Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6977635B2 - Vehicle key distribution system and general purpose scanning tool - Google Patents
[go: Go Back, main page]

JP6977635B2 - Vehicle key distribution system and general purpose scanning tool - Google Patents

Vehicle key distribution system and general purpose scanning tool Download PDF

Info

Publication number
JP6977635B2
JP6977635B2 JP2018047525A JP2018047525A JP6977635B2 JP 6977635 B2 JP6977635 B2 JP 6977635B2 JP 2018047525 A JP2018047525 A JP 2018047525A JP 2018047525 A JP2018047525 A JP 2018047525A JP 6977635 B2 JP6977635 B2 JP 6977635B2
Authority
JP
Japan
Prior art keywords
general
vehicle
scan tool
certificate
purpose scan
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018047525A
Other languages
Japanese (ja)
Other versions
JP2019161521A (en
Inventor
嘉浩 西野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2018047525A priority Critical patent/JP6977635B2/en
Publication of JP2019161521A publication Critical patent/JP2019161521A/en
Application granted granted Critical
Publication of JP6977635B2 publication Critical patent/JP6977635B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は,車両の診断に用いる装置であるスキャンツールに係る発明である。 The present invention relates to a scan tool, which is a device used for diagnosing a vehicle.

車両(自動車)の電子制御化が進み,電子制御で利用するマイクロコンピュータであるECU(Electronic Control Unit)が車両に搭載されるようになった。車両に搭載されるECUは一つではなく,ハイブリット車など,高度な電子制御を必要とする車両には100個を超えるECUが搭載される。 Electronic control of vehicles (automobiles) has progressed, and ECUs (Electronic Control Units), which are microcomputers used for electronic control, are now installed in vehicles. The number of ECUs mounted on the vehicle is not one, and more than 100 ECUs are mounted on vehicles that require advanced electronic control, such as hybrid vehicles.

車両に搭載されたECUは車外からアクセスできるように構成されている。V2X(Vehicle to Everything)に係る分野では,車外から車両のECUにアクセスする装置として,他の車両や,道路に設置されたインフラ設備(信号機,道路標識)などが想定されているが,車両に搭載されたECUへ車外からアクセスする装置としてはスキャンツールが有名である。 The ECU mounted on the vehicle is configured to be accessible from outside the vehicle. In the field related to V2X (Vehicle to Everything), other vehicles and infrastructure equipment (traffic signals, road signs) installed on the road are assumed as devices for accessing the ECU of the vehicle from outside the vehicle. The scan tool is famous as a device for accessing the mounted ECU from outside the vehicle.

スキャンツールとは,車両に設けられた診断用ポートを介してECUと通信し,ECUから車両情報(例えば,故障コード)を読出す電子機器である。スキャンツールには,特定の車両メーカの車両にのみ対応した専用スキャンツールもあるが,現在,複数の車両メーカに対応した汎用スキャンツールの普及が進められている。 The scan tool is an electronic device that communicates with the ECU via a diagnostic port provided in the vehicle and reads vehicle information (for example, a failure code) from the ECU. Some scan tools are dedicated scan tools that are compatible only with vehicles of a specific vehicle manufacturer, but at present, general-purpose scan tools that are compatible with multiple vehicle manufacturers are becoming widespread.

車両に設けられた診断用ポートを利用したECUへの不正アクセスは,ECUに対する脅威(他のECUのなりすまし,不正な書き換え等)になるため,特許文献1で開示されている発明に記載があるように,ECUは,暗号鍵である車両鍵を利用した認証機能(アクセス認証やメッセージ認証)を有している。 Unauthorized access to the ECU using the diagnostic port provided in the vehicle poses a threat to the ECU (impersonation of another ECU, unauthorized rewriting, etc.), and therefore is described in the invention disclosed in Patent Document 1. As described above, the ECU has an authentication function (access authentication and message authentication) using a vehicle key which is an encryption key.

このように,ECUへの不正アクセスを防止する技術については,上述した特許文献1も含め,様々な発明が開示されているが,ECUにアクセスするスキャンツールに対するセキュリティ対策についてはほとんど講じられていないのが現状である。 As described above, various inventions including the above-mentioned Patent Document 1 have been disclosed as a technique for preventing unauthorized access to the ECU, but almost no security measures have been taken for the scan tool for accessing the ECU. is the current situation.

特に,汎用スキャンツールの場合,複数の車両鍵を汎用スキャンツールに配信しなければならず,車両メーカごとに異なる複数の車両鍵を汎用スキャンツールにセキュアに配信できるスキームが必要になる。 In particular, in the case of a general-purpose scan tool, multiple vehicle keys must be distributed to the general-purpose scan tool, and a scheme that can securely distribute multiple vehicle keys that differ for each vehicle manufacturer to the general-purpose scan tool is required.

特開2013−98719号公報Japanese Unexamined Patent Publication No. 2013-98719

そこで,本発明は,車両メーカごとに異なる複数の車両鍵を汎用スキャンツールにセキュアに配信できるシステムと,このシステムで必要となる汎用スキャンツールを提供する。 Therefore, the present invention provides a system capable of securely distributing a plurality of vehicle keys different for each vehicle manufacturer to a general-purpose scan tool, and a general-purpose scan tool required for this system.

上述した課題を解決する第1発明に係る車両鍵配信システムは,車両メーカ証明書を複数の車両メーカごとに記憶している管理サーバと,車両メーカの車両に搭載したECUへアクセスするための車両鍵を記憶している車両メーカサーバと,セキュアエレメントを実装している汎用スキャンツールを備えるシステムである。
第1発明に係る前記管理サーバは,前記管理サーバが記憶している管理サーバ証明書と,前記汎用スキャンツールから受信した汎用スキャンツール証明書および前記汎用スキャンツール証明書に対する署名データを利用して,前記汎用スキャンツールと相互認証し,前記汎用スキャンツールとの間でセッション鍵により通信内容を暗号化するセキュアな通信セッションを確立する手段を備える。
第1発明に係る前記車両メーカサーバは,前記汎用スキャンツールに記憶させた前記車両メーカ証明書と,前記汎用スキャンツールから受信した汎用スキャンツール証明書および前記汎用スキャンツール証明書に対する署名データを利用して,前記汎用スキャンツールと相互認証し,前記汎用スキャンツールとの間で前記通信セッションを確立する手段を備える。
第1発明に係る前記セキュアエレメントは,前記汎用スキャンツール証明書に記された公開鍵と対になる秘密鍵を記憶し,この秘密鍵を用いて,前記汎用スキャンツール証明書に対する署名データを生成する機能を備える。
第1発明に係る前記汎用スキャンツールは,前記管理サーバから受信した前記管理サーバ証明書と,前記汎用スキャンツール証明書と前記セキュアエレメントに生成させた前記汎用スキャンツール証明書に対する署名データを利用して,前記管理サーバと相互認証し,前記管理サーバとの間で前記通信セッションを確立する管理サーバ用通信手段と,前記セキュアな通信セッションを確立した前記管理サーバから前記車両メーカ証明書を取得して,前記車両メーカ証明書を前記セキュアエレメントに登録する手段と,前記セキュアエレメントから読み出した前記車両メーカ証明書と,前記汎用スキャンツール証明書および前記セキュアエレメントに生成させた前記汎用スキャンツール証明書に対する署名データを利用して,前記車両メーカサーバと相互認証し,前記車両メーカサーバとの間で前記セキュアな通信セッションを確立する車両メーカサーバ用通信手段と,前記セキュアな通信セッションを確立した前記車両メーカサーバから前記車両鍵を取得して前記セキュアエレメントに登録する手段を備える。
第1発明に係る車両鍵配信システムによれば,前記汎用スキャンツールが,複数の前記車両メーカ証明書を前記管理サーバから取得し,複数の前記車両メーカサーバにアクセスして複数の前記車両鍵を取得することで,前記汎用スキャンツールに複数の車両メーカに係る前記車両鍵を配信できる。
また,第1発明に係る車両鍵配信システムでは,セキュリティを高めるために,前記汎用スキャンツールと前記管理サーバの間,ならびに,前記汎用スキャンツールと前記車両メーカサーバの間で,セッション鍵により通信内容を暗号化する前記セキュアな通信セッションを確立することで,通信内容の盗聴や改ざんを防止できるようにしている。
また,第1発明に係る車両鍵配信システムでは,セキュリティを高めるために,前記汎用スキャンツールと前記管理サーバ,ならびに,前記汎用スキャンツールと前記車両メーカサーバがそれぞれ相互認証を行うことで,通信相手が本物であるか否かを確認できるようにしている。
更に,第1発明に係る車両鍵配信システムでは,セキュリティを高めるために,前記汎用スキャンツール証明書に対する署名データの生成を前記セキュアエレメントの内部で行うことで,前記汎用スキャンツール証明書に対する署名データの生成に用いる秘密鍵が外部に漏えいするのを防止している。
The vehicle key distribution system according to the first invention that solves the above-mentioned problems is a vehicle for accessing a management server that stores a vehicle manufacturer certificate for each of a plurality of vehicle manufacturers and an ECU mounted on the vehicle of the vehicle manufacturer. It is a system equipped with a vehicle manufacturer server that stores the key and a general-purpose scan tool that implements a secure element.
The management server according to the first invention uses the management server certificate stored in the management server, the general-purpose scan tool certificate received from the general-purpose scan tool, and the signature data for the general-purpose scan tool certificate. A means for establishing a secure communication session in which mutual authentication is performed with the general-purpose scan tool and the communication content is encrypted with the session key with the general-purpose scan tool.
The vehicle maker server according to the first invention uses the vehicle maker certificate stored in the general-purpose scan tool, the general-purpose scan tool certificate received from the general-purpose scan tool, and the signature data for the general-purpose scan tool certificate. Then, mutual authentication is provided with the general-purpose scan tool, and a means for establishing the communication session with the general-purpose scan tool is provided.
The secure element according to the first invention stores a private key paired with a public key written in the general-purpose scan tool certificate, and uses this private key to generate signature data for the general-purpose scan tool certificate. It has a function to do.
The general-purpose scan tool according to the first invention uses the signature data for the management server certificate received from the management server, the general-purpose scan tool certificate, and the general-purpose scan tool certificate generated in the secure element. Then, the vehicle maker certificate is obtained from the management server communication means that mutually authenticates with the management server and establishes the communication session with the management server, and the management server that establishes the secure communication session. The means for registering the vehicle maker certificate in the secure element, the vehicle maker certificate read from the secure element, the general-purpose scan tool certificate, and the general-purpose scan tool certificate generated in the secure element. The communication means for the vehicle maker server that mutually authenticates with the vehicle maker server and establishes the secure communication session with the vehicle maker server, and the secure communication session is established. A means for acquiring the vehicle key from the vehicle maker server and registering the vehicle key in the secure element is provided.
According to the vehicle key distribution system according to the first invention, the general-purpose scan tool acquires a plurality of the vehicle maker certificates from the management server, accesses the plurality of the vehicle maker servers, and obtains the plurality of the vehicle keys. By acquiring the key, the vehicle key related to a plurality of vehicle manufacturers can be distributed to the general-purpose scan tool.
Further, in the vehicle key distribution system according to the first invention, in order to enhance security, communication contents are used between the general-purpose scan tool and the management server, and between the general-purpose scan tool and the vehicle maker server by a session key. By establishing the secure communication session that encrypts the communication contents, it is possible to prevent eavesdropping and falsification of the communication contents.
Further, in the vehicle key distribution system according to the first invention, in order to enhance security, the general-purpose scan tool and the management server, and the general-purpose scan tool and the vehicle maker server perform mutual authentication, respectively, to communicate with each other. Is made it possible to confirm whether or not the product is genuine.
Further, in the vehicle key distribution system according to the first invention, in order to enhance security, the signature data for the general-purpose scan tool certificate is generated inside the secure element, so that the signature data for the general-purpose scan tool certificate is generated. It prevents the private key used to generate the data from leaking to the outside.

更に,第2発明は,第1発明において,前記汎用スキャンツールが備える車両メーカサーバ用通信手段は,前記セキュアな通信セッションで用いるセッション鍵が,前記セキュアな通信セッションを確立するごとに使い捨てされるように,前記車両メーカサーバとの間で前記セキュアな通信セッションを確立することを特徴とする。前記車両鍵は,車両に搭載したECUへアクセスするための重要なデータになるので,過去に利用したセッション鍵を再利用しないことが好適である。 Further, in the second invention, in the first invention, in the vehicle maker server communication means provided in the general-purpose scan tool, the session key used in the secure communication session is discarded every time the secure communication session is established. As described above, it is characterized in that the secure communication session is established with the vehicle maker server. Since the vehicle key is important data for accessing the ECU mounted on the vehicle, it is preferable not to reuse the session key used in the past.

更に,第3発明は,第1発明または第2発明において,前記汎用スキャンツールに実装する前記セキュアエレメントをSIMとしたことを特徴とする。前記汎用スキャンツールから前記セキュアエレメントを着脱できるようにすることで,車両の診断内容に合わせて,車両の診断内容に適した前記汎用スキャンツールを利用できるようになる。 Further, the third invention is characterized in that, in the first invention or the second invention, the secure element mounted on the general-purpose scan tool is a SIM. By making the secure element detachable from the general-purpose scan tool, the general-purpose scan tool suitable for the diagnosis content of the vehicle can be used according to the diagnosis content of the vehicle.

上述した課題を解決する第4発明は,セキュアエレメントを実装した汎用スキャンツールである。
第4発明に係る前記セキュアエレメントは,汎用スキャンツール証明書に記された公開鍵と対になる秘密鍵を記憶し,この秘密鍵を用いて,前記汎用スキャンツール証明書に対する署名データを生成するコマンドを備える。
第4発明に係る前記汎用スキャンツールは,車両メーカ証明書を複数の車両メーカごとに記憶している管理サーバから受信した管理サーバ証明書と,汎用スキャンツール証明書および前記セキュアエレメントに生成させた前記汎用スキャンツール証明書に対する署名データを利用して,前記汎用スキャンツールと相互認証し,前記管理サーバとの間でセッション鍵により通信内容を暗号化するセキュアな通信セッションを確立する管理サーバ用通信手段と,前記セキュアな通信セッションを確立した前記管理サーバから前記車両メーカ証明書を取得して,前記車両メーカ証明書を前記セキュアエレメントに登録する手段と,前記セキュアエレメントから読み出した前記車両メーカ証明書と,前記汎用スキャンツール証明書および前記セキュアエレメントに生成させた前記汎用スキャンツール証明書に対する署名データを利用して,車両メーカの車両に搭載したECUへアクセスするための車両鍵を記憶し,前記車両メーカ証明書に対応する車両メーカサーバと相互認証し,前記車両メーカサーバとの間で前記セキュアな通信セッションを確立する車両メーカサーバ用通信手段と,前記セキュアな通信セッションを確立した前記車両メーカサーバから,前記車両メーカサーバに対応する車両メーカが販売している車両に搭載したECUへアクセスするための暗号鍵である車両鍵を取得して前記セキュアエレメントに登録する手段を備える。
第4発明は,第1発明に記載した車両鍵配信システムで必要な汎用スキャンツールに係る発明である。
The fourth invention that solves the above-mentioned problems is a general-purpose scanning tool that implements a secure element.
The secure element according to the fourth invention stores a private key paired with a public key written in a general-purpose scan tool certificate, and uses this private key to generate signature data for the general-purpose scan tool certificate. Equipped with commands.
The general-purpose scan tool according to the fourth invention is generated by a management server certificate received from a management server that stores vehicle maker certificates for each of a plurality of vehicle manufacturers, a general-purpose scan tool certificate, and the secure element. Communication for the management server that establishes a secure communication session that mutually authenticates with the general-purpose scan tool using the signature data for the general-purpose scan tool certificate and encrypts the communication content with the management server using the session key. Means, means for acquiring the vehicle maker certificate from the management server that has established the secure communication session, and registering the vehicle maker certificate in the secure element, and the vehicle maker certificate read from the secure element. The vehicle key for accessing the ECU mounted on the vehicle of the vehicle manufacturer is stored by using the document and the signature data for the general-purpose scan tool certificate and the general-purpose scan tool certificate generated in the secure element. The vehicle maker server communication means that mutually authenticates with the vehicle maker server corresponding to the vehicle maker certificate and establishes the secure communication session with the vehicle maker server, and the vehicle that establishes the secure communication session. A means for acquiring a vehicle key, which is an encryption key for accessing an ECU mounted on a vehicle sold by a vehicle maker corresponding to the vehicle maker server, from the maker server and registering the vehicle key in the secure element is provided.
The fourth invention is an invention relating to a general-purpose scan tool required for the vehicle key distribution system described in the first invention.

更に,第5発明は,第4発明において,前記汎用スキャンツールが備える車両メーカサーバ用通信手段は,前記セキュアな通信セッションで用いるセッション鍵が,前記セキュアな通信セッションを確立するごとに使い捨てされるように,前記車両メーカサーバとの間で前記セキュアな通信セッションを確立することを特徴とする。第5発明は,第2発明に記載した車両鍵配信システムで必要な汎用スキャンツールに係る発明である。 Further, in the fifth invention, in the fourth invention, the vehicle maker server communication means included in the general-purpose scan tool is thrown away every time the session key used in the secure communication session is established. As described above, it is characterized in that the secure communication session is established with the vehicle maker server. The fifth invention is an invention relating to a general-purpose scan tool required for the vehicle key distribution system described in the second invention.

更に,第6発明は,第5発明または第6発明において,前記汎用スキャンツールに実装する前記セキュアエレメントをSIMとしたことを特徴とする。第6発明は,第3発明に記載した車両鍵配信システムで必要な汎用スキャンツールに係る発明である。 Further, the sixth invention is characterized in that, in the fifth or sixth invention, the secure element mounted on the general-purpose scan tool is a SIM. The sixth invention is an invention relating to a general-purpose scan tool required for the vehicle key distribution system described in the third invention.

上述した発明によれば,車両メーカごとに異なる複数の車両鍵を汎用スキャンツールにセキュアに配信できるシステムと,このシステムで必要となる汎用スキャンツールを提供できる。 According to the above-mentioned invention, it is possible to provide a system capable of securely distributing a plurality of vehicle keys different for each vehicle manufacturer to a general-purpose scan tool, and a general-purpose scan tool required for this system.

本実施形態に係る車両鍵配信システムの構成を説明する図。The figure explaining the structure of the vehicle key distribution system which concerns on this embodiment. 車両メーカサーバを説明する図。The figure explaining the vehicle maker server. 管理サーバを説明する図。The figure explaining the management server. 汎用スキャンツールのブロック図。Block diagram of a general-purpose scan tool. 車両鍵配信システムで実行される処理を説明する図。The figure explaining the process executed by the vehicle key distribution system. TLS(Transport Layer Security)の手順を説明する図。The figure explaining the procedure of TLS (Transport Layer Security). 汎用スキャンツールが備える自己診断手段の動作を説明する図。The figure explaining the operation of the self-diagnosis means provided in the general-purpose scan tool.

ここから,本発明の好適な実施形態を記載する。なお,以下の記載は本発明の技術的範囲を束縛するものでなく,本発明の理解を助けるために記述するものである。 From here, suitable embodiments of the present invention will be described. It should be noted that the following description does not constrain the technical scope of the present invention, but is described to assist the understanding of the present invention.

図1は,本実施形態に係る車両鍵配信システム1の構成を説明する図である。図1で図示した車両鍵配信システム1は,車両6の診断に用いる装置で複数の車両メーカに対応している汎用スキャンツール2にセキュアエレメントとしてSIM3(Subscriber Identity Module)を実装させ,車両6の診断に必要な暗号鍵である車両鍵61を汎用スキャンツール2を配信し,汎用スキャンツール2のSIM3にセキュアに登録できるように発案されたシステムである。 FIG. 1 is a diagram illustrating a configuration of a vehicle key distribution system 1 according to the present embodiment. The vehicle key distribution system 1 illustrated in FIG. 1 is a device used for diagnosing a vehicle 6 and has a SIM 3 (Subscriber Identity Module) mounted as a secure element on a general-purpose scan tool 2 compatible with a plurality of vehicle manufacturers. This system was devised so that the vehicle key 61, which is an encryption key required for diagnosis, can be distributed to the general-purpose scan tool 2 and securely registered in the SIM 3 of the general-purpose scan tool 2.

本実施形態では,汎用スキャンツール2に実装するセキュアエレメントをSIM3としているが,汎用スキャンツール2に実装するセキュアエレメントの形態はSIM3に限定されない。セキュアエレメントの形態としては,SIM3以外に,組み込み型のSIM3であるeSIM(Embedded SIM),セキュリティ関連に係る暗号演算機能を提供するように設計されたマイクロチップであるTPM(Trusted Platform Module),および,セキュリティ関連に係る暗号演算機能を提供するように設計されたデバイスであるHSM(Hardware Security Module)やHSMよりも構成が簡素なSHE(Secure Hardware Extension)などもあるが,汎用スキャンツール2に実装するセキュアエレメントの形態としては,汎用スキャンツール2からの取り外しが容易なSIM3が好適である。 In the present embodiment, the secure element mounted on the general-purpose scan tool 2 is SIM3, but the form of the secure element mounted on the general-purpose scan tool 2 is not limited to SIM3. In addition to SIM3, the secure element includes eSIM (Embedded SIM), which is a built-in SIM3, TPM (Trusted Platform Module), which is a microchip designed to provide security-related cryptographic calculation functions, and There are also HSM (Hardware Security Module), which is a device designed to provide cryptographic calculation functions related to security, and SHE (Secure Hardware Extension), which has a simpler configuration than HSM, but it is implemented in general-purpose scan tool 2. As the form of the secure element, SIM 3 which can be easily removed from the general-purpose scan tool 2 is suitable.

図1で図示したように,実施形態に係る車両鍵配信システム1は,セキュアエレメントとしてSIM3を実装した汎用スキャンツール2と,ネットワーク7に接続しているサーバとして,自社が販売している車両6に搭載したECU60へのアクセスに必要な暗号鍵である車両鍵61を記憶している車両メーカサーバ5と,車両メーカサーバ5のサーバ公開鍵が記された公開鍵証明書である車両メーカ証明書55を車両メーカごとに記憶している管理サーバ4を備える。 As illustrated in FIG. 1, the vehicle key distribution system 1 according to the embodiment is a general-purpose scan tool 2 having SIM3 mounted as a secure element, and a vehicle 6 sold by the company as a server connected to the network 7. The vehicle maker server 5 that stores the vehicle key 61 that is the encryption key required to access the ECU 60 mounted on the vehicle, and the vehicle maker certificate that is the public key certificate that describes the server public key of the vehicle maker server 5. A management server 4 that stores 55 for each vehicle manufacturer is provided.

図1で図示した車両6は,汎用スキャンツール2が接続する診断用ポート62(OBDポート(On-Board Diagnostics))を有する。車両6を診断する際,汎用スキャンツール2は,車両6の診断用ポート62と接続として,車両6に搭載されたECU60にアクセスし,ECU60に記憶された故障コードを読み取る。図1では,車両6に搭載されたECU60は一つとしているが,実際,複数のECU60が一台の車両6に搭載される。 The vehicle 6 illustrated in FIG. 1 has a diagnostic port 62 (OBD port (On-Board Diagnostics)) to which the general-purpose scan tool 2 is connected. When diagnosing the vehicle 6, the general-purpose scan tool 2 accesses the ECU 60 mounted on the vehicle 6 as a connection with the diagnostic port 62 of the vehicle 6 and reads the failure code stored in the ECU 60. In FIG. 1, the number of ECUs 60 mounted on the vehicle 6 is one, but in reality, a plurality of ECUs 60 are mounted on one vehicle 6.

図1で図示していないが,車両6に搭載されたECU60はセキュアエレメントとしてSHEを有し,車両6に搭載されたECU60へのアクセスは,ECU60のSHEが記憶している車両鍵61によりセキュリティが保護される。 Although not shown in FIG. 1, the ECU 60 mounted on the vehicle 6 has an SHE as a secure element, and access to the ECU 60 mounted on the vehicle 6 is secured by a vehicle key 61 stored in the SHE of the ECU 60. Is protected.

図2は,車両メーカサーバ5を説明する図である。車両メーカサーバ5は,汎用のサーバを利用して実現される装置で,車両メーカサーバ5が備えるハードウェアは汎用のサーバと同様であるため,車両メーカサーバ5が備えるハードウェアの詳細については,ここでは説明しない。 FIG. 2 is a diagram illustrating a vehicle maker server 5. The vehicle maker server 5 is a device realized by using a general-purpose server, and the hardware included in the vehicle maker server 5 is the same as that of the general-purpose server. Not explained here.

車両6に搭載されたECU60へのアクセスに必要な車両鍵61は,ECU60が搭載された車両6を販売している車両メーカに対応する車両メーカサーバ5が記憶している。車両メーカサーバ5はセキュアエレメントとしてHSM53を有し,車両メーカサーバ5が有するHSM53は,車両メーカ証明書55に記された車両メーカサーバ5のサーバ公開鍵と対になる車両メーカサーバ5のサーバ秘密鍵54と,車両メーカが販売している車両6に搭載したECU60にアクセスするための車両鍵61を記憶する。 The vehicle key 61 required for accessing the ECU 60 mounted on the vehicle 6 is stored in the vehicle maker server 5 corresponding to the vehicle maker selling the vehicle 6 on which the ECU 60 is mounted. The vehicle maker server 5 has an HSM 53 as a secure element, and the HSM 53 possessed by the vehicle maker server 5 is a server secret of the vehicle maker server 5 that is paired with the server public key of the vehicle maker server 5 written in the vehicle maker certificate 55. The key 54 and the vehicle key 61 for accessing the ECU 60 mounted on the vehicle 6 sold by the vehicle manufacturer are stored.

暗号方式には共通鍵暗号方式と公開鍵暗号方式の2種類があり,車両鍵61はいずれの方式の暗号鍵でよい。車両鍵61が,共通鍵暗号方式の暗号鍵の場合,ECU60のSHEが記憶している車両鍵61と車両メーカサーバ5が記憶している車両鍵61は同一である。車両鍵61が,公開鍵暗号方式の暗号鍵の場合,ECU60のSHEには車両鍵61の秘密鍵が記憶され,車両メーカサーバ5には車両鍵61の公開鍵が記憶される。 There are two types of encryption methods, a common key encryption method and a public key encryption method, and the vehicle key 61 may be any method of encryption key. When the vehicle key 61 is an encryption key of a common key encryption method, the vehicle key 61 stored in the SHE of the ECU 60 and the vehicle key 61 stored in the vehicle maker server 5 are the same. When the vehicle key 61 is an encryption key of a public key cryptosystem, the secret key of the vehicle key 61 is stored in the SHE of the ECU 60, and the public key of the vehicle key 61 is stored in the vehicle maker server 5.

車両メーカサーバ5は,ネットワーク通信するための通信インタフェースとして,ネットワークインタフェース50を備える。また,車両メーカサーバ5は,コンピュータプログラムにより実現される機能として,汎用スキャンツール2と相互認証し,汎用スキャンツール2との間で,セッション鍵により通信内容を暗号化するセキュアな通信セッションを確立するセキュア通信手段51を備える。更に,車両メーカサーバ5は,コンピュータプログラムにより実現される機能として,車両メーカサーバ5とセキュアな通信セッションを確立した汎用スキャンツール2に対して,車両メーカサーバ5が記憶している車両鍵61を配信する処理を実行する車両鍵配信手段52を備える。 The vehicle maker server 5 includes a network interface 50 as a communication interface for network communication. Further, as a function realized by the computer program, the vehicle maker server 5 establishes a secure communication session between the general-purpose scan tool 2 and the general-purpose scan tool 2 in which the communication content is encrypted by the session key. The secure communication means 51 is provided. Further, the vehicle maker server 5 has a vehicle key 61 stored in the vehicle maker server 5 for the general-purpose scan tool 2 that has established a secure communication session with the vehicle maker server 5 as a function realized by a computer program. A vehicle key distribution means 52 that executes a distribution process is provided.

図3は,管理サーバ4を説明する図である。管理サーバ4は,汎用のサーバを利用して実現される装置で,管理サーバ4が備えるハードウェアは汎用のサーバと同様であるため,管理サーバ4が備えるハードウェアの詳細については,ここでは説明しない。 FIG. 3 is a diagram illustrating the management server 4. The management server 4 is a device realized by using a general-purpose server, and the hardware included in the management server 4 is the same as that of the general-purpose server. Therefore, the details of the hardware included in the management server 4 will be described here. do not do.

管理サーバ4はセキュアエレメントとしてHSM43を有し,管理サーバ4が有するHSM43は,上述している車両メーカ証明書55を車両メーカごとに記憶する。更に,管理サーバ4は,管理サーバ4とのセキュアな通信セッションの確立に用いる暗号鍵として,管理サーバ4のサーバ公開鍵が記された公開鍵証明書である管理サーバ証明書45と,管理サーバ4のサーバ秘密鍵44を記憶する。 The management server 4 has an HSM 43 as a secure element, and the HSM 43 possessed by the management server 4 stores the vehicle manufacturer certificate 55 described above for each vehicle manufacturer. Further, the management server 4 has a management server certificate 45, which is a public key certificate in which the server public key of the management server 4 is written, as an encryption key used for establishing a secure communication session with the management server 4, and a management server. Stores the server private key 44 of 4.

また,管理サーバ4は,ネットワーク通信するための通信インタフェースとして,ネットワークインタフェース40を備える。更に,管理サーバ4は,コンピュータプログラムで実現される機能として,汎用スキャンツール2と相互認証し,汎用スキャンツール2との間でセキュアな通信セッションを確立する処理を行うセキュア通信手段41を備える。また,管理サーバ4は,コンピュータプログラムで実現される機能として,管理サーバ4とセキュアな通信セッションを確立した汎用スキャンツール2に対して,管理サーバ4が記憶している車両メーカ証明書55を配信する処理を行う車両メーカ証明書配信手段42を備える。 Further, the management server 4 includes a network interface 40 as a communication interface for network communication. Further, the management server 4 is provided with a secure communication means 41 that performs a process of mutually authenticating with the general-purpose scan tool 2 and establishing a secure communication session with the general-purpose scan tool 2 as a function realized by a computer program. Further, the management server 4 distributes the vehicle manufacturer certificate 55 stored in the management server 4 to the general-purpose scan tool 2 that has established a secure communication session with the management server 4 as a function realized by the computer program. The vehicle maker certificate distribution means 42 for performing the processing is provided.

図4は,汎用スキャンツール2のブロック図である。汎用スキャンツール2は,ディスプレイと操作デバイスを備えたコンピュータ機器である。汎用スキャンツール2は,ネットワーク通信するためのインタフェースであるネットワークインタフェース20と,セキュアエレメントと通信するためのインタフェースであるセキュアエレメントインタフェース21と,診断用ポート62と接続するための通信インタフェースである診断用ポートインタフェース22を備える。 FIG. 4 is a block diagram of the general-purpose scan tool 2. The general-purpose scan tool 2 is a computer device provided with a display and an operating device. The general-purpose scan tool 2 has a network interface 20 which is an interface for network communication, a secure element interface 21 which is an interface for communicating with a secure element, and a diagnostic interface which is a communication interface for connecting to a diagnostic port 62. A port interface 22 is provided.

汎用スキャンツール2が備えるネットワークインタフェース20は,無線方式または有線方式のいずれでもよい。汎用スキャンツール2が備えるセキュアエレメントインタフェース21は,汎用スキャンツール2に実装するセキュアエレメントに対応する。本実施形態では,セキュアエレメントとしてSIM3を汎用スキャンツール2に実装しているので,セキュアエレメントインタフェース21は,ISO7816に対応したものになる。汎用スキャンツール2が備える診断用ポートインタフェース22は,診断用ポート62に対応したものになる。 The network interface 20 included in the general-purpose scan tool 2 may be either a wireless system or a wired system. The secure element interface 21 included in the general-purpose scan tool 2 corresponds to the secure element mounted on the general-purpose scan tool 2. In this embodiment, since SIM3 is mounted on the general-purpose scan tool 2 as a secure element, the secure element interface 21 corresponds to ISO7816. The diagnostic port interface 22 included in the general-purpose scan tool 2 corresponds to the diagnostic port 62.

汎用スキャンツール2は,コンピュータプログラムで実現される機能として,管理サーバ4と相互認証し,管理サーバ4との間でセキュアな通信セッションを確立する管理サーバ用通信手段23と,セキュアな通信セッションを確立した管理サーバ4から車両メーカ証明書55を取得してSIM3に登録する車両メーカ証明書登録手段25と,車両メーカサーバ5と相互認証し,車両メーカサーバ5との間でセキュアな通信セッションを確立する車両メーカサーバ用通信手段24と,セキュアな通信セッションを確立した管理サーバ4から車両鍵61を取得してSIM3に登録する車両鍵登録手段26を備える。管理サーバ用通信手段23と車両メーカ証明書登録手段25は,セキュアな通信セッションを確立する点については同じであるが,セキュアな通信セッションを確立する処理の内容は異なる。 As a function realized by the computer program, the general-purpose scan tool 2 establishes a secure communication session with the management server communication means 23 that mutually authenticates with the management server 4 and establishes a secure communication session with the management server 4. A secure communication session is established between the vehicle maker certificate registration means 25, which acquires the vehicle maker certificate 55 from the established management server 4 and registers it in the SIM 3, and the vehicle maker server 5 by mutual authentication. It includes a communication means 24 for a vehicle maker server to be established, and a vehicle key registration means 26 for acquiring a vehicle key 61 from a management server 4 for establishing a secure communication session and registering the vehicle key 61 in the SIM 3. The management server communication means 23 and the vehicle manufacturer certificate registration means 25 are the same in that they establish a secure communication session, but the contents of the process for establishing a secure communication session are different.

また,汎用スキャンツール2は,コンピュータプログラムで実現される機能として,診断用ポート62と接続として,車両6に搭載されたECU60と通信し,ECU60に記憶された故障コードを読み取る車体診断手段27を備える。更に,汎用スキャンツール2は,コンピュータプログラムで実現される機能として,汎用スキャンツール2の自己診断を行う自己診断手段28を備える。 Further, as a function realized by a computer program, the general-purpose scan tool 2 provides a vehicle body diagnostic means 27 that communicates with the ECU 60 mounted on the vehicle 6 and reads the failure code stored in the ECU 60 as a connection with the diagnostic port 62. Be prepared. Further, the general-purpose scan tool 2 includes a self-diagnosis means 28 for performing a self-diagnosis of the general-purpose scan tool 2 as a function realized by a computer program.

汎用スキャンツール2に実装したSIM3について説明する。図4では,汎用スキャンツール2に実装したSIM3が有するハードウェアとして,SIM3を実装した装置と接続するためのインタフェースとなるI/Oポート30と,電気的に書き換え可能な不揮発性メモリであるNVM31(Non-volatile Memory)を図示している。当然のことながら,SIM3には,CPU(Central Processing Unit),メインメモリとなるRAM(Random Access Memory),電気的に書き換え不可能な不揮発性メモリであるROM(Read Only Memory)など,図4では図示していないハードウェアを備える。 The SIM 3 mounted on the general-purpose scan tool 2 will be described. In FIG. 4, as the hardware of the SIM 3 mounted on the general-purpose scan tool 2, the I / O port 30 as an interface for connecting to the device on which the SIM 3 is mounted and the NVM 31 which is an electrically rewritable non-volatile memory. (Non-volatile Memory) is illustrated. As a matter of course, the SIM 3 includes a CPU (Central Processing Unit), a RAM (Random Access Memory) that is the main memory, and a ROM (Read Only Memory) that is an electrically non-rewritable non-volatile memory. Equipped with hardware not shown.

SIM3が有するNVM31には,車両メーカごとに車両メーカに対応するディレクトリ35(以下,「メーカディレクトリ」と記す。)が生成され,このメーカディレクトリ35の直下に,車両メーカに係る暗号鍵(ここでは,車両メーカ証明書55と車両鍵61)が保存される。 In the NVM 31 possessed by SIM3, a directory 35 corresponding to the vehicle manufacturer (hereinafter referred to as "manufacturer directory") is generated for each vehicle manufacturer, and an encryption key related to the vehicle manufacturer (here, here) is directly under the manufacturer directory 35. , The vehicle manufacturer certificate 55 and the vehicle key 61) are stored.

また,SIM3が有するNVM31には,ネットワーク7と接続しているサーバとセキュアな通信セッションを確立するときに用いる暗号鍵として,汎用スキャンツール2の公開鍵が記された公開鍵証明書である汎用スキャンツール証明書32と,汎用スキャンツール2の秘密鍵33を記憶する。 Further, the NVM 31 possessed by the SIM 3 is a general-purpose key certificate in which the public key of the general-purpose scan tool 2 is written as an encryption key used when establishing a secure communication session with the server connected to the network 7. The scan tool certificate 32 and the private key 33 of the general-purpose scan tool 2 are stored.

更に,SIM3が有するNVM31には,汎用スキャンツール2の自己診断手段28が参照するデータとして,自己診断用ハッシュ値34を記憶する。自己診断用ハッシュ値34は,汎用スキャンツール2に実装されているコンピュータプログラムのプログラムコードから演算したハッシュ値である。自己診断用ハッシュ値34には,ブートプロセスに係るプログラムコードから演算したハッシュ値,オペレーティングシステムに係るプログラムコードから演算したハッシュ値,アプリケーションプログラム(例えば,管理サーバ用通信手段23)に係るプログラムコードから演算したハッシュ値などを含ませることができる。 Further, the NVM 31 possessed by the SIM 3 stores a hash value 34 for self-diagnosis as data referred to by the self-diagnosis means 28 of the general-purpose scan tool 2. The hash value 34 for self-diagnosis is a hash value calculated from the program code of the computer program implemented in the general-purpose scan tool 2. The hash value 34 for self-diagnosis includes a hash value calculated from the program code related to the boot process, a hash value calculated from the program code related to the operating system, and a program code related to the application program (for example, the communication means 23 for the management server). It is possible to include the calculated hash value and the like.

SIM3は,ソフトウェアにより実現されるコマンドとして,汎用スキャンツール2がセキュアな通信セッションを確立する際に用いる複数のコマンド36を有する。このコマンドには,汎用スキャンツール2の秘密鍵33を用いて,汎用スキャンツール証明書32に対する署名データを生成するコマンドが含まれる。 The SIM 3 has a plurality of commands 36 used by the general-purpose scan tool 2 to establish a secure communication session as commands realized by software. This command includes a command to generate signature data for the general-purpose scan tool certificate 32 by using the private key 33 of the general-purpose scan tool 2.

ここから,本実施形態に係る車両鍵配信システム1で実行される処理について説明する。図5は,車両鍵配信システム1で実行される処理を説明する図,図6は,TLS(Transport Layer Security)の手順を説明する図である。 From here, the processing executed by the vehicle key distribution system 1 according to the present embodiment will be described. FIG. 5 is a diagram illustrating a process executed by the vehicle key distribution system 1, and FIG. 6 is a diagram illustrating a procedure of TLS (Transport Layer Security).

本実施形態に係る車両鍵配信システム1では,管理サーバ4と汎用スキャンツール2の間でセキュアな通信セッションが確立され,更に,車両メーカサーバ5と汎用スキャンツール2の間でセキュアな通信セッションが確立される。セキュアな通信セッションを確立するセキュアプロトコルには様々あるが,本実施形態では,セキュアな通信セッションの確立にTLSを用いている。そこで,図5の手順を説明する前に,図6を参照しながら,TLSの手順について説明する。なお,本実施形態では,図6の説明におけるクライアン8aは汎用スキャンツール2に相当し,図6の説明におけるサーバ8bは管理サーバ4と車両メーカサーバ5に相当する。 In the vehicle key distribution system 1 according to the present embodiment, a secure communication session is established between the management server 4 and the general-purpose scan tool 2, and a secure communication session is further established between the vehicle maker server 5 and the general-purpose scan tool 2. Established. There are various secure protocols for establishing a secure communication session, but in this embodiment, TLS is used for establishing a secure communication session. Therefore, before explaining the procedure of FIG. 5, the TLS procedure will be described with reference to FIG. In the present embodiment, the client 8a in the description of FIG. 6 corresponds to the general-purpose scan tool 2, and the server 8b in the description of FIG. 6 corresponds to the management server 4 and the vehicle maker server 5.

図6で図示した手順では,まず,セッション鍵の算出に用いる乱数や暗号演算方式などを送信するメッセージであるClientHelloがクライアン8aからサーバ8bに送信される(S20)。 In the procedure illustrated in FIG. 6, first, Client Hello, which is a message for transmitting a random number used for calculating the session key, a cryptographic operation method, and the like, is transmitted from the client 8a to the server 8b (S20).

ClientHelloがクライアン8aから送信されると,セッション鍵の算出に用いる乱数や暗号演算方式などを送信するメッセージであるServerHello(S21),サーバ証明書を送信するメッセージであるServerCertificate(S22),クライアント証明書の送信を要求するメッセージであるCertificateRequest(S23),サーバ8bからの一連の送信の最後を示すメッセージであるServerHelloDone(S24)が,サーバ8bからクライアン8aに送信される。 When ClientHello is sent from client 8a, ServerHello (S21) is a message that sends random numbers and cryptographic calculation methods used to calculate the session key, ServerCertificate (S22) is a message that sends a server certificate, and client certificate. CertificateRequest (S23), which is a message requesting transmission, and ServerHelloDone (S24), which is a message indicating the end of a series of transmissions from the server 8b, are transmitted from the server 8b to the client 8a.

ServerHelloDoneがサーバ8bから送信されると,クライアン8aは,ServerCertificateによりサーバ8bから送信されたサーバ証明書を検証することで,通信相手となるクライアン8aを認証する。サーバ証明書を検証する際,クライアン8aは,サーバ証明書に対応する認証局を利用して,サーバ証明書に付加されている署名データを検証する。 When ServerHelloDone is transmitted from the server 8b, the client 8a authenticates the client 8a as a communication partner by verifying the server certificate transmitted from the server 8b by the Server Certificate. When verifying the server certificate, client 8a verifies the signature data attached to the server certificate by using the certificate authority corresponding to the server certificate.

サーバ証明書の検証に成功すると,クライアン8aは,クライアント証明書を送信するメッセージであるClientCertificate(S25),セッション鍵のシードなる情報で,サーバ公開鍵で暗号化した乱数情報を送信するメッセージであるClientKeyExchange(S26),クライアント証明書に対する署名データを送信するメッセージであるCertificateVerify(S27),平文による送信の終了を示すメッセージであるChangeCipherSpec(S28),クライアン8aからの一連の送信の最後を示すメッセージであるFinished(S29)をサーバ8bへ送信する。 When the verification of the server certificate is successful, the client 8a is a message to send the client certificate, ClientCertificate (S25), which is the seed information of the session key, and is a message to send the random number information encrypted with the server public key. ClientKeyExchange (S26), CertificateVerify (S27), which is a message to send signature data for a client certificate, ChangeCipherSpec (S28), which is a message to indicate the end of transmission in plain text, and a message to indicate the end of a series of transmissions from client 8a. A certain Finished (S29) is transmitted to the server 8b.

これらのメッセージが送信されると,サーバ8bは,ClientCertificateにより送信されたクライアント証明書を検証することで,通信相手となるクライアン8aを認証する。クライアント証明書を検証する際,サーバ8bは,クライアント証明書に対応する認証局を利用して,クライアント証明書に含まれる署名データを検証し,更に,クライアント証明書に記された公開鍵を用いて,CertificateVerifyにより送信された署名データを検証する。クライアント証明書の検証に成功すると,サーバ8bは,平文による送信の終了を示すメッセージであるChangeCipherSpec(S30),サーバ8bからの一連の送信の最後を示すメッセージであるFinished(S31)をクライアン8aへ送信する。 When these messages are transmitted, the server 8b authenticates the client 8a to be the communication partner by verifying the client certificate transmitted by the Client Certificate. When verifying the client certificate, the server 8b verifies the signature data contained in the client certificate by using the certificate authority corresponding to the client certificate, and further uses the public key written in the client certificate. Then, the signature data sent by Certificate Verify is verified. If the verification of the client certificate is successful, the server 8b sends ChangeCipherSpec (S30), which is a message indicating the end of the transmission in plain text, and Finished (S31), which is a message indicating the end of the series of transmissions from the server 8b, to the client 8a. Send.

サーバ8bが,サーバ8bからの一連の送信の最後を示すメッセージであるFinished(S31)をクライアン8aへ送信した後,クライアン8aとサーバ8bの間でやりとりされる通信内容は,セッション鍵により暗号化される。 After the server 8b sends Finished (S31), which is a message indicating the end of a series of transmissions from the server 8b, to the client 8a, the communication content exchanged between the client 8a and the server 8b is encrypted by the session key. Will be done.

なお,TLSの仕様では,サーバ証明書を送信するメッセージであるServerCertificate(S22),クライアント証明書の送信を要求するメッセージであるCertificateRequest(S23)など,図6の手順で示したメッセージの一部は省略することができる。 In the TLS specifications, some of the messages shown in the procedure of FIG. 6 such as ServerCertificate (S22), which is a message for sending a server certificate, and CertificateRequest (S23), which is a message requesting the transmission of a client certificate, are It can be omitted.

図5で図示した手順について説明する。図5で図示した手順は,管理サーバ4と汎用スキャンツール2の間でセキュアな通信セッションが確立され,汎用スキャンツール2が車両メーカ証明書55を管理サーバ4から取得する工程P1と,車両メーカサーバ5と汎用スキャンツール2の間でセキュアな通信セッションが確立され,汎用スキャンツール2が車両鍵61を車両メーカサーバ5から取得する工程P2を含む。 The procedure illustrated in FIG. 5 will be described. In the procedure shown in FIG. 5, a secure communication session is established between the management server 4 and the general-purpose scan tool 2, and the general-purpose scan tool 2 obtains the vehicle manufacturer certificate 55 from the management server P1 and the vehicle manufacturer. A secure communication session is established between the server 5 and the general-purpose scan tool 2, and the general-purpose scan tool 2 includes a step P2 of acquiring the vehicle key 61 from the vehicle manufacturer server 5.

まず,汎用スキャンツール2が車両メーカ証明書55を管理サーバ4から取得する工程P1について説明する。工程P1の最初では,汎用スキャンツール2の管理サーバ用通信手段23と管理サーバ4のセキュア通信手段41が作動し,TLSを利用して,汎用スキャンツール2と管理サーバ4の間でセキュアな通信セッションを確立する処理が実行される(S1)。 First, the process P1 in which the general-purpose scan tool 2 acquires the vehicle manufacturer certificate 55 from the management server 4 will be described. At the beginning of step P1, the communication means 23 for the management server of the general-purpose scan tool 2 and the secure communication means 41 of the management server 4 are activated, and secure communication is performed between the general-purpose scan tool 2 and the management server 4 using TLS. The process of establishing a session is executed (S1).

汎用スキャンツール2と管理サーバ4の間でセキュアな通信セッションを確立する処理(S1)では,汎用スキャンツール2と管理サーバ4の間で相互認証が実行される。汎用スキャンツール2は,管理サーバ4が送信した管理サーバ証明書45を利用して,通信相手となる管理サーバ4を認証する。汎用スキャンツール2は,管理サーバ証明書45を記憶していないので,管理サーバ4のセキュア通信手段41は,TLSのServerCertificateにより管理サーバ証明書45を汎用スキャンツール2へ送信し,汎用スキャンツール2の管理サーバ用通信手段23は,認証局を利用して管理サーバ証明書45を検証する。また,身元が不明な汎用スキャンツール2に車両メーカ証明書55を送信することは危険であるため,管理サーバ4のセキュア通信手段41は,汎用スキャンツール証明書32および汎用スキャンツール証明書32に対する署名データを利用して,通信相手となる汎用スキャンツール2を認証する。汎用スキャンツール2の管理サーバ用通信手段23は,ClientCertificateにより汎用スキャンツール証明書32を管理サーバ4へ送信し,CertificateVerifyにより汎用スキャンツール証明書32に対する署名データを管理サーバ4へ送信する。なお,汎用スキャンツール証明書32に対する署名データの生成には,SIM3に実装されたコマンド36が利用され,汎用スキャンツール2の秘密鍵はSIM3の外部へ漏洩しない。管理サーバ4のセキュア通信手段41は,認証局を利用して,汎用スキャンツール証明書32を検証し,汎用スキャンツール証明書32を送付した通信相手が,汎用スキャンツール証明書32に対応する秘密鍵を有しているか確認するために,汎用スキャンツール証明書32で記された公開鍵を利用して署名データを検証する。 In the process (S1) of establishing a secure communication session between the general-purpose scan tool 2 and the management server 4, mutual authentication is executed between the general-purpose scan tool 2 and the management server 4. The general-purpose scan tool 2 authenticates the management server 4 as a communication partner by using the management server certificate 45 transmitted by the management server 4. Since the general-purpose scan tool 2 does not store the management server certificate 45, the secure communication means 41 of the management server 4 sends the management server certificate 45 to the general-purpose scan tool 2 by the Server Certificate of TLS, and the general-purpose scan tool 2 The management server communication means 23 of the above verifies the management server certificate 45 by using a certificate authority. Further, since it is dangerous to send the vehicle manufacturer certificate 55 to the general-purpose scan tool 2 whose identity is unknown, the secure communication means 41 of the management server 4 has the general-purpose scan tool certificate 32 and the general-purpose scan tool certificate 32. The signature data is used to authenticate the general-purpose scan tool 2 that is the communication partner. The management server communication means 23 of the general-purpose scan tool 2 transmits the general-purpose scan tool certificate 32 to the management server 4 by ClientCertificate, and transmits the signature data for the general-purpose scan tool certificate 32 to the management server 4 by CertificateVerify. The command 36 implemented in SIM 3 is used to generate the signature data for the general-purpose scan tool certificate 32, and the private key of the general-purpose scan tool 2 is not leaked to the outside of SIM 3. The secure communication means 41 of the management server 4 verifies the general-purpose scan tool certificate 32 using a certificate authority, and the communication partner to whom the general-purpose scan tool certificate 32 is sent is a secret corresponding to the general-purpose scan tool certificate 32. In order to confirm that the key is possessed, the signature data is verified using the public key written in the general-purpose scan tool certificate 32.

セキュアな通信セッションで用いるセッション鍵は,ClientKeyExchangeにより汎用スキャンツール2から管理サーバ4へ送信される乱数情報に基づいて生成される。管理サーバ4のセキュア通信手段41は,ClientKeyExchangeによりサーバ公開鍵で暗号化された乱数情報が汎用スキャンツール2から送信されると管理サーバ4のサーバ秘密鍵44を用いて暗号化された乱数情報を復号し,復号した乱数情報からセッション鍵を生成する。汎用スキャンツール2の管理サーバ用通信手段23は,管理サーバ4に送信した乱数情報からセッション鍵を生成する。 The session key used in the secure communication session is generated based on the random number information transmitted from the general-purpose scan tool 2 to the management server 4 by ClientKeyExchange. When the random number information encrypted with the server public key by ClientKeyExchange is transmitted from the general-purpose scan tool 2, the secure communication means 41 of the management server 4 uses the server private key 44 of the management server 4 to encrypt the random number information. Decrypt and generate a session key from the decoded random number information. The management server communication means 23 of the general-purpose scan tool 2 generates a session key from the random number information transmitted to the management server 4.

TLSの手順においてセッション鍵は基本的に使い捨ての鍵になるが,TLSの仕様では,ClientHello(S20)およびServerHello(S22)にSessionIDを含ませることで,これまでに生成したセキュア鍵を再利用し,ClientCertificateまで手順を進めることができるようになっている。汎用スキャンツール2が,複数の車両メーカ証明書55を取得する際,その都度,セキュアな通信セッションを確立すると処理時間が長くなるので,ClientHelloおよびServerHelloにSessionIDを含ませ,セッション鍵の生成を行うことなく,ChangeCipherSpec(S28)まで手順を進めるとよい。 In the TLS procedure, the session key is basically a disposable key, but in the TLS specifications, by including the SessionID in ClientHello (S20) and ServerHello (S22), the secure key generated so far can be reused. , You can proceed to the Client Certificate. When the general-purpose scan tool 2 acquires a plurality of vehicle manufacturer certificates 55 each time, if a secure communication session is established, the processing time becomes long. Therefore, the Session ID is included in ClientHello and ServerHello, and the session key is generated. It is advisable to proceed to ChangeCipherSpec (S28) without doing so.

汎用スキャンツール2と管理サーバ4の間でセキュアな通信セッションが確立されると,汎用スキャンツール2の車両メーカ証明書登録手段25は,汎用スキャンツール2のSIM3に格納する車両メーカ証明書55に対応する車両メーカの識別子を含むメッセージである車両メーカ証明書55の配信要求を管理サーバ4へ送信する(S2)。管理サーバ4は,車両メーカ証明書55の配信要求を汎用スキャンツール2から受信すると,管理サーバ4の車両メーカ証明書配信手段42は,車両メーカ証明書55の配信要求で示される車両メーカ証明書55を汎用スキャンツール2へ配信する(S3)。 When a secure communication session is established between the general-purpose scan tool 2 and the management server 4, the vehicle maker certificate registration means 25 of the general-purpose scan tool 2 becomes the vehicle maker certificate 55 stored in the SIM 3 of the general-purpose scan tool 2. A delivery request for the vehicle manufacturer certificate 55, which is a message including the identifier of the corresponding vehicle manufacturer, is transmitted to the management server 4 (S2). When the management server 4 receives the distribution request of the vehicle maker certificate 55 from the general-purpose scan tool 2, the vehicle maker certificate distribution means 42 of the management server 4 receives the vehicle maker certificate indicated by the distribution request of the vehicle maker certificate 55. 55 is delivered to the general-purpose scan tool 2 (S3).

車両メーカ証明書55が管理サーバ4から配信されると,汎用スキャンツール2の車両メーカ証明書登録手段25は,SIM3に実装されたコマンドを利用し,管理サーバ4から配信された車両メーカ証明書55をSIM3に保存して(S4),工程P1は終了する。なお,車両メーカ証明書55を保存するメーカディレクトリ35は,車両メーカ証明書55の車両メーカに対応するメーカディレクトリ35の直下になる。 When the vehicle maker certificate 55 is distributed from the management server 4, the vehicle maker certificate registration means 25 of the general-purpose scan tool 2 uses the command implemented in the SIM 3 and the vehicle maker certificate distributed from the management server 4. 55 is stored in SIM3 (S4), and step P1 is completed. The maker directory 35 for storing the vehicle maker certificate 55 is directly under the maker directory 35 corresponding to the vehicle maker of the vehicle maker certificate 55.

管理サーバ4から配信された車両メーカ証明書55が汎用スキャンツール2のSIM3に保存された後,汎用スキャンツール2が車両鍵61を車両メーカサーバ5から取得する工程P2が実行される。 After the vehicle maker certificate 55 distributed from the management server 4 is stored in the SIM 3 of the general-purpose scan tool 2, the step P2 in which the general-purpose scan tool 2 acquires the vehicle key 61 from the vehicle maker server 5 is executed.

汎用スキャンツール2が車両鍵61を車両メーカサーバ5から取得する工程P2において,まず,汎用スキャンツール2の車両メーカサーバ用通信手段24と車両メーカサーバ5のセキュア通信手段51が作動し,TLSを利用して,汎用スキャンツール2と車両メーカサーバ5の間でセキュアな通信セッションを確立する処理(S10)が実行される。 In the process P2 in which the general-purpose scan tool 2 acquires the vehicle key 61 from the vehicle maker server 5, first, the vehicle maker server communication means 24 of the general-purpose scan tool 2 and the secure communication means 51 of the vehicle maker server 5 are activated to operate the TLS. Using this, the process (S10) of establishing a secure communication session between the general-purpose scan tool 2 and the vehicle maker server 5 is executed.

汎用スキャンツール2と車両メーカサーバ5の間でセキュアな通信セッションを確立する処理(S10)では,汎用スキャンツール2と車両メーカサーバ5の間で相互認証が実行されるが,汎用スキャンツール2と車両メーカサーバ5の間における相互認証の手順は,汎用スキャンツール2と管理サーバ4の間における相互認証の手順と異なる。汎用スキャンツール2は,車両メーカ証明書55を利用して,通信相手となる車両メーカサーバ5を認証するが,この時点で,汎用スキャンツール2は,車両メーカ証明書55を管理サーバ4から取得しているので,車両メーカサーバ5のセキュア通信手段51は,TLSに係る処理において,車両メーカ証明書55を汎用スキャンツール2へ送信せず,汎用スキャンツール2の車両メーカサーバ用通信手段24は,通信相手となる車両メーカサーバ5に対応する車両メーカ証明書55をSIM3から読み出し,認証局を利用して,SIM3から読み出した車両メーカ証明書55を認証する。身元が不明な汎用スキャンツール2に車両鍵61を送信することは危険であるため,車両メーカサーバ5のセキュア通信手段51は,汎用スキャンツール証明書32および汎用スキャンツール証明書32に対する署名データを利用して,通信相手となる汎用スキャンツール2を認証する。汎用スキャンツール2の車両メーカサーバ用通信手段24は,ClientCertificate(S25)により汎用スキャンツール証明書32を車両メーカサーバ5へ送信し,CertificateVerify(S27)により汎用スキャンツール証明書32に対する署名データを車両メーカサーバ5へ送信する。なお,汎用スキャンツール証明書32に対する署名データの生成には,SIM3に実装されたコマンド36が利用され,汎用スキャンツール2の秘密鍵はSIM3の外部へ漏洩しない。車両メーカサーバ5のセキュア通信手段51は,認証局を利用して,汎用スキャンツール証明書32を検証し,汎用スキャンツール証明書32を送付した通信相手が,汎用スキャンツール証明書32に対応する秘密鍵を有しているか確認するために,汎用スキャンツール証明書32で記された公開鍵を利用して署名データを検証する。 In the process of establishing a secure communication session between the general-purpose scan tool 2 and the vehicle maker server 5 (S10), mutual authentication is executed between the general-purpose scan tool 2 and the vehicle maker server 5. The procedure for mutual authentication between the vehicle maker server 5 is different from the procedure for mutual authentication between the general-purpose scan tool 2 and the management server 4. The general-purpose scan tool 2 authenticates the vehicle maker server 5 as a communication partner by using the vehicle maker certificate 55. At this point, the general-purpose scan tool 2 acquires the vehicle maker certificate 55 from the management server 4. Therefore, the secure communication means 51 of the vehicle maker server 5 does not transmit the vehicle maker certificate 55 to the general-purpose scan tool 2 in the processing related to TLS, and the communication means 24 for the vehicle maker server of the general-purpose scan tool 2 does not transmit. , The vehicle maker certificate 55 corresponding to the vehicle maker server 5 as the communication partner is read from the SIM 3, and the vehicle maker certificate 55 read from the SIM 3 is authenticated by using the certificate authority. Since it is dangerous to send the vehicle key 61 to the general-purpose scan tool 2 whose identity is unknown, the secure communication means 51 of the vehicle maker server 5 inputs the signature data for the general-purpose scan tool certificate 32 and the general-purpose scan tool certificate 32. Use it to authenticate the general-purpose scan tool 2 that is the communication partner. The vehicle maker server communication means 24 of the general-purpose scan tool 2 transmits the general-purpose scan tool certificate 32 to the vehicle maker server 5 by ClientCertificate (S25), and the signature data for the general-purpose scan tool certificate 32 is transmitted to the vehicle by CertificateVerify (S27). Send to the maker server 5. The command 36 implemented in SIM 3 is used to generate the signature data for the general-purpose scan tool certificate 32, and the private key of the general-purpose scan tool 2 is not leaked to the outside of SIM 3. The secure communication means 51 of the vehicle maker server 5 verifies the general-purpose scan tool certificate 32 using a certificate authority, and the communication partner to which the general-purpose scan tool certificate 32 is sent corresponds to the general-purpose scan tool certificate 32. In order to confirm whether or not the private key is possessed, the signature data is verified using the public key written in the general-purpose scan tool certificate 32.

セキュアな通信セッションで用いるセッション鍵は,ClientKeyExchangeにより汎用スキャンツール2から車両メーカサーバ5へ送信される乱数情報に基づいて生成される。車両メーカサーバ5のセキュア通信手段51は,ClientKeyExchangeによりサーバ公開鍵で暗号化された乱数情報が汎用スキャンツール2から送信されると車両メーカサーバ5のサーバ秘密鍵54を用いて暗号化された乱数情報を復号し,復号した乱数情報からセッション鍵を生成する。汎用スキャンツール2の車両メーカサーバ用通信手段24は,車両メーカサーバ5に送信した乱数情報からセッション鍵を生成する。 The session key used in the secure communication session is generated based on the random number information transmitted from the general-purpose scan tool 2 to the vehicle manufacturer server 5 by ClientKeyExchange. The secure communication means 51 of the vehicle maker server 5 uses the server secret key 54 of the vehicle maker server 5 to encrypt the random number information encrypted by the server public key by ClientKeyExchange when the general-purpose scan tool 2 sends the random number information. The information is decrypted and the session key is generated from the decoded random number information. The vehicle maker server communication means 24 of the general-purpose scan tool 2 generates a session key from the random number information transmitted to the vehicle maker server 5.

車両鍵61は車両のECU60へアクセスできる暗号鍵になるため,汎用スキャンツール2と車両メーカサーバ5の間におけるセキュアな通信セッションで利用されるセッション鍵は使い捨てであることが望ましい。よって,汎用スキャンツール2と車両メーカサーバ5の間でセキュアな通信セッションを確立する際,ClientHello(S20)およびServerHello(S21)にSessionIDを含ませないことが重要になる。 Since the vehicle key 61 is an encryption key that can access the ECU 60 of the vehicle, it is desirable that the session key used in the secure communication session between the general-purpose scan tool 2 and the vehicle maker server 5 is disposable. Therefore, when establishing a secure communication session between the general-purpose scan tool 2 and the vehicle manufacturer server 5, it is important that the Session ID is not included in the ClientHello (S20) and the ServerHello (S21).

汎用スキャンツール2と車両メーカサーバ5の間でセキュアな通信セッションが確立されると,汎用スキャンツール2の車両鍵登録手段26は,汎用スキャンツール2のSIM3に格納する車両鍵61を要求するメッセージである車両鍵61の配信要求を車両メーカサーバ5へ送信する(S11)。車両メーカサーバ5の車両鍵配信手段52は,車両鍵61の配信要求を汎用スキャンツール2から受信すると,車両メーカサーバ5が保存している車両鍵61を汎用スキャンツール2へ配信する(S12)。 When a secure communication session is established between the general-purpose scan tool 2 and the vehicle maker server 5, the vehicle key registration means 26 of the general-purpose scan tool 2 requests a vehicle key 61 to be stored in the SIM 3 of the general-purpose scan tool 2. The distribution request of the vehicle key 61 is transmitted to the vehicle maker server 5 (S11). When the vehicle key distribution means 52 of the vehicle maker server 5 receives the distribution request of the vehicle key 61 from the general-purpose scan tool 2, the vehicle key 61 stored in the vehicle maker server 5 is distributed to the general-purpose scan tool 2 (S12). ..

車両鍵61が車両メーカサーバ5から配信されると,汎用スキャンツール2の車両鍵登録手段26は,車両メーカサーバ5から配信された車両鍵61をSIM3に保存して(S23),工程P2は終了する。なお,車両鍵61を保存するメーカディレクトリ35は,車両メーカサーバ5のメーカに対応するメーカディレクトリ35の直下になる。 When the vehicle key 61 is distributed from the vehicle maker server 5, the vehicle key registration means 26 of the general-purpose scan tool 2 stores the vehicle key 61 distributed from the vehicle maker server 5 in the SIM 3 (S23), and the process P2 is performed. finish. The maker directory 35 for storing the vehicle key 61 is directly under the maker directory 35 corresponding to the maker of the vehicle maker server 5.

最後に,汎用スキャンツール2が備える自己診断手段28について説明する。図7は,汎用スキャンツール2が備える自己診断手段28の動作を説明する図である。 Finally, the self-diagnosis means 28 included in the general-purpose scan tool 2 will be described. FIG. 7 is a diagram illustrating the operation of the self-diagnosis means 28 included in the general-purpose scan tool 2.

汎用スキャンツール2が備える自己診断手段28は,汎用スキャンツール2の起動時に起動するコンピュータプログラムで,自己診断手段28は,まず,汎用スキャンツール2に実装されているコンピュータプログラムのプログラムコードからハッシュ値を演算し(S40),SIM3に記憶している自己診断用ハッシュ値と照合する(S41)。自己診断手段28は,ハッシュ値の照合結果により処理を分岐する(S42)。ハッシュ値の照合に成功した場合,汎用スキャンツール2のオペレーティングシステムをブートする処理を実行し(S420),図7の手順は終了する。また,ハッシュ値の照合に失敗した場合,汎用スキャンツール2のオペレーティングシステムをブートする処理を中止して(S421),図7の手順は終了する。 The self-diagnosis means 28 included in the general-purpose scan tool 2 is a computer program that is started when the general-purpose scan tool 2 is started. First, the self-diagnosis means 28 has a hash value from the program code of the computer program implemented in the general-purpose scan tool 2. Is calculated (S40) and collated with the self-diagnosis hash value stored in SIM3 (S41). The self-diagnosis means 28 branches the process according to the hash value collation result (S42). If the hash value matching is successful, the process of booting the operating system of the general-purpose scan tool 2 is executed (S420), and the procedure of FIG. 7 ends. If the hash value collation fails, the process of booting the operating system of the general-purpose scan tool 2 is stopped (S421), and the procedure of FIG. 7 ends.

1 車両鍵配信システム
2 汎用スキャンツール
23 管理サーバ用通信手段
24 車両メーカサーバ用通信手段
25 車両メーカ証明書登録手段
26 車両鍵登録手段
28 自己診断手段
3 SIM
32 汎用スキャンツール証明書
34 自己診断用ハッシュ値
35 メーカディレクトリ
4 管理サーバ
41 セキュア通信手段
42 車両メーカ証明書配信手段
45 管理サーバ証明書
5 車両メーカサーバ
51 セキュア通信手段
52 車両鍵配信手段
55 車両メーカ証明書
6 車両
60 ECU
61 車両鍵
1 Vehicle key distribution system 2 General-purpose scan tool 23 Communication means for management server 24 Communication means for vehicle maker server 25 Vehicle maker certificate registration means 26 Vehicle key registration means 28 Self-diagnosis means 3 SIM
32 General-purpose scan tool certificate 34 Self-diagnosis hash value 35 Maker directory 4 Management server 41 Secure communication means 42 Vehicle maker certificate distribution means 45 Management server certificate 5 Vehicle maker server 51 Secure communication means 52 Vehicle key distribution means 55 Vehicle maker Certificate 6 Vehicle 60 ECU
61 Vehicle key

Claims (6)

車両メーカ証明書を複数の車両メーカごとに記憶している管理サーバと,車両メーカの車両に搭載したECUへアクセスするための車両鍵を記憶している車両メーカサーバと,セキュアエレメントを実装している汎用スキャンツールを備えるシステムであって,
前記管理サーバは,前記管理サーバが記憶している管理サーバ証明書と,前記汎用スキャンツールから受信した汎用スキャンツール証明書および前記汎用スキャンツール証明書に対する署名データを利用して,前記汎用スキャンツールと相互認証し,前記汎用スキャンツールとの間でセッション鍵により通信内容を暗号化するセキュアな通信セッションを確立する手段を備え,
前記車両メーカサーバは,前記汎用スキャンツールに記憶させた前記車両メーカ証明書と,前記汎用スキャンツールから受信した汎用スキャンツール証明書および前記汎用スキャンツール証明書に対する署名データを利用して,前記汎用スキャンツールと相互認証し,前記汎用スキャンツールとの間で前記通信セッションを確立する手段を備え,
前記セキュアエレメントは,前記汎用スキャンツール証明書に記された公開鍵と対になる秘密鍵を記憶し,この秘密鍵を用いて,前記汎用スキャンツール証明書に対する署名データを生成する機能を備え,
前記汎用スキャンツールは,前記管理サーバから受信した前記管理サーバ証明書と,前記汎用スキャンツール証明書と前記セキュアエレメントに生成させた前記汎用スキャンツール証明書に対する署名データを利用して,前記管理サーバと相互認証し,前記管理サーバとの間で前記通信セッションを確立する管理サーバ用通信手段と,前記セキュアな通信セッションを確立した前記管理サーバから前記車両メーカ証明書を取得して,前記車両メーカ証明書を前記セキュアエレメントに登録する手段と,前記セキュアエレメントから読み出した前記車両メーカ証明書と,前記汎用スキャンツール証明書および前記セキュアエレメントに生成させた前記汎用スキャンツール証明書に対する署名データを利用して,前記車両メーカサーバと相互認証し,前記車両メーカサーバとの間で前記セキュアな通信セッションを確立する車両メーカサーバ用通信手段と,前記セキュアな通信セッションを確立した前記車両メーカサーバから前記車両鍵を取得して前記セキュアエレメントに登録する手段を備え,
ていることを特徴とする車両鍵配信システム。
A management server that stores the vehicle manufacturer certificate for each of multiple vehicle manufacturers, a vehicle manufacturer server that stores the vehicle key for accessing the ECU mounted on the vehicle manufacturer's vehicle, and a secure element are implemented. It is a system equipped with a general-purpose scanning tool that is available.
The management server uses the management server certificate stored in the management server, the general-purpose scan tool certificate received from the general-purpose scan tool, and the signature data for the general-purpose scan tool certificate, and the general-purpose scan tool. A means for establishing a secure communication session in which communication contents are encrypted by a session key with the general-purpose scan tool by mutual authentication with the above-mentioned general-purpose scan tool is provided.
The vehicle maker server uses the vehicle maker certificate stored in the general-purpose scan tool, the general-purpose scan tool certificate received from the general-purpose scan tool, and the signature data for the general-purpose scan tool certificate. A means for mutual authentication with the scan tool and establishment of the communication session with the general-purpose scan tool is provided.
The secure element has a function of storing a private key paired with the public key written in the general-purpose scan tool certificate and using this private key to generate signature data for the general-purpose scan tool certificate.
The general-purpose scan tool uses the management server certificate received from the management server, the general-purpose scan tool certificate, and the signature data for the general-purpose scan tool certificate generated in the secure element, and the management server. The vehicle maker certificate is obtained from the management server communication means that establishes the communication session with the management server and the management server that establishes the secure communication session, and the vehicle maker. The means for registering the certificate in the secure element, the vehicle manufacturer certificate read from the secure element, the general-purpose scan tool certificate, and the signature data for the general-purpose scan tool certificate generated in the secure element are used. Then, from the vehicle maker server communication means that mutually authenticates with the vehicle maker server and establishes the secure communication session with the vehicle maker server, and from the vehicle maker server that establishes the secure communication session. It is equipped with a means to acquire a vehicle key and register it in the secure element.
A vehicle key distribution system characterized by being
前記汎用スキャンツールが備える車両メーカサーバ用通信手段は,セキュアな通信セッションで用いるセッション鍵が,セキュアな通信セッションを確立するごとに使い捨てされるように,前記車両メーカサーバとの間でセキュアな通信セッションを確立することを特徴とする,請求項1に記載した車両鍵配信システム。 The vehicle maker server communication means provided in the general-purpose scan tool communicates securely with the vehicle maker server so that the session key used in the secure communication session is discarded every time a secure communication session is established. The vehicle key distribution system according to claim 1, wherein a session is established. 前記汎用スキャンツールに実装する前記セキュアエレメントをSIMとしたことを特徴とする,請求項1または2に記載した車両鍵配信システム。 The vehicle key distribution system according to claim 1 or 2, wherein the secure element to be mounted on the general-purpose scan tool is a SIM. セキュアエレメントを実装した汎用スキャンツールであって,
前記セキュアエレメントは,汎用スキャンツール証明書に記された公開鍵と対になる秘密鍵を記憶し,この秘密鍵を用いて,前記汎用スキャンツール証明書に対する署名データを生成するコマンドを備え,
前記汎用スキャンツールは,車両メーカ証明書を複数の車両メーカごとに記憶している管理サーバから受信した管理サーバ証明書と,汎用スキャンツール証明書および前記セキュアエレメントに生成させた前記汎用スキャンツール証明書に対する署名データを利用して,前記汎用スキャンツールと相互認証し,前記管理サーバとの間でセッション鍵により通信内容を暗号化するセキュアな通信セッションを確立する管理サーバ用通信手段と,前記セキュアな通信セッションを確立した前記管理サーバから前記車両メーカ証明書を取得して,前記車両メーカ証明書を前記セキュアエレメントに登録する手段と,前記セキュアエレメントから読み出した前記車両メーカ証明書と,前記汎用スキャンツール証明書および前記セキュアエレメントに生成させた前記汎用スキャンツール証明書に対する署名データを利用して,車両メーカの車両に搭載したECUへアクセスするための車両鍵を記憶し,前記車両メーカ証明書に対応する車両メーカサーバと相互認証し,前記車両メーカサーバとの間で前記セキュアな通信セッションを確立する車両メーカサーバ用通信手段と,前記セキュアな通信セッションを確立した前記車両メーカサーバから,前記車両メーカサーバに対応する車両メーカが販売している車両に搭載したECUへアクセスするための暗号鍵である車両鍵を取得して前記セキュアエレメントに登録する手段を備え,
ていることを特徴とする汎用スキャンツール。
A general-purpose scan tool that implements secure elements.
The secure element stores a private key paired with the public key written in the general-purpose scan tool certificate, and includes a command to generate signature data for the general-purpose scan tool certificate using this private key.
The general-purpose scan tool includes a management server certificate received from a management server that stores a vehicle manufacturer certificate for each of a plurality of vehicle manufacturers, a general-purpose scan tool certificate, and the general-purpose scan tool certificate generated in the secure element. The management server communication means that establishes a secure communication session that mutually authenticates with the general-purpose scan tool using the signature data for the document and encrypts the communication content with the management server using the session key, and the secure. A means for acquiring the vehicle maker certificate from the management server that has established a communication session and registering the vehicle maker certificate in the secure element, the vehicle maker certificate read from the secure element, and the general purpose. Using the scan tool certificate and the signature data for the general-purpose scan tool certificate generated in the secure element, the vehicle key for accessing the ECU mounted on the vehicle of the vehicle manufacturer is stored, and the vehicle manufacturer certificate is stored. From the vehicle maker server communication means that mutually authenticates with the vehicle maker server corresponding to the above and establishes the secure communication session with the vehicle maker server, and from the vehicle maker server that establishes the secure communication session. It is equipped with a means for acquiring a vehicle key, which is an encryption key for accessing an ECU mounted on a vehicle sold by a vehicle manufacturer corresponding to a vehicle manufacturer server, and registering it in the secure element.
A general-purpose scanning tool that features
前記汎用スキャンツールが備える車両メーカサーバ用通信手段は,セキュアな通信セッションで用いるセッション鍵が,セキュアな通信セッションを確立するごとに使い捨てされるように,前記車両メーカサーバとの間でセキュアな通信セッションを確立することを特徴とする,請求項4に記載した汎用スキャンツール。 The vehicle maker server communication means provided in the general-purpose scan tool communicates securely with the vehicle maker server so that the session key used in the secure communication session is thrown away every time a secure communication session is established. The general-purpose scanning tool according to claim 4, wherein a session is established. 前記汎用スキャンツールに実装する前記セキュアエレメントをSIMとしたことを特徴とする,請求項4または5に記載した汎用スキャンツール。
The general-purpose scan tool according to claim 4 or 5, wherein the secure element to be mounted on the general-purpose scan tool is a SIM.
JP2018047525A 2018-03-15 2018-03-15 Vehicle key distribution system and general purpose scanning tool Active JP6977635B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018047525A JP6977635B2 (en) 2018-03-15 2018-03-15 Vehicle key distribution system and general purpose scanning tool

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018047525A JP6977635B2 (en) 2018-03-15 2018-03-15 Vehicle key distribution system and general purpose scanning tool

Publications (2)

Publication Number Publication Date
JP2019161521A JP2019161521A (en) 2019-09-19
JP6977635B2 true JP6977635B2 (en) 2021-12-08

Family

ID=67995191

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018047525A Active JP6977635B2 (en) 2018-03-15 2018-03-15 Vehicle key distribution system and general purpose scanning tool

Country Status (1)

Country Link
JP (1) JP6977635B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114915942A (en) * 2021-02-10 2022-08-16 华为技术有限公司 Communication key configuration method and device

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2414144B (en) * 2004-04-19 2006-07-26 Matsushita Electric Industrial Co Ltd Fast and secure connectivity for a mobile node
JP5678907B2 (en) * 2012-02-15 2015-03-04 株式会社デンソー Relay system, external device
JP6228093B2 (en) * 2014-09-26 2017-11-08 Kddi株式会社 system
JP6262681B2 (en) * 2015-03-26 2018-01-17 Kddi株式会社 Management device, vehicle, management method, and computer program
JP2017130845A (en) * 2016-01-21 2017-07-27 株式会社オートネットワーク技術研究所 Authentication system, authentication request apparatus, on-vehicle electronic apparatus, computer program and authentication processing method
US20200177398A1 (en) * 2016-06-17 2020-06-04 Kddi Corporation System, certification authority, vehicle-mounted computer, vehicle, public key certificate issuance method, and program
JP2018019415A (en) * 2017-09-19 2018-02-01 Kddi株式会社 System, certificate authority, in-vehicle computer, public key certificate issuing method, and program

Also Published As

Publication number Publication date
JP2019161521A (en) 2019-09-19

Similar Documents

Publication Publication Date Title
CN111131313B (en) Safety assurance method and system for replacing ECU in intelligent networked vehicles
CN109076078B (en) Method to establish and update keys for secure in-vehicle network communication
CN110785961B (en) Vehicle-mounted authentication system, communication device, vehicle-mounted authentication device, recording medium, authentication method for communication device, and manufacturing method for communication device
CN109314639B (en) Management system, key generation device, vehicle-mounted computer, management method, and recording medium
CN110572418B (en) Vehicle identity authentication method and device, computer equipment and storage medium
US12513128B2 (en) In-vehicle network OTA security communication method and apparatus, vehicle-mounted system, and storage medium
CN103999496B (en) Method for the control of security module to be transferred to second instance from first instance
CN108650220B (en) Method and equipment for issuing and acquiring mobile terminal certificate and automobile end chip certificate
CN107710672A (en) Software distribution processing unit, vehicle, software distribution processing method and computer program
US11777743B2 (en) Method for securely providing a personalized electronic identity on a terminal
CN110099037A (en) Control unit remote-control key pairing based on certificate
CN110111459A (en) A kind of virtual key management method and system
CN111565182A (en) Vehicle diagnosis method and device and storage medium
CN114449512A (en) Vehicle-end secure communication method and device
CN113079506A (en) Network security authentication method, device and equipment
CN109495269B (en) Trusted verification method and system of vehicle-mounted terminal for access device, vehicle-mounted terminal
CN109743283B (en) Information transmission method and equipment
JP6977635B2 (en) Vehicle key distribution system and general purpose scanning tool
JP6188744B2 (en) Management system, vehicle and management method
CN120434289B (en) Communication connection method, device, vehicle and storage medium applied to vehicle telematics processor
CN115883165B (en) An ECU authentication method, key management method, device, T-Box, and server.
CN115915123B (en) Intelligent networking automobile digital certificate authorization generation and security endorsement method and system thereof
JP2025030545A (en) Access control system and access control method
JP2025125246A (en) Electronic control unit update system, secure device, gateway device, and electronic control unit update method
KR20250030513A (en) How to authenticate data

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210126

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210930

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211012

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211025

R150 Certificate of patent or registration of utility model

Ref document number: 6977635

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150