CN101568803A - 导航设备及信息发布系统 - Google Patents
导航设备及信息发布系统 Download PDFInfo
- Publication number
- CN101568803A CN101568803A CNA2008800011687A CN200880001168A CN101568803A CN 101568803 A CN101568803 A CN 101568803A CN A2008800011687 A CNA2008800011687 A CN A2008800011687A CN 200880001168 A CN200880001168 A CN 200880001168A CN 101568803 A CN101568803 A CN 101568803A
- Authority
- CN
- China
- Prior art keywords
- public keys
- electronic signature
- information
- private key
- priority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 239000000284 extract Substances 0.000 claims abstract description 9
- 230000001052 transient effect Effects 0.000 claims description 58
- 238000000034 method Methods 0.000 claims description 42
- 230000005055 memory storage Effects 0.000 claims description 18
- 238000000605 extraction Methods 0.000 claims description 11
- 208000033748 Device issues Diseases 0.000 claims description 5
- 238000012795 verification Methods 0.000 abstract 1
- 230000008569 process Effects 0.000 description 32
- 238000010586 diagram Methods 0.000 description 13
- 238000012384 transportation and delivery Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 10
- 238000013500 data storage Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 4
- 238000013523 data management Methods 0.000 description 4
- 241001269238 Data Species 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000012508 change request Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 238000001310 location test Methods 0.000 description 2
- 102220037952 rs79161998 Human genes 0.000 description 2
- 102100026459 POU domain, class 3, transcription factor 2 Human genes 0.000 description 1
- 101710133394 POU domain, class 3, transcription factor 2 Proteins 0.000 description 1
- 241000656145 Thyrsites atun Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 230000005021 gait Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003319 supportive effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01C—MEASURING DISTANCES, LEVELS OR BEARINGS; SURVEYING; NAVIGATION; GYROSCOPIC INSTRUMENTS; PHOTOGRAMMETRY OR VIDEOGRAMMETRY
- G01C21/00—Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00
- G01C21/38—Electronic maps specially adapted for navigation; Updating thereof
- G01C21/3804—Creation or updating of map data
- G01C21/3859—Differential updating map data
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01C—MEASURING DISTANCES, LEVELS OR BEARINGS; SURVEYING; NAVIGATION; GYROSCOPIC INSTRUMENTS; PHOTOGRAMMETRY OR VIDEOGRAMMETRY
- G01C21/00—Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00
- G01C21/38—Electronic maps specially adapted for navigation; Updating thereof
- G01C21/3885—Transmission of map data to client devices; Reception of map data by client devices
- G01C21/3896—Transmission of map data from central databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Remote Sensing (AREA)
- Radar, Positioning & Navigation (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Automation & Control Theory (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Databases & Information Systems (AREA)
- Navigation (AREA)
- Traffic Control Systems (AREA)
- Storage Device Security (AREA)
- Radio Relay Systems (AREA)
Abstract
导航设备2中的CPU 41将对其设定了优先级的、并由信息发布中心3所公布的公共密钥PK1至公共密钥PK5中的每个公共密钥存储在公共密钥存储部39中。导航设备2中的CPU 41提取从信息发布中心3发布的发布数据的电子签名,并通过按优先级的顺序仅使用公共密钥PK1至公共密钥PK5中的“有效的”公共密钥来验证该电子签名。在电子签名通过验证时,导航设备2中的CPU 41确定所述发布数据是从信息发布中心3发布的有效信息。
Description
技术领域
本发明涉及用于接收地图更新信息的导航设备及用于向该导航设备发布地图更新信息的信息发布系统。
背景技术
近年来,已经提出了用于通过诸如DVD-ROM或HDD的存储介质或诸如移动电话网的网络来将用于更新地图数据的更新信息从信息发布中心向导航设备发布的各种信息发布系统。
例如,已提出的信息发布系统中的一个信息发布系统(例如,日本未审专利申请第2005-331579号公报(第0011段至第0028段、图1至图4))对其上存储有从信息发布中心发布的更新地图数据的存储介质附上作为属性数据的、指示导航设备的唯一的ID。在导航设备使用存储介质时,导航设备通过确定装置来确定其自身的ID是否与存储在存储介质中的ID相一致。在其自身的ID与所存储的ID不一致时,导航设备不能使用存储在存储介质中的更新地图数据。
发明内容
然而,在日本未审专利申请第2005-331579号公报中所公开的信息发布系统的情况下,在分配给导航设备的唯一的ID被第三方解密时,存在存储介质中所存储的地图更新信息被伪造的风险,从而极难确保地图更新信息的安全。
同时,存在另一种方式来确保所发布的地图数据的安全。例如,信息发布中心通过使用私密密钥来对被分配了电子签名的更新地图数据进行发布。导航设备通过使用公共密钥来对分配给更新地图数据的电子签名进行验证,并确定所发布的地图数据的有效性。
然而,在需要由第三方所提供的可靠的认证权威机构来将公共密钥授予每个导航设备的信息发布系统的情况下,在另一第三方解密了私密密钥时,每个导航设备都需要从认证权威机构接收新的公共密钥。在这种情况下,过程会很复杂,并且会增加过程的成本。此外,另一个问题是,在每个导航设备都从认证权威机构接收到新的公共密钥之前,信息发布中心不能通过使用新的私密密钥来发布带有电子签名的更新地图数据。
为了解决上述问题,本发明提供了一种确保向导航设备发布的地图更新信息的安全的信息发布系统以及其中包含该信息发布系统的导航设备。
为了达到上述目的,提供了权利要求1中的导航设备,该设备包括:公共密钥存储装置,它存储对其分配了优先级的、用于对从信息发布中心发布的地图信息进行验证的多个公共密钥;电子签名提取装置,其提取对从所述信息发布中心发布的所述地图信息设定的电子签名;验证控制装置,它通过按所述优先级的顺序使用对其设定了所述优先级的所述多个公共密钥来验证所述电子签名;以及确定装置,如果所述电子签名通过验证,则该确定装置确定所述地图信息是从所述信息发布中心发布的有效信息。根据权利要求2中的导航设备,在权利要求1中的导航设备中:如果在所述电子签名通过验证之前存在未通过验证的公共密钥,则所述验证控制装置进行控制以将未通过验证的公共密钥设定为无效的。
根据权利要求3中的导航设备,在权利要求2中的导航设备中:所述验证控制装置包括:暂时无效设定装置,其将未通过验证的公共密钥设定为暂时无效密钥,并且在所述电子签名通过验证时,所述验证控制装置将被所述暂时无效设定装置设定为暂时无效密钥的公共密钥无效,并且所述验证控制装置还将其余的公共密钥的所述优先级向前移,并进行控制以将所述公共密钥存储回所述公共密钥存储装置中。
根据权利要求4中的导航设备,在权利要求3中的导航设备中:在所述电子签名未通过验证时,所述验证控制装置进行控制以清除设定所述暂时无效设定装置对所述公共密钥作为一个暂时无效密钥的设定,并且所述确定装置确定所述地图信息是无效信息。
根据权利要求5中的导航设备,权利要求1至权利要求4中的任一项中的导航设备还包括:解码数据生成装置,其通过使用存储在所述公共密钥存储装置中的所述公共密钥来生成所述电子签名的解码数据;以及导航散列值生成装置,其生成所述地图信息的散列值;其中:在所述解码数据与所述散列值相一致时,所述验证控制装置允许所述电子签名通过验证,而在所述解码数据与所述散列值不一致时,所述验证控制装置不允许所述电子签名通过验证。
权利要求6中的信息发布系统,包括:信息发布中心,其用于发布地图信息;以及导航设备,其中:所述信息发布中心还包括:密钥生成装置,其生成多套一个公共密钥与一个私密密钥,并对所述多套一个公共密钥与一个私密密钥设定优先级;私密密钥存储装置,其存储具有所述优先级的所述多个私密密钥;电子签名生成装置,其通过使用其优先级在所述私密密钥存储装置中被存储为最高的一个私密密钥来生成电子签名;以及发布装置,其发布带有所述电子签名的地图信息,其中:所述信息发布中心将具有所述优先级的所述多个公共密钥授予所述导航设备,并且所述导航设备还包括:公共密钥存储装置,其存储由所述信息发布中心所授予的、具有所述优先级的所述多个公共密钥;电子签名提取装置,其提取对从所述信息发布中心发布的所述地图信息设定的所述电子签名;验证控制装置,其进行控制以通过按所述优先级的顺序使用具有所述优先级的所述多个公共密钥来验证所述电子签名;以及确定装置,如果所述电子签名通过验证,则该确定装置确定所述地图信息是从所述信息发布中心发布的有效信息。
根据权利要求7中的信息发布系统,在权利要求6中的信息发布系统中:如果在所述电子签名通过验证之前存在未通过验证的公共密钥,则所述验证控制装置进行控制以将未通过验证的公共密钥设定为无效的。
根据权利要求8中的信息发布系统,在权利要求7中的信息发布系统中:所述验证控制装置包括:暂时无效设定装置,其将未通过验证的公共密钥设定为暂时无效密钥,其中:如果所述电子签名通过验证,则所述验证控制装置将被所述暂时无效设定装置设定为暂时无效密钥的公共密钥无效,并且将其余的公共密钥的所述优先级向前移,并进行控制以将所述公共密钥存储回所述公共密钥存储装置中。
根据权利要求9中的信息发布系统,在权利要求8中的信息发布系统中:如果所述电子签名未通过验证,则所述验证控制装置进行控制以清除设定所述暂时无效设定装置对所述公共密钥作为一个暂时无效密钥的设定,并且所述确定装置确定所述地图信息是无效信息。
根据权利要求10中的信息发布系统,在权利要求6至权利要求9中的任一项中的信息发布系统中:所述电子签名生成装置包括:中心散列值生成装置,其生成所述地图信息的散列值,其中:所述电子签名生成装置通过使用所述散列值以及其优先级在所述私密密钥存储装置中被存储为最高的私密密钥二者来生成所述电子签名,并且所述验证控制装置包括:解码数据生成装置,其生成通过使用存储在所述公共密钥存储装置中的所述公共密钥来对所述电子签名进行解码而得到的解码数据;以及导航散列值生成装置,其生成所述地图信息的所述散列值,其中:在所述解码数据与所述散列值相一致时,所述验证控制装置允许所述电子签名通过验证,而在所述解码数据与所述散列值不一致时,所述验证控制装置不允许所述电子签名通过验证。
权利要求11中的导航方法,包括:存储具有优先级的、用于对从信息发布中心发布的地图信息进行验证的多个公共密钥的步骤;提取对从所述信息发布中心发布的所述地图信息设定的电子签名的步骤;进行控制以通过按所述优先级的顺序使用在存储所述公共密钥的所述步骤中所存储的所述多个公共密钥来对在提取所述电子签名的所述步骤中所提取的所述电子签名进行验证的步骤;以及如果在控制所述验证的所述步骤中所述电子签名通过验证、则确定所述地图信息是从所述信息发布中心发布的有效信息的步骤。
权利要求12的用于从信息发布中心向导航设备发布地图信息的信息发布方法,包括:由所述信息发布中心所进行的、生成多套一个公共密钥与一个私密密钥并对所述多套一个公共密钥与一个私密密钥设定优先级的步骤;由所述信息发布中心所进行的、存储在生成密钥的所述步骤中对其设定了所述优先级的所述多个私密密钥的步骤;由所述信息发布中心所进行的、将在生成密钥的所述步骤中对其设定了所述优先级的所述多个公共密钥授予所述导航设备的步骤;由所述导航设备所进行的、将对其设定了所述优先级的且在授予所述多个密钥的所述步骤中由所述信息发布中心所授予的所述多个公共密钥存储起来的步骤;由所述信息发布中心所进行的、通过使用在存储所述多个私密密钥的所述步骤中其优先级被存储为最高的私密密钥来生成电子签名的步骤;由所述信息发布中心所进行的、将所述地图信息与在生成所述电子签名的所述步骤中所生成的所述电子签名一起发布给所述导航设备的步骤;由所述导航设备所进行的、提取在发布所述电子签名的所述步骤中从所述信息发布中心发布的、所述地图信息的所述电子签名的步骤;由所述导航设备所进行的、进行控制以通过按所述优先级的顺序使用在存储公共密钥的所述步骤中所存储的所述多个公共密钥来对在提取所述电子签名的所述步骤中所提取的所述电子签名进行验证的步骤;以及由所述导航设备所进行的、如果在进行控制以验证所述电子签名的所述步骤中所述电子签名通过验证、则确定所述地图信息是从所述信息发布中心发布的有效信息的步骤。
根据权利要求1的具有上述结构的导航设备存储了具有优先级的多个公共密钥以对从信息发布中心发布的地图信息进行验证。所述导航设备提取分配给从信息发布中心发布的地图信息的电子签名,并通过按优先级的顺序使用多个公共密钥来验证该电子签名。在电子签名通过验证时,所述导航设备确定所述地图信息是从所述信息发布中心发布的有效信息。
所述导航设备通过使用其优先级为最高的公共密钥来对分配给从信息发布中心发布的地图信息的电子签名进行验证。即使电子签名未通过验证,所述导航设备也不需要由第三方所提供的可靠的认证权威机构来公布新的公共密钥,并能够通过使用其优先级为下一位的公共密钥来继续验证该电子签名,以使得能够快速地验证电子签名并减少验证的成本。此外,在通过使用所存储的、具有优先级的多个公共密钥而使电子签名通过验证时,所述导航设备确定所述地图信息是从信息发布中心发布的有效信息,以使得能够确保向导航设备发布的地图信息的安全。
根据权利要求2的导航设备通过按优先级的顺序使用多个公共密钥来验证电子签名。当在电子签名通过验证之前存在未通过验证的任一公共密钥时,所述导航设备将未通过验证的公共密钥无效。
在私密密钥被第三方解密时,信息发布中心将被解密的私密密钥无效,并通过使用新的私密密钥来生成电子签名。作为对此的响应,所述导航设备能够将与被解密的私密密钥相对应的公共密钥无效,而不接收来自信息发布中心的、与被解密的私密密钥相对应的公共密钥的任何数据。
根据权利要求3的导航设备通过按优先级的顺序使用多个公共密钥来对分配给地图信息的电子签名进行验证。当在电子签名通过验证之前存在未通过验证的任一公共密钥时,所述导航设备将未通过验证的公共密钥设定为暂时无效密钥。在电子签名通过验证时,所述导航设备将暂时无效公共密钥无效,将其余的公共密钥的优先级向前移,并再次存储公共密钥。
在当前正在使用的私密密钥被第三方解密时,信息发布中心将被解密的私密密钥无效,并通过使用其优先级为下一位的私密密钥来生成电子签名。在这种情况下,所述导航设备能够确定地将与被解密的私密密钥相对应的公共密钥无效,而不接收来自信息发布中心的、与被解密的私密密钥相对应的公共密钥的任何数据。在与被解密的私密密钥相对应的公共密钥被无效时,所述导航设备能够将其余的公共密钥的优先级向前移,并通过按优先级的顺序使用有效的公共密钥来对分配给地图信息的电子签名进行顺利的验证,而无需从由第三方所提供的可靠的认证权威机构接收新的公共密钥的任何数据。
根据权利要求4的导航设备通过按优先级的顺序使用多个公共密钥来对分配给地图信息的电子签名进行验证。在电子签名未通过验证时,所述导航设备清除设定暂时无效公共密钥,并确定地图信息是无效信息。
因此,在恶意的第三方通过使用与由信息发布中心所拥有的私密密钥中的任一私密密钥都不同的私密密钥来对地图信息分配了电子签名时,因为所述导航设备能够确定该地图信息是无效信息,所以即使所有的有效的公共密钥都未通过验证,所述导航设备也清除设定暂时无效密钥,以使得能够保持所有的公共密钥的有效性并能够确保数据的安全。
根据权利要求5的导航设备通过按优先级的顺序使用多个有效的公共密钥来生成电子签名的解码数据。所述导航设备还生成地图信息的散列值。在散列值与解码数据相一致时,所述导航设备允许电子签名通过验证。在散列值与解码数据不一致时,所述导航设备不允许电子签名通过验证。
因而,即使在恶意的第三方通过使用与由信息发布中心所拥有的私密密钥不同的私密密钥来对地图信息分配了电子签名时,或者即使在恶意的第三方在不改变电子签名的情况下篡改了地图信息时,只要根据地图信息而生成的散列值与解码数据不一致,所述导航设备就不允许电子签名通过验证,以使得能够检测到对地图信息的伪造并能够确保地图信息的安全。
根据权利要求6中的信息发布系统,信息发布中心生成多套一个公共密钥与一个私密密钥,并对公共密钥及私密密钥分配优先级。信息发布中心存储具有优先级的多个私密密钥。信息发布中心将具有优先级的多个公共密钥授予所述导航设备。此外,信息发布中心通过使用其优先级为最高的私密密钥来生成电子签名,并发布带有该电子签名的地图信息。
所述导航设备存储由信息发布中心所授予的、具有优先级的多个公共密钥。所述导航设备提取分配给从信息发布中心发布的地图信息的电子签名,并通过按优先级的顺序使用多个公共密钥来验证该电子签名。在电子签名通过验证时,所述导航设备确定所述地图信息是从信息发布中心发布的有效信息。
因此,信息发布中心通过使用在被分配了优先级的多个私密密钥中的其优先级为最高的私密密钥来生成电子签名,并与地图信息一起发布该电子签名,以使得能够确保要被发布的地图信息的安全。此外,因为预先存储了多个私密密钥,所以在第三方解密了其优先级为最高的私密密钥时,能够快速地将被解密的私密密钥转换成其余的私密密钥中的一个私密密钥。
所述导航设备通过使用其优先级为最高的公共密钥来对分配给从信息发布中心发布的地图信息的电子签名进行验证。即使在电子签名未通过验证时,所述导航设备也能够通过使用其优先级为下一位的公共密钥来验证该电子签名,而无需从由第三方所提供的可靠的认证权威机构接收新的公共密钥的任何数据,以使得能够快速地验证电子签名并能够减少验证的成本。此外,在通过使用从信息发布中心所授予的多个公共密钥而使电子签名通过验证时,所述导航设备确定所述地图信息是从信息发布中心发布的有效信息,以使得能够确保向导航设备发布的地图信息的安全。
根据权利要求7中的信息发布系统,所述导航设备通过按优先级的顺序使用多个公共密钥来验证电子签名。当在电子签名通过验证之前存在未通过验证的任一公共密钥时,将未通过验证的公共密钥设定为无效的。
因此,在第三方解密了私密密钥时,信息发布中心将被解密的私密密钥无效并通过使用新的私密密钥来生成电子签名。所述导航设备能够将与被解密的私密密钥相对应的公共密钥无效,而不接收来自信息发布中心的、与被解密的私密密钥相对应的公共密钥的任何数据。
根据权利要求8中的信息发布系统,所述导航设备通过按优先级的顺序使用多个公共密钥来对分配给地图信息的电子签名进行验证。当在电子签名通过验证之前存在未通过验证的任一公共密钥时,将未通过验证的公共密钥设定为暂时无效公共密钥。在电子签名通过验证时,所述导航设备将暂时无效公共密钥无效,将其余的公共密钥的优先级前移,并再次存储公共密钥。
因此,在私密密钥被第三方解密时,信息发布中心将被解密的私密密钥无效,并通过使用新的私密密钥来生成电子签名。所述导航设备能够将与被解密的私密密钥相对应的公共密钥无效,而不接收来自信息发布中心的、与被解密的私密密钥相对应的公共密钥的任何数据。此外,在与被解密的私密密钥相对应的公共密钥被无效时,所述导航设备能够将其余的公共密钥的优先级前移,并通过按优先级的顺序使用有效的公共密钥来对分配给地图信息的电子签名进行顺利的验证,而无需从由第三方所提供的可靠的认证权威机构接收新的公共密钥的任何数据。
根据权利要求9中的信息发布中心,所述导航设备通过按优先级的顺序使用多个公共密钥来对分配给地图信息的电子签名进行验证。在电子签名未通过验证时,所述导航设备清除设定暂时无效公共密钥,并确定地图信息是无效信息。
因此,在恶意的第三方通过使用与由信息发布中心所拥有的私密密钥不同的私密密钥来对地图信息分配了电子签名时,因为所述导航设备确定该地图信息是无效信息,所以即使所有的有效的公共密钥都未通过验证,所述导航设备也清除设定暂时无效公共密钥,以使得能够保持所有的公共密钥的有效性并且能够确保信息的安全。
权利要求10中的信息发布系统,信息发布中心生成要被发布的地图信息的散列值,并通过使用该散列值及其优先级为最高的私密密钥二者来生成电子签名。所述导航设备通过按优先级的顺序仅使用多个公共密钥中的有效的公共密钥来生成电子签名的解码数据。在散列值与解码数据相一致时,使电子签名通过验证。在散列值与解码数据不一致时,所述导航设备不允许电子签名通过验证。
因此,信息发布中心通过使用根据要被发布的地图信息而计算出的散列值以及其优先级为最高的私密密钥二者来生成电子签名,以使得能够快速地生成电子签名。即使在恶意的第三方通过使用与由信息发布中心所拥有的私密密钥不同的私密密钥而对地图信息分配了电子签名时,或者即使在恶意的第三方在不改变电子签名的情况下篡改了地图信息时,在根据地图信息而计算出的散列值与解码数据不一致时,所述导航设备也不允许电子签名通过验证。因而,能够检测到对地图信息的伪造,并能够确保地图信息的安全。
在根据权利要求11的导航方法中,所述导航设备存储具有优先级的、用于对从信息发布中心发布的地图信息进行验证的多个公共密钥。所述导航设备提取分配给从信息发布中心发布的地图信息的电子签名,并通过按优先级的顺序使用多个公共密钥来验证该电子签名。在电子签名通过验证时,所述导航设备确定所述地图信息是从信息发布中心发布的有效信息。
因此,所述导航设备通过使用其优先级为最高的公共密钥来对分配给从信息发布中心发布的地图信息的电子签名进行验证。即使在电子签名未通过验证时,所述导航设备也能够通过使用其优先级为下一位的公共密钥来验证该电子签名,而无需从由第三方所提供的可靠的认证权威机构接收新的公共密钥的任何数据,以使得能够快速地验证电子签名并能够减少验证的成本。在通过使用具有优先级的多个公共密钥而使所述电子签名通过验证时,所述导航设备确定所述地图信息是从信息发布中心发布的有效信息,以使得能够确保要向所述导航设备发布的地图信息的安全。
根据权利要求12中的信息发布方法,信息发布中心生成多套一个公共密钥与一个私密密钥,并对多套一个公共密钥与一个私密密钥分配优先级。然后,信息发布中心存储具有优先级的多个私密密钥。信息发布中心将具有优先级的多个公共密钥授予所述导航设备。信息发布中心通过使用其优先级为最高的私密密钥来生成电子签名,并发布分配给地图信息的电子签名。
所述导航设备存储由信息发布中心所授予的、具有优先级的多个公共密钥。所述导航设备提取分配给从信息发布中心发布的地图信息的电子签名,并通过按优先级的顺序使用多个公共密钥来验证电子签名。在电子签名通过验证时,所述导航设备确定所述地图信息是从信息发布中心发布的有效信息。
因此,信息发布中心通过使用具有优先级的多个私密密钥中的其优先级为最高的私密密钥来生成电子签名,并发布分配给地图信息的电子签名,以使得能够确保要被发布的地图信息的安全。因为预先存储了多个私密密钥,所以在第三方解密了其优先级为最高的私密密钥时,信息发布中心能够快速地将被解密的私密密钥转换成其余的私密密钥中的一个私密密钥。
所述导航设备通过使用其优先级为最高的公共密钥来对分配给从信息发布中心发布的地图信息的电子签名进行验证。即使在电子签名未通过验证时,所述导航设备也能够通过使用其优先级为下一位的公共密钥来验证该电子签名,而无需从由第三方所提供的可靠的认证权威机构接收新的公共密钥的任何数据,以使得能够快速地验证电子签名并能够减少验证的成本。在通过使用由信息发布中心所公布的多个公共密钥而使电子签名通过验证时,所述导航设备确定所述地图信息是从信息发布中心发布的有效信息,以使得能够确保要向所述导航设备发布的地图信息的安全。
附图说明
图1是根据本实施例的地图信息发布系统的框图。
图2是地图信息发布系统中的导航设备的框图。
图3是示出地图信息发布系统中的地图信息发布中心中的公共密钥及私密密钥的生成的图。
图4是示出在地图信息发布中心的权威机构指示地图信息发布中心中的CPU将当前激活的私密密钥无效时,该CPU所执行的私密密钥更新处理的流程图。
图5是示出地图信息发布中心中的CPU将其优先级为最高的私密密钥SKl无效的情况的示例的图。
图6是示出在导航设备或PC请求发布地图更新信息时,地图信息发布中心中的CPU所执行的地图更新信息发布处理的流程图。
图7是示出在导航设备获得从信息发布中心发布的、作为带有电子签名的地图更新信息的发布数据时,导航设备中的CPU所执行的地图信息更新处理的流程图。
图8是示出在通过使用有效的公共密钥PKl而生成的、电子签名的解码数据与地图更新信息的散列值相一致时,存储在公共密钥存储部中的公共密钥PKl至公共密钥PK5的密钥状态的图。
图9是示出在通过使用有效的公共密钥PK2而生成的、电子签名的解码数据与地图更新信息的散列值相一致时,存储在公共密钥存储部中的公共密钥PKl至公共密钥PK5的密钥状态的图。
图10是示出在公共密钥PKl被无效时且在通过使用有效的公共密钥PK2而生成的、电子签名的解码数据与地图更新信息的散列值相一致时,存储在公共密钥存储部中的公共密钥PKl至公共密钥PK5的密钥状态的图。
图11是示出在所获得的发布数据的电子签名是通过使用无效的私密密钥SKl而生成的时,存储在公共密钥存储部中的公共密钥PKl至公共密钥PK5的密钥状态的图。
图12是示出在从所获得的发布数据中取得的地图更新信息数据由于通信故障而被破坏或被篡改时,存储在公共密钥存储部中的公共密钥PKl至公共密钥PK5的密钥状态的图。
图13是示出在所获得的发布数据的电子签名是通过使用除了私密密钥SKl至私密密钥SK5以外的私密密钥而生成的时,存储在公共密钥存储部中的公共密钥PKl至公共密钥PK5的密钥状态的图。
具体实施方式
下文中,将参照附图来对根据本发明中的导航设备及信息发布系统的示例性的特定实施例进行解释。
首先,将参照图1及图2来对根据本实施例的地图信息发布系统的结构的概要进行描述。图1是根据本实施例的地图信息发布系统1的框图。图2是地图信息发布系统1中的导航设备2的框图。
如图1所示,根据本实施例的地图信息发布系统1主要包括导航设备2、作为用于向导航设备2发布诸如地图更新信息的更新信息的信息发布中心的地图信息发布中心3、网络4、以及能够连接到网络4并由导航设备2的用户或经销商所拥有的PC(个人计算机)5。通过网络4而在导航设备2与地图信息发布中心3之间传送各种类型的信息。相似的是,通过网络4而在PC 5与地图信息发布中心3之间传送各种类型的信息。注意,稍后将参照图2来对导航设备2的结构进行详细的描述。
如图1所述,地图信息发布中心3包括服务器10、连接到服务器10的、作为地图信息存储部的中心地图信息数据库(中心地图信息DB)14、更新历史信息数据库(更新历史信息DB)15、中心通信装置16、差异数据管理数据库(差异数据管理DB)18及密钥信息数据库(密钥信息DB)19。
服务器10进一步包括作为计算装置及用于控制整个服务器10的控制装置的CPU 11、作为在CPU 11执行各种类型的计算处理时所使用的工作存储器的RAM 12、以及其上存储有各种类型的控制程序的内部存储装置(例如,ROM 13)。作为存储在ROM 13中的各种类型的控制程序的示例,例如可以包括:用于执行地图信息发布处理的程序,该处理用于从中心地图信息DB 14中提取用于对存储在导航设备2中的地图信息中的关于发布目标区域的地图信息进行更新的更新信息、并用于基于来自稍后描述的导航设备2或PC 5的请求而将该更新信息与电子签名一起发布给导航设备2或PC 5;或者用于执行私密密钥更新处理的程序,该处理用于对生成电子签名所使用的私密密钥进行更新(图4)。注意,例如,可以使用MPU来替代CPU 11。
中心地图信息DB 14存储有地图更新信息17,地图更新信息17是在地图信息发布中心3中生成的并且是用于对存储在导航设备2中的地图信息进行更新的基本的地图信息。地图更新信息17是按照版本来排序的。此外,中心地图信息DB 14存储有以下更新信息(下文中称作“差异数据”):该更新信息用于将存储在导航设备2中的地图信息(例如,以当前的车辆位置或预先登记的原始位置为其中心的80公里见方的范围)的部分或全部更新成存储在地图更新信息17中的最新信息。该更新信息也是按照版本来排序的。
这里的版本是指生成地图信息的时间。因此,可以通过参照信息的版本来指定何时生成地图信息。
作为存储在中心地图信息DB 14中的地图更新信息17,存储有对导航设备2的路线引导及地图显示所必需的各种信息。例如,可以包括用于显示地图的地图显示数据、表示路口的路口数据、表示节点的节点数据、表示作为一种类型的设施的道路(连接)的连接数据、用于搜索路线的搜索数据、表示作为一种类型的设施的POI(感兴趣的地点)的商店数据以及用于搜索地点的地点搜索数据。
根据地图显示数据,将地面划分成10公里见方的区域的网格用作标准单位。还可以将标准单位进一步细分成4个子单位(1/2长度)、16个子单位(1/4长度)或64个子单位(1/8长度),而且使用这些子单位可以使每个区域中的各数据量平均。例如标准单位被划分成64个子单位的情况,最小的子单位的面积可能约为1.25公里见方。
道路被分类成三种类型,并且在地图更新信息17中按照版本来对道路进行存储及管理。第一个类型为高标准公路类型,包括国家高速公路、城市高速公路、机动车快速路、普通收费公路及其道路识别号为1位数或2位数的国道。第二个类型为普通道路类型,包括其道路识别号为多于3位的数字的国道、主要的地方道路、县级道路及市政道路。第三个类型为窄街。
在差异数据管理DB 18中,按照版本及道路类型来对指示差异数据的、差异数据的文件名进行存储及管理。更具体地说,首先按照地图更新信息17的版本来对差异数据进行排序,然后按照分别对其设定了范围ID的、约2.5公里见方的区域来对该数据进行进一步的排序,最后按照上述三种道路类型来对区域数据进行排序。
在更新历史信息DB 15中,存储有表示曾经存储在导航设备2中的所有的地图信息的更新历史的更新历史信息,导航设备2被分配了用于指定导航设备2的导航ID。此外,还存储有表示发布给PC 5的用户的地图更新信息的更新历史信息,该用户被分配了用于指定该用户的用户ID。
然后,在导航设备2或PC 5请求时,地图信息发布中心3提取用于将上一次发布给导航设备2或PC 5的地图更新信息更新成存储在中心地图信息DB 14中的所有的地图更新信息17中的最新版本的地图更新信息17的差异数据。然后,地图信息发布中心3将被分配了电子签名的数据发布给稍后描述的导航设备2或PC 5。
由导航设备2的用户或经销商所拥有的PC 5包括用于将所接收到的地图更新信息存储在作为存储介质的CD-ROM 6上、以使得导航设备2能够通过使用读取部28(图2)来读取数据的存储部5A。注意,可以使用磁盘(例如,软盘)、存储卡、磁带、磁鼓、MD、DVD、ID卡或光卡来替代CD-ROM 6,只要导航设备2的读取部28能够读取该存储介质即可。
在密钥信息DB 19中,按照稍后描述的方式存储有表示生成五套公共密钥与私密密钥的密钥生成历史信息。此外,密钥信息DB 19还包括用于将对其设定了优先级的五个已生成的私密密钥存储起来的私密密钥存储部19A(图3)。
注意,地图信息发布中心3可以由个人、公司、协会、地方政府、政府附属组织或VICS(注册商标)中心中的任一个来运营。
例如,作为网络4,可以使用诸如LAN(局域网)、WAN(广域网)、内部网、移动电话网、电话网、公共通信网、专用通信网或因特网的任一通信网络。此外,可以使用诸如CS广播或BS广播、数字地面广播、或FM多路广播的另一广播卫星系统。作为另一通信系统,可以使用在智能交通系统(ITS)中所使用的电子收费控制(ETC)系统或专用短程通信(DSRC)系统作为网络4。
接下来,将参照图2来描述根据本实施例的、包含在地图信息发布系统1中的导航设备2的结构的概要。
如图2所示,本实施例中的导航设备2包括:当前位置检测部21,其用于检测其中安装了导航设备2的车辆的当前位置;数据存储部22,其用于存储预先登记的原始位置的坐标(例如,经度及纬度)及/或各种类型的数据;导航控制部23,其用于基于所输入的信息来执行各种类型的计算;操作部24,其用于接受操作者的操作;LCD 25,其用于对操作者显示诸如地图的信息;扬声器26,其用于根据路线引导来输出音频指导;通信装置27,其用于通过例如移动电话网来与道路交通信息中心(VICS(R))及/或地图信息发布中心3通信;以及读取部28,其用于读取存储在作为存储介质的CD-ROM 6上的地图更新信息。此外,导航控制部23连接到用于检测其中安装了导航设备2的车辆的行进速度的车辆速度传感器29。注意,可以将读取部28设定成不仅从CD-ROM 6中读取地图信息而且从DVD中读取地图信息。
下文中,将描述导航设备2中的每个内容。当前位置检测部21可以包含GPS 31、方向传感器32、距离传感器33及高度计(未示出),能够检测车辆的位置、方向、及从车辆到物体的距离(例如,到路口的距离)。
具体地说,GPS 31能够通过接收由卫星所提供的电波来检测当前车辆位置及当前时间。包括地磁传感器、陀螺传感器、或附装于方向盘(未示出)的旋转部分上的光学角速度传感器、旋转抵抗传感器(rotationresistive sensor)、或附装于车轮上的角度传感器的方向传感器32能够检测车辆方向。距离传感器33能够检测道路上的预定点之间的距离。例如,作为距离传感器33,可以使用用于测量车轮(未示出)的旋转速度并基于该旋转速度来检测距离的传感器,或用于测量加速度、对该加速度进行二次积分从而检测距离的另一传感器。
数据存储部22可以包括:硬盘(未示出),其作为外部存储装置并作为存储介质;导航地图信息DB 37,其存储在硬盘中;公共密钥存储部39,其用于存储由地图信心发布中心3所授予的多个公共密钥;以及存储头(未示出),其作为用于读取硬盘中的预定程序并将预定数据写入硬盘中的驱动器。注意,根据本实施例,使用硬盘作为外部存储装置以及数据存储部22中的存储介质。然而,可以使用磁盘(例如,软盘)作为外部存储装置。此外,还可以使用存储卡、磁带、磁鼓、CD、MD、DVD、光盘、MO、IC卡或光卡作为外部存储装置。
在导航地图信息DB 37中,存储有导航地图信息38。导航地图信息38用于行进引导及路线搜索,并且由地图信息发布中心3来对其进行更新。导航地图信息38包括路线引导及地图显示所必需的各种类型的信息以及更新地图信息17。例如,包括新建道路信息、地图显示数据、表示路口的路口数据、表示节点的节点数据、表示作为一种类型的设施的道路(连接)的连接数据、用于搜索路线的搜索数据、表示作为一种类型的设施的POI(例如,商店)的商店数据及/或用于搜索地点的地点搜索数据。
通过经由通信装置27来下载由地图信息发布中心3所发布的差异数据及/或利用存储在CD-ROM 6上的诸如地图更新信息的更新信息来对导航地图信息DB 37中的内容进行更新。
如图2所示,导航设备2中的导航控制部23可以包含:CPU 41,其作为计算装置及用于控制整个导航设备2的控制装置;RAM 42,其用作在CPU 41执行各种类型的计算时的工作存储器并用于存储表示搜索到的路线的路线数据;ROM 43,其用于存储控制程序及地图信息更新处理程序(图7),该程序用于按稍后描述的方式通过使用存储在公共密钥存储部39中的公共密钥来对分配给更新地图数据的电子签名进行验证从而更新导航地图信息38。导航设备2中的导航控制部23还可以包含:内部存储装置(例如,闪存44),其用于将从ROM 43中读出的程序存储起来;以及计时器45,其用于测量时间。注意,半导体存储器或磁芯可以用作RAM 42、ROM 43或闪存44。并且,可以使用MPU作为计算装置及控制装置,来替代CPU 41。
根据本实施例,可以将各种程序存储在ROM 43中,并且可以将各种类型的数据存储在数据存储部22中。然而,可以从同一外部存储装置或存储卡中读出程序及数据,并可以将其写在闪存44上,以使得能够通过更换存储卡来更新程序及数据。
诸如操作部24、LCD 25、扬声器26、通信装置27、读取部28的支持装置(执行器)可以电连接到导航控制部23。
在操作者想要校正当前位置时、在操作者输入起始点作为引导起始点或输入目的地作为引导终点时、及/或在操作者根据设施来搜索信息时,可以对操作部24进行操作。操作部24可以是各种类型的键或多个操作开关。注意,作为操作部24,可以使用键盘、鼠标或显示在LCD 25上的触摸板。
在LCD 25上,可以显示在其中显示基于导航地图信息37A的地图的路线指导画面以及操作指导、操作菜单、按键指导、从当前位置到目的地的路线、沿路线的引导信息及/或交通信息。
扬声器26能够基于导航控制部23的控制来输出对行进路线的音频指导。例如,音频指导可以例如是:“请在前方200米的XX路口处右转”或“无法更新地图数据”。
通信装置27是用于与信息发布中心3进行通信的通信装置(例如,移动电话网),能够与信息发布中心3交换最新版本的地图更新信息。通信装置27还能够接收从道路交通信息中心(VICS)传送来的交通信息(例如,拥堵信息及/或服务区拥堵信息)以及来自信息发布中心3的信息。
接下来,将参照图3来描述由地图信息发布系统1中的地图信息发布中心3所生成的公共密钥及私密密钥。图3是示出地图信息发布系统1中的地图信息发布中心3生成公共密钥及私密密钥的图。
如图3所示,地图信息发布中心3中的CPU 11生成五套公共密钥PK1至公共密钥PK5与私密密钥SK1至私密密钥SK5。即,通过使用公共密钥PK1而使通过使用私密SK1而生成的电子签名通过验证。相似的是,通过使用相对应的公共密钥PK2至公共密钥PK5中的每个公共密钥而使通过使用私密密钥SK2至私密密钥SK5中的每个私密密钥而生成的每个电子签名通过验证。
CPU 11对公共密钥PK1至公共密钥PK5设定从最高位至第五位的优先级。CPU 11还对与公共密钥PK1至公共密钥PK5相对应的私密密钥SK1至私密密钥SK5设定从最高位至第五位的优先级。然后,CPU 11将公共密钥PK1至公共密钥PK5及私密密钥SK1至私密密钥SK5的所有的密钥状态设定为“有效的”。
CPU 11将被设定了优先级“1”至“5”且其密钥状态为“有效的”私密密钥SK1至私密密钥SK5中的每个私密密钥存储在私密密钥存储部19A中。
然后,CPU 11将被设定了优先级“1”至“5”的“有效的”公共密钥PK1至公共密钥PK5授予导航设备2。具体地说,CPU 11通过地图信息发布中心3的权威机构来将所生成的、被设定了优先级“1”至“5”的“有效的”公共密钥PK1至公共密钥PK5授予导航设备2的制造商。
作为对此的响应,导航设备2的制造商将被设定了优先级“1”至“5”的“有效的”公共密钥PK1至公共密钥PK5存储在公共密钥存储部39中。结果,允许导航设备2中的CPU 41按稍后描述的方式使用公共密钥PK1至公共密钥PK5并知晓被设定为“1”至“5”的优先级中的每个优先级以及当前为“有效的”每个公共密钥的状态。
接下来,将参照图4及图5来对根据包含上述结构的地图信息发布系统1的、在地图信息发布中心3的权威机构指示CPU 11将当前使用的私密密钥无效时地图信息发布中心3中的CPU 11所执行的私密密钥更新处理进行描述。
图4是示出在地图信息发布中心3的权威机构指示地图信息发布中心3中的CPU 11将当前使用的私密密钥无效时所执行的私密密钥更新处理的流程图。图5是地图信息发布中心3中的CPU 11将其优先级为最高的私密密钥SK1无效的示例。注意,图4的流程图中所示出的程序存储在地图信息发布中心3中的ROM 13中,并由CPU 11按预定时间间隔(例如,每10米每秒至每100米每秒)来执行。
如图4所示,在步骤S11中,CPU 11确定是否输入了意指应当将当前使用的私密密钥无效的私密密钥改变请求。
注意,在当前使用的所有的私密密钥SK1至私密密钥SK5中的其优先级为最高的私密密钥被第三方解密时,地图信息发布中心3的权威机构使用输入装置(未示出)来将意指应当将被解密的私密密钥无效的私密密钥改变请求输入给CPU 11。
在未输入将当前使用的私密密钥“无效”的私密密钥改变请求(步骤S11=“否”)时,CPU 11终止该过程。
同时,在输入了将当前使用的私密密钥“无效”的私密密钥改变请求(步骤S11=“是”)时,CPU 11转到步骤S12中的过程。在S12中,CPU11将当前为有效的、且在存储在私密密钥存储部19A中的私密密钥SK1至私密密钥SK5中其优先级为最高的私密密钥无效,并将私密密钥再次存储在私密密钥存储部19A中。
例如,如图5所示,在所有的私密密钥SK1至私密密钥SK5都为“有效的”时且在输入了将私密密钥SK1“无效”的私密密钥改变请求时,CPU 11将其优先级为最高的私密密钥SK1无效,并将该私密密钥再次存储在私密密钥存储部19A中。
在步骤S13中,CPU 11读出存储在私密密钥存储部19A中的私密密钥SK1至私密密钥SK5中的每个私密密钥,仅将私密密钥SK1至私密密钥SK5中的“有效的”私密密钥的优先级向前移,并将这些私密密钥再次存储在私密密钥存储部19A中,并终止该过程。
例如,如图5所示,在私密密钥SK1至私密密钥SK5中的其优先级为最高的私密密钥SK1被无效时,私密密钥SK1的优先级被取消,私密密钥SK2至私密密钥SK5的优先级被向前移,即,私密密钥SK2的优先级变成最高,并且私密密钥SK3至私密密钥SK5的优先级变成第二位至第四位。然后,将经重新编号的私密密钥再次存储在私密密钥存储部19A中。因此,CPU 11按稍后描述的方式(图6)来将私密密钥SK2用于下一个电子签名。
换言之,按照优先级的顺序将私密密钥SK1至私密密钥SK5无效,并且仅将所有的私密密钥SK1至私密密钥SK5中的有效的私密密钥的优先级向前移。
注意,每当私密密钥SK1至私密密钥SK5被无效时,CPU 11会生成一套一个新的公共密钥与一个新的私密密钥供下一次使用,并将该套密钥预先存储在密钥信息DB 19中。然后,在存储在多个导航设备2中的每个导航设备2中的导航地图信息38都被更新时,可以授予新生成的公共密钥。具体地说,在向经销商的PC 5发布了所有的地图更新信息时,可以对新授予的公共密钥进行发布,并可以通过PC 5中的存储部5A来将新授予的公共密钥以及所有的地图更新信息存储在CD-ROM 6上,并且可以将该公共密钥提供给导航设备2。
接下来,将参照图6来对根据地图信息发布系统1的、在导航设备2或PC 5指示CPU 11发布地图更新信息时地图信息发布中心3中的CPU11所执行的地图更新信息发布处理进行描述。图6是示出在导航设备2或PC 5指示CPU 11发布地图更新信息时,地图信息发布中心3中的CPU11所执行的地图更新信息发布处理的流程图。注意,图6的流程图中所描述的程序存储在地图信息发布中心3中的ROM 13中,并由CPU 11来执行。
如图6所示,在步骤S111中,在CPU 11接收到来自导航设备2的导航ID及发布地图更新信息的请求时,或在CPU 11接收到来自PC 5的用于指定导航设备2的用户的用户ID时,CPU 11将其中心被设定在预先登记的原始位置处的预定范围(例如,以原始位置为其中心的约80公里见方的范围)设定为供提取与导航ID或用户ID相对应的差异数据的发布目标区域。注意,在接收到目的地的坐标数据以及导航ID或用户ID时,CPU 11将其中心被设定在目的地处的预定范围(例如,以与坐标数据相对应的目的地为其中心的约50公里见方的范围)设定为供提取差异数据的发布目标区域。
然后,CPU 11根据由所接收到的导航ID或用户ID所指定的地图信息来从更新历史信息DB 15中读出更新历史信息,提取利用导航ID或用户ID而指定的、且位于发布目标区域中的每个部分(约2.5公里见方的区域)内的导航设备2的当前版本,并存储所提取的版本。CPU 11从差异数据管理DB 18中读出发布目标区域中的每个部分内的最新差异数据的文件名,提取针对发布目标区域中的每个部分内的导航设备2的当前版本与最新版本之间的差异数据的文件名,并将该差异数据存储在RAM 12中。接下来,CPU 11从地图更新信息17中读出与差异数据的文件名中的每个文件名相对应的差异数据,并将该数据作为更新发布地图数据存储在RAM 12中。
在步骤S112中,CPU 11从RAM 12中读出更新发布地图数据,根据该发布地图数据来计算散列值,并将该散列值存储在RAM 12中。
例如,如图6所示,CPU 11计算更新发布地图数据51的散列值52,并将该散列值52存储在RAM 12中。
在步骤S113中,CPU 11选择存储在密钥信息DB 19中的私密密钥存储部19A中的私密密钥SK1至私密密钥SK5中的其优先级为最高且“有效的”一个私密密钥,并将所选择的私密密钥存储在RAM 12中。
例如,如图5及图6所示,当在私密密钥SK1至私密密钥SK5中仅私密密钥SK1为“无效的”时,因为私密密钥SK2为“有效的”且其优先级为最高,所以CPU 11选择私密密钥SK2,以使得CPU 11将私密密钥SK2存储在RAM 12中。
在步骤S114中,CPU 11从RAM 12中读出在步骤S112中所计算出的散列值以及在步骤S113中所选择的、其优先级为最高且“有效的”私密密钥二者,并通过使用该散列值及所读出的私密密钥二者来生成电子签名。
例如,如图6所示,CPU 11通过使用散列值52及私密密钥SK2来生成电子签名53,并将电子签名53存储在RAM 12中。
在S115中,CPU 11从RAM 12中读出更新发布地图数据及在S114中所生成的电子签名二者,将该电子签名已电子的方式签署在该更新发布地图数据上,并将该数据存储在RAM 12中。经电子签名的数据是要向导航设备2或PC 5发布的发布数据。
在S116中,CPU 11从RAM 12中读出发布数据,并通过中心通信装置16而将该数据传送给在S111中所指定的、与导航ID相对应的导航设备2或与用户ID相对应的PC 5,并终止该过程。
结果,与导航ID相对应的导航设备2或与用户ID相对应的PC 5能够通过网络4来获得作为针对其中心在已登记的原始位置或目的地处的预定范围的、被分配了电子签名的更新发布地图数据的发布数据。PC 5能够通过存储部5A来将可读发布数据存储在作为存储介质的CD-ROM 6上。结果,用户在将CD-ROM 6插入到导航设备2中的读取部28中时,能够将发布数据发送给导航设备2。
例如,如图6所示,CPU 11从RAM 12中读出更新发布地图数据51及电子签名53,将电子签名53以电子的方式签署在作为用于向导航设备2或PC 5发布的发布数据55的发布地图数据51上,并将该数据存储在RAM 12中。CPU 11从RAM 12中读出发布数据55,并经由中心通信装置16来将该发布数据传送给在S111中所指定的、与导航ID相对应的导航设备2或与用户ID相对应的PC 5。
因此,与导航ID相对应的导航设备2或与用户ID相对应的PC 5能够经由网络4来获得作为针对其中心被设定在已登记的原始位置或目的地处的预定范围的、对其分配了电子签名53的更新发布地图数据51的发布数据55。然后,PC 5能够经由存储部5A来将可读发布数据55存储在作为存储介质的CD-ROM 6上。结果,用户在将CD-ROM 6插入到导航设备2中的读取部28中时,能够将发布数据55发送给导航设备2。
接下来,将参照图7至图13来对根据地图信息发布系统1的、在CPU41通过网络4或CD-ROM 6来获得来自信息发布中心3的、作为带有电子签名的更新发布地图数据(下文中称作“地图更新信息”)的发布数据时导航设备2中的CPU 41所执行的地图信息更新处理进行描述。
图7是示出在CPU 41通过网络4或CD-ROM 6来获得从信息发布中心3发布的、作为带有电子签名的地图更新信息的发布数据时,导航设备2中的CPU 41所执行的地图信息更新处理的流程图。注意,图7的流程图中所示的程序存储在导航设备2中的ROM 43中,并由CPU 41来执行。
如图7所示,在步骤S21中,CPU 41读出存储在公共密钥存储部39中的公共密钥PK1至公共密钥PK5中的“有效的”公共密钥中的其优先级为最高的一个公共密钥,并将所读出的公共密钥存储在RAM 42中。
例如,如图3所示,在所有的公共密钥PK1至公共密钥PK5均为“有效的”时,CPU 41从公共密钥存储部39中读出其优先级为最高的公共密钥PK1,并将公共密钥PK1存储在RAM 42中。
在S212中,CPU 41通过网络4或CD-ROM 6来从自信息发布中心3发布的发布数据中提取电子签名,并将该电子签名存储在RAM 42中。CPU 41从RAM 42中读出其优先级为最高的公共密钥及电子签名二者,通过使用该公共密钥来对电子签名进行解码,并将解码数据存储在RAM42中。
在S213中,CPU 41从自信息发布中心3发布的发布数据中提取地图更新信息,根据该地图更新信息来计算散列值,并将该散列值存储在RAM 42中。
接下来,在S214中,CPU 41从RAM 42中读出电子签名的解码数据及地图更新信息的散列值二者,并确定该解码数据是否与该散列值相一致。在解码数据与散列值相一致时,即,在电子签名通过验证(S214=“是”)时,过程转到S215。
在S215中,CPU 41确定电子签名是通过使用与其优先级为最高的公共密钥相对应的私密密钥而生成的,即,CPU 41确定从信息发布中心3发布的发布数据是有效信息,并对发布数据的地图更新信息设定更新许可标志。CPU 41将该数据再次存储在RAM 42中,并且过程转到S217。
同时,在电子签名的解码数据与地图更新信息的散列值不一致(S214=“否”)时,CPU 41通过使用公共密钥而确定电子签名未通过验证,即,CPU 41确定该电子签名不是通过使用与其优先级为最高的公共密钥相对应的私密密钥而生成的,以使得过程转到S216。
在S216中,CPU 41还确定与所使用的公共密钥相对应的私密密钥已被第三方解密,以使得CPU 41对所使用的公共密钥设定暂时无效标志,将该公共密钥存储在RAM 42中,并且过程转到S217。
在S217中,CPU 41从RAM 42中读出所使用的公共密钥。如果对该公共密钥设定了暂时无效标志,则CPU 41再次重复S211之后的所有的过程。
具体地说,CPU 41从公共密钥存储部39中读出公共密钥PK1至公共密钥PK5中的所有的有效的公共密钥中的、其优先级为带有暂时无效标志的公共密钥的优先级的下一号的一个公共密钥,将所选择的公共密钥存储在RAM 42中,并再次重复S211之后的所有的过程。
同时,在S217中,CPU 41从RAM 42中读出所使用的公共密钥。在未对该公共密钥设定暂时无效标志时,CPU 41终止过程的循环,并且过程转到S218。
在S218中,CPU 41从RAM 42中读出地图更新信息,并确定是否允许对该地图更新信息的地图更新处理,即,是否对该地图更新信息设定了更新许可标志。
在对该地图更新信息设定了更新许可标志(S218=“是”)时,过程转到S219。
在S219中,在RAM 42中存储了带有暂时无效标志的公共密钥时,CPU 41读出带有暂时无效标志的公共密钥,将该公共密钥无效,并将该公共密钥存储回公共密钥存储部39。然后,CPU 41将公共密钥PK1至公共密钥PK5中的“有效的”公共密钥的优先级向前移,并将这些公共密钥存储回公共密钥存储部39中。然后,过程转到S220。
下面将参照图8至图10来描述S219中的过程的示例。
图8是示出在通过使用“有效的”公共密钥PK1而生成的、电子签名的解码数据与地图更新信息的散列值相一致时,存储在公共密钥存储部39中的公共密钥PK1至公共密钥PK5的状态的图。图9是示出在通过使用“有效的”公共密钥PK1而生成的、电子签名的解码数据与地图更新信息的散列值不一致时并且在通过使用“有效的”公共密钥PK2而生成的、电子签名的解码数据与地图更新信息的散列值相一致时,存储在公共密钥存储部39中的公共密钥PK1至公共密钥PK5的状态的图。图10是示出在公共密钥PK1被无效时并且在通过使用“有效的”公共密钥PK2而生成的、电子签名的解码数据与地图更新信息的散列值相一致时存储在公共密钥存储部39中的公共密钥PK1至公共密钥PK5的状态的图。
首先,如图8所示,CPU 41通过使用其优先级为最高的“有效的”公共密钥PK1来生成从信息发布中心3发布的发布数据的电子签名的解码数据。在电子签名的解码数据与根据发布数据的地图更新信息而计算出的散列值相一致时,即,在电子签名通过验证时,CPU 41确定该电子签名是通过使用与其优先级为最高的公共密钥PK1相对应的私密密钥SK1而生成的,即,CPU 41确定从信息发布中心3发布的发布数据是有效信息。因此,CPU 41对发布数据的地图更新信息设定更新许可标志,并将该数据存储回RAM 42中。CPU 41还确定其优先级为最高的公共密钥PK1是“有效的”,将公共密钥PK1至公共密钥PK5的状态设定为“有效的”,并在对公共密钥PK1至公共密钥PK5设定从最高位至第五位的优先级的同时将公共密钥PK1至公共密钥PK5存储在公共密钥存储部39中。
此外,如图9所示,CPU 41通过使用其优先级为最高的“有效的”公共密钥PK1来生成从信息发布中心3发布的发布数据的电子签名的解码数据。在电子签名的解码数据与根据发布数据的地图更新信息而计算出的散列值不一致时,即,在电子签名未通过验证时,CPU 41对其优先级为最高的公共密钥PK1设定暂时无效标志,并将公共密钥PK1存储在RAM 42中。
接下来,CPU 41通过使用其优先级为第二高的“有效的”公共密钥PK2来生成电子签名的解码数据。在电子签名的解码数据与根据发布数据的地图更新信息而计算出的散列值相一致时,即,在电子签名通过验证时,CPU 41确定该电子签名是通过使用与其优先级为第二高的公共密钥PK2相对应的私密密钥SK2而生成的,即,CPU 41确定从信息发布中心3发布的发布数据是有效信息,对发布数据的地图更新信息设定更新许可标志,并将该数据存储回RAM 42中。
此外,CPU 41从RAM 42中读出带有暂时无效标志的公共密钥PK1,将公共密钥PK1无效,并将PK1存储回公共密钥存储部39中。CPU 41将“有效的”公共密钥PK2至公共密钥PK5的优先级向前移,并将这些公共密钥存储在公共密钥存储部39中。因此,如图9所示,公共密钥PK2的优先级被设定成最高,并且公共密钥PK3至公共密钥PK5的优先级被设定成第二位至第四位。
如图10所示,在公共密钥PK1为“无效的”时,CPU 41通过使用其优先级为最高的“有效的”公共密钥PK2来生成从信息发布中心3发布的发布数据的电子签名的解码数据。在电子签名的解码数据与根据发布数据的地图更新信息而计算出的散列值相一致时,即,在电子签名通过验证时,CPU 41确定该电子签名是通过使用与其优先级为最高的公共密钥PK2相对应的私密密钥SK2而生成的,即,CPU 41确定从信息发布中心3发布的发布数据是有效信息,对发布数据的地图更新信息设定更新许可标志,并将该数据存储回RAM 42中。CPU 41确定其优先级为最高的公共密钥PK2是“有效的”,将公共密钥PK2至公共密钥PK5的状态设定为“有效的”,并在对这些公共密钥设定从最高位至第四位的优先级的同时将这些公共密钥存储在公共密钥存储部39中。
如图7所示,在S220中,CPU 41从RAM 42中读出从信息发布中心3发布的发布数据的地图更新信息(即,差异数据),将关于导航地图信息38的发布目标区域(例如,以原始位置为其中心的约80公里见方的范围)的地图信息更新成最新版本的地图信息,并终止该过程。
同时,在不允许对地图更新信息的地图更新处理时,即,在未对地图更新信息设定更新许可标志(S218=“否”)时,CPU 41确定从信息发布中心3发布的发布数据是无效信息,并且过程转到S221。
在S221中,CPU 41从RAM 42中读出带有暂时无效标志的任一公共密钥,从公共密钥清除设定所有的暂时无效标志,并将作为“有效的”密钥的公共密钥存储在公共密钥存储部39中。
在S222中,CPU 41报告:因为从信息发布中心3发布的发布数据是无效信息,所以无法将导航地图信息38的发布目标区域(例如,以原始位置为其中心的约80公里见方的范围)的地图信息更新成最新版本的地图信息,并且终止该过程。例如,CPU 41能够在LCD 25上显示诸如“地图更新失败”的消息,并带有通过扬声器26而发出的诸如“无法更新地图数据”的音频指导。
下面将根据S211至S217中的过程,参照图11至图13来描述对存储在公共密钥存储部39中的所有的“有效的”公共密钥设定了暂时无效标志并且任一电子签名都未能通过验证的示例。
首先,将参照图11来描述因为所获得的发布数据的电子签名是通过使用“无效的”私密密钥SK1而生成的、所以电子签名未通过验证的示例。图11是示出因为所获得的发布数据的电子签名是通过使用“无效的”私密密钥SK1而生成的、所以电子签名未通过验证的示例的图。
如图11所示,在所获得的发布数据的电子签名是通过使用无效的私密密钥SK1而生成的时,即,在公共密钥PK1是“无效的”时,CPU 41通过使用其优先级为最高的“有效的”公共密钥PK2来生成从信息发布中心3发布的发布数据的电子签名的解码数据。
在这种情况下,电子签名的解码数据与根据发布数据的地图更新信息而计算出的散列值不一致,即,电子签名未通过验证。因此,CPU 41对其优先级为最高的公共密钥PK2设定暂时无效标志,并将PK2存储在RAM 42中。相似的是,CPU 41还通过按优先级的顺序使用“有效的”公共密钥PK3至公共密钥PK5中的每个公共密钥来生成电子签名的解码数据。在这种情况下,电子签名的解码数据中的任一解码数据都与根据地图更新信息而计算出的散列值不一致,即,任一电子签名都未通过验证。因此,CPU 41对公共密钥PK3至公共密钥PK5中的每个公共密钥设定暂时无效标志,并将PK3至PK5存储回RAM 42中。
在S218中,在CPU 41确定从信息发布中心3发布的发布数据是无效信息之后,过程转到S221。CPU 41清除设定对公共密钥PK2至公共密钥PK5的所有的暂时无效标志,并将作为“有效的”密钥的公共密钥PK2至公共密钥PK5存储回公共密钥存储部39中。
接下来,将参照图12来描述因为所获得的发布数据的地图更新信息由于通信故障而被破坏或被篡改、所以电子签名未通过验证的示例。图12是示出因为所获得的发布数据的地图更新信息由于通信故障而被破坏或被篡改,所以电子签名未通过验证的示例的图。
如图12所示,在所有的公共密钥PK1至公共密钥PK5是有效的并且所获得的发布数据的地图更新信息由于通信故障而被破坏或被篡改时,CPU 41通过使用其优先级为最高的“有效的”公共密钥PK1来生成从信息发布中心3发布的发布数据的电子签名的解码数据(即,通过使用私密密钥SK1而生成的)。
在这种情况下,电子签名的解码数据与根据从发布数据中取得的、被破坏或被篡改的地图更新信息而计算出的散列值不一致,即,电子签名未通过验证。因此,CPU 41对其优先级为最高的公共密钥PK1设定暂时无效标志,并将PK1存储在RAM 42中。CPU 41还通过按优先级的顺序使用“有效的”公共密钥PK2至公共密钥PK5来生成电子签名的解码数据。在这种情况下,电子签名的解码数据中的任一解码数据都与根据被破坏或被篡改的地图更新信息而计算出的散列值不一致,即,电子签名未通过验证。因此,CPU 41对公共密钥PK2至公共密钥PK5设定暂时无效标志,并将公共密钥PK2至公共密钥PK5存储在RAM 42中。
在S218中,在CPU 41确定从信息发布中心3发布的发布数据是无效信息之后,过程转到S221。CPU 41清除设定对公共密钥PK1至公共密钥PK5的所有的暂时无效标志,并将作为“有效的”公共密钥的公共密钥PK1至公共密钥PK5存储回公共密钥存储部39中。
接下来,将参照图13来描述因为所获得的发布数据的电子签名是通过使用除了私密密钥SK1至私密密钥SK5以外的一个私密密钥而生成的、所以电子签名未通过验证的示例。图13是示出因为所获得的发布数据的电子签名是通过使用除了私密密钥SK1至私密密钥SK5以外的一个私密密钥而生成的,所以电子签名未通过验证的示例的图。
如图13所示,在所有的公共密钥PK1至公共密钥PK5都是有效的并且所获得的发布数据的电子签名是通过使用除了私密密钥SK1至私密密钥SK5以外的一个私密密钥而生成的时,CPU 41通过使用其优先级为最高的“有效的”公共密钥PK1来生成从信息发布中心3发布的发布数据的电子签名的解码数据。
在这种情况下,电子签名的解码数据与根据发布数据的地图更新信息而计算出的散列值不一致,即,电子签名未通过验证。因此,CPU 41对其优先级为最高的公共密钥PK1设定暂时无效标志,并将公共密钥PK1存储在RAM 42中。CPU 41还通过按优先级的顺序使用“有效的”公共密钥PK2至公共密钥PK5来生成电子签名的解码数据。在这种情况下,电子签名的解码数据中的任一解码数据都与根据地图更新信息而计算出的散列值不一致,即,电子签名未通过验证。因此,CPU 41对公共密钥PK2至公共密钥PK5设定暂时无效标志,并将公共密钥PK2至公共密钥PK5存储在RAM 42中。
在S218中,在CPU 41确定从信息发布中心3发布的发布数据是无效信息之后,过程转到S221。CPU 41清除设定对公共密钥PK1至公共密钥PK5的所有的暂时无效标志,并将作为“有效的”公共密钥的PK1至PK5存储回公共密钥存储部39中。
如上所详述的,根据本实施例中的地图信息发布系统1,信息发布中心3中的CPU 11生成五套公共密钥PK1至公共密钥PK5与私密密钥SK1至私密密钥SK5,并对公共密钥PK1至公共密钥PK5及私密密钥SK1至私密密钥SK5二者都设定从最高位至第五位的优先级。然后,信息发布中心3中的CPU 11将具有优先级的私密密钥SK1至私密密钥SK5存储在私密密钥存储部19A中。
信息发布中心3中的CPU 11将具有优先级的公共密钥PK1至公共密钥PK5授予导航设备2。信息发布中心3中的CPU 11根据地图更新信息来计算散列值,通过使用该散列值以及私密密钥存储部19A中的其优先级为最高的私密密钥二者来生成电子签名,生成作为带有电子签名的地图更新信息的发布数据,并将该发布数据通过网络4而发布给导航设备2或PC 5(S111至S116)。
导航设备2中的CPU 41将由信息发布中心3所公布的、具有优先级的公共密钥PK1至公共密钥PK5存储在公共密钥存储部39中。导航设备2中的CPU 41提取从信息发布中心3发布的发布数据的电子签名,通过按优先级的顺序仅使用公共密钥PK1至公共密钥PK5中的“有效的”公共密钥来生成电子签名的解码数据,并通过确定电子签名的解码数据是否与根据地图更新信息而计算出的散列值相一致来按顺序地验证电子签名。在电子签名通过验证时,导航设备2中的CPU 41确定从信息发布中心3发布的发布数据是有效信息(S211至S217)。
信息发布中心3中的CPU 11通过使用分别具有优先级的私密密钥SK1至私密密钥SK5中的其优先级为最高的“有效的”私密密钥来生成电子签名,并对作为带有电子签名的地图更新信息的发布数据进行传送。由此,能够确保所发布的地图更新信息的安全。此外,因为在私密密钥存储部19A中预先存储五个私密密钥SK1至私密密钥SK5,所以即使在第三方解密了其优先级为最高的私密密钥时,也能够将被解密的私密密钥快速地转换成其余的私密密钥中的一个私密密钥。
导航设备2中的CPU 41通过使用存储在公共密钥存储部39中的公共密钥PK1至公共密钥PK5中的其优先级为最高的公共密钥来对从自信息发布中心3发布的发布数据中提取的电子签名进行验证。即使电子签名未通过验证,CPU 41也能够通过使用具有下一号的优先级的公共密钥来验证电子签名,而无需由可靠的第三方所提供的认证权威机构来授予新的公共密钥。因此,能够快速地验证电子签名并减少验证的成本。
在通过使用由信息发布中心3所公布的公共密钥PK1至公共密钥PK5而使电子签名通过验证时,导航设备2中的CPU 41确定从信息发布中心3发布的发布数据是有效信息。因此,能够确保向导航设备2发布的地图更新信息的安全。
在第三方将存储在私密密钥存储部19A中的其优先级为最高的私密密钥解密时,信息发布中心3中的CPU 11将其优先级为最高的私密密钥无效,将其余的私密密钥的优先级向前移,并将私密密钥存储回私密密钥存储部19A中(S11至S13)。
由此,即使第三方解密了其优先级为最高的私密密钥,被解密的其优先级为最高的私密密钥也被无效,并且能够快速地停止第三方使用被解密的私密密钥。即,能够确保向导航设备2发布的地图更新信息的安全。在其优先级为最高的私密密钥被无效时,其余的私密密钥的优先级被向前移,并被存储回私密密钥存储部19A中,以使得能够将其优先级为最高的私密密钥快速地转换成其余的私密密钥中的一个私密密钥并能够通过使用根据地图更新信息而计算出的散列值来生成电子签名。
导航设备2中的CPU 41通过按优先级的顺序使用公共密钥PK1至公共密钥PK5中的“有效的”公共密钥来验证电子签名。如果在电子签名通过验证之前存在未通过验证的任一公共密钥,则对该公共密钥设定暂时无效标志,并将该公共密钥存储在RAM 42中。在从发布数据中提取的电子签名通过验证时,CPU 41将带有暂时无效标志的公共密钥无效,将其余的公共密钥的优先级向前移,并将这些公共密钥存储回公共密钥存储部39中(S214=“否”至S219)。
作为对此的响应,在第三方解密了存储在私密密钥存储部19A中的、且其优先级为最高的私密密钥时,信息发布中心3中的CPU 11将被解密的私密密钥无效,将其余的私密密钥的优先级向前移,并将这些私密密钥存储回私密密钥存储部19A中。因此,即使新的电子签名是通过使用其优先级已被转变成最高的私密密钥而生成的,导航设备2中的CPU 41也能够确定地将与被解密的私密密钥相对应的公共密钥无效,而不接收来自信息发布中心3的、与被解密的私密密钥相对应的公共密钥的任何数据。
在导航设备2中的CPU 41将与被解密的私密密钥相对应的公共密钥无效时,CPU 41能够将公共密钥PKl至公共密钥PK5中的其余的公共密钥中的“有效的”公共密钥的优先级向前移,并通过按优先级的顺序使用“有效的”公共密钥来对从发布数据中提取的电子签名进行顺利的验证,而无需从由可靠的第三方所提供的认证权威机构向其公布的新的公共密钥。
此外,在导航设备2中的CPU 41通过按优先级的顺序使用公共密钥PKl至公共密钥PK5中的“有效的”公共密钥来对从发布数据中提取的电子签名进行验证时,在该电子签名未通过验证时,CPU 41按顺序地对所使用的公共密钥中的每个公共密钥设定暂时无效标志,并将这些公共密钥存储在RAM 42中。在即使通过使用任一“有效的”公共密钥、电子签名也未通过验证时,CPU 41清除设定对公共密钥的所有的暂时无效标志,并将作为“有效的”公共密钥的这些公共密钥存储在公共密钥存储部39中。CPU 41还确定所获得的发布数据是无效信息(S214=“否”至S216以及S216至S221)。
因此,在恶意的第三方通过使用与由信息发布中心3所拥有的私密密钥中的任一私密密钥都不同的私密密钥来对地图更新信息设定了电子签名时,对公共密钥中的每个公共密钥设定暂时无效标志,以防止通过使用所有的有效的公共密钥而使电子签名通过验证。然而,CPU 41能够清除设定所有的暂时无效标志,以使得能够保持所有的“有效的”公共密钥的有效性,并且因为CPU 41能够确定发布数据是无效信息,所以能够确保要被发布的地图更新信息的安全。
信息发布中心3中的CPU 11根据向导航设备2或PC 5发布的地图更新信息来计算散列值,并通过使用该散列值以及存储在私密密钥存储部19A中的其优先级为最高的私密密钥二者来生成电子签名。导航设备2中的CPU 41通过按优先级的顺序仅使用公共密钥PK1至公共密钥PK5中的有效的公共密钥来生成从所获得的发布数据中提取的电子签名的解码数据。
导航设备2中的CPU 41将从所获得的发布数据中提取的地图更新信息散列。在散列值与解码数据相一致时,CPU 41使电子签名通过验证。在散列值与解码数据不一致时,CPU 41不允许电子签名通过验证。
由此,信息发布中心3中的CPU 11通过使用根据要被发布的地图更新信息而计算出的散列值以及存储在私密密钥存储部19A中的其优先级为最高的“有效的”私密密钥二者来生成电子签名,以使得能够快速地生成电子签名。不仅在恶意的第三方通过使用与由信息发布中心3所拥有的私密密钥SK1至私密密钥SK5中的任一私密密钥都不同的私密密钥来对地图更新信息设定了电子签名时,而且在不改变电子签名的情况下篡改地图更新信息时,导航设备2中的CPU 41都不允许电子签名通过验证,并且能够在散列值与解码数据不一致时检测到地图更新信息的改变,以使得能够确保地图更新信息的安全。
注意,本发明不必受到上述实施例的限制。可以在不背离根本原理的广义精神及范围的情况下做出各种改变。
例如,在导航设备2不包含通信装置27的情况下,导航设备2的用户在请求发布地图更新信息时,能够通过PC 5来向信息发布中心3传送通过网络4而预先登记在信息发布中心3中的、用于指定该用户的用户ID。
因此,PC 5能够通过网络4来获得来自信息发布中心3的、关于以已登记的用户的原始位置或目的地为其中心的预定范围的、作为带有电子签名的地图更新信息的发布数据。此外,PC 5能够通过存储部5A来将所获得的可读发布数据存储在作为存储介质的CD-ROM 6上。由此,即使导航设备2不包含通信装置27,在将CD-ROM 6插入导航设备2中的读取部28中时,PC 5也能够将地图更新信息传送给导航设备2。
Claims (12)
1.一种导航设备,包括:
公共密钥存储装置,它存储对其分配了优先级的、用于对从信息发布中心发布的地图信息进行验证的多个公共密钥;
电子签名提取装置,其提取对从所述信息发布中心发布的所述地图信息设定的电子签名;
验证控制装置,它通过按所述优先级的顺序使用对其设定了所述优先级的所述多个公共密钥来验证所述电子签名;以及
确定装置,如果所述电子签名通过验证,则该确定装置确定所述地图信息是从所述信息发布中心发布的有效信息。
2.根据权利要求1所述的导航设备,其中:
如果在所述电子签名通过验证之前存在未通过验证的公共密钥,则所述验证控制装置进行控制以将未通过验证的公共密钥设定为无效的。
3.根据权利要求2所述的导航设备,其中:
所述验证控制装置包括:暂时无效设定装置,其将未通过验证的公共密钥设定为暂时无效密钥,并且
在所述电子签名通过验证时,所述验证控制装置将被所述暂时无效设定装置设定为暂时无效密钥的公共密钥无效,并且所述验证控制装置还将其余的公共密钥的优先级向前移,并进行控制以将所述公共密钥存储回所述公共密钥存储装置中。
4.根据权利要求3所述的导航设备,其中:
在所述电子签名未通过验证时,所述验证控制装置进行控制以清除设定所述暂时无效设定装置对所述公共密钥作为一个暂时无效密钥的设定,并且
所述确定装置确定所述地图信息是无效信息。
5.根据权利要求1至权利要求4中的任一项所述的导航设备,该导航设备还包括:
解码数据生成装置,其通过使用存储在所述公共密钥存储装置中的所述公共密钥来生成所述电子签名的解码数据;以及
导航散列值生成装置,其生成所述地图信息的散列值;其中:
在所述解码数据与所述散列值相一致时,所述验证控制装置允许所述电子签名通过验证,而在所述解码数据与所述散列值不一致时,所述验证控制装置不允许所述电子签名通过验证。
6.一种信息发布系统,包括:
信息发布中心,其用于发布地图信息;以及
导航设备,其中:
所述信息发布中心还包括:
密钥生成装置,其生成多套一个公共密钥与一个私密密钥,并对所述多套一个公共密钥与一个私密密钥设定优先级;
私密密钥存储装置,其存储具有所述优先级的所述多个私密密钥;
电子签名生成装置,它通过使用其优先级在所述私密密钥存储装置中被存储为最高的一个私密密钥来生成电子签名;以及
发布装置,其发布带有所述电子签名的地图信息,其中:
所述信息发布中心将具有所述优先级的所述多个公共密钥授予所述导航设备,并且
所述导航设备还包括:
公共密钥存储装置,其存储由所述信息发布中心所授予的、具有所述优先级的所述多个公共密钥;
电子签名提取装置,其提取对从所述信息发布中心发布的所述地图信息设定的所述电子签名;
验证控制装置,其进行控制以通过按所述优先级的顺序使用具有所述优先级的所述多个公共密钥来验证所述电子签名;以及
确定装置,如果所述电子签名通过验证,则该确定装置确定所述地图信息是从所述信息发布中心发布的有效信息。
7.根据权利要求6所述的信息发布系统,其中:
如果在所述电子签名通过验证之前存在未通过验证的公共密钥,则所述验证控制装置进行控制以将未通过验证的公共密钥设定为无效的。
8.根据权利要求7所述的信息发布系统,其中:
所述验证控制装置包括:
暂时无效设定装置,其将未通过验证的公共密钥设定为暂时无效密钥,其中:
如果所述电子签名通过验证,则所述验证控制装置将被所述暂时无效设定装置设定为暂时无效密钥的公共密钥无效,并且将其余的公共密钥的优先级向前移,并进行控制以将所述公共密钥存储回所述公共密钥存储装置中。
9.根据权利要求8所述的信息发布系统,其中:
如果所述电子签名未通过验证,则所述验证控制装置进行控制以清除设定所述暂时无效设定装置对所述公共密钥作为一个暂时无效密钥的设定,并且
所述确定装置确定所述地图信息是无效信息。
10.根据权利要求6至权利要求9中的任一项所述的信息发布系统,其中:
所述电子签名生成装置包括:中心散列值生成装置,其生成所述地图信息的散列值,其中:
所述电子签名生成装置通过使用所述散列值以及其优先级在所述私密密钥存储装置中被存储为最高的私密密钥二者来生成所述电子签名,并且
所述验证控制装置包括:
解码数据生成装置,其生成通过使用存储在所述公共密钥存储装置中的所述公共密钥来对所述电子签名进行解码而得到的解码数据;以及
导航散列值生成装置,其生成所述地图信息的所述散列值,其中:
在所述解码数据与所述散列值相一致时,所述验证控制装置允许所述电子签名通过验证,而在所述解码数据与所述散列值不一致时,所述验证控制装置不允许所述电子签名通过验证。
11.一种导航方法,包括:
存储具有优先级的、用于对从信息发布中心发布的地图信息进行验证的多个公共密钥的步骤;
提取对从所述信息发布中心发布的所述地图信息设定的电子签名的步骤;
进行控制以通过按所述优先级的顺序使用在所述存储公共密钥的步骤中所存储的所述多个公共密钥来对在所述提取电子签名的步骤中所提取的所述电子签名进行验证的步骤;以及
如果在所述控制验证的步骤中所述电子签名通过验证、则确定所述地图信息是从所述信息发布中心发布的有效信息的步骤。
12.一种用于从信息发布中心向导航设备发布地图信息的信息发布方法,包括:
由所述信息发布中心所执行的、生成多套一个公共密钥与一个私密密钥并对所述多套一个公共密钥与一个私密密钥设定优先级的步骤;
由所述信息发布中心所执行的、存储在所述生成密钥的步骤中对其设定了优先级的所述多个私密密钥的步骤;
由所述信息发布中心所执行的、将在所述生成密钥的步骤中对其设定了优先级的所述多个公共密钥授予所述导航设备的步骤;
由所述导航设备所执行的、将对其设定了优先级的且在所述授予所述多个密钥的步骤中由所述信息发布中心所授予的所述多个公共密钥存储起来的步骤;
由所述信息发布中心所执行的、通过使用在所述存储所述多个私密密钥的步骤中其优先级被存储为最高的私密密钥来生成电子签名的步骤;
由所述信息发布中心所执行的、将所述地图信息与在所述生成所述电子签名的步骤中所生成的所述电子签名一起发布给所述导航设备的步骤;
由所述导航设备所执行的、提取在所述发布所述电子签名的步骤中从所述信息发布中心发布的、所述地图信息的所述电子签名的步骤;
由所述导航设备所执行的、进行控制以通过按所述优先级的顺序使用在所述存储公共密钥的步骤中所存储的所述多个公共密钥来对在所述提取所述电子签名的步骤中所提取的所述电子签名进行验证的步骤;以及
由所述导航设备所执行的、如果在所述进行控制以验证所述电子签名的步骤中所述电子签名通过验证、则确定所述地图信息是从所述信息发布中心发布的有效信息的步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP008450/2007 | 2007-01-17 | ||
| JP2007008450A JP4633747B2 (ja) | 2007-01-17 | 2007-01-17 | 情報配信システム及び情報配信方法 |
| PCT/JP2008/050667 WO2008088063A1 (en) | 2007-01-17 | 2008-01-15 | Navigation apparatus and information distribution system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101568803A true CN101568803A (zh) | 2009-10-28 |
| CN101568803B CN101568803B (zh) | 2013-01-16 |
Family
ID=39294086
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880001168.7A Expired - Fee Related CN101568803B (zh) | 2007-01-17 | 2008-01-15 | 导航设备及信息发布系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8261083B2 (zh) |
| EP (1) | EP2079986B1 (zh) |
| JP (1) | JP4633747B2 (zh) |
| CN (1) | CN101568803B (zh) |
| AT (1) | ATE482376T1 (zh) |
| DE (1) | DE602008002694D1 (zh) |
| WO (1) | WO2008088063A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102436469A (zh) * | 2010-09-29 | 2012-05-02 | 福特全球技术公司 | 地图信息传输、处理和更新 |
| CN103034816A (zh) * | 2011-10-03 | 2013-04-10 | 日立汽车系统株式会社 | 访问控制方法、使用该访问控制方法的信息显示装置及系统 |
| CN104318631A (zh) * | 2011-03-11 | 2015-01-28 | 泰利特汽车解决方案公司 | 道路收费系统和方法 |
| CN107925580A (zh) * | 2015-08-31 | 2018-04-17 | 三菱电机株式会社 | 地图信息管理系统 |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5348503B2 (ja) | 2010-02-19 | 2013-11-20 | アイシン・エィ・ダブリュ株式会社 | ナビゲーションシステム |
| JP5348502B2 (ja) * | 2010-02-19 | 2013-11-20 | アイシン・エィ・ダブリュ株式会社 | ナビゲーションシステム |
| JP5435001B2 (ja) * | 2011-09-28 | 2014-03-05 | 株式会社デンソー | 地図データ配信装置、電子機器及び地図更新システム |
| EP2605532A1 (en) * | 2011-12-16 | 2013-06-19 | Thomson Licensing | Apparatus and method for signature verification |
| GB2503655A (en) * | 2012-06-28 | 2014-01-08 | Ibm | Secure storage and deletion of objects |
| WO2014010050A1 (ja) * | 2012-07-11 | 2014-01-16 | パイオニア株式会社 | 情報更新システム及び方法、自動車、充電器並びにサーバ装置 |
| US9026147B2 (en) * | 2012-09-24 | 2015-05-05 | Physio-Control, Inc. | Defibrillator location tracking device |
| US9693691B2 (en) * | 2013-01-18 | 2017-07-04 | ZOLL Medical Corpoaration | Systems and methods for determining spatial locations of patient data gathering devices |
| US9141372B1 (en) * | 2014-06-20 | 2015-09-22 | GM Global Technology Operations LLC | Secure and interruptible transfer of a map update package to a navigation device |
| US9763089B2 (en) * | 2015-06-23 | 2017-09-12 | International Business Machines Corporation | Protecting sensitive data in a security area |
| US10033534B2 (en) * | 2015-12-01 | 2018-07-24 | Intel Corporation | Methods and apparatus to provide for efficient and secure software updates |
| US10320831B2 (en) * | 2016-06-24 | 2019-06-11 | Symantec Corporation | Systems and methods for applying security updates to endpoint devices |
| US11524168B2 (en) | 2016-12-19 | 2022-12-13 | Hearthero, Inc. | Self-contained, connected automated external defibrillator systems and methods of use |
| JPWO2018207424A1 (ja) * | 2017-05-11 | 2019-07-11 | 三菱電機株式会社 | メッセージ加工装置、地図管理装置、地図会社装置および自動車会社装置 |
| US10989545B2 (en) | 2019-06-04 | 2021-04-27 | Here Global B.V. | Method, apparatus, and computer program product for map data agnostic route fingerprints |
| US10861333B1 (en) | 2019-06-04 | 2020-12-08 | Here Global B.V. | Method, apparatus, and computer program product for map data agnostic route fingerprints |
| GB202002612D0 (en) * | 2020-02-25 | 2020-04-08 | Tomtom Global Content Bv | Digital map data with enhanced functional safety |
| WO2022081850A1 (en) | 2020-10-14 | 2022-04-21 | Hearthero, Inc. | Automated external defibrillator systems and methods of use |
| US11529526B1 (en) | 2021-12-10 | 2022-12-20 | Hearthero, Inc. | Automated external defibrillator |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5293576A (en) * | 1991-11-21 | 1994-03-08 | Motorola, Inc. | Command authentication process |
| KR100415872B1 (ko) * | 1994-10-10 | 2004-04-30 | 코닌클리케 필립스 일렉트로닉스 엔.브이. | 데이타베이스시스템및데이타베이스슈퍼시스템 |
| US7194620B1 (en) * | 1999-09-24 | 2007-03-20 | Verizon Business Global Llc | Method for real-time data authentication |
| EP1189409B1 (en) * | 2000-09-18 | 2014-12-03 | HERE Global B.V. | Method and system for encrypted distribution of geographic data for navigation systems |
| US6490521B2 (en) * | 2000-12-28 | 2002-12-03 | Intel Corporation | Voice-controlled navigation device utilizing wireless data transmission for obtaining maps and real-time overlay information |
| JP3901463B2 (ja) * | 2001-02-21 | 2007-04-04 | 日本電信電話株式会社 | 認証システムアクセス装置及び公開鍵証明証取得方法及び公開鍵証明証無効化確認方法及び、認証システムアクセスプログラム及び公開鍵証明証取得プログラム及び公開鍵証明証無効化確認プログラム及び認証システムアクセスプログラムを格納した記憶媒体及び公開鍵証明証取得プログラムを格納した記憶媒体及び公開鍵証明証無効化確認プログラムを格納した記憶媒体 |
| JP3954454B2 (ja) * | 2002-07-05 | 2007-08-08 | アルパイン株式会社 | 地図データ配信システムおよびナビゲーション装置 |
| JP2004172865A (ja) * | 2002-11-19 | 2004-06-17 | Casio Comput Co Ltd | 電子機器及び認証システム |
| JP2004171416A (ja) | 2002-11-21 | 2004-06-17 | Ntt Docomo Inc | 通信端末、価値実体提供サーバ、アプリケーション配信サーバ、電子購買支援システム、電子購買支援方法、及び電子購買支援プログラム |
| GB2404546B (en) * | 2003-07-25 | 2005-12-14 | Purple Interactive Ltd | A method of organising and displaying material content on a display to a viewer |
| JP2005331579A (ja) | 2004-05-18 | 2005-12-02 | Denso Corp | 地図データ更新システム |
| JP4697515B2 (ja) * | 2004-11-05 | 2011-06-08 | 株式会社ケンウッド | ナビゲーション装置及びナビゲーション装置の地図更新システム |
| WO2006095726A1 (ja) * | 2005-03-11 | 2006-09-14 | Brother Kogyo Kabushiki Kaisha | 情報配信システム、ノード装置、及び解除データ発行方法等 |
| JP4797709B2 (ja) * | 2005-03-11 | 2011-10-19 | ブラザー工業株式会社 | 情報配信システム、ノード装置、及び解除データ発行方法等 |
| CN1848144A (zh) * | 2005-04-12 | 2006-10-18 | 盐城市小康企业发展有限公司 | 电子发票管理系统及其电子发票管理器 |
-
2007
- 2007-01-17 JP JP2007008450A patent/JP4633747B2/ja active Active
-
2008
- 2008-01-15 DE DE602008002694T patent/DE602008002694D1/de active Active
- 2008-01-15 AT AT08703517T patent/ATE482376T1/de not_active IP Right Cessation
- 2008-01-15 EP EP08703517A patent/EP2079986B1/en not_active Not-in-force
- 2008-01-15 WO PCT/JP2008/050667 patent/WO2008088063A1/en active Application Filing
- 2008-01-15 CN CN200880001168.7A patent/CN101568803B/zh not_active Expired - Fee Related
- 2008-01-15 US US12/312,746 patent/US8261083B2/en not_active Expired - Fee Related
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102436469A (zh) * | 2010-09-29 | 2012-05-02 | 福特全球技术公司 | 地图信息传输、处理和更新 |
| CN102436469B (zh) * | 2010-09-29 | 2014-11-26 | 福特全球技术公司 | 地图信息传输、处理和更新 |
| CN104318631A (zh) * | 2011-03-11 | 2015-01-28 | 泰利特汽车解决方案公司 | 道路收费系统和方法 |
| US9934619B2 (en) | 2011-03-11 | 2018-04-03 | Telit Automotive Solutions Nv | Road toll system and method |
| CN103034816A (zh) * | 2011-10-03 | 2013-04-10 | 日立汽车系统株式会社 | 访问控制方法、使用该访问控制方法的信息显示装置及系统 |
| CN103034816B (zh) * | 2011-10-03 | 2016-06-08 | 株式会社日立制作所 | 访问控制方法、使用该访问控制方法的信息显示装置及系统 |
| CN107925580A (zh) * | 2015-08-31 | 2018-04-17 | 三菱电机株式会社 | 地图信息管理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101568803B (zh) | 2013-01-16 |
| EP2079986B1 (en) | 2010-09-22 |
| EP2079986A1 (en) | 2009-07-22 |
| DE602008002694D1 (de) | 2010-11-04 |
| JP2008175648A (ja) | 2008-07-31 |
| ATE482376T1 (de) | 2010-10-15 |
| JP4633747B2 (ja) | 2011-02-16 |
| US20100070772A1 (en) | 2010-03-18 |
| US8261083B2 (en) | 2012-09-04 |
| WO2008088063A1 (en) | 2008-07-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101568803B (zh) | 导航设备及信息发布系统 | |
| US6768942B1 (en) | Navigation system with decryption functions and secure geographic database | |
| EP2590118B1 (en) | Posted message providing system, apparatus, method, and computer program | |
| US6978021B1 (en) | Encryption method for distribution of data | |
| EP2038611B1 (en) | Map information distribution center and map information distribution method | |
| CN107925580B (zh) | 地图信息管理系统 | |
| CN112673590B (zh) | 一种在车联网设备之间进行数据传输的方法及设备 | |
| US20050049900A1 (en) | Information providing apparatus, system, method, and program for the same, and recording medium with the program recorded therein | |
| JP5344058B2 (ja) | 車載器 | |
| JP2010054484A (ja) | ナビゲーションシステム、ナビゲーション装置、ナビゲーション方法およびナビゲーションプログラム | |
| JP2010197158A (ja) | 電子機器及びナビゲーション画像表示方法 | |
| EP1189409B1 (en) | Method and system for encrypted distribution of geographic data for navigation systems | |
| WO2011065523A1 (ja) | ナビゲーションシステムおよび車載装置 | |
| JP2008020200A (ja) | 地図情報配信センタ及び地図情報配信方法 | |
| US7613917B1 (en) | Method and system for mass distribution of geographic data for navigation systems | |
| JP4563354B2 (ja) | 地図情報配信システム及び地図情報配信方法 | |
| US9621531B2 (en) | Authentication device and authentication program | |
| WO2015118817A1 (ja) | 航法メッセージ認証システム、受信端末、及び認証処理装置 | |
| JP5125676B2 (ja) | 情報配信システム、センター装置、アンケート回答取得方法 | |
| JP5326844B2 (ja) | 配信システム | |
| JP2005332371A (ja) | 車載器に情報を発行する方法及びシステム | |
| US20220414267A1 (en) | Method, apparatus, and computer program product for confidential computing | |
| JP2007164306A (ja) | 位置証明システム、証明センタ装置、位置証明方法、証明装置および端末 | |
| JP2005121719A (ja) | 地図情報収集装置、地図情報配信センタ、及び、地図情報配信システム | |
| JP2003186394A (ja) | 地図サーバ、及び、その通信端末 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130116 Termination date: 20210115 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |