暗号化することにより取得される。ゲートウェイ102は、VCU104の公開鍵を用いて第2署名情報を解読し、ECU108のファームウェアダイジェストを第3ダイジェスト関数に従って計算し、解読した第2署名情報と、ECU108のファームウェアダイジェストを第3ダイジェスト関数に従って計算することにより求めたダイジェストとが一致するかどうかを検証してよい。
【0138】
図1(b)のゲートウェイ102はさらに、ECUのファームウェアダイジェストに署名する能力を有してよい。例えば、ゲートウェイ102は、解読した第2署名情報と、ECU108のファームウェアダイジェストを第3ダイジェスト関数に従って計算することにより求めたダイジェストとが一致することを検証し、ゲートウェイ102は、ECU108のファームウェアダイジェストを第4ダイジェスト関数に従って計算し、計算によって取得したダイジェストをゲートウェイ102の秘密鍵を用いて暗号化してよい。
【0139】
図1(b)のドメインコントローラは、ECUのファームウェアに対して検証を行う能力を有してよい。例えば、IVI103は、第1署名情報、ECU106の公開鍵、およびECU106のファームウェアダイジェストをECU106から受信し、第1署名情報は、ECU106のファームウェアダイジェストを第2ダイジェスト関数に従って計算し、計算によって求めたダイジェストをECU106の秘密鍵を用いて暗号化することにより取得される。IVI103は、ECU106の公開鍵を用いて第1署名情報を解読し、ECU106のファームウェアダイジェストを第2ダイジェスト関数に従って計算し、解読した第1署名情報と、ECU106のファームウェアダイジェストを第2ダイジェスト関数に従って計算することにより求めたダイジェストとが一致するかどうかを検証してよい。
【0140】
図1(b)のドメインコントローラはさらに、ECUのファームウェアダイジェストに署名する能力を有してよい。例えば、IVI103は、解読した第1署名情報と、ECU106のファームウェアダイジェストを第2ダイジェスト関数に従って計算することにより求めたダイジェストとが一致することを検証し、IVI103は、ECU106のファームウェアダイジェストを第3ダイジェスト関数に従って計算し、計算によって取得したダイジェストをIVI103の秘密鍵を用いて暗号化してよい。
【0141】
図1(b)のECUは、ECUのファームウェアダイジェストに署名する能力を有してよい。例えば、ECU106は、ECU106のファームウェアダイジェストを第2ダイジェスト関数に従って計算し、計算によって取得したダイジェストをIVI103の秘密鍵を用いて暗号化してよい。
【0142】
図1(b)に示す車載システム10のアーキテクチャは、単に一例として用いられているに過ぎず、本願の技術的解決手段を限定する意図はないことを理解されたい。当業者であれば、特定の実装プロセスにおいて、車載システム10はさらに、別のデバイス、例えば、車載式故障診断(on-board diagnostic、OBD)システムを含んでよいことを理解するはずである。さらに、ゲートウェイの数量、ドメインコントローラの数量、およびECUの数量も、特定の要件に従って決定されてよい。
【0143】
図1(a)のサーバ20は、ECUのファームウェアに対して検証を行う能力を有してよい。例えば、サーバ20は、第1署名情報、ECU106の公開鍵、およびECU106のファームウェアダイジェストをゲートウェイ102から受信し、第1署名情報は、ECU106のファームウェアダイジェストを第2ダイジェスト関数に従って計算し、計算によって求めたダイジェストをECU106の秘密鍵を用いて暗号化することにより取得される。サーバ20は、ECU106の公開鍵を用いて第1署名情報を解読し、ECU106のファームウェアダイジェストを第2ダイジェスト関数に従って計算し、解読した第1署名情報と、ECU106のファームウェアダイジェストを第2ダイジェスト関数に従って計算することにより求めたダイジェストとが一致するかどうかを検証してよい。
【0144】
図1(a)のサーバ20はさらに、車載システム10のデバイスに対してサービスを提供する能力を有してよい。例えば、ECU106がナビゲーションに用いられる場合、解読した第1署名情報と、ECU106のファームウェアダイジェストを第2ダイジェスト関数に従って計算することにより求めたダイジェストとが一致することをサーバ20が検証した後に、サーバ20はECU106に対してナビゲーションサービスを提供してよい。
【0145】
図1(a)に示す車載セキュリティ保護システム100は、単に一例として用いられているに過ぎず、本願の技術的解決手段を限定する意図はないことを理解されたい。当業者であれば、特定の実装プロセスにおいて、車載セキュリティ保護システム100はさらに別のデバイスを含んでよく、サーバ20の数量および車載システム10の数量も、特定の要件に基づいて決定されてよいことを理解するはずである。これについては、限定されない。
【0146】
任意選択的に、本願の実施形態における図1(b)のゲートウェイ102、IVI103、またはECU108などの各デバイスは、あるデバイスに含まれる機能モジュールであってもよい。機能モジュールは、ハードウェアデバイスに含まれる要素であってもよく、専用ハードウェアで動作するソフトウェア機能であってもよく、プラットフォーム(例えば、クラウドプラットフォーム)にインスタンス化された仮想化機能であってもよいことが理解されるであろう。
【0147】
例えば、図1(b)の各デバイスは、図2のハードウェアデバイス200を用いて実現されてよい。図2は、本願の一実施形態に適用可能なハードウェアデバイスのハードウェア構造に関する概略図である。ハードウェアデバイス200は、少なくとも1つのプロセッサ201、通信回線202、メモリ203、および少なくとも1つの通信インタフェース204を含んでよい。
【0148】
プロセッサ201は、汎用CPU、マイクロプロセッサ、特定用途向け集積回路(application-specific integrated circuit、ASIC)、または本願の解決手段においてプログラム実行を制御するように構成された1つもしくは複数の集積回路であってもよい。
【0149】
通信回線202は、前述のコンポーネント間で情報が伝達される経路、例えば、バスを含んでよい。
【0150】
通信インタフェース204は、別のデバイスまたは通信ネットワークと、送受信機などの任意の装置を介して通信するように構成され、例えば、イーサネットインタフェース、無線アクセスネットワーク(radio access network、RAN)インタフェース、または無線ローカルエリアネットワーク(wireless local area networks、WLAN)インタフェースである。
【0151】
メモリ203は、読み出し専用メモリ(read-only memory、ROM)または静的情報および命令を格納できる別の種類の静的ストレージデバイスであっても、ランダムアクセスメモリ(random access memory、RAM)または情報および命令を格納できる別の種類の動的ストレージデバイスであってもよく、あるいは電気的消去可能プログラム可能型読み出し専用メモリ(electrically erasable programmable read-only memory、EEPROM)、コンパクトディスク読み出し専用メモリ(compact disc read-only memory、CD-ROM)または別のコンパクトディスク記憶媒体、光ディスク記憶媒体(コンパクトディスク、レーザディスク、光ディスク、デジタル多用途ディスク、またはブルーレイディスクなどを含む)、および磁気ディスク記憶媒体、別の磁気ストレージデバイス、または期待されるプログラムコードを命令もしくはデータ構造体の形態で保持もしくは格納するように構成されることができ且つコンピュータがアクセス可能な任意の他の媒体であってもよいが、これらに限定されない。メモリは独立して存在してもよいが、通信回線202を介してプロセッサに接続される。メモリは代替的に、プロセッサに統合されてもよい。本願の実施形態で提供されるメモリは通常、不揮発性であってよい。メモリ203は、本願の解決手段を実行するためのコンピュータ実行可能命令を格納するように構成され、プロセッサ201はその実行を制御する。プロセッサ201は、メモリ203に格納されたコンピュータ実行可能命令を実行して、本願の実施形態で提供される方法を実施するように構成される。
【0152】
任意選択的に、本願の実施形態におけるコンピュータ実行可能命令は、アプリケーションプログラムコードとも呼ばれることがある。これについては、本願の実施形態において特に限定されない。
【0153】
具体的な実装時に、一実施形態において、プロセッサ201は1つまたは複数のCPU(例えば、図2のCPU0およびCPU1)を含んでよい。
【0154】
具体的な実装時に、一実施形態において、ハードウェアデバイス200は、複数のプロセッサ(例えば、図2のプロセッサ201およびプロセッサ207)を含んでよい。各プロセッサは、シングルコアプロセッサ(single-CPU)であっても、マルチコアプロセッサ(multi-CPU)であってもよい。ここでのプロセッサは、データ(例えば、コンピュータプログラム命令)を処理するように構成された1つまたは複数のデバイス、回路、および/または処理コアであってもよい。
【0155】
具体的な実装時に、一実施形態において、ハードウェアデバイス200はさらに、出力デバイス205および入力デバイス206を含んでよい。出力デバイス205は、プロセッサ201と通信し、情報を複数の方式で表示してよい。例えば、出力デバイス205は、液晶ディスプレイ(liquid crystal display、LCD)、発光ダイオード(light emitting diode、LED)表示デバイス、ブラウン管(cathode ray tube、CRT)表示デバイス、またはプロジェクタ(projector)であってもよい。入力デバイス206は、プロセッサ201と通信し、ユーザからの入力を複数の方式で受け取ってよい。例えば、入力デバイス206は、マウス、キーボード、タッチスクリーンデバイス、または感知デバイスであってもよい。
【0156】
具体的な実装時に、ハードウェアデバイス200は、埋め込み型デバイスであっても、または図2と同様の構造を有するデバイスであってもよい。ハードウェアデバイス200の種類が、本願の実施形態において限定されることはない。
【0157】
以下では、図1(a)、図1(b)、および図2を参照して、本願の実施形態において提供される車載システムにおけるセキュリティ保護方法を具体的に説明する。
【0158】
図3A図3Cは、本願の一実施形態による、車載システムにおけるセキュリティ保護方法を示している。車載システムにおけるセキュリティ保護方法は、段階301~段階321を含む。
【0159】
段階301:ECUが、第1セキュリティ保護モジュールを用いてECUの公開鍵およびECUの秘密鍵を生成する。
【0160】
ECUは、図1(b)のECU106~ECU110であってよい。
【0161】
第1セキュリティ保護モジュールはECUに配置されてよく、第1セキュリティ保護モジュールはDICEを含んでよい。第1セキュリティ保護モジュールは、ECUに対してセキュリティ保護を提供するように構成されてよく、第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルである。
【0162】
実行可能な一実装例では、車両が起動すると、ECUは第1セキュリティ保護モジュールを用いてECUの公開鍵およびECUの秘密鍵を生成する。
【0163】
実行可能な一実装例では、ECUが第1セキュリティ保護モジュールを用いてECUの公開鍵およびECUの秘密鍵を生成することは、ECUに配置された第1セキュリティ保護モジュールがECUの一意のデバイスシークレット(unique device secret、UDS)に基づいてECUの公開鍵およびECUの秘密鍵を生成することを含む。ECUの一意のデバイスシークレットは、製造業者が各ECUに割り当てる秘密である。
【0164】
段階302:ECUは、ECUの秘密鍵を用いてECUのファームウェアダイジェストに署名し、第1署名情報を取得する。
【0165】
ECUのファームウェアは、ECUの静的コードとして説明されてよい。
【0166】
ECUのファームウェアダイジェストは、ECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められてよい。
【0167】
実行可能な一実装例では、ECUがECUの秘密鍵を用いてECUのファームウェアダイジェストに署名して第1署名情報を取得することは、ECUがECUのファームウェアダイジェストを第2ダイジェスト関数に従って計算し、次いでECUの秘密鍵を用いて計算によりダイジェストを暗号化し、第1署名情報を取得することを含む。
【0168】
第1ダイジェスト関数および第2ダイジェスト関数は同じであってもよく、異なっていてもよい。
【0169】
段階303:ECUは、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをドメインコントローラに送信する。
【0170】
ドメインコントローラは、イーサネットまたはCANによってECUに接続されるドメインコントローラである。例えば、ECUが図1(b)のECU106またはECU107である場合、ドメインコントローラは図1(b)のIVI103であってよい。ECUが図1(b)のECU108である場合、ドメインコントローラは図1(b)のVCU104であってよい。ECUが図1(b)のECU109またはECU110である場合、ドメインコントローラは図1(b)のADAS105であってよい。
【0171】
任意選択的に、ドメインコントローラはECUリストを格納し、当該ECUはリスト内のECUである。ECUリスト内のECUは、本願の本実施形態で提供される車載システムにおけるセキュリティ保護方法を行い、またECUはドメインコントローラに接続される。
【0172】
実際の適用プロセスでは、ECUリスト内のECUは、本願の本実施形態で提供される車載システムにおけるセキュリティ保護方法を行う必要があるので、ECUリスト内の全ECUは、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをドメインコントローラに送信する。
【0173】
実行可能な一実装例では、車両が起動した後の所定時間内に、ドメインコントローラが第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをECUリスト内のECUから受信していない場合、ドメインコントローラはECUに第1インジケーション情報を送信する。第1インジケーション情報は、本願の本実施形態で提供される車載システムにおけるセキュリティ保護方法を行うことをECUに示すのに用いられる。
【0174】
例えば、所定時間は2秒であり、図1(b)のIVI103はECUリストを格納し、ECUリストはECU106を含む。車両が起動した2秒後に、IVI103が第1署名情報、ECU106の公開鍵、およびECU106のファームウェアダイジェストをECU106から受信していないと、IVI103はECU106に第1インジケーション情報を送信する。第1インジケーション情報は、本願の本実施形態で提供される車載システムにおけるセキュリティ保護方法を行うことをECU106に示すのに用いられる。
【0175】
別の実行可能な実装例では、車両が起動した後の所定時間内に、ドメインコントローラが第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをECUリスト内のECUから受信していない場合、ドメインコントローラはゲートウェイを介してサーバに第2インジケーション情報を送信する。第2インジケーション情報は、ECUに対してサービスが提供されていないことを示すのに用いられる。
【0176】
例えば、所定時間は2秒であり、図1(b)のIVI103はECUリストを格納し、ECUリストはECU106を含む。車両が起動した2秒後に、IVI103が第1署名情報、ECU106の公開鍵、およびECU106のファームウェアダイジェストをECU106から受信していないと、IVI103はゲートウェイ102に第2インジケーション情報を送信する。ゲートウェイ102は、第2インジケーション情報を受信した後に、第2インジケーション情報をサーバ20に転送する(またはトランスペアレントに伝送する)。第2インジケーション情報は、ECU106に対してサービスが提供されていないことを示すのに用いられる。
【0177】
段階304:ドメインコントローラは、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをECUから受信する。
【0178】
段階305:ドメインコントローラは、第2セキュリティ保護モジュールを用いてドメインコントローラの公開鍵およびドメインコントローラの秘密鍵を生成する。
【0179】
第2セキュリティ保護モジュールはドメインコントローラに配置されてよく、第2セキュリティ保護モジュールは、TPM-Thin、eSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを内蔵してよい。第2セキュリティ保護モジュールは、ドメインコントローラに対してセキュリティ保護を提供するように構成されてよく、第2セキュリティ保護モジュールのセキュリティレベルが第2セキュリティレベルである。
【0180】
任意選択的に、第1セキュリティレベルは第2セキュリティレベルより低い。
【0181】
実行可能な一実装例では、車両が起動すると、ドメインコントローラは、第2セキュリティ保護モジュールを用いてドメインコントローラの公開鍵およびドメインコントローラの秘密鍵を生成する。
【0182】
別の実行可能な実装例では、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをECUから受信した後に、ドメインコントローラは、第2セキュリティ保護モジュールを用いてドメインコントローラの公開鍵およびドメインコントローラの秘密鍵を生成する。
【0183】
さらに別の実行可能な実装例では、第1署名情報が検証された後に(すなわち、段階306の後に)、ドメインコントローラは、第2セキュリティ保護モジュールを用いてドメインコントローラの公開鍵およびドメインコントローラの秘密鍵を生成する。
【0184】
実行可能な一実装例では、ドメインコントローラが第2セキュリティ保護モジュールを用いてドメインコントローラの公開鍵およびドメインコントローラの秘密鍵を生成することは、ドメインコントローラに配置された第2セキュリティ保護モジュールがドメインコントローラの一意のデバイスシークレットに基づいてドメインコントローラの公開鍵およびドメインコントローラの秘密鍵を生成することを含む。ドメインコントローラの一意のデバイスシークレットは、製造業者が各ドメインコントローラに割り当てる秘密である。
【0185】
段階306:ドメインコントローラは、ECUの公開鍵を用いて第1署名情報に対して検証を行う。
【0186】
実行可能な一実装例では、ドメインコントローラがECUの公開鍵を用いて第1署名情報に対して検証を行うことは、ドメインコントローラがECUの公開鍵を用いて第1署名情報を解読し、ECUのファームウェアダイジェストを第2ダイジェスト関数に従って計算した後に、解読した第1署名情報と、ECUのファームウェアダイジェストを第2ダイジェスト関数に従って計算することにより求めたダイジェストとが一致するかどうかを検証することを含む。解読した第1署名情報と、ECUのファームウェアダイジェストを第2ダイジェスト関数に従って計算することにより求めたダイジェストとが一致する場合、第1署名情報は検証されたことになる。解読した第1署名情報と、ECUのファームウェアダイジェストを第2ダイジェスト関数に従って計算することにより求めたダイジェストとが一致しない場合、第1署名情報は検証できていない。
【0187】
実行可能な一実装例では、第1署名情報が検証できていない場合、ドメインコントローラは第1検証エラーメッセージをECUに送信する。第1検証エラーメッセージは第1署名情報が検証できていないことを示すのに用いられる。
【0188】
実行可能な一実装例では、第1署名情報が検証された場合、ドメインコントローラは、ドメインコントローラの秘密鍵を用いてECUのファームウェアダイジェストに署名し、第2署名情報を取得する。こうして、ゲートウェイは第2署名情報に対して検証を行う。
【0189】
段階307:第1署名情報が検証された場合、ドメインコントローラは、ドメインコントローラの秘密鍵を用いてECUのファームウェアダイジェストに署名し、第2署名情報を取得する。
【0190】
実行可能な一実装例では、ドメインコントローラがドメインコントローラの秘密鍵を用いてECUのファームウェアダイジェストに署名し、第2署名情報を取得することは、ドメインコントローラがECUのファームウェアダイジェストを第3ダイジェスト関数に従って計算し、次いで計算により取得したダイジェストをドメインコントローラの秘密鍵を用いて暗号化し、第2署名情報を取得することを含む。
【0191】
第1ダイジェスト関数、第2ダイジェスト関数、および第3ダイジェスト関数は同じであってもよく、異なっていてもよい。
【0192】
段階308:ドメインコントローラは、第2署名情報、ドメインコントローラの公開鍵、およびECUのファームウェアダイジェストをゲートウェイに送信する。
【0193】
ゲートウェイは、図1(b)のゲートウェイ102であってよい。
【0194】
段階309:ゲートウェイは、第2署名情報、ドメインコントローラの公開鍵、およびECUのファームウェアダイジェストをドメインコントローラから受信する。
【0195】
段階310:ゲートウェイは、第3セキュリティ保護モジュールを用いてゲートウェイの公開鍵およびゲートウェイの秘密鍵を生成する。
【0196】
第3セキュリティ保護モジュールは、ゲートウェイに配置されてよい。第3セキュリティ保護モジュールは、TPM-Rich、eSE、または物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを内蔵してよい。第3セキュリティ保護モジュールは、ゲートウェイに対してセキュリティ保護を提供するように構成されてよく、第3セキュリティ保護モジュールのセキュリティレベルが第3セキュリティレベルである。
【0197】
任意選択的に、第3セキュリティレベルは第2セキュリティレベルより高いまたはこれに等しく、第2セキュリティレベルは第1セキュリティレベルより高い。
【0198】
実行可能な一実装例では、車両が起動すると、ゲートウェイは、第3セキュリティ保護モジュールを用いてゲートウェイの公開鍵およびゲートウェイの秘密鍵を生成する。
【0199】
別の実行可能な実装例では、第2署名情報、ドメインコントローラの公開鍵、およびECUのファームウェアダイジェストをドメインコントローラから受信した後に、ゲートウェイは、第3セキュリティ保護モジュールを用いてゲートウェイの公開鍵およびゲートウェイの秘密鍵を生成する。
【0200】
さらに別の実行可能な実装例では、第2署名情報が検証された後に(すなわち、段階311の後に)、ゲートウェイは、第3セキュリティ保護モジュールを用いてゲートウェイの公開鍵およびゲートウェイの秘密鍵を生成する。
【0201】
実行可能な一実装例では、ゲートウェイが第3セキュリティ保護モジュールを用いてゲートウェイの公開鍵およびゲートウェイの秘密鍵を生成することは、ゲートウェイに配置された第3セキュリティ保護モジュールがゲートウェイの一意のデバイスシークレットに基づいてゲートウェイの公開鍵およびゲートウェイの秘密鍵を生成することを含む。ゲートウェイの一意のデバイスシークレットは、製造業者が各ゲートウェイに割り当てる秘密である。
【0202】
段階311:ゲートウェイは、ドメインコントローラの公開鍵を用いて第2署名情報に対して検証を行う。
【0203】
実行可能な一実装例では、ゲートウェイがドメインコントローラの公開鍵を用いて第1署名情報に対して検証を行うことは、ゲートウェイがドメインコントローラの公開鍵を用いて第2署名情報を解読し、ECUのファームウェアダイジェストを第3ダイジェスト関数に従って計算した後に、解読した第2署名情報と、ECUのファームウェアダイジェストを第3ダイジェスト関数に従って計算することにより求めたダイジェストとが一致するかどうかを検証することを含む。解読した第2署名情報と、ECUのファームウェアダイジェストを第3ダイジェスト関数に従って計算することにより求めたダイジェストとが一致する場合、第2署名情報は検証されたことになる。解読した第2署名情報と、ECUのファームウェアダイジェストを第3ダイジェスト関数に従って計算することにより求めたダイジェストとが一致しない場合、第2署名情報は検証できていない。
【0204】
実行可能な一実装例では、第2署名情報が検証できていない場合、ゲートウェイはドメインコントローラに第2検証エラーメッセージを送信する。ドメインコントローラは、第2検証エラーメッセージを受信した後に、第2検証エラーメッセージをECUに転送する(またはトランスペアレントに伝送する)。第2検証エラーメッセージは、第2署名情報が検証できていないことを示すのに用いられる。
【0205】
実行可能な一実装例では、第2署名情報が検証された場合、ゲートウェイは、ゲートウェイの秘密鍵を用いてECUのファームウェアダイジェストに署名し、第3署名情報を取得する。こうして、サーバは第3署名情報に対して検証を行う。
【0206】
段階312:第2署名情報が検証された場合、ゲートウェイは、ゲートウェイの秘密鍵を用いてECUのファームウェアダイジェストに署名し、第3署名情報を取得する。
【0207】
実行可能な一実装例では、ゲートウェイがゲートウェイの秘密鍵を用いてECUのファームウェアダイジェストに署名し、第3署名情報を取得することは、ゲートウェイがECUのファームウェアダイジェストを第4ダイジェスト関数に従って計算し、次いで計算により取得したダイジェストをゲートウェイの秘密鍵を用いて暗号化し、第3署名情報を取得することを含む。
【0208】
第1ダイジェスト関数、第2ダイジェスト関数、第3ダイジェスト関数、および第4ダイジェスト関数は同じであってもよく、異なっていてもよい。
【0209】
段階313:ゲートウェイは、第3署名情報、ゲートウェイの公開鍵、およびECUのファームウェアダイジェストをサーバに送信する。
【0210】
サーバは、図1(a)のサーバ20であってよい。
【0211】
実行可能な一実装例では、ゲートウェイが第3署名情報、ゲートウェイの公開鍵、およびECUのファームウェアダイジェストをサーバに送信することは、ゲートウェイが第3署名情報、ゲートウェイの公開鍵、およびECUのファームウェアダイジェストをT-Boxに送信することを含む。第3署名情報、ゲートウェイの公開鍵、およびECUのファームウェアダイジェストを受信した後に、T-Boxは、第3署名情報、ゲートウェイの公開鍵、およびECUのファームウェアダイジェストをサーバに転送する(またはトランスペアレントに伝送する)。
【0212】
T-Boxは、図1(b)のT-Box101であってよい。
【0213】
段階314:サーバは、第3署名情報、ゲートウェイの公開鍵、およびECUのファームウェアダイジェストをゲートウェイから受信する。
【0214】
段階315:サーバは、ゲートウェイの公開鍵を用いて第3署名情報に対して検証を行う。
【0215】
任意選択的に、サーバがゲートウェイの公開鍵を用いて第3署名情報に対して検証を行うことは、サーバがゲートウェイの公開鍵を用いて第3署名情報を解読し、ECUのファームウェアダイジェストを第4ダイジェスト関数に従って計算した後に、解読した第3署名情報と、ECUのファームウェアダイジェストを第4ダイジェスト関数に従って計算することにより求めたダイジェストとが一致するかどうかを検証することを含む。解読した第3署名情報と、ECUのファームウェアダイジェストを第4ダイジェスト関数に従って計算することにより求めたダイジェストとが一致する場合、第3署名情報は検証されたことになる。解読した第3署名情報と、ECUのファームウェアダイジェストを第4ダイジェスト関数に従って計算することにより求めたダイジェストとが一致しない場合、第3署名情報は検証できていない。
【0216】
実行可能な一実装例では、第3署名情報が検証された場合、サーバはゲートウェイに第1応答情報を送信し、第1応答情報はECUを起動することを示すのに用いられる。これにより、ゲートウェイは第1応答情報をECUに転送し、ECUは第1応答情報に基づいて起動し、サーバはECUに対してサービスを提供する。第3署名情報が検証できていない場合、サーバはゲートウェイに第2応答情報を送信し、第2応答情報はECUの起動を禁じることを示すのに用いられる。これにより、ゲートウェイは第2応答情報をECUに転送し、第2応答情報に基づいてECUの起動が禁じられる。
【0217】
別の実行可能な実装例では、第3署名情報が検証された場合、サーバはゲートウェイに第1応答情報を送信し、第1応答情報はECUを起動することを示すのに用いられる。これにより、ゲートウェイは第1応答情報をECUに転送し、ECUは第1応答情報に基づいて起動し、サーバはECUに対してサービスを提供する。第3署名情報が検証できていない場合、サーバはゲートウェイに応答情報を送信しない。ECUが所定時間後に応答情報を受け取っていない場合、ECUの起動が禁じられる。
【0218】
第3署名情報が検証された場合も、または検証できていない場合も、サーバはゲートウェイに応答情報を送信しなくてもよいことに留意されたい。具体的には、第3署名情報が検証された場合、サーバはECUに対してサービスを提供する。あるいは、第3署名情報が検証できていない場合、サーバはECUに対してサービスを提供しない。
【0219】
段階316:第3署名情報が検証された場合、サーバは第1応答情報をゲートウェイに送信する。
【0220】
実行可能な一実装例では、サーバが第1応答情報をゲートウェイに送信することは、サーバが第1応答情報をT-Boxに送信することを含む。T-Boxは、第1応答情報を受信した後に、第1応答情報をゲートウェイに転送する(または、トランスペアレントに伝送する)。
【0221】
段階317:ゲートウェイは、第1応答情報をサーバから受信する。
【0222】
段階318:ゲートウェイは、第1応答情報をドメインコントローラに送信する。
【0223】
段階319:ドメインコントローラは、第1応答情報をゲートウェイから受信する。
【0224】
段階320:ドメインコントローラは、第1応答情報をECUに送信する。
【0225】
段階321:ECUは、第1応答情報をドメインコントローラから受信する。
【0226】
図3A図3Cに示す方法によれば、ドメインコントローラは、ECUの公開鍵を用いて、ECUのファームウェアダイジェストに基づいて取得した第1署名情報に対して検証を行ってよい。この検証が成功した後に、ゲートウェイは、ドメインコントローラの公開鍵を用いて、ECUのファームウェアダイジェストに基づいて取得した第2署名情報に対して検証を行ってよい。この検証が成功した後に、サーバは、ゲートウェイの公開鍵を用いて、ECUのファームウェアダイジェストに基づいて取得した第3署名情報に対して検証を行ってよい。この検証が成功した後に、サーバは、ゲートウェイおよびドメインコントローラを介して第1応答情報をECUに送信してよい。したがって、ECUのファームウェアダイジェストに対して3段階検証が行われ、ECUのファームウェアが改ざんされていないことを保証することにより、車載システムのセキュリティが向上し得る。さらに、ECUの公開鍵およびECUの秘密鍵はDICEを用いて生成され、DICEの複雑性およびコストは低い。したがって、ECUのファームウェアに対して検証を行うためにDICEをECUに配置することで、コストを削減することができる。
【0227】
図3A図3Cに示す方法では、代替的に、ドメインコントローラおよびゲートウェイがECUのファームウェアダイジェストの署名情報を検証した後にサーバが検証を行う場合、ECUは、ECUのファームウェアダイジェストの署名情報を検証のためにサーバに直接的に送信してよい。
【0228】
図4Aおよび図4Bは、本願の一実施形態による車載システムにおける別のセキュリティ保護方法を示している。車載システムにおけるセキュリティ保護方法は、段階401~段階415を含む。
【0229】
段階401:ECUが、第1セキュリティ保護モジュールを用いてECUの公開鍵およびECUの秘密鍵を生成する。
【0230】
段階402:ECUは、ECUの秘密鍵を用いてECUのファームウェアダイジェストに署名し、第1署名情報を取得する。
【0231】
段階403:ECUは、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをドメインコントローラに送信する。
【0232】
段階401~段階403の具体的なプロセスについては、図3A図3Cに示す方法の段階301~段階303の説明を参照されたい。詳細については、再度ここで説明しない。
【0233】
段階404:ドメインコントローラは、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをECUから受信する。
【0234】
段階405:ドメインコントローラは、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをゲートウェイに送信する。
【0235】
ゲートウェイは、図1(b)のゲートウェイ102であってよい。
【0236】
段階406:ゲートウェイは、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをドメインコントローラから受信する。
【0237】
段階407:ゲートウェイは、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをサーバに送信する。
【0238】
サーバは、図1(a)のサーバ20であってよい。
【0239】
実行可能な一実装例では、ゲートウェイが第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをサーバに送信することは、ゲートウェイが第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをT-Boxに送信することを含む。第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストを受信した後に、T-Boxは、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをサーバに転送する(または、トランスペアレントに伝送する)。
【0240】
T-Boxは、図1(b)のT-Box101であってよい。
【0241】
段階408:サーバは、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをゲートウェイから受信する。
【0242】
段階409:サーバは、ECUの公開鍵を用いて第1署名情報に対して検証を行う。
【0243】
任意選択的に、サーバがECUの公開鍵を用いて第1署名情報に対して検証を行うことは、サーバがECUの公開鍵を用いて第1署名情報を解読し、ECUのファームウェアダイジェストを第2ダイジェスト関数に従って計算した後に、解読した第1署名情報と、ECUのファームウェアダイジェストを第2ダイジェスト関数に従って計算することにより求めたダイジェストとが一致するかどうかを検証することを含む。解読した第1署名情報と、ECUのファームウェアダイジェストを第2ダイジェスト関数に従って計算することにより求めたダイジェストとが一致する場合、第1署名情報は検証されたことになる。解読した第1署名情報と、ECUのファームウェアダイジェストを第2ダイジェスト関数に従って計算することにより求めたダイジェストとが一致しない場合、第1署名情報は検証できていない。
【0244】
実行可能な一実装例では、第1署名情報が検証された場合、サーバはゲートウェイに第1応答情報を送信し、第1応答情報はECUを起動することを示すのに用いられる。これにより、ゲートウェイは第1応答情報をECUに転送し、ECUは第1応答情報に基づいて起動し、サーバはECUに対してサービスを提供する。第1署名情報が検証できていない場合、サーバはゲートウェイに第2応答情報を送信し、第2応答情報はECUの起動を禁じることを示すのに用いられる。これにより、ゲートウェイは第2応答情報をECUに転送し、第2応答情報に基づいてECUの起動が禁じられる。
【0245】
別の実行可能な実装例では、第1署名情報が検証された場合、サーバはゲートウェイに第1応答情報を送信し、第1応答情報はECUを起動することを示すのに用いられる。これにより、ゲートウェイは第1応答情報をECUに転送し、ECUは第1応答情報に基づいて起動し、サーバはECUに対してサービスを提供する。第1署名情報が検証できていない場合、サーバはゲートウェイに応答情報を送信しない。ECUが所定時間後に応答情報を受け取っていない場合、ECUの起動が禁じられる。
【0246】
第1署名情報が検証された場合も、または検証できていない場合も、サーバはゲートウェイに応答情報を送信しなくてもよいことに留意されたい。具体的には、第1署名情報が検証された場合、サーバはECUに対してサービスを提供する。あるいは、第1署名情報が検証できていない場合、サーバはECUに対してサービスを提供しない。
【0247】
段階410:第1署名情報が検証された場合、サーバは第1応答情報をゲートウェイに送信する。
【0248】
実行可能な一実装例では、サーバが第1応答情報をゲートウェイに送信することは、サーバが第1応答情報をT-Boxに送信することを含む。T-Boxは、第1応答情報を受信した後に、第1応答情報をゲートウェイに転送する(または、トランスペアレントに伝送する)。
【0249】
段階411:ゲートウェイは、第1応答情報をサーバから受信する。
【0250】
段階412:ゲートウェイは、第1応答情報をドメインコントローラに送信する。
【0251】
段階413:ドメインコントローラは、第1応答情報をゲートウェイから受信する。
【0252】
段階414:ドメインコントローラは、第1応答情報をECUに送信する。
【0253】
段階415:ECUは、第1応答情報をドメインコントローラから受信する。
【0254】
図4Aおよび図4Bに示す方法によれば、ECUは、ドメインコントローラおよびゲートウェイを介してサーバに、ECUのファームウェアダイジェストに基づいて取得した第1署名情報を送信してよく、サーバは、ECUの公開鍵を用いて第1署名情報に対して検証を行い、ECUのファームウェアが改ざんされていないことを保証することにより、車載システムのセキュリティを向上させ得る。さらに、ECUの公開鍵およびECUの秘密鍵はDICEを用いて生成され、DICEの複雑性およびコストは低い。したがって、ECUのファームウェアに対して検証を行うためにDICEをECUに配置することで、コストを削減することができる。
【0255】
前述したことは主に、本願の実施形態で提供される解決手段を、ネットワークエレメント間のやり取りの観点から説明したものである。前述の機能を実現するために、前述の車載システム、ECU、ドメインコントローラ、またはゲートウェイなどは、これらの機能を行うための対応するハードウェア構造および/またはソフトウェアモジュールを含むことが理解されるであろう。当業者であれば、本明細書に開示した実施形態で説明した例を組み合わせて、各ユニットおよび各アルゴリズムの動作がハードウェアまたはハードウェアとコンピュータソフトウェアとの組み合わせにより実現され得ることを容易に認識するはずである。ある機能がハードウェアで行われるのか、またはコンピュータソフトウェアで動くハードウェアで行われるのかは、技術的解決手段の具体的な用途および設計上の制約によって決まる。当業者であれば、異なる方法を用いて、説明した機能を具体的な用途ごとに実現するかもしれないが、その実装例が本願に範囲を超えるものとみなされるべきではない。
【0256】
本願の実施形態では、車載セキュリティ保護システム、ECU、ドメインコントローラ、またはゲートウェイは、前述の方法例に基づいて各機能モジュールに分割されてよい。例えば、各機能モジュールは、それぞれ対応する機能に基づく分割によって取得されてもよく、または2つ以上の機能が1つの処理モジュールに統合されてもよい。統合されたモジュールは、ハードウェアの形態で実現されてもよく、またはソフトウェア機能モジュールの形態で実現されてもよい。本願の実施形態では、複数のモジュールへの分割は一例であって、単なる論理的な機能分割に過ぎず、実際の実装においては他の分割であってもよいことに留意されたい。
【0257】
例えば、各機能モジュールを統合によって分割した場合、図5は車載システム50の概略構造図である。車載システム50は、ECU501、ドメインコントローラ502、およびゲートウェイ503を含む。
【0258】
第1セキュリティ保護モジュールがECU501に配置されてよく、第1セキュリティ保護モジュールは、ECU501に対してセキュリティ保護を提供するように構成されてよく、第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルである。
【0259】
第2セキュリティ保護モジュールがドメインコントローラ502に配置されてよく、第2セキュリティ保護モジュールは、ドメインコントローラ502に対してセキュリティ保護を提供するように構成されてよく、第2セキュリティ保護モジュールのセキュリティレベルが第2セキュリティレベルである。
【0260】
第3セキュリティ保護モジュールがゲートウェイ503に配置されてよく、第3セキュリティ保護モジュールは、ゲートウェイ503に対してセキュリティ保護を提供するように構成されてよく、第3セキュリティ保護モジュールのセキュリティレベルが第3セキュリティレベルである。
【0261】
各機能モジュールを統合によって分割した場合、図6はECU501の概略構造図である。ECU501は、生成モジュール5011、署名モジュール5012、および送信モジュール5013を含む。
【0262】
生成モジュール5011は、第1セキュリティ保護モジュールを用いてECUの公開鍵およびECUの秘密鍵を生成するように構成される。
【0263】
署名モジュール5012は、ECUの秘密鍵を用いてECUのファームウェアダイジェストに署名し、第1署名情報を取得するように構成され、ECUのファームウェアダイジェストは、ECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる。
【0264】
送信モジュール5013は、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをドメインコントローラに送信するように構成される。
【0265】
任意選択的に、第2セキュリティ保護モジュールはドメインコントローラに配置され、第2セキュリティ保護モジュールは、ドメインコントローラに対してセキュリティ保護を提供するように構成され、第2セキュリティ保護モジュールのセキュリティレベルは第2セキュリティレベルである。
【0266】
任意選択的に、第1セキュリティ保護モジュールはデバイス識別子構成エンジンDICEを含む。第2セキュリティ保護モジュールは、トラステッドプラットフォームモジュールシンTPM-Thin、埋め込み型セキュアエレメントeSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを内蔵する。
【0267】
任意選択的に、ドメインコントローラはECUリストを格納し、当該ECUはリスト内のECUである。
【0268】
任意選択的に、図7に示すように、ECU501はさらに受信モジュール5014を含む。受信モジュール5014はドメインコントローラから第1応答情報を受信するように構成され、第1応答情報はECUを起動することを示すのに用いられる。
【0269】
前述の方法の実施形態における各動作の全関連内容は、対応する機能モジュールの機能説明に挙げられているであろう。詳細については、再度ここで説明しない。
【0270】
本実施形態では、ECU501は、分割によって取得された複数の機能モジュールの形態で一体的に示され得る。本明細書における「モジュール」とは、特定のASIC、回路、1つまたは複数のソフトウェアまたはファームウェアプログラムを実行するプロセッサ、メモリ、集積論理回路、および/または前述の機能を提供できる別のデバイスであってよい。簡単な一実施形態において、当業者であれば、ECU501は図2に示す形態であってよいと理解するであろう。
【0271】
例えば、図2のプロセッサ201はメモリ203に格納されたコンピュータ実行可能命令を呼び出してよい。こうして、ECU501は前述の方法の実施形態において車載システムにおけるセキュリティ保護方法を行う。
【0272】
例えば、図7の生成モジュール5011、署名モジュール5012、送信モジュール5013、および受信モジュール5014の機能/実装プロセスが、メモリ203に格納されたコンピュータ実行可能命令を図2のプロセッサ201が呼び出すことにより実現されてよい。あるいは、図7の生成モジュール5011および署名モジュール5012の機能/実装プロセスが、メモリ203に格納されたコンピュータ実行可能命令を図2のプロセッサ201が呼び出すことにより実現されてよく、図7の送信モジュール5013および受信モジュール5014の機能/実装プロセスが図2の通信インタフェース204により実現されてよい。
【0273】
本願の本実施形態で提供されるECU501は、車載システムにおけるセキュリティ保護方法を行ってよい。したがって、ECU501によって得ることができる技術的効果については、前述の方法の実施形態を参照されたい。詳細については、再度ここで説明しない。
【0274】
各機能モジュールを統合によって分割した場合、図8はドメインコントローラ502の概略構造図である。ドメインコントローラ502は、受信モジュール5021、生成モジュール5022、検証モジュール5023、署名モジュール5024、および送信モジュール5025を含む。
【0275】
受信モジュール5021は、第1署名情報、電子制御ユニットECUの公開鍵、およびECUのファームウェアダイジェストをECUから受信するように構成されており、第1署名情報はECUの秘密鍵を用いてECUのファームウェアダイジェストに署名することにより取得され、ECUのファームウェアダイジェストはECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる。
【0276】
生成モジュール5022は、第2セキュリティ保護モジュールを用いてドメインコントローラの公開鍵およびドメインコントローラの秘密鍵を生成するように構成される。
【0277】
検証モジュール5023は、ECUの公開鍵を用いて第1署名情報に対して検証を行うように構成される。
【0278】
署名モジュール5024は、第1署名情報が検証された場合、ドメインコントローラの秘密鍵を用いてECUのファームウェアダイジェストに署名して、第2署名情報を取得するように構成される。
【0279】
送信モジュール5025は、第2署名情報、ドメインコントローラの公開鍵、およびECUのファームウェアダイジェストをゲートウェイに送信するように構成される。
【0280】
任意選択的に、第1セキュリティ保護モジュールはECUに配置され、第1セキュリティ保護モジュールは、ECUに対してセキュリティ保護を提供するように構成され、第1セキュリティ保護モジュールのセキュリティレベルは第1セキュリティレベルである。第3セキュリティ保護モジュールはゲートウェイに配置され、第3セキュリティ保護モジュールは、ゲートウェイに対してセキュリティ保護を提供するように構成され、第3セキュリティ保護モジュールのセキュリティレベルは第3セキュリティレベルである。
【0281】
任意選択的に、第1セキュリティ保護モジュールはデバイス識別子構成エンジンDICEを含む。第2セキュリティ保護モジュールは、トラステッドプラットフォームモジュールシンTPM-Thin、埋め込み型セキュアエレメントeSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたハードウェアセキュリティモジュールHSMを含むチップを内蔵する。第3セキュリティ保護モジュールは、トラステッドプラットフォームモジュールリッチTPM-Rich、eSE、物理的に分離されたSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを内蔵する。
【0282】
任意選択的に、ドメインコントローラはECUリストを格納し、当該ECUはリスト内のECUである。
【0283】
任意選択的に、受信モジュール5021はさらに、ゲートウェイから第1応答情報を受信するように構成され、第1応答情報はECUを起動することを示すのに用いられる。送信モジュール5025はさらに、第1応答情報をECUに送信するように構成される。
【0284】
前述の方法の実施形態における各動作の全関連内容は、対応する機能モジュールの機能説明に挙げられているであろう。詳細については、再度ここで説明しない。
【0285】
本実施形態では、ドメインコントローラ502は、分割によって取得された複数の機能モジュールの形態で一体的に示され得る。本明細書における「モジュール」とは、特定のASIC、回路、1つまたは複数のソフトウェアまたはファームウェアプログラムを実行するプロセッサ、メモリ、集積論理回路、および/または前述の機能を提供できる別のデバイスであってよい。簡単な一実施形態において、当業者であれば、ドメインコントローラ502は図2に示す形態であってよいと理解するであろう。
【0286】
例えば、図2のプロセッサ201はメモリ203に格納されたコンピュータ実行可能命令を呼び出してよい。こうして、ドメインコントローラ502は前述の方法の実施形態において車載システムにおけるセキュリティ保護方法を行う。
【0287】
例えば、図8の受信モジュール5021、生成モジュール5022、検証モジュール5023、署名モジュール5024、および送信モジュール5025の機能/実装プロセスが、メモリ203に格納されたコンピュータ実行可能命令を図2のプロセッサ201が呼び出すことにより実現されてよい。あるいは、図8の生成モジュール5022、検証モジュール5023、および署名モジュール5024の機能/実装プロセスが、メモリ203に格納されたコンピュータ実行可能命令を図2のプロセッサ201が呼び出すことにより実現されてよく、図8の受信モジュール5021および送信モジュール5025の機能/実装プロセスが、図2の通信インタフェース204により実現されてよい。
【0288】
本願の本実施形態で提供されるドメインコントローラ502は、車載システムにおけるセキュリティ保護方法を行ってよい。したがって、ドメインコントローラ502によって得ることができる技術的効果については、前述の方法の実施形態を参照されたい。詳細については、再度ここで説明しない。
【0289】
各機能モジュールを統合によって分割した場合、図9はゲートウェイ503の概略構造図である。ゲートウェイ503は、受信モジュール5031、生成モジュール5032、検証モジュール5033、署名モジュール5034、および送信モジュール5035を含む。
【0290】
受信モジュール5031は、第2署名情報、ドメインコントローラの公開鍵、およびECUのファームウェアダイジェストをドメインコントローラから受信するように構成され、第2署名情報はドメインコントローラの秘密鍵を用いてECUのファームウェアダイジェストに署名することにより取得され、ECUのファームウェアダイジェストはECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる。
【0291】
生成モジュール5032は、第3セキュリティ保護モジュールを用いてゲートウェイの公開鍵およびゲートウェイの秘密鍵を生成するように構成される。
【0292】
検証モジュール5033は、ドメインコントローラの公開鍵を用いて第2署名情報に対して検証を行うように構成される。
【0293】
署名モジュール5034は、第2署名情報が検証された場合、ゲートウェイの秘密鍵を用いてECUのファームウェアダイジェストに署名して、第3署名情報を取得するように構成される。
【0294】
送信モジュール5035は、第3署名情報、ゲートウェイの公開鍵、およびECUのファームウェアダイジェストをサーバに送信するように構成される。
【0295】
任意選択的に、第2セキュリティ保護モジュールはドメインコントローラに配置され、第2セキュリティ保護モジュールは、ドメインコントローラに対してセキュリティ保護を提供するように構成され、第2セキュリティ保護モジュールのセキュリティレベルは第2セキュリティレベルである。
【0296】
任意選択的に、第2セキュリティ保護モジュールは、トラステッドプラットフォームモジュールシンTPM-Thin、埋め込み型セキュアエレメントeSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたハードウェアセキュリティモジュールHSMを含むチップを内蔵する。第3セキュリティ保護モジュールは、トラステッドプラットフォームモジュールリッチTPM-Rich、eSE、物理的に分離されたSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを内蔵する。
【0297】
任意選択的に、ドメインコントローラはECUリストを格納し、当該ECUはリスト内のECUである。
【0298】
任意選択的に、受信モジュール5031はさらに、サーバから第1応答情報を受信するように構成され、第1応答情報はECUを起動することを示すのに用いられる。送信モジュール5035はさらに、第1応答情報をドメインコントローラに送信するように構成される。
【0299】
前述の方法の実施形態における各動作の全関連内容は、対応する機能モジュールの機能説明に挙げられているであろう。詳細については、再度ここで説明しない。
【0300】
本実施形態では、ゲートウェイ503は、分割によって取得された複数の機能モジュールの形態で一体的に示され得る。本明細書における「モジュール」とは、特定のASIC、回路、1つまたは複数のソフトウェアまたはファームウェアプログラムを実行するプロセッサ、メモリ、集積論理回路、および/または前述の機能を提供できる別のデバイスであってよい。簡単な一実施形態において、当業者であれば、ゲートウェイ503は図2に示す形態であってよいと理解するであろう。
【0301】
例えば、図2のプロセッサ201はメモリ203に格納されたコンピュータ実行可能命令を呼び出してよい。こうして、ゲートウェイ503は前述の方法の実施形態において車載システムにおけるセキュリティ保護方法を行う。
【0302】
例えば、図9の受信モジュール5031、生成モジュール5032、検証モジュール5033、署名モジュール5034、および送信モジュール5035の機能/実装プロセスが、メモリ203に格納されたコンピュータ実行可能命令を図2のプロセッサ201が呼び出すことにより実現されてよい。あるいは、図9の生成モジュール5032、検証モジュール5033、および署名モジュール5034の機能/実装プロセスが、メモリ203に格納されたコンピュータ実行可能命令を図2のプロセッサ201が呼び出すことにより実現されてよく、図9の受信モジュール5031および送信モジュール5035の機能/実装プロセスが、図2の通信インタフェース204により実現されてよい。
【0303】
本願の本実施形態で提供されるゲートウェイ503は、車載システムにおけるセキュリティ保護方法を行ってよい。したがって、ゲートウェイ503によって得ることができる技術的効果については、前述の方法の実施形態を参照されたい。詳細については、再度ここで説明しない。
【0304】
各機能モジュールを統合によって分割した場合、図10はドメインコントローラ502の別の概略構造図である。ドメインコントローラ502は、受信モジュール5026および送信モジュール5027を含む。
【0305】
受信モジュール5026は、第1署名情報、電子制御ユニットECUの公開鍵、およびECUのファームウェアダイジェストをECUから受信するように構成されており、第1署名情報はECUの秘密鍵を用いてECUのファームウェアダイジェストに署名することにより取得され、ECUのファームウェアダイジェストはECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる。
【0306】
送信モジュール5027は、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをゲートウェイに送信するように構成される。
【0307】
任意選択的に、第1セキュリティ保護モジュールはECUに配置され、第1セキュリティ保護モジュールは、ECUに対してセキュリティ保護を提供するように構成され、第1セキュリティ保護モジュールのセキュリティレベルは第1セキュリティレベルである。第3セキュリティ保護モジュールはゲートウェイに配置され、第3セキュリティ保護モジュールは、ゲートウェイに対してセキュリティ保護を提供するように構成され、第3セキュリティ保護モジュールのセキュリティレベルは第3セキュリティレベルである。
【0308】
任意選択的に、第1セキュリティ保護モジュールはデバイス識別子構成エンジンDICEを含む。第2セキュリティ保護モジュールは、トラステッドプラットフォームモジュールシンTPM-Thin、埋め込み型セキュアエレメントeSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたハードウェアセキュリティモジュールHSMを含むチップを内蔵する。第3セキュリティ保護モジュールは、トラステッドプラットフォームモジュールリッチTPM-Rich、eSE、物理的に分離されたSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを内蔵する。
【0309】
任意選択的に、ドメインコントローラはECUリストを格納し、当該ECUはリスト内のECUである。
【0310】
任意選択的に、受信モジュール5026はゲートウェイから第1応答情報を受信するように構成され、第1応答情報はECUを起動することを示すのに用いられる。送信モジュール5027は、第1応答情報をECUに送信するように構成される。
【0311】
前述の方法の実施形態における各動作の全関連内容は、対応する機能モジュールの機能説明に挙げられているであろう。詳細については、再度ここで説明しない。
【0312】
本実施形態では、ドメインコントローラ502は、分割によって取得された複数の機能モジュールの形態で一体的に示され得る。本明細書における「モジュール」とは、特定のASIC、回路、1つまたは複数のソフトウェアまたはファームウェアプログラムを実行するプロセッサ、メモリ、集積論理回路、および/または前述の機能を提供できる別のデバイスであってよい。簡単な一実施形態において、当業者であれば、ドメインコントローラ502は図2に示す形態であってよいと理解するであろう。
【0313】
例えば、図2のプロセッサ201はメモリ203に格納されたコンピュータ実行可能命令を呼び出してよい。こうして、ドメインコントローラ502は前述の方法の実施形態において、車載システムにおけるセキュリティ保護方法を行う。
【0314】
例えば、図10の受信モジュール5026および送信モジュール5027の機能/実装プロセスが、メモリ203に格納されたコンピュータ実行可能命令を図2のプロセッサ201が呼び出すことにより実現されてよい。あるいは、図10の受信モジュール5026および送信モジュール5027の機能/実装プロセスが、図2の通信インタフェース204により実現されてよい。
【0315】
本願の本実施形態で提供されるドメインコントローラ502は、車載システムにおけるセキュリティ保護方法を行ってよい。したがって、ドメインコントローラ502によって得ることができる技術的効果については、前述の方法の実施形態を参照されたい。詳細については、再度ここで説明しない。
【0316】
各機能モジュールを統合によって分割した場合、図11はゲートウェイ503の別の概略構造図である。ゲートウェイ503は、受信モジュール5036および送信モジュール5037を含む。
【0317】
受信モジュール5036は、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをドメインコントローラから受信するように構成されており、第1署名情報はECUの秘密鍵を用いてECUのファームウェアダイジェストに署名することにより取得され、ECUのファームウェアダイジェストはECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる。
【0318】
送信モジュール5037は、第1署名情報、ECUの公開鍵、およびECUのファームウェアダイジェストをサーバに送信するように構成される。
【0319】
任意選択的に、第2セキュリティ保護モジュールはドメインコントローラに配置され、第2セキュリティ保護モジュールは、ドメインコントローラに対してセキュリティ保護を提供するように構成され、第2セキュリティ保護モジュールのセキュリティレベルは第2セキュリティレベルである。
【0320】
任意選択的に、第2セキュリティ保護モジュールは、トラステッドプラットフォームモジュールシンTPM-Thin、埋め込み型セキュアエレメントeSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたハードウェアセキュリティモジュールHSMを含むチップを内蔵する。第3セキュリティ保護モジュールは、トラステッドプラットフォームモジュールリッチTPM-Rich、eSE、物理的に分離されたSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを内蔵する。
【0321】
任意選択的に、ドメインコントローラはECUリストを格納し、当該ECUはリスト内のECUである。
【0322】
任意選択的に、受信モジュール5036は、サーバから第1応答情報を受信するように構成され、第1応答情報はECUを起動することを示すのに用いられる。送信モジュール5037は、第1応答情報をドメインコントローラに送信するように構成される。
【0323】
前述の方法の実施形態における各動作の全関連内容は、対応する機能モジュールの機能説明に挙げられているであろう。詳細については、再度ここで説明しない。
【0324】
本実施形態では、ゲートウェイ503は、分割によって取得された複数の機能モジュールの形態で一体的に示され得る。本明細書における「モジュール」とは、特定のASIC、回路、1つまたは複数のソフトウェアまたはファームウェアプログラムを実行するプロセッサ、メモリ、集積論理回路、および/または前述の機能を提供できる別のデバイスであってよい。簡単な一実施形態において、当業者であれば、ゲートウェイ503は図2に示す形態であってよいと理解するであろう。
【0325】
例えば、図2のプロセッサ201はメモリ203に格納されたコンピュータ実行可能命令を呼び出してよい。こうして、ゲートウェイ503は前述の方法の実施形態において車載システムにおけるセキュリティ保護方法を行う。
【0326】
例えば、図11の受信モジュール5036および送信モジュール5037の機能/実装プロセスが、メモリ203に格納されたコンピュータ実行可能命令を図2のプロセッサ201が呼び出すことにより実現されてよい。あるいは、図11の受信モジュール5036および送信モジュール5037の機能/実装プロセスが、図2の通信インタフェース204により実現されてよい。
【0327】
本願の本実施形態で提供されるゲートウェイ503は、車載システムにおけるセキュリティ保護方法を行ってよい。したがって、ゲートウェイ503によって得ることができる技術的効果については、前述の方法の実施形態を参照されたい。詳細については、再度ここで説明しない。
【0328】
前述の実施形態の全部または一部が、ソフトウェア、ハードウェア、ファームウェア、またはそのあらゆる組み合わせを用いて実現されてよい。ソフトウェアプログラムを用いて実施形態を実現する場合、実施形態の全部または一部がコンピュータプログラム製品の形態で実現されてよい。コンピュータプログラム製品は、1つまたは複数のコンピュータ命令を含む。コンピュータプログラム命令をコンピュータにロードして実行すると、本願の実施形態による手順または機能が全てまたは部分的にもたらされる。コンピュータは、汎用コンピュータ、専用コンピュータ、コンピュータネットワーク、または別のプログラム可能型装置であってもよい。コンピュータ命令はコンピュータ可読記憶媒体に格納されてもよく、あるコンピュータ可読記憶媒体から別のコンピュータ可読記憶媒体に伝送されてもよい。例えば、コンピュータ命令は、あるウェブサイト、コンピュータ、サーバ、またはデータセンタから、別のウェブサイト、コンピュータ、サーバ、またはデータセンタに、有線(例えば、同軸ケーブル、光ファイバ、またはデジタル加入者回線(digital subscriber line、DSL))方式または無線(例えば、赤外線、無線、またはマイクロ波)方式で伝送されてよい。コンピュータ可読記憶媒体は、コンピュータがアクセス可能な任意の使用可能な媒体であっても、1つまたは複数の使用可能な媒体を統合したデータストレージデバイス(例えば、サーバまたはデータセンタ)であってもよい。使用可能な媒体は、磁気媒体(例えば、フロッピディスク、ハードディスク、または磁気テープ)、光媒体(例えば、DVD)、または半導体媒体(例えば、ソリッドステートドライブ(solid state disk、SSD))などであってもよい。
【0329】
本願は複数の実施形態を参照して説明されているが、保護を主張する本願を実現する手順において、当業者であれば、添付図面、開示内容、および添付した特許請求の範囲を考察することにより、開示した実施形態の別の変形例を理解して実現するであろう。特許請求の範囲においては、「comprise(含む)」(comprising)が別のコンポーネントも別の段階も除外することはなく、「a」も「one」も複数の場合を除外することはない。1つのプロセッサまたは別のユニットが、特許請求の範囲に列挙されるいくつかの機能を実装してよい。いくつかの手段が、互いに異なる複数の従属クレームに述べられているが、これをもって、これらの手段を組み合わせても大きな効果をもたらすことができないと言っているわけではない。
【0330】
本願は具体的な特徴およびその実施形態を参照して説明されているが、それらに対して、本願の趣旨および範囲から逸脱することなく、様々な修正および組み合わせが行われてよいことは明らかである。同様に、本明細書および添付図面は、添付した特許請求の範囲によって定められる本願の単なる例示的な説明に過ぎず、本願の範囲内の修正例、変形例、組み合わせ例、もしくは均等例のうちのいずれか、または全てを包含することが意図されている。当業者であれば、本願の趣旨および範囲から逸脱することなく、本願に対して様々な修正および変形を行い得ることは明らかである。このように、本願のこれらの修正および変形が本願の特許請求の範囲およびその均等な技術の範囲内に含まれる限り、本願はそうした修正および変形を包含することが意図されている。
[他の考え得る請求項]
(請求項1)
ゲートウェイと、ドメインコントローラと、前記ドメインコントローラに対応する電子制御ユニットECUとを備える車載システムであって、前記ゲートウェイが前記ドメインコントローラに接続されており、前記ドメインコントローラが前記ECUに接続されており、
前記ECUには第1セキュリティ保護モジュールが配置されており、前記第1セキュリティ保護モジュールが前記ECUに対してセキュリティ保護を提供するように構成されており、前記第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルであり、
前記ドメインコントローラには第2セキュリティ保護モジュールが配置されており、前記第2セキュリティ保護モジュールが前記ドメインコントローラに対してセキュリティ保護を提供するように構成されており、前記第2セキュリティ保護モジュールのセキュリティレベルが第2セキュリティレベルであり、
前記ゲートウェイには第3セキュリティ保護モジュールが配置されており、前記第3セキュリティ保護モジュールが前記ゲートウェイに対してセキュリティ保護を提供するように構成されており、前記第3セキュリティ保護モジュールのセキュリティレベルが第3セキュリティレベルである、車載システム。
(請求項2)
前記第3セキュリティレベルが前記第2セキュリティレベルより高いまたはこれに等しく、前記第2セキュリティレベルが前記第1セキュリティレベルより高い、請求項1に記載の車載システム。
(請求項3)
前記第1セキュリティ保護モジュールがデバイス識別子構成エンジンDICEを有し、
前記第2セキュリティ保護モジュールが、トラステッドプラットフォームモジュールシン、埋め込み型セキュアエレメントeSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたハードウェアセキュリティモジュールHSMを含むチップを有し、
前記第3セキュリティ保護モジュールが、トラステッドプラットフォームモジュールリッチ、eSE、物理的に分離されたSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを有する、請求項1または2に記載の車載システム。
(請求項4)
車載システムにおけるセキュリティ保護方法であって、
電子制御ユニットECUが第1セキュリティ保護モジュールを用いて前記ECUの公開鍵および前記ECUの秘密鍵を生成する段階であって、前記第1セキュリティ保護モジュールが前記ECUに対してセキュリティ保護を提供するように構成されており、前記第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルである、生成する段階と、
前記ECUが前記ECUの前記秘密鍵を用いて前記ECUのファームウェアダイジェストに署名し、第1署名情報を取得する段階と、
前記ECUが、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストをドメインコントローラに送信する段階と、
前記ドメインコントローラが、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ECUから受信する段階と、
前記ドメインコントローラが、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストをゲートウェイに送信する段階と、
前記ゲートウェイが、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ドメインコントローラから受信する段階と、
前記ゲートウェイが、前記第1署名情報、前記EUCの前記公開鍵、および前記ECUの前記ファームウェアダイジェストをサーバに送信する段階と
を備える方法。
(請求項5)
前記第1セキュリティ保護モジュールがデバイス識別子構成エンジンDICEを有する、請求項4に記載の方法。
(請求項6)
前記ドメインコントローラがECUリストを格納し、前記ECUが前記リスト内のECUである、請求項4または5に記載の方法。
(請求項7)
前記ECUの前記ファームウェアダイジェストが前記ECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる、請求項4から6のいずれか一項に記載の方法。
(請求項8)
前記方法がさらに、
前記サーバが、前記第1署名情報、前記EUCの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ゲートウェイから受信する段階と、
前記サーバが前記ECUの前記公開鍵を用いて前記第1署名情報に対して検証を行う段階と、
前記第1署名情報が検証された場合、前記サーバが前記ゲートウェイに第1応答情報を送信する段階であって、前記第1応答情報は前記ECUを起動することを示すのに用いられる、送信する段階と、
前記ゲートウェイが前記第1応答情報を前記サーバから受信する段階と、
前記ゲートウェイが前記第1応答情報を前記ドメインコントローラに送信する段階と、
前記ドメインコントローラが前記第1応答情報を前記ゲートウェイから受信する段階と、
前記ドメインコントローラが前記第1応答情報を前記ECUに送信する段階と、
前記ECUが前記第1応答情報を前記ドメインコントローラから受信する段階と
を備える、請求項4から7のいずれか一項に記載の方法。
(請求項9)
車載システムにおけるセキュリティ保護方法であって、
電子制御ユニットECUが第1セキュリティ保護モジュールを用いて前記ECUの公開鍵および前記ECUの秘密鍵を生成する段階であって、前記第1セキュリティ保護モジュールが前記ECUに対してセキュリティ保護を提供するように構成されており、前記第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルである、生成する段階と、
前記ECUが前記ECUの前記秘密鍵を用いて前記ECUのファームウェアダイジェストに署名し、第1署名情報を取得する段階と、
前記ECUが、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストをドメインコントローラに送信する段階と、
前記ドメインコントローラが、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ECUから受信する段階と、
前記ドメインコントローラが第2セキュリティ保護モジュールを用いて前記ドメインコントローラの公開鍵および前記ドメインコントローラの秘密鍵を生成する段階であって、前記第2セキュリティ保護モジュールが前記ドメインコントローラに対してセキュリティ保護を提供するように構成されており、前記第2セキュリティ保護モジュールのセキュリティレベルが第2セキュリティレベルである、生成する段階と、
前記ドメインコントローラが前記ECUの前記公開鍵を用いて前記第1署名情報に対して検証を行う段階と、
前記第1署名情報が検証された場合、前記ドメインコントローラが前記ドメインコントローラの前記秘密鍵を用いて前記ECUの前記ファームウェアダイジェストに署名し、第2署名情報を取得する段階と、
前記ドメインコントローラが、前記第2署名情報、前記ドメインコントローラの前記公開鍵、および前記ECUの前記ファームウェアダイジェストをゲートウェイに送信する段階と、
前記ゲートウェイが、前記第2署名情報、前記ドメインコントローラの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ドメインコントローラから受信する段階と、
前記ゲートウェイが第3セキュリティ保護モジュールを用いて前記ゲートウェイの公開鍵および前記ゲートウェイの秘密鍵を生成する段階であって、前記第3セキュリティ保護モジュールが前記ゲートウェイに対してセキュリティ保護を提供するように構成されており、前記第3セキュリティ保護モジュールのセキュリティレベルが第3セキュリティレベルである、生成する段階と、
前記ゲートウェイが前記ドメインコントローラの前記公開鍵を用いて前記第2署名情報に対して検証を行う段階と、
前記第2署名情報が検証された場合、前記ゲートウェイが前記ゲートウェイの前記秘密鍵を用いて前記ECUの前記ファームウェアダイジェストに署名し、第3署名情報を取得する段階と、
前記ゲートウェイが、前記第3署名情報、前記ゲートウェイの前記公開鍵、および前記ECUの前記ファームウェアダイジェストをサーバに送信する段階と
を備える方法。
(請求項10)
前記第3セキュリティレベルが前記第2セキュリティレベルより高いまたはこれに等しく、前記第2セキュリティレベルが前記第1セキュリティレベルより高い、請求項9に記載の方法。
(請求項11)
前記第1セキュリティ保護モジュールがデバイス識別子構成エンジンDICEを有し、
前記第2セキュリティ保護モジュールが、トラステッドプラットフォームモジュールシン、埋め込み型セキュアエレメントeSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたハードウェアセキュリティモジュールHSMを含むチップを有し、
前記第3セキュリティ保護モジュールが、トラステッドプラットフォームモジュールリッチ、eSE、物理的に分離されたSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを有する、請求項9に記載の方法。
(請求項12)
前記ドメインコントローラがECUリストを格納し、前記ECUが前記リスト内のECUである、請求項9から11のいずれか一項に記載の方法。
(請求項13)
前記ECUの前記ファームウェアダイジェストが前記ECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる、請求項9から12のいずれか一項に記載の方法。
(請求項14)
前記方法がさらに、
前記サーバが、前記第3署名情報、前記ゲートウェイの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ゲートウェイから受信する段階と、
前記サーバが前記ゲートウェイの前記公開鍵を用いて前記第3署名情報に対して検証を行う段階と、
前記第3署名情報が検証された場合、前記サーバが前記ゲートウェイに第1応答情報を送信する段階であって、前記第1応答情報は前記ECUが起動することを示すのに用いられる、送信する段階と、
前記ゲートウェイが前記第1応答情報を前記サーバから受信する段階と、
前記ゲートウェイが前記第1応答情報を前記ドメインコントローラに送信する段階と、
前記ドメインコントローラが前記第1応答情報を前記ゲートウェイから受信する段階と、
前記ドメインコントローラが前記第1応答情報を前記ECUに送信する段階と、
前記ECUが前記第1応答情報を前記ドメインコントローラから受信する段階と
を備える、請求項9から13のいずれか一項に記載の方法。
(請求項15)
電子制御ユニットECUと、ドメインコントローラと、ゲートウェイとを備える車載セキュリティ保護システムであって、
前記ECUが第1セキュリティ保護モジュールを用いて前記ECUの公開鍵および前記ECUの秘密鍵を生成するように構成されており、前記第1セキュリティ保護モジュールが前記ECUに対してセキュリティ保護を提供するように構成されており、前記第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルであり、
前記ECUがさらに、前記ECUの前記秘密鍵を用いて前記ECUのファームウェアダイジェストに署名し、第1署名情報を取得するように構成されており、
前記ECUがさらに、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ドメインコントローラに送信するように構成されており、
前記ドメインコントローラが、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ECUから受信するように構成されており、
前記ドメインコントローラがさらに、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ゲートウェイに送信するように構成されており、
前記ゲートウェイが、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ドメインコントローラから受信するように構成されており、
前記ゲートウェイがさらに、前記第1署名情報、前記EUCの前記公開鍵、および前記ECUの前記ファームウェアダイジェストをサーバに送信するように構成されている、車載セキュリティ保護システム。
(請求項16)
前記第1セキュリティ保護モジュールがデバイス識別子構成エンジンDICEを有する、請求項15に記載の車載セキュリティ保護システム。
(請求項17)
前記ドメインコントローラがECUリストを格納し、前記ECUが前記リスト内のECUである、請求項15または16に記載の車載セキュリティ保護システム。
(請求項18)
前記ECUの前記ファームウェアダイジェストが前記ECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる、請求項15から17のいずれか一項に記載の車載セキュリティ保護システム。
(請求項19)
前記車載セキュリティ保護システムがさらに前記サーバを備え、
前記サーバが、前記第1署名情報、前記EUCの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ゲートウェイから受信するように構成されており、
前記サーバがさらに、前記ECUの前記公開鍵を用いて前記第1署名情報に対して検証を行うように構成されており、
前記サーバがさらに、前記第1署名情報が検証された場合、前記ゲートウェイに第1応答情報を送信するように構成されており、前記第1応答情報が前記ECUを起動することを示すのに用いられ、
前記ゲートウェイがさらに、前記第1応答情報を前記サーバから受信するように構成されており、
前記ゲートウェイがさらに、前記第1応答情報を前記ドメインコントローラに送信するように構成されており、
前記ドメインコントローラがさらに、前記第1応答情報を前記ゲートウェイから受信するように構成されており、
前記ドメインコントローラがさらに、前記第1応答情報を前記ECUに送信するように構成されており、
前記ECUがさらに、前記第1応答情報を前記ドメインコントローラから受信するように構成されている、請求項15から18のいずれか一項に記載の車載セキュリティ保護システム。
(請求項20)
電子制御ユニットECUと、ドメインコントローラと、ゲートウェイとを備える車載セキュリティ保護システムであって、
前記ECUが第1セキュリティ保護モジュールを用いて前記ECUの公開鍵および前記ECUの秘密鍵を生成するように構成されており、前記第1セキュリティ保護モジュールが前記ECUに対してセキュリティ保護を提供するように構成されており、前記第1セキュリティ保護モジュールのセキュリティレベルが第1セキュリティレベルであり、
前記ECUがさらに、前記ECUの前記秘密鍵を用いて前記ECUのファームウェアダイジェストに署名し、第1署名情報を取得するように構成されており、
前記ECUがさらに、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ドメインコントローラに送信するように構成されており、
前記ドメインコントローラが、前記第1署名情報、前記ECUの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ECUから受信するように構成されており、
前記ドメインコントローラがさらに、第2セキュリティ保護モジュールを用いて前記ドメインコントローラの公開鍵および前記ドメインコントローラの秘密鍵を生成するように構成されており、前記第2セキュリティ保護モジュールが前記ドメインコントローラに対してセキュリティ保護を提供するように構成されており、前記第2セキュリティ保護モジュールのセキュリティレベルが第2セキュリティレベルであり、
前記ドメインコントローラがさらに、前記ECUの前記公開鍵を用いて前記第1署名情報に対して検証を行うように構成されており、
前記ドメインコントローラがさらに、前記第1署名情報が検証された場合、前記ドメインコントローラの前記秘密鍵を用いて前記ECUの前記ファームウェアダイジェストに署名し、第2署名情報を取得するように構成されており、
前記ドメインコントローラがさらに、前記第2署名情報、前記ドメインコントローラの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ゲートウェイに送信するように構成されており、
前記ゲートウェイが、前記第2署名情報、前記ドメインコントローラの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ドメインコントローラから受信するように構成されており、
前記ゲートウェイがさらに、第3セキュリティ保護モジュールを用いて前記ゲートウェイの公開鍵および前記ゲートウェイの秘密鍵を生成するように構成されており、前記第3セキュリティ保護モジュールが前記ゲートウェイに対してセキュリティ保護を提供するように構成されており、前記第3セキュリティ保護モジュールのセキュリティレベルが第3セキュリティレベルであり、
前記ゲートウェイがさらに、前記ドメインコントローラの前記公開鍵を用いて前記第2署名情報に対して検証を行うように構成されており、
前記ゲートウェイがさらに、前記第2署名情報が検証された場合、前記ゲートウェイの前記秘密鍵を用いて前記ECUの前記ファームウェアダイジェストに署名し、第3署名情報を取得するように構成されており、
前記ゲートウェイがさらに、前記第3署名情報、前記ゲートウェイの前記公開鍵、および前記ECUの前記ファームウェアダイジェストをサーバに送信するように構成されている、車載セキュリティ保護システム。
(請求項21)
前記第3セキュリティレベルが前記第2セキュリティレベルより高いまたはこれに等しく、前記第2セキュリティレベルが前記第1セキュリティレベルより高い、請求項20に記載の車載セキュリティ保護システム。
(請求項22)
前記第1セキュリティ保護モジュールがデバイス識別子構成エンジンDICEを有し、
前記第2セキュリティ保護モジュールが、トラステッドプラットフォームモジュールシン、埋め込み型セキュアエレメントeSE、物理的に分離されたセキュリティプロセッサSPシステムを含むチップ、または物理的に分離されたハードウェアセキュリティモジュールHSMを含むチップを有し、
前記第3セキュリティ保護モジュールが、トラステッドプラットフォームモジュールリッチ、eSE、物理的に分離されたSPシステムを含むチップ、または物理的に分離されたHSMを含むチップを有する、請求項20または21に記載の車載セキュリティ保護システム。
(請求項23)
前記ドメインコントローラがECUリストを格納し、前記ECUが前記リスト内のECUである、請求項20から22のいずれか一項に記載の車載セキュリティ保護システム。
(請求項24)
前記ECUの前記ファームウェアダイジェストが前記ECUのファームウェアを第1ダイジェスト関数に従って計算することにより求められる、請求項20から23のいずれか一項に記載の車載セキュリティ保護システム。
(請求項25)
前記車載セキュリティ保護システムがさらに前記サーバを備え、
前記サーバが、前記第3署名情報、前記ゲートウェイの前記公開鍵、および前記ECUの前記ファームウェアダイジェストを前記ゲートウェイから受信するように構成されており、
前記サーバがさらに、前記ゲートウェイの前記公開鍵を用いて前記第3署名情報に対して検証を行うように構成されており、
前記サーバがさらに、前記第3署名情報が検証された場合、前記ゲートウェイに第1応答情報を送信するように構成されており、前記第1応答情報が前記ECUを起動することを示すのに用いられ、
前記ゲートウェイがさらに、前記第1応答情報を前記サーバから受信するように構成されており、
前記ゲートウェイがさらに、前記第1応答情報を前記ドメインコントローラに送信するように構成されており、
前記ドメインコントローラがさらに、前記第1応答情報を前記ゲートウェイから受信するように構成されており、
前記ドメインコントローラがさらに、前記第1応答情報を前記ECUに送信するように構成されており、
前記ECUがさらに、前記第1応答情報を前記ドメインコントローラから受信するように構成されている、請求項20から24のいずれか一項に記載の車載セキュリティ保護システム。
(請求項26)
コンピュータ記憶媒体であって、前記コンピュータ可読記憶媒体がプログラム命令を格納し、前記プログラム命令が実行されると、請求項4から8のいずれか一項に記載の車載システムにおけるセキュリティ保護方法が実施される、コンピュータ記憶媒体。
(請求項27)
コンピュータ記憶媒体であって、前記コンピュータ可読記憶媒体がプログラム命令を格納し、前記プログラム命令が実行されると、請求項9から14のいずれか一項に記載の車載システムにおけるセキュリティ保護方法が実施される、コンピュータ記憶媒体。
図1(a)】
図1(b)】
図2
図3A
図3B
図3C
図4A
図4B
図5
図6
図7
図8
図9
図10
図11
【国際調査報告】
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.