特許ウォッチ

公開番号2025125246
公報種別公開特許公報(A)
公開日2025-08-27
出願番号2024021181
出願日2024-02-15
発明の名称電子制御装置更新システム、セキュアデバイス、ゲートウェイ装置、および、電子制御装置更新方法
出願人大日本印刷株式会社
代理人個人,個人,個人,個人,個人
主分類H04L 9/32 20060101AFI20250820BHJP(電気通信技術)
要約【課題】診断機を使用して電子制御装置を更新する場合であっても、車載ネットワーク側で、鍵管理センターが身元を保証する装置から電子制御装置の更新ファイルが送られたことを確認できるようにする。
【解決手段】電子制御装置更新システム1において、電子制御装置21を更新するとき、セキュアデバイス4とゲートウェイ装置3は、診断機5を中継器としてデータ通信し、鍵管理センター6が発行した暗号鍵を使用した相互認証を行い、セキュアデバイス4とゲートウェイ装置3の間にセキュアチャネルを構築する。
【選択図】図5
特許請求の範囲【請求項１】
車両に搭載される一つまたは複数の電子制御装置と接続しているゲートウェイ装置と、車両に設けられた診断ポートを介して前記ゲートウェイ装置と接続する診断機と、前記診断機と接続するセキュアデバイスを含み、
前記ゲートウェイ装置は、電子制御装置の更新ファイルを配信する鍵管理センターが前記ゲートウェイ装置に対して発行した第１暗号鍵を記憶し、前記診断機が前記ゲートウェイ装置に接続すると、前記診断機を介して、前記セキュアデバイスとデータ通信し、前記第１暗号鍵を使用して前記セキュアデバイスと相互認証を行った後、セッション鍵の交換を行い前記セキュアデバイスの間にセキュアチャネルを構築する第１制御部を備え、
前記セキュアデバイスは、前記鍵管理センターが前記セキュアデバイスに対して発行した第２暗号鍵を記憶し、前記診断機を介して、前記ゲートウェイ装置とデータ通信し、前記第２暗号鍵を使用して前記ゲートウェイ装置と相互認証を行った後、セッション鍵の交換を行い前記ゲートウェイ装置との間にセキュアチャネルを構築する第２制御部を備え、
前記診断機は、前記セキュアデバイスとデータ通信するリーダライタと、前記ゲートウェイ装置に接続すると、前記ゲートウェイ装置と前記セキュアデバイスのデータ通信を中継し、前記セキュアデバイスと前記ゲートウェイ装置との間にセキュアチャネルが構築されると、このセキュアチャネルを使用して、電子制御装置の更新ファイルを前記ゲートウェイ装置へ送信する第３制御部を備えた、
ことを特徴とする電子制御装置更新システム。
続きを表示（約 1,100 文字）【請求項２】
前記ゲートウェイ装置は、前記鍵管理センターのルート証明書と、前記第１暗号鍵として、第１秘密鍵と第１公開鍵証明書を記憶し、前記セキュアデバイスは、前記ルート証明書と、前記第２暗号鍵として、第２秘密鍵と第２公開鍵証明書を記憶し、前記ゲートウェイ装置の前記第１制御部と前記セキュアデバイスの前記第２制御部それぞれは、ＰＫＩ（Public Key Infrastructure）の仕組みを利用した相互認証とセキュアチャネルの構築を実行することを特徴とする、請求項１に記載した電子制御装置更新システム。
【請求項３】
請求項１または２に記載した電子制御装置更新システムを構成するセキュアデバイス。
【請求項４】
請求項１または２に記載した電子制御装置更新システムを構成するゲートウェイ装置。
【請求項５】
車両に搭載される一つまたは複数の電子制御装置と接続しているゲートウェイ装置と、車両に設けられた診断ポートを介して前記ゲートウェイ装置と接続する診断機と、前記診断機と接続するセキュアデバイスが実行する方法であって、
前記診断機が、前記ゲートウェイ装置と接続するステップａと、
前記診断機が、前記ゲートウェイ装置と前記セキュアデバイスのデータ通信を中継し、前記ゲートウェイ装置と前記セキュアデバイスが、電子制御装置の更新ファイルを配信する鍵管理センターが前記ゲートウェイ装置に対して発行した第１暗号鍵と前記鍵管理センターが前記セキュアデバイスに対して発行した第２暗号鍵を使用した相互認証を実行した後、セッション鍵の交換を行い前記ゲートウェイ装置と前記セキュアデバイスの間にセキュアチャネルの構築を実行するステップｂと、
前記診断機が、前記ゲートウェイ装置と前記セキュアデバイスの間のセキュアチャネルを使用して、電子制御装置の更新ファイルを前記ゲートウェイ装置へ送信するステップｃと、
を含むことを特徴とする電子制御装置更新方法。
【請求項６】
前記ゲートウェイ装置は、前記鍵管理センターのルート証明書と、前記第１暗号鍵として、第１秘密鍵と第１公開鍵証明書を記憶し、前記セキュアデバイスは、前記ルート証明書と、前記第２暗号鍵として、第２秘密鍵と第２公開鍵証明書を記憶し、
前記ステップｂにおいて、前記ゲートウェイ装置と前記セキュアデバイスは、ＰＫＩ（Public Key Infrastructure）の仕組みを利用した相互認証とセキュアチャネルの構築を実行することを特徴とする、請求項５に記載した電子制御装置更新方法。

発明の詳細な説明【技術分野】
【０００１】
本願は、車両に搭載される電子制御装置（ECU: Electronic Control Unit）を更新する技術に関する。
続きを表示（約 3,300 文字）【背景技術】
【０００２】
車両（自動車）の電子制御化が進み、車両の電子制御で使用する電子制御装置が車両に搭載されるようになった。電子制御装置は、エンジン制御、ブレーキ制御、ステアリング制御など、車両の様々な機能を制御するために使用されている。近年の車両では、車両に搭載された様々な電子制御装置がネットワーク化され、電子制御装置が協働して複雑な制御を行っている。
【０００３】
車両に搭載された様々な電子制御装置が接続したネットワークは、車載ネットワークと呼ばれている。車載ネットワークとしては、ＣＡＮ（Controller Area Network）が標準的に使用されている。車両に搭載された電子制御装置は様々なサイバー攻撃を受ける可能性がある。電子制御装置が不正使用されると車両の不正使用が可能である。このため、電子制御装置に暗号鍵を記憶させることにより、電子制御装置のセキュリティを強化している。
【０００４】
暗号鍵により電子制御装置のセキュリティを強化しても、電子制御装置の暗号鍵が第三者に漏洩すると、電子制御装置が不正使用されてしまう。そこで、近年、車両メーカは、自社の車両に搭載する電子制御装置の暗号鍵を安全に生成し、工場などに電子制御装置の暗号鍵を安全に配信する鍵管理センターを構築して、電子制御装置に記憶させる暗号鍵の漏洩を防いでいる。
【０００５】
電子制御装置で使用する暗号アルゴリズムが危殆化したときや、電子制御装置に記憶させた暗号鍵が漏洩した可能性があるとき、車両メーカは、電子制御装置に記憶させた暗号鍵などの更新を実施する。電子制御装置に記憶させた暗号鍵などを更新するには、車載ネットワークにアクセスして、電子制御装置の更新ファイルを更新対象となる電子制御装置に送信する必要がある。車載ネットワークにアクセスする方式には、車両に搭載しているＴＣＵ（Telematics Control Unit）を使用し、無線ネットワークを通じて車載ネットワークにアクセスする無線接続方式（例えば、特許文献１）と、車両の診断ポート（OBD Port、OBD：On-Board Diagnostics）と接続した診断機を使用して、車載ネットワークにアクセスする有線接続方式（例えば、特許文献２）がある。
【先行技術文献】
【特許文献】
【０００６】
特開2004-326689号公報
特開2019-161521号公報
【発明の概要】
【発明が解決しようとする課題】
【０００７】
電子制御装置の更新ファイルは、更新対象となる電子制御装置が記憶している暗号鍵と対になる暗号鍵により暗号化されている。しかし、不正な更新ファイルが使用されると、車載ネットワークのセキュリティが危殆化する恐れがある。このため、車載ネットワーク側で、鍵管理センターが身元を保証する装置から電子制御装置の更新ファイルが送られたことを確認する必要がある。無線接続方式で電子制御装置を更新する場合、車載ネットワークにアクセスする装置は鍵管理センターになるが、有線接続方式で電子制御装置を更新する場合、車載ネットワークにアクセスする装置は診断機になる。
【０００８】
そこで、本願では、車両の診断ポートと接続した診断機を使用して、電子制御装置を更新する場合であっても、車載ネットワーク側で、鍵管理センターが身元を保証する装置から電子制御装置の更新ファイルが送られたことを確認できるようにすることを目的とする。
【課題を解決するための手段】
【０００９】
上述した課題を解決する第１発明は、システムの発明で、車両に搭載される一つまたは複数の電子制御装置と接続しているゲートウェイ装置と、車両に設けられた診断ポートを介して前記ゲートウェイ装置と接続する診断機と、前記診断機と接続するセキュアデバイスを含む電子制御装置更新システムである。
第１発明に係る前記ゲートウェイ装置は、電子制御装置の更新ファイルを配信する鍵管理センターが前記ゲートウェイ装置に対して発行した第１暗号鍵を記憶するメモリと、前記診断機が前記ゲートウェイ装置に接続すると、前記診断機を介して、前記セキュアデバイスとデータ通信し、前記第１暗号鍵を使用して前記セキュアデバイスと相互認証を行った後、セッション鍵の交換を行い前記セキュアデバイスとの間にセキュアチャネルを構築する第１制御部を備える。
第１発明に係る前記セキュアデバイスは、前記鍵管理センターが前記セキュアデバイスに対して発行した第２暗号鍵を記憶するメモリと、前記診断機を介して、前記ゲートウェイ装置とデータ通信し、前記第２暗号鍵を使用して前記ゲートウェイ装置と相互認証を行った後、セッション鍵の交換を行い前記ゲートウェイ装置との間にセキュアチャネルを構築する第２制御部を備える。
第１発明に係る前記診断機は、前記セキュアデバイスとデータ通信するリーダライタと、前記ゲートウェイ装置に接続すると、前記ゲートウェイ装置と前記セキュアデバイスのデータ通信を中継し、前記セキュアデバイスと前記ゲートウェイ装置との間にセキュアチャネルが構築されると、このセキュアチャネルを使用して、電子制御装置の更新ファイルを前記ゲートウェイ装置へ送信する第３制御部を備える。
第１発明では、前記ゲートウェイ装置に、前記鍵管理センターのルート証明書と、前記第１暗号鍵として、第１秘密鍵と第１公開鍵証明書を記憶させ、前記セキュアデバイスに、前記ルート証明書と、前記第２暗号鍵として、第２秘密鍵と第２公開鍵証明書を記憶させ、前記ゲートウェイ装置の前記第１制御部と前記セキュアデバイスの前記第２制御部それぞれは、ＰＫＩ（Public Key Infrastructure）の仕組みを利用した相互認証とセキュアチャネルの構築を実行することが望ましい。
なお、本願では、第１発明に係る電子制御装置更新システムを構成するセキュアデバイスと、第１発明に係る電子制御装置更新システムを構成するゲートウェイ装置についても特許権を請求する。
【００１０】
上述した課題を解決する第２発明は、方法の発明で、複数の電子制御装置と接続しているゲートウェイ装置と、車両に設けられた診断ポートを介して前記ゲートウェイ装置と接続する診断機と、前記診断機と接続するセキュアデバイスが実行する電子制御装置更新方法である。
第２発明に係る電子制御装置更新方法は、前記診断機が、前記ゲートウェイ装置と接続するステップａと、前記診断機が、前記ゲートウェイ装置と前記セキュアデバイスのデータ通信を中継し、前記ゲートウェイ装置と前記セキュアデバイスが、電子制御装置の更新ファイルを配信する鍵管理センターが前記ゲートウェイ装置に対して発行した第１暗号鍵と前記鍵管理センターが前記セキュアデバイスに対して発行した第２暗号鍵を使用した相互認証を実行した後、セッション鍵の交換を行い前記ゲートウェイ装置と前記セキュアデバイスの間にセキュアチャネルの構築を実行するステップｂと、前記診断機が、前記ゲートウェイ装置と前記セキュアデバイスの間のセキュアチャネルを使用して、電子制御装置の更新ファイルを前記ゲートウェイ装置へ送信するステップｃを含む。
第２発明に係る電子制御装置更新方法では、前記ゲートウェイ装置に、前記鍵管理センターのルート証明書と、前記第１暗号鍵として、第１秘密鍵と第１公開鍵証明書を記憶させ、前記セキュアデバイスに、前記ルート証明書と、前記第２暗号鍵として、第２秘密鍵と第２公開鍵証明書を記憶させ、前記ステップｂにおいて、前記ゲートウェイ装置と前記セキュアデバイスは、ＰＫＩ（Public Key Infrastructure）の仕組みを利用した相互認証とセキュアチャネルの構築を実行することが望ましい。
【発明の効果】
（【００１１】以降は省略されています）

関連特許