知財求人 - 知財ポータルサイト「IP Force」
▶ コンチネンタル オートモーティヴ テクロノジーズ ゲー・エム・ベー・ハーの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-07-25
(54)【発明の名称】車両のセキュリティを検証するための方法及びシステム
(51)【国際特許分類】
G09C 1/00 20060101AFI20240718BHJP
G06F 21/44 20130101ALI20240718BHJP
【FI】
G09C1/00 650Z
G06F21/44
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2024500235
(86)(22)【出願日】2022-06-24
(85)【翻訳文提出日】2024-01-05
(86)【国際出願番号】 EP2022067390
(87)【国際公開番号】W WO2023280601
(87)【国際公開日】2023-01-12
(31)【優先権主張番号】2109903.1
(32)【優先日】2021-07-09
(33)【優先権主張国・地域又は機関】GB
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.HDMI
2.BLUETOOTH
(71)【出願人】
【識別番号】522388073
【氏名又は名称】コンチネンタル・オートモーティヴ・テクノロジーズ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング
【氏名又は名称原語表記】Continental Automotive Technologies GmbH
【住所又は居所原語表記】Continental-Plaza 1, 30175 Hannover, Germany
(74)【代理人】
【識別番号】100114890
【弁理士】
【氏名又は名称】アインゼル・フェリックス=ラインハルト
(74)【代理人】
【識別番号】100098501
【弁理士】
【氏名又は名称】森田 拓
(74)【代理人】
【識別番号】100116403
【弁理士】
【氏名又は名称】前川 純一
(74)【代理人】
【識別番号】100134315
【弁理士】
【氏名又は名称】永島 秀郎
(74)【代理人】
【識別番号】100162880
【弁理士】
【氏名又は名称】上島 類
(72)【発明者】
【氏名】イ ウァン
(72)【発明者】
【氏名】ヴィジャーライ スリャクマー
(57)【要約】
開示される主題は、車両のセキュリティを検証する方法を提供する、暗号及び車両セキュリティの分野に関する。所定ゾーンのゾーンマスタECUに統合される認証システムは、認証要求が存在する場合、ゾーンマスタECUに関連付けられた複数のプライマリECUのそれぞれから、予め割り当てられた署名付き固有暗号鍵シェアを要求する。その後、認証システムは、所定の数の鍵シェアを使用して、所定ゾーンの第1の固有署名を計算し、且つ公開鍵を使用して、計算された第1の固有署名の有効性を検証し得る。最終的に、検証された第1の固有署名は、ゾーンマスタECUに関連付けられた車両マスタECUに提供されて、それが、プライマリECUに関連付けられた安全機能を起動することを可能にする。その後、複数のセカンダリECUのために同じ方法を繰り返す。本開示は、車両のセキュリティの高速で非逐次的な単一ステップの検証を達成することを可能にする。
【特許請求の範囲】
【請求項1】
車両のセキュリティを検証する方法であって、前記車両(101)の車載ネットワークは、所定ゾーン(105)に分割され、及び前記所定ゾーン(105)のそれぞれは、プライマリECU(111)又はセカンダリECU(113)の少なくとも1つに分類される複数のECUを備え、更に、各所定ゾーン(105)は、前記対応する所定ゾーンの前記複数のECUのそれぞれに関連付けられたゾーンマスタECU(107)を含み、前記方法は、所定ゾーン(1051)のゾーンマスタECU(107)に統合される認証システム(109)により、車載ネットワークにおいて認証要求が存在する場合、前記ゾーンマスタECU(107)に関連付けられた複数のプライマリECU(111)から、予め割り当てられた署名付き固有暗号鍵シェアを要求することと、
前記認証システム(109)により、前記複数のプライマリECU(111)から受信された所定の数(K-1)の前記予め割り当てられた署名付き固有暗号鍵シェアを使用して、前記所定ゾーンの第1の固有署名を計算することと、
前記認証システム(109)により、公開鍵を使用して、前記計算された第1の固有署名の有効性を検証して、前記所定ゾーン(1051)内の前記複数のプライマリECU(111)のそれぞれを認証することと、
前記認証システム(109)により、前記検証された第1の固有署名を、各所定ゾーン(105)の前記ゾーンマスタECU(107)に関連付けられた車両マスタECU(103)に提供して、前記車両マスタECU(103)が、各所定ゾーン(105)の前記複数のプライマリECU(111)のそれぞれに関連付けられた安全機能を起動することを可能にすることと
を含む、方法。
【請求項2】
前記認証システム(109)により、前記複数のプライマリECU(111)の検証時、前記ゾーンマスタECU(107)に関連付けられた複数のセカンダリECU(113)のそれぞれから、予め割り当てられた署名付き固有暗号鍵シェアを要求することと、前記認証システム(109)により、前記複数のセカンダリECU(113)から受信された所定の数(K-1)の前記予め割り当てられた署名付き固有暗号鍵シェアを使用して、前記所定ゾーン(1051)の第2の固有署名を計算することと、
前記認証システム(109)により、前記公開鍵を使用して、前記計算された第2の固有署名の有効性を検証して、前記所定ゾーン(1051)内の前記複数のセカンダリECU(113)のそれぞれを認証することと、
前記認証システム(109)により、前記検証された第2の固有署名を、各所定ゾーン(105)の前記ゾーンマスタECU(107)に関連付けられた前記車両マスタECU(103)に提供して、前記車両マスタECU(103)が、各所定ゾーン(105)の前記複数のセカンダリECU(113)のそれぞれに関連付けられた他の機能を起動することを可能にすることと
を更に含む、請求項1に記載の方法。
【請求項3】
前記所定の数(K-1)の前記固有暗号鍵シェアは、先着順(FCFS)技法、ランダム選択技法又はルールベース技法の1つに基づいて選択される、請求項1に記載の方法。
【請求項4】
前記計算された第1の固有署名及び第2の固有署名の前記有効性を検証するために、前記対応するゾーンマスタECU(107)に関連付けられたストレージユニットから、各所定ゾーンのための前記公開鍵を取得することを含む、請求項1に記載の方法。
【請求項5】
前記複数のプライマリECU(111)から受信された前記予め割り当てられた署名付き固有暗号鍵シェアを、乱数を使用して暗号化することを含む、請求項1に記載の方法。
【請求項6】
式Sig(ECUi)=myi mod N
を使用して、前記予め割り当てられた固有暗号鍵シェアのそれぞれに署名することを含み、式中、「i」は、整数(1、2...n)であり、「m」は、予め構成された値であり、「y」は、前記固有暗号鍵シェアであり、「N」は、前記公開鍵であり、及びmod Nは、所定のモジュラ演算技法を使用して特定される前記公開鍵のモジュロである、請求項1に記載の方法。
【請求項7】
式Sig(ECU1+ECU2+,...,+ECUk-1)=mS mod N
を使用して、前記固有の第1の署名及び固有の第2の署名を計算することを含み、式中、Sig(ECU1+ECU2+,...,+ECUk-1)は、前記複数のプライマリECU(111)又は前記複数のセカンダリECU(113)の少なくとも1つから受信された署名付き固有暗号鍵シェアを示し、「m」は、予め構成された値であり、「S」は、(y1+y2,...,+yk-1)に等しく、ここで、「y」は、前記固有暗号鍵シェアであり、「K-1」は、前記固有の第1の署名又は前記固有の第2の署名を計算するために必要とされる固有暗号鍵シェアの所定の数を示し、「N」は、前記公開鍵であり、及びmod Nは、所定のモジュラ演算技法を使用して特定される前記公開鍵のモジュロである、請求項1に記載の方法。
【請求項8】
車両(101)のセキュリティを検証するための認証システム(109)であって、前記車両(101)の車載ネットワークは、所定ゾーン(105)に分割され、及び前記所定ゾーン(105)のそれぞれは、プライマリECU(111)又はセカンダリECU(113)の少なくとも1つに分類される複数のECUを備え、更に、各所定ゾーン(105)は、前記対応する所定ゾーンの前記複数のECUのそれぞれに関連付けられたゾーンマスタECU(107)を含み、前記認証システム(109)は、プロセッサ(115)と、
前記プロセッサ(115)に通信可能に結合されるメモリ(119)であって、プロセッサ命令を格納し、前記プロセッサ命令は、実行時、前記プロセッサ(119)に、
車載ネットワークにおいて認証要求が存在する場合、前記ゾーンマスタECU(107)に関連付けられた複数のプライマリECU(111)から、予め割り当てられた署名付き固有暗号鍵シェアを要求することと、
前記複数のプライマリECU(111)から受信された所定の数(K-1)の前記予め割り当てられた署名付き固有暗号鍵シェアを使用して、前記所定ゾーン(1051)の第1の固有署名を計算することと、
公開鍵を使用して、前記計算された第1の固有署名の有効性を検証して、前記所定ゾーン(1051)内の前記複数のプライマリECU(111)のそれぞれを認証することと、
前記検証された第1の固有署名を、各所定ゾーン(105)の前記ゾーンマスタECU(107)に関連付けられた車両マスタECU(103)に提供して、前記車両マスタECU(103)が、各所定ゾーン(105)の前記複数のプライマリECU(111)のそれぞれに関連付けられた安全機能を起動することを可能にすることと
を行わせる、メモリ(119)と
を含む、認証システム(109)。
【請求項9】
前記プロセッサ(115)は、前記複数のプライマリECU(111)の検証時、前記ゾーンマスタECU(107)に関連付けられた複数のセカンダリECU(113)のそれぞれから、予め割り当てられた署名付き固有暗号鍵シェアを要求することと、
前記複数のセカンダリECU(113)から受信された所定の数(K-1)の前記予め割り当てられた署名付き固有暗号鍵シェアを使用して、前記所定ゾーン(1051)の第2の固有署名を計算することと、
前記公開鍵を使用して、前記計算された第2の固有署名の有効性を検証して、前記所定ゾーン(1051)内の前記複数のセカンダリECU(113)のそれぞれを認証することと、
前記検証された第2の固有署名を、各所定ゾーン(105)の前記ゾーンマスタECU(107)に関連付けられた前記車両マスタECU(103)に提供して、前記車両マスタECU(103)が、各所定ゾーン(105)の前記複数のセカンダリECU(113)のそれぞれに関連付けられた他の機能を起動することを可能にすることと
を行うように更に構成される、請求項8に記載の認証システム(109)。
【請求項10】
前記プロセッサ(115)は、先着順(FCFS)技法、ランダム選択技法又はルールベース技法の1つに基づいて、前記所定の数(K-1)の前記固有暗号鍵シェアを選択する、請求項8に記載の認証システム(109)。
【請求項11】
前記プロセッサ(115)は、前記計算された第1の固有署名及び第2の固有署名の前記有効性を検証するために、前記対応するゾーンマスタECU(107)に関連付けられたストレージユニットから、各所定ゾーン(105)のための前記公開鍵を取得する、請求項8に記載の認証システム(109)。
【請求項12】
前記複数のプライマリECU(111)から受信された前記予め割り当てられた署名付き固有暗号鍵シェアは、乱数を使用して暗号化される、請求項8に記載の認証システム(109)。
【請求項13】
前記プロセッサ(115)は、式Sig(ECUi)=myi mod N
を使用して、前記予め割り当てられた固有暗号鍵シェアのそれぞれに署名し、式中、「i」は、整数(1、2...n)であり、「m」は、予め構成された値であり、「y」は、前記固有暗号鍵シェアであり、「N」は、公開鍵であり、及びmod Nは、所定のモジュラ演算技法を使用して特定される前記公開鍵のモジュロである、請求項8に記載の認証システム(109)。
【請求項14】
前記プロセッサ(115)は、式Sig(ECU1+ECU2+,...,+ECUk-1)=mS mod N
を使用して、前記固有の第1の署名及び固有の第2の署名を計算し、式中、Sig(ECU1+ECU2+,...,+ECUk-1)は、前記複数のプライマリECU(111)又は前記複数のセカンダリECU(113)の少なくとも1つから受信された署名付き固有暗号鍵シェアを示し、「m」は、予め構成された値であり、「S」は、(y1+y2,...,+yk-1)に等しく、ここで、「y」は、前記固有暗号鍵シェアであり、「K-1」は、前記固有の第1の署名又は前記固有の第2の署名を計算するために必要とされる固有暗号鍵シェアの所定の数を示し、「N」は、公開鍵であり、及びmod Nは、所定のモジュラ演算技法を使用して特定される前記公開鍵のモジュロである、請求項8に記載の認証システム(109)。
【発明の詳細な説明】
【技術分野】
【0001】
本主題は、概して、暗号及び車両セキュリティの分野に関し、より詳細には、限定されないが、車両のセキュリティを検証するための方法及びシステムに関する。
【背景技術】
【0002】
近年、車両は、車載ネットワークを形成する多数の電子制御ユニット(ECU)を有している。これらのECUは、それらの機能性と、相手先商標製造会社(OEM)によって提供されるカスタマイズされた定義とに基づいて、クリティカルECU及び非クリティカルECUの1つに分類され得る。例えば、安全及びセキュリティ機能、アンチロックブレーキシステム(ABS)機能、パワートレイン機能、サラウンドビュー及び警告機能、ゲートウェイ機能等の車両の重要な機能を制御するECUは、クリティカルECUと見なされ得、インフォテインメントシステム機能、暖房、換気及び空調(HVAC)制御機能、パワーウィンドウ制御機能等の車両の他の非クリティカル機能を制御する残りのECUは、非クリティカルECUと見なされ得る。車両の始動フェーズ中、車両内に存在するECUは、車載ネットワーク内のECUの真正性を保証するためにセキュリティ検証を必要とする。換言すれば、セキュリティ検証は、車両のクリティカルECUが第三者の攻撃者/ハッカーによって操作されたかどうかを特定し得る。クリティカルECUが第三者の攻撃者/ハッカーによって操作された場合、車両は、車両の始動フェーズ後に第三者の攻撃者/ハッカーの制御下に置かれることになる。従って、始動フェーズ中にECU、少なくともクリティカルECUの真正性を検証することは、必須であるだけでなく、極めて重要である。
【0003】
既存のアプローチは、セキュリティ署名及びセキュリティ検証を適用してECUの真正性をチェックし、それらは、逐次的に実行され、それによりセキュリティ検証のためにより長い時間がかかり、従って最小始動時間を超えて始動フェーズ中の遅延を引き起こす。これは、ユーザ経験レベルを低下させる場合がある。また、セキュリティ検証を実行するために長い時間を要するかかる逐次的なアプローチは、最小始動時間で検証される必要ECUの低いカバレッジにつながる。かかる低いカバレッジは、始動フェーズ中にクリティカルECUのセキュリティ検証を見逃すことにつながる場合があり、重要なセキュリティ問題につながる可能性がある。
【0004】
現在、既存のアプローチは、検証時間を場合により短縮し、セキュリティ検証中のECのカバレッジを向上させる、非逐次的なセキュリティ検証のための機構を提供していない。
【0005】
本開示の背景のセクションに開示される情報は、本開示の一般的な背景の理解を高めるためのものにすぎず、この情報が、当業者に既に知られている従来技術を形成することの承認又は何らかの形式の示唆として解釈すべきではない。
【発明の概要】
【課題を解決するための手段】
【0006】
本明細書で開示されるのは、車両のセキュリティを検証する方法である。車両の車載ネットワークは、所定ゾーンに分割され、及び所定ゾーンのそれぞれは、プライマリECU及びセカンダリECUの少なくとも1つに分類される複数のECUを備える。各所定ゾーンは、対応する所定ゾーンの複数のECUのそれぞれに関連付けられたゾーンマスタECUを含む。本方法は、所定ゾーンのゾーンマスタECUに統合される認証システムにより、車載ネットワークに認証要求が存在する場合、ゾーンマスタECUに関連付けられた複数のプライマリECUから、予め割り当てられた署名付き固有暗号鍵シェアを要求することを含む。その後、本方法は、複数のプライマリECUから受信された所定の数(K-1)の予め割り当てられた署名付き固有暗号鍵シェアを使用して、所定ゾーンの第1の固有署名を計算することを含む。所定ゾーンの第1の固有署名を計算すると、本方法は、公開鍵を使用して、計算された第1の固有署名の有効性を検証して、所定ゾーン内の複数のプライマリECUのそれぞれを認証することを含む。最終的に、本方法は、検証された第1の固有署名を、各所定ゾーンのゾーンマスタECUに関連付けられた車両マスタECUに提供して、車両マスタECUが、各所定ゾーンの複数のプライマリECUのそれぞれに関連付けられた安全機能を起動することを可能にすることを含む。
【0007】
更に、本開示は、車両のセキュリティを検証するための認証システムを開示する。車両の車載ネットワークは、所定ゾーンに分割され、及び所定ゾーンのそれぞれは、プライマリECU及びセカンダリECUの少なくとも1つに分類される複数のECUを備える。各所定ゾーンは、対応する所定ゾーンの複数のECUのそれぞれに関連付けられたゾーンマスタECUを含む。認証システムは、プロセッサと、プロセッサに通信可能に結合されるメモリとを含む。メモリは、プロセッサ命令を格納し、プロセッサ命令は、実行時、プロセッサに、車載ネットワークにおいて認証要求が存在する場合、ゾーンマスタECUに関連付けられた複数のプライマリECUから、予め割り当てられた署名付き固有暗号鍵シェアを要求させる。その後、プロセッサは、複数のプライマリECUから受信された所定の数(K-1)の予め割り当てられた署名付き固有暗号鍵シェアを使用して、所定ゾーンの第1の固有署名を計算する。所定ゾーンの第1の固有署名を計算すると、プロセッサは、公開鍵を使用して、計算された第1の固有署名の有効性を検証して、所定ゾーン内の複数のプライマリECUのそれぞれを認証する。最終的に、プロセッサは、検証された第1の固有署名を、各所定ゾーンのゾーンマスタECUに関連付けられた車両マスタECUに提供して、車両マスタECUが、各所定ゾーンの複数のプライマリECUのそれぞれに関連付けられた安全機能を起動することを可能にする。
【0008】
前述の概要は、単なる例示であり、決して限定することを意図するものではない。上記で説明した例示的な態様、実施形態及び特徴に加えて、更なる態様、実施形態及び特徴は、図面及び以下の詳細な説明を参照することによって明らかになるであろう。
【0009】
本開示に組み込まれ、その一部を構成する添付図面は、例示的な実施形態を図示し、且つ説明と共に、開示する原理を説明するのに役立つ。図において、参照番号の左端の数字は、その参照番号が最初に出現する図を識別する。同様の特徴及びコンポーネントを参照するために、図面全体を通して同じ番号が使用される。ここで、本主題の実施形態によるシステム及び/又は方法の幾つかの実施形態を、単なる例として添付の図面を参照して説明する。
【図面の簡単な説明】
【0010】
【図1A】本開示の幾つかの実施形態による、車両のセキュリティを検証するための例示的なアーキテクチャを示す。
【図1B】本開示の幾つかの実施形態による、車両のセキュリティを検証するための別の例示的なアーキテクチャを示す。
【図1C】本開示の幾つかの実施形態による、車両のセキュリティを検証するための例示的な認証システムの簡単なブロック図を示す。
【図2A】本開示の幾つかの実施形態による、車両のセキュリティを検証するための例示的な認証システムの詳細なブロック図を示す。
【図2B】本開示の幾つかの実施形態による、車両のセキュリティを検証するための例示的なシナリオを示す。
【図3】本開示の幾つかの実施形態による、車両のセキュリティを検証する方法を示すフローチャートを示す。
【図4】本開示と一致する実施形態を実装するための例示的なコンピュータシステムのブロック図である。
【発明を実施するための形態】
【0011】
本明細書中の任意のブロック図は、本主題の原理を具現化する例示的なシステムの概念図を表すことが当業者によって正しく認識されるべきである。同様に、任意のフローチャート、フローチャート、状態遷移図、擬似コード等は、コンピュータ読取可能媒体において実質的に表され、コンピュータ又はプロセッサが明示的に示されているか否かに関わらず、かかるコンピュータ又はプロセッサによって実行され得る様々なプロセスを表すことが正しく認識されるであろう。
【0012】
本明細書において、単語「例示的」とは、「例、事例又は例示としての役割を果たすこと」を意味するために本明細書で使用される。「例示的」として本明細書中に説明する本主題の任意の実施形態又は実装は、必ずしも他の実施形態よりも好ましいか又は有利であると解釈されない。
【0013】
本開示は、様々な改良形態及び代替形態に対する余地がある一方、それらの特定の実施形態を図面において例として示し、以下で詳細に説明する。しかし、本開示を、開示される形態に限定することを意図しておらず、逆に、本開示は、本開示の適用範囲内に入る全ての変更形態、均等物及び代替形態を包含するものであることを理解すべきである。
【0014】
用語「含む」、「含んでいる」、「包含する」又はそれらの任意の他の変形は、コンポーネント又はステップのリストを含むセットアップ、デバイス又は方法が、それらのコンポーネント又はステップのみを含むのではなく、明示的に列挙されていないか、又はかかるセットアップ、若しくはデバイス、若しくは方法に固有ではない他のコンポーネント若しくはステップを含み得るように、非排他的な包含をカバーすることを意図する。換言すれば、「ある~を含む」によって進められるシステム又は装置における1つ以上の要素は、それより多くの制約がなければ、システム又は方法における他の要素又は追加の要素の存在を排除しない。
【0015】
本明細書で開示されるのは、車両のセキュリティを検証するための方法及びシステムである。幾つかの実施形態において、車両は、車両コンポーネント間の内部通信を可能にするための車両内部の制御ユニット、センサ、機械部品並びに種々のシステム及びサブシステム等の車両コンポーネントを接続する車載ネットワークを含む。一実施形態において、車両の車載ネットワークは、所定ゾーンに分割され得、所定ゾーンのそれぞれは、複数の電子制御ユニット(ECU)を備え得る。幾つかの実施形態において、複数のECUは、プライマリECUとセカンダリECUとに分類され得る。幾つかの実施形態において、プライマリECUは、車両のクリティカル機能を実行し得るクリティカルECUであり得、セカンダリECUは、車両の非クリティカル機能を実行し得る非クリティカルECUであり得る。例えば、プライマリ/クリティカルECUは、安全及びセキュリティ機能、アンチロックブレーキシステム(ABS)機能、パワートレイン機能、サラウンドビュー及び警告機能、ゲートウェイ機能等の車両のクリティカル機能を実行し、残りのECU、即ちセカンダリ/非クリティカルECUは、インフォテインメントシステム機能、暖房、換気及び空調(HVAC)制御機能、パワーウィンドウ制御機能等の車両の非クリティカル機能を実行し得る。
【0016】
更に、車載ネットワークの各所定ゾーンは、対応する所定ゾーンの複数のECUのそれぞれに関連付けられたゾーンマスタECUを含み得る。車載ネットワーク内の各ゾーンマスタECUは、認証システムと統合され得る。本開示は、認証システムと統合されるゾーンマスタECUのみによって実行され得る。本方法は、本開示において、車両内の所定ゾーンに属する1つのゾーンマスタECUの観点から説明される。しかし、これは、単に例示及び理解の容易さの目的のためであり、本開示の限定として解釈されるべきではない。
【0017】
認証システムは、車載ネットワークにおいて認証要求が存在する場合、ゾーンマスタECUに関連付けられた複数のプライマリECUのそれぞれから、予め割り当てられた署名付き固有暗号鍵シェアを要求し得る。複数のプライマリECUから受信された予め割り当てられた署名付き固有暗号鍵シェアを受信すると、認証システムは、複数のプライマリECUから受信された所定の数(K-1)の予め割り当てられた署名付き固有暗号鍵シェアを使用して、所定ゾーンの第1の固有署名を計算し得る。幾つかの実施形態において、予め割り当てられた署名付き固有暗号鍵シェアの所定の数(K-1)は、車両の製造時又は所定ゾーンのそれぞれにおけるゾーンマスタECUの設置時に定義/計算され得る。一例として、所定の数(K-1)は、3であり得、これは、認証システムが、複数のプライマリECUから受信された3つの予め割り当てられた署名付き固有暗号鍵シェアのみを使用して、所定ゾーンの第1の固有署名を計算し得ることを意味する。しかし、これは、所定の数(K-1)が変化し得、動的に構成可能であり得るため、限定として解釈すべきではない。幾つかの実施形態において、第1の固有署名を計算するために選択される3つの予め割り当てられた署名付き固有暗号鍵シェアは、ECUによって最初に受信される3つの予め割り当てられた署名付き固有暗号鍵シェアであり得る。幾つかの他の実施形態において、第1の固有署名を計算するために選択される3つの予め割り当てられた署名付き固有暗号鍵シェアは、受信された予め割り当てられた署名付き固有暗号鍵シェアの中からランダムに選択され得る。更に他の実施形態において、第1の固有署名を計算するために選択される3つの予め割り当てられた署名付き固有暗号鍵シェアは、ルールに基づいて選択され得る。例えば、ルールは、「第1の固有署名を生成するために、アンチロックブレーキシステムに関連するクリティカルECUから受信された予め割り当てられた署名付き固有暗号鍵シェアを選択する」ことを示し得る。
【0018】
その後、認証システムは、所定ゾーンの公開鍵を使用して、計算された第1の固有署名の妥当性を検証して、対応する所定ゾーン内の複数のプライマリECUのそれぞれを認証し得る。第1の固有署名の検証時、認証システムは、検証された第1の固有署名を、各所定ゾーンのゾーンマスタECUに関連付けられた車両マスタECUに提供して、車両マスタECUが、各所定ゾーンの複数のプライマリECUのそれぞれに関連付けられた安全機能を起動することを可能にし得る。複数のプライマリECUを最初に検証すると、認証システムは、次いで、複数のプライマリECUについて上記で開示したものと同じ方法を使用して、複数のセカンダリECUを検証し得る。
【0019】
本開示において、プライマリECU(クリティカルECU)が最初に検証され、次にセカンダリECU(非クリティカルECU)が検証される。クリティカルECUが第三者の攻撃者によって攻撃されると、車両のセキュリティを完全に危険にさらし、車両の制御を第三者の攻撃者に引き渡す可能性がある。従って、クリティカルECUを最初に認証することは、車両の最も重要なECUの真正性を完全なカバレッジでチェックすることを可能にするだけでなく、高いセキュリティを保証する。その上、本開示において開示する方法は、所定ゾーンの各ECUを次々に認証する逐次的な方法ではなく、むしろ、本開示において開示する方法は、所定ゾーンのそれぞれにおいて、また各ゾーン内のプライマリECUから受信された所定の数(K-1)の鍵シェアのみにより、並列検証を可能にする。従って、本開示は、各ECUからの応答を待ってそのECUを認証する必要性を排除する。むしろ、本開示は、所定ゾーン内の(K-1)数のプライマリECUから受信された(K-1)の鍵シェアを使用することを可能にし、(K-1)の鍵シェアを使用して計算される固有署名に基づいて、そのゾーン内のプライマリECUのそれぞれを一気に認証する。本開示において、検証の逐次的アプローチは排除され、検証の並列アプローチ、即ち各所定ゾーンにおける並列検証及びまた各所定ゾーン内の単一ステップ検証が行われる。かかる並列検証及び単一ステップ検証は、例えば、車両の始動フェーズ中に認証要求が存在する場合、ECUの真正性を検証するのにかかる時間を短縮する。その上、(K-1)の鍵シェアのみが、所定ゾーン内のECUのオンショット検証に使用される第1/第2の固有署名を計算するために使用されるため、真正性を検証するために必要とされる時間は、既存の技法と比較して更に短縮される。加えて、本開示において、セカンダリECUは、それらの非クリティカルな性質により、プライマリECUの後に真正性について検証される。従って、(始動自体に必要とされる)プライマリECUの検証の後に、始動フェーズの後であってもセカンダリECUの真正性を検証することは、車載ネットワークに害を与えない場合がある。その上、始動後の遅いステージでセカンダリ/非クリティカルECUの検証を実行することは、始動フェーズでのプライマリ/クリティカルECUの検証の速度を向上させる可能性があり、始動フェーズ中の不必要な遅延を排除し、始動フェーズでのプライマリ/クリティカルECUのカバレッジを向上させ、また高速始動につながるクリティカルセキュリティヘルスチェックのより高速な検証により、ユーザ経験を向上させる。
【0020】
互いに通信する幾つかのコンポーネントを有する実施形態の説明は、全てのかかるコンポーネントが必要とされることを意味するものではない。反対に、様々な任意のコンポーネントは、本開示の多種多様な可能な実施形態を例示するために説明される。
【0021】
本開示の実施形態の以下の詳細な説明において、この一部を形成し、本開示が実施され得る特定の実施形態を例示として示す添付図面を参照する。これらの実施形態は、当業者が本開示を実施することを可能にするために十分に詳細に説明し、他の実施形態が利用され得、本開示の適用範囲から逸脱することなく変更形態がなされ得ることを理解されたい。以下の説明は、従って、限定する意味で取るべきではない。
【0022】
図1Aは、本開示の幾つかの実施形態による、車両のセキュリティを検証するための例示的なアーキテクチャを示す。
【0023】
車載ネットワークのアーキテクチャ100は、車両101と、車両マスタ電子制御ユニット(ECU)103と、所定ゾーン1051~所定ゾーン105n(所定ゾーン105と総称する)と、ゾーンマスタECU1071~ゾーンマスタECU107n(ゾーンマスタECU107と総称する)と、認証システム1091~認証システム109n(認証システム109と総称する)と、プライマリECU1111~プライマリECU111n(複数のプライマリECU111と総称する)と、セカンダリECU1131~セカンダリECU113n(複数のセカンダリECU113と総称する)とを含む。幾つかの実施形態において、車載ネットワークは、様々なECU、センサ、機械部品並びに様々なシステム及びサブシステムが車両101内部で通信するネットワークであり得る。一例として、車両101は、車載ネットワークを介して通信することができるECU及びシステムと統合される自動車、バス、トラック、貨物自動車等であり得る。幾つかの実施形態において、車両101は、自律車両又は非自律車両であり得る。幾つかの実施形態において、車載ネットワークは、所定ゾーンに分割され得る。所定ゾーンは、例えば、同様の種類の機能に関連するECU、異なる種類の機能に関連するECU、同じ又は異なるレベルのクリティカリティに関連するECU等を含む車載ネットワーク内部のエリアであり得る。一例として、「安全システムゾーン」は、安全に関連するECU、例えば、アンチロックブレーキシステム(ABS)、補助拘束システム(SRS)及び緊急ブレーキアシスト(EBA)等のECUを含む所定ゾーンであり得る。別の例において、「パワートレイン制御ゾーン」は、エンジン制御、トランスミッション制御及びオイル供給制御に関連するECUを含む所定ゾーンであり得る。幾つかの実施形態において、車両101の各所定ゾーン105に属する複数のプライマリECU111及び複数のセカンダリECU113は、機能に関連付けられ得る。幾つかの実施形態において、複数のプライマリECU111は、車両101のクリティカル機能を実行し得るクリティカルECUであり得、複数のセカンダリECU113は、複数のプライマリECU111によって実行される機能と異なる車両101の機能を実行し得る非クリティカルECUであり得る。例えば、複数のプライマリ/クリティカルECU111は、安全及びセキュリティ機能、アンチロックブレーキシステム(ABS)機能、パワートレイン機能、サラウンドビュー及び警告機能、ゲートウェイ機能等の車両101のクリティカル機能を実行し得、残りのECU、即ちセカンダリ/非クリティカルECU113は、インフォテインメントシステム機能、暖房、換気及び空調(HVAC)制御機能、パワーウィンドウ制御機能等の複数のプライマリECU111の機能と異なる車両の機能を実行し得る。幾つかの実施形態において、複数のプライマリECU111のそれぞれ及び複数のセカンダリECU113のそれぞれは、互いに通信する。幾つかの実施形態において、複数のプライマリECU113のそれぞれは、セキュア通信、例えば、暗号化通信又は認証通信を介して互いに通信する。
【0024】
幾つかの実施形態において、図1Aに示すように、車載ネットワークは、所定ゾーン1051~105nに分割され得る。車載ネットワークの各所定ゾーン105は、1つのゾーンマスタECU107を含み得る。更に、各ゾーンマスタECU107は、対応する所定ゾーン105内部の複数のプライマリECU111及び複数のセカンダリECU113に通信可能に接続され得る。例えば、図1Bに示すように、所定ゾーン1051は、ゾーンマスタECU1071を含み得、これは、プライマリECU111A及びセカンダリECU113Aに通信可能に更に接続される。プライマリECU111Aは、プライマリECU111A.1及びプライマリECU111A.2に更に通信可能に接続され得る。セカンダリECU113Aは、更に、セカンダリECU113A.1及びセカンダリECU113A.2に通信可能に接続され得る。更に、例えば、図1Bに示すように、所定ゾーン1052は、ゾーンマスタECU1072を含み得、これは、プライマリECU111B及びセカンダリECU113Bに通信可能に更に接続される。プライマリECU111Bは、更に、プライマリECU111B.1に通信可能に接続され得る。セカンダリECU113Bは、更に、セカンダリECU113B.1及びセカンダリECU113B.2に通信可能に接続され得る。図1A及び図1Bに図示するような所定ゾーン105内部の複数のプライマリECU111及び複数のセカンダリECU113の配置は、純粋に例示的なものであり、配置は、車両、車両のモデル、車両によって提供される特徴等に基づいて異なるか又は変更され得る。従って、図1A及び図1Bに示すような配置は、限定として解釈されるべきではない。これは、単に読者の理解のためものである。
【0025】
更に、各ゾーンマスタECU107は、認証システム109と統合され得る。図1Aに示すように、ゾーンマスタECU1071は、認証システム1091と統合され得、同様に、ゾーンマスタECU107nは、認証システム109nと統合され得る。幾つかの実施形態において、所定ゾーン1051~105nにそれぞれ属するゾーンマスタ1071~107nは、通信ネットワーク(図1Aには図示せず)を介して車両マスタECU103に接続され得る。幾つかの実施形態において、通信ネットワークは、有線通信ネットワーク又は無線通信ネットワークの1つであり得る。
【0026】
以下、本開示の方法を、1つの認証システム109、例えば1091に関して開示する。しかし、同じ方法が車載ネットワーク内部の各所定ゾーン1051~105nに統合される各認証システム1091~109nによって実行されるため、これを限定として解釈すべきではない。幾つかの実施形態において、図1Cに示すように、認証システム1091は、プロセッサ1151と、入力/出力(I/O)インターフェース1171と、メモリ1191とを含み得る。プロセッサ1151は、車載ネットワークにおいて認証要求が存在する場合、ゾーンマスタECU1051に関連付けられた複数のプライマリECU111Aのそれぞれから、予め割り当てられた署名付き固有暗号鍵シェアを要求し得る。幾つかの実施形態において、予め割り当てられた署名付き固有暗号鍵シェアは、本開示において開示する方法を実行する前に、署名付き固有暗号鍵シェアを生成し、生成された署名付き固有暗号鍵シェアを複数のプライマリECU111A及びセカンダリECU113Aのそれぞれに割り当てるプロセスを実行することにより存在する。幾つかの実施形態において、署名付き固有暗号鍵シェアを生成し、生成された署名付き固有暗号鍵シェアを車載ネットワーク内の種々のECUに割り当てる概念及びプロセスは、英国特許出願第2108705.1号明細書、発明の名称「A METHOD AND SYSTEM FOR SECRET KEY SHARING FOR AN IN-VEHICLE NETWORK」に開示されている。英国特許出願第2108705.1号明細書の開示全体は、参照として本明細書中に含まれる。
【0027】
I/Oインターフェース1171は、ゾーンマスタECU1071に関連付けられた複数のプライマリECU111Aのそれぞれから、予め割り当てられた署名付き固有暗号鍵シェアを受信し得る。幾つかの実施形態において、複数のプライマリECU111Aから受信された予め割り当てられた署名付き固有暗号鍵シェアのそれぞれは、乱数又はノンスを使用して暗号化され得る。更に、プロセッサ1151は、複数のプライマリECU111Aから受信された所定の数(K-1)の予め割り当てられた署名付き固有暗号鍵シェアを使用して、所定ゾーン1051の第1の固有署名を計算し得る。幾つかの実施形態において、予め割り当てられた署名付き固有暗号鍵シェアの所定の数(K-1)は、車両101の製造時又は各所定ゾーン1051~105nのゾーンマスタECU1071~107nの設置時に定義され得る。一例として、所定の数(K-1)は、3であり得、これは、認証システムが、所定ゾーン1051の複数のプライマリECU111Aから受信された3つの予め割り当てられた署名付き固有暗号鍵シェアのみを使用して、所定ゾーンの第1の固有署名を計算し得ることを意味する。しかし、これは、所定の数(K-1)が変化し得、動的に構成可能であり得るため、限定として解釈すべきではない。幾つかの実施形態において、所定の数(K-1)の固有暗号鍵シェアは、先着順(FCFS)技法、ランダム選択技法又はルールベース技法の1つに基づいて選択される。その後、プロセッサ1151は、公開鍵を使用して、計算された第1の固有署名の有効性を検証して、所定ゾーン1051内の複数のプライマリECU111Aのそれぞれを認証し得る。幾つかの実施形態において、公開鍵は、暗号化及び認証の目的のために使用される数値であり得る。幾つかの実施形態において、各所定ゾーン105のための公開鍵は、計算された第1の固有署名の有効性を検証するために、対応するゾーンマスタECU107に関連付けられたストレージユニット(図1A及び図1Bには図示せず)から取得される。計算された第1の固有署名の有効性の検証時、プロセッサ1151は、検証された第1の固有署名を、各所定ゾーン1051~105nのゾーンマスタECU1071~107nに関連付けられた車両マスタECU103に提供し得る。幾つかの実施形態において、車両マスタECU103は、図1Bの例示的なシナリオに示すように、検証された第1の固有署名を使用して、所定ゾーン1051及び1052の複数のプライマリECU111A及び111Bのそれぞれに関連付けられた安全機能を起動し得る。しかし、「n」個のプライマリECUが存在する場合、車両マスタECU103は、検証された第1の固有署名を使用して、所定ゾーン1051及び105nの「n」個のプライマリECUのそれぞれに関連付けられた安全機能を起動し得る。
【0028】
幾つかの実施形態において、所定ゾーン1051の複数のプライマリECU111Aのためのセキュリティ検証を実行すると、プロセッサ1151は、所定ゾーン1051の複数のセカンダリECU113Aのセキュリティ検証を実行し得る。幾つかの実施形態において、複数のセカンダリECU113Aは、クリティカル機能を有するECUを、非クリティカル機能を有するECUよりも優先させるために、複数のプライマリECU111Aの検証後に検証され得る。所定ゾーン1051の複数のセカンダリECU113Aを検証するために、プロセッサ1151は、ゾーンマスタECU1071に関連付けられた複数のセカンダリECU113Aのそれぞれから、予め割り当てられた署名付き固有暗号鍵シェアを要求し得る。幾つかの実施形態において、プロセッサ1151は、複数のセカンダリECU113Aから受信された予め割り当てられた所定の数(K-1)の署名付き固有暗号鍵シェアを使用して、所定ゾーン1051の第2の固有署名を計算し得る。その後、プロセッサ1151は、公開鍵を使用して、計算された第2の固有署名の有効性を検証して、所定ゾーン内の複数のセカンダリECUのそれぞれを認証し、検証された第2の固有署名を、各所定ゾーン1051~105nのゾーンマスタECU1071~107nに関連付けられた車両マスタECU103に提供し得る。幾つかの実施形態において、車両マスタECU103は、図1Bの例示的なシナリオに示すように、検証された第2の固有署名を使用して、所定ゾーン1051及び105nの複数のセカンダリECU113A及び113Bのそれぞれに関連付けられた他の機能を起動し得る。しかし、「n」個のセカンダリECUが存在する場合、車両マスタECU103は、検証された第2の固有署名を使用して、所定ゾーン1051及び105nの「n」個のセカンダリECUのそれぞれに関連付けられた安全機能を起動し得る。
【0029】
従って、車両101のセキュリティを検証する方法は、車載ネットワークにおいて認証要求が存在する度に実行される反復サイクルであり得る。
【0030】
図2Aは、本開示の幾つかの実施形態による、車両のセキュリティを検証するための認証システム109の詳細なブロック図を示す。
【0031】
幾つかの実装形態において、各ゾーンマスタ電子制御ユニット(ECU)107に統合される認証システム109は、データ203及びモジュール205を含み得る。一例として、データ203は、図2Aに示すように、認証システム109のメモリ119に格納される。一実施形態において、データ203は、鍵共有データ207、署名データ209及び他のデータ211を含み得る。図2Aにおいて、モジュール205を本明細書中で詳細に説明する。
【0032】
幾つかの実施形態において、データ203は、様々なデータ構造の形態でメモリ119に格納され得る。加えて、データ203は、リレーショナル又は階層データモデル等のデータモデルを使用して整理することができる。他のデータ215は、認証システム109の様々な機能を実行するためのモジュール205によって生成される、所定ゾーン105の公開鍵、所定の数(K-1)の固有暗号鍵シェア、一時データ及び一時ファイルを含むデータを格納し得る。
【0033】
幾つかの実施形態において、鍵共有データ207は、所定ゾーン105に属するゾーンマスタECU107に関連付けられた複数のプライマリECU111のそれぞれから受信された予め割り当てられた署名付き固有暗号鍵シェアを含み得る。幾つかの実施形態において、認証システム109は、車載ネットワークにおいて認証要求が存在する場合に鍵共有データ207を受信し得る。
【0034】
幾つかの実施形態において、署名データ209は、所定ゾーン105の第1の固有署名と、所定ゾーン105の第2の固有署名とを含み得る。幾つかの実施形態において、所定ゾーン105の第1の固有署名は、所定ゾーン105内に存在する複数のプライマリECU111に関連する場合があり、所定ゾーン105の第2の固有署名は、所定ゾーン105内に存在する複数のセカンダリECU113に関連する場合がある。第1の固有署名は、複数のプライマリECU111から受信された所定の数(K-1)の予め割り当てられた署名付き固有暗号鍵シェアを使用して特定され得る。同様に、第2の固有署名は、複数のセカンダリECU113から受信された所定の数(K-1)の予め割り当てられた署名付き固有暗号鍵シェアを使用して特定され得る。幾つかの実施形態において、第1の固有署名及び第2の固有署名は、鍵共有データ207が複数のプライマリECU111及びセカンダリECU113から受信される度に計算され得る。換言すれば、第1の固有署名及び第2の固有署名は、車両101の始動フェーズ又は任意の他のフェーズ中に認証要求が存在する度に計算され得る。
【0035】
幾つかの実施形態において、メモリ119に格納されるデータ203は、認証システム109のモジュール205によって処理され得る。モジュール205は、メモリ119内部に格納され得る。一例において、認証システム109のプロセッサ115に通信可能に結合されるモジュール205は、図2Aに示すようにメモリ119の外部に存在し、ハードウェアとして実装され得る。本明細書中で使用される場合、用語モジュール205とは、特定用途向け集積回路(ASIC)、電子回路、1つ以上のソフトウェア又はファームウェアプログラムを実行するプロセッサ(共有、専用又はグループ)及びメモリ、組合せ論理回路及び/又は説明された機能を提供する他の適切なコンポーネントを指し得る。
【0036】
幾つかの実施形態において、モジュール205は、例えば、署名計算モジュール221と、受信モジュール223と、署名検証モジュール225と、送信モジュール227と、他のモジュール229とを含み得る。他のモジュール229は、認証システム109の様々な雑多な機能を実行するために使用され得る。かかる前述のモジュール205は、単一のモジュール又は異なるモジュールの組み合わせとして表され得ることが正しく認識されるであろう。
【0037】
幾つかの実施形態において、署名計算モジュール221は、車載ネットワークにおいて認証要求が存在する場合、ゾーンマスタECU107に関連付けられた複数のプライマリECU111のそれぞれから、予め割り当てられた署名付き固有暗号鍵シェアを要求し得る。一例として、以下の方法の更なる説明のために、モジュール205が、所定ゾーン1051に属するゾーンマスタECU1071の認証システム1091内に存在すると考える。従って、署名計算モジュール221は、ゾーンマスタECU1071に関連付けられた複数のプライマリECU111Aのそれぞれから、予め割り当てられた署名付き固有暗号鍵シェアを要求し得る。幾つかの他の実施形態において、署名計算モジュール221は、ゾーンマスタECU1071に関連付けられた複数のプライマリECU111Aの幾つかから、予め割り当てられた署名付き固有暗号鍵シェアを要求し得る。しかし、複数のプライマリECU111Aの幾つかは、第1の固有署名を計算するために必要とされる予め割り当てられた署名付き固有暗号鍵シェアの所定の数(K-1)よりも大きくなければならない。幾つかの実施形態において、認証要求は、車載ネットワークの各所定ゾーン105に統合される複数のプライマリECU111及び/又は複数のセカンダリECU113を認証するための要件を示す任意の通知であり得る。幾つかの実施形態において、認証要求は、車両101の始動フェーズで生じ得る。幾つかの他の実施形態において、認証要求は、車両101の始動後に生じ得、換言すれば、認証要求は、所定のイベントの少なくとも1つの発生がある場合に生じ得る。一例として、所定のイベントは、イグニッションオン/オフ状態、ECUのウェイクアップモード、ECUのスリープモード、バス回復状態、所定の種類のメッセージ又はデータの受信及び所定の種類のメッセージ又はデータの送信等であり得る。
【0038】
その後、受信モジュール223は、複数のプライマリECU111Aから受信された予め割り当てられた署名付き固有暗号鍵シェアを受信し得る。幾つかの実施形態において、本開示において開示する方法を実行する前に、署名付き固有暗号鍵シェアを生成し、生成された署名付き固有暗号鍵シェアを車載ネットワーク内の種々のECUに割り当てる概念及びプロセスは、英国特許出願第2108705.1号明細書、発明の名称「A METHOD AND SYSTEM FOR SECRET KEY SHARING FOR AN IN-VEHICLE NETWORK」に開示されている。英国特許出願第2108705.1号明細書の開示全体は、参照として本明細書中に含まれる。幾つかの実施形態において、複数のプライマリECU111Aから従って受信する予め割り当てられた署名付き固有暗号鍵シェアは、乱数又はノンスを使用して暗号化され得る。幾つかの他の実施形態において、複数のプライマリECU111Aから従って受信する予め割り当てられた署名付き固有暗号鍵シェアは、プレーンテキストフォーマットであり得る。幾つかの実施形態において、固有暗号鍵シェアのそれぞれは、割り当てに先立って署名され得る。例えば、固有暗号鍵シェアは、以下の式1使用して署名され得る。
Sig(ECUi)=myi mod N - 式1
上記の式1において、
「i」は、整数(1、2...n)を指し得、
「m」は、予め構成された値を指し得、
「y」は、固有暗号鍵シェアを指し得、従って、y1、y2、...、ykは、ゾーンマスタECU1071の元の暗号鍵の固有暗号鍵シェアであり、
「N」は、公開鍵を指し得、
「mod N」は、所定のモジュラ演算技法を使用して特定される公開鍵のモジュロを指し得る。
Sig(ECUi)=myi mod N - 式1
上記の式1において、
「i」は、整数(1、2...n)を指し得、
「m」は、予め構成された値を指し得、
「y」は、固有暗号鍵シェアを指し得、従って、y1、y2、...、ykは、ゾーンマスタECU1071の元の暗号鍵の固有暗号鍵シェアであり、
「N」は、公開鍵を指し得、
「mod N」は、所定のモジュラ演算技法を使用して特定される公開鍵のモジュロを指し得る。
【0039】
幾つかの実施形態において、署名計算モジュール221は、次いで、複数のプライマリECUから受信された予め割り当てられた所定の数(K-1)の署名付き固有暗号鍵シェアを使用して、所定ゾーンの第1の固有署名を計算し得る。一例として、所定の数(K-1)は、3であり得、これは、認証システムが、所定ゾーン1051の複数のプライマリECU111Aから受信された3つの予め割り当てられた署名付き固有暗号鍵シェアのみを使用して、所定ゾーンの第1の固有署名を計算し得ることを意味する。しかし、これは、所定の数(K-1)が変化し得、動的に構成可能であり得るため、限定として解釈すべきではない。幾つかの実施形態において、所定の数(K-1)の予め割り当てられた固有暗号鍵シェアは、先着順(FCFS)技法、ランダム選択技法又はルールベース技法の1つに基づいて選択される。一例として、署名計算モジュール221は、3つのプライマリECUから受信された最初の3つの予め割り当てられた署名付き固有暗号鍵シェアを使用して、第1の固有署名を計算し得る。別の例において、署名計算モジュール221は、第1の固有署名を計算するために3つのプライマリECUから受信された3つの予め割り当てられた署名付き固有暗号鍵シェアをランダムに選択し得る。更に別の例において、署名計算モジュール221は、第1の固有署名を計算するために、1つ以上の所定のルールに基づいて3つの異なるECUから受信された3つの固有暗号鍵シェアを選択し得る。一例として、所定のルールが「第1の固有署名を計算するためにアンチロックブレーキング機能に関連するプライマリECUから受信された署名付き固有暗号鍵シェアを選択する」ことを示す場合、署名計算モジュール221は、アンチロックブレーキシステム(ABS)機能に関連する3つのプライマリECUから受信された3つの固有暗号鍵シェアを選択し、第1の固有署名を計算するためにそれらを使用し得る。
【0040】
幾つかの実施形態において、署名計算モジュール221は、以下の式2を使用して、所定ゾーン1051の複数のプライマリECU111Aから受信された予め割り当てられた署名付き固有暗号鍵シェアに基づいて第1の固有署名を計算し得る。
Sig(ECU1+ECU2+,...,+ECUk-1)=mS mod N - 式2
上記の式2において、
Sig(ECU1+ECU2+,...,+ECUk-1)は、複数のプライマリECUから受信された署名付き固有暗号鍵シェアの集約を示し、
「m」は、予め構成された値であり、
「S」は、(y1+y2,...,+yk-1)に等しく、ここで、「y」は、固有暗号鍵シェアであり、
「K-1」は、固有の第1の署名を計算するために必要とされる署名付き固有暗号鍵シェアの所定の数を示し、
「N」は、公開鍵であり、
「mod N」は、所定のモジュラ演算技法を使用して特定される公開鍵のモジュロである。
Sig(ECU1+ECU2+,...,+ECUk-1)=mS mod N - 式2
上記の式2において、
Sig(ECU1+ECU2+,...,+ECUk-1)は、複数のプライマリECUから受信された署名付き固有暗号鍵シェアの集約を示し、
「m」は、予め構成された値であり、
「S」は、(y1+y2,...,+yk-1)に等しく、ここで、「y」は、固有暗号鍵シェアであり、
「K-1」は、固有の第1の署名を計算するために必要とされる署名付き固有暗号鍵シェアの所定の数を示し、
「N」は、公開鍵であり、
「mod N」は、所定のモジュラ演算技法を使用して特定される公開鍵のモジュロである。
【0041】
上記の式2において、署名計算モジュール221は、複数のプライマリECU111Aから受信された(K-1)数の署名付き固有暗号鍵シェアを集約して、固有の第1の署名を取得し得る。幾つかの実施形態において、(K-1)数の署名付き固有暗号鍵シェアは、以下の形態で集約され得る。式2に示すように、mS mod N。「S」は、(K-1)数の署名付き固有暗号鍵シェアの合計、即ち(y1+y2,...,+yk-1)を示す。一例として、所定の数(K-1)が3であると考える。従って、第1の固有署名は、式2を使用して以下に示すように計算され得る。
Sig(ECU1+ECU2+ECU3)、即ち[固有の第1の署名]=m(y1+y2+y3)mod N
Sig(ECU1+ECU2+ECU3)、即ち[固有の第1の署名]=m(y1+y2+y3)mod N
【0042】
幾つかの実施形態において、各所定ゾーン105のための公開鍵「N」は、計算された第1の固有署名の有効性を検証するために、対応する所定ゾーン105の対応するゾーンマスタECU107に関連付けられたストレージユニットから取得される。幾つかの実施形態において、公開鍵「N」は、所定ゾーン105ごとに異なり得る。公開鍵「N」は、予め定義されたものの1つであり得るか、又は認証要求が存在する場合に動的に構成され得る。
【0043】
幾つかの実施形態において、第1の固有署名を計算すると、署名検証モジュール225は、計算された第1の固有署名の有効性を検証して、所定ゾーン1051内の複数のプライマリECU111Aのそれぞれを認証し得る。幾つかの実施形態において、計算された第1の署名の有効性は、所定ゾーン1051の公開鍵(N,e)を使用して検証され得る。幾つかの実施形態において、計算された第1の固有署名の有効性を検証することは、予め割り当てられた署名付き固有暗号鍵シェアの(K-1)のシェアを使用して形成される第1の固有署名が、元の暗号鍵に対応するかどうかをチェックすることを含み得る。幾つかの実施形態において、予め割り当てられた署名付き固有暗号鍵シェアの(K-1)のシェアの各組み合わせは、結果として異なる第1の固有署名を生じ得る。しかし、そのように形成される第1の固有署名は、所定ゾーン1051の元の暗号鍵に従うべきである。
【0044】
幾つかの実施形態において、第1の固有署名がゾーンマスタECU1051によって正常に検証された場合、送信モジュール227は、検証された固有の第1の署名を、各所定ゾーン1051~105nのゾーンマスタECU1071~107nに関連付けられた車両マスタECU103に提供し得る。同様に、ゾーンマスタECU1071~107nのそれぞれの送信モジュール227は、対応する検証された第1の固有署名を車両マスタECU103に送信し得る。幾つかの実施形態において、ゾーンマスタECU1071~107nのそれぞれから対応する検証された第1の固有署名を受信すると、車両マスタECU103は、車両101のセキュリティを全体として検証し得る。幾つかの実施形態において、車両101のセキュリティを全体として検証するために、車両マスタECU103は、ゾーンマスタECU1071~107nのそれぞれから受信された第1の固有署名の有効性が成功裏に検証されたかどうかを特定し得る。幾つかの実施形態において、所定ゾーン1051の第1の固有署名の有効性の検証の成功は、所定ゾーン1051内に存在する複数のプライマリECU111Aの真正性を示し得る。従って、所定ゾーン1051~105nのそれぞれの第1の固有署名が有効であると特定される場合、車両マスタECU103は、所定ゾーン1051~105nのそれぞれに存在する複数のプライマリECU111のそれぞれが有効であると特定し得、それにより複数のプライマリECU111のみが最初に認証されているため、車両101のセキュリティ又はより正確には車両101の重要なセキュリティを検証する。車両101のセキュリティの検証に成功すると、車両マスタECU103は、各所定ゾーン1051~105nの複数のプライマリECU111のそれぞれに関連付けられた1つ以上の安全機能を起動し得る。幾つかの実施形態において、安全機能は、車両に関連するクリティカル機能と同等であり得る。一例として、安全機能/クリティカル機能は、エアバッグ機能、アンチロックブレーキシステム(ABS)機能、パワートレイン機能、サラウンドビュー及び警告機能、ゲートウェイ機能等を含み得るが、これらに限定されない。第1の固有署名が所定ゾーン1051~105nのいずれに対しても有効ではないと特定された場合、車両マスタECU103は、複数のプライマリECU111の1つ以上が第三者の攻撃者/ハッカーによって攻撃されたと特定し得る。幾つかの他の実施形態において、第1の固有署名が所定ゾーン1051~105nのいずれに対しても有効ではないと特定された場合、対応するゾーンマスタECU107自体は、かかるセキュリティ違反に関して車両マスタECU103に通知し得、車両マスタECU103がかかるセキュリティ違反に対して適切な措置を講じることを可能にし得る。
【0045】
幾つかの実施形態において、所定ゾーン1051~105nのそれぞれにおける複数のプライマリECU111に対して車両101のセキュリティの検証時、認証システム109は、複数のセカンダリECU113に対して車両101のセキュリティを検証し得る。幾つかの実施形態において、認証システム109は、車両101のセキュリティを検証するために、上記で開示されたものと同じ方法を使用して、複数のセカンダリECU113に対して車両101のセキュリティを検証し得る。しかし、簡単に繰り返すと、署名計算モジュール221は、複数のプライマリECU111Aの検証時、ゾーンマスタECU1071に関連付けられた複数のセカンダリECU113Aのそれぞれから、予め割り当てられた署名付き固有暗号鍵シェアを要求し得る。その後、受信モジュール223は、複数のセカンダリECU113Aから受信された予め割り当てられた署名付き固有暗号鍵シェアを受信し得る。続いて、署名計算モジュール221は、複数のセカンダリECU113Aから受信された所定の数(K-1)の予め割り当てられた署名付き固有暗号鍵シェアを使用して、所定ゾーン1051の第2の固有署名を計算し得る。幾つかの実施形態において、署名計算モジュール221は、第1の固有署名を計算するために使用されるのと同じ式である式2を使用して、第2の固有署名を計算し得る。第2の固有署名を計算すると、署名検証モジュール225は、公開鍵(N,e)を使用して、計算された第2の固有署名の有効性を検証して、所定ゾーン1051内の複数のセカンダリECU113Aのそれぞれを認証し得る。その後、送信モジュール227は、検証された第2の固有署名を、所定ゾーン1051のゾーンマスタECU1071に関連付けられた車両マスタECU103に提供し得る。
【0046】
幾つかの実施形態において、車両マスタECU103は、第1の固有署名に基づいてセキュリティ検証を実行するために、本開示において上記で説明したように、所定ゾーン1051~105nのそれぞれのゾーンマスタECU1071~107nのそれぞれから第2の固有署名を受信して、車両のセキュリティを全体として検証し得る。幾つかの実施形態において、第2の固有署名に基づいて車両101のセキュリティの検証時、車両マスタECU103は、複数のセカンダリECU113のそれぞれに関連付けられた他の機能を起動し得る。幾つかの実施形態において、他の機能は、車両101の非クリティカル機能と同等であり得る。一例として、車両101の他の機能/非クリティカル機能は、インフォテインメントシステム機能、暖房、換気及び空調(HVAC)制御機能、パワーウィンドウ制御機能等を含み得るが、これらに限定されない。
【0047】
以下では、本開示のよりよい理解のために、1つ以上の例により、車両のセキュリティを検証するプロセスを説明する。しかし、1つ以上の例が本開示の限定と見なされるべきではない。
【0048】
図2Bに示すような例示的な図を考える。このシナリオにおいて、以下の表1に示すような車載ネットワークの配置を考える。
【0049】
【表1】
【0050】
車両始動フェーズが発生すると、車両101のECUの認証が必要となる。車両101のセキュリティの認証/検証が速いほど、ユーザ体験は、より良好になる。従って、迅速な始動を確実にするために、本開示は、最初に、最も重要な、各所定ゾーン105における複数のプライマリECU(クリティカルECU)111を検証し、次いでセカンダリECU(非クリティカルECU)113の検証が続く方法を開示する。本例示的シナリオにおいて、認証要求が存在する場合、並行して、表2に示すような以下の動作が、プライマリECUに対して、PZ-1及びPZ-2において発生する。
【0051】
【表2】
【0052】
VME103は、PZ-1のZME-1及びPZ-2のZME-2からそれぞれFUS-1及びFUS-2を受信し、プライマリ/クリティカルECU111の真正性及び有効性に基づいて車両101のセキュリティを検証する。クリティカルECUが第三者の攻撃者によって攻撃されると、車両101のセキュリティを完全に危険にさらし、車両101の制御を第三者の攻撃者に引き渡す可能性がある。従って、クリティカルECUを最初に認証することは、車両101の最も重要なECUの真正性を完全なカバレッジでチェックすることを可能にするだけでなく、高いセキュリティを保証する。その上、本開示において開示する方法は、所定ゾーンの各ECUを次々に認証する逐次的な方法ではなく、むしろ、本開示において開示する方法は、所定ゾーンのそれぞれにおいて、また各ゾーン内のプライマリECUから受信された所定の数(K-1)の鍵シェアのみにより、並列検証を可能にする。従って、本開示は、各ECUからの応答を待ってそのECUを認証する必要性を排除する。むしろ、本開示は、所定ゾーン内の(K-1)数のプライマリECUから受信された(K-1)の鍵シェアを使用することを可能にし、(K-1)の鍵シェアを使用して計算される固有署名に基づいて、そのゾーン内のプライマリECUのそれぞれを一気に認証する。FUS-1及びFUS-2に基づいて車両101のセキュリティの検証時、VME103は、ABS機能、エアバッグ機能、パワートレイン機能等のセキュア/クリティカル機能を起動する。
【0053】
その後、ZME-1及びZME-2は、所定ゾーンPZ-1及びPZ-2内の複数のセカンダリECU113のそれぞれに対して同じ方法を実行する。本例示的シナリオにおいて、認証要求が存在する場合、並行して、表3に示すような以下の動作が、セカンダリECUに対して、PZ-1及びPZ-2において発生する。
【0054】
【表3】
【0055】
VME103は、PZ-1のZME-1及びPZ-2のZME-2からそれぞれSUS-1及びSUS-2を受信し、セカンダリ/非クリティカルECU111の真正性及び有効性に基づいて車両101のセキュリティを検証する。セカンダリECUは本質的に非クリティカルであるため、(始動自体に必要とされる)プライマリECUの検証の後、始動フェーズの後であってもセカンダリECUを検証することは、車載ネットワークに害を与えない場合がある。その上、始動後の遅いステージでセカンダリ/非クリティカルECUの検証を実行することは、始動フェーズでのプライマリ/クリティカルECUの検証の速度を向上させる可能性があり、始動フェーズ中の不必要な遅延を排除し、始動フェーズでのプライマリ/クリティカルECUのカバレッジを向上させ、また高速始動につながるクリティカルセキュリティヘルスチェックのより高速な検証により、ユーザ経験を向上させる。SUS-1及びSUS-2に基づいて車両101のセキュリティの検証時、VME103は、インフォテインメントシステム機能、暖房、換気及び空調(HVAC)制御機能、パワーウィンドウ制御機能等のセキュア/クリティカル機能を起動する。
【0056】
図3は、本開示の幾つかの実施形態による、車両のセキュリティを検証する方法を示すフローチャートを示す。
【0057】
図3に示すように、方法300は、車両101のセキュリティを検証する方法を示す1つ以上のブロックを含む。方法300は、コンピュータ実行可能命令の一般的な文脈において説明され得る。一般に、コンピュータ実行可能命令は、関数を実行するか又は抽象データ型を実装するルーチン、プログラム、オブジェクト、コンポーネント、データ構造、プロシージャ、モジュール及び関数を含むことができる。
【0058】
方法300を説明する順序は、限定として解釈されることを意図しておらず、任意の数の説明する方法ブロックは、方法300を実装するために任意の順序で組み合わせることができる。加えて、個々のブロックは、本明細書中に説明する主題の趣旨及び適用範囲から逸脱することなく、方法から削除され得る。更に、方法300は、任意の適切なハードウェア、ソフトウェア、ファームウェア又はそれらの組み合わせにおいて実装され得る。
【0059】
ブロック301において、方法300は、所定ゾーン1051の1つのゾーンマスタ電子制御ユニット(ECU)1071に統合される認証システム1091のプロセッサ115により、ゾーンマスタECU1071に関連付けられた複数のプライマリECU111Aのそれぞれから、予め割り当てられた署名付き固有暗号鍵シェアを要求することを含み得る。幾つかの実施形態において、プロセッサ115は、車載ネットワークにおいて認証要求が存在する場合、複数のプライマリECU111Aのそれぞれから、予め割り当てられた署名付き固有暗号鍵シェアを要求し得る。幾つかの実施形態において、複数のプライマリECU111Aから受信された予め割り当てられた署名付き固有暗号鍵シェアは、乱数又はノンスを使用して暗号化される。
【0060】
ブロック303において、方法300は、プロセッサ115により、複数のプライマリECU111Aから受信された所定の数(K-1)の予め割り当てられた署名付き固有暗号鍵シェアを使用して、所定ゾーンの第1の固有署名を計算することを含み得る。幾つかの実施形態において、所定の数(K-1)は、第1の固有署名及び第2の固有署名を計算するために必要とされる予め割り当てられた署名付き固有暗号鍵シェアの最小数であり得る。幾つかの実施形態において、所定の数(K-1)の固有暗号鍵シェアは、先着順(FCFS)技法、ランダム選択技法又はルールベース技法の1つに基づいて選択される。
【0061】
ブロック305において、方法300は、プロセッサ115により、公開鍵を使用して、計算された第1の固有署名の有効性を検証して、所定ゾーン1051内の複数のプライマリECU111Aのそれぞれを認証することを含み得る。幾つかの実施形態において、各所定ゾーンのための公開鍵は、計算された第1の固有署名及び第2の固有署名の有効性を検証するために、対応するゾーンマスタECU1071に関連付けられたストレージユニットから取得され得る。
【0062】
ブロック307において、方法300は、プロセッサ115により、検証された第1の固有署名を、各所定ゾーン1051~105nのゾーンマスタECU1071~107nに関連付けられた車両マスタECU103に提供して、車両マスタECU103が、各所定ゾーン1051~105nの複数のプライマリECU111のそれぞれに関連付けられた安全機能を起動することを可能にすることを含み得る。
【0063】
幾つかの実施形態において、プロセッサ115は、車両マスタECU103が複数のプライマリECU111に基づいて車両101のセキュリティを検証した後に、所定ゾーン1051内のゾーンマスタECU1071に関連付けられた複数のセカンダリECU113Aに対してブロック301~ブロック307のステップを繰り返し得る。幾つかの実施形態において、複数のセカンダリECU113Aに対してブロック301~ブロック307のステップを実行している間に、第2の固有署名が検証のために計算され、各所定ゾーン1051~105nの各ゾーンマスタECU1071~107nに関連付けられた複数のセカンダリECU113に基づいて、車両101のセキュリティを検証するために車両マスタECU103に提供され得る。
【0064】
図4は、本開示と一致する実施形態を実装するための例示的なコンピュータシステムのブロック図である。
【0065】
幾つかの実施形態において、図4は、本発明と一致する実施形態を実装するための例示的なコンピュータシステム400のブロック図を示す。幾つかの実施形態において、コンピュータシステム400は、図4に示すように、車両101のセキュリティを検証するためのゾーンマスタ電子制御ユニット(ECU)107に関連付けられた認証システム109とすることができる。幾つかの他の実施形態において、コンピュータシステム400は、車両101のセキュリティを検証するための、ゾーンマスタECU1071~107nのそれぞれに関連付けられた車両マスタECU103とすることができる。コンピュータシステム400は、中央処理装置(「CPU」又は「プロセッサ」)402を含み得る。プロセッサ402は、ユーザ又はシステムが生成したビジネスプロセスを実行するためのプログラムコンポーネントを実行するための少なくとも1つのデータプロセッサを含み得る。ユーザは、人、本発明に含まれるもの等のデバイスを使用する人又はかかるデバイス自体を含み得る。プロセッサ402は、統合システム(バス)コントローラ、メモリ管理制御ユニット、浮動小数点ユニット、グラフィックス処理ユニット、デジタル信号処理ユニット等の専用処理ユニットを含み得る。
【0066】
プロセッサ402は、I/Oインターフェース401を介して入力デバイス411及び出力デバイス412と通信するように配設され得る。I/Oインターフェース401は、オーディオ、アナログ、デジタル、ステレオ、IEEE-1394、シリアルバス、ユニバーサルシリアルバス(USB)、赤外線、PS/2、BNC、同軸、コンポーネント、コンポジット、デジタルビジュアルインターフェース(DVI)、高解像度マルチメディアインターフェース(HDMI)、無線周波数(RF)アンテナ、S-Video、ビデオグラフィックスアレイ(VGA)、IEEE802.n/b/g/n/x、Bluetooth、セルラー(例えば、符号分割多元接続(CDMA)、高速パケットアクセス(HSPA+)、汎欧州デジタル移動電話方式(GSM)、ロングタームエボリューション(LTE)、WiMax等)の通信プロトコル/方法を採用し得るが、これらに限定されない。
【0067】
I/Oインターフェース401を使用して、コンピュータシステム400は、入力デバイス411及び出力デバイス412と通信し得る。
【0068】
幾つかの実施形態において、プロセッサ402は、ネットワークインターフェース接続403を介して通信ネットワーク409と通信するように配設され得る。ネットワークインターフェース403は、通信ネットワーク409と通信し得る。ネットワークインターフェース403は、直接接続、イーサネット(例えば、ツイストペア10/100/1000BaseT)、伝送制御プロトコル/インターネットプロトコル(TCP/IP)、トークンリング、IEEE802.11a/b/g/n/x等を含むがこれらに限定されない接続プロトコルを採用し得る。ネットワークインターフェース403及び通信ネットワーク409を使用して、コンピュータシステム400は、複数のゾーンマスタECU107(1071~107n)と通信し得、それらは、従って、ユニバーサルシリアルバス(USB)、Bluetooth等のインターネット又は非インターネット又は非IPベースの通信を介して、車両マスタECU103並びに複数のプライマリECU111(1111~111n)及び複数のセカンダリECU113(1131~113n)と通信する。通信ネットワーク409は、イントラネット又はローカルエリアネットワーク(LAN)、クローズドエリアネットワーク(CAN)等、及び自律車両内部のような異なる種類のネットワークの1つとして実装することができる。通信ネットワーク409は、専用ネットワーク又は共有ネットワークのいずれか一方であり得、これは、互いに通信するために、種々のプロトコル、例えばハイパーテキスト転送プロトコル(HTTP)、CANプロトコル、伝送制御プロトコル/インターネットプロトコル(TCP/IP)、ワイヤレスアプリケーションプロトコル(WAP)等を使用する異なる種類のネットワークの関連を表す。更に、通信ネットワーク409は、ルータ、ブリッジ、サーバ、コンピューティングデバイス、ストレージデバイス等を含む、種々のネットワークデバイスを含み得る。幾つかの実施形態において、プロセッサ402は、ストレージインターフェース404を介して、メモリ405(例えば、図4に図示していないRAM、ROM等)と通信するように配設され得る。ストレージインターフェース404は、シリアルアドバンスドテクノロジーアタッチメント(SATA)、Integrated Drive Electronics(IDE)、IEEE-1394、ユニバーサルシリアルバス(USB)、ファイバーチャネル、小型計算機システムインターフェース(SCSI)等の接続プロトコルを採用して、メモリドライブ、リムーバブルディスクドライブ等を含むが、これらに限定されないメモリ405に接続され得る。メモリドライブは、ドラム、磁気ディスクドライブ、磁気光学ドライブ、光学ドライブ、Redundant Array of Independent Disc(RAID)、ソリッドステートメモリデバイス、ソリッドステートドライブ等を更に含み得る。
【0069】
メモリ405は、ユーザインターフェース406、オペレーティングシステム407、Webブラウザ408等を含むがこれらに限定されないプログラム又はデータベースコンポーネントの集合を格納し得る。幾つかの実施形態において、コンピュータシステム400は、本発明において説明するようなデータ、変数、記録等のユーザ/アプリケーションデータを格納し得る。かかるデータベースは、Oracle又はSybase等のフォールトトレラント、リレーショナル、スケーラブルで、セキュアなデータベースとして実装され得る。
【0070】
オペレーティングシステム407は、コンピュータシステム400のリソース管理及び動作を容易にし得る。オペレーティングシステム407の例は、APPLE(登録商標)MACINTOSH(登録商標)OS X(登録商標)、UNIX(登録商標)、UNIX系システムディストリビューション(例えば、BERKELEY SOFTWARE DISTRIBUTION(登録商標)(BSD)、FREEBSD(登録商標)、NETBSD(登録商標)、OPENBSD等)、LINUX(登録商標)ディストリビューション(例えば、RED HAT(登録商標)、UBUNTU(登録商標)、KUBUNTU(登録商標)等)、IBM(登録商標)OS/2(登録商標)、MICROSOFT(登録商標)WINDOWS(登録商標)(XP(登録商標)、VISTA(登録商標)/7/8、10等)、APPLE(登録商標)IOS(登録商標)、GOOGLE(商標)ANDROID(商標)、BLACKBERRY(登録商標)OS等を含むが、これらに限定されない。ユーザインターフェース406は、テキスト又はグラフィック機能を介してプログラムコンポーネントの表示、実行、対話、操作又は動作を容易にし得る。例えば、ユーザインターフェース406は、カーソル、アイコン、チェックボックス、メニュー、スクローラ、ウィンドウ、ウィジェット等、コンピュータシステム400に動作可能に接続されるディスプレイシステム上のコンピュータ対話インターフェース要素を提供し得る。Apple(登録商標)Macintosh(登録商標)オペレーティングシステムのAqua(登録商標)、IBM(登録商標)OS/2(登録商標)、Microsoft(登録商標)Windows(登録商標)(例えば、Aero、Metro等)、Webインターフェースライブラリ(例えば、ActiveX(登録商標)、Java(登録商標)、Javascript(登録商標)、AJAX、HTML、Adobe(登録商標)Flash(登録商標)等)等を含むがこれらに限定されないグラフィカルユーザインターフェース(GUI)を採用し得る。
【0071】
幾つかの実施形態において、コンピュータシステム400は、Webブラウザ408格納プログラムコンポーネントを実装し得る。Webブラウザ408は、MICROSOFT(登録商標)INTERNET EXPLORER(登録商標)、GOOGLE(商標)CHROME(商標)、MOZILLA(登録商標)FIREFOX(登録商標)、APPLE(登録商標)SAFARI(登録商標)等のハイパーテキスト閲覧アプリケーションであり得る。セキュアウェブブラウジングは、セキュアハイパーテキスト転送プロトコル(HTTPS)、Secure Sockets Layer(SSL)、トランスポート層セキュリティ(TLS)等を使用して提供され得る。Webブラウザ408は、AJAX、DHTML、ADOBE(登録商標)FLASH(登録商標)、JAVASCRIPT(登録商標)、JAVA(登録商標)、アプリケーションプログラミングインターフェース(API)等の機能を利用し得る。幾つかの実施形態において、コンピュータシステム400は、メールサーバ格納プログラムコンポーネントを実装し得る。メールサーバは、Microsoft Exchange等のインターネットメールサーバであり得る。メールサーバは、アクティブサーバページ(ASP)、ACTIVEX(登録商標)、ANSI(登録商標)C++/C#、MICROSOFT(登録商標).NET、CGIスクリプト、JAVA(登録商標)、JAVASCRIPT(登録商標)、PERL(登録商標)、PHP、PYTHON(登録商標)、WEBOBJECTS(登録商標)等の機能を利用し得る。メールサーバは、インターネットメッセージアクセスプロトコル(IMAP)、Messaging Application Programming Interface(MAPI)、MICROSOFT(登録商標)exchange、ポストオフィスプロトコル(POP)、簡易メール転送プロトコル(SMTP)等の通信プロトコルを利用し得る。幾つかの実施形態において、コンピュータシステム400は、メールクライアント格納プログラムコンポーネントを実装し得る。メールクライアントは、APPLE(登録商標)MAIL、MICROSOFT(登録商標)ENTOURAGE(登録商標)、MICROSOFT(登録商標)OUTLOOK(登録商標)、MOZILLA(登録商標)THUNDERBIRD(登録商標)等のメール閲覧アプリケーションであり得る。
【0072】
更に、1つ以上のコンピュータ読取可能ストレージ媒体が、本発明と一致する実施形態を実装することにおいて利用され得る。コンピュータ読取可能ストレージ媒体とは、プロセッサによって読み取り可能な情報又はデータが格納され得る任意の種類の物理メモリを指す。従って、コンピュータ読取可能ストレージ媒体は、本明細書中に説明する実施形態と一致するステップ又はステージをプロセッサに実行させるための命令を含む、1つ以上のプロセッサによる実行のための命令を格納し得る。用語「コンピュータ読取可能媒体」とは、有形のアイテムを含み、搬送波及び過渡信号を除外し、即ち非一時的であると理解されるべきである。例は、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、揮発性メモリ、不揮発性メモリ、ハードドライブ、コンパクトディスク(CD)ROM、デジタルビデオディスク(DVD)、フラッシュドライブ、ディスク及び他の任意の公知の物理的ストレージ媒体を含む。
【0073】
全体として、本開示は、始動フェーズ中に車両内のクリティカルECUに対して実行可能なセキュリティ検証を提供する。本開示は、クリティカルECUの真正性を保証し、それらが攻撃者によって危険にさらされることを防止する。従って、本開示は、
- 各ECUのための多数のセキュリティ検証の代わりに、ECUのグループのための単一ステップのセキュリティ検証を使用することにより、認証及び始動のより高速なチェックを達成する。
- セキュリティ検証タイミングを短縮し、ユーザ経験レベルを向上させる。
- バランスのとれた性能及びコスト要因内で、始動フェーズ中のクリティカルECUの認証を確実にする。
- 各ECUのための多数のセキュリティ検証の代わりに、ECUのグループのための単一ステップのセキュリティ検証を使用することにより、認証及び始動のより高速なチェックを達成する。
- セキュリティ検証タイミングを短縮し、ユーザ経験レベルを向上させる。
- バランスのとれた性能及びコスト要因内で、始動フェーズ中のクリティカルECUの認証を確実にする。
【0074】
互いに通信する幾つかのコンポーネントを有する実施形態の説明は、全てのかかるコンポーネントが必要とされることを意味するものではない。反対に、様々な任意のコンポーネントは、本発明の多種多様な可能な実施形態を例示するために説明される。単一のデバイス又は物品が本明細書中に説明されている場合、単一のデバイス/物品の代わりに1つを超えるデバイス/物品(それらが協働するか否かに関わらず)が使用され得ることは、明らかであろう。同様に、1つを超えるデバイス又は物品が本明細書中で説明される場合(それらが協働するか否かに関わらず)、単一のデバイス/物品が、1つを超えるデバイス若しくは物品の代わりに使用され得るか、又は異なる数のデバイス/物品が、図示した数のデバイス若しくはプログラムの代わりに使用され得ることは、明らかであろう。デバイスの機能及び/又は特徴は、かかる機能/特徴を有するものとして明示的に説明されていない1つ以上の他のデバイスによって代替として具現化され得る。従って、本発明の他の実施形態は、デバイス自体を含む必要はない。
【0075】
本明細書は、車両のセキュリティを検証するための方法及びシステムを説明した。図示のステップは、示した例示的な実施形態を説明するために提示され、進行中の技術開発が、特定の機能が実行される様式を変化させるであろうことは予期すべきである。これらの例は、例示の目的のために本明細書中に提示され、限定するものではない。更に、機能構成ブロックの境界は、説明の便宜上、本明細書中に任意に定義されている。指定された機能及びその関係が適切に実行される限り、代替の境界を定義することができる。代替形態(本明細書中に説明するものの均等物、拡張形態、変形形態、逸脱等を含む)は、本明細書に含まれる教示に基づいて、関連技術の当業者には明らかであろう。かかる代替形態は、開示した実施形態の適用範囲及び趣旨に含まれる。また、単語「含む」、「有する」、「含有する」及び「包含する」並びに他の同様の形態は、意味において同等であり、これらの単語のいずれか1つに続く単数又は複数の項目が、かかる単数又は複数の項目の網羅的な列挙であることを意味するものでも、又は列挙された単数又は複数の項目のみに限定されることを意味するものでもない点でオープンエンドであることを意図している。本明細書及び添付の特許請求の範囲で使用する場合、単数形「1つの(a)」、「1つの(an)」及び「その」は、文脈で明確に規定しない限り、複数の言及を含むことにも留意されたい。
【0076】
最後に、本明細書で使用される言語は、主に読みやすさ及び教示する目的のために選択されたものであり、本発明の主題を線引き又は限定するために選択されたものではない。従って、本発明の適用範囲は、この詳細な説明によってではなく、本明細書に基づく出願に関して発行される任意の特許請求の範囲によって限定されることを意図している。従って、本発明の実施形態は、以下の特許請求の範囲に記載する本発明の適用範囲を例示することを意図しているが、限定するものではない。
【符号の説明】
【0077】
100 アーキテクチャ
101 車両
103 車両マスタECU
105 所定ゾーン
107 ゾーンマスタECU
109 認証システム
111 複数のプライマリECU
113 複数のセカンダリECU
115 プロセッサ
117 I/Oインターフェース
119 メモリ
203 データ
205 モジュール
207 鍵共有データ
209 署名データ
211 他のデータ
221 署名計算モジュール
223 受信モジュール
225 署名検証モジュール
227 送信モジュール
229 他のモジュール
400 例示的なコンピュータシステム
401 例示的なコンピュータシステムのI/Oインターフェース
402 例示的なコンピュータシステムのプロセッサ
403 ネットワークインターフェース
404 ストレージインターフェース
405 例示的なコンピュータシステムのメモリ
406 ユーザインターフェース
407 オペレーティングシステム
408 Webブラウザ
409 通信ネットワーク
411 入力デバイス
412 出力デバイス
101 車両
103 車両マスタECU
105 所定ゾーン
107 ゾーンマスタECU
109 認証システム
111 複数のプライマリECU
113 複数のセカンダリECU
115 プロセッサ
117 I/Oインターフェース
119 メモリ
203 データ
205 モジュール
207 鍵共有データ
209 署名データ
211 他のデータ
221 署名計算モジュール
223 受信モジュール
225 署名検証モジュール
227 送信モジュール
229 他のモジュール
400 例示的なコンピュータシステム
401 例示的なコンピュータシステムのI/Oインターフェース
402 例示的なコンピュータシステムのプロセッサ
403 ネットワークインターフェース
404 ストレージインターフェース
405 例示的なコンピュータシステムのメモリ
406 ユーザインターフェース
407 オペレーティングシステム
408 Webブラウザ
409 通信ネットワーク
411 入力デバイス
412 出力デバイス
【図1A】
【図1B】
【図1C】
【図2A】
【図2B】
【図3】
【図4】
【国際調査報告】