JP2024533559A - 鍵伝送方法及び装置 - Google Patents
鍵伝送方法及び装置 Download PDFInfo
- Publication number
- JP2024533559A JP2024533559A JP2024516796A JP2024516796A JP2024533559A JP 2024533559 A JP2024533559 A JP 2024533559A JP 2024516796 A JP2024516796 A JP 2024516796A JP 2024516796 A JP2024516796 A JP 2024516796A JP 2024533559 A JP2024533559 A JP 2024533559A
- Authority
- JP
- Japan
- Prior art keywords
- key
- shared key
- information
- component
- initial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 302
- 230000005540 biological transmission Effects 0.000 title claims abstract description 73
- 238000004891 communication Methods 0.000 claims abstract description 112
- 230000004044 response Effects 0.000 claims description 150
- 238000001514 detection method Methods 0.000 claims description 104
- 238000004422 calculation algorithm Methods 0.000 claims description 103
- 238000012545 processing Methods 0.000 claims description 79
- 230000005856 abnormality Effects 0.000 claims description 57
- 238000009795 derivation Methods 0.000 claims description 33
- 238000012797 qualification Methods 0.000 claims description 23
- 230000002159 abnormal effect Effects 0.000 claims description 21
- 238000013507 mapping Methods 0.000 claims description 19
- 238000003860 storage Methods 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 18
- 238000012360 testing method Methods 0.000 claims description 5
- 238000013461 design Methods 0.000 description 187
- 230000006870 function Effects 0.000 description 105
- 230000008569 process Effects 0.000 description 38
- 238000010586 diagram Methods 0.000 description 22
- 238000004519 manufacturing process Methods 0.000 description 18
- 230000008520 organization Effects 0.000 description 14
- 230000009286 beneficial effect Effects 0.000 description 11
- 230000000694 effects Effects 0.000 description 9
- 230000003993 interaction Effects 0.000 description 8
- 150000003839 salts Chemical class 0.000 description 6
- 238000012795 verification Methods 0.000 description 6
- 238000007689 inspection Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000005429 filling process Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/48—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for in-vehicle communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Lock And Its Accessories (AREA)
Abstract
本件出願は鍵伝送方法及び装置を開示している。方法において、第1のコンポーネントは、第1の鍵ツールから第1の命令を受信する可能性がある。第1の命令は初期鍵に関連付けられた第1の情報を含む。初期鍵は共有鍵を生成するために少なくとも使用される可能性がある。共有鍵は地理的位置情報を含むデータを暗号化するために少なくとも使用される可能性がある。そして、第1のコンポーネントは第1の命令に従って初期鍵を取得する可能性がある。このように、第1の鍵ツールを用いて、初期鍵に関連付けられた第1の情報を、車両内の第1のコンポーネントに送信し、その結果、第1のコンポーネントは、第1の情報に基づいて初期鍵を取得することができる。これは、鍵の伝送セキュリティを効果的に向上させることができ、その結果、初期鍵に基づいて生成された共有鍵は、他のデバイスによって取得することはできず、車両のコンポーネント間の通信のセキュリティ・パフォーマンスを効果的に向上させ、且つコンポーネントに関連付けられたデータを効果的に保護することができる。
Description
[0001] 本件出願の実施形態は、通信技術の分野、特に、鍵伝送方法及び装置に関連する。
[0002] インテリジェント車両の発展に伴い、インテリジェント車両内の様々なコンポーネント(例えば、ドメイン・コントローラ、電子制御ユニット、及びセンサー)は、通信インタラクションを行って、インテリジェント車両のサービスを協調的に完了することが可能である。例えば、インテリジェント車両がインテリジェント運転サービスを実行する場合に、地理的位置情報はセンサーとインテリジェント運転コントローラとの間で伝送される可能性がある。
[0003] 様々なコンポーネント間の安全な通信を保証するために、異なるコンポーネント間の共有鍵(shared key)が、伝送用の関連するサービス・データを暗号化するために使用される必要がある。共有鍵は、車両の初期鍵(initial key)に基づいて生成される。初期鍵の既存の充当プロセス(filling process)では、初期鍵のセキュリティを保証することはできず、従って車両のサービス・データ・セキュリティが脅かされる。従って、異なるコンポーネント間の通信のセキュリティ・パフォーマンスを向上させるために、どのようにして鍵を安全に伝送するのかは、緊急に解決されることを必要とする技術的課題である。
[0001] 本件出願の実施形態は、鍵伝送セキュリティを改善し、車両内のコンポーネント間の通信のセキュリティ・パフォーマンスを改善し、車両に関連するサービス・データを保護するための鍵伝送方法及び装置を開示する。
[0005] 第1の態様によれば、本件出願の実施形態は鍵伝送方法を提供する。方法は、車両の第1のコンポーネント、又は第1のコンポーネント内に構築されたチップにより実行される可能性がある。方法は:第1の鍵ツールから第1の命令を受信するステップであって、第1の命令は初期鍵に関連付けられた第1の情報を含む、ステップ;及び第1の命令に従って初期鍵を取得するステップを含む。初期鍵は共有鍵を生成するために少なくとも使用され、共有鍵は地理的位置情報を含むデータを暗号化するために少なくとも使用される。第1のコンポーネントは、車両内のコントローラ、電子制御ユニット、センサー、又はこれに類するものであってもよい。これは、本件出願の実施形態において特に限定されない。第1の命令は、第1のコンポーネントの初期鍵を充当するために使用される可能性がある。
[0006] この解決策では、第1の鍵ツールを使用して、初期鍵に関連付けられた第1の情報を、車両内の第1のコンポーネントに伝送し、その結果、第1のコンポーネントは第1の情報に基づいて初期鍵を取得することができる。これは、鍵の伝送セキュリティを効果的に向上させることができ、その結果、初期鍵に基づいて生成される共有鍵は他のデバイスによって取得することはできず、車両のコンポーネント間の通信のセキュリティ・パフォーマンスを効果的に向上させることができる。
[0007] 地理的位置情報のデータは、以下のうちの1つ以上:経度と緯度、標高、及び地理的トラック に関連するデータを含む可能性がある。例えば、地理位置情報のデータは、経度及び緯度データ・レンジ及び/又は標高データ・レンジが事前に設定された閾レンジ内にある該当するデータを含む可能性がある。代替的に、地理的位置情報のデータは、地理的位置に関するデータであってもよい。これは、本件出願の実施形態において特に限定されない。標高は、基準面に対する地点の高さ、例えば地面に対する車両の最上部の高さである。これに対応して、標高データは、基準面に対する地点の高さを反映するデータ、例えば、地面に対する車両の最上部の高さを反映するデータを含む。
[0008] 共有鍵は、車両内の全てのコンポーネントの共有鍵であってもよいし、或いは、車両内の機能ドメイン(例えば、インテリジェント運転ドメイン)に関連付けられたコンポーネントの共有鍵であってもよい。これは、本件出願の実施形態において限定されない。
[0009] 可能な設計において、初期鍵は、相手先商標製品製造者(original equipment manufacturer,OEM)と非関連であるか、又はナビゲーション電子地図作成資格(navigation electronic map production qualification)を有していないOEMと非関連である。この場合におけるOEMは車両に関連付けられたOEMである。この設計では、初期鍵の伝送プロセス全体は、車両に関連付けられたOEMの参加を必要としないので、初期鍵はOEMにとって不可視になるか、又は、ナビゲーション電子地図作成資格を有していないOEMの参加を必要としないので、初期鍵はナビゲーション電子地図作成資格を有していないOEMにとって不可視になる。これは、鍵の伝送セキュリティを更に向上させることができる。
[0010] 可能な設計において、初期鍵は、ナビゲーション電子地図作成資格を有する組織に関連している。これは、初期鍵の安全性を確保することができ、これにより、地理的位置情報の伝送セキュリティを確保することができる。
[0011] 可能な設計において、初期鍵は認証鍵(authentication key)とは異なり、認証鍵は、車両に関連付けられたOEMからのものである。第1のコンポーネントは、認証鍵に基づいて少なくとも1つの機能鍵を決定することが可能である。少なくとも1つの機能鍵は、第1のコンポーネントの少なくとも1つのサービス機能に対応している。本件出願の実施形態において、地理的位置情報に関連するサービスは、第1の鍵ツールからの初期鍵と、初期鍵を用いて生成された共有鍵とに基づいて、実施することができる。地理的位置情報に関連付けられていないサービスは、OEMからの認証鍵と、認証鍵を用いて生成された機能鍵とに基づいて、実施することができる。このように、地理的位置情報に関連するサービスと、地理的位置情報に関連しないサービスとで、異なる鍵を用いることができるので、地理的位置情報に関連するデータの伝送セキュリティを更に保証することができる。
[0012] 第1の情報は、以下の方法を含むがこれに限定されない複数の方法で実施することが可能である。
[0013] 方法1:第1の情報は第1の暗号文を含み、第1の暗号文は第1のコンポーネントの第1の公開鍵を用いて初期鍵を暗号化することにより取得された情報を含む。これに対応して、第1のコンポーネントが第1の命令に従って初期鍵を取得するプロセスは:第1のコンポーネントの第1の秘密鍵に基づいて第1の暗号文を解読して初期鍵を取得することであってもよい。第1の秘密鍵は第1の公開鍵に対応している。
[0014] 方法1では、初期鍵は、第1のコンポーネントの第1の公開鍵を用いて伝送用に暗号化され、その結果、第1のコンポーネントは、第1の公開鍵に対応する第1の秘密鍵を用いて初期鍵の暗号文を解読して、初期鍵を取得することができる。オプションの設計において、第1のコンポーネントは、第1の公開鍵と第1の公開鍵に対応する第1の秘密鍵とを生成し、第1の公開鍵を第1の鍵ツールに送信してもよい。第1の鍵ツールは、第1の公開鍵を用いて初期鍵を暗号化して第1の暗号文を取得し、第1の暗号文を第1のコンポーネントに送信する。第1のコンポーネントは、第1の公開鍵に対応する第1の秘密鍵を有するので、第1のコンポーネントは、第1の秘密鍵に基づいて第1の暗号文を解読して、初期鍵を取得することができる。初期鍵の伝送は、非対称暗号アルゴリズムに従って実施されるので、初期鍵の伝送セキュリティを効果的に向上させることができる。
[0015] 方法2:第1の情報は初期鍵を含む。これに対応して、第1のコンポーネントが第1の命令に従って初期鍵を取得するプロセスは:有線接続方式で第1の命令に従って初期鍵を取得することであってもよい。
[0016] 方法2では、有線接続方式において、第1のコンポーネントは、初期鍵を直接的に受信することができ、第1のコンポーネントは、暗号化/暗号解読処理を実行することを必要としない。従って、暗号化/暗号解読能力を有しない第1のコンポーネントも初期鍵を取得することができ、様々なコンポーネント間の通信の安全性を確保することができる。また、初期鍵をこのような方法で取得し、第1のコンポーネントの動作をシンプルにし、コンポーネントの実装の複雑さやコンポーネントのコストを低減する。
[0017] 可能な設計において、第1のコンポーネントは、第1のレスポンス情報を第1の鍵ツールへ更に送信してもよい。第1のレスポンス情報は、初期鍵の充当性結果(filling result)を含む。この設計では、第1のコンポーネントによって送信された第1のレスポンス情報は、初期鍵の充当性結果を含み、その結果、第1の鍵ツールは、第1のコンポーネントの鍵充当性結果をより良く監視することができる。
[0018] 初期鍵の充当性結果は、初期鍵が首尾良く充当されたか、又は初期鍵が充当に失敗したかを示すことが可能である。
[0019] 可能な設計において、初期鍵の充当性結果は:第1の識別子であって初期鍵は首尾良く充当されたことを示す第1の識別子;及び/又は 第3の暗号文であって、初期鍵又は初期鍵の派生鍵を用いて、第1の命令に含まれる第1の乱数を暗号化することによって取得された情報を含む第3の暗号文;を含む。この設計では、初期鍵の充当性結果は、第1の識別子及び/又は第3の暗号文を含み、その結果、第1の鍵ツールは、第1の識別子及び/又は第3の暗号文に基づいて、初期鍵が首尾よく充当されたかどうかを判定することができる。
[0020] 可能な設計において、初期鍵の充当性結果は、第2の識別子を含んでもよい。第2の識別子は、初期鍵が充当に失敗したことを示すことが可能である。この設計では、初期鍵の充当性結果は第2の識別子を含み、その結果、第1の鍵ツールは、第2の識別子に基づいて、初期鍵は充当に失敗したと判定することができる。
[0021] 可能な設計において、初期鍵の充当性結果は、車両の識別子及び/又は第1のコンポーネントの識別子を更に含んでもよい。このように、第1の鍵ツールは、第1のコンポーネント及び/又は車両の初期鍵の充当状態を監視することができる。
[0022] 可能な設計において、第1のコンポーネントは、第1の鍵ツール又は第2の鍵ツールから第2の命令を更に受信し、この場合において、第2の命令は、共有鍵に関連付けられた第2の情報を含み;また、初期鍵及び第2の情報に基づいて共有鍵を取得することができる。第2の命令は、第1のコンポーネントのための共有鍵をA充当するために使用されてもよい。この設計では、第1のコンポーネントは、第1の鍵ツールからの共有鍵充当命令を受信することが可能であり、即ち、初期鍵及び共有鍵を充当するために、第1の鍵ツールを使用することが可能である。第1のコンポーネントの鍵充当の作業はシンプルにされることが可能であり、鍵充当に使用される鍵ツールの設計もシンプルにされることが可能である。あるいは、上記設計に従って、第1のコンポーネントは、第1の鍵ツールとは異なる第2の鍵ツールを用いて共有鍵を充当して、初期鍵と共有鍵の充当の柔軟性を実現することができる。後者の設計では、第1の鍵ツールは、初期鍵を充当するだけのために使用されることが可能である、ということが理解されるであろう。
[0023] 可能な設計において、第1の鍵ツール及び第2の鍵ツールは、異なる鍵充当環境に対応してもよい。例えば、第1の鍵ツールは、コンポーネント・サプライヤ(又は供給元)/コンポーネント生産ラインに対応し、即ち、コンポーネント・サプライヤにおいて及び/又はコンポーネント生産ライン内で、第1の鍵ツールは、第1のコンポーネントの初期鍵を充当するために使用されてもよいし、或いは、第1のコンポーネントの初期鍵及び共有鍵を充当するために使用されてもよい。第2の鍵ツールは、OEM生産ラインに対応し、即ち、OEM生産ラインにおいて、第2の鍵ツールは、第1のコンポーネントの共有鍵を充当するために使用されてもよい。この設計では、異なる鍵充当環境において、異なる鍵ツールが、第1のコンポーネントの共有鍵及び初期鍵を充当するために使用される。このようにして、鍵充当の柔軟性を実現できるだけでなく、異なる鍵充当環境に適合した鍵ツールを設計することも可能になる。これは、異なる鍵充当環境における鍵充当の安全性を更に確保し、これにより、車両内の異なるコンポーネント間の通信の安全性パフォーマンスを向上させることができる。
[0024] 別の可能な設計において、第1の鍵ツール及び第2の鍵ツールは、代替的に、車両内の異なるコンポーネントに対応してもよい。例えば、第1の鍵ツールは、車両内の何らかのコンポーネント、又は車両内にあるコンポーネントであって地理情報のやりとりに参加するものに対応する。この場合、第1の鍵ツールは、初期鍵又は初期鍵及び共有鍵を、車両内の何らかのコンポーネント又は車両内にあるコンポーネントであって地理情報のやりとりに参加するコンポーネントに充当するために使用されてもよい。第2の鍵ツールは、車両内の主制御コンポーネント(例えば、ソフトウェアとハードウェアが統合されたプラットフォーム、即ち、インテリジェント運転をサポートするために使用される車両演算プラットフォーム(vehicle computing platform)、又はゲートウェイ)、又は特定の機能ドメイン(例えば、インテリジェント運転ドメイン又はヒューマン・マシン・インターフェース(human machine interface,HMI))に関連付けられたコンポーネントのみに対応している。この場合、第2の鍵ツールは、車両内の主制御コンポーネント、又は特定の機能ドメインに関連付けられたコンポーネントのための共有鍵を充当するために使用されてもよい。この設計では、車両内の異なるコンポーネントに対して、初期鍵及び/又は共有鍵を充当するために、異なる鍵ツールが使用される。このようにして、鍵充当の柔軟性を実現できるだけでなく、車両内の様々なコンポーネントに適合する鍵ツールを設計することもできる。これは、車両内の異なるコンポーネントの鍵充当の安全性を更に確保し、それによって、車両内の異なるコンポーネント間の通信の安全性パフォーマンスを向上させる。
[0025] 別の可能な設計において、第1の鍵ツールと第2の鍵ツールは、代替的に、異なるコンポーネント・サプライヤに対応してもよい。例えば、第1の鍵ツールは、コンポーネント・サプライヤ1に対応する。この場合、第1の鍵ツールは、車両内にある何らかのコンポーネントであってコンポーネント・サプライヤ1に関連付けられる何らかのコンポーネントについて、初期鍵又は初期鍵及び共有鍵を充当するために使用されてもよい。例えば、第2の鍵ツールは、コンポーネント・サプライヤ2に対応する。この場合、第2の鍵ツールは、車両内にある何らかのコンポーネントであってコンポーネント・サプライヤ2に関連付けられた何らかのコンポーネントについて、共有鍵を充当するために使用されてもよい。この設計では、異なるコンポーネント・サプライヤに対して、第1のコンポーネントの共有鍵及び/又は初期鍵を充当するために、異なる鍵ツールが使用される。このようにして、鍵充当の柔軟性を実現できるだけでなく、異なるコンポーネント・サプライヤに適合した鍵ツールを設計することもできる。これは、異なるコンポーネント・サプライヤの鍵充当の安全性を更に確保し、それによって、車両内の異なるコンポーネント間の通信の安全性パフォーマンスを向上させる。
[0026] 第1のコンポーネントが初期鍵と第2の情報に基づいて共有鍵を取得する際に、以下の方法を含むがこれらに限定されない複数の実装が存在する、ということに留意すべきである。
[0027] 方法1:第2の情報は、キーイング素材(keying material)として使用されてもよく、第1のコンポーネントは、対称暗号アルゴリズムに従って、又は、対称暗号アルゴリズムの鍵導出関数若しくはメッセージ認証コードに基づいて、共有鍵を、初期鍵及び第2の情報に基づいて取得する。
[0028] 方法1では、第2の情報はキーイング素材として使用されることが可能である。第1のコンポーネントは、特定の鍵アルゴリズムに従って、初期鍵と第2の情報に基づいて共有鍵を生成しており、鍵ツールを用いて共有鍵を伝送することを必要としない。このようにして、他のデバイスは、第1のコンポーネントの共有鍵を取得することができず、第1のコンポーネントの共有鍵の安全性を効果的に向上させることができる。更に、方法1は、第1のコンポーネントのアルゴリズムに対して低い要求しか有しない。例えば、共有鍵は、第1のコンポーネントが、何らかの対称暗号アルゴリズム、対称暗号アルゴリズムに従う何らかのメッセージ認証コード、又は何らかの鍵導出アルゴリズム、をサポートしている限り、共有鍵を取得することが可能である。これは、実装の複雑さと第1のコンポーネントのコストを削減する。
方法2:第2の情報は、初期鍵を用いて共有鍵を暗号化することにより取得した情報を含み、それ故に、第1のコンポーネントは、初期鍵と第2の情報に基づいて共有鍵を取得することが可能である。例えば、共有鍵を取得するために、第2の情報は、初期鍵を用いて解読される。
[0029] 方法2では、第2の情報は共有鍵の暗号文を含み、暗号文は、初期鍵を用いて共有鍵を暗号化することにより取得された情報である。第1のコンポーネントは、初期鍵と暗号文に基づいて共有鍵を取得することができる。しかしながら、初期鍵を有しない他のデバイスについては、たとえ暗号文を受信したとしても、共有鍵を復元することはできない。これは、第1のコンポーネントの共有鍵の安全性を効果的に向上させる。更に、方法2は、第1のコンポーネントのアルゴリズムに対する低い要求しか有しない。例えば、第1のコンポーネントが何らかの復号アルゴリズムをサポートしている限り、共有鍵を取得することができる。これは、実装の複雑さと第1のコンポーネントのコストを削減する。
[0030] 以下の実装を含むがこれに限定されない第1のコンポーネントは、代替的に、第2のコンポーネントとの情報交換を通じて共有鍵を充当することができることに留意すべきである。
[0031] 方法1:第2のコンポーネントは、少なくとも、第1の鍵ツール又は第2の鍵ツールからの鍵情報(例えば、第2の命令)を配布するように構成される。これに対応して、第1のコンポーネントは、第2のコンポーネントによって転送された第2の命令を更に受信し、第2の命令を使用して共有鍵を充当することが可能である。第2のコンポーネントは、車両内にある別のコンポーネントであって第1のコンポーネントとは異なるものである。
[0032] 方法1では、第2のコンポーネントは、第1の鍵ツール又は第2の鍵ツールからの第2の命令を第1のコンポーネントに直接的に転送して、第1のコンポーネントの共有鍵を充当する。このように、第1の鍵ツール及び第2の鍵ツールは、第2のコンポーネントと通信することだけを必要とし、車両内の他のコンポーネントとの通信相互作用を実行することを必要とせず、車両内の他のコンポーネントのための共有鍵を充当することも可能である。これは、車両内の全てのコンポーネントの共有鍵の充当効率を効果的に改善する。
[0033] 方法2:第1のコンポーネントは、代替的に、第2のコンポーネントから第3の命令を受信し、この場合において、第3の命令は共有鍵に関連付けられた第3の情報を含み;初期鍵と第3の情報に基づいて共有鍵を取得することが可能である。第3の命令は、第1のコンポーネントのための共有鍵を充当するために使用されることが可能である。第3の命令は、第2の命令を処理することによって、第2のコンポーネントにより取得されてもよい。別の例として、第2のコンポーネントは、第2の命令の通信プロトコル・フォーマットを変換して、第3の命令を取得してもよい。あるいは、第3の情報は、第2のコンポーネントによって生成されてもよい。例えば、第3の情報は、第2のコンポーネントによって生成されたキーイング素材を含む。別の例として、第2のコンポーネントは、共有鍵を生成し、共有鍵と初期鍵に基づいて第3の情報を決定してもよい。
[0034] 「第1のコンポーネントが、初期鍵と第3の情報に基づいて、共有鍵を取得する」場合の実装は、「第1のコンポーネントが、初期鍵と第2の情報に基づいて、共有鍵を取得する」場合の実装と同様である、ということが理解されるべきである。上記の説明を参照されたい。「第2の情報」が「第3の情報」に置き換えられることを必要とするだけである。詳細は本件において再び説明されない。
[0035] 方法2では、第2のコンポーネントは、第1の鍵ツール又は第2の鍵ツールからの第2の命令又は第2の情報に対して通信プロトコル形式変換を実行し、これに対応して、第3の命令又は第3の情報を取得することができる。このようにして、第3命令又は第3の情報は、第1のコンポーネントと第2のコンポーネントの間の通信プロトコルにより良く適合させられることが可能になり、第1のコンポーネントは、命令(即ち、第3の命令)に従って共有鍵を充当することができる。また、第1のコンポーネントは、第1の鍵ツール又は第2の鍵ツールから共有鍵充当命令を取得することを必要とせず、共有鍵の充当効率を効果的に改善することができる。代替的に、第2のコンポーネントは、車両内の他のコンポーネント(即ち、第1のコンポーネント)のために共有鍵を充当するための共有鍵充当命令(例えば、第3の命令又は第3の情報)を生成することができる。このように、共有鍵の充当は、もはや第1の鍵ツール又は第2の鍵ツールに依存しなくなる。これは、共有鍵の充当手順をシンプルにする。
[0036] 可能な設計において、第1のコンポーネントは、第2の命令に応答して第2のレスポンス情報を更に送信することができる。第2のレスポンス情報は、共有鍵の充当性結果を含む。第1のコンポーネントは、第2のレスポンス情報を第1の鍵ツール又は第2の鍵ツールへ送信することができる。これは、本件出願の実施形態において特に限定されない。
[0037] 可能な設計において、第1のコンポーネントは、第3の命令に応答して第3のレスポンス情報を更に送信することが可能である。第3のレスポンス情報は共有鍵の充当性結果を含む。第1のコンポーネントは、第3のレスポンス情報を第2のコンポーネントに送信することができる。
[0038] 可能な設計において、共有鍵の充当性結果は:第3の識別子であって共有鍵は首尾良く充当されたことを示す第3の識別子;及び/又は 第4の暗号文であって、共有鍵又は共有鍵の派生鍵を用いて、第2の命令に含まれる第2の乱数、又は第3の命令に含まれる第2の乱数、を暗号化することによって取得された情報を含む第4の暗号文;を含む可能性がある。この設計では、共有鍵の充当性結果は、第1の識別子及び/又は第3の暗号文を含み、その結果、第1の鍵ツールは、第1の識別子及び/又は第3の暗号文に基づいて、共有鍵は首尾よく充当されたかどうかを判定することができる。
[0039] 可能な設計において、共有鍵の充当性結果は第4の識別子を含む。第4の識別子は共有鍵が充当に失敗したことを示すことが可能である。この設計では、共有鍵の充当性結果は第4の識別子を含み、その結果、第1の鍵ツールは、第4の識別子に基づいて、共有鍵は充当に失敗したと判定することができる。
[0040] 可能な設計において、共有鍵の充当性結果は、車両の識別子及び/又は第1のコンポーネントの識別子を更に含んでもよい。この設計では、第1の鍵ツール又は第2の鍵ツールは、車両及び/又は第1のコンポーネントの共有鍵の充当状態を監視することができる。
[0041] 可能な設計において、第1のコンポーネントは、第1の鍵ツール又は鍵検出ツールから第4の命令を更に受信することが可能であり、この場合において、第4の命令は第3の乱数を含み;第3の乱数と共有鍵に基づいて第1の検査値を決定し;第1の検査値を含む第4のレスポンス情報を送信する;ことが可能である。第4の命令は、第1のコンポーネントの共有鍵がアブノーマル(abnormal)であるかどうかを検出するために使用されることが可能である。この設計では、第1のコンポーネントは、第1の鍵ツール又は鍵検出ツールから第4の命令を受信し、第4の命令に含まれる乱数と第1のコンポーネントの共有鍵とに基づいて第1の検査値を生成し、第1の検査値を第1の鍵ツール又は鍵検出ツールに返す。このように、第1の鍵ツール又は鍵検出ツールは、第1の検査値に基づいて、第1のコンポーネントの共有鍵が第1の鍵ツール又は鍵検出ツールのローカル共有鍵に一致するか否かを判定し、第1のコンポーネントの共有鍵がアブノーマルであるか否かを判定することができる。これは、第1の鍵ツール又は鍵検出ツールが、第1のコンポーネントの共有鍵のアブノーマル性を監視することに役立つ。アブノーマル性が存在する場合、それは、その後の動作を通じて、第1のコンポーネントの共有鍵が第1の鍵ツール又は鍵検出ツールのローカル共有鍵に一致することを保証するのに役立ち、それによって、車両のコンポーネント間の通信のセキュリティを保証することができる。
[0042]可能な設計において、第1のコンポーネントは、第1の鍵ツール又は鍵検出ツールから第5の命令を受信するように更に構成される。第5の命令は、第5の乱数を含み、第5の命令は、第1のコンポーネントの初期鍵がアブノーマルであるか否かを検出するために使用されてもよい。第1のコンポーネントは、第5の乱数と初期鍵とに基づいて第3の検査値を決定するように更に構成される。第1のコンポーネントは、第5のレスポンス情報を送信するように更に構成される。第5のレスポンス情報は、第3の検査値を含む。初期鍵がアブノーマルである場合、これは、その後の動作を通じて、第1のコンポーネントの初期鍵が第1の鍵ツールのローカル初期鍵と一致することを保証するのに役立ち、それによって、初期鍵に基づいてその後に決定される共有鍵のセキュリティを保証する。
[0043] 第2の態様によれば、本件出願の実施形態は、更に、鍵伝送方法を提供する。方法は、車両内の第2のコンポーネント、又は第2のコンポーネント内に構築されたチップによって実行されてもよい。方法は:共有鍵充当命令を取得することを含む。第2のコンポーネントは、共有鍵充当命令を第1のコンポーネントに送信する。共有鍵充当命令は、第1のコンポーネントのための共有鍵を充当するために使用される。共有鍵は地理的位置情報を含むデータを暗号化するために少なくとも使用される。
[0044] 共有鍵及び地理的位置情報のデータの具体的な説明については、第1の態様又は第1の態様の可能な設計のうちの任意の1つにおける関連する説明を参照されたい。
[0045] 第2のコンポーネントが共有鍵充当命令を取得することは、第2のコンポーネントが共有鍵充当命令を生成又は受信することであってもよい。
[0046] 可能な設計において、共有鍵充当命令は第2の命令であってもよい。第2の命令は、共有鍵に関連付けられた第2の情報を含む。この設計において、第2のコンポーネントが共有鍵充当命令を取得することは:第2のコンポーネントが、第1の鍵ツール又は第2の鍵ツールから第2の命令を受信することを含む。共有鍵充当命令は、第2の命令を含む。例えば、共有鍵充当命令は第2の命令である。この設計において、第2のコンポーネントは、第1の鍵ツール又は第2の鍵ツールからの第2の命令を、直接的に、共有鍵充当命令として使用し、共有鍵充当命令を第1のコンポーネントへ転送して、第1のコンポーネントの共有鍵を充当してもよい。この設計によれば、第2のコンポーネントの動作手順はシンプルにされることが可能であり、実装はシンプルになる。また、第1のコンポーネントは、第1の鍵ツール又は第2の鍵ツールから共有鍵充当命令を取得することを必要とせず、共有鍵の充当効率を効果的に向上させることができる。
[0047] 第2の情報は複数の方法で実装される可能性がある。例えば、第1の鍵ツール又は第2の鍵ツールは、キーイング素材を生成し(例えば、キーイング素材は、ランダムに生成されるか、又は特定のルールに従って生成される)、第2の命令における第2の情報としてキーイング素材を使用する。別の例として、第1の鍵ツール又は第2の鍵ツールは、共有鍵を生成し(例えば、共有鍵はランダムに生成され、或いは特定のルールに従って生成される)、初期鍵と共有鍵に基づいて共有鍵の暗号文を取得し、その暗号文を第2の情報として使用してもよい。更に別の例として、第1の鍵ツール又は第2の鍵ツールは、初期鍵を用いて共有鍵を暗号化し、共有鍵の暗号文を取得し、その暗号文を第2の情報として用いてもよい。
[0048] 別の可能な設計において、共有鍵充当命令は第3の命令を含んでもよい。例えば、共有鍵充当命令は第3の命令である。第3の命令は、共有鍵に関連付けられた第3の情報を含む。この設計において、第3の命令は、以下の実装を含むがこれに限定されない複数の方法で実装される可能性がある。
[0049] 方法1:第3の命令は、第2の命令を処理することによって、第2のコンポーネントにより取得される。
[0050] 例えば、第2のコンポーネントは、第2の命令の通信プロトコル・フォーマットを変換して第3の命令を取得してもよいし、或いは、第2の命令に含まれる第2の情報の通信プロトコル・フォーマットを変換して、第3の命令に含まれる第3の情報を取得してもよい。
[0051] 方法1では、第2のコンポーネントは、第1の鍵ツール又は第2の鍵ツールによって送信された第2の命令を受信し、次いで、第2の命令を処理することによって第3の命令を取得することができる。第2の命令は、共有鍵に関連付けられた第2の情報を含む。第2の情報は、複数の方法で実施される可能性がある。詳細については、共有鍵充当命令が第2の命令である場合の前述の対応する可能な設計における第2の情報の実装を参照されたい。
[0052] 方法1では、第3の命令又は第3の命令に含まれる第3の情報は、第1のコンポーネントと第2のコンポーネントの間の通信プロトコルにより良く適合させられる可能性がある。第1のコンポーネントは、命令(即ち、第3の命令)に従って、共有鍵を充当することができる。第1のコンポーネントは、第1の鍵ツール又は第2の鍵ツールから共有鍵充当命令を取得することを必要とせず、共有鍵の充当効率を効果的に向上させる。
[0053] 方法2:第3の命令は第2のコンポーネントによって生成される。
[0054] 例えば、第2のコンポーネントは、事前に設定された条件が満たされた場合、又は特定の命令が受信された場合に、第3の命令を生成してもよい。共有鍵充当命令は、第3の命令を含む。例えば、共有鍵充当命令は、3番目の命令である。
[0055] 「特定の命令」は、任意の命令とすることが可能であり、第2のコンポーネントは、その命令をトリガ信号として使用することが可能である。例えば、特定の命令は、共有鍵充当命令を生成するために特別に使用される診断コマンドであってもよいし、或いは、他の機能の診断コマンド、例えば、コンポーネント・フラッシュ又はコンポーネント・リセットの命令であってもよい。オプションの設計において、特定の命令は、診断機器、車両全体の電気検査テスト・デバイス、クラウド、又は、車両内の別のコンポーネント(例えば、テレマティックス・ボックス(telematics box,TBO)又はゲートウェイ(gate way,GW))からのものであってもよい。
[0056] 事前に設定された条件は、第2のコンポーネントに関連付けられたデバイスが始動され、特定の時点に到達することを含むが、これに限定されない。
[0057] 「第2のコンポーネントに関連付けられたデバイスが始動される」とは、第2のコンポーネントが始動されることであってもよいし、或いは、第2のコンポーネントが配置されているデバイスが始動されることであってもよい、ということを理解することができる。例えば、第2のコンポーネントはAである。この場合、Aが始動されるか、又は、Aが配置されているデバイスが始動されると、Aは第3の命令を生成することが可能である。別の例として、第2のコンポーネントはBである。この場合、Bが始動されるか、又は、Bが配置されているデバイスが始動されると、Bは第3の命令を生成することが可能である。
[0058] 「特定の時点に到達する」とは、特定の鍵充当時点(例えば、各月の初日の00:00)に到達すること、又は、鍵有効期限より前の予め設定された日(例えば、鍵有効期限の前日)に到達することであってもよい、ということを理解することができる。
[0059] 方法2では、第3の情報は複数の方法で実施される可能性がある。例えば、第2のコンポーネントは、キーイング素材を生成し(例えば、キーイング素材は、ランダムに生成されるか、又は特定のルールに従って生成される)、第3の命令における第3の情報としてキーイング素材を使用してもよい。別の例として、第2のコンポーネントは、共有鍵を生成し(例えば、共有鍵はランダムに生成されるか、又は、特定のルールに従って生成される)、初期鍵と共有鍵に基づいて共有鍵の暗号文を取得し、その暗号文を第3の情報として使用してもよい。
[0060] 方法2では、第2のコンポーネントは、車両内の他のコンポーネント(即ち、第1のコンポーネント)のための共有鍵を充当するために、共有鍵充当命令を生成することが可能である。このように、共有鍵の充当は、もはや第1の鍵ツール又は第2の鍵ツールに依存しなくなる。これは、共有鍵の充当手順をシンプルにする。
[0061] 可能な設計において、第2のコンポーネントは、第1の鍵ツール又は第2の鍵ツールから第2の命令を受信し、この場合において、第2の命令は、共有鍵に関連付けられた第2の情報を含み;初期鍵と第2の情報に基づいて共有鍵を取得することが可能である。第2の命令は、第2のコンポーネントのための共有鍵を充当するために使用されることが可能である。この設計では、第2のコンポーネントは、第1の鍵ツールからの共有鍵充当命令を受信することが可能であり、即ち、初期鍵及び共有鍵を充当するために、第1の鍵ツールを使用することが可能である。第2のコンポーネントの鍵充当処理をシンプルにすることが可能であり、鍵充当に使用される鍵ツールの設計もシンプルにすることが可能である。代替的に、上記設計に従って、第2のコンポーネントは、第1の鍵ツールとは異なる第2の鍵ツールを用いて共有鍵を充当し、初期鍵と共有鍵の充当の柔軟性を実現することができる。
[0062] 第2のコンポーネントが初期鍵と第2の情報に基づいて共有鍵を取得する複数の実装が存在し、以下の方法を含むがそれらに限定されない、ということに留意すべきである。
[0063] 方法1:第2のコンポーネントは、対称暗号化アルゴリズムに従って、又は、対称暗号化アルゴリズムの鍵導出関数若しくはメッセージ認証コードに基づいて、共有鍵を、初期鍵と第2の情報に基づいて取得する。
[0064] 方法1では、第2の情報はキーイング素材として使用されることが可能である。第2のコンポーネントは、特定の鍵アルゴリズムに従って、初期鍵と第2の情報に基づいて共有鍵を生成しており、鍵ツールを用いて共有鍵を伝送することを必要としない。このようにして、他のデバイスは、第2のコンポーネントの共有鍵を取得することができず、第2のコンポーネントの共有鍵の安全性を効果的に向上させることができる。更に、方法1は、第2のコンポーネントのアルゴリズムに対して低い要求しか有しない。例えば、共有鍵は、第2のコンポーネントが、何らかの対称暗号アルゴリズム、対称暗号アルゴリズムに従う何らかのメッセージ認証コード、又は何らかの鍵導出アルゴリズム、をサポートしている限り、共有鍵を取得することが可能である。これは、実装の複雑さと第2のコンポーネントのコストを削減する。
[0065] 方法2:第2の情報は、初期鍵を用いて共有鍵を暗号化することにより取得した情報を含み、従って、第2のコンポーネントは、初期鍵と第2の情報に基づいて共有鍵を取得することが可能である。例えば、共有鍵を取得するために、第2の情報は、初期鍵を用いて解読される。
[0066] 方法2では、第2の情報は共有鍵の暗号文を含み、暗号文は、初期鍵を用いて共有鍵を暗号化することにより取得された情報である。第2のコンポーネントは、初期鍵と暗号文に基づいて共有鍵を取得することができる。しかしながら、初期鍵を有しない他のデバイスについては、たとえ暗号文を受信したとしても、共有鍵を復元することはできない。これは、第2のコンポーネントの共有鍵の安全性を効果的に向上させる。更に、方法2は、第2のコンポーネントのアルゴリズムに対する低い要求しか有しない。例えば、第2のコンポーネントが何らかの復号アルゴリズムをサポートしている限り、共有鍵を取得することができる。これは、実装の複雑さと第2のコンポーネントのコストを削減する。別の可能な設計では、第2のコンポーネントは、共有鍵を直接的に生成することができる。
[0067] 可能な設計において、第2のコンポーネントは、第1の鍵ツールから第1の命令を受信することができる。第1の命令は、初期鍵に関連付けられた第1の情報を含む。第2のコンポーネントは、第1の命令に従って初期鍵を取得することができる。初期鍵は、少なくとも、共有鍵を生成するために使用され、共有鍵は、少なくとも、地理的位置情報を含むデータを暗号化するために使用される。
[0068] 地理的位置情報のデータの説明については、第1の態様における関連する説明を参照されたい。
[0069] 第1の情報は複数の方法で実装される可能性がある。これに対応して、第2のコンポーネントが第1の命令に従って初期鍵を取得する複数の実装が存在し、以下の方法を含むがこれらに限定されない。
[0070] 方法1:第1の情報は第1の暗号文を含み、第1の暗号文は第1のコンポーネントの第1の公開鍵を用いて初期鍵を暗号化することにより取得された情報を含む。これに対応して、第2のコンポーネントが第1の命令に従って初期鍵を取得するプロセスは:第2のコンポーネントの第1の秘密鍵に基づいて第1の暗号文を解読して初期鍵を取得することであってもよい。第1の秘密鍵は第1の公開鍵に対応している。
[0071] 方法1では、初期鍵は、第2のコンポーネントの第1の公開鍵を用いて伝送用に暗号化され、その結果、第2のコンポーネントは、第1の公開鍵に対応する第1の秘密鍵を用いて初期鍵の暗号文を解読して、初期鍵を取得することができる。オプションの設計において、第2のコンポーネントは、第1の公開鍵と第1の公開鍵に対応する第1の秘密鍵とを生成し、第1の公開鍵を第1の鍵ツールに送信してもよい。第1の鍵ツールは、第1の公開鍵を用いて初期鍵を暗号化して第1の暗号文を取得し、第1の暗号文を第1のコンポーネントに送信する。第2のコンポーネントは、第1の公開鍵に対応する第1の秘密鍵を有するので、第2のコンポーネントは、第1の秘密鍵に基づいて第1の暗号文を解読して、初期鍵を取得することができる。初期鍵の伝送は、非対称暗号アルゴリズムに従って実施されるので、初期鍵の伝送セキュリティを効果的に向上させることができる。
[0072] 方法2:第1の情報は初期鍵を含む。これに対応して、第2のコンポーネントが第1の命令に従って初期鍵を取得するプロセスは:有線接続方式で第1の命令に従って初期鍵を取得することであってもよい。
[0073] 方法2では、有線接続方式において、第2のコンポーネントは、初期鍵を直接的に受信することができ、第2のコンポーネントは、暗号化/暗号解読処理を実行することを必要としない。従って、暗号化/暗号解読能力を有しない第2のコンポーネントも初期鍵を取得することができ、様々なコンポーネント間の通信の安全性を確保することができる。また、初期鍵をこのような方法で取得し、第2のコンポーネントの動作をシンプルにし、コンポーネントの実装の複雑さやコンポーネントのコストを低減する。
[0074] 可能な設計において、第2のコンポーネントは、第1のレスポンス情報を第1の鍵ツールへ更に送信してもよい。第1のレスポンス情報は、初期鍵の充当性結果を含む。この設計では、第2のコンポーネントによって送信された第1のレスポンス情報は、初期鍵の充当性結果を含み、その結果、第1の鍵ツールは、第2のコンポーネントの鍵充当性結果をより良く監視することができる。
[0075] 初期鍵の充当性結果は、初期鍵が首尾良く充当されたか、又は初期鍵が充当に失敗したかを示すことが可能である。
[0076] 可能な設計において、初期鍵の充当性結果は:第1の識別子であって初期鍵は首尾良く充当されたことを示す第1の識別子;及び/又は 第3の暗号文であって、初期鍵又は初期鍵の派生鍵を用いて、第1の命令に含まれる第1の乱数を暗号化することによって取得された情報を含む第3の暗号文;を含む。この設計では、初期鍵の充当性結果は、第1の識別子及び/又は第3の暗号文を含み、その結果、第1の鍵ツールは、第1の識別子及び/又は第3の暗号文に基づいて、初期鍵が首尾よく充当されたかどうかを判定することができる。
[0077] 可能な設計において、初期鍵の充当性結果は、第2の識別子を含んでもよい。第2の識別子は、初期鍵が充当に失敗したことを示すことが可能である。この設計では、初期鍵の充当性結果は第2の識別子を含み、その結果、第1の鍵ツールは、第2の識別子に基づいて、初期鍵は充当に失敗したと判定することができる。
[0078] 可能な設計において、初期鍵の充当性結果は、車両の識別子及び/又は第2のコンポーネントの識別子を更に含んでもよい。このように、第1の鍵ツールは、第2のコンポーネント及び/又は車両の初期鍵の充当状態を監視することができる。
[0079] 可能な設計において、第2のコンポーネントは、第2の命令に応答して第2のレスポンス情報を更に送信することができる。第2のレスポンス情報は、共有鍵の充当性結果を含む。
[0080] 共有鍵の充当性結果は、共有鍵が首尾良く充当されたか、又は共有鍵が充当に失敗したかを示すことが可能である。
[0081] 可能な設計において、共有鍵の充当性結果は:第3の識別子であって共有鍵は首尾良く充当されたことを示す第3の識別子;及び/又は 第4の暗号文であって、共有鍵又は共有鍵の派生鍵を用いて、第2の命令に含まれる第2の乱数、又は第3の命令に含まれる第2の乱数、を暗号化することによって取得された情報を含む第4の暗号文;を含む可能性がある。この設計では、共有鍵の充当性結果は、第1の識別子及び/又は第3の暗号文を含み、その結果、第1の鍵ツールは、第1の識別子及び/又は第3の暗号文に基づいて、共有鍵は首尾よく充当されたかどうかを判定することができる。
[0082] 可能な設計において、共有鍵の充当性結果は第4の識別子を含む。第4の識別子は共有鍵が充当に失敗したことを示すことが可能である。この設計では、共有鍵の充当性結果は第4の識別子を含み、その結果、第1の鍵ツールは、第4の識別子に基づいて、共有鍵は充当に失敗したと判定することができる。
[0083] 可能な設計において、共有鍵の充当性結果は、車両の識別子及び/又は第2のコンポーネントの識別子を更に含んでもよい。この設計では、第1の鍵ツール又は第2の鍵ツールは、車両及び/又は第2のコンポーネントの共有鍵の充当状態を監視することができる。
[0084] 可能な設計において、第2のコンポーネントは、第1の鍵ツール又は鍵検出ツールから第4の命令を更に受信することが可能であり、この場合において、第4の命令は第3の乱数を含み、第4の命令は、第1のコンポーネントの共有鍵がアブノーマルであるかどうかを検出するために使用され;第3の乱数と共有鍵に基づいて第1の検査値を決定し;第1の検査値を含む第4のレスポンス情報を送信する;ことが可能である。ことが可能である。この設計では、第2のコンポーネントは、第1の鍵ツール又は鍵検出ツールから第4の命令を受信し、第4の命令に含まれる乱数と第2のコンポーネントの共有鍵とに基づいて第1の検査値を生成し、第1の検査値を第1の鍵ツール又は鍵検出ツールに返す。このように、第1の鍵ツール又は鍵検出ツールは、第1の検査値に基づいて、第2のコンポーネントの共有鍵が第1の鍵ツール又は鍵検出ツールのローカル共有鍵に一致するか否かを判定し、次いで、第2のコンポーネントの共有鍵がアブノーマルであるか否かを判定することができる。これは、第1の鍵ツール又は鍵検出ツールが、第2のコンポーネントの共有鍵のアブノーマル性を監視することに役立つ。アブノーマル性が存在する場合、それは、その後の動作を通じて、第2のコンポーネントの共有鍵が第1の鍵ツール又は鍵検出ツールのローカル共有鍵に一致することを保証するのに役立ち、それによって、車両のコンポーネント間の通信のセキュリティを保証することができる。
[0085] 可能な設計において、第2のコンポーネントは、第1の鍵ツール又は鍵検出ツールから第5の命令を受信するように更に構成される。第5の命令は、第5の乱数を含み、第5の命令は、第2のコンポーネントの初期鍵がアブノーマルであるか否かを検出するために使用されてもよい。第2のコンポーネントは、第5の乱数と初期鍵とに基づいて第3の検査値を決定するように更に構成される。第2のコンポーネントは、第5のレスポンス情報を送信するように更に構成される。第5のレスポンス情報は、第3の検査値を含む。初期鍵がアブノーマルである場合、これは、その後の動作を通じて、第2のコンポーネントの初期鍵が第1の鍵ツール又は鍵検出ツールのローカル初期鍵と一致することを保証するのに役立ち、それによって、初期鍵に基づいてその後に決定される共有鍵のセキュリティを保証する。
[0086] 第3の態様によれば、本件出願の実施形態は、更に、鍵伝送方法を提供する。方法は第1の鍵ツールによって実行されてもよい。本方法では、車両の初期鍵を決定し、この初期鍵は、少なくとも、共有鍵を生成するために使用され、共有鍵は、少なくとも、地理的位置情報を含むデータを暗号化するために使用され;第1の命令を車両の第1のコンポーネントへ送信し、この第1の命令は、初期鍵に関連付けられた第1の情報を含む。
[0087] この解決策では、第1の鍵ツールは、初期鍵に関連付けられた第1の情報を、車両内の第1のコンポーネントに伝送し、その結果、第1のコンポーネントは第1の情報に基づいて初期鍵を取得することができる。これは、鍵の伝送セキュリティを効果的に向上させることができ、その結果、初期鍵に基づいて生成される共有鍵は他のデバイスによって取得することはできず、車両のコンポーネント間の通信のセキュリティ・パフォーマンスを効果的に向上させることができる。
[0088] 共有鍵及び地理的位置情報のデータの具体的な説明については、第1の態様又は第1の態様の可能な設計のうちの任意の1つにおける関連する説明を参照されたい。
[0089] 可能な設計において、初期鍵は、OEMと非関連であるか、又はナビゲーション電子地図作成資格を有していないOEMと非関連である。この場合におけるOEMは車両に関連付けられたOEMである。この設計では、初期鍵の伝送プロセス全体は、車両に関連付けられたOEMの参加を必要としないので、初期鍵はOEMにとって不可視になるか、又は、ナビゲーション電子地図作成資格を有していないOEMの参加を必要としないので、初期鍵はナビゲーション電子地図作成資格を有していないOEMにとって不可視になる。これは、鍵の伝送セキュリティを更に向上させることができる。
[0090] 可能な設計において、初期鍵は、ナビゲーション電子地図作成資格を有する組織に関連している。これは、初期鍵の安全性を確保することができ、これにより、地理的位置情報の伝送セキュリティを確保することができる。
[0091] 可能な設計において、初期鍵は認証鍵とは異なり、認証鍵は、車両に関連付けられた相手先商標製品製造者OEMからのものである。認証鍵は、少なくとも1つの機能鍵を生成するために少なくとも使用され、少なくとも1つの機能鍵は、第1のコンポーネントの少なくとも1つのサービス機能に対応する。この設計では、地理的位置情報に関連するサービスは、第1の鍵ツールからの初期鍵と、初期鍵を用いて生成された共有鍵とに基づいて、実施することができる。地理的位置情報に関連付けられていないサービスは、OEMからの認証鍵と、認証鍵を用いて生成された機能鍵とに基づいて、実施することができる。このように、地理的位置情報に関連するサービスと、地理的位置情報に関連しないサービスとで、異なる鍵を用いることができるので、地理的位置情報に関連するデータの伝送セキュリティを更に保証することができる。
[0092] 認証鍵は、少なくとも、車両の機能鍵を認証するために使用される。例えば、認証鍵は、マスターECU鍵(master ECU key,MEK)、プレ・マスターECU鍵(pre-master ECU key,PMEK)、ルート鍵のうちの1つであってもよい。これは、本件出願の実施形態において特に限定されない。
[0093] 可能な設計において、第1の情報は第1の暗号文を含む。第1の暗号文は第1の公開鍵を用いて初期鍵を暗号化することにより取得された情報を含む。第1の公開鍵は第1のコンポーネントからのものである。
[0094] 可能な設計において、第1の情報は初期鍵を含む。車両の第1のコンポーネントに第1の命令を送信することは、有線接続方式で第1のコンポーネントに初期鍵を送信することを含む。
[0095] 可能な設計において、第1の鍵ツールが車両の初期鍵を決定するプロセスは:第2の公開鍵と第2の秘密鍵を生成するステップ;リクエスト情報を鍵管理システムへ送信するステップであって、リクエスト情報は初期鍵を要求し、リクエスト情報は第2の公開鍵を含む、ステップ;鍵管理システムから第2の暗号文を受信し、第2の暗号文と第2の秘密鍵に基づいて初期鍵を決定するステップであってもよい。この設計では、第1の鍵ツールは、鍵管理システムに初期鍵を要求し、初期鍵の暗号文を受信することができる。これは、第1の鍵ツールにより初期鍵を取得する安全性を確保することができる。
[0096] 可能な設計において、第1の鍵ツールは、第1のコンポーネントから第1のレスポンス情報を更に受信することができる。第1のレスポンス情報は、初期鍵の充当性結果を含む。
[0097] 可能な設計において、初期鍵の充当性結果が、初期鍵は充当に失敗したことを示す場合、第1の鍵ツールは、第1の命令を更に再送してもよい。
[0098] 可能な設計において、初期鍵の充当性結果は、第2の識別子を含む。第2の識別子は、初期鍵が充当に失敗したことを示す。
[0099] 可能な設計において、初期鍵の充当性結果は:第1の識別子であって初期鍵は首尾良く充当されたことを示す第1の識別子;及び/又は 第3の暗号文であって、初期鍵又は初期鍵の派生鍵を用いて、第1の命令に含まれる第1の乱数を暗号化することによって取得された情報を含む第3の暗号文;を含む可能性がある。
[0100] 可能な設計において、初期鍵の充当性結果が第3の暗号文を含む場合、第1の鍵ツールは、第3の暗号文に基づいて、初期鍵が首尾よく充当されたかどうかを更に判定することができる。
[0101] 可能な設計において、初期鍵の充当性結果は、車両の識別子及び/又は第1のコンポーネントの識別子を更に含んでもよい。
[0102] 可能な設計において、初期鍵の充当性結果が、初期鍵は首尾よく充当されたことを示す場合、第1の鍵ツールは、第2の命令を第1のコンポーネントに更に送信する可能性がある。第2の命令は、共有鍵に関連付けられた第2の情報を含む。
[0103] 第2の情報は、以下の実装を含むがこれに限定されない複数の方法で実装されてもよい、ということに留意すべきである。
[0104] 方法1:第1の鍵ツールは、共有鍵を生成し(例えば、共有鍵はランダムに生成され、或いは特定のルールに従って生成される)、初期鍵と共有鍵に基づいて第2の情報を取得する。例えば、第1の鍵ツールは、第2の情報を取得するために、初期鍵に基づいて共有鍵を暗号化してもよい。
[0105] 方法1では、第1の鍵ツールは、共有鍵を生成し、初期鍵と共有鍵に基づいて第2の情報を取得することができる。第1のコンポーネントは、共有鍵の暗号文と初期鍵に基づいて共有鍵を取得することができる。しかしながら、初期鍵を有しない他のデバイスについては、たとえ暗号文を受信したとしても、共有鍵を復元することはできない。これは、第1のコンポーネントの共有鍵の安全性を効果的に向上させる。更に、方法1は、第1のコンポーネントのアルゴリズムに対する低い要求しか有しない。例えば、第1のコンポーネントが何らかの復号アルゴリズムをサポートしている限り、共有鍵を取得することができる。これは、実装の複雑さと第1のコンポーネントのコストを削減する。
[0106] 方法2:第1の鍵ツールは、キーイング素材を生成し(例えば、キーイング素材は、ランダムに生成されるか、又は特定のルールに従って生成される)、キーイング素材を第2の情報として使用してもよい。
[0107] 方法2では、第2の情報はキーイング素材として使用されることが可能である。このように、第1のコンポーネントは、特定の鍵アルゴリズムに従って、初期鍵と第2の情報に基づいて共有鍵を生成しており、第1の鍵ツールを用いて共有鍵を伝送することを必要としない。他のデバイスは、第1のコンポーネントの共有鍵を取得できないので、第1のコンポーネントの共有鍵の安全性を効果的に向上させることができる。更に、方法2は、第1のコンポーネントのアルゴリズムに対して低い要求しか有しない。例えば、第1のコンポーネントが、何らかの対称暗号アルゴリズム、対称暗号アルゴリズムに従う何らかのメッセージ認証コード、又は何らかの鍵導出アルゴリズムをサポートする限り、共有鍵を取得することができる。これは、実装の複雑さと第1のコンポーネントのコストを削減する。
[0108] 可能な設計において、第1の鍵ツールは、第1のコンポーネントから第2のレスポンス情報を更に受信することができる。第2のレスポンス情報は、共有鍵の充当性結果を含む。
[0109] 可能な設計において、共有鍵の充当性結果は:第3の識別子であって共有鍵は首尾良く充当されたことを示す第3の識別子;及び/又は 第4の暗号文であって、共有鍵又は共有鍵の派生鍵を用いて、第2の命令に含まれる第2の乱数を暗号化することによって取得された情報を含む第4の暗号文;を含む可能性がある。
[0110] 可能な設計において、共有鍵の充当性結果が第4の暗号文を含む場合、本方法は更に:第1の鍵ツールは、第2の情報と第4の暗号文に基づいて、共有鍵が首尾良く充当されたかどうかを更に判定できるステップを含む。この設計では、共有鍵が首尾良く充当されたかどうかは、第4の暗号文を用いて検証される。これは、第1の鍵ツールが共有鍵の充当状態を正確に監視することに役立つ。
[0111] 可能な設計において、共有鍵の充当性結果は、第4の識別子を更に含む可能性がある。第4の識別子は、共有鍵が充当に失敗したことを示す。
[0112] 可能な設計において、共有鍵の充当性結果が、共有鍵は充当に失敗したことを示す場合、第1の鍵ツールは、第2の命令を更に再送してもよい。この設計では、共有鍵を首尾良く充当する可能性を、効果的に向上させることができる。
[0113] 可能な設計において、共有鍵の充当性結果は、車両の識別子及び/又は第1のコンポーネントの識別子を更に含んでもよい。
[0114] 可能な設計において、 第1の鍵ツールは、第4の命令を車両の第1のコンポーネントへ送信し、この場合において、第4の命令は第3の乱数を含み;第1の検査値を含む第4のレスポンス情報を受信し、第4のレスポンス情報は第1の検査値を含み、第1の検査値は、第3の乱数と車両の共有鍵に関連付けられ、共有鍵は、地理的位置情報を含むデータを暗号化するために少なくとも使用され;第1の検査値に基づいて、車両の共有鍵が、車両に対応するローカル共有鍵と一致するかどうかを判断し;車両の共有鍵が、ローカル共有鍵と一致しない場合、アブノーマル性情報を報告することができる。本方法では、第1の鍵ツールは、車両内の第1のコンポーネントと通信インタラクションを行い、車両の共有鍵のアブノーマル性検出を実施する。アブノーマル性が存在する場合、これは、その後の動作を通じて、第1のコンポーネントの共有鍵が第1の鍵ツールのローカル共有鍵と一致することを保証するのに役立ち、それによって、車両のコンポーネント間の通信のセキュリティを保証する。
[0115] 可能な設計において、第1の鍵ツールは、更に:第5の命令を車両の第1のコンポーネントに送信し、この場合において、第5の命令は第5の乱数を含み;第5のレスポンス情報を第1のコンポーネントから受信し、この場合において、第5のレスポンス情報は第3の検査値を含み、第3の検査値は、第5の乱数と車両の初期鍵に関連付けられ、初期鍵は、少なくとも、共有鍵を生成するために使用され;第3の検査値に基づいて、車両の初期鍵が、車両に対応するローカル初期鍵と一致するかどうかを判定し;車両の初期鍵が、ローカル初期鍵と一致しない場合、アブノーマル性情報を報告することが可能である。この設計では、第1の鍵ツールは、車両内の第1のコンポーネントと通信インタラクションを行い、車両の初期鍵のアブノーマル性検出を実施する。アブノーマル性が存在する場合、それは、その後の動作を通じて、第1のコンポーネントの初期鍵が、第1の鍵ツールのローカル初期鍵と一致することを保証することができ、これにより、初期鍵に基づいてその後に決定される共有鍵の安全性を保証することができる。
[0116] 第4の態様によれば、本件出願の実施形態は、更に、鍵伝送方法を提供する。方法は、第2の鍵ツールによって実行されてもよい。方法は、第2の命令を決定し、車両内の第1のコンポーネントに第2の命令を送信するステップを含む。第2の命令は、共有鍵に関連付けられた第2の情報を含む。共有鍵は、少なくとも、地理的位置情報を含むデータを暗号化するために使用される。第2の命令は、第1のコンポーネントのための共有鍵を充当するために使用される。
[0117] この解決策では、第2の鍵ツールは、共有鍵に関連付けられた第2の情報を、車両内の第1のコンポーネントへ伝送することができ、その結果、第1のコンポーネントは、第2の情報と初期鍵に基づいて共有鍵を取得することができる。これは、共有鍵の伝送セキュリティを効果的に向上させることができ、その結果、第1のコンポーネントの共有鍵が他のデバイスによって取得されないようにし、車両のコンポーネント間の通信のセキュリティ・パフォーマンスを効果的に向上させることができる。
[0118] 共有鍵及び地理的位置情報のデータの具体的な説明については、第1の態様又は第1の態様の可能な設計のうちの任意の1つにおける関連する説明を参照されたい。
[0119] 第2の情報は、以下の実装を含むがこれらに限定されない複数の方法で実装されてもよい、ということに留意すべきである。
[0120] 方法1:第2の鍵ツールは、共有鍵を生成し(例えば、共有鍵はランダムに生成されるか、又は特定のルールに従って生成される)、初期鍵と共有鍵に基づいて第2の情報を取得する。例えば、第2の鍵ツールは、第2の情報を取得するために、初期鍵に基づいて共有鍵を暗号化してもよい。
[0121] 方法1では、第2の鍵ツールは、共有鍵を生成し、初期鍵と共有鍵に基づいて第2の情報を取得することができる。このように、第1のコンポーネントは、初期鍵と共有鍵の暗号文とに基づいて、共有鍵を取得することができる。しかしながら、初期鍵を有していない他のデバイスにとっては、たとえ暗号文を受信しても、共有鍵を復元することはできない。これは、第1のコンポーネントの共有鍵の安全性を効果的に向上させる。更に、方法1は、第1のコンポーネントのアルゴリズムに対して低い要求しか有しない。例えば、第1のコンポーネントが何らかの復号アルゴリズムをサポートする限り、共有鍵を取得することができる。これは、実装の複雑さと第1のコンポーネントのコストを削減する。
[0122] 方法2:第2の鍵ツールは、キーイング素材を生成し(例えば、キーイング素材は、ランダムに生成されるか、又は特定のルールに従って生成される)、キーイング素材を第2の情報として使用してもよい。
[0123] 方法2では、第2の情報はキーイング素材として使用されることが可能である。こうして、第1のコンポーネントは、特定の鍵アルゴリズムに従って、初期鍵と第2の情報に基づいて共有鍵を生成しており、第2の鍵ツールを用いて共有鍵を伝送することを必要としない。他のデバイスは、第1のコンポーネントの共有鍵を取得することができず、第1のコンポーネントの共有鍵の安全性を効果的に向上させることができる。更に、方法2は、第1のコンポーネントのアルゴリズムに対して低い要求しか有しない。例えば、共有鍵は、第1のコンポーネントが、何らかの対称暗号アルゴリズム、対称暗号アルゴリズムに従う何らかのメッセージ認証コード、又は何らかの鍵導出アルゴリズム、をサポートしている限り、共有鍵を取得することが可能である。これは、実装の複雑さと第2のコンポーネントのコストを削減する。
[0124] 方法3:第2の鍵ツールは、第1の鍵ツールに対して共有鍵を要求し、初期鍵と共有鍵に基づいて第2の情報を取得してもよい。例えば、第2の鍵ツールは、第2の情報を取得するために、初期鍵に基づいて共有鍵を暗号化してもよい。
[0125] 方法3では、共有鍵は第1の鍵ツールによって管理され、第2の鍵ツールは第1の鍵ツールに共有鍵を要求する。このようにして、共有鍵は、複数の鍵ツールを用いて第1のコンポーネントに充当され、その結果、共有鍵は他のデバイスによって容易には取得されなくなる。これは、第1のコンポーネントの共有鍵の安全性を効果的に向上させることができる。更に、方法3は、第1のコンポーネントのアルゴリズムに対して低い要求しか有しない。例えば、第1のコンポーネントが何らかの復号アルゴリズムをサポートする限り、共有鍵を取得することができる。これは、実装の複雑さと第1のコンポーネントのコストを削減する。
[0126] 可能な設計において、第2の鍵ツールは、第1のコンポーネントから第2のレスポンス情報を更に受信することができる。第2のレスポンス情報は、共有鍵の充当性結果を含む。
[0127] 可能な設計において、共有鍵の充当性結果は:第3の識別子であって共有鍵は首尾良く充当されたことを示す第3の識別子;及び/又は 第4の暗号文であって、共有鍵又は共有鍵の派生鍵を用いて、第2の命令に含まれる第2の乱数を暗号化することによって取得された情報を含む第4の暗号文;を含む。
[0128] 可能な設計において、共有鍵の充当性結果に第4の暗号文を含む場合、第2の鍵ツールは、第2の情報と第4の暗号文に基づいて、共有鍵は首尾良く充当されたか否かを更に判定することが可能である。この設計では、共有鍵が首尾良く充当されたかどうかは、第4の暗号文を用いて検証される。これは、第2の鍵ツールが、共有鍵の充当状態を正確に監視することに役立つ。
[0129] 可能な設計において、共有鍵の充当性結果が、共有鍵は充当に失敗したことを示す場合、第2の鍵ツールは、第2の命令を更に再送してもよい。この設計では、共有鍵を首尾良く充当する可能性を、効果的に向上させることができる。
[0130] 可能な設計において、共有鍵の充当性結果は、第4の識別子を含む。第4の識別子は、共有鍵が充当に失敗したことを示す。
[0131] 可能な設計において、共有鍵の充当性結果は、車両の識別子及び/又は第1のコンポーネントの識別子を更に含んでもよい。このように、第2の鍵ツールは、車両及び/又は第1のコンポーネントの共有鍵の充当状態を監視することができる。
[0132] 第5の態様によれば、本件出願の実施形態は鍵検出方法を更に提供する。方法は、鍵検出ツールによって実行されてもよい。方法は、第4の命令を車両の第1のコンポーネントへ送信するステップであって、第4の命令は第3の乱数を含む、ステップ;第1のコンポーネントから第4のレスポンス情報を受信するステップであって、第4のレスポンス情報は第1の検査値を含み、第1の検査値は第3の乱数と車両の共有鍵に関連付けられており、共有鍵は地理的位置情報を含むデータを暗号化するために少なくとも使用される、ステップ;第1の検査値に基づいて、車両の共有鍵は車両に対応するローカルな共有鍵に一致するかどうかを判定するステップ;及び車両の共有鍵はローカルな共有鍵に一致していない場合に、アブノーマル性情報を報告するステップ;を含む。
[0133] 本方法において、鍵検出ツールは、車両内の第1のコンポーネントと通信インタラクションを行い、車両の共有鍵のアブノーマル性検出を実施する。アブノーマル性が存在する場合、これは、その後の動作を通じて、第1のコンポーネントの共有鍵が鍵検出ツールのローカル共有鍵と一致することを保証するのに役立ち、それによって、車両のコンポーネント間の通信のセキュリティを保証する。
[0134] 共有鍵及び地理的位置情報のデータの具体的な説明については、第1の態様又は第1の態様の可能な設計のうちの任意の1つにおける関連する説明を参照されたい。
[0135] 鍵検出ツールは、第1の検査値に基づいて、車両の共有鍵が車両に対応するローカル共有鍵と一致するかどうかを判断することが可能な複数の実装が存在し、それらは以下の実装を含むがこれらに限定されない、ということに留意すべきである。
[0136] 実装1:ローカル共有鍵と第3の乱数に基づいて第2の検査値を算出し、第1の検査値を第2の検査値と比較する。第1の検査値が第2の検査値と一致する場合、車両のローカル共有鍵は車両の現在の共有鍵に一致していると判断する。第1の検査値が第2の検査値に一致しない場合、車両のローカル共有鍵は車両の現在の共有鍵に一致していないと判断する。実装1では、鍵検出ツールは、鍵検出ツールによって決定された第2の検査値と、第1のコンポーネントによって決定された第1の検査値との間の整合性を比較することにより、共有鍵のアブノーマル性検出を実行する。これは、鍵アブノーマル性検出の精度を向上させることができる。
[0137] 実装2:受信した第1の検査値とローカル共有鍵とに基づいて、第4の乱数を決定し、次いで、第4の乱数が第3の乱数に一致するか否かを比較する。第3の乱数が第4の乱数に一致する場合、鍵検出ツールに格納された車両のローカル共有鍵は、車両の現在の共有鍵に一致していると判断する。第3の乱数が第4の乱数に一致しない場合、車両のローカル共有鍵は、車両の現在の共有鍵に一致していないと判断する。実装2では、鍵検出ツールは、第1の検査値に基づいて鍵検出ツールにより決定された第4の乱数と第3の乱数との間の整合性を比較することにより、共有鍵のアブノーマル性検出を実施する。これは、鍵アブノーマル性検出の精度を向上させることができる。
[0138] 可能な設計において、鍵検出ツールは、更に:車両の第1のコンポーネントに第5の命令を送信し、この場合において、第5の命令は、第5の乱数を含み;第5のレスポンス情報を、第1のコンポーネントから受信し、この場合において、第5のレスポンス情報は、第3の検査値を含み、第3の検査値は、第5の乱数及び車両の初期鍵に関連付けられ、初期鍵は、少なくとも、共有鍵を生成するために使用され;第3の検査値に基づいて、車両の初期鍵は、車両に対応するローカル初期鍵に一致するかどうかを判断し;そして、車両の初期鍵が、ローカル初期鍵に一致しない場合、アブノーマル性情報を報告することが可能である。この設計では、鍵検出ツールは、車両内の第1のコンポーネントと通信インタラクションを実行し、車両の初期鍵のアブノーマル性検出を実施する。アブノーマル性が存在する場合、これは、後続の動作を通じて、第1のコンポーネントの初期鍵が鍵検出ツールのローカル初期鍵に一致することを保証するのに役立ち、それによって、初期鍵に基づいて後に決定される共有鍵のセキュリティを保証する。
[0139] 第6の態様によれば、本件出願の実施形態は、更に、別の鍵検出方法を提供する。方法は鍵検出ツールによって実行されてもよい。方法は:車両の第1のコンポーネントの通信情報暗号文を取得するステップであって、通信情報暗号文は車両の共有鍵を用いて第1の情報を暗号化することにより取得された情報を含み、第1の情報は地理的位置情報を含んでいる、ステップ;車両に対応するローカル共有鍵と通信情報暗号文とに基づいて、車両の共有鍵がローカル共有鍵に一致するか否かを判定するステップ;車両の共有鍵がローカル共有鍵に一致しない場合に、アブノーマル性情報を報告するステップ;を含む。
[0140] 本方法において、本方法おける鍵検出ツールは、第1のコンポーネントの通信情報暗号文を取得し、通信情報暗号文に基づいて車両の共有鍵のアブノーマル性検出を実施することができる。これは、車両の鍵のアブノーマル性をタイムリーに発見することに役立つ。鍵検出ツールは、車両内の第1のコンポーネントと通信インタラクションを実行し、車両の共有鍵のアブノーマル性検出を実施する。アブノーマル性が存在する場合、これは、以後の動作を通じて、第1のコンポーネントの共有鍵が鍵検出ツールのローカル共有鍵と一致することを保証するのに役立ち、それによって、車両のコンポーネント間の通信のセキュリティを保証する。
[0141] 共有鍵及び地理的位置情報のデータの具体的な説明については、第1の態様又は第1の態様の可能な設計のうちの任意の1つにおける関連する説明を参照されたい。
[0142] 可能な設計において、鍵検出ツールが、鍵検出ツールに記憶された車両のローカル共有鍵と通信情報暗号文とに基づいて、車両により使用される共有鍵がローカル共有鍵に一致するか否かを判定するプロセスは:ローカル共有鍵と通信情報暗号文とに基づいて通信情報を取得するステップと、通信情報がアブノーマルであるか否かを判定し、通信情報がアブノーマルである場合には、車両により使用された共有鍵はローカル共有鍵と一致しないと判定し、或いは、通信情報がノーマルである場合には、車両により使用された共有鍵はローカル共有鍵に一致していると判定するステップであってもよい。例えば、鍵検出ツールが、ローカル共有鍵と通信情報暗号文とに基づいて通信情報を取得するプロセスは:ローカル共有鍵を用いて通信情報暗号文を復号し、通信情報を取得するステップであってもよい。
[0143] 可能な設計において、第5の態様及び第6の態様における鍵検出ツールが、車両に対応するローカル共有鍵を取得する複数の実装が存在し、以下の方法を含むがこれに限定されない。
[0144] 方法1:車両の識別子又は第1のコンポーネントの識別子を取得する。車両の識別子又は第1のコンポーネントの識別子に基づいて、車両に対応する初期鍵と、ローカル共有鍵を生成するために使用されるキーイング素材とを照会する。初期鍵とキーイング素材に基づいてローカル共有鍵を生成する。このように、鍵検出ツールのローカル共有鍵は、高いリアルタイム・パフォーマンスを有する。
[0145] 方法2:車両の識別子又は第1のコンポーネントの識別子を取得する。車両の識別子又は第1のコンポーネントの識別子に基づいて、ローカル共有鍵を照会する。このように、鍵検出ツールは、ローカル共有鍵を迅速に取得して、鍵検出効率を向上させることができる。
[0146] 可能な設計において、第5の態様及び第6の態様における鍵検出ツールは、更に、アブノーマル性情報を資格管理機関に報告してもよいし、或いは、アブノーマル性情報を鍵管理システムに報告してもよい。幾つかの可能な実施形態では、資格管理組機関は、測量及び地図作成資格を有する組織、及び/又は法律に従って測量及び地図作成活動に従事する組織である。
[0147] 第7の態様によれば、本件出願の実施形態は、第1の態様における第1のコンポーネントによって実行される方法を実施するように構成された制御装置を提供する。
[0148] 例えば、装置は:
第1の鍵ツールから第1の命令を受信するように構成されたトランシーバー・モジュールであって、第1の命令は初期鍵に関連付けられた第1の情報を含む、トランシーバー・モジュール;及び
第1の命令に従って初期鍵を取得するように構成された処理モジュールであって、初期鍵は、少なくとも共有鍵を生成するために使用され、共有鍵は、少なくとも地理的位置情報を含むデータを暗号化するために使用される、処理モジュール;
を含む可能性がある。
第1の鍵ツールから第1の命令を受信するように構成されたトランシーバー・モジュールであって、第1の命令は初期鍵に関連付けられた第1の情報を含む、トランシーバー・モジュール;及び
第1の命令に従って初期鍵を取得するように構成された処理モジュールであって、初期鍵は、少なくとも共有鍵を生成するために使用され、共有鍵は、少なくとも地理的位置情報を含むデータを暗号化するために使用される、処理モジュール;
を含む可能性がある。
[0149] 共有鍵及び地理的位置情報のデータの具体的な説明については、第1の態様又は第1の態様の可能な設計のうちの任意の1つにおける関連する説明を参照されたい。
[0150] 第7の態様における他の可能な設計及び関連する有益な効果の説明については、第1の態様及び第1の態様における対応する可能な設計を参照されたい。詳細はここで再び説明されない。
[0151] 第8の態様によれば、本件出願の実施形態は、第2の態様における第2のコンポーネントによって実行される方法を実施するように構成された別の制御装置を提供する。
[0152] 例えば、装置は:
共有鍵充当命令を取得するように構成された処理モジュールであって、共有鍵充当命令は第1のコンポーネントの共有鍵を充当するために使用され、共有鍵は少なくとも地理的位置情報を含むデータを暗号化するために使用される、処理モジュール;及び
共有鍵充当命令を第1のコンポーネントへ送信するように構成されたトランシーバー・モジュール;
を含む可能性がある。
共有鍵充当命令を取得するように構成された処理モジュールであって、共有鍵充当命令は第1のコンポーネントの共有鍵を充当するために使用され、共有鍵は少なくとも地理的位置情報を含むデータを暗号化するために使用される、処理モジュール;及び
共有鍵充当命令を第1のコンポーネントへ送信するように構成されたトランシーバー・モジュール;
を含む可能性がある。
[0153] 共有鍵及び地理的位置情報のデータの具体的な説明については、第1の態様又は第1の態様の可能な設計のうちの任意の1つにおける関連する説明を参照されたい。
[0154] 第8の態様における他の可能な設計及び関連する有益な効果の説明については、第2の態様及び第2の態様における対応する可能な設計を参照されたい。詳細はここで再び説明されない。
[0155] 第9の態様によれば、本件出願の実施形態は、鍵伝送装置を提供する。装置は第3の態様における第1の鍵ツールであってもよい。
[0156] 例えば、装置は:
車両の初期鍵を決定するように構成された処理モジュールであって、初期鍵は少なくとも共有鍵を生成するために使用され、共有鍵は少なくとも地理的位置情報を含むデータを暗号化するために使用される、処理モジュール;及び
車両の第1のコンポーネントに第1の命令を送信するように構成されたトランシーバー・モジュールであって、第1の命令は初期鍵に関連付けられた第1の情報を含む、トランシーバー・モジュール;
を含む可能性がある。
車両の初期鍵を決定するように構成された処理モジュールであって、初期鍵は少なくとも共有鍵を生成するために使用され、共有鍵は少なくとも地理的位置情報を含むデータを暗号化するために使用される、処理モジュール;及び
車両の第1のコンポーネントに第1の命令を送信するように構成されたトランシーバー・モジュールであって、第1の命令は初期鍵に関連付けられた第1の情報を含む、トランシーバー・モジュール;
を含む可能性がある。
[0157] 共有鍵及び地理的位置情報のデータの具体的な説明については、第1の態様又は第1の態様の可能な設計のうちの任意の1つにおける関連する説明を参照されたい。
[0158] 第9の態様における他の可能な設計及び関連する有益な効果の説明については、第3の態様及び第3の態様における対応する可能な設計を参照されたい。詳細はここで再び説明されない。
[0159] 第10の態様によれば、本件出願の実施形態は、別の鍵伝送装置を提供する。装置は第4の態様における第2の鍵ツールであってもよい。
[0160] 例えば、装置は:
第2の命令を決定するように構成された処理モジュール;及び
車両内の第1のコンポーネントに第2の命令を送信するように構成されたトランシーバー・モジュールであって、第2の命令は共有鍵に関連付けられた第2の情報を含み、第2の命令は、第1のコンポーネントのための共有鍵を充当するために使用され、共有鍵は、少なくとも、地理的位置情報を含むデータを暗号化するために使用される、トランシーバー・モジュール;
を含む可能性がある。
第2の命令を決定するように構成された処理モジュール;及び
車両内の第1のコンポーネントに第2の命令を送信するように構成されたトランシーバー・モジュールであって、第2の命令は共有鍵に関連付けられた第2の情報を含み、第2の命令は、第1のコンポーネントのための共有鍵を充当するために使用され、共有鍵は、少なくとも、地理的位置情報を含むデータを暗号化するために使用される、トランシーバー・モジュール;
を含む可能性がある。
[0161] 共有鍵及び地理的位置情報のデータの具体的な説明については、第1の態様又は第1の態様の可能な設計のうちの任意の1つにおける関連する説明を参照されたい。
[0162] 第10の態様における他の可能な設計及び関連する有益な効果の説明については、第4の態様及び第4の態様における対応する可能な設計を参照されたい。詳細はここで再び説明されない。
[0163] 第11の態様によれば、本件出願の実施形態は、第5の態様における鍵検出ツールによって実行される方法を実施するための鍵検出装置を提供する。
[0164] 例えば、装置は:
車両の第1のコンポーネントに第4の命令を送信するように構成されたトランシーバー・モジュールであって、第4の命令は第3の乱数を含み、トランシーバー・モジュールは、第1のコンポーネントから第4のレスポンス情報を受信するように更に構成されており、第4のレスポンス情報は第1の検査値を含み、第1の検査値は、第3の乱数と車両の共有鍵に関連付けられ、共有鍵は、少なくとも、地理的位置情報を含むデータを暗号化するために使用される、トランシーバー・モジュール;及び
第1の検査値に基づいて、車両の共有鍵は、車両に対応するローカル共有鍵に一致するか否かを判定し、車両の共有鍵がローカル共有鍵に一致しない場合、アブノーマル性情報情報を報告するように構成された処理モジュール;を含む。
車両の第1のコンポーネントに第4の命令を送信するように構成されたトランシーバー・モジュールであって、第4の命令は第3の乱数を含み、トランシーバー・モジュールは、第1のコンポーネントから第4のレスポンス情報を受信するように更に構成されており、第4のレスポンス情報は第1の検査値を含み、第1の検査値は、第3の乱数と車両の共有鍵に関連付けられ、共有鍵は、少なくとも、地理的位置情報を含むデータを暗号化するために使用される、トランシーバー・モジュール;及び
第1の検査値に基づいて、車両の共有鍵は、車両に対応するローカル共有鍵に一致するか否かを判定し、車両の共有鍵がローカル共有鍵に一致しない場合、アブノーマル性情報情報を報告するように構成された処理モジュール;を含む。
[0165] 共有鍵及び地理的位置情報のデータの具体的な説明については、第1の態様又は第1の態様の可能な設計のうちの任意の1つにおける関連する説明を参照されたい。
[0166] 第11の態様における他の可能な設計については、第5の態様における対応する可能な設計を参照されたい。詳細はここで再び説明されない。
[0167] 第12の態様によれば、本件出願の実施形態は、第6の態様における鍵検出ツールによって実行される方法を実施するための別の鍵検出装置を更に提供する。
[0168] 例えば、装置は:
車両の第1のコンポーネントの通信情報暗号文を取得するように構成された処理モジュールであって、通信情報暗号文は、車両の共有鍵を用いて第1の情報を暗号化することにより取得された情報を含み、第1の情報は地理的位置情報を含み、処理モジュールは、車両に対応するローカル共有鍵と通信情報暗号文とに基づいて、車両の共有鍵はローカル共有鍵に一致するか否かを判定するように更に構成されている処理モジュール;及び
車両の共有鍵がローカル共有鍵に一致しない場合に、アブノーマル性情報を報告するように構成されたトランシーバー・モジュール;を含む。
車両の第1のコンポーネントの通信情報暗号文を取得するように構成された処理モジュールであって、通信情報暗号文は、車両の共有鍵を用いて第1の情報を暗号化することにより取得された情報を含み、第1の情報は地理的位置情報を含み、処理モジュールは、車両に対応するローカル共有鍵と通信情報暗号文とに基づいて、車両の共有鍵はローカル共有鍵に一致するか否かを判定するように更に構成されている処理モジュール;及び
車両の共有鍵がローカル共有鍵に一致しない場合に、アブノーマル性情報を報告するように構成されたトランシーバー・モジュール;を含む。
[0169] 共有鍵及び地理的位置情報のデータの具体的な説明については、第1の態様又は第1の態様の可能な設計のうちの任意の1つにおける関連する説明を参照されたい。
[0170] 第12の態様における他の可能な設計については、第6の態様における対応する可能な設計を参照されたい。詳細はここで再び説明されない。
[0171] 第13の態様によれば、本件出願の実施形態は、オンボード・コンポーネントを更に提供する。オンボード・コンポーネントは、プロセッサと記憶媒体を含む。記憶媒体は命令を格納する。プロセッサによって命令が実行されると、オンボード・コンポーネントは、第1の態様又は第1の態様の可能な設計のうちの任意の1つに従った方法を実行することが可能になり、或いは、オンボード・コンポーネントは、第2の態様又は第2の態様の可能な設計のうちの任意の1つに従った方法を実行することが可能になる。
[0172] 第14の態様によれば、本件出願の実施形態は、更に、電子デバイスを提供する。電子デバイスは、プロセッサと記憶媒体を含む。記憶媒体は命令を格納する。プロセッサによって命令が実行されると、電子デバイスは、第6の態様又は第6の態様の可能な設計のうちの任意の1つに従った方法を実行することが可能になる。
[0173] 第15の態様によれば、本件出願の実施形態はチップ・システムを提供する。チップ・システムは、メモリに記憶されたコンピュータ・プログラム又はコンピュータ命令を呼び出して、プロセッサが第1の態様又は第1の態様の可能な設計のうちの任意の1つに従って方法を実行できるようにするか、又はプロセッサが第2の態様又は第2の態様の可能な設計のうちの任意の1つに従って方法を実行できるようにするか、又はプロセッサが第3の態様又は第3の態様の可能な設計のうちの任意の1つに従って方法を実行できるようにするか、又はプロセッサが第4の態様又は第4の態様の可能な設計のうちの任意の1つに従って方法を実行できるようにするか、又はプロセッサが第5の態様又は第5の態様の可能な設計のうちの任意の1つに従って方法を実行できるようにするか、又はプロセッサが第6の態様又は第6の態様の可能な設計のうちの任意の1つに従って方法を実行できるように構成されたプロセッサを含む。
[0174] 可能な設計において、プロセッサはインターフェースを介してメモリに結合される。
[0175] 可能な設計において、チップ・システムはメモリを更に含む。メモリは、コンピュータ・プログラム又はコンピュータ命令を格納する。
[0176] 第16の態様によれば、本件出願の実施形態は、コンピュータ読み取り可能な記憶媒体を提供する。コンピュータ読み取り可能な記憶媒体は、コンピュータ・プログラム又は命令を格納する。コンピュータ・プログラム又は命令が実行されると、第1の態様又は第1の態様の可能な設計のうちの任意の1つによる方法が実行されるか、又は第2の態様又は第2の態様の可能な設計のうちの任意の1つによる方法が実行されるか、又は第3の態様又は第3の態様の可能な設計のうちの任意の1つによる方法が実行されるか、又は第4の態様又は第4の態様の可能な設計のうちの任意の1つによる方法が実行されるか、又は第5の態様又は第5の態様の可能な設計のうちの任意の1つによる方法が実行されるか、又は第6の態様又は第6の態様の可能な設計のうちの任意の1つによる方法が実行されるか、又は第1の態様又は第1の態様の可能な設計のうちの任意の1つによる方法が実行される。
[0177] 第17の態様によれば、本件出願の実施形態は、コンピュータ・プログラム製品を提供する。コンピュータ・プログラム製品が1つ以上のプロセッサ上で動作すると、第1の態様又は第1の態様の可能な設計のうちの任意の1つによる方法が実行されるか、又は第2の態様又は第2の態様の可能な設計のうちの任意の1つによる方法が実行されるか、又は第3の態様又は第3の態様の可能な設計のうちの任意の1つによる方法が実行されるか、又は第4の態様又は第4の態様の可能な設計のうちの任意の1つによる方法が実行されるか、又は第5の態様又は第5の態様の可能な設計のうちの任意の1つによる方法が実行されるか、又は第6の態様又は第6の態様の可能な設計のうちの任意の1つによる方法が実行される。
[0178] 第18の態様によれば、本件出願の実施形態は車両を提供する。車両は、第1の態様又は第1の態様の可能な設計のうちの任意の1つにおける第1のコンポーネント、及び/又は第2の態様又は第2の態様の可能な設計のうちの任意の1つにおける第2のコンポーネントを含む。
[0179] 第7の態様ないし第18の態様の効果については、第1の態様ないし第6の態様の効果の説明を参照されたい。詳細はここで再び説明されない。
[0195] 以下、本件出願の実施形態における添付図面を参照しながら本件出願の実施形態を説明する。本件出願において、「例」、「例えば」等の用語は、一例、図示、説明を与えることを表すために使用されている。本件出願において「例」又は「例えば」として説明される何らかの実施形態又は設計方式は、別の実施形態又は設計方式よりも好ましかったり又はより多くの利点を有していたりするものとして説明されているはずはない。正確には、「例」、「例えば」等の用語の使用は、関連する概念を具体的な方法で提示するように意図されている。
[0196] 本件出願の実施態様において、「少なくとも1つ」は1つ又は複数を意味し、「複数の」は2つ以上を意味する。「次のアイテム(ピース)のうちの少なくとも1つ」又はこれに類似する表現は、これらのアイテム(ピース)の何らかの組み合せを意味し、単数のアイテム(ピース)又は複数のアイテム(ピース)の任意の組み合せを含む。例えば、a、b、cのうちの少なくとも1つは、a、b、c、(aとb)、(aとc)、(bとc)、又は(aとbとc)を表す可能性があり、a、b、cは単数又は複数の可能性がある。「及び/又は」という用語は、関連付けられたオブジェクト間の関連付け関係を記述しており、3つの関係が存在する可能性があることを示す。例えば、A及び/又はBは、以下の3つのケースを示す可能性がある:Aのみが存在する、AとBの両方が存在する、及び、Bのみが存在する、ここでA及びBは単数又は複数の可能性がある。文字「/」は、一般に、関連するオブジェクト間の「又は」の関係を示す。
[0197] 更に、別意に言及されていない限り、本件出願の実施形態における「第1」及び「第2」のような序数は、複数のオブジェクトを区別するために使用されるが、複数のオブジェクトの順序、時系列、優先順位、又は重要性を限定するように意図されてはいない。例えば、第1の情報と第2の情報は、異なる情報の間を区別することを単に意図しているにすぎず、2つのタイプの情報は、内容、優先度、送信順序、重要度などにおいて相違していることを示してはいない。
[0198] 以下、本件出願の実施形態で使用される技術用語を先ず説明する。
[0199] 1のコンポーネント
[0200] コンポーネントは、車両内の鍵伝送機能を有する電子デバイス、又は電子デバイスの一部分(例えば、チップ、集積回路)である。電子デバイスは端末デバイスを含んでもよい。例えば、コンポーネントは、車両コックピット(コックピット・ドメイン)デバイスであってもよいし、車両コックピット・デバイス内のモジュール(例えば、コックピット・ドメイン・コントローラ(cockpit domain controller,CDC))であってもよい。他の例として、コンポーネントは、電子制御ユニット(electronic control unit,ECU)であってもよい。更に別の例として、コンポーネントはセンサーであってもよい。本件出願の実施形態では、鍵伝送機能は、鍵に関連付けられたデータを受信及び/又は送信することを含む。鍵に関連付けられるデータは、鍵、鍵に基づいて生成される暗号文、鍵のフラッシュに用いられる情報、鍵の完全性を検証するために用いられる情報、鍵がアブノーマルであるかどうかを検出するために用いられる情報、鍵の状態をフィードバックするために用いられる情報などを含むが、これらに限定されない。
[0200] コンポーネントは、車両内の鍵伝送機能を有する電子デバイス、又は電子デバイスの一部分(例えば、チップ、集積回路)である。電子デバイスは端末デバイスを含んでもよい。例えば、コンポーネントは、車両コックピット(コックピット・ドメイン)デバイスであってもよいし、車両コックピット・デバイス内のモジュール(例えば、コックピット・ドメイン・コントローラ(cockpit domain controller,CDC))であってもよい。他の例として、コンポーネントは、電子制御ユニット(electronic control unit,ECU)であってもよい。更に別の例として、コンポーネントはセンサーであってもよい。本件出願の実施形態では、鍵伝送機能は、鍵に関連付けられたデータを受信及び/又は送信することを含む。鍵に関連付けられるデータは、鍵、鍵に基づいて生成される暗号文、鍵のフラッシュに用いられる情報、鍵の完全性を検証するために用いられる情報、鍵がアブノーマルであるかどうかを検出するために用いられる情報、鍵の状態をフィードバックするために用いられる情報などを含むが、これらに限定されない。
[0201] 幾つかの技術的シナリオでは、車両内で類似の鍵伝達機能を有するデバイスの名称が、コンポーネントと呼ばれない可能性がある。しかしながら、説明を容易にするために、本件出願の実施形態では、車両内で鍵伝送機能を有する電子装置はまとめてコンポーネントと呼ばれる。
[0202] 2.鍵ツール
[0203] 鍵ツールは、鍵伝送機能及び/又は鍵検出機能を有するソフトウェア・システム又は電子機器である。電子デバイスは、端末デバイス、例えば、各種のユーザー装置(user equipment,UE)であってもよい。オプションの設計において、鍵ツールは、OEM診断ツール、OEM診断機器、ディーラー診断機器、ディーラー診断ツール(テスター・ツール)、又はオンボード診断(on-board diagnostics,OBD)システムであってもよい。一部の実施形態では、鍵ツールは、以下の機能:車両内のコンポーネントの初期鍵を充当すること;車両内のコンポーネントの共有鍵を充当すること;車両内のコンポーネントの共有鍵及び初期鍵がアブノーマルであるかどうかを検出すること、のうちの1つ以上の機能を実装するために使用されてもよい。鍵ツールは、1つ以上の鍵ツールであってもよい。これは、本件出願の実施形態において特に限定されない。
[0203] 鍵ツールは、鍵伝送機能及び/又は鍵検出機能を有するソフトウェア・システム又は電子機器である。電子デバイスは、端末デバイス、例えば、各種のユーザー装置(user equipment,UE)であってもよい。オプションの設計において、鍵ツールは、OEM診断ツール、OEM診断機器、ディーラー診断機器、ディーラー診断ツール(テスター・ツール)、又はオンボード診断(on-board diagnostics,OBD)システムであってもよい。一部の実施形態では、鍵ツールは、以下の機能:車両内のコンポーネントの初期鍵を充当すること;車両内のコンポーネントの共有鍵を充当すること;車両内のコンポーネントの共有鍵及び初期鍵がアブノーマルであるかどうかを検出すること、のうちの1つ以上の機能を実装するために使用されてもよい。鍵ツールは、1つ以上の鍵ツールであってもよい。これは、本件出願の実施形態において特に限定されない。
[0204] 3.資格管理システム
[0205] 資格管理機関は、以下の機能:鍵ツールを割り当てること、コンポーネント・サプライヤ及び/又は車両のOEMのソフトウェア・セキュリティ・メカニズムを評価すること、コンポーネント・サプライヤ及び/又は車両のOEMのハードウェア・セキュリティ・メカニズムを評価すること、コンポーネント・サプライヤ及び/又は車両のOEMの生産環境を評価すること、並びに、車両走行中の鍵使用を検出又は監視すること、のうちの1つ以上を実装するために使用されてもよい。幾つかの可能な実施形態では、資格管理組織は、測量及び地図作成資格を有する組織、及び/又は法律に従って測量及び地図作成活動に従事する組織である。
[0205] 資格管理機関は、以下の機能:鍵ツールを割り当てること、コンポーネント・サプライヤ及び/又は車両のOEMのソフトウェア・セキュリティ・メカニズムを評価すること、コンポーネント・サプライヤ及び/又は車両のOEMのハードウェア・セキュリティ・メカニズムを評価すること、コンポーネント・サプライヤ及び/又は車両のOEMの生産環境を評価すること、並びに、車両走行中の鍵使用を検出又は監視すること、のうちの1つ以上を実装するために使用されてもよい。幾つかの可能な実施形態では、資格管理組織は、測量及び地図作成資格を有する組織、及び/又は法律に従って測量及び地図作成活動に従事する組織である。
[0206] 4.鍵管理システム
[0207] 鍵管理システムは、以下の機能:車両の初期鍵の生成を管理すること、初期鍵の配布を管理すること、初期鍵の記憶を管理すること、のうちの1つ以上を実施するために使用されてもよい。幾つかの可能な実施形態では、鍵管理システムは、資格管理組織に配備されてもよいし、或いは、OEMの管理システムに配備されてもよい。
[0207] 鍵管理システムは、以下の機能:車両の初期鍵の生成を管理すること、初期鍵の配布を管理すること、初期鍵の記憶を管理すること、のうちの1つ以上を実施するために使用されてもよい。幾つかの可能な実施形態では、鍵管理システムは、資格管理組織に配備されてもよいし、或いは、OEMの管理システムに配備されてもよい。
[0208] 5.共有鍵
[0209] 本件出願の実施形態において、共有鍵は、車両内の異なるコンポーネント間の通信情報を暗号化するために使用されてもよく、例えば、異なるコンポーネント間で伝送される地理的位置情報を暗号化するために使用されてもよい。本件出願の実施形態では、共有鍵は、車両内の全てのコンポーネントによって共有される鍵であってもよいし、あるいは、車両内の機能ドメイン(例えば、インテリジェント運転ドメイン)に関連付けられたコンポーネントによって共有される鍵であってもよいし、あるいは、車両内のサービスに関連付けられたコンポーネントによって共有される鍵であってもよい。これは、本件出願の実施形態において特に限定されない。
[0209] 本件出願の実施形態において、共有鍵は、車両内の異なるコンポーネント間の通信情報を暗号化するために使用されてもよく、例えば、異なるコンポーネント間で伝送される地理的位置情報を暗号化するために使用されてもよい。本件出願の実施形態では、共有鍵は、車両内の全てのコンポーネントによって共有される鍵であってもよいし、あるいは、車両内の機能ドメイン(例えば、インテリジェント運転ドメイン)に関連付けられたコンポーネントによって共有される鍵であってもよいし、あるいは、車両内のサービスに関連付けられたコンポーネントによって共有される鍵であってもよい。これは、本件出願の実施形態において特に限定されない。
[0210] 6.初期鍵(シード(seed))
[0211] 一部の実施形態では、初期鍵は、キーイング素材として使用される可能性があり、共有鍵を生成するために使用される。他の一部の実施形態では、初期鍵は、共有鍵の暗号化された伝送を実施するために、共有鍵を暗号化するために使用されてもよい。
[0211] 一部の実施形態では、初期鍵は、キーイング素材として使用される可能性があり、共有鍵を生成するために使用される。他の一部の実施形態では、初期鍵は、共有鍵の暗号化された伝送を実施するために、共有鍵を暗号化するために使用されてもよい。
[0212] 一部の実施形態では、車両の初期鍵は、車両に関連付けられたOEMによって、車両内の各コンポーネントのコンポーネント・サプライヤに一律に割り当てられ、次いで、コンポーネント・サプライヤによって、オフライン方式(例えば、暗号化された電子メール又は暗号化されたパスワードのファイル)でコンポーネント・サプライヤの従業員に転送される。最終的に、コンポーネント・サプライヤの従業員は、初期鍵をコンポーネント生産ラインシステムにインポートし、対応するコンポーネントに初期鍵を充当する。従って、初期鍵は、初期鍵を充当するプロセスのおける人物に開示されている可能性がある。共有鍵は、車両の初期鍵に基づいて生成される。いったん初期鍵が他のデバイスにより取得されると、その共有鍵の安全性は保証されない。場合によっては、OEMは、同じ車両タイプの全ての車両に対して同じ初期鍵を割り当てる。いったん初期鍵が他のデバイスによって取得されると、同じ車両タイプの全ての車両の共有鍵のセキュリティは脅かされる。その結果、車両のうちの異なるコンポーネント間の通信のセキュリティが損なわれる。従って、異なるコンポーネント間の通信のセキュリティを向上させるために、どのようにして初期鍵を安全に送信するかは、緊急に解決されることを必要とする技術的課題である。
[0213] このことを考慮して、本件出願の実施形態は鍵伝送方法を提供する。この方法は、車両内の第1のコンポーネントと第1の鍵ツールとによってされてもよい。本方法において、第1のコンポーネントは、第1の鍵ツールから第1の命令を受信することができる。第1の命令は、初期鍵に関連付けられた第1の情報を含む。次いで、第1のコンポーネントは、第1の命令に従って初期鍵を取得することができる。初期鍵は、少なくとも、共有鍵を生成するために使用され、共有鍵は、少なくとも、地理的位置情報を含むデータを暗号化するために使用されることが可能である。これにより、初期鍵に基づいて生成された共有鍵を、他のデバイスによって取得できないように、鍵伝送のセキュリティを効果的に向上させることができ、車両のコンポーネント間の通信の安全性パフォーマンスを効果的に向上させ、且つ、コンポーネントに関連付けられた地理的位置情報を保護することができる。
[0214] 以下、本件出願の実施形態におけるシステム・アーキテクチャ及びサービス・シナリオを説明する。本件出願で説明されるシステム・アーキテクチャ及びサービス・シナリオは、本件出願における技術的解決策をより明確に説明するために意図されており、本件出願で提供される技術的解決策に関する限定を構成するものではない、ということに留意すべきである。当業者は、システム・アーキテクチャの発展及び新しいサービス・シナリオの出現により、本件出願で提供される技術的解決策は、類似する技術的課題にも適用可能である、ということが分かるであろう。
[0215] 図1は、本件出願の実施形態による可能なシステムのアーキテクチャの概略図である。システムは、鍵ツール200と車両100を含む。車両100は、第1のコンポーネント101を含む。例えば、第1のコンポーネント101は、車両100内のECU、ドメイン・コントローラ、又はセンサーであってもよい。鍵ツール200は、機能1、機能2、機能3、機能4のうちの1つ以上の機能を有する。
[0216] 機能1は初期鍵充当機能である。
[0217] 可能な実装において、鍵ツール200は、車両100の初期鍵を決定し、第1の命令を第1のコンポーネント101へ送信するために使用されることが可能である。第1の命令は、初期鍵に関連付けられた第1の情報を含む。次いで、第1のコンポーネント101は、第1の命令を受信し、第1の情報に基づいて初期鍵を取得することができる。初期鍵は、共有鍵を生成するために使用される可能性があり、初期鍵は、車両100に関連付けられたOEMには不可視的である。共有鍵は、車両100の通信情報(例えば、地理的位置情報)を暗号化するために用いられてもよい。このように、車両100は、初期鍵の伝送セキュリティを効果的に向上させ、その結果、初期鍵と初期鍵に基づいて生成された共有鍵とを、他のデバイスによっては取得できないようにし、車両100のコンポーネント間の通信のセキュリティを効果的に向上させる。
[0218] 機能2は、共有鍵充当機能である。
[0219] 可能な実装において、鍵ツール200は、初期鍵が第1のコンポーネント101に対して成功裏に充当された場合に、第2の命令を第1のコンポーネント101へ送信することが可能である。第2の命令は、共有鍵に関連付けられた第2の情報を含む。次いで、第1のコンポーネント101は、第2の命令を受信し、第2の情報と初期鍵とに基づいて、共有鍵を取得することができる。このようにして、第1のコンポーネント101により共有鍵を取得する効率は効果的に改善される。
[0220] オプションの実装において、車両100は第2のコンポーネント102を更に含んでもよい。第1のコンポーネント101と第2のコンポーネント102は、互いに通信インタラクションを行うことができ、第2のコンポーネント102と鍵ツール200は、互いに通信インタラクションを行うことができる。可能な実装において、鍵ツール200は、代替的に、第2のコンポーネント102のための共有鍵を充当するために、第2の命令を第2のコンポーネント102へ送信することができる。第2のコンポーネント102は、第2の命令を変換して第3の命令を取得し、第3の命令を第1のコンポーネント101へ送信し、第3の命令を用いて第1のコンポーネント101のための共有鍵を充当することができる。別の可能な実装において、鍵ツール200が第2の命令を第2のコンポーネント102へ送信した後に、第2のコンポーネント102は、第2の命令を第1のコンポーネント101へ転送し、第2の命令を用いることによって、第1のコンポーネント101のための共有鍵を充当することができる。このように、鍵ツール200は、第1のコンポーネント101との通信インタラクションを実行することを必要とせず、第1のコンポーネント101のための共有鍵を充当することも可能である。これは、車両100内の複数のコンポーネントに対する共有鍵の充当する効率を効果的に向上させる。
[0221] 第2のコンポーネント102は、車両全体の中に統合されたコンポーネントであり、例えば、インテリジェント運転ドメイン・コントローラ又は中央ゲートウェイであってもよく、第1のコンポーネント101は、コンポーネント生産ラインにおける単一のコンポーネントであってもよく、任意のオンボード・コンポーネントであってもよい、ということに留意すべきである。共有鍵が車両全体の共有鍵である場合、第1のコンポーネント101と第2のコンポーネント102は、車両100に属していることを必要とするだけである。共有鍵が特定のサービスの機能鍵である場合、第1のコンポーネント101と第2のコンポーネント102は、同一のサービスに関連付けられていてもよい。
[0222] 機能3は、乱数を用いて鍵を検出する機能である。
[0223] 可能な実装において、鍵ツール200は、第4の命令を第1のコンポーネント101に送信することができる。第4の命令は第3の乱数を含む。次いで、第1のコンポーネント101は、第4の命令を受信し、車両100の共有鍵と第3の乱数とに基づいて第1の検査値を生成し、第1の検査値を含む第4のレスポンス情報を、鍵ツール200へ返すことができる。鍵ツール200は、第1の検査値に基づいて、車両100により使用される共有鍵が、車両100に対応するローカル共有鍵であって鍵ツール200により決定されたローカル共有鍵に一致するか否かを判定し、車両100により使用される共有鍵が、鍵ツール200に記憶されているローカル共有鍵と不一致である場合に、アブノーマル性情報を報告する。このようにして、鍵ツール200は、第1のコンポーネント101と相互作用して、車両100の共有鍵を検出する。
[0224] 別の可能な実装において、鍵ツール200は、更に、車両の初期鍵を検出するために使用されてもよい。検出プロセスは、以下のとおりであってもよい:鍵ツール200は、第5の命令を第1のコンポーネント101へ送信してもよい。第5の命令は第5の乱数を含む。次いで、第1のコンポーネント101は、第5の命令を受信し、第5の乱数と車両100の初期鍵とに基づいて第3の検査値を生成し、第3の検査値を含む第5のレスポンス情報を鍵ツール200へ返してもよい。鍵ツール200は、第3の検査値に基づいて、車両100により使用される初期鍵が、車両100に対応するローカル初期鍵であって鍵ツール200により決定されたローカル共有鍵に一致するか否かを判定し、車両100により使用される初期鍵が、鍵ツール200に記憶されているローカル初期鍵と不一致である場合に、アブノーマル性情報を報告する。このようにして、鍵ツール200は、第1のコンポーネント101と相互作用して、車両100の初期鍵を検出する。
[0225] 機能4は、通信情報暗号文を用いて鍵を検出する機能である。可能な実装において、鍵ツール200は、車両100の第1のコンポーネント101の通信情報暗号文を取得することができる。通信情報暗号文は、車両100の共有鍵を用いて第1の情報を暗号化した情報を含む。第1の情報は地理的位置情報を含む。鍵ツール200は、車両100の共有鍵が、車両100に対応するローカル共有鍵であって鍵ツール200によって決定されたローカル共有鍵と一致するか否かを判定し、車両100の共有鍵が車両100のローカル共有鍵と不一致であった場合に、アブノーマル性情報を報告する。このように、鍵ツール200は、車両100内の第1のコンポーネント101の通信情報暗号文を取得するだけで、車両100の共有鍵を検出することができる。これは、検出効率を効果的に向上させる。また、通信情報暗号文のランダム性及び/又はリアルタイム性に起因して、通信情報暗号文に基づいて実施される鍵検出を通じて、鍵検出のロバスト性を更に向上させることができ、共有鍵は、偽造から防止されることが可能である。
[0227] 鍵ツール200は、第1の鍵ツール、第2の鍵ツール、及び鍵検出ツールのうちの何れであってもよい、ということに留意すべきである。第1の鍵ツールは機能1を有していてもよい。代替的に、第1の鍵ツールは、機能1に加えて、以下の機能:機能2、機能3、機能4 のうちの1つ以上を更に有していてもよい。第2の鍵ツールは機能2を有していてもよい。鍵検出ツールは、機能3及び/又は機能4を有していてもよい。鍵検出は、具体的には、初期鍵及び/又は共有鍵の検出を含む可能性がある。
[0228] 従って、鍵ツール200が機能1を有する場合、又は鍵ツール200が機能2、機能3、及び機能4のうちの1つ以上を機能1に加えて有する場合、鍵ツール200は第1の鍵検出ツールであってもよい。鍵ツール200が共有鍵充当機能のみを有する場合、鍵ツール200は第2の鍵検出ツールとなる可能性がある。鍵ツール200が鍵検出機能のみを有する場合、鍵ツール200は鍵検出ツールとなる可能性がある。更に、鍵ツール200は、代替的に他の鍵ツールに対応してもよい。他の鍵ツールは、機能2と機能3を有していてもよいし、或いは、機能2と機能4を有していてもよいし、或いは、機能2と機能3と機能4を有していてもよい。
[0229] 可能な実装において、第1の鍵ツールと第2の鍵ツールは、異なる鍵充当環境に対応してもよい。例えば、第1の鍵ツールは、コンポーネント・サプライヤ/コンポーネント生産ラインに対応し、即ち、コンポーネント・サプライヤにおいて及び/又はコンポーネント生産ライン内で、第1の鍵ツールは、第1のコンポーネントの初期鍵を充当するために使用されてもよいし、或いは、第1のコンポーネントの初期鍵及び共有鍵を充当するために使用されてもよい。第2の鍵ツールは、OEM生産ラインに対応し、即ち、OEM生産ラインにおいて、第2の鍵ツールは、第1のコンポーネントの共有鍵を充当するために使用されてもよい。この実装では、異なる鍵充当環境において、第1のコンポーネントの初期鍵と共有鍵を充当するために、異なる鍵ツールが使用される。このように、鍵充当の柔軟性を実現できるだけでなく、異なる鍵充当環境に適合した鍵ツールを実現することもできる。これは、異なる鍵充当環境における鍵充当の安全性を更に確保し、これにより、車両内の異なるコンポーネント間の通信の安全性パフォーマンスを改善する。
[0230] 別の可能な実装において、第1の鍵ツール及び第2の鍵ツールは、代替的に、車両内の異なるコンポーネントに対応する可能性がある。例えば、第1の鍵ツールは、車両内の何らかのコンポーネント、又は、車両内のコンポーネントであって地理情報交換に参加するコンポーネント、に対応する。この場合、第1の鍵ツールは、車両内の任意のコンポーネント又は車両内にあり地理情報交換に参加するコンポーネントの初期鍵又は初期鍵及び共有鍵を充当するために使用されてもよい。第2の鍵ツールは、車両内の主制御コンポーネント(例えば、ソフトウェアとハードウェアが統合されたプラットフォーム、即ち、インテリジェント運転をサポートするために使用される車両演算プラットフォーム(vehicle computing platform)、又はゲートウェイ)、又は、特定の機能ドメイン(例えば、インテリジェント運転ドメイン又はHMI)に関連付けられたコンポーネントのみに対応する。この場合、第2の鍵ツールは、車両内の主制御コンポーネント、又は特定の機能ドメインに関連付けられたコンポーネントのための共有鍵を充当するために使用されてもよい。この実装では、車両内の異なるコンポーネントに対して、異なる鍵ツールが、初期鍵及び/又は共有鍵を充当するために使用される。このようにして、鍵充当の柔軟性を実現できるだけでなく、車両内の様々なコンポーネントに適合した鍵ツールを実現することもできる。これは、車両内の異なるコンポーネントの鍵充当の安全性を更に確保し、それによって、車両内の異なるコンポーネント間の通信の安全性パフォーマンスを改善する。
[0231] 別の可能な実装において、第1の鍵ツールと第2の鍵ツールは、代替的に、異なるコンポーネント・サプライヤに対応してもよい。例えば、第1の鍵ツールは、コンポーネント・サプライヤ1に対応する。この場合、第1の鍵ツールは、車両内にあり且つコンポーネント・サプライヤ1に関連付けられた任意のコンポーネントについて、初期鍵又は初期鍵及び共有鍵を充当するために使用されてもよい。例えば、第2の鍵ツールは、コンポーネント・サプライヤ2に対応する。この場合、第2の鍵ツールは、車両内にあり且つコンポーネント・サプライヤ2に関連付けられた任意のコンポーネントのための共有鍵を充当するために使用されてもよい。この実装では、異なるコンポーネント・サプライヤに対して、異なる鍵ツールを使用して、第1のコンポーネントの初期鍵及び/又は共用鍵を充当する。このようにして、鍵充当の柔軟性を実現できるだけでなく、異なるコンポーネント・サプライヤに適合した鍵ツールを実現することもできる。これは、異なるコンポーネント・サプライヤの鍵充当の安全性を更に確保し、車両内の異なるコンポーネント間の通信の安全性パフォーマンスを改善する。
[0232] 鍵ツール200は資格管理機関によってOEMに割り当てられてもよい、ということに留意すべきである。例えば、図2は、資格管理機関が鍵ツールをOEMに割り当てるプロセスを示す。プロセスには、次のステップを含む。
[0233] S201:資格管理機関は、OEM生産ラインのOEM資格及び環境情報がセキュリティ要件を充足している、と判断し、初期鍵を生成する。
[0234] セキュリティ要件は、以下のうちの1つ以上:コンポーネントや車両全体のデータ保護機構に関するセキュリティ要件、生産ラインのネットワーク環境に関するセキュリティ要件、及び、人事管理システムに関する規格要件を含む。
[0235] S202:資格管理機関は、鍵ツールをOEMに割り当て、初期鍵を鍵ツールに格納する。
[0236] 鍵ツールは、初期鍵充当機能を有する。オプションの設計において、鍵ツールは、更に、キーイング素材生成機能及び/又はキーイング素材充当機能を有する。
[0237] オプションとして、前述の処理は、ステップS200を更に含む可能性があり、ステップS200は具体的には以下のようになる。
[0238] S200:OEMは、鍵ツール・リクエスト情報を資格管理機関に送信する。これに対応して、資格管理機関は、鍵ツール・リクエスト情報を受信する。鍵ツール・リクエストは、OEMの資格情報、OEM生産ラインの環境情報、車両のタイプ情報を含む。具体的には、資格管理機関は、OEMの鍵ツール・リクエスト情報を受信すると、OEMの関連情報を検証し、検証に成功すると、鍵ツールをOEMに割り当てることができる。このようにして、鍵ツールの使用セキュリティを効果的に向上させ、鍵のセキュリティを向上させる。
[0239] 図2に基づいて実施される鍵ツール割り当てプロセスは、車両のコンポーネント・サプライヤ又は他の組織に鍵ツールを割り当てるために、資格管理機関によって使用されてもよい、ということが理解されるべきである。これは、本件出願の実施形態において特に限定されない。
[0240] 鍵ツール200が異なる機能を有する場合、鍵ツール200の対応する鍵伝送方法も異なる、ということに留意すべきである。以下、本件出願の実施形態で提供される鍵伝送方法を、具体的な実施形態を参照しながら説明する。
[0241] 図3は、本件出願の実施形態による鍵伝送方法に対応する概略フローチャートである。例えば、方法の実行主体は、図1に示す鍵ツール200と第1のコンポーネント101である。図3において、鍵ツール200は、上述した機能1(即ち、初期鍵充当機能)を有する。この方法では、鍵ツール200は、第1の鍵ツールであってもよい、というが理解されるべきである。方法は、以下のステップを含む可能性がある。
[0242] S301:鍵ツール200は、車両100の初期鍵を決定する。
[0243] 初期鍵は、共有鍵を生成するために使用されてもよく、共有鍵は、地理的位置情報を含むデータを暗号化するために使用されてもよい。
[0244] 地理的位置情報のデータは、以下の1つ以上:経度と緯度、標高、及び地理的トラック に関連するデータを含むことが可能である。例えば、地理位置情報のデータは、そのデータの経度・緯度データ範囲及び/又は標高データ範囲が予め設定された閾値範囲内にあるものを含む可能性がある。また、地理的位置情報のデータは、地理的位置に関するデータであってもよい。これは、本件出願の実施形態において特に限定されない。標高は、基準面に対する地点の高さ、例えば地面に対する車両の最上部の高さである。これに対応して、標高データは、基準面に対する地点の高さを反映するデータ、例えば、地面に対する車両の最上部の高さを反映するデータを含む。
[0245] 鍵ツール200が車両100の初期鍵を決定する複数の実装が存在し、以下の方法を含むがこれらに限定されない。
[0246] 方法1:鍵ツール200は、車両100の初期鍵を予め記憶しており、鍵ツール200は、車両100のタイプ情報に基づいて、車両100の初期鍵をローカルに照会して決定することができる。
[0247] 例えば、引き続き図2を参照されたい。車両100に関連するOEMに対して鍵ツール200を割り当てる際に、資格管理機関は、車両100に対応する初期鍵を、鍵ツール200の内部記憶領域に格納してもよい。次いで、鍵ツール200は、車両100のタイプ情報に基づいて、車両100の初期鍵をローカルに照会してもよい。本件出願の実施形態において、車両に関連付けられたOEMは、以下の機能:車両を開発すること、車両を統合すること、及び車両を生成すること、のうちの1つ以上を実施することができる。代替的に、車両に関連するOEMは、車両に関連する別の機能を実装してもよい。これは、本件出願の実施形態において特に限定されない。
[0248] 方法1では、鍵ツール200は、車両100の初期鍵を迅速に決定することができる。これは、初期鍵の充当効率を改善することに役立つ。
[0249] 方法2:鍵ツール200は、鍵管理システムに初期鍵を要求してもよい。
[0250] 方法2のオプションの設計では、鍵ツール200は、資格管理機関によってOEMに割り当てられることが可能であるが、資格管理機関は、鍵ツール200に初期鍵を事前に格納しない。
[0251] 例1:図4は、鍵ツール200が、方法2において鍵管理システムから初期鍵を取得する概略的なフローチャートである。プロセスには、次のステップを含む。
[0252] S3011:鍵ツール200は、第2の公開鍵と第2の秘密鍵を生成する。
[0253] 可能な実装において、鍵ツール200は、非対称鍵アルゴリズムに従って、第2の公開鍵及び第2の秘密鍵を生成することができる。非対称暗号アルゴリズムは、SM2アルゴリズム、RSAアルゴリズム等であってもよい。これは、本件出願の実施形態において特に限定されない。このように、鍵ツール200は、鍵管理システムと同じ鍵情報を事前に共有することを必要としない。これは、初期鍵の充当プロセスをシンプルにする。
[0254] S3012:鍵ツール200は、リクエスト情報を鍵管理システムへ送信する。これに対応して、鍵管理システムは、リクエスト情報を受信する。
[0255] リクエスト情報は、初期鍵を要求することが可能であり、リクエスト情報は、第2の公開鍵を含む。次いで、鍵管理システムは、リクエスト情報に応答してS3013を実行することができる。
[0256] S3013:鍵管理システムは、第2の公開鍵に基づいて第2の暗号文を生成する。
[0257] 可能な実装において、鍵管理システムは、第2の公開鍵を使用して車両100の初期鍵を暗号化し、第2の暗号文を取得することができる。
[0258] S3014:鍵管理システムは、第2の暗号文を送信する。これに対応して、鍵ツール200は、第2の暗号文を受信する。
[0259] S3015:鍵ツール200は、第2暗号文と第2秘密鍵に基づいて、初期鍵を決定する。
[0261] 第2暗号文は、第2公開鍵を用いて初期鍵を暗号化することによって取得される情報を含む。従って、鍵ツール200は、第2の秘密鍵を用いて第2の暗号文を復号し、初期鍵を取得することができる。
[0261] 例2:鍵ツール200は、リクエスト情報を鍵管理システムに送信する。リクエスト情報は、初期鍵を要求する可能性があり、リクエスト情報は、予め設定された鍵を含む。次いで、鍵管理システムは、リクエスト情報を受信し、リクエスト情報に応じて、予め設定された鍵情報に基づいて車両100の初期鍵を暗号化して第2の暗号文を取得する。鍵管理システムは、第2の暗号文を鍵ツール200へ送信し、鍵ツール200は、第2の暗号文と予め設定された鍵とに基づいて初期鍵を決定する。このように、鍵ツール200は、一時的な鍵を生成することを必要としない。これは、鍵ツール200の実装の複雑さを低減する。
[0262] 方法2では、鍵ツール200は、鍵管理システムにリアルタイムで初期鍵を要求することができ、鍵管理システムは、初期鍵を暗号化して鍵ツール200へ送信することができる。これは、リアルタイム・パフォーマンスと初期鍵のセキュリティを効果的に改善する。
[0263] 鍵管理システムは、資格管理機関に配備されてもよいし、或いは、OEMの管理システムに配備されてもよい、ということが理解されるべきである。これは、本件出願の実施形態において特に限定されない。
[0264] 方法3:鍵ツール200は、車両100の初期鍵を生成する。
[0265] 例えば、鍵ツール200は、車両100に関する情報に基づいて、車両100の初期鍵を生成することができる。鍵ツール200は、車両100の初期鍵をランダムに又は特定のルールに従って生成することが可能である。これは、本件出願の実施形態において特に限定されない。
[0266] 方法3では、鍵ツール200は、車両100の初期鍵をリアルタイムで生成することができる。これは、初期鍵のリアルタイム・パフォーマンスを効果的に保証することができる。
[0267] S302:鍵ツール200は、車両100の第1のコンポーネント101に第1の命令を送信する。これに対応して、第1のコンポーネント101は、第1の命令を受信する。
[0268] 第1の命令は、初期鍵に関連する第1の情報を含んでもよい。従って、第1の命令は、第1のコンポーネント101の初期鍵を充当するために使用することができる。
[0269] オプションの設計では、S302の前に、鍵ツール200は、第1のコンポーネント101に鍵充当命令を送信する。鍵充当命令は、初期鍵の充当をトリガするために使用されてもよい。
[0270] S303:第1のコンポーネント101は、第1の命令に従って、初期鍵を取得する。
[0271] 第1のコンポーネント101が第1の命令に従って初期鍵を取得するプロセスは、第1のコンポーネント101が第1の情報に基づいて初期鍵を取得するプロセスである、ということが理解されるべきである。第1のコンポーネント101が第1の情報に基づいて初期鍵を決定するプロセスは、初期鍵の充当プロセスの一部又は全部として使用されてもよい。オプションの実装において、第1のコンポーネント101は、第1の情報に基づいて初期鍵を取得し、初期鍵の充当は完了する。別のオプションの実装では、初期鍵を取得した後に、第1のコンポーネント101は、更に、ハードウェア・セキュリティ・モジュール(hardware security module,HSM)を起動して、初期鍵をローカルに格納し、初期鍵の充当が完了する。
[0272] 第1の情報は、複数の方法で実施される可能性がある。従って、第1のコンポーネント101が第1の情報に基づいて初期鍵を取得する複数の実装は、以下の方法を含むがこれらに限定されない。
[0273] 方法1:第1の情報は、第1の暗号文を含む。第1の暗号文は、第1の公開鍵を用いて初期鍵を暗号化することにより取得される情報を含む。第1のコンポーネント101は、第1の暗号文に基づいて初期鍵を取得することができる。換言すれば、鍵ツール200は、初期鍵の暗号文(即ち、第1の暗号文)を第1のコンポーネント101へ伝送することが可能である。鍵ツール200は、鍵管理システムに初期鍵を要求することができる(具体的な処理の説明については、図2を参照されたい)。
[0274] 例えば、図5は、方法1における初期鍵の暗号化及び伝送の概略フローチャートである。プロセスは次のステップを含む。
[0275] S3021:第1のコンポーネント101は、第1の公開鍵と第1の秘密鍵を生成する。
[0276] 可能な実装では、第1のコンポーネント101は、HSMを呼び出して、第1の公開鍵と第1の秘密鍵を生成することができる。第1の公開鍵と第1の秘密鍵を生成するために使用されるアルゴリズムは、本件出願の実施形態において特に限定されない。例えば、アルゴリズムは、非対称暗号アルゴリズム(例えば、SM2アルゴリズム、RSAアルゴリズム)であってもよいし、他のアルゴリズムであってもよい。
[0277] S3022:第1のコンポーネント101は、第1の公開鍵を鍵ツール200へ送信する。これに対応して、鍵ツール200は、第1の公開鍵を受信する。
[0278] あるいは、第1のコンポーネント101は、予め設定された鍵を使用することにより暗号化された第1の公開鍵を、鍵ツール200へ送信してもよい。例えば、予め設定された鍵は、認証鍵、又は第1のコンポーネントと鍵ツール200との間で共有される別の鍵であってもよい。これにより、第1の公開鍵の伝送セキュリティは効果的に改善される。更に、第1の公開鍵を用いることで後に取得される第1の暗号文の伝送セキュリティは、効果的に改善される。
[0279] S3023:鍵ツール200は、第1の公開鍵と初期鍵とに基づいて、第1の暗号文を取得する。
[0280] 可能な実装において、鍵ツール200は、第1の公開鍵に基づいて初期鍵を暗号化して、第1の暗号文を生成することができる。
[0281] S3024:鍵ツール200は、第1の暗号文を送信する。これに対応して、第1のコンポーネント101は、第1の暗号文を受信する。
[0282] S3025:第1のコンポーネント101は、第1の暗号文と第1の秘密鍵に基づいて、初期鍵を取得する。
[0283] 可能な実装において、第1のコンポーネント101は、第1の秘密鍵を使用することにより第1の暗号文を解読して、初期鍵を取得することができる。
[0284] 更に、初期鍵を取得した後に、第1のコンポーネント101は、HSMを更に呼び出し、その結果、HSMは、第1のコンポーネント101のローカル認証鍵に基づいて初期鍵を暗号化し、暗号化された初期鍵を、第1のコンポーネント101の内部記憶空間に格納するか、又は、初期鍵を第1のコンポーネント101の内部記憶空間に直接的に格納して、初期鍵を充当してもよい。
[0285] 本件出願の実施形態において、認証鍵は、OEMによって管理及び維持され、OEM又はコンポーネント・サプライヤによって開発された機能鍵を認証するために使用されてもよい、ということが理解されるべきである。認証鍵は、1つの車両タイプに含まれる全ての車両全体に対応してもよいし、或いは、1つの車両全体に対応してもよいし、或いは、車両全体の機能コンポーネントに対応してもよいし、或いは、車両全体の中のECUに対応してもよい。
[0286] 例えば、認証鍵は、マスターECU鍵(master ECU key,MEK)、プレ・マスターECU鍵(pre-master ECU key,PMEK)(ECU初期ハードウェア許可鍵とも呼ばれる)、又はルート鍵であってもよい。これは、本件出願の実施形態において特に限定されない。ルート鍵は、OEMによりコンポーネント・サプライヤに転送される事前に設定された鍵である。コンポーネント・サプライヤは、車両内のコンポーネントにプリセット鍵を充当する。車両全体の生産ラインは、プリセット鍵の認証及び承認(authentication and authorization)に応じて、車両内のコンポーネントにおける機能鍵を充当することができる。
[0287] 機能鍵は、サービス鍵とも呼ばれ、車両全体の様々な機能のECU鍵を暗号化するために使用される可能性がある。例えば、機能鍵は、事前に共有される鍵(pre-shared key,PSK)、サービス・アプリケーションに使用されるマスター鍵(master key,MK)、セッション鍵(session key,SK)を含む可能性があるが、これらに限定されない。PSKは、オンボード・ネットワークの通信セキュリティを保護するために使用される安全なオンボード通信(security onboard communication,SecOC)鍵(SecOC key)と、デバイスの認証に使用されるデバイス鍵(device key)とを含む可能性がある。
[0288] 方法1では、鍵ツール200は、初期鍵の暗号文を第1のコンポーネント101へ伝送する。これは、初期鍵の伝送安全性を確保することができる。
[0289] オプションとして、第1のコンポーネント101は、更に、コンポーネント101の内部記憶空間に第1の暗号文を更に直接的に格納し、初期鍵が使用されることを必要とする場合に、第1の暗号文を復号して初期鍵を取得してもよい。
[0290] 方法2:第1の情報は初期鍵を含む。換言すれば、鍵ツール200は、第1のコンポーネント101に初期鍵を伝送してもよい。
[0291] これに対応して、鍵ツール200が車両100の第1のコンポーネント101に第1の命令を送信するプロセスは、以下のとおりであってもよい:鍵ツール200が、第1のコンポーネント101に対して、有線方式で初期鍵を送信する。鍵ツール200と第1のコンポーネント101は、ネットワーク・ケーブルやデータ・ケーブル等を介して有線方式で接続されてもよい。これは、本件出願の実施形態において特に限定されない。
[0292] 方法2では、鍵ツール200は、車両100内の第1のコンポーネント101に初期鍵を直接的に伝送することが可能であり、その結果、第1のコンポーネント101は、初期鍵を迅速に取得することができる。また、有線接続方式においては、第1のコンポーネント101は、初期鍵を直接的に受信することができ、第1のコンポーネント101は、暗号化/復号化処理を実行することを必要としない。従って、暗号化/復号化能力を有しない第1のコンポーネント101もまた、初期鍵を取得することができ、異なるコンポーネント間の通信のセキュリティを確保することができる。また、初期鍵はこのような方式で取得され、第1のコンポーネント101の動作をシンプルにし、第1のコンポーネント101の実装の複雑さやコンポーネントのコストを低減する。
[0293] 図3に示される実施形態では、初期鍵は、車両100に関連付けられているOEMとは無関係であり、又はコンポーネント・サプライヤや、車両100に関連付けられるOEMとも無関係であり、又はナビゲーション電子地図作成資格を有しないOEM(この場合におけるOEMは車両100に関連付けられている可能性がある)とは無関係である。換言すれば、初期鍵の伝送プロセス全体は、車両100に関連付けられるOEMや、ナビゲーション電子地図作成資格を有しないOEMの参加を必要とせず、その結果、初期鍵は、OEMやナビゲーション電子地図作成資格を有しないOEMに対して不可視となる。これは、鍵の伝送セキュリティを効果的に向上させることができ、その結果、初期鍵に基づいて生成された共有鍵を他のデバイスが取得できないようにし、車両100のコンポーネント間の通信のセキュリティ・パフォーマンスを効果的に向上させ、コンポーネントに関連付けられたデータを保護することができる。
[0294] オプションとして、図3を更に参照されたい。本件出願の実施形態において提供される鍵伝送方法は、ステップS304を更に含む可能性がある。ステップS304は具体的には以下のようになる。
[0295] S304:第1のコンポーネント101は、第1のレスポンス情報を送信する。これに対応して、鍵ツール200は、第1のレスポンス情報を受信する。
[0296] 第1のレスポンス情報は、鍵ツール200から受信した第1の命令に応答して第1のコンポーネント101により送信されたレスポンス情報である、ということが理解されるべきである。第1のレスポンス情報は、初期鍵の充当性結果を含むことが可能である。初期鍵の充当性結果は、初期鍵が首尾よく充当されたこと、又は初期鍵が充当に失敗したことを示すことが可能である。
[0297] 可能な実装において、第1の命令は第1の乱数を含む可能性がある。従って、第1の命令を受信した後に、第1のコンポーネント101は、初期鍵と第1の乱数に基づいて第3の暗号文を取得することが可能である。例えば、第3の暗号文を取得するために、第1の乱数は、初期鍵又は初期鍵の派生鍵を用いて暗号化されてもよい。
[0298] これに対応して、例えば、初期鍵の充当性結果は、第1の識別子であって初期鍵が首尾よく充当されたことを示す第1の識別子;及び/又は第3の暗号文を含んでもよい。初期鍵の充当性結果に含まれている異なる情報は、鍵ツール200が初期鍵は首尾よく充当されたと判断する際の異なるシナリオを示している、ということが理解されるであろう。
[0299] シナリオ1
[0300] 鍵ツール200が受信した初期鍵の充当性結果が第1の識別子を含んでいる場合、鍵ツール200は、初期鍵は首尾良く充当されたと考える。
[0300] 鍵ツール200が受信した初期鍵の充当性結果が第1の識別子を含んでいる場合、鍵ツール200は、初期鍵は首尾良く充当されたと考える。
[0301] シナリオ2
[0302] 鍵ツール200が受信した初期鍵の充当性結果が第3の暗号文を含んでいる場合、鍵ツール200は、第3の暗号文に基づいて、初期鍵は首尾良く充当されたか否かを判断することができる。
[0302] 鍵ツール200が受信した初期鍵の充当性結果が第3の暗号文を含んでいる場合、鍵ツール200は、第3の暗号文に基づいて、初期鍵は首尾良く充当されたか否かを判断することができる。
[0303] 鍵ツール200が、第3の暗号文に基づいて、初期鍵は首尾良く充当されたかどうかを判断する複数の実装が存在し、以下の方法を含むがこれらに限定されない。
[0304] 方法1:第3の暗号文を受信した後、鍵ツール200は、初期鍵と第3の暗号文に基づいて第2の乱数を取得してもよい。例えば、鍵ツール200は、初期鍵を用いて第3の暗号文を復号して第2の乱数を取得し、第2の乱数を、第1の命令に含まれる第1の乱数と比較してもよい。第1の乱数の値が、第2の乱数の値と同じである場合、鍵ツール200は、初期鍵が首尾良く充当されたと判断する。第1の乱数の値が、第2の乱数の値と異なる場合、鍵ツール200は、初期鍵は充当に失敗した判断する。
[0305] 方法2:鍵ツール200は、ローカル初期鍵と第1の乱数とに基づいて、ローカル検証情報を取得してもよい。例えば、鍵ツール200は、ローカル初期鍵を用いて、第1の命令に含まれる第1の乱数を暗号化して暗号文1(即ち、ローカル検証情報)を取得し、第3の暗号文を暗号文1と比較してもよい。第3の暗号文の値が暗号文1の値と同じである場合、鍵ツール200は、初期鍵が首尾良く充当されたと判断する。第3の暗号文の値が暗号文1の値と異なる場合、鍵ツール200は、初期鍵が成功裏に充当されていないと判断する。オプションとして、第3の暗号文を受信した後、鍵ツール200は、ローカル初期鍵と第1の乱数に基づいて、ローカル検証情報を決定することができる。
[0306] シナリオ3
[0307] 鍵ツール200が受信した初期鍵の充当性結果が、第1の識別子と第3の暗号文を含んでいる場合、鍵ツール200は、第3の暗号文に基づいて、初期鍵は首尾良く充当されたか否かを再度判断することを必要とする。
[0307] 鍵ツール200が受信した初期鍵の充当性結果が、第1の識別子と第3の暗号文を含んでいる場合、鍵ツール200は、第3の暗号文に基づいて、初期鍵は首尾良く充当されたか否かを再度判断することを必要とする。
[0308] 一部の実施形態では、第1のコンポーネント101が第1の命令を受信した後、第1の命令内の第1の情報に基づいて取得され格納された初期鍵シード2が、完全には格納されない場合がある、ということが理解されるべきである。その結果、第1のコンポーネント101に格納される初期鍵シード2は、鍵ツール200によって充当される予定のシード1と相違する。従って、たとえ鍵ツール200が受信した初期鍵の充当性結果が第1の識別子を含んでいたとしても、鍵ツール200は、第3の暗号文に基づいて、初期鍵が首尾良く当されたか否かを依然として再度判定することを必要とする。
[0309] 鍵ツール200が、第3の暗号文に基づいて、初期鍵は首尾よく充当されたかどうかを再び判断する具体的な実装は、シナリオ2において鍵ツール200が第3の暗号文に基づいて初期鍵は首尾よく充当されたかどうかを判断する具体的な実装に類似しているので、上記の説明を参照されたい。詳細なここで再び説明されない。
[0310] 別の例として、初期鍵の充当性結果は第2の識別子を含んでもよい。第2の識別子は、初期鍵が充当に失敗したことを示すことが可能である。オプションとして、第2の識別子は、初期鍵が充当に失敗した理由、例えば、第1のコンポーネント101内のHSMが第1の暗号文を解読することに失敗したこと、或いは、第1のコンポーネント101の記憶スペースが不十分であること、を更に示すことが可能である。
[0311] オプションとして、初期鍵の充当性結果は、車両100の識別子及び/又は第1のコンポーネント101の識別子を更に含んでもよい。これに対応して、鍵ツール200は、車両100の識別子及び/又は第1のコンポーネント101の識別子に基づいて、初期鍵の充当状態をカウントし、格納することができる。
[0312] 初期鍵を首尾よく充当できるようにするために、仮に、初期鍵の充当性結果が初期鍵は充当に失敗したことを示す場合に、鍵ツール200は、第1の命令を第1のコンポーネント101へ再送してもよい。オプションとして、第1の命令を送信する回数が予め設定された閾値を超える場合、鍵ツール200は、第1の命令を第1のコンポーネント101へ送信することを止める。この実装では、初期鍵の充当の妥当性を保証することができる。
[0313] 可能な実装において、初期鍵の充当性結果が、初期鍵は首尾よく充当されたことを示す場合、鍵ツール200は、第2の命令を第1のコンポーネント101へ送信することができる。第2の命令は、第1のコンポーネント101のための共有鍵を充当するために使用される。
[0314] 以下、鍵ツール200が第1のコンポーネント101の共有鍵を充当するプロセスを、具体例を参照しながら説明する。
[0315] 例えば、図6を参照されたい。図6において、鍵ツール200は、上述した機能2を有しており、即ち、鍵ツール200は、上述した機能2(即ち、共有鍵充当機能)を有している。この方式では、鍵ツール200は、第1の鍵ツール又は第2の鍵ツールである可能性がある、ということが理解されるべきである。
[0316] 鍵ツール200が第1のコンポーネント101のための共有鍵を充当するプロセスは、以下のステップを含む。
[0317] S601:鍵ツール200は、第2の命令を送信する。これに対応して、第1のコンポーネント101は、第2の命令を受信する。
[0318] 第2の命令は、共有鍵に関連付けられた第2の情報を含む。
[0319] S602:第1のコンポーネント101は、第2の情報と初期鍵に基づいて共有鍵を決定する。
[0320] 第1のコンポーネント101が第2の情報と初期鍵に基づいて共有鍵を決定するプロセスは、共有鍵の充当プロセスの一部又は全部であってもよい、ということが理解されるべきである。オプションの実施形態において、第1のコンポーネント101は、第2の情報と初期鍵に基づいて共有鍵を決定し、共有鍵の充当は完了する。オプションの実装において、共有鍵を決定した後に、第1のコンポーネント101は、HSMを起動して、共有鍵をローカルに格納し、共有鍵の充当は完了する。
[0321] 第2の情報は、複数の方法で実施される可能性がある。これに対応して、第1のコンポーネント101が第2の情報と初期鍵に基づいて共有鍵を決定する複数の実装も存在し、以下の方法を含むがこれらに限定されない。
[0322] 方法1:第2の情報は、キーイング素材(例えば、ソルト(salt))である。従って、第1のコンポーネント101は、第2の命令を受けた後に、第2の情報と初期鍵とに基づいて、共有鍵を生成することができる。
[0323] 可能な実装において、第1のコンポーネント101が、初期鍵と第2の情報に基づいて共有鍵を取得するプロセスは:対称暗号アルゴリズムに従って、又は、対称暗号アルゴリズムの鍵導出関数若しくはメッセージ認証コードに基づいて、共有鍵を、初期鍵と第2の情報に基づいて取得することであってもよい。
[0324] 例えば、第1のコンポーネント101は、以下の式に従って共有鍵を取得することができる。
KEK=ENC(salt,seed)
[0325] ここで、KEKは共有鍵であり、ソルト(salt)はキーイング素材の一例であり、シード(seed)は初期鍵であり、ENCは任意の対称暗号アルゴリズム、鍵導出関数、又は対称暗号化アルゴリズムに基づくメッセージ認証コードである。対称暗号化アルゴリズムでは、唯1つの鍵が使用され、送信者と受信者の両方がその鍵を使用してデータを暗号化し、暗号解読する。対称暗号アルゴリズムは、DESアルゴリズム、3DESアルゴリズム、SM1アルゴリズム、及びSM4アルゴリズムを含む可能性があるが、これらに限定されない。メッセージ認証コード(message authentication code,MAC)は、完全性を検証し且つ認証を実行するために使用される技術である。鍵導出関数は、共有鍵ビット列から鍵データを導出するために使用される関数である。鍵導出関数は、パスワード・ベース鍵導出関数(password-based key derivation function,PBKDF)及びスクリプト(scrypt)アルゴリズムを含むが、これらに限定されない。本件出願の実施形態において、対称暗号アルゴリズム及び鍵導出関数は、特に限定されない。
[0325] ここで、KEKは共有鍵であり、ソルト(salt)はキーイング素材の一例であり、シード(seed)は初期鍵であり、ENCは任意の対称暗号アルゴリズム、鍵導出関数、又は対称暗号化アルゴリズムに基づくメッセージ認証コードである。対称暗号化アルゴリズムでは、唯1つの鍵が使用され、送信者と受信者の両方がその鍵を使用してデータを暗号化し、暗号解読する。対称暗号アルゴリズムは、DESアルゴリズム、3DESアルゴリズム、SM1アルゴリズム、及びSM4アルゴリズムを含む可能性があるが、これらに限定されない。メッセージ認証コード(message authentication code,MAC)は、完全性を検証し且つ認証を実行するために使用される技術である。鍵導出関数は、共有鍵ビット列から鍵データを導出するために使用される関数である。鍵導出関数は、パスワード・ベース鍵導出関数(password-based key derivation function,PBKDF)及びスクリプト(scrypt)アルゴリズムを含むが、これらに限定されない。本件出願の実施形態において、対称暗号アルゴリズム及び鍵導出関数は、特に限定されない。
[0326] 方法1では、第1のコンポーネント101は、共有鍵を生成することができる。これは、共有鍵の充当セキュリティを効果的に改善する。
[0327] 方法2:第2の情報は、共有鍵の暗号文である。
[0328] 可能な実装において、共有鍵は鍵ツール200によって生成され、鍵ツール200は、初期鍵と共有鍵に基づいて第2の情報を取得することができる。例えば、鍵ツール200は、初期鍵を用いて共有鍵を暗号化し、第2の情報を取得してもよい。これに対応して、第1のコンポーネント101は、第2の命令を受信した後に、初期鍵と第2の情報に基づいて、共有鍵を取得してもよい。例えば、共有鍵を取得するために、第1のコンポーネント101は、初期鍵を用いて第2の情報を復号化してもよい。
[0329] 鍵ツール200が初期鍵に基づいて共有鍵を暗号化するプロセスで使用されるアルゴリズムは、対称暗号アルゴリズム又は鍵導出関数であってもよい。これは、本件出願の実施形態において特に限定されない。対称暗号アルゴリズム及び鍵導出関数については、対称暗号アルゴリズム及び鍵導出関数の前述の説明を参照されたい。詳細はここで再び説明されない。
[0330] 方法2では、第2の情報は、共有鍵の暗号文を含み、暗号文は、初期鍵を用いて共有鍵を暗号化することによって取得される情報である。第1のコンポーネント101は、初期鍵を用いて暗号文を復号することにより、共有鍵を取得することができる。しかしながら、初期鍵を有しない他のデバイスについては、たとえ暗号文を受信したとしても、共有鍵を復元することはできない。これは、第1のコンポーネントの共有鍵の安全性を効果的に向上させる。更に、方法2は、第1のコンポーネント101のアルゴリズムに関する低い要件しか有していない。例えば、第1のコンポーネントが何らかの復号アルゴリズムをサポートしている限り、共有鍵を取得することができる。これは、第1のコンポーネントの実装の複雑さやコストを削減する。
[0331] S603:第1のコンポーネント101は、第2のレスポンス情報を送信する。これに対応して、鍵ツール200は、第2のレスポンス情報を受信する。
[0332] 第2のレスポンス情報は、鍵ツール200から受信した第2の命令に応答して、第1のコンポーネント101により送信されたレスポンス情報である、ということが理解されるべきである。第2のレスポンス情報は、共有鍵の充当性結果を含む。共有鍵の充当性結果は、初期鍵が首尾良く充当されたこと、又は初期鍵が充当に失敗したことを示す可能性がある。
[0333] 可能な実装において、第2の命令は第3の乱数を含んでもよい。従って、第1のコンポーネント101は、第2の命令を受信した後に、第3の乱数と、共有鍵又は共有鍵の派生鍵とを用いることにより、第4の暗号文を取得してもよい。例えば、第4の暗号文を取得するために、第3の乱数は、共有鍵又は共有鍵の派生鍵を用いることにより暗号化される。
[0334] これに対応して、可能な実装では、共有鍵の充当性結果は、第3の識別子であって共有鍵が首尾よく充当されたことを示す第3の識別子;及び/又は第4の暗号文を含んでもよい。共有鍵の充当性結果に含まれる異なる情報は、鍵検出ツール200が共有鍵は首尾良く充当されたと判断する際の異なるシナリオを示す、ということが理解されるであろう。
[0335] シナリオ1
[0336] 鍵ツール200が受信した共有鍵の充当性結果が第3の識別子を含んでいる場合、鍵ツール200は、共有鍵は首尾良く充当されたと考える。
[0336] 鍵ツール200が受信した共有鍵の充当性結果が第3の識別子を含んでいる場合、鍵ツール200は、共有鍵は首尾良く充当されたと考える。
[0337] シナリオ2
[0338] 鍵ツール200が受信した共有鍵の充当性結果が第4の暗号文を含んでいる場合、鍵ツール200は、第4の暗号文に基づいて、共有鍵は首尾良く充当されたか否かを判断することができる。
[0338] 鍵ツール200が受信した共有鍵の充当性結果が第4の暗号文を含んでいる場合、鍵ツール200は、第4の暗号文に基づいて、共有鍵は首尾良く充当されたか否かを判断することができる。
[0339] 鍵ツール200が、第4の暗号文に基づいて、共有鍵は首尾良く充当されたかどうかを判断する複数の実装が存在し、以下の方法を含むがこれらに限定されない。
[0340] 方法1:第4の暗号文を受信した後、鍵ツール200は、共有鍵と第4の暗号文に基づいて第4の乱数を取得してもよい。例えば、第4の乱数を取得するために、第4の暗号文は共有鍵を用いて復号化される。鍵ツール200は、第4の乱数を、第2の命令に含まれる第3の乱数と比較する。第3の乱数の値が第4の乱数の値と同じである場合、鍵ツール200は、共有鍵が首尾良くロードされたと判断する。第3の乱数の値が第4の乱数の値と相違する場合、鍵ツール200は、共有鍵はロードされることに失敗したと判断する。
[0341] 方法2:鍵ツール200は、第4の暗号文を受信した後、ローカル共有鍵と第3の乱数とに基づいてローカル検証メッセージを取得してもよい。例えば、鍵ツール200は、ローカル共有鍵を用いて第3の乱数を暗号化し、暗号文2(即ち、ローカル検証情報)を取得し、第4の暗号文を暗号文2と比較する。第4の暗号文の値が暗号文2の値と同じである場合、鍵ツール200は、共有鍵が首尾良く充当されたと判断する。第4の暗号文の値が暗号文2の値と異なる場合、鍵ツール200は、共有鍵が充当に失敗したと判断する。
[0342] シナリオ3
[0343] 鍵ツール200が受信した共有鍵の充当性結果が、第3の識別子と第4の暗号文を含んでいる場合、鍵ツール200は、第4の暗号文に基づいて、共有鍵は首尾良く充当されたか否かを再度判断することを必要とする。一部の実施形態では、第1のコンポーネント101が第2の命令を受信した後、第2の命令内の第1の情報に基づいて取得され格納された共有鍵KEY2が、完全には格納されない場合がある、ということが理解されるべきである。その結果、第1のコンポーネント101に格納される共有鍵KEY2は、鍵ツール200によって充当される予定のKEY1と相違する。従って、たとえ鍵ツール200が受信した共有鍵の充当性結果が第1の識別子を含んでいたとしても、鍵ツール200は、第4の暗号文に基づいて、共有鍵が首尾良く当されたか否かを依然として再度判定することを必要とする。
[0343] 鍵ツール200が受信した共有鍵の充当性結果が、第3の識別子と第4の暗号文を含んでいる場合、鍵ツール200は、第4の暗号文に基づいて、共有鍵は首尾良く充当されたか否かを再度判断することを必要とする。一部の実施形態では、第1のコンポーネント101が第2の命令を受信した後、第2の命令内の第1の情報に基づいて取得され格納された共有鍵KEY2が、完全には格納されない場合がある、ということが理解されるべきである。その結果、第1のコンポーネント101に格納される共有鍵KEY2は、鍵ツール200によって充当される予定のKEY1と相違する。従って、たとえ鍵ツール200が受信した共有鍵の充当性結果が第1の識別子を含んでいたとしても、鍵ツール200は、第4の暗号文に基づいて、共有鍵が首尾良く当されたか否かを依然として再度判定することを必要とする。
[0344] 鍵ツール200が、第4の暗号文に基づいて、共有鍵は首尾よく充当されたかどうかを再び判断する具体的な実装は、シナリオ2において鍵ツール200が第4の暗号文に基づいて共有鍵は首尾よく充当されたかどうかを判断する具体的な実装に類似しているので、上記の説明を参照されたい。詳細なここで再び説明されない。
[0345] 別の可能な実装において、共有鍵の充当性結果は第4の識別子を含んでもよい。第4の識別子は、共有鍵が充当に失敗したことを示すことが可能である。オプションとして、第2の識別子は、共有鍵が充当に失敗した理由、例えば、第1のコンポーネント101内のHSMが第1の解読に失敗したこと、或いは、第1のコンポーネント101の記憶スペースが不十分であること、を更に示すことが可能である。
[0346] オプションとして、共有鍵の充当性結果は、車両の識別子及び/又は第1のコンポーネント101の識別子を更に含んでもよい。これに対応して、鍵ツール200は、車両100の識別子及び/又は第1のコンポーネント101の識別子に基づいて、共有鍵の充当状態をカウントし、格納することができる。
[0347] 可能な実装において、仮に、共有鍵の充当性結果が共有鍵は充当に失敗したことを示す場合に、鍵ツール200は、第2の命令を再送してもよい。オプションとして、鍵ツール200により第2の命令を送信する回数が予め設定された閾値を超える場合、鍵ツール200は、第2の命令を第1のコンポーネント101へ送信することを止める。この実装では、共有鍵の充当の妥当性を保証することができる。
[0348] 図6に示す実施形態では、鍵ツール200は、第1のコンポーネント101のための共有鍵を充当することができる。これは、第1のコンポーネント101の共有鍵の安全性を効果的に向上させる。
[0349] 一部の実施形態では、車両100内の第2のコンポーネント102は、代替的に、第1のコンポーネント101のための共有鍵を充当することが可能である、ということに留意すべきである。
[0350] 例えば、図7は、第2のコンポーネント102が第1のコンポーネント101のための共有鍵を充当する概略フローチャートである。プロセスは次のステップを含む。
[0351] S701:第2のコンポーネント102は、共有鍵充当命令を取得する。取得は、受信又は生成として理解されてもよい。
[0352] 共有鍵充当命令は、共有鍵に関連する情報を含む。従って、第1のコンポーネント101のための共有鍵を充当するために、共有鍵充当命令を使用することが可能である。共有鍵は、少なくとも、地理的位置情報を含むデータを暗号化するために用いられる。共有鍵及び地理的位置情報のデータの具体的な説明については、前述の関連する説明を参照されたい。
[0353] S702:第2のコンポーネント102は、共有鍵充当命令を送信する。これに対応して、第1のコンポーネント101は、共有鍵充当命令を受信する。
[0354] 共有鍵充当命令は、複数の方法で実装される可能性があり、以下の実装を含むがこれらに限定されない。
[0355] 実装1:共有鍵充当命令は、第2の命令を含む可能性がある。例えば、共有鍵充当命令は、第2の命令である。別の例では、共有鍵充当命令は、第2の命令に加えて他の情報を含む。第2の命令は、共有鍵に関連付けられた第2の情報を含む。
[0356] 例えば、第2のコンポーネント102が共有鍵充当命令を決定することは、以下のようであってもよい:第2のコンポーネント102が、鍵ツール200から第2の命令を受け取り、第2の命令を共有鍵充当命令として使用する。これに対応して、第2のコンポーネント102は、鍵ツール200から第1のコンポーネント101へ、第1の命令を直接的に転送してもよい。
[0357] 実装1において、第2のコンポーネントは、鍵ツール200から第1のコンポーネントへ第2の命令を直接的に転送して、第1のコンポーネントの共有鍵を充当する。このようにして、第2のコンポーネント102の動作手順をシンプルにすることができ、実装はシンプルになる。また、第1のコンポーネント101は、鍵ツール200からの共有鍵充当命令を取得することを必要とせず、共有鍵の充当効率を効果的に向上させる。
[0358] 第2の情報は、複数の方法で実装される可能性がある。例えば、鍵ツール200は、キーイング素材を生成し(例えば、キーイング素材は、ランダムに生成されるか、又は特定のルールに従って生成される)、第2の命令における第2の情報としてキーイング素材を使用する。別の例として、鍵ツール200は、共有鍵を生成し(例えば、共有鍵はランダムに生成され、或いは特定のルールに従って生成される)、初期鍵と共有鍵に基づいて共有鍵の暗号文を取得し、その暗号文を第2の情報として使用してもよい。更に別の例として、鍵ツール200は、初期鍵を用いて共有鍵を暗号化し、共有鍵の暗号文を取得し、その暗号文を第2の情報として用いてもよい。
[0359] 実装2:共有鍵充当命令は第3の命令を含んでもよい。例えば、共有鍵充当命令は第3の命令である。別の例として、共有鍵充当命令は、第3の命令に加えて、他の情報を含む。第3の命令は、共有鍵に関連付けられた第3の情報を含む。
[0360] 第3の命令は、以下の実装を含むがこれに限定されない複数の方法で実装される可能性がある。
[0361] 方法1:第2のコンポーネント102は、鍵ツール200から第2の命令を受信し、第2の命令を処理して第3の命令を取得する。
[0362] 例えば、第2のコンポーネント102は、第2の命令の通信プロトコル・フォーマットを変換して、第3の命令を取得してもよい。あるいは、第2のコンポーネント102は、第2の命令に含まれる第2の情報の通信プロトコル・フォーマットを変換して、第3の命令に含まれる第3の情報を取得してもよい。
[0363] これに対応して、第2のコンポーネント102は、鍵ツール200によって送信された第2の命令を受信し、次いで、第2の命令を処理することによって第3の命令を取得することができる。第2の命令は、共有鍵に関連付けられた第2の情報を含む。第2の情報は、複数の方法で実装される可能性がある。詳細については、実装1における第2の情報の実装を参照されたい。詳細はここで再び説明されない。
[0364] 方法1では、第3の命令又は第3の命令に含まれる第3の情報は、第1のコンポーネントと第2のコンポーネント102との間の通信プロトコルにより良く適合させることができる。第1のコンポーネント101は、命令(即ち、第3の命令)に従って、共有鍵を充当することができる。第1のコンポーネントは、鍵ツール200からの共有鍵充当命令を取得することを必要としないので、共有鍵の充当効率を効果的に向上させる。
[0365] 方法2:第2のコンポーネント102は、第3の命令を生成する。
[0366] 例えば、予め設定された条件が満たされた場合、又は特定の命令が受信された場合、第2のコンポーネント102は、第3の命令を生成し、第3の命令を共有鍵充当命令として使用することができる。
[0367] 「特定の命令」は、任意の命令とすることが可能であり、第2のコンポーネントは、その命令をトリガ信号として使用することが可能である。例えば、特定の命令は、共有鍵充当命令を生成するために特別に使用される診断コマンドであってもよいし、或いは、他の機能の診断コマンド、例えば、コンポーネント・フラッシュ又はコンポーネント・リセットの命令であってもよい。オプションの設計において、特定の命令は、診断機器、車両全体の電気検査テスト・デバイス、クラウド、又は、車両内の別のコンポーネント(例えば、TBOX又はGW)からのものであってもよい。
[0368] 事前に設定された条件は、第2のコンポーネントに関連付けられたデバイスが始動され、特定の時点に到達することを含むが、これに限定されない。
[0369] 「第2のコンポーネントに関連付けられたデバイスが始動される」とは、第2のコンポーネントが始動されることであってもよいし、或いは、第2のコンポーネントが配置されているデバイスが始動されることであってもよい、ということを理解することができる。例えば、第2のコンポーネントはAである。この場合、Aが始動されるか、又は、Aが配置されているデバイスが始動されると、Aは第3の命令を生成することが可能である。別の例として、第2のコンポーネントはBである。この場合、Bが始動されるか、又は、Bが配置されているデバイスが始動されると、Bは第3の命令を生成することが可能である。
[0370] 「特定の時点に到達する」とは、特定の鍵充当時点(例えば、各月の初日の00:00)に到達すること、又は、鍵満了前の予め設定された日(例えば、鍵満了の前日)に到達することであってもよい、ということを理解することができる。
[0371] それに対応して、方法2では、第3の情報は複数の方法で実施される可能性がある。例えば、第2のコンポーネントは、キーイング素材を生成し(例えば、キーイング素材は、ランダムに生成されるか、又は特定のルールに従って生成される)、第3の命令における第3の情報としてキーイング素材を使用してもよい。別の例として、第2のコンポーネントは、共有鍵を生成し(例えば、共有鍵はランダムに生成され、又は、特定のルールに従って生成される)、初期鍵と共有鍵に基づいて共有鍵の暗号文を取得し、その暗号文を第3の情報として使用してもよい。
[0372] 方法2では、第2のコンポーネントは、車両内の他のコンポーネント(即ち、第1のコンポーネント)のための共有鍵を充当するために、共有鍵充当命令を生成することが可能である。このように、共有鍵の充当は、もはや第1の鍵ツール又は第2の鍵ツールに依存しなくなる。これは、共有鍵の充当手順をシンプルにする。
[0373] S703:第1のコンポーネント101は、共有鍵充当命令と初期鍵に従って共有鍵を決定する。
[0374] 可能な実装において、共有鍵充当命令は第2の命令であってもよい。第2の命令は、共有鍵に関連付けられた第2の情報を含む。従って、第1のコンポーネント101は、第2の情報と初期鍵に基づいて、共有鍵を決定してもよい。第1のコンポーネント101が第2の情報と初期鍵に基づいて共有鍵を決定する実装については、前述の関連する説明を参照されたい。詳細はここで再び説明されない。
[0375] 別の可能な実装において、共有鍵充当命令は第3の命令であってもよい。第3の命令は、共有鍵に関連付けられた第3の情報を含む。従って、第1のコンポーネント101は、第3の情報と初期鍵に基づいて、共有鍵を決定してもよい。第1のコンポーネント101が、第3の情報と初期鍵に基づいて共有鍵を決定する複数の実装が存在し、以下の方法を含むがこれらに限定されない。
[0376] 方法1:第3の情報は、キーイング素材(例えば、ソルト(salt))である。従って、第1のコンポーネント101は、第3の命令を受けた後に、第3の情報と初期鍵とに基づいて、共有鍵を生成することができる。
[0377] 可能な実装において、第1のコンポーネント101が、初期鍵と第3の情報に基づいて共有鍵を取得するプロセスは:対称暗号アルゴリズムに従って、又は、対称暗号アルゴリズムの鍵導出関数若しくはメッセージ認証コードに基づいて、共有鍵を、初期鍵と第3の情報に基づいて取得することであってもよい。
[0378] 例えば、第1のコンポーネント101は、以下の式に従って共有鍵を取得することができる。
KEK=ENC(salt,seed)
[0379] ここで、KEKは共有鍵であり、ソルト(salt)はキーイング素材の一例であり、シード(seed)は初期鍵であり、ENCは任意の対称暗号アルゴリズム、鍵導出関数、又は対称暗号化アルゴリズムに基づくメッセージ認証コードである。対称暗号アルゴリズム、対称暗号アルゴリズムに基づくメッセージ認証コード、鍵導出機能については、対称暗号アルゴリズム及び鍵導出機能の前述の説明を参照されたい。詳細はここで再び説明されない。
[0379] ここで、KEKは共有鍵であり、ソルト(salt)はキーイング素材の一例であり、シード(seed)は初期鍵であり、ENCは任意の対称暗号アルゴリズム、鍵導出関数、又は対称暗号化アルゴリズムに基づくメッセージ認証コードである。対称暗号アルゴリズム、対称暗号アルゴリズムに基づくメッセージ認証コード、鍵導出機能については、対称暗号アルゴリズム及び鍵導出機能の前述の説明を参照されたい。詳細はここで再び説明されない。
[0380] 方法1では、第1のコンポーネント101は、共有鍵を生成することができる。これは、共有鍵の充当セキュリティを効果的に改善する。
[0381] 方法2:第3の情報は、共有鍵の暗号文である。
[0382] 可能な実装において、共有鍵は鍵ツール200によって生成され、鍵ツール200は、初期鍵と共有鍵に基づいて第3の情報を取得することができる。例えば、鍵ツール200は、初期鍵を用いて共有鍵を暗号化し、第3の情報を取得してもよい。これに対応して、第1のコンポーネント101は、第3の命令を受信した後に、初期鍵と第3の情報に基づいて、共有鍵を取得してもよい。例えば、共有鍵を取得するために、鍵ツール200は、初期鍵を用いて第3の情報を復号化してもよい。鍵ツール200が初期鍵に基づいて共有鍵を暗号化するプロセスで使用されるアルゴリズムは、対称暗号アルゴリズム又は鍵導出関数であってもよい。これは、本件出願の実施形態において特に限定されない。対称暗号アルゴリズム及び鍵導出関数については、対称暗号アルゴリズム及び鍵導出関数の前述の説明を参照されたい。詳細はここで再び説明されない。
[0383] 方法2では、第3の情報は、共有鍵の暗号文を含み、暗号文は、初期鍵を用いて共有鍵を暗号化することによって取得される情報である。第1のコンポーネント101は、初期鍵を用いて暗号文を復号することにより、共有鍵を取得することができる。しかしながら、初期鍵を有しない他のデバイスについては、たとえ暗号文を受信したとしても、共有鍵を復元することはできない。これは、第1のコンポーネントの共有鍵の安全性を効果的に向上させる。更に、方法2は、第1のコンポーネント101のアルゴリズムに関する低い要件しか有していない。例えば、第1のコンポーネントが何らかの復号アルゴリズムをサポートしている限り、共有鍵を取得することができる。これは、第1のコンポーネントの実装の複雑さやコストを削減する。
[0384] S704:第1のコンポーネント101は、共有鍵充当命令に応答してレスポンス情報を送信する。
[0385] 可能な実装において、共有鍵充当命令は第2の命令であり、共有鍵充当命令に応答するレスポンス情報は、第2の命令に応答する第2のレスポンス情報を含む。第2のレスポンス情報の説明については、前述の関連する説明を参照されたい。詳細はここで再び説明されない。
[0386] 別の可能な実装において、共有鍵充当命令は前記第3の命令である可能性があり、共有鍵充当命令に応答するレスポンス情報は、第3の命令に応答する第3のレスポンス情報を含む。第3のレスポンス情報の具体的な実装は、第2のレスポンス情報の実装と同様であり、第2のレスポンス情報の前述の説明を参照されたい。第2のレスポンス情報が第3のレスポンス情報に置き換えられることを必要とするだけである詳細はここで再び説明されない。
[0387] 第1のコンポーネント101が第3のレスポンス情報を送信する複数の実装が存在し、以下の実装を含むがこれらに限定されない。
[0388] 実装1:第1のコンポーネント101は、第3のレスポンス情報を第2のコンポーネント102へ送信し、第2のコンポーネント102は、第3のレスポンス情報を受信し、第3のレスポンス情報を鍵ツール200に転送する。この実装では、第1のコンポーネント101は、鍵ツールとの対話を必要とせず、第2のコンポーネント102を用いることにより、共有鍵の充当性結果を鍵ツール200へフィードバックすることができる。
[0389] 実装2:第1のコンポーネント101は、第3のレスポンス情報を第2のコンポーネント102へ送信し、第2のコンポーネント102は、第3のレスポンス情報を受信し、第3のレスポンス情報に対して対応する処理を実行することが可能である。
[0390] ケース1:第2のコンポーネント102が第3のレスポンス情報を処理するプロセスは次のようであってもよい:第3のレスポンス情報のプロトコル・フォーマットを変換し、その結果、第3のレスポンス情報の処理されたプロトコル・フォーマットは、第2のコンポーネント102と鍵ツール200との間の通信プロトコルに適合させられる。
[0391] ケース2:第2のコンポーネント102が第3のレスポンス情報を処理するプロセスは次のようであってもよい:第3のレスポンス情報に基づいて第1のコンポーネント101の鍵充当状態を判定する。例えば、第3のレスポンス情報に含まれる識別情報に基づいて、第1のコンポーネント101の共有鍵が首尾良く充当されたか否かが検証される。次いで、第2のコンポーネント102は、車両100内の全てのコンポーネントの共有鍵の充当性結果を、鍵ツール200へ送信することが可能である。このようにして、鍵ツール200の演算量を削減することができ、その結果、鍵ツール200は共有鍵の充当状況を迅速に把握することができる。
[0392] 実装3:第1のコンポーネント101は、第3のレスポンス情報を鍵ツール200へ直接的に送信してもよい。この実装では、第1のコンポーネント101は、鍵ツール200と対話し、鍵ツール200は、第1のコンポーネント101の共有鍵の充当状態を迅速に把握することができる。
[0393] 図7に示す実装において、第2のコンポーネント102は第1のコンポーネント101の共有鍵を充当し、その結果、第1のコンポーネント101は、鍵ツール200から共有鍵充当命令を取得することを必要としない。これは、車両におけるコンポーネントの共有鍵の充当効率を効果的に向上させる。
[0394] 可能な実施形態において、第2のコンポーネント102は、鍵ツール200から第2の命令を受信した後に、代替的に、初期鍵と第2の情報に基づいて共有鍵を取得し、第2のコンポーネント102の共有鍵を充当してもよい、ということが理解されるであろう。「第2のコンポーネント102が、初期鍵と第2の情報に基づいて、共有鍵を取得する」実装は、「第1のコンポーネント101が、初期鍵と第2の情報に基づいて、共有鍵を取得する」実装と同様である。「第1のコンポーネント101が、初期鍵と第2の情報に基づいて、共有鍵を取得する」実装については、前述の関連する説明を参照されたい。
[0395] 可能な実施形態において、第2のコンポーネント102は、鍵ツール200から第1の命令を受信することが可能であり、この場合において、第1の命令は、初期鍵に関連付けられた第1の情報を含み;第2のコンポーネントは、第1の命令に従って初期鍵を取得することができる、ということが理解されるであろう。「第2のコンポーネント102が第1の命令に従って初期鍵を取得する」実装は、「第1のコンポーネント101及び第2のコンポーネント102が第1の命令に従って初期鍵を取得する」実装と同様であり、前述の関連する説明を参照されたい。「第1のコンポーネント101」が「第2のコンポーネント102」に置き換えられることを必要とするだけである。
[0396] オプションの設計において、第1の命令を第2のコンポーネント102へ送信する前に、鍵ツール200は、更に、鍵充当命令を第2のコンポーネント102へ送信することができる。鍵充当命令は、初期鍵の充当をトリガするために使用されてもよい
[0397] 車両内のコンポーネントの共有鍵又は初期鍵の正常な使用を保証するために、本件出願の実施形態は、更に、鍵検出方法を提供する。以下、具体例を参照しながら、本件出願の実施形態で提供される鍵検出方法を詳細に説明する。
[0398] 実施形態1
図8は、本件出願の実施形態による鍵検出方法に対応する概略フローチャートである。例えば、方法の実行主体は、図1に示す鍵ツール200と第1のコンポーネント101である。図8において、鍵ツール200は、上述した機能3(即ち、乱数を用いて鍵を検出する機能)を有する。この方法では、鍵ツール200は、鍵検出ツールであってもよい、ということが理解されるべきである。鍵検出方法は、以下のステップを含む。
[0397] 車両内のコンポーネントの共有鍵又は初期鍵の正常な使用を保証するために、本件出願の実施形態は、更に、鍵検出方法を提供する。以下、具体例を参照しながら、本件出願の実施形態で提供される鍵検出方法を詳細に説明する。
[0398] 実施形態1
図8は、本件出願の実施形態による鍵検出方法に対応する概略フローチャートである。例えば、方法の実行主体は、図1に示す鍵ツール200と第1のコンポーネント101である。図8において、鍵ツール200は、上述した機能3(即ち、乱数を用いて鍵を検出する機能)を有する。この方法では、鍵ツール200は、鍵検出ツールであってもよい、ということが理解されるべきである。鍵検出方法は、以下のステップを含む。
[0399] S801:鍵ツール200は、第4の命令を送信する。これに対応して、第1のコンポーネント101は、第4の命令を受信する。
[0400] 第4の命令は、車両100の共有鍵がアブノーマルであるか否かを検出するために用いられる。共有鍵は、少なくとも、地理的位置情報を含むデータを暗号化するために用いられる。地理的位置情報のデータについては、上述した地理的位置情報データのデータについての説明を参照されたい。詳細はここで再び説明されない。
[0401] 可能な実装において、第4の命令は第3の乱数を含む。
[0402] オプションとして、第4の命令を送信する前に、鍵ツール200は更にS800を実行する可能性があり、即ち、第1のコンポーネント101の識別子、又は第1のコンポーネント101に関連付けられた車両の識別子に基づいて、第1のコンポーネント101の身元を検証することができる。
[0403] 例えば、鍵ツール200は、身元認証能力を有するセキュリティ・プロトコル、例えば、トランスポート層セキュリティ(transport layer security,TLS)プロトコルを使用することによって、第1のコンポーネント101の身元を検証することができる。
[0404] S802:第1のコンポーネント101は、第3の乱数と共有鍵に基づいて第1の検査値を決定する。
[0405] 例えば、第1のコンポーネント101は、以下の式に従って第1の検査値Cを決定することができる。
C=ENC(Rand3,KEK)
[0406] ここで、ENCは任意の対称暗号化アルゴリズム(例えば、SM4)、又は対称暗号アルゴリズムに基づくメッセージ認証コード(例えば、暗号ベースのメッセージ認証コード(cipher-based message authentication code,CMAC))であり、Rand3は第3の乱数であり、KEKは車両の共有鍵である。対称暗号アルゴリズム、対称暗号アルゴリズムに基づくメッセージ認証コード、鍵導出機能については、対称暗号アルゴリズム、対称暗号アルゴリズムに基づくメッセージ認証コード、鍵導出機能の前述の説明を参照されたい。詳細はここで再び説明されない。
[0406] ここで、ENCは任意の対称暗号化アルゴリズム(例えば、SM4)、又は対称暗号アルゴリズムに基づくメッセージ認証コード(例えば、暗号ベースのメッセージ認証コード(cipher-based message authentication code,CMAC))であり、Rand3は第3の乱数であり、KEKは車両の共有鍵である。対称暗号アルゴリズム、対称暗号アルゴリズムに基づくメッセージ認証コード、鍵導出機能については、対称暗号アルゴリズム、対称暗号アルゴリズムに基づくメッセージ認証コード、鍵導出機能の前述の説明を参照されたい。詳細はここで再び説明されない。
[0407] S803:第1のコンポーネント101は、第4のレスポンス情報を送信する。これに対応して、鍵ツール200は、第4のレスポンス情報を受信する。
[0408] 第4のレスポンス情報は、第1の検査値を含む。第1の検査値は、その共有鍵が鍵ツール200のローカル共有鍵に一致するかどうかを判断するために使用されることが可能である。
[0409] S804:鍵ツール200は、第1の検査値に基づいて、車両の共有鍵が、車両に対応するローカル共有鍵と一致するか否かを判定する。
[0410] 可能な実装において、鍵ツール200が、第1の検査値に基づいて、車両の共有鍵は車両に対応するローカル共有鍵に一致するかどうかを判断するプロセスは、次のようであってもよい:鍵ツール200は、ローカル共有鍵と第3の乱数とに基づいて第2の検査値を算出し、第1の検査値を、第2の検査値と比較する。第1の検査値が第2の検査値と一致する場合、鍵ツール200に格納されている車両のローカル共有鍵は車両の現在の共有鍵に一致していると判断する。第1の検査値が第2の検査値に一致しない場合、鍵ツール200に格納されている車両のローカル共有鍵は、車両の現在の共有鍵に一致していないと判断する。この実装1では、鍵ツール200は、鍵ツール200によって決定された第2の検査値と、第1のコンポーネントによって決定された第1の検査値との間の整合性を比較することにより、共有鍵のアブノーマル性検出を実行する。これは、鍵アブノーマル性検出の精度を向上させることができる。
[0411] 例えば、鍵ツール200は、次式に従って第2の検査値を取得してもよい:
C’=ENC(Rand3,KEK1)
[0412] ここで、C’は第2の検査値であり、ENCは任意の対称暗号化アルゴリズム(例えば、SM4)、又は対称暗号アルゴリズムに基づくメッセージ認証コード(例えば、CMAC)であり、Rand3は第3の乱数であり、KEK1はローカル共有鍵である。対称暗号アルゴリズム、対称暗号アルゴリズムに基づくメッセージ認証コード、鍵導出機能については、対称暗号アルゴリズム、対称暗号アルゴリズムに基づくメッセージ認証コード、鍵導出機能の前述の説明を参照されたい。詳細はここで再び説明されない。
C’=ENC(Rand3,KEK1)
[0412] ここで、C’は第2の検査値であり、ENCは任意の対称暗号化アルゴリズム(例えば、SM4)、又は対称暗号アルゴリズムに基づくメッセージ認証コード(例えば、CMAC)であり、Rand3は第3の乱数であり、KEK1はローカル共有鍵である。対称暗号アルゴリズム、対称暗号アルゴリズムに基づくメッセージ認証コード、鍵導出機能については、対称暗号アルゴリズム、対称暗号アルゴリズムに基づくメッセージ認証コード、鍵導出機能の前述の説明を参照されたい。詳細はここで再び説明されない。
[0413] 別の可能な実装において、鍵ツール200が、第1の検査値に基づいて、車両の共有鍵が車両に対応するローカル共有鍵に一致するかどうかを判定するプロセスは、次のようであってもよい:鍵ツール200が、受信した第1の検査値とローカル共有鍵とに基づいて、第4の乱数を決定し、次いで、第4の乱数が第3の乱数に一致するか否かを比較することが可能である。第3の乱数が第4の乱数に一致する場合、鍵ツール200に格納された車両のローカル共有鍵は、車両の現在の共有鍵に一致している。第3の乱数が第4の乱数に一致しない場合、鍵ツール200に格納されている車両のローカル共有鍵は、車両の現在の共有鍵に一致していない。この実装2では、鍵ツール200は、第1の検査値に基づいて鍵ツール200により決定された第4の乱数と第3の乱数との間の整合性を比較することにより、共有鍵のアブノーマル性検出を実施する。これは、鍵アブノーマル性検出の精度を向上させることができる。
[0414] 鍵ツール200がローカル共有鍵を取得する複数の実装が存在し、以下の方法を含むがこれらに限定されない。
[0415] 方法1:車両の識別子又は第1のコンポーネント101の識別子を取得する。車両の識別子又は第1のコンポーネント101の識別子に基づいて、車両に対応する初期鍵と、ローカル共有鍵を生成するために使用されるキーイング素材とを照会する。初期鍵とキーイング素材に基づいてローカル共有鍵を生成する。このように、鍵検出ツールのローカル共有鍵は、高いリアルタイム・パフォーマンスを有する。
[0416] 方法2:車両の識別子又は第1のコンポーネント101の識別子を取得する。車両の識別子又は第1のコンポーネント101の識別子に基づいて、ローカル共有鍵を照会する。このように、鍵検出ツールは、ローカル共有鍵を迅速に取得して、鍵検出効率を向上させることができる。
[0417] S805:鍵ツール200は、車両の共有鍵がローカル共有鍵に一致しない場合に、アブノーマル性情報を報告する。
[0418] 可能な実装において、鍵ツール200は、アブノーマル性情報を資格管理機関に報告してもよいし、或いは、アブノーマル性情報を鍵管理システムに報告してもよい。資格管理組機関は、測量及び地図作成資格を有する組織、及び/又は法律に従って測量及び地図作成活動に従事する組織である。
[0419] 図8に示される実施形態では、鍵ツール200は、車両内の第1のコンポーネント101と通信インタラクションを実行し、車両の共有鍵のアブノーマル性検出を実現し、その結果、車両の共有鍵のアブノーマル性検出がより正確になる。
[0420] 可能な実施形態では、共有鍵が第2のコンポーネント102を用いることにより第1のコンポーネント102に充当される場合、鍵ツール200は、車両の鍵を検出する際に、第1のコンポーネント101の初期鍵を検出してもよいし、或いは、第2のコンポーネント102の初期鍵を検出してもよい。
[0421] 実施形態2
鍵ツール200は、上述した機能4(即ち、通信情報暗号文を用いて鍵を検出する機能)を有する。この方法では、鍵ツール200は鍵検出ツールであってもよい、ということが理解されるべきである。この方法では、本件出願の実施形態は、別の鍵検出方法を提供する。方法は、以下のステップを含む。
[0421] 実施形態2
鍵ツール200は、上述した機能4(即ち、通信情報暗号文を用いて鍵を検出する機能)を有する。この方法では、鍵ツール200は鍵検出ツールであってもよい、ということが理解されるべきである。この方法では、本件出願の実施形態は、別の鍵検出方法を提供する。方法は、以下のステップを含む。
[0422] A:鍵ツール200は、車両の第1のコンポーネント101の通信情報暗号文を取得する。
[0423] 通信情報暗号文は、車両100の共有鍵を用いて第1の情報を暗号化することにより取得される情報を含む。第1の情報は、地理的位置情報を含む。地理的位置情報のデータについては、地理的位置情報データのデータについての説明を参照されたい。詳細はここで再び説明されない。
[0424] B:鍵ツール200は、鍵ツール200に記憶されている車両100のローカル共有鍵と通信情報暗号文とに基づいて、車両100により現在使用されている共有鍵が、ローカル共有鍵に一致するか否かを判定する。
[0425] 車両100の共有鍵は、車両100内の全てのコンポーネントの共有鍵であってもよいし、或いは、車両100内の機能ドメインに関連付けられたコンポーネントの共有鍵であってもよい。これは、本件出願の実施形態において限定されない。
[0426] 可能な実装において、鍵ツール200は、車両のローカル共有鍵を取得し、車両のローカル共有鍵を用いて通信情報暗号文を解読し、解読された通信情報を取得し、通信情報が異常であるか否かを判定することができる。通信情報が正常でない場合、鍵ツール200は、車両の共有鍵が車両のローカル共有鍵と一致していないと判断する。通信情報が正常である場合、鍵ツール200は、車両の共有鍵が車両のローカル共有鍵と一致していると判断する。
[0427] 例えば、通信情報は地理的位置情報である。検出対象の車両の現在位置が地理的位置1であり、取得された通信情報暗号文を解読することにより鍵ツール200で取得された地理的位置情報が地理的位置2であり、地理的位置1が地理的位置2と一致しない場合、検出対象の車両の共有鍵は、鍵ツール200のローカル共有鍵と不一致であると判断され、異常情報が報知される。地理的位置1が地理的位置2と一致しない複数のケースが存在する。例えば、地理的位置1の経度及び緯度データが、地理的位置2のものと一致しないケースがあり得る。あるいは、地理的位置1の標高データが、地理的位置2のものと一致しない場合もあり得る。
[0428] 別の例として、通信情報は地理的位置情報である。取得された通信情報暗号文を解読することにより鍵ツール200で取得された地理的位置情報が地理的位置2であり、地理的位置2の経度及び緯度データ範囲が、予め設定された閾値範囲を超えており、この場合、検出対象の車両の共有鍵は、鍵ツール200のローカル共有鍵と不一致であると判断され、異常情報が報告される。
[0429] 更に、他の例として、通信情報は地理的位置情報である。取得され通信情報暗号文を解読することにより鍵ツール200で取得された地理的位置情報が地理的位置2であり、地理的位置2の標高データ範囲が、予め設定された閾値範囲を超えており、この場合、検出対象の車両の共有鍵は、鍵ツール200のローカル共有鍵と不一致であると判断され、異常情報が報告される。車両の共有鍵がローカル共有鍵と不一致である場合に、異常情報が報告される。
[0430] 鍵ツール200は、異常情報を資格管理機関に報告してもよいし、或いは、鍵管理システムに報告してもよい。これは、本件出願の実施形態において特に限定されない。
[0431] この実施形態において、鍵検出ツールは、第1のコンポーネントの通信情報暗号文を自動的に取得し、通信情報暗号文に基づいて車両の共有鍵の異常性検出を実施することができる。これは、車両の鍵の異常性をタイムリーに発見することに役立つ。
[0432] 可能な実施形態において、共有鍵が、第2のコンポーネント101を用いることにより第1のコンポーネント102に対して充当される場合、鍵ツール200は、車両の鍵を検出する際に、第1のコンポーネント101の初期鍵を検出してもよいし、或いは、第2のコンポーネント102の初期鍵を検出してもよい。
[0433] 前述の実施形態における初期鍵は認証鍵とは異なり、認証鍵は、車両に関連付けられたOEMからのものである、ということに留意すべきである。一部の可能な実施形態において、第1のコンポーネント101は、認証鍵に基づいて少なくとも1つの機能鍵を更に決定することができる。少なくとも1つの機能鍵は、少なくとも1つのサービス機能に対応する。
[0434] このように、第1のコンポーネントは、更に、OEMからの認証鍵に基づいて、第1のコンポーネントのサービス機能を実施するために使用される機能鍵を決定してもよく、その結果、第1のコンポーネントのサービス機能は安全に実行され、車両のデータ・セキュリティを効果的に向上させることができる。また、この設計によれば、地理的位置情報に関するサービスは、第1の鍵ツールからの初期鍵と、初期鍵を用いて生成された共有鍵とに基づいて、実施されることが可能である。地理的位置情報とは無関係なサービスが、OEMからの認証鍵と、認証鍵を用いて生成された機能鍵とに基づいて、実施されることが可能である。このように、地理的位置情報に関連するサービスと、地理的位置情報に関連しないサービスとで、異なる鍵を用いることができるので、地理的位置情報に関連するデータの伝送セキュリティをより確実にすることができる。
[0435] 以上は、本件出願の実施形態で提供される鍵伝送方法及び鍵検出方法を説明している。以下、本件出願の実施形態における装置を説明する。
[0436] 図9は、本件出願の実施形態による制御装置の可能な構成の概略図である。装置900は、第1のコンポーネント91の機能を実行するように構成されることが可能である。
[0437] 例えば、装置900は:
第1の鍵ツールから第1の命令を受信するように構成されたトランシーバー・モジュール900であって、第1の命令は初期鍵に関連付けられた第1の情報を含む、トランシーバー・モジュール;及び
第1の命令に従って初期鍵を取得するように構成された処理モジュール902;
を含み、初期鍵は共有鍵を生成するために少なくとも使用され、共有鍵は地理的位置情報を含むデータを暗号化するために少なくとも使用される。
第1の鍵ツールから第1の命令を受信するように構成されたトランシーバー・モジュール900であって、第1の命令は初期鍵に関連付けられた第1の情報を含む、トランシーバー・モジュール;及び
第1の命令に従って初期鍵を取得するように構成された処理モジュール902;
を含み、初期鍵は共有鍵を生成するために少なくとも使用され、共有鍵は地理的位置情報を含むデータを暗号化するために少なくとも使用される。
[0438] 地理的位置情報のデータについては、地理的位置情報データのデータについての前述の説明を参照されたい。詳細はここで再び説明されない。
[0439] 共有鍵は、車両内の全てのコンポーネントの共有鍵であってもよいし、或いは、車両内の機能ドメインに関連付けられたコンポーネントの共有鍵であってもよい。これは、本件出願の実施形態において限定されない。
[0440] 初期鍵は、車両に関連付けられた相手先商標製品製造者(original equipment manufacturer,OEM)と非関連であり、又は、車両100に関連付けられたOEMにもコンポーネント・サプライヤにも関連しておらず、又は、ナビゲーション電子地図作成資格を有していないOEM(この場合におけるOEMは車両に関連付けられている可能性がある)と非関連である。換言すれば、初期鍵の伝送プロセス全体は、車両に関連付けられたOEM、又は、ナビゲーション電子地図作成資格を有していないOEMの参加を必要としないので、初期鍵は、OEM又はナビゲーション電子地図作成資格を有していないOEMにとって不可視になる。これは、鍵の伝送セキュリティを更に向上させることができる。
このようにして、地理的位置情報に関連するサービスは、第1の鍵ツールからの初期鍵と、初期鍵を用いて生成された共有鍵とに基づいて、実施することができる。地理的位置情報に関連付けられていないサービスは、OEMからの認証鍵と、認証鍵を用いて生成された機能鍵とに基づいて、実施することができる。従って、地理的位置情報に関連するサービスと、地理的位置情報に関連しないサービスとで、異なる鍵を用いることができるので、地理的位置情報に関連するデータの伝送セキュリティを更に保証することができる。
[0441] 可能な実装において、初期鍵は認証鍵とは異なり、認証鍵は車両に関連付けられたOEMからのものである。処理モジュール902は、認証鍵に基づいて少なくとも1つの機能鍵を決定するように更に構成されてもよい。少なくとも1つの機能鍵は、第1のコンポーネントの少なくとも1つのサービス機能に対応する。
[0442] 第1の情報は、以下の方法を含むがこれに限定されない複数の方法で実施することが可能である。
[0443] 方法1:第1の情報は第1の暗号文を含み、第1の暗号文は第1のコンポーネントの第1の公開鍵を用いて初期鍵を暗号化することにより取得された情報を含む。これに対応して、処理モジュール902は、第1のコンポーネントの第1の秘密鍵に基づいて第1の暗号文を解読して初期鍵を取得するように更に構成されている。第1の秘密鍵は第1の公開鍵に対応している。
[0444] 方法2:第1の情報は初期鍵を含む。これに対応して、処理モジュール902は、有線接続方式で第1の命令に従って初期鍵を取得するように更に構成されている。
[0445] 可能な実装において、トランシーバー・モジュール901は、第1のレスポンス情報を第1の鍵ツールへ送信するように更に構成される。第1のレスポンス情報は、初期鍵の充当性結果を含む。初期鍵の充当性結果は、初期鍵が首尾よく充当されたこと、又は初期鍵が充当に失敗したことを示すことができる。
[0446] 可能な実装において、初期鍵の充当性結果は:第1の識別子であって初期鍵は首尾良く充当されたことを示す第1の識別子;及び/又は 第3の暗号文であって、初期鍵又は初期鍵の派生鍵を用いて、第1の命令に含まれる第1の乱数を暗号化することによって取得された情報を含む第3の暗号文;を含む可能性がある。この実装では、初期鍵の充当性結果は、第1の識別子及び/又は第3の暗号文を含み、その結果、第1の鍵ツールは、第1の識別子及び/又は第3の暗号文に基づいて、初期鍵が首尾よく充当されたかどうかを判定することができる。
[0447] 可能な実装において、初期鍵の充当性結果は、第2の識別子を含んでもよい。第2の識別子は、初期鍵が充当に失敗したことを示すことが可能である。
[0448] 可能な実装において、初期鍵の充当性結果は、車両の識別子及び/又は第1のコンポーネントの識別子を更に含んでもよい。
[0449] 可能な実装において、トランシーバー・モジュール901は、更に、第1の鍵ツール又は第2の鍵ツールから第2の命令を受信するように構成される。第2の命令は、共有鍵に関連付けられた第2の情報を含む。処理モジュール902は、初期鍵及び第2の情報に基づいて共有鍵を取得するように更に構成される。第2の命令は、第1のコンポーネントのための共有鍵を充当するために使用されてもよい。
[0450] 可能な実装において、第1の鍵ツール及び第2の鍵ツールは、異なる鍵充当環境に対応してもよい。具体的な例及び有利な効果については、第1の鍵ツール及び第2の鍵ツールの前述の説明を参照されたい。
[0451] 別の可能な実装において、第1の鍵ツール及び第2の鍵ツールは、代替的に、車両内の異なるコンポーネントに対応してもよい。具体例及び有利な効果については、第1の鍵ツール及び第2の鍵ツールの前述の説明を参照されたい。
[0452] 別の可能な実装において、第1の鍵ツール及び第2の鍵ツールは、代替的に、異なるコンポーネント・サプライヤに対応してもよい。具体例及び有益な効果については、第1の鍵ツール及び第2の鍵ツールの前述の説明を参照されたい。
[0453] 処理モジュール902が初期鍵と第2の情報に基づいて共有鍵を取得する際に複数の実装が存在し、以下の方法を含むがこれらに限定されない、ということに留意すべきである。
[0454] 方法1:処理モジュール902は、対称暗号アルゴリズムに従って、又は、対称暗号アルゴリズムの鍵導出関数若しくはメッセージ認証コードに基づいて、共有鍵を、初期鍵及び第2の情報に基づいて取得する。
[0455] 対称暗号アルゴリズム、対称暗号アルゴリズムに基づくメッセージ認証コード、鍵導出機能の具体的な説明については、対称暗号アルゴリズム、対称暗号アルゴリズムに基づくメッセージ認証コード、鍵導出機能の前述の説明を参照されたい。詳細はここで再び説明されない。
[0456] 方法2:第2の情報は、初期鍵を用いて共有鍵を暗号化することにより取得された情報を含み、それ故に、第1のコンポーネントは、初期鍵と第2の情報に基づいて共有鍵を取得することが可能である。例えば、共有鍵を取得するために、第2の情報は、初期鍵を用いて解読される。
[0457] 可能な実装において、第2のコンポーネントは、少なくとも、第1の鍵ツールからの鍵情報を配布するように構成される。このように、第1の鍵ツールは、第2のコンポーネントと通信することだけを必要とし、車両内の他のコンポーネントとの通信相互作用を実行することを必要としない。これは、車両内の全てのコンポーネントの共有鍵の充当効率を効果的に改善する。
[0458] これに対応して、可能な実装において、処理モジュール902は、対称暗号アルゴリズムに従って、又は、対称暗号アルゴリズムのメッセージ認証コード若しくは鍵導出関数に基づいて、共有鍵を、初期鍵及び第3の情報に基づいて取得するように更に構成される。この実装では、第1のコンポーネントの共有鍵は、他のデバイスによって容易には取得されないので、共有鍵の安全性が高くなる。
[0459] 別の可能な実装において、第3の情報は、初期鍵を用いて共有鍵を暗号化することにより取得された情報を含む。処理モジュール902は、更に、初期鍵を用いて第3の情報を復号化し、共有鍵を取得するように構成される。この実装では、第1のコンポーネントによる共有鍵を取得する効率が高い。
[0460] 可能な実装において、トランシーバー・モジュール901は、第2の命令に応答して第2のレスポンス情報を更に送信することができる。第2のレスポンス情報は、共有鍵の充当性結果を含む。第1のコンポーネントは、第2のレスポンス情報を第1の鍵ツール又は第2の鍵ツールへ送信することができる。これは、本件出願の実施形態において特に限定されない。
[0461] 可能な実装において、トランシーバー・モジュール901は、第3の命令に応答して第3のレスポンス情報を更に送信することが可能である。第3のレスポンス情報は共有鍵の充当性結果を含む。第1のコンポーネントは、第3のレスポンス情報を第1の鍵ツール又は第2のコンポーネントに送信することができる。これは、本件出願の実施形態において特に限定されない。
[0462] 可能な実装において、共有鍵の充当性結果は:第3の識別子であって共有鍵は首尾良く充当されたことを示す第3の識別子;及び/又は 第4の暗号文であって、共有鍵又は共有鍵の派生鍵を用いて、第2の命令に含まれる第2の乱数、又は第3の命令に含まれる第2の乱数、を暗号化することによって取得された情報を含む第4の暗号文;を含む可能性がある。
[0463] 可能な実装において、共有鍵の充当性結果は第4の識別子を含む。第4の識別子は共有鍵が充当に失敗したことを示すことが可能である。この実装では、共有鍵の充当性結果は第2の識別子を含み、その結果、第1の鍵ツールは、第2の識別子に基づいて、共有鍵は充当に失敗したと判定することができる。
[0464] 可能な実装において、共有鍵の充当性結果は、車両の識別子及び/又は第1のコンポーネントの識別子を更に含んでもよい。このようにして、第1の鍵ツール又は第2の鍵ツールは、車両及び/又は第1のコンポーネントの共有鍵の充当状態を監視することができる。
[0465] 可能な実装において、トランシーバー・モジュール901は、第1の鍵ツール又は鍵検出ツールから第4の命令を更に受信するように更に構成されている。第4の命令は第3の乱数を含み、第4の命令は、共有鍵が第1の鍵ツール又は鍵検出ツールのローカル共有鍵と一致するかどうかを判断するために使用される。処理モジュール902は、更に、第3の乱数と共有鍵とに基づいて第1の検査値を決定するように構成される。トランシーバー・モジュール901は、第4のレスポンス情報を送信するように更に構成されている。第4のレスポンス情報は、第1の検査値を含む。
[0466] 可能な実装において、トランシーバー・モジュール901は、第1の鍵ツール又は鍵検出ツールから第5の命令を受信するように更に構成される。第5の命令は、第5の乱数を含み、第5の命令は、第1のコンポーネントの初期鍵がアブノーマルであるか否かを検出するために使用されてもよい。処理モジュール902は、第5の乱数と初期鍵とに基づいて第3の検査値を決定するように更に構成される。トランシーバー・モジュール901は、第5のレスポンス情報を送信するように更に構成される。第5のレスポンス情報は、第3の検査値を含む。
[0467] 図9に示された制御装置900の可能な実装に対応する有益な効果については、前述の説明を参照されたい、ということが理解されるはずである。詳細はここで再び説明されない。
[0468] 図10は、本件出願の実施形態による別の制御装置の可能な構成の概略図である。装置1000は、第2のコンポーネント102の機能を実行するように構成されることが可能である。
[0469] 装置1000は:
共有鍵充当命令を取得するように構成された処理モジュール1001であって、共有鍵充当命令は、共有鍵に関連する情報を含み、共有鍵は少なくとも地理的位置情報を含むデータを暗号化するために使用される、処理モジュール;及び
共有鍵充当命令を送信するように構成されたトランシーバー・モジュール1002;を含む。
共有鍵充当命令を取得するように構成された処理モジュール1001であって、共有鍵充当命令は、共有鍵に関連する情報を含み、共有鍵は少なくとも地理的位置情報を含むデータを暗号化するために使用される、処理モジュール;及び
共有鍵充当命令を送信するように構成されたトランシーバー・モジュール1002;を含む。
[0470] 地理的位置情報のデータについては、地理的位置情報データのデータについての前述の説明を参照されたい。詳細はここで再び説明されない。
[0471] 共有鍵は、車両内の全てのコンポーネントの共有鍵であってもよいし、或いは、車両内の機能ドメインに関連付けられたコンポーネントの共有鍵であってもよい。これは、本件出願の実施形態において限定されない。
[0472] 共有鍵充当命令を取得する複数の実装が存在し、以下の実装を含むがこれらに限定されない。
[0473] 実装1:共有鍵充当命令は、第2の命令を含んでもよい。例えば、共有鍵充当命令は、第2の命令である。別の例では、共有鍵充当命令は、第2の命令に加えて他の情報を含む。第2の命令は、共有鍵に関連付けられた第2の情報を含む。第2の情報の関連する説明については、前述の説明を参照されたい。詳細はここで再び説明されない。
[0474] 例えば、処理モジュール1001が共有鍵充当命令を取得することは、以下のようにすることが可能である:トランシーバー・モジュール1002は、鍵ツール200から第2の命令を受信し、第2の命令を共有鍵充当命令として使用してもよい。
[0475] 実装2:共有鍵充当命令は第3の命令を含む。例えば、共有鍵充当命令は第3の命令である。別の例として、共有鍵充当命令は、第3の命令に加えて他の情報を含む。第3の命令は、共有鍵に関連付けられた第3の情報を含む。第3の命令は、以下の実装を含むがこれに限定されない複数の方法で実装される可能性がある。
[0476] 方法1:トランシーバー・モジュール1002は、鍵ツール200から第2の命令を受信することが可能であり、処理モジュール1001は、第2の命令を処理した後に第3の命令を取得する。
[0477] 例えば、処理モジュール1002は、第2の命令の通信プロトコル・フォーマットを変換して第3の命令を取得することが可能である。或いは、処理モジュール1001は、第2の命令に含まれる第2の情報の通信プロトコル・フォーマットを変換して、第3の命令に含まれる第3の情報を取得してもよい。
[0477] 例えば、処理モジュール1002は、第2の命令の通信プロトコル・フォーマットを変換して第3の命令を取得することが可能である。或いは、処理モジュール1001は、第2の命令に含まれる第2の情報の通信プロトコル・フォーマットを変換して、第3の命令に含まれる第3の情報を取得してもよい。
[0478] これに対応して、第2のコンポーネントは、第1の鍵ツール又は第2の鍵ツールによって送信された第2の命令を受信し、次いで、第2の命令を処理することによって第3の命令を取得することができる。第2の命令は、共有鍵に関連付けられた第2の情報を含む。第2の情報は、複数の方法で実装される可能性がある。詳細については、実装1における第2の情報の実装を参照されたい。詳細はここで再び説明されない。
[0479] 方法2:処理モジュール1001が第3の命令を生成する。
[0480] 例えば、処理モジュール1001は、事前に設定された条件が満たされた場合、又は特定の命令が受信された場合に、第3の命令を生成してもよい。
[0481] 「特定の命令」は、任意の命令とすることが可能であり、第2のコンポーネントは、その命令をトリガ信号として使用することが可能である。例えば、特定の命令は、共有鍵充当命令を生成するために特別に使用される診断コマンドであってもよいし、或いは、他の機能の診断コマンド、例えば、コンポーネント・フラッシュ又はコンポーネント・リセットの命令であってもよい。オプションの設計において、特定の命令は、診断機器、車両全体の電気検査テスト・デバイス、クラウド、又は、車両内の別のコンポーネントからのものであってもよい。
[0482] 事前に設定された条件は、第2のコンポーネントに関連付けられたデバイスが始動され、特定の時点に到達することを含むが、これに限定されない。
[0483] 「第2のコンポーネントに関連付けられたデバイスが始動される」とは、第2のコンポーネントが始動されることであってもよいし、或いは、第2のコンポーネントが配置されているデバイスが始動されることであってもよい、ということを理解することができる。例えば、第2のコンポーネントはAである。この場合、Aが始動されるか、又は、Aが配置されているデバイスが始動されると、Aは第3の命令を生成することが可能である。別の例として、第2のコンポーネントはBである。この場合、Bが始動されるか、又は、Bが配置されているデバイスが始動されると、Bは第3の命令を生成することが可能である。
[0484] 「特定の時点に到達する」とは、特定の鍵充当時点(例えば、各月の初日の00:00)に到達すること、又は、鍵有効期限より前の予め設定された日(例えば、鍵有効期限の前日)に到達することであってもよい、ということを理解することができる。
[0485] これに対応して、方法2では、第3の情報は複数の方法で実装される可能性がある。例えば、処理モジュール1001は、キーイング素材を生成し(例えば、キーイング素材は、ランダムに生成されるか、又は特定のルールに従って生成される)、第3の命令における第3の情報としてキーイング素材を使用してもよい。別の例として、処理モジュール1002は、共有鍵を生成し(例えば、共有鍵はランダムに生成されるか、又は、特定のルールに従って生成される)、初期鍵と共有鍵に基づいて共有鍵の暗号文を取得し、その暗号文を第3の情報として使用してもよい。
[0486] 可能な設計において、トランシーバー・モジュール1002は、第1の鍵ツール又は第2の鍵ツールから第2の命令を受信することが可能である。第2の命令は、共有鍵に関連付けられた第2の情報を含む。処理モジュール1001は、初期鍵と第2の情報とに基づいて、共有鍵を取得する。第2の命令は、第2のコンポーネントのための共有鍵を充当するために使用されることが可能である。
[0487] 処理モジュール1001が初期鍵と第2の情報に基づいて共有鍵を取得する複数の実装が存在し、以下の方法を含むがそれらに限定されない、ということに留意すべきである。
[0488] 方法1:処理モジュール1001は、対称暗号化アルゴリズムに従って、又は、対称暗号化アルゴリズムの鍵導出関数若しくはメッセージ認証コードに基づいて、共有鍵を、初期鍵と第2の情報に基づいて取得する。
[0489] 方法2:第2の情報は、初期鍵を用いて共有鍵を暗号化することにより取得した情報を含み、従って、処理モジュール1001は、初期鍵と第2の情報に基づいて共有鍵を取得することが可能である。例えば、共有鍵を取得するために、第2の情報は、初期鍵を用いて解読される。
[0490] 別の可能な設計において、処理モジュール1001は、共有鍵を直接的に生成してもよい。
[0491] 可能な設計において、処理モジュール1001は、第2の命令に応答して第2のレスポンス情報を更に送信することが可能である。第2のレスポンス情報は、共有鍵の充当性結果を含む。共有鍵の充当性結果は、共有鍵が首尾良く充当されたこと、或いは、共有鍵が充当に失敗したこと、を示す可能性がある。
[0492] ケース1:共有鍵の充当性結果は:第3の識別子であって共有鍵は首尾良く充当されたことを示す第3の識別子;及び/又は 第4の暗号文であって、共有鍵又は共有鍵の派生鍵を用いて、第2の命令に含まれる第2の乱数、又は第3の命令に含まれる第2の乱数、を暗号化することによって取得された情報を含む第4の暗号文;を含む可能性がある。
[0493] ケース2:共有鍵の充当性結果は第4の識別子を含む。第4の識別子は共有鍵が充当に失敗したことを示すことが可能である。この設計では、共有鍵の充当性結果は第4の識別子を含み、その結果、第1の鍵ツールは、第4の識別子に基づいて、共有鍵は充当に失敗したと判定することができる。
[0494] オプションとして、共有鍵の充当性結果は、車両の識別子及び/又は第2のコンポーネントの識別子を更に含んでもよい。
[0495] 可能な設計において、処理モジュール1001は、第1の鍵ツールから第1の命令を受信することが可能である。第1の命令は、初期鍵に関連付けられた第1の情報を含む。処理モジュール1001は、第1の命令に従って初期鍵を取得してもよい。初期鍵は少なくとも共有鍵を生成するために使用され、共有鍵は少なくとも地理的位置情報を含むデータを暗号化するために使用される。第1の情報の実装については、前述の関連する説明を参照されたい。
[0496] 可能な設計において、処理モジュール1001は、第1のレスポンス情報を第1の鍵ツールに更に送信することが可能である。第1のレスポンス情報は、初期鍵の充当性結果を含む。初期鍵の充当性結果は、第2のコンポーネントの初期鍵が首尾よく充当されたこと、又は初期鍵が充当に失敗したこと、を示す可能性がある。
[0497] ケース1:初期鍵の充当性結果は:第1の識別子であって初期鍵は首尾良く充当されたことを示す第1の識別子;及び/又は 第3の暗号文であって、初期鍵又は初期鍵の派生鍵を用いて、第1の命令に含まれる第1の乱数を暗号化することによって取得された情報を含む第3の暗号文;を含む。
[0498] ケース2:初期鍵の充当性結果は第2の識別子を含んでもよい。第2の識別子は、初期鍵が充当に失敗したことを示すことができる。
[0499] オプションとして、初期鍵の充当性結果は、車両の識別子及び/又は第2のコンポーネントの識別子を更に含んでもよい。
[0500] 可能な設計において、トランシーバー・モジュール1002は、第1の鍵ツール又は鍵検出ツールから第4の命令を更に受信することができる。第4の命令は、第3の乱数を含む。処理モジュール1001は、第3の乱数と共有鍵に基づいて第1の検査値を決定する。第1の検査値は、その共有鍵が第1の鍵ツール又は鍵検出ツールのローカル共有鍵と整合しているかどうかを判定するために使用される。トランシーバー・モジュール1002は、第4のレスポンス情報を送信する。第4のレスポンス情報は、第1の検査値を含む。第4の命令は、第2のコンポーネントの共有鍵が正常でないか否かを検出するために使用されてもよい。
[0501] 可能な設計において、トランシーバー・モジュール1002は、第1の鍵ツール又は鍵検出ツールから第5の命令を受信するように更に構成される。第5の命令は、第5の乱数を含み、第5の命令は、第2のコンポーネントの初期鍵がアブノーマルであるか否かを検出するために使用されてもよい。処理モジュール1001は、第5の乱数と初期鍵とに基づいて第3の検査値を決定するように更に構成される。トランシーバー・モジュール1002は、第5のレスポンス情報を送信するように更に構成される。第5のレスポンス情報は、第3の検査値を含む。
[0502] 図10に示される制御装置1000の可能な実装に対応する有益な効果については、前述の説明を参照されたい、ということが理解されるはずである。詳細はここで再び説明されない。
[0503] 図11は、本件出願の前述の実施形態による鍵伝送装置の可能な構成の概略図である。鍵伝送装置1100は、第1の鍵ツールであってもよい。
[0504] 例えば、装置1100は:
車両の初期鍵を決定するように構成された処理モジュール1001であって、初期鍵は少なくとも共有鍵を生成するために使用され、共有鍵は少なくとも地理的位置情報を含むデータを暗号化するために使用される、処理モジュール;及び
第1の命令を車両の第1のコンポーネントに送信するように構成されたトランシーバー・モジュール1102であって、第1の命令は初期鍵に関連付けられた第1の情報を含む、トランシーバー・モジュール1102;を含む。
車両の初期鍵を決定するように構成された処理モジュール1001であって、初期鍵は少なくとも共有鍵を生成するために使用され、共有鍵は少なくとも地理的位置情報を含むデータを暗号化するために使用される、処理モジュール;及び
第1の命令を車両の第1のコンポーネントに送信するように構成されたトランシーバー・モジュール1102であって、第1の命令は初期鍵に関連付けられた第1の情報を含む、トランシーバー・モジュール1102;を含む。
[0505] 地理的位置情報のデータについては、地理的位置情報データのデータについての前述の説明を参照されたい。詳細はここで再び説明されない。
[0506] 共有鍵は、車両内の全てのコンポーネントの共有鍵であってもよいし、或いは、車両内の機能ドメインに関連付けられたコンポーネントの共有鍵であってもよい。これは、本件出願の実施形態において限定されない。
[0507] 可能な実装において、初期鍵は、相手先商標製品製造者OEMと非関連であるか、又はナビゲーション電子地図作成資格を有していないOEMと非関連である。この場合におけるOEMは車両に関連付けられたOEMである。
[0508] 可能な設計において、初期鍵は、ナビゲーション電子地図作成資格を有する組織に関連している。これは、初期鍵の安全性を確保することができ、これにより、地理的位置情報の伝送セキュリティを確保することができる。
[0509] 可能な実装において、初期鍵は認証鍵とは異なり、認証鍵は、車両に関連付けられた相手先商標製品製造者OEMからのものである。認証鍵は少なくとも車両の機能鍵を認証するために用いられる。例えば、認証鍵は、MEK、PMEK、又はルート鍵であってもよい。これは本件出願の実施形態において特に限定されない。
[0510] 可能な実装において、第1の情報は第1の暗号文を含む。第1の暗号文は第1の公開鍵を用いて初期鍵を暗号化することにより取得された情報を含む。第1の公開鍵は、第1のコンポーネントからのものである。
[0511] 可能な実装において、第1の情報は初期鍵を含む。トランシーバー・モジュール1102は、更に、有線接続方式で初期鍵を第1のコンポーネントへ送信するように構成される。
[0512] 可能な実装において、トランシーバー・モジュール1102は、更に:第2の公開鍵と第2の秘密鍵を生成するステップ;リクエスト情報を鍵管理システムへ送信するステップであって、リクエスト情報は初期鍵を要求し、リクエスト情報は第2の公開鍵を含む、ステップ;鍵管理システムから第2の暗号文を受信するステップ;を行うように構成されている。処理モジュール1001は、第2の暗号文と第2の秘密鍵に基づいて初期鍵を決定するように更に構成されている。
[0513] 別の可能な実装において、トランシーバー・モジュール1102は、更に:リクエスト情報を鍵管理システムへ送信するステップであって、リクエスト情報は初期鍵を要求し、リクエスト情報は、予め設定された鍵を含む、ステップ;第2の暗号文を受信するステップであって、第2の暗号文は、予め設定された鍵を使用して初期鍵を暗号化することに関する情報を含む、ステップ;及び第2の暗号文と予め設定された鍵とに基づいて、初期鍵を決定するステップ;を行うように構成されている。
[0514] 可能な実装において、トランシーバー・モジュール1102は、第1のコンポーネントから第1のレスポンス情報を更に受信するように構成されている。第1のレスポンス情報は、初期鍵の充当性結果を含む。
[0515] 初期鍵の充当性結果が、初期鍵は充当に失敗したことを示す場合、トランシーバー・モジュール1102、第1の命令を再送するように更に構成されている。この実装では、初期鍵を首尾良く充当する可能性を効果的に向上させることができる。
[0516] 可能な実装において、初期鍵の充当性結果は、第2の識別子を含む。第2の識別子は、初期鍵が充当に失敗したことを示す。
[0517] 可能な設計において、初期鍵の充当性結果は:第1の識別子であって初期鍵は首尾良く充当されたことを示す第1の識別子;及び/又は 第3の暗号文であって、初期鍵又は初期鍵の派生鍵を用いて、第1の命令に含まれる第1の乱数を暗号化することによって取得された情報を含む第3の暗号文;を含む可能性がある。
[0518] これに対応して、初期鍵の充当性結果が第3の暗号文を含む場合に、処理モジュール1101は、第3の暗号文に基づいて、初期鍵が首尾良く充当されたか否かを判定するように更に構成されている。この実装では、初期鍵が首尾良く充当されたかどうかは、第3の暗号文を使用することにより検証される。これは、第1の鍵ツールが初期鍵の充当状態を正確に監視することに役立つ。
[0519] 可能な実装において、初期鍵の充当性結果は、車両の識別子及び/又は第1のコンポーネントの識別子を更に含んでもよい。
[0520] 可能な実装において、初期鍵の充当性結果が、初期鍵は首尾よく充当されたことを示す場合、トランシーバー・モジュール1102は、第2の命令を第1のコンポーネントに送信するように更に構成されている。第2の命令は、共有鍵に関連付けられた第2の情報を含む。
[0521] 可能な実装において、処理モジュール1001は、共有鍵を生成し、初期鍵に基づいて共有鍵を暗号化して、第2の情報を取得するように更に構成されている。
[0522] 可能な実装において、トランシーバー・モジュール1102は、第1のコンポーネントから第2のレスポンス情報を受信するように更に構成されている。第2のレスポンス情報は、共有鍵の充当性結果を含む。
[0523] 可能な設計において、共有鍵の充当性結果は:第3の識別子であって共有鍵は首尾良く充当されたことを示す第3の識別子;及び/又は 第4の暗号文であって、共有鍵又は共有鍵の派生鍵を用いて、第2の命令に含まれる第2の乱数を暗号化することによって取得された情報を含む第4の暗号文;を含む可能性がある。
[0524] これに対応して、共有鍵の充当性結果が第4の暗号文を含む場合、処理モジュール1001は、更に、第2の情報と第4の暗号文に基づいて、共有鍵が首尾良く充当されたかどうかを判定するように更に構成されている。
[0525] 可能な実装において、共有鍵の充当性結果は、第4の識別子を更に含む可能性がある。第4の識別子は、共有鍵が充当に失敗したことを示す。
[0526] 可能な実装において、共有鍵の充当性結果が、共有鍵は充当に失敗したことを示す場合、トランシーバー・モジュール1102は、第2の命令を再送するように更に構成されている。
[0527] 可能な実装において、共有鍵の充当性結果は、車両の識別子及び/又は第1のコンポーネントの識別子を更に含んでもよい。
[0528] 可能な設計において、トランシーバー・モジュール1102は:第4の命令を車両の第1のコンポーネントへ送信するステップであって、第4の命令は第3の乱数を含む、ステップ;第4のレスポンス情報を受信するステップであって、第4のレスポンス情報は第1の検査値を含み、第1の検査値は、第3の乱数と車両の共有鍵に関連付けられ、共有鍵は、地理的位置情報を含むデータを暗号化するために少なくとも使用される、ステップ;第1の検査値に基づいて、車両の共有鍵が、車両に対応するローカル共有鍵と一致するかどうかを判断するステップ;車両の共有鍵が、ローカル共有鍵と一致しない場合、アブノーマル性情報を報告するステップ;を行うように更に構成されている。
[0529] 可能な設計において、トランシーバー・モジュール1102は:第5の命令を車両の第1のコンポーネントに送信するステップであって、第5の命令は第5の乱数を含む、ステップ;第5のレスポンス情報を第1のコンポーネントから受信するステップであって、第5のレスポンス情報は第3の検査値を含み、第3の検査値は、第5の乱数と車両の初期鍵に関連付けられ、初期鍵は、少なくとも、共有鍵を生成するために使用される、ステップ;第3の検査値に基づいて、車両の初期鍵が、車両に対応するローカル初期鍵と一致するかどうかを判定するステップ;車両の初期鍵が、ローカル初期鍵と一致しない場合に、アブノーマル性情報を報告するステップ;を行うように更に構成されている。
[0530] 図11に示される鍵伝送装置1100の可能な実装に対応する有益な効果については、前述の説明を参照されたい、ということが理解されるはずである。詳細はここで再び説明されない。
[0531] 図12は、本件出願の前述の実施形態による他の鍵伝送装置の可能な構成の概略図である。鍵伝送装置1200は、第2の鍵ツールであってもよい。
[0532] 例えば、装置1200は:
第2の命令を決定するように構成された処理モジュール1201;
車両内の第1のコンポーネントに第2の命令を送信するように構成されたトランシーバー・モジュール1202;
を含み、第2の命令は、共有鍵に関連付けられた第2の情報を含み、共有鍵は、少なくとも、地理的位置情報を含むデータを暗号化するために使用され、第2の命令は、第1のコンポーネントのための共有鍵を充当するために使用される。
第2の命令を決定するように構成された処理モジュール1201;
車両内の第1のコンポーネントに第2の命令を送信するように構成されたトランシーバー・モジュール1202;
を含み、第2の命令は、共有鍵に関連付けられた第2の情報を含み、共有鍵は、少なくとも、地理的位置情報を含むデータを暗号化するために使用され、第2の命令は、第1のコンポーネントのための共有鍵を充当するために使用される。
[0533] 共有鍵は、車両内の全てのコンポーネントの共有鍵であってもよいし、或いは、車両内の機能ドメインに関連付けられたコンポーネントの共有鍵であってもよい。これは、本件出願の実施形態において限定されない。
[0534] 地理的位置情報のデータについては、地理的位置情報データのデータについての前述の説明を参照されたい。詳細はここで再び説明されない。
[0535] 第2の情報は、以下の実装を含むがこれらに限定されない複数の方法で実装されてもよい、ということに留意すべきである。
[0536] 方法1:処理モジュール1201は、共有鍵を生成し、初期鍵と共有鍵に基づいて第2の情報を取得する。例えば、第2の鍵ツールは、第2の情報を取得するために、初期鍵に基づいて共有鍵を暗号化してもよい。
[0537] 方法2:処理モジュール1201は、キーイング素材を生成し、キーイング素材を第2の情報として使用してもよい。
[0538] 例えば、処理モジュール1201は、キーイング素材をランダムに生成するか、又は特定のルールに従ってキーイング素材を生成することができる。
[0539] トランシーバー・モジュール1202は、第1の鍵ツールに対して共有鍵を要求し、トランシーバー・モジュール1201は、初期鍵と共有鍵に基づいて第2の情報を取得する。例えば、処理モジュール1201は、第2の情報を取得するために、初期鍵に基づいて共有鍵を暗号化する。
[0540] 可能な実装において、トランシーバー・モジュール1202は、第1のコンポーネントから第2のレスポンス情報を更に受信することができる。第2のレスポンス情報は、共有鍵の充当性結果を含む。
[0541] 可能な設計において、共有鍵の充当性結果は:第3の識別子であって共有鍵は首尾良く充当されたことを示す第3の識別子;及び/又は 第4の暗号文であって、共有鍵又は共有鍵の派生鍵を用いて、第2の命令に含まれる第2の乱数を暗号化することによって取得された情報を含む第4の暗号文;を含む。
[0542] 可能な実装において、共有鍵の充当性結果が第4の暗号文を含む場合、処理モジュール1201は、第2の情報と第4の暗号文に基づいて、共有鍵は首尾良く充当されたか否かを更に判定することが可能である。
[0543] 可能な実装において、共有鍵の充当性結果が、共有鍵は充当に失敗したことを示す場合、第2の鍵ツールは、第2の命令を更に再送してもよい。
[0544] 可能な実装において、共有鍵の充当性結果は、第4の識別子を含む。第4の識別子は、共有鍵が充当に失敗したことを示す。
[0545] 可能な実装において、共有鍵の充当性結果は、車両の識別子及び/又は第1のコンポーネントの識別子を更に含んでもよい。
[0546] 図12に示される鍵伝送装置1200の可能な実装に対応する有益な効果については、前述の説明を参照されたい、ということが理解されるはずである。詳細はここで再び説明されない。
[0547] 図13は、本件出願の前述の実施形態による鍵検出装置の可能な構成の概略図である。
[0548] 例えば、装置1300は:
第4の命令を車両の第1のコンポーネントへ送信するように構成されたトランシーバー・モジュール1301であって、第4の命令は第3の乱数を含み、トランシーバー・モジュールは、第1のコンポーネントから第4のレスポンス情報を受信するように更に構成されており、第4のレスポンス情報は第1の検査値を含み、第1の検査値は第3の乱数と車両の共有鍵に関連付けられており、共有鍵は地理的位置情報を含むデータを暗号化するために少なくとも使用される、トランシーバー・モジュール;及び
第1の検査値に基づいて、車両の共有鍵は車両に対応するローカルな共有鍵に一致するかどうかを判定するように構成された処理モジュール1302;
を含み、トランシーバー・モジュール1301は、車両の共有鍵がローカルな共有鍵に一致していない場合に、アブノーマル性情報を報告するように更に構成されている。
第4の命令を車両の第1のコンポーネントへ送信するように構成されたトランシーバー・モジュール1301であって、第4の命令は第3の乱数を含み、トランシーバー・モジュールは、第1のコンポーネントから第4のレスポンス情報を受信するように更に構成されており、第4のレスポンス情報は第1の検査値を含み、第1の検査値は第3の乱数と車両の共有鍵に関連付けられており、共有鍵は地理的位置情報を含むデータを暗号化するために少なくとも使用される、トランシーバー・モジュール;及び
第1の検査値に基づいて、車両の共有鍵は車両に対応するローカルな共有鍵に一致するかどうかを判定するように構成された処理モジュール1302;
を含み、トランシーバー・モジュール1301は、車両の共有鍵がローカルな共有鍵に一致していない場合に、アブノーマル性情報を報告するように更に構成されている。
[0549] 車両の共有鍵は、車両内の全てのコンポーネントの共有鍵であってもよいし、或いは、車両内の機能ドメインに関連付けられたコンポーネントの共有鍵であってもよい。これは、本件出願の実施形態において限定されない。
[0550] 地理的位置情報のデータについては、地理的位置情報データのデータについての前述の説明を参照されたい。詳細はここで再び説明されない。
[0551] 可能な設計において、処理モジュール1302は:ローカル共有鍵と第3の乱数に基づいて第2の検査値を算出し、第1の検査値を第2の検査値と比較し、第1の検査値が第2の検査値に一致する場合、車両のローカル共有鍵は車両の現在の共有鍵に一致していると判断し;或いは、第1の検査値が第2の検査値に一致しない場合、車両のローカル共有鍵は車両の現在の共有鍵に一致していないと判断するように構成されていてもよい。
[0552] 処理モジュール1302がローカル共有鍵を取得する複数の実装が存在し、以下の方法を含むがこれらに限定されない。
[0553] 方法1:車両の識別子又は第1のコンポーネントの識別子を取得する。車両の識別子又は第1のコンポーネントの識別子に基づいて、車両に対応する初期鍵、及びローカル共有鍵を生成するために使用されるキーイング素材を照会する。初期鍵とキーイング素材に基づいてローカル共有鍵を生成する。このようにして、鍵検出ツールのローカル共有鍵は、高いリアルタイム・パフォーマンスを有する。
[0554] 方法2:車両の識別子又は第1のコンポーネントの識別子を取得する。車両の識別子又は第1のコンポーネントの識別子に基づいて、ローカル共有鍵を照会する。このようにして、鍵検出ツールは、ローカル共有鍵を迅速に取得し、鍵検出効率を向上させることができる。
[0555] 可能な設計において、トランシーバー・モジュール1301は、資格管理機関にアブノーマル性情報を報告するか、又は鍵管理システムにアブノーマル性情報を報告することができる。
[0556] 可能な実装において、鍵検出装置1300は鍵検出ツールである。
[0557] 図13に示される鍵検出装置1300の可能な実装に対応する有益な効果については、前述の説明を参照されたい、ということが理解されるはずである。詳細はここで再び説明されない。
[0558] 図14は、本件出願の実施形態による他の鍵検出装置の可能な構成の概略図である。
[0559] 例えば、装置1400は:
車両の第1のコンポーネントの通信情報暗号文を取得するように構成された処理モジュール401であって、通信情報暗号文は車両の共有鍵を用いて第1の情報を暗号化することにより取得された情報を含み、第1の情報は地理的位置情報を含んでおり、処理モジュール1401は、車両に対応するローカル共有鍵と通信情報暗号文とに基づいて、車両の共有鍵がローカル共有鍵に一致するか否かを判定するように更に構成されている、処理モジュール;及び
車両の共有鍵がローカル共有鍵に一致しない場合に、アブノーマル性情報を報告するように構成されたトランシーバー・モジュール1402;
[0560] 地理的位置情報のデータについては、地理的位置情報データのデータについての前述の説明を参照されたい。詳細はここで再び説明されない。
車両の第1のコンポーネントの通信情報暗号文を取得するように構成された処理モジュール401であって、通信情報暗号文は車両の共有鍵を用いて第1の情報を暗号化することにより取得された情報を含み、第1の情報は地理的位置情報を含んでおり、処理モジュール1401は、車両に対応するローカル共有鍵と通信情報暗号文とに基づいて、車両の共有鍵がローカル共有鍵に一致するか否かを判定するように更に構成されている、処理モジュール;及び
車両の共有鍵がローカル共有鍵に一致しない場合に、アブノーマル性情報を報告するように構成されたトランシーバー・モジュール1402;
[0560] 地理的位置情報のデータについては、地理的位置情報データのデータについての前述の説明を参照されたい。詳細はここで再び説明されない。
[0561] 可能な設計において、処理モジュール1401は、ローカル共有鍵を用いて通信情報暗号文を復号して通信情報を取得し、通信情報がアブノーマルであるか否かを判定し、通信情報がアブノーマルであった場合、車両により使用される共有鍵は、ローカル共有鍵と不一致であると判定し;或いは、通信情報がノーマルである場合、車両により使用される共有鍵はローカル共有鍵に一致していると判定することが可能である。
[0562] 可能な設計において、処理モジュール1401がローカル共有鍵を取得する複数の実装が存在し、以下の方法を含むがこれらに限定されない。
[0563] 方法1:車両の識別子又は第1のコンポーネントの識別子を取得する。車両の識別子又は第1のコンポーネントの識別子に基づいて、車両に対応する初期鍵と、ローカル共有鍵を生成するために使用されるキーイング素材とを照会する。初期鍵とキーイング素材に基づいてローカル共有鍵を生成する。このように、鍵検出ツールのローカル共有鍵は、高いリアルタイム・パフォーマンスを有する。
[0564] 方法2:車両の識別子又は第1のコンポーネントの識別子を取得する。車両の識別子又は第1のコンポーネントの識別子に基づいて、ローカル共有鍵を照会する。このように、鍵検出ツールは、ローカル共有鍵を迅速に取得して、鍵検出効率を向上させることができる。
[0565] 可能な設計において、トランシーバー・モジュール1402は、更に、アブノーマル性情報を資格管理機関に報告してもよいし、或いは、アブノーマル性情報を鍵管理システムに報告してもよい。
[0566] 共有鍵は、車両内の全てのコンポーネントの共有鍵であってもよいし、或いは、車両内の機能ドメインに関連付けられたコンポーネントの共有鍵であってもよい。これは、本件出願の実施形態において限定されない。
[0567] 地理的位置情報のデータについては、地理的位置情報データのデータについての前述の説明を参照されたい。詳細はここで再び説明されない。
[0568] 可能な実装において、鍵検出装置1400は、鍵検出ツールである。
[0569] 図14に示される鍵検出装置1400の可能な実装に対応する有益な効果については、前述の説明を参照されたい、ということが理解されるはずである。詳細はここで再び説明されない。
[0570] 本件出願の実施形態は、更に、チップ・システムを提供する。図15を参照されたい。チップ・システム1500は、少なくとも1つのプロセッサを含む。プログラム命令が少なくとも1つのプロセッサ1501において実行されると、図2ないし図8に示される方法の実施形態が実施される。
[0571] 更に、チップ・システムは、通信インターフェース1503を更に含む可能性があり、通信インターフェースは、情報を入力又は出力するように構成されている。更に、チップ・システムは、メモリ1502を更に含んでもよい。メモリ1502は、通信インターフェース1503を介してプロセッサに結合され、前述の命令を記憶するように構成され、その結果、プロセッサは、通信インターフェース1503を介して、メモリに記憶された命令を読み込む。
[0572] プロセッサ1501、メモリ1502、及び通信インターフェース1503の間の接続媒体は、本件出願の実施形態において限定されない、ということが理解されるべきである。本件出願の実施形態では、メモリ1502、プロセッサ1501、及び通信インターフェース1503は、図15の通信バス1504を介して接続される。図15において、バスは太い線で表現されている。他のコンポーネント間の接続形態は、説明のための例示に過ぎず、限定を構成するものではない。バスは、アドレス・バス、データ・バス、制御バスなどを含む可能性がある。図15においては、表現を簡明にするために、唯1つの太線を用いて表現しているが、これは、唯1つのバス、唯1種類のバスなどであることを意味してはいない。
[0573] 本件出願の実施形態は、更に、車両を提供する。車両は、第1の態様又は第1の態様の可能な設計のうちの任意の1つにおける第1のコンポーネント、及び/又は第2の態様又は第2の態様の可能な設計のうちの任意の1つにおける第2のコンポーネントを含む。
[0574] 本件出願の実施形態は、命令を含むコンピュータ・プログラム製品を更に提供する。前述の装置においてコンピュータ・プログラム製品が動作する場合に、前述の実施形態における鍵伝送方法が実行されてもよいし、或いは前述の実施形態における鍵検出方法を実行されてもよい。
[0575] 本件出願の実施形態は、コンピュータ読み取り可能な記憶媒体を更に提供する。コンピュータ読み取り可能な記憶媒体は、コンピュータ・プログラムを格納する。コンピュータ・プログラムが実行された場合に、前述の実施形態における鍵伝送方法が実施されてもよいし、或いは、前述の実施形態における鍵検出方法が実施されてもよい。前述の実施形態は、様々な技術的効果を達成するように、互いに組み合わせられる可能性がある。
[0576] 実装の前述の説明に基づいて、当業者は、説明の容易性及び簡潔性のために、前述の機能モジュールへの分割は、説明のための例として使用されるに過ぎない、ということを明確に理解するであろう。実際のアプリケーションでは、前述の機能は、要件に基づいて、実装のために異なる機能モジュールに割り当てられてもよく、即ち、装置の内部構造は、異なる機能モジュールに分割されて、上述の機能の全部又は一部を実現することが可能である。
[0577] 当業者は、本件出願の実施形態が方法、システム、又はコンピュータ・プログラム製品として提供されてもよい、ということを理解するはずである。従って、本件出願は、ハードウェアのみの実施形態、ソフトウェアのみの実施形態、又は、ソフトウェアとハードウェアの組み合わせによる実施形態、のうちの形態を使用することが可能である。更に、本件出願は、コンピュータ利用可能プログラム・コードを含む1つ以上のコンピュータ利用可能・記憶媒体(ディスク・メモリ、CD-ROM、光学メモリなどを含むが、これらに限定されない)において実装されるコンピュータ・プログラム製品の形態を使用してもよい。
[0578] 本件出願は、本件出願による方法、デバイス(システム)、及びコンピュータ・プログラム製品のフローチャート及び/又はブロック図を参照して説明されている。フローチャート及び/又はブロック図における各手順及び/又は各ブロック、並びに、フローチャート及び/又はブロック図における手順及び/又はブロックの組み合わせを実施するために、コンピュータ・プログラム命令が使用されてもよい、ということが理解されるべきである。これらのコンピュータ・プログラム命令は、汎用コンピュータ、専用コンピュータ、埋め込みプロセッサ、又は、別のプログラム可能なデータ処理デバイスのプロセッサに対して提供され、あるマシンを生じさせ、その結果、コンピュータ又は別のプログラム可能なデータ処理デバイスのプロセッサによって実行される命令は、フローチャート内の1つ以上の手順及び/又はブロック図内の1つ以上のブロックにおける指定された機能を実施するように構成された装置を生じさせる。
[0579] これらのコンピュータ・プログラム命令は、代替的に、コンピュータ又は別のプログラム可能なデータ処理デバイスに、特定の方法で動作するように指示することが可能であり、コンピュータ可読メモリに格納され、その結果、コンピュータ可読メモリに格納された命令は、命令装置を含むアーチファクトを生成する。この命令装置は、フローチャートにおける1つ以上の手順、及び/又はブロック図における1つ以上のブロックにおいて、指定された機能を実現する。
[0580] これらのコンピュータ・プログラム命令は、代替的に、コンピュータ又は別のプログラム可能なデータ処理装置にロードされ、その結果、一連の動作及びステップがコンピュータ又は別のプログラム可能な装置で実行され、その結果、コンピュータ実装処理が生じるようにすることが可能である。従って、コンピュータ又は別のプログラム可能なデバイス上で実行される命令は、フローチャートにおける1つ以上の手順及び/又はブロック図における1つ以上のブロックの特定の機能を実施するためのステップを提供する。
[0581] 当業者は、本件出願の保護範囲から逸脱することなく、本件出願に対して様々な修正及び変形を行うことが可能である、ということは明らかである。本件出願は、本件出願のこれらの修正及び変形をカバーするように意図されているが、それらは本件出願の以下のクレーム及びその均等な技術によって定義される保護範囲内にあることを条件とする。
Claims (56)
- 車両の第1のコンポーネントに適用される鍵伝送方法であって:
第1の鍵ツールから第1の命令を受信するステップであって、前記第1の命令は初期鍵に関連付けられた第1の情報を含む、ステップ;
前記第1の命令に従って前記初期鍵を取得するステップ;
を含み、前記初期鍵は共有鍵を生成するために少なくとも使用され、前記共有鍵は地理的位置情報を含むデータを暗号化するために少なくとも使用される、方法。 - 請求項1に記載の方法において、前記初期鍵は、OEM(相手先商標製品製造者)と非関連であるか、又はナビゲーション電子地図作成資格を有していないOEM(相手先商標製品製造者)と非関連であり、前記OEMは車両に関連付けられている、方法。
- 請求項1又は2に記載の方法において、前記初期鍵は認証鍵とは異なり、前記認証鍵は、前記車両に関連付けられた前記OEM(相手先商標製品製造者)からのものであり;前記方法は、更に:
前記認証鍵に基づいて少なくとも1つの機能鍵を決定するステップを含み、前記少なくとも1つの機能鍵は、前記第1のコンポーネントの少なくとも1つのサービス機能に対応している、方法。 - 請求項1ないし3のうちの何れか一項に記載の方法において、前記第1の情報は第1の暗号文であり、前記第1の暗号文は、前記第1のコンポーネントの第1の公開鍵を用いて前記初期鍵を暗号化することにより取得されるものであり;
前記第1の命令に従って前記初期鍵を取得するステップは、前記初期鍵を取得するために、前記第1のコンポーネントの第1の秘密鍵に基づいて前記第1の暗号文を解読するステップを含み、
前記第1の秘密鍵は前記第1の公開鍵に対応している、方法。 - 請求項1ないし3のうちの何れか一項に記載の方法において、前記第1の情報は前記初期鍵を含み、
前記第1の命令に従って前記初期鍵を取得するステップは、有線接続方式で前記第1の命令に従って前記初期鍵を取得するステップを含む、方法。 - 請求項1ないし5のうちの何れか一項に記載の方法において、前記方法は、更に、第1のレスポンス情報を前記第1の鍵ツールへ送信するステップを含み、前記第1のレスポンス情報は前記初期鍵の充当性結果を含む、方法。
- 請求項6に記載の方法において、前記初期鍵の充当性結果は:
第1の識別子であって前記初期鍵は首尾良く充当されたことを示す第1の識別子;及び/又は
第3の暗号文であって、前記初期鍵又は前記初期鍵の派生鍵を用いて、前記第1の命令に含まれる第1の乱数を暗号化することによって取得された情報を含む第3の暗号文;
を含む、方法。 - 請求項6に記載の方法において、前記充当性結果は第2の識別子を含み、前記第2の識別子は前記初期鍵が充当に失敗したことを示す、方法。
- 請求項1ないし8のうちの何れか一項に記載の方法において、前記方法は、更に:
第2の命令を前記第1の鍵ツール又は第2の鍵ツールから受信するステップであって、前記第2の命令は、前記共有鍵に関連付けられた第2の情報を含む、ステップ;及び
前記初期鍵と前記第2の情報に基づいて前記共有鍵を取得するステップ;
を含み、前記第1の鍵ツールと前記第2の鍵ツールは異なる鍵充当環境に対応している、方法。 - 請求項9に記載の方法において、前記初期鍵と前記第2の情報に基づいて前記共有鍵を取得するステップは、
対称暗号アルゴリズムに従って、或いは、対称暗号アルゴリズムのメッセージ認証コード又は鍵出関数に基づいて、前記共有鍵を、前記初期鍵と前記第2の情報に基づいて取得するステップを含む、方法。 - 請求項9に記載の方法において、前記第2の情報は、前記初期鍵を用いて前記共有鍵を暗号化することによって取得された情報を含み、前記初期鍵と前記第2の情報に基づいて前記共有鍵を取得するステップは、
前記共有鍵を取得するために、前記初期鍵を用いて前記第2の情報を解読するステップを含む、方法。 - 請求項1ないし8のうちの何れか一項に記載の方法において、前記方法は、更に:
第2のコンポーネントから第3の命令を受信するステップであって、前記第3の命令は前記共有鍵に関連付けられた第3の情報を含む、ステップ;及び
前記初期鍵と前記第3の情報に基づいて前記共有鍵を取得するステップ;
を含み、前記第2のコンポーネントは、鍵ツールからの鍵情報を配布するように少なくとも構成されている、方法。 - 請求項12に記載の方法において、前記初期鍵と前記第3の情報に基づいて前記共有鍵を取得するステップは:
対称暗号アルゴリズムに従って、或いは、対称暗号アルゴリズムのメッセージ認証コード又は鍵導出関数に基づいて、前記共有鍵を、前記初期鍵と前記第3の情報に基づいて取得するステップを含む、方法。 - 請求項12に記載の方法において、前記第3の情報は、前記初期鍵を用いて前記共有鍵を暗号化することによって取得された情報を含み、前記初期鍵と前記第3の情報に基づいて前記共有鍵を取得するステップは:
前記共有鍵を取得するために、前記初期鍵を用いて前記第3の情報を解読するステップを含む、方法。 - 請求項9ないし11のうちの何れか一項に記載の方法において、前記方法は、更に、前記第2の命令に応答して第2のレスポンス情報を送信するステップを含み、前記第2のレスポンス情報は前記共有鍵の充当性結果を含む、方法。
- 請求項12ないし14のうちの何れか一項に記載の方法において、前記方法は、更に、前記第3の命令に応答して第3のレスポンス情報を送信するステップを含み、前記第3のレスポンス情報は前記共有鍵の充当性結果を含む、方法。
- 請求項15又は16に記載の方法において、前記共有鍵の充当性結果は:
第3の識別子であって前記共有鍵は首尾良く充当されたことを示す第3の識別子;及び/又は
第4の暗号文であって、前記共有鍵又は前記共有鍵の派生鍵を用いて、前記第2の命令に含まれる第2の乱数、又は第3の命令に含まれる第2の乱数、を暗号化することによって取得された情報を含む第4の暗号文;
を含む、方法。 - 請求項15又は16に記載の方法において、前記共有鍵の充当性結果は第4の識別子を含み、前記第4の識別子は前記共有鍵が充当に失敗したことを示す、方法。
- 請求項1ないし18のうちの何れか一項に記載の方法において、前記方法は、更に:
前記第1の鍵ツール又は鍵検出ツールから第4の命令を受信するステップであって、前記第4の命令は第3の乱数を含み、前記第4の命令は、前記共有鍵がアブノーマルであるかどうかを検出するために使用されることが可能である、ステップ;
前記第3の乱数と前記共有鍵に基づいて第1の検査値を決定するステップ;
前記第1の検査値を含む第4の応答情報を送信するステップ;
を含む、方法。 - 車両の第2のコンポーネントに適用される鍵伝送方法であって:
共有鍵充当命令を取得するステップであって、前記共有鍵充当命令は、前記車両の第1のコンポーネントのために共有鍵を充当するために使用され、前記共有鍵は地理的位置情報を含むデータを暗号化するために少なくとも使用される、ステップ;及び
前記共有鍵充当命令を前記第1のコンポーネントに送信するステップ;
を含む方法。 - 請求項20に記載の方法において、前記共有鍵充当命令を取得するステップは、
第1の鍵ツール又は鍵検出ツールから第2の命令を受信するステップを含み、前記第2の命令は前記共有鍵に関連付けられた第2の情報を含み、前記共有鍵充当命令は前記第2の命令を含む、方法。 - 請求項20に記載の方法において、前記共有鍵充当命令を取得するステップは、
第1の鍵ツール又は鍵検出ツールから第2の命令を受信するステップであって、前記第2の命令は前記共有鍵に関連付けられた第2の情報を含む、ステップ;及び
前記第2の命令を処理して第3の命令を取得するステップ;
を含み、前記第3の命令は前記共有鍵に関連付けられた第3の情報を含み、前記共有鍵充当命令は前記第3の命令を含む、方法。 - 請求項20に記載の方法において、前記共有鍵充当命令を取得するステップは、
第3の命令を生成するステップ;
を含み、前記第3の命令は前記共有鍵に関連付けられた第3の情報を含み、前記共有鍵充当命令は前記第3の命令を含む、方法。 - 請求項23に記載の方法において、前記第3の命令を生成するステップは:
キーイング素材を生成するステップであって、前記キーイング素材は、前記共有鍵を生成するために使用され且つ前記第3の情報に含まれている、ステップ;又は
前記共有鍵を生成し、前記共有鍵と初期鍵に基づいて前記共有鍵の暗号文を取得するステップであって、前記暗号文は前記第3の情報に含まれている、ステップ;
を含む、方法。 - 第1の鍵ツールに適用される鍵伝送方法であって:
車両の初期鍵を決定するステップであって、前記初期鍵は共有鍵を生成するために少なくとも使用され、前記共有鍵は地理的位置情報を含むデータを暗号化するために少なくとも使用される、ステップ;及び
第1の命令を前記車両の第1のコンポーネントに送信するステップ;
を含み、前記第1の命令は前記初期鍵に関連付けられた第1の情報を含む、方法。 - 請求項25に記載の方法において、前記初期鍵は、OEM(相手先商標製品製造者)と非関連であるか、又はナビゲーション電子地図作成資格を有していないOEM(相手先商標製品製造者)と非関連であり、前記OEMは車両に関連付けられている、方法。
- 請求項25又は26に記載の方法において、前記初期鍵は認証鍵とは異なり、前記認証鍵は、前記車両に関連付けられた前記OEM(相手先商標製品製造者)からのものである、方法。
- 請求項25ないし27のうちの何れか一項に記載の方法において、前記第1の情報は第1の暗号文であり、前記第1の暗号文は、第1の公開鍵を用いて前記初期鍵を暗号化することにより取得されるものであり、前記第1の公開鍵は前記第1のコンポーネントからのものである、方法。
- 請求項25ないし27のうちの何れか一項に記載の方法において、前記第1の情報は前記初期鍵を含み、
前記第1の命令を前記車両の第1のコンポーネントに送信するステップは、有線接続方式で前記初期鍵を前記第1のコンポーネントに送信するステップを含む、方法。 - 請求項25ないし29のうちの何れか一項に記載の方法において、前記車両の初期鍵を決定するステップは:
第2の公開鍵及び第2の秘密鍵を生成するステップ;
リクエスト情報を鍵管理システムに送信するステップであって、前記リクエスト情報は前記初期鍵を要求するものであり、前記リクエスト情報は前記第2の公開鍵を含む、ステップ;
前記鍵管理システムから第2の暗号文を受信するステップ;及び
前記第2の暗号文と前記第2の秘密鍵に基づいて前記初期鍵を決定するステップ;
を含む、方法。 - 請求項25ないし30のうちの何れか一項に記載の方法において、前記方法は:
前記第1のコンポーネントから第1のレスポンス情報を受信するステップ;
を含み、前記第1のレスポンス情報は前記初期鍵の充当性結果を含む、方法。 - 請求項31に記載の方法において、前記初期鍵の充当性結果が、前記初期鍵は充当に失敗したことを示す場合に、前記方法は、前記第1の命令を再送するステップを更に含む方法。
- 請求項31又は32に記載の方法において、前記初期鍵の充当性結果は第2の識別子を含み、前記第2の識別子は前記初期鍵が充当に失敗したことを示す、方法。
- 請求項31に記載の方法において、前記初期鍵の充当性結果が、前記初期鍵は首尾良く充当されたことを示す場合に、前記方法は、第2の命令を前記第1のコンポーネントに送信するステップを更に含み、前記第2の命令は、前記共有鍵に関連付けられた第2の情報を含む、方法。
- 請求項31又は34に記載の方法において、前記初期鍵の充当性結果は:
第1の識別子であって前記初期鍵は首尾良く充当されたことを示す第1の識別子;及び/又は
第3の暗号文であって、前記初期鍵又は前記初期鍵の派生鍵を用いて、前記第1の命令に含まれる第1の乱数を暗号化することによって取得された情報を含む第3の暗号文;
を含む、方法。 - 請求項35に記載の方法において、前記初期鍵の充当性結果は前記第3の暗号文を含み、前記方法は、前記第3の暗号文に基づいて、前記初期鍵は首尾良く充当されたかどうかを判定するステップを更に含む方法。
- 請求項34に記載の方法において、前記方法は、更に:
前記共有鍵を生成するステップ;及び
前記第2の情報を取得するために、前記初期鍵に基づいて前記共有鍵を暗号化するステップ;
を含む方法。 - 請求項34ないし37のうちの何れか一項に記載の方法において、前記方法は、更に:
前記第1のコンポーネントから第2のレスポンス情報を受信するステップ;
を含み、前記第2のレスポンス情報は前記共有鍵の充当性結果を含む、方法。 - 請求項38に記載の方法において、前記共有鍵の充当性結果は:
第3の識別子であって前記共有鍵は首尾良く充当されたことを示す第3の識別子;及び/又は
第4の暗号文であって、前記共有鍵又は前記共有鍵の派生鍵を用いて、第2の命令に含まれる第2の乱数を暗号化することによって取得された情報を含む第4の暗号文;
を含む、方法。 - 請求項39に記載の方法において、前記共有鍵の充当性結果は第4の識別子を含み、前記方法は、更に:
前記第2の情報と前記第4の暗号文に基づいて、前記共有鍵は首尾良く充当されたかどうかを判定するステップを含む方法。 - 請求項40に記載の方法において、前記初期鍵の充当性結果が、前記初期鍵は充当に失敗したことを示す場合に、前記方法は、前記第2の命令を再送するステップを更に含む方法。
- 請求項41に記載の方法において、前記共有鍵の充当性結果は第4の識別子を含み、前記第4の識別子は前記共有鍵が充当に失敗したことを示す、方法。
- 鍵検出方法であって:
第4の命令を車両の第1のコンポーネントへ送信するステップであって、前記第4の命令は第3の乱数を含む、ステップ;
前記第1のコンポーネントから第4のレスポンス情報を受信するステップであって、前記第4のレスポンス情報は第1の検査値を含み、前記第1の検査値は前記第3の乱数と前記車両の共有鍵に関連付けられており、前記共有鍵は地理的位置情報を含むデータを暗号化するために少なくとも使用される、ステップ;
前記第1の検査値に基づいて、前記車両の共有鍵は前記車両に対応するローカルな共有鍵に一致するかどうかを判定するステップ;及び
前記車両の共有鍵は前記ローカルな共有鍵に一致していない場合に、アブノーマル性情報を報告するステップ;
を含む方法。 - 鍵検出方法であって:
車両の第1のコンポーネントの通信情報暗号文を取得するステップであって、前記通信情報暗号文は、前記車両の共有鍵を用いて第1の情報を暗号化することによって取得した情報を含み、前記第1の情報は地理的位置情報を含む、ステップ;
前記通信情報暗号文に基づいて、前記車両の共有鍵は、前記車両のローカルな共有鍵に一致するかどうかを判定するステップ;及び
前記車両の共有鍵は前記ローカルな共有鍵に一致していない場合に、アブノーマル性情報を報告するステップ;
を含む方法。 - 請求項43又は44に記載の方法において、前記方法は、更に:
前記車両の識別子又は前記第1のコンポーネントの識別子を取得するステップ;
前記車両の識別子又は前記第1のコンポーネントの識別子に基づいて、前記車両の対応する初期鍵と、前記ローカルな共有鍵を生成するために使用されるキーイング素材とを問い合わせるステップ;及び
前記初期鍵及び前記キーイング素材に基づいて前記ローカルな共有鍵を生成するステップ;又は
前記車両の識別子又は前記第1のコンポーネントの識別子に基づいて、前記ローカルな共有鍵を問い合わせるステップ;
を含む方法。 - 制御装置であって:
第1の鍵ツールから第1の命令を受信するように構成されたトランシーバー・モジュールであって、前記第1の命令は初期鍵に関連付けられた第1の情報を含む、トランシーバー・モジュール;及び
前記第1の命令に従って前記初期鍵を取得するように構成された処理モジュール;
を含み、前記初期鍵は共有鍵を生成するために少なくとも使用され、前記共有鍵は地理的位置情報を含むデータを暗号化するために少なくとも使用される、装置。 - 制御装置であって:
共有鍵充当命令を取得するように構成された処理モジュールであって、前記共有鍵充当命令は、第1のコンポーネントのために共有鍵を充当するために使用され、前記共有鍵は地理的位置情報を含むデータを暗号化するために少なくとも使用される、処理モジュール;及び
前記共有鍵充当命令を前記第1のコンポーネントに送信するように構成されたトランシーバー・モジュール;
を含む装置。 - 鍵伝送装置であって:
車両の初期鍵を決定するように構成された処理モジュールであって、前記初期鍵は共有鍵を生成するために少なくとも使用され、前記共有鍵は地理的位置情報を含むデータを暗号化するために少なくとも使用される、処理モジュール;及び
第1の命令を前記車両の第1のコンポーネントに送信するように構成されたトランシーバー・モジュール;
を含み、前記第1の命令は前記初期鍵に関連付けられた第1の情報を含む、装置。 - 鍵検出装置であって:
第4の命令を車両の第1のコンポーネントへ送信するように構成されたトランシーバー・モジュールであって、前記第4の命令は第3の乱数を含み、前記トランシーバー・モジュールは、前記第1のコンポーネントから第4のレスポンス情報を受信するように更に構成されており、前記第4のレスポンス情報は第1の検査値を含み、前記第1の検査値は前記第3の乱数と前記車両の共有鍵に関連付けられており、前記共有鍵は地理的位置情報を含むデータを暗号化するために少なくとも使用される、トランシーバー・モジュール;及び
前記第1の検査値に基づいて、前記車両の共有鍵は前記車両に対応するローカルな共有鍵に一致するかどうかを判定し、前記車両の共有鍵が前記ローカルな共有鍵に一致していない場合に、アブノーマル性情報を報告するように構成された処理モジュール;
を含む装置。 - 鍵検出装置であって:
車両の第1のコンポーネントの通信情報暗号文を取得するように構成された処理モジュールであって、前記通信情報暗号文は、前記車両の共有鍵を用いて第1の情報を暗号化することによって取得した情報を含み、前記第1の情報は地理的位置情報を含み、前記処理モジュールは、前記通信情報暗号文及び前記車両に対応するローカルな共有鍵に基づいて、前記車両の共有鍵は前記ローカルな共有鍵に一致するかどうかを判定するように更に構成されている処理モジュール;及び
前記車両の共有鍵は前記ローカルな共有鍵に一致していない場合に、アブノーマル性情報を報告するように構成されているトランシーバー・モジュール;
を含む装置。 - プロセッサと記憶媒体を含むオンボード素子であって、前記記憶媒体は命令を記憶し、命令が前記プロセッサにより実行されると、前記オンボード素子は、請求項1ないし19のうちの何れか一項に記載の方法又は請求項20ないし24のうちの何れか一項に記載の方法を実行することが可能になる、オンボード素子。
- プロセッサと記憶媒体を含む電子デバイスであって、前記記憶媒体は命令を記憶し、命令が前記プロセッサにより実行されると、前記電子デバイスは、請求項25ないし42、請求項43、請求項44又は45のうちの何れか一項に記載の方法を実行することが可能になる、電子デバイス。
- 請求項1ないし19のうちの何れか一項に記載の方法を実行するように構成された第1の素子と、請求項20ないし24のうちの何れか一項に記載の方法を実行するように構成された第2の素子とを含む車両。
- 1つ以上のプロセッサと集積回路を含むチップであって、前記集積回路は、前記1つ以上のプロセッサのために情報入力及び/又は出力を提供するように構成されており、前記チップは、請求項1ないし19のうちの何れか一項、請求項20ないし24のうちの何れか一項、請求項25ないし42、請求項43、請求項44又は45のうちの何れか一項に記載の方法を実行するように構成されている、チップ。
- 命令を記憶するコンピュータ記憶媒体であって、前記命令が実行されると、請求項1ないし19のうちの何れか一項、請求項20ないし24のうちの何れか一項、請求項25ないし42、請求項43、請求項44又は45のうちの何れか一項に記載の方法が実行される、記憶媒体。
- コンピュータ・プログラム製品であって、前記コンピュータ・プログラム製品が1つ以上のプロセッサにおいて動作すると、請求項1ないし19のうちの何れか一項、請求項20ないし24のうちの何れか一項、請求項25ないし42、請求項43、請求項44又は45のうちの何れか一項に記載の方法が実行される、コンピュータ・プログラム製品。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2021/119432 WO2023039900A1 (zh) | 2021-09-18 | 2021-09-18 | 一种密钥传输方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2024533559A true JP2024533559A (ja) | 2024-09-12 |
Family
ID=85602346
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2024516796A Pending JP2024533559A (ja) | 2021-09-18 | 2021-09-18 | 鍵伝送方法及び装置 |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP4391607A4 (ja) |
| JP (1) | JP2024533559A (ja) |
| CN (1) | CN117957861A (ja) |
| WO (1) | WO2023039900A1 (ja) |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8472627B2 (en) * | 2000-10-30 | 2013-06-25 | Geocodex Llc | System and method for delivering encrypted information in a communication network using location indentity and key tables |
| CN101873588B (zh) * | 2010-05-27 | 2013-11-20 | 大唐微电子技术有限公司 | 一种业务应用安全实现方法及系统 |
| CN104268458B (zh) * | 2014-09-23 | 2018-01-26 | 潍柴动力股份有限公司 | 一种车辆程序加密验证方法及加密、验证装置 |
| DE102015220224A1 (de) * | 2015-10-16 | 2017-04-20 | Volkswagen Aktiengesellschaft | Verfahren zur geschützten Kommunikation eines Fahrzeugs |
| CN106209910A (zh) * | 2016-08-29 | 2016-12-07 | 上海航盛实业有限公司 | 一种车载信息系统的安全保护方法 |
| CN106899404B (zh) * | 2017-02-15 | 2020-06-02 | 同济大学 | 基于预共享密钥的车载can fd总线通信系统及方法 |
| US10819689B2 (en) * | 2018-05-03 | 2020-10-27 | Honeywell International Inc. | Systems and methods for encrypted vehicle data service exchanges |
| CN109788002A (zh) * | 2019-03-12 | 2019-05-21 | 北京首汽智行科技有限公司 | 一种Http请求加密、解密方法及系统 |
| CN110266474A (zh) * | 2019-05-15 | 2019-09-20 | 亚信科技(成都)有限公司 | 密钥发送方法、装置及系统 |
| KR20210042470A (ko) * | 2019-10-10 | 2021-04-20 | 현대자동차주식회사 | 차량, 그와 통신하는 단말기 및 그 제어 방법 |
| WO2021179331A1 (zh) * | 2020-03-13 | 2021-09-16 | 华为技术有限公司 | 一种通信方法、装置以及系统 |
| CN113016201B (zh) * | 2020-12-31 | 2022-05-24 | 华为技术有限公司 | 密钥供应方法以及相关产品 |
| EP4290790A4 (en) * | 2021-02-26 | 2024-03-20 | Huawei Technologies Co., Ltd. | KEY ACQUISITION METHOD AND APPARATUS AND KEY MANAGEMENT SYSTEM |
-
2021
- 2021-09-18 WO PCT/CN2021/119432 patent/WO2023039900A1/zh active Application Filing
- 2021-09-18 JP JP2024516796A patent/JP2024533559A/ja active Pending
- 2021-09-18 CN CN202180102455.2A patent/CN117957861A/zh active Pending
- 2021-09-18 EP EP21957177.5A patent/EP4391607A4/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4391607A1 (en) | 2024-06-26 |
| CN117957861A (zh) | 2024-04-30 |
| EP4391607A4 (en) | 2024-09-04 |
| WO2023039900A1 (zh) | 2023-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110109443B (zh) | 车辆诊断的安全通信方法、装置、存储介质及设备 | |
| EP3840327A1 (en) | Method for applying for digital certificate | |
| US11265170B2 (en) | Vehicle information collection system, vehicle-mounted computer, vehicle information collection device, vehicle information collection method, and computer program | |
| US11356425B2 (en) | Techniques for improving security of encrypted vehicle software updates | |
| CN109257374B (zh) | 安全控制方法、装置和计算机设备 | |
| JP6683588B2 (ja) | 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム | |
| CN110365486B (zh) | 一种证书申请方法、装置及设备 | |
| CN112913189B (zh) | 一种ota升级方法及装置 | |
| US9998476B2 (en) | Data distribution apparatus, communication system, moving object, and data distribution method | |
| CN113439425B (zh) | 报文传输方法及装置 | |
| US12126617B2 (en) | Method and system for granting remote access to an electronic device | |
| CN106790045B (zh) | 一种基于云环境分布式虚拟机代理装置及数据完整性保障方法 | |
| WO2022120581A1 (zh) | 一种车辆诊断系统、方法及装置 | |
| CN106789963B (zh) | 非对称白盒密码加密方法和装置及设备 | |
| CN114338091B (zh) | 数据传输方法、装置、电子设备及存储介质 | |
| JP2024533559A (ja) | 鍵伝送方法及び装置 | |
| Kleberger et al. | Protecting vehicles against unauthorised diagnostics sessions using trusted third parties | |
| KR101780280B1 (ko) | 비밀키 교체 방식을 적용한 주행기록 보안 기법 및 및 그 장치 | |
| Plappert et al. | Towards a privacy-aware electric vehicle architecture | |
| CN114915942A (zh) | 通信密钥配置方法及装置 | |
| CN114647836A (zh) | 认证方法及装置 | |
| KR101893758B1 (ko) | 암호화된 트래픽 분석을 통한 내부 정보 유출 모니터링 시스템 및 방법 | |
| CN114039721B (zh) | 一种车载多媒体系统的密钥管理方法及装置 | |
| WO2023088548A1 (en) | Method and system for carrying out measurement campaigns by means of motor vehicles using a centrally-controlled campaign-specific end-to-end encryption of the measurement data | |
| WO2023088549A1 (en) | Method and system for carrying out measurement campaigns by means of motor vehicles using a vehicle-generated campaign-specific end-to-end encryption of the measurement data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240425 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240425 |