JP4321303B2 - Program distribution system and in-vehicle gateway device - Google Patents
Program distribution system and in-vehicle gateway device Download PDFInfo
- Publication number
- JP4321303B2 JP4321303B2 JP2004047802A JP2004047802A JP4321303B2 JP 4321303 B2 JP4321303 B2 JP 4321303B2 JP 2004047802 A JP2004047802 A JP 2004047802A JP 2004047802 A JP2004047802 A JP 2004047802A JP 4321303 B2 JP4321303 B2 JP 4321303B2
- Authority
- JP
- Japan
- Prior art keywords
- program
- access right
- electronic signature
- encryption key
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、車両ECUへのアクセスを実行するプログラムを車載ゲートウェイ装置へ配信するプログラム配信装置と、プログラム配信装置からプログラムが配信される車載ゲートウェイ装置とを備えてなるプログラム配信システム、前記プログラム配信システム内で用いられる車載ゲートウェイ装置に関する。 The present invention relates to a program distribution system including a program distribution device that distributes a program for executing access to a vehicle ECU to an in-vehicle gateway device, and an in-vehicle gateway device to which the program is distributed from the program distribution device, and the program distribution system. It is related with the vehicle-mounted gateway apparatus used in the inside.
プログラム配信装置が特定のプログラムをゲートウェイ装置へ配信する仕組みとして、OSGi(オープン・サービス・ゲートウェイ・イニシアティブ)フレームワークがある。ところで、プログラム配信装置が車両ECUへのアクセスを実行するプログラムを車載ゲートウェイ装置へ配信するものでは、そのプログラムが配信される途中で第三者の悪意により偽造されたり改ざんされたりすると、車両ECUに対して不正なアクセスが行われてしまう虞があり、そうなると、場合によっては車両の走行に多大な支障が生じるという問題がある。 There is an OSGi (Open Service Gateway Initiative) framework as a mechanism in which a program distribution apparatus distributes a specific program to a gateway apparatus. By the way, in the case where the program distribution device distributes a program for executing access to the vehicle ECU to the in-vehicle gateway device, if the program is counterfeited or tampered with by a third party maliciously, On the other hand, there is a risk that unauthorized access may be performed, and in such a case, there is a problem that a great trouble is caused in traveling of the vehicle.
このような問題を解決するものとして、プログラム配信装置が信頼のおけるプログラム開発者により開発・検証されたプログラムのみしか車載ゲートウェイ装置へ配信しない方法が考えられるが、これでは、プログラム開発者が制限されてしまうため、配信されるプログラムが制限されてしまうという問題がある。一方、車両ECUへのアクセスを禁止するセキュリティが確保された環境を用意し、そのセキュリティが確保された環境のみでしかプログラムを実行させない方法も考えられるが、これでは、車両ECUへのアクセスを実行することができないという問題がある。 As a solution to such a problem, there may be a method in which only a program developed and verified by a reliable program developer can be distributed to the in-vehicle gateway device, but this restricts the program developer. Therefore, there is a problem that the program to be distributed is limited. On the other hand, it is possible to prepare a security environment that prohibits access to the vehicle ECU and execute the program only in the environment where the security is ensured. There is a problem that you can not.
本発明は、上記した事情に鑑みてなされたものであり、その目的は、プログラム配信装置から車載ゲートウェイ装置へ配信されるプログラムが車両ECUへの不正なアクセスを実行してしまうのを未然に回避することができ、それによって、プログラムの信頼性を適切に確保することができるプログラム配信システムおよび車載ゲートウェイ装置を提供することにある。 The present invention has been made in view of the above circumstances, and its purpose is to prevent a program distributed from the program distribution device to the in-vehicle gateway device from executing unauthorized access to the vehicle ECU. Therefore, an object of the present invention is to provide a program distribution system and an in-vehicle gateway device that can appropriately ensure the reliability of the program.
請求項1に記載した発明によれば、プログラム配信装置は、アクセス権識別子が付加されたプログラムに対して一の暗号鍵による暗号演算を施して電子署名を作成し、プログラム、アクセス権識別子、電子署名および一の暗号鍵と対をなす他の暗号鍵を車載ゲートウェイ装置へ配信する。一方、車載ゲートウェイ装置は、プログラム配信装置からプログラム、アクセス権識別子、電子署名および他の暗号鍵が配信されると、アクセス権識別子が付加されたプログラムに対して他の暗号鍵による暗号演算を施して電子署名を作成し、プログラム配信装置により一の暗号鍵による暗号演算が施されて作成された電子署名と自身により他の暗号鍵による暗号演算が施されて作成された電子署名とを比較して電子署名の正当性を判定し、電子署名が正当である旨を検出すると、アクセス権識別子に基づいて複数の車両ECUについて各車両ECUへのアクセス権を設定し、アクセス権が設定された車両ECUへのアクセスを許可し、プログラム配信装置から配信されたプログラムを実行して当該アクセスを許可した車両ECUへのアクセスを実行し、一方、アクセス権が設定されなかった車両ECUへのアクセスを禁止する。 According to the first aspect of the present invention, the program distribution device creates an electronic signature by performing a cryptographic operation with a single encryption key on the program to which the access right identifier is added, and creates the program, the access right identifier, the electronic The signature and another encryption key paired with one encryption key are distributed to the in-vehicle gateway device. On the other hand, when the program distribution device distributes a program, an access right identifier, an electronic signature, and other encryption keys, the in-vehicle gateway device performs cryptographic operations using the other encryption keys on the program to which the access right identifier is added. An electronic signature is created, and an electronic signature created by performing cryptographic operations with one cryptographic key by the program distribution device is compared with an electronic signature created by performing cryptographic operations with another cryptographic key by itself. When the validity of the electronic signature is determined and it is detected that the electronic signature is valid, the access right to each vehicle ECU is set for a plurality of vehicle ECUs based on the access right identifier, and the vehicle in which the access right is set Allows access to ECU, access by running a program that is distributed from the program distribution apparatus to a vehicle ECU, which allow the access It is executed, whereas, to prevent access to the vehicle ECU which access is not set.
すなわち、本発明によれば、プログラム配信装置では、アクセス権識別子が付加されたプログラムを車載ゲートウェイ装置へ配信し、一方、車載ゲートウェイ装置では、プログラム配信装置から配信されたアクセス権識別子に基づいて複数の車両ECUについて各車両ECUへのアクセス権を設定するように構成したので、プログラムの車両ECUへのアクセスの許可または禁止をアクセス権識別子により設定することができる。しかも、この際、両者の間でアクセス権識別子が付加されたプログラムに対して暗号演算を施して配信するように構成したので、プログラムとアクセス権識別子とを第三者の悪意による偽造や改ざんから適切に保護することができる。これにより、プログラム配信装置から車載ゲートウェイ装置へ配信されるプログラムが車両ECUへの不正なアクセスを実行してしまうのを未然に回避することができ、それによって、プログラムの信頼性を適切に確保することができる。 That is, according to the present invention, the program distribution device distributes the program to which the access right identifier is added to the in-vehicle gateway device, while the in-vehicle gateway device uses a plurality of access right identifiers based on the access right identifier distributed from the program distribution device. Since the access right to each vehicle ECU is set for each vehicle ECU, permission or prohibition of access to the vehicle ECU of the program can be set by the access right identifier. In addition, at this time, since the program with the access right identifier added between them is configured to be cryptographically distributed, the program and the access right identifier can be prevented from being counterfeited or falsified by a third party. Can be properly protected. Thereby, it is possible to prevent a program distributed from the program distribution device to the in-vehicle gateway device from executing unauthorized access to the vehicle ECU, thereby appropriately ensuring the reliability of the program. be able to.
請求項2に記載した発明によれば、プログラム配信装置は、アクセス権識別子が付加されたプログラムに対して一の暗号鍵による暗号演算を施して電子署名を作成し、プログラム、アクセス権識別子、電子署名および一の暗号鍵と対をなす他の暗号鍵を車載ゲートウェイ装置へ配信する。一方、車載ゲートウェイ装置は、プログラム配信装置からプログラム、アクセス権識別子、電子署名および他の暗号鍵が配信されると、アクセス権識別子が付加されたプログラムに対して他の暗号鍵による暗号演算を施して電子署名を作成し、プログラム配信装置により一の暗号鍵による暗号演算が施されて作成された電子署名と自身により他の暗号鍵による暗号演算が施されて作成された電子署名とを比較して電子署名の正当性を判定する。そして、プログラム実行装置は、車載ゲートウェイ装置により電子署名が正当である旨が検出されると、アクセス権識別子に基づいて複数の車両ECUについて各車両ECUへのアクセス権を設定し、アクセス権が設定された車両ECUへのアクセスを許可し、プログラム配信装置から配信されたプログラムを実行して当該アクセスを許可した車両ECUへのアクセスを実行し、一方、アクセス権が設定されなかった車両ECUへのアクセスを禁止する。 According to the second aspect of the present invention, the program distribution device creates an electronic signature by performing a cryptographic operation with a single encryption key on the program to which the access right identifier is added, and creates the program, the access right identifier, the electronic The signature and another encryption key paired with one encryption key are distributed to the in-vehicle gateway device. On the other hand, when the program distribution device distributes a program, an access right identifier, an electronic signature, and other encryption keys, the in-vehicle gateway device performs cryptographic operations using the other encryption keys on the program to which the access right identifier is added. An electronic signature is created, and an electronic signature created by performing cryptographic operations with one cryptographic key by the program distribution device is compared with an electronic signature created by performing cryptographic operations with another cryptographic key by itself. To determine the validity of the electronic signature. Then, when the in-vehicle gateway device detects that the electronic signature is valid, the program execution device sets the access right to each vehicle ECU based on the access right identifier, and the access right is set. The access to the vehicle ECU is permitted , the program distributed from the program distribution device is executed, and the access to the vehicle ECU for which the access is permitted is performed . Prohibit access.
すなわち、本発明によれば、プログラム配信装置では、アクセス権識別子が付加されたプログラムを車載ゲートウェイ装置へ配信し、一方、プログラム実行装置では、プログラム配信装置から車載ゲートウェイ装置へ配信されたアクセス権識別子に基づいて複数の車両ECUについて各車両ECUへのアクセス権を設定するように構成したので、上記した請求項1に記載したものと同様にして、プログラムの車両ECUへのアクセスの許可または禁止をアクセス権識別子により設定することができる。しかも、この際、両者の間でアクセス権識別子が付加されたプログラムに対して暗号演算を施して配信するように構成したので、プログラムとアクセス権識別子とを第三者の悪意による偽造や改ざんから適切に保護することができる。これにより、プログラム配信装置から車載ゲートウェイ装置へ配信されるプログラムが車両ECUへの不正なアクセスを実行してしまうのを未然に回避することができ、それによって、プログラムの信頼性を適切に確保することができる。
That is, according to the present invention, the program distribution device distributes the program with the access right identifier added to the in-vehicle gateway device, while the program execution device distributes the access right identifier distributed from the program distribution device to the in-vehicle gateway device. Since the access right to each vehicle ECU is set for a plurality of vehicle ECUs based on the above, permission or prohibition of access to the vehicle ECU of the program is made in the same manner as described in
請求項3に記載したプログラム配信システムによれば、認証局は、一の暗号鍵と他の暗号鍵とをプログラム配信装置へ送信すると共に他の暗号鍵を車載ゲートウェイ装置へ送信する。プログラム配信装置は、アクセス権識別子が付加されたプログラムに対して認証局から送信された一の暗号鍵による暗号演算を施して電子署名を作成し、プログラム、アクセス権識別子、電子署名および認証局から送信された他の暗号鍵を車載ゲートウェイ装置へ配信する。一方、車載ゲートウェイ装置は、プログラム配信装置からプログラム、アクセス権識別子、電子署名および他の暗号鍵が配信されると、プログラム配信装置から配信された他の暗号鍵と認証局から送信された他の暗号鍵とを比較して他の暗号鍵の正当性を判定し、他の暗号鍵が正当である旨を検出すると、アクセス権識別子が付加されたプログラムに対して他の暗号鍵による暗号演算を施して電子署名を作成する。 According to the program distribution system of the third aspect, the certificate authority transmits one encryption key and another encryption key to the program distribution device and transmits another encryption key to the in-vehicle gateway device. The program distribution device creates an electronic signature by performing a cryptographic operation with the one encryption key transmitted from the certificate authority on the program to which the access right identifier is added, from the program, the access right identifier, the electronic signature, and the certificate authority. The other transmitted encryption key is distributed to the in-vehicle gateway device. On the other hand, when a program, an access right identifier, an electronic signature, and other encryption keys are distributed from the program distribution device, the in-vehicle gateway device receives another encryption key distributed from the program distribution device and another transmitted from the certificate authority. Compare the encryption key to determine the validity of the other encryption key, and if it detects that the other encryption key is valid, the encryption operation using the other encryption key is performed on the program with the access right identifier added. To create an electronic signature.
すなわち、本発明によれば、認証局から送信された暗号鍵を用いて、両者の間でアクセス権識別子が付加されたプログラムに対して暗号演算を施して配信するように構成したので、暗号演算に用いられる暗号鍵をも第三者の悪意による偽造や改ざんから保護することができ、プログラムとアクセス権識別子とを第三者の悪意による偽造や改ざんからより適切に保護することができる。そして、このようにプログラム配信装置が用いる暗号鍵をプログラム配信装置とは異なる認証局が管理することにより、システム全体の中でプログラム配信装置と認証局とをn(nは自然数)対1の関係に拡張することができる利点もある。 That is, according to the present invention, since the encryption key transmitted from the certificate authority is used to perform the cryptographic operation on the program with the access right identifier added between the two, the cryptographic operation is distributed. It is possible to protect the encryption key used for the falsification and falsification by a third party maliciously, and more appropriately protect the program and the access right identifier from the falsification and falsification by a third party malicious. Then, by managing the encryption key used by the program distribution apparatus by a certificate authority different from the program distribution apparatus, the relationship between the program distribution apparatus and the certificate authority in the entire system is n (n is a natural number). There is also an advantage that can be extended to.
以下、本発明の一実施形態について、図面を参照して説明する。尚、ここでいうプログラムは、車両ECUへのアクセスを実行するプログラムである。図1は、プログラム配信システムの全体構成を概略的に示している。プログラム配信システム1は、プログラム開発装置2、プログラム配信装置3、認証局4および車載ゲートウェイ装置5を備えて構成されている。
Hereinafter, an embodiment of the present invention will be described with reference to the drawings. The program here is a program for executing access to the vehicle ECU. FIG. 1 schematically shows the overall configuration of the program distribution system. The
プログラム開発装置2は、プログラム開発者(個人や法人)が主にプログラムを開発することを目的として取扱う装置であり、プログラムを開発するための開発環境やプログラムを通信するための通信機能を有するパーソナルコンピュータやサーバなどから構成されている。 The program development device 2 is a device handled by a program developer (individual or corporation) mainly for the purpose of developing a program. A personal computer having a development environment for developing a program and a communication function for communicating the program. It consists of computers and servers.
プログラム配信装置3は、プログラム配信者(個人や法人)が主にプログラム開発者により開発されたプログラムを車載ゲートウェイ装置5へ配信すること目的として取扱う装置であり、プログラムを配信するための配信機能を有するサーバなどから構成されている。尚、プログラム開発者とプログラム配信者との関係の一例としては、プログラム配信者は、ある特定のアプリケーションサービスを公衆へ提供する側であり、プログラム開発者は、その特定のアプリケーションサービスを公衆へ提供するために必要なアプリケーションプログラムを開発する側である。
The
認証局4は、プログラム開発者やプログラム配信者とは異なった団体により管理・運営されるもので、暗号鍵(公開鍵や秘密鍵)を一元的に管理するように構成されている。本実施形態では、認証局4は、一対の公開鍵と秘密鍵とが格納されている証明書をプログラム配信装置3へ送信すると共に公開鍵を車載ゲートウェイ装置5へ送信する。つまり、秘密鍵が本発明でいう一の暗号鍵であり、公開鍵が本発明でいう他の暗号鍵である。
The
車載ゲートウェイ装置5は、車両に搭載されるもので、プログラム配信装置3からプログラムおよびアクセス識別子が配信されると、アクセス権識別子に基づいて車両ECU6へのアクセス権を設定し、アクセス権が設定された車両ECU6へのアクセスを許可すると共にアクセス権が設定されなかった車両ECU6へのアクセスを禁止するように構成されている。尚、ここでいう車両ECU6は、例えばナビゲーションECU(ナビECU)7、ドアECU8、エンジンECU9、エアコンECU10およびメータECU11などである。
The in-
次に、上記した構成の作用について、図2および図3を参照して説明する。図2は、プログラム開装置2、プログラム配信装置3、認証局4および車載ゲートウェイ装置5の間のデータ(プログラム、アクセス権識別子、電子署名および公開鍵・秘密鍵)の流れを概略的に示している。尚、ここでは、システム全体の中で、プログラム開発者は、信頼のおける開発者であり、プログラム開発者により開発されたプログラムは、高度な品質管理の下で開発された十分に信頼のおけるプログラムであることを前提とする。また、ここでは、プログラム配信装置3には、予め認証局4から一対の公開鍵と秘密鍵とが格納されている証明書が送信されており、車載ゲートウェイ装置5には、予め認証局4から公開鍵が送信されていることを前提とする。
Next, the effect | action of an above-described structure is demonstrated with reference to FIG. 2 and FIG. FIG. 2 schematically shows the flow of data (program, access right identifier, electronic signature and public / private key) among the program opening device 2, the
プログラム開発装置2は、プログラムを開発し(ステップS1)、その開発されたプログラムに対応するアクセス権識別子を作成すると(ステップS2)、プログラムに対してアクセス権識別子を付加し、アクセス権識別子が付加されたプログラムをプログラム配信装置3へ送信する。
The program development device 2 develops a program (step S1), creates an access right identifier corresponding to the developed program (step S2), adds an access right identifier to the program, and adds an access right identifier. The transmitted program is transmitted to the
プログラム配信装置3は、プログラム開発装置2からアクセス権識別子が付加されたプログラムが送信されると、予め認証局4から送信された証明書の秘密鍵を用いて、プログラム開発装置2から送信されたプログラムおよびアクセス権識別子に対して秘密鍵による暗号演算を施して電子署名を作成する(ステップS3)。そして、プログラム配信装置3は、プログラム、アクセス権識別子、電子署名および予め認証局4から送信された証明書の公開鍵を車載ゲートウェイ装置5へ配信する。
When the
車載ゲートウェイ装置5は、プログラム配信装置3からプログラム、アクセス権識別子、電子署名および証明書の公開鍵が配信されると、予め認証局4から送信された公開鍵を用いて、プログラム配信装置3から配信された公開鍵と認証局4から送信された公開鍵とを比較して証明書(公開鍵)の正当性を判定する(ステップS4)。そして、車載ゲートウェイ装置5は、両者が一致し、公開鍵が正当である旨を検出すると、その正当な公開鍵を用いて、プログラム配信装置3から配信されたプログラムおよびアクセス権識別子に対して公開鍵による暗号演算を施して電子署名を作成する(ステップS5)。
When the program, the access right identifier, the electronic signature, and the public key of the certificate are distributed from the
次いで、車載ゲートウェイ装置5は、プログラム配信装置3により秘密鍵による暗号演算が施されて作成された電子署名と自身により公開鍵による暗号演算が施されて作成された電子署名とを比較して電子署名の正当性を判定する(ステップS6)。次いで、車載ゲートウェイ装置5は、両者が一致し、電子署名が正当である旨を検出すると、プログラムおよびアクセス権識別子の安全性を確認する(ステップS7)。そして、車載ゲートウェイ装置5は、車両ECU6へのアクセス権を設定し(ステップS8)、これ以後、アクセス権が設定された車両ECUへのアクセスを許可すると共にアクセス権が設定されなかった車両ECUへのアクセスを禁止する。
Next, the in-
尚、車載ゲートウェイ装置5は、これ以後、アクセス権が設定されなかった車両ECU6へのアクセスをプログラムが実行しようとした場合には、そのアクセスを停止したり、必要に応じてプログラム自体の実行を停止したりする。また、車載ゲートウェイ装置5は、その旨をセンターに通知したり、ユーザに対して警告したりする。
If the program attempts to execute access to the
ところで、以上は、プログラム配信装置3とは異なる認証局4を利用することにより、プログラム配信装置3が認証局4から送信された秘密鍵を用いて暗号演算を行うと共に、
車載ゲートウェイ装置5が認証局4から送信された公開鍵を用いて公開鍵の正当性を判定する場合を説明したが、これは、以下の理由によるものである。すなわち、車載ゲートウェイ装置5から見た場合に、プログラム配信装置3が十分に信頼のおけるものであれば、暗号演算の手順をプログラム配信装置3に全て委ねたとしても何ら不具合が発生することは無いものであるが、プログラム配信装置3が十分に信頼のおけるものでなければ、暗号演算の手順をプログラム配信装置3に全て委ねてしまうと、仮に公開鍵が途中で偽造されたり改ざんされたりしまった場合に救済することが困難になるからである。
By the way, as described above, by using the
The case where the in-
したがって、本実施形態では、信頼のおける(少なくともプログラム配信装置3よりは信頼度が高い)認証局4から提供される公開鍵・秘密鍵を用いることにより、上記したような不具合が発生することを未然に回避することができる。つまり、認証局4から提供される公開鍵・秘密鍵を用いるか否かは、車載ゲートウェイ装置5からプログラム配信装置3を見た場合の信頼度の程度や、システムの中で要求されるセキュリティの程度などを考慮して決定されても良い。
Therefore, in the present embodiment, the use of the public / private key provided from the
尚、以上は、プログラム開発装置2において、プログラムを開発した後にアクセス権識別子を作成する場合を説明しているが、アクセス権識別子を作成した後にプログラムを開発しても良い。また、以上は、プログラム開発装置2において、プログラムに対してアクセス識別子を付加し、アクセス権識別子が付加されたプログラムをプログラム配信装置3へ送信する場合を説明しているが、プログラム開発装置2において、プログラムとアクセス権識別子とを別々にプログラム配信装置3へ送信し、プログラム配信装置3において、プログラム開発装置2から別々へ送信されたプログラムに対してアクセス権識別子を付加しても良い。
In the above description, the program development apparatus 2 describes the case where the access right identifier is created after the program is developed. However, the program may be developed after the access right identifier is created. In the above, the case where the program development apparatus 2 adds an access identifier to the program and transmits the program to which the access right identifier is added to the
さて、図3は、プログラム配信装置3および車載ゲートウェイ装置5の構成を概略的に示している。プログラム配信装置3は、アプリケーションサービスプロバイダにより管理されるアプリケーションサーバ12a〜12cからプログラムが送信されると、そのプログラムに対して暗号演算を施してプログラム管理データベースにデータベース化して管理する。この場合、アプリケーションサーバ12a〜12cは、その機能がプログラム配信装置3に組込まれて構成されていても良いし、その機能がプログラム配信装置3とは別体に構成されていても良い。また、アプリケーションサーバ12a〜12cは、車載ゲートウェイ装置5から例えばダイアグ情報などが取込まれたプログラムを開発する構成であっても良い。
Now, FIG. 3 schematically shows the configuration of the
車載ゲートウェイ装置5は、プログラム配信装置3からプログラムおよびアクセス権識別子が配信されると、プログラムに対して付加されているアクセス権識別子をサービスゲートウェイ機能における暗号演算モジュールにより暗号演算し、プログラムおよびアクセス権識別子の安全性を確認すると、サービスゲートウェイ機能におけるアクセス権管理モジュールによりアクセス権を管理する。尚、プログラム配信装置3から配信されたプログラムは、ナビゲーションプログラムやブラウザと共にナビゲーション装置のOS(オペレーティング・システム)上で実行される。
When the program and the access right identifier are distributed from the
以上に説明したように本実施形態によれば、プログラム配信システム1において、プログラム配信装置3では、アクセス権識別子が付加されたプログラムを車載ゲートウェイ5装置へ配信し、一方、車載ゲートウェイ装置5では、プログラム配信装置3から配信されたアクセス権識別子に基づいて車両ECU6へのアクセス権を設定するように構成したので、プログラムの車両ECU6へのアクセスの許可または禁止をアクセス権識別子により設定することができ、しかも、この際、両者の間でアクセス権識別子が付加されたプログラムに対して暗号演算を施して配信するように構成したので、プログラムとアクセス権識別子とを第三者の悪意による偽造や改ざんから適切に保護することができる。これにより、プログラム配信装置3から車載ゲートウェイ装置5へ配信されるプログラムが車両ECUへの不正なアクセスを実行してしまうのを未然に回避することができ、それによって、プログラムの信頼性を適切に確保することができる。
As described above, according to the present embodiment, in the
また、この場合、認証局4から送信された暗号鍵を用いて、両者の間でアクセス権識別子が付加されたプログラムに対して暗号演算を施して配信するように構成したので、暗号演算に用いられる公開鍵をも第三者の悪意による偽造や改ざんから保護することができ、プログラムとアクセス権識別子とを第三者の悪意による偽造や改ざんからより適切に保護することができる。そして、このようにプログラム配信装置3が用いる公開鍵・秘密鍵をプログラム配信装置3とは異なる認証局4が管理することにより、システム全体の中でプログラム配信装置3と認証局4とをn(nは自然数)対1の関係に拡張することができる利点もある。
In this case, since the encryption key transmitted from the
本発明は、上記した実施形態にのみ限定されるものではなく、以下のように変形または拡張することができる。
車載ゲートウェイ装置に対して他のECUが接続されている構成であっても良い。
プログラム配信装置から配信されたプログラムを車載ゲートウェイ装置が実行する構成に限らず、車載ゲートウェイ装置とは別体にプログラム実行装置が設けられることにより、プログラム配信装置から車載ゲートウェイ装置へ配信されたプログラムをプログラム実行装置が実行する構成であっても良い。
The present invention is not limited to the above-described embodiment, and can be modified or expanded as follows.
Another ECU may be connected to the in-vehicle gateway device.
The program distributed from the program distribution device to the in-vehicle gateway device is not limited to the configuration in which the in-vehicle gateway device executes the program distributed from the program distribution device, and the program execution device is provided separately from the in-vehicle gateway device. The program may be executed by the program execution device.
暗号化・復号化に一対の公開鍵と秘密鍵とを用いる公開鍵暗号方式が採用される構成に限らず、暗号化・復号化に同一の秘密鍵を用いる秘密鍵暗号方式が採用される構成であっても良い。 A configuration in which a public key cryptosystem using a pair of public key and secret key for encryption / decryption is adopted, and a secret key cryptosystem using the same secret key for encryption / decryption is adopted. It may be.
図面中、1はプログラム配信システム、2はプログラム開発装置、3はプログラム配信装置、4は認証局、5は車載ゲートウェイ装置、6は車両ECUである。
In the drawings, 1 is a program distribution system, 2 is a program development device, 3 is a program distribution device, 4 is a certificate authority, 5 is an in-vehicle gateway device, and 6 is a vehicle ECU.
Claims (5)
プログラム配信装置からプログラムが配信される車載ゲートウェイ装置とを備えてなるプログラム配信システムであって、
プログラム配信装置は、アクセス権識別子が付加されたプログラムに対して一の暗号鍵による暗号演算を施して電子署名を作成し、プログラム、アクセス権識別子、電子署名および一の暗号鍵と対をなす他の暗号鍵を車載ゲートウェイ装置へ配信し、
車載ゲートウェイ装置は、プログラム配信装置からプログラム、アクセス権識別子、電子署名および他の暗号鍵が配信されると、アクセス権識別子が付加されたプログラムに対して他の暗号鍵による暗号演算を施して電子署名を作成し、プログラム配信装置により一の暗号鍵による暗号演算が施されて作成された電子署名と自身により他の暗号鍵による暗号演算が施されて作成された電子署名とを比較して電子署名の正当性を判定し、電子署名が正当である旨を検出した場合に、アクセス権識別子に基づいて複数の車両ECUについて各車両ECUへのアクセス権を設定し、アクセス権が設定された車両ECUへのアクセスを許可し、プログラム配信装置から配信されたプログラムを実行して当該アクセスを許可した車両ECUへのアクセスを実行し、一方、アクセス権が設定されなかった車両ECUへのアクセスを禁止することを特徴とするプログラム配信システム。 A program distribution device for distributing a program for executing access to the vehicle ECU to the in-vehicle gateway device;
A program distribution system comprising an in-vehicle gateway device that distributes a program from a program distribution device,
The program distribution device creates an electronic signature by performing a cryptographic operation with a single encryption key on the program to which the access right identifier is added, and makes a pair with the program, the access right identifier, the electronic signature, and the single encryption key. Is delivered to the in-vehicle gateway device,
When the program, the access right identifier, the electronic signature, and other encryption keys are distributed from the program distribution device, the in-vehicle gateway device performs a cryptographic operation with the other encryption key on the program with the access right identifier added thereto, Create a signature and compare the electronic signature created by performing cryptographic operations with one cryptographic key by the program distribution device with the electronic signature created by performing cryptographic operations with another cryptographic key by itself. A vehicle in which the access right to each vehicle ECU is set for a plurality of vehicle ECUs based on the access right identifier when the validity of the signature is determined and it is detected that the electronic signature is valid. Allows access to ECU, access by executing a program that is distributed from the program distribution apparatus to a vehicle ECU, which allow the access Run, whereas, a program distribution system and inhibits access to the vehicle ECU which access is not set.
プログラム配信装置からプログラムが配信される車載ゲートウェイ装置と、
プログラム配信装置から車載ゲートウェイ装置へ配信されたプログラムを実行するプログラム実行装置とを備えてなるプログラム配信システムであって、
プログラム配信装置は、アクセス権識別子が付加されたプログラムに対して一の暗号鍵による暗号演算を施して電子署名を作成し、プログラム、アクセス権識別子、電子署名および一の暗号鍵と対をなす他の暗号鍵を車載ゲートウェイ装置へ配信し、
車載ゲートウェイ装置は、プログラム配信装置からプログラム、アクセス権識別子、電子署名および他の暗号鍵が配信されると、アクセス権識別子が付加されたプログラムに対して他の暗号鍵による暗号演算を施して電子署名を作成し、プログラム配信装置により一の暗号鍵による暗号演算が施されて作成された電子署名と自身により他の暗号鍵による暗号演算が施されて作成された電子署名とを比較して電子署名の正当性を判定し、
プログラム実行装置は、車載ゲートウェイ装置により電子署名が正当である旨が検出された場合に、アクセス権識別子に基づいて複数の車両ECUについて各車両ECUへのアクセス権を設定し、アクセス権が設定された車両ECUへのアクセスを許可し、プログラム配信装置から配信されたプログラムを実行して当該アクセスを許可した車両ECUへのアクセスを実行し、一方、アクセス権が設定されなかった車両ECUへのアクセスを禁止することを特徴とするプログラム配信システム。 A program distribution device for distributing a program for executing access to the vehicle ECU to the in-vehicle gateway device;
An in-vehicle gateway device to which a program is distributed from the program distribution device;
A program distribution system comprising a program execution device that executes a program distributed from a program distribution device to an in-vehicle gateway device,
The program distribution device creates an electronic signature by performing a cryptographic operation with a single encryption key on the program to which the access right identifier is added, and makes a pair with the program, the access right identifier, the electronic signature, and the single encryption key. Is delivered to the in-vehicle gateway device,
When the program, the access right identifier, the electronic signature, and other encryption keys are distributed from the program distribution device, the in-vehicle gateway device performs a cryptographic operation with the other encryption key on the program with the access right identifier added thereto, Create a signature and compare the electronic signature created by performing cryptographic operations with one cryptographic key by the program distribution device with the electronic signature created by performing cryptographic operations with another cryptographic key by itself. Determine the validity of the signature,
When the in-vehicle gateway device detects that the electronic signature is valid, the program execution device sets the access right to each vehicle ECU based on the access right identifier, and the access right is set. The access to the vehicle ECU is permitted , the program distributed from the program distribution device is executed, and the access to the vehicle ECU is permitted, while the access right is not set for the vehicle ECU. Program distribution system characterized by prohibiting
暗号鍵を管理する認証局を備え、
認証局は、一の暗号鍵と他の暗号鍵とをプログラム配信装置へ送信すると共に他の暗号鍵を車載ゲートウェイ装置へ送信し、
プログラム配信装置は、アクセス権識別子が付加されたプログラムに対して認証局から送信された一の暗号鍵による暗号演算を施して電子署名を作成し、プログラム、アクセス権識別子、電子署名および認証局から送信された他の暗号鍵を車載ゲートウェイ装置へ配信し、
車載ゲートウェイ装置は、プログラム配信装置からプログラム、アクセス権識別子、電子署名および他の暗号鍵が配信されると、プログラム配信装置から配信された他の暗号鍵と認証局から送信された他の暗号鍵とを比較して他の暗号鍵の正当性を判定し、他の暗号鍵が正当である旨を検出した場合に、アクセス権識別子が付加されたプログラムに対して他の暗号鍵による暗号演算を施して電子署名を作成することを特徴とするプログラム配信システム。 In the program delivery system according to claim 1 or 2,
It has a certificate authority that manages encryption keys,
The certificate authority transmits one encryption key and another encryption key to the program distribution device and transmits the other encryption key to the in-vehicle gateway device,
The program distribution device creates an electronic signature by performing a cryptographic operation with the one encryption key transmitted from the certificate authority on the program to which the access right identifier is added, from the program, the access right identifier, the electronic signature, and the certificate authority. Deliver the transmitted other encryption key to the in-vehicle gateway device,
When the program, the access right identifier, the electronic signature, and other encryption keys are distributed from the program distribution device, the in-vehicle gateway device transmits another encryption key transmitted from the program distribution device and another encryption key transmitted from the certificate authority. To determine the validity of the other encryption key, and when it is detected that the other encryption key is valid, the encryption operation using the other encryption key is performed on the program with the access right identifier added. A program distribution system for creating an electronic signature.
プログラム配信装置からプログラム、アクセス権識別子、電子署名および他の暗号鍵が配信されると、アクセス権識別子が付加されたプログラムに対して他の暗号鍵による暗号演算を施して電子署名を作成し、プログラム配信装置により一の暗号鍵による暗号演算が施されて作成された電子署名と自身により他の暗号鍵による暗号演算が施されて生成された電子署名とを比較して電子署名の正当性を判定し、電子署名が正当である旨を検出した場合に、アクセス権識別子に基づいて複数の車両ECUについて各車両ECUへのアクセス権を設定し、アクセス権が設定された車両ECUへのアクセスを許可し、プログラム配信装置から配信されたプログラムを実行して当該アクセスを許可した車両ECUへのアクセスを実行し、一方、アクセス権が設定されなかった車両ECUへのアクセスを禁止することを特徴とする車載ゲートウェイ装置。 An electronic signature is created by performing a cryptographic operation with a single encryption key on a program that executes access to the vehicle ECU to which the access right identifier is added, and is associated with the program, the access right identifier, the electronic signature, and the single encryption key. An in-vehicle gateway device used in a program distribution system together with a program distribution device that distributes another encryption key to the in-vehicle gateway device,
When a program, an access right identifier, an electronic signature, and another encryption key are distributed from the program distribution device, an electronic signature is created by performing a cryptographic operation with another encryption key on the program to which the access right identifier is added, The validity of the electronic signature is verified by comparing the electronic signature created by performing the cryptographic operation with one encryption key by the program distribution device with the electronic signature generated by performing the cryptographic operation with another encryption key by itself. When the determination is made and it is detected that the electronic signature is valid, the access right to each vehicle ECU is set for a plurality of vehicle ECUs based on the access right identifier, and access to the vehicle ECU for which the access right is set is set. Permit and execute the program distributed from the program distribution device to execute access to the vehicle ECU that has permitted the access. Vehicle gateway apparatus and inhibits access to the vehicle ECU to but not set.
暗号鍵を管理する認証局と共にプログラム配信システム内で用いられ、プログラム配信装置からプログラム、アクセス権識別子、電子署名および他の暗号鍵が配信されると、プログラム配信装置から配信された他の暗号鍵と認証局から送信された他の暗号鍵とを比較して他の暗号鍵の正当性を判定し、他の暗号鍵が正当である旨を検出した場合に、アクセス権識別子が付加されたプログラムに対して他の暗号鍵による暗号演算を施して電子署名を作成することを特徴とする車載ゲートウェイ装置。 In the in-vehicle gateway device according to claim 4,
Used in a program distribution system together with a certificate authority that manages encryption keys, and when a program, an access right identifier, an electronic signature, and other encryption keys are distributed from the program distribution apparatus, other encryption keys distributed from the program distribution apparatus Is compared with the other encryption key transmitted from the certificate authority to determine the validity of the other encryption key, and when it detects that the other encryption key is valid, the program with the access right identifier added An in-vehicle gateway device characterized in that an electronic signature is created by performing a cryptographic operation with another encryption key .
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004047802A JP4321303B2 (en) | 2004-02-24 | 2004-02-24 | Program distribution system and in-vehicle gateway device |
| US11/063,414 US7551986B2 (en) | 2004-02-24 | 2005-02-23 | Program distribution system, program distribution device, and in-vehicle gateway device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004047802A JP4321303B2 (en) | 2004-02-24 | 2004-02-24 | Program distribution system and in-vehicle gateway device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005244313A JP2005244313A (en) | 2005-09-08 |
| JP4321303B2 true JP4321303B2 (en) | 2009-08-26 |
Family
ID=35025624
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004047802A Expired - Fee Related JP4321303B2 (en) | 2004-02-24 | 2004-02-24 | Program distribution system and in-vehicle gateway device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4321303B2 (en) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101365825B (en) * | 2005-12-23 | 2013-06-19 | 昆腾燃料系统技术全球公司 | Safety warning and shutdown device and method for hydrogen storage containers |
| JP2013026964A (en) * | 2011-07-25 | 2013-02-04 | Denso Corp | Information update device for vehicle and information update method for vehicle |
| JP5435022B2 (en) * | 2011-12-28 | 2014-03-05 | 株式会社デンソー | In-vehicle system and communication method |
| JP5950225B2 (en) | 2012-01-10 | 2016-07-13 | クラリオン株式会社 | Server device, in-vehicle terminal, information communication method, and information distribution system |
| JP6228093B2 (en) * | 2014-09-26 | 2017-11-08 | Kddi株式会社 | system |
| WO2018198297A1 (en) * | 2017-04-27 | 2018-11-01 | 富士通株式会社 | Vehicle system and key distribution method |
-
2004
- 2004-02-24 JP JP2004047802A patent/JP4321303B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005244313A (en) | 2005-09-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106603483B (en) | Vehicle system and authentication method | |
| JP4689946B2 (en) | A system that executes information processing using secure data | |
| JP4689945B2 (en) | Resource access method | |
| US8555075B2 (en) | Methods and system for storing and retrieving identity mapping information | |
| JP4278327B2 (en) | Computer platform and operation method thereof | |
| US20040088541A1 (en) | Digital-rights management system | |
| DE112017002044T5 (en) | PLATFORM TESTING AND REGISTRATION FOR SERVER | |
| CN105162797B (en) | A kind of mutual authentication method based on video monitoring system | |
| US8631486B1 (en) | Adaptive identity classification | |
| US7551986B2 (en) | Program distribution system, program distribution device, and in-vehicle gateway device | |
| JP2012186635A (en) | Vehicle network system | |
| JP2008005156A (en) | Information processing terminal and state reporting method | |
| EP3292495B1 (en) | Cryptographic data | |
| CN111914293A (en) | Data access authority verification method and device, computer equipment and storage medium | |
| JP6387908B2 (en) | Authentication system | |
| CN115001695A (en) | Secure provisioning of baseboard management controller identities for platforms | |
| Ammar et al. | Securing the on-board diagnostics port (obd-ii) in vehicles | |
| Crowther et al. | Securing Over-the-Air Firmware Updates (FOTA) for Industrial Internet of Things (IIOT) Devices | |
| JP4321303B2 (en) | Program distribution system and in-vehicle gateway device | |
| JP6208645B2 (en) | License management method and license management system | |
| Schweppe | Security and privacy in automotive on-board networks | |
| Stumpf et al. | Trust, security and privacy in vanets a multilayered security architecture for c2c-communication | |
| KR100880512B1 (en) | An entrance terminal with a built-in sam | |
| Wolf | Vehicular security mechanisms | |
| Andréasson et al. | Device Attestation for In-Vehicle Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060411 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080129 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080930 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081110 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090512 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090525 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4321303 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120612 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120612 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130612 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140612 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |