JP6203798B2 - In-vehicle control system, vehicle, management device, in-vehicle computer, data sharing method, and computer program - Google Patents
In-vehicle control system, vehicle, management device, in-vehicle computer, data sharing method, and computer program Download PDFInfo
- Publication number
- JP6203798B2 JP6203798B2 JP2015183971A JP2015183971A JP6203798B2 JP 6203798 B2 JP6203798 B2 JP 6203798B2 JP 2015183971 A JP2015183971 A JP 2015183971A JP 2015183971 A JP2015183971 A JP 2015183971A JP 6203798 B2 JP6203798 B2 JP 6203798B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- vehicle
- frame
- management device
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、車載制御システム、車両、管理装置、車載コンピュータ、データ共有方法、及びコンピュータプログラムに関する。 The present invention relates to an in-vehicle control system, a vehicle, a management device, an in-vehicle computer, a data sharing method, and a computer program.
近年、自動車は、ECU(Electronic Control Unit;電子制御装置)を有し、ECUによってエンジン制御等の機能を実現する。ECUは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。複数のECUをCAN(Controller Area Network)に接続して構成される車載制御システムについてのセキュリティ技術が例えば非特許文献1に記載されている。
In recent years, automobiles have an ECU (Electronic Control Unit) and realize functions such as engine control by the ECU. The ECU is a kind of computer and realizes a desired function by a computer program. For example, Non-Patent
従来の車載制御システムのセキュリティ技術では、エンジン始動後などの制御の迅速性が要求される状況に更に適応するために、セキュリティ性能の向上を図ることが課題である。例えば、エンジン始動後に複数のECUで同じデータを共有する際に、該データのセキュリティ強度をある程度に保ちつつ共有にかかる時間を短縮することが課題の一つである。 In the security technology of the conventional in-vehicle control system, it is a problem to improve the security performance in order to further adapt to the situation where quick control is required after the engine is started. For example, when the same data is shared by a plurality of ECUs after the engine is started, one of the problems is to reduce the time required for sharing while maintaining the security strength of the data to some extent.
本発明は、このような事情を考慮してなされたものであり、セキュリティ性能の向上を図ることができる車載制御システム、車両、管理装置、車載コンピュータ、データ共有方法、及びコンピュータプログラムを提供することを課題とする。 The present invention has been made in consideration of such circumstances, and provides an in-vehicle control system, a vehicle, a management device, an in-vehicle computer, a data sharing method, and a computer program capable of improving security performance. Is an issue.
(1)本発明の一態様は、車両に備わる車載制御システムにおいて、前記車両に備わる通信ネットワークを介してフレームにより通信する管理装置と複数の車載コンピュータを備え、前記管理装置は、前記通信ネットワークを介して前記フレームを送受する通信部と、一つの前記フレームに格納可能なデータ長の上限を超えるデータ長である第1のデータを記憶する第1データ記憶部と、一つの前記フレームに格納可能なデータ長である第2のデータを生成する第2データ生成部と、前記第1のデータと前記第2のデータを使用して、複数の前記車載コンピュータで共有される第3のデータを生成する第3データ生成部と、を備え、前記通信部は、前記第2のデータを格納した前記フレームである第2データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信し、前記車載コンピュータは、前記通信ネットワークを介して前記フレームを送受する通信部と、前記第1のデータを記憶する第1データ記憶部と、自車載コンピュータの前記第1データ記憶部に記憶されている前記第1のデータと自車載コンピュータの前記通信部が前記管理装置から前記通信ネットワークを介して受信した前記第2データ格納フレームに格納されている前記第2のデータとを使用して、前記第3のデータを生成する第3データ生成部と、を備える、車載制御システムである。
(2)本発明の一態様は、上記(1)の車載制御システムにおいて、前記管理装置の前記通信部は、ブロードキャスト又はマルチキャストにより前記第2データ格納フレームを送信し、前記車載コンピュータの前記通信部は、ブロードキャスト又はマルチキャストにより前記第2データ格納フレームを受信する、車載制御システムである。
(3)本発明の一態様は、上記(1)又は(2)のいずれかの車載制御システムにおいて、前記車載コンピュータは、前記第3のデータを、前記通信ネットワークを介して行われる通信に関する情報の初期値に使用する、車載制御システムである。
(4)本発明の一態様は、上記(3)の車載制御システムにおいて、前記通信に関する情報は、前記フレームについてのカウンタ値である、車載制御システムである。
(5)本発明の一態様は、上記(4)の車載制御システムにおいて、前記カウンタ値は、前記通信ネットワークを介して交換されるメッセージについてのメッセージ認証コードの生成に使用される、車載制御システムである。
(6)本発明の一態様は、上記(1)又は(2)のいずれかの車載制御システムにおいて、前記車載コンピュータは、前記第3のデータを、前記通信ネットワークを介して行われる通信に使用される鍵に使用する、車載制御システムである。
(7)本発明の一態様は、上記(1)から(6)のいずれかの車載制御システムにおいて、前記管理装置は、所定のタイミングで前記第1のデータを変更するデータ更新部と、該変更後の前記第1のデータを前記管理装置と前記車載コンピュータで共有される第1の鍵で暗号化する暗号処理部と、を備え、前記管理装置の前記通信部は、該暗号化の結果である第1暗号化データを格納した前記フレームである第1暗号化データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信し、前記車載コンピュータは、自車載コンピュータの前記通信部が前記管理装置から前記通信ネットワークを介して受信した前記第1暗号化データ格納フレームに格納されている前記第1暗号化データを前記第1の鍵で復号する暗号処理部と、該復号の結果により自車載コンピュータの前記第1のデータを更新するデータ更新部と、を備える、車載制御システムである。
(8)本発明の一態様は、上記(7)の車載制御システムにおいて、前記管理装置の前記データ更新部は、所定のタイミングで前記第1の鍵を変更し、前記管理装置の前記暗号処理部は、該変更後の前記第1の鍵を前記管理装置と前記車載コンピュータで共有される第2の鍵で暗号化し、前記管理装置の前記通信部は、該暗号化の結果である第2暗号化データを格納した前記フレームである第2暗号化データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信し、前記車載コンピュータの前記暗号処理部は、自車載コンピュータの前記通信部が前記管理装置から前記通信ネットワークを介して受信した前記第2暗号化データ格納フレームに格納されている前記第2暗号化データを前記第2の鍵で復号し、前記車載コンピュータの前記データ更新部は、該復号の結果により自車載コンピュータの前記第1の鍵を更新する、車載制御システムである。
(1) According to one aspect of the present invention, in a vehicle-mounted control system provided in a vehicle, the vehicle includes a management device that communicates with a frame via a communication network provided in the vehicle, and a plurality of vehicle-mounted computers. A first communication unit that transmits and receives the frame via the first data storage unit, a first data storage unit that stores first data whose data length exceeds the upper limit of a data length that can be stored in one frame, and a single data frame that can be stored. A second data generating unit that generates second data having a different data length, and generating third data shared by the plurality of in-vehicle computers using the first data and the second data A third data generation unit configured to transmit the second data storage frame, which is the frame storing the second data, to the communication network. The in-vehicle computer transmits the frame via the communication network, the first data storage unit stores the first data, and the in-vehicle computer. The first data stored in the first data storage unit and the communication unit of the in-vehicle computer are stored in the second data storage frame received from the management device via the communication network. A vehicle-mounted control system comprising: a third data generation unit that generates the third data using second data.
(2) In one aspect of the present invention, in the in-vehicle control system according to (1), the communication unit of the management device transmits the second data storage frame by broadcast or multicast, and the communication unit of the in-vehicle computer Is an in-vehicle control system that receives the second data storage frame by broadcast or multicast.
(3) According to one aspect of the present invention, in the in-vehicle control system according to any one of the above (1) and (2), the in-vehicle computer uses the third data as information related to communication performed via the communication network. It is an in-vehicle control system used for the initial value.
(4) One aspect of the present invention is the in-vehicle control system according to (3), in which the communication-related information is a counter value for the frame.
(5) One aspect of the present invention is the in-vehicle control system according to (4), wherein the counter value is used to generate a message authentication code for a message exchanged via the communication network. It is.
(6) One aspect of the present invention is the vehicle-mounted control system according to any one of (1) and (2), wherein the vehicle-mounted computer uses the third data for communication performed via the communication network. It is an in-vehicle control system used for the key to be used.
(7) According to one aspect of the present invention, in the in-vehicle control system according to any one of (1) to (6), the management device includes a data update unit that changes the first data at a predetermined timing; An encryption processing unit that encrypts the first data after the change with a first key shared by the management device and the in-vehicle computer, and the communication unit of the management device is a result of the encryption. A first encrypted data storage frame, which is the frame storing the first encrypted data, is transmitted to the in-vehicle computer via the communication network, and the in-vehicle computer has the communication unit of the in-vehicle computer Cryptographic processing unit for decrypting the first encrypted data stored in the first encrypted data storage frame received from the management device via the communication network with the first key Comprises a data updating unit for updating the first data of the own-vehicle computer by the results of No. 該復, and an in-vehicle control system.
(8) According to one aspect of the present invention, in the in-vehicle control system according to (7), the data update unit of the management device changes the first key at a predetermined timing, and the encryption processing of the management device The unit encrypts the first key after the change with a second key shared by the management device and the in-vehicle computer, and the communication unit of the management device is a second result of the encryption. A second encrypted data storage frame that is the frame storing encrypted data is transmitted to the in-vehicle computer via the communication network, and the encryption processing unit of the in-vehicle computer is configured by the communication unit of the in-vehicle computer. Decrypting the second encrypted data stored in the second encrypted data storage frame received from the management device via the communication network with the second key, and The data updating unit of the computer updates the first key of the self-vehicle computer by the results of No. 該復 a vehicle control system.
