JP6588863B2 - Key management system, server, and key management method - Google Patents

Key management system, server, and key management method Download PDF

Info

Publication number
JP6588863B2
JP6588863B2 JP2016101293A JP2016101293A JP6588863B2 JP 6588863 B2 JP6588863 B2 JP 6588863B2 JP 2016101293 A JP2016101293 A JP 2016101293A JP 2016101293 A JP2016101293 A JP 2016101293A JP 6588863 B2 JP6588863 B2 JP 6588863B2
Authority
JP
Japan
Prior art keywords
server
key
authentication
key management
deletion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2016101293A
Other languages
Japanese (ja)
Other versions
JP2017208755A5 (en
JP2017208755A (en
Inventor
裕紀 山▲崎▼
裕紀 山▲崎▼
礒川 弘実
弘実 礒川
伸義 森田
伸義 森田
恒太 井手口
恒太 井手口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2016101293A priority Critical patent/JP6588863B2/en
Priority to PCT/JP2017/007049 priority patent/WO2017199515A1/en
Publication of JP2017208755A publication Critical patent/JP2017208755A/en
Publication of JP2017208755A5 publication Critical patent/JP2017208755A5/ja
Application granted granted Critical
Publication of JP6588863B2 publication Critical patent/JP6588863B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • H04L9/16Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、鍵管理システム、サーバ、及び鍵管理方法に関する。   The present invention relates to a key management system, a server, and a key management method.

近年、M2M(Machine To Machine)やIoT(Internetof the Things)の広まりを受け、車載システムやセンサノードなどの多様な端末が様々なネットワークを介して各種サービスサーバに接続するようになりつつある。これらの端末がサービスサーバと安全に通信するために、鍵管理サーバは、通信用の秘密鍵等を発行し、端末内部の機器ユニットに配備する必要がある。   In recent years, in response to the spread of M2M (Machine To Machine) and IoT (Internet of Things), various terminals such as in-vehicle systems and sensor nodes are connected to various service servers via various networks. In order for these terminals to communicate securely with the service server, the key management server needs to issue a secret key for communication and the like and deploy it to a device unit inside the terminal.

本技術分野の背景技術として特開2005−341528号公報(特許文献1)がある。この公報には、「システムが起動すると、ゲートウェイECU(GW)が暗号鍵を生成し、これを種鍵を用いて暗号化した暗号化データを、放送形式で全ECU(ECU1 〜ECUN )に一括配信する。各ECUは、受信した暗号化データを種鍵を用いて復号し、復号結果を暗号鍵として以後の通信データの暗号化,復号に用いる。また暗号鍵を設定したECUは、その旨を表す応答(鍵確認)を生成し、これを暗号鍵を用いて暗号化した暗号化データをゲートウェイECUに返送する。ゲートウェイECUは、その応答に基づいて各ECUの正当性を判定する。」と記載されている(要約参照)。   As background art of this technical field, there is JP-A-2005-341528 (Patent Document 1). This publication states that “when the system is activated, the gateway ECU (GW) generates an encryption key and encrypts the encrypted data using the seed key in a batch format to all ECUs (ECU1 to ECUN). Each ECU decrypts the received encrypted data using a seed key, and uses the decryption result as an encryption key for subsequent encryption and decryption of communication data. A response (key confirmation) is generated, and the encrypted data encrypted using the encryption key is returned to the gateway ECU. The gateway ECU determines the validity of each ECU based on the response. (See summary).

特開2005−341528号公報JP 2005-341528 A

端末内部の機器ユニットに配備された秘密鍵は、例えば端末の所有者が変更された際や端末が破棄された際に適切に削除される必要があるが、鍵管理サーバが鍵の削除を機器ユニットに指示したとしても、機器ユニットの不正な動作や故障により鍵が削除されない可能性があり。従って、鍵の削除が適切に行われたか否かを鍵管理サーバが確認することが難しい。   The secret key deployed in the device unit inside the terminal needs to be deleted appropriately, for example, when the owner of the terminal is changed or when the terminal is destroyed, but the key management server deletes the key Even if the unit is instructed, the key may not be deleted due to unauthorized operation or failure of the device unit. Therefore, it is difficult for the key management server to confirm whether or not the key has been properly deleted.

特許文献1に記載の技術は、車載機器ユニットであるECU(Electronic Control Unit)の鍵を、ゲートウェイとなるECUから更新するが、ECU内の鍵が削除されたことを確認する方法は特許文献1には開示されていない。そこで本発明の一態様は、鍵が配備された端末から当該鍵が削除されたか否かを高精度に判定し、ひいてはセキュリティを強化することを目的する。   The technology described in Patent Document 1 updates the key of an ECU (Electronic Control Unit), which is an in-vehicle device unit, from the ECU serving as a gateway, but a method for confirming that the key in the ECU has been deleted is described in Patent Document 1. Is not disclosed. In view of the above, an object of one embodiment of the present invention is to highly accurately determine whether or not a key has been deleted from a terminal on which the key is provided, and thus enhance security.

上記課題を解決するために、本発明の一態様は以下の構成を採用する。第1システムと、第1サーバと、第2サーバと、を含む鍵管理システムであって、前記第1システムは、前記第2サーバが前記第1システムを認証するための第1認証鍵を保持し、前記第1サーバは、前記第2サーバが前記第1システムを認証不可能な更新鍵、を用いた前記第1認証鍵の上書き指示を、前記第2サーバに対して、送信し、前記第1システムは、前記上書き指示に従わなかった場合、前記第1認証鍵を用いて前記第2サーバとの認証を試み、前記上書き指示に従って、前記更新鍵を用いて前記第1認証鍵を上書きした場合、前記更新鍵を用いて前記第2サーバとの認証を試み、前記第1サーバ及び前記第2サーバの少なくとも一方は、前記第1システムが前記上書き指示に従ったか否かを監視し、前記第1システムと前記第2サーバとの間の認証処理を監視し、前記第1システムと前記第2サーバとの間の認証が失敗し、かつ前記第1システムが前記上書き指示に従ったと判定した場合、前記第1システムから前記第1認証鍵が削除されたことを示す判定結果を出力する、鍵管理システム。   In order to solve the above problems, one embodiment of the present invention employs the following configuration. A key management system including a first system, a first server, and a second server, wherein the first system holds a first authentication key for authenticating the first system by the second server And the first server transmits an instruction to overwrite the first authentication key using an update key that cannot authenticate the first system to the second server, and If the first system does not follow the overwrite instruction, the first system attempts to authenticate with the second server using the first authentication key, and overwrites the first authentication key using the update key according to the overwrite instruction. If so, it attempts to authenticate with the second server using the update key, and at least one of the first server and the second server monitors whether the first system has followed the overwrite instruction, The first system and the second system If the authentication process between the first system and the second server fails and the first system determines that the overwriting instruction is followed, the first system A key management system that outputs a determination result indicating that the first authentication key has been deleted from.

本発明の一態様は、鍵が配備された端末から当該鍵が削除されたか否かを高精度に判定し、ひいてはセキュリティを強化することができる。   According to one embodiment of the present invention, it is possible to determine with high accuracy whether or not a key has been deleted from a terminal on which the key is deployed, thereby enhancing security.

実施例1における情報システムの構成例を示すブロック図である。1 is a block diagram illustrating a configuration example of an information system in Embodiment 1. FIG. 実施例1における鍵管理サーバの構成例を示すブロック図である。3 is a block diagram illustrating a configuration example of a key management server in Embodiment 1. FIG. 実施例1における車載システムの構成例を示すブロック図である。It is a block diagram which shows the structural example of the vehicle-mounted system in Example 1. FIG. 実施例1におけるサービスサーバの構成例を示すブロック図である。1 is a block diagram illustrating a configuration example of a service server in Embodiment 1. FIG. 実施例1における削除ステートの一例である。6 is an example of a deletion state in the first embodiment. 実施例1におけるインシデント通知のフォーマットの一例である。3 is an example of an incident notification format according to the first embodiment. 実施例1における、削除用鍵を用いた鍵更新処理及び削除完了の確認処理を示すシーケンス図である。FIG. 7 is a sequence diagram illustrating a key update process using a deletion key and a deletion completion confirmation process in the first embodiment. 実施例1におけるインシデント通知判定処理の一例を示すフローチャートである。6 is a flowchart illustrating an example of an incident notification determination process according to the first embodiment. 実施例1における、ECUが鍵を更新しなかった、又は更新していないにも関わらず更新完了通知を送信した場合の処理の一例を示すシーケンス図である。FIG. 9 is a sequence diagram illustrating an example of processing in the first embodiment when an update completion notification is transmitted even though the ECU has not updated the key or has not updated the key. 実施例2における鍵管理サーバの構成例を示すブロック図である。10 is a block diagram illustrating a configuration example of a key management server in Embodiment 2. FIG. 実施例2におけるサービスサーバの構成例を示すブロック図である。It is a block diagram which shows the structural example of the service server in Example 2. FIG. 実施例2における鍵管理サーバが保持する削除ステートの一例である。It is an example of the deletion state which the key management server in Example 2 hold | maintains. 実施例2におけるサービスサーバが保持する削除ステートの一例を示す図である。It is a figure which shows an example of the deletion state which the service server in Example 2 hold | maintains. 実施例2における、削除用鍵を用いた鍵更新処理及び削除完了の確認処理を示すシーケンス図である。FIG. 10 is a sequence diagram illustrating a key update process using a deletion key and a deletion completion confirmation process in the second embodiment. 実施例2における、ECUが鍵を更新しなかった、又は更新していないにも関わらず更新完了通知を送信した場合の処理の一例を示すシーケンス図である。FIG. 10 is a sequence diagram illustrating an example of processing when an update completion notification is transmitted although the ECU has not updated the key or has not updated the key in the second embodiment.

以下、添付図面を参照して本発明の実施形態を説明する。本実施形態は本発明を実現するための一例に過ぎず、本発明の技術的範囲を限定するものではないことに注意すべきである。各図において共通の構成については同一の参照符号が付されている。   Embodiments of the present invention will be described below with reference to the accompanying drawings. It should be noted that this embodiment is merely an example for realizing the present invention, and does not limit the technical scope of the present invention. In each figure, the same reference numerals are given to common configurations.

本実施形態は、車載機器ユニットであるECUの不正な動作や故障により鍵が適切に削除されない場合があっても、鍵が削除されたか否かを鍵管理サーバで判断することでセキュリティを高める、情報システムの一例を説明する。   This embodiment improves security by determining whether or not the key has been deleted even if the key may not be properly deleted due to an unauthorized operation or failure of the ECU that is the in-vehicle device unit. An example of the information system will be described.

図1は、鍵管理システムの一例である情報システムの構成例を示すブロック図である。情報システムは、例えば、相互に通信可能な、鍵管理サーバ1と、車載システム2と、サービスサーバ3と、を含む。また、情報システムは、例えば、鍵管理サーバ1と相互に通信可能なサービス管理者端末4をさらに含む。   FIG. 1 is a block diagram illustrating a configuration example of an information system that is an example of a key management system. The information system includes, for example, a key management server 1, an in-vehicle system 2, and a service server 3 that can communicate with each other. The information system further includes, for example, a service manager terminal 4 that can communicate with the key management server 1.

なお、情報システムに含まれる各構成は図1で示していない経路によって接続されていてもよい。例えば、サービス管理者端末4は、サービスサーバ3及び車載システム2と接続されていてもよい。また、情報システム内のある構成が他の構成を含んでもよい。例えば、サービス管理者端末4がサービスサーバ3を含んでもよい。   Each component included in the information system may be connected by a route not shown in FIG. For example, the service manager terminal 4 may be connected to the service server 3 and the in-vehicle system 2. In addition, a configuration in the information system may include other configurations. For example, the service manager terminal 4 may include the service server 3.

鍵管理サーバ1は、ネットワーク等を介して車載システム2、サービスサーバ3、サービス管理者端末4等と通信を行うサーバである。鍵管理サーバ1は、PKI(Public Key Infrastructure)の公開鍵証明書や秘密鍵、又は共通鍵暗号の共通鍵を安全に格納するサーバである。   The key management server 1 is a server that communicates with the in-vehicle system 2, the service server 3, the service manager terminal 4 and the like via a network or the like. The key management server 1 is a server that securely stores a public key certificate of PKI (Public Key Infrastructure), a secret key, or a common key for common key encryption.

鍵管理サーバ1において、他のアプリケーションが動作してもよい。また、鍵管理サーバ1の機能が複数のサーバやストレージなどの筐体に分かれ、それらが組み合わさった構成になっていてもよい。また、サーバに限らず同様の処理が可能な情報機器などであってもよい。これらのことは、サービスサーバ3についても同様である。   In the key management server 1, other applications may operate. Further, the function of the key management server 1 may be divided into a plurality of cases such as servers and storages, and these may be combined. Moreover, the information apparatus etc. which can perform the same process may be sufficient not only as a server. The same applies to the service server 3.

車載システム2は、ネットワーク等を通じて鍵管理サーバ1及び車載システム2と通信する機能を備えた自動車である。車載システム2は、車載機器である複数のECUを備え、各ECUは車内のネットワークで接続されている。   The in-vehicle system 2 is an automobile having a function of communicating with the key management server 1 and the in-vehicle system 2 through a network or the like. The in-vehicle system 2 includes a plurality of ECUs that are in-vehicle devices, and each ECU is connected by a network in the vehicle.

本実施例では情報システムが、車載システム2を含む例を説明するが、車載システム2の代わりに他のM2M/IoTシステムを含んでもよい。情報システムは、車載システムの代わりに、例えば、農業モニタリングシステム、HEMS(Home Energy Management System)、BEMS(Building Energy Management System)、工場管理システム、スマートグリッドシステム、医療システム、又は位置情報提供システム等のシステムを含んでもよい。   In the present embodiment, an example in which the information system includes the in-vehicle system 2 will be described, but another M2M / IoT system may be included instead of the in-vehicle system 2. The information system is, for example, an agricultural monitoring system, a HEMS (Home Energy Management System), a BEMS (Building Energy Management System), a factory management system, a smart grid system, a medical system, or a location information providing system instead of the in-vehicle system. A system may be included.

情報システムが、車載システム2の代わりに上述のシステムのいずれかを含む場合、以下の説明において、後述するメインECUを当該システムのゲートウェイ機器に置き換え、ECUを当該システムの末端ノードの端末に置き換えればよい。この場合、ゲートウェイ機器と末端ノードの端末は有線又は無線で接続されている。   When the information system includes any of the above-described systems instead of the in-vehicle system 2, in the following description, a main ECU described later is replaced with a gateway device of the system, and the ECU is replaced with a terminal of a terminal node of the system. Good. In this case, the gateway device and the terminal of the terminal node are connected by wire or wireless.

サービスサーバ3は、ネットワーク等を通じて車載システム2及び鍵管理サーバ1と通信を行うサーバである。サービスサーバ3は、サービス管理者端末4と通信してもよい。また、サービスサーバ3とサービス管理者端末4とは同一の要素であってもよい。   The service server 3 is a server that communicates with the in-vehicle system 2 and the key management server 1 through a network or the like. The service server 3 may communicate with the service manager terminal 4. Further, the service server 3 and the service manager terminal 4 may be the same element.

サービスサーバ3は、車載システム2のECUと通信を行うことで、車載システム2又は外部システム等に向けたサービスを提供する。サービスサーバ3は、車載システム2のECUと安全に通信するための鍵を保持するサーバである。また、サービスサーバ3は、処理等に異常が発生したことをインシデントとして検知し、検知したインシデントを鍵管理サーバ1に通知する。   The service server 3 communicates with the ECU of the in-vehicle system 2 to provide a service for the in-vehicle system 2 or an external system. The service server 3 is a server that holds a key for safely communicating with the ECU of the in-vehicle system 2. Further, the service server 3 detects that an abnormality has occurred in processing or the like as an incident, and notifies the key management server 1 of the detected incident.

サービス管理者端末4は、ECUが保有する鍵の削除を鍵管理サーバ1に指示する。サービス管理者端末4は、例えば、プロセッサ、メモリ、補助記憶装置、通信インターフェース、及び入出力インターフェースを含む計算機によって構成される。   The service manager terminal 4 instructs the key management server 1 to delete the key held by the ECU. The service manager terminal 4 is constituted by a computer including a processor, a memory, an auxiliary storage device, a communication interface, and an input / output interface, for example.

サービス管理者端末4は、鍵の発行、更新、及び失効を鍵管理サービスに指示する機能をさらに備えてもよい。サービス管理者端末4は、ディスプレイ装置等を含む端末であってもよいし、ネットワーク等を通じて鍵管理サーバ1と通信するサーバであってもよい。 鍵管理サーバ1とサービスサーバ3との間の通信、および鍵管理サーバ1とサーバであるサービス管理者端末4との間の通信は、例えば、LTE(Long Term Evolution)、3G(3rd Generation)、WiMAX(Worldwide Interoperability for Microwave Access)、無線LAN(Local Area Network)、若しくはWAN(Wide Area Network)等の無線通信、又は有線LAN、インターネット、若しくは専用回線等を用いた有線通信である。   The service manager terminal 4 may further include a function for instructing the key management service to issue, update, and revoked keys. The service manager terminal 4 may be a terminal including a display device or the like, or may be a server that communicates with the key management server 1 through a network or the like. The communication between the key management server 1 and the service server 3 and the communication between the key management server 1 and the service administrator terminal 4 which is the server are, for example, LTE (Long Term Evolution), 3G (3rd Generation), Wireless communication such as WiMAX (World Wide Interoperability for Microwave Access), wireless LAN (Local Area Network), or WAN (Wide Area Network), or a wired LAN, the Internet, or a dedicated line.

鍵管理サーバ1と車載システム2との間の通信、および、サービスサーバ3と車載システム2との間の通信は、例えば、LTE、3G、WiMAX、無線LAN又はWAN等の無線通信である。情報システム内の各構成間の通信は、別のネットワークであってもよいし、同一のネットワークであってもよい。   The communication between the key management server 1 and the in-vehicle system 2 and the communication between the service server 3 and the in-vehicle system 2 are wireless communication such as LTE, 3G, WiMAX, wireless LAN, or WAN, for example. The communication between the components in the information system may be another network or the same network.

図2は、鍵管理サーバ1の構成例を示すブロック図である。鍵管理サーバ1は、例えば、互いにバス線などで結線された、制御部10、記憶部11、及び通信部12を備える。なお、鍵管理サーバ1は、例えば、暗号処理を高速化する暗号処理部等をさらに含んでもよい。   FIG. 2 is a block diagram illustrating a configuration example of the key management server 1. The key management server 1 includes, for example, a control unit 10, a storage unit 11, and a communication unit 12, which are connected to each other by a bus line or the like. The key management server 1 may further include, for example, an encryption processing unit that speeds up encryption processing.

なお、鍵管理サーバ1内の各部は、必ずしもバス線により結線されている必要はなく、その他の方法で電気的に繋がっていてもよい。また、鍵管理サーバ1内において、相互に接続されている必要がある部同士が接続されていてもよい。また別個の筐体内の部が電気的又は光配線等で接続されていてもよい。これは、情報システムに含まれる他の装置の構成についても同様である。   Each unit in the key management server 1 is not necessarily connected by a bus line, and may be electrically connected by other methods. In the key management server 1, parts that need to be connected to each other may be connected. Moreover, the part in a separate housing | casing may be connected by electrical or optical wiring. The same applies to the configuration of other devices included in the information system.

制御部10は、例えば、プロセッサ(CPU、MPU、又はDSP)等から構成され、記憶部11等に格納されたプログラムを実行する。記憶部11は、制御部10が実行するプログラム及びプログラムの実行時に使用されるデータを格納する。記憶部11は、例えば、磁気ディスク、SSD(Solid State Drive)、EEPROM、又はフラッシュメモリ等の、大容量かつ不揮発性の記憶装置を含む。   The control unit 10 includes, for example, a processor (CPU, MPU, or DSP) and executes a program stored in the storage unit 11 or the like. The storage unit 11 stores a program executed by the control unit 10 and data used when the program is executed. The storage unit 11 includes, for example, a large-capacity and non-volatile storage device such as a magnetic disk, an SSD (Solid State Drive), an EEPROM, or a flash memory.

また、記憶部11は、不揮発性の記憶素子であるROM及び揮発性の記憶素子であるRAMを含むメモリを含んでもよい。ROMは、不変のプログラム(例えば、BIOS)などを格納する。RAMは、DRAM(Dynamic Random Access Memory)のような高速かつ揮発性の記憶素子であり、制御部10が実行するプログラム及びプログラムの実行時に使用されるデータを一時的に格納する。   The storage unit 11 may include a memory including a ROM that is a nonvolatile storage element and a RAM that is a volatile storage element. The ROM stores an immutable program (for example, BIOS). The RAM is a high-speed and volatile storage element such as a DRAM (Dynamic Random Access Memory), and temporarily stores a program executed by the control unit 10 and data used when the program is executed.

記憶部11は、鍵などの情報を安全に保持するHSM(Hardware security module)を備えてもよい。記憶部11は、複数の記憶装置から構成されていてもよく、各プログラム及び各データが当該複数の記憶装置に分けて格納されていてもよい。   The storage unit 11 may include an HSM (Hardware security module) that securely holds information such as a key. The storage unit 11 may be composed of a plurality of storage devices, and each program and each data may be stored separately in the plurality of storage devices.

通信部12は、所定のプロトコルに従って、情報システムに含まれる他の構成との通信を制御するネットワークインターフェース装置を含み、上述した無線通信及び有線通信を行うモジュールである。   The communication unit 12 includes a network interface device that controls communication with other components included in the information system according to a predetermined protocol, and is a module that performs the above-described wireless communication and wired communication.

鍵管理サーバ1は、例えば、通信方式ごとに応じて複数の通信部12を含んでもよい。また、通信部12は、他の通信を実施するモジュールと共用になっていてもよい。なお、通信部12は、無線通信に用いられるアンテナ及び変復調回路等を含んでもよい。また、通信部12は、有線通信に用いられるコネクタ及び変復調回路等を含んでもよい。   The key management server 1 may include a plurality of communication units 12 according to communication methods, for example. Moreover, the communication part 12 may be shared with the module which implements other communication. The communication unit 12 may include an antenna and a modem circuit used for wireless communication. The communication unit 12 may include a connector and a modem circuit used for wired communication.

制御部10が実行するプログラムは、リムーバブルメディア(CD−ROM、フラッシュメモリなど)又はネットワークを介して鍵管理サーバ1に提供され、例えば、記憶部11に含まれる非一時的記憶媒体である不揮発性の補助記憶装置に格納される。このため、鍵管理サーバ1は、リムーバブルメディアからデータを読み込むインターフェースを有するとよい。   The program executed by the control unit 10 is provided to the key management server 1 via a removable medium (CD-ROM, flash memory, etc.) or a network, and is, for example, a non-volatile storage medium included in the storage unit 11 Stored in the auxiliary storage device. For this reason, the key management server 1 may have an interface for reading data from a removable medium.

なお、鍵管理サーバ1は、入力インターフェース及び出力インターフェースをさらに有してもよい。入力インターフェースは、キーボードやマウスなどが接続され、オペレータからの入力を受けるインターフェースである。出力インターフェースは、ディスプレイ装置やプリンタなどが接続され、プログラムの実行結果をオペレータが視認可能な形式で出力するインターフェースである。   The key management server 1 may further include an input interface and an output interface. The input interface is an interface that is connected to a keyboard, a mouse, and the like and receives input from an operator. The output interface is an interface that is connected to a display device, a printer, and the like and outputs the execution result of the program in a form that can be visually recognized by the operator.

鍵管理サーバ1は、物理的に一つの計算機上で、又は、論理的又は物理的に構成された複数の計算機上で構成される計算機システムであり、同一の計算機上で別個のスレッドで動作してもよく、複数の物理的計算機資源上に構築された仮想計算機上で動作してもよい。   The key management server 1 is a computer system configured on a single computer, or a plurality of computers configured logically or physically, and operates on separate threads on the same computer. It may be possible to operate on a virtual machine constructed on a plurality of physical computer resources.

記憶部11は、制御ソフト110と、鍵管理テーブル111と、を格納する。制御ソフト110は、鍵管理サーバ1を制御するためのソフトウェアが記述されている。制御ソフト110は、例えば、通信部12からの通信、所定のタイマー、又は他の割り込み処理を開始トリガとして、処理フローを実行するソフトウェアである。   The storage unit 11 stores control software 110 and a key management table 111. The control software 110 describes software for controlling the key management server 1. The control software 110 is software that executes a processing flow using, for example, communication from the communication unit 12, a predetermined timer, or other interrupt processing as a start trigger.

制御ソフト110は、複数のソフトウェアが連携した複合的なものであってもよい。なお、特に断りなく鍵管理サーバ1又は制御ソフト110が処理を実行するような記述をした場合、物理的には制御ソフト110のプログラムの記述に則って制御部10が処理を実行することを示す。上述した制御ソフト110の説明、及び制御ソフト110と制御部10との関係の説明は、他の装置に含まれる制御ソフト及び制御部についても同様である。   The control software 110 may be a composite of a plurality of software. It should be noted that the description that the key management server 1 or the control software 110 executes the process without particular notice indicates that the control unit 10 executes the process physically in accordance with the description of the program of the control software 110. . The above description of the control software 110 and the relationship between the control software 110 and the control unit 10 are the same for the control software and the control unit included in other devices.

制御ソフト110は、例えば、それぞれプログラムである、鍵管理機能1101、インシデント通知処理機能1102、削除用鍵生成機能1103、削除ステート管理機能1104、メインECU認証機能1105、サービスサーバ認証機能1106を備える。制御ソフト110はこれらの機能の組み合わせで実現される。   The control software 110 includes, for example, a key management function 1101, an incident notification processing function 1102, a deletion key generation function 1103, a deletion state management function 1104, a main ECU authentication function 1105, and a service server authentication function 1106, which are programs. The control software 110 is realized by a combination of these functions.

鍵管理機能1101は、車載システム2に配信した鍵を所定の鍵で更新する指示を行う。また、鍵管理機能1101は、鍵の配送、失効、又は削除を指示してもよい。また、鍵管理機能1101は、鍵管理テーブル111を更新してもよい。インシデント通知処理機能1102は、サービスサーバ3から受け取ったインシデント通知の内容に応じた処理を行う。   The key management function 1101 instructs to update the key distributed to the in-vehicle system 2 with a predetermined key. The key management function 1101 may instruct key distribution, revocation, or deletion. The key management function 1101 may update the key management table 111. The incident notification processing function 1102 performs processing according to the content of the incident notification received from the service server 3.

削除用鍵生成機能1103は、削除用の鍵を生成する。削除用の鍵の値は通常に運用する鍵の値とは異なる。削除ステート管理機能1104は、鍵管理テーブル111を読み書きすることで鍵削除に関する一連のプロセスをステートとして管理する。   The deletion key generation function 1103 generates a deletion key. The key value for deletion is different from the key value used in normal operation. The deletion state management function 1104 manages a series of processes relating to key deletion as states by reading and writing the key management table 111.

メインECU認証機能1105は、後述する車載システム2のメインECUと相互認証する機能であり、メインECUと認証するためのIDや認証鍵が記述されている。サービスサーバ認証機能1106は、後述するサービスサーバ3と相互認証する機能であり、サービスサーバ3と認証するためのIDや認証鍵を含む。なお、メインECUと認証するためのIDと認証鍵、及びサービスサーバと認証するためのIDと認証鍵は、テーブル形式で記憶部11に格納されていてもよい。   The main ECU authentication function 1105 is a function for mutual authentication with the main ECU of the in-vehicle system 2 described later, and describes an ID and an authentication key for authenticating with the main ECU. The service server authentication function 1106 is a function for mutual authentication with the service server 3 described later, and includes an ID and an authentication key for authenticating with the service server 3. The ID and authentication key for authenticating with the main ECU and the ID and authentication key for authenticating with the service server may be stored in the storage unit 11 in a table format.

鍵管理テーブル111は、鍵管理サーバ1が配布した、車載システム2とサービスサーバ3との間の認証鍵の情報を格納する。鍵管理テーブル111は、例えば、サービス管理者端末4などから送信された情報に従って、予め生成される。鍵管理テーブル111は、例えばデータベースやハッシュテーブル等で構成される。   The key management table 111 stores authentication key information distributed by the key management server 1 between the in-vehicle system 2 and the service server 3. The key management table 111 is generated in advance according to information transmitted from the service manager terminal 4 or the like, for example. The key management table 111 is composed of, for example, a database or a hash table.

鍵管理テーブル111は、例えば、端末ID欄1111、アプリID欄1112、鍵値欄1113、鍵状態欄1114、削除ステート欄1115、及び状態変更日時欄1116を含む。端末ID欄1111は、車載システム2に含まれるECUを識別する端末IDを格納する。アプリID欄1112は、車載システム2に含まれるECUのアプリケーションを識別するアプリIDを格納する。端末ID及びアプリIDは、例えば、数値列又は文字列である。本実施形態において、端末IDとアプリIDの組み合わせによって、鍵が一意に識別されるものとする。なお、鍵管理テーブル111は、鍵を一意に識別する鍵IDをさらに保持してもよい。   The key management table 111 includes, for example, a terminal ID column 1111, an application ID column 1112, a key value column 1113, a key state column 1114, a deletion state column 1115, and a state change date / time column 1116. The terminal ID column 1111 stores a terminal ID that identifies an ECU included in the in-vehicle system 2. The application ID column 1112 stores an application ID for identifying an ECU application included in the in-vehicle system 2. The terminal ID and application ID are, for example, a numerical string or a character string. In the present embodiment, it is assumed that the key is uniquely identified by the combination of the terminal ID and the application ID. The key management table 111 may further hold a key ID that uniquely identifies the key.

鍵値欄1113欄は、鍵値を格納する。鍵値は例えば、公開鍵暗号の秘密鍵と公開鍵証明書の組や、共通鍵暗号の秘密鍵である。鍵状態欄1114は鍵の状態を示す情報を格納する。例えば、「削除中」は対応する鍵が削除中であることを示す。また、鍵状態欄1114は、例えば、鍵が有効である状態を示す「有効」、及び鍵が失効された状態を示す「失効」等の値を保持してもよい。   The key value column 1113 stores a key value. The key value is, for example, a pair of a public key encryption private key and public key certificate, or a common key encryption private key. The key status column 1114 stores information indicating the key status. For example, “deleting” indicates that the corresponding key is being deleted. In addition, the key status column 1114 may hold values such as “valid” indicating that the key is valid and “revocation” indicating that the key has been revoked.

削除ステート欄1115は、鍵の削除ステートが格納される。削除ステートの詳細については後述する。なお、鍵状態欄1114が「削除中」であるレコードの削除ステート欄1115は削除ステートを格納し、鍵状態欄1114が「削除中」でないレコードの削除ステート欄1115は、例えば、null値を格納する。   The deletion state column 1115 stores a key deletion state. Details of the deletion state will be described later. Note that the deletion state column 1115 of the record whose key state column 1114 is “deleting” stores the deletion state, and the deletion state column 1115 of the record whose key state column 1114 is not “deleting” stores, for example, a null value. To do.

状態変更日時欄1116は、例えば、削除ステート又は鍵状態が最後に変更された日時を保持する。状態変更日時欄1116に格納される日時は、例えば、鍵管理サーバ1の内部から取得されてもよいし、状態変更のきっかけとなる外部からの通信に含まれる時刻情報から取得されてもよい。   The state change date / time column 1116 holds, for example, the date / time when the deletion state or the key state was last changed. The date and time stored in the status change date / time column 1116 may be acquired from the inside of the key management server 1, for example, or may be acquired from time information included in external communication that triggers the status change.

なお、本実施形態において、情報システムが使用する情報がテーブル形式で表されている例を説明するが、情報システムが使用する情報はデータ構造に依存せずどのようなデータ構造で表現されていてもよい。例えば、テーブル、リスト、データベース又はキューから適切に選択したデータ構造体が、情報を格納することができる。情報記憶システムが使用する情報は、データ記憶装置における対応するデータ記憶領域に格納される。   In this embodiment, an example in which information used by the information system is represented in a table format will be described. However, the information used by the information system is expressed in any data structure regardless of the data structure. Also good. For example, a data structure appropriately selected from a table, list, database or queue can store the information. Information used by the information storage system is stored in a corresponding data storage area in the data storage device.

図3は、車載システム2の構成例を示すブロック図である。車載システム2は、例えば、CAN(Control Area Network)などで互いに結線されている、サーバ通信ECU20、メインECU21、及び1以上のECU22を備える。サーバ通信ECU20、メインECU21、及びECU22は、例えば、CAN FD(CAN with Flexible Data Rate)、Ethernet(登録商標、以下同)、又はFlexRay等(登録商標、以下同)によって結線されていてもよい。   FIG. 3 is a block diagram illustrating a configuration example of the in-vehicle system 2. The in-vehicle system 2 includes a server communication ECU 20, a main ECU 21, and one or more ECUs 22 that are connected to each other by, for example, a CAN (Control Area Network). The server communication ECU 20, the main ECU 21, and the ECU 22 may be connected by, for example, CAN FD (CAN with Flexible Data Rate), Ethernet (registered trademark, hereinafter the same), FlexRay, etc. (registered trademark, the same hereinafter).

サーバ通信ECU20は、鍵管理サーバ1やサービスサーバ3等の他の構成要素と通信を行う。サーバ通信ECU20は、LTE、3G、WiMAX、無線LANおよびWAN等の無線通信を行うためのモジュールである。また車載システム2が自動車以外のIoTシステムである場合は、サーバ通信ECU20は有線の通信を行うモジュールであってもよい。   The server communication ECU 20 communicates with other components such as the key management server 1 and the service server 3. The server communication ECU 20 is a module for performing wireless communication such as LTE, 3G, WiMAX, wireless LAN, and WAN. When the in-vehicle system 2 is an IoT system other than an automobile, the server communication ECU 20 may be a module that performs wired communication.

なお、サーバ通信ECU20は、メインECU21又はECU22に含まれていてもよい。また、車載システム2は、用途や通信方式に応じた複数のサーバ通信ECU20を含んでもよい。またその他の通信を実施するモジュールと共用になっていても構わない。なお、サーバ通信ECU20は、無線通信の場合、アンテナ、および変復調回路等を含んでもよい。有線通信の場合は、コネクタ、および変復調回路等を含んでもよい。   The server communication ECU 20 may be included in the main ECU 21 or the ECU 22. Further, the in-vehicle system 2 may include a plurality of server communication ECUs 20 according to applications and communication methods. Also, it may be shared with other modules that perform communication. The server communication ECU 20 may include an antenna, a modulation / demodulation circuit, and the like in the case of wireless communication. In the case of wired communication, a connector and a modem circuit may be included.

メインECU21は、例えば、互いにバス線などで結線された、制御部210、記憶部211、通信部212を備えるメインECU21は、例えば、暗号処理を高速化する暗号処理部等を、さらに含んでもよい。メインECU21は、例えばセントラルゲートウェイユニットであることが考えられる。   For example, the main ECU 21 including the control unit 210, the storage unit 211, and the communication unit 212 that are connected to each other by a bus line or the like may further include, for example, a cryptographic processing unit that speeds up cryptographic processing. . The main ECU 21 may be a central gateway unit, for example.

通信部212は、メインECU21が車載システム2の他の構成要素と通信を行う。通信部212は、例えば、CAN、CAN FD、Ethernet、又はFlexRayなどによる通信を行うためのモジュールである。車載システム2が自動車以外のIoTシステムである場合は、通信部212は、例えば、無線又は有線の通信を行うためのモジュールである。メインECU21は、用途や通信方式に応じた複数の通信部212を含んでもよい。また、通信部212は、他の通信を実施するモジュールと共用になっていてもよい。なお、通信部212は、無線通信を行う場合、アンテナ及び変復調回路等を含んでもよい。通信部212は、有線通信を行う場合は、コネクタ及び変復調回路等を含んでもよい。   In the communication unit 212, the main ECU 21 communicates with other components of the in-vehicle system 2. The communication unit 212 is a module for performing communication by CAN, CAN FD, Ethernet, FlexRay, or the like, for example. When the in-vehicle system 2 is an IoT system other than an automobile, the communication unit 212 is a module for performing wireless or wired communication, for example. The main ECU 21 may include a plurality of communication units 212 corresponding to applications and communication methods. The communication unit 212 may be shared with a module that performs other communication. Note that the communication unit 212 may include an antenna and a modem circuit when performing wireless communication. The communication unit 212 may include a connector and a modem circuit when performing wired communication.

以下、制御部210及び記憶部211それぞれと、制御部10及び記憶部11それぞれと、の相違点を説明し、同様の点についての説明を省略する。記憶部211は、例えば、メインECU21を制御するためのソフトウェアが記述されている制御ソフト2110を備える。   Hereinafter, differences between each of the control unit 210 and the storage unit 211 and each of the control unit 10 and the storage unit 11 will be described, and description of similar points will be omitted. The storage unit 211 includes, for example, control software 2110 in which software for controlling the main ECU 21 is described.

制御ソフト2110は、例えば、それぞれプログラムである、鍵管理機能2111、鍵管理サーバ認証機能2115を備える。鍵管理機能2111は、鍵管理サーバ1からの指示を受け指定された鍵を所定のECUに配送することで当該ECUの鍵を更新する。鍵管理機能2111は、鍵管理サーバ1からの指示を受けて所定のECUに対し鍵を配送、失効、及び削除してもよい。   The control software 2110 includes, for example, a key management function 2111 and a key management server authentication function 2115, which are programs. The key management function 2111 receives an instruction from the key management server 1 and delivers a designated key to a predetermined ECU to update the key of the ECU. The key management function 2111 may deliver, revoke, and delete a key to a predetermined ECU in response to an instruction from the key management server 1.

鍵管理サーバ認証機能2115は鍵管理サーバ1と相互認証する。鍵管理サーバ認証機能2115には、鍵管理サーバ1と認証するためのIDや認証鍵が記述されている。ECU22は、例えば、互いにバス線などで結線された、制御部220、記憶部221、通信部222を備える。ECU22は、例えば、暗号処理を高速化する暗号処理部をさらに備えてもよい。通信部222の説明は、通信部212の説明と同様であるため省略する。   The key management server authentication function 2115 performs mutual authentication with the key management server 1. The key management server authentication function 2115 describes an ID for authenticating with the key management server 1 and an authentication key. The ECU 22 includes, for example, a control unit 220, a storage unit 221, and a communication unit 222 that are connected to each other by a bus line or the like. The ECU 22 may further include, for example, a cryptographic processing unit that speeds up the cryptographic processing. Since the description of the communication unit 222 is the same as the description of the communication unit 212, a description thereof will be omitted.

以下、制御部220及び記憶部221それぞれと、制御部10及び記憶部11それぞれと、の相違点を説明し、同様の点の説明は省略する。記憶部221は、ECU22を制御するためのソフトウェアが記述されている制御ソフト2210、及び端末ID2211を格納する。   Hereinafter, differences between each of the control unit 220 and the storage unit 221 and each of the control unit 10 and the storage unit 11 will be described, and description of similar points will be omitted. The storage unit 221 stores control software 2210 in which software for controlling the ECU 22 is described, and a terminal ID 2211.

制御ソフト2210は、1以上のアプリケーション2212を備える。これ以外の構成要素を備えてもよい。アプリケーション2212は、サービスサーバ3と連携したサービスを実行するソフトウェアであり、サービスサーバ3との通信を行う。アプリケーション2212が備える構成要素については後述する。端末ID2211は、ECU22を識別するIDであり、例えば、数値列又は文字列である。   The control software 2210 includes one or more applications 2212. Other components may be provided. The application 2212 is software that executes a service linked to the service server 3, and communicates with the service server 3. The components included in the application 2212 will be described later. The terminal ID 2211 is an ID for identifying the ECU 22, and is, for example, a numerical string or a character string.

アプリケーション2212は、例えば、アプリID2213、サービスサーバ通信認証鍵2214を保持する。アプリID2213は、アプリケーション2212を識別するIDであり、例えば、数値列又は文字列である。   The application 2212 holds, for example, an application ID 2213 and a service server communication authentication key 2214. The application ID 2213 is an ID for identifying the application 2212 and is, for example, a numerical string or a character string.

サービスサーバ通信認証鍵2214は、後述するサービスサーバ3のアプリケーションと通信を行う際に相互認証を行うための鍵であり、鍵管理サーバ1からメインECU21を介して配信又は更新される。サービスサーバ通信認証鍵2214は、車載システム2の所有者が変更された場合や車載システム2が破棄される場合等において、適切に削除される必要がある。   The service server communication authentication key 2214 is a key for performing mutual authentication when communicating with an application of the service server 3 described later, and is distributed or updated from the key management server 1 via the main ECU 21. The service server communication authentication key 2214 needs to be appropriately deleted when the owner of the in-vehicle system 2 is changed or when the in-vehicle system 2 is discarded.

図4は、サービスサーバ3の構成例を示すブロック図である。サービスサーバ3は、例えば、バス線などで互いに結線された、制御部30、記憶部31、及び通信部32を備る。サービスサーバ3は、例えば、暗号処理を高速化する暗号処理部をさらに備えていてもよい。   FIG. 4 is a block diagram illustrating a configuration example of the service server 3. The service server 3 includes a control unit 30, a storage unit 31, and a communication unit 32 that are connected to each other by, for example, a bus line. The service server 3 may further include, for example, a cryptographic processing unit that speeds up cryptographic processing.

以下、制御部30、記憶部31、及び通信部32それぞれと、制御部10、記憶部11及び通信部32それぞれと、の相違点を説明し、同様の点の説明を省略する。記憶部31は、サービスサーバ3を制御するためのソフトウェアが記述されている制御ソフト310、及び鍵テーブル311を備える。   Hereinafter, differences between the control unit 30, the storage unit 31, and the communication unit 32, and the control unit 10, the storage unit 11, and the communication unit 32 will be described, and description of similar points will be omitted. The storage unit 31 includes control software 310 in which software for controlling the service server 3 is described, and a key table 311.

制御ソフト310は、例えば、それぞれプログラムである、鍵管理機能3101、インシデント通知機能3102、アプリケーション3103、及び鍵管理サーバ認証機能3106を備える。鍵管理機能3101は、鍵管理サーバ1からの指示を受けて鍵テーブル311の鍵を削除する。また、鍵管理機能3101は、鍵管理サーバ1からの指示を受けて鍵を保持、更新、及び失効してもよい。   The control software 310 includes, for example, a key management function 3101, an incident notification function 3102, an application 3103, and a key management server authentication function 3106, which are programs. The key management function 3101 deletes the key in the key table 311 in response to an instruction from the key management server 1. Further, the key management function 3101 may hold, update, and revoke a key in response to an instruction from the key management server 1.

インシデント通知機能3102は、サービスサーバ3の処理等に異常が発生したことをインシデントとして検知し、鍵管理サーバ1に通知する。車載システム2のECU22との相互認証が失敗したことは、インシデントの一例である。   The incident notification function 3102 detects that an abnormality has occurred in the processing of the service server 3 as an incident, and notifies the key management server 1 of it. That mutual authentication with the ECU 22 of the in-vehicle system 2 has failed is an example of an incident.

アプリケーション3103は、ECU22と連携したサービスを実行するソフトウェアであり、ECU22との通信を行う。鍵管理サーバ認証機能3106は鍵管理サーバ1と相互認証する。鍵管理サーバ認証機能3106には、例えば、鍵管理サーバ1と認証するためのIDや認証鍵が記述されている。   The application 3103 is software that executes a service linked to the ECU 22, and communicates with the ECU 22. The key management server authentication function 3106 performs mutual authentication with the key management server 1. In the key management server authentication function 3106, for example, an ID for authenticating with the key management server 1 and an authentication key are described.

鍵テーブル311は、鍵管理サーバ1が配布した認証鍵の情報を格納する。鍵テーブル311は、例えば、鍵管理サーバ1から送信された情報に従って、予め生成される。鍵テーブル311は、例えばデータベースやハッシュテーブル等で構成される。   The key table 311 stores authentication key information distributed by the key management server 1. The key table 311 is generated in advance, for example, according to information transmitted from the key management server 1. The key table 311 is composed of, for example, a database or a hash table.

鍵テーブル311は、例えば、端末ID欄3111と、アプリID欄3112と、鍵値欄3113と、を含む。端末ID欄3111は、車載システム2に含まれるECUを識別する端末IDを格納する。アプリID欄3112は、車載システム2に含まれるECUのアプリケーションを識別するアプリID情報を格納する。なお、鍵テーブル311は、鍵を一意に識別する鍵IDをさらに保持してもよい。   The key table 311 includes, for example, a terminal ID column 3111, an application ID column 3112, and a key value column 3113. The terminal ID column 3111 stores a terminal ID that identifies an ECU included in the in-vehicle system 2. The application ID column 3112 stores application ID information for identifying an ECU application included in the in-vehicle system 2. The key table 311 may further hold a key ID that uniquely identifies the key.

鍵値欄3113は、端末ID欄1111とアプリID欄1112とに対応付き、記憶部31が保持する、端末通信認証鍵の鍵値を格納する。鍵値は例えば、公開鍵暗号の秘密鍵と公開鍵証明書の組や、共通鍵暗号の秘密鍵である。端末通信認証鍵は、ECU22のサービスサーバ通信認証鍵2214と組み合わせて相互認証を行うための鍵である。   The key value column 3113 stores the key value of the terminal communication authentication key held in the storage unit 31 in association with the terminal ID column 1111 and the application ID column 1112. The key value is, for example, a pair of a public key encryption private key and public key certificate, or a common key encryption private key. The terminal communication authentication key is a key for performing mutual authentication in combination with the service server communication authentication key 2214 of the ECU 22.

図5Aは、削除ステート欄1115に格納される削除ステートの一例である。削除ステート欄1115は、例えば、削除ステート1乃至削除ステート7のいずれか又はnull値を格納する。削除ステートの遷移は後述する処理フローにおいて示す。   FIG. 5A is an example of the deletion state stored in the deletion state column 1115. The deletion state column 1115 stores, for example, any one of the deletion states 1 to 7 or a null value. The transition of the deletion state is shown in the processing flow described later.

削除ステート1は、鍵管理サーバ1がサービス管理者端末4から削除要求を受けたことを示す。削除ステート2は、削除専用鍵による端末通信認証鍵の更新を鍵管理サーバ1が指示中であることを示す。削除ステート3は、通信認証鍵の削除専用鍵による更新完了報告を受信したことを示す。削除ステート4は、鍵管理サーバ1がサービスサーバ3から通信認証失敗の報告を受信したことを示す。   The deletion state 1 indicates that the key management server 1 has received a deletion request from the service manager terminal 4. The deletion state 2 indicates that the key management server 1 is instructing to update the terminal communication authentication key with the deletion dedicated key. The deletion state 3 indicates that an update completion report using a communication authentication key deletion-dedicated key has been received. The deletion state 4 indicates that the key management server 1 has received a communication authentication failure report from the service server 3.

削除ステート5は、鍵管理サーバ1がサービスサーバ3に端末通信認証鍵の削除を指示中であることを示す。削除ステート6は、サービスサーバ3から鍵管理サーバ1に削除完了の報告があったことを示す。削除ステート7は、鍵管理サーバ1がサービス管理者端末4に削除完了を通知済みであることを示す。   The deletion state 5 indicates that the key management server 1 is instructing the service server 3 to delete the terminal communication authentication key. The deletion state 6 indicates that a deletion completion report has been sent from the service server 3 to the key management server 1. The deletion state 7 indicates that the key management server 1 has notified the service manager terminal 4 of the completion of deletion.

図5Bは、インシデント通知機能3102が通知するインシデント通知のフォーマット一例である。図5Bのインシデント通知は、ECU22とサービスサーバ3との相互認証が失敗したことを示す。   FIG. 5B shows an example of an incident notification format notified by the incident notification function 3102. The incident notification in FIG. 5B indicates that mutual authentication between the ECU 22 and the service server 3 has failed.

インシデント通知は、例えば、端末ID、アプリID、発生日時、インシデント内容、詳細ログを含む。インシデント通知における端末IDは、サービスサーバ3が相互認証を行った相手であるECU22の端末IDを示す。   The incident notification includes, for example, a terminal ID, an application ID, an occurrence date and time, an incident content, and a detailed log. The terminal ID in the incident notification indicates the terminal ID of the ECU 22 with which the service server 3 has performed mutual authentication.

インシデント通知におけるアプリIDは、サービスサーバ3が相互認証を試みた相手であるECU22のアプリIDを示す。インシデント通知における発生日時は、相互認証の失敗が発生した時刻を示す。インシデント通知におけるインシデント内容は、サービスサーバ3で発生したインシデントの内容を示し、図5Bの例は相互認証が失敗したことを示す。インシデント通知における詳細ログは、インシデント内容が示すインシデントに至ったログを示す。図5Bの例では、詳細ログは、認証失敗に至ったログの詳細を示し、例えば、相互認証に係る通信内容などを含む。   The application ID in the incident notification indicates the application ID of the ECU 22 with which the service server 3 has attempted mutual authentication. The occurrence date and time in the incident notification indicates the time when the mutual authentication failure occurs. The incident content in the incident notification indicates the content of the incident that occurred in the service server 3, and the example of FIG. 5B indicates that the mutual authentication has failed. The detailed log in the incident notification indicates a log that reaches the incident indicated by the incident content. In the example of FIG. 5B, the detailed log indicates details of the log that has resulted in the authentication failure, and includes, for example, communication contents related to mutual authentication.

以下、図6から図8を用いてでは情報システムの処理の一例を示す。図6は、削除用鍵を用いたサービスサーバ通信認証鍵2214の更新処理及び削除完了の確認処理を示すシーケンス図である。以下、特に断りがなくとも、鍵管理サーバ1又はサービスサーバ3と、メインECU21又はECU22と、の間の通信を、必要に応じてサーバ通信ECU20が中継してもよい。   Hereinafter, an example of processing of the information system will be described with reference to FIGS. FIG. 6 is a sequence diagram showing the update processing of the service server communication authentication key 2214 using the deletion key and the deletion completion confirmation processing. Hereinafter, the communication between the key management server 1 or the service server 3 and the main ECU 21 or the ECU 22 may be relayed by the server communication ECU 20 as necessary, unless otherwise specified.

まず、サービス管理者端末4は、鍵管理サーバに対して鍵削除指示を送信する(S101)。鍵削除指示は、削除対象であるサービスサーバ通信認証鍵2214(以下、削除対象鍵と呼ぶ)を特定する情報を含む。端末IDとアプリIDとの組み合わせ、鍵ID、及び鍵値はいずれも削除対象鍵を特定する情報の一例である。   First, the service manager terminal 4 transmits a key deletion instruction to the key management server (S101). The key deletion instruction includes information for specifying a service server communication authentication key 2214 (hereinafter referred to as a deletion target key) that is a deletion target. The combination of the terminal ID and the application ID, the key ID, and the key value are all examples of information for specifying the deletion target key.

続いて、削除ステート管理機能1104は、削除対象鍵の、鍵状態欄1114の値を「削除中」に、削除ステート欄1115の値を削除ステート1に、それぞれ更新し、状態変更日時欄1116に現在日時を格納する(S102)。なお、削除ステート管理機能3104は、削除ステート欄1115の値を変更する度に、当該削除ステート欄1115に対応する状態変更日時欄1116の変更日時を更新するが、以下の説明において、状態変更日時欄1116の変更日時の更新処理の説明は省略する。   Subsequently, the deletion state management function 1104 updates the value of the key state column 1114 of the key to be deleted to “deleting” and the value of the deletion state column 1115 to the deletion state 1, respectively, and sets the value in the state change date / time column 1116. The current date and time are stored (S102). The deletion state management function 3104 updates the change date / time of the state change date / time column 1116 corresponding to the delete state column 1115 every time the value of the delete state column 1115 is changed. The description of the update process of the change date in the column 1116 is omitted.

続いて、削除用鍵生成機能1103は、削除用鍵を生成する(S103)。なお、削除用鍵生成機能1103は、例えば、擬似乱数生成器を用いて削除用の鍵を生成する。また、削除用鍵生成機能1103は、例えば、所定の値を持つ鍵を、削除用の鍵として生成してもよい。   Subsequently, the deletion key generation function 1103 generates a deletion key (S103). Note that the deletion key generation function 1103 generates a deletion key using, for example, a pseudo-random number generator. Further, the deletion key generation function 1103 may generate, for example, a key having a predetermined value as a deletion key.

続いて、鍵管理機能1101は、S103で生成した削除用鍵での削除対象鍵の更新をメインECU21に指示し、削除ステート管理機能1104は削除対象鍵の削除ステート欄1115の値を削除ステート2に更新する(S104)。当該更新指示は、削除対象鍵及び削除対象鍵を保持するECU22を特定する情報、並びに削除用鍵を含む。なおステップS104の処理が実施される前に、メインECU認証機能1105と鍵管理サーバ認証機能2115が相互認証を実施し、暗号セッション等を確立しておくことが望ましい。   Subsequently, the key management function 1101 instructs the main ECU 21 to update the deletion target key with the deletion key generated in S103, and the deletion state management function 1104 sets the value in the deletion state column 1115 of the deletion target key to the deletion state 2. (S104). The update instruction includes a deletion target key, information for specifying the ECU 22 that holds the deletion target key, and a deletion key. In addition, before the process of step S104 is implemented, it is desirable that the main ECU authentication function 1105 and the key management server authentication function 2115 perform mutual authentication and establish a cryptographic session or the like.

続いて、メインECU21の鍵管理機能2111は、更新指示を参照して削除対象鍵を保持するECU22を特定し、削除用鍵での鍵更新を特定したECU22に指示する(S105)。つまり、鍵管理機能2111は、受信した更新指示を特定したECU22に転送する。   Subsequently, the key management function 2111 of the main ECU 21 specifies the ECU 22 that holds the deletion target key with reference to the update instruction, and instructs the ECU 22 that has specified the key update with the deletion key (S105). That is, the key management function 2111 transfers the received update instruction to the identified ECU 22.

更新指示を受けたECU22の削除対象鍵を保持するアプリケーション2212は、削除対象鍵であるサービスサーバ通信認証鍵2214を受け取った削除用鍵で上書きすることによって更新し(S106)、更新完了をメインECU21に通知する(S107)。更新完了通知は、削除対象鍵を特定する情報を含む。メインECU21の鍵管理機能2111は、鍵管理サーバ1に更新完了通知を転送する(S108)。   The application 2212 that holds the deletion target key of the ECU 22 that has received the update instruction updates the service server communication authentication key 2214 that is the deletion target key by overwriting with the received deletion key (S106), and updates the update to the main ECU 21. (S107). The update completion notification includes information for specifying the deletion target key. The key management function 2111 of the main ECU 21 transfers an update completion notification to the key management server 1 (S108).

削除ステート管理機能1104は、削除対象鍵の削除ステート欄1115の値を削除ステート3に更新し(S109)、サービスサーバ3からのインシデント通知を待機する(S110)。なおステップS103からステップS109の処理は所定の回数繰返して実施されてもよい。また、ステップS110における待機中に、鍵管理サーバ1が他の処理を実施してもよい。   The deletion state management function 1104 updates the value in the deletion state column 1115 of the deletion target key to the deletion state 3 (S109), and waits for an incident notification from the service server 3 (S110). Note that the processing from step S103 to step S109 may be repeated a predetermined number of times. Further, the key management server 1 may perform other processing during the standby in step S110.

続いて、ステップS106においてサービスサーバ通信認証鍵2214を更新したアプリケーション2212は、サービスサーバ3との通信を行うために、端末ID2211、アプリID2213、及び更新済みのサービスサーバ通信認証鍵2214を用いて、アプリケーション3103と相互認証を試みる(S111)。   Subsequently, the application 2212 that has updated the service server communication authentication key 2214 in step S106 uses the terminal ID 2211, the application ID 2213, and the updated service server communication authentication key 2214 to perform communication with the service server 3. A mutual authentication with the application 3103 is attempted (S111).

ここでステップS111の処理は、ステップS107の直後や一定時間経過後に実施されてもよいし、サービスサーバ3、鍵管理サーバ1、サービス管理者端末4、又はメインECU21からの通信や通知をきっかけとして実行されてもよい。ステップS111による相互認証の試みは、サービスサーバ3のアプリケーション3103によって処理される。   Here, the process of step S111 may be performed immediately after step S107 or after a certain period of time, or triggered by communication or notification from the service server 3, the key management server 1, the service manager terminal 4, or the main ECU 21. May be executed. The attempt of mutual authentication in step S111 is processed by the application 3103 of the service server 3.

サービスサーバ3がECU22から受け取った端末IDとアプリIDに対応する鍵値欄3113の値は、S106において削除用鍵で上書きされたサービスサーバ通信認証鍵2214の鍵値と適合しないため、相互認証は失敗する(S112)。   Since the value of the key value column 3113 corresponding to the terminal ID and application ID received by the service server 3 from the ECU 22 does not match the key value of the service server communication authentication key 2214 overwritten with the deletion key in S106, mutual authentication is performed. It fails (S112).

インシデント通知機能3102は、例えば、図5Bに示した認証失敗のインシデントを鍵管理サーバ1に通知する(S113)。なお、ステップS113の処理が実施される前にサービスサーバ認証機能1106と鍵管理サーバ認証機能3106が相互認証を実施し、暗号セッション等を確立しておくことが望ましい。   The incident notification function 3102 notifies the key management server 1 of the authentication failure incident shown in FIG. 5B, for example (S113). In addition, before the process of step S113 is implemented, it is desirable that the service server authentication function 1106 and the key management server authentication function 3106 perform mutual authentication and establish an encryption session or the like.

続いて、インシデント通知処理機能1102は、受信したインシデント通知が示すインシデントが、削除対象鍵に関する認証失敗のインシデントであるか否かを判断する(S114)。インシデント通知処理機能1102は、受信したインシデント通知が示すインシデントが、削除対象鍵に関する認証失敗のインシデントでないと判断した場合(S114:No)、適切なインシデント処理を行ってS110に遷移する。   Subsequently, the incident notification processing function 1102 determines whether or not the incident indicated by the received incident notification is an authentication failure incident related to the deletion target key (S114). If the incident notification processing function 1102 determines that the incident indicated by the received incident notification is not an authentication failure incident related to the key to be deleted (S114: No), the incident notification processing function 1102 performs appropriate incident processing and transitions to S110.

インシデント通知処理機能1102が、受信したインシデント通知が示すインシデントが削除対象鍵に関する認証失敗のインシデントであると判断した場合(S114:Yes)、削除ステート管理機能1104は削除対象鍵の削除ステート欄1115の値を削除ステート4に更新する(S115)。   When the incident notification processing function 1102 determines that the incident indicated by the received incident notification is an authentication failure incident related to the deletion target key (S114: Yes), the deletion state management function 1104 displays the deletion state column 1115 of the deletion target key. The value is updated to delete state 4 (S115).

続いて、鍵管理サーバ1の鍵管理機能1101は、サービスサーバ3に削除対象鍵である端末通信認証鍵の削除を指示し、削除ステート管理機能1104は削除対象鍵の削除ステート欄1115の値を削除ステート5に更新する(S116)。なお、ステップS116の処理を実施する前に、サービスサーバ認証機能1106と鍵管理サーバ認証機能3106が相互認証を実施し、暗号セッション等を確立しておくことが望ましい。   Subsequently, the key management function 1101 of the key management server 1 instructs the service server 3 to delete the terminal communication authentication key that is the deletion target key, and the deletion state management function 1104 sets the value in the deletion state column 1115 of the deletion target key. Update to the deletion state 5 (S116). It is desirable that the service server authentication function 1106 and the key management server authentication function 3106 perform mutual authentication and establish an encryption session or the like before performing the process of step S116.

続いて、サービスサーバ3の鍵管理機能3101は、削除対象鍵である端末通信認証鍵を削除し、削除したことを鍵管理サーバ1に通知する(S117)。削除ステート管理機能1104は、削除対象鍵の削除ステート欄1115の値を削除ステート6に更新する(S118)。なお、削除ステート管理機能1104は、ステップS118において、削除対象鍵の鍵状態欄1114の値を「削除済み」に変更してもよい。   Subsequently, the key management function 3101 of the service server 3 deletes the terminal communication authentication key that is the key to be deleted, and notifies the key management server 1 that it has been deleted (S117). The deletion state management function 1104 updates the value in the deletion state column 1115 of the deletion target key to the deletion state 6 (S118). Note that the deletion state management function 1104 may change the value in the key state column 1114 of the deletion target key to “deleted” in step S118.

続いて、鍵管理機能1101は削除完了をサービス管理者端末4に通知し、削除ステート管理機能1104は、削除対象鍵の削除ステート欄1115の値を削除ステート7に更新し(S119)、図6の一連の処理が終了する。   Subsequently, the key management function 1101 notifies the service administrator terminal 4 of the completion of deletion, and the deletion state management function 1104 updates the value of the deletion state column 1115 of the deletion target key to the deletion state 7 (S119), and FIG. The series of processes ends.

なお、鍵管理機能3101は、ステップS117において削除対象鍵を削除しなくてもよい。この場合、インシデント通知機能3102は、ステップS116の指示を受信した後は、削除対象鍵に対応する認証失敗のインシデントが発生しても、当該インシデントを鍵管理サーバ1に通知しないことが望ましい。サービスサーバ3が当該インシデントを通知しないことにより、サービスサーバ3及び鍵管理サーバ1の処理負担が軽減される。   Note that the key management function 3101 does not have to delete the deletion target key in step S117. In this case, it is desirable that the incident notification function 3102 does not notify the key management server 1 of the incident even if an authentication failure incident corresponding to the deletion target key occurs after receiving the instruction in step S116. Since the service server 3 does not notify the incident, the processing load on the service server 3 and the key management server 1 is reduced.

また、鍵管理機能1101は、例えばステップS114の処理以降に、メインECU21を介して、削除対象鍵を有していたECU22に対して、削除対象鍵に対応するアプリケーションの認証を今後試みないよう指示してもよい。なお、鍵管理機能が、例えばステップS117の処理以降に当該指示を実行してもよい。当該指示により、ECU22及びサービスサーバ3の処理負担が軽減される。   Also, the key management function 1101 instructs the ECU 22 having the deletion target key, for example, after the process of step S114, to not attempt to authenticate the application corresponding to the deletion target key in the future. May be. Note that the key management function may execute the instruction after the process of step S117, for example. By this instruction, the processing load on the ECU 22 and the service server 3 is reduced.

図6に示した処理により、鍵管理サーバ1及びサービス管理者端末4は、削除対象鍵が削除用鍵で上書きされ更新された、即ちECU22から削除されたことを確認することができる。   With the processing shown in FIG. 6, the key management server 1 and the service administrator terminal 4 can confirm that the deletion target key has been overwritten and updated with the deletion key, that is, has been deleted from the ECU 22.

図7は、ステップS114におけるインシデント通知判定処理の一例を示すフローチャートである。まず、インシデント通知処理機能1102は、取得したインシデント通知におけるインシデント通知内容が認証失敗を示すか否かを判定する(S114a)。インシデント通知処理機能1102は、インシデント通知内容が認証失敗を示す場合(S114a:Yes)ステップS114bに遷移し、インシデント通知内容が認証失敗を示していない場合(S114a:No)、ステップS114eに遷移する。   FIG. 7 is a flowchart illustrating an example of the incident notification determination process in step S114. First, the incident notification processing function 1102 determines whether the incident notification content in the acquired incident notification indicates an authentication failure (S114a). The incident notification processing function 1102 transitions to step S114b when the incident notification content indicates authentication failure (S114a: Yes), and transitions to step S114e when the incident notification content does not indicate authentication failure (S114a: No).

インシデント通知処理機能1102は、インシデント通知における端末ID及びアプリIDの組み合わせが、鍵管理テーブル111のいずれかのレコードの端末ID欄1111の値及びアプリID欄1112の値の組み合わせと一致するかどうかを判定する(S114b)。   The incident notification processing function 1102 determines whether the combination of the terminal ID and application ID in the incident notification matches the combination of the value in the terminal ID column 1111 and the value in the application ID column 1112 of any record in the key management table 111. Determine (S114b).

インシデント通知処理機能1102は、当該組み合わせが一致するレコードがあると判定した場合(S114b:Yes)、ステップS114cに遷移し、ないと判定した場合(S114a:No)、ステップS114eに遷移する。   If the incident notification processing function 1102 determines that there is a record that matches the combination (S114b: Yes), the process proceeds to step S114c. If the incident notification processing function 1102 determines that there is no record (S114a: No), the process proceeds to step S114e.

インシデント通知処理機能1102は、一致したレコードの削除ステート欄1115の値が削除ステート3であるか否かを判定する(S114c)。インシデント通知処理機能1102は、削除ステート3であると判定した場合(S114c:Yes)、ステップS114dに遷移し、削除ステート3でないと判定した場合(S114c:No)、ステップS114eに遷移する。   The incident notification processing function 1102 determines whether or not the value in the deletion state column 1115 of the matched record is the deletion state 3 (S114c). When the incident notification processing function 1102 determines that the state is the deletion state 3 (S114c: Yes), the process proceeds to step S114d, and when it is determined that the state is not the deletion state 3 (S114c: No), the process proceeds to step S114e.

インシデント通知処理機能1102は、インシデント通知における発生日時が一致したレコードの状態変更日時欄1116の日時よりも後か否かを判定する。インシデント通知処理機能1102は、インシデント通知における発生日時が一致したレコードの状態変更日時欄1116の日時よりも後であると判定した場合(S114d:Yes)ステップS115に遷移し、後でないと判定した場合(S114d:No)、ステップS114eに遷移する。インシデント通知処理機能1102は、ステップS114aからステップS114dの処理において、インシデント通知における詳細ログを用いた判断処理を実施してもよい。   The incident notification processing function 1102 determines whether or not the occurrence date and time in the incident notification is later than the date and time in the status change date and time column 1116 of the record. When the incident notification processing function 1102 determines that the occurrence date and time in the incident notification is later than the date and time in the status change date and time column 1116 of the record (S114d: Yes), the process proceeds to step S115 and determines that it is not later (S114d: No), the process proceeds to step S114e. The incident notification processing function 1102 may perform determination processing using a detailed log in incident notification in the processing from step S114a to step S114d.

なお、ステップS114eにおいて、インシデント通知処理機能1102は、取得したインシデント通知内容が削除対象鍵の認証失敗のインシデント通知ではなかったと判定して、インシデントの通知に応じた適切な処理を実行し、S110に遷移する。図7の処理により、インシデント通知処理機能1102は、取得したインシデント通知内容が削除対象鍵の認証失敗のインシデント通知であった場合に限り、削除対象鍵の削除ステート欄1115の値を更新することができる。   In step S114e, the incident notification processing function 1102 determines that the acquired incident notification content is not an incident notification indicating that the deletion target key has failed to be authenticated, executes appropriate processing according to the incident notification, and proceeds to S110. Transition. 7, the incident notification processing function 1102 can update the value of the deletion state column 1115 of the deletion target key only when the acquired incident notification content is an incident notification of authentication failure of the deletion target key. it can.

図8は、サービス管理者端末4が削除用鍵で鍵を更新することを指示したものの、ECU22が鍵を更新しなかった、又は更新していないにも関わらず更新完了通知を送信した場合の処理の一例を示すシーケンス図である。以下、図6のシーケンス図との相違点を説明する。   FIG. 8 shows a case where the service manager terminal 4 has instructed to update the key with the deletion key, but the ECU 22 has not updated the key or has transmitted an update completion notification even though it has not been updated. It is a sequence diagram which shows an example of a process. Hereinafter, differences from the sequence diagram of FIG. 6 will be described.

図6と同様にステップS105において、ECU22はから削除用鍵での鍵更新の指示を受ける。しかし、更新指示を受けたECU22の削除対象鍵を保持するアプリケーション2212は、削除対象鍵であるサービスサーバ通信認証鍵2214を更新しない、又は更新に失敗したにも関わらず更新完了を通知する(S201)。なお、ステップS108及びステップS109の処理は、ステップS201において、更新完了が通知された場合にのみ実施される。   As in FIG. 6, in step S <b> 105, the ECU 22 receives a key update instruction from the deletion key. However, the application 2212 that holds the deletion target key of the ECU 22 that has received the update instruction does not update the service server communication authentication key 2214 that is the deletion target key, or notifies the completion of the update even though the update has failed (S201). ). Note that the processing of step S108 and step S109 is performed only when update completion is notified in step S201.

サービスサーバ通信認証鍵2214が更新されていないため、ステップS111におけるECU22とサービスサーバ3との認証は成功する(S202)。従って、インシデント通知機能3102は、ステップS113におけるインシデント通知を実行しない。ステップS110に続いて、インシデント通知処理機能1102は、削除対象鍵の状態変更日時欄1116の日時から一定時間が経過したか否か、即ち削除対象鍵の削除ステート欄1115の値が削除ステート3に変更されてから一定時間が経過したか否かを判定する(S203)。   Since the service server communication authentication key 2214 has not been updated, the authentication between the ECU 22 and the service server 3 in step S111 is successful (S202). Therefore, the incident notification function 3102 does not execute the incident notification in step S113. Subsequent to step S110, the incident notification processing function 1102 determines whether or not a certain time has passed since the date / time in the state change date / time column 1116 of the deletion target key, that is, the value in the deletion state column 1115 of the deletion target key is in the deletion state 3. It is determined whether or not a certain time has elapsed since the change (S203).

インシデント通知処理機能1102が一定時間経過したと判定した場合(S203:Yes)、鍵管理機能1101は、削除対象鍵の削除未完了をサービス管理者端末4に通知する(S204)。図8の処理により、鍵管理サーバ1及びサービス管理者端末4は、削除対象鍵がECU22から削除されていない可能性があることを確認することができる。   If the incident notification processing function 1102 determines that a certain time has elapsed (S203: Yes), the key management function 1101 notifies the service manager terminal 4 that the deletion of the deletion target key has not been completed (S204). With the processing in FIG. 8, the key management server 1 and the service administrator terminal 4 can confirm that there is a possibility that the deletion target key has not been deleted from the ECU 22.

本実施例の情報システムにおけるサービスサーバ3は、削除ステート管理機能を持つ。これによりサービスサーバ3にインシデント通知の仕組みがなくとも、鍵管理サーバ1及びサービス管理者端末4は鍵が削除されたことを確認することができる。   The service server 3 in the information system of the present embodiment has a deletion state management function. As a result, even if the service server 3 does not have an incident notification mechanism, the key management server 1 and the service manager terminal 4 can confirm that the key has been deleted.

図9は、鍵管理サーバ1の構成例を示すブロック図である。本実施例の制御ソフト110は、インシデント通知処理機能1102を含まない点において、実施例1の制御ソフト110と異なる。また、削除ステート欄1115に格納される削除ステートが実施例1と異なるが、詳細は後述する。   FIG. 9 is a block diagram illustrating a configuration example of the key management server 1. The control software 110 according to the present embodiment is different from the control software 110 according to the first embodiment in that the incident notification processing function 1102 is not included. Further, the deletion state stored in the deletion state column 1115 is different from that in the first embodiment, and details will be described later.

図10は、サービスサーバ3の構成例を示すブロック図である。本実施例の制御ソフト310は、インシデント通知機能3102の代わりに、インシデント処理機能3102a及び削除ステート管理機能3104を含む点において、実施例1の制御ソフト310と異なる。   FIG. 10 is a block diagram illustrating a configuration example of the service server 3. The control software 310 of the present embodiment is different from the control software 310 of the first embodiment in that an incident processing function 3102a and a deletion state management function 3104 are included instead of the incident notification function 3102.

インシデント処理機能3102aは、サービスサーバ3の処理等に異常が発生したことをインシデントとして検知し、検知したインシデントに応じた処理を実施する削除ステート管理機能3104は、鍵テーブル311を読み書きすることで鍵削除に関する一連のプロセスをステートとして管理する。   The incident processing function 3102a detects that an abnormality has occurred in the processing of the service server 3 as an incident, and the deletion state management function 3104 that performs processing according to the detected incident reads and writes the key table 311 to A series of processes related to deletion is managed as a state.

本実施例の鍵テーブル311は、鍵状態欄3114、削除ステート欄3115、及び状態変更日時欄3116をさらに含む点において、実施例1の鍵テーブル311と異なる。鍵状態欄3114、削除ステート欄3115、及び状態変更日時欄3116それぞれの説明は、鍵状態欄1114、削除ステート欄1115、及び状態変更日時欄1116それぞれの説明と同様であるため省略する。   The key table 311 of this embodiment is different from the key table 311 of the first embodiment in that it further includes a key state column 3114, a deletion state column 3115, and a state change date / time column 3116. The description of the key status column 3114, the deletion state column 3115, and the status change date / time column 3116 is the same as the description of the key status column 1114, the deletion status column 1115, and the status change date / time column 1116, and will be omitted.

図11Aは、削除ステート欄1115に格納される削除ステートの一例である。本実施例の削除ステート欄1115は、削除ステート4及び削除ステート5を格納せず、削除ステート4aを格納する点において、実施例1と異なる。削除ステート4aは、鍵管理サーバ1がサービスサーバ3に鍵の削除(即ち削除対象鍵が削除用鍵で更新されたこと)を報告済みであることを示す。   FIG. 11A is an example of a deletion state stored in the deletion state column 1115. The deletion state column 1115 of this embodiment is different from that of the first embodiment in that the deletion state 4 and the deletion state 5 are not stored, but the deletion state 4a is stored. The deletion state 4a indicates that the key management server 1 has already reported to the service server 3 that the key has been deleted (that is, the deletion target key has been updated with the deletion key).

図11Bは、削除ステート欄3115に格納される削除ステートの一例である。削除ステート欄3115は、例えば、削除ステート1b及び削除ステート2bを格納する。削除ステート1bは、例えば、鍵管理サーバ1から鍵の削除報告があった(即ち、削除対象鍵が削除用鍵で更新された)ことを示す。削除ステート2bは、例えば、サービス管理者端末4に端末通信認証鍵の削除完了を通知済みであることを示す。   FIG. 11B is an example of a deletion state stored in the deletion state column 3115. The deletion state column 3115 stores, for example, a deletion state 1b and a deletion state 2b. The deletion state 1b indicates, for example, that the key management server 1 has received a key deletion report (that is, the deletion target key has been updated with the deletion key). The deletion state 2b indicates, for example, that the service manager terminal 4 has been notified of the completion of deletion of the terminal communication authentication key.

図12は、削除用鍵を用いたサービスサーバ通信認証鍵2214の更新処理及び削除完了の確認処理を示すシーケンス図である。以下、図6との相違点を説明し、図6と同様の説明については省略する。   FIG. 12 is a sequence diagram showing the update process of the service server communication authentication key 2214 using the deletion key and the deletion completion confirmation process. Hereinafter, differences from FIG. 6 will be described, and descriptions similar to those in FIG. 6 will be omitted.

ステップS109の処理に続いて、鍵管理機能1101はサービスサーバ3に削除対象鍵がECU22から削除されたことを通知し、削除ステート管理機能1104は削除ステート欄1115の値を削除ステート4aに更新する(S301)。このとき、鍵管理機能1101は、サービスサーバ3に削除対象鍵の削除を明示的に指示してもよい。なお、ステップS304の処理が実施される前にサービスサーバ認証機能1106と鍵管理サーバ認証機能3106が相互認証を実施し、暗号セッション等を確立しておくことが望ましい。   Following the processing in step S109, the key management function 1101 notifies the service server 3 that the deletion target key has been deleted from the ECU 22, and the deletion state management function 1104 updates the value of the deletion state column 1115 to the deletion state 4a. (S301). At this time, the key management function 1101 may explicitly instruct the service server 3 to delete the deletion target key. Note that it is desirable that the service server authentication function 1106 and the key management server authentication function 3106 perform mutual authentication and establish an encryption session or the like before the process of step S304 is performed.

続いて、削除ステート管理機能3104は、削除対象鍵に対応する削除ステート欄3115の値を削除ステート1bに更新し(S302)、ECU22からの相互認証を待機する(S303)。   Subsequently, the deletion state management function 3104 updates the value of the deletion state column 3115 corresponding to the deletion target key to the deletion state 1b (S302), and waits for mutual authentication from the ECU 22 (S303).

インシデント処理機能3102aは、ステップS112での認証結果を受け、認証失敗した端末通信認証鍵に対応する削除ステート欄3115の値が削除ステート1bであるか否かを判定する(S304)。インシデント処理機能3102aは、当該削除ステート欄3115の値が削除ステート1bでないと判定した場合(S304:No)は、当該インシデントに対応するインシデント処理を行ってステップS303に遷移する。   The incident processing function 3102a receives the authentication result in step S112, and determines whether or not the value in the deletion state column 3115 corresponding to the terminal communication authentication key that has failed in authentication is the deletion state 1b (S304). If the incident processing function 3102a determines that the value of the deletion state column 3115 is not the deletion state 1b (S304: No), the incident processing corresponding to the incident is performed, and the process proceeds to step S303.

インシデント処理機能3102aが当該削除ステート欄3115の値が削除ステート1bであると判定した場合(S304:Yes)、鍵管理機能3101は削除対象鍵を記憶部31から削除する(S305)。このとき、鍵管理機能3101は、削除対象鍵の鍵状態欄3114の値を「削除済」に変更してもよい。ステップS304の処理により、認証失敗が削除中の鍵に関するものであった場合に限り、サービスサーバ3は削除対象鍵をサービスサーバ3から削除することができる。   When the incident processing function 3102a determines that the value of the deletion state column 3115 is the deletion state 1b (S304: Yes), the key management function 3101 deletes the deletion target key from the storage unit 31 (S305). At this time, the key management function 3101 may change the value of the key status column 3114 of the deletion target key to “deleted”. As a result of the processing in step S304, the service server 3 can delete the deletion target key from the service server 3 only when the authentication failure is related to the key being deleted.

続いて、鍵管理機能3101は、削除対象鍵の削除完了を鍵管理サーバ1に通知し、削除ステート管理機能3104は削除対象鍵の削除ステート欄3115の値を削除ステート2bに更新し(S306)、ステップS118に遷移する。なおステップS118の処理を実施する前にサービスサーバ認証機能1106と鍵管理サーバ認証機能3106が相互認証を実施し、暗号セッション等を確立しておくことが望ましい。図12の処理により、サービスサーバ3がインシデント通知を実施せずとも、鍵管理サーバ1およびサービス管理者端末4は、削除対象鍵がECU22から削除されたことを確認することができる。   Subsequently, the key management function 3101 notifies the key management server 1 of the completion of deletion of the deletion target key, and the deletion state management function 3104 updates the value of the deletion state column 3115 of the deletion target key to the deletion state 2b (S306). The process proceeds to step S118. Note that it is desirable that the service server authentication function 1106 and the key management server authentication function 3106 perform mutual authentication and establish an encryption session or the like before performing the process of step S118. With the processing in FIG. 12, the key management server 1 and the service administrator terminal 4 can confirm that the deletion target key has been deleted from the ECU 22 without the service server 3 notifying the incident.

図13は、サービス管理者端末4から削除用鍵で鍵を更新することを指示したものの、ECU22が鍵を更新されなかった、又は更新していないにも関わらず更新完了通知を送信した場合の処理の一例を示すシーケンス図である。以下、図6、図8、及び図12で説明したステップの説明を省略する。   FIG. 13 shows a case where the service manager terminal 4 has instructed to update the key with the deletion key, but the ECU 22 has not updated the key or transmitted an update completion notification even though it has not been updated. It is a sequence diagram which shows an example of a process. Hereinafter, the description of the steps described in FIGS. 6, 8, and 12 is omitted.

インシデント処理機能3102aは、ステップS202における認証成功の結果を受け、認証成功した鍵の削除ステート欄3115の値が削除ステート1bであるか否かを判定する(S401)。インシデント処理機能3102aは、当該鍵の削除ステート欄3115の値が削除ステート1bでないと判定した場合(S401:No)、ステップS306に遷移する。   The incident processing function 3102a receives the result of the successful authentication in step S202, and determines whether or not the value of the successful authentication key deletion state column 3115 is the deletion state 1b (S401). If the incident processing function 3102a determines that the value of the key deletion state column 3115 is not the deletion state 1b (S401: No), the process proceeds to step S306.

インシデント処理機能3102aが、当該鍵の削除ステート欄3115の値が削除ステート1bであると判定した場合(S401:Yes)、鍵管理機能3101は、削除対象鍵がECU22から削除されていないことを鍵管理サーバ1に通知する(S402)。鍵管理機能1101は、削除対象鍵の削除未完了をサービス管理者端末4に通知する(S403)。なお、ステップS402の処理が実施される前にサービスサーバ認証機能1106と鍵管理サーバ認証機能3106が相互認証を実施し、暗号セッション等を確立しておくことが望ましい。図13の処理により、サービスサーバ3がインシデント通知を実施せずとも、鍵管理サーバ1およびサービス管理者端末4は、削除対象鍵がECU22から削除されていないことを確認することができる。   When the incident processing function 3102a determines that the value of the key deletion state column 3115 is the deletion state 1b (S401: Yes), the key management function 3101 determines that the key to be deleted has not been deleted from the ECU 22. The management server 1 is notified (S402). The key management function 1101 notifies the service manager terminal 4 that deletion of the deletion target key has not been completed (S403). It is desirable that the service server authentication function 1106 and the key management server authentication function 3106 perform mutual authentication and establish an encryption session or the like before the process of step S402 is performed. The process of FIG. 13 allows the key management server 1 and the service administrator terminal 4 to confirm that the deletion target key has not been deleted from the ECU 22 even if the service server 3 does not carry out the incident notification.

なお、本実施形態において説明したステップが、実施されている最中に、何らかのエラーが発生した場合は、当該エラーが情報システムの各構成要素の制御部に通知されてもよい。   Note that if an error occurs while the steps described in this embodiment are being performed, the error may be notified to the control unit of each component of the information system.

また、制御ソフト110、制御ソフト2110、制御ソフト2210、及び制御ソフト310に含まれる各プログラムは、必要に応じて、実行中の処理を示す情報を表示装置などに表示してもよい。当該各プログラムは、特に一連の処理の完了や、分岐処理の発生を示す情報を表示装置に表示することが望ましい。また、分岐処理における判定を、入力装置を介したユーザが実行してもよい。   In addition, each program included in the control software 110, the control software 2110, the control software 2210, and the control software 310 may display information indicating the process being executed on a display device or the like as necessary. It is desirable for each program to display information indicating the completion of a series of processing and the occurrence of branch processing on the display device. The determination in the branch process may be executed by a user via the input device.

また、本実施形態において各ステップ間の情報のやり取りを省略して示している場合があるが、実際には、コマンドに対するレスポンスのペアを成している場合がある。また、各ステップ間の情報のやり取りを一組の双方向矢印で示している場合であっても、当該やり取りにおいて複数のコマンド・レスポンスを含んでいてもよい。また、エンティティ間でデータを送受信するという内容を記述している場合でも、実際の通信は一方のエンティティがクライアント役、他方のエンティティがサーバ役となることで、のコマンド・レスポンスを通じて実施され、その結果として先述のようなデータの送信を実現してもよい。   In the present embodiment, the exchange of information between the steps may be omitted, but in reality, there may be a pair of responses to the command. Even when information exchange between steps is indicated by a pair of bidirectional arrows, the exchange may include a plurality of commands and responses. In addition, even when the content of transmitting and receiving data between entities is described, the actual communication is performed through the command and response of one entity acting as a client and the other entity serving as a server. As a result, data transmission as described above may be realized.

なお、本発明は上記した各実施例に限定されるものではなく、様々な変形例が含まれる。上記した各実施例は本発明を分かりやすく説明するために詳細に説明されたものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。   In addition, this invention is not limited to each above-mentioned Example, Various modifications are included. Each of the above-described embodiments has been described in detail for easy understanding of the present invention, and is not necessarily limited to one having all the configurations described. Further, a part of the configuration of a certain embodiment can be replaced with the configuration of another embodiment, and the configuration of another embodiment can be added to the configuration of a certain embodiment. Further, it is possible to add, delete, and replace other configurations for a part of the configuration of each embodiment.

また、上記の各構成、機能、処理部、処理手段等は、それらの一部または全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に格納されていてもよい。   Each of the above-described configurations, functions, processing units, processing means, and the like may be realized by hardware by designing a part or all of them with, for example, an integrated circuit. Each of the above-described configurations, functions, and the like may be realized by software by interpreting and executing a program that realizes each function by the processor. Information such as programs, tables, and files for realizing each function may be stored in a recording device such as a memory, a hard disk, and an SSD, or a recording medium such as an IC card, an SD card, and a DVD.

また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。   Further, the control lines and information lines are those that are considered necessary for the explanation, and not all the control lines and information lines on the product are necessarily shown. In practice, it may be considered that almost all the components are connected to each other.

1 鍵管理サーバ、2 車載システム、3 サービスサーバ、4 サービス管理者端末、111 鍵テーブル、311 鍵管理テーブル、1101 鍵管理機能、1102 インシデント通知処理機能、1104 削除ステート管理機能、2111 鍵管理機能、2212 アプリケーション、2214 サービスサーバ通信認証鍵、3101 鍵管理機能、3102インシデント通知機能、3102a インシデント処理機能、3103 アプリケーション 1 key management server, 2 in-vehicle system, 3 service server, 4 service manager terminal, 111 key table, 311 key management table, 1101 key management function, 1102 incident notification processing function, 1104 deletion state management function, 2111 key management function, 2212 application, 2214 service server communication authentication key, 3101 key management function, 3102 incident notification function, 3102a incident processing function, 3103 application

Claims (12)

第1システムと、第1サーバと、第2サーバと、を含む鍵管理システムであって、
前記第1システムは、前記第2サーバが前記第1システムを認証するための第1認証鍵を保持し、
前記第1サーバは、前記第2サーバが前記第1システムを認証不可能な更新鍵、を用いた前記第1認証鍵の上書き指示を、前記第1システムに対して、送信し、
前記第1システムは、
前記上書き指示に従わなかった場合、前記第1認証鍵を用いて前記第2サーバとの認証を試み、
前記上書き指示に従って、前記更新鍵を用いて前記第1認証鍵を上書きした場合、前記更新鍵を用いて前記第2サーバとの認証を試み、
前記第1サーバ及び前記第2サーバの少なくとも一方は、
前記第1システムが前記上書き指示に従ったか否かを監視し、
前記第1システムと前記第2サーバとの間の認証処理を監視し、
前記第1システムと前記第2サーバとの間の認証が失敗し、かつ前記第1システムが前記上書き指示に従ったと判定した場合、前記第1システムから前記第1認証鍵が削除されたことを示す判定結果を出力する、鍵管理システム。 A key management system including a first system, a first server, and a second server,
The first system holds a first authentication key for the second server to authenticate the first system;
The first server transmits an instruction to overwrite the first authentication key using an update key that cannot be used to authenticate the first system to the first system .
The first system includes:
If the overwriting instruction is not followed, the authentication with the second server is attempted using the first authentication key,
In accordance with the overwriting instruction, when the first authentication key is overwritten using the update key, the authentication with the second server is attempted using the update key,
At least one of the first server and the second server is
Monitoring whether the first system complies with the overwrite instruction;
Monitoring the authentication process between the first system and the second server;
If the authentication between the first system and the second server has failed and it is determined that the first system has followed the overwrite instruction, the first authentication key has been deleted from the first system. A key management system that outputs the result of determination. 請求項1に記載の鍵管理システムであって、
前記第2サーバは、前記第1システムが前記第2サーバを認証するための第2認証鍵を保持し、
前記少なくとも一方は、前記第1サーバを含み、
前記第1サーバは、前記第1システムから前記第1認証鍵が削除されたと判定した場合、前記第2サーバに対して、前記第2認証鍵の削除指示を送信し、
前記第2サーバは、前記削除指示に従って、前記第2サーバから前記第2認証鍵を削除する、鍵管理システム。 The key management system according to claim 1,
The second server holds a second authentication key for the first system to authenticate the second server,
The at least one includes the first server;
When the first server determines that the first authentication key has been deleted from the first system, the first server transmits an instruction to delete the second authentication key to the second server;
The key management system, wherein the second server deletes the second authentication key from the second server in accordance with the deletion instruction. 請求項1に記載の鍵管理システムであって、
前記少なくとも一方は、前記第1サーバを含み、
前記第1システムは、前記上書き指示に従った場合、前記第1サーバに対して、更新完了通知を送信し、
前記第1サーバは、前記更新完了通知を受信した場合、前記第1システムが前記上書き指示に従ったと判定する、鍵管理システム。 The key management system according to claim 1,
The at least one includes the first server;
When the first system follows the overwrite instruction, it sends an update completion notification to the first server,
When the first server receives the update completion notification, the first server determines that the first system has followed the overwrite instruction. 請求項1に記載の鍵管理システムであって、
前記少なくとも一方は、前記第1サーバを含み、
前記第2サーバは、前記第1システムとの認証が失敗した場合、前記第1サーバに対して、認証失敗通知を送信し、
前記第1サーバは、前記認証失敗通知を受信した場合、前記第1システムと前記第2サーバとの間の認証が失敗したと判定する、鍵管理システム。 The key management system according to claim 1,
The at least one includes the first server;
If the authentication with the first system fails, the second server sends an authentication failure notification to the first server,
When the first server receives the authentication failure notification, the first server determines that authentication between the first system and the second server has failed. 請求項4に記載の鍵管理システムであって、
前記第1システムは、複数の端末を有し、
前記第2サーバは、前記第1システムとの間で複数のアプリケーションを実行し、
前記第1サーバは、前記複数のアプリケーションと、前記複数のアプリケーションを実行する端末と、の対応を示す管理情報を保持し、
前記第1認証鍵は、前記複数の端末に含まれる第1端末が、前記第2サーバとの間で、前記複数のアプリケーションに含まれる第1アプリケーションを実行する際に、前記第2サーバが前記第1端末を認証するための鍵であり、
前記第2サーバは、前記第1端末との、前記第1アプリケーションを実行するための認証が失敗した場合、前記第1端末と前記第1アプリケーションとの対応を示す情報を前記認証失敗通知に含め、
前記認証失敗通知に含まれる対応が前記管理情報に含まれる場合、前記第1サーバは、前記第1システムと前記第2サーバとの間の認証が失敗したと判定する、鍵管理システム。 The key management system according to claim 4,
The first system has a plurality of terminals,
The second server executes a plurality of applications with the first system,
The first server holds management information indicating correspondence between the plurality of applications and a terminal that executes the plurality of applications,
When the first terminal included in the plurality of terminals executes the first application included in the plurality of applications with the second server, the first server includes the first authentication key. A key for authenticating the first terminal,
When the authentication for executing the first application with the first terminal fails, the second server includes information indicating the correspondence between the first terminal and the first application in the authentication failure notification. ,
When the management information includes a correspondence included in the authentication failure notification, the first server determines that the authentication between the first system and the second server has failed. 請求項4に記載の鍵管理システムであって、
前記第1システムは、前記上書き指示に従った場合、前記第1サーバに対して、更新完了通知を送信し、
前記第1サーバは、前記更新完了通知を受信した第1時刻を取得し、
前記第2サーバは、前記認証失敗通知に前記第1システムとの認証が失敗した第2時刻を前記認証失敗通知に含めて、前記第1サーバに対して送信し、
前記第1サーバは、前記第1システムと前記第2サーバとの間の認証が失敗し、前記第1システムが前記上書き指示に従い、かつ前記第2時刻が前記第1時刻より後であると判定した場合、前記判定結果を出力する、鍵管理システム。 The key management system according to claim 4,
When the first system follows the overwrite instruction, it sends an update completion notification to the first server,
The first server acquires a first time when the update completion notification is received,
The second server includes the second time when authentication with the first system failed in the authentication failure notification, and transmits the second time to the first server,
The first server determines that authentication between the first system and the second server has failed, the first system follows the overwrite instruction, and the second time is later than the first time And a key management system that outputs the determination result. 請求項に記載の鍵管理システムであって、
記少なくとも一方が、前記第1システムと前記第2サーバとの間の認証が失敗し、かつ前記第1システムが前記上書き指示に従ったと判定した場合、
前記第2サーバは、前記認証失敗通知の送信を停止する、鍵管理システム。 The key management system according to claim 4 ,
If one even without prior Kisukuna is, wherein the first system authentication between the second server fails, and determines that the first system in accordance with the override instruction,
The key management system, wherein the second server stops transmitting the authentication failure notification. 請求項1に記載の鍵管理システムであって、
前記少なくとも一方は、前記第1システムと前記第2サーバとの間の認証が失敗し、かつ前記第1システムが前記上書き指示に従ったと判定した場合、前記第1システムに対して、前記第2サーバとの認証を試みないよう指示する、鍵管理システム。 The key management system according to claim 1,
When the at least one of the first system and the second server fails to authenticate and the first system determines that the overwriting instruction has been followed, the second system A key management system that instructs not to attempt to authenticate with the server. 請求項1に記載の鍵管理システムであって、
前記少なくとも一方は、前記第2サーバを含み、
前記第1システムは、前記更新鍵を用いて前記第1認証鍵を上書きした場合、前記第1サーバに対して、更新完了通知を送信し、
前記第1サーバは、前記更新完了通知を受信した場合、前記第2サーバに対して、前記更新完了通知を送信し、
前記第2サーバは、前記更新完了通知を受信した場合、前記第1システムが前記上書き指示に従ったと判定する、鍵管理システム。 The key management system according to claim 1,
The at least one includes the second server;
When the first system overwrites the first authentication key using the update key, the first system sends an update completion notification to the first server,
When the first server receives the update completion notification, the first server transmits the update completion notification to the second server,
When the second server receives the update completion notification, the second server determines that the first system has followed the overwrite instruction. 請求項9に記載の鍵管理システムであって、
前記第2サーバは、前記第1システムが前記第2サーバを認証するための第2認証鍵を保持し、
前記第2サーバは、前記第1システムから前記第1認証鍵が削除されたと判定した場合、前記第2サーバから前記第2認証鍵を削除する、鍵管理システム。 The key management system according to claim 9,
The second server holds a second authentication key for the first system to authenticate the second server,
When the second server determines that the first authentication key has been deleted from the first system, the second server deletes the second authentication key from the second server. 第1システムに接続された、サーバであって、
プログラムを実行するプロセッサと、前記プロセッサがアクセスする記憶装置と、を含み、
前記第1システムは、前記第1システムに接続された第1サーバ又は前記サーバの一方が前記第1システムを認証するための第1認証鍵を保持し、
前記プロセッサは、
前記第1サーバが前記第1システムを認証不可能な更新鍵、を用いた前記第1認証鍵の上書き指示に、前記第1システムが従ったか否かを監視し、
前記第1システムと前記一方との間の認証処理を監視し、
前記第1システムと前記一方との間の認証が失敗し、かつ前記第1システムが前記上書き指示に従ったと判定した場合、前記第1システムから前記第1認証鍵が削除されたことを示す判定結果を出力する、サーバ。 A server connected to the first system,
A processor that executes a program; and a storage device that is accessed by the processor;
The first system holds a first authentication key for authenticating the first system by one of the first server or the server connected to the first system,
The processor is
Monitoring whether the first system complies with the overwriting instruction of the first authentication key using an update key that cannot authenticate the first system by the first server;
Monitoring the authentication process between the first system and the one;
A determination indicating that the first authentication key has been deleted from the first system when authentication between the first system and the one fails and the first system determines that the overwriting instruction has been followed; The server that outputs the result. 第1システムに接続された、サーバが鍵管理を実行する方法であって、
前記第1システムは、前記第1システムに接続された第1サーバ又は前記サーバの一方が前記第1システムを認証するための第1認証鍵を保持し、
前記方法は、前記サーバが、
前記一方が前記第1システムを認証不可能な更新鍵、を用いた前記第1認証鍵の上書き指示に前記第1システムが従ったか否かを監視し、
前記第1システムと前記一方との間の認証処理を監視し、
前記第1システムと前記一方との間の認証が失敗し、かつ前記第1システムが前記上書き指示に従ったと判定した場合、前記第1システムから前記第1認証鍵が削除されたことを示す判定結果を出力する、方法。 A method for performing key management by a server connected to a first system, comprising:
The first system holds a first authentication key for authenticating the first system by one of the first server or the server connected to the first system,
In the method, the server
Monitoring whether the first system complies with the overwriting instruction of the first authentication key using an update key that cannot authenticate the first system;
Monitoring the authentication process between the first system and the one;
A determination indicating that the first authentication key has been deleted from the first system when authentication between the first system and the one fails and the first system determines that the overwriting instruction has been followed; How to output the result.
JP2016101293A 2016-05-20 2016-05-20 Key management system, server, and key management method Expired - Fee Related JP6588863B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016101293A JP6588863B2 (en) 2016-05-20 2016-05-20 Key management system, server, and key management method
PCT/JP2017/007049 WO2017199515A1 (en) 2016-05-20 2017-02-24 Key management system, server and key management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016101293A JP6588863B2 (en) 2016-05-20 2016-05-20 Key management system, server, and key management method

Publications (3)

Publication Number Publication Date
JP2017208755A JP2017208755A (en) 2017-11-24
JP2017208755A5 JP2017208755A5 (en) 2019-01-24
JP6588863B2 true JP6588863B2 (en) 2019-10-09

Family

ID=60325936

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016101293A Expired - Fee Related JP6588863B2 (en) 2016-05-20 2016-05-20 Key management system, server, and key management method

Country Status (2)

Country Link
JP (1) JP6588863B2 (en)
WO (1) WO2017199515A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6991949B2 (en) * 2018-09-21 2022-01-13 Kddi株式会社 Billing information generation program, billing information generator and billing information generation method

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001320355A (en) * 2000-05-08 2001-11-16 Nippon Telegr & Teleph Corp <Ntt> Method device for managing cryptographic key
WO2013170442A1 (en) * 2012-05-15 2013-11-21 Telefonaktiebolaget L M Ericsson (Publ) Managed object manipulation
WO2014167721A1 (en) * 2013-04-12 2014-10-16 富士通株式会社 Data erasing device, data erasing method, program, and storage medium

Also Published As

Publication number Publication date
WO2017199515A1 (en) 2017-11-23
JP2017208755A (en) 2017-11-24

Similar Documents

Publication Publication Date Title
JP6663032B2 (en) In-vehicle gateway, key management device
US11665004B2 (en) Systems and methods for enabling trusted communications between controllers
CN108475319B (en) Birth certificate of device
WO2020259268A1 (en) Information sharing method, platform, and computing device
US9867051B2 (en) System and method of verifying integrity of software
CN110737566B (en) Host performance monitoring method and device, electronic equipment and storage medium
US9069944B2 (en) Managing passwords used when detecting information on configuration items disposed on a network
US9544300B2 (en) Method and system for providing device-specific operator data for an automation device in an automation installation
CN106549750A (en) With computer-implemented method and the system and computer program using which
US10404472B2 (en) Systems and methods for enabling trusted communications between entities
US20170295018A1 (en) System and method for securing privileged access to an electronic device
KR102581873B1 (en) Method and apparatus for updating password of electronic device, device and storage medium
CN110891062B (en) Password changing method, server and storage medium
CN111989672A (en) Password reset for multi-domain environment
JP6588863B2 (en) Key management system, server, and key management method
JP2017183930A (en) Server management system, server device, server management method, and program
CN114189515B (en) SGX-based server cluster log acquisition method and device
US11641281B2 (en) Hashing values using salts and peppers
US11481504B2 (en) Cloud-based communication system
US11171786B1 (en) Chained trusted platform modules (TPMs) as a secure bus for pre-placement of device capabilities
US8689355B1 (en) Secure recovery of credentials
CN110602121A (en) Network key obtaining method and device and computer readable storage medium
US11637822B2 (en) Onboarding for cloud-based management
JP6162611B2 (en) Communication control server, communication control method, and program
DE102022125813A1 (en) AUTHENTICATION OF NODES IN A DISTRIBUTED NETWORK

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181128

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190702

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190809

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190827

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190913

R150 Certificate of patent or registration of utility model

Ref document number: 6588863

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees