▶ ハーマン インターナショナル インダストリーズ インコーポレイテッドの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-07-17
(54)【発明の名称】安全なキーレスシステムのためのシステム及び方法
(51)【国際特許分類】
H04L 9/32 20060101AFI20240709BHJP
B60R 25/24 20130101ALI20240709BHJP
E05B 49/00 20060101ALI20240709BHJP
【FI】
H04L9/32 200A
H04L9/32 200F
B60R25/24
E05B49/00 J
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2023580869
(86)(22)【出願日】2021-07-01
(85)【翻訳文提出日】2024-01-26
(86)【国際出願番号】 US2021040189
(87)【国際公開番号】W WO2023277921
(87)【国際公開日】2023-01-05
(81)【指定国・地域】
(71)【出願人】
【識別番号】592051453
【氏名又は名称】ハーマン インターナショナル インダストリーズ インコーポレイテッド
(74)【代理人】
【識別番号】100078282
【弁理士】
【氏名又は名称】山本 秀策
(74)【代理人】
【識別番号】100113413
【弁理士】
【氏名又は名称】森下 夏樹
(74)【代理人】
【識別番号】100181674
【弁理士】
【氏名又は名称】飯田 貴敏
(74)【代理人】
【識別番号】100181641
【弁理士】
【氏名又は名称】石川 大輔
(74)【代理人】
【識別番号】230113332
【弁護士】
【氏名又は名称】山本 健策
(72)【発明者】
【氏名】アンサリ, アサドゥッラー
(72)【発明者】
【氏名】ヘマンタラジャ, シャラト ヤーダブ ドダメイン
【テーマコード(参考)】
2E250
【Fターム(参考)】
2E250AA21
2E250BB04
2E250DD06
2E250HH01
2E250JJ03
2E250KK02
2E250LL01
(57)【要約】
キーレスシステムを介したサイバー攻撃から車両アクセスを守るための方法及びシステムが提供される。実施形態では、車両キーレスエントリシステムのための方法が提供され、方法は、車両にて、識別(ID)コード部分を有するキーレスエントリ送信を処理することと、車両の秘密鍵を使用してキーレスエントリ送信のIDコード部分を復号化することと、復号化されたIDコード部分が車両の複数の所定機能コードのうちの1つと一致するかどうかを検出することと、復号化されたIDコード部分と一致する車両の機能コードに対応する車両の機能を実行することと、を含む。
【選択図】図1
【選択図】図1
【特許請求の範囲】
【請求項1】
車両キーレスエントリシステムのための方法であって、車両にて、識別(ID)コード部分を有するキーレスエントリ送信を処理することと、
前記車両の秘密鍵を使用して、前記キーレスエントリ送信の前記IDコード部分を復号化することと、
前記復号化されたIDコード部分が前記車両の複数の所定機能コードのうちの1つと一致するかどうかを検出することと、
前記復号化されたIDコード部分と一致する前記車両の機能コードに対応する前記車両の機能を実行することと、
を含む、前記方法。
【請求項2】
前記車両の前記秘密鍵は、前記車両の再生禁止メモリブロック(RPMB)に格納される、請求項1に記載の方法。
【請求項3】
前記IDコード部分の前記復号化は、前記車両の二次電源により電力供給される前記車両の電子制御ユニット(ECU)で行われる、請求項1に記載の方法。
【請求項4】
前記ECUに接続された無線周波数(RF)送受信器を介して、前記キーレスエントリ送信を受信すること、を含む、請求項3に記載の方法。
【請求項5】
前記キーレスエントリ送信は、デジタル署名部分を有し、前記IDコード部分と、前記車両のキーレスエントリデバイスの所定の公開鍵とに基づいて、前記キーレスエントリ送信の前記デジタル署名部分を検証すること、
を含む、請求項1に記載の方法。
【請求項6】
前記キーレスエントリデバイスの前記公開鍵は、前記車両の書き込み禁止メモリに格納される、請求項5に記載の方法。
【請求項7】
前記車両の複数の機能に対応する前記複数の所定機能コードは、前記車両の真の乱数生成器(TRNG)により生成され、前記車両と前記キーレスエントリデバイスの両方に割り当てられる、請求項5に記載の方法。
【請求項8】
前記車両キーレスエントリシステムは、リモートキーレスエントリ(RKE)システム及びパッシブキーレスエントリ(PKE)システムのうちの1つである、請求項1に記載の方法。
【請求項9】
前記車両の前記機能は、ドア施錠機能、ドア解錠機能、車両始動機能、及び窓制御機能のうちの1つである、請求項1に記載の方法。
【請求項10】
車両キーレスエントリシステムのための方法であって、車両のキーレスエントリデバイスにて、前記車両の複数の機能のうち、選択された機能に対する要求を検出することと、
前記複数の機能に対応する前記車両の複数の所定機能コードのうち、前記選択された機能に対応する機能コードを識別することと、
前記車両の所定の公開鍵を使用して、前記車両の前記機能コードを識別(ID)コード部分に暗号化することと、
前記キーレスエントリデバイスにて、前記IDコード部分を有するキーレスエントリ送信を生成することと、
を含む、前記方法。
【請求項11】
前記キーレスエントリ送信は、デジタル署名部分を有し、前記IDコード部分と、前記キーレスエントリデバイスの秘密鍵とに基づいて、前記デジタル署名部分を生成すること、
を含む、請求項10に記載の方法。
【請求項12】
前記キーレスエントリデバイスの前記秘密鍵は、前記キーレスエントリデバイスの再生禁止メモリブロック(RPMB)に格納される、請求項11に記載の方法。
【請求項13】
前記車両の前記公開鍵は、前記キーレスエントリデバイスの書き込み禁止メモリに格納される、請求項10に記載の方法。
【請求項14】
前記キーレスエントリデバイスの無線周波数(RF)送受信器を介して、前記キーレスエントリ送信を送信すること、を含む、請求項10に記載の方法。
【請求項15】
前記車両の前記複数の機能に対応する前記複数の所定機能コードは、前記車両の真の乱数生成器(TRNG)により生成され、前記キーレスエントリデバイスと前記車両の両方に割り当てられる、請求項10に記載の方法。
【請求項16】
前記車両キーレスエントリシステムは、リモートキーレスエントリ(RKE)システム及びパッシブキーレスエントリ(PKE)システムのうちの1つである、請求項10に記載の方法。
【請求項17】
前記機能コードは、ドア施錠機能、ドア解錠機能、車両始動機能、及び窓制御機能のうちの1つに対応する、請求項10に記載の方法。
【請求項18】
車両と、前記車両のキーレスエントリデバイスと、
を備えた車両キーレスエントリシステムであって、
前記キーレスエントリデバイスは、第1の無線周波数(RF)回路と、第1の非一時的メモリに実行可能命令を格納した1つ以上の第1のプロセッサと、を含み、前記実行可能命令が実行されると、
前記車両の複数の機能のうちの1つの機能に対する要求を検出することと、
前記車両の前記要求された機能に対応する機能コードを識別することであって、前記機能コードは、前記複数の機能にそれぞれ対応する複数の機能コードのうちの1つである、前記識別することと、
前記車両の公開鍵を使用して、前記機能コードを暗号化することと、
前記第1のRF回路を介して、キーレスエントリ送信を送信することと、
を前記1つ以上の第1のプロセッサに実行させ、
前記キーレスエントリ送信が保有するIDコード部分は、前記暗号化された機能コードを含み、
前記車両は、第2のRF回路と、第2の非一時的メモリに実行可能命令を格納した1つ以上の第2のプロセッサと、を含み、前記実行可能命令が実行されると、
前記第2のRF回路を介して前記キーレスエントリ送信を受信することと、
前記車両の秘密鍵を使用して、前記キーレスエントリ送信が有する前記IDコード部分を復号化することと、
前記復号化されたIDコード部分が前記車両の前記複数の機能コードのうちのいずれかと一致するかどうかを検出することと、
前記復号化されたIDコード部分と一致する前記車両の前記機能コードに対応する前記車両の前記機能を実行することと、
を前記1つ以上の第2のプロセッサに実行させる、
前記車両キーレスエントリシステム。
【請求項19】
前記キーレスエントリ送信は、デジタル署名部分を有し、前記第1の非一時的メモリに格納された前記実行可能命令は、実行されるとさらに、前記暗号化された機能コード及び前記キーレスエントリデバイスの秘密鍵に基づいて、前記デジタル署名部分を生成することを、前記1つ以上の第1のプロセッサに実行させ、
前記第2の非一時的メモリに格納された前記実行可能命令は、実行されるとさらに、前記復号化されたIDコード部分及び前記キーレスエントリデバイスの公開鍵に基づいて、前記デジタル署名部分を検証することを、前記1つ以上の第2のプロセッサに実行させる、
請求項18に記載の車両キーレスエントリシステム。
【請求項20】
前記車両は、前記第2のRF回路、前記第2の非一時的メモリ、及び前記1つ以上の第2のプロセッサに接続された二次電源を含み、前記二次電源は、少なくとも前記車両の一次電源から電力を利用できないときに、電力を提供する、請求項18に記載の車両キーレスエントリシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、概して、車両のキーレスシステムに関し、より具体的には、キーレスシステムを介した車両アクセスをサイバー攻撃から守ることに関する。
【背景技術】
【0002】
高度運転者支援システムなど、現代の車両の先進機能が増えた結果、多数の先進技術コンポーネントが追加された。追加コンポーネントは、既存の車両機能を向上させると同時に、セキュリティの脆弱性ももたらし得る。無線周波数(RF)信号(例えば固定周波数の信号)を使用して運転者と車両との間の車両制御機能の送受信を行うキーレスエントリシステムは、最も機密性の高いコンポーネントのうちに含まれる。リモートキーレスエントリ(RKE)システム及びパッシブキーレスエントリ(PKE)システムは、車のドアを解錠する従来の物理的な鍵の方法に置き換わるだけでなく、エンジンの始動、盗難防止警報のオン及びオフ、ならびに車内温度制御の開始などの追加機能も提供する。
【0003】
自動運転モジュール、無線通信モジュール、車両に持ち込まれたデバイス、及び接続されたインフラストラクチャなどに関するセキュリティの脆弱性は、システムのコア機能にアクセスするためのブリッジポイントとして利用され得る。接続された車両及び車両とあらゆるモノ(V2X)通信のような最新技術の到来により、車両は、密閉された箱のシステムではなくなり、多方向に接続されたシステムとなった。RKEシステムまたはPKEシステムを介した車両制御機能の送受信は、車両の機能を遠隔制御するこれらの技術内の弱点に依存したセキュリティ攻撃(例えばジャミング攻撃、スプーフィング攻撃、及びスキャン攻撃など)を介してサイバー攻撃者により、セキュリティが破られ得る。ゆえに、より安全な暗号ベースRF通信機構は、有利なことに、サイバー攻撃の阻止を助長し、安全な車両アクセスを確保し得る。
【0004】
現在のデジタルキー規格(Digital Key Standard)では、キー追跡(例えば多数のキー及び対応ユーザ及び対応ユーザの権利を認証すること及び/または管理すること)には、暗号化が使用されているが、車両の機能を遠隔から実行するために使用するコマンドの送信には、暗号化は使用されていない。複数の機能に関して、車両への共通アクセス権がキーレスエントリデバイスに与えられ得、これにより、キーレスエントリデバイスが認証された後(例えばペアリングされた後)、ユーザ(または侵入者)は複数の機能へアクセスすることができる。さらに、複数の機能に対応する個々のコマンドは、製造業者により事前に確立され、複数の車両間で共有され得、侵入者は、複数の車両で使用され得るコマンドを知ることができる。その結果、コマンドのセキュリティは損なわれ、サイバー攻撃中に別のコマンドに変換される場合がある。例えば、車両にアクセスできるように、施錠コマンドが解錠コマンドに変換され得る。
【0005】
デジタルキー規格外のセキュリティ対策が講じられ得る。しかし、追加のセキュリティ対策は、車両のテレマティクスシステムに依存し得、これは車両によって異なり得る。さらに、デジタルキー規格を実装するための十分に複雑なインフラストラクチャを、すべての相手先商標製品製造会社(OEM)が有さない場合がある。
【発明の概要】
【課題を解決するための手段】
【0006】
様々な実施形態では、前述の技術的課題は、車両キーレスエントリシステムの方法により対処され得、方法は、車両にて、識別(ID)コードを有するキーレスエントリ送信を処理することと、車両の秘密鍵を使用してキーレスエントリ送信のIDコードを復号化することと、復号化されたIDコードが車両の複数の所定機能コードのうちの1つと一致するかどうかを検出することと、復号化されたIDコードと一致する車両の機能コードに対応する車両の機能を実行することと、を含む。車両ドアの開閉、車両窓の開閉、エンジン点火、及び車両警報制御など、複数の車両機能は、複数の機能コードにそれぞれ対応し得、個々の車両機能はしたがって、独自の異なる機能コードに対応し得る。キーレスエントリシステムは、リモートキーレスエントリ(RKE)システムまたはパッシブキーレスエントリ(PKE)システムであり得、機能コードは、顧客識別デバイス(CID)などのキーレスエントリデバイスにより暗号化され、デジタル署名を有する車両のRF受信器に、RF信号を介して送信され得る。デジタル署名の認証及び検証は、車両の電子制御ユニット(ECU)、例えばデジタル運転席ECUのコントローラにより、行われ得る。デジタル署名の検証が成功し、機能コードの復号化が成功すると、機能コードに基づいて、キーレスエントリシステムの機能がトリガーされ得る。ECU(例えばデジタル運転席ECU)から1つ以上の制御ECU(例えば本体ECU、及びエンジンECUなど)へ、コントローラエリアネットワーク(CAN)バスなどの1つ以上のバスを介して、作動信号が渡され、所望の機能が実行され得る。
【0007】
このようにして、車両へのアクセス権は、サポートされる個々の機能ごとに付与され得、認証ステップは、第1のコンタクト(例えばペアリング)時の1回だけではなく、キーレスエントリデバイスのキーが選択されるたびに生じる。さらに、各車両の各機能には、一意的な機能コードが割り当てられ、これにより、第1の車両から知られた機能コードが第2の車両への攻撃に使用されることが阻止される。例えば、キーレスエントリデバイスにより発行されたコマンドが、車両へのアクセスを得るために侵入者により別のコマンドに変換されることはない。よって、車両のドア及び/または窓の開閉、エンジンの点火または始動、警報の制御、及び他の車両機能に関連して、適切なセキュリティ機能が実施され得、これにより、攻撃者が車両のコンポーネント(例えばマルチメディアラジオシステム)の弱点を利用することは阻止され、車両内部の完全性が保護される。本明細書に開示されるキーレスエントリシステム及び方法のさらなる利点として、これらのシステム及び方法は、既存の車両インフラストラクチャまたはテレマティクスシステムに依存しなくてもよく、製造中のキープロビジョニングにより、システムに存在しないハードウェアベースのセキュリティが提供され得、デプロイ後に設定可能であることが挙げられる。様々な実施形態では、デジタルキー規格に準拠する技術は、本明細書に開示される機構及び方法により、より完全なデジタルキーソリューションに有利に拡張され得る。
【0008】
上記の発明の概要は、選択された概念を簡潔な形式で紹介するために提供されており、発明を実施するための形態において、概念はさらに説明されることを、理解されたい。発明の概要は、特許請求される発明の主題の主要な特徴または本質的な特徴を特定することを意図するものではなく、特許請求される発明の主題の範囲は、発明を実施するための形態の後に続く特許請求の範囲により、一意的に定義される。さらに、特許請求される発明の主題は、上記または本開示の任意の部分に記載される任意の欠点を解決する実施態様に、限定されることはない。
【0009】
本開示は、添付図面を参照しながら、非限定的な実施形態の下記の説明を読むことにより、より良く理解され得る。
【図面の簡単な説明】
【0010】
【図1】本開示の1つ以上の実施形態による、車両の安全なキーレスエントリシステムの概略ブロック図である。
【図2A】本開示の1つ以上の実施形態による、車両と、車両とペアリングされた顧客識別デバイス(CID)とを含むキーレスエントリシステムを構成するためのシステムの概略ブロック図である。
【図2C】本開示の1つ以上の実施形態による、IDコード部分とデジタル署名部分とを含む暗号メッセージを示す概略ブロック図である。
【図3】本開示の1つ以上の実施形態による、作動の前にキーレスエントリシステムを構成するための例示的な手順を示すフローチャートである。
【図4】本開示の1つ以上の実施形態による、キーレスエントリシステムのCIDと車両との間で暗号化されたデータを送信するための例示的な手順を示すフローチャートである。
【図5】本開示の1つ以上の実施形態による、CIDからの送信を検証及び復号化するための例示的なキーレスエントリ手順を示すフローチャートである。
【発明を実施するための形態】
【0011】
以下の詳細説明は、車両の安全なキーレスエントリシステムに関する。車両は、図1のキーレスエントリシステムなど、安全なキーレスエントリシステムを有し得る。車両の運転者は、本明細書では顧客識別デバイス(CID)とも称される車両のキーレスエントリデバイス(例えばキーフォブ)を有し得、これは、図2Aの構成システムを参照して説明されるように、車両とペアリングされ、車両と共に作動するように構成され得る。図3の方法などの手順に従って、CID及び車両に対して、車両の機能に対応する機能コードのセット、及び公開鍵と秘密鍵のセットが生成され得る。
【0012】
セキュアキーレスエントリシステムの使用中、車両の所望の機能を実行するために、CIDのキー(例えばキーフォブ上のボタン)が選択され得、図2Cを参照して説明されるように生成された暗号メッセージを介して、図2Bの機能図に示されるようにCIDから車両へ情報が送信され得る。暗号メッセージは、車両の所望の機能に対応する暗号化された機能コードであり得るIDコードと、CIDのデジタル署名とを含み得る。CIDは、図4の方法などの手順を介して、暗号メッセージを有する無線周波数(RF)信号を車両に送信し得る。
【0013】
次に、RF信号は、図5の方法などの手順を介して、RF信号及び暗号メッセージを処理し得る車両の電子制御ユニット(ECU)により(デジタル運転席ECUなどにより)、受信され得る。CIDを認証するためにデジタル署名が検証され得、機能コードを復元するためにIDコードが復号化され得る。次に、デジタル運転席ECUは、機能コードに基づいて、車両の所望の機能(例えば車両のドアの解錠、車両のエンジンの始動、車両の1つ以上の窓の開放、及び車両のトランクの開放など)を実行し得る。
【0014】
ここで図1を参照すると、CID140と無線通信する車両102を含むキーレスエントリシステム100が示され、これは、キーレスエントリデバイスと称され得る。キーレスエントリシステム100は、リモートキーレスエントリ(RKE)システム、またはパッシブキーレスエントリ(PKE)システム、または本明細書に開示されるキーレスエントリシステムのうちのいずれかのような異なるタイプのキーレスエントリシステムであり得る。CID140は、車両102の運転者により携行されるハンドヘルドデバイス(例えばキーフォブ)であり得る。いくつかの実施形態では、CID140は、モバイルアプリケーション、または様々なタイプもしくはモードのユーザインターフェースのうちのいずれかを含み得る。
【0015】
車両102は、入出力コントローラ(IOC)106を介してキーレスエントリシステム100の動作を制御し得るデジタル運転席ECU104を含み得る。いくつかの実施形態では、ECU104は、デジタル運転席ECUでなくてもよく、車両の別のECUであってもよい。デジタル運転席ECU104は、プロセッサ107を含み得、プロセッサ107は、デジタル運転席ECU104のメモリ109に格納された命令を実行して、キーレスエントリシステム100の部分を実施し得る。いくつかの実施形態では、デジタル運転席ECU104は、バッテリ108などの蓄電デバイスにより電力供給され得る。バッテリ108は、専用ECUバッテリであり得、すなわちバッテリ108は、(例えばIOC用の)指定バッテリであり得、これにより、車両の他の電源を介して電力が利用可能でない場合も、命令を実行するための電力が利用可能となり得る。いくつかの実施形態では、バッテリ108は、エンジン134のベルトに接続され、エンジン動作中に、車両102のフロントエンドアクセサリ駆動(FEAD)システム(図1には図示せず)を介して、充電状態に維持され得る。様々な実施形態では、バッテリ108は、エンジン134が稼働していないとき及び/または車両102のメインバッテリが充電されていないとき、動作するのに十分な電力をキーレスエントリシステム100に供給し得る。
【0016】
いくつかの実施形態では、車両102とCID140との間の無線通信は、双方向通信をサポートするRFリンクを介して確立され得、これにより、RF信号は、CID140から車両102に送信され得、及び/またはRF信号は、車両102からCID140に送信され得る。CID140は、RFチップ142及びバッテリ144を含み得、これにより、CID140と車両102との間の通信及び相互運用のための実行可能命令を処理することが可能となり得る。
【0017】
CID140が動作するRF範囲は、製造業者間で異なり得る。さらに、車両102のコーナーピラー及び/またはRF範囲を低減するように作用し得る他の物理的物体がCID140を遮断することに起因して、車両102に到達する信号の能力は変わり得る。いくつかの実施形態では、CID140は、315メガヘルツ(MHz)の周波数で送信し得る。CID140のコンポーネントは、簡略化目的で図1から省略されているため、CID140の例示的な構成は、図2Aを参照して下記でより詳しく説明される。
【0018】
車両102は、CID140から送信されたキーレスエントリ送信(例えばRF信号を介して)をアンテナ118を介して受信し得るRF受信器及び/または送信器110を含み得る。(受信器及び/または送信器は、本明細書では送受信器と称され得る。)CID140のRFチップ142から車両102のRF送受信器110に送られるRF信号は、暗号化されたデジタルデータを含み得る。
【0019】
CID140上でキー(例えばボタン)が押下されると、CID140から車両102に暗号メッセージが送信され得る。暗号メッセージは、車両102の機能コードに基づき得る識別(ID)コードを含み得る。様々な実施形態では、IDコードは、暗号化された機能コードであり得る。暗号メッセージは、車両102及び/またはCID140の様々な他の識別情報も含み得る。IDコードの基となる機能コードは、車両を解錠するまたは施錠する、車両の窓を開ける、車両のエンジン134を始動させる、車両のパニック信号を起動する、車両の盗難検出システムを起動するまたは停止するためのリモートアクセス機能、または別の機能など、車両102の機能を作動させる、あるいはトリガーするためのものであり得る。
【0020】
いくつかの実施形態では、機能コードは、押下されるキーに特有であり得る。例えば、第1のキーが車両102を解錠し得、第2のキーが車両102を施錠し得、第3のキーがエンジン134を起動し得るなど、以下同様である。別の実施例では、単一のキーを使用して、機能コードに基づく複数の暗号メッセージが送信され得る。例えば、施錠/解錠キーにより、車両102を施錠するための第1の機能コードに基づく第1の暗号メッセージを送信することと、車両102を解錠するための第2の機能コードに基づく第2の暗号メッセージを送信することとが、切り替えられ得る。さらに別の実施例では、キーの組み合わせを使用して、単一の機能コードを有する暗号メッセージが送信され得る。例えば、運転者は、第1のキーを押下して、第1の機能コードに基づく暗号メッセージを送信し得、第2のキーを押下して、第2の機能コードに基づく暗号メッセージを送信し得、第1のキー及び第2のキーを同時にまたは特定の順序で押下して、第3の機能コードに基づく暗号メッセージを送信し得る。本明細書で説明される実施例は、例示目的であり、本開示の範囲から逸脱することなく、異なるキーもしくは追加のキー及び/またはキーの組み合わせが使用されてもよいことを、理解されたい。
【0021】
上記では、RFシグナリングを介した無線通信に関与する実施形態が説明されたが、他の種類の無線通信が使用されてもよい。例えば、車両102とCID140との間の無線通信は、赤外線(IR)リンクを介して確立されてもよい。
【0022】
様々な実施形態では、キーレスエントリシステムは、運転者がキーを押下することなくCID140から車両102に暗号メッセージが送信され得るパッシブキーレス(PK)システムのタイプである。いくつかの実施形態では、PKシステムは、運転者がキーを押下することなくCID140から車両102に暗号メッセージ(例えば車両102を解錠及び/または施錠するための機能コードに基づくIDコードを含む)が送信され得る、PKEシステムであり得る。いくつかの実施形態では、PKシステムは、運転者がキーを押下することなくCID140から車両102に、エンジンを始動させるための機能コードに基づくIDコードを含む暗号メッセージが送信され得る、パッシブキーレススタート(PKS)システムであり得る。いくつかの実施形態では、PKシステムは、運転者がキーを押下することなくCID140から車両102に、車両102を解錠及び/または施錠するための暗号メッセージならびに/あるいはエンジンを始動させるための暗号メッセージの両方が送信され得る、パッシブキーレスエントリ及びスタート(PKES)システムであり得る。
【0023】
PKESシステムにより、運転者は、車両102の所定の閾値距離内にCID(例えばキーフォブ)を持ち込むことで、自分の車両を解錠して始動させることが可能となる。様々な実施形態では、PKESシステムは、チャレンジレスポンスベースのセキュリティプロトコルを車両102とCID140との間に使用し得、車両102は、CID140を定期的にスキャンして、CID140の接近度を特定する。車両102の閾値距離(例えば3フィート)内でCID140が検出された場合、車両102は、CID140に対するチャレンジ(例えばデジタル問い合わせ)、及び車両102のIDを送信し、CID140からのレスポンスを待つ。車両102がCID140から、IDコードを有する暗号メッセージを含む期待レスポンスを受信した場合、IDコードが復号化され得(下記でさらに論述される)、これにより復元された任意の有効な機能コードを使用して、車両102の適切なリモートアクセス機能(例えば1つ以上のドアの解錠、及びエンジンの始動など)がトリガーされ得る。
【0024】
PKシステム及びRKEシステムは両方とも、セキュリティシステムを攻撃する電子デバイスを構築する能力及びスキルを有する侵入者による様々なタイプのサイバー攻撃に対して、脆弱であり得る。例えば、サイバー攻撃は、スキャン攻撃であり得、侵入者は、一致するコードが見つかるまで、RF送受信器110に様々なコードを繰り返し送信する。別の例として、サイバー攻撃は、再生攻撃であり得、攻撃者は、車両に送信された無線メッセージを記録し、後で運転者がいないときに無線メッセージを再生する。別の例では、サイバー攻撃は、2人窃盗犯攻撃であり得、第1の増幅器を有する第1の窃盗犯は、車両102のドアハンドルを引き、同時に第2の増幅器を有する第2の窃盗犯は、運転者の隣に立ち、CID140に送信される問い合わせメッセージを増幅させて、運転者が車両102の隣にいるかのように見せ掛ける。
【0025】
さらなる例では、サイバー攻撃は、チャレンジ順方向予測攻撃であり得、第1のステップでは、侵入者は、車両102のドアハンドルが引かれたときに車両102から送信される1つ以上の生成された問い合わせメッセージを記録する。いくつかの例では、侵入者は、運転者または別の人がドアハンドルを引いたときに、1つ以上の問い合わせメッセージを記録し得る。第2のステップでは、侵入者は、運転者が車両102から離れたときに車両に接近し、記録した問い合わせメッセージに基づいて、予測される後続の問い合わせメッセージを送信する。CID140からのレスポンスが記録され、これは、その後、車両102を解錠するために使用され得る。さらに別の例では、サイバー攻撃は、RFチップ142と同じ周波数範囲の信号を発するジャマーまたは他のデバイスを使用して、CID140とRF送受信器110との間の通信を阻害する強い干渉を生成し得、これにより、運転者が車両102を離れて、CID上の施錠キー(例えばボタン)を押下しても、運転者が見込んだように車両102が施錠されることはない。CID140から車両102に、暗号化されていない機能コードを送信するのではなく、暗号メッセージでIDコードを送信することにより、上記で論述されたようなサイバー攻撃に対して、車両102は有利に強化または保護され得る。
【0026】
RF送受信器110は、CID140から暗号メッセージを有するRF信号を受信した後、IDコードをIOC106に渡し得、最終的にはIOC106が、適切な対応リモートアクセス機能(例えばドア施錠/解錠、及びエンジン始動など)を実行し得る。このために、IOC106は、図5を参照して下記で詳しく説明されるように、CID140から受信したIDコードを復号化する役割を担う命令を実行し得る(例えば暗号ソフトウェアを介して)。
【0027】
様々な実施形態では、受信された暗号メッセージはさらに、デジタル署名を含み得、これは、CID140の認証を可能にし得る。例えば、IOC106は、IDコードを復号化し、有効な機能コード(例えばドア施錠/解錠、及びエンジン始動など)が復元されたか否かを判定し得る。IOC106はさらに、CID140を認証するためにデジタル署名を検証し得る。IOC106は、同様にデジタル署名が検証されていない限り(よってCID140が認証されていない限り)、復元された機能コードに対応するリモートアクセス機能を実行することを控え得る。様々な実施形態では、デジタル署名を有する暗号メッセージの部分は、IDコードを有する暗号メッセージの部分に追加または連結され得る。
【0028】
IOC106によりIDコードが復号化された後、結果的に得られた復号化されたデータは、車両102の有効な機能コードのリストと比較され得る。復号化されたデータが有効な機能コードのうちのいずれかと一致する場合、IOC106は、復元された機能コードに対応する車両102の機能を実行し得る。所望の機能を実行することは、車両102の他のECUに1つ以上の制御信号を送って、所望の機能を実行するように1つ以上のアクチュエータを作動させることを含み得る。
【0029】
1つ以上の制御信号は、車両102の1つ以上の通信バス120を介して他のECUに送られ得る。様々な実施形態では、1つ以上の通信バス120には、コントローラエリアネットワーク(CAN)バス、1つ以上のECU-ECU通信バス、及び/または異なるタイプのバスが含まれ得る。他のECUには、点火システム132を介してエンジン134の点火を制御し得るエンジンECU124が含まれ得る。他のECUには、車両102の様々な他のシステムに関連する複数のECU及び/またはアクチュエータを制御し得る本体制御モジュール(BCM)122が含まれ得る。例えば、BCM122は、車両102の1つ以上のドアを施錠または解錠するように、1つ以上のドアアクチュエータシステム126を制御し得る。BCM122は、車両102の1つ以上の室内照明を点灯または消灯するように、車両102の室内照明システム128を制御し得る。BCM122は、車両102の1つ以上の窓を開けるまたは閉めるように、車両102の1つ以上の窓アクチュエータシステム130を制御し得る。本明細書で提供される実施例は例示目的であり、本開示の範囲から逸脱することなく、追加のまたは異なるECU及び/またはアクチュエータが(BCM122及び/または車両102の他のECUにより)制御されてもよいことを、理解されたい。
【0030】
キーレスエントリシステム100の全体的な動作の例として、運転者は、車両102に接近すると、車両102の解錠を望み得る。運転者は、車両102とペアリングされたキーレスエントリデバイス(例えばCID140)上で、車両102の1つ以上のドアを解錠する機能コードが割り当てられたキーを押下し得る。運転者が解錠キーを押下したことに応じて、CID140は、機能コードを暗号化してIDコードを生成し得、IDコードは、暗号メッセージのIDコード部分に包含され得る。CID140はさらに、暗号メッセージのデジタル署名部分に含まれ得るデジタル署名を作成し得る。暗号メッセージは、次に、RFシグナリングに変換され得、CID140のRFチップ142により無線で車両102に送信され得る。
【0031】
車両102にて、RF送受信器110は、アンテナ118を介してRFチップ142からRFシグナリングを受信し得、RFシグナリングを暗号メッセージに変換し戻し得る。RF送受信器110は、次に、暗号メッセージを、デジタル運転席ECU104のIOC106に渡し得る。IOC106は、暗号メッセージのデジタル署名を検証することにより、CID140を認証し得る。IOC106は、別途、IDコードを復号化し得、結果得られたデータが車両102の有効な機能コードと一致するかどうかを判定し得る。復号化プロセスにより有効な機能コードが復元された場合、及び暗号メッセージの送信器としてCID140が認証された場合、復元された機能コード(IOC106のソフトウェアによりドア解錠機能にマッピング済みであり得る)は、BCM122に対して、車両102の1つ以上のドアを解錠する信号を生成し得る。信号は、1つ以上のバス120を介して、BCM122に送られ得る。BCM122が車両102の1つ以上のドアを解錠する信号を受信すると、BCM122は、1つ以上のドアを解錠するように、車両102の1つ以上の対応するドアアクチュエータ126を作動させ得る。
【0032】
キーレスエントリシステム100の全体的な動作の別の例として、車両102は、RKEシステムではなくPKEシステムを使用し、これにより、運転者が車両102に接近すると、車両102の1つ以上のドアが自動的に解錠され得る。IOC106は、車両102の閾値近接度内で、車両102とペアリングされたキーレスエントリデバイス(例えばCID140)のスキャンを定期的に(例えば毎秒1回)実行するように、RF送受信器に命令し得る。運転者が車両102に接近して閾値近接度内に入ると、CID140は、車両102の1つ以上のドアを解錠するために、RF送受信器110に対して、デジタル署名部分及びIDコード部分を有する暗号メッセージを自動的に生成し、送信し得る。RF送受信器110は、暗号メッセージをIOC106に渡し得、IOC106は、前述のように、IDコードを復号化して、1つ以上のドアを解錠し得る。
【0033】
キーレスエントリシステム100の全体的な動作のさらに別の例として、運転者が車両102を出るとき、侵入者は車両102の閾値距離(例えば30フィート)内に位置する。運転者が車両102を出ると、運転者は、CID140を使用して車両102の1つ以上のドアを施錠する。同時に、運転者が車両102を出ると、侵入者は、CID140から車両102に送られたRF信号を記録して、再生攻撃を実行する。運転者が車両102の領域を離れた後、侵入者は、記録されたRF信号を車両102に対して再生し直し、車両102へのアクセスを得ることを試み得る。侵入者が記録されたRF信号を再生すると、記録されたRF信号は、車両102のアンテナ118を介して、RF受信器/送信器110により受信される。RF受信器/送信器が記録されたRF信号を受信すると、RF受信器/送信器は、暗号メッセージをIOC106に送り得る。IOC106は、暗号メッセージのデジタル署名を検証することにより、暗号メッセージの送信者の認証を試み得る。
【0034】
いくつかの実施形態では、暗号メッセージは、デジタル署名を有さない場合があり、またはデジタル署名を有する場合でも、IOC106によりデジタル署名は検証され得ない。暗号メッセージのデジタル署名が検証されない結果、記録されたRF信号の送信者は認証され得ない。いくつかの実施形態では、送信者が認証されていない結果、IOC106は、暗号メッセージの送信者を不正ユーザとしてフラグ付けし得、及び/またはIDコードを復号化し得ない(例えば要求拒否の一環として)。いくつかの実施形態では、送信者が認証されていない結果、IOC106は、1つ以上のバス120を介して車両102を解錠する信号をBCM122に送信し得ず、これにより、侵入者は、車両102へのアクセスを拒否され得る。さらに、IOC106は、車両102の潜在的サイバー攻撃を、車両102の1つ以上のログファイルに登録し得る。よって、関連IDコードを暗号化することにより、及び/または暗号メッセージを車両102に送信する前にIDコードをデジタル署名化することにより、侵入者から車両102の内部完全性を保護することができる。
【0035】
ここで図2Aを参照すると、キーレスエントリシステム(図1のキーレスエントリシステム100と実質的に同様であり得る)を構成するための例示的なCID構成システム200のブロック図が示される。CID構成システム200は、車両230と、車両230とペアリングされたCID202とを含み得る(それぞれ図1の車両102及びCID140と実質的に同様であり得る)。いくつかの実施形態では、車両230のデプロイ前に、CID構成システム200は、キーレスエントリシステムの相手先商標製品製造会社(OEM)により実装され得る。
【0036】
CID202は、複数のキーを含み得る。例えば、CID202は、施錠キー204、解錠キー205、エンジン始動キー206、及び窓制御キー207を含み得る。いくつかの実施形態では、キーは、CID202の表面に配置されたボタンであり得、これにより、対応ボタンが押下されたときにキーが選択される。ボタンは、機械的ボタン、キャピラリ検出ボタン、または異なる種類の物理的ボタンであり得、あるいはボタンは、CID202のタッチスクリーン上に配置された仮想ボタンであり得る。ボタンは、アイコン、テキスト、色、または特徴の組み合わせにより識別され得る。別の実施形態では、キーはボタンでなくてもよく、異なるユーザインターフェース(例えばモバイルアプリケーションをサポートするモバイルデバイスの画面)が使用され得る。本明細書で提供される実施例は例示目的であり、本開示の範囲から逸脱することなく、他のまたは異なるユーザインターフェースコンポーネントまたはコンポーネントの組み合わせが含まれてもよいことを、理解されたい。
【0037】
CID202は、CID202のメモリ227に格納された命令を実行し得るプロセッサ228を含み得る。CID202は、RFチップ214を含み得、RFチップ214は、CID202のデータを車両230の対応するRF送受信器232に無線で送信するために、及び/またはRF送受信器232によりCID202に送信されたデータを受信するために、使用され得る。例えば、メモリ227に格納された命令が実行されると、プロセッサは、(例えばドアを開くため、及び車両230のエンジンを始動させるためなど)車両230の運転者により選択されたCID202のキーに関連付けられた機能コードを、車両230に無線で送信することを、RFチップ214に実行させ得る。あるいは、RFチップ214は、CID202が車両230の閾値近接度内にあるかどうかを判定するために定期的に送信されるスキャンメッセージなどのメッセージを、RF送受信器232から受信し得る。RFチップ214、ならびにプロセッサ228及びメモリ227を介したRF信号の送信及び受信は、CID202のバッテリ208により電力供給され得る。
【0038】
CID構成システム200は、真の乱数生成器(TRNG)215を含み得、これは、複数のキーに対して、対応する数のランダム機能コードを生成し得る。例えば、4つのキー(例えば施錠キー204、解錠キー205、エンジン始動キー206、及び窓制御キー207)がある場合、TRNG215は、第1のランダム機能コード216、第2のランダム機能コード217、第3のランダム機能コード218、及び第4のランダム機能コード219を生成し得る。いくつかの実施形態では、キーのそれぞれに対するランダム機能コードは、車両230のデプロイ前に、一度OEMにより生成される。いくつかの実施形態では、例えば、CID202を紛失した場合、ユーザがCID202を変更したい場合、OEMがランダム機能コードを更新したい場合、または別の理由で、ランダム機能コードは、CID202の有効期間中に再生成され得る。さらに別の実施形態では、キーのそれぞれに対するランダム機能コードは、例えばセキュリティを向上させるために、定期的に再生成され得る。
【0039】
CID構成システム200は、マッピング機能220を含み得る。TRNG215によりランダム機能コードが生成されると、マッピング機能220は、ランダム機能コードを対応キーに割り当て得る。例えば、第1のランダム機能コード216は、施錠キー204に割り当てられ得、第1のランダム機能コード216は、車両230を施錠するための車両機能に対応し得、第2のランダム機能コード217は、解錠キー205に割り当てられ得、第2のランダム機能コード217は、車両230を解錠するための車両機能に対応し得、第3のランダム機能コード218は、エンジン始動キー206に割り当てられ得、第3のランダム機能コード218は、車両230を始動させるための車両機能に対応し得、第4のランダム機能コード219は、窓制御キー207に割り当てられ得、第4のランダム機能コード219は、車両230の1つ以上の窓を開くための車両機能に対応し得る。
【0040】
機能コードに対するCID202のキーのマッピングは、次に、メモリ227内など、CID202内に格納され得る。いくつかの実施形態では、機能コードに対するCID202のキーのマッピングは、メモリ227の書き込み禁止メモリブロック210に格納され得る。デプロイ後、機能コードに対するキーのマッピングは、プロセッサ228によりアクセスされ、処理され得る。
【0041】
同様に、車両230の機能に対する機能コードのマッピングは、車両230のメモリに格納され得る。いくつかの実施形態では、機能に対する機能コードのマッピングは、ECU231のメモリ236(それぞれデジタル運転席ECU104及びメモリ109と実質的に同様であり得る)に格納され得る。いくつかの実施形態では、車両230の機能に対する機能コードのマッピングは、メモリ236の書き込み禁止メモリブロック238内に格納され得る。図2Bを参照して下記でより詳しく説明されるように、デプロイ後、機能に対する機能コードのマッピングは、車両230のIOC234(例えば図1のキーレスエントリシステム100のIOC106)により、アクセスされ、処理され得る。機能コードマッピングの処理は、ECU231のバッテリ232により電力供給され得る。
【0042】
CID202のメモリ227は、機能コードを車両230に送信する前に機能コードを暗号化することを、命令実行時にCID202に実行させる命令を含み得る。同様に、車両230のメモリ236は、CID202から受信した機能コードを復号化することを、命令実行時に車両230に実行させる命令を含み得る。
【0043】
様々な実施形態では、機能コードは、公開鍵暗号化技術を使用して暗号化及び復号化され得、公開鍵及び秘密鍵のペアは、鍵生成器222によりCID202及び車両230に割り当てられる。したがって、様々な実施形態では、鍵生成器222は、CID202に対し、CID秘密鍵225(再生禁止メモリブロック(RPMB)212など、CID202のメモリ227の安全な記憶場所に格納され得る)と、対応するCID公開鍵224(車両230の書き込み禁止メモリ238に格納され得る)とを、割り当て得る。同様に、鍵生成器222は、車両230に対し、車両秘密鍵226(RPMB240など、車両230のメモリ236の安全な記憶場所に格納され得る)と、対応する車両公開鍵223(CID202のメモリ227の書き込み禁止メモリ210に格納され得る)とを、割り当て得る。いくつかの実施形態では、鍵生成器222は、CID202及び/または車両230の製造業者により運用され得る。公開鍵及び秘密鍵のペアを使用した、CID202における機能コードの暗号化及びデジタル署名化、ならびに車両230における復号化及び署名検証は、それぞれ図4及び図5を参照して下記でより詳しく説明される。
【0044】
図3を参照すると、例示的な方法300は、車両のデプロイ前に、キーレスエントリシステム(例えばキーレスエントリシステム100)のCID(例えばCID202)及び車両(例えば車両230)を構成するための高レベル手順を示す。いくつかの実施形態では、方法300は、キーレスエントリシステムの製造業者により運用されるCID構成システム(例えばCID構成システム200)により実行され得る。よって、方法300の1つ以上のパートは、図2Aの1つ以上の要素を参照して実行され得る。
【0045】
方法300は、パート302から開始し、パート302では、方法300は、TRNG(例えばTRNG215)を使用して一意的ランダム機能コードのセットを生成することを含み、一意的ランダム機能コードのセットの各ランダム機能コードは、キーレスエントリシステムに関連する機能に対応する。よって、キーレスエントリシステムに関連する各機能は、CIDのキーに対応し得る。例えば、図2Aに示されるキーレスエントリシステムは、4つのキーに対応する4つの機能を提供し、それらは、施錠キー(例えば施錠キー204)に関連付けられた施錠機能、解錠キー(例えば解錠キー205)に関連付けられた解錠機能、エンジン始動キー(例えばエンジン始動キー206)に関連付けられたエンジン始動機能、及び窓制御キー(例えば窓制御キー207)に関連付けられた窓制御機能である。4つの機能のそれぞれに対して、TRNGは、一意的ランダム機能コードを生成し得、これらは、別個のマッピング機能により、対応する機能に割り当てられ得る。
【0046】
パート304では、方法300は、生成された一意的ランダム機能コードを、対応するキーレスエントリシステム機能にマッピングすることを含む。いくつかの実施形態では、CID構成システムのマッピング機能(例えばマッピング機能220)が、マッピングを実行し得る。例えば、マッピング機能は、第1のランダム機能コード(施錠キー用)を車両の施錠機能にマッピングし得、第2のランダム機能コード(解錠キー用)を車両の解錠機能にマッピングし、第3のランダム機能コード(エンジン始動キー用)を車両のエンジン始動機能にマッピングし、第4のランダム機能コード(窓制御キー用)を車両の窓制御機能にマッピングし得る。このようにして、一意的ランダム識別子が、4つのキーの各キーに割り当てられ得、一意的ランダム識別子は、4つのキーのうち(例えば車両の運転者により)選択されたキーを識別するために、車両により使用され得る。
【0047】
パート306では、方法300は、CIDと車両の両方に機能コードを格納することを含む。いくつかの実施形態では、機能コードは、車両のECUの書き込み禁止メモリ(例えば車両230の書き込み禁止メモリ238)に格納され、機能コードは、車両のIOC(例えば図2AのIOC234)によりアクセスされ得る。同様に、機能コードは、CIDの書き込み禁止メモリ(例えばCID202の書き込み禁止メモリ210)に格納され得、CIDの対応キーが運転者により選択されると、CIDのプロセッサは機能コードを取得し得る。その後、運転者がCIDの解錠キーを選択した場合、CIDのプロセッサは、CIDの解錠キー及び車両の解錠機能に対応する機能コードを取得し得、運転者がCIDのエンジン始動キーを選択した場合、CIDのプロセッサは、CIDのエンジン始動キー及び車両のエンジン始動機能に対応する機能コードを取得し得、以下同様である。図4を参照して下記でより詳しく説明されるように、プロセッサにより取得された機能コードは、対応する機能をトリガーするために、車両に送信され得る。
【0048】
パート308では、方法300は、車両とCIDの両方の公開鍵及び秘密鍵を生成することを含む。いくつかの実施形態では、CID構成システムの鍵生成器(例えば鍵生成器222)は、選択された公開鍵暗号システムに従って、公開鍵及び秘密鍵を生成する。公開鍵暗号システムは、公開鍵/秘密鍵に依存した様々な暗号システムのうちの1つであり得、例えば、楕円曲線暗号(Elliptic Curve Cryptography)システム、エルガマル(ElGamal)暗号システム、リベスト-シャミア-エーデルマン(Rivest-Shamir-Adelman、RSA)暗号システム、パイエ(Paillier)暗号システム、クレーマ-シュープ(Cramer-Shoup)暗号システム、YAK認証済み鍵共有プロトコル、NTRU暗号システム、またはマックエリス(McEliece)暗号システムなどが挙げられる。
【0049】
いくつかの実施形態では、公開鍵及び秘密鍵は、素因数分解を使用してペアとして一緒に生成された数字であり得、秘密鍵及び公開鍵は、素数の組合せに1つ以上の動作が行われることに基づく。(例えば車両の)公開鍵で暗号化された暗号メッセージは、(車両の)対応する秘密鍵で復号化され得る。付加的に及び/または代替的に、暗号メッセージは、(例えば車両とペアリングされたCIDの)秘密鍵を使用したデジタル署名で署名化されてもよく、デジタル署名は、対応する公開鍵を使用して検証(例えば認証)され得る。公開鍵/秘密鍵ペアを生成するのに使用された素数を知らなければ、対応する秘密鍵を知らずに暗号メッセージを復号化すること、または対応する公開鍵を知らずに暗号メッセージを検証することは、計算的に困難であり得る(例えば時間がかかり得る)。公開鍵及び秘密鍵を使用した暗号メッセージの暗号化、復号化、及び検証は、図4及び図5を参照して下記でより詳しく説明される。
【0050】
公開鍵及び秘密鍵が生成されると、CIDの公開鍵及び秘密鍵ならびに車両の公開鍵及び秘密鍵は、交換及び格納される。パート310では、方法300は、車両の書き込み禁止メモリ(例えば車両230の書き込み禁止メモリ238)に、CIDの公開鍵を格納することを含む。パート312では、方法300は、CIDの書き込み禁止メモリ(例えばCID202の書き込み禁止メモリ210)に、車両の公開鍵を格納することを含む。CIDの公開鍵と車両の公開鍵は公開され得、よって、CIDの公開鍵と車両の公開鍵を保護するためにさらなるセキュリティ機構は、設けられなくてもよい。(様々な実施形態では、CIDの公開鍵及び車両の公開鍵は、製造業者により実際に公開されなくてもよい。)
【0051】
パート314では、方法300は、CIDの秘密鍵を、RPMB(例えばCID202のRPMB212)などのCIDの安全な記憶領域に格納することを含む。RPMBは、前述の種類の再生攻撃から格納されたデータを保護するための別個の自己内蔵型セキュリティプロトコルを含み得る。よって、CIDの秘密鍵をCIDのRPMBに格納することにより、有利なことに、CIDの秘密鍵は、CIDの書き込み禁止メモリに格納された場合よりも、再生攻撃からさらに保護され得る。
【0052】
パート316では、方法300は、車両の秘密鍵を、RPMB(例えば車両230のRPMB240)などの車両の安全な記憶領域に格納することを含む。車両の秘密鍵を車両のRPMBに格納することにより、有利なことに、車両の秘密鍵は、車両の書き込み禁止メモリに格納された場合よりも、再生攻撃からさらに保護され得る。
【0053】
ここで図2Bを参照すると、機能図250は、キーレスエントリシステムの動作中(例えばCID構成システム200を参照して前述されたようなCID202及び車両230の構成後)における、CID202と車両230との間のデータの例示的なフローを示す。
【0054】
いくつかの実施形態では、キーレスエントリシステムはRKEシステムであり得、データの例示的なフローは、車両230の運転者がCID202のキーを選択することにより開始される。例えば、運転者は、車両230のドアを解錠するために、車両接近時にCID202の解錠キー205を選択し得、または運転者は、車両230を運転する前に車両230のエンジン及び/または室内を暖めるために、エンジン始動キー206を選択し得る。別の実施形態では、キーレスエントリシステムはPKEシステムであり得、(例えば車両230のドアを解錠するために)CID202が車両230の閾値近接度内に入ることにより、例示的なデータフローは開始される。
【0055】
運転者がCID202のキーを選択したとき、または閾値近接度内に入ったとき、暗号化コードブロック252にて、キー及び/またはPKE機能(例えばドアの解錠)に関連付けられた機能コード251が、CID202のプロセッサ228により暗号化され得る。暗号化コードブロック252は、暗号化された機能コードであるIDコードを出力し得る。いくつかの実施形態では、機能コード251は、車両230の製造業者のTRNG(TRNG215など)により生成された乱数であり得る。いくつかの実施形態では、図3の方法300を参照して前述されたように、暗号化コードブロック252は、公開鍵暗号システムを使用して、選択された及び/または所望の機能コード251を暗号化し得る。
【0056】
したがって、様々な実施形態では、機能コード251の暗号化は、車両公開鍵223(例えば車両230の公開鍵)を使用して達成され得、車両公開鍵223は、車両230に割り当てられ、CID202の書き込み禁止メモリ210に格納され得る(例えば車両230のデプロイ前の構成段階の間に、CID構成システム200により)。車両公開鍵223は、公開鍵暗号システムで使用される種類の車両230の公開コードであり得る。車両公開鍵223で暗号化されたメッセージを、対応する車両秘密鍵226を使用せずに復号化することは、計算的に実行不可能であり得る。
【0057】
様々な実施形態では、IDコード(例えば暗号化コードブロック252により生成された暗号化機能コード)は、署名コードブロック254に入力され得る。署名コードブロック254では、IDコードがデジタル署名化され得、よって、CID秘密鍵225(CID202のRPMB212に格納されている)及びIDコードに基づいて、デジタル署名が作成され得る。CID秘密鍵で作成されたデジタル署名を、対応するCID公開鍵224を使用することなく検証することは、計算的に実行不可能であり得る。デジタル署名は、RSA、デジタル署名アルゴリズム(Digital Signature Algorithm、DSA)、楕円曲線デジタル署名アルゴリズム(Elliptic Curve Digital Signature Algorithm、ECDSA)、エドワーズ曲線デジタル署名アルゴリズム(Edwards-curve Digital Signature Algorithm、EDDSA)、及びセキュアハッシュアルゴリズム(Secure Hash Algorithm、SHA)によるRSAなど、様々なデジタル署名アルゴリズムのうちの1つを使用して、作成され得る。デジタル署名は、図4を参照して下記でより詳しく説明される。
【0058】
署名コードブロック254により出力されたデジタル署名をIDコードと組み合わせて、暗号メッセージ256が形成され得、暗号メッセージ256は、少なくともIDコード部分とデジタル署名部分とを含む。いくつかの実施形態では、暗号メッセージ256は、図2Cに示されるように、IDコード部分を表す第1のビット列と、デジタル署名部分を表す第2のビット列とを連結したものであり得る。
【0059】
図2Cを簡単に参照すると、暗号メッセージ形成図270は、暗号メッセージ256を表す例示的なビットアレイ276を示し、ビットアレイ276は、IDコード部分272とデジタル署名部分274とを連結したものである。IDコード部分272は、前述のように、選択された及び/または所望の機能コード251を入力として受信した暗号化コードブロック252により出力されたIDコードを有し得る。同様に、デジタル署名部分274は、前述のように、暗号化コードブロック252の出力であるIDコードを受信した署名コードブロック254により出力されたデジタル署名を有し得る。
【0060】
図2Bに戻ると、暗号メッセージ256は、RFチップ214を介して車両230に送信され得る。いくつかの実施形態では、暗号メッセージ256は、RFチップ214により1つ以上のRF信号に変換され、CID202のチップアンテナ258により送信され得る。RF信号は、その後、車両230の車両アンテナ260により受信され得、RF送受信器232により元の暗号メッセージ256に変換され得る。別の実施形態では、暗号メッセージ256は、異なる種類の無線デジタル送信技術を使用して送信され得る。
【0061】
図2Cを参照して前述されたように、CID202により送信される暗号メッセージ256は、デジタル署名部分と、IDコード部分とを有し得る。暗号メッセージ256のデジタル署名は、車両230の検証コードブロック264により検証され得る。いくつかの実施形態では、検証コードブロック264は、車両230のECU231のIOC234により実行され得る。検証中、CID202でCID秘密鍵225(CID202のRPMB212内)を用いて作成されたデジタル署名は、車両230のECU231で、CID公開鍵224(車両230の書き込み禁止メモリ238内)を使用して検証される。検証コードブロック264において、CID公開鍵224を使用して暗号メッセージ256のデジタル署名の検証が成功した場合には、CID202は認証される。
【0062】
また、IOC234は、暗号メッセージ256を復号化コードブロック266に渡して、暗号メッセージのIDコードを復号化し得る。復号化コードブロック266では、CID202で車両公開鍵223(CID202の書き込み禁止メモリ210内)を使用して暗号化されたIDコードが、車両秘密鍵226(車両230のRPMB240内)を使用して復号化され得る。復号化コードブロック266でIDコードが復号化された後、復号化コードブロック266から、CID202の選択されたキー(例えば運転者による選択に応じて、施錠キー204、解錠キー205、エンジン始動キー206、または窓制御キー207)に関連付けられた元の機能コード251が出力され得る。機能コード251は、次に、IOC234により処理され得る。機能コード251の処理は、メモリ236から、機能コード251を車両230の対応する機能にマッピングする機能マッピング237を取得することを含み得、続いて車両230の対応する機能が実行され得る。
【0063】
いくつかの実施形態では、検証コードブロック264でデジタル署名を検証することは、デジタル署名の復号化されたデータ(例えばCID公開鍵224を使用して復号化されたデータ)を、暗号メッセージのIDコード部分に含まれる暗号化されたIDコードと比較することを含み得る。例えば、デジタル署名の復号化されたデータは、IDコードであり得、デジタル署名は、CID秘密鍵225で暗号化されたIDコードである。暗号メッセージから得られたIDコードが、デジタル署名をCID公開鍵で復号化することにより得られたIDコードと同じである場合、CID202は認証され得る。
【0064】
別の代替的な実施形態では、検証コードブロック264でデジタル署名を検証することは、デジタル署名の復号化されたデータを、復号化コードブロック266により出力された復号化済み機能コード251(例えばIDコードから復号化された機能コード251)と比較することを含み得る。例えば、いくつかの実施形態では、デジタル署名の復号化されたデータは、機能コード251であり得、デジタル署名は、CID秘密鍵225で暗号化された機能コード251である。車両秘密鍵226を使用して暗号メッセージのIDコードを復号化することで得られた機能コード251が、デジタル署名をCID公開鍵で復号化することで得られた機能コード251と同じである場合、CID202は認証され得る。
【0065】
さらに別の実施形態では、デジタル署名の復号化されたデータは、IDコード(または機能コード251)の第1のハッシュ(例えばIDコードまたは機能コード251をハッシュ関数に入力することで得られる値)であり得、デジタル署名は、CID秘密鍵225で暗号化された第1のハッシュである。ハッシュ関数にIDコード(または機能コード251)を入力することで得られた第2のハッシュが、CID公開鍵でデジタル署名を復号化することで得られた第1のハッシュと同じである場合、CID202は認証され得る。デジタル署名にハッシュを使用することの利点は、暗号メッセージの長さ及び対応する送信時間が短縮され得ることである。いくつかの実施形態では、ハッシュ関数は、CID202から車両230に暗号メッセージで送信され得る。別の実施形態では、ハッシュ関数は、CID202のメモリ227及び車両230のメモリ236に格納され得る。
【0066】
いくつかの実施形態では、車両230の対応する機能を実行することは、車両230のアクチュエータを作動させ得る電子信号を、車両230のBCMに送信することを含み得る。例えば、機能コード251は、解錠キー205に対応し得、よって、車両230の窓及びドアを制御する役割を担うBCM(例えば車両102のBCM122)に電子信号が送信され得る。電子信号は、1つ以上のドアアクチュエータ(例えば車両102のドアアクチュエータ126)に中継され得、1つ以上のドアアクチュエータは、車両の1つ以上のドア(例えば運転者のドア、または車両のすべてのドアなど)を解錠するように、車両の1つ以上のドアの1つ以上のロックを作動させ得る。あるいは、機能コード251は、施錠キー204に対応し得、よって、BCMに送信されて、1つ以上のドアアクチュエータに中継された電子信号は、車両の1つ以上のドアを施錠するように、1つ以上のロックを作動させ得る。
【0067】
別の実施例では、車両230の対応する機能を実行することは、車両230のエンジンECU(例えば車両102のエンジンECU124)に電子信号を送信することを含む。例えば、機能コード251は、エンジン始動キー206に対応し得、これは、運転者が車両230を起動させたいことを示す。エンジンECUにより電子信号が受信されると、エンジンECUは、車両230の点火システム(例えば車両102の点火システム132)にエンジンを始動させるように命令し得る。本明細書で提供される実施例は例示目的であり、本開示の範囲から逸脱することなく、機能コード251に応じて、車両230の他の機能が実行されてもよいことを、理解されたい。
【0068】
ここで図4を参照すると、車両のキーレスエントリシステム(例えば図1のキーレスエントリシステム100)の動作中に、CIDから車両に(例えばそれぞれ図2AのCID202及び車両230)暗号メッセージを送信するための例示的な方法400を示すフローチャートが示される。送信される暗号メッセージは、暗号化された機能コードであり得るIDコード部分と、CIDの認証を可能にし得るまたは促進し得るデジタル署名部分と、を含み得る。機能コードは、車両の運転者により選択されたCIDのキーに関連付けられ得、機能コードは、運転者により遠隔から実行され得る車両の1つ以上の機能を示し得る。
【0069】
いくつかの実施形態では、キーレスエントリシステムはPKシステムであり、車両の1つ以上の機能は、CIDが車両の閾値近接度内で検出されたときに実行される。いくつかの実施形態では、キーレスエントリシステムはRKEシステムであり、車両の1つ以上の機能は、運転者がCIDの1つ以上のキーを選択したことに応じて、CIDにより車両に送信されたRF信号に応答して、実行される。
【0070】
方法400は、パート402から始まり、パート402は、車両からのRF信号を監視して、車両に対するCIDの近接度を特定することを含む。パート402の後、方法400は、パート404に進み得る。
【0071】
いくつかの実施形態では、車両に対するCIDの近接度は、車両により送信されるRF信号の強度を測定することにより特定され得る。例えば、CIDは車両の閾値近接度(例えば10フィート)外に存在し得、この場合、RF信号の強度は閾値RF信号強度を下回り、またはCIDは車両の閾値近接度内に存在し得、この場合、RF信号の強度は閾値RF信号強度を上回る。
【0072】
いくつかの実施形態では、閾値RF信号強度は、CIDのRF送受信器(例えば図2AのRFチップ214)によりRF信号が検出される信号強度であり得る。よって、CIDを携行する運転者が閾値近接度外に存在するとき、CIDのRF送受信器はRF信号を検出せず、運転者が閾値近接度内に入ったとき、CIDのRF送受信器はRF信号を検出する。信号強度は、RF信号の振幅を測定することにより特定され得る。いくつかの実施形態では、RF信号は、車両により定期的に(例えば毎秒)送信される。
【0073】
いくつかの実施形態では、車両から受信されるRF信号は、暗号化されたデータまたは暗号化されていないデータをCIDに送信し得る。いくつかの実施形態では、RF信号は、CIDが車両を認証するために使用するチャレンジメッセージを含む。例えば、チャレンジメッセージは、ローリングコード技法(Rolling Code Technique)に基づき得る。ローリングコード技法によれば、CIDは第1のシーケンスカウンタを維持し得、車両は第2のシーケンスカウンタを維持し得る。車両は、共有秘密鍵に基づいて第1のシーケンスカウンタを暗号化し、暗号化した第1のシーケンスカウンタをチャレンジメッセージで、CIDに送信し得る。続いて、CIDは、チャレンジメッセージの暗号化された第1のシーケンスカウンタを共有秘密鍵を使用して復号化し、これを第2のシーケンスカウンタと比較し得る。復号化された第1のシーケンスカウンタと第2のシーケンスカウンタとの差が閾値差を下回る場合、車両は認証され得る。
【0074】
パート404では、方法400は、CIDが車両の閾値近接度内に存在するかどうかを判定することを含む。パート404にて、CIDが閾値近接度内に存在すると判定された場合、方法400はパート408に進む。あるいは、パート404にて、CIDが閾値近接度内に存在しないと判定された場合、方法400はパート406に進む。
【0075】
パート408では、方法400は、図2AのCID構成システム200に関連して前述されたように、車両の所定の機能コード(CIDの書き込み禁止メモリに格納され得る)を暗号化することを含む。所定の機能コードは、車両機能に割り当てられた機能コードであり得、車両機能は、車両の閾値距離内にCIDを持ち込んだ際の検出に応じて実行されることが予め決定されており、所定の機能コードは、CIDの書き込み禁止メモリに格納された車両の公開鍵を使用して暗号化され得る。いくつかの実施形態では、所定の機能コードは、車両のドアの解錠に関連付けられた機能コードである。いくつかの実施形態では、所定の機能コードは、車両のエンジンを始動させることに関連付けられた機能コードである。いくつかの実施形態では、車両のドアの解錠に関連付けられた第1の所定の機能コードと、車両のエンジンの始動に関連付けられた第2の所定の機能コードとの両方が、送信され得る(例えば2つのそれぞれの暗号メッセージで)。いくつかの実施形態では、機能コードをIDコードに暗号化することは、車両の公開鍵を使用するハッシュ関数に機能コードを入力して、IDコードを出力することを含む。パート408の後、方法400は、パート412に進み得る。
【0076】
パート406では、方法400は、CIDからCIDキー選択が受信されたかどうかを判定することを含む。例えば、運転者は、車両解錠の所望を示すCIDの解錠キーを選択し得、または運転者は、車両施錠の所望を示すCIDの施錠キーを選択し得、または運転者は、CIDの別のキーを選択し得る。パート406にて、CIDからCIDキー選択が受信されたと判定された場合、方法400はパート410に進む。パート406にて、CIDからCIDキー選択が受信されていないと判定された場合、方法400はパート402に戻り、方法400は、車両への近接度を特定するために車両からのRF信号を監視し続け得る。
【0077】
パート410では、方法400は、CIDキー選択に関連付けられた機能コードをIDコードに暗号化することを含む。本明細書に開示される暗号システムによれば、CIDキー選択に関連付けられた機能コードは、車両の公開鍵(例えばCIDの書き込み禁止メモリに格納され得る)を使用して暗号化され得る。例えば、運転者がCIDの解錠キーを選択し得、次いで、解錠キーに関連付けられた機能コードが車両の公開鍵を使用して暗号化され得、または、運転者がCIDの始動エンジンキーを選択し得、次いで、始動エンジンキーに関連付けられた機能コードが車両の公開鍵を使用して暗号化され得る。いくつかの実施形態では、機能コードをIDコードに暗号化することは、車両の公開鍵を使用するハッシュ関数に機能コードを入力して、IDコードを出力することを含む。パート410の後、方法400は、パート412に進み得る。
【0078】
パート412では、方法400は、本明細書に開示されるデジタル署名システムに従って、CIDの秘密鍵(例えばCIDのRPMBに格納され得る)を使用してIDコードをデジタル署名化することにより、デジタル署名を生成することを含む。IDコードをデジタル署名化するために、図2Bを参照して前述されたような、例えばRSA、DSA、ECDSA、EDDSA、及びSHAによるRSAなどの様々なデジタル署名アルゴリズムのうちの1つが使用され得る。パート412の後、方法400は、パート414に進み得る。
【0079】
パート414では、方法400は、暗号メッセージを作成することを含み、暗号メッセージは、IDコード部分とデジタル署名部分とを含む。いくつかの実施形態では、暗号メッセージは、図2Bに関連して前述されたように、IDコードを符号化する第1のビット列と、デジタル署名を符号化する第2のビット列とを連結することにより、生成され得る。よって、CIDの選択されたキーに関連付けられた機能コードの暗号化及び署名化は、下記の擬似コードに従って記述され得る。
IDコード=暗号化(機能コード、車両公開鍵);
デジタル署名=署名(IDコード、CID秘密鍵);
暗号メッセージ=[IDコード+デジタル署名]
パート414の後、方法400は、パート416に進み得る。
IDコード=暗号化(機能コード、車両公開鍵);
デジタル署名=署名(IDコード、CID秘密鍵);
暗号メッセージ=[IDコード+デジタル署名]
パート414の後、方法400は、パート416に進み得る。
【0080】
パート416では、方法400は、符号化をサポートする様々な無線デジタル送信技術のうちのいずれかを使用して、車両に無線で暗号メッセージを送信することを含む。いくつかの実施形態では、図2Bに関連して前述されたように、暗号メッセージは、車両に送信するためにRF信号に変換され得る。パート416の後に、方法400は終了し得、方法400の1回の反復が終了することは、方法400の別の反復が開始することにつながり得る。
【0081】
様々な実施形態では、方法400は、CIDのメモリ(例えばメモリ227)に格納された命令に基づいて、CIDの1つ以上のプロセッサ(プロセッサ228など)により実行され得る。よって、方法400の1つ以上のパートは、図2Bの1つ以上の要素を参照して実行され得る。
【0082】
ここで図5を参照すると、車両のキーレスエントリシステム(例えば図1のキーレスエントリシステム100)の動作中に、CIDが車両に(例えばそれぞれ図2AのCID202及び車両230)送信した暗号メッセージを受信するための例示的な方法500を示すフローチャートが示される。受信される暗号メッセージは、暗号化された機能コードであり得るIDコード部分と、CIDの認証を可能にし得るまたは促進し得るデジタル署名部分と、を含み得る。機能コードは、車両の運転者により選択されたCIDのキーに関連付けられ得、機能コードは、車両の運転者により遠隔から実行され得る車両の1つ以上の機能を示す。
【0083】
いくつかの実施形態では、キーレスエントリシステムはPKシステムであり、機能コードは、運転者により選択されたCIDのキーに対応する。いくつかの実施形態では、キーレスエントリシステムはRKEシステムであり、機能コードは、解錠機能などの車両の所定の機能に対応する。
【0084】
方法500は、パート502から始まり、パート502は、図4の方法400を参照して前述されたように、CIDにスキャンメッセージを送信して、車両に対するCIDの近接度を特定することを含む。いくつかの実施形態では、車両により送信されるRF信号は、前述のローリングコード技法に基づくチャレンジメッセージなど、車両を認証するために使用されるチャレンジメッセージを含む。パート502の後、方法500は、パート504に進み得る。
【0085】
パート504では、方法500は、CIDからRF送信が受信されたかどうかを判定することを含む。パート504にて、CIDからRF送信が受信されていないと判定された場合、方法500はパート502に戻り、方法500は、CIDにスキャンメッセージを送信し続けることを含む。あるいは、パート504にて、CIDからRF送信が受信されたと判定された場合、方法500はパート506に進む。
【0086】
いくつかの実施形態では、キーレスエントリシステムはPKシステムであり、図4の方法400を参照して前述されたように、CIDが車両の閾値近接度内に存在している結果、車両がCIDに送信したスキャンメッセージに応じて、RF送信が受信される。いくつかの実施形態では、キーレスエントリシステムはRKEシステムであり、運転者がCIDのキー(例えば解錠キー、及び始動エンジンキーなど)を選択することにより、RF送信は開始される。
【0087】
パート506では、方法500は、RF送信から暗号メッセージを復元することを含む。前述のように、暗号メッセージは、IDコード部分と、デジタル署名部分とを含み得る。パート506の後、方法500は、パート508に進み得る。
【0088】
パート508では、方法500は、本明細書に開示されるデジタル署名アルゴリズムに従って、車両とペアリングされたCIDの公開鍵(例えば車両の書き込み禁止メモリに格納され得る)を使用して、暗号メッセージのデジタル署名部分から抽出されたデジタル署名を検証することを含む。パート508の後、方法500は、パート510に進み得る。
【0089】
パート510では、方法500は、本明細書に開示される1つ以上の復号化アルゴリズムに従って、車両とペアリングされたCIDの秘密鍵(例えば車両のRPMBに格納され得る)に基づいて、復元された暗号メッセージのIDコード部分を復号化することを含む。パート510の後、方法500は、パート512に進み得る。
【0090】
パート512では、方法500は、デジタル署名の検証が成功したか否かを判定することを含む。パート512にて、デジタル署名の検証が成功しなかったと判定された場合、方法500は、パート514に進み得る。あるいは、パート512にて、検証が成功したと判定された場合、方法500は、パート516に進み得る。
【0091】
いくつかの実施形態では、デジタル署名の検証が成功したか否かを判定することは、暗号メッセージのデジタル署名部分を復号化した結果を、暗号メッセージのIDコード部分と比較することを含み得る。例えば、いくつかの実施形態では、デジタル署名を復号化した結果は、第1のIDコードであり得(例えばデジタル署名がCID秘密鍵で暗号化されたIDコードであった場合)、暗号メッセージの復号化されたIDコード部分は、第2のIDコードであり得る。第1のIDコードが第2のIDコードに等しい場合、デジタル署名は、検証済みとなり得る。
【0092】
デジタル署名の検証が成功したか否かを判定することはまた、復元された暗号メッセージから抽出された復号化済みIDコードが車両の有効な機能コードと一致するかどうかを判定することを含み得る。復号化済みIDコードが車両の有効な機能コードと一致する場合、デジタル署名は、検証済みとなり得る。復号化済みIDコードが車両の有効な機能コードと一致しない場合、デジタル署名は、検証済みになり得ない。よって、CIDの選択されたキーに関連付けられた機能コードの検証は、下記の擬似コードに従って記述され得る。
暗号メッセージ=[IDコード+デジタル署名(IDコード)]
検証済みIDコード=署名検証(デジタル署名(IDコード)、CID公開鍵);
If(検証済みIDコード=IDコード):
機能コード=復号化(IDコード、車両秘密鍵);
If(機能コードが有効機能コードと一致する)車両機能をトリガーする
暗号メッセージ=[IDコード+デジタル署名(IDコード)]
検証済みIDコード=署名検証(デジタル署名(IDコード)、CID公開鍵);
If(検証済みIDコード=IDコード):
機能コード=復号化(IDコード、車両秘密鍵);
If(機能コードが有効機能コードと一致する)車両機能をトリガーする
【0093】
別の実施形態では、デジタル署名を復号化した結果は、第1の機能コードであり得(例えばデジタル署名がCID秘密鍵で暗号化された機能コードであった場合)、暗号メッセージの復号化された機能コード部分は、第2の機能コードであり得る。第1の機能コードが第2の機能コードに等しい場合、デジタル署名は、検証済みとなり得る。よって、CIDの選択されたキーに関連付けられた機能コードの検証は、下記の擬似コードに従って記述され得る。
暗号メッセージ=[IDコード+デジタル署名(機能コード)]
検証済み機能コード=署名検証(デジタル署名(機能コード)、CID公開鍵);
機能コード=復号化(IDコード、車両秘密鍵);
If(機能コード=検証済み機能コード)
If(機能コードが有効機能コードと一致する)車両機能をトリガーする
暗号メッセージ=[IDコード+デジタル署名(機能コード)]
検証済み機能コード=署名検証(デジタル署名(機能コード)、CID公開鍵);
機能コード=復号化(IDコード、車両秘密鍵);
If(機能コード=検証済み機能コード)
If(機能コードが有効機能コードと一致する)車両機能をトリガーする
【0094】
いくつかの実施形態では、デジタル署名は、暗号化されたデータに基づかず、デジタル署名は、本明細書で説明されるようなデジタル署名化されたIDコードではなく、代わりに機能コードに基づき得る。このような実施形態では、IDコードの復号化は、デジタル署名の検証の前に実行され得る。言い換えると、図5は、デジタル署名の検証(例えばパート508における)がIDコードの復号化(例えばパート510における)の前に起こることを示すが、デジタル署名が機能コードに直接基づく実施形態では、IDコードの復号化がパート508で実行され得、デジタル署名の検証がパート510で実行され得る。
【0095】
さらに、いくつかの実施形態では、デジタル署名は暗号化されたデータに基づき得ず、デジタル署名が暗号化され得(機能コードとは別に、または機能コードと共に)、よって、暗号メッセージが受信された後に、暗号化されたデジタル署名が第1のステップで復号化され得、復号化されたデジタル署名が第2のステップで検証され得る。例えば、機能コードは、CIDで署名化され得、署名化された機能コードは、続いて暗号化され、暗号メッセージを介して車両に送信される。車両では、下記の擬似コードにより記述されるように、署名化された機能コードは、最初に復号化され、次いで検証され得る。
暗号メッセージ=暗号化(デジタル署名(機能コード)、車両公開鍵)
デジタル署名=復号化(デジタル署名(機能コード)、車両秘密鍵)
検証済み機能コード=署名検証(デジタル署名(機能コード)、CID公開鍵);
If(機能コード=検証済み機能コード)
If(機能コードが有効機能コードと一致する)車両機能をトリガーする
署名化された機能コードを暗号化することの利点は、暗号化された機能コードを署名化するよりも、攻撃に対してより安全であり得ることである。このシナリオでは、暗号メッセージは、追加の暗号化された機能コードを含まずに、署名化され、暗号化された機能コードを含み得る。
暗号メッセージ=暗号化(デジタル署名(機能コード)、車両公開鍵)
デジタル署名=復号化(デジタル署名(機能コード)、車両秘密鍵)
検証済み機能コード=署名検証(デジタル署名(機能コード)、CID公開鍵);
If(機能コード=検証済み機能コード)
If(機能コードが有効機能コードと一致する)車両機能をトリガーする
署名化された機能コードを暗号化することの利点は、暗号化された機能コードを署名化するよりも、攻撃に対してより安全であり得ることである。このシナリオでは、暗号メッセージは、追加の暗号化された機能コードを含まずに、署名化され、暗号化された機能コードを含み得る。
【0096】
さらに別の実施形態では、デジタル署名を復号化した結果は、IDコードまたは機能コードのいずれかのハッシュであり得(例えばデジタル署名が、ハッシュ関数を使用したIDコードまたは機能コードのハッシュであり、CID秘密鍵で暗号化された場合)、暗号メッセージの復号化されたIDコード部分は、第2のIDコードまたは第2の機能コードであり得る。ハッシュが、第2のIDコードまたは第2の機能コードにハッシュ関数を適用した結果と等しい場合、デジタル署名は検証済みとなり得る。
【0097】
さらに別の実施形態では、デジタル署名は、IDコードまたは機能コードのハッシュではあり得ず、デジタル署名は、CIDの他のデータのハッシュであり得る。例えば、CIDの別の識別子(ID)が、デジタル署名化され、CIDの認証に使用され得、検証中、別のIDは、車両に格納された別のIDの有効なコピーと比較され得る。IDコードまたは機能コードをデジタル署名に含めないことにより、機能コードは、IDコードを復号化することによってのみアクセス可能となり得、これにより、より高いセキュリティが提供され得る。さらに、機能コードを暗号化/復号化するプロセスと、デジタル署名を生成/検証するプロセスとは別個に実行され得、機能コードを暗号化する前にデジタル署名が生成され得るか、または機能コードを暗号化した後にデジタル署名が生成され得る。本明細書で提供される実施例は、例示目的であり、本開示の範囲から逸脱することなく、異なる暗号化及び/または署名アルゴリズムに基づいてデジタル署名を検証する異なる方法が使用されてもよいことを、理解されたい。
【0098】
パート514では、方法500は、検証失敗を登録することを含む。検証失敗を登録することは、侵入の時刻及び/または持続時間、侵入の成功度、侵入中に検証のために送信されたIDなどの情報、侵入者の署名情報、及び/または他の関連データを、記録することを含み得る。検証失敗の登録は、車両のメモリ(例えば図2A及び図2Bのメモリ236)に格納され、ならびに/あるいは、さらなる処理及び/または分析(例えばOEMまたは車両製造業者による)のためにクラウドベースサーバに送信され得る。検証失敗を登録することに加えて、方法500は、CIDにスキャンメッセージを送信し続けることを含むパート502に戻り得る。
【0099】
パート516では、方法500は、復元された暗号メッセージから抽出された機能コード(例えば復号化されたIDコード)を解釈することを含み、復号化されたIDコードが車両の有効な機能コードと一致する場合、方法500は、作動信号を関連制御モジュールに送信して、車両の1つ以上の所望の機能を作動させることを含む。作動信号は、車両のバス(例えばCANバス)を介して、デジタル運転席ECUから車両のBCM(例えば図1のBCM122)に送信され得、信号を使用して、ドアアクチュエータ、及び窓アクチュエータなどのBCMの様々なアクチュエータに、作動信号が送信され得る。また、例えば車両のエンジンの遠隔始動を開始するための信号を介して、デジタル運転席ECUからエンジンECUにも作動信号が送信され得る。パート516の後、方法500は、パート518に進み得る。
【0100】
パート518では、方法500は、車両の所望の機能の実行に関する視覚確認及び/または聴覚確認を提供することを含む。視覚確認及び/または音声確認を提供することは、例えば車両のトーン(例えばビープ音)を再生すること、及び/または車両の1つ以上のライト(例えばパーキングライト)を点滅させることを含み得る。パート518の後に、方法500は終了し得、方法500の1回の反復が終了することは、方法500の別の反復が開始することにつながり得る。
【0101】
様々な実施形態では、方法500は、車両のデジタル運転席ECUであり得る車両のECUの1つ以上のプロセッサ(ECU231の1つ以上のプロセッサなど)により、車両のメモリ(例えばメモリ236)に格納された命令に基づいて、実行され得る。よって、方法500の1つ以上のパートは、図2Bの1つ以上の要素を参照して実行され得る。
【0102】
したがって、車両の運転者が車両の所望の機能を遠隔からトリガーするためのCIDのキーを選択すると、CIDから車両に安全な暗号メッセージが送信され得る。安全な暗号メッセージは、IDコード部分とデジタル署名部分とを有し得る。IDコード部分は、暗号化された機能コードを含み得、機能コードは、車両の所望の機能に対応するCIDの選択されたキーに対応する。デジタル署名部分は、機能コードに基づくデジタル署名を含んでもよい。
【0103】
安全な暗号メッセージは、車両のECUにより受信され得、ECUは、専用電源、専用メモリ、及びRF送受信器を含む。ECUのIOCは、暗号メッセージのIDコード部分からIDコードを抽出し復号化して、機能コードを受信し得る。ECUは、暗号メッセージのデジタル署名部分からデジタル署名を抽出し、デジタル署名を検証して、CIDを認証し得る。
【0104】
デジタル署名の検証は、ECUのメモリに格納された有効な機能コードのリストに、機能コードが存在するかどうかを判定することを含み得る。デジタル署名の検証はまた、IDコードを、デジタル署名の復号化されたデータ(例えば第2のIDコード)と比較することも含み得る。IDコードが復号化されたデータと一致する場合、または復号化されたデータがハッシュ関数をIDコードに適用した結果と一致する場合、デジタル署名は検証済みとなり、CIDが認証され得る。IDコードが復号化されたデータと一致しない場合、または復号化されたデータがハッシュ関数をIDコードに適用した結果と一致しない場合、デジタル署名は検証済みとなり得ず、CIDは認証され得ない。車両の所望の機能をトリガーするために使用される機能コードを暗号化及び復号化することにより、車両のドア及び/または窓の開閉、エンジンの点火または始動、警報の制御、及び他の車両機能に関するセキュリティ機能が実施され得、これにより、攻撃者が車両にサイバー攻撃を実行することは阻止される。
【0105】
本明細書に開示されるシステム及び方法の技術的効果は、暗号メッセージを介して車両に機能コードを送信する前に、CIDで機能コードを暗号化してデジタル署名化し、車両で暗号メッセージを復号化して検証することにより、車両に対するサイバー攻撃を防ぐことができることである。
【0106】
本開示は、車両キーレスエントリシステムのための方法のサポートも提供し、方法は、車両にて、識別(ID)コード部分を有するキーレスエントリ送信を処理することと、車両の秘密鍵を使用してキーレスエントリ送信のIDコード部分を復号化することと、復号化されたIDコード部分が車両の複数の所定機能コードのうちの1つと一致するかどうかを検出することと、復号化されたIDコード部分と一致する車両の機能コードに対応する車両の機能を実行することと、を含む。方法の第1の実施例では、車両の秘密鍵は、車両の再生禁止メモリブロック(RPMB)に格納される。任意で第1の実施例を含む、方法の第2の実施例では、IDコード部分の復号化は、車両の二次電源により電力供給される車両の電子制御ユニット(ECU)で行われる。任意で第1及び第2の実施例の一方または両方を含む、方法の第3の実施例では、方法は、ECUに接続された無線周波数(RF)送受信器を介して、キーレスエントリ送信を受信することを含む。任意で第1~第3の実施例の1つ以上またはそれぞれを含む、方法の第4の実施例では、キーレスエントリ送信は、デジタル署名部分を有し、方法は、IDコード部分及び車両のキーレスエントリデバイスの所定の公開鍵に基づいて、キーレスエントリ送信のデジタル署名部分を検証することを含む。任意で第1~第4の実施例の1つ以上またはそれぞれを含む、方法の第5の実施例では、キーレスエントリデバイスの公開鍵は、車両の書き込み禁止メモリに格納される。任意で第1~第5の実施例の1つ以上またはそれぞれを含む、方法の第6の実施例では、車両の複数の機能に対応する複数の所定機能コードは、車両の真の乱数生成器(TRNG)により生成され、車両とキーレスエントリデバイスの両方に割り当てられる。任意で第1~第6の実施例の1つ以上またはそれぞれを含む、方法の第7の実施例では、車両キーレスエントリシステムは、リモートキーレスエントリ(RKE)システム及びパッシブキーレスエントリ(PKE)システムのうちの1つである。任意で第1~第7の実施例の1つ以上またはそれぞれを含む、方法の第8の実施例では、車両の機能は、ドア施錠機能、ドア解錠機能、車両始動機能、及び窓制御機能のうちの1つである。
【0107】
本開示は、車両のキーレスエントリシステムのための方法のサポートも提供し、方法は、車両のキーレスエントリデバイスにて、車両の複数の機能のうち、選択された機能に対する要求を検出することと、複数の機能に対応する車両の複数の所定機能コードのうち、選択された機能に対応する機能コードを識別することと、車両の所定の公開鍵を使用して、車両の機能コードを識別(ID)コード部分に暗号化することと、キーレスエントリデバイスにて、IDコード部分を有するキーレスエントリ送信を生成することと、を含む。方法の第1の実施例では、キーレスエントリ送信は、デジタル署名部分を有し、方法は、IDコード部分及びキーレスエントリデバイスの秘密鍵に基づいて、デジタル署名部分を生成することを含む。任意で第1の実施例を含む、方法の第2の実施例では、キーレスエントリデバイスの秘密鍵は、キーレスエントリデバイスの再生禁止メモリブロック(RPMB)に格納される。任意で第1及び第2の実施例の一方または両方を含む、方法の第3の実施例では、車両の公開鍵は、キーレスエントリデバイスの書き込み禁止メモリに格納される。任意で第1~第3の実施例の1つ以上またはそれぞれを含む、方法の第4の実施例では、方法は、キーレスエントリデバイスの無線周波数(RF)送受信器を介して、キーレスエントリ送信を送信することを含む。任意で第1~第4の実施例の1つ以上またはそれぞれを含む、方法の第5の実施例では、車両の複数の機能に対応する複数の所定機能コードは、車両の真の乱数生成器(TRNG)により生成され、キーレスエントリデバイスと車両の両方に割り当てられる。任意で第1~第5の実施例の1つ以上またはそれぞれを含む、方法の第6の実施例では、車両キーレスエントリシステムは、リモートキーレスエントリ(RKE)システム及びパッシブキーレスエントリ(PKE)システムのうちの1つである。任意で第1~第6の実施例の1つ以上またはそれぞれを含む、方法の第7の実施例では、機能コードは、ドア施錠機能、ドア解錠機能、車両始動機能、及び窓制御機能のうちの1つに対応する。
【0108】
本開示は、車両キーレスエントリシステムのための方法のサポートも提供し、システムは、車両と、車両のキーレスエントリデバイスと、を備え、キーレスエントリデバイスは、第1の無線周波数(RF)回路と、第1の非一時的メモリに実行可能命令を格納した1つ以上の第1のプロセッサと、を含み、実行可能命令が実行されると、車両の複数の機能のうちの機能に対する要求を検出することと、車両の要求された機能に対応する機能コードを識別することであって、機能コードは、複数の機能にそれぞれ対応する複数の機能コードのうちの1つである、識別することと、車両の公開鍵を使用して機能コードを暗号化することと、第1のRF回路を介して、キーレスエントリ送信を送信することと、を1つ以上の第1のプロセッサに実行させ、キーレスエントリ送信が保有するIDコード部分は、暗号化された機能コードを含み、車両は、第2のRF回路と、第2の非一時的メモリに実行可能命令を格納した1つ以上の第2のプロセッサと、を含み、実行可能命令が実行されると、第2のRF回路を介してキーレスエントリ送信を受信することと、車両の秘密鍵を使用して、キーレスエントリ送信が有するIDコード部分を復号化することと、復号化されたIDコード部分が車両の複数の機能コードのうちのいずれかと一致するかどうかを検出することと、復号化されたIDコード部分と一致する車両の機能コードに対応する車両の機能を実行することと、を1つ以上の第2のプロセッサに実行させる。システムの第1の実施例では、キーレスエントリ送信はデジタル署名部分を有し、第1の非一時的メモリに格納された実行可能命令は、実行されるとさらに、暗号化された機能コード及びキーレスエントリデバイスの秘密鍵に基づいて、デジタル署名部分を生成することを、1つ以上の第1のプロセッサに実行させ、第2の非一時的メモリに格納された実行可能命令は、実行されるとさらに、復号化されたIDコード部分及びキーレスエントリデバイスの公開鍵に基づいて、デジタル署名部分を検証することを、1つ以上の第2のプロセッサに実行させる。任意で第1の実施例を含む、システムの第2の実施例では、車両は、第2のRF回路、第2の非一時的メモリ、及び1つ以上の第2のプロセッサに接続された二次電源を含み、二次電源は、少なくとも車両の一次電源から電力を利用できないときに、電力を提供する。
【0109】
代替的な表現では、本開示は、第1のステップで車両の機能に関連付けられた機能コードが署名化され、続いてCIDにて暗号メッセージで送信するために署名化された機能コードが暗号化される、方法のサポートも提供する。暗号メッセージが車両で受信されると、暗号化され、署名化された機能コードは、第1のステップで復号化され得、署名化された機能コードは、第2のステップで検証され得る。
【0110】
実施形態の説明は、例示及び説明の目的で提示されている。実施形態に対する好適な修正及び変形は、前述の説明に照らして行われてもよく、または方法を実践することから達成されてもよい。例えば、別段の記載がない限り、説明される方法のうちの1つ以上は、図1~図5に関して前述された実施形態など、好適なデバイス及び/またはデバイスの組み合わせにより実行され得る。方法は、記憶装置、メモリ、ハードウェアネットワークインターフェース/アンテナ、スイッチ、及びクロック回路などの1つ以上のハードウェア要素と組み合わせて、1つ以上の論理デバイス(例えばプロセッサ)を用いて、格納された命令を実行することで行われ得る。説明される方法及び関連動作はまた、本出願に記載される順序に加えて様々な順序で、並行して、及び/または同時に、実行されてもよい。説明されるシステムは、本質的に例示であり、追加の要素を含んでもよく、及び/または要素を省いてもよい。本開示の主題は、開示される様々なシステム及び構成、ならびに他の特徴、機能、及び/または特性に関するすべての新規かつ非自明の組み合わせ及び部分的組み合わせを含む。
【0111】
本出願で使用されるように、単数形で述べられ、英単語「a」または「an」で始まる要素またはステップは、当該要素またはステップの複数形を除外するとの記載がない限り、これらを除外しないものとして理解されるべきである。さらに、本開示の「一実施形態」または「一実施例」への言及は、列挙される特徴も組み込む追加の実施形態の存在を除外するように解釈されることを、意図していない。「第1」、「第2」、及び「第3」などの用語は、単にラベルとして使用され、それらの対象に対し数値的要件または特定の位置的順序を課すことを意図していない。下記の特許請求の範囲は、上記の開示から新規かつ非自明とみなされる主題を、具体的に指し示す。
【0112】
「及び/または」の表現を使用して要素が列記される用語法は、挙げられた要素の任意の組み合わせを意味する。例えば、「A、B、及び/またはC」は、Aのみ、Bのみ、Cのみ、A及びB、A及びC、B及びC、またはA、B、及びC、のいずれかを意味し得る。
【図1】
【図2A】
【図2B】
【図2C】
【図3】
【図4】
【図5】
【国際調査報告】