特許ウォッチ

公開番号2024088309
公報種別公開特許公報(A)
公開日2024-07-02
出願番号2022203417
出願日2022-12-20
発明の名称サーバ、車両、およびソフトウェア管理方法
出願人トヨタ自動車株式会社
代理人弁理士法人深見特許事務所
主分類G06F 21/57 20130101AFI20240625BHJP(計算;計数)
要約【課題】サーバから配信される指令によって、車載ECUのソフトウェアにより実行可能な特定機能の有効/無効を切り替える際に、セキュリティ強度を向上する。
【解決手段】OTAセンタ500のフラグデータ配信部550は、ソフトウェアにより実行可能な特定機能の有効/無効を切り替えるためのフラグデータDflと、特定機能の切り替えには用いられないダミーデータDdmとからハッシュ値を算出し、このハッシュ値から電子署名Esgを生成する。ハッシュ値を算出する際に使用されるデータのデータ長を長くでき、ハッシュ値のパターンが増えるので、セキュリティ強度を向上できる。
【選択図】図3
特許請求の範囲【請求項１】
車両に搭載されたＥＣＵのソフトウェアを管理するサーバであって、
前記ソフトウェアにより実行可能な特定機能の有効／無効を切り替えるためのフラグデータを格納した記憶部と、
前記フラグデータに付される電子署名を生成する処理部と、を備え、
前記処理部は、前記フラグデータと、前記特定機能の切り替えには用いられないダミーデータとからハッシュ値を算出し、算出したハッシュ値を用いて前記電子署名を生成する、サーバ。
続きを表示（約 1,300 文字）【請求項２】
前記車両と通信可能な通信部を、さらに備え、
前記ダミーデータは、前記フラグデータに付加されて、前記電子署名とともに、前記ＥＣＵに送信されるよう構成された、請求項１に記載のサーバ。
【請求項３】
前記車両と通信可能な通信部を、さらに備え、
前記ダミーデータは、前記ＥＣＵへ送信されることなく、前記フラグデータを前記電子署名ととともに、前記ＥＣＵへ送信されるよう構成された、請求項１に記載のサーバ。
【請求項４】
前記処理部は、
前記フラグデータのデータ長が所定長より短い場合、前記フラグデータおよび前記ダミーデータとから算出されたハッシュ値を用いて前記電子署名を生成し、
前記フラグデータのデータ長が前記所定長以上である場合、前記ダミーデータを用いずに前記フラグデータから算出されるハッシュ値を用いて前記電子署名を生成する、請求項１から請求項３のいずれか一項に記載のサーバ。
【請求項５】
ＥＣＵと、
サーバと通信可能な通信部と、を備え、
前記ＥＣＵは、
特定機能を実行可能なソフトウェアを格納する記憶部と、
前記ソフトウェアを実行する制御部と、を含み、
前記制御部は、
前記特定機能の有効／無効を切り替えるためのフラグデータを前記サーバから受信した場合、前記フラグデータと、前記特定機能の切り替えに用いられないダミーデータとからハッシュ値を算出し、
算出したハッシュ値を用いて前記フラグデータが改竄されていないと判定したとき、前記特定機能を切り替える、車両。
【請求項６】
前記ダミーデータは、前記記憶部に予め記憶されている、請求項５に記載の車両。
【請求項７】
前記制御部は、前記ダミーデータを、前記フラグデータとともに受信する、請求項５に記載の車両。
【請求項８】
車両に搭載されたＥＣＵを管理するソフトウェア管理方法であって、
ソフトウェアにより実行可能な特定機能の有効／無効を切り替えるためのフラグデータと、前記特定機能の切り替えには用いられないダミーデータとから、ハッシュ値を算出することと、
算出したハッシュ値を用いて電子署名を作成することと、
前記フラグデータと前記電子署名を、前記車両に送信することと、
前記車両で受信した前記フラグデータと前記ダミーデータとから算出したハッシュ値と、前記車両で受信した前記電子署名のハッシュ値とを比較して、前記車両で受信した前記フラグデータが改竄されているか否かを判定することと、
前記車両で受信した前記フラグデータが改竄されていないことを条件に、前記特定機能の切り替えを行うことと、を含む、ソフトウェア管理方法。
【請求項９】
前記ダミーデータは、前記フラグデータと前記電子署名とともに、前記車両に送信される、請求項８に記載のソフトウェア管理方法。
【請求項１０】
前記ダミーデータは、前記ＥＣＵに予め記憶されている、請求項８に記載のソフトウェア管理方法。

発明の詳細な説明【技術分野】
【０００１】
本開示は、サーバ、車両、およびソフトウェア管理方法に関する。
続きを表示（約 1,600 文字）【背景技術】
【０００２】
車両の制御装置（ＥＣＵ：Electronic Control Unit）に格納されたソフトウェア（車両の制御プログラム）を無線通信により更新するＯＴＡ（Over The Air）技術の研究開発が進められている。たとえば、特開２０１７－１４９３２３号公報（特許文献１）は、ユーザの利便性を損なうことなく好適にソフトウェアを更新できる車両制御システムを開示する。携帯機は、車両の電子キーの所在位置が車内であると判定された場合に、更新用ソフトウェアのダウンロードを要求する信号をサーバに送信する。ＥＣＵは、サーバから送信された更新用ソフトウェアを、携帯機を経由してダウンロードし、ソフトウェアを更新する。
【先行技術文献】
【特許文献】
【０００３】
特開２０１７－１４９３２３号公報
【発明の概要】
【発明が解決しようとする課題】
【０００４】
車載ＥＣＵのソフトウェアを、ＯＴＡによって更新可能（アップデート可能）なシステムでは、サーバから、車載ＥＣＵのソフトウェアにより実行可能な特定機能の有効／無効を切り替えるための指令（たとえば、フラグデータ）を送信し、特定機能の有効／無効を切り替えることができる。この指令（フラグデータ）に電子署名の仕組みを適用することによって、当該特定機能の不正な切り替えを抑止することが可能である。この電子署名を用いたセキュリティ強度を向上することが好ましい。
【０００５】
本開示の目的は、サーバから配信される指令によって、車載ＥＣＵのソフトウェアにより実行可能な特定機能の有効／無効を切り替える際に、セキュリティ強度を向上することである。
【課題を解決するための手段】
【０００６】
（１）本開示のサーバは、車両に搭載されたＥＣＵのソフトウェアを管理するサーバである。サーバは、ソフトウェアにより実行可能な特定機能の有効／無効を切り替えるためのフラグデータを格納した記憶部と、フラグデータに付される電子署名を生成する処理部と、を備える。処理部は、フラグデータと、特定機能の切り替えには用いられないダミーデータとからハッシュ値を算出し、算出したハッシュ値を用いて電子署名を生成する。
【０００７】
フラグデータからハッシュ関数を用いてハッシュ値を算出し、算出したハッシュ値を用いて電子署名を生成する際、フラグデータのデータ長が短いと、ハッシュ値のパターンが比較的少なく、セキュリティ強度が低くなる懸念がある。この構成によれば、処理部は、フラグデータと、特定機能の切り替えには用いられないダミーデータとからハッシュ値を算出するので、フラグデータからハッシュ値を算出する場合に比較して、ダミーデータ分だけデータ長が長くなり（データ量が多くなり）、電子署名の生成に用いられるハッシュ値のパターンが増えて、セキュリティ強度を向上することが可能になる。
【０００８】
（２）好ましくは、サーバは、車両と通信可能な通信部を、さらに備え、ダミーデータは、フラグデータに付加されて、電子署名とともに、ＥＣＵに送信されるよう構成されてもよい。
【０００９】
この構成によれば、ダミーデータは、フラグデータに付加されて、電子署名とともに、車両に搭載されたＥＣＵに送信される。車両に搭載されたＥＣＵは、フラグデータとともに送信されたダミーデータを用いて、ハッシュ値を算出し、このハッシュ値に基づいて、送信された（ＥＣＵが受信した）フラグデータの改竄の有無を判定することができる。
【００１０】
（３）好ましくは、サーバは、車両と通信可能な通信部を、さらに備え、ダミーデータは、ＥＣＵへ送信されることなく、フラグデータを電子署名ととともに、ＥＣＵへ送信されるよう構成されてもよい。
（【００１１】以降は省略されています）

関連特許