図面 (/)

技術 車載認証システム、通信装置、車載認証装置、コンピュータプログラム、通信装置の認証方法及び通信装置の製造方法

出願人 国立大学法人名古屋大学株式会社オートネットワーク技術研究所住友電装株式会社住友電気工業株式会社
発明者 高田広章倉地亮上田浩史
出願日 2017年6月20日 (3年5ヶ月経過) 出願番号 2017-120830
公開日 2019年1月17日 (1年10ヶ月経過) 公開番号 2019-009509
状態 特許登録済
技術分野 暗号化・復号化装置及び秘密通信
主要キーワード タブレット型端末装置 各通信線 車載制御システム 付随物 情報書込装置 正否判定 可視化情報 署名生成プログラム
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2019年1月17日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (13)

課題

車両外の装置との無線通信などを必要とせずに通信装置を認証することができる車載認証システムを提供する。

解決手段

車両に搭載されるECU(Electronic Control Unit)3は第1秘密鍵及び第1公開鍵を記憶し、ゲートウェイ2は第2秘密鍵、第2公開鍵及び署名検証鍵を記憶する。ゲートウェイ2は、電子署名が付された第1公開鍵を取得して署名検証鍵にて検証し、正当な第1公開鍵を用いて第2公開鍵を暗号化してECU3へ送信する。ECU3は、暗号化された第2公開鍵を受信して第1秘密鍵にて復号し、第1秘密鍵を用いて復号して得た第2公開鍵を用いて第1公開鍵を暗号化してゲートウェイ2へ送信する。ゲートウェイ2は、暗号化された第1公開鍵を受信して第2秘密鍵にて復号し、復号した第1公開鍵が別途取得した第1公開鍵と比較して正当であると判定した場合に、ECU3が正当な装置であると認証する。

概要

背景

近年、車両の自動運転又は運転補助等の技術が研究開発されており、車両の高機能化が推し進められている。車両の高機能化に伴って、車両に搭載されるECU(Electronic Control Unit)などの制御装置においては、ハードウェア及びソフトウェアが高機能化及び複雑化している。これに対して、車両の制御システムに不正な装置又はソフトウェアの注入を行うことによって、例えば車両の乗っ取りなどの攻撃が行われ得るという問題がある。車両に対する不正な攻撃を防ぐため、例えば通信の暗号化などの種々の対策が検討されている。

特許文献1においては、車両の電子キー交換後に再登録する際のセキュリティ性を確保することを目的とした電子キー登録システムが提案されている。この電子キー登録システムでは、車両に搭載されたECUが車両外センターとの通信を行って、交換する電子キーが正当なものであるか否かの照合を行うことによって、セキュリティ性を高めている。また特許文献2においては、故障などによりECUを交換した場合に、交換後のECUに電子キーを登録する電子キー登録システムが提案されている。この電子キー登録システムでは、交換後のECUが電子キーから読み出した情報を車両外のセンターへ送信して照合を行い、照合が成立した場合に電子キーを登録することによって、セキュリティ性を高めている。

特許文献3においては、管理装置及びECUの間で共通のデータを生成し、このデータを通信のメッセージ認証コードの生成又は暗号鍵に使用することでセキュリティ性を向上することを目的とした車載制御システムが提案されている。この車載制御システムでは、管理装置及びECUが共通の第1データを記憶し、管理装置が第2データを生成してECUへ送信し、管理装置及びECUが第1データ及び第2データを用いて共通の第3データを生成する。

非特許文献1においては、車両に対して新たなECUを追加する際に、車内ネットワークを介した通信にて必要となる暗号処理用の鍵を、車両に搭載されたセキュリティゲートウェイと新たなECUとの間で安全に授受するための方法が提案されている。この方法では、セキュリティゲートウェイが有するマスターキー及び初期マスターキーと、新たなECUに書き込まれた初期マスターキーとを利用して、最終的にセキュリティゲートウェイが通信用セッションキーをECUへ送信する。

概要

車両外の装置との無線通信などを必要とせずに通信装置を認証することができる車載認証システムを提供する。車両に搭載されるECU(Electronic Control Unit)3は第1秘密鍵及び第1公開鍵を記憶し、ゲートウェイ2は第2秘密鍵、第2公開鍵及び署名検証鍵を記憶する。ゲートウェイ2は、電子署名が付された第1公開鍵を取得して署名検証鍵にて検証し、正当な第1公開鍵を用いて第2公開鍵を暗号化してECU3へ送信する。ECU3は、暗号化された第2公開鍵を受信して第1秘密鍵にて復号し、第1秘密鍵を用いて復号して得た第2公開鍵を用いて第1公開鍵を暗号化してゲートウェイ2へ送信する。ゲートウェイ2は、暗号化された第1公開鍵を受信して第2秘密鍵にて復号し、復号した第1公開鍵が別途取得した第1公開鍵と比較して正当であると判定した場合に、ECU3が正当な装置であると認証する。

目的

特許文献1においては、車両の電子キーを交換後に再登録する際のセキュリティ性を確保することを目的とした

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

車両内ネットワークに新たに接続された通信装置車載認証装置が認証する車載認証システムにおいて、前記通信装置は、第1秘密鍵及び第1公開鍵が記憶された第1記憶部を有し、前記車載認証装置は、第2秘密鍵及び第2公開鍵、並びに、前記第1公開鍵に付された電子署名正否を検証する署名検証鍵が記憶された第2記憶部と、前記電子署名が付された前記第1公開鍵を取得する第1公開鍵取得部と、前記第1公開鍵取得部が取得した前記第1公開鍵に付された前記電子署名の正否を、前記第2記憶部に記憶された前記署名検証鍵を用いて検証する署名検証部と、前記署名検証部により正当であると判定された電子署名が付された第1公開鍵を用いて、前記第2記憶部に記憶された第2公開鍵を暗号化する第2公開鍵暗号化部と、前記第2公開鍵暗号化部が暗号化した前記第2公開鍵を、前記ネットワークを介して前記通信装置へ送信する第2公開鍵送信部とを有し、前記通信装置は、前記車載認証装置から暗号化された前記第2公開鍵を受信する第2公開鍵受信部と、前記第2公開鍵受信部が受信した前記第2公開鍵を、前記第1記憶部に記憶された前記第1秘密鍵を用いて復号する第2公開鍵復号部と、前記第2公開鍵復号部が復号した前記第2公開鍵を用いて、前記第1記憶部に記憶された前記第1公開鍵を暗号化する第1公開鍵暗号化部と、前記第1公開鍵暗号化部が暗号化した前記第1公開鍵を、前記ネットワークを介して前記車載認証装置へ送信する第1公開鍵送信部とを更に有し、前記車載認証装置は、前記通信装置から暗号化された前記第1公開鍵を受信する第1公開鍵受信部と、前記第1公開鍵受信部が受信した前記第1公開鍵を、前記第2記憶部に記憶された前記第2秘密鍵を用いて復号する第1公開鍵復号部と、前記第1公開鍵復号部が復号した前記第1公開鍵の正否を判定する第1公開鍵判定部とを更に有し、前記第1公開鍵判定部が前記第1公開鍵が正当であると判定した場合に、前記通信装置が正当な装置であると認証することを特徴とする車載認証システム。

請求項2

前記車載認証装置の前記第2記憶部は、前記ネットワークを介した前記車両内の通信に用いられる共通鍵を記憶し、前記車載認証装置は、前記第1公開鍵判定部が正当であると判定した前記第1公開鍵を用いて、前記第2記憶部に記憶された前記共通鍵を暗号化する共通鍵暗号化部と、前記共通鍵暗号化部が暗号化した前記共通鍵を、前記ネットワークを介して前記通信装置へ送信する共通鍵送信部とを有し、前記通信装置は、前記車載認証装置から暗号化された前記共通鍵を受信する共通鍵受信部と、前記共通鍵受信部が受信した前記共通鍵を、前記第1記憶部に記憶された前記第1秘密鍵を用いて復号する共通鍵復号部とを有し、前記通信装置の前記第1記憶部は、前記共通鍵復号部が復号した前記共通鍵を記憶することを特徴とする請求項1に記載の車載認証システム。

請求項3

前記通信装置又は前記通信装置の付随物には、前記電子署名が付された前記第1公開鍵を可視化した情報が描かれており、前記情報を取得する可視化情報取得装置を更に備え、前記車載認証装置は、前記可視化情報取得装置が取得した情報に基づいて前記電子署名が付された前記第1公開鍵を取得することを特徴とする請求項1又は請求項2に記載の車載認証システム。

請求項4

前記署名検証鍵と対になる署名生成鍵を記憶した記憶部と、入力された前記第1公開鍵に対して前記記憶部に記憶された前記署名生成鍵を用いて電子署名を生成する署名生成部とを有する署名生成装置を備えることを特徴とする請求項1乃至請求項3のいずれか1つに記載の車載認証システム。

請求項5

前記車載認証装置の前記第1公開鍵取得部は、前記電子署名が付された前記第1公開鍵と共に、該第1公開鍵と対になる前記第1秘密鍵を記憶した前記通信装置の識別情報を取得し、前記車載認証装置は、前記第1公開鍵取得部が取得した前記電子署名が付された前記第1公開鍵を、前記識別情報に対応付けて前記第2記憶部に記憶し、前記通信装置は、前記ネットワークに接続された際に、自身の識別情報を前記車載認証装置へ送信する識別情報送信部を有し、前記車載認証装置は、前記通信装置から前記識別情報を受信する識別情報受信部を有し、前記車載認証装置の前記第2公開鍵暗号化部は、前記識別情報受信部が受信した識別情報に対応付けられた前記第1公開鍵を用いて前記第2公開鍵を暗号化することを特徴とする請求項1乃至請求項4のいずれか1つに記載の車載認証システム。

請求項6

車両内のネットワークに接続される通信装置において、第1秘密鍵及び第1公開鍵が記憶された記憶部と、前記ネットワークに接続された車載認証装置から暗号化された第2公開鍵を受信する第2公開鍵受信部と、前記第2公開鍵受信部が受信した前記第2公開鍵を、前記記憶部に記憶された前記第1秘密鍵を用いて復号する第2公開鍵復号部と、前記第2公開鍵復号部が復号した前記第2公開鍵を用いて、前記記憶部に記憶された前記第1公開鍵を暗号化する第1公開鍵暗号化部と、前記第1公開鍵暗号化部が暗号化した前記第1公開鍵を、前記ネットワークを介して前記車載認証装置へ送信する第1公開鍵送信部とを備えることを特徴とする通信装置。

請求項7

車両内のネットワークに接続される通信装置において、第1秘密鍵が記憶された記憶部を備え、装置本体又は装置の付随物には、前記第1秘密鍵と対になる第1公開鍵及び該第1公開鍵の正当性を示す電子署名を可視化した情報が描かれていることを特徴とする通信装置。

請求項8

車両内のネットワークに新たに接続された通信装置を認証する車載認証装置において、前記通信装置が記憶している第1秘密鍵と対になる第1公開鍵に付された電子署名の正否を検証する署名検証鍵、並びに、第2秘密鍵及び第2公開鍵が記憶された記憶部と、前記電子署名が付された前記第1公開鍵を取得する第1公開鍵取得部と、前記第1公開鍵取得部が取得した前記第1公開鍵に付された前記電子署名の正否を、前記記憶部に記憶された前記署名検証鍵を用いて検証する署名検証部と、前記署名検証部により正当であると判定された電子署名が付された第1公開鍵を用いて、前記記憶部に記憶された第2公開鍵を暗号化する第2公開鍵暗号化部と、前記第2公開鍵暗号化部が暗号化した前記第2公開鍵を、前記ネットワークを介して前記通信装置へ送信する第2公開鍵送信部と、前記通信装置から暗号化された前記第1公開鍵を受信する第1公開鍵受信部と、前記第1公開鍵受信部が受信した前記第1公開鍵を、前記記憶部に記憶された前記第2秘密鍵を用いて復号する第1公開鍵復号部と、前記第1公開鍵復号部が復号した前記第1公開鍵の正否を判定する第1公開鍵判定部とを備え、前記第1公開鍵判定部が前記第1公開鍵が正当であると判定した場合に、前記通信装置が正当な装置であると認証することを特徴とする車載認証装置。

請求項9

第1秘密鍵及び第1公開鍵が記憶された記憶部を有するコンピュータに、車両内のネットワークに接続された車載認証装置から暗号化された第2公開鍵を受信させ、受信した前記第2公開鍵を、前記記憶部に記憶された前記第1秘密鍵を用いて復号させ、復号した前記第2公開鍵を用いて、前記記憶部に記憶された前記第1公開鍵を暗号化させ、暗号化した前記第1公開鍵を、前記ネットワークを介して前記車載認証装置へ送信させることを特徴とするコンピュータプログラム

請求項10

車両内のネットワークに接続された通信装置が記憶している第1秘密鍵と対になる第1公開鍵に付された電子署名の正否を検証する署名検証鍵、並びに、第2秘密鍵及び第2公開鍵が記憶された記憶部を有するコンピュータに、前記電子署名が付された前記第1公開鍵を取得させ、取得した前記第1公開鍵に付された前記電子署名の正否を、前記記憶部に記憶された前記署名検証鍵を用いて検証させ、検証により正当であると判定された電子署名が付された第1公開鍵を用いて、前記記憶部に記憶された第2公開鍵を暗号化させ、暗号化した前記第2公開鍵を、前記ネットワークを介して前記通信装置へ送信させ、前記通信装置から暗号化された前記第1公開鍵を受信させ、受信した前記第1公開鍵を、前記記憶部に記憶された前記第2秘密鍵を用いて復号させ、復号した前記第1公開鍵の正否を判定させ、前記第1公開鍵が正当であると判定した場合に、前記通信装置が正当な装置であると認証させることを特徴とするコンピュータプログラム。

請求項11

第1秘密鍵及び第1公開鍵を車両内のネットワークに接続される通信装置の第1記憶部に記憶し、第2秘密鍵及び第2公開鍵、並びに、前記第1公開鍵に付された電子署名の正否を検証する署名検証鍵を車載認証装置の第2記憶部に記憶し、前記車載認証装置が、前記電子署名が付された前記第1公開鍵を取得し、取得した前記第1公開鍵に付された前記電子署名の正否を、前記第2記憶部に記憶された前記署名検証鍵を用いて検証し、検証により正当であると判定された電子署名が付された第1公開鍵を用いて、前記第2記憶部に記憶された第2公開鍵を暗号化し、暗号化した前記第2公開鍵を、前記ネットワークを介して前記通信装置へ送信し、前記通信装置が、前記車載認証装置から暗号化された前記第2公開鍵を受信し、受信した前記第2公開鍵を、前記第1記憶部に記憶された前記第1秘密鍵を用いて復号し、復号した前記第2公開鍵を用いて、前記第1記憶部に記憶された前記第1公開鍵を暗号化し、暗号化した前記第1公開鍵を、前記ネットワークを介して前記車載認証装置へ送信し、前記車載認証装置が、前記通信装置から暗号化された前記第1公開鍵を受信し、受信した前記第1公開鍵を、前記第2記憶部に記憶された前記第2秘密鍵を用いて復号し、復号した前記第1公開鍵の正否を判定し、前記第1公開鍵が正当であると判定した場合に、前記通信装置が正当な装置であると認証することを特徴とする通信装置の認証方法

請求項12

署名生成装置が、第1公開鍵の電子署名を生成し、情報書込装置が、前記第1公開鍵及び該第1公開鍵と対になる第1秘密鍵を、車両内のネットワークに接続される通信装置の第1記憶部に書き込み、印刷装置が、前記通信装置又は前記通信装置の付随物に、前記電子署名が付された前記第1公開鍵を可視化した情報を印刷し、情報書込装置が、第2秘密鍵及び第2公開鍵、並びに、前記第1公開鍵に付された電子署名の正否を検証する署名検証鍵を車載認証装置の第2記憶部に書き込み、可視化情報取得装置が、印刷された前記情報を取得し、前記車載認証装置が、前記可視化情報取得装置が取得した情報に基づいて前記電子署名が付された前記第1公開鍵を取得し、取得した前記第1公開鍵に付された前記電子署名の正否を、前記第2記憶部に記憶された前記署名検証鍵を用いて検証し、検証により正当であると判定された電子署名が付された第1公開鍵を用いて、前記第2記憶部に記憶された第2公開鍵を暗号化し、暗号化した前記第2公開鍵を、前記ネットワークを介して前記通信装置へ送信し、前記通信装置が、前記車載認証装置から暗号化された前記第2公開鍵を受信し、受信した前記第2公開鍵を、前記第1記憶部に記憶された前記第1秘密鍵を用いて復号し、復号した前記第2公開鍵を用いて、前記第1記憶部に記憶された前記第1公開鍵を暗号化し、暗号化した前記第1公開鍵を、前記ネットワークを介して前記車載認証装置へ送信し、前記車載認証装置が、前記通信装置から暗号化された前記第1公開鍵を受信し、受信した前記第1公開鍵を、前記第2記憶部に記憶された前記第2秘密鍵を用いて復号し、復号した前記第1公開鍵の正否を判定し、前記第1公開鍵が正当であると判定した場合に、前記通信装置が正当な装置であると認証することを特徴とする通信装置の認証方法。

請求項13

署名生成装置が、第1公開鍵の電子署名を生成し、情報書込装置が、前記第1公開鍵及び該第1公開鍵と対になる第1秘密鍵を、車両内のネットワークに接続される通信装置の第1記憶部に書き込み、印刷装置が、前記通信装置又は前記通信装置の付随物に、前記電子署名が付された前記第1公開鍵を可視化した情報を印刷することを特徴とする通信装置の製造方法。

技術分野

0001

本発明は、車両内ネットワークに接続された通信装置を認証するための車載認証システム、通信装置、車載認証装置コンピュータプログラム、通信装置の認証方法及び通信装置の製造方法に関する。

背景技術

0002

近年、車両の自動運転又は運転補助等の技術が研究開発されており、車両の高機能化が推し進められている。車両の高機能化に伴って、車両に搭載されるECU(Electronic Control Unit)などの制御装置においては、ハードウェア及びソフトウェアが高機能化及び複雑化している。これに対して、車両の制御システムに不正な装置又はソフトウェアの注入を行うことによって、例えば車両の乗っ取りなどの攻撃が行われ得るという問題がある。車両に対する不正な攻撃を防ぐため、例えば通信の暗号化などの種々の対策が検討されている。

0003

特許文献1においては、車両の電子キー交換後に再登録する際のセキュリティ性を確保することを目的とした電子キー登録システムが提案されている。この電子キー登録システムでは、車両に搭載されたECUが車両外センターとの通信を行って、交換する電子キーが正当なものであるか否かの照合を行うことによって、セキュリティ性を高めている。また特許文献2においては、故障などによりECUを交換した場合に、交換後のECUに電子キーを登録する電子キー登録システムが提案されている。この電子キー登録システムでは、交換後のECUが電子キーから読み出した情報を車両外のセンターへ送信して照合を行い、照合が成立した場合に電子キーを登録することによって、セキュリティ性を高めている。

0004

特許文献3においては、管理装置及びECUの間で共通のデータを生成し、このデータを通信のメッセージ認証コードの生成又は暗号鍵に使用することでセキュリティ性を向上することを目的とした車載制御システムが提案されている。この車載制御システムでは、管理装置及びECUが共通の第1データを記憶し、管理装置が第2データを生成してECUへ送信し、管理装置及びECUが第1データ及び第2データを用いて共通の第3データを生成する。

0005

非特許文献1においては、車両に対して新たなECUを追加する際に、車内ネットワークを介した通信にて必要となる暗号処理用の鍵を、車両に搭載されたセキュリティゲートウェイと新たなECUとの間で安全に授受するための方法が提案されている。この方法では、セキュリティゲートウェイが有するマスターキー及び初期マスターキーと、新たなECUに書き込まれた初期マスターキーとを利用して、最終的にセキュリティゲートウェイが通信用セッションキーをECUへ送信する。

0006

特開2014−156723号公報
特開2014−077281号公報
特開2017−060031号公報

先行技術

0007

Takaya Kubota, Mitsuru Shiozaki and Takeshi Fujino, "Proposal and Implementation of Key Exchange Protocol suitable for In-Vehicle Network based on Symmetric KeyCipher using PUF as Key Storage", escarEU2016, 2016.

発明が解決しようとする課題

0008

特許文献1,2に記載された電子キー登録システムでは、車両外のセンターを利用して電子キーの照合を行う必要があるが、車両は必ずしも車両外の装置と通信を行うことができる環境にあるとは限らず、センターとの通信を行うことができない場合にはこのシステムを利用できないという問題がある。

0009

特許文献3に記載の車載制御システムでは、センターなどとの通信を行う必要はないが、管理装置と共通の第1データをECUのメモリなどに予め書き込んでおく必要がある。例えばECUの故障による交換又は機能追加のための新たなECUの追加等を行う場合には、交換又は追加される新たなECUのメモリに共通の第1データを書き込む必要がある。このため、ECUの交換又は追加等の作業を行う作業者が、第1データを不正に取得することが可能である。不正に第1データを取得した悪意の作業者は、例えば第1データを不正な装置のメモリに書き込み、不正な装置を車両に取り付けるなどの行為を行う虞がある。非特許文献1に記載の技術も同様に、新たなECUに対して共通の初期マスターキーの書き込みを行う必要があり、この際に初期マスターキーが漏洩する可能性がある。

0010

本発明は、斯かる事情に鑑みてなされたものであって、その目的とするところは、車両外の装置との無線通信などを必要とせずに、車両に対する通信装置の交換又は追加等を行った際にこの通信装置を認証することができる車載認証システム、通信装置、車載認証装置、コンピュータプログラム、通信装置の認証方法及び通信装置の製造方法を提供することにある。

課題を解決するための手段

0011

本発明に係る車載認証システムは、車両内のネットワークに新たに接続された通信装置を車載認証装置が認証する車載認証システムにおいて、前記通信装置は、第1秘密鍵及び第1公開鍵が記憶された第1記憶部を有し、前記車載認証装置は、第2秘密鍵及び第2公開鍵、並びに、前記第1公開鍵に付された電子署名正否を検証する署名検証鍵が記憶された第2記憶部と、前記電子署名が付された前記第1公開鍵を取得する第1公開鍵取得部と、前記第1公開鍵取得部が取得した前記第1公開鍵に付された前記電子署名の正否を、前記第2記憶部に記憶された前記署名検証鍵を用いて検証する署名検証部と、前記署名検証部により正当であると判定された電子署名が付された第1公開鍵を用いて、前記第2記憶部に記憶された第2公開鍵を暗号化する第2公開鍵暗号化部と、前記第2公開鍵暗号化部が暗号化した前記第2公開鍵を、前記ネットワークを介して前記通信装置へ送信する第2公開鍵送信部とを有し、前記通信装置は、前記車載認証装置から暗号化された前記第2公開鍵を受信する第2公開鍵受信部と、前記第2公開鍵受信部が受信した前記第2公開鍵を、前記第1記憶部に記憶された前記第1秘密鍵を用いて復号する第2公開鍵復号部と、前記第2公開鍵復号部が復号した前記第2公開鍵を用いて、前記第1記憶部に記憶された前記第1公開鍵を暗号化する第1公開鍵暗号化部と、前記第1公開鍵暗号化部が暗号化した前記第1公開鍵を、前記ネットワークを介して前記車載認証装置へ送信する第1公開鍵送信部とを更に有し、前記車載認証装置は、前記通信装置から暗号化された前記第1公開鍵を受信する第1公開鍵受信部と、前記第1公開鍵受信部が受信した前記第1公開鍵を、前記第2記憶部に記憶された前記第2秘密鍵を用いて復号する第1公開鍵復号部と、前記第1公開鍵復号部が復号した前記第1公開鍵の正否を判定する第1公開鍵判定部とを更に有し、前記第1公開鍵判定部が前記第1公開鍵が正当であると判定した場合に、前記通信装置が正当な装置であると認証することを特徴とする。

0012

また、本発明に係る車載認証システムは、前記車載認証装置の前記第2記憶部が、前記ネットワークを介した前記車両内の通信に用いられる共通鍵を記憶し、前記車載認証装置は、前記第1公開鍵判定部が正当であると判定した前記第1公開鍵を用いて、前記第2記憶部に記憶された前記共通鍵を暗号化する共通鍵暗号化部と、前記共通鍵暗号化部が暗号化した前記共通鍵を、前記ネットワークを介して前記通信装置へ送信する共通鍵送信部とを有し、前記通信装置は、前記車載認証装置から暗号化された前記共通鍵を受信する共通鍵受信部と、前記共通鍵受信部が受信した前記共通鍵を、前記第1記憶部に記憶された前記第1秘密鍵を用いて復号する共通鍵復号部とを有し、前記通信装置の前記第1記憶部は、前記共通鍵復号部が復号した前記共通鍵を記憶することを特徴とする。

0013

また、本発明に係る車載認証システムは、前記通信装置又は前記通信装置の付随物には、前記電子署名が付された前記第1公開鍵を可視化した情報が描かれており、前記情報を取得する可視化情報取得装置を更に備え、前記車載認証装置は、前記可視化情報取得装置が取得した情報に基づいて前記電子署名が付された前記第1公開鍵を取得することを特徴とする。

0014

また、本発明に係る車載認証システムは、前記署名検証鍵と対になる署名生成鍵を記憶した記憶部と、入力された前記第1公開鍵に対して前記記憶部に記憶された前記署名生成鍵を用いて電子署名を生成する署名生成部とを有する署名生成装置を備えることを特徴とする。

0015

また、本発明に係る車載認証システムは、前記車載認証装置の前記第1公開鍵取得部は、前記電子署名が付された前記第1公開鍵と共に、該第1公開鍵と対になる前記第1秘密鍵を記憶した前記通信装置の識別情報を取得し、前記車載認証装置は、前記第1公開鍵取得部が取得した前記電子署名が付された前記第1公開鍵を、前記識別情報に対応付けて前記第2記憶部に記憶し、前記通信装置は、前記ネットワークに接続された際に、自身の識別情報を前記車載認証装置へ送信する識別情報送信部を有し、前記車載認証装置は、前記通信装置から前記識別情報を受信する識別情報受信部を有し、前記車載認証装置の前記第2公開鍵暗号化部は、前記識別情報受信部が受信した識別情報に対応付けられた前記第1公開鍵を用いて前記第2公開鍵を暗号化することを特徴とする。

0016

また、本発明に係る通信装置は、車両内のネットワークに接続される通信装置において、第1秘密鍵及び第1公開鍵が記憶された記憶部と、前記ネットワークに接続された車載認証装置から暗号化された第2公開鍵を受信する第2公開鍵受信部と、前記第2公開鍵受信部が受信した前記第2公開鍵を、前記記憶部に記憶された前記第1秘密鍵を用いて復号する第2公開鍵復号部と、前記第2公開鍵復号部が復号した前記第2公開鍵を用いて、前記記憶部に記憶された前記第1公開鍵を暗号化する第1公開鍵暗号化部と、前記第1公開鍵暗号化部が暗号化した前記第1公開鍵を、前記ネットワークを介して前記車載認証装置へ送信する第1公開鍵送信部とを備えることを特徴とする。

0017

また、本発明に係る通信装置は、車両内のネットワークに接続される通信装置において、第1秘密鍵が記憶された記憶部を備え、装置本体又は装置の付随物には、前記第1秘密鍵と対になる第1公開鍵及び該第1公開鍵の正当性を示す電子署名を可視化した情報が描かれていることを特徴とする。

0018

また、本発明に係る車載認証装置は、車両内のネットワークに新たに接続された通信装置を認証する車載認証装置において、前記通信装置が記憶している第1秘密鍵と対になる第1公開鍵に付された電子署名の正否を検証する署名検証鍵、並びに、第2秘密鍵及び第2公開鍵が記憶された記憶部と、前記電子署名が付された前記第1公開鍵を取得する第1公開鍵取得部と、前記第1公開鍵取得部が取得した前記第1公開鍵に付された前記電子署名の正否を、前記記憶部に記憶された前記署名検証鍵を用いて検証する署名検証部と、前記署名検証部により正当であると判定された電子署名が付された第1公開鍵を用いて、前記記憶部に記憶された第2公開鍵を暗号化する第2公開鍵暗号化部と、前記第2公開鍵暗号化部が暗号化した前記第2公開鍵を、前記ネットワークを介して前記通信装置へ送信する第2公開鍵送信部と、前記通信装置から暗号化された前記第1公開鍵を受信する第1公開鍵受信部と、前記第1公開鍵受信部が受信した前記第1公開鍵を、前記記憶部に記憶された前記第2秘密鍵を用いて復号する第1公開鍵復号部と、前記第1公開鍵復号部が復号した前記第1公開鍵の正否を判定する第1公開鍵判定部とを備え、前記第1公開鍵判定部が前記第1公開鍵が正当であると判定した場合に、前記通信装置が正当な装置であると認証することを特徴とする。

0019

また、本発明に係るコンピュータプログラムは、第1秘密鍵及び第1公開鍵が記憶された記憶部を有するコンピュータに、車両内のネットワークに接続された車載認証装置から暗号化された第2公開鍵を受信させ、受信した前記第2公開鍵を、前記記憶部に記憶された前記第1秘密鍵を用いて復号させ、復号した前記第2公開鍵を用いて、前記記憶部に記憶された前記第1公開鍵を暗号化させ、暗号化した前記第1公開鍵を、前記ネットワークを介して前記車載認証装置へ送信させることを特徴とする。

0020

また、本発明に係るコンピュータプログラムは、車両内のネットワークに接続された通信装置が記憶している第1秘密鍵と対になる第1公開鍵に付された電子署名の正否を検証する署名検証鍵、並びに、第2秘密鍵及び第2公開鍵が記憶された記憶部を有するコンピュータに、前記電子署名が付された前記第1公開鍵を取得させ、取得した前記第1公開鍵に付された前記電子署名の正否を、前記記憶部に記憶された前記署名検証鍵を用いて検証させ、検証により正当であると判定された電子署名が付された第1公開鍵を用いて、前記記憶部に記憶された第2公開鍵を暗号化させ、暗号化した前記第2公開鍵を、前記ネットワークを介して前記通信装置へ送信させ、前記通信装置から暗号化された前記第1公開鍵を受信させ、受信した前記第1公開鍵を、前記記憶部に記憶された前記第2秘密鍵を用いて復号させ、復号した前記第1公開鍵の正否を判定させ、前記第1公開鍵が正当であると判定した場合に、前記通信装置が正当な装置であると認証させることを特徴とする。

0021

また、本発明に係る通信装置の認証方法は、第1秘密鍵及び第1公開鍵を車両内のネットワークに接続される通信装置の第1記憶部に記憶し、第2秘密鍵及び第2公開鍵、並びに、前記第1公開鍵に付された電子署名の正否を検証する署名検証鍵を車載認証装置の第2記憶部に記憶し、前記車載認証装置が、前記電子署名が付された前記第1公開鍵を取得し、取得した前記第1公開鍵に付された前記電子署名の正否を、前記第2記憶部に記憶された前記署名検証鍵を用いて検証し、検証により正当であると判定された電子署名が付された第1公開鍵を用いて、前記第2記憶部に記憶された第2公開鍵を暗号化し、暗号化した前記第2公開鍵を、前記ネットワークを介して前記通信装置へ送信し、前記通信装置が、前記車載認証装置から暗号化された前記第2公開鍵を受信し、受信した前記第2公開鍵を、前記第1記憶部に記憶された前記第1秘密鍵を用いて復号し、復号した前記第2公開鍵を用いて、前記第1記憶部に記憶された前記第1公開鍵を暗号化し、暗号化した前記第1公開鍵を、前記ネットワークを介して前記車載認証装置へ送信し、前記車載認証装置が、前記通信装置から暗号化された前記第1公開鍵を受信し、受信した前記第1公開鍵を、前記第2記憶部に記憶された前記第2秘密鍵を用いて復号し、復号した前記第1公開鍵の正否を判定し、前記第1公開鍵が正当であると判定した場合に、前記通信装置が正当な装置であると認証することを特徴とする。

0022

また、本発明に係る通信装置の認証方法は、署名生成装置が、第1公開鍵の電子署名を生成し、情報書込装置が、前記第1公開鍵及び該第1公開鍵と対になる第1秘密鍵を、車両内のネットワークに接続される通信装置の第1記憶部に書き込み、印刷装置が、前記通信装置又は前記通信装置の付随物に、前記電子署名が付された前記第1公開鍵を可視化した情報を印刷し、情報書込装置が、第2秘密鍵及び第2公開鍵、並びに、前記第1公開鍵に付された電子署名の正否を検証する署名検証鍵を車載認証装置の第2記憶部に書き込み、可視化情報取得装置が、印刷された前記情報を取得し、前記車載認証装置が、前記可視化情報取得装置が取得した情報に基づいて前記電子署名が付された前記第1公開鍵を取得し、取得した前記第1公開鍵に付された前記電子署名の正否を、前記第2記憶部に記憶された前記署名検証鍵を用いて検証し、検証により正当であると判定された電子署名が付された第1公開鍵を用いて、前記第2記憶部に記憶された第2公開鍵を暗号化し、暗号化した前記第2公開鍵を、前記ネットワークを介して前記通信装置へ送信し、前記通信装置が、前記車載認証装置から暗号化された前記第2公開鍵を受信し、受信した前記第2公開鍵を、前記第1記憶部に記憶された前記第1秘密鍵を用いて復号し、復号した前記第2公開鍵を用いて、前記第1記憶部に記憶された前記第1公開鍵を暗号化し、暗号化した前記第1公開鍵を、前記ネットワークを介して前記車載認証装置へ送信し、前記車載認証装置が、前記通信装置から暗号化された前記第1公開鍵を受信し、受信した前記第1公開鍵を、前記第2記憶部に記憶された前記第2秘密鍵を用いて復号し、復号した前記第1公開鍵の正否を判定し、前記第1公開鍵が正当であると判定した場合に、前記通信装置が正当な装置であると認証することを特徴とする。

0023

また、本発明に係る通信装置の製造方法は、署名生成装置が、第1公開鍵の電子署名を生成し、情報書込装置が、前記第1公開鍵及び該第1公開鍵と対になる第1秘密鍵を、車両内のネットワークに接続される通信装置の第1記憶部に書き込み、印刷装置が、前記通信装置又は前記通信装置の付随物に、前記電子署名が付された前記第1公開鍵を可視化した情報を印刷することを特徴とする。

0024

本発明においては、車両内のネットワークに新たに接続された通信装置を、車両に搭載された車載認証装置が認証する(即ち、この通信装置が正当な装置であるか否かを判断する)。
通信装置は、第1秘密鍵及び第1公開鍵を記憶しておく。車載認証装置は、第2秘密鍵及び第2公開鍵と、電子署名の正否を検証する署名検証鍵とを記憶しておく。通信装置及び車載認証装置は、共通の鍵情報を記憶しておく必要がないため、装置の製造後に共通の鍵情報が扱われることはなく、共通の鍵情報が漏えいすることはない。本発明の手法では、これらの鍵情報の記憶は装置の製造段階で予め行われる。

0025

まず車載認証装置は、車両内のネットワークに対して新たに接続される通信装置の第1公開鍵を取得する。公開鍵は外部に漏えいしても問題がない情報であるため、車載認証装置による第1公開鍵の取得はどのような方法で行われてもよい。ただし第1公開鍵には電子署名が付され、車載認証装置は、予め記憶した署名検証鍵を用いて取得した第1公開鍵の正否を検証する。第1公開鍵が正当なものである場合、この第1公開鍵を用いて、自身が記憶している第2公開鍵を暗号化し、暗号化した第2公開鍵を、車両内のネットワークを介して新たに接続された通信装置へ送信する。このときに送信される第2公開鍵を復号することができるのは、暗号化に用いた第1公開鍵と対になる第1秘密鍵を有する通信装置のみである。

0026

車載認証装置から暗号化された第2公開鍵を受信した通信装置は、自身が記憶している第1秘密鍵を用いて第2公開鍵を復号する。この第2公開鍵を用いて通信装置は、自身が記憶している第1公開鍵を暗号化し、暗号化した第1公開鍵を、車両内のネットワークを介して車載認証装置へ送信する。このときに送信される第1公開鍵を復号することができるのは、暗号化に用いた第2公開鍵と対になる第2秘密鍵を有する車載認証装置のみである。

0027

通信装置から暗号化された第1公開鍵を受信した車載認証装置は、自身が記憶している第2秘密鍵を用いて第1公開鍵を復号し、復号した第1公開鍵の正否を判定する。このときに車載認証装置は、例えば復号した第1公開鍵が、電子署名付きで取得した第1公開鍵と一致する場合に、この第1公開鍵を正当なものであると判定する構成とすることができる。第1公開鍵が正当であると判定した場合、車載認証装置は、この第1公開鍵の送信元である通信装置を正当な装置であると判断する。
このように本発明に係る車載認証システムでは、新たに車両内のネットワークに接続された通信装置を認証するために、車載認証装置が車両外のサーバ装置などとの間で通信を行う必要がない。また漏洩を防止すべき第1秘密鍵及び第2秘密鍵は、例えば装置の製造段階等において各装置のメモリなどに予め書き込んでおけばよいため、通信装置を接続する作業を行う作業者が第1秘密鍵及び第2秘密鍵を扱う必要はなく、悪意の作業者が第1秘密鍵及び第2秘密鍵を不正に取得することを防止できる。

0028

また本発明においては、車両内のネットワークを介した通信に用いられる共通鍵を車載認証装置が記憶し、正当な装置であると判定した新規の通信装置に対してこの共通鍵を送信する処理を行う。共通鍵は、車両内のネットワークに接続された全ての装置が有する共通の鍵であり、例えば送受信する情報の暗号化/復号の処理又はメッセージ認証子の生成/検証の処理等を行う際に用いられる。
車載認証装置は、通信装置の第1公開鍵を用いて共通鍵を暗号化し、暗号化した共通鍵を通信装置へ送信する。暗号化された共通鍵を受信した通信装置は、自身が記憶している第1秘密鍵を用いて共通鍵を復号する。以降、通信装置は、車両内のネットワークに接続された他の装置との間で、共通鍵を用いた通信を行うことが可能となる。

0029

また本発明においては、第1公開鍵に電子署名を付したものを可視化した情報、例えば2次元バーコード若しくはQRコード(登録商標)等の画像、又は、数字若しくは文字等を複数並べた文字列などの可視化情報を生成し、通信装置の本体又は通信装置の付随物等に可視化情報を描く(印刷する)。通信装置の本体に可視化情報を描く場合、例えば通信装置を覆う外装部品などに可視化情報を描くことができる。通信装置の付随物は、例えば通信装置が梱包される箱、パッケージ又は取扱説明書等とすることができる。
通信装置を車両内のネットワークに接続する際、可視化情報取得装置にて通信装置の本体又は付随物に描かれた可視化情報の取得を行う。取得した可視化情報を電子署名付きの第1公開鍵の情報に変換することによって、車載認証装置は電子署名付きの第1公開鍵を取得することができる。なお可視化情報から第1公開鍵への変換は、可視化情報取得装置が行ってもよく、車載認証装置が行ってもよい。

0030

また本発明においては、通信装置の第1公開鍵の電子署名を署名生成装置が生成する。署名生成装置は、車載認証装置が記憶している署名検証鍵と対になる署名生成鍵を記憶しており、この署名生成鍵を用いて通信装置の第1公開鍵の電子署名を生成する。署名生成装置は例えば通信装置の製造前の段階で署名の生成を行い、生成された電子署名付きの第1公開鍵に基づいて、通信装置の製造工程において上述の可視化情報の印刷が行われる。

0031

また本発明において車載認証装置は、通信装置の電子署名付の第1公開鍵を取得する際に、通信装置の識別情報を取得する。例えば通信装置の識別情報は、電子署名付の第1公開鍵と共に可視化情報として可視化情報取得装置を介して車載認証装置が取得する構成とすることができる。車載認証装置は、通信装置の識別情報に対応付けて第1公開鍵を記憶しておく。通信装置は、車両内のネットワークに接続された際に、自身の識別情報を車載認証装置へ送信する。この識別情報を受信した車載認証装置は、受信した識別情報に対応付けられた第1公開鍵を用いて自身の第2公開鍵を暗号化し、通信装置へ送信する。これにより車載認証装置は、複数の通信装置に関する第1公開鍵を取得し、複数の通信装置に対して並列的に認証を行うことが可能となる。

発明の効果

0032

本発明による場合は、車載認証装置及び通信装置が車両外の装置との無線通信などを行うことを必要とせずに、車両内のネットワークに接続された通信装置が正当な装置であるか否かを車載認証装置が判断することができると共に、秘匿性の高い情報が漏えいする可能性を低減することができる。

図面の簡単な説明

0033

本実施の形態に係る車載認証システムを説明するための模式図である。
セッション鍵を授受するためにゲートウェイ及びECUの間で行われる処理を説明するための模式図である。
ゲートウェイの構成を示すブロック図である。
ECU公開鍵DBの一構成例を示す模式図である。
ECUの構成を示すブロック図である。
署名生成装置の構成を示すブロック図である。
画像読取装置の構成を示すブロック図である。
ECU製造会社によるECUの製造方法を説明するためのフローチャートである。
ECUの車両への取り付け方法を説明するためのフローチャートである。
ゲートウェイが行うECU公開鍵の取得処理の手順を示すフローチャートである。
ECUが行う認証処理の手順を示すフローチャートである。
ゲートウェイが行う認証処理の手順を示すフローチャートである。

実施例

0034

システム構成及び概要
図1は、本実施の形態に係る車載認証システムを説明するための模式図である。本実施の形態に係る車載認証システムは、車両1に搭載されたゲートウェイ2に複数の通信線1aが接続され、各通信線1aに対して一又は複数のECU3が接続され、ECU3が通信線1a及びゲートウェイ2を介して他のECU3との通信を行う構成の車載通信システムにおいて、いずれかのECU3の交換又は新規のECU3の追加等を目的として通信線1aに対して新たなECU3が接続された場合に、このECU3が正当な装置であるか否かをゲートウェイ2が判定する構成である。

0035

通信線1aを介して行われる車両1内の通信においては、ゲートウェイ2及びECU3は、送信するメッセージに対してメッセージ認証子を付す。なお本実施の形態においてはメッセージにメッセージ認証子を付す構成を採用するが、これに限るものではない。例えばメッセージに電子署名を付してもよく、また例えばメッセージを暗号化して送信してもよい。

0036

メッセージを受信したゲートウェイ2及びECU3は、メッセージ認証子の正否を判定することによって受信したメッセージの正否を判定し、受信したメッセージが正当なものではないと判定した場合には、このメッセージを破棄する処理を行う。メッセージ認証子の生成及び判定を行うために、全てのゲートウェイ2及びECU3は共通のセッション鍵を有している。例えばゲートウェイ2及びECU3は、送信するメッセージに含まれるデータをセッション鍵にて暗号化することでメッセージ認証子を生成することができる。またメッセージを受信したゲートウェイ2及びECU3は、メッセージに付されたメッセージ認証子をセッション鍵にて復号し、復号して得られたデータとメッセージに含まれるデータとが一致するか否かに応じて、このメッセージが正当なものであるか否かを判定することができる。

0037

セッション鍵は、ゲートウェイ2の製造工程などにおいてゲートウェイ2の記憶部に予め書き込まれるか、又は、ゲートウェイ2により生成される。ECU3は、工場出荷後初期状態においてセッション鍵を有しておらず、車両1の通信線1aに接続された後、ゲートウェイ2から送信されるセッション鍵を取得することにより、車両1内の他のECU3とのメッセージ送受信を行うことが可能となる。ゲートウェイ2は、車両1内の通信線1aに新たに接続されたECU3が正当な装置であると判断した場合に、このECU3に対してセッション鍵を送信する。

0038

本実施の形態に係る車載認証システムでは、ゲートウェイ2からECU3へのセッション鍵の授受を安全に行うために、公開鍵方式暗号化技術を用いたECU3の認証方式を採用している。公開鍵方式では、秘密鍵及び公開鍵の一組の鍵が用いられ、例えば公開鍵で暗号化された情報を秘密鍵で復号し、また例えば秘密鍵で生成された電子署名を公開鍵で検証するなどの処理が行われる。本実施の形態に係る車載認証システムでは、ゲートウェイ2のGW(ゲートウェイ)秘密鍵及びGW公開鍵と、各ECU3のECU秘密鍵及びECU公開鍵と、電子署名の作成/検証用の署名生成鍵及び署名検証鍵との3組の鍵が用いられる。なお署名生成鍵が秘密鍵であり、署名検証鍵が公開鍵である。

0039

ゲートウェイ2の製造及び販売等を行うゲートウェイ製造会社4は、電子署名の検証に必要な署名検証鍵を予め取得している。電子署名を生成する署名生成装置6は、例えば車両1の製造会社又は販売会社等が管理運営する装置であり、電子署名の生成に署名生成鍵を用いる。署名検証鍵は、この署名生成鍵と対になる鍵である。ゲートウェイ製造会社4は、署名生成装置6を管理運営する会社から配布された署名検証鍵を予め取得することができる。ゲートウェイ製造会社4は、ゲートウェイ2の製造工程において書込装置4aを用い、ゲートウェイ2の記憶部にGW秘密鍵及びGW公開鍵と、署名検証鍵とを書き込む。なお本実施の形態においてゲートウェイ2の記憶部には、署名検証鍵を書き込むための特別な領域が設けられている。この署名検証鍵を記憶する領域は、データの書き込みを1回のみ行うことができる領域である。この領域に書き込まれた署名検証鍵は、以降に書き換えることはできない。製造されたゲートウェイ2は、例えば車両1の製造工場に運ばれ、製造工場にて車両1に搭載される。

0040

ECU3の製造及び販売等を行うECU製造会社5は、製造するECU3毎に異なるECU秘密鍵及びECU公開鍵の組を、例えば社内のサーバ装置などにて生成する。ECU製造会社5は、生成したECU公開鍵を、署名生成装置6を管理運営する会社などへ送信して電子署名の生成を依頼する。この依頼に応じて署名生成装置6ではECU公開鍵毎に電子署名が生成され、ECU公開鍵に電子署名を付した情報(ECU公開鍵証明書)がECU製造会社5に与えられる。ECU製造会社5は、ECU3の製造工程において書込装置5aを用い、ECU3の記憶部にECU秘密鍵及びECU公開鍵を書き込む。

0041

またECU製造会社5は、署名生成装置6から取得した電子署名付きのECU公開鍵と、これと対になるECU秘密鍵が書き込まれたECU3のIDなどの情報とをQRコード(可視化情報)3Bに変換する。なおECU3のIDは、例えば製造番号などのECU3に対して一意的に付される識別情報である。ECU製造会社5は、ECU3の製造工程などにおいて印刷装置5bを用い、ECU3が収容される箱3Aの表面などにQRコード3Bを印刷する。その後、製造されたECU3は箱3Aに収められて出荷される。

0042

出荷されたECU3は、例えば車両1の製造工程において車両1に取り付けられるか、又は、例えば故障による交換などで車両1のディーラ若しくは修理工場等において車両1に取り付けられる。いずれの場合であっても、ECU3を車両1に取り付ける作業者は、ECU3の車両1の取り付けに先立って、ECU3を収容した箱3Aに印刷されたQRコード3bの読み取りを画像読取装置7にて行う。画像読取装置7は、読み取ったQRコード3Bをデジタルデータに変換し、ECU3のECU公開鍵、このECU公開鍵に付された電子署名、及び、このECU公開鍵を記憶しているECU3のID等の情報を取得する。画像読取装置7は、通信ケーブル7aなどを介してゲートウェイ2に着脱可能に接続することができ、QRコード3Bを変換して得られたECU公開鍵、電子署名及びID等の情報をゲートウェイ2に与える。ゲートウェイ2は、自身が予め記憶している署名検証鍵を用いてECU公開鍵に付された電子署名が正当なものであるか否かを判定することにより、画像読取装置7から与えられたECU公開鍵が正当なものであるか否かを判定する。ECU公開鍵が正当なものである場合、ゲートウェイ2は、ECU公開鍵及び電子署名をECU3のIDと対応付けて記憶する。

0043

その後、ECU3が車両1の通信線1aに接続された場合に、このECU3とゲートウェイ2との間で所定の手順で処理が行われ、最終的にゲートウェイ2からECU3へセッション鍵が与えられる。図2は、セッション鍵を授受するためにゲートウェイ2及びECU3の間で行われる処理を説明するための模式図である。車両1の通信線1aに接続されたECU3は、通信線1aを介して自身のIDをゲートウェイ2へ送信する。なおこのときにECU3はセッション鍵を有しておらず、ECU3及びゲートウェイ2の間で行われるメッセージの送受信にはメッセージ認証子が付されていないため、ゲートウェイ2はECU3がセッション鍵を保有するまでの間はメッセージ認証子なしの通信をこのECU3との間で行うことを認めるものとする。

0044

ECU3からIDを通知されたゲートウェイ2は、このIDに対応するECU公開鍵を読み出し、読み出したECU公開鍵を用いて、自身が記憶しているGW公開鍵を暗号化する。ゲートウェイ2は、暗号化したGW公開鍵をECU3へ送信する。暗号化されたGW公開鍵を受信したECU3は、自身が記憶しているECU秘密鍵を用いてGW公開鍵を復号する。ECU3は、復号したGW公開鍵を用いて、自身が記憶しているECU公開鍵を暗号化する。ECU3は、暗号化したECU公開鍵をゲートウェイ2へ送信する。暗号化されたECU公開鍵を受信したゲートウェイ2は、自身が記憶しているGW秘密鍵を用いて、ECU公開鍵を復号する。

0045

これらによりゲートウェイ2は、QRコード3Bを画像読取装置7にて読み取って取得したECU公開鍵と、通信線1aに接続されたECU3から通信により取得したECU公開鍵とを有することとなる。ゲートウェイ2は2つのECU公開鍵が一致するか否かを判定することにより、取得したECU公開鍵が正当なものであるか否かを判定する。2つのECU公開鍵が一致する場合、ゲートウェイ2は、このECU公開鍵が正当なものであると判定し、このECU公開鍵の送信元のECU3が正当な装置であると判定する。

0046

ECU3が正当な装置であると判定した場合、ゲートウェイ2は、このECU3に対応するECU公開鍵を用いて、自身が記憶しているセッション鍵を暗号化する。ゲートウェイ2は、暗号化したセッション鍵をECU3へ送信する。暗号化されたセッション鍵を受信したECU3は、自身が記憶しているECU秘密鍵を用いてセッション鍵を復号する。これによりECU3はセッション鍵を取得することができ、以降の通信ではセッション鍵を利用してメッセージ認証子の生成/検証を行うことができる。

0047

装置構成
図3は、ゲートウェイ2の構成を示すブロック図である。なお図3においては、ゲートウェイ2の機能のうち、ECU3の認証機能に関する機能ブロックを抽出して図示し、メッセージの中継機能などの他の機能については機能ブロックの図示を省略してある。本実施の形態に係るゲートウェイ2は、処理部(プロセッサ)21、記憶部(ストレージ)22、通信部(トランシーバ)23及び接続端子コネクタ)24等を備えて構成されている。処理部21は、例えばCPU(Central Processing Unit)又はMPU(Micro-Processing Unit)等の演算処理装置を用いて構成されており、記憶部22に記憶されたプログラムを読み出して実行することにより、種々の演算処理及び制御処理等を行うことができる。例えば処理部21は、車両1内に設けられた複数の通信線1a間で送受信されるメッセージを中継する処理を行う。また本実施の形態において処理部21は、記憶部22に記憶された認証処理プログラム22aを実行することにより、通信線1aに新たに接続されたECU3の認証に係る処理を行う。

0048

記憶部22は、例えばフラッシュメモリ又はEEPROM(Electrically Erasable Programmable Read Only Memory)等の不揮発性メモリ素子を用いて構成されている。記憶部22は、処理部21が実行するプログラム及び処理に必要な各種のデータ等が記憶されている。本実施の形態において記憶部22は、ECU3の認証に係る処理を行う認証処理プログラム22aと、このプログラムによる処理に必要なGW秘密鍵22b、GW公開鍵22c、署名検証鍵22d及びセッション鍵22eとを記憶している。また記憶部22には、一又は複数のECU3についてのECU公開鍵を記憶したECU公開鍵DB(データベース)22fが設けられている。

0049

記憶部22のGW秘密鍵22b及びGW公開鍵22cは、公開鍵方式での暗号化/復号を行うための一組の鍵であり、ゲートウェイ2毎に異なる値が設定される。署名検証鍵22dは、ECU3が有するECU公開鍵に付された電子署名の正否を検証する際に用いられる鍵であり、署名生成装置6が使用する署名生成鍵と対になる鍵である。署名検証鍵22dは、複数のゲートウェイ2に同じ値が設定される。GW秘密鍵22b、GW公開鍵22c及び署名検証鍵22dは、例えばゲートウェイ2の製造工程においてゲートウェイ製造会社4の書込装置4aにより記憶部22に書き込まれる。

0050

本実施の形態において、記憶部22に記憶された署名検証鍵22dは、読み出しのみが許可され、値を書き換えることができない。即ち記憶部22には、1回のみデータを書き込むことができ、データを書き込んだ後にそのデータを書き換えることができない記憶領域が設けられている。署名検証鍵22dは記憶部22のこの記憶領域に書き込まれることによって、改変不可能な情報となる。なお署名検証鍵22dは、記憶部22とは異なるROM(Read Only Memory)などの記憶素子に書き込まれてもよい。また署名検証鍵22d以外の例えばGW秘密鍵22b及びGW公開鍵22c等の鍵についても同様に、改変不可能な情報としてもよい。

0051

セッション鍵22eは、車両1内のネットワークにて送受信されるメッセージに付されるメッセージ認証子の生成及び正否判定に用いられる鍵であり、共通鍵方式で暗号化/復号を行うための鍵である。車両1に搭載されたゲートウェイ2及びECU3は、同じセッション鍵22eを有している必要がある。セッション鍵22eは、例えばゲートウェイ2の製造工程で記憶部22に書き込まれる構成であってもよいが、本実施の形態においてはゲートウェイ2が乱数発生などのアルゴリズムを用いて生成するものとする。ゲートウェイ2は、例えば周期的にセッション鍵22eを生成して更新し、更新したセッション鍵22eを車両1内の全てのECU3へ送信する処理を行ってもよい。

0052

ECU公開鍵DB22fは、車両1に搭載されたECU3のECU公開鍵を記憶している。図4は、ECU公開鍵DB22fの一構成例を示す模式図である。記憶部22のECU公開鍵DB22fには、ECU3に対して一意に付されるIDと、ECU3のECU公開鍵と、このECU公開鍵の正当性を証明する電子署名とが対応付けて記憶されている。ゲートウェイ2は、ECU3が収められた箱3AのQRコード3Bから画像読取装置7にて読み取った情報を取得し、取得した情報に含まれるECU公開鍵が正当なものであるか否かを電子署名に基づいて判定し、正当であると判定した場合にこれらの情報をECU公開鍵DB22fに登録する。なお本実施の形態においてはECU公開鍵の電子署名を記憶しておく構成としているが、これに限るものではなく、ECU公開鍵が正当なものであると電子署名に基づいて判定した後は、この電子署名を破棄してもよい。

0053

ゲートウェイ2の通信部23は、通信線1aを介して他の装置との間でメッセージを送受信する処理を行う。通信部23は、例えばCAN(Controller Area Network)又はイーサネット(登録商標)等の通信プロトコルに従って、メッセージの送受信を行う。通信部23は、処理部21から与えられた送信用のメッセージを電気信号に変換して通信線1aへ出力することによりメッセージの送信を行う。通信部23は、通信線1a上の電気信号をサンプリングして取得することによりメッセージを受信し、受信したメッセージを処理部21へ与える。またゲートウェイ2は、複数の通信部23を備えており、一の通信部23にて受信したメッセージを他の通信部23から送信するメッセージの中継を行っている。なおメッセージに付されるメッセージ認証子に基づいた正否判定は、通信部23ではなく、処理部21にて行われる。

0054

接続端子24は、通信ケーブル7aを着脱可能に接続することができる端子であり、例えばOBD(On Board Diagnostics)又はUSB(Universal Serial Bus)等の規格による端子を採用することができる。本実施の形態においては、接続端子24に通信ケーブル7aを介して画像読取装置7を接続することができる。ゲートウェイ2は、接続端子24に接続された画像読取装置7から、ECU3の箱3Aに印刷されたQRコード3Bを読み取ったデータを取得することができる。

0055

また本実施の形態に係るゲートウェイ2の処理部21には、記憶部22に記憶された認証処理プログラム22aを実行することによって、ECU公開鍵取得部21a、署名検証部21b、識別情報受信部21c、GW公開鍵暗号化部21d、GW公開鍵送信部21e、ECU公開鍵受信部21f、ECU公開鍵復号部21g、ECU公開鍵判定部21h、セッション鍵暗号化部21i及びセッション鍵送信部21j等がソフトウェア的な機能ブロックとして実現される。

0056

ECU公開鍵取得部21aは、接続端子24に通信ケーブル7aを介して接続された画像読取装置7から、ECU3の箱3Aに印刷されたQRコード3Bを読み取ったデータを取得することにより、このECU3のECU公開鍵をID及び電子署名等の情報と共に取得する処理を行う。署名検証部21bは、ECU公開鍵取得部21aが取得したECU公開鍵に付された電子署名の正否を検証することにより、ECU公開鍵の正否を検証する処理を行う。例えば署名検証部21bは、記憶部22に記憶した署名検証鍵22dを用いて電子署名を復号し、復号して得られたデータがECU公開鍵の一部又は全部と一致するか否かに応じて、電子署名の正否を判定する構成とすることができる。署名検証鍵22dは、正当な電子署名が付されていると判断したECU公開鍵を、記憶部22のECU公開鍵DB22fに登録する。

0057

識別情報受信部21cは、車両1の通信線1aに新たなECU3が接続された場合に、この新たなECU3から送信される認証要求と、この認証要求と共に送信されるECU3のIDとを、通信部23にて受信する処理を行う。GW公開鍵暗号化部21dは、識別情報受信部21cがECU3からの認証要求及びIDを受信した場合に、受信したIDに対応付けられたECU公開鍵を記憶部22のECU公開鍵DB22fから読み出し、読み出したECU公開鍵を用いて、記憶部22に記憶されたGW公開鍵22cを暗号化する。GW公開鍵送信部21eは、GW公開鍵暗号化部21dが暗号化したGW公開鍵22cを、認証要求を送信したECU3(が接続された通信線1a)へ送信する。

0058

ECU公開鍵受信部21fは、GW公開鍵送信部21eによるGW公開鍵22cの送信に応じてECU3から送信されるECU3のECU公開鍵を通信部23にて受信する。受信したECU公開鍵は、GW公開鍵を用いて暗号化されているため、ECU公開鍵復号部21gは、記憶部22からGW秘密鍵22bを読み出し、読み出したGW秘密鍵22bを用いて、ECU3から受信したECU公開鍵を復号する。ECU公開鍵判定部21hは、ECU公開鍵復号部21gが復号したECU公開鍵と、ECU公開鍵取得部21aが取得してECU公開鍵DB22fに登録したECU公開鍵とを比較し、両ECU公開鍵が一致するか否かを判定することにより、新たなECU3から受信したECU公開鍵が正当なものであるか否かを判定する。ECU公開鍵判定部21hが、ECU公開鍵が正当なものであると判定した場合、ゲートウェイ2は、このECU公開鍵の送信元のECU3が正当な装置であると判定する(即ち、このECU3を認証する)。

0059

セッション鍵暗号化部21iは、ECU公開鍵判定部21hが正当と判定したECU公開鍵を用いて、記憶部22に記憶されたセッション鍵22eを暗号化する。セッション鍵送信部21jは、セッション鍵暗号化部21iが暗号化したセッション鍵22eを、正当な装置と判定したECU3へ送信する。これにより車両1の通信線1aに新たに接続されたECU3は、車両1内の通信に用いるセッション鍵22eを取得することができ、以降の通信はセッション鍵22eを用いて生成したメッセージ認証子を送信メッセージに付すことが可能となる。

0060

図5は、ECU3の構成を示すブロック図である。なお図5においては、車両1に搭載される複数のECU3が有する機能のうち、ECU3の認証機能に関する共通の機能ブロックを抽出した図示し、各ECU3に個別の制御処理などの機能については機能ブロックの図示を省略してある。本実施の形態に係るECU3は、処理部(プロセッサ)31、記憶部(ストレージ)32及び通信部(トランシーバ)33等を備えて構成されている。処理部31は、例えばCPU又はMPU等の演算処理装置を用いて構成されており、記憶部32に記憶されたプログラムを読み出して実行することにより、種々の演算処理及び制御処理等を行うことができる。本実施の形態において処理部31は、記憶部32に記憶された認証処理プログラム32aを実行することにより、ゲートウェイ2との間でECU3の認証に係る処理を行う。

0061

記憶部32は、例えばフラッシュメモリ又はEEPROM等の不揮発性のメモリ素子を用いて構成されている。記憶部32は、処理部31が実行するプログラム及び処理に必要な各種のデータ等が記憶されている。本実施の形態において記憶部32は、ECU3の認証に係る処理を行う認証処理プログラム32aと、このプログラムによる処理に必要なECU秘密鍵32b、ECU公開鍵32c及びセッション鍵32dとを記憶している。記憶部32のECU秘密鍵32b及びECU公開鍵32cは、公開鍵方式で暗号化/復号を行うための一組の鍵であり、ECU3毎に異なる値が設定される。ECU秘密鍵32b及びECU公開鍵32cは、例えばECU3の製造工程においてECU製造会社5の書込装置5aにより記憶部32に書き込まれる。

0062

セッション鍵32dは、車両1内のネットワークにて送受信されるメッセージに付されるメッセージ認証子の生成及び正否判定に用いられる鍵であり、共通鍵方式で暗号化/復号を行うための鍵である。車両1に搭載されたゲートウェイ2及びECU3は、同じセッション鍵を有している必要がある。セッション鍵32dは、ECU3の製造工程で書き込まれることはなく、ECU3が車両1に搭載された後にゲートウェイ2から送信されたものを受信し、受信したセッション鍵32dが記憶部32に書き込まれる。

0063

通信部33は、通信線1aを介して他の装置との間でメッセージを送受信する処理を行う。通信部33は、例えばCAN又はイーサネット等の通信プロトコルに従って、メッセージの送受信を行う。通信部33は、処理部31から与えられた送信用のメッセージを電気信号に変換して通信線1aへ出力することによりメッセージの送信を行う。通信部33は、通信線1a上の電気信号をサンプリングして取得することによりメッセージを受信し、受信したメッセージを処理部31へ与える。なおメッセージに付されるメッセージ認証子に基づいた正否判定は、通信部33ではなく、処理部31にて行われる。

0064

また本実施の形態に係るECU3の処理部31には、記憶部32に記憶された認証処理プログラム32aを実行することによって、識別情報送信部31a、GW公開鍵受信部31b、GW公開鍵復号部31c、ECU公開鍵暗号化部31d、ECU公開鍵送信部31e、セッション鍵受信部31f及びセッション鍵復号部31g等がソフトウェア的な機能ブロックとして実現される。識別情報送信部31aは、ECU3が車両1の通信線1aに対して新たに接続された場合に、この車両1に搭載されたゲートウェイ2に対して認証要求と共に自装置のIDを送信する処理を行う。識別情報送信部31aは、例えばECU3の起動後に記憶部32がセッション鍵32dを記憶していない場合に、ゲートウェイ2に対して認証要求及びIDを自動的に送信してもよく、また例えばECU3を車両1に搭載する作業を行った作業者の操作に応じて認証要求及びIDを送信してもよい。

0065

GW公開鍵受信部31bは、識別情報送信部31aが送信した認証要求及びIDに応じてゲートウェイ2が送信するGW公開鍵を通信部33にて受信する処理を行う。なおこのGW公開鍵は、ECU3のECU公開鍵にて暗号化されている。GW公開鍵復号部31cは、GW公開鍵受信部31bが受信したGW公開鍵を、記憶部32に記憶されたECU秘密鍵32bを用いて復号する。ECU公開鍵暗号化部31dは、GW公開鍵復号部31cが復号したGW公開鍵を用いて、記憶部32に記憶されたECU公開鍵32cを暗号化する。ECU公開鍵送信部31eは、ECU公開鍵暗号化部31dが暗号化したECU公開鍵32cを、通信部33にてゲートウェイ2へ送信する。

0066

ECU3からECU公開鍵を受信したゲートウェイ2は、受信したECU公開鍵が正当なものであると判定し、ECU3が正当な装置であると判定した場合に、自身が記憶しているセッション鍵をECU3へ送信する。ECU3のセッション鍵受信部31fは、ゲートウェイ2から送信されたセッション鍵を通信部33にて受信する。このセッション鍵はゲートウェイ2によりECU公開鍵を用いて暗号化されているため、セッション鍵復号部31gは、記憶部32に記憶されたECU秘密鍵32bを用いてセッション鍵を復号し、復号したセッション鍵32dを記憶部32に記憶する。これにより車両1の通信線1aに新たに接続されたECU3は、車両1内の通信に用いるセッション鍵32dを記憶部32に記憶することができ、以降の通信では記憶部32に記憶したセッション鍵32dを用いて生成したメッセージ認証子を送信メッセージに付すことが可能となり、メッセージ認証子が付されたメッセージを受信することが可能となる。

0067

図6は、署名生成装置6の構成を示すブロック図である。本実施の形態に係る署名生成装置6は、例えば車両1の製造会社又は販売会社等が管理運営するサーバ装置として実現される。ただし署名生成装置6は、署名生成のサービスを提供する会社、ゲートウェイ2の製造会社又はECU3の製造会社等が管理運営する装置であってもよい。また署名生成装置6は、汎用のコンピュータに署名生成プログラム62aをインストールすることによって実現される。署名生成プログラム62aは、例えば光ディスク又はメモリカード等の記録媒体65に記録されて提供され、コンピュータにより記録媒体65から読み出されてハードディスクなどにインストールされる。

0068

本実施の形態に係る署名生成装置6は、処理部61、記憶部62及び通信部63等を備えて構成されている。処理部61は、CPU又はMPU等の演算処理装置を用いて構成されており、記憶部62に記憶されたプログラムを読み出して実行することにより、種々の演算処理を行うことができる。本実施の形態において処理部61は、記憶部62に記憶された署名生成プログラム62aを実行することにより、与えられたデータの正当性を証明するための電子署名を生成する処理を行う。

0069

記憶部62は、例えばハードディスクなどの大容量の記憶装置を用いて構成されている。記憶部62は、処理部61が実行するプログラム及び処理に必要な各種のデータ等が記憶されている。本実施の形態において記憶部62は、電子署名の生成に係る処理を行う署名生成プログラム62aと、このプログラムによる処理に必要な署名生成鍵62bとを記憶している。署名生成鍵62bは、ゲートウェイ2が記憶している署名検証鍵22dと対になる鍵であり、電子署名を生成するために所定のデータを暗号化する際に用いられる鍵である。

0070

通信部63は、例えばインターネットなどの広域ネットワークを介して他の装置との間でメッセージを送受信する処理を行う。本実施の形態において通信部63は、例えばゲートウェイ製造会社に設置された通信装置、及び、ECU製造会社5に設置された通信装置との間で、例えばイーサネットの通信プロトコルによるメッセージの送受信を行う。通信部63は、処理部61から与えられた送信用のメッセージを他の装置へ送信すると共に、他の装置から受信したメッセージを処理部61へ与える。本実施の形態において署名生成装置6は、ゲートウェイ製造会社4の通信装置に対して、ゲートウェイ2が記憶する署名検証鍵22dを送信してもよい。また署名生成装置6は、ECU製造会社5から署名生成依頼と共にECU公開鍵を受信し、受信したECU公開鍵の正当性を証明する電子署名を生成してECU製造会社5へ送信する。

0071

また本実施の形態に係る署名生成装置6の処理部61には、記憶部62に記憶された署名生成プログラム62aを実行することによって、ECU公開鍵受信部61a、署名生成部61b及び署名送信部61c等がソフトウェア的な機能ブロックとして実現される。ECU公開鍵受信部61aは、ECU製造会社5の通信装置などから送信される署名生成依頼及びECU公開鍵を通信部63にて受信する処理を行う。署名生成部61bは、署名作成を依頼されたECU公開鍵について、記憶部62の署名生成鍵62bを用いて電子署名を生成する。署名送信部61cは、署名生成部61bが生成した電子署名を含む情報を、署名作成依頼及びECU公開鍵の送信元であるECU製造会社5の通信装置へ送信する処理を行う。

0072

なお署名生成装置6が行う署名生成鍵62bを用いた署名生成処理については、既存の技術であるため、詳細な説明を省略する。またゲートウェイ2が行う署名検証鍵22dを用いた署名検証処理については、既存の技術であるため、詳細な説明を省略する。同様に、秘密鍵及び公開鍵を用いた情報の暗号化及び復号の詳細な手順、共通鍵(セッション鍵)を用いた情報の暗号化及び復号の手順、並びに、セッション鍵によるメッセージ認証子を用いた通信の手順等については、既存の技術であるため、詳細な説明を省略する。

0073

図7は、画像読取装置7の構成を示すブロック図である。本実施の形態に係る画像読取装置7は、例えば車両1のディーラ又は修理工場等に設けられ、車両1の整備又は修理等を行う作業者が持ち運ぶことが可能な大きさ及び形状の装置である。なお画像読取装置7は、例えばECU3の取り付けなど車両1の整備及び修理等を行うための専用の装置であってよく、また例えば汎用のパーソナルコンピューター又はタブレット型端末装置等に画像読取及び車両1との通信を行う機能を有するプログラムをインストールした装置であってもよい。

0074

本実施の形態に係る画像読取装置7は、処理部71、記憶部72、カメラ73及び接続端子74等を備えて構成されている。処理部71は、CPU又はMPU等の演算処理装置を用いて構成されており、記憶部72に記憶されたプログラムを読み出して実行することにより、種々の演算処理を行うことができる。本実施の形態において処理部71は、記憶部72に記憶された変換プログラム72aを実行することにより、QRコード3Bを読み取って情報に変換する処理を行う。

0075

記憶部72は、例えばフラッシュメモリ又はEEPROM等の不揮発性のメモリ素子を用いて構成されている。記憶部72は、処理部71が実行するプログラム及び処理に必要な各種のデータ等が記憶されている。本実施の形態において記憶部72は、ECU7の箱3Aに印刷されたQRコード3Bを読み取って情報に変換する処理を行う変換プログラム72aと、このプログラムによる処理に必要な情報とを記憶している。

0076

カメラ73は、ECU3の箱3Aに印刷されたQRコード3Bを撮影するためのカメラである。カメラ73は、例えば画像読取装置7の適所に設けられた撮影ボタンに対するユーザの操作に応じて撮影を行い、撮影により得られた画像を処理部71へ与える。接続端子74は、通信ケーブル7aを着脱可能に接続することができる端子であり、例えばOBD又はUSB等の規格による端子を採用することができる。本実施の形態においては、接続端子74に通信ケーブル7aの一端を接続し、通信ケーブル7aの他端をゲートウェイ2に接続することによって、ゲートウェイ2及び画像読取装置7が通信可能となる。

0077

また本実施の形態に係る画像読取装置7の処理部71には、記憶部72に記憶された変換プログラム72aを実行することによって、変換処理部71a等がソフトウェア的な機能ブロックとして実現される。変換処理部71aは、カメラ73が撮影した画像からQRコード3Bを抽出し、抽出したQRコード3Bをデジタルデータ、本実施の形態においてはECU3のID、ECU公開鍵及び電子署名等のデータに変換する処理を行う。なおQRコード3Bからデジタルデータへの変換処理は、既存の技術であるため、詳細な説明を省略する。変換処理部71aにより変換されたデータは、接続端子74に通信ケーブル7aを介して接続されているゲートウェイ2へ送信される。

0078

<ECUの製造方法>
次に、ECU製造会社5にて行われるECU3の製造方法について説明する。図8は、ECU製造会社5によるECU3の製造方法を説明するためのフローチャートである。ECU製造会社5では、まず、製造するECU3毎にECU秘密鍵及びECU公開鍵を生成する(ステップS1)。ECU3毎のECU秘密鍵及びECU公開鍵は、例えばECU製造会社5に設けられたコンピュータなどによって生成される。次いでECU製造会社5では、コンピュータがインターネットなどのネットワークを介して署名生成装置6と通信を行い、ステップS1にて生成したECU公開鍵に対する電子署名の生成依頼を行う(ステップS2)。この生成依頼に応じて署名生成装置6にてECU公開鍵の電子署名が生成され、署名生成装置6から生成した電子署名が送信される。ECU製造会社5のコンピュータは、署名生成装置6からの電子署名を受信して取得する(ステップS3)。

0079

またECU製造会社5では、書込装置5aが、ステップS1にて生成したECU秘密鍵及びECU公開鍵を、ECU3の記憶部32に書き込む(ステップS4)。このときに書き込まれるECU秘密鍵及びECU公開鍵は、ECU3毎に異なる値である。なおステップS4の処理は、ステップS2及びS3より先に行われてもよく、並行して行われてもよい。

0080

ECU製造会社5のコンピュータは、ステップS2にて署名生成装置6から取得した電子署名と、ECU公開鍵及びこのECU公開鍵が書き込まれたECU3のIDとを含む情報を元にQRコード3Bを生成する(ステップS5)。次いでECU製造会社5の印刷装置5bは、ステップS5にて生成したQRコード3Bを、ECU3を収容する箱3Aの所定箇所に印刷する(ステップS6)。その後、ECU製造会社5の搬送装置などが、ステップS4にて記憶部32にECU秘密鍵及びECU公開鍵が書き込まれたECU3を、ステップS6にてQRコード3Bが印刷された箱3A内に収容し(ステップS7)、ECU3の製造が完了する。なおステップS7にてECU3を箱3A内に収容する際には、ECU3の記憶部32に記憶された公開鍵と、箱3Aに印刷されたQRコード3Bに含まれるECU公開鍵とが一致するように、ECU3及び箱3Aを組み合わせる必要がある。

0081

<ECUの車両への取り付け>
図9は、ECU3の車両1への取り付け方法を説明するためのフローチャートである。製造されたECU3は、車両1の製造会社、ディーラ又は整備工場等にて車両1に取り付けられる。このときにECU3の取り付けを行う作業者は、まず画像読取装置7を用いて、ECU3が収容された箱3Aに印刷されたQRコード3Bの読取作業を行う必要がある。画像読取装置7は、作業者による撮影操作などに応じて、箱3Aに印刷されたQRコード3Bのカメラ73による撮影画像を取得する(ステップS11)。次いで画像読取装置7は、カメラ73にて取得した撮影画像に写されたQRコード3Bをデジタルデータに変換する処理を行う(ステップS12)。

0082

その後、画像読取装置7は、ステップS12にて変換したデジタルデータに含まれるECU3のID、ECU公開鍵及び電子署名等の情報を、通信ケーブル7aを介して接続されたゲートウェイ2へ送信し(ステップS13)、処理を終了する。なおステップS13を行う前に、作業者は車両1のゲートウェイ2と画像読取装置7とを通信ケーブル7aにて接続する作業を行っておく必要がある。また通信ケーブル7aを介して接続されたゲートウェイ2及び画像読取装置7が情報の送受信を開始する前に、例えば画像読取装置7を操作する作業者に対してパスワード等の入力を求めるなど、画像読取装置7又は作業者等が正当な権限を有するものであるか否かを確認する処理を行ってもよい。

0083

図10は、ゲートウェイ2が行うECU公開鍵の取得処理の手順を示すフローチャートである。通信ケーブル7aを介して画像読取装置7が接続されたゲートウェイ2の処理部21のECU公開鍵取得部21aは、画像読取装置7から送信されるECU3のID、ECU公開鍵及び電子署名等の情報を取得する(ステップS21)。次いで処理部21の署名検証部21bは、記憶部22に記憶された署名検証鍵22dを読み出す(ステップS22)。署名検証部21bは、ステップS21にて取得したECU公開鍵及び電子署名と、ステップS22にて読み出した署名検証鍵22dとを用いて署名検証処理を行う(ステップS23)。署名検証部21bは、署名検証処理の結果から、ステップS21にて取得した電子署名が正しい電子署名であるか否かを判定する(ステップS24)。電子署名が正しいものである場合(S24:YES)、署名検証部21bは、ステップS21にて取得したECU3のID、ECU公開鍵及び電子署名等の情報を、記憶部22のECU公開鍵DB22fに登録して(ステップS25)、処理を終了する。電子署名が正しいものではない場合(S24:NO)、署名検証部21bは、ID、ECU公開鍵及び電子署名等の情報を登録せずに、処理を終了する。

0084

図11は、ECU3が行う認証処理の手順を示すフローチャートである。ECU3の処理部31の識別情報送信部31aは、ECU3が車両1内の通信線1aに接続され、例えば作業者により所定の操作がなされた場合に、ゲートウェイ2に対して認証要求及び自身のIDを送信する(ステップS31)。その後、処理部31のGW公開鍵受信部31bは、ゲートウェイ2から送信されるGW公開鍵を通信部33にて受信したか否かを判定する(ステップS32)。GW公開鍵を受信していない場合(S32:NO)、GW公開鍵受信部31bは、GW公開鍵を受信するまで待機する。

0085

ゲートウェイ2からGW公開鍵を受信した場合(S32:YES)、処理部31のGW公開鍵復号部31cは、記憶部32に記憶されたECU秘密鍵32bを用いて、受信したGW公開鍵を復号する(ステップS33)。GW公開鍵復号部31cは、復号したGW公開鍵を記憶部32に記憶する(ステップS34)。次いで処理部31のECU公開鍵暗号化部31dは、記憶部32に記憶されたECU公開鍵32cを、記憶部32に記憶されたGW公開鍵を用いて暗号化する(ステップS35)。処理部31のECU公開鍵送信部31eは、ステップS35にて暗号化されたECU公開鍵を、通信部33にてゲートウェイ2へ送信する(ステップS36)。

0086

次いで処理部31のセッション鍵受信部31fは、ゲートウェイ2から送信されるセッション鍵を通信部33にて受信したか否かを判定する(ステップS37)。セッション鍵を受信していない場合(S37:NO)、セッション鍵受信部31fは、セッション鍵を受信するまで待機する。ゲートウェイ2からセッション鍵を受信した場合(S37:YES)、処理部31のセッション鍵復号部31gは、記憶部32に記憶されたGW公開鍵を用いて、ステップS37にて受信したセッション鍵を復号する(ステップS38)。セッション鍵復号部31gは、復号したセッション鍵を記憶部32に記憶し(ステップS39)、処理を終了する。

0087

図12は、ゲートウェイ2が行う認証処理の手順を示すフローチャートである。ゲートウェイ2の処理部21の識別情報受信部21cは、ECU3が送信する認証要求及びIDを受信したか否かを判定する(ステップS51)。認証要求及びIDを受信していない場合(S51:NO)、識別情報受信部21cは、認証要求及びIDを受信するまで待機する。ECU3からの認証要求及びIDを受信した場合(S51:YES)、処理部21のGW公開鍵暗号化部21dは、受信したIDに対応するECU公開鍵を、記憶部22のECU公開鍵DB22fから読み出す(ステップS52)。GW公開鍵暗号化部21dは、記憶部22に記憶されたGW公開鍵を、ステップS52にて読み出したECU公開鍵を用いて暗号化する(ステップS53)。処理部21のGW公開鍵送信部21eは、ステップS53にて暗号化したECU公開鍵を、通信部23にて認証要求送信元のECU3へ送信する(ステップS54)。

0088

次いで処理部21のECU公開鍵受信部21fは、ECU3から送信されるECU公開鍵を受信したか否かを判定する(ステップS55)。ECU公開鍵を受信していない場合(S55:NO)、ECU公開鍵受信部21fは、ECU公開鍵を受信するまで待機する。ECU3からECU公開鍵を受信した場合(S55:YES)、処理部21のECU公開鍵復号部21gは、記憶部22に記憶されたGW秘密鍵22bを用いて、ステップS55にて受信したECU公開鍵を復号する(ステップS56)。処理部21のECU公開鍵判定部21hは、ステップS56にて復号したECU公開鍵が、ステップS52にて読み出したECU公開鍵と一致するか否かを判定することにより、ステップS56にて復号したECU公開鍵が正しいものであるか否かを判定する(ステップS57)。

0089

ECU公開鍵が正しいものである場合(S57:YES)、処理部21のセッション鍵暗号化部21iは、記憶部22に記憶されたセッション鍵を読み出して暗号化する(ステップS58)。処理部21のセッション鍵送信部21jは、ステップS58にて暗号化されたセッション鍵を、通信部23にてECU3へ送信し(ステップS59)、処理を終了する。ECU公開鍵が正しいものでない場合(S57:NO)、処理部21はセッション鍵の暗号化及び送信を行うことなく、処理を終了する。

0090

<まとめ>
以上の構成の本実施の形態に係る車載認証システムは、車両1内のネットワーク(通信線1a)に新たに接続されたECU3を、車両1に搭載されたゲートウェイ2が認証する(即ち、ECU3が正当な装置であるか否かを判断する)。ECU3は、ECU秘密鍵及びECU公開鍵を記憶部32に記憶しておく。ゲートウェイ2は、GW秘密鍵及びGW公開鍵と、電子署名の正否を検証するための署名検証鍵とを記憶部22に記憶しておく。ECU3及びゲートウェイ2は、共通の鍵情報を予め記憶しておく必要がないため、これらの鍵情報は例えば各装置の製造段階などにて予め記憶させておくことができ、ECU3を車両1に取り付ける際に鍵情報を書き込む作業が不要となる。

0091

まずゲートウェイ2は、車両1内のネットワークに対して新たに接続されるECU3のECU公開鍵を取得する。このときのゲートウェイ2によるECU公開鍵の取得はどのような方法が採用されてもよいが、本実施の形態においてはECU3を収容する箱3Aに印刷されたQRコード3Bを画像読取装置7にて読み取ることによってゲートウェイ2がECU公開鍵を取得する方法を採用する。ECU公開鍵を取得したゲートウェイ2は、ECU公開鍵に付された電子署名の正否を、記憶部22に記憶した署名検証鍵を用いて検証し、正当なECU公開鍵を記憶部22のECU公開鍵DB22fに記憶しておく。

0092

ゲートウェイ2は、ECU公開鍵DB22fに記憶したECU公開鍵を用いて、記憶部22に記憶しているGW公開鍵を暗号化し、暗号化したGW公開鍵を新たに接続されたECU3へ送信する。このときに送信されるGW公開鍵を復号することができるのは、暗号化に用いたECU公開鍵と対になるECU秘密鍵を有するECU3のみである。ゲートウェイ2から暗号化されたGW公開鍵を受信したECU3は、記憶部32に記憶されたECU秘密鍵を用いて受信したGW公開鍵を復号する。ECU3は、復号したGW公開鍵を用いて、記憶部32に記憶されたECU公開鍵を暗号化し、暗号化したECU公開鍵をゲートウェイ2へ送信する。このときに送信されるECU公開鍵を復号できるのは、暗号化に用いたGW公開鍵と対になるGW秘密鍵を有するゲートウェイ2のみである。

0093

ECU3から暗号化されたECU公開鍵を受信したゲートウェイ2は、記憶部22に記憶しているGW秘密鍵を用いてECU公開鍵を復号し、復号したECU公開鍵の正否を判定する。このときにゲートウェイ2は、例えばECU3から受信したECU公開鍵が、QRコード3Bから取得したECU公開鍵と一致する場合に、ECU3から受信したECU公開鍵が正当なものであると判定する。ECU公開鍵が正当なものであると判定した場合、ゲートウェイ2は、このECU公開鍵の送信元であるECU3を正当な装置であると判断する(認証する)。

0094

このように本実施の形態に係る車載認証システムでは、新たに車両1内のネットワークに接続されたECU3を認証するために、ゲートウェイ2又はECU3が車両1外のサーバ装置などとの通信を行う必要がない。また漏洩を防止すべきECU秘密鍵及びGW秘密鍵は、例えば各装置の製造段階などにおいて各装置の記憶部に予め書き込んでおけばよいため、ECU3を接続する作業を行う作業者がECU秘密鍵及びGW秘密鍵を扱う必要はなく、悪意の作業者がECU秘密鍵及びGW秘密鍵を不正に取得することを防止できる。

0095

また本実施の形態においては、車両1内のネットワークを介した通信に用いられるセッション鍵をゲートウェイ2が記憶し、正当であると判定した新規のECU3に対してこのセッション鍵を送信する処理を行う。セッション鍵は、車両1内のネットワークに接続された全ての装置が共有する共通鍵であり、例えば送受信情報の暗号化/復号の処理、又は、メッセージ認証子の生成/検証の処理等を行う際に用いられる。ゲートウェイ2は、ECU3のECU公開鍵を用いてセッション鍵を暗号化し、暗号化したセッション鍵をECU3へ送信する。暗号化されたセッション鍵を受信したECU3は、記憶部32に記憶されたECU秘密鍵を用いてセッション鍵を復号する。以降、ECU3は、車両1内のネットワークに接続された他のECU3との間で、セッション鍵を用いた通信を行うことが可能となる。

0096

また本実施の形態においては、ECU公開鍵に電子署名を付したものを可視化したQRコード3Bを生成し、ECU3を収容する箱3AにQRコード3Bを印刷しておく。QRコード3Bは、箱3A以外の場所に印刷されてもよく、例えばECU3の外装部品などにQRコード3Bを印刷してもよく、また例えばECU3に付属する説明書など、ECU3と共に箱3Aに収められた他の付属品にQRコード3Bを印刷してもよい。ECU3を車両1内のネットワークに接続する際、画像読取装置7にてECU3の本体又は付属物に描かれたQRコード3Bの読み取りを行う。読み取った画像を電子署名付きのECU公開鍵の情報へ変換することによって、ゲートウェイ2は電子署名付きのECU公開鍵を取得することができる。なおQRコード3BからECU公開鍵のへの変換は、画像読取装置7が行ってもよく、ゲートウェイ2が行ってもよい。

0097

また本実施の形態においては、ECU3のECU公開鍵の電子署名を署名生成装置6が生成する。署名生成装置6は、ゲートウェイ2が記憶している署名検証鍵と対になる署名生成鍵を記憶しており、この署名生成鍵を用いてECU3のECU公開鍵の電子署名を生成する。署名生成装置6は例えばECU3の製造前の段階で電子署名の生成を行い、生成された電子署名が付されたECU公開鍵の情報を元にQRコード3Bを生成し、ECU3の製造工程においてQRコード3Bの印刷が行われる。

0098

また本実施の形態においてゲートウェイ2は、ECU3の電子署名付きのECU公開鍵を取得する際に、ECU3を識別するIDを取得する。例えばECU3のIDは、電子署名付きのECU公開鍵と共にQRコード3Bとして画像読取装置7を介してゲートウェイ2に取得される。ゲートウェイ2は、ECU3のIDに対応付けてECU公開鍵を記憶部22のECU公開鍵DB22fに記憶しておく。ECU3は、車両1内のネットワークに接続された際に、自身のIDをゲートウェイ2へ送信する。このIDを受信したゲートウェイ2は、受信したIDに対応付けられたECU公開鍵を用いて自身のGW公開鍵を暗号化し、暗号化したGW公開鍵をECU3へ送信する。これによりゲートウェイ2は、複数のECU3に関するECU公開鍵を取得し、複数のECU3に対して並列的に認証を行うことが可能となる。

0099

なお本実施の形態においては、車両1に搭載されたゲートウェイ2が、新たに接続されたECU3の認証を行う構成としたが、これに限るものではない。例えば車両1に搭載されたいずれかのECU3が新たに接続されたECU3の認証を行う構成としてもよく、ゲートウェイ2及びECU3以外の車載装置が認証を行う構成としてもよい。

0100

また本実施の形態においては、ECU3の箱3Aに印刷されたQRコード3Bを画像読取装置7にて読み取ることでゲートウェイ2がECU公開鍵を取得する構成としたが、これに限るものではない。ECU公開鍵は、QRコード3B以外の画像に変換されて印刷されてもよい。またQRコード3Bは、ECU3の箱3A以外に印刷されてもよい。また、画像を読み取ることでECU公開鍵を取得するのではなく、例えばECU3に付属するメモリカードなどの記録媒体にECU公開鍵及び電子署名の情報を記録しておき、ゲートウェイ2が記録媒体からECU公開鍵及び電子署名を取得する構成としてもよい。この構成の場合、ゲートウェイ2及び記録媒体がNFC(Near Field Communication)などの無線通信を行って情報を授受する構成としてもよい。また例えば、ECU公開鍵などの情報を数字又は文字等を複数並べた文字列としてECU3の箱3A又は取扱説明書等に印刷しておく構成としてもよい。この構成の場合、画像読取装置7にて文字列を読み取る構成としてもよいが、作業者がキーボードなどの入力デバイスを用いて文字列を入力し、ゲートウェイ2が入力された文字列を取得してECU公開鍵などの情報に変換する構成としてもよい。

0101

また本実施の形態においては、ECU製造会社5から署名生成装置6へインターネットなどのネットワークを介してECU公開鍵を送信し、署名生成装置6からECU製造会社5へネットワークを介して電子署名を送信する構成としたが、これに限るものではない。ECU製造会社5及び署名生成装置6の間の情報授受は、例えば情報を記録した記録媒体を郵送で授受するなどの方法を採用してもよい。ゲートウェイ製造会社4及び署名生成装置6の間の情報授受も同様である。

0102

また本実施の形態においてゲートウェイ2の処理部21が実行する認証処理プログラム22a、ECU3の処理部31が実行する認証処理プログラム32a、署名生成装置6の処理部61が実行する署名生成プログラム62a及び画像読取装置7の処理部71が実行する変換プログラム72a等のプログラムは、光ディスク又はメモリカード等の記録媒体に記録された態様で提供され得る。

0103

1 車両
1a通信線
2ゲートウェイ(車載認証装置)
3 ECU(通信装置)
3A 箱(付随物)
3BQRコード(可視化情報)
4 ゲートウェイ製造会社
4a書込装置
5 ECU製造会社
5a 書込装置
5b印刷装置
6署名生成装置
7画像読取装置(可視化情報取得装置)
7a通信ケーブル
21 処理部
21a ECU公開鍵取得部(第1公開鍵取得部)
21b署名検証部
21c識別情報受信部
21d GW公開鍵暗号化部(第2公開鍵暗号化部)
21e GW公開鍵送信部(第2公開鍵送信部)
21f ECU公開鍵受信部(第1公開鍵受信部)
21g ECU公開鍵復号部(第1公開鍵復号部)
21h ECU公開鍵判定部(第1公開鍵判定部)
21iセッション鍵暗号化部(共通鍵暗号化部)
21j セッション鍵送信部(共通鍵送信部)
22 記憶部(第2記憶部)
22a認証処理プログラム
22b GW秘密鍵(第2秘密鍵)
22c GW公開鍵(第2公開鍵)
22d署名検証鍵
22e セッション鍵(共通鍵)
22f ECU公開鍵DB
23通信部
24接続端子
31 処理部
31a 識別情報送信部
31b GW公開鍵受信部(第2公開鍵受信部)
31c GW公開鍵復号部(第2公開鍵復号部)
31d ECU公開鍵暗号化部(第1公開鍵暗号化部)
31e ECU公開鍵送信部(第1公開鍵送信部)
31f セッション鍵受信部(共通鍵受信部)
31g セッション鍵復号部(共通鍵復号部)
32 記憶部(第1記憶部)
32a 認証処理プログラム
32b ECU秘密鍵(第1秘密鍵)
32c ECU公開鍵(第2秘密鍵)
32d セッション鍵(共通鍵)
33 通信部
61 処理部
61a ECU公開鍵受信部
61b署名生成部
61c署名送信部
62 記憶部
62a署名生成プログラム
62b署名生成鍵
63 通信部
71 処理部
71a変換処理部
72 記憶部
72a変換プログラム
73カメラ
74 接続端子

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い技術

関連性が強い 技術一覧

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