特許ウォッチ

公開番号2025152748
公報種別公開特許公報(A)
公開日2025-10-10
出願番号2024054802
出願日2024-03-28
発明の名称車両および検証システム
出願人トヨタ自動車株式会社
代理人弁理士法人高田・高橋国際特許事務所
主分類H04L 9/32 20060101AFI20251002BHJP(電気通信技術)
要約【課題】従来よりも検証鍵が改ざんされにくく、情報面での安全性を高い技術を提供すること。
【解決手段】
車両は、車載ソフトウェアを備える第1制御装置と、特定の管理者以外によるアクセスが不可能に設定された第2制御装置とを備える。第1制御装置と第2制御装置は互いに通信可能である。第2制御装置は、第2制御装置の外部から送信される指示情報の有効性を検証するために、特定の管理者から予め提供される検証鍵を格納し、検証鍵を用いて指示情報の有効性を検証する指示検証を実行するように構成される。第1制御装置は、検証鍵を格納しないように構成される。
【選択図】図2
特許請求の範囲【請求項１】
車載ソフトウェアを備える第１制御装置と、
特定の管理者以外によるアクセスが不可能に設定された第２制御装置と
を備え、
前記第１制御装置と前記第２制御装置は互いに通信可能であり、
前記第２制御装置は、
前記第２制御装置の外部から送信される指示情報の有効性を検証するために、前記特定の管理者から予め提供される検証鍵を格納し、
前記検証鍵を用いて前記指示情報の前記有効性を検証する指示検証を実行する
ように構成され、
前記第１制御装置は、前記検証鍵を格納しない
ように構成される
車両。
続きを表示（約 1,700 文字）【請求項２】
請求項１に記載の車両であって、
前記第２制御装置は、さらに、
前記指示情報と、前記検証鍵に対応する秘密鍵に基づいて生成された電子署名とを受け取り、
前記検証鍵を用いて前記電子署名の有効性を検証する署名検証を実行し、
前記電子署名が有効であると判定する場合、前記指示情報が有効であると判定するように構成される
車両。
【請求項３】
請求項１に記載の車両であって、
前記指示情報は、前記車両に配信される前記車載ソフトウェアの更新を指示するデータを含む
車両。
【請求項４】
請求項１に記載の車両であって、
前記指示情報は、前記車載ソフトウェアが前記車両のハードウェアに向けて発信する指示を示す車内指示情報を含む
車両。
【請求項５】
請求項１に記載の車両であって、
前記指示情報は、前記車載ソフトウェアと連携する連携ソフトウェアが、前記車載ソフトウェアに向けて発信する指示を示す連携指示情報を含む
車両。
【請求項６】
請求項１ないし５のいずれか一項に記載の車両であって、
前記第１制御装置は、さらに、
１または複数のユーザによる前記車載ソフトウェアの書込みが可能に設定され、
前記特定の管理者は、前記１または複数のユーザに前記車両を提供する車両提供者を含む
車両。
【請求項７】
請求項６に記載の車両であって、
前記第２制御装置は、前記１または複数のユーザの各々を識別するためのユーザ情報を格納し、
前記指示情報は、前記１または複数のユーザのうちの第１ユーザが前記第１制御装置にアクセスする際に前記第２制御装置に送信される第１ユーザ情報を含み、
前記第２制御装置は、
前記ユーザ情報に基づいて、前記第１ユーザ情報に対する前記指示検証であるユーザ検証を実行し、
前記第１ユーザ情報が有効であると判定する場合、前記第１ユーザが有効なアクセス権限を有する有効ユーザであると判定する
車両。
【請求項８】
請求項７に記載の車両であって、
前記指示情報は、さらに、前記車載ソフトウェアと連携する連携ソフトウェアが前記車載ソフトウェアに向けて発信する指示を示す連携指示情報を含み、
前記第２制御装置は、さらに、
前記１または複数のユーザの各々に対応する前記連携ソフトウェアによる前記第１制御装置への連携権限に関する情報を格納し、
前記ユーザ検証の後、前記有効ユーザに対応する前記連携権限を設定する
車両。
【請求項９】
請求項８に記載の車両であって、
前記第１制御装置が前記有効ユーザによるアクセス状態で、前記車載ソフトウェアが前記連携指示情報を受け取るとき、
前記指示検証において前記連携指示情報が有効であると判定され、かつ、前記連携指示情報が示す内容が前記有効ユーザに対応する前記連携権限の範囲に含まれる場合、前記第２制御装置は、前記連携指示情報が有効であると判定する
車両。
【請求項１０】
機器を作動させる指示情報を検証する検証システムであって、
前記機器に搭載され、ソフトウェアを備える第１制御装置と、
特定の管理者以外によるアクセスが不可能に設定された第２制御装置と
を備え、
前記第１制御装置と前記第２制御装置は互いに通信可能であり、
前記第２制御装置は、
前記第２制御装置の外部から送信される前記指示情報の有効性を検証するために、前記特定の管理者から予め提供される検証鍵を格納し、
前記検証鍵を用いて前記指示情報の前記有効性を検証する指示検証を実行する
ように構成され、
前記第１制御装置は、前記検証鍵を格納しない
ように構成される
検証システム。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本開示は、検証鍵を用いて情報の有効性を検証する技術に関連する。
続きを表示（約 1,600 文字）【背景技術】
【０００２】
特許文献１は、セキュア領域のリプログラミングの柔軟性を高める技術が開示されている。リプログラミング開始の要求を受けたＥＣＵ内のセキュア書込ソフトは、リプロデータ格納部に格納された更新データの署名を鍵によって検証する。検証結果が正しければ、セキュア書込みソフトは、プログラムを書換える。
【先行技術文献】
【特許文献】
【０００３】
国際公開第２０２０／０９０４１８号
【発明の概要】
【発明が解決しようとする課題】
【０００４】
検証鍵を用いて情報の有効性を検証する場合を考える。セキュリティを担う検証鍵が改ざんされれば、本来不正であるデータが正しいものと誤判定されるおそれがある。特に、車両において、正しい情報伝達が阻害されることは、大きな事故やトラブルに繋がりかねない。
【０００５】
本開示の１つの目的は、従来よりも検証鍵が改ざんされにくく、情報面での安全性を高い技術を提供することにある。
【課題を解決するための手段】
【０００６】
第１の観点は、車両に関連する。
車両は、
車載ソフトウェアを備える第１制御装置と、
特定の管理者以外によるアクセスが不可能に設定された第２制御装置と
を備える。
第１制御装置と第２制御装置は互いに通信可能である。
第２制御装置は、
第２制御装置の外部から送信される指示情報の有効性を検証するために、特定の管理者から予め提供される検証鍵を格納し、
検証鍵を用いて指示情報の有効性を検証する指示検証を実行する
ように構成される。
第１制御装置は、検証鍵を格納しないように構成される。
【０００７】
第２の観点は、第１の観点に加えて、次の特徴を更に有する。
第１制御装置は、さらに、１または複数のユーザによる車載ソフトウェアの書込みが可能に設定される。
特定の管理者は、１または複数のユーザに車両を提供する車両提供者を含む。
【０００８】
第３の観点は、機器を作動させる指示情報を検証する検証システムに関連する。
検証システムは、
機器に搭載され、ソフトウェアを備える第１制御装置と、
特定の管理者以外によるアクセスが不可能に設定された第２制御装置と
を備える。
第１制御装置と第２制御装置は互いに通信可能である。
第２制御装置は、
第２制御装置の外部から送信される指示情報の有効性を検証するために、特定の管理者から予め提供される検証鍵を格納し、
検証鍵を用いて指示情報の有効性を検証する指示検証を実行する
ように構成される。
第１制御装置は、検証鍵を格納しないように構成される。
【発明の効果】
【０００９】
第１の観点によれば、車両に備わる車載ソフトウェアは第１制御装置に格納され、検証鍵は第２制御装置に格納される。車載ソフトウェアと検証鍵とが異なる制御装置に格納されており、指示情報の有効性を検証するのは、アクセスが制限された第２制御装置のみである。したがって、両者が１つの制御装置に格納される場合よりも、情報面での安全性が高いといえる。
【００１０】
第２の観点によれば、車両に備わる第１制御装置は、さらに、１または複数のユーザによる車載ソフトウェアの書込みが可能に設定される。また、第２制御装置は、１または複数のユーザに車両を提供する車両提供者によってのみアクセス可能である。よって、あるユーザが自身に関する検証鍵を書換える際に、故意に、または誤って、他のユーザに関する検証鍵を書換える（改ざんする）ということが原理上発生しないため、車両が共用される場合においても、情報面での安全性が高いといえる。
（【００１１】以降は省略されています）

関連特許