JP7729122B2 - Electronic device, software update method, and program - Google Patents
Electronic device, software update method, and programInfo
- Publication number
- JP7729122B2 JP7729122B2 JP2021143226A JP2021143226A JP7729122B2 JP 7729122 B2 JP7729122 B2 JP 7729122B2 JP 2021143226 A JP2021143226 A JP 2021143226A JP 2021143226 A JP2021143226 A JP 2021143226A JP 7729122 B2 JP7729122 B2 JP 7729122B2
- Authority
- JP
- Japan
- Prior art keywords
- electronic device
- unique identification
- patch data
- external device
- relay device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Stored Programmes (AREA)
Description
本発明は、近距離無線通信を介して決済等の各種サービスを車両のユーザに提供可能な方法等の技術分野に関する。 The present invention relates to technical fields such as methods for providing various services, such as payment, to vehicle users via short-range wireless communication.
従来、車両に搭載されたECU(Electronic Control Unit)やSE(Secure Element)と、車両の外部に設置されたサーバとの間の近距離無線通信を介して決済等の各種サービスが車両のユーザに提供可能になっている。例えば、特許文献1には、車両に備えられるVID(Vehicle Interface Device)が販売業者アクセス装置から決済口座情報の要求を受信すると、ユーザの移動通信装置が車両内にあるか否かを判定し、当該移動通信装置が車両内にあると判定した場合に、VIDに挿入された決済カードから読み取られた決済口座情報を販売業者アクセス装置に送信するシステムが開示されている。 Conventionally, various services such as payment can be provided to vehicle users via short-range wireless communication between an ECU (Electronic Control Unit) or SE (Secure Element) installed in a vehicle and a server installed outside the vehicle. For example, Patent Document 1 discloses a system in which, when a VID (Vehicle Interface Device) installed in a vehicle receives a request for payment account information from a dealer access device, it determines whether the user's mobile communications device is inside the vehicle, and if it determines that the mobile communications device is inside the vehicle, it transmits payment account information read from a payment card inserted into the VID to the dealer access device.
ところで、上述した各種サービスは、例えばECU(Electronic Control Unit)やSEにインストールされたアプリケーション等のソフトウェアにより実現されるが、かかるソフトウェアの更新があった場合に、例えば移動体通信網を利用してサーバからECUやSEへパッチ(パッチデータ)を送信することで当該ECUやSEにインストールされているソフトウェアを更新する必要がある。しかしながら、移動体通信網を利用できない場合、ソフトウェアを効率良く更新することはできなかった。 The various services mentioned above are realized by software such as applications installed in an ECU (Electronic Control Unit) or SE, but when such software needs to be updated, it is necessary to update the software installed in the ECU or SE by sending a patch (patch data) from a server to the ECU or SE, for example, using a mobile communications network. However, if a mobile communications network is not available, it is not possible to update the software efficiently.
そこで、本発明は、上記点等に鑑みてなされたものであり、車両内の電子デバイスにインストールされたソフトウェアをより効率良く更新することが可能な電子デバイス、ソフトウェア更新方法、及びプログラムを提供することを目的とする。 The present invention was made in consideration of the above points and aims to provide an electronic device, software update method, and program that can more efficiently update software installed in an electronic device in a vehicle.
上記課題を解決するために、請求項1に記載の発明は、移動体に搭載された中継装置を介して、前記移動体の外部に設置された外部装置との間で通信可能な電子デバイスであって、前記電子デバイスの固有識別番号と、当該電子デバイスにインストールされたソフトウェアのバージョン番号とを記憶する記憶手段と、前記中継装置を介して前記外部装置との間で認証処理を実行する認証手段と、前記認証処理が完了した後に、前記記憶手段に記憶されている固有識別番号及びバージョン番号により特定されるパッチデータを前記外部装置から前記中継装置を介して取得する取得手段と、前記取得手段により取得されたパッチデータに基づいて、前記ソフトウェアを更新する更新手段と、を備え、前記取得手段は、特定の固有識別番号と特定のバージョン番号との組合せを登録するリストを前記外部装置から前記中継装置を介して取得し、前記記憶手段に記憶されている前記固有識別番号と前記バージョン番号との組合せが前記リストに登録されている場合に前記パッチデータを前記外部装置から前記中継装置を介して取得することを特徴とする。請求項2に記載の発明は、移動体に搭載された中継装置を介して、前記移動体の外部に設置された外部装置との間で通信可能な電子デバイスであって、前記電子デバイスの固有識別番号と、当該電子デバイスにインストールされたソフトウェアのバージョン番号とを記憶する記憶手段と、前記中継装置を介して前記外部装置との間で認証処理を実行する認証手段と、前記認証処理が完了した後に、前記記憶手段に記憶されている固有識別番号及びバージョン番号により特定されるパッチデータを前記外部装置から前記中継装置を介して取得する取得手段と、前記取得手段により取得されたパッチデータに基づいて、前記ソフトウェアを更新する更新手段と、を備え、前記電子デバイスは、前記移動体に搭載されたセキュアエレメント及びECU(Electronic Control Unit)により構成され、前記セキュアエレメントは、前記認証手段、及び前記取得手段を含み、前記取得手段は、前記認証処理において生成されたセッション鍵であって前記外部装置との間で共通のセッション鍵により暗号化された前記パッチデータを取得し、当該パッチデータを前記セッション鍵により復号し、前記ECUは、前記記憶手段、及び前記更新手段を含み、前記更新手段は、前記復号された前記パッチデータに基づいて、前記ソフトウェアを更新することを特徴とする。 In order to solve the above problem, the invention described in claim 1 is an electronic device capable of communicating with an external device installed outside a mobile body via a relay device mounted on the mobile body, comprising: a storage means for storing a unique identification number of the electronic device and a version number of software installed on the electronic device; an authentication means for performing an authentication process with the external device via the relay device; an acquisition means for acquiring patch data identified by the unique identification number and version number stored in the storage means from the external device via the relay device after the authentication process is completed; and an update means for updating the software based on the patch data acquired by the acquisition means, wherein the acquisition means acquires a list registering combinations of specific unique identification numbers and specific version numbers from the external device via the relay device, and acquires the patch data from the external device via the relay device if the combination of the unique identification number and the version number stored in the storage means is registered in the list . The invention described in claim 2 is an electronic device capable of communicating with an external device installed outside a mobile body via a relay device mounted on the mobile body, the electronic device comprising: a storage means for storing a unique identification number of the electronic device and a version number of software installed in the electronic device; an authentication means for performing an authentication process with the external device via the relay device; an acquisition means for acquiring patch data identified by the unique identification number and version number stored in the storage means from the external device via the relay device after the authentication process is completed; and an update means for updating the software based on the patch data acquired by the acquisition means, wherein the electronic device is composed of a secure element and an ECU (Electronic Control Unit) mounted on the mobile body, the secure element including the authentication means and the acquisition means, the acquisition means acquiring the patch data encrypted using a session key generated in the authentication process and common to the external device, and decrypting the patch data using the session key, the ECU including the storage means and the update means, and the update means updating the software based on the decrypted patch data.
請求項3に記載の発明は、請求項1または2に記載の電子デバイスにおいて、前記取得手段は、前記記憶手段に記憶されている前記固有識別番号及び前記バージョン番号を前記中継装置を介して前記外部装置へ送信することにより、前記パッチデータを前記外部装置から前記中継装置を介して取得することを特徴とする。 The invention described in claim 3 is characterized in that, in the electronic device described in claim 1 or 2 , the acquisition means acquires the patch data from the external device via the relay device by transmitting the unique identification number and the version number stored in the memory means to the external device via the relay device.
請求項4に記載の発明は、移動体に搭載された中継装置を介して、前記移動体に設置された電子デバイスまたは当該移動体の搭乗者が携帯する電子デバイスとの間で通信可能な端末装置であって、前記電子デバイスは、前記電子デバイスの固有識別番号と、当該電子デバイスにインストールされたソフトウェアのバージョン番号とを記憶しており、前記端末装置は、前記中継装置を介して前記電子デバイスとの間で認証処理を実行する認証手段と、前記認証処理が完了した後に、前記固有識別番号及び前記バージョン番号を前記中継装置を介して前記電子デバイスから取得する取得手段と、前記電子デバイスにインストールされているソフトウェアを更新させるためのパッチデータであって、前記取得手段により取得された前記固有識別番号及び前記バージョン番号に対応するパッチデータを前記中継装置を介して送信する送信手段と、を備えることを特徴とする。 The invention described in claim 4 is a terminal device capable of communicating with an electronic device installed in a mobile body or an electronic device carried by a passenger of the mobile body via a relay device mounted on the mobile body, wherein the electronic device stores a unique identification number of the electronic device and a version number of software installed on the electronic device, and the terminal device is characterized in that it comprises: an authentication means for performing an authentication process with the electronic device via the relay device; an acquisition means for acquiring the unique identification number and the version number from the electronic device via the relay device after the authentication process is completed; and a transmission means for transmitting patch data for updating the software installed on the electronic device, the patch data corresponding to the unique identification number and the version number acquired by the acquisition means via the relay device.
請求項5に記載の発明は、移動体に搭載された中継装置を介して、前記移動体の外部に設置された外部装置との間で通信可能な電子デバイスにより実行されるソフトウェア更新方法であって、前記電子デバイスの固有識別番号と、当該電子デバイスにインストールされたソフトウェアのバージョン番号とを記憶手段に記憶するステップと、前記中継装置を介して前記外部装置との間で認証処理を実行するステップと、前記認証処理が完了した後に、前記記憶手段に記憶されている固有識別番号及びバージョン番号により特定されるパッチデータを前記外部装置から前記中継装置を介して取得する取得ステップと、前記取得されたパッチデータに基づいて、前記ソフトウェアを更新するステップと、を含み、前記取得ステップにおいては、特定の固有識別番号と特定のバージョン番号との組合せを登録するリストを前記外部装置から前記中継装置を介して取得し、前記記憶手段に記憶されている前記固有識別番号と前記バージョン番号との組合せが前記リストに登録されている場合に前記パッチデータを前記外部装置から前記中継装置を介して取得することを特徴とする。請求項6に記載の発明は、移動体に搭載された中継装置を介して、前記移動体の外部に設置された外部装置との間で通信可能な電子デバイスであって前記移動体に搭載されたセキュアエレメント及びECU(Electronic Control Unit)により構成される電子デバイスにより実行されるソフトウェア更新方法であって、前記ECUが、前記電子デバイスの固有識別番号と、当該電子デバイスにインストールされたソフトウェアのバージョン番号とを記憶手段に記憶するステップと、前記セキュアエレメントが、前記中継装置を介して前記外部装置との間で認証処理を実行するステップと、前記セキュアエレメントが、前記認証処理が完了した後に、前記記憶手段に記憶されている固有識別番号及びバージョン番号により特定されるパッチデータを前記外部装置から前記中継装置を介して取得する取得ステップと、前記ECUが、前記取得されたパッチデータに基づいて、前記ソフトウェアを更新する更新ステップと、を含み、前記取得ステップにおいては、前記認証処理において生成されたセッション鍵であって前記外部装置との間で共通のセッション鍵により暗号化された前記パッチデータを取得し、当該パッチデータを前記セッション鍵により復号し、前記更新ステップにおいては、前記復号された前記パッチデータに基づいて、前記ソフトウェアを更新することを特徴とする。 The invention described in claim 5 is a software update method executed by an electronic device capable of communicating with an external device installed outside a mobile body via a relay device mounted on the mobile body, comprising the steps of: storing a unique identification number of the electronic device and a version number of software installed in the electronic device in a storage means; performing an authentication process with the external device via the relay device; after the authentication process is completed, acquiring patch data identified by the unique identification number and version number stored in the storage means from the external device via the relay device; and updating the software based on the acquired patch data, wherein the acquiring step acquires a list registering combinations of specific unique identification numbers and specific version numbers from the external device via the relay device, and if the combination of the unique identification number and the version number stored in the storage means is registered in the list, the patch data is acquired from the external device via the relay device . The invention described in claim 6 is a software update method executed by an electronic device capable of communicating with an external device installed outside a mobile body via a relay device mounted on the mobile body, the electronic device being composed of a secure element and an ECU (Electronic Control Unit), the method including: a step by the ECU storing a unique identification number of the electronic device and a version number of software installed in the electronic device in a storage means; a step by the secure element performing an authentication process with the external device via the relay device; an acquisition step by the secure element acquiring patch data identified by the unique identification number and the version number stored in the storage means from the external device via the relay device after the authentication process is completed; and an update step by the ECU updating the software based on the acquired patch data, wherein in the acquisition step, the patch data encrypted with a session key generated in the authentication process and common to the external device is acquired, and the patch data is decrypted using the session key; and in the update step, the software is updated based on the decrypted patch data.
請求項7に記載の発明は、移動体に搭載された中継装置を介して、前記移動体の外部に設置された外部装置との間で通信可能な電子デバイスに含まれるコンピュータを、前記電子デバイスの固有識別番号と、当該電子デバイスにインストールされたソフトウェアのバージョン番号とを記憶する記憶手段と、前記中継装置を介して前記外部装置との間で認証処理を実行する認証手段と、前記認証処理が完了した後に、前記記憶手段に記憶されている固有識別番号及びバージョン番号により特定されるパッチデータを前記外部装置から前記中継装置を介して取得する取得手段と、前記取得手段により取得されたパッチデータに基づいて、前記ソフトウェアを更新する更新手段として機能させるプログラムであって、前記取得手段は、特定の固有識別番号と特定のバージョン番号との組合せを登録するリストを前記外部装置から前記中継装置を介して取得し、前記記憶手段に記憶されている前記固有識別番号と前記バージョン番号との組合せが前記リストに登録されている場合に前記パッチデータを前記外部装置から前記中継装置を介して取得することを特徴とする。請求項8に記載の発明は、移動体に搭載された中継装置を介して、前記移動体の外部に設置された外部装置との間で通信可能な電子デバイスであって前記移動体に搭載されたセキュアエレメント及びECU(Electronic Control Unit)により構成される電子デバイスに含まれるコンピュータを、前記電子デバイスの固有識別番号と、当該電子デバイスにインストールされたソフトウェアのバージョン番号とを記憶する記憶手段と、前記中継装置を介して前記外部装置との間で認証処理を実行する認証手段と、前記認証処理が完了した後に、前記記憶手段に記憶されている固有識別番号及びバージョン番号により特定されるパッチデータを前記外部装置から前記中継装置を介して取得する取得手段と、前記取得手段により取得されたパッチデータに基づいて、前記ソフトウェアを更新する更新手段として機能させるプログラムであって、前記取得手段は、前記認証処理において生成されたセッション鍵であって前記外部装置との間で共通のセッション鍵により暗号化された前記パッチデータを取得し、当該パッチデータを前記セッション鍵により復号し、前記更新手段は、前記復号された前記パッチデータに基づいて、前記ソフトウェアを更新することを特徴とする。 The invention described in claim 7 is a program that causes a computer included in an electronic device capable of communicating with an external device installed outside a mobile body via a relay device mounted on the mobile body to function as: a storage means for storing a unique identification number of the electronic device and a version number of software installed on the electronic device; an authentication means for performing an authentication process with the external device via the relay device; an acquisition means for acquiring patch data identified by the unique identification number and version number stored in the storage means from the external device via the relay device after the authentication process is completed; and an update means for updating the software based on the patch data acquired by the acquisition means , wherein the acquisition means acquires a list registering combinations of specific unique identification numbers and specific version numbers from the external device via the relay device, and acquires the patch data from the external device via the relay device if the combination of the unique identification number and the version number stored in the storage means is registered in the list . The invention described in claim 8 is a program that causes a computer included in an electronic device capable of communicating with an external device installed outside a mobile body via a relay device mounted on the mobile body, the electronic device being composed of a secure element and an ECU (Electronic Control Unit) mounted on the mobile body, to function as: a storage means that stores a unique identification number of the electronic device and a version number of software installed on the electronic device; an authentication means that performs an authentication process with the external device via the relay device; an acquisition means that, after the authentication process is completed, acquires patch data identified by the unique identification number and version number stored in the storage means from the external device via the relay device; and an update means that updates the software based on the patch data acquired by the acquisition means, wherein the acquisition means acquires the patch data encrypted using a session key generated in the authentication process and common to the external device, and decrypts the patch data using the session key; and the update means updates the software based on the decrypted patch data.
本発明によれば、車両内の電子デバイスにインストールされたソフトウェアをより効率良く更新することができる。 The present invention enables more efficient updates of software installed on electronic devices in vehicles.
以下、図面を参照して本発明の実施形態について詳細に説明する。以下に説明する実施形態は、車両の外部に設置された決済端末と、車両に搭載されたECU(Electronic Control Unit)との間で決済処理が実施される決済処理システムに対して本発明を適用した場合の実施の形態である。なお、決済端末は、外部装置の一例であり、ECUは電子デバイスの一例である。車両は、移動体の一例であり、2輪自動車、4輪自動車、または自転車等である。 Embodiments of the present invention will be described in detail below with reference to the drawings. The embodiments described below are embodiments in which the present invention is applied to a payment processing system in which payment processing is carried out between a payment terminal installed outside a vehicle and an ECU (Electronic Control Unit) installed in the vehicle. The payment terminal is an example of an external device, and the ECU is an example of an electronic device. The vehicle is an example of a mobile object, such as a two-wheeled vehicle, a four-wheeled vehicle, or a bicycle.
[1.決済処理システムSの概要構成]
先ず、図1等を参照して、本実施形態に係る決済処理システムSの概要構成について説明する。図1は、本実施形態に係る決済処理システムSの概要構成例を示す図である。図1に示すように、決済処理システムSは、管理サーバ1、決済端末2、中継器3(中継装置の一例)、ECU(Electronic Control Unit)4、及びeSE(embedded Secure Element)5を含んで構成される。管理サーバ1及び決済端末2(端末装置の一例)は、それぞれ、例えばインターネット等により構成されるネットワークNWに接続されており、管理サーバ1及び決済端末2はネットワークNWを介して通信可能になっている。
[1. General configuration of payment processing system S]
First, the schematic configuration of a payment processing system S according to this embodiment will be described with reference to Fig. 1 and other figures. Fig. 1 is a diagram showing an example of the schematic configuration of the payment processing system S according to this embodiment. As shown in Fig. 1, the payment processing system S includes a management server 1, a payment terminal 2, a repeater 3 (an example of a repeater device), an ECU (Electronic Control Unit) 4, and an eSE (Embedded Secure Element) 5. The management server 1 and the payment terminal 2 (an example of a terminal device) are each connected to a network NW formed, for example, by the Internet, and the management server 1 and the payment terminal 2 are capable of communicating via the network NW.
管理サーバ1は、特定の機器(例えば、特定のECUやeSE)に提供可能なソフトウェアを管理するためのサーバである。ソフトウェアの例として、オペレーティングシステム、ファームウェア、決済サービス等の各種サービスの利用に要するアプリケーションが挙げられる。ソフトウェアには、当該ソフトウェアに固有の識別子、及び当該ソフトウェアのバージョンを示すバージョン番号が付与される。ここで、バージョン番号は、例えば、ソフトウェアの不具合修正や機能変更をするために、当該ソフトウェアが更新されることに応じて更新される。ECU4またはeSE5にインストールされているソフトウェアを更新するために、管理サーバ1により生成されるパッチ(パッチデータ)が適用される。 The management server 1 is a server for managing software that can be provided to specific devices (e.g., specific ECUs or eSEs). Examples of software include operating systems, firmware, and applications required for using various services such as payment services. Each piece of software is assigned a unique identifier and a version number that indicates the version of that software. Here, the version number is updated whenever the software is updated, for example, to fix software defects or change functionality. To update software installed in the ECU 4 or eSE 5, a patch (patch data) generated by the management server 1 is applied.
パッチは、ソフトウェアの識別子毎、且つバージョン番号毎に生成される。例えば、“Ver1”(バージョン番号)のソフトウェア“Sxxx”(識別子)に対して、1つのパッチ“001”(識別子)が生成される。パッチは、プログラムであってもよいし、設定データであってもよい。それぞれのパッチには、識別子が付与され、パッチ適用対象機器リストが対応付けられる。パッチ適用対象機器リストには、パッチが適用される特定の機器(例えば、特定のECUやeSE)の固有識別番号と、パッチが適用される特定のソフトウェアの識別子及びバージョン番号とが対応付けられて登録される。パッチ及びパッチ適用対象機器リストは、ネットワークNWを介して決済端末2へ提供される。なお、特定の機器の固有識別番号は、車両Cの車種を識別する番号であってもよい。 A patch is generated for each software identifier and version number. For example, one patch "001" (identifier) is generated for software "Sxxx" (identifier) with "Ver1" (version number). The patch may be a program or configuration data. Each patch is assigned an identifier and associated with a list of devices to which the patch is applied. The list of devices to which the patch is applied registers the unique identification number of the specific device to which the patch is applied (e.g., a specific ECU or eSE) and the identifier and version number of the specific software to which the patch is applied, in association with each other. The patch and the list of devices to which the patch is applied are provided to the payment terminal 2 via the network NW. The unique identification number of the specific device may also be a number identifying the model of vehicle C.
決済端末2は、例えば、ドライブスルー設備を有する店舗、駐車場、ガソリンスタンドなどの場所に設置され、ユーザが商品を購入する際またはサービスを受ける際の料金支払いのための決済処理をECU4との間で行う端末である。このような場所は、車両Cの外部にあり、車両Cが走行して訪れることが可能な車両訪問場所である。決済処理において用いられる決済方法としては、電子マネー決済やクレジットカード決済等が挙げられるが特に限定されるものではない。なお、決済方法がクレジットカード決済である場合、決済端末2は、ネットワークNWを介してクレジットカード情報を管理するサーバにアクセスして与信照会を行う場合もある。 Payment terminal 2 is installed in locations such as stores with drive-through facilities, parking lots, and gas stations, and is a terminal that performs payment processing between the payment terminal 2 and ECU 4 for payments when a user purchases a product or receives a service. Such locations are located outside vehicle C and are vehicle visit locations that vehicle C can visit while traveling. Payment methods used in payment processing include, but are not limited to, electronic money payment and credit card payment. Note that if the payment method is credit card payment, payment terminal 2 may access a server that manages credit card information via network NW to perform a credit inquiry.
図2は、決済端末2の概要構成例を示す図である。図2に示すように、決済端末2は、記憶部21、リーダライタ22、及びCPU(Central Processing Unit)等から構成される処理部23を備える。記憶部21には、オペレーティングシステム(OS)及びアプリケーション等のソフトウェアが記憶される。アプリケーションには、認証処理プログラム、及び決済処理プログラムが含まれる。また、記憶部21には、eSE5とのセキュアチャネルを確立するための認証処理に用いられる認証用データが格納される。かかる認証用データは、例えば、セキュアチャネル暗号鍵、セキュアチャネルMAC(Message Authentication Code)鍵、及びデータ暗号鍵を含む鍵セットである。さらに、記憶部21には、管理サーバ1から提供されたパッチ及びパッチ適用対象機器リストが対応付けられて記憶される。 Figure 2 is a diagram showing an example of the general configuration of the payment terminal 2. As shown in Figure 2, the payment terminal 2 includes a memory unit 21, a reader/writer 22, and a processing unit 23 composed of a CPU (Central Processing Unit) and other components. The memory unit 21 stores software such as an operating system (OS) and applications. The applications include an authentication processing program and a payment processing program. The memory unit 21 also stores authentication data used in the authentication process to establish a secure channel with the eSE 5. This authentication data is, for example, a key set including a secure channel encryption key, a secure channel MAC (Message Authentication Code) key, and a data encryption key. The memory unit 21 also stores patches provided by the management server 1 and a list of devices to which the patches should be applied, in association with each other.
リーダライタ22は、アンテナを備え、近距離無線通信可能な範囲内で中継器3との間で近距離無線通信を行うことが可能になっている。なお、リーダライタ22と中継器3との間の近距離無線通信のプロトコルは例えばUWBのプロトコルであるとよい。この場合、リーダライタ22は、予め設定された距離範囲に通信相手である中継器3が存在するか否かを一定周期で確認(位置確認)し、当該距離範囲に存在することが確認された中継器3との間で近距離無線通信を行う。なお、リーダライタ22は、例えば決済端末2の筐体外において車両Cが通過する地面に埋め込まれてもよい。 The reader/writer 22 is equipped with an antenna and is capable of conducting short-range wireless communication with the repeater 3 within the short-range wireless communication range. The protocol for short-range wireless communication between the reader/writer 22 and the repeater 3 may be, for example, the UWB protocol. In this case, the reader/writer 22 periodically checks (locates) whether the repeater 3 with which it is communicating is present within a predetermined distance range, and conducts short-range wireless communication with a repeater 3 that is confirmed to be present within that distance range. The reader/writer 22 may be embedded in the ground, for example, outside the housing of the payment terminal 2, through which the vehicle C passes.
処理部23は、本発明における認証手段、取得手段、及び送信手段の一例である。処理部23は、認証処理プログラムにしたがって、中継器3を介してeSE5との間でセキュアセッション確立のための認証処理を実行する。かかる認証処理では、例えば、GVAS(General Vehicle Authentication System)を利用した相互認証が実施されるとよい。eSE5との間の認証処理が完了しeSE5との間のセキュアセッションが確立された場合、処理部23は、認証されたeSE5に接続されるECU4の固有識別番号及びバージョン番号により特定されるパッチを、上記認証処理により生成されたセッション鍵(つまり、eSE5との間で共通のセッション鍵)により暗号化してeSE5へ提供する。また、eSE5と決済端末2との間のセキュアセッションが確立された後、処理部23は、決済処理プログラムにしたがって、決済処理を実行する。 The processing unit 23 is an example of the authentication means, acquisition means, and transmission means of the present invention. The processing unit 23 executes authentication processing to establish a secure session with the eSE 5 via the repeater 3 in accordance with an authentication processing program. This authentication processing may involve mutual authentication using, for example, GVAS (General Vehicle Authentication System). When the authentication processing with the eSE 5 is completed and a secure session with the eSE 5 is established, the processing unit 23 encrypts a patch identified by the unique identification number and version number of the ECU 4 connected to the authenticated eSE 5 using a session key (i.e., a session key shared with the eSE 5) generated by the authentication processing, and provides the encrypted patch to the eSE 5. After a secure session is established between the eSE 5 and the payment terminal 2, the processing unit 23 executes payment processing in accordance with the payment processing program.
中継器3、ECU4、及びeSE5は、例えば、車両C内のセンターコンソールなどに設置される。車両C内において、中継器3とECU4とは電気的に接続され、且つECU4とeSE5とは電気的に接続される。なお、中継器3とeSE5とが電気的に接続されてもよい。中継器3は、アンテナを備え、リーダライタ22との間で近距離無線通信可能になっている。さらに、中継器3は、近距離無線通信可能な範囲内において車両Cの搭乗者(ユーザ)の電子デバイスとの間で近距離無線通信を行う。車両Cの搭乗者の電子デバイスは、例えば、当該搭乗者により携帯される非接触ICカードやスマートフォンである。なお、車両Cの搭乗者の電子デバイスと中継器3との間の近距離無線通信のプロトコルは例えばNFCのプロトコル(例えば、ISO14443で規定されたプロトコル)であるとよい。また、非接触ICカードは、例えば高い耐タンパ性を有するUICC(Universal Integrated Circuit Card)などのセキュアエレメントを含んで構成されるとよい。 The repeater 3, ECU 4, and eSE 5 are installed, for example, in the center console of vehicle C. Within vehicle C, the repeater 3 and ECU 4 are electrically connected, and the ECU 4 and eSE 5 are also electrically connected. The repeater 3 and eSE 5 may also be electrically connected. The repeater 3 is equipped with an antenna and is capable of short-range wireless communication with the reader/writer 22. Furthermore, the repeater 3 performs short-range wireless communication with the electronic device of a passenger (user) of vehicle C within the short-range wireless communication range. The electronic device of the passenger of vehicle C is, for example, a contactless IC card or smartphone carried by the passenger. The protocol for short-range wireless communication between the passenger's electronic device of vehicle C and the repeater 3 may be, for example, an NFC protocol (e.g., a protocol specified in ISO 14443). The contactless IC card may be configured to include a secure element, such as a UICC (Universal Integrated Circuit Card) with high tamper resistance.
図3は、ECU4の概要構成例を示す図である。図3に示すように、ECU4は、インターフェース(I/F)部41、インターフェース(I/F)部42、記憶部43、及び制御部44等を備えて構成される。インターフェース部41は、中継器3との間のインターフェースを担う。インターフェース部42は、eSE5との間のインターフェースを担う。インターフェースの例として、SPI(Serial Peripheral Interface)、I2C(Inter-Integrated Circuit)、及びISO7816のインターフェースなどが挙げられる。なお、ECU4とeSE5は、本発明の電子デバイスを構成する。 3 is a diagram showing an example of the schematic configuration of the ECU 4. As shown in FIG. 3, the ECU 4 is configured to include an interface (I/F) unit 41, an interface (I/F) unit 42, a storage unit 43, and a control unit 44. The interface unit 41 serves as an interface with the repeater 3. The interface unit 42 serves as an interface with the eSE 5. Examples of interfaces include SPI (Serial Peripheral Interface), I2C (Inter-Integrated Circuit), and ISO7816 interfaces. The ECU 4 and the eSE 5 constitute an electronic device of the present invention.
記憶部43には、オペレーティングシステム、及びアプリケーション等のソフトウェアが記憶される。アプリケーションには、パッチを適用可能な決済処理プログラムが含まれる。また、記憶部43には、決済用データが記憶される。決済用データには、決済方法に応じた決済に必要な情報が含まれる。例えば、決済方法がクレジットカード決済である場合、決済用データには、クレジットカード決済に必要なクレジットカード番号、名義人の氏名、及び有効期限等のデータが含まれる。また、決済方法が電子マネー決済である場合、決済用データには、電子マネー決済に必要な電子マネー番号、及び電子バリュー等のデータが含まれる。さらに、記憶部43(記憶手段の一例)には、ECU4の固有識別番号と、ECU4にインストールされた決済処理プログラム等のソフトウェアのバージョン番号とが記憶される。 The memory unit 43 stores software such as an operating system and applications. Applications include payment processing programs to which patches can be applied. The memory unit 43 also stores payment data. The payment data includes information required for payment depending on the payment method. For example, if the payment method is credit card payment, the payment data includes data required for credit card payment, such as the credit card number, the cardholder's name, and expiration date. If the payment method is electronic money payment, the payment data includes data such as the electronic money number and electronic value required for electronic money payment. The memory unit 43 (an example of a storage means) also stores the unique identification number of the ECU 4 and the version number of software, such as the payment processing program, installed in the ECU 4.
制御部44は、CPU、RAM、及びROM等を備えて構成される。制御部44は、本発明における取得手段及び更新手段の一例である。eSE5と決済端末2との間のセキュアセッションが確立され、決済端末2から中継器3及びeSE5を介してパッチが提供された場合、当該パッチを取得し、当該パッチに対する決済処理プログラム等のソフトウェアを更新する。また、eSE5と決済端末2との間のセキュアセッションが確立された後、制御部44は、決済処理プログラムにしたがって、決済処理を実行する。なお、制御部44は、車両Cのエンジンの始動制御やドアの施解錠制御に用いられてもよい。また、車両Cのコンソールにディスプレイ等のマルチメディア端末が備えられる場合、マルチメディア端末は、図示しないインターフェース部を介して制御部44に電気的に接続され、制御部44により制御される。 The control unit 44 is configured with a CPU, RAM, ROM, etc. The control unit 44 is an example of the acquisition means and update means of the present invention. When a secure session is established between the eSE 5 and the payment terminal 2 and a patch is provided from the payment terminal 2 via the repeater 3 and the eSE 5, the control unit 44 acquires the patch and updates software such as the payment processing program for the patch. After a secure session is established between the eSE 5 and the payment terminal 2, the control unit 44 executes payment processing in accordance with the payment processing program. The control unit 44 may also be used to control the engine start of the vehicle C and the door locking/unlocking. If the console of the vehicle C is equipped with a multimedia terminal such as a display, the multimedia terminal is electrically connected to the control unit 44 via an interface unit (not shown) and controlled by the control unit 44.
eSE5は、例えば、車両Cのセンターコンソール内部などに設置され、例えば高い耐タンパ性を有するeUICC(embedded Universal Integrated Circuit Card)などのセキュアエレメントである。図4は、eSE5の概要構成例を示す図である。図4に示すように、eSE5は、インターフェース(I/F)部51、RAM(Random Access Memory)52、NVM(Nonvolatile Memory)53、及びCPU54等を備えて構成される。インターフェース部51は、ECU4との間のインターフェースを担い、ECU4に電気的に接続される。NVM53には、オペレーティングシステム、及びアプリケーション等のソフトウェアが記憶される。アプリケーションには、パッチを適用可能な認証処理プログラムが含まれる。 The eSE 5 is installed, for example, inside the center console of the vehicle C, and is a secure element such as an eUICC (embedded Universal Integrated Circuit Card) with high tamper resistance. Figure 4 is a diagram showing an example of the general configuration of the eSE 5. As shown in Figure 4, the eSE 5 is composed of an interface (I/F) unit 51, RAM (Random Access Memory) 52, NVM (Nonvolatile Memory) 53, and CPU 54. The interface unit 51 serves as an interface with the ECU 4 and is electrically connected to the ECU 4. The NVM 53 stores software such as an operating system and applications. The applications include an authentication processing program to which patches can be applied.
NVM53には、決済端末2とのセキュアチャネルを確立するための認証処理に用いられる認証用データ(例えば、セキュアチャネル暗号鍵、セキュアチャネルMAC鍵、及びデータ暗号鍵を含む鍵セット)が格納される。CPU54は、本発明における認証手段及び取得手段の一例である。CPU54は、認証処理プログラムにしたがって、中継器3を介して決済端末2との間でセキュアセッション確立のための認証処理を実行する。決済端末2との間の認証処理が完了し決済端末2との間のセキュアセッションが確立され、決済端末2との間で共通のセッション鍵により暗号化されたパッチが提供された場合、CPU54は、当該パッチを取得(つまり、決済端末2から中継器3を介して取得)し、当該パッチをセッション鍵により復号してECU4へ提供する。 NVM 53 stores authentication data (e.g., a key set including a secure channel encryption key, a secure channel MAC key, and a data encryption key) used in the authentication process to establish a secure channel with payment terminal 2. CPU 54 is an example of the authentication means and acquisition means of the present invention. In accordance with the authentication process program, CPU 54 executes authentication processing to establish a secure session with payment terminal 2 via repeater 3. When the authentication process with payment terminal 2 is completed and a secure session with payment terminal 2 is established, and a patch encrypted with a common session key is provided with payment terminal 2, CPU 54 acquires the patch (i.e., acquires it from payment terminal 2 via repeater 3), decrypts the patch with the session key, and provides it to ECU 4.
なお、eSE5と決済端末2との間のセキュアセッションが確立され、決済端末2から中継器3を介して認証処理プログラム用のパッチが提供された場合、CPU54は、当該パッチを取得し、更新手段として、当該パッチに基づいて、認証処理プログラムを更新してもよい。この場合、NVM53(記憶手段の一例)には、eSE5の固有識別番号と、eSE5にインストールされた認証処理プログラムのバージョン番号とが記憶される。 In addition, when a secure session is established between the eSE 5 and the payment terminal 2 and a patch for the authentication processing program is provided from the payment terminal 2 via the repeater 3, the CPU 54 may acquire the patch and, as an update means, update the authentication processing program based on the patch. In this case, the NVM 53 (an example of a storage means) stores the unique identification number of the eSE 5 and the version number of the authentication processing program installed in the eSE 5.
[2.決済処理システムSの動作]
次に、図5~図8を参照して、決済処理システムSの動作について説明する。図5は、時間払いの駐車場の地面に埋め込まれたリーダライタ22と車両Cとの位置関係を示す概念図である。図6は、決済処理システムSにおいてセキュアセッション開始前に実施されるトランザクションの一例を示すシーケンス図である。図7及び図8は、決済処理システムSにおいてセキュアセッション開始後に実施されるトランザクションの一例を示すシーケンス図である。
2. Operation of payment processing system S
Next, the operation of the payment processing system S will be described with reference to Figures 5 to 8. Figure 5 is a conceptual diagram showing the positional relationship between a reader/writer 22 embedded in the ground of a pay-by-the-hour parking lot and a vehicle C. Figure 6 is a sequence diagram showing an example of a transaction carried out in the payment processing system S before the start of a secure session. Figures 7 and 8 are sequence diagrams showing an example of a transaction carried out in the payment processing system S after the start of a secure session.
図5において、決済端末2のリーダライタ22は、図5(A)に示すように、電波Dをアクティブに発信し、予め設定された距離範囲Hに通信相手が存在するか否かを一定周期で確認する。図5(A)の例では、中継器3を搭載する車両Cが距離範囲H内に入っていないので、中継器3が距離範囲Hに存在することが確認(検知)されない(待機状態)。一方、図5(B)の例では、中継器3を搭載する車両Cが距離範囲H内に入ることにより、中継器3が距離範囲Hに存在することが確認される(通信開始)。なお、図5(B)の例では、車両Cが駐車する場合を例にとっているが、ETC(Electronic Toll Collection System)のように車両Cが所定位置を通り過ぎる場合も、ECU4が距離範囲Hに存在することが確認され、その結果、通信開始されてもよい。また、車両Cに搭載された中継器3が電波をアクティブに発信し、予め設定された距離範囲に通信相手(つまり、決済端末2)が存在するか否かを一定周期で確認してもよい。 5A, the reader/writer 22 of the payment terminal 2 actively transmits radio waves D and periodically checks whether a communication partner exists within a preset distance range H, as shown in FIG. 5A. In the example of FIG. 5A, the vehicle C equipped with the repeater 3 is not within the distance range H, so the presence of the repeater 3 within the distance range H is not confirmed (detected) (standby state). On the other hand, in the example of FIG. 5B, the vehicle C equipped with the repeater 3 enters the distance range H, confirming that the repeater 3 exists within the distance range H (communication begins). Note that the example of FIG. 5B illustrates a case in which the vehicle C is parked. However, even when the vehicle C passes a predetermined position, such as in an Electronic Toll Collection System (ETC), the ECU 4 may confirm that it exists within the distance range H, and as a result, communication may begin. Alternatively, the repeater 3 equipped in the vehicle C may actively transmit radio waves and periodically check whether a communication partner (i.e., the payment terminal 2) exists within the preset distance range.
図6において、決済端末2の処理部23は、中継器3が距離範囲Hに存在することを確認すると(ステップS1)、中継器3との間の近距離無線通信を開始し(ステップS2)、認証処理を行うためのアプリケーション(認証処理プログラム)を選択するSELECTコマンドを、リーダライタ22を介して中継器3へ送信する(ステップS3)。かかるSELECTコマンドには、選択対象のアプリケーションの識別子(AID)が含まれる。 In FIG. 6, when the processing unit 23 of the payment terminal 2 confirms that the repeater 3 is within distance range H (step S1), it starts short-range wireless communication with the repeater 3 (step S2) and sends a SELECT command to the repeater 3 via the reader/writer 22 to select an application (authentication processing program) for performing authentication processing (step S3). This SELECT command includes the identifier (AID) of the application to be selected.
次いで、中継器3は、決済端末2からのSELECTコマンドを受信すると、当該SELECTコマンドをECU4へ送信する(ステップS4)。なお、中継器3とeSE5とが電気的に接続されている場合、中継器3は、ECU4を介さずにeSE5へコマンドを直接送信してもよく、また、ECU4からレスポンスを直接受信してもよい。次いで、ECU4の制御部44は、中継器3からのSELECTコマンドをインターフェース部41を介して受信すると、当該SELECTコマンドをインターフェース部42を介してeSE5へ送信する(ステップS5)。 Next, when the repeater 3 receives the SELECT command from the payment terminal 2, it transmits the SELECT command to the ECU 4 (step S4). Note that if the repeater 3 and the eSE 5 are electrically connected, the repeater 3 may transmit the command directly to the eSE 5 without going through the ECU 4, or may receive a response directly from the ECU 4. Next, when the control unit 44 of the ECU 4 receives the SELECT command from the repeater 3 via the interface unit 41, it transmits the SELECT command to the eSE 5 via the interface unit 42 (step S5).
次いで、eSE5のCPU54は、ECU4(または中継器3)からのSELECTコマンドをインターフェース部51を介して受信すると、当該SELECTコマンドに応じて(つまり、コマンドを解釈して)アプリケーション(認証処理プログラム)を選択する(ステップS6)。次いで、eSE5のCPU54は、SELECTコマンドに対するレスポンスを、インターフェース部51を介してECU4(または中継器3)へ送信する(ステップS7)。かかるレスポンスには、例えば、SW“9000”及びTLV形式のFCI(File Control Information)が含まれている。 Next, when the CPU 54 of the eSE 5 receives a SELECT command from the ECU 4 (or the repeater 3) via the interface unit 51, it selects an application (authentication processing program) in accordance with the SELECT command (i.e., by interpreting the command) (step S6). Next, the CPU 54 of the eSE 5 transmits a response to the SELECT command to the ECU 4 (or the repeater 3) via the interface unit 51 (step S7). This response includes, for example, SW "9000" and FCI (File Control Information) in TLV format.
次いで、ECU4の制御部44は、eSE5からのレスポンスをインターフェース部42を介して受信すると、当該レスポンスをインターフェース部41を介して中継器3へ送信する(ステップS8)。次いで、中継器3は、ECU4(またはeSE5)からのレスポンスを受信すると、当該レスポンスを決済端末2へ送信する(ステップS9)。 Next, when the control unit 44 of the ECU 4 receives a response from the eSE 5 via the interface unit 42, it transmits the response to the repeater 3 via the interface unit 41 (step S8). Next, when the repeater 3 receives a response from the ECU 4 (or eSE 5), it transmits the response to the payment terminal 2 (step S9).
次いで、決済端末2の処理部23は、中継器3からのレスポンスをリーダライタ22を介して受信すると、eSE5との相互認証処理を開始する(ステップS10)。なお、図6の例では相互認証処理を示しているが、片側認証処理であっても構わない。相互認証処理が開始されると、決済端末2の処理部23は、INITALIZE UPDATEコマンドを、リーダライタ22を介して中継器3へ送信する(ステップS11)。ここで、INITALIZE UPDATEコマンドは、決済端末2とeSE5のセキュアチャネルを確立するための相互認証処理の開始をeSE5へ通知するためのコマンドである。INITALIZE UPDATEコマンドには、乱数、及びKey Version Numberが含まれる。Key Version Numberは、暗号演算の元となる認証用データの識別に用いるデータである。 Next, when the processing unit 23 of the payment terminal 2 receives a response from the repeater 3 via the reader/writer 22, it starts mutual authentication processing with the eSE 5 (step S10). Note that while the example in Figure 6 shows mutual authentication processing, one-sided authentication processing may also be used. When mutual authentication processing starts, the processing unit 23 of the payment terminal 2 sends an INITALIZE UPDATE command to the repeater 3 via the reader/writer 22 (step S11). Here, the INITALIZE UPDATE command is a command for notifying the eSE 5 of the start of mutual authentication processing to establish a secure channel between the payment terminal 2 and the eSE 5. The INITALIZE UPDATE command includes a random number and a Key Version Number. The Key Version Number is data used to identify the authentication data that is the basis of the cryptographic calculation.
次いで、中継器3は、決済端末2からのINITALIZE UPDATEコマンドを受信すると、当該INITALIZE UPDATEコマンドをECU4(またはeSE5)へ送信する(ステップS12)。次いで、ECU4の制御部44は、中継器3からのINITALIZE UPDATEコマンドをインターフェース部41を介して受信すると、当該INITALIZE UPDATEコマンドをインターフェース部42を介してeSE5へ送信する(ステップS13)。 Next, when the relay device 3 receives the INITALIZE UPDATE command from the payment terminal 2, it transmits the INITALIZE UPDATE command to the ECU 4 (or eSE 5) (step S12). Next, when the control unit 44 of the ECU 4 receives the INITALIZE UPDATE command from the relay device 3 via the interface unit 41, it transmits the INITALIZE UPDATE command to the eSE 5 via the interface unit 42 (step S13).
次いで、eSE5のCPU54は、ECU4(または中継器3)からのINITALIZE UPDATEコマンドをインターフェース部51を介して受信すると、当該INITALIZE UPDATEコマンドに応じて、乱数、セッション鍵、及び暗号文A(Card Cryptogram)を生成する(ステップS14)。ここで、セッション鍵は、セキュアチャネルで用いられる暗号鍵であり、例えば、INITALIZE UPDATEコマンドに含まれる乱数、ステップS14で生成された乱数、及びNVM24に記憶された認証用データ等に基づいて生成される。次いで、eSE5のCPU54は、ステップS14で生成された乱数及び暗号文A(Card Cryptogram)を含むレスポンスを、インターフェース部51を介してECU4(または中継器3)へ送信する(ステップS15)。 Next, when the CPU 54 of the eSE 5 receives an INITALIZE UPDATE command from the ECU 4 (or the repeater 3) via the interface unit 51, it generates a random number, a session key, and ciphertext A (Card Cryptogram) in response to the INITALIZE UPDATE command (step S14). Here, the session key is an encryption key used in the secure channel, and is generated, for example, based on the random number included in the INITALIZE UPDATE command, the random number generated in step S14, and authentication data stored in the NVM 24. Next, the CPU 54 of the eSE 5 transmits a response including the random number and ciphertext A (Card Cryptogram) generated in step S14 to the ECU 4 (or the repeater 3) via the interface unit 51 (step S15).
次いで、ECU4の制御部44は、eSE5からのレスポンスをインターフェース部42を介して受信すると、当該レスポンスをインターフェース部41を介して中継器3へ送信する(ステップS16)。次いで、中継器3は、ECU4(またはeSE5)からのレスポンスを受信すると、当該レスポンスを決済端末2へ送信する(ステップS17)。 Next, when the control unit 44 of the ECU 4 receives a response from the eSE 5 via the interface unit 42, it transmits the response to the repeater 3 via the interface unit 41 (step S16). Next, when the repeater 3 receives a response from the ECU 4 (or eSE 5), it transmits the response to the payment terminal 2 (step S17).
次いで、決済端末2の処理部23は、中継器3からのレスポンスをリーダライタ22を介して受信すると、認証処理プログラムにしたがってeSE5と同じ方法でセッション鍵及び暗号文A(Card Cryptogram)を生成する(ステップS18)。次いで、決済端末2の処理部23は、中継器3から受信されたレスポンスに含まれる暗号文A(Card Cryptogram)と、ステップS18で生成された暗号文A(Card Cryptogram)とを照合することでeSE5の正当性を検証する(ステップS19)。次いで、決済端末2の処理部23は、eSE5の正当性検証に成功(つまり、認証成功)すると、暗号文B(Host Cryptogram)を生成する(ステップS20)。次いで、決済端末2の処理部23は、ステップS20で生成された暗号文B(Host Cryptogram)を含むEXTERNAL AUTHENTICATEコマンドを、リーダライタ22を介して中継器3へ送信する(ステップS21)。なお、正当性検証に失敗した場合(つまり、認証失敗)すると、エラー処理が行われる。 Next, when the processing unit 23 of the payment terminal 2 receives a response from the repeater 3 via the reader/writer 22, it generates a session key and ciphertext A (Card Cryptogram) in the same manner as eSE5 according to the authentication processing program (step S18). Next, the processing unit 23 of the payment terminal 2 verifies the legitimacy of eSE5 by comparing ciphertext A (Card Cryptogram) included in the response received from the repeater 3 with the ciphertext A (Card Cryptogram) generated in step S18 (step S19). Next, if the processing unit 23 of the payment terminal 2 successfully verifies the legitimacy of eSE5 (i.e., authentication is successful), it generates ciphertext B (Host Cryptogram) (step S20). Next, the processing unit 23 of the payment terminal 2 transmits an EXTERNAL AUTHENTICATE command including ciphertext B (Host Cryptogram) generated in step S20 to the repeater 3 via the reader/writer 22 (step S21). If validity verification fails (i.e., authentication fails), error handling will be performed.
次いで、中継器3は、決済端末2からのEXTERNAL AUTHENTICATEコマンドを受信すると、当該EXTERNAL AUTHENTICATEコマンドをECU4(またはeSE5)へ送信する(ステップS22)。次いで、ECU4の制御部44は、中継器3からのEXTERNAL AUTHENTICATEコマンドをインターフェース部41を介して受信すると、当該EXTERNAL AUTHENTICATEコマンドをインターフェース部42を介してeSE5へ送信する(ステップS23)。 Next, when the relay device 3 receives the EXTERNAL AUTHENTICATE command from the payment terminal 2, it transmits the EXTERNAL AUTHENTICATE command to the ECU 4 (or eSE 5) (step S22). Next, when the control unit 44 of the ECU 4 receives the EXTERNAL AUTHENTICATE command from the relay device 3 via the interface unit 41, it transmits the EXTERNAL AUTHENTICATE command to the eSE 5 via the interface unit 42 (step S23).
次いで、eSE5のCPU54は、ECU4(または中継器3)からのEXTERNAL AUTHENTICATEコマンドをインターフェース部51を介して受信すると、当該EXTERNAL AUTHENTICATEコマンドに応じて、認証処理プログラムにしたがって決済端末2と同じ方法で暗号文B(Host Cryptogram)を生成する(ステップS24)。次いで、eSE5のCPU54は、当該EXTERNAL AUTHENTICATEコマンドに含まれる暗号文B(Host Cryptogram)と、ステップS24で生成された暗号文B(Host Cryptogram)とを照合することで決済端末2の正当性を検証する(ステップS25)。次いで、eSE5のCPU54は、決済端末2の正当性検証に成功(つまり、認証成功)すると、認証成功を示すレスポンスを、インターフェース部51を介してECU4(または中継器3)へ送信する(ステップS26)。なお、正当性検証に失敗した場合(つまり、認証失敗)すると、エラー処理が行われる。 Next, when the CPU 54 of the eSE 5 receives the EXTERNAL AUTHENTICATE command from the ECU 4 (or repeater 3) via the interface unit 51, it generates ciphertext B (Host Cryptogram) in response to the EXTERNAL AUTHENTICATE command in accordance with the authentication processing program using the same method as the payment terminal 2 (step S24). Next, the CPU 54 of the eSE 5 verifies the legitimacy of the payment terminal 2 by comparing the ciphertext B (Host Cryptogram) included in the EXTERNAL AUTHENTICATE command with the ciphertext B (Host Cryptogram) generated in step S24 (step S25). Next, if the CPU 54 of the eSE 5 successfully verifies the legitimacy of the payment terminal 2 (i.e., authentication is successful), it transmits a response indicating successful authentication to the ECU 4 (or repeater 3) via the interface unit 51 (step S26). Note that if the legitimacy verification fails (i.e., authentication fails), error processing is performed.
次いで、ECU4の制御部44は、eSE5からのレスポンスをインターフェース部42を介して受信すると、当該レスポンスをインターフェース部41を介して中継器3へ送信する(ステップS27)。次いで、中継器3は、ECU4(またはeSE5)からのレスポンスを受信すると、当該レスポンスを決済端末2へ送信する(ステップS28)。次いで、決済端末2の処理部23は、中継器3からのレスポンスをリーダライタ22を介して受信すると、eSE5との相互認証処理を終了する(ステップS29)。これにより、決済端末2とeSE5との間のセキュアチャネルが確立する。 Next, when the control unit 44 of the ECU 4 receives a response from the eSE 5 via the interface unit 42, it transmits the response to the repeater 3 via the interface unit 41 (step S27). Next, when the repeater 3 receives a response from the ECU 4 (or eSE 5), it transmits the response to the payment terminal 2 (step S28). Next, when the processing unit 23 of the payment terminal 2 receives a response from the repeater 3 via the reader/writer 22, it terminates the mutual authentication process with the eSE 5 (step S29). This establishes a secure channel between the payment terminal 2 and the eSE 5.
次に、図7において、セキュアセッションが開始されると(ステップS31)、決済端末2の処理部23は、決済処理を行うためのアプリケーション(決済処理プログラム)を選択するSELECTコマンドを、上記セッション鍵で暗号化し、暗号化されたSELECTコマンド(以下、「暗号化SELECTコマンド」という)を、リーダライタ22を介して中継器3へ送信する(ステップS32)。かかるSELECTコマンドには、選択対象のアプリケーションの識別子(AID)が含まれる。 Next, in FIG. 7, when a secure session is initiated (step S31), the processing unit 23 of the payment terminal 2 encrypts a SELECT command, which selects an application (payment processing program) for performing payment processing, with the session key, and transmits the encrypted SELECT command (hereinafter referred to as the "encrypted SELECT command") to the repeater 3 via the reader/writer 22 (step S32). This SELECT command includes the identifier (AID) of the application to be selected.
次いで、中継器3は、決済端末2からの暗号化SELECTコマンドを受信すると、当該暗号化SELECTコマンドをECU4(またはeSE5)へ送信する(ステップS33)。次いで、ECU4の制御部44は、中継器3からの暗号化SELECTコマンドをインターフェース部41を介して受信すると、当該暗号化SELECTコマンドをインターフェース部42を介してeSE5へ送信する(ステップS34)。 Next, when the repeater 3 receives the encrypted SELECT command from the payment terminal 2, it transmits the encrypted SELECT command to the ECU 4 (or eSE 5) (step S33). Next, when the control unit 44 of the ECU 4 receives the encrypted SELECT command from the repeater 3 via the interface unit 41, it transmits the encrypted SELECT command to the eSE 5 via the interface unit 42 (step S34).
次いで、eSE5のCPU54は、ECU4(または中継器3)からの暗号化SELECTコマンドをインターフェース部51を介して受信すると、当該暗号化SELECTコマンドを上記セッション鍵で復号し、復号されたSELECTコマンドを、インターフェース部51を介してECU4へ送信する(ステップS35)。次いで、ECU4の制御部44は、eSE5からのSELECTコマンドを受信すると、当該SELECTコマンドに応じてアプリケーション(決済処理プログラム)を選択する(ステップS36)。次いで、ECU4の制御部44は、当該SELECTコマンドに対するレスポンスをインターフェース部42を介してeSE5へ送信する(ステップS37)。 Next, when the CPU 54 of the eSE 5 receives an encrypted SELECT command from the ECU 4 (or the repeater 3) via the interface unit 51, it decrypts the encrypted SELECT command using the session key and transmits the decrypted SELECT command to the ECU 4 via the interface unit 51 (step S35). Next, when the control unit 44 of the ECU 4 receives the SELECT command from the eSE 5, it selects an application (payment processing program) in accordance with the SELECT command (step S36). Next, the control unit 44 of the ECU 4 transmits a response to the SELECT command to the eSE 5 via the interface unit 42 (step S37).
次いで、eSE5のCPU54は、ECU4からのレスポンスをインターフェース部51を介して受信すると、当該レスポンスを上記セッション鍵で暗号化し、暗号化されたレスポンス(以下、「暗号化レスポンス」という)を、インターフェース部51を介してECU4(または中継器3)へ送信する(ステップS38)。次いで、ECU4の制御部44は、eSE5からの暗号化レスポンスをインターフェース部42を介して受信すると、当該暗号化レスポンスをインターフェース部41を介して中継器3へ送信する(ステップS39)。次いで、中継器3は、ECU4(またはeSE5)からの暗号化レスポンスを受信すると、当該暗号化レスポンスを決済端末2へ送信する(ステップS40)。 Next, when the CPU 54 of the eSE 5 receives a response from the ECU 4 via the interface unit 51, it encrypts the response with the session key and transmits the encrypted response (hereinafter referred to as the "encrypted response") to the ECU 4 (or the repeater 3) via the interface unit 51 (step S38). Next, when the control unit 44 of the ECU 4 receives the encrypted response from the eSE 5 via the interface unit 42, it transmits the encrypted response to the repeater 3 via the interface unit 41 (step S39). Next, when the repeater 3 receives the encrypted response from the ECU 4 (or the eSE 5), it transmits the encrypted response to the payment terminal 2 (step S40).
次いで、決済端末2の処理部23は、中継器3からの暗号化レスポンスをリーダライタ22を介して受信すると、当該暗号化レスポンスを復号する。次いで、決済端末2の処理部23は、固有識別番号及びバージョン番号の取得要求を示すGET DATAコマンドを、上記セッション鍵で暗号化し、暗号化されたGET DATAコマンド(以下、「暗号化GET DATAコマンド」という)を、リーダライタ22を介して中継器3へ送信する(ステップS41)。ここで、取得要求にかかる固有識別番号は、ECU4の固有識別番号であり、取得要求にかかるバージョン番号は、ECU4にインストールされているアプリケーションのうち選択されたアプリケーション(決済処理プログラム)のバージョン番号である。 Next, when the processing unit 23 of the payment terminal 2 receives the encrypted response from the repeater 3 via the reader/writer 22, it decrypts the encrypted response. Next, the processing unit 23 of the payment terminal 2 encrypts a GET DATA command indicating a request to obtain the unique identification number and version number with the session key, and transmits the encrypted GET DATA command (hereinafter referred to as the "encrypted GET DATA command") to the repeater 3 via the reader/writer 22 (step S41). Here, the unique identification number in the request is the unique identification number of the ECU 4, and the version number in the request is the version number of a selected application (payment processing program) from among the applications installed on the ECU 4.
次いで、中継器3は、決済端末2からの暗号化GET DATAコマンドを受信すると、当該暗号化GET DATAコマンドをECU4(またはeSE5)へ送信する(ステップS42)。次いで、ECU4の制御部44は、中継器3からの暗号化GET DATAコマンドをインターフェース部41を介して受信すると、当該暗号化GET DATAコマンドをインターフェース部42を介してeSE5へ送信する(ステップS43)。 Next, when the repeater 3 receives the encrypted GET DATA command from the payment terminal 2, it transmits the encrypted GET DATA command to the ECU 4 (or eSE 5) (step S42). Next, when the control unit 44 of the ECU 4 receives the encrypted GET DATA command from the repeater 3 via the interface unit 41, it transmits the encrypted GET DATA command to the eSE 5 via the interface unit 42 (step S43).
次いで、eSE5のCPU54は、ECU4(または中継器3)からの暗号化GET DATAコマンドをインターフェース部51を介して受信すると、当該暗号化GET DATAコマンドを上記セッション鍵で復号し、復号されたGET DATAコマンドを、インターフェース部51を介してECU4へ送信する(ステップS44)。次いで、ECU4の制御部44は、eSE5からのGET DATAコマンドを受信すると、当該GET DATAコマンドに応じて、ECU4の固有識別番号、及び選択中のアプリケーション(決済処理プログラム)のバージョン番号を記憶部43から読み出す(ステップS45)。次いで、ECU4の制御部44は、ステップS45で読み出された固有識別番号及びバージョン番号を含むレスポンスをインターフェース部42を介してeSE5へ送信する(ステップS46)。 Next, when the CPU 54 of the eSE 5 receives an encrypted GET DATA command from the ECU 4 (or the repeater 3) via the interface unit 51, it decrypts the encrypted GET DATA command using the session key and transmits the decrypted GET DATA command to the ECU 4 via the interface unit 51 (step S44). Next, when the control unit 44 of the ECU 4 receives the GET DATA command from the eSE 5, it reads the unique identification number of the ECU 4 and the version number of the selected application (payment processing program) from the memory unit 43 in response to the GET DATA command (step S45). Next, the control unit 44 of the ECU 4 transmits a response including the unique identification number and version number read in step S45 to the eSE 5 via the interface unit 42 (step S46).
次いで、eSE5のCPU54は、ECU4からのレスポンスをインターフェース部51を介して受信すると、当該レスポンスを上記セッション鍵で暗号化し、暗号化された暗号化レスポンスを、インターフェース部51を介してECU4(または中継器3)へ送信する(ステップS47)。次いで、ECU4の制御部44は、eSE5からの暗号化レスポンスをインターフェース部42を介して受信すると、当該暗号化レスポンスをインターフェース部41を介して中継器3へ送信する(ステップS48)。次いで、中継器3は、ECU4(またはeSE5)からの暗号化レスポンスを受信すると、当該暗号化レスポンスを決済端末2へ送信する(ステップS49)。 Next, when the CPU 54 of the eSE 5 receives a response from the ECU 4 via the interface unit 51, it encrypts the response with the session key and transmits the encrypted response to the ECU 4 (or the repeater 3) via the interface unit 51 (step S47). Next, when the control unit 44 of the ECU 4 receives the encrypted response from the eSE 5 via the interface unit 42, it transmits the encrypted response to the repeater 3 via the interface unit 41 (step S48). Next, when the repeater 3 receives the encrypted response from the ECU 4 (or the eSE 5), it transmits the encrypted response to the payment terminal 2 (step S49).
次いで、決済端末2の処理部23は、中継器3からの暗号化レスポンスをリーダライタ22を介して受信すると、当該暗号化レスポンスを復号し、復号されたレスポンスから固有識別番号及びバージョン番号を取得する(ステップS50)。こうして、処理部23は、当該固有識別番号及びバージョン番号を中継器3等を介してECU4から取得することになる。次いで、図8に示すように、決済端末2の処理部23は、ステップS50で取得された固有識別番号とバージョン番号との組合せと、ECU4で選択中のアプリケーションの識別子とを対応付けて登録しているパッチ適用対象機器リストがある(つまり、記憶部21に記憶されている)か否かを判定する(ステップS51)。そのようなパッチ適用対象機器リストがあると判定された場合(ステップS51:YES)、該パッチ適用対象機器リストが特定され、処理はステップS52へ進み、当該パッチ適用対象機器リストがないと判定された場合(ステップS51:NO)、処理はステップS63へ進む。 Next, when the processing unit 23 of the payment terminal 2 receives the encrypted response from the repeater 3 via the reader/writer 22, it decrypts the encrypted response and obtains the unique identification number and version number from the decrypted response (step S50). In this way, the processing unit 23 obtains the unique identification number and version number from the ECU 4 via the repeater 3 or the like. Next, as shown in FIG. 8 , the processing unit 23 of the payment terminal 2 determines whether a patch application target device list exists (i.e., whether it is stored in the memory unit 21) in which the combination of the unique identification number and version number obtained in step S50 is associated with the identifier of the application currently selected by the ECU 4 (step S51). If it is determined that such a patch application target device list exists (step S51: YES), the patch application target device list is identified, and processing proceeds to step S52. If it is determined that such a patch application target device list does not exist (step S51: NO), processing proceeds to step S63.
なお、ECU4にパッチが適用される可能性があるアプリケーションが1つだけインストールされている場合、決済端末2の処理部23は、ステップS50で取得された固有識別番号とバージョン番号との組合せを登録しているパッチ適用対象機器リストがあるか否かを判定すればよい(アプリケーションの識別子を参照する必要はない)。 If only one application to which a patch may be applied is installed on the ECU 4, the processing unit 23 of the payment terminal 2 simply determines whether there is a list of devices to which the patch may be applied that registers the combination of the unique identification number and version number obtained in step S50 (there is no need to refer to the application identifier).
ステップS52では、決済端末2の処理部23は、ステップS51で特定されたパッチ適用対象機器リストに対応付けられたパッチを記憶部21から特定する。次いで、決済端末2の処理部23は、ステップS52で特定されたパッチを含むUPDATEコマンド(UPDATE PROGRAMコマンド)を、上記セッション鍵で暗号化し、暗号化されたUPDATEコマンド(以下、「暗号化UPDATEコマンド」という)を、リーダライタ22を介して中継器3へ送信する(ステップS53)。 In step S52, the processing unit 23 of the payment terminal 2 identifies from the memory unit 21 a patch associated with the list of devices to be patched identified in step S51. Next, the processing unit 23 of the payment terminal 2 encrypts the UPDATE command (UPDATE PROGRAM command) containing the patch identified in step S52 with the session key, and transmits the encrypted UPDATE command (hereinafter referred to as the "encrypted UPDATE command") to the repeater 3 via the reader/writer 22 (step S53).
次いで、中継器3は、決済端末2からの暗号化UPDATEコマンドを受信すると、当該暗号化UPDATEコマンドをECU4(またはeSE5)へ送信する(ステップS54)。次いで、ECU4の制御部44は、中継器3からの暗号化UPDATEコマンドをインターフェース部41を介して受信すると、当該暗号化UPDATEコマンドをインターフェース部42を介してeSE5へ送信する(ステップS55)。 Next, when the repeater 3 receives the encrypted UPDATE command from the payment terminal 2, it transmits the encrypted UPDATE command to the ECU 4 (or eSE 5) (step S54). Next, when the control unit 44 of the ECU 4 receives the encrypted UPDATE command from the repeater 3 via the interface unit 41, it transmits the encrypted UPDATE command to the eSE 5 via the interface unit 42 (step S55).
次いで、eSE5のCPU54は、ECU4(または中継器3)からの暗号化UPDATEコマンドをインターフェース部51を介して受信すると、当該暗号化UPDATEコマンドを上記セッション鍵で復号し、復号されたUPDATEコマンドを、インターフェース部51を介してECU4へ送信する(ステップS56)。次いで、ECU4の制御部44は、eSE5からのUPDATEコマンドを受信すると、当該UPDATEコマンドに含まれるパッチを取得し(ステップS57)、当該取得したパッチに基づいて、選択中のアプリケーション(決済処理プログラム)を更新する(ステップS58)。パッチの更新が正常に行われた場合、ECU4の制御部44は、正常終了を示すレスポンスをインターフェース部41を介してeSE5へ送信する(ステップS59)。なお、パッチの更新が正常に行われない場合、ECU4の制御部44は、ロールバック処理を行う。 Next, when the CPU 54 of the eSE 5 receives an encrypted UPDATE command from the ECU 4 (or the repeater 3) via the interface unit 51, it decrypts the encrypted UPDATE command using the session key and transmits the decrypted UPDATE command to the ECU 4 via the interface unit 51 (step S56). Next, when the control unit 44 of the ECU 4 receives the UPDATE command from the eSE 5, it acquires the patch included in the UPDATE command (step S57) and updates the selected application (payment processing program) based on the acquired patch (step S58). If the patch update is successful, the control unit 44 of the ECU 4 transmits a response indicating successful completion to the eSE 5 via the interface unit 41 (step S59). Note that if the patch update is not successful, the control unit 44 of the ECU 4 performs rollback processing.
次いで、eSE5のCPU54は、ECU4からのレスポンスをインターフェース部51を介して受信すると、当該レスポンスを上記セッション鍵で暗号化し、暗号化された暗号化レスポンスを、インターフェース部51を介してECU4(または中継器3)へ送信する(ステップS60)。次いで、ECU4の制御部44は、eSE5からの暗号化レスポンスをインターフェース部42を介して受信すると、当該暗号化レスポンスをインターフェース部41を介して中継器3へ送信する(ステップS61)。次いで、中継器3は、ECU4(またはeSE5)からの暗号化レスポンスを受信すると、当該暗号化レスポンスを決済端末2へ送信する(ステップS62)。 Next, when the CPU 54 of the eSE 5 receives a response from the ECU 4 via the interface unit 51, it encrypts the response with the session key and transmits the encrypted response to the ECU 4 (or the repeater 3) via the interface unit 51 (step S60). Next, when the control unit 44 of the ECU 4 receives the encrypted response from the eSE 5 via the interface unit 42, it transmits the encrypted response to the repeater 3 via the interface unit 41 (step S61). Next, when the repeater 3 receives the encrypted response from the ECU 4 (or the eSE 5), it transmits the encrypted response to the payment terminal 2 (step S62).
次いで、決済端末2の処理部23は、中継器3からの暗号化レスポンスをリーダライタ22を介して受信すると、当該暗号化レスポンスを復号し、処理をステップS63へ進める。ステップS63では、決済端末2の処理部23は、決済用データの取得要求を示すGET DATAコマンドを、上記セッション鍵で暗号化し、暗号化GET DATAコマンドを、リーダライタ22を介して中継器3へ送信する。 Next, when the processing unit 23 of the payment terminal 2 receives the encrypted response from the repeater 3 via the reader/writer 22, it decrypts the encrypted response and proceeds to step S63. In step S63, the processing unit 23 of the payment terminal 2 encrypts a GET DATA command indicating a request to obtain payment data with the session key, and transmits the encrypted GET DATA command to the repeater 3 via the reader/writer 22.
次いで、中継器3は、決済端末2からの暗号化GET DATAコマンドを受信すると、当該暗号化GET DATAコマンドをECU4(またはeSE5)へ送信する(ステップS64)。次いで、ECU4の制御部44は、中継器3からの暗号化GET DATAコマンドをインターフェース部41を介して受信すると、当該暗号化GET DATAコマンドをインターフェース部42を介してeSE5へ送信する(ステップS65)。 Next, when the repeater 3 receives the encrypted GET DATA command from the payment terminal 2, it transmits the encrypted GET DATA command to the ECU 4 (or eSE 5) (step S64). Next, when the control unit 44 of the ECU 4 receives the encrypted GET DATA command from the repeater 3 via the interface unit 41, it transmits the encrypted GET DATA command to the eSE 5 via the interface unit 42 (step S65).
次いで、eSE5のCPU54は、ECU4(または中継器3)からの暗号化GET DATAコマンドをインターフェース部51を介して受信すると、当該暗号化GET DATAコマンドを上記セッション鍵で復号し、復号されたGET DATAコマンドを、インターフェース部51を介してECU4へ送信する(ステップS66)。次いで、ECU4の制御部44は、eSE5からのGET DATAコマンドを受信すると、当該GET DATAコマンドに応じて、上記選択されたアプリケーション(決済処理プログラム)により決済用データを記憶部43から読み出す(ステップS67)。次いで、ECU4の制御部44は、ステップS67で読み出された決済用データを含むレスポンスをインターフェース部42を介してeSE5へ送信する(ステップS68)。 Next, when the CPU 54 of the eSE 5 receives an encrypted GET DATA command from the ECU 4 (or the repeater 3) via the interface unit 51, it decrypts the encrypted GET DATA command using the session key and transmits the decrypted GET DATA command to the ECU 4 via the interface unit 51 (step S66). Next, when the control unit 44 of the ECU 4 receives the GET DATA command from the eSE 5, it reads payment data from the memory unit 43 using the selected application (payment processing program) in response to the GET DATA command (step S67). Next, the control unit 44 of the ECU 4 transmits a response including the payment data read in step S67 to the eSE 5 via the interface unit 42 (step S68).
次いで、eSE5のCPU54は、ECU4からのレスポンスをインターフェース部51を介して受信すると、当該レスポンスを上記セッション鍵で暗号化し、暗号化された暗号化レスポンスを、インターフェース部51を介してECU4(または中継器3)へ送信する(ステップS69)。次いで、ECU4の制御部44は、eSE5からの暗号化レスポンスをインターフェース部42を介して受信すると、当該暗号化レスポンスをインターフェース部41を介して中継器3へ送信する(ステップS70)。次いで、中継器3は、ECU4(またはeSE5)からの暗号化レスポンスを受信すると、当該暗号化レスポンスを決済端末2へ送信する(ステップS71)。 Next, when the CPU 54 of the eSE 5 receives a response from the ECU 4 via the interface unit 51, it encrypts the response with the session key and transmits the encrypted response to the ECU 4 (or the repeater 3) via the interface unit 51 (step S69). Next, when the control unit 44 of the ECU 4 receives the encrypted response from the eSE 5 via the interface unit 42, it transmits the encrypted response to the repeater 3 via the interface unit 41 (step S70). Next, when the repeater 3 receives the encrypted response from the ECU 4 (or the eSE 5), it transmits the encrypted response to the payment terminal 2 (step S71).
次いで、決済端末2の処理部23は、中継器3からの暗号化レスポンスをリーダライタ22を介して受信すると、当該暗号化レスポンスを復号し、当該復号されたレスポンスに含まれる決済用データに基づいて、料金支払いのための決済を実行する(ステップS72)。例えば、決済端末2の処理部23は、決済用データにより特定される決済方法により駐車場の料金をユーザに課す(例えば、引き落とす)処理を実行する。 Next, when the processing unit 23 of the payment terminal 2 receives the encrypted response from the repeater 3 via the reader/writer 22, it decrypts the encrypted response and executes payment for the fee based on the payment data included in the decrypted response (step S72). For example, the processing unit 23 of the payment terminal 2 executes processing to charge (e.g., debit) the parking fee to the user using the payment method specified by the payment data.
なお、上記例では、決済端末2がECU4の固有識別番号とECU4で選択中のアプリケーションのバージョン番号との組合せを登録しているパッチ適用対象機器リストがあるか否かを判定するように構成した。これに代えて、ECU4は、ECU4で選択中のアプリケーションの識別子を含むパッチ適用対象機器リストを決済端末2から中継器3等を介して取得し、記憶部43に記憶されている固有識別番号とバージョン番号との組合せが当該パッチ適用対象機器リストに登録されているか否かを判定してもよい。このとき、パッチ適用対象機器リストに登録されている特定の固有識別番号と記憶部43に記憶されている固有識別番号とが一致するか否か、及び当該パッチ適用対象機器リストに登録されている特定のバージョン番号と記憶部43に記憶されているバージョン番号(選択中のアプリケーションのバージョン番号)とが一致するか否かが判定される。 In the above example, the payment terminal 2 is configured to determine whether there is a patch application target device list that registers the combination of the ECU 4's unique identification number and the version number of the application currently selected by the ECU 4. Alternatively, the ECU 4 may obtain a patch application target device list that includes the identifier of the application currently selected by the ECU 4 from the payment terminal 2 via a repeater 3 or the like, and determine whether the combination of the unique identification number and version number stored in the memory unit 43 is registered in the patch application target device list. In this case, it is determined whether the specific unique identification number registered in the patch application target device list matches the specific identification number stored in the memory unit 43, and whether the specific version number registered in the patch application target device list matches the version number stored in the memory unit 43 (the version number of the selected application).
そして、ECU4は、記憶部43に記憶されている固有識別番号とバージョン番号との組合せが当該パッチ適用対象機器リストに登録されている場合に当該パッチ適用対象機器リストに対応付けられたパッチを決済端末2から中継器3等を介して取得する。なお、パッチ適用対象機器リストは、Verifyコマンド等の所定のコマンドに含まれて決済端末2から送信されるとよい。また、記憶部43に記憶されている固有識別番号とバージョン番号との組合せが当該パッチ適用対象機器リストに登録されていると判定された場合、正常終了を示すレスポンスが中継器3等を介して決済端末2へ送信される。これにより、ECU4に送信されたパッチ適用対象機器リストに対応付けられたパッチを含むUPDATEコマンドが決済端末2から送信される。 Then, if the combination of the unique identification number and version number stored in the memory unit 43 is registered in the list of devices to be patched, the ECU 4 acquires the patch associated with the list of devices to be patched from the payment terminal 2 via the repeater 3 or the like. The list of devices to be patched may be transmitted from the payment terminal 2 as part of a predetermined command such as a Verify command. Furthermore, if it is determined that the combination of the unique identification number and version number stored in the memory unit 43 is registered in the list of devices to be patched, a response indicating normal completion is transmitted to the payment terminal 2 via the repeater 3 or the like. As a result, an UPDATE command including the patch associated with the list of devices to be patched transmitted to the ECU 4 is transmitted from the payment terminal 2.
また、上記例では、パッチが適用されるアプリケーションとして、ECU4にインストールされている決済処理プログラムを例にとって説明したが、eSE5にインストールされている認証処理プログラムであってもよい。この場合、決済端末2は、ステップS10においてeSE5との相互認証処理を開始する前に、eSE5の固有識別番号及びeSE5にインストールされている認証処理プログラムのバージョン番号の取得要求を示すGET DATAコマンドを中継器3へ送信する。これにより、決済端末2は、eSE5から中継器3等を介して受信したレスポンスに含まれる固有識別番号とバージョン番号との組合せと、eSE5で選択中の認証処理プログラムの識別子とを対応付けて登録しているパッチ適用対象機器リストがある場合に、これに対応付けられたパッチを中継器3等を介してeSE5へ提供して認証処理プログラムを更新させる。 In the above example, the payment processing program installed in the ECU 4 was used as an example of the application to which the patch is applied, but it could also be an authentication processing program installed in the eSE 5. In this case, before starting the mutual authentication process with the eSE 5 in step S10, the payment terminal 2 sends a GET DATA command to the repeater 3 requesting to obtain the unique identification number of the eSE 5 and the version number of the authentication processing program installed in the eSE 5. As a result, if there is a patch target device list that associates the combination of the unique identification number and version number included in the response received from the eSE 5 via the repeater 3 or the like with the identifier of the authentication processing program currently selected in the eSE 5, the payment terminal 2 provides the associated patch to the eSE 5 via the repeater 3 or the like to update the authentication processing program.
以上説明したように、上記実施形態によれば、ECU4等の電子デバイスは、自身の固有識別番号と選択されたソフトウェアのバージョン番号とをあらかじめ記憶しておき、決済端末2と電子デバイスとの間で認証処理が完了した後に、上記固有識別番号及びバージョン番号により特定されるパッチを決済端末2から中継器3を介して取得し、取得されたパッチに基づいて、上記ソフトウェアを更新するように構成したので、車両C内の電子デバイスにインストールされたソフトウェアをより効率良く更新することができる。特に、無線通信を行う基地局を有する移動体通信網に接続可能な装置が車両Cに搭載されていない場合や、当該移動体通信網に接続可能な装置が車両Cに搭載されているが基地局からの電波が届かない地域に車両Cが存在する場合などに本実施形態は特に有効である。 As described above, according to the above embodiment, an electronic device such as an ECU 4 pre-stores its own unique identification number and the version number of the selected software. After the authentication process between the payment terminal 2 and the electronic device is completed, a patch identified by the unique identification number and version number is obtained from the payment terminal 2 via the repeater 3, and the software is updated based on the obtained patch. This allows software installed on an electronic device in a vehicle C to be updated more efficiently. This embodiment is particularly effective when the vehicle C is not equipped with a device capable of connecting to a mobile communications network that has a base station for wireless communication, or when the vehicle C is equipped with a device capable of connecting to the mobile communications network but is located in an area where radio waves from the base station cannot reach.
なお、上記実施形態においては、本発明の電子デバイスとしてECU4を例にとって説明したが、車両Cの搭乗者の電子デバイスであってもよい。この場合、電子デバイスは、電子デバイスに固有の固有識別番号と、当該電子デバイスにインストールされたソフトウェアのバージョン番号とを記憶する。そして、当該電子デバイスは、中継器3を介して決済端末2との間で通信を行うことで上述したように認証処理を実行し、当該認証処理が完了した後に、記憶されている固有識別番号及びバージョン番号により特定されるパッチを決済端末2から中継器3を介して取得し、取得されたパッチに基づいて、ソフトウェアを更新する。 In the above embodiment, the electronic device of the present invention was described using the ECU 4 as an example, but it may also be an electronic device of a passenger in vehicle C. In this case, the electronic device stores a unique identification number specific to the electronic device and the version number of the software installed on the electronic device. The electronic device then performs the authentication process as described above by communicating with the payment terminal 2 via the repeater 3. After the authentication process is complete, the electronic device obtains a patch identified by the stored unique identification number and version number from the payment terminal 2 via the repeater 3, and updates the software based on the obtained patch.
1 管理サーバ
2 決済端末
3 中継器
4 ECU
5 eSE
21 記憶部
22 リーダライタ
23 処理部
21 アンテナ
41 インターフェース部
42 インターフェース部
43 記憶部
44 制御部
51 インターフェース部
52 RAM
53 NVM
54 CPU
S 決済処理システム
1 Management server 2 Payment terminal 3 Relay 4 ECU
5 eSE
21 Memory unit 22 Reader/writer 23 Processing unit 21 Antenna 41 Interface unit 42 Interface unit 43 Memory unit 44 Control unit 51 Interface unit 52 RAM
53 NVM
54 CPU
S Payment processing system
Claims (8)
前記電子デバイスの固有識別番号と、当該電子デバイスにインストールされたソフトウェアのバージョン番号とを記憶する記憶手段と、
前記中継装置を介して前記外部装置との間で認証処理を実行する認証手段と、
前記認証処理が完了した後に、前記記憶手段に記憶されている固有識別番号及びバージョン番号により特定されるパッチデータを前記外部装置から前記中継装置を介して取得する取得手段と、
前記取得手段により取得されたパッチデータに基づいて、前記ソフトウェアを更新する更新手段と、
を備え、
前記取得手段は、特定の固有識別番号と特定のバージョン番号との組合せを登録するリストを前記外部装置から前記中継装置を介して取得し、前記記憶手段に記憶されている前記固有識別番号と前記バージョン番号との組合せが前記リストに登録されている場合に前記パッチデータを前記外部装置から前記中継装置を介して取得することを特徴とする電子デバイス。 An electronic device capable of communicating with an external device installed outside a mobile body via a relay device mounted on the mobile body,
a storage means for storing a unique identification number of the electronic device and a version number of the software installed on the electronic device;
an authentication unit that executes an authentication process between the relay device and the external device;
an acquisition unit that acquires patch data identified by the unique identification number and version number stored in the storage unit from the external device via the relay device after the authentication process is completed;
an update unit that updates the software based on the patch data acquired by the acquisition unit;
Equipped with
The electronic device is characterized in that the acquisition means acquires a list registering combinations of specific unique identification numbers and specific version numbers from the external device via the relay device, and acquires the patch data from the external device via the relay device if the combination of the unique identification number and the version number stored in the storage means is registered in the list .
前記電子デバイスの固有識別番号と、当該電子デバイスにインストールされたソフトウェアのバージョン番号とを記憶する記憶手段と、a storage means for storing a unique identification number of the electronic device and a version number of the software installed on the electronic device;
前記中継装置を介して前記外部装置との間で認証処理を実行する認証手段と、an authentication unit that executes an authentication process between the relay device and the external device;
前記認証処理が完了した後に、前記記憶手段に記憶されている固有識別番号及びバージョン番号により特定されるパッチデータを前記外部装置から前記中継装置を介して取得する取得手段と、an acquisition unit that acquires patch data identified by the unique identification number and version number stored in the storage unit from the external device via the relay device after the authentication process is completed;
前記取得手段により取得されたパッチデータに基づいて、前記ソフトウェアを更新する更新手段と、an update unit that updates the software based on the patch data acquired by the acquisition unit;
を備え、Equipped with
前記電子デバイスは、前記移動体に搭載されたセキュアエレメント及びECU(Electronic Control Unit)により構成され、the electronic device is configured by a secure element and an ECU (Electronic Control Unit) mounted on the mobile object,
前記セキュアエレメントは、前記認証手段、及び前記取得手段を含み、前記取得手段は、前記認証処理において生成されたセッション鍵であって前記外部装置との間で共通のセッション鍵により暗号化された前記パッチデータを取得し、当該パッチデータを前記セッション鍵により復号し、the secure element includes the authentication means and the acquisition means, and the acquisition means acquires the patch data encrypted with a session key that is generated in the authentication process and is common to the external device, and decrypts the patch data with the session key;
前記ECUは、前記記憶手段、及び前記更新手段を含み、前記更新手段は、前記復号された前記パッチデータに基づいて、前記ソフトウェアを更新することを特徴とする電子デバイス。The electronic device is characterized in that the ECU includes the storage means and the update means, and the update means updates the software based on the decrypted patch data.
前記電子デバイスは、前記電子デバイスの固有識別番号と、当該電子デバイスにインストールされたソフトウェアのバージョン番号とを記憶しており、
前記端末装置は、
前記中継装置を介して前記電子デバイスとの間で認証処理を実行する認証手段と、
前記認証処理が完了した後に、前記固有識別番号及び前記バージョン番号を前記中継装置を介して前記電子デバイスから取得する取得手段と、
前記電子デバイスにインストールされているソフトウェアを更新させるためのパッチデータであって、前記取得手段により取得された前記固有識別番号及び前記バージョン番号に対応するパッチデータを前記中継装置を介して送信する送信手段と、
を備えることを特徴とする端末装置。 A terminal device capable of communicating with an electronic device installed in a mobile body or an electronic device carried by a passenger of the mobile body via a relay device mounted on the mobile body,
the electronic device stores a unique identification number of the electronic device and a version number of software installed on the electronic device;
The terminal device
an authentication unit that performs an authentication process between the electronic device and the relay device;
an acquisition unit that acquires the unique identification number and the version number from the electronic device via the relay device after the authentication process is completed;
a transmitting means for transmitting patch data for updating the software installed in the electronic device, the patch data corresponding to the unique identification number and the version number acquired by the acquiring means, via the relay device;
A terminal device comprising:
前記電子デバイスの固有識別番号と、当該電子デバイスにインストールされたソフトウェアのバージョン番号とを記憶手段に記憶するステップと、
前記中継装置を介して前記外部装置との間で認証処理を実行するステップと、
前記認証処理が完了した後に、前記記憶手段に記憶されている固有識別番号及びバージョン番号により特定されるパッチデータを前記外部装置から前記中継装置を介して取得する取得ステップと、
前記取得されたパッチデータに基づいて、前記ソフトウェアを更新するステップと、
を含み、
前記取得ステップにおいては、特定の固有識別番号と特定のバージョン番号との組合せを登録するリストを前記外部装置から前記中継装置を介して取得し、前記記憶手段に記憶されている前記固有識別番号と前記バージョン番号との組合せが前記リストに登録されている場合に前記パッチデータを前記外部装置から前記中継装置を介して取得することを特徴とするソフトウェア更新方法。 1. A software update method executed by an electronic device capable of communicating with an external device installed outside a mobile object via a relay device mounted on the mobile object, comprising:
storing in a storage means a unique identification number of the electronic device and a version number of the software installed on the electronic device;
performing an authentication process between the relay device and the external device via the relay device;
an acquisition step of acquiring patch data identified by the unique identification number and version number stored in the storage means from the external device via the relay device after the authentication process is completed;
updating the software based on the acquired patch data;
Including,
A software update method characterized in that in the acquisition step, a list registering combinations of specific unique identification numbers and specific version numbers is acquired from the external device via the relay device, and if the combination of the unique identification number and the version number stored in the storage means is registered in the list, the patch data is acquired from the external device via the relay device .
前記ECUが、前記電子デバイスの固有識別番号と、当該電子デバイスにインストールされたソフトウェアのバージョン番号とを記憶手段に記憶するステップと、a step in which the ECU stores in a storage means the unique identification number of the electronic device and the version number of the software installed in the electronic device;
前記セキュアエレメントが、前記中継装置を介して前記外部装置との間で認証処理を実行するステップと、a step of performing an authentication process between the secure element and the external device via the relay device;
前記セキュアエレメントが、前記認証処理が完了した後に、前記記憶手段に記憶されている固有識別番号及びバージョン番号により特定されるパッチデータを前記外部装置から前記中継装置を介して取得する取得ステップと、an acquisition step in which the secure element acquires patch data identified by the unique identification number and version number stored in the storage means from the external device via the relay device after the authentication process is completed;
前記ECUが、前記取得されたパッチデータに基づいて、前記ソフトウェアを更新する更新ステップと、an updating step in which the ECU updates the software based on the acquired patch data;
を含み、Including,
前記取得ステップにおいては、前記認証処理において生成されたセッション鍵であって前記外部装置との間で共通のセッション鍵により暗号化された前記パッチデータを取得し、当該パッチデータを前記セッション鍵により復号し、In the acquiring step, the patch data encrypted with a session key generated in the authentication process and shared with the external device is acquired, and the patch data is decrypted with the session key;
前記更新ステップにおいては、前記復号された前記パッチデータに基づいて、前記ソフトウェアを更新することを特徴とするソフトウェア更新方法。In the updating step, the software is updated based on the decrypted patch data.
前記電子デバイスの固有識別番号と、当該電子デバイスにインストールされたソフトウェアのバージョン番号とを記憶する記憶手段と、
前記中継装置を介して前記外部装置との間で認証処理を実行する認証手段と、
前記認証処理が完了した後に、前記記憶手段に記憶されている固有識別番号及びバージョン番号により特定されるパッチデータを前記外部装置から前記中継装置を介して取得する取得手段と、
前記取得手段により取得されたパッチデータに基づいて、前記ソフトウェアを更新する更新手段として機能させるプログラムであって、
前記取得手段は、特定の固有識別番号と特定のバージョン番号との組合せを登録するリストを前記外部装置から前記中継装置を介して取得し、前記記憶手段に記憶されている前記固有識別番号と前記バージョン番号との組合せが前記リストに登録されている場合に前記パッチデータを前記外部装置から前記中継装置を介して取得することを特徴とするプログラム。 A computer included in an electronic device capable of communicating with an external device installed outside a mobile body via a relay device mounted on the mobile body,
a storage means for storing a unique identification number of the electronic device and a version number of the software installed on the electronic device;
an authentication unit that executes an authentication process between the relay device and the external device;
an acquisition unit that acquires patch data identified by the unique identification number and version number stored in the storage unit from the external device via the relay device after the authentication process is completed;
a program that functions as an update unit that updates the software based on the patch data acquired by the acquisition unit,
The program is characterized in that the acquisition means acquires a list registering combinations of specific unique identification numbers and specific version numbers from the external device via the relay device, and acquires the patch data from the external device via the relay device if the combination of the unique identification number and the version number stored in the storage means is registered in the list .
前記電子デバイスの固有識別番号と、当該電子デバイスにインストールされたソフトウェアのバージョン番号とを記憶する記憶手段と、a storage means for storing a unique identification number of the electronic device and a version number of the software installed on the electronic device;
前記中継装置を介して前記外部装置との間で認証処理を実行する認証手段と、an authentication unit that executes an authentication process between the relay device and the external device;
前記認証処理が完了した後に、前記記憶手段に記憶されている固有識別番号及びバージョン番号により特定されるパッチデータを前記外部装置から前記中継装置を介して取得する取得手段と、an acquisition unit that acquires patch data identified by the unique identification number and version number stored in the storage unit from the external device via the relay device after the authentication process is completed;
前記取得手段により取得されたパッチデータに基づいて、前記ソフトウェアを更新する更新手段として機能させるプログラムであって、a program that functions as an update unit that updates the software based on the patch data acquired by the acquisition unit,
前記取得手段は、前記認証処理において生成されたセッション鍵であって前記外部装置との間で共通のセッション鍵により暗号化された前記パッチデータを取得し、当該パッチデータを前記セッション鍵により復号し、the acquisition means acquires the patch data encrypted with a session key that is generated in the authentication process and is common to the external device, and decrypts the patch data with the session key;
前記更新手段は、前記復号された前記パッチデータに基づいて、前記ソフトウェアを更新することを特徴とするプログラム。The update means updates the software based on the decrypted patch data.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021143226A JP7729122B2 (en) | 2021-09-02 | 2021-09-02 | Electronic device, software update method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021143226A JP7729122B2 (en) | 2021-09-02 | 2021-09-02 | Electronic device, software update method, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023036268A JP2023036268A (en) | 2023-03-14 |
| JP7729122B2 true JP7729122B2 (en) | 2025-08-26 |
Family
ID=85508797
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021143226A Active JP7729122B2 (en) | 2021-09-02 | 2021-09-02 | Electronic device, software update method, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7729122B2 (en) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015079440A (en) | 2013-10-18 | 2015-04-23 | 富士通株式会社 | Correction program checking method, correction program checking program, and information processing apparatus |
| JP2019168977A (en) | 2018-03-23 | 2019-10-03 | 株式会社オートネットワーク技術研究所 | Program update system, program update method and computer program |
-
2021
- 2021-09-02 JP JP2021143226A patent/JP7729122B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015079440A (en) | 2013-10-18 | 2015-04-23 | 富士通株式会社 | Correction program checking method, correction program checking program, and information processing apparatus |
| JP2019168977A (en) | 2018-03-23 | 2019-10-03 | 株式会社オートネットワーク技術研究所 | Program update system, program update method and computer program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023036268A (en) | 2023-03-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107615291B (en) | Method and system for safely and automatically obtaining service from machine equipment server | |
| US8918643B2 (en) | Authentication method, authentication system, in-vehicle device, and authentication apparatus | |
| US20150347121A1 (en) | Communication apparatus, electronic device, communication method, and key for vehicle | |
| JP6419588B2 (en) | Mobile terminal additional registration system | |
| JP4276411B2 (en) | Communication device authentication system, communication device authentication method, communication device authentication apparatus, communication device authentication program, and information recording medium | |
| US20110083171A1 (en) | Method and apparatus in combination with a storage means for carrying out an authentication process for authenticating a subsequent transaction | |
| JP2019012338A (en) | Car sharing system and car sharing method | |
| JP2001313714A (en) | Card information processing adapter, card information use system, and recording medium | |
| CN112428865B (en) | Charging pile and control method thereof, server and control method thereof, and charging pile system | |
| KR20200089562A (en) | Method and apparatus for managing a shared digital key | |
| CN101287192B (en) | Non-contact application upgrading method, apparatus, application downloading center and system | |
| JP2004139380A (en) | OBE setup method, OBE setup system and OBE | |
| KR101633224B1 (en) | Method for Automatic and Stand-Alone Lending Bicycle | |
| JP7732289B2 (en) | Electronic device, application addition method, and program | |
| JP7729122B2 (en) | Electronic device, software update method, and program | |
| JP3509664B2 (en) | Automatic toll collection system and vehicle-mounted device for the system | |
| CN119049161B (en) | Physical key activation method, electronic device and storage medium | |
| JP5178267B2 (en) | IC card and control method of application program used for IC card | |
| US20240356908A1 (en) | Systems and techniques for benefit denial system | |
| JP2023065941A (en) | Digital key issuing method and program | |
| KR102406519B1 (en) | Hi-Pass System and Method for operating thereof | |
| JP2002109593A (en) | Wireless communication device and information change method | |
| EP2393261A1 (en) | A portable device, system and a method for preventing a misuse of data originating from the portable device | |
| JP7552385B2 (en) | Electronic information storage medium and payment processing method | |
| JP2024046309A (en) | Charging control device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240729 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20250416 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20250430 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20250626 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20250715 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20250728 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7729122 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |