Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6203798B2 - In-vehicle control system, vehicle, management device, in-vehicle computer, data sharing method, and computer program - Google Patents
[go: Go Back, main page]

JP6203798B2 - In-vehicle control system, vehicle, management device, in-vehicle computer, data sharing method, and computer program - Google Patents

In-vehicle control system, vehicle, management device, in-vehicle computer, data sharing method, and computer program Download PDF

Info

Publication number
JP6203798B2
JP6203798B2 JP2015183971A JP2015183971A JP6203798B2 JP 6203798 B2 JP6203798 B2 JP 6203798B2 JP 2015183971 A JP2015183971 A JP 2015183971A JP 2015183971 A JP2015183971 A JP 2015183971A JP 6203798 B2 JP6203798 B2 JP 6203798B2
Authority
JP
Japan
Prior art keywords
data
vehicle
frame
management device
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015183971A
Other languages
Japanese (ja)
Other versions
JP2017060031A (en
Inventor
竹森 敬祐
敬祐 竹森
秀明 川端
秀明 川端
誠一郎 溝口
誠一郎 溝口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2015183971A priority Critical patent/JP6203798B2/en
Publication of JP2017060031A publication Critical patent/JP2017060031A/en
Application granted granted Critical
Publication of JP6203798B2 publication Critical patent/JP6203798B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、車載制御システム、車両、管理装置、車載コンピュータ、データ共有方法、及びコンピュータプログラムに関する。   The present invention relates to an in-vehicle control system, a vehicle, a management device, an in-vehicle computer, a data sharing method, and a computer program.

近年、自動車は、ECU(Electronic Control Unit;電子制御装置)を有し、ECUによってエンジン制御等の機能を実現する。ECUは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。複数のECUをCAN(Controller Area Network)に接続して構成される車載制御システムについてのセキュリティ技術が例えば非特許文献1に記載されている。   In recent years, automobiles have an ECU (Electronic Control Unit) and realize functions such as engine control by the ECU. The ECU is a kind of computer and realizes a desired function by a computer program. For example, Non-Patent Document 1 discloses a security technique for an in-vehicle control system configured by connecting a plurality of ECUs to a CAN (Controller Area Network).

竹森敬祐、“セキュアエレメントを基点とした車載制御システムの保護 − 要素技術の整理と考察 −”、電子情報通信学会、信学技報、vol. 114、no. 508、pp. 73-78、2015年3月Keisuke Takemori, “Protection of in-vehicle control systems based on secure elements-Organizing and considering elemental technologies-”, IEICE, IEICE Technical Report, vol. 114, no. 508, pp. 73-78, 2015 March

従来の車載制御システムのセキュリティ技術では、エンジン始動後などの制御の迅速性が要求される状況に更に適応するために、セキュリティ性能の向上を図ることが課題である。例えば、エンジン始動後に複数のECUで同じデータを共有する際に、該データのセキュリティ強度をある程度に保ちつつ共有にかかる時間を短縮することが課題の一つである。   In the security technology of the conventional in-vehicle control system, it is a problem to improve the security performance in order to further adapt to the situation where quick control is required after the engine is started. For example, when the same data is shared by a plurality of ECUs after the engine is started, one of the problems is to reduce the time required for sharing while maintaining the security strength of the data to some extent.

本発明は、このような事情を考慮してなされたものであり、セキュリティ性能の向上を図ることができる車載制御システム、車両、管理装置、車載コンピュータ、データ共有方法、及びコンピュータプログラムを提供することを課題とする。   The present invention has been made in consideration of such circumstances, and provides an in-vehicle control system, a vehicle, a management device, an in-vehicle computer, a data sharing method, and a computer program capable of improving security performance. Is an issue.

(1)本発明の一態様は、車両に備わる車載制御システムにおいて、前記車両に備わる通信ネットワークを介してフレームにより通信する管理装置と複数の車載コンピュータを備え、前記管理装置は、前記通信ネットワークを介して前記フレームを送受する通信部と、一つの前記フレームに格納可能なデータ長の上限を超えるデータ長である第1のデータを記憶する第1データ記憶部と、一つの前記フレームに格納可能なデータ長である第2のデータを生成する第2データ生成部と、前記第1のデータと前記第2のデータを使用して、複数の前記車載コンピュータで共有される第3のデータを生成する第3データ生成部と、を備え、前記通信部は、前記第2のデータを格納した前記フレームである第2データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信し、前記車載コンピュータは、前記通信ネットワークを介して前記フレームを送受する通信部と、前記第1のデータを記憶する第1データ記憶部と、自車載コンピュータの前記第1データ記憶部に記憶されている前記第1のデータと自車載コンピュータの前記通信部が前記管理装置から前記通信ネットワークを介して受信した前記第2データ格納フレームに格納されている前記第2のデータとを使用して、前記第3のデータを生成する第3データ生成部と、を備える、車載制御システムである。
(2)本発明の一態様は、上記(1)の車載制御システムにおいて、前記管理装置の前記通信部は、ブロードキャスト又はマルチキャストにより前記第2データ格納フレームを送信し、前記車載コンピュータの前記通信部は、ブロードキャスト又はマルチキャストにより前記第2データ格納フレームを受信する、車載制御システムである。
(3)本発明の一態様は、上記(1)又は(2)のいずれかの車載制御システムにおいて、前記車載コンピュータは、前記第3のデータを、前記通信ネットワークを介して行われる通信に関する情報の初期値に使用する、車載制御システムである。
(4)本発明の一態様は、上記(3)の車載制御システムにおいて、前記通信に関する情報は、前記フレームについてのカウンタ値である、車載制御システムである。
(5)本発明の一態様は、上記(4)の車載制御システムにおいて、前記カウンタ値は、前記通信ネットワークを介して交換されるメッセージについてのメッセージ認証コードの生成に使用される、車載制御システムである。
(6)本発明の一態様は、上記(1)又は(2)のいずれかの車載制御システムにおいて、前記車載コンピュータは、前記第3のデータを、前記通信ネットワークを介して行われる通信に使用される鍵に使用する、車載制御システムである。
(7)本発明の一態様は、上記(1)から(6)のいずれかの車載制御システムにおいて、前記管理装置は、所定のタイミングで前記第1のデータを変更するデータ更新部と、該変更後の前記第1のデータを前記管理装置と前記車載コンピュータで共有される第1の鍵で暗号化する暗号処理部と、を備え、前記管理装置の前記通信部は、該暗号化の結果である第1暗号化データを格納した前記フレームである第1暗号化データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信し、前記車載コンピュータは、自車載コンピュータの前記通信部が前記管理装置から前記通信ネットワークを介して受信した前記第1暗号化データ格納フレームに格納されている前記第1暗号化データを前記第1の鍵で復号する暗号処理部と、該復号の結果により自車載コンピュータの前記第1のデータを更新するデータ更新部と、を備える、車載制御システムである。
(8)本発明の一態様は、上記(7)の車載制御システムにおいて、前記管理装置の前記データ更新部は、所定のタイミングで前記第1の鍵を変更し、前記管理装置の前記暗号処理部は、該変更後の前記第1の鍵を前記管理装置と前記車載コンピュータで共有される第2の鍵で暗号化し、前記管理装置の前記通信部は、該暗号化の結果である第2暗号化データを格納した前記フレームである第2暗号化データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信し、前記車載コンピュータの前記暗号処理部は、自車載コンピュータの前記通信部が前記管理装置から前記通信ネットワークを介して受信した前記第2暗号化データ格納フレームに格納されている前記第2暗号化データを前記第2の鍵で復号し、前記車載コンピュータの前記データ更新部は、該復号の結果により自車載コンピュータの前記第1の鍵を更新する、車載制御システムである。
(1) According to one aspect of the present invention, in a vehicle-mounted control system provided in a vehicle, the vehicle includes a management device that communicates with a frame via a communication network provided in the vehicle, and a plurality of vehicle-mounted computers. A first communication unit that transmits and receives the frame via the first data storage unit, a first data storage unit that stores first data whose data length exceeds the upper limit of a data length that can be stored in one frame, and a single data frame that can be stored. A second data generating unit that generates second data having a different data length, and generating third data shared by the plurality of in-vehicle computers using the first data and the second data A third data generation unit configured to transmit the second data storage frame, which is the frame storing the second data, to the communication network. The in-vehicle computer transmits the frame via the communication network, the first data storage unit stores the first data, and the in-vehicle computer. The first data stored in the first data storage unit and the communication unit of the in-vehicle computer are stored in the second data storage frame received from the management device via the communication network. A vehicle-mounted control system comprising: a third data generation unit that generates the third data using second data.
(2) In one aspect of the present invention, in the in-vehicle control system according to (1), the communication unit of the management device transmits the second data storage frame by broadcast or multicast, and the communication unit of the in-vehicle computer Is an in-vehicle control system that receives the second data storage frame by broadcast or multicast.
(3) According to one aspect of the present invention, in the in-vehicle control system according to any one of the above (1) and (2), the in-vehicle computer uses the third data as information related to communication performed via the communication network. It is an in-vehicle control system used for the initial value.
(4) One aspect of the present invention is the in-vehicle control system according to (3), in which the communication-related information is a counter value for the frame.
(5) One aspect of the present invention is the in-vehicle control system according to (4), wherein the counter value is used to generate a message authentication code for a message exchanged via the communication network. It is.
(6) One aspect of the present invention is the vehicle-mounted control system according to any one of (1) and (2), wherein the vehicle-mounted computer uses the third data for communication performed via the communication network. It is an in-vehicle control system used for the key to be used.
(7) According to one aspect of the present invention, in the in-vehicle control system according to any one of (1) to (6), the management device includes a data update unit that changes the first data at a predetermined timing; An encryption processing unit that encrypts the first data after the change with a first key shared by the management device and the in-vehicle computer, and the communication unit of the management device is a result of the encryption. A first encrypted data storage frame, which is the frame storing the first encrypted data, is transmitted to the in-vehicle computer via the communication network, and the in-vehicle computer has the communication unit of the in-vehicle computer Cryptographic processing unit for decrypting the first encrypted data stored in the first encrypted data storage frame received from the management device via the communication network with the first key Comprises a data updating unit for updating the first data of the own-vehicle computer by the results of No. 該復, and an in-vehicle control system.
(8) According to one aspect of the present invention, in the in-vehicle control system according to (7), the data update unit of the management device changes the first key at a predetermined timing, and the encryption processing of the management device The unit encrypts the first key after the change with a second key shared by the management device and the in-vehicle computer, and the communication unit of the management device is a second result of the encryption. A second encrypted data storage frame that is the frame storing encrypted data is transmitted to the in-vehicle computer via the communication network, and the encryption processing unit of the in-vehicle computer is configured by the communication unit of the in-vehicle computer. Decrypting the second encrypted data stored in the second encrypted data storage frame received from the management device via the communication network with the second key, and The data updating unit of the computer updates the first key of the self-vehicle computer by the results of No. 該復 a vehicle control system.

(9)本発明の一態様は、上記(1)から(8)のいずれかの車載制御システムを備える車両である。 (9) One aspect of the present invention is a vehicle including the vehicle-mounted control system according to any one of (1) to (8).

(10)本発明の一態様は、車両に備わる通信ネットワークを介してフレームにより通信する管理装置と複数の車載コンピュータを備える前記車両に備わる車載制御システムの前記管理装置において、前記通信ネットワークを介して前記フレームを送受する通信部と、一つの前記フレームに格納可能なデータ長の上限を超えるデータ長のデータであって前記管理装置と前記車載コンピュータで共有される第1のデータを記憶する第1データ記憶部と、一つの前記フレームに格納可能なデータ長である第2のデータを生成する第2データ生成部と、前記第1のデータと前記第2のデータを使用して、複数の前記車載コンピュータで共有される第3のデータを生成する第3データ生成部と、を備え、前記通信部は、前記第2のデータを格納した前記フレームである第2データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信する、管理装置である。 (10) According to one aspect of the present invention, in the management device of an in-vehicle control system provided in the vehicle including a management device that communicates by a frame via a communication network provided in the vehicle and a plurality of in-vehicle computers, the communication network includes A communication unit that transmits and receives the frame, and a first data that is data having a data length that exceeds an upper limit of a data length that can be stored in one frame and that is shared by the management device and the in-vehicle computer A plurality of the data storage unit, a second data generation unit that generates second data having a data length that can be stored in one frame, the first data, and the second data. A third data generation unit that generates third data shared by the in-vehicle computer, and the communication unit stores the second data before The second data storage frame is a frame, and transmits to the onboard computer via the communication network, a management device.

(11)本発明の一態様は、車両に備わる通信ネットワークを介してフレームにより通信する管理装置と複数の車載コンピュータを備える前記車両に備わる車載制御システムの前記車載コンピュータにおいて、前記通信ネットワークを介して前記フレームを送受する通信部と、一つの前記フレームに格納可能なデータ長の上限を超えるデータ長のデータであって前記管理装置と前記車載コンピュータで共有される第1のデータを記憶する第1データ記憶部と、前記第1データ記憶部に記憶されている前記第1のデータと前記通信部が前記管理装置から前記通信ネットワークを介して受信した前記フレームであって一つの前記フレームに格納可能なデータ長である第2のデータを格納した第2データ格納フレームに格納されている前記第2のデータとを使用して、複数の前記車載コンピュータで共有される第3のデータを生成する第3データ生成部と、を備える車載コンピュータである。 (11) According to one aspect of the present invention, in the in-vehicle computer of the in-vehicle control system provided in the vehicle including a management device that communicates with a frame via a communication network provided in the vehicle and a plurality of in-vehicle computers, the communication network A communication unit that transmits and receives the frame, and a first data that is data having a data length that exceeds an upper limit of a data length that can be stored in one frame and that is shared by the management device and the in-vehicle computer A data storage unit, the first data stored in the first data storage unit, and the frame received by the communication unit from the management device via the communication network and can be stored in one frame The second data stored in the second data storage frame storing the second data having a long data length. It is using the data, an in-vehicle computer and a third data generation unit for generating a third data shared by a plurality of the onboard computer, the.

(12)本発明の一態様は、車両に備わる通信ネットワークを介してフレームにより通信する管理装置と複数の車載コンピュータを備える前記車両に備わる車載制御システムのデータ共有方法において、前記管理装置が、一つの前記フレームに格納可能なデータ長の上限を超えるデータ長である第1のデータを記憶する第1データ記憶ステップと、前記管理装置が、一つの前記フレームに格納可能なデータ長である第2のデータを生成する第2データ生成ステップと、前記管理装置が、前記第2のデータを格納した前記フレームである第2データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信する送信ステップと、前記管理装置が、前記第1のデータと前記第2のデータを使用して、複数の前記車載コンピュータで共有される第3のデータを生成する第3データ生成ステップと、前記車載コンピュータが、前記第1のデータを記憶する第2の第1データ記憶ステップと、前記車載コンピュータが、前記管理装置から前記通信ネットワークを介して前記第2データ格納フレームを受信する受信ステップと、前記車載コンピュータが、前記第2の第1データ記憶ステップで記憶した前記第1のデータと前記受信ステップで受信した前記第2データ格納フレームに格納されている前記第2のデータとを使用して、前記第3のデータを生成する第2の第3データ生成ステップと、を含むデータ共有方法である。 (12) According to one aspect of the present invention, in the data sharing method of the in-vehicle control system provided in the vehicle including a management device that communicates with a frame via a communication network provided in the vehicle and a plurality of in-vehicle computers, the management device includes: A first data storing step for storing first data having a data length exceeding an upper limit of a data length that can be stored in one frame; and a second data length in which the management device can store data in one frame. A second data generating step for generating the data, and a transmitting step in which the management device transmits a second data storage frame, which is the frame storing the second data, to the in-vehicle computer via the communication network. And the management device uses the first data and the second data to provide a plurality of the in-vehicle computers. A third data generating step for generating third data shared by the in-vehicle computer, a second first data storing step in which the in-vehicle computer stores the first data, and the in-vehicle computer from the management device A receiving step of receiving the second data storage frame via the communication network; and the in-vehicle computer receiving the first data stored in the second first data storing step and the first data received in the receiving step. And a second third data generation step of generating the third data using the second data stored in the two data storage frames.

(13)本発明の一態様は、車両に備わる通信ネットワークを介してフレームにより通信する管理装置と複数の車載コンピュータを備える前記車両に備わる車載制御システムの前記管理装置のコンピュータに、一つの前記フレームに格納可能なデータ長の上限を超えるデータ長のデータであって前記管理装置と前記車載コンピュータで共有される第1のデータを記憶する第1データ記憶機能と、一つの前記フレームに格納可能なデータ長である第2のデータを生成する第2データ生成機能と、前記第2のデータを格納した前記フレームである第2データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信する通信機能と、前記第1のデータと前記第2のデータを使用して、複数の前記車載コンピュータで共有される第3のデータを生成する第3データ生成機能と、を実現させるためのコンピュータプログラムである。 (13) According to one aspect of the present invention, one frame is included in a computer of the management device of the in-vehicle control system provided in the vehicle including a management device that communicates with a frame via a communication network provided in the vehicle and a plurality of in-vehicle computers. A first data storage function for storing data having a data length exceeding the upper limit of the data length that can be stored in the management apparatus and the first data shared by the management device and the in-vehicle computer, and can be stored in one frame Communication for transmitting a second data generation function for generating second data having a data length and a second data storage frame, which is the frame storing the second data, to the in-vehicle computer via the communication network Function, shared by the plurality of in-vehicle computers using the first data and the second data A third data generation function of generating a third data, a computer program for implementing the.

(14)本発明の一態様は、車両に備わる通信ネットワークを介してフレームにより通信する管理装置と複数の車載コンピュータを備える前記車両に備わる車載制御システムの前記車載コンピュータに、一つの前記フレームに格納可能なデータ長の上限を超えるデータ長のデータであって前記管理装置と前記車載コンピュータで共有される第1のデータを記憶する第1データ記憶機能と、一つの前記フレームに格納可能なデータ長である第2のデータを格納した前記フレームである第2データ格納フレームを前記管理装置から前記通信ネットワークを介して受信する通信機能と、前記第1データ記憶機能により記憶されている前記第1のデータと前記通信機能により受信した前記第2データ格納フレームに格納されている前記第2のデータとを使用して、複数の前記車載コンピュータで共有される第3のデータを生成する第3データ生成機能と、を実現させるためのコンピュータプログラムである。 (14) According to one aspect of the present invention, a management device that communicates with a frame via a communication network provided in the vehicle and a plurality of in-vehicle computers are stored in the in-vehicle computer of the in-vehicle control system provided in the vehicle. A data length exceeding the upper limit of possible data length, a first data storage function for storing first data shared by the management device and the in-vehicle computer, and a data length that can be stored in one frame A communication function for receiving a second data storage frame, which is the frame storing the second data, from the management device via the communication network, and the first data stored by the first data storage function. Data and the second data stored in the second data storage frame received by the communication function; Use a computer program for realizing a third data generation function of generating a third data shared by a plurality of the onboard computer.

本発明によれば、セキュリティ性能の向上を図ることができるという効果が得られる。   According to the present invention, an effect that security performance can be improved can be obtained.

本発明の一実施形態に係る自動車1の車載制御システム2を示す構成図である。It is a lineblock diagram showing in-vehicle control system 2 of car 1 concerning one embodiment of the present invention. 本発明の一実施形態に係るデータ共有方法を示すシーケンスチャートである。It is a sequence chart which shows the data sharing method which concerns on one Embodiment of this invention. 管理装置10の実施例1を示す構成図である。1 is a configuration diagram illustrating a first embodiment of a management apparatus 10. FIG. ECU50の実施例1を示す構成図である。1 is a configuration diagram illustrating Example 1 of an ECU 50. FIG. 実施例1に係るカウンタ初期値共有方法を示すシーケンスチャートである。3 is a sequence chart illustrating a counter initial value sharing method according to the first embodiment. 実施例1に係るセッション鍵共有方法を示すシーケンスチャートである。3 is a sequence chart illustrating a session key sharing method according to the first embodiment. 実施例1に係る鍵交換鍵更新方法の第1段階を示すシーケンスチャートである。3 is a sequence chart showing a first stage of a key exchange key update method according to Embodiment 1. 実施例1に係る鍵交換鍵更新方法の第2段階を示すシーケンスチャートである。6 is a sequence chart showing a second stage of the key exchange key update method according to the first embodiment. 自動車1の実施例2を示す構成図である。FIG. 3 is a configuration diagram illustrating Example 2 of an automobile 1.

以下、図面を参照し、本発明の実施形態について説明する。なお、以下に示す実施形態では、車両として自動車を例に挙げて説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. In the following embodiment, a vehicle will be described as an example of a vehicle.

図1は、本発明の一実施形態に係る自動車1の車載制御システム2を示す構成図である。図1において、自動車1は管理装置10とECU(電子制御装置)50を備える。管理装置10及びECU50は、CAN40に接続される。CANは、自動車等の車両に搭載される通信ネットワークの一つとして知られている。なお、本実施形態では、自動車1の制御用の車載ネットワークにCANを利用するが、CAN以外の他の通信ネットワークを自動車1の制御用の車載ネットワークに利用してもよい。   FIG. 1 is a configuration diagram showing an in-vehicle control system 2 for an automobile 1 according to an embodiment of the present invention. In FIG. 1, an automobile 1 includes a management device 10 and an ECU (electronic control device) 50. The management device 10 and the ECU 50 are connected to the CAN 40. CAN is known as one of communication networks mounted on vehicles such as automobiles. In this embodiment, CAN is used for the vehicle-mounted network for controlling the automobile 1, but a communication network other than CAN may be used for the vehicle-mounted network for controlling the automobile 1.

ECU50は、自動車1に備わる車載コンピュータである。ECU50は、例えば、駆動系ECU、車体系ECU、安全制御系ECUなどである。車載制御システム2は、CAN40を介してフレームにより通信する管理装置10と複数のECU50を備える。CAN40は、フレームによりデータを伝送する。管理装置10は、CAN40を介してフレームにより、各ECU50との間でデータを交換する。ECU50は、CAN40を介してフレームにより、他のECU50との間でデータを交換する。   The ECU 50 is an in-vehicle computer provided in the automobile 1. The ECU 50 is, for example, a drive system ECU, a vehicle body system ECU, a safety control system ECU, or the like. The in-vehicle control system 2 includes a management device 10 that communicates with a frame via the CAN 40 and a plurality of ECUs 50. The CAN 40 transmits data using a frame. The management device 10 exchanges data with each ECU 50 by a frame via the CAN 40. The ECU 50 exchanges data with other ECUs 50 by means of a frame via the CAN 40.

CAN40のフレームには、フレームに格納可能なデータ長の上限が規定されている。例えば、CAN40のフレームの種類の一つであるデータフレームにおいて、データフィールドに格納可能なデータ長の上限は64ビットである。   The CAN 40 frame defines an upper limit of the data length that can be stored in the frame. For example, in a data frame which is one of the CAN40 frame types, the upper limit of the data length that can be stored in the data field is 64 bits.

図1において、管理装置10は、通信部11と第1データ記憶部12と第2データ生成部13と第3データ生成部14とデータ更新部15と暗号処理部16を備える。通信部11は、CAN40を介してフレームを送受する。第1データ記憶部12は、一つのフレームに格納可能なデータ長の範囲を超えるデータ長である第1のデータを記憶する。本実施形態では、第1のデータは、データフレームのデータフィールドに格納可能なデータ長の上限「64ビット」を超えるデータ長である。したがって、第1のデータのデータ長は、65ビット以上である。第1のデータは、管理装置10とECU50で共有される。   In FIG. 1, the management device 10 includes a communication unit 11, a first data storage unit 12, a second data generation unit 13, a third data generation unit 14, a data update unit 15, and an encryption processing unit 16. The communication unit 11 transmits and receives a frame via the CAN 40. The first data storage unit 12 stores first data having a data length that exceeds the range of data length that can be stored in one frame. In the present embodiment, the first data has a data length that exceeds the upper limit “64 bits” of the data length that can be stored in the data field of the data frame. Therefore, the data length of the first data is 65 bits or more. The first data is shared between the management device 10 and the ECU 50.

第2データ生成部13は、一つのフレームに格納可能なデータ長である第2のデータを生成する。本実施形態では、第2のデータは、データフレームのデータフィールドに格納可能なデータ長である。したがって、第2のデータのデータ長は、64ビット以下である。第3データ生成部14は、第1のデータと第2のデータを使用して、複数のECU50で共有される第3のデータを生成する。データ更新部15は、所定のタイミングで第1のデータ等を変更する。暗号処理部16は、データの暗号化等の暗号処理を実行する。   The second data generation unit 13 generates second data having a data length that can be stored in one frame. In the present embodiment, the second data has a data length that can be stored in the data field of the data frame. Therefore, the data length of the second data is 64 bits or less. The third data generation unit 14 generates the third data shared by the plurality of ECUs 50 using the first data and the second data. The data update unit 15 changes the first data and the like at a predetermined timing. The encryption processing unit 16 executes encryption processing such as data encryption.

通信部11は、第2のデータをデータフィールドに格納したデータフレームである第2データ格納フレームを、CAN40を介してECU50へ送信する。通信部11は、ブロードキャスト又はマルチキャストにより第2データ格納フレームを送信してもよい。ブロードキャスト又はマルチキャストにより第2データ格納フレームを送信することにより、各ECU50へユニキャストで第2データ格納フレームを送信する場合に比して、送信時間を短縮することができる。   The communication unit 11 transmits a second data storage frame, which is a data frame in which the second data is stored in the data field, to the ECU 50 via the CAN 40. The communication unit 11 may transmit the second data storage frame by broadcast or multicast. By transmitting the second data storage frame by broadcast or multicast, the transmission time can be shortened as compared with the case where the second data storage frame is transmitted to each ECU 50 by unicast.

図1において、ECU50は、通信部51と第1データ記憶部52と第3データ生成部53とデータ更新部54と暗号処理部55を備える。通信部51は、CAN40を介してフレームを送受する。第1データ記憶部52は、管理装置10とECU50で共有される第1のデータを記憶する。第1データ記憶部52が記憶する第1のデータは、管理装置10の第1データ記憶部12が記憶する第1のデータと同じである。   In FIG. 1, the ECU 50 includes a communication unit 51, a first data storage unit 52, a third data generation unit 53, a data update unit 54, and an encryption processing unit 55. The communication unit 51 transmits and receives a frame via the CAN 40. The first data storage unit 52 stores first data shared by the management device 10 and the ECU 50. The first data stored in the first data storage unit 52 is the same as the first data stored in the first data storage unit 12 of the management device 10.

第3データ生成部53は、第1データ記憶部52に記憶されている第1のデータと、通信部51が管理装置10からCAN40を介して受信した第2データ格納フレームに格納されている第2のデータとを使用して、第3のデータを生成する。該第3のデータは、複数のECU50で共有されるデータである。データ更新部54は、自ECU50の第1のデータ等を更新する。暗号処理部55は、暗号化データの復号等の暗号処理を実行する。   The third data generation unit 53 stores the first data stored in the first data storage unit 52 and the second data storage frame received by the communication unit 51 from the management apparatus 10 via the CAN 40. The second data is used to generate the third data. The third data is data shared by the plurality of ECUs 50. The data update unit 54 updates the first data of the own ECU 50 and the like. The encryption processing unit 55 performs encryption processing such as decryption of encrypted data.

次に図2を参照して、本実施形態に係る車載制御システム2のデータ共有の動作を説明する。図2は、本実施形態に係るデータ共有方法を示すシーケンスチャートである。図2において、管理装置10とECU50は、予め共有した第1のデータを有する。管理装置10は、該第1のデータを第1データ記憶部12に記憶している。ECU50は、該第1のデータを第1データ記憶部52に記憶している。   Next, the data sharing operation of the in-vehicle control system 2 according to the present embodiment will be described with reference to FIG. FIG. 2 is a sequence chart showing the data sharing method according to the present embodiment. In FIG. 2, the management device 10 and the ECU 50 have first data shared in advance. The management device 10 stores the first data in the first data storage unit 12. The ECU 50 stores the first data in the first data storage unit 52.

(ステップS1)管理装置10において、第2データ生成部13が第2のデータを生成する。例えば、第2データ生成部13は、データ長が64ビットである乱数を発生する。 (Step S1) In the management device 10, the second data generation unit 13 generates second data. For example, the second data generation unit 13 generates a random number having a data length of 64 bits.

(ステップS2)管理装置10において、通信部11が、該第2のデータをデータフィールドに格納したデータフレームである第2データ格納フレームを、CAN40を介してECU50へ送信する。通信部11は、例えばブロードキャストにより第2データ格納フレームを送信する。ECU50において、通信部51は、CAN40を介して管理装置10から該第2データ格納フレームを受信する。 (Step S2) In the management device 10, the communication unit 11 transmits a second data storage frame, which is a data frame in which the second data is stored in the data field, to the ECU 50 via the CAN 40. The communication unit 11 transmits the second data storage frame by broadcast, for example. In the ECU 50, the communication unit 51 receives the second data storage frame from the management device 10 via the CAN 40.

(ステップS3)管理装置10において、第3データ生成部14が第1データ記憶部12から第1のデータを読み出す。ECU50において、第3データ生成部53が第1データ記憶部52から第1のデータを読み出す。 (Step S <b> 3) In the management device 10, the third data generation unit 14 reads the first data from the first data storage unit 12. In the ECU 50, the third data generation unit 53 reads the first data from the first data storage unit 52.

(ステップS4)管理装置10において、第3データ生成部14は、第1データ記憶部12から読み出した第1のデータと第2データ生成部13が生成した第2のデータとを使用して、第3のデータを生成する。ECU50において、第3データ生成部53は、第1データ記憶部52から読み出した第1のデータと、通信部51が受信した第2データ格納フレームに格納されている第2のデータとを使用して、第3のデータを生成する。第3のデータの生成方法は、管理装置10の第3データ生成部14とECU50の第3データ生成部53とで同じである。これにより、複数のECU50で同じ第3のデータを共有することができる。 (Step S4) In the management device 10, the third data generation unit 14 uses the first data read from the first data storage unit 12 and the second data generated by the second data generation unit 13, Third data is generated. In the ECU 50, the third data generation unit 53 uses the first data read from the first data storage unit 52 and the second data stored in the second data storage frame received by the communication unit 51. Then, the third data is generated. The third data generation method is the same for the third data generation unit 14 of the management device 10 and the third data generation unit 53 of the ECU 50. Thereby, the same 3rd data can be shared by several ECU50.

第3のデータの生成方法として、不可逆性圧縮処理を利用してもよい。第3のデータの生成方法として、例えば、暗号化、ハッシュ(Hash)値の生成、又は排他的論理和演算などが利用可能である。例えば、第1のデータを鍵に使用して第2のデータを暗号化した値を第3のデータにしてもよい。該暗号化した値として、例えばCMAC(Cipher-based Message Authentication Code)を算出してもよい。又は、第1のデータと第2のデータを連結したデータのハッシュ値を算出し、該ハッシュ値を第3のデータにしてもよい。ハッシュ値の生成方法として、SHA−1又はSHA−2などが利用可能である。又は、第1のデータと第2のデータの排他的論理和を第3のデータにしてもよい。   As the third data generation method, irreversible compression processing may be used. As the third data generation method, for example, encryption, generation of a hash value, or exclusive OR operation can be used. For example, a value obtained by encrypting the second data using the first data as a key may be the third data. For example, CMAC (Cipher-based Message Authentication Code) may be calculated as the encrypted value. Alternatively, a hash value of data obtained by concatenating the first data and the second data may be calculated, and the hash value may be the third data. As a hash value generation method, SHA-1 or SHA-2 can be used. Alternatively, the exclusive OR of the first data and the second data may be the third data.

本実施形態によれば、複数のECU50で同じ第3のデータを共有することができる。その第3のデータを共有する際に管理装置10からECU50へ送信する第2のデータは、64ビット以下のデータ長である。したがって、第2のデータを各ECU50に送信する際には、ブロードキャストにより送信すれば、1個のデータフレームの送信で済む。そして、管理装置10及びECU50において、第2のデータと管理装置10及びECU50で共有される第1のデータとを使用して第3のデータが生成される。該第1のデータのデータ長を第3のデータのセキュリティ強度に対する要求を満たすことができる値にすることにより、第3のデータのセキュリティ強度に対する要求に応えることができる。これにより、複数のECU50で同じ第3のデータを共有する際に、該第3のデータのセキュリティ強度をある程度に保ちつつ共有にかかる時間を短縮することができるという効果が得られる。   According to the present embodiment, a plurality of ECUs 50 can share the same third data. The second data transmitted from the management apparatus 10 to the ECU 50 when sharing the third data has a data length of 64 bits or less. Therefore, when the second data is transmitted to each ECU 50, it is sufficient to transmit one data frame if it is transmitted by broadcast. Then, in the management device 10 and the ECU 50, third data is generated using the second data and the first data shared by the management device 10 and the ECU 50. By setting the data length of the first data to a value that can satisfy the request for the security strength of the third data, the request for the security strength of the third data can be met. Thereby, when the same 3rd data is shared by several ECU50, the effect that the time concerning sharing can be shortened, maintaining the security intensity | strength of this 3rd data to some extent is acquired.

なお、自動車1に備わるいずれかのECUを管理装置10として機能させてもよい。   Note that any ECU provided in the automobile 1 may function as the management device 10.

次に、本実施形態の実施例を説明する。   Next, examples of the present embodiment will be described.

[実施例1]
図3は、本実施形態に係る管理装置10の実施例1を示す構成図である。図3において、管理装置10は、通信部11と鍵交換鍵記憶部21と乱数生成部22とカウンタ初期値生成部23とセッション鍵生成部24とデータ更新部15と暗号処理部16と共通鍵記憶部25を備える。通信部11はCAN40を介してフレームを送受する。鍵交換鍵記憶部21は鍵交換鍵を記憶する。鍵交換鍵は、管理装置10とECU50で予め共有される。鍵交換鍵は、第1のデータの例である。鍵交換鍵として、例えば、AES(Advanced Encryption Standard)による共通鍵を利用可能である。例えば、鍵交換鍵は、AESによる鍵長が256ビットの共通鍵である。鍵交換鍵記憶部21は、第1データ記憶部12の例である。
[Example 1]
FIG. 3 is a configuration diagram illustrating Example 1 of the management apparatus 10 according to the present embodiment. In FIG. 3, the management device 10 includes a communication unit 11, a key exchange key storage unit 21, a random number generation unit 22, a counter initial value generation unit 23, a session key generation unit 24, a data update unit 15, a cryptographic processing unit 16, and a common key. A storage unit 25 is provided. The communication unit 11 transmits and receives a frame via the CAN 40. The key exchange key storage unit 21 stores a key exchange key. The key exchange key is shared in advance between the management device 10 and the ECU 50. The key exchange key is an example of first data. As the key exchange key, for example, a common key based on AES (Advanced Encryption Standard) can be used. For example, the key exchange key is a common key whose key length by AES is 256 bits. The key exchange key storage unit 21 is an example of the first data storage unit 12.

乱数生成部22は、乱数を生成する。該乱数は第2のデータの例である。例えば、乱数生成部22は、データ長が64ビットである乱数を発生する。乱数生成部22は、第2データ生成部13の例である。カウンタ初期値生成部23は、カウンタ初期値を生成する。カウンタ初期値は、第3のデータの例である。カウンタ初期値生成部23は、第3データ生成部14の例である。セッション鍵生成部24は、セッション鍵を生成する。セッション鍵は、第3のデータの例である。セッション鍵生成部24は、第3データ生成部14の例である。データ更新部15は、所定のタイミングで鍵交換鍵等を変更する。暗号処理部16は、データの暗号化等の暗号処理を実行する。共通鍵記憶部25は共通鍵を記憶する。該共通鍵は、管理装置10とECU50で共有される。   The random number generator 22 generates a random number. The random number is an example of second data. For example, the random number generation unit 22 generates a random number having a data length of 64 bits. The random number generation unit 22 is an example of the second data generation unit 13. The counter initial value generation unit 23 generates a counter initial value. The counter initial value is an example of third data. The counter initial value generation unit 23 is an example of the third data generation unit 14. The session key generation unit 24 generates a session key. The session key is an example of third data. The session key generation unit 24 is an example of the third data generation unit 14. The data update unit 15 changes the key exchange key and the like at a predetermined timing. The encryption processing unit 16 executes encryption processing such as data encryption. The common key storage unit 25 stores a common key. The common key is shared between the management device 10 and the ECU 50.

図4は、本実施形態に係るECU50の実施例1を示す構成図である。図4において、ECU50は、送信部111と受信部112とフレーム受信処理部113とMAC(Message Authentication Code;メッセージ認証コード)生成部114とカウンタ部115とMAC検査部116とセッション鍵記憶部117と鍵交換鍵記憶部118とセッション鍵生成部119とカウンタ初期値生成部120とデータ更新部54と暗号処理部55と共通鍵記憶部121を備える。   FIG. 4 is a configuration diagram illustrating Example 1 of the ECU 50 according to the present embodiment. 4, the ECU 50 includes a transmission unit 111, a reception unit 112, a frame reception processing unit 113, a MAC (Message Authentication Code) generation unit 114, a counter unit 115, a MAC inspection unit 116, and a session key storage unit 117. A key exchange key storage unit 118, a session key generation unit 119, a counter initial value generation unit 120, a data update unit 54, an encryption processing unit 55, and a common key storage unit 121 are provided.

送信部111は、データフレームをCAN40に送信する。受信部112は、データフレームをCAN40から受信する。送信部111及び受信部112は、図1に示すECU50の通信部51に含まれる。送信部111には、データフレームに格納する送信データ等のデータが入力される。送信部111は、該入力されたデータをデータフレーム中の該当部分に格納したデータフレームを、CAN40へ送信する。送信データは、データフレームのデータフィールドに格納される。フレーム受信処理部113は、受信部112によりCAN40から受信されたデータフレームについての受信処理を行う。MAC生成部114はMACを生成する。   The transmission unit 111 transmits the data frame to the CAN 40. The receiving unit 112 receives a data frame from the CAN 40. The transmission unit 111 and the reception unit 112 are included in the communication unit 51 of the ECU 50 shown in FIG. Data such as transmission data stored in the data frame is input to the transmission unit 111. The transmission unit 111 transmits a data frame in which the input data is stored in a corresponding part of the data frame to the CAN 40. The transmission data is stored in the data field of the data frame. The frame reception processing unit 113 performs a reception process on the data frame received from the CAN 40 by the reception unit 112. The MAC generation unit 114 generates a MAC.

カウンタ部115は、送信カウンタ部としての機能と受信カウンタ部としての機能を有する。カウンタ部115は、送信カウンタ部の機能として、送信部111によるデータフレームの送信毎に所定のカウント値だけ増加させる送信カウンタ値を保持する。本実施例1では、該カウント値は1とする。したがって、カウンタ部115は、送信部111がデータフレームをCAN40に送信する毎に1だけ増加させる送信カウンタ値を保持する。この送信カウンタ値は、自ECU50がデータフレームをCAN40に送信する毎に1ずつ増やされる。   The counter unit 115 has a function as a transmission counter unit and a function as a reception counter unit. As a function of the transmission counter unit, the counter unit 115 holds a transmission counter value that is incremented by a predetermined count value each time a data frame is transmitted by the transmission unit 111. In the first embodiment, the count value is 1. Therefore, the counter unit 115 holds a transmission counter value that is incremented by 1 each time the transmission unit 111 transmits a data frame to the CAN 40. This transmission counter value is incremented by 1 every time the own ECU 50 transmits a data frame to the CAN 40.

カウンタ部115は、受信カウンタ部の機能として、受信部112によるデータフレームの受信毎に送信カウンタ部と同じ所定のカウント値だけ増加させる受信カウンタ値を保持する。本実施例1では、該カウント値は1となる。したがって、カウンタ部115は、受信部112がデータフレームをCAN40から受信する毎に1だけ増加させる受信カウンタ値を保持する。この受信カウンタ値は、データフレーム中のID(識別子)毎に設けられる。該IDは、データフレームを送信したECU50又は管理装置10に付与されているIDであり、データフレーム中のIDフィールドに格納される。受信部112が例えばIDxのデータフレームをCAN40から受信する毎に、該IDxの受信カウンタ値が1ずつ増やされる。   As a function of the reception counter unit, the counter unit 115 holds a reception counter value that is incremented by the same predetermined count value as the transmission counter unit every time the data frame is received by the reception unit 112. In the first embodiment, the count value is 1. Therefore, the counter unit 115 holds a reception counter value that is incremented by 1 every time the reception unit 112 receives a data frame from the CAN 40. This reception counter value is provided for each ID (identifier) in the data frame. The ID is an ID assigned to the ECU 50 or the management apparatus 10 that has transmitted the data frame, and is stored in an ID field in the data frame. For example, each time the receiving unit 112 receives a data frame of IDx from the CAN 40, the reception counter value of IDx is incremented by one.

例えば、車載制御システム2が5台のECU50を備え、該5台のECU50のIDがID1、ID2、ID3、ID4、ID5であるとする。この場合、カウンタ部115は合計5個のID1〜ID5に対応する5個のカウンタ値(ID1カウンタ値、ID2カウンタ値、ID3カウンタ値、ID4カウンタ値、ID5カウンタ値)を保持する。カウンタ部115において、自ECU50のIDに対応するカウンタ値が送信カウンタ値であり、自ECU50のID以外の他のIDに対応するカウンタ値が受信カウンタ値である。例えば、ID1のECU50においては、ID1カウンタ値が送信カウンタ値であり、ID2カウンタ値がID2に対応する受信カウンタ値であり、ID3カウンタ値がID3に対応する受信カウンタ値であり、ID4カウンタ値がID4に対応する受信カウンタ値であり、ID5カウンタ値がID5に対応する受信カウンタ値である。   For example, the in-vehicle control system 2 includes five ECUs 50, and the IDs of the five ECUs 50 are ID1, ID2, ID3, ID4, and ID5. In this case, the counter unit 115 holds five counter values (ID1 counter value, ID2 counter value, ID3 counter value, ID4 counter value, ID5 counter value) corresponding to a total of five ID1 to ID5. In the counter unit 115, a counter value corresponding to the ID of the own ECU 50 is a transmission counter value, and a counter value corresponding to an ID other than the ID of the own ECU 50 is a reception counter value. For example, in the ECU 50 of ID1, the ID1 counter value is a transmission counter value, the ID2 counter value is a reception counter value corresponding to ID2, the ID3 counter value is a reception counter value corresponding to ID3, and the ID4 counter value is This is a reception counter value corresponding to ID4, and the ID5 counter value is a reception counter value corresponding to ID5.

MAC検査部116は、受信部112によりCAN40から受信されたデータフレームから取得されたMACについての検査を行う。セッション鍵記憶部117は、セッション鍵を記憶する。鍵交換鍵記憶部118は、鍵交換鍵を記憶する。鍵交換鍵は、管理装置10とECU50で予め共有される。鍵交換鍵は、第1のデータの例である。鍵交換鍵記憶部118は、第1データ記憶部52の例である。セッション鍵生成部119は、セッション鍵を生成する。セッション鍵は、第3のデータの例である。セッション鍵生成部119は、第3データ生成部53の例である。カウンタ初期値生成部120は、カウンタ初期値を生成する。カウンタ初期値生成部120が生成したカウンタ初期値は、カウンタ部115のカウンタ値の初期値に使用される。カウンタ初期値は、第3のデータの例である。カウンタ初期値生成部120は、第3データ生成部53の例である。   The MAC checking unit 116 checks the MAC acquired from the data frame received from the CAN 40 by the receiving unit 112. The session key storage unit 117 stores a session key. The key exchange key storage unit 118 stores a key exchange key. The key exchange key is shared in advance between the management device 10 and the ECU 50. The key exchange key is an example of first data. The key exchange key storage unit 118 is an example of the first data storage unit 52. The session key generation unit 119 generates a session key. The session key is an example of third data. The session key generation unit 119 is an example of the third data generation unit 53. The counter initial value generation unit 120 generates a counter initial value. The counter initial value generated by the counter initial value generation unit 120 is used as the initial value of the counter value of the counter unit 115. The counter initial value is an example of third data. The counter initial value generation unit 120 is an example of the third data generation unit 53.

データ更新部54は、自ECU50の鍵交換鍵等を更新する。暗号処理部55は、暗号化データの復号等の暗号処理を実行する。共通鍵記憶部121は共通鍵を記憶する。該共通鍵は、管理装置10とECU50で共有される。   The data updating unit 54 updates the key exchange key of the own ECU 50 and the like. The encryption processing unit 55 performs encryption processing such as decryption of encrypted data. The common key storage unit 121 stores a common key. The common key is shared between the management device 10 and the ECU 50.

MAC生成部114は、データフレーム中のデータフィールドに格納される送信データとカウンタ部115の送信カウンタ値とセッション鍵記憶部117に記憶されているセッション鍵を使用して、MACを生成する。MACとして、例えば、ハッシュ(Hash)値を算出する。ハッシュ値の生成方法として、SHA−1又はSHA−2などが利用可能である。送信部111は、データフレームに対して、送信データと該送信データを使用して生成されたMACを所定の部分に格納する。送信部111は、送信データと該送信データを使用して生成されたMACを格納したデータフレームをCAN40へ送信する。カウンタ部115は、該データフレームの送信により送信カウンタ値を1だけ増加させて保持する。   The MAC generation unit 114 generates a MAC by using the transmission data stored in the data field in the data frame, the transmission counter value of the counter unit 115, and the session key stored in the session key storage unit 117. For example, a hash value is calculated as the MAC. As a hash value generation method, SHA-1 or SHA-2 can be used. The transmission unit 111 stores transmission data and a MAC generated using the transmission data in a predetermined part for the data frame. The transmission unit 111 transmits the data frame storing the transmission data and the MAC generated using the transmission data to the CAN 40. The counter unit 115 increases the transmission counter value by 1 by transmission of the data frame and holds it.

MAC検査部116は、受信部112により受信したデータフレームである検査対象フレーム中のデータフィールドから受信データを取得する。また、MAC検査部116は、該検査対象フレーム中のIDフィールドに格納されているIDに対応する受信カウンタ値を、カウンタ部115から取得する。MAC検査部116は、該取得した受信データ及び受信カウンタ値と、セッション鍵記憶部117に記憶されているセッション鍵とを使用して、MAC(説明の便宜上、算出MACと称する)を生成する。このMAC生成方法は、上述したMAC生成部114と同じ算出方法(例えばSHA−2)により算出される。   The MAC inspection unit 116 acquires received data from the data field in the inspection target frame that is the data frame received by the reception unit 112. Further, the MAC inspection unit 116 acquires a reception counter value corresponding to the ID stored in the ID field in the inspection target frame from the counter unit 115. The MAC checking unit 116 generates a MAC (referred to as “calculated MAC” for convenience of explanation) by using the acquired reception data and reception counter value and the session key stored in the session key storage unit 117. This MAC generation method is calculated by the same calculation method (for example, SHA-2) as the MAC generation unit 114 described above.

MAC検査部116は、検査対象フレーム中の所定の部分からMACを取得する。MAC検査部116は、該検査対象フレームから取得したMACと該検査対象フレームについての算出MACを使用して、MAC検査を実行する。例えば、該検査対象フレームから取得したMACと該検査対象フレームについての算出MACが一致するかを判定する。MAC検査が合格である場合、MAC検査部116は、フレーム受信処理部113へ、検査対象フレームの検査合格を通知する。これにより、フレーム受信処理部113は、受信部112により受信した検査対象フレームに対して、正常に受信したデータフレームに対する所定の受信処理を行う。また、MAC検査部116は、カウンタ部115に対して、検査対象フレームの検査合格を通知する。これにより、カウンタ部115は、該検査対象フレームのIDに対応する受信カウンタ値を1だけ増加させて保持する。一方、MAC検査が不合格である場合には、所定のエラー処理が実行される。   The MAC inspection unit 116 acquires the MAC from a predetermined part in the inspection target frame. The MAC inspection unit 116 performs MAC inspection using the MAC acquired from the inspection target frame and the calculated MAC for the inspection target frame. For example, it is determined whether the MAC acquired from the inspection target frame matches the calculated MAC for the inspection target frame. When the MAC inspection is successful, the MAC inspection unit 116 notifies the frame reception processing unit 113 of the inspection pass of the inspection target frame. As a result, the frame reception processing unit 113 performs a predetermined reception process on the normally received data frame on the inspection target frame received by the reception unit 112. In addition, the MAC inspection unit 116 notifies the counter unit 115 that the inspection target frame has passed the inspection. Thereby, the counter unit 115 increments the reception counter value corresponding to the ID of the inspection target frame by 1 and holds it. On the other hand, when the MAC inspection fails, a predetermined error process is executed.

上述したMACの生成及び検査では、カウンタ部115のカウンタ値が使用される。もし車載制御システム2に備わる複数のECU50の各カウンタ部115のカウンタ値の初期値が同じではない場合、MAC検査の結果が信頼できなくなる。このため、本実施例1では、カウンタ部115のカウンタ値の初期値を複数のECU50で共有する処理を実行する。以下、図5を参照して、本実施例1に係るカウンタ初期値共有方法を説明する。   In the MAC generation and inspection described above, the counter value of the counter unit 115 is used. If the initial value of the counter value of each counter unit 115 of the plurality of ECUs 50 provided in the in-vehicle control system 2 is not the same, the result of the MAC inspection becomes unreliable. For this reason, in the first embodiment, a process of sharing the initial value of the counter value of the counter unit 115 among a plurality of ECUs 50 is executed. Hereinafter, the counter initial value sharing method according to the first embodiment will be described with reference to FIG.

図5は、本実施例1に係るカウンタ初期値共有方法を示すシーケンスチャートである。図5において、管理装置10とECU50は、予め共有した同じ鍵交換鍵を有する。管理装置10は、該鍵交換鍵を鍵交換鍵記憶部21に記憶している。ECU50は、該鍵交換鍵を鍵交換鍵記憶部118に記憶している。   FIG. 5 is a sequence chart illustrating the counter initial value sharing method according to the first embodiment. In FIG. 5, the management device 10 and the ECU 50 have the same key exchange key shared in advance. The management device 10 stores the key exchange key in the key exchange key storage unit 21. The ECU 50 stores the key exchange key in the key exchange key storage unit 118.

なお、図5に示すカウンタ初期値共有方法の実行時においては、データフレームにはMACが格納されない。したがって、データフレームの受信側はMAC検査を実行しない。これは、ECU50のカウンタ部115のカウンタ値の初期値に使用されるカウンタ初期値が、カウンタ初期値共有方法の実行により、複数のECU50で共有されるまでは、MAC検査を正常に実施することができないからである。   Note that when the counter initial value sharing method shown in FIG. 5 is executed, the MAC is not stored in the data frame. Therefore, the data frame receiver does not perform MAC inspection. This is because the MAC inspection is normally performed until the counter initial value used as the initial value of the counter value of the counter unit 115 of the ECU 50 is shared by the plurality of ECUs 50 by executing the counter initial value sharing method. This is because you cannot.

(ステップS11)管理装置10において、乱数生成部22が乱数を生成する。例えば、乱数生成部22は、データ長が64ビットである乱数を生成する。 (Step S11) In the management device 10, the random number generation unit 22 generates a random number. For example, the random number generation unit 22 generates a random number having a data length of 64 bits.

(ステップS12)管理装置10において、通信部11が、該乱数をデータフィールドに格納したデータフレームである第2データ格納フレームを、CAN40を介してECU50へ送信する。通信部11は、例えばブロードキャストにより第2データ格納フレームを送信する。ECU50において、通信部51は、CAN40を介して管理装置10から該第2データ格納フレームを受信する。 (Step S12) In the management device 10, the communication unit 11 transmits a second data storage frame, which is a data frame in which the random number is stored in the data field, to the ECU 50 via the CAN 40. The communication unit 11 transmits the second data storage frame by broadcast, for example. In the ECU 50, the communication unit 51 receives the second data storage frame from the management device 10 via the CAN 40.

(ステップS13)管理装置10において、カウンタ初期値生成部23が鍵交換鍵記憶部21から鍵交換鍵を読み出す。ECU50において、カウンタ初期値生成部120が鍵交換鍵記憶部118から鍵交換鍵を読み出す。 (Step S <b> 13) In the management device 10, the counter initial value generation unit 23 reads the key exchange key from the key exchange key storage unit 21. In the ECU 50, the counter initial value generation unit 120 reads the key exchange key from the key exchange key storage unit 118.

(ステップS14)管理装置10において、カウンタ初期値生成部23は、鍵交換鍵記憶部21から読み出した鍵交換鍵と乱数生成部22が生成した乱数とを使用して、カウンタ初期値を生成する。ECU50において、カウンタ初期値生成部120は、鍵交換鍵記憶部118から読み出した鍵交換鍵と、通信部51が受信した第2データ格納フレームに格納されている乱数とを使用して、カウンタ初期値を生成する。カウンタ初期値生成部120が生成したカウンタ初期値は、カウンタ部115のカウンタ値の初期値として設定される。 (Step S <b> 14) In the management device 10, the counter initial value generation unit 23 generates a counter initial value using the key exchange key read from the key exchange key storage unit 21 and the random number generated by the random number generation unit 22. . In the ECU 50, the counter initial value generation unit 120 uses the key exchange key read from the key exchange key storage unit 118 and the random number stored in the second data storage frame received by the communication unit 51 to generate a counter initial value. Generate a value. The counter initial value generated by the counter initial value generation unit 120 is set as the initial value of the counter value of the counter unit 115.

カウンタ初期値の生成方法は、管理装置10のカウンタ初期値生成部23とECU50のカウンタ初期値生成部120とで同じである。カウンタ初期値の生成方法は、上述した第3のデータの生成方法と同様でよい。例えば、乱数を鍵交換鍵で暗号化した値(例えばCMAC)をカウンタ初期値にしてもよい。又は、鍵交換鍵と乱数を連結したデータのハッシュ値を算出し、該ハッシュ値をカウンタ初期値にしてもよい。又は、鍵交換鍵と乱数の排他的論理和をカウンタ初期値にしてもよい。   The counter initial value generation method is the same for the counter initial value generation unit 23 of the management apparatus 10 and the counter initial value generation unit 120 of the ECU 50. The method for generating the counter initial value may be the same as the method for generating the third data described above. For example, a value obtained by encrypting a random number with a key exchange key (for example, CMAC) may be used as the counter initial value. Alternatively, a hash value of data obtained by concatenating a key exchange key and a random number may be calculated, and the hash value may be used as a counter initial value. Alternatively, the exclusive OR of the key exchange key and the random number may be used as the counter initial value.

以上が本実施例1に係るカウンタ初期値共有方法の説明である。本実施例1に係るカウンタ初期値共有方法によれば、複数のECU50で同じカウンタ初期値を共有することができる。さらに、複数のECU50で同じカウンタ初期値を共有する際に、該カウンタ初期値のセキュリティ強度をある程度に保ちつつ共有にかかる時間を短縮することができる。この効果について、カウンタ初期値のセキュリティ強度に対する要求としてカウンタ初期値のデータ長を256ビットにする場合を例に挙げて説明する。この場合、256ビットのカウンタ初期値をデータフレームで各ECU50に送信する際には、データフレームのデータフィールドに格納可能なデータ長の上限が64ビットであるので、ブロードキャストにより送信しても、少なくとも4個のデータフレームの送信が必要になる。   The above is the description of the counter initial value sharing method according to the first embodiment. According to the counter initial value sharing method according to the first embodiment, a plurality of ECUs 50 can share the same counter initial value. Furthermore, when the same counter initial value is shared by a plurality of ECUs 50, the time required for sharing can be reduced while maintaining the security strength of the counter initial value to some extent. This effect will be described by taking as an example a case where the data length of the counter initial value is 256 bits as a request for the security strength of the counter initial value. In this case, when the 256-bit counter initial value is transmitted to each ECU 50 in a data frame, the upper limit of the data length that can be stored in the data field of the data frame is 64 bits. Four data frames need to be transmitted.

一方、本実施例1によれば、管理装置10からECU50へ送信する乱数は、64ビット以下のデータ長である。例えば、64ビットの乱数である。したがって、該乱数を各ECU50に送信する際には、ブロードキャストにより送信すれば、1個のデータフレームの送信で済む。そして、管理装置10及びECU50において、該乱数と管理装置10及びECU50で共有される鍵交換鍵を使用してカウンタ初期値が生成される。該鍵交換鍵のデータ長を256ビットにすることにより、例えば64ビットの乱数と256ビットの鍵交換鍵を使用して、256ビットのカウンタ初期値を生成することができる。これにより、複数のECU50で同じカウンタ初期値を共有する際に、該カウンタ初期値のセキュリティ強度に対する要求(カウンタ初期値のデータ長が256ビットである)を保ちつつ共有にかかる時間を短縮することができるという効果が得られる。   On the other hand, according to the first embodiment, the random number transmitted from the management device 10 to the ECU 50 has a data length of 64 bits or less. For example, a 64-bit random number. Therefore, when the random number is transmitted to each ECU 50, it is only necessary to transmit one data frame if it is transmitted by broadcast. Then, in the management device 10 and the ECU 50, a counter initial value is generated using the random number and a key exchange key shared by the management device 10 and the ECU 50. By setting the data length of the key exchange key to 256 bits, a 256-bit counter initial value can be generated using, for example, a 64-bit random number and a 256-bit key exchange key. As a result, when the same counter initial value is shared by a plurality of ECUs 50, the time required for sharing is reduced while maintaining a request for the security strength of the counter initial value (the data length of the counter initial value is 256 bits). The effect of being able to be obtained.

次に、本実施例1に係るセッション鍵共有方法を説明する。セッション鍵は、上述したMACの生成及び検査など、CAN40を介して行われる通信に使用される。もし車載制御システム2に備わる管理装置10及びECU50の各セッション鍵が同じではない場合、セッション鍵を使用した通信が信頼できなくなる。このため、本実施例1では、セッション鍵を管理装置10及びECU50で共有する処理を実行する。以下、図6を参照して、本実施例1に係るセッション鍵共有方法を説明する。   Next, a session key sharing method according to the first embodiment will be described. The session key is used for communication performed via the CAN 40 such as the above-described MAC generation and inspection. If the session keys of the management device 10 and the ECU 50 provided in the in-vehicle control system 2 are not the same, communication using the session key becomes unreliable. For this reason, in the first embodiment, a process of sharing the session key between the management device 10 and the ECU 50 is executed. Hereinafter, the session key sharing method according to the first embodiment will be described with reference to FIG.

図6は、本実施例1に係るセッション鍵共有方法を示すシーケンスチャートである。図6において、管理装置10とECU50は、予め共有した同じ鍵交換鍵を有する。管理装置10は、該鍵交換鍵を鍵交換鍵記憶部21に記憶している。ECU50は、該鍵交換鍵を鍵交換鍵記憶部118に記憶している。   FIG. 6 is a sequence chart illustrating the session key sharing method according to the first embodiment. In FIG. 6, the management apparatus 10 and the ECU 50 have the same key exchange key shared in advance. The management device 10 stores the key exchange key in the key exchange key storage unit 21. The ECU 50 stores the key exchange key in the key exchange key storage unit 118.

なお、図6に示すセッション鍵共有方法の実行時においては、データフレームにはMACが格納されない。したがって、データフレームの受信側はMAC検査を実行しない。これは、セッション鍵が、セッション鍵共有方法の実行により、複数のECU50で共有されるまでは、MAC検査を正常に実施することができないからである。   When the session key sharing method shown in FIG. 6 is executed, the MAC is not stored in the data frame. Therefore, the data frame receiver does not perform MAC inspection. This is because the MAC inspection cannot be normally performed until the session key is shared by the plurality of ECUs 50 by executing the session key sharing method.

(ステップS21)管理装置10において、乱数生成部22が乱数を生成する。例えば、乱数生成部22は、データ長が64ビットである乱数を発生する。 (Step S21) In the management device 10, the random number generation unit 22 generates a random number. For example, the random number generation unit 22 generates a random number having a data length of 64 bits.

(ステップS22)管理装置10において、通信部11が、該乱数をデータフィールドに格納したデータフレームである第2データ格納フレームを、CAN40を介してECU50へ送信する。通信部11は、例えばブロードキャストにより第2データ格納フレームを送信する。ECU50において、通信部51は、CAN40を介して管理装置10から該第2データ格納フレームを受信する。 (Step S22) In the management device 10, the communication unit 11 transmits a second data storage frame, which is a data frame in which the random number is stored in the data field, to the ECU 50 via the CAN 40. The communication unit 11 transmits the second data storage frame by broadcast, for example. In the ECU 50, the communication unit 51 receives the second data storage frame from the management device 10 via the CAN 40.

(ステップS23)管理装置10において、セッション鍵生成部24が鍵交換鍵記憶部21から鍵交換鍵を読み出す。ECU50において、セッション鍵生成部119が鍵交換鍵記憶部118から鍵交換鍵を読み出す。 (Step S <b> 23) In the management device 10, the session key generation unit 24 reads the key exchange key from the key exchange key storage unit 21. In the ECU 50, the session key generation unit 119 reads the key exchange key from the key exchange key storage unit 118.

(ステップS24)管理装置10において、セッション鍵生成部24は、鍵交換鍵記憶部21から読み出した鍵交換鍵と乱数生成部22が生成した乱数とを使用して、セッション鍵を生成する。ECU50において、セッション鍵生成部119は、鍵交換鍵記憶部118から読み出した鍵交換鍵と、通信部51が受信した第2データ格納フレームに格納されている乱数とを使用して、セッション鍵を生成する。セッション鍵生成部119が生成したセッション鍵は、セッション鍵記憶部117に格納される。これにより、同じセッション鍵が管理装置10及びECU50で共有される。 (Step S24) In the management device 10, the session key generation unit 24 generates a session key using the key exchange key read from the key exchange key storage unit 21 and the random number generated by the random number generation unit 22. In the ECU 50, the session key generation unit 119 uses the key exchange key read from the key exchange key storage unit 118 and the random number stored in the second data storage frame received by the communication unit 51 to obtain the session key. Generate. The session key generated by the session key generation unit 119 is stored in the session key storage unit 117. Thereby, the same session key is shared by the management apparatus 10 and ECU50.

セッション鍵の生成方法は、管理装置10のセッション鍵生成部24とECU50のセッション鍵生成部119とで同じである。セッション鍵の生成方法は、上述した第3のデータの生成方法と同様でよい。例えば、乱数を鍵交換鍵で暗号化した値(例えばCMAC)をセッション鍵にしてもよい。又は、鍵交換鍵と乱数を連結したデータのハッシュ値を算出し、該ハッシュ値をセッション鍵にしてもよい。又は、鍵交換鍵と乱数の排他的論理和をセッション鍵にしてもよい。   The session key generation method is the same for the session key generation unit 24 of the management apparatus 10 and the session key generation unit 119 of the ECU 50. The session key generation method may be the same as the third data generation method described above. For example, a value obtained by encrypting a random number with a key exchange key (for example, CMAC) may be used as the session key. Alternatively, a hash value of data obtained by concatenating a key exchange key and a random number may be calculated, and the hash value may be used as a session key. Alternatively, the exclusive OR of the key exchange key and the random number may be used as the session key.

以上が本実施例1に係るセッション鍵共有方法の説明である。本実施例1に係るセッション鍵共有方法によれば、複数のECU50で同じセッション鍵を共有することができる。さらに、複数のECU50で同じセッション鍵を共有する際に、該セッション鍵のセキュリティ強度をある程度に保ちつつ共有にかかる時間を短縮することができる。この効果は、上述したカウンタ初期値の場合と同様の理由により得られる。   The above is the description of the session key sharing method according to the first embodiment. According to the session key sharing method according to the first embodiment, a plurality of ECUs 50 can share the same session key. Furthermore, when the same session key is shared by a plurality of ECUs 50, the time required for sharing can be shortened while maintaining the security strength of the session key to some extent. This effect is obtained for the same reason as in the case of the counter initial value described above.

なお、上述の実施例1において、カウンタ初期値又はセッション鍵の共有を実行するタイミングとして、例えば、自動車1のエンジン始動直後のタイミングにしてもよい。自動車1のエンジン始動中は、自動車1においてECU50への電源供給が不十分になってECU50の動作が不安定になる可能性がある。ECU50の動作が不安定になると、ECU50においてDRAM(Dynamic Random Access Memory)やSRAM(Static Random Access Memory)などの揮発性メモリに格納されたデータが正常に保たれない可能性がある。このため、カウンタ値やセッション鍵を揮発性メモリに格納する場合には、自動車1のエンジンの始動前及び始動中にカウンタ初期値やセッション鍵の共有を実行することは避け、エンジン始動後のECU50の動作が安定している状態でカウンタ初期値やセッション鍵の共有を実行することが好ましい。さらには、エンジンが始動してから走行が開始されるまでの期間に、カウンタ初期値やセッション鍵の共有が完了することが好ましい。これは、自動車1の走行中にはエンジン制御やブレーキ制御等の制御が実行されるので、ECU50間で交換されるメッセージの信頼性を保つためにMAC検査を正常に実行するためである。   In the first embodiment described above, the counter initial value or the session key sharing timing may be, for example, a timing immediately after the engine of the automobile 1 is started. While the engine of the automobile 1 is starting, there is a possibility that the power supply to the ECU 50 in the automobile 1 becomes insufficient and the operation of the ECU 50 becomes unstable. When the operation of the ECU 50 becomes unstable, there is a possibility that data stored in a volatile memory such as a DRAM (Dynamic Random Access Memory) or an SRAM (Static Random Access Memory) in the ECU 50 may not be maintained normally. For this reason, when the counter value and the session key are stored in the volatile memory, it is avoided to share the counter initial value and the session key before starting the engine of the automobile 1 and during the starting, and the ECU 50 after starting the engine. It is preferable to share the counter initial value and the session key in a state where the operation is stable. Furthermore, it is preferable that sharing of the counter initial value and the session key is completed in a period from when the engine is started to when traveling is started. This is because control such as engine control and brake control is executed while the automobile 1 is traveling, so that the MAC inspection is normally executed in order to maintain the reliability of messages exchanged between the ECUs 50.

また、上述の図5に示すカウンタ初期値共有方法では、鍵交換鍵を使用してカウンタ初期値を生成したが、鍵交換鍵の代わりにセッション鍵を使用してもよい。セッション鍵を使用してカウンタ初期値を生成する場合には、管理装置10及びECU50で同じセッション鍵が共有されてから、カウンタ初期値の共有を実行する。   In the counter initial value sharing method shown in FIG. 5 described above, the counter initial value is generated using the key exchange key. However, a session key may be used instead of the key exchange key. When the initial counter value is generated using the session key, the counter initial value is shared after the management apparatus 10 and the ECU 50 share the same session key.

次に本実施例1に係る鍵交換鍵更新方法を説明する。上述したカウンタ初期値共有方法又はセッション鍵共有方法により鍵交換鍵が繰り返し使用されると、漏洩電磁波解析などの解析が行われることによって鍵交換鍵が漏洩する可能性がある。この対策として、本実施例1では、図7及び図8に示される多層共通鍵方式により鍵交換鍵の更新を行う。以下、図7及び図8を参照して、本実施例1に係る鍵交換鍵更新方法を説明する。   Next, a key exchange key update method according to the first embodiment will be described. If the key exchange key is repeatedly used by the counter initial value sharing method or the session key sharing method described above, the key exchange key may be leaked by performing analysis such as leakage electromagnetic wave analysis. As a countermeasure, in the first embodiment, the key exchange key is updated by the multilayer common key method shown in FIGS. The key exchange key update method according to the first embodiment will be described below with reference to FIGS.

まず図7を参照して鍵交換鍵更新方法の第1段階を説明する。図7は、鍵交換鍵更新方法の第1段階を示すシーケンスチャートである。図7において、管理装置10とECU50は、予め共有したN番目の鍵交換鍵である現鍵交換鍵(N)を有する。管理装置10は、現鍵交換鍵(N)を鍵交換鍵記憶部21に記憶している。ECU50は、現鍵交換鍵(N)を鍵交換鍵記憶部118に記憶している。   First, the first stage of the key exchange key update method will be described with reference to FIG. FIG. 7 is a sequence chart showing a first stage of the key exchange key update method. In FIG. 7, the management device 10 and the ECU 50 have a current key exchange key (N) that is an Nth key exchange key shared in advance. The management device 10 stores the current key exchange key (N) in the key exchange key storage unit 21. The ECU 50 stores the current key exchange key (N) in the key exchange key storage unit 118.

また、管理装置10とECU50は、予め共有したα系統のN番目の共通鍵であるα現共通鍵(N)を有する。α系統の共通鍵は、第1の鍵の例である。また、管理装置10とECU50は、予め共有したβ系統のN番目の共通鍵であるβ現共通鍵(N)を有する。β系統の共通鍵は、第2の鍵の例である。管理装置10は、α現共通鍵(N)及びβ現共通鍵(N)を共通鍵記憶部25に記憶している。ECU50は、α現共通鍵(N)及びβ現共通鍵(N)を共通鍵記憶部121に記憶している。   Moreover, the management apparatus 10 and ECU50 have (alpha) present common key (N) which is the Nth common key of alpha system shared previously. The α-system common key is an example of a first key. Moreover, the management apparatus 10 and ECU50 have (beta) present common key (N) which is the Nth common key of (beta) system shared previously. The β system common key is an example of the second key. The management apparatus 10 stores the α current common key (N) and the β current common key (N) in the common key storage unit 25. The ECU 50 stores the α current common key (N) and the β current common key (N) in the common key storage unit 121.

(ステップS31)管理装置10において、データ更新部15は、所定のタイミングで、新しい「N+1」番目の鍵交換鍵である新鍵交換鍵(N+1)を生成する。データ更新部15は、鍵交換鍵記憶部21に記憶される鍵交換鍵を、現鍵交換鍵(N)から新鍵交換鍵(N+1)に書き換える。管理装置10は、例えば、現鍵交換鍵(N)が使用された回数が規定回数に達した場合に、鍵交換鍵を、現鍵交換鍵(N)から新鍵交換鍵(N+1)に変更してもよい。 (Step S31) In the management apparatus 10, the data updating unit 15 generates a new key exchange key (N + 1) that is a new “N + 1” -th key exchange key at a predetermined timing. The data updating unit 15 rewrites the key exchange key stored in the key exchange key storage unit 21 from the current key exchange key (N) to the new key exchange key (N + 1). For example, when the number of times the current key exchange key (N) has been used reaches a specified number, the management apparatus 10 changes the key exchange key from the current key exchange key (N) to the new key exchange key (N + 1). May be.

(ステップS32)管理装置10において、暗号処理部16は、新鍵交換鍵(N+1)をα現共通鍵(N)で暗号化する。 (Step S32) In the management apparatus 10, the encryption processing unit 16 encrypts the new key exchange key (N + 1) with the α current common key (N).

(ステップS33)管理装置10において、通信部11は、該新鍵交換鍵(N+1)の暗号化の結果である第1暗号化データ(N+1)を格納したデータフレームである第1暗号化データ格納フレームを、CAN40を介してECU50へ送信する。通信部11は、例えばブロードキャストにより第1暗号化データ格納フレームを送信する。ECU50において、通信部51は、CAN40を介して管理装置10から該第1暗号化データ格納フレームを受信する。 (Step S33) In the management apparatus 10, the communication unit 11 stores the first encrypted data that is a data frame storing the first encrypted data (N + 1) that is the result of the encryption of the new key exchange key (N + 1). The frame is transmitted to the ECU 50 via the CAN 40. The communication unit 11 transmits the first encrypted data storage frame by broadcast, for example. In the ECU 50, the communication unit 51 receives the first encrypted data storage frame from the management device 10 via the CAN 40.

(ステップS34)ECU50において、暗号処理部55は、該通信部51が管理装置10から受信した第1暗号化データ格納フレームに格納されている第1暗号化データ(N+1)をα現共通鍵(N)で復号する。ECU50において、データ更新部54は、該復号の結果により、鍵交換鍵記憶部118に記憶される鍵交換鍵を現鍵交換鍵(N)から書き換える。これにより、ECU50の鍵交換鍵記憶部118に記憶される鍵交換鍵が、現鍵交換鍵(N)から新鍵交換鍵(N+1)に更新される。 (Step S <b> 34) In the ECU 50, the encryption processing unit 55 converts the first encrypted data (N + 1) stored in the first encrypted data storage frame received by the communication unit 51 from the management apparatus 10 to the α current common key ( Decrypt in N). In the ECU 50, the data update unit 54 rewrites the key exchange key stored in the key exchange key storage unit 118 from the current key exchange key (N) based on the result of the decryption. As a result, the key exchange key stored in the key exchange key storage unit 118 of the ECU 50 is updated from the current key exchange key (N) to the new key exchange key (N + 1).

次に図8を参照して鍵交換鍵更新方法の第2段階を説明する。図8は、鍵交換鍵更新方法の第2段階を示すシーケンスチャートである。上述の鍵交換鍵更新方法の第1段階により、α現共通鍵(N)が繰り返し使用されると、漏洩電磁波解析などの解析が行われることによってα現共通鍵(N)が漏洩する可能性がある。この対策として、本実施例1では、図8に示される鍵交換鍵更新方法の第2段階により、α系統の共通鍵の更新を行う。以下、図8を参照して、本実施例1に係る鍵交換鍵更新方法の第2段階を説明する。図8において、管理装置10とECU50は、予め共有したα現共通鍵(N)及びβ現共通鍵(N)を有する。管理装置10は、α現共通鍵(N)及びβ現共通鍵(N)を共通鍵記憶部25に記憶している。ECU50は、α現共通鍵(N)及びβ現共通鍵(N)を共通鍵記憶部121に記憶している。   Next, the second stage of the key exchange key update method will be described with reference to FIG. FIG. 8 is a sequence chart showing a second stage of the key exchange key update method. If the α current common key (N) is repeatedly used in the first step of the key exchange key updating method described above, the α current common key (N) may be leaked by performing analysis such as leakage electromagnetic wave analysis. There is. As a countermeasure, in the first embodiment, the α-system common key is updated by the second stage of the key exchange key updating method shown in FIG. Hereinafter, the second stage of the key exchange key update method according to the first embodiment will be described with reference to FIG. In FIG. 8, the management apparatus 10 and the ECU 50 have an α current common key (N) and a β current common key (N) shared in advance. The management apparatus 10 stores the α current common key (N) and the β current common key (N) in the common key storage unit 25. The ECU 50 stores the α current common key (N) and the β current common key (N) in the common key storage unit 121.

(ステップS41)管理装置10において、データ更新部15は、所定のタイミングで、α系統の新しい「N+1」番目の共通鍵であるα新共通鍵(N+1)を生成する。管理装置10は、共通鍵記憶部25に記憶されるα系統の共通鍵を、α現共通鍵(N)からα新共通鍵(N+1)に書き換える。管理装置10は、例えば、α現共通鍵(N)が使用された回数が規定回数に達した場合に、α系統の共通鍵を、α現共通鍵(N)からα新共通鍵(N+1)に変更してもよい。 (Step S41) In the management apparatus 10, the data updating unit 15 generates an α new common key (N + 1) that is a new “N + 1” -th common key of the α system at a predetermined timing. The management apparatus 10 rewrites the α-system common key stored in the common key storage unit 25 from the α current common key (N) to the α new common key (N + 1). For example, when the number of times the α current common key (N) is used reaches the specified number, the management apparatus 10 changes the α system common key from the α current common key (N) to the α new common key (N + 1). You may change to

(ステップS42)管理装置10において、暗号処理部16は、α新共通鍵(N+1)をβ現共通鍵(N)で暗号化する。 (Step S42) In the management apparatus 10, the encryption processing unit 16 encrypts the α new common key (N + 1) with the β current common key (N).

(ステップS43)管理装置10において、通信部11は、該α新共通鍵(N+1)の暗号化の結果である第2暗号化データ(N+1)を格納したデータフレームである第2暗号化データ格納フレームを、CAN40を介してECU50へ送信する。通信部11は、例えばブロードキャストにより第2暗号化データ格納フレームを送信する。ECU50において、通信部51は、CAN40を介して管理装置10から該第2暗号化データ格納フレームを受信する。 (Step S43) In the management apparatus 10, the communication unit 11 stores the second encrypted data that is a data frame storing the second encrypted data (N + 1) that is the result of the encryption of the α new common key (N + 1). The frame is transmitted to the ECU 50 via the CAN 40. The communication unit 11 transmits the second encrypted data storage frame by broadcast, for example. In the ECU 50, the communication unit 51 receives the second encrypted data storage frame from the management device 10 via the CAN 40.

(ステップS44)ECU50において、暗号処理部55は、該通信部51が管理装置10から受信した第2暗号化データ格納フレームに格納されている第2暗号化データ(N+1)をβ現共通鍵(N)で復号する。ECU50において、データ更新部54は、該復号の結果により、共通鍵記憶部121に記憶されるα系統の共通鍵をα現共通鍵(N)から書き換える。これにより、ECU50の共通鍵記憶部121に記憶されるα系統の共通鍵が、α現共通鍵(N)からα新共通鍵(N+1)に更新される。 (Step S44) In the ECU 50, the encryption processing unit 55 converts the second encrypted data (N + 1) stored in the second encrypted data storage frame received by the communication unit 51 from the management device 10 into the β current common key ( Decrypt in N). In the ECU 50, the data updating unit 54 rewrites the α-system common key stored in the common key storage unit 121 from the α current common key (N) based on the result of the decryption. Accordingly, the α-system common key stored in the common key storage unit 121 of the ECU 50 is updated from the α current common key (N) to the α new common key (N + 1).

上述の図7及び図8に示される多層共通鍵方式による鍵交換鍵更新方法によれば、共通鍵方式の高速性を得ることができると共に、同じ処理ルーチンを繰り返し利用することができる。同じ処理ルーチンを繰り返し利用することにより、プログラムコードの単純化を図ることができるので、限られたコンピュータ資源であるECU50のCPU性能及びメモリ量に好適である。   According to the key exchange key update method based on the multilayer common key method shown in FIGS. 7 and 8 described above, the high speed of the common key method can be obtained and the same processing routine can be used repeatedly. By repeatedly using the same processing routine, the program code can be simplified, which is suitable for the CPU performance and memory capacity of the ECU 50, which are limited computer resources.

なお、上述した実施例1において、管理装置10が、図4に示すMACの生成及び検査に係る各部を備え、送信するデータフレームに格納するMACの生成及び受信したデータフレームに格納されているMACの検査を実行するようにしてもよい。   In the first embodiment described above, the management apparatus 10 includes the units related to the generation and inspection of the MAC illustrated in FIG. 4, and the MAC generated in the data frame to be transmitted and the MAC stored in the received data frame This inspection may be executed.

また、自動車1に備わるいずれかのECUを管理装置10として機能させてもよい。   Also, any ECU provided in the automobile 1 may function as the management device 10.

[実施例2]
図9は、本実施形態に係る自動車1の実施例2を示す構成図である。図9において、自動車1は、ゲートウェイ10aとCAN40とECU50と診断ポート70とインフォテイメント(Infotainment)機器200を備える。インフォテイメント機器200として、例えば、ナビゲーション機能、位置情報サービス機能、音楽や動画などのマルチメディア再生機能、音声通信機能、データ通信機能、インターネット接続機能などを有するものが挙げられる。インフォテイメント機器200は、外部機器220と接続して、外部機器220とデータを交換する。外部機器220として、例えば、携帯通信端末やオーディオビジュアル機器などが挙げられる。
[Example 2]
FIG. 9 is a configuration diagram illustrating Example 2 of the automobile 1 according to the present embodiment. In FIG. 9, the automobile 1 includes a gateway 10 a, a CAN 40, an ECU 50, a diagnosis port 70, and an infotainment device 200. Examples of the infotainment device 200 include those having a navigation function, a location information service function, a multimedia playback function such as music and video, a voice communication function, a data communication function, and an Internet connection function. The infotainment device 200 is connected to the external device 220 and exchanges data with the external device 220. Examples of the external device 220 include a mobile communication terminal and an audio visual device.

診断ポート70は、診断ツール210を接続する。診断ツール210は、診断ポート70を介して、ECU50等の更新プログラムのインストールやデータの設定変更などを実行する。診断ポート70として、例えばOBD(On-board Diagnostics)ポートを使用してもよい。   The diagnostic port 70 connects the diagnostic tool 210. The diagnostic tool 210 executes installation of an update program such as the ECU 50 and data setting change via the diagnostic port 70. As the diagnostic port 70, for example, an OBD (On-board Diagnostics) port may be used.

ゲートウェイ10aは、CAN40に接続される。インフォテイメント機器200は、ゲートウェイ10aを介して、CAN40に接続されるECU50とデータを送受する。ゲートウェイ10aは、インフォテイメント機器200とECU50の間のデータの送受を監視する。診断ツール210は、診断ポート70及びゲートウェイ10aを介して、CAN40に接続されるECU50とデータを送受する。ゲートウェイ10aは、診断ツール210とECU50の間のデータの送受を監視する。   The gateway 10a is connected to the CAN 40. The infotainment device 200 transmits / receives data to / from the ECU 50 connected to the CAN 40 via the gateway 10a. The gateway 10a monitors data transmission / reception between the infotainment device 200 and the ECU 50. The diagnostic tool 210 transmits / receives data to / from the ECU 50 connected to the CAN 40 via the diagnostic port 70 and the gateway 10a. The gateway 10a monitors transmission / reception of data between the diagnostic tool 210 and the ECU 50.

ゲートウェイ10aは、本実施形態に係る管理装置10の機能を備える。ゲートウェイ10aはセキュアエレメント61を備える。ECU50はセキュアエレメント62を備える。セキュアエレメント61及び62は耐タンパー性(Tamper Resistant)を有する。ゲートウェイ10aにおいて、セキュアエレメント61は、図1に示す管理装置10の各部のうち、第1データ記憶部12、第3データ生成部14、データ更新部15及び暗号処理部16を備えてもよい。又は、ゲートウェイ10aにおいて、セキュアエレメント61は、図3に示す管理装置10の各部のうち、鍵交換鍵記憶部21、カウンタ初期値生成部23、セッション鍵生成部24、データ更新部15、暗号処理部16及び共通鍵記憶部25を備えてもよい。   The gateway 10a has the function of the management apparatus 10 according to the present embodiment. The gateway 10 a includes a secure element 61. The ECU 50 includes a secure element 62. The secure elements 61 and 62 have tamper resistance. In the gateway 10a, the secure element 61 may include a first data storage unit 12, a third data generation unit 14, a data update unit 15, and an encryption processing unit 16 among the units of the management apparatus 10 illustrated in FIG. Alternatively, in the gateway 10a, the secure element 61 includes the key exchange key storage unit 21, the counter initial value generation unit 23, the session key generation unit 24, the data update unit 15, and the encryption process among the units of the management apparatus 10 illustrated in FIG. Unit 16 and common key storage unit 25 may be provided.

ECU50において、セキュアエレメント62は、図1に示すECU50の各部のうち、第1データ記憶部52、第3データ生成部53、データ更新部54及び暗号処理部55を備えてもよい。又は、ECU50において、セキュアエレメント62は、図4に示すECU50の各部のうち、鍵交換鍵記憶部118、カウンタ初期値生成部120、セッション鍵生成部119、セッション鍵記憶部117、データ更新部54、暗号処理部55及び共通鍵記憶部121を備えてもよい。   In the ECU 50, the secure element 62 may include a first data storage unit 52, a third data generation unit 53, a data update unit 54, and an encryption processing unit 55 among the units of the ECU 50 shown in FIG. Alternatively, in the ECU 50, the secure element 62 includes a key exchange key storage unit 118, a counter initial value generation unit 120, a session key generation unit 119, a session key storage unit 117, and a data update unit 54 among the units of the ECU 50 illustrated in FIG. The encryption processing unit 55 and the common key storage unit 121 may be provided.

セキュアエレメントとして、例えば、SIM(Subscriber Identity Module)又はeSIM(Embedded Subscriber Identity Module)を使用してもよい。SIM及びeSIMは、セキュアエレメントであり、耐タンパー性を有する。SIM及びeSIMは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。又は、セキュアエレメントとして、耐タンパー性のある暗号処理チップを使用してもよい。耐タンパー性のある暗号処理チップとして、例えば、HSM(Hardware Security Module)、TPM(Trusted Platform Module)、又はSHE(Secure Hardware Extension)などと呼ばれる暗号処理チップが知られている。   For example, a SIM (Subscriber Identity Module) or an eSIM (Embedded Subscriber Identity Module) may be used as the secure element. SIM and eSIM are secure elements and have tamper resistance. SIM and eSIM are a kind of computer, and a desired function is realized by a computer program. Alternatively, a tamper-resistant cryptographic processing chip may be used as the secure element. As a cryptographic processing chip having tamper resistance, for example, a cryptographic processing chip called HSM (Hardware Security Module), TPM (Trusted Platform Module), or SHE (Secure Hardware Extension) is known.

例えば、ゲートウェイ10aのセキュアエレメント61として、SIM又はeSIMを使用してもよい。この場合、ゲートウェイ10aは、SIM又はeSIMを使用して無線通信を行う通信モジュールを備えてもよい。また、ECU50のセキュアエレメント62として、HSM、TPM又はSHEを使用してもよい。   For example, SIM or eSIM may be used as the secure element 61 of the gateway 10a. In this case, the gateway 10a may include a communication module that performs wireless communication using a SIM or eSIM. Moreover, you may use HSM, TPM, or SHE as the secure element 62 of ECU50.

以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。   As mentioned above, although embodiment of this invention was explained in full detail with reference to drawings, the specific structure is not restricted to this embodiment, The design change etc. of the range which does not deviate from the summary of this invention are included.

例えば、上述の実施形態では、車両として自動車を例に挙げたが、原動機付自転車や鉄道車両等の自動車以外の他の車両にも適用可能である。   For example, in the above-described embodiment, an automobile is taken as an example of a vehicle, but the present invention can also be applied to vehicles other than automobiles such as a motorbike and a railway vehicle.

また、上述した管理装置10、ECU50又はゲートウェイ10aの機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
Further, a computer program for realizing the functions of the management device 10, ECU 50 or gateway 10a described above is recorded on a computer-readable recording medium, and the program recorded on the recording medium is read into a computer system and executed. You may do it. Here, the “computer system” may include an OS and hardware such as peripheral devices.
“Computer-readable recording medium” refers to a flexible disk, a magneto-optical disk, a ROM, a writable nonvolatile memory such as a flash memory, a portable medium such as a DVD (Digital Versatile Disc), and a built-in computer system. A storage device such as a hard disk.

さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
Further, the “computer-readable recording medium” means a volatile memory (for example, DRAM (Dynamic DRAM) in a computer system that becomes a server or a client when a program is transmitted through a network such as the Internet or a communication line such as a telephone line. Random Access Memory)), etc., which hold programs for a certain period of time.
The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.

1…自動車、2…車載制御システム、10…管理装置、10a…ゲートウェイ(管理装置)、11,51…通信部、12,52…第1データ記憶部、13…第2データ生成部、14,53…第3データ生成部、15,54…データ更新部、16,55…暗号処理部、21,118…鍵交換鍵記憶部、22…乱数生成部、23,120…カウンタ初期値生成部、24,119…セッション鍵生成部、25,121…共通鍵記憶部、40…CAN(通信ネットワーク)、50…ECU(車載コンピュータ)、61,62…セキュアエレメント、70…診断ポート、111…送信部、112…受信部、113…フレーム受信処理部、114…MAC(メッセージ認証コード)生成部、115…カウンタ部、116…MAC(メッセージ認証コード)検査部、117…セッション鍵記憶部、200…インフォテイメント機器 DESCRIPTION OF SYMBOLS 1 ... Automobile, 2 ... Vehicle-mounted control system, 10 ... Management apparatus, 10a ... Gateway (management apparatus), 11, 51 ... Communication part, 12, 52 ... 1st data storage part, 13 ... 2nd data generation part, 14, 53, third data generation unit, 15, 54, data update unit, 16, 55, encryption processing unit, 21, 118, key exchange key storage unit, 22 ... random number generation unit, 23, 120 ... counter initial value generation unit, 24, 119 ... session key generation unit, 25, 121 ... common key storage unit, 40 ... CAN (communication network), 50 ... ECU (in-vehicle computer), 61, 62 ... secure element, 70 ... diagnostic port, 111 ... transmission unit , 112 ... reception unit, 113 ... frame reception processing unit, 114 ... MAC (message authentication code) generation unit, 115 ... counter unit, 116 ... MAC (message authentication code)査部, 117 ... the session key storage unit, 200 ... infotainment equipment

Claims (14)

車両に備わる車載制御システムにおいて、
前記車両に備わる通信ネットワークを介してフレームにより通信する管理装置と複数の車載コンピュータを備え、
前記管理装置は、
前記通信ネットワークを介して前記フレームを送受する通信部と、
一つの前記フレームに格納可能なデータ長の上限を超える所定データ長である第1のデータを記憶する第1データ記憶部と、
一つの前記フレームに格納可能なデータ長である第2のデータを生成する第2データ生成部と、
前記第1のデータと前記第2のデータを使用して、複数の前記車載コンピュータで共有される前記所定データ長の第3のデータを生成する第3データ生成部と、を備え、
前記通信部は、前記第2のデータを格納した前記フレームである第2データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信し、
前記車載コンピュータは、
前記通信ネットワークを介して前記フレームを送受する通信部と、
前記第1のデータを記憶する第1データ記憶部と、
自車載コンピュータの前記第1データ記憶部に記憶されている前記第1のデータと自車載コンピュータの前記通信部が前記管理装置から前記通信ネットワークを介して受信した前記第2データ格納フレームに格納されている前記第2のデータとを使用して、前記第3のデータを生成する第3データ生成部と、を備える、
車載制御システム。
In the in-vehicle control system provided in the vehicle,
A management device that communicates with a frame via a communication network provided in the vehicle and a plurality of in-vehicle computers;
The management device
A communication unit that transmits and receives the frame via the communication network;
A first data storage unit for storing first data having a predetermined data length exceeding an upper limit of a data length that can be stored in one frame;
A second data generation unit that generates second data having a data length that can be stored in one frame;
A third data generation unit that generates the third data of the predetermined data length shared by the plurality of in-vehicle computers using the first data and the second data;
The communication unit transmits a second data storage frame, which is the frame storing the second data, to the in-vehicle computer via the communication network;
The in-vehicle computer is
A communication unit that transmits and receives the frame via the communication network;
A first data storage unit for storing the first data;
The first data stored in the first data storage unit of the vehicle-mounted computer and the communication unit of the vehicle-mounted computer are stored in the second data storage frame received from the management device via the communication network. A third data generation unit that generates the third data using the second data.
In-vehicle control system.
前記管理装置の前記通信部は、ブロードキャスト又はマルチキャストにより前記第2データ格納フレームを送信し、
前記車載コンピュータの前記通信部は、ブロードキャスト又はマルチキャストにより前記第2データ格納フレームを受信する、
請求項1に記載の車載制御システム。
The communication unit of the management device transmits the second data storage frame by broadcast or multicast,
The communication unit of the in-vehicle computer receives the second data storage frame by broadcast or multicast;
The in-vehicle control system according to claim 1.
前記車載コンピュータは、前記第3のデータを、前記通信ネットワークを介して行われる通信に関する情報の初期値に使用する、
請求項1又は2のいずれか1項に記載の車載制御システム。
The in-vehicle computer uses the third data as an initial value of information related to communication performed via the communication network.
The vehicle-mounted control system of any one of Claim 1 or 2.
前記通信に関する情報は、前記フレームについてのカウンタ値である、
請求項3に記載の車載制御システム。
The information related to the communication is a counter value for the frame.
The in-vehicle control system according to claim 3.
前記カウンタ値は、前記通信ネットワークを介して交換されるメッセージについてのメッセージ認証コードの生成に使用される、
請求項4に記載の車載制御システム。
The counter value is used to generate a message authentication code for messages exchanged over the communication network.
The in-vehicle control system according to claim 4.
前記車載コンピュータは、前記第3のデータを、前記通信ネットワークを介して行われる通信に使用される鍵に使用する、
請求項1又は2のいずれか1項に記載の車載制御システム。
The in-vehicle computer uses the third data as a key used for communication performed via the communication network.
The vehicle-mounted control system of any one of Claim 1 or 2.
前記管理装置は、
所定のタイミングで前記第1のデータを変更するデータ更新部と、
該変更後の前記第1のデータを前記管理装置と前記車載コンピュータで共有される第1の鍵で暗号化する暗号処理部と、を備え、
前記管理装置の前記通信部は、該暗号化の結果である第1暗号化データを格納した前記フレームである第1暗号化データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信し、
前記車載コンピュータは、
自車載コンピュータの前記通信部が前記管理装置から前記通信ネットワークを介して受信した前記第1暗号化データ格納フレームに格納されている前記第1暗号化データを前記第1の鍵で復号する暗号処理部と、
該復号の結果により自車載コンピュータの前記第1のデータを更新するデータ更新部と、を備える、
請求項1から6のいずれか1項に記載の車載制御システム。
The management device
A data update unit for changing the first data at a predetermined timing;
An encryption processor that encrypts the first data after the change with a first key shared by the management device and the in-vehicle computer,
The communication unit of the management device transmits a first encrypted data storage frame, which is the frame storing the first encrypted data as a result of the encryption, to the in-vehicle computer via the communication network,
The in-vehicle computer is
Cryptographic processing for decrypting the first encrypted data stored in the first encrypted data storage frame received by the communication unit of the in-vehicle computer from the management device via the communication network with the first key. And
A data update unit that updates the first data of the in-vehicle computer according to the result of the decoding,
The in-vehicle control system according to any one of claims 1 to 6.
前記管理装置の前記データ更新部は、所定のタイミングで前記第1の鍵を変更し、
前記管理装置の前記暗号処理部は、該変更後の前記第1の鍵を前記管理装置と前記車載コンピュータで共有される第2の鍵で暗号化し、
前記管理装置の前記通信部は、該暗号化の結果である第2暗号化データを格納した前記フレームである第2暗号化データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信し、
前記車載コンピュータの前記暗号処理部は、自車載コンピュータの前記通信部が前記管理装置から前記通信ネットワークを介して受信した前記第2暗号化データ格納フレームに格納されている前記第2暗号化データを前記第2の鍵で復号し、
前記車載コンピュータの前記データ更新部は、該復号の結果により自車載コンピュータの前記第1の鍵を更新する、
請求項7に記載の車載制御システム。
The data update unit of the management device changes the first key at a predetermined timing,
The encryption processing unit of the management device encrypts the changed first key with a second key shared by the management device and the in-vehicle computer,
The communication unit of the management device transmits a second encrypted data storage frame, which is the frame storing the second encrypted data as a result of the encryption, to the in-vehicle computer via the communication network,
The encryption processing unit of the in-vehicle computer stores the second encrypted data stored in the second encrypted data storage frame received by the communication unit of the in-vehicle computer from the management device via the communication network. Decrypt with the second key,
The data updating unit of the in-vehicle computer updates the first key of the in-vehicle computer with the result of the decryption,
The in-vehicle control system according to claim 7.
請求項1から8のいずれか1項に記載の車載制御システムを備える車両。   A vehicle provided with the vehicle-mounted control system of any one of Claim 1 to 8. 車両に備わる通信ネットワークを介してフレームにより通信する管理装置と複数の車載コンピュータを備える前記車両に備わる車載制御システムの前記管理装置において、
前記通信ネットワークを介して前記フレームを送受する通信部と、
一つの前記フレームに格納可能なデータ長の上限を超える所定データ長のデータであって前記管理装置と前記車載コンピュータで共有される第1のデータを記憶する第1データ記憶部と、
一つの前記フレームに格納可能なデータ長である第2のデータを生成する第2データ生成部と、
前記第1のデータと前記第2のデータを使用して、複数の前記車載コンピュータで共有される前記所定データ長の第3のデータを生成する第3データ生成部と、を備え、
前記通信部は、前記第2のデータを格納した前記フレームである第2データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信する、
管理装置。
In the management device of the in-vehicle control system provided in the vehicle including a management device that communicates by a frame via a communication network provided in the vehicle and a plurality of in-vehicle computers,
A communication unit that transmits and receives the frame via the communication network;
A first data storage unit that stores data having a predetermined data length that exceeds an upper limit of a data length that can be stored in one frame and is shared by the management device and the in-vehicle computer;
A second data generation unit that generates second data having a data length that can be stored in one frame;
A third data generation unit that generates the third data of the predetermined data length shared by the plurality of in-vehicle computers using the first data and the second data;
The communication unit transmits a second data storage frame, which is the frame storing the second data, to the in-vehicle computer via the communication network.
Management device.
車両に備わる通信ネットワークを介してフレームにより通信する管理装置と複数の車載コンピュータを備える前記車両に備わる車載制御システムの前記車載コンピュータにおいて、
前記通信ネットワークを介して前記フレームを送受する通信部と、
一つの前記フレームに格納可能なデータ長の上限を超える所定データ長のデータであって前記管理装置と前記車載コンピュータで共有される第1のデータを記憶する第1データ記憶部と、
前記第1データ記憶部に記憶されている前記第1のデータと前記通信部が前記管理装置から前記通信ネットワークを介して受信した前記フレームであって一つの前記フレームに格納可能なデータ長である第2のデータを格納した第2データ格納フレームに格納されている前記第2のデータとを使用して、複数の前記車載コンピュータで共有される前記所定データ長の第3のデータを生成する第3データ生成部と、
を備える車載コンピュータ。
In the in-vehicle computer of the in-vehicle control system provided in the vehicle including a management device that communicates by a frame via a communication network provided in the vehicle and a plurality of in-vehicle computers,
A communication unit that transmits and receives the frame via the communication network;
A first data storage unit that stores data having a predetermined data length that exceeds an upper limit of a data length that can be stored in one frame and is shared by the management device and the in-vehicle computer;
The first data stored in the first data storage unit and the communication unit receive the frame from the management device via the communication network and have a data length that can be stored in one frame. The second data stored in the second data storage frame storing the second data is used to generate the third data having the predetermined data length shared by the plurality of in-vehicle computers. 3 data generators;
In-vehicle computer equipped with.
車両に備わる通信ネットワークを介してフレームにより通信する管理装置と複数の車載コンピュータを備える前記車両に備わる車載制御システムのデータ共有方法において、
前記管理装置が、一つの前記フレームに格納可能なデータ長の上限を超える所定データ長である第1のデータを記憶する第1データ記憶ステップと、
前記管理装置が、一つの前記フレームに格納可能なデータ長である第2のデータを生成する第2データ生成ステップと、
前記管理装置が、前記第2のデータを格納した前記フレームである第2データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信する送信ステップと、
前記管理装置が、前記第1のデータと前記第2のデータを使用して、複数の前記車載コンピュータで共有される前記所定データ長の第3のデータを生成する第3データ生成ステップと、
前記車載コンピュータが、前記第1のデータを記憶する第2の第1データ記憶ステップと、
前記車載コンピュータが、前記管理装置から前記通信ネットワークを介して前記第2データ格納フレームを受信する受信ステップと、
前記車載コンピュータが、前記第2の第1データ記憶ステップで記憶した前記第1のデータと前記受信ステップで受信した前記第2データ格納フレームに格納されている前記第2のデータとを使用して、前記第3のデータを生成する第2の第3データ生成ステップと、
を含むデータ共有方法。
In the data sharing method of the in-vehicle control system provided in the vehicle including a management device that communicates by a frame via a communication network provided in the vehicle and a plurality of in-vehicle computers,
A first data storage step in which the management device stores first data having a predetermined data length exceeding an upper limit of a data length that can be stored in one frame;
A second data generation step in which the management device generates second data having a data length that can be stored in one frame;
A transmission step in which the management device transmits a second data storage frame, which is the frame storing the second data, to the in-vehicle computer via the communication network;
A third data generation step in which the management device generates third data of the predetermined data length shared by the plurality of in-vehicle computers using the first data and the second data;
A second first data storing step in which the in-vehicle computer stores the first data;
A receiving step in which the in-vehicle computer receives the second data storage frame from the management device via the communication network;
The in-vehicle computer uses the first data stored in the second first data storage step and the second data stored in the second data storage frame received in the reception step. A second third data generating step for generating the third data;
Data sharing method.
車両に備わる通信ネットワークを介してフレームにより通信する管理装置と複数の車載コンピュータを備える前記車両に備わる車載制御システムの前記管理装置のコンピュータに、
一つの前記フレームに格納可能なデータ長の上限を超える所定データ長のデータであって前記管理装置と前記車載コンピュータで共有される第1のデータを記憶する第1データ記憶機能と、
一つの前記フレームに格納可能なデータ長である第2のデータを生成する第2データ生成機能と、
前記第2のデータを格納した前記フレームである第2データ格納フレームを、前記通信ネットワークを介して前記車載コンピュータへ送信する通信機能と、
前記第1のデータと前記第2のデータを使用して、複数の前記車載コンピュータで共有される前記所定データ長の第3のデータを生成する第3データ生成機能と、
を実現させるためのコンピュータプログラム。
In the computer of the management device of the in-vehicle control system provided in the vehicle including a management device and a plurality of in-vehicle computers that communicate with each other through a communication network provided in the vehicle,
A first data storage function that stores data having a predetermined data length that exceeds an upper limit of a data length that can be stored in one frame and is shared by the management device and the in-vehicle computer;
A second data generation function for generating second data having a data length that can be stored in one frame;
A communication function for transmitting a second data storage frame, which is the frame storing the second data, to the in-vehicle computer via the communication network;
Using the first data and the second data, a third data generation function for generating third data of the predetermined data length shared by the plurality of in-vehicle computers;
Computer program for realizing.
車両に備わる通信ネットワークを介してフレームにより通信する管理装置と複数の車載コンピュータを備える前記車両に備わる車載制御システムの前記車載コンピュータに、
一つの前記フレームに格納可能なデータ長の上限を超える所定データ長のデータであって前記管理装置と前記車載コンピュータで共有される第1のデータを記憶する第1データ記憶機能と、
一つの前記フレームに格納可能なデータ長である第2のデータを格納した前記フレームである第2データ格納フレームを前記管理装置から前記通信ネットワークを介して受信する通信機能と、
前記第1データ記憶機能により記憶されている前記第1のデータと前記通信機能により受信した前記第2データ格納フレームに格納されている前記第2のデータとを使用して、複数の前記車載コンピュータで共有される前記所定データ長の第3のデータを生成する第3データ生成機能と、
を実現させるためのコンピュータプログラム。
In the in-vehicle computer of the in-vehicle control system provided in the vehicle including a management device and a plurality of in-vehicle computers that communicate by a frame via a communication network provided in the vehicle,
A first data storage function that stores data having a predetermined data length that exceeds an upper limit of a data length that can be stored in one frame and is shared by the management device and the in-vehicle computer;
A communication function for receiving a second data storage frame, which is the frame storing second data having a data length that can be stored in one frame, from the management device via the communication network;
A plurality of the in-vehicle computers using the first data stored by the first data storage function and the second data stored in the second data storage frame received by the communication function A third data generation function for generating third data of the predetermined data length shared by
Computer program for realizing.
JP2015183971A 2015-09-17 2015-09-17 In-vehicle control system, vehicle, management device, in-vehicle computer, data sharing method, and computer program Expired - Fee Related JP6203798B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015183971A JP6203798B2 (en) 2015-09-17 2015-09-17 In-vehicle control system, vehicle, management device, in-vehicle computer, data sharing method, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015183971A JP6203798B2 (en) 2015-09-17 2015-09-17 In-vehicle control system, vehicle, management device, in-vehicle computer, data sharing method, and computer program

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2017165924A Division JP2017225186A (en) 2017-08-30 2017-08-30 On-vehicle control system, vehicle, management device, on-vehicle computer, data sharing method, and computer program

Publications (2)

Publication Number Publication Date
JP2017060031A JP2017060031A (en) 2017-03-23
JP6203798B2 true JP6203798B2 (en) 2017-09-27

Family

ID=58390712

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015183971A Expired - Fee Related JP6203798B2 (en) 2015-09-17 2015-09-17 In-vehicle control system, vehicle, management device, in-vehicle computer, data sharing method, and computer program

Country Status (1)

Country Link
JP (1) JP6203798B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6728799B2 (en) * 2016-03-11 2020-07-22 日本電気株式会社 Cryptographic communication system, cryptographic communication method, security chip, communication device, control method thereof, and control program
JP6754325B2 (en) 2017-06-20 2020-09-09 国立大学法人東海国立大学機構 Authentication method for in-vehicle authentication system, in-vehicle authentication device, computer program and communication device
JP6948961B2 (en) * 2018-02-09 2021-10-13 Kddi株式会社 Communication system and communication method

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2831650B2 (en) * 1988-05-06 1998-12-02 日本放送協会 Signal scramble transmission system and device
JPH10301492A (en) * 1997-04-23 1998-11-13 Sony Corp Encryption apparatus and method, decryption apparatus and method, and information processing apparatus and method
EP2122969A1 (en) * 2007-03-16 2009-11-25 Telefonaktiebolaget LM Ericsson (PUBL) Securing ip traffic
JP2013048374A (en) * 2011-08-29 2013-03-07 Toyota Motor Corp Protection communication method
DE102013206185A1 (en) * 2013-04-09 2014-10-09 Robert Bosch Gmbh Method for detecting a manipulation of a sensor and / or sensor data of the sensor

Also Published As

Publication number Publication date
JP2017060031A (en) 2017-03-23

Similar Documents

Publication Publication Date Title
US10419220B2 (en) Management device, key generating device, vehicle, maintenance tool, management system, management method, and computer program
JP6260064B2 (en) Communication network system and vehicle
US11212087B2 (en) Management system, key generation device, in-vehicle computer, management method, and computer program
US11265170B2 (en) Vehicle information collection system, vehicle-mounted computer, vehicle information collection device, vehicle information collection method, and computer program
JP6288219B1 (en) Communications system
US20190245691A1 (en) Reuse system, key generation device, data security device, in-vehicle computer, reuse method, and computer program
US10970398B2 (en) Data provision system, data security device, data provision method, and computer program
JP6625293B2 (en) Key management device and communication equipment
JP2017188959A (en) Management system, management apparatus, management method, and computer program
JP6547180B2 (en) Communications system
US11570008B2 (en) Pseudonym credential configuration method and apparatus
JP6203798B2 (en) In-vehicle control system, vehicle, management device, in-vehicle computer, data sharing method, and computer program
JP6606809B2 (en) Communication network system and vehicle
CN114793184B (en) Security chip communication method and device based on third-party key management node
JP2018057044A (en) Vehicle information collection system, data security device, vehicle information collection device, vehicle information collection method, and computer program
JP2017225186A (en) On-vehicle control system, vehicle, management device, on-vehicle computer, data sharing method, and computer program
JP6464466B2 (en) Maintenance device, maintenance method, and computer program
JP6554704B2 (en) Data providing system and data providing method
JP2019050545A (en) Key distribution system, key distribution apparatus, and key distribution method
JP2017208731A (en) Management system, management apparatus, in-vehicle computer, management method, and computer program
JP2018113641A (en) Communication system, vehicle, server device, communication method, and computer program
JP2019029847A (en) Communication system and communication method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20170220

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170509

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170706

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20170707

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170801

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170830

R150 Certificate of patent or registration of utility model

Ref document number: 6203798

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees