車両用情報更新装置および車両用情報更新方法
【課題】書込装置により更新情報を書き込む場合であっても、正当性を欠いた不正な更新情報によって制御情報が更新されるおそれを低減する車両用情報更新装置および車両用情報更新方法を提供する。
【解決手段】車両11に搭載されている機能部を制御する複数のECU14と、予め第一暗号鍵により暗号化された状態で記憶している更新情報をECU14に書き込む診断装置12と、を備え、診断装置12は、予め第一暗号鍵により暗号化されている更新情報を第二暗号鍵によりさらに暗号化した状態でECU14に書き込み、ECU14は、第二暗号鍵および第一暗号鍵により暗号化されている更新情報が復号鍵によって復号可能であれば、書き込まれた更新情報を新たな制御情報として記憶する。
【解決手段】車両11に搭載されている機能部を制御する複数のECU14と、予め第一暗号鍵により暗号化された状態で記憶している更新情報をECU14に書き込む診断装置12と、を備え、診断装置12は、予め第一暗号鍵により暗号化されている更新情報を第二暗号鍵によりさらに暗号化した状態でECU14に書き込み、ECU14は、第二暗号鍵および第一暗号鍵により暗号化されている更新情報が復号鍵によって復号可能であれば、書き込まれた更新情報を新たな制御情報として記憶する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両に搭載されている制御ユニットの制御情報を更新する車両用情報更新装置および車両用情報更新方法に関する。
【背景技術】
【0002】
車両は、例えばエンジンや空調機器あるいは照明機器など各種の機能部が設けられており、それらの機能部を制御するために複数の制御ユニットが搭載されている。これらの制御ユニットは、予め記憶している制御プログラムに基づいて作動するするマイクロコンピュータを一般的に有している。このような制御ユニットは、機能の追加や制御方法の変更などにより制御プログラム本体および制御プログラムで使用するパラメータなどの制御情報の更新が必要となることがある。その場合、例えば異なる車両用や異なる制御ユニット用の制御情報などの誤った情報が書き込まれると、制御ユニットの作動に支障をきたすおそれがある。そこで、例えば特許文献1には、車両に応じた情報のみを得ることができるものが開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2005−121719号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1のものは、更新対象が地図情報であることから、地図情報の保護すなわちコンテンツの保護を主眼としている。そのため、特許文献1のものは、更新される情報そのものの正当性、例えば、通信経路において情報が改ざんされていないかどうか、あるいは、更新する情報が不正なものではないかどうかなどついては考慮していない。これに対して、車両用の制御ユニットの場合、例えばエンジンなどの車両の走行に関わる機能部の制御情報を更新することがあることから、更新される情報(更新情報)そのものの正当性が重要となる。
【0005】
そこで、本発明は、書込装置により更新情報を書き込む場合であっても、正当性を欠いた不正な更新情報によって制御情報が更新されるおそれを低減する車両用情報更新装置および車両用情報更新方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
請求項1記載の車両用情報更新装置の発明では、車両に搭載されている機能部を制御する複数の制御ユニットと、予め第一暗号鍵により暗号化された状態で記憶している更新情報を制御ユニットに書き込む書込装置と、を備え、書込装置は、予め第一暗号鍵により暗号化されている更新情報を第二暗号鍵によりさらに暗号化した状態で制御ユニットに書き込み、制御ユニットは、第二暗号鍵および第一暗号鍵により暗号化されている更新情報が復号鍵によって復号可能であれば、書き込まれた更新情報を新たな制御情報として記憶する。
【0007】
これによれば、更新情報は、予め第一暗号鍵で暗号化された状態で書込装置に記憶されている。つまり、書込装置は、他の装置で既に暗号化された更新情報を記憶している。以下、第一暗号鍵により暗号化された更新情報を便宜的に第一暗号化データと称する。また、書込装置は、第一暗号化データを、第一暗号鍵とは異なる第二暗号鍵によりさらに暗号化して制御ユニットに書き込む。以下、第二暗号鍵により暗号化された第一暗号化データを便宜的に第二暗号化データと称する。
【0008】
このとき、制御ユニットは、書き込まれた第二暗号化データが復号鍵で復号可能であるか否かを判定する。この復号鍵は、第一暗号鍵および第二暗号鍵で暗号化された更新情報を復号するものである。そのため、復号鍵により復号可能であることは、第二暗号化データを書き込んだ装置が正しい書込装置であること、すなわち、通信経路において改ざんなどが行われた可能性が低いことを示している。また、復号鍵により復号可能であることは、書き込まれた第二暗号化データに含まれている更新情報が第一暗号鍵で暗号化されたものであること、すなわち、更新情報そのものが正しいものであることを示している。
【0009】
そして、制御ユニットは、書き込まれた第二暗号化データが復号鍵により復号可能であれば、換言すると、書き込まれた更新情報の正当性が確認されれば、その更新情報を新たな制御情報として記憶する。これにより、正当性が確認された更新情報によって制御情報が更新される。したがって、書込装置により更新情報を書き込む場合において、更新情報の機密性および安全性を高めることができ、正当性を欠いた不正な更新情報によって制御情報が更新されるおそれを低減することができる。
【0010】
請求項2記載の車両用情報更新装置の発明では、復号鍵を生成する復号鍵生成部を有し、生成した復号鍵を制御ユニットに通知する復号鍵通知装置をさらに備えている。そして、制御ユニットは、自身に固有の識別情報を復号鍵通知装置に送信することによって復号鍵の生成を要求し、復号鍵通知装置は、制御ユニットからの要求に応じて識別情報に基づいて復号鍵を生成する。なお、自身に固有の識別情報とは、制御ユニットを一意に特定可能な情報を意味しており、制御ユニットに固有の情報だけでなく搭載されている車両に固有の情報なども含んでいる。
【0011】
車両用の制御ユニットの場合、制御情報の更新は、車両の所有者である一般ユーザにより行われるのではなく、専用の書込装置を所有する例えば車両の販売店や整備工場などによって行われる。その場合、書込装置の操作者が誤って他の車両用や他の制御ユニット用の更新情報を書き込むおそれがある。そこで、復号鍵通知装置は、更新対象となる制御ユニットに固有の識別情報例えば車両の種別や制御ユニットの種別などに基づいて、更新対象となる制御ユニットごとに固有の復号鍵を生成する。これにより、誤った更新情報が書き込まれた場合には、その更新情報を復号鍵で復号することができなくなる。換言すると、制御ユニットごとに固有の復号鍵によって復号が可能な第二暗号化データは、正しく更新対象となる制御ユニット用のものであるといえる。したがって、更新情報の正当性をより確実なものとすることができる。
【0012】
請求項3記載の車両用情報更新装置の発明では、生成した復号鍵を書込装置を介することなく制御ユニットに通知するので、通知経路において意図的あるいは意図せずに誤った復号鍵が提供されたり復号鍵が改ざんされたりすることがない。したがって、通知された復号鍵が正しく更新対象となる制御ユニット用のものであること、すなわち、復号鍵自体の正当性を確認することができる。また、復号鍵が制御ユニットに直接通知されることから、復号鍵を知り得ない第三者によってその復号鍵により復号可能な不正データが作成さることもない。そのため、誤った更新データや不正な更新データを暗号化した第二暗号化データを書き込もうとしたとしても、その第二暗号化データは制御ユニット側で復号することができない。したがって、誤ったあるいは不正な更新情報によって制御ユニットの制御情報が更新されるおそれを低減することができる。
【0013】
請求項4記載の車両用情報更新装置の発明では、第二暗号鍵は復号鍵通知装置により生成され、書込装置は、更新対象となる制御ユニットに固有の識別情報を復号鍵通知装置に送信することによって第二暗号鍵を復号鍵通知装置から取得する。これにより、第二暗号鍵の生成手順(いわゆるアルゴリズム)が書込装置の操作者などに漏洩するおそれが低減される。したがって、不正な更新情報が不正に生成された第二暗号鍵により書き込まれるおそれを低減することができ、更新情報の正当性をより確実なものにすることができる。
【0014】
請求項5記載の車両用情報更新方法の発明では、制御情報を更新するための更新情報を予め第一暗号鍵で暗号化する第一暗号化工程と、第一暗号化工程で暗号化した更新情報を更新対象となる制御ユニットに固有の識別情報に基づいて生成された第二暗号鍵でさらに暗号化する第二暗号化工程と、第二暗号化工程で暗号化された更新情報を制御ユニットに書き込む書込工程と、書込工程で書き込まれた更新情報が更新対象となる制御ユニットに固有の識別情報に基づいて生成された復号鍵で復号可能であるかを判定する判定工程と、判定工程で復号可能であると判定された更新情報を新たな制御情報として記憶する更新工程と、を行う。
【0015】
このように更新情報を第一暗号鍵でまず暗号化し、その第一暗号鍵とは異なる第二暗号鍵でさらに暗号化した状態で制御ユニットに書き込むことにより、上記したように、書き込まれた更新情報が更新対象となる制御ユニット用のものであること、および、更新情報が正しいものであること、換言すると、更新情報の正当性を確認することができる。したがって、書込装置により更新情報を書き込む場合において、正当性を欠いた不正な更新情報によって制御情報が更新されるおそれを低減することができる。
【図面の簡単な説明】
【0016】
【図1】一実施形態による車両用情報更新装置の構成を概略的に示す図
【図2】一実施形態による制御情報の更新処理の流れを模式的に示す図
【発明を実施するための形態】
【0017】
以下、本発明による車両用情報更新装置の一実施形態について、図1および図2を参照しながら説明する。
図1に示すように、本実施形態の車両用情報更新装置10は、車両11と、書込装置に相当する診断装置12と、これら車両11および診断装置12と通信可能に接続されている復号鍵通知手段としてのセンタ装置13とを備えている。
車両11は、複数の制御ユニットとしてのECU14(Electronic Control Unit)が搭載されている。各ECU14は、CAN(Controller Area Network)などの車載LAN15により接続されている。各ECU14は、図示しないCPU、ROMおよびRAMなどを有するマイクロコンピュータで構成されており、制御情報記憶部16に記憶されている制御プログラムにしたがって制御対象となる機能部を制御する。
【0018】
ECU14に設けられている制御情報記憶部16は、制御プログラム本体、および制御プログラムで用いる各種のデータやパラメータなどの制御情報を記憶している。この制御情報記憶部16は、例えばフラッシュメモリやHDDあるいはメモリカードなど、書き換え可能な記憶手段により構成されている。なお、図1では、車両11に4つのECU14A〜14Dが搭載されている状態を示しているが、ECU14の数はこれに限定されない。また、図1では、ECU14にのみ制御情報記憶部16を示したが、制御情報記憶部16は他のECU14にも設けられている。
【0019】
各ECU14は、例えばエンジンを制御するエンジンECU、空調機器を制御する空調ECU、ヘッドライトや車内灯などの照明機器を制御する照明ECUなど、車両11に搭載されている各種の機能部を制御するためのものである。また、本実施形態でいうECU14は、車両11に予め設けられている機能部を制御するものだけでなく、例えばナビゲーション装置やオーディオ装置など車両11に搭載されている各種の車両用機器を制御するものなど、制御情報の更新が可能なもの全般を含んでいる。なお、図1においてハッチングにて示すECU14Bは、詳細は後述するが、本実施形態において制御情報を更新する対象となっている更新対象ECUであることを示している。
【0020】
これらのECU14のうち、通信用ECU14Aは、診断装置12およびセンタ装置13との通信を制御する。この通信用ECU14Aは、診断装置12およびセンタ装置13から受信した後述する更新情報や復号鍵を各ECU14に車載LAN15を経由して送信する機能、および、後述する識別情報を各ECU14から受信する機能を有している。また、通信用ECU14Aは、センタ装置13との間で無線通信を行うためのアンテナ17を有している。このアンテナ17は、通信用ECU14Aに設けられている図示しない通信手段としての通信部に接続している。
【0021】
また、通信用ECU14Aの図示しない通信部は、診断装置12との通信も制御する。この場合、通信用ECU14Aと診断装置12との間の通信回線18は、有線によるものであっても無線によるものであってもよい。また、センタ装置13との間の無線通信回線19は、通信用ECU14Aとの間で直接的に無線通信を行うものであってもよいし、例えば携帯通信端末を通信媒体としてアンテナ17の代わりに用いる構成であってもよい。なお、本実施形態では通信専用の通信用ECU14Aを設けたが、各ECU14にそれぞれ通信手段を設けてもよい。
【0022】
診断装置12は、通信用ECU14Aと通信回線18により接続される図示しない通信部を備えている。車両11に搭載されている各ECU14に対する制御情報の更新は、例えば故障時や車検時に車両11が販売店や整備工場などで診断されるときに行われる。そのため、診断装置12は、制御情報の書き込みのほかに、車両11の状態を診断する機能も備えている。この診断装置12は、例えばコンピュータにより構成されており、操作者の操作を受け付ける図示しない操作入力部、および、捜査結果などを表示する図示しないモニタなどの表示手段を備えている。
また、診断装置12は、更新情報記憶部20を備えている。この更新情報記憶部20は、詳細は後述するが、車両11に搭載されているECU14の制御情報記憶部16に記憶されている制御情報を更新するための更新情報を暗号鍵(第一暗号鍵)により予め暗号化した状態で記憶している。この診断装置12は、センタ装置13に通信回線21によって通信可能に接続されている。
【0023】
センタ装置13は、例えばコンピュータにより構成されており、車両11との間で通信を行うための図示しない通信部に接続されたアンテナ22、暗号鍵生成部23および復号鍵生成部24を備えている。このセンタ装置13は、例えば車両11の製造メーカなどにより提供されるものである。暗号鍵生成部23は、詳細は後述するが、診断装置12から車両11のECU14に更新情報を書き込む際に使用する暗号鍵(第二暗号鍵)を生成する。また、復号鍵生成部24は、詳細は後述するが、診断装置12から書き込まれた更新情報を復号するための復号鍵を生成する。本実施形態ではこれら暗号鍵生成部23および復号鍵生成部24をコンピュータにより実行されるプログラムによってソフトウェア的に実現しているが、ハードウェア的に実現してもよい。
【0024】
次に、上記した構成の車両用情報更新装置10の作用について、制御情報の更新処理の流れとともに説明する。なお、以下の説明においては、更新される制御情報である更新情報を便宜的に「更新データ」とも称し、更新データを第一暗号鍵により暗号化したものを「第一暗号化データ」と称し、第一暗号化データをさらに第二暗号鍵で暗号化したものを「第二暗号化データ」とする。また、図2に示すように、第一暗号化データを「A(更新データ)」とも称し、第二暗号化データを「B(A(更新データ))」とも称する。
【0025】
図2に示すように、制御情報の更新は、第一暗号化工程、第二暗号化工程、書込工程、判定工程および更新工程の各工程を経て実施される。
第一暗号化工程では、第一暗号鍵による制御情報(更新データ)の暗号化が行われる。この第一暗号鍵による暗号化は、診断装置12ではなく、例えば車両11の製造メーカなどにより行われるものである。つまり、診断装置12には、診断装置12とは異なる装置により暗号化された第一暗号化データ『A(更新データ)』が記憶されることになる。換言すると、診断装置12およびその操作者は、第一暗号鍵を知り得ないといえる。なお、図2では、第一暗号化工程のうち、第一暗号化データを診断装置12にて記憶する処理のみを示している。なお、暗号化の手法は、周知の技術を採用することが可能であるので、詳細な説明は省略する。
【0026】
診断装置12は、車両11を診断した際、制御情報の更新が必要な更新対象ECUがあるかどうか判断し、更新対象ECUがあった場合には、センタに対して第二暗号鍵を要求する。このとき、診断装置12は、診断中の車両11に搭載されている更新対象ECUに固有の識別情報を送信することにより第二暗号鍵を要求する。ここで、固有の識別情報とは、例えば製造メーカ名や車種あるいは製造番号などの車両11に関する情報や、エンジンECUであるか空調ECUであるかなどのECU14に関する情報などであり、更新対象ECUを一意に特定可能な情報のことである。なお、必ずしも上記にて例示した情報を全て含む必要はないし、更新対象ECUを特定可能であれば例示したもの以外の情報を採用してもよい。
【0027】
診断装置12から第二暗号鍵の要求があると、センタ装置13は、送信された識別情報に基づいて第二暗号鍵を生成するとともに、生成した第二暗号鍵を診断装置12に通知する。第二暗号鍵が通知されると、診断装置12は、第二暗号化工程において、通知された第二暗号鍵により制御情報(この場合、第一暗号化データ)をさらに暗号化して第二暗号化データ『B(A(更新データ))』を生成する。つまり、この時点で、更新データは二重の暗号化により保護されることになる。
【0028】
続いて、診断装置12は、書込工程において、第二暗号化データを更新対象ECUに書き込む。本実施形態の場合、診断装置12から書き込まれた第二暗号化データは、通信用ECU14Aにて受信された後、更新対象ECU(この場合、ECU14B)に送信される。これにより、第二暗号化データが更新対象ECUに取得される。この時点では、第二暗号化データは一時的に記憶されているのみであり、制御情報記憶部16への記憶はされていない。第二暗号化データを取得すると、更新対象ECUは、通信用ECU14Aを介して自身に固有の識別情報をセンタ装置13に送信する。この更新対象ECUからの識別情報の送信が、センタ装置13に対する復号鍵の生成および通知の要求となる。センタ装置13は、更新対象ECUからの要求を受けると、第二暗号化データを復号するための復号鍵を生成するとともに、生成した復号鍵を更新対象ECUに対して通知する。
【0029】
センタ装置13から復号鍵が通知されると、更新対象ECUは、判定工程において、診断装置12から書き込まれた第二暗号化データが、センタ装置13から通知された復号鍵により復号可能であるかを判定する。センタ装置13から通知される復号鍵は、第二暗号化データ、すなわち、第一暗号鍵により暗号化された更新データをさらに第二暗号鍵により暗号化したデータを復号するためのものである。そのため、復号鍵により復号可能であるという事実は、第二暗号化データが正しく診断装置12から書き込まれたこと、および、書き込まれた第二暗号化データに含まれている更新データが正しく第一暗号鍵で暗号化されたものであることを示している。つまり、更新対象ECUでは、この判定工程において、第二暗号化データが復号鍵で復号可能であるか否かによって、更新データの正当性の判定が行われている。
【0030】
そして、更新対象ECUは、第二暗号化データの正当性が確認できれば、更新工程において、復号した更新データを新たな制御情報として制御情報記憶部16に記憶することにより制御情報を更新する。これにより、制御情報記憶部16に記憶されている制御情報は、正しい更新データに基づいて適切に更新される。
【0031】
このように、車両用情報更新装置10は、制御情報の更新を行っている。また、このようにして制御情報が更新された車両11は、その後、更新したECU14が正常に作動するかなどの点検作業が行われ、制御情報が更新された車両11の走行や安全性に支障がないかなどの確認が行われている。
【0032】
以上に説明した車両用情報更新装置10によれば、次のような効果を奏する。
更新データ(更新情報)は、予め第一暗号鍵で暗号化された状態で診断装置12に記憶されている。そして、診断装置12は、第一暗号化データを、第一暗号鍵とは異なる第二暗号鍵によりさらに暗号化して更新対象ECU(制御ユニット)に書き込む。これにより、更新データは、二重の暗号化によりその機密性が高められている。一方、更新対象ECUは、書き込まれた第二暗号化データが復号鍵で復号可能であるか否かを判定し、復号鍵により復号可能であれば、更新データを新たな制御情報として記憶する。これにより、更新データの正当性が確認できる。したがって、診断装置12により更新データを書き込む場合において、更新データの機密性および安全性を高めることができるとともに、正当性を欠いた不正な更新データによって更新されるおそれを低減することができる。
【0033】
センタ装置13は、更新対象ECUに固有の識別情報に基づいて更新対象ECUごとに固有の復号鍵を生成する。そのため、診断装置12の操作者が誤って他の車両用や他のECU14用の更新データを書き込んだとしても、復号鍵による復号が不可能であるので、正しくないデータであると判定できる。換言すると、更新対象ECUごとに固有の復号鍵によって復号が可能な第二暗号化データは、正しく更新対象ECU用のものであるといえる。したがって、書き込まれた第二暗号化データが正しく更新対象ECU用のものであることを確認でき、更新データの正当性をより確実なものとすることができる。
この場合、復号鍵は、診断装置12を介することなく更新対象ECUに通知されるので、その通知経路において意図的あるいは意図せずに誤った復号鍵が提供されたり復号鍵が改ざんされたりすることがない。これにより、通知された復号鍵が正しく更新対象ECU用のものであること、すなわち、復号鍵自体の正当性を確認することができる。
【0034】
また、復号鍵が更新対象ECUに直接通知されることから、復号鍵を知り得ない者がその復号鍵で復号可能な第二暗号化データを生成することができなくなる。そのため、誤った更新データや不正な更新データを暗号化した第二暗号化データを書き込もうとしたとしても、その第二暗号化データは更新対象ECU側で復号することができない。したがって、更新対象ECUの制御情報が誤ったあるいは不正な更新データによって更新されるおそれを低減することができる。
診断装置12は、更新対象ECUに固有の識別情報をセンタ装置13に送信することによって第二暗号鍵をセンタ装置13から取得する。これにより、第二暗号鍵の生成手順(いわゆるアルゴリズム)が漏洩するおそれが低減される。したがって、不正に生成された第二暗号鍵により不正な更新データが書き込まれるおそれを低減することができ、更新データの正当性をより確実なものにすることができる。
【0035】
第一暗号化工程と第二暗号化工程とにおいて異なる暗号鍵をそれぞれ使用し、判定工程において復号鍵にて更新データが復号可能であるかを判定する車両用情報更新方法によれば、上記したように、書き込まれた更新データが更新対象ECU用のものであること、および、更新データが正しいものであること、換言すると、更新データの正当性を確認することができる。また、診断装置12の操作者が識別情報や第二暗号鍵を不正に、または、故意ではないにしろ取得したとしても、第一暗号鍵および復号鍵を知ることができなければ更新対象ECUに正しくない更新データを書き込むことができなくなり、制御情報の更新における機密性、安全性を高めることができる。したがって、診断装置12により更新データを書き込む場合において、正当性を欠いた不正な更新データによって制御情報が更新されるおそれを低減することができる。
【0036】
(その他の実施形態)
本発明は、上述した各実施形態にのみ限定されるものではなく、以下のように変形又は拡張することができる。
一実施形態では、復号鍵で復号可能であるか否かにより更新データの正当性を判定したが、復号した更新データに予め定められているデータ配列が記録されている、あるいは、復号後のデータサイズが正当であるなど、さらに確実性を向上させる手法を合わせて確認するようにしてもよい。この場合、所定のデータ配列やデータサイズは、センタ装置13から通知するようにすればよい。もちろん、上記の2つ以外の確認手法を用いたり、それらを組み合わせたりしてもよい。
一実施形態では、更新対象ECUが自身で制御情報の更新を行ったが、例えば専用に更新用ECUを設け、更新用ECUにより上記した正当性の確認など各ECU14に共通する処理を行わせる構成としてもよい。
【0037】
第二暗号鍵および復号鍵を更新対象ECUに固有の識別情報に基づいて生成したが、例えば診断装置12に固有の識別情報にさらに基づいて第二暗号鍵や復号鍵を生成してもよい。例えば、診断装置12に固有の識別情報に基づいて生成すれば、センタ装置13側あるいは更新対象ECU側にて書き込んだ診断装置12が正しいものであるか否かの判定が可能となり、更新データの正当性をより確度の高いものとすることができる。この場合、書き込みを行った診断装置12の特定が可能となることから、不正を行おうとする者に対する抑止力としての効果も期待できる。
【符号の説明】
【0038】
図面中、10は車両用情報更新装置、11は車両、12は診断装置(書込装置)、13はセンタ装置(復号鍵通知装置)、14A、14B、14C、14DはECU(制御ユニット)、16は制御情報記憶部、20は更新情報記憶部、23は暗号鍵生成部、24は復号鍵生成部を示す。
【技術分野】
【0001】
本発明は、車両に搭載されている制御ユニットの制御情報を更新する車両用情報更新装置および車両用情報更新方法に関する。
【背景技術】
【0002】
車両は、例えばエンジンや空調機器あるいは照明機器など各種の機能部が設けられており、それらの機能部を制御するために複数の制御ユニットが搭載されている。これらの制御ユニットは、予め記憶している制御プログラムに基づいて作動するするマイクロコンピュータを一般的に有している。このような制御ユニットは、機能の追加や制御方法の変更などにより制御プログラム本体および制御プログラムで使用するパラメータなどの制御情報の更新が必要となることがある。その場合、例えば異なる車両用や異なる制御ユニット用の制御情報などの誤った情報が書き込まれると、制御ユニットの作動に支障をきたすおそれがある。そこで、例えば特許文献1には、車両に応じた情報のみを得ることができるものが開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2005−121719号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1のものは、更新対象が地図情報であることから、地図情報の保護すなわちコンテンツの保護を主眼としている。そのため、特許文献1のものは、更新される情報そのものの正当性、例えば、通信経路において情報が改ざんされていないかどうか、あるいは、更新する情報が不正なものではないかどうかなどついては考慮していない。これに対して、車両用の制御ユニットの場合、例えばエンジンなどの車両の走行に関わる機能部の制御情報を更新することがあることから、更新される情報(更新情報)そのものの正当性が重要となる。
【0005】
そこで、本発明は、書込装置により更新情報を書き込む場合であっても、正当性を欠いた不正な更新情報によって制御情報が更新されるおそれを低減する車両用情報更新装置および車両用情報更新方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
請求項1記載の車両用情報更新装置の発明では、車両に搭載されている機能部を制御する複数の制御ユニットと、予め第一暗号鍵により暗号化された状態で記憶している更新情報を制御ユニットに書き込む書込装置と、を備え、書込装置は、予め第一暗号鍵により暗号化されている更新情報を第二暗号鍵によりさらに暗号化した状態で制御ユニットに書き込み、制御ユニットは、第二暗号鍵および第一暗号鍵により暗号化されている更新情報が復号鍵によって復号可能であれば、書き込まれた更新情報を新たな制御情報として記憶する。
【0007】
これによれば、更新情報は、予め第一暗号鍵で暗号化された状態で書込装置に記憶されている。つまり、書込装置は、他の装置で既に暗号化された更新情報を記憶している。以下、第一暗号鍵により暗号化された更新情報を便宜的に第一暗号化データと称する。また、書込装置は、第一暗号化データを、第一暗号鍵とは異なる第二暗号鍵によりさらに暗号化して制御ユニットに書き込む。以下、第二暗号鍵により暗号化された第一暗号化データを便宜的に第二暗号化データと称する。
【0008】
このとき、制御ユニットは、書き込まれた第二暗号化データが復号鍵で復号可能であるか否かを判定する。この復号鍵は、第一暗号鍵および第二暗号鍵で暗号化された更新情報を復号するものである。そのため、復号鍵により復号可能であることは、第二暗号化データを書き込んだ装置が正しい書込装置であること、すなわち、通信経路において改ざんなどが行われた可能性が低いことを示している。また、復号鍵により復号可能であることは、書き込まれた第二暗号化データに含まれている更新情報が第一暗号鍵で暗号化されたものであること、すなわち、更新情報そのものが正しいものであることを示している。
【0009】
そして、制御ユニットは、書き込まれた第二暗号化データが復号鍵により復号可能であれば、換言すると、書き込まれた更新情報の正当性が確認されれば、その更新情報を新たな制御情報として記憶する。これにより、正当性が確認された更新情報によって制御情報が更新される。したがって、書込装置により更新情報を書き込む場合において、更新情報の機密性および安全性を高めることができ、正当性を欠いた不正な更新情報によって制御情報が更新されるおそれを低減することができる。
【0010】
請求項2記載の車両用情報更新装置の発明では、復号鍵を生成する復号鍵生成部を有し、生成した復号鍵を制御ユニットに通知する復号鍵通知装置をさらに備えている。そして、制御ユニットは、自身に固有の識別情報を復号鍵通知装置に送信することによって復号鍵の生成を要求し、復号鍵通知装置は、制御ユニットからの要求に応じて識別情報に基づいて復号鍵を生成する。なお、自身に固有の識別情報とは、制御ユニットを一意に特定可能な情報を意味しており、制御ユニットに固有の情報だけでなく搭載されている車両に固有の情報なども含んでいる。
【0011】
車両用の制御ユニットの場合、制御情報の更新は、車両の所有者である一般ユーザにより行われるのではなく、専用の書込装置を所有する例えば車両の販売店や整備工場などによって行われる。その場合、書込装置の操作者が誤って他の車両用や他の制御ユニット用の更新情報を書き込むおそれがある。そこで、復号鍵通知装置は、更新対象となる制御ユニットに固有の識別情報例えば車両の種別や制御ユニットの種別などに基づいて、更新対象となる制御ユニットごとに固有の復号鍵を生成する。これにより、誤った更新情報が書き込まれた場合には、その更新情報を復号鍵で復号することができなくなる。換言すると、制御ユニットごとに固有の復号鍵によって復号が可能な第二暗号化データは、正しく更新対象となる制御ユニット用のものであるといえる。したがって、更新情報の正当性をより確実なものとすることができる。
【0012】
請求項3記載の車両用情報更新装置の発明では、生成した復号鍵を書込装置を介することなく制御ユニットに通知するので、通知経路において意図的あるいは意図せずに誤った復号鍵が提供されたり復号鍵が改ざんされたりすることがない。したがって、通知された復号鍵が正しく更新対象となる制御ユニット用のものであること、すなわち、復号鍵自体の正当性を確認することができる。また、復号鍵が制御ユニットに直接通知されることから、復号鍵を知り得ない第三者によってその復号鍵により復号可能な不正データが作成さることもない。そのため、誤った更新データや不正な更新データを暗号化した第二暗号化データを書き込もうとしたとしても、その第二暗号化データは制御ユニット側で復号することができない。したがって、誤ったあるいは不正な更新情報によって制御ユニットの制御情報が更新されるおそれを低減することができる。
【0013】
請求項4記載の車両用情報更新装置の発明では、第二暗号鍵は復号鍵通知装置により生成され、書込装置は、更新対象となる制御ユニットに固有の識別情報を復号鍵通知装置に送信することによって第二暗号鍵を復号鍵通知装置から取得する。これにより、第二暗号鍵の生成手順(いわゆるアルゴリズム)が書込装置の操作者などに漏洩するおそれが低減される。したがって、不正な更新情報が不正に生成された第二暗号鍵により書き込まれるおそれを低減することができ、更新情報の正当性をより確実なものにすることができる。
【0014】
請求項5記載の車両用情報更新方法の発明では、制御情報を更新するための更新情報を予め第一暗号鍵で暗号化する第一暗号化工程と、第一暗号化工程で暗号化した更新情報を更新対象となる制御ユニットに固有の識別情報に基づいて生成された第二暗号鍵でさらに暗号化する第二暗号化工程と、第二暗号化工程で暗号化された更新情報を制御ユニットに書き込む書込工程と、書込工程で書き込まれた更新情報が更新対象となる制御ユニットに固有の識別情報に基づいて生成された復号鍵で復号可能であるかを判定する判定工程と、判定工程で復号可能であると判定された更新情報を新たな制御情報として記憶する更新工程と、を行う。
【0015】
このように更新情報を第一暗号鍵でまず暗号化し、その第一暗号鍵とは異なる第二暗号鍵でさらに暗号化した状態で制御ユニットに書き込むことにより、上記したように、書き込まれた更新情報が更新対象となる制御ユニット用のものであること、および、更新情報が正しいものであること、換言すると、更新情報の正当性を確認することができる。したがって、書込装置により更新情報を書き込む場合において、正当性を欠いた不正な更新情報によって制御情報が更新されるおそれを低減することができる。
【図面の簡単な説明】
【0016】
【図1】一実施形態による車両用情報更新装置の構成を概略的に示す図
【図2】一実施形態による制御情報の更新処理の流れを模式的に示す図
【発明を実施するための形態】
【0017】
以下、本発明による車両用情報更新装置の一実施形態について、図1および図2を参照しながら説明する。
図1に示すように、本実施形態の車両用情報更新装置10は、車両11と、書込装置に相当する診断装置12と、これら車両11および診断装置12と通信可能に接続されている復号鍵通知手段としてのセンタ装置13とを備えている。
車両11は、複数の制御ユニットとしてのECU14(Electronic Control Unit)が搭載されている。各ECU14は、CAN(Controller Area Network)などの車載LAN15により接続されている。各ECU14は、図示しないCPU、ROMおよびRAMなどを有するマイクロコンピュータで構成されており、制御情報記憶部16に記憶されている制御プログラムにしたがって制御対象となる機能部を制御する。
【0018】
ECU14に設けられている制御情報記憶部16は、制御プログラム本体、および制御プログラムで用いる各種のデータやパラメータなどの制御情報を記憶している。この制御情報記憶部16は、例えばフラッシュメモリやHDDあるいはメモリカードなど、書き換え可能な記憶手段により構成されている。なお、図1では、車両11に4つのECU14A〜14Dが搭載されている状態を示しているが、ECU14の数はこれに限定されない。また、図1では、ECU14にのみ制御情報記憶部16を示したが、制御情報記憶部16は他のECU14にも設けられている。
【0019】
各ECU14は、例えばエンジンを制御するエンジンECU、空調機器を制御する空調ECU、ヘッドライトや車内灯などの照明機器を制御する照明ECUなど、車両11に搭載されている各種の機能部を制御するためのものである。また、本実施形態でいうECU14は、車両11に予め設けられている機能部を制御するものだけでなく、例えばナビゲーション装置やオーディオ装置など車両11に搭載されている各種の車両用機器を制御するものなど、制御情報の更新が可能なもの全般を含んでいる。なお、図1においてハッチングにて示すECU14Bは、詳細は後述するが、本実施形態において制御情報を更新する対象となっている更新対象ECUであることを示している。
【0020】
これらのECU14のうち、通信用ECU14Aは、診断装置12およびセンタ装置13との通信を制御する。この通信用ECU14Aは、診断装置12およびセンタ装置13から受信した後述する更新情報や復号鍵を各ECU14に車載LAN15を経由して送信する機能、および、後述する識別情報を各ECU14から受信する機能を有している。また、通信用ECU14Aは、センタ装置13との間で無線通信を行うためのアンテナ17を有している。このアンテナ17は、通信用ECU14Aに設けられている図示しない通信手段としての通信部に接続している。
【0021】
また、通信用ECU14Aの図示しない通信部は、診断装置12との通信も制御する。この場合、通信用ECU14Aと診断装置12との間の通信回線18は、有線によるものであっても無線によるものであってもよい。また、センタ装置13との間の無線通信回線19は、通信用ECU14Aとの間で直接的に無線通信を行うものであってもよいし、例えば携帯通信端末を通信媒体としてアンテナ17の代わりに用いる構成であってもよい。なお、本実施形態では通信専用の通信用ECU14Aを設けたが、各ECU14にそれぞれ通信手段を設けてもよい。
【0022】
診断装置12は、通信用ECU14Aと通信回線18により接続される図示しない通信部を備えている。車両11に搭載されている各ECU14に対する制御情報の更新は、例えば故障時や車検時に車両11が販売店や整備工場などで診断されるときに行われる。そのため、診断装置12は、制御情報の書き込みのほかに、車両11の状態を診断する機能も備えている。この診断装置12は、例えばコンピュータにより構成されており、操作者の操作を受け付ける図示しない操作入力部、および、捜査結果などを表示する図示しないモニタなどの表示手段を備えている。
また、診断装置12は、更新情報記憶部20を備えている。この更新情報記憶部20は、詳細は後述するが、車両11に搭載されているECU14の制御情報記憶部16に記憶されている制御情報を更新するための更新情報を暗号鍵(第一暗号鍵)により予め暗号化した状態で記憶している。この診断装置12は、センタ装置13に通信回線21によって通信可能に接続されている。
【0023】
センタ装置13は、例えばコンピュータにより構成されており、車両11との間で通信を行うための図示しない通信部に接続されたアンテナ22、暗号鍵生成部23および復号鍵生成部24を備えている。このセンタ装置13は、例えば車両11の製造メーカなどにより提供されるものである。暗号鍵生成部23は、詳細は後述するが、診断装置12から車両11のECU14に更新情報を書き込む際に使用する暗号鍵(第二暗号鍵)を生成する。また、復号鍵生成部24は、詳細は後述するが、診断装置12から書き込まれた更新情報を復号するための復号鍵を生成する。本実施形態ではこれら暗号鍵生成部23および復号鍵生成部24をコンピュータにより実行されるプログラムによってソフトウェア的に実現しているが、ハードウェア的に実現してもよい。
【0024】
次に、上記した構成の車両用情報更新装置10の作用について、制御情報の更新処理の流れとともに説明する。なお、以下の説明においては、更新される制御情報である更新情報を便宜的に「更新データ」とも称し、更新データを第一暗号鍵により暗号化したものを「第一暗号化データ」と称し、第一暗号化データをさらに第二暗号鍵で暗号化したものを「第二暗号化データ」とする。また、図2に示すように、第一暗号化データを「A(更新データ)」とも称し、第二暗号化データを「B(A(更新データ))」とも称する。
【0025】
図2に示すように、制御情報の更新は、第一暗号化工程、第二暗号化工程、書込工程、判定工程および更新工程の各工程を経て実施される。
第一暗号化工程では、第一暗号鍵による制御情報(更新データ)の暗号化が行われる。この第一暗号鍵による暗号化は、診断装置12ではなく、例えば車両11の製造メーカなどにより行われるものである。つまり、診断装置12には、診断装置12とは異なる装置により暗号化された第一暗号化データ『A(更新データ)』が記憶されることになる。換言すると、診断装置12およびその操作者は、第一暗号鍵を知り得ないといえる。なお、図2では、第一暗号化工程のうち、第一暗号化データを診断装置12にて記憶する処理のみを示している。なお、暗号化の手法は、周知の技術を採用することが可能であるので、詳細な説明は省略する。
【0026】
診断装置12は、車両11を診断した際、制御情報の更新が必要な更新対象ECUがあるかどうか判断し、更新対象ECUがあった場合には、センタに対して第二暗号鍵を要求する。このとき、診断装置12は、診断中の車両11に搭載されている更新対象ECUに固有の識別情報を送信することにより第二暗号鍵を要求する。ここで、固有の識別情報とは、例えば製造メーカ名や車種あるいは製造番号などの車両11に関する情報や、エンジンECUであるか空調ECUであるかなどのECU14に関する情報などであり、更新対象ECUを一意に特定可能な情報のことである。なお、必ずしも上記にて例示した情報を全て含む必要はないし、更新対象ECUを特定可能であれば例示したもの以外の情報を採用してもよい。
【0027】
診断装置12から第二暗号鍵の要求があると、センタ装置13は、送信された識別情報に基づいて第二暗号鍵を生成するとともに、生成した第二暗号鍵を診断装置12に通知する。第二暗号鍵が通知されると、診断装置12は、第二暗号化工程において、通知された第二暗号鍵により制御情報(この場合、第一暗号化データ)をさらに暗号化して第二暗号化データ『B(A(更新データ))』を生成する。つまり、この時点で、更新データは二重の暗号化により保護されることになる。
【0028】
続いて、診断装置12は、書込工程において、第二暗号化データを更新対象ECUに書き込む。本実施形態の場合、診断装置12から書き込まれた第二暗号化データは、通信用ECU14Aにて受信された後、更新対象ECU(この場合、ECU14B)に送信される。これにより、第二暗号化データが更新対象ECUに取得される。この時点では、第二暗号化データは一時的に記憶されているのみであり、制御情報記憶部16への記憶はされていない。第二暗号化データを取得すると、更新対象ECUは、通信用ECU14Aを介して自身に固有の識別情報をセンタ装置13に送信する。この更新対象ECUからの識別情報の送信が、センタ装置13に対する復号鍵の生成および通知の要求となる。センタ装置13は、更新対象ECUからの要求を受けると、第二暗号化データを復号するための復号鍵を生成するとともに、生成した復号鍵を更新対象ECUに対して通知する。
【0029】
センタ装置13から復号鍵が通知されると、更新対象ECUは、判定工程において、診断装置12から書き込まれた第二暗号化データが、センタ装置13から通知された復号鍵により復号可能であるかを判定する。センタ装置13から通知される復号鍵は、第二暗号化データ、すなわち、第一暗号鍵により暗号化された更新データをさらに第二暗号鍵により暗号化したデータを復号するためのものである。そのため、復号鍵により復号可能であるという事実は、第二暗号化データが正しく診断装置12から書き込まれたこと、および、書き込まれた第二暗号化データに含まれている更新データが正しく第一暗号鍵で暗号化されたものであることを示している。つまり、更新対象ECUでは、この判定工程において、第二暗号化データが復号鍵で復号可能であるか否かによって、更新データの正当性の判定が行われている。
【0030】
そして、更新対象ECUは、第二暗号化データの正当性が確認できれば、更新工程において、復号した更新データを新たな制御情報として制御情報記憶部16に記憶することにより制御情報を更新する。これにより、制御情報記憶部16に記憶されている制御情報は、正しい更新データに基づいて適切に更新される。
【0031】
このように、車両用情報更新装置10は、制御情報の更新を行っている。また、このようにして制御情報が更新された車両11は、その後、更新したECU14が正常に作動するかなどの点検作業が行われ、制御情報が更新された車両11の走行や安全性に支障がないかなどの確認が行われている。
【0032】
以上に説明した車両用情報更新装置10によれば、次のような効果を奏する。
更新データ(更新情報)は、予め第一暗号鍵で暗号化された状態で診断装置12に記憶されている。そして、診断装置12は、第一暗号化データを、第一暗号鍵とは異なる第二暗号鍵によりさらに暗号化して更新対象ECU(制御ユニット)に書き込む。これにより、更新データは、二重の暗号化によりその機密性が高められている。一方、更新対象ECUは、書き込まれた第二暗号化データが復号鍵で復号可能であるか否かを判定し、復号鍵により復号可能であれば、更新データを新たな制御情報として記憶する。これにより、更新データの正当性が確認できる。したがって、診断装置12により更新データを書き込む場合において、更新データの機密性および安全性を高めることができるとともに、正当性を欠いた不正な更新データによって更新されるおそれを低減することができる。
【0033】
センタ装置13は、更新対象ECUに固有の識別情報に基づいて更新対象ECUごとに固有の復号鍵を生成する。そのため、診断装置12の操作者が誤って他の車両用や他のECU14用の更新データを書き込んだとしても、復号鍵による復号が不可能であるので、正しくないデータであると判定できる。換言すると、更新対象ECUごとに固有の復号鍵によって復号が可能な第二暗号化データは、正しく更新対象ECU用のものであるといえる。したがって、書き込まれた第二暗号化データが正しく更新対象ECU用のものであることを確認でき、更新データの正当性をより確実なものとすることができる。
この場合、復号鍵は、診断装置12を介することなく更新対象ECUに通知されるので、その通知経路において意図的あるいは意図せずに誤った復号鍵が提供されたり復号鍵が改ざんされたりすることがない。これにより、通知された復号鍵が正しく更新対象ECU用のものであること、すなわち、復号鍵自体の正当性を確認することができる。
【0034】
また、復号鍵が更新対象ECUに直接通知されることから、復号鍵を知り得ない者がその復号鍵で復号可能な第二暗号化データを生成することができなくなる。そのため、誤った更新データや不正な更新データを暗号化した第二暗号化データを書き込もうとしたとしても、その第二暗号化データは更新対象ECU側で復号することができない。したがって、更新対象ECUの制御情報が誤ったあるいは不正な更新データによって更新されるおそれを低減することができる。
診断装置12は、更新対象ECUに固有の識別情報をセンタ装置13に送信することによって第二暗号鍵をセンタ装置13から取得する。これにより、第二暗号鍵の生成手順(いわゆるアルゴリズム)が漏洩するおそれが低減される。したがって、不正に生成された第二暗号鍵により不正な更新データが書き込まれるおそれを低減することができ、更新データの正当性をより確実なものにすることができる。
【0035】
第一暗号化工程と第二暗号化工程とにおいて異なる暗号鍵をそれぞれ使用し、判定工程において復号鍵にて更新データが復号可能であるかを判定する車両用情報更新方法によれば、上記したように、書き込まれた更新データが更新対象ECU用のものであること、および、更新データが正しいものであること、換言すると、更新データの正当性を確認することができる。また、診断装置12の操作者が識別情報や第二暗号鍵を不正に、または、故意ではないにしろ取得したとしても、第一暗号鍵および復号鍵を知ることができなければ更新対象ECUに正しくない更新データを書き込むことができなくなり、制御情報の更新における機密性、安全性を高めることができる。したがって、診断装置12により更新データを書き込む場合において、正当性を欠いた不正な更新データによって制御情報が更新されるおそれを低減することができる。
【0036】
(その他の実施形態)
本発明は、上述した各実施形態にのみ限定されるものではなく、以下のように変形又は拡張することができる。
一実施形態では、復号鍵で復号可能であるか否かにより更新データの正当性を判定したが、復号した更新データに予め定められているデータ配列が記録されている、あるいは、復号後のデータサイズが正当であるなど、さらに確実性を向上させる手法を合わせて確認するようにしてもよい。この場合、所定のデータ配列やデータサイズは、センタ装置13から通知するようにすればよい。もちろん、上記の2つ以外の確認手法を用いたり、それらを組み合わせたりしてもよい。
一実施形態では、更新対象ECUが自身で制御情報の更新を行ったが、例えば専用に更新用ECUを設け、更新用ECUにより上記した正当性の確認など各ECU14に共通する処理を行わせる構成としてもよい。
【0037】
第二暗号鍵および復号鍵を更新対象ECUに固有の識別情報に基づいて生成したが、例えば診断装置12に固有の識別情報にさらに基づいて第二暗号鍵や復号鍵を生成してもよい。例えば、診断装置12に固有の識別情報に基づいて生成すれば、センタ装置13側あるいは更新対象ECU側にて書き込んだ診断装置12が正しいものであるか否かの判定が可能となり、更新データの正当性をより確度の高いものとすることができる。この場合、書き込みを行った診断装置12の特定が可能となることから、不正を行おうとする者に対する抑止力としての効果も期待できる。
【符号の説明】
【0038】
図面中、10は車両用情報更新装置、11は車両、12は診断装置(書込装置)、13はセンタ装置(復号鍵通知装置)、14A、14B、14C、14DはECU(制御ユニット)、16は制御情報記憶部、20は更新情報記憶部、23は暗号鍵生成部、24は復号鍵生成部を示す。
【特許請求の範囲】
【請求項1】
制御情報を記憶する制御情報記憶部を有し、当該制御情報記憶部に記憶されている制御情報に基づいて車両に設けられている複数の機能部を制御する複数の制御ユニットと、
前記制御ユニットと通信可能に接続され、前記制御ユニットの前記制御情報記憶部に記憶されている前記制御情報を更新するための更新情報を記憶する更新情報記憶部を有し、当該更新情報を前記制御ユニットに書き込む書込装置と、を備え、
前記書込装置は、予め第一暗号鍵により暗号化された前記更新情報を前記更新情報記憶部に記憶しており、当該第一暗号鍵により暗号化されている更新情報を第二暗号鍵によりさらに暗号化して前記制御ユニットに書き込み、
前記制御ユニットは、前記識別情報に基づいて生成され前記第一暗号鍵および前記第二暗号鍵により暗号化されている前記更新情報を復号する復号鍵によって前記更新情報が復号可能であれば、復号した前記更新情報を新たな制御情報として前記制御情報記憶部に記憶することを特徴とする車両用情報更新装置。
【請求項2】
前記制御ユニットと通信可能に接続され、前記復号鍵を生成する復号鍵生成部を有し、前記復号鍵生成部で生成した前記復号鍵を前記制御ユニットに通知する復号鍵通知装置をさらに備え、
前記制御ユニットは、自身に固有の識別情報を前記復号鍵通知装置に送信することによって前記復号鍵通知装置に対して前記復号鍵の生成を要求し、
前記復号鍵通知装置は、前記制御ユニットからの要求に応じて前記識別情報に基づいて前記復号鍵を生成することを特徴とする請求項1記載の車両用情報更新装置。
【請求項3】
復号鍵通知装置は、生成した前記復号鍵を、前記書込装置を介することなく前記制御ユニットに直接通知することを特徴とする請求項2記載の車両用情報更新装置。
【請求項4】
前記復号鍵通知装置は、前記書込装置と通信可能に接続され、前記第二暗号鍵を生成する暗号鍵生成部をさらに備え、
前記書込装置は、更新対象となる前記制御ユニットに固有の識別情報を前記復号鍵通知装置に送信することによって前記第二暗号鍵を前記復号鍵通知装置から取得することを特徴とする請求項1から3のいずれか一項記載の車両用情報更新装置。
【請求項5】
更新対象となる制御ユニットに記憶されている制御情報を更新するための更新情報を予め第一暗号鍵で暗号化する第一暗号化工程と、
前記第一暗号化工程で暗号化した前記更新情報を更新対象となる前記制御ユニットに固有の識別情報に基づいて生成された第二暗号鍵でさらに暗号化する第二暗号化工程と、
前記第二暗号化工程で暗号化された前記更新情報を前記制御ユニットに書き込む書込工程と、
前記書込工程で書き込まれた前記更新情報を更新対象となる前記制御ユニットに固有の識別情報に基づいて生成された復号鍵で復号可能であるかを判定する判定工程と、
前記判定工程で復号可能であると判定された前記更新情報を新たな制御情報として記憶する更新工程と、
を行うことを特徴とする車両用情報更新方法。
【請求項1】
制御情報を記憶する制御情報記憶部を有し、当該制御情報記憶部に記憶されている制御情報に基づいて車両に設けられている複数の機能部を制御する複数の制御ユニットと、
前記制御ユニットと通信可能に接続され、前記制御ユニットの前記制御情報記憶部に記憶されている前記制御情報を更新するための更新情報を記憶する更新情報記憶部を有し、当該更新情報を前記制御ユニットに書き込む書込装置と、を備え、
前記書込装置は、予め第一暗号鍵により暗号化された前記更新情報を前記更新情報記憶部に記憶しており、当該第一暗号鍵により暗号化されている更新情報を第二暗号鍵によりさらに暗号化して前記制御ユニットに書き込み、
前記制御ユニットは、前記識別情報に基づいて生成され前記第一暗号鍵および前記第二暗号鍵により暗号化されている前記更新情報を復号する復号鍵によって前記更新情報が復号可能であれば、復号した前記更新情報を新たな制御情報として前記制御情報記憶部に記憶することを特徴とする車両用情報更新装置。
【請求項2】
前記制御ユニットと通信可能に接続され、前記復号鍵を生成する復号鍵生成部を有し、前記復号鍵生成部で生成した前記復号鍵を前記制御ユニットに通知する復号鍵通知装置をさらに備え、
前記制御ユニットは、自身に固有の識別情報を前記復号鍵通知装置に送信することによって前記復号鍵通知装置に対して前記復号鍵の生成を要求し、
前記復号鍵通知装置は、前記制御ユニットからの要求に応じて前記識別情報に基づいて前記復号鍵を生成することを特徴とする請求項1記載の車両用情報更新装置。
【請求項3】
復号鍵通知装置は、生成した前記復号鍵を、前記書込装置を介することなく前記制御ユニットに直接通知することを特徴とする請求項2記載の車両用情報更新装置。
【請求項4】
前記復号鍵通知装置は、前記書込装置と通信可能に接続され、前記第二暗号鍵を生成する暗号鍵生成部をさらに備え、
前記書込装置は、更新対象となる前記制御ユニットに固有の識別情報を前記復号鍵通知装置に送信することによって前記第二暗号鍵を前記復号鍵通知装置から取得することを特徴とする請求項1から3のいずれか一項記載の車両用情報更新装置。
【請求項5】
更新対象となる制御ユニットに記憶されている制御情報を更新するための更新情報を予め第一暗号鍵で暗号化する第一暗号化工程と、
前記第一暗号化工程で暗号化した前記更新情報を更新対象となる前記制御ユニットに固有の識別情報に基づいて生成された第二暗号鍵でさらに暗号化する第二暗号化工程と、
前記第二暗号化工程で暗号化された前記更新情報を前記制御ユニットに書き込む書込工程と、
前記書込工程で書き込まれた前記更新情報を更新対象となる前記制御ユニットに固有の識別情報に基づいて生成された復号鍵で復号可能であるかを判定する判定工程と、
前記判定工程で復号可能であると判定された前記更新情報を新たな制御情報として記憶する更新工程と、
を行うことを特徴とする車両用情報更新方法。
【図1】
【図2】
【図2】
【公開番号】特開2013−26964(P2013−26964A)
【公開日】平成25年2月4日(2013.2.4)
【国際特許分類】
【出願番号】特願2011−162069(P2011−162069)
【出願日】平成23年7月25日(2011.7.25)
【出願人】(000004260)株式会社デンソー (27,639)
【Fターム(参考)】
【公開日】平成25年2月4日(2013.2.4)
【国際特許分類】
【出願日】平成23年7月25日(2011.7.25)
【出願人】(000004260)株式会社デンソー (27,639)
【Fターム(参考)】
[ Back to top ]