(9)本発明の一態様は、上記(1)から(8)のいずれかの車載制御システムを備える車両である。 (9) One aspect of the present invention is a vehicle including the vehicle-mounted control system according to any one of (1) to (8).
(10)本発明の一態様は、車両に備わる通信ネットワークを介してフレームにより通信する管理装置と複数の車載コンピュータを備える前記車両に備わる車載制御システムの前記管理装置において、前記通信ネットワークを介して前記フレームを送受する通信部と、一つの前記フレームに格納可能なデータ長の上限を超えるデータ長のデータであって前記管理装置と前記車載コンピュータで共有される第1のデータを記憶する第1データ記憶部と、一つの前記フレームに格納可能なデータ長である第2のデータを生成する第2データ生成部と、前記第1のデータと前記第2のデータを使用して、複数の前記車載コンピュータで共有される第3のデータを生成する第3データ生成部と、を備え、前記通信部は、前記第2のデータを格納した前記フレームである第2データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信する、管理装置である。 (10) According to one aspect of the present invention, in the management device of an in-vehicle control system provided in the vehicle including a management device that communicates by a frame via a communication network provided in the vehicle and a plurality of in-vehicle computers, the communication network includes A communication unit that transmits and receives the frame, and a first data that is data having a data length that exceeds an upper limit of a data length that can be stored in one frame and that is shared by the management device and the in-vehicle computer A plurality of the data storage unit, a second data generation unit that generates second data having a data length that can be stored in one frame, the first data, and the second data. A third data generation unit that generates third data shared by the in-vehicle computer, and the communication unit stores the second data before The second data storage frame is a frame, and transmits to the onboard computer via the communication network, a management device.
(11)本発明の一態様は、車両に備わる通信ネットワークを介してフレームにより通信する管理装置と複数の車載コンピュータを備える前記車両に備わる車載制御システムの前記車載コンピュータにおいて、前記通信ネットワークを介して前記フレームを送受する通信部と、一つの前記フレームに格納可能なデータ長の上限を超えるデータ長のデータであって前記管理装置と前記車載コンピュータで共有される第1のデータを記憶する第1データ記憶部と、前記第1データ記憶部に記憶されている前記第1のデータと前記通信部が前記管理装置から前記通信ネットワークを介して受信した前記フレームであって一つの前記フレームに格納可能なデータ長である第2のデータを格納した第2データ格納フレームに格納されている前記第2のデータとを使用して、複数の前記車載コンピュータで共有される第3のデータを生成する第3データ生成部と、を備える車載コンピュータである。 (11) According to one aspect of the present invention, in the in-vehicle computer of the in-vehicle control system provided in the vehicle including a management device that communicates with a frame via a communication network provided in the vehicle and a plurality of in-vehicle computers, the communication network A communication unit that transmits and receives the frame, and a first data that is data having a data length that exceeds an upper limit of a data length that can be stored in one frame and that is shared by the management device and the in-vehicle computer A data storage unit, the first data stored in the first data storage unit, and the frame received by the communication unit from the management device via the communication network and can be stored in one frame The second data stored in the second data storage frame storing the second data having a long data length. It is using the data, an in-vehicle computer and a third data generation unit for generating a third data shared by a plurality of the onboard computer, the.
(12)本発明の一態様は、車両に備わる通信ネットワークを介してフレームにより通信する管理装置と複数の車載コンピュータを備える前記車両に備わる車載制御システムのデータ共有方法において、前記管理装置が、一つの前記フレームに格納可能なデータ長の上限を超えるデータ長である第1のデータを記憶する第1データ記憶ステップと、前記管理装置が、一つの前記フレームに格納可能なデータ長である第2のデータを生成する第2データ生成ステップと、前記管理装置が、前記第2のデータを格納した前記フレームである第2データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信する送信ステップと、前記管理装置が、前記第1のデータと前記第2のデータを使用して、複数の前記車載コンピュータで共有される第3のデータを生成する第3データ生成ステップと、前記車載コンピュータが、前記第1のデータを記憶する第2の第1データ記憶ステップと、前記車載コンピュータが、前記管理装置から前記通信ネットワークを介して前記第2データ格納フレームを受信する受信ステップと、前記車載コンピュータが、前記第2の第1データ記憶ステップで記憶した前記第1のデータと前記受信ステップで受信した前記第2データ格納フレームに格納されている前記第2のデータとを使用して、前記第3のデータを生成する第2の第3データ生成ステップと、を含むデータ共有方法である。 (12) According to one aspect of the present invention, in the data sharing method of the in-vehicle control system provided in the vehicle including a management device that communicates with a frame via a communication network provided in the vehicle and a plurality of in-vehicle computers, the management device includes: A first data storing step for storing first data having a data length exceeding an upper limit of a data length that can be stored in one frame; and a second data length in which the management device can store data in one frame. A second data generating step for generating the data, and a transmitting step in which the management device transmits a second data storage frame, which is the frame storing the second data, to the in-vehicle computer via the communication network. And the management device uses the first data and the second data to provide a plurality of the in-vehicle computers. A third data generating step for generating third data shared by the in-vehicle computer, a second first data storing step in which the in-vehicle computer stores the first data, and the in-vehicle computer from the management device A receiving step of receiving the second data storage frame via the communication network; and the in-vehicle computer receiving the first data stored in the second first data storing step and the first data received in the receiving step. And a second third data generation step of generating the third data using the second data stored in the two data storage frames.
(13)本発明の一態様は、車両に備わる通信ネットワークを介してフレームにより通信する管理装置と複数の車載コンピュータを備える前記車両に備わる車載制御システムの前記管理装置のコンピュータに、一つの前記フレームに格納可能なデータ長の上限を超えるデータ長のデータであって前記管理装置と前記車載コンピュータで共有される第1のデータを記憶する第1データ記憶機能と、一つの前記フレームに格納可能なデータ長である第2のデータを生成する第2データ生成機能と、前記第2のデータを格納した前記フレームである第2データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信する通信機能と、前記第1のデータと前記第2のデータを使用して、複数の前記車載コンピュータで共有される第3のデータを生成する第3データ生成機能と、を実現させるためのコンピュータプログラムである。 (13) According to one aspect of the present invention, one frame is included in a computer of the management device of the in-vehicle control system provided in the vehicle including a management device that communicates with a frame via a communication network provided in the vehicle and a plurality of in-vehicle computers. A first data storage function for storing data having a data length exceeding the upper limit of the data length that can be stored in the management apparatus and the first data shared by the management device and the in-vehicle computer, and can be stored in one frame Communication for transmitting a second data generation function for generating second data having a data length and a second data storage frame, which is the frame storing the second data, to the in-vehicle computer via the communication network Function, shared by the plurality of in-vehicle computers using the first data and the second data A third data generation function of generating a third data, a computer program for implementing the.
(14)本発明の一態様は、車両に備わる通信ネットワークを介してフレームにより通信する管理装置と複数の車載コンピュータを備える前記車両に備わる車載制御システムの前記車載コンピュータに、一つの前記フレームに格納可能なデータ長の上限を超えるデータ長のデータであって前記管理装置と前記車載コンピュータで共有される第1のデータを記憶する第1データ記憶機能と、一つの前記フレームに格納可能なデータ長である第2のデータを格納した前記フレームである第2データ格納フレームを前記管理装置から前記通信ネットワークを介して受信する通信機能と、前記第1データ記憶機能により記憶されている前記第1のデータと前記通信機能により受信した前記第2データ格納フレームに格納されている前記第2のデータとを使用して、複数の前記車載コンピュータで共有される第3のデータを生成する第3データ生成機能と、を実現させるためのコンピュータプログラムである。 (14) According to one aspect of the present invention, a management device that communicates with a frame via a communication network provided in the vehicle and a plurality of in-vehicle computers are stored in the in-vehicle computer of the in-vehicle control system provided in the vehicle. A data length exceeding the upper limit of possible data length, a first data storage function for storing first data shared by the management device and the in-vehicle computer, and a data length that can be stored in one frame A communication function for receiving a second data storage frame, which is the frame storing the second data, from the management device via the communication network, and the first data stored by the first data storage function. Data and the second data stored in the second data storage frame received by the communication function; Use a computer program for realizing a third data generation function of generating a third data shared by a plurality of the onboard computer.
本発明によれば、セキュリティ性能の向上を図ることができるという効果が得られる。 According to the present invention, an effect that security performance can be improved can be obtained.
以下、図面を参照し、本発明の実施形態について説明する。なお、以下に示す実施形態では、車両として自動車を例に挙げて説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. In the following embodiment, a vehicle will be described as an example of a vehicle.
図1は、本発明の一実施形態に係る自動車1の車載制御システム2を示す構成図である。図1において、自動車1は管理装置10とECU(電子制御装置)50を備える。管理装置10及びECU50は、CAN40に接続される。CANは、自動車等の車両に搭載される通信ネットワークの一つとして知られている。なお、本実施形態では、自動車1の制御用の車載ネットワークにCANを利用するが、CAN以外の他の通信ネットワークを自動車1の制御用の車載ネットワークに利用してもよい。
FIG. 1 is a configuration diagram showing an in-
ECU50は、自動車1に備わる車載コンピュータである。ECU50は、例えば、駆動系ECU、車体系ECU、安全制御系ECUなどである。車載制御システム2は、CAN40を介してフレームにより通信する管理装置10と複数のECU50を備える。CAN40は、フレームによりデータを伝送する。管理装置10は、CAN40を介してフレームにより、各ECU50との間でデータを交換する。ECU50は、CAN40を介してフレームにより、他のECU50との間でデータを交換する。
The ECU 50 is an in-vehicle computer provided in the
CAN40のフレームには、フレームに格納可能なデータ長の上限が規定されている。例えば、CAN40のフレームの種類の一つであるデータフレームにおいて、データフィールドに格納可能なデータ長の上限は64ビットである。
The
図1において、管理装置10は、通信部11と第1データ記憶部12と第2データ生成部13と第3データ生成部14とデータ更新部15と暗号処理部16を備える。通信部11は、CAN40を介してフレームを送受する。第1データ記憶部12は、一つのフレームに格納可能なデータ長の範囲を超えるデータ長である第1のデータを記憶する。本実施形態では、第1のデータは、データフレームのデータフィールドに格納可能なデータ長の上限「64ビット」を超えるデータ長である。したがって、第1のデータのデータ長は、65ビット以上である。第1のデータは、管理装置10とECU50で共有される。
In FIG. 1, the
第2データ生成部13は、一つのフレームに格納可能なデータ長である第2のデータを生成する。本実施形態では、第2のデータは、データフレームのデータフィールドに格納可能なデータ長である。したがって、第2のデータのデータ長は、64ビット以下である。第3データ生成部14は、第1のデータと第2のデータを使用して、複数のECU50で共有される第3のデータを生成する。データ更新部15は、所定のタイミングで第1のデータ等を変更する。暗号処理部16は、データの暗号化等の暗号処理を実行する。
The second
通信部11は、第2のデータをデータフィールドに格納したデータフレームである第2データ格納フレームを、CAN40を介してECU50へ送信する。通信部11は、ブロードキャスト又はマルチキャストにより第2データ格納フレームを送信してもよい。ブロードキャスト又はマルチキャストにより第2データ格納フレームを送信することにより、各ECU50へユニキャストで第2データ格納フレームを送信する場合に比して、送信時間を短縮することができる。
The
図1において、ECU50は、通信部51と第1データ記憶部52と第3データ生成部53とデータ更新部54と暗号処理部55を備える。通信部51は、CAN40を介してフレームを送受する。第1データ記憶部52は、管理装置10とECU50で共有される第1のデータを記憶する。第1データ記憶部52が記憶する第1のデータは、管理装置10の第1データ記憶部12が記憶する第1のデータと同じである。
In FIG. 1, the
第3データ生成部53は、第1データ記憶部52に記憶されている第1のデータと、通信部51が管理装置10からCAN40を介して受信した第2データ格納フレームに格納されている第2のデータとを使用して、第3のデータを生成する。該第3のデータは、複数のECU50で共有されるデータである。データ更新部54は、自ECU50の第1のデータ等を更新する。暗号処理部55は、暗号化データの復号等の暗号処理を実行する。
The third
次に図2を参照して、本実施形態に係る車載制御システム2のデータ共有の動作を説明する。図2は、本実施形態に係るデータ共有方法を示すシーケンスチャートである。図2において、管理装置10とECU50は、予め共有した第1のデータを有する。管理装置10は、該第1のデータを第1データ記憶部12に記憶している。ECU50は、該第1のデータを第1データ記憶部52に記憶している。
Next, the data sharing operation of the in-
(ステップS1)管理装置10において、第2データ生成部13が第2のデータを生成する。例えば、第2データ生成部13は、データ長が64ビットである乱数を発生する。
(Step S1) In the
(ステップS2)管理装置10において、通信部11が、該第2のデータをデータフィールドに格納したデータフレームである第2データ格納フレームを、CAN40を介してECU50へ送信する。通信部11は、例えばブロードキャストにより第2データ格納フレームを送信する。ECU50において、通信部51は、CAN40を介して管理装置10から該第2データ格納フレームを受信する。
(Step S2) In the
(ステップS3)管理装置10において、第3データ生成部14が第1データ記憶部12から第1のデータを読み出す。ECU50において、第3データ生成部53が第1データ記憶部52から第1のデータを読み出す。
(Step S <b> 3) In the
(ステップS4)管理装置10において、第3データ生成部14は、第1データ記憶部12から読み出した第1のデータと第2データ生成部13が生成した第2のデータとを使用して、第3のデータを生成する。ECU50において、第3データ生成部53は、第1データ記憶部52から読み出した第1のデータと、通信部51が受信した第2データ格納フレームに格納されている第2のデータとを使用して、第3のデータを生成する。第3のデータの生成方法は、管理装置10の第3データ生成部14とECU50の第3データ生成部53とで同じである。これにより、複数のECU50で同じ第3のデータを共有することができる。
(Step S4) In the
第3のデータの生成方法として、不可逆性圧縮処理を利用してもよい。第3のデータの生成方法として、例えば、暗号化、ハッシュ(Hash)値の生成、又は排他的論理和演算などが利用可能である。例えば、第1のデータを鍵に使用して第2のデータを暗号化した値を第3のデータにしてもよい。該暗号化した値として、例えばCMAC(Cipher-based Message Authentication Code)を算出してもよい。又は、第1のデータと第2のデータを連結したデータのハッシュ値を算出し、該ハッシュ値を第3のデータにしてもよい。ハッシュ値の生成方法として、SHA−1又はSHA−2などが利用可能である。又は、第1のデータと第2のデータの排他的論理和を第3のデータにしてもよい。 As the third data generation method, irreversible compression processing may be used. As the third data generation method, for example, encryption, generation of a hash value, or exclusive OR operation can be used. For example, a value obtained by encrypting the second data using the first data as a key may be the third data. For example, CMAC (Cipher-based Message Authentication Code) may be calculated as the encrypted value. Alternatively, a hash value of data obtained by concatenating the first data and the second data may be calculated, and the hash value may be the third data. As a hash value generation method, SHA-1 or SHA-2 can be used. Alternatively, the exclusive OR of the first data and the second data may be the third data.
本実施形態によれば、複数のECU50で同じ第3のデータを共有することができる。その第3のデータを共有する際に管理装置10からECU50へ送信する第2のデータは、64ビット以下のデータ長である。したがって、第2のデータを各ECU50に送信する際には、ブロードキャストにより送信すれば、1個のデータフレームの送信で済む。そして、管理装置10及びECU50において、第2のデータと管理装置10及びECU50で共有される第1のデータとを使用して第3のデータが生成される。該第1のデータのデータ長を第3のデータのセキュリティ強度に対する要求を満たすことができる値にすることにより、第3のデータのセキュリティ強度に対する要求に応えることができる。これにより、複数のECU50で同じ第3のデータを共有する際に、該第3のデータのセキュリティ強度をある程度に保ちつつ共有にかかる時間を短縮することができるという効果が得られる。
According to the present embodiment, a plurality of
なお、自動車1に備わるいずれかのECUを管理装置10として機能させてもよい。
Note that any ECU provided in the
次に、本実施形態の実施例を説明する。 Next, examples of the present embodiment will be described.
[実施例1]
図3は、本実施形態に係る管理装置10の実施例1を示す構成図である。図3において、管理装置10は、通信部11と鍵交換鍵記憶部21と乱数生成部22とカウンタ初期値生成部23とセッション鍵生成部24とデータ更新部15と暗号処理部16と共通鍵記憶部25を備える。通信部11はCAN40を介してフレームを送受する。鍵交換鍵記憶部21は鍵交換鍵を記憶する。鍵交換鍵は、管理装置10とECU50で予め共有される。鍵交換鍵は、第1のデータの例である。鍵交換鍵として、例えば、AES(Advanced Encryption Standard)による共通鍵を利用可能である。例えば、鍵交換鍵は、AESによる鍵長が256ビットの共通鍵である。鍵交換鍵記憶部21は、第1データ記憶部12の例である。
[Example 1]
FIG. 3 is a configuration diagram illustrating Example 1 of the
乱数生成部22は、乱数を生成する。該乱数は第2のデータの例である。例えば、乱数生成部22は、データ長が64ビットである乱数を発生する。乱数生成部22は、第2データ生成部13の例である。カウンタ初期値生成部23は、カウンタ初期値を生成する。カウンタ初期値は、第3のデータの例である。カウンタ初期値生成部23は、第3データ生成部14の例である。セッション鍵生成部24は、セッション鍵を生成する。セッション鍵は、第3のデータの例である。セッション鍵生成部24は、第3データ生成部14の例である。データ更新部15は、所定のタイミングで鍵交換鍵等を変更する。暗号処理部16は、データの暗号化等の暗号処理を実行する。共通鍵記憶部25は共通鍵を記憶する。該共通鍵は、管理装置10とECU50で共有される。
The
図4は、本実施形態に係るECU50の実施例1を示す構成図である。図4において、ECU50は、送信部111と受信部112とフレーム受信処理部113とMAC(Message Authentication Code;メッセージ認証コード)生成部114とカウンタ部115とMAC検査部116とセッション鍵記憶部117と鍵交換鍵記憶部118とセッション鍵生成部119とカウンタ初期値生成部120とデータ更新部54と暗号処理部55と共通鍵記憶部121を備える。
FIG. 4 is a configuration diagram illustrating Example 1 of the
送信部111は、データフレームをCAN40に送信する。受信部112は、データフレームをCAN40から受信する。送信部111及び受信部112は、図1に示すECU50の通信部51に含まれる。送信部111には、データフレームに格納する送信データ等のデータが入力される。送信部111は、該入力されたデータをデータフレーム中の該当部分に格納したデータフレームを、CAN40へ送信する。送信データは、データフレームのデータフィールドに格納される。フレーム受信処理部113は、受信部112によりCAN40から受信されたデータフレームについての受信処理を行う。MAC生成部114はMACを生成する。
The
カウンタ部115は、送信カウンタ部としての機能と受信カウンタ部としての機能を有する。カウンタ部115は、送信カウンタ部の機能として、送信部111によるデータフレームの送信毎に所定のカウント値だけ増加させる送信カウンタ値を保持する。本実施例1では、該カウント値は1とする。したがって、カウンタ部115は、送信部111がデータフレームをCAN40に送信する毎に1だけ増加させる送信カウンタ値を保持する。この送信カウンタ値は、自ECU50がデータフレームをCAN40に送信する毎に1ずつ増やされる。
The
カウンタ部115は、受信カウンタ部の機能として、受信部112によるデータフレームの受信毎に送信カウンタ部と同じ所定のカウント値だけ増加させる受信カウンタ値を保持する。本実施例1では、該カウント値は1となる。したがって、カウンタ部115は、受信部112がデータフレームをCAN40から受信する毎に1だけ増加させる受信カウンタ値を保持する。この受信カウンタ値は、データフレーム中のID(識別子)毎に設けられる。該IDは、データフレームを送信したECU50又は管理装置10に付与されているIDであり、データフレーム中のIDフィールドに格納される。受信部112が例えばIDxのデータフレームをCAN40から受信する毎に、該IDxの受信カウンタ値が1ずつ増やされる。
As a function of the reception counter unit, the
例えば、車載制御システム2が5台のECU50を備え、該5台のECU50のIDがID1、ID2、ID3、ID4、ID5であるとする。この場合、カウンタ部115は合計5個のID1〜ID5に対応する5個のカウンタ値(ID1カウンタ値、ID2カウンタ値、ID3カウンタ値、ID4カウンタ値、ID5カウンタ値)を保持する。カウンタ部115において、自ECU50のIDに対応するカウンタ値が送信カウンタ値であり、自ECU50のID以外の他のIDに対応するカウンタ値が受信カウンタ値である。例えば、ID1のECU50においては、ID1カウンタ値が送信カウンタ値であり、ID2カウンタ値がID2に対応する受信カウンタ値であり、ID3カウンタ値がID3に対応する受信カウンタ値であり、ID4カウンタ値がID4に対応する受信カウンタ値であり、ID5カウンタ値がID5に対応する受信カウンタ値である。
For example, the in-
MAC検査部116は、受信部112によりCAN40から受信されたデータフレームから取得されたMACについての検査を行う。セッション鍵記憶部117は、セッション鍵を記憶する。鍵交換鍵記憶部118は、鍵交換鍵を記憶する。鍵交換鍵は、管理装置10とECU50で予め共有される。鍵交換鍵は、第1のデータの例である。鍵交換鍵記憶部118は、第1データ記憶部52の例である。セッション鍵生成部119は、セッション鍵を生成する。セッション鍵は、第3のデータの例である。セッション鍵生成部119は、第3データ生成部53の例である。カウンタ初期値生成部120は、カウンタ初期値を生成する。カウンタ初期値生成部120が生成したカウンタ初期値は、カウンタ部115のカウンタ値の初期値に使用される。カウンタ初期値は、第3のデータの例である。カウンタ初期値生成部120は、第3データ生成部53の例である。
The
データ更新部54は、自ECU50の鍵交換鍵等を更新する。暗号処理部55は、暗号化データの復号等の暗号処理を実行する。共通鍵記憶部121は共通鍵を記憶する。該共通鍵は、管理装置10とECU50で共有される。
The
MAC生成部114は、データフレーム中のデータフィールドに格納される送信データとカウンタ部115の送信カウンタ値とセッション鍵記憶部117に記憶されているセッション鍵を使用して、MACを生成する。MACとして、例えば、ハッシュ(Hash)値を算出する。ハッシュ値の生成方法として、SHA−1又はSHA−2などが利用可能である。送信部111は、データフレームに対して、送信データと該送信データを使用して生成されたMACを所定の部分に格納する。送信部111は、送信データと該送信データを使用して生成されたMACを格納したデータフレームをCAN40へ送信する。カウンタ部115は、該データフレームの送信により送信カウンタ値を1だけ増加させて保持する。
The
MAC検査部116は、受信部112により受信したデータフレームである検査対象フレーム中のデータフィールドから受信データを取得する。また、MAC検査部116は、該検査対象フレーム中のIDフィールドに格納されているIDに対応する受信カウンタ値を、カウンタ部115から取得する。MAC検査部116は、該取得した受信データ及び受信カウンタ値と、セッション鍵記憶部117に記憶されているセッション鍵とを使用して、MAC(説明の便宜上、算出MACと称する)を生成する。このMAC生成方法は、上述したMAC生成部114と同じ算出方法(例えばSHA−2)により算出される。
The
MAC検査部116は、検査対象フレーム中の所定の部分からMACを取得する。MAC検査部116は、該検査対象フレームから取得したMACと該検査対象フレームについての算出MACを使用して、MAC検査を実行する。例えば、該検査対象フレームから取得したMACと該検査対象フレームについての算出MACが一致するかを判定する。MAC検査が合格である場合、MAC検査部116は、フレーム受信処理部113へ、検査対象フレームの検査合格を通知する。これにより、フレーム受信処理部113は、受信部112により受信した検査対象フレームに対して、正常に受信したデータフレームに対する所定の受信処理を行う。また、MAC検査部116は、カウンタ部115に対して、検査対象フレームの検査合格を通知する。これにより、カウンタ部115は、該検査対象フレームのIDに対応する受信カウンタ値を1だけ増加させて保持する。一方、MAC検査が不合格である場合には、所定のエラー処理が実行される。
The
上述したMACの生成及び検査では、カウンタ部115のカウンタ値が使用される。もし車載制御システム2に備わる複数のECU50の各カウンタ部115のカウンタ値の初期値が同じではない場合、MAC検査の結果が信頼できなくなる。このため、本実施例1では、カウンタ部115のカウンタ値の初期値を複数のECU50で共有する処理を実行する。以下、図5を参照して、本実施例1に係るカウンタ初期値共有方法を説明する。
In the MAC generation and inspection described above, the counter value of the
図5は、本実施例1に係るカウンタ初期値共有方法を示すシーケンスチャートである。図5において、管理装置10とECU50は、予め共有した同じ鍵交換鍵を有する。管理装置10は、該鍵交換鍵を鍵交換鍵記憶部21に記憶している。ECU50は、該鍵交換鍵を鍵交換鍵記憶部118に記憶している。
FIG. 5 is a sequence chart illustrating the counter initial value sharing method according to the first embodiment. In FIG. 5, the
なお、図5に示すカウンタ初期値共有方法の実行時においては、データフレームにはMACが格納されない。したがって、データフレームの受信側はMAC検査を実行しない。これは、ECU50のカウンタ部115のカウンタ値の初期値に使用されるカウンタ初期値が、カウンタ初期値共有方法の実行により、複数のECU50で共有されるまでは、MAC検査を正常に実施することができないからである。
Note that when the counter initial value sharing method shown in FIG. 5 is executed, the MAC is not stored in the data frame. Therefore, the data frame receiver does not perform MAC inspection. This is because the MAC inspection is normally performed until the counter initial value used as the initial value of the counter value of the
(ステップS11)管理装置10において、乱数生成部22が乱数を生成する。例えば、乱数生成部22は、データ長が64ビットである乱数を生成する。
(Step S11) In the
(ステップS12)管理装置10において、通信部11が、該乱数をデータフィールドに格納したデータフレームである第2データ格納フレームを、CAN40を介してECU50へ送信する。通信部11は、例えばブロードキャストにより第2データ格納フレームを送信する。ECU50において、通信部51は、CAN40を介して管理装置10から該第2データ格納フレームを受信する。
(Step S12) In the
(ステップS13)管理装置10において、カウンタ初期値生成部23が鍵交換鍵記憶部21から鍵交換鍵を読み出す。ECU50において、カウンタ初期値生成部120が鍵交換鍵記憶部118から鍵交換鍵を読み出す。
(Step S <b> 13) In the
(ステップS14)管理装置10において、カウンタ初期値生成部23は、鍵交換鍵記憶部21から読み出した鍵交換鍵と乱数生成部22が生成した乱数とを使用して、カウンタ初期値を生成する。ECU50において、カウンタ初期値生成部120は、鍵交換鍵記憶部118から読み出した鍵交換鍵と、通信部51が受信した第2データ格納フレームに格納されている乱数とを使用して、カウンタ初期値を生成する。カウンタ初期値生成部120が生成したカウンタ初期値は、カウンタ部115のカウンタ値の初期値として設定される。
(Step S <b> 14) In the
カウンタ初期値の生成方法は、管理装置10のカウンタ初期値生成部23とECU50のカウンタ初期値生成部120とで同じである。カウンタ初期値の生成方法は、上述した第3のデータの生成方法と同様でよい。例えば、乱数を鍵交換鍵で暗号化した値(例えばCMAC)をカウンタ初期値にしてもよい。又は、鍵交換鍵と乱数を連結したデータのハッシュ値を算出し、該ハッシュ値をカウンタ初期値にしてもよい。又は、鍵交換鍵と乱数の排他的論理和をカウンタ初期値にしてもよい。
The counter initial value generation method is the same for the counter initial
以上が本実施例1に係るカウンタ初期値共有方法の説明である。本実施例1に係るカウンタ初期値共有方法によれば、複数のECU50で同じカウンタ初期値を共有することができる。さらに、複数のECU50で同じカウンタ初期値を共有する際に、該カウンタ初期値のセキュリティ強度をある程度に保ちつつ共有にかかる時間を短縮することができる。この効果について、カウンタ初期値のセキュリティ強度に対する要求としてカウンタ初期値のデータ長を256ビットにする場合を例に挙げて説明する。この場合、256ビットのカウンタ初期値をデータフレームで各ECU50に送信する際には、データフレームのデータフィールドに格納可能なデータ長の上限が64ビットであるので、ブロードキャストにより送信しても、少なくとも4個のデータフレームの送信が必要になる。
The above is the description of the counter initial value sharing method according to the first embodiment. According to the counter initial value sharing method according to the first embodiment, a plurality of
一方、本実施例1によれば、管理装置10からECU50へ送信する乱数は、64ビット以下のデータ長である。例えば、64ビットの乱数である。したがって、該乱数を各ECU50に送信する際には、ブロードキャストにより送信すれば、1個のデータフレームの送信で済む。そして、管理装置10及びECU50において、該乱数と管理装置10及びECU50で共有される鍵交換鍵を使用してカウンタ初期値が生成される。該鍵交換鍵のデータ長を256ビットにすることにより、例えば64ビットの乱数と256ビットの鍵交換鍵を使用して、256ビットのカウンタ初期値を生成することができる。これにより、複数のECU50で同じカウンタ初期値を共有する際に、該カウンタ初期値のセキュリティ強度に対する要求(カウンタ初期値のデータ長が256ビットである)を保ちつつ共有にかかる時間を短縮することができるという効果が得られる。
On the other hand, according to the first embodiment, the random number transmitted from the
次に、本実施例1に係るセッション鍵共有方法を説明する。セッション鍵は、上述したMACの生成及び検査など、CAN40を介して行われる通信に使用される。もし車載制御システム2に備わる管理装置10及びECU50の各セッション鍵が同じではない場合、セッション鍵を使用した通信が信頼できなくなる。このため、本実施例1では、セッション鍵を管理装置10及びECU50で共有する処理を実行する。以下、図6を参照して、本実施例1に係るセッション鍵共有方法を説明する。
Next, a session key sharing method according to the first embodiment will be described. The session key is used for communication performed via the
図6は、本実施例1に係るセッション鍵共有方法を示すシーケンスチャートである。図6において、管理装置10とECU50は、予め共有した同じ鍵交換鍵を有する。管理装置10は、該鍵交換鍵を鍵交換鍵記憶部21に記憶している。ECU50は、該鍵交換鍵を鍵交換鍵記憶部118に記憶している。
FIG. 6 is a sequence chart illustrating the session key sharing method according to the first embodiment. In FIG. 6, the
なお、図6に示すセッション鍵共有方法の実行時においては、データフレームにはMACが格納されない。したがって、データフレームの受信側はMAC検査を実行しない。これは、セッション鍵が、セッション鍵共有方法の実行により、複数のECU50で共有されるまでは、MAC検査を正常に実施することができないからである。
When the session key sharing method shown in FIG. 6 is executed, the MAC is not stored in the data frame. Therefore, the data frame receiver does not perform MAC inspection. This is because the MAC inspection cannot be normally performed until the session key is shared by the plurality of
(ステップS21)管理装置10において、乱数生成部22が乱数を生成する。例えば、乱数生成部22は、データ長が64ビットである乱数を発生する。
(Step S21) In the
(ステップS22)管理装置10において、通信部11が、該乱数をデータフィールドに格納したデータフレームである第2データ格納フレームを、CAN40を介してECU50へ送信する。通信部11は、例えばブロードキャストにより第2データ格納フレームを送信する。ECU50において、通信部51は、CAN40を介して管理装置10から該第2データ格納フレームを受信する。
(Step S22) In the
(ステップS23)管理装置10において、セッション鍵生成部24が鍵交換鍵記憶部21から鍵交換鍵を読み出す。ECU50において、セッション鍵生成部119が鍵交換鍵記憶部118から鍵交換鍵を読み出す。
(Step S <b> 23) In the
(ステップS24)管理装置10において、セッション鍵生成部24は、鍵交換鍵記憶部21から読み出した鍵交換鍵と乱数生成部22が生成した乱数とを使用して、セッション鍵を生成する。ECU50において、セッション鍵生成部119は、鍵交換鍵記憶部118から読み出した鍵交換鍵と、通信部51が受信した第2データ格納フレームに格納されている乱数とを使用して、セッション鍵を生成する。セッション鍵生成部119が生成したセッション鍵は、セッション鍵記憶部117に格納される。これにより、同じセッション鍵が管理装置10及びECU50で共有される。
(Step S24) In the
セッション鍵の生成方法は、管理装置10のセッション鍵生成部24とECU50のセッション鍵生成部119とで同じである。セッション鍵の生成方法は、上述した第3のデータの生成方法と同様でよい。例えば、乱数を鍵交換鍵で暗号化した値(例えばCMAC)をセッション鍵にしてもよい。又は、鍵交換鍵と乱数を連結したデータのハッシュ値を算出し、該ハッシュ値をセッション鍵にしてもよい。又は、鍵交換鍵と乱数の排他的論理和をセッション鍵にしてもよい。
The session key generation method is the same for the session key generation unit 24 of the
以上が本実施例1に係るセッション鍵共有方法の説明である。本実施例1に係るセッション鍵共有方法によれば、複数のECU50で同じセッション鍵を共有することができる。さらに、複数のECU50で同じセッション鍵を共有する際に、該セッション鍵のセキュリティ強度をある程度に保ちつつ共有にかかる時間を短縮することができる。この効果は、上述したカウンタ初期値の場合と同様の理由により得られる。
The above is the description of the session key sharing method according to the first embodiment. According to the session key sharing method according to the first embodiment, a plurality of
なお、上述の実施例1において、カウンタ初期値又はセッション鍵の共有を実行するタイミングとして、例えば、自動車1のエンジン始動直後のタイミングにしてもよい。自動車1のエンジン始動中は、自動車1においてECU50への電源供給が不十分になってECU50の動作が不安定になる可能性がある。ECU50の動作が不安定になると、ECU50においてDRAM(Dynamic Random Access Memory)やSRAM(Static Random Access Memory)などの揮発性メモリに格納されたデータが正常に保たれない可能性がある。このため、カウンタ値やセッション鍵を揮発性メモリに格納する場合には、自動車1のエンジンの始動前及び始動中にカウンタ初期値やセッション鍵の共有を実行することは避け、エンジン始動後のECU50の動作が安定している状態でカウンタ初期値やセッション鍵の共有を実行することが好ましい。さらには、エンジンが始動してから走行が開始されるまでの期間に、カウンタ初期値やセッション鍵の共有が完了することが好ましい。これは、自動車1の走行中にはエンジン制御やブレーキ制御等の制御が実行されるので、ECU50間で交換されるメッセージの信頼性を保つためにMAC検査を正常に実行するためである。
In the first embodiment described above, the counter initial value or the session key sharing timing may be, for example, a timing immediately after the engine of the
また、上述の図5に示すカウンタ初期値共有方法では、鍵交換鍵を使用してカウンタ初期値を生成したが、鍵交換鍵の代わりにセッション鍵を使用してもよい。セッション鍵を使用してカウンタ初期値を生成する場合には、管理装置10及びECU50で同じセッション鍵が共有されてから、カウンタ初期値の共有を実行する。
In the counter initial value sharing method shown in FIG. 5 described above, the counter initial value is generated using the key exchange key. However, a session key may be used instead of the key exchange key. When the initial counter value is generated using the session key, the counter initial value is shared after the
次に本実施例1に係る鍵交換鍵更新方法を説明する。上述したカウンタ初期値共有方法又はセッション鍵共有方法により鍵交換鍵が繰り返し使用されると、漏洩電磁波解析などの解析が行われることによって鍵交換鍵が漏洩する可能性がある。この対策として、本実施例1では、図7及び図8に示される多層共通鍵方式により鍵交換鍵の更新を行う。以下、図7及び図8を参照して、本実施例1に係る鍵交換鍵更新方法を説明する。 Next, a key exchange key update method according to the first embodiment will be described. If the key exchange key is repeatedly used by the counter initial value sharing method or the session key sharing method described above, the key exchange key may be leaked by performing analysis such as leakage electromagnetic wave analysis. As a countermeasure, in the first embodiment, the key exchange key is updated by the multilayer common key method shown in FIGS. The key exchange key update method according to the first embodiment will be described below with reference to FIGS.
まず図7を参照して鍵交換鍵更新方法の第1段階を説明する。図7は、鍵交換鍵更新方法の第1段階を示すシーケンスチャートである。図7において、管理装置10とECU50は、予め共有したN番目の鍵交換鍵である現鍵交換鍵(N)を有する。管理装置10は、現鍵交換鍵(N)を鍵交換鍵記憶部21に記憶している。ECU50は、現鍵交換鍵(N)を鍵交換鍵記憶部118に記憶している。
First, the first stage of the key exchange key update method will be described with reference to FIG. FIG. 7 is a sequence chart showing a first stage of the key exchange key update method. In FIG. 7, the
また、管理装置10とECU50は、予め共有したα系統のN番目の共通鍵であるα現共通鍵(N)を有する。α系統の共通鍵は、第1の鍵の例である。また、管理装置10とECU50は、予め共有したβ系統のN番目の共通鍵であるβ現共通鍵(N)を有する。β系統の共通鍵は、第2の鍵の例である。管理装置10は、α現共通鍵(N)及びβ現共通鍵(N)を共通鍵記憶部25に記憶している。ECU50は、α現共通鍵(N)及びβ現共通鍵(N)を共通鍵記憶部121に記憶している。
Moreover, the
(ステップS31)管理装置10において、データ更新部15は、所定のタイミングで、新しい「N+1」番目の鍵交換鍵である新鍵交換鍵(N+1)を生成する。データ更新部15は、鍵交換鍵記憶部21に記憶される鍵交換鍵を、現鍵交換鍵(N)から新鍵交換鍵(N+1)に書き換える。管理装置10は、例えば、現鍵交換鍵(N)が使用された回数が規定回数に達した場合に、鍵交換鍵を、現鍵交換鍵(N)から新鍵交換鍵(N+1)に変更してもよい。
(Step S31) In the
(ステップS32)管理装置10において、暗号処理部16は、新鍵交換鍵(N+1)をα現共通鍵(N)で暗号化する。
(Step S32) In the
(ステップS33)管理装置10において、通信部11は、該新鍵交換鍵(N+1)の暗号化の結果である第1暗号化データ(N+1)を格納したデータフレームである第1暗号化データ格納フレームを、CAN40を介してECU50へ送信する。通信部11は、例えばブロードキャストにより第1暗号化データ格納フレームを送信する。ECU50において、通信部51は、CAN40を介して管理装置10から該第1暗号化データ格納フレームを受信する。
(Step S33) In the
(ステップS34)ECU50において、暗号処理部55は、該通信部51が管理装置10から受信した第1暗号化データ格納フレームに格納されている第1暗号化データ(N+1)をα現共通鍵(N)で復号する。ECU50において、データ更新部54は、該復号の結果により、鍵交換鍵記憶部118に記憶される鍵交換鍵を現鍵交換鍵(N)から書き換える。これにより、ECU50の鍵交換鍵記憶部118に記憶される鍵交換鍵が、現鍵交換鍵(N)から新鍵交換鍵(N+1)に更新される。
(Step S <b> 34) In the
次に図8を参照して鍵交換鍵更新方法の第2段階を説明する。図8は、鍵交換鍵更新方法の第2段階を示すシーケンスチャートである。上述の鍵交換鍵更新方法の第1段階により、α現共通鍵(N)が繰り返し使用されると、漏洩電磁波解析などの解析が行われることによってα現共通鍵(N)が漏洩する可能性がある。この対策として、本実施例1では、図8に示される鍵交換鍵更新方法の第2段階により、α系統の共通鍵の更新を行う。以下、図8を参照して、本実施例1に係る鍵交換鍵更新方法の第2段階を説明する。図8において、管理装置10とECU50は、予め共有したα現共通鍵(N)及びβ現共通鍵(N)を有する。管理装置10は、α現共通鍵(N)及びβ現共通鍵(N)を共通鍵記憶部25に記憶している。ECU50は、α現共通鍵(N)及びβ現共通鍵(N)を共通鍵記憶部121に記憶している。
Next, the second stage of the key exchange key update method will be described with reference to FIG. FIG. 8 is a sequence chart showing a second stage of the key exchange key update method. If the α current common key (N) is repeatedly used in the first step of the key exchange key updating method described above, the α current common key (N) may be leaked by performing analysis such as leakage electromagnetic wave analysis. There is. As a countermeasure, in the first embodiment, the α-system common key is updated by the second stage of the key exchange key updating method shown in FIG. Hereinafter, the second stage of the key exchange key update method according to the first embodiment will be described with reference to FIG. In FIG. 8, the
(ステップS41)管理装置10において、データ更新部15は、所定のタイミングで、α系統の新しい「N+1」番目の共通鍵であるα新共通鍵(N+1)を生成する。管理装置10は、共通鍵記憶部25に記憶されるα系統の共通鍵を、α現共通鍵(N)からα新共通鍵(N+1)に書き換える。管理装置10は、例えば、α現共通鍵(N)が使用された回数が規定回数に達した場合に、α系統の共通鍵を、α現共通鍵(N)からα新共通鍵(N+1)に変更してもよい。
(Step S41) In the
(ステップS42)管理装置10において、暗号処理部16は、α新共通鍵(N+1)をβ現共通鍵(N)で暗号化する。
(Step S42) In the
(ステップS43)管理装置10において、通信部11は、該α新共通鍵(N+1)の暗号化の結果である第2暗号化データ(N+1)を格納したデータフレームである第2暗号化データ格納フレームを、CAN40を介してECU50へ送信する。通信部11は、例えばブロードキャストにより第2暗号化データ格納フレームを送信する。ECU50において、通信部51は、CAN40を介して管理装置10から該第2暗号化データ格納フレームを受信する。
(Step S43) In the
(ステップS44)ECU50において、暗号処理部55は、該通信部51が管理装置10から受信した第2暗号化データ格納フレームに格納されている第2暗号化データ(N+1)をβ現共通鍵(N)で復号する。ECU50において、データ更新部54は、該復号の結果により、共通鍵記憶部121に記憶されるα系統の共通鍵をα現共通鍵(N)から書き換える。これにより、ECU50の共通鍵記憶部121に記憶されるα系統の共通鍵が、α現共通鍵(N)からα新共通鍵(N+1)に更新される。
(Step S44) In the
上述の図7及び図8に示される多層共通鍵方式による鍵交換鍵更新方法によれば、共通鍵方式の高速性を得ることができると共に、同じ処理ルーチンを繰り返し利用することができる。同じ処理ルーチンを繰り返し利用することにより、プログラムコードの単純化を図ることができるので、限られたコンピュータ資源であるECU50のCPU性能及びメモリ量に好適である。
According to the key exchange key update method based on the multilayer common key method shown in FIGS. 7 and 8 described above, the high speed of the common key method can be obtained and the same processing routine can be used repeatedly. By repeatedly using the same processing routine, the program code can be simplified, which is suitable for the CPU performance and memory capacity of the
なお、上述した実施例1において、管理装置10が、図4に示すMACの生成及び検査に係る各部を備え、送信するデータフレームに格納するMACの生成及び受信したデータフレームに格納されているMACの検査を実行するようにしてもよい。
In the first embodiment described above, the
また、自動車1に備わるいずれかのECUを管理装置10として機能させてもよい。
Also, any ECU provided in the
[実施例2]
図9は、本実施形態に係る自動車1の実施例2を示す構成図である。図9において、自動車1は、ゲートウェイ10aとCAN40とECU50と診断ポート70とインフォテイメント(Infotainment)機器200を備える。インフォテイメント機器200として、例えば、ナビゲーション機能、位置情報サービス機能、音楽や動画などのマルチメディア再生機能、音声通信機能、データ通信機能、インターネット接続機能などを有するものが挙げられる。インフォテイメント機器200は、外部機器220と接続して、外部機器220とデータを交換する。外部機器220として、例えば、携帯通信端末やオーディオビジュアル機器などが挙げられる。
[Example 2]
FIG. 9 is a configuration diagram illustrating Example 2 of the
診断ポート70は、診断ツール210を接続する。診断ツール210は、診断ポート70を介して、ECU50等の更新プログラムのインストールやデータの設定変更などを実行する。診断ポート70として、例えばOBD(On-board Diagnostics)ポートを使用してもよい。
The
ゲートウェイ10aは、CAN40に接続される。インフォテイメント機器200は、ゲートウェイ10aを介して、CAN40に接続されるECU50とデータを送受する。ゲートウェイ10aは、インフォテイメント機器200とECU50の間のデータの送受を監視する。診断ツール210は、診断ポート70及びゲートウェイ10aを介して、CAN40に接続されるECU50とデータを送受する。ゲートウェイ10aは、診断ツール210とECU50の間のデータの送受を監視する。
The
ゲートウェイ10aは、本実施形態に係る管理装置10の機能を備える。ゲートウェイ10aはセキュアエレメント61を備える。ECU50はセキュアエレメント62を備える。セキュアエレメント61及び62は耐タンパー性(Tamper Resistant)を有する。ゲートウェイ10aにおいて、セキュアエレメント61は、図1に示す管理装置10の各部のうち、第1データ記憶部12、第3データ生成部14、データ更新部15及び暗号処理部16を備えてもよい。又は、ゲートウェイ10aにおいて、セキュアエレメント61は、図3に示す管理装置10の各部のうち、鍵交換鍵記憶部21、カウンタ初期値生成部23、セッション鍵生成部24、データ更新部15、暗号処理部16及び共通鍵記憶部25を備えてもよい。
The
ECU50において、セキュアエレメント62は、図1に示すECU50の各部のうち、第1データ記憶部52、第3データ生成部53、データ更新部54及び暗号処理部55を備えてもよい。又は、ECU50において、セキュアエレメント62は、図4に示すECU50の各部のうち、鍵交換鍵記憶部118、カウンタ初期値生成部120、セッション鍵生成部119、セッション鍵記憶部117、データ更新部54、暗号処理部55及び共通鍵記憶部121を備えてもよい。
In the
セキュアエレメントとして、例えば、SIM(Subscriber Identity Module)又はeSIM(Embedded Subscriber Identity Module)を使用してもよい。SIM及びeSIMは、セキュアエレメントであり、耐タンパー性を有する。SIM及びeSIMは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。又は、セキュアエレメントとして、耐タンパー性のある暗号処理チップを使用してもよい。耐タンパー性のある暗号処理チップとして、例えば、HSM(Hardware Security Module)、TPM(Trusted Platform Module)、又はSHE(Secure Hardware Extension)などと呼ばれる暗号処理チップが知られている。 For example, a SIM (Subscriber Identity Module) or an eSIM (Embedded Subscriber Identity Module) may be used as the secure element. SIM and eSIM are secure elements and have tamper resistance. SIM and eSIM are a kind of computer, and a desired function is realized by a computer program. Alternatively, a tamper-resistant cryptographic processing chip may be used as the secure element. As a cryptographic processing chip having tamper resistance, for example, a cryptographic processing chip called HSM (Hardware Security Module), TPM (Trusted Platform Module), or SHE (Secure Hardware Extension) is known.
例えば、ゲートウェイ10aのセキュアエレメント61として、SIM又はeSIMを使用してもよい。この場合、ゲートウェイ10aは、SIM又はeSIMを使用して無線通信を行う通信モジュールを備えてもよい。また、ECU50のセキュアエレメント62として、HSM、TPM又はSHEを使用してもよい。
For example, SIM or eSIM may be used as the
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。 As mentioned above, although embodiment of this invention was explained in full detail with reference to drawings, the specific structure is not restricted to this embodiment, The design change etc. of the range which does not deviate from the summary of this invention are included.
例えば、上述の実施形態では、車両として自動車を例に挙げたが、原動機付自転車や鉄道車両等の自動車以外の他の車両にも適用可能である。 For example, in the above-described embodiment, an automobile is taken as an example of a vehicle, but the present invention can also be applied to vehicles other than automobiles such as a motorbike and a railway vehicle.
また、上述した管理装置10、ECU50又はゲートウェイ10aの機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
Further, a computer program for realizing the functions of the
“Computer-readable recording medium” refers to a flexible disk, a magneto-optical disk, a ROM, a writable nonvolatile memory such as a flash memory, a portable medium such as a DVD (Digital Versatile Disc), and a built-in computer system. A storage device such as a hard disk.
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
Further, the “computer-readable recording medium” means a volatile memory (for example, DRAM (Dynamic DRAM) in a computer system that becomes a server or a client when a program is transmitted through a network such as the Internet or a communication line such as a telephone line. Random Access Memory)), etc., which hold programs for a certain period of time.
The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.
1…自動車、2…車載制御システム、10…管理装置、10a…ゲートウェイ(管理装置)、11,51…通信部、12,52…第1データ記憶部、13…第2データ生成部、14,53…第3データ生成部、15,54…データ更新部、16,55…暗号処理部、21,118…鍵交換鍵記憶部、22…乱数生成部、23,120…カウンタ初期値生成部、24,119…セッション鍵生成部、25,121…共通鍵記憶部、40…CAN(通信ネットワーク)、50…ECU(車載コンピュータ)、61,62…セキュアエレメント、70…診断ポート、111…送信部、112…受信部、113…フレーム受信処理部、114…MAC(メッセージ認証コード)生成部、115…カウンタ部、116…MAC(メッセージ認証コード)検査部、117…セッション鍵記憶部、200…インフォテイメント機器
DESCRIPTION OF
Claims (14)
前記車両に備わる通信ネットワークを介してフレームにより通信する管理装置と複数の車載コンピュータを備え、
前記管理装置は、
前記通信ネットワークを介して前記フレームを送受する通信部と、
一つの前記フレームに格納可能なデータ長の上限を超える所定データ長である第1のデータを記憶する第1データ記憶部と、
一つの前記フレームに格納可能なデータ長である第2のデータを生成する第2データ生成部と、
前記第1のデータと前記第2のデータを使用して、複数の前記車載コンピュータで共有される前記所定データ長の第3のデータを生成する第3データ生成部と、を備え、
前記通信部は、前記第2のデータを格納した前記フレームである第2データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信し、
前記車載コンピュータは、
前記通信ネットワークを介して前記フレームを送受する通信部と、
前記第1のデータを記憶する第1データ記憶部と、
自車載コンピュータの前記第1データ記憶部に記憶されている前記第1のデータと自車載コンピュータの前記通信部が前記管理装置から前記通信ネットワークを介して受信した前記第2データ格納フレームに格納されている前記第2のデータとを使用して、前記第3のデータを生成する第3データ生成部と、を備える、
車載制御システム。 In the in-vehicle control system provided in the vehicle,
A management device that communicates with a frame via a communication network provided in the vehicle and a plurality of in-vehicle computers;
The management device
A communication unit that transmits and receives the frame via the communication network;
A first data storage unit for storing first data having a predetermined data length exceeding an upper limit of a data length that can be stored in one frame;
A second data generation unit that generates second data having a data length that can be stored in one frame;
A third data generation unit that generates the third data of the predetermined data length shared by the plurality of in-vehicle computers using the first data and the second data;
The communication unit transmits a second data storage frame, which is the frame storing the second data, to the in-vehicle computer via the communication network;
The in-vehicle computer is
A communication unit that transmits and receives the frame via the communication network;
A first data storage unit for storing the first data;
The first data stored in the first data storage unit of the vehicle-mounted computer and the communication unit of the vehicle-mounted computer are stored in the second data storage frame received from the management device via the communication network. A third data generation unit that generates the third data using the second data.
In-vehicle control system.
前記車載コンピュータの前記通信部は、ブロードキャスト又はマルチキャストにより前記第2データ格納フレームを受信する、
請求項1に記載の車載制御システム。 The communication unit of the management device transmits the second data storage frame by broadcast or multicast,
The communication unit of the in-vehicle computer receives the second data storage frame by broadcast or multicast;
The in-vehicle control system according to claim 1.
請求項1又は2のいずれか1項に記載の車載制御システム。 The in-vehicle computer uses the third data as an initial value of information related to communication performed via the communication network.
The vehicle-mounted control system of any one of Claim 1 or 2.
請求項3に記載の車載制御システム。 The information related to the communication is a counter value for the frame.
The in-vehicle control system according to claim 3.
請求項4に記載の車載制御システム。 The counter value is used to generate a message authentication code for messages exchanged over the communication network.
The in-vehicle control system according to claim 4.
請求項1又は2のいずれか1項に記載の車載制御システム。 The in-vehicle computer uses the third data as a key used for communication performed via the communication network.
The vehicle-mounted control system of any one of Claim 1 or 2.
所定のタイミングで前記第1のデータを変更するデータ更新部と、
該変更後の前記第1のデータを前記管理装置と前記車載コンピュータで共有される第1の鍵で暗号化する暗号処理部と、を備え、
前記管理装置の前記通信部は、該暗号化の結果である第1暗号化データを格納した前記フレームである第1暗号化データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信し、
前記車載コンピュータは、
自車載コンピュータの前記通信部が前記管理装置から前記通信ネットワークを介して受信した前記第1暗号化データ格納フレームに格納されている前記第1暗号化データを前記第1の鍵で復号する暗号処理部と、
該復号の結果により自車載コンピュータの前記第1のデータを更新するデータ更新部と、を備える、
請求項1から6のいずれか1項に記載の車載制御システム。 The management device
A data update unit for changing the first data at a predetermined timing;
An encryption processor that encrypts the first data after the change with a first key shared by the management device and the in-vehicle computer,
The communication unit of the management device transmits a first encrypted data storage frame, which is the frame storing the first encrypted data as a result of the encryption, to the in-vehicle computer via the communication network,
The in-vehicle computer is
Cryptographic processing for decrypting the first encrypted data stored in the first encrypted data storage frame received by the communication unit of the in-vehicle computer from the management device via the communication network with the first key. And
A data update unit that updates the first data of the in-vehicle computer according to the result of the decoding,
The in-vehicle control system according to any one of claims 1 to 6.
前記管理装置の前記暗号処理部は、該変更後の前記第1の鍵を前記管理装置と前記車載コンピュータで共有される第2の鍵で暗号化し、
前記管理装置の前記通信部は、該暗号化の結果である第2暗号化データを格納した前記フレームである第2暗号化データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信し、
前記車載コンピュータの前記暗号処理部は、自車載コンピュータの前記通信部が前記管理装置から前記通信ネットワークを介して受信した前記第2暗号化データ格納フレームに格納されている前記第2暗号化データを前記第2の鍵で復号し、
前記車載コンピュータの前記データ更新部は、該復号の結果により自車載コンピュータの前記第1の鍵を更新する、
請求項7に記載の車載制御システム。 The data update unit of the management device changes the first key at a predetermined timing,
The encryption processing unit of the management device encrypts the changed first key with a second key shared by the management device and the in-vehicle computer,
The communication unit of the management device transmits a second encrypted data storage frame, which is the frame storing the second encrypted data as a result of the encryption, to the in-vehicle computer via the communication network,
The encryption processing unit of the in-vehicle computer stores the second encrypted data stored in the second encrypted data storage frame received by the communication unit of the in-vehicle computer from the management device via the communication network. Decrypt with the second key,
The data updating unit of the in-vehicle computer updates the first key of the in-vehicle computer with the result of the decryption,
The in-vehicle control system according to claim 7.
前記通信ネットワークを介して前記フレームを送受する通信部と、
一つの前記フレームに格納可能なデータ長の上限を超える所定データ長のデータであって前記管理装置と前記車載コンピュータで共有される第1のデータを記憶する第1データ記憶部と、
一つの前記フレームに格納可能なデータ長である第2のデータを生成する第2データ生成部と、
前記第1のデータと前記第2のデータを使用して、複数の前記車載コンピュータで共有される前記所定データ長の第3のデータを生成する第3データ生成部と、を備え、
前記通信部は、前記第2のデータを格納した前記フレームである第2データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信する、
管理装置。 In the management device of the in-vehicle control system provided in the vehicle including a management device that communicates by a frame via a communication network provided in the vehicle and a plurality of in-vehicle computers,
A communication unit that transmits and receives the frame via the communication network;
A first data storage unit that stores data having a predetermined data length that exceeds an upper limit of a data length that can be stored in one frame and is shared by the management device and the in-vehicle computer;
A second data generation unit that generates second data having a data length that can be stored in one frame;
A third data generation unit that generates the third data of the predetermined data length shared by the plurality of in-vehicle computers using the first data and the second data;
The communication unit transmits a second data storage frame, which is the frame storing the second data, to the in-vehicle computer via the communication network.
Management device.
前記通信ネットワークを介して前記フレームを送受する通信部と、
一つの前記フレームに格納可能なデータ長の上限を超える所定データ長のデータであって前記管理装置と前記車載コンピュータで共有される第1のデータを記憶する第1データ記憶部と、
前記第1データ記憶部に記憶されている前記第1のデータと前記通信部が前記管理装置から前記通信ネットワークを介して受信した前記フレームであって一つの前記フレームに格納可能なデータ長である第2のデータを格納した第2データ格納フレームに格納されている前記第2のデータとを使用して、複数の前記車載コンピュータで共有される前記所定データ長の第3のデータを生成する第3データ生成部と、
を備える車載コンピュータ。 In the in-vehicle computer of the in-vehicle control system provided in the vehicle including a management device that communicates by a frame via a communication network provided in the vehicle and a plurality of in-vehicle computers,
A communication unit that transmits and receives the frame via the communication network;
A first data storage unit that stores data having a predetermined data length that exceeds an upper limit of a data length that can be stored in one frame and is shared by the management device and the in-vehicle computer;
The first data stored in the first data storage unit and the communication unit receive the frame from the management device via the communication network and have a data length that can be stored in one frame. The second data stored in the second data storage frame storing the second data is used to generate the third data having the predetermined data length shared by the plurality of in-vehicle computers. 3 data generators;
In-vehicle computer equipped with.
前記管理装置が、一つの前記フレームに格納可能なデータ長の上限を超える所定データ長である第1のデータを記憶する第1データ記憶ステップと、
前記管理装置が、一つの前記フレームに格納可能なデータ長である第2のデータを生成する第2データ生成ステップと、
前記管理装置が、前記第2のデータを格納した前記フレームである第2データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信する送信ステップと、
前記管理装置が、前記第1のデータと前記第2のデータを使用して、複数の前記車載コンピュータで共有される前記所定データ長の第3のデータを生成する第3データ生成ステップと、
前記車載コンピュータが、前記第1のデータを記憶する第2の第1データ記憶ステップと、
前記車載コンピュータが、前記管理装置から前記通信ネットワークを介して前記第2データ格納フレームを受信する受信ステップと、
前記車載コンピュータが、前記第2の第1データ記憶ステップで記憶した前記第1のデータと前記受信ステップで受信した前記第2データ格納フレームに格納されている前記第2のデータとを使用して、前記第3のデータを生成する第2の第3データ生成ステップと、
を含むデータ共有方法。 In the data sharing method of the in-vehicle control system provided in the vehicle including a management device that communicates by a frame via a communication network provided in the vehicle and a plurality of in-vehicle computers,
A first data storage step in which the management device stores first data having a predetermined data length exceeding an upper limit of a data length that can be stored in one frame;
A second data generation step in which the management device generates second data having a data length that can be stored in one frame;
A transmission step in which the management device transmits a second data storage frame, which is the frame storing the second data, to the in-vehicle computer via the communication network;
A third data generation step in which the management device generates third data of the predetermined data length shared by the plurality of in-vehicle computers using the first data and the second data;
A second first data storing step in which the in-vehicle computer stores the first data;
A receiving step in which the in-vehicle computer receives the second data storage frame from the management device via the communication network;
The in-vehicle computer uses the first data stored in the second first data storage step and the second data stored in the second data storage frame received in the reception step. A second third data generating step for generating the third data;
Data sharing method.
一つの前記フレームに格納可能なデータ長の上限を超える所定データ長のデータであって前記管理装置と前記車載コンピュータで共有される第1のデータを記憶する第1データ記憶機能と、
一つの前記フレームに格納可能なデータ長である第2のデータを生成する第2データ生成機能と、
前記第2のデータを格納した前記フレームである第2データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信する通信機能と、
前記第1のデータと前記第2のデータを使用して、複数の前記車載コンピュータで共有される前記所定データ長の第3のデータを生成する第3データ生成機能と、
を実現させるためのコンピュータプログラム。 In the computer of the management device of the in-vehicle control system provided in the vehicle including a management device and a plurality of in-vehicle computers that communicate with each other through a communication network provided in the vehicle,
A first data storage function that stores data having a predetermined data length that exceeds an upper limit of a data length that can be stored in one frame and is shared by the management device and the in-vehicle computer;
A second data generation function for generating second data having a data length that can be stored in one frame;
A communication function for transmitting a second data storage frame, which is the frame storing the second data, to the in-vehicle computer via the communication network;
Using the first data and the second data, a third data generation function for generating third data of the predetermined data length shared by the plurality of in-vehicle computers;
Computer program for realizing.
一つの前記フレームに格納可能なデータ長の上限を超える所定データ長のデータであって前記管理装置と前記車載コンピュータで共有される第1のデータを記憶する第1データ記憶機能と、
一つの前記フレームに格納可能なデータ長である第2のデータを格納した前記フレームである第2データ格納フレームを前記管理装置から前記通信ネットワークを介して受信する通信機能と、
前記第1データ記憶機能により記憶されている前記第1のデータと前記通信機能により受信した前記第2データ格納フレームに格納されている前記第2のデータとを使用して、複数の前記車載コンピュータで共有される前記所定データ長の第3のデータを生成する第3データ生成機能と、
を実現させるためのコンピュータプログラム。 In the in-vehicle computer of the in-vehicle control system provided in the vehicle including a management device and a plurality of in-vehicle computers that communicate by a frame via a communication network provided in the vehicle,
A first data storage function that stores data having a predetermined data length that exceeds an upper limit of a data length that can be stored in one frame and is shared by the management device and the in-vehicle computer;
A communication function for receiving a second data storage frame, which is the frame storing second data having a data length that can be stored in one frame, from the management device via the communication network;
A plurality of the in-vehicle computers using the first data stored by the first data storage function and the second data stored in the second data storage frame received by the communication function A third data generation function for generating third data of the predetermined data length shared by
Computer program for realizing.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015183971A JP6203798B2 (en) | 2015-09-17 | 2015-09-17 | In-vehicle control system, vehicle, management device, in-vehicle computer, data sharing method, and computer program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015183971A JP6203798B2 (en) | 2015-09-17 | 2015-09-17 | In-vehicle control system, vehicle, management device, in-vehicle computer, data sharing method, and computer program |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017165924A Division JP2017225186A (en) | 2017-08-30 | 2017-08-30 | On-vehicle control system, vehicle, management device, on-vehicle computer, data sharing method, and computer program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017060031A JP2017060031A (en) | 2017-03-23 |
| JP6203798B2 true JP6203798B2 (en) | 2017-09-27 |
Family
ID=58390712
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015183971A Expired - Fee Related JP6203798B2 (en) | 2015-09-17 | 2015-09-17 | In-vehicle control system, vehicle, management device, in-vehicle computer, data sharing method, and computer program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6203798B2 (en) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6728799B2 (en) * | 2016-03-11 | 2020-07-22 | 日本電気株式会社 | Cryptographic communication system, cryptographic communication method, security chip, communication device, control method thereof, and control program |
| JP6754325B2 (en) | 2017-06-20 | 2020-09-09 | 国立大学法人東海国立大学機構 | Authentication method for in-vehicle authentication system, in-vehicle authentication device, computer program and communication device |
| JP6948961B2 (en) * | 2018-02-09 | 2021-10-13 | Kddi株式会社 | Communication system and communication method |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2831650B2 (en) * | 1988-05-06 | 1998-12-02 | 日本放送協会 | Signal scramble transmission system and device |
| JPH10301492A (en) * | 1997-04-23 | 1998-11-13 | Sony Corp | Encryption apparatus and method, decryption apparatus and method, and information processing apparatus and method |
| EP2122969A1 (en) * | 2007-03-16 | 2009-11-25 | Telefonaktiebolaget LM Ericsson (PUBL) | Securing ip traffic |
| JP2013048374A (en) * | 2011-08-29 | 2013-03-07 | Toyota Motor Corp | Protection communication method |
| DE102013206185A1 (en) * | 2013-04-09 | 2014-10-09 | Robert Bosch Gmbh | Method for detecting a manipulation of a sensor and / or sensor data of the sensor |
-
2015
- 2015-09-17 JP JP2015183971A patent/JP6203798B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017060031A (en) | 2017-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10419220B2 (en) | Management device, key generating device, vehicle, maintenance tool, management system, management method, and computer program | |
| JP6260064B2 (en) | Communication network system and vehicle | |
| US11212087B2 (en) | Management system, key generation device, in-vehicle computer, management method, and computer program | |
| US11265170B2 (en) | Vehicle information collection system, vehicle-mounted computer, vehicle information collection device, vehicle information collection method, and computer program | |
| JP6288219B1 (en) | Communications system | |
| US20190245691A1 (en) | Reuse system, key generation device, data security device, in-vehicle computer, reuse method, and computer program | |
| US10970398B2 (en) | Data provision system, data security device, data provision method, and computer program | |
| JP6625293B2 (en) | Key management device and communication equipment | |
| JP2017188959A (en) | Management system, management apparatus, management method, and computer program | |
| JP6547180B2 (en) | Communications system | |
| US11570008B2 (en) | Pseudonym credential configuration method and apparatus | |
| JP6203798B2 (en) | In-vehicle control system, vehicle, management device, in-vehicle computer, data sharing method, and computer program | |
| JP6606809B2 (en) | Communication network system and vehicle | |
| CN114793184B (en) | Security chip communication method and device based on third-party key management node | |
| JP2018057044A (en) | Vehicle information collection system, data security device, vehicle information collection device, vehicle information collection method, and computer program | |
| JP2017225186A (en) | On-vehicle control system, vehicle, management device, on-vehicle computer, data sharing method, and computer program | |
| JP6464466B2 (en) | Maintenance device, maintenance method, and computer program | |
| JP6554704B2 (en) | Data providing system and data providing method | |
| JP2019050545A (en) | Key distribution system, key distribution apparatus, and key distribution method | |
| JP2017208731A (en) | Management system, management apparatus, in-vehicle computer, management method, and computer program | |
| JP2018113641A (en) | Communication system, vehicle, server device, communication method, and computer program | |
| JP2019029847A (en) | Communication system and communication method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170217 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170220 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170509 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170706 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170707 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170801 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170830 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6203798 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |