JP2019009688A - 保守システム及び保守方法 - Google Patents

保守システム及び保守方法 Download PDF

Info

Publication number
JP2019009688A
JP2019009688A JP2017125369A JP2017125369A JP2019009688A JP 2019009688 A JP2019009688 A JP 2019009688A JP 2017125369 A JP2017125369 A JP 2017125369A JP 2017125369 A JP2017125369 A JP 2017125369A JP 2019009688 A JP2019009688 A JP 2019009688A
Authority
JP
Japan
Prior art keywords
vehicle
key
server
terminal device
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017125369A
Other languages
English (en)
Other versions
JP6731887B2 (ja
Inventor
竹森 敬祐
Keisuke Takemori
敬祐 竹森
誠一郎 溝口
Seiichiro Mizoguch
誠一郎 溝口
明典 戸塚
Akinori TOTSUKA
明典 戸塚
浩 石塚
Hiroshi Ishizuka
浩 石塚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2017125369A priority Critical patent/JP6731887B2/ja
Priority to US16/624,077 priority patent/US11330432B2/en
Priority to PCT/JP2018/023897 priority patent/WO2019004097A1/ja
Priority to CN201880041382.9A priority patent/CN110800249B/zh
Priority to EP18822657.5A priority patent/EP3648396B1/en
Publication of JP2019009688A publication Critical patent/JP2019009688A/ja
Application granted granted Critical
Publication of JP6731887B2 publication Critical patent/JP6731887B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C2205/00Indexing scheme relating to group G07C5/00
    • G07C2205/02Indexing scheme relating to group G07C5/00 using a vehicle scan tool

Abstract

【課題】自動車等の車両の保守の作業を行う際の安全性の向上を図る保守システム及び保守方法を提供する。
【解決手段】サーバ装置30は、端末装置50から受信した作業者認証情報の認証処理を行い、作業者認証情報の認証が合格した端末装置50に車載装置70との間で使用される第1鍵を、サーバ装置の格納するマスタ鍵と作業者認証情報に関連付けられた車両対応識別子とを使用して生成し、生成した第1鍵を端末装置50に送信する。端末装置50は、作業者認証情報をサーバ装置30に送信し、サーバ装置30から受信した第1鍵を使用して車載装置70との間で認証処理を行う。車載装置70は車両装置70が格納するマスタ鍵と当該車両の車両対応識別子とを使用して第1鍵を生成し、第1鍵を使用して端末装置50との間で認証処理を行う。
【選択図】図5

Description

本発明は、保守システム及び保守方法に関する。
従来、自動車は、ECU(Electronic Control Unit:電子制御装置)を有し、ECUによってエンジン制御等の機能を実現する。ECUは、コンピュータの一種であり、コンピュータプログラムによって所望の機能を実現する。複数のECUをCAN(Controller Area Network)に接続して構成される車載制御システムについてのセキュリティ技術が例えば非特許文献1に記載されている。
竹森敬祐、"セキュアエレメントを基点とした車載制御システムの保護 −要素技術の整理と考察−"、電子情報通信学会、信学技報、vol. 114、no. 508、pp. 73-78、2015年3月 日本工業規格、JISD4901、"車両識別番号(VIN)"
自動車の保守の作業を行う際の安全性を向上させることが一つの課題であった。
本発明は、このような事情を考慮してなされたものであり、その目的は、自動車等の車両の保守の作業を行う際の安全性の向上を図ることにある。
(1)本発明の一態様は、サーバ装置と、端末装置と、車両に搭載される車載装置と、を備え、前記サーバ装置は、前記端末装置から作業者認証情報を受信する作業者認証情報受信部と、前記作業者認証情報の認証処理を行うサーバ認証処理部と、前記サーバ認証処理部により前記作業者認証情報の認証が合格した前記端末装置に前記車載装置との間で使用される第1鍵を送信するサーバ鍵送信部と、を備え、前記端末装置は、前記作業者認証情報を前記サーバ装置に送信する作業者認証情報送信部と、前記サーバ装置から前記第1鍵を受信する端末鍵受信部と、前記第1鍵を使用して前記車載装置との間で認証処理を行う端末認証処理部と、を備え、前記車載装置は、前記第1鍵を使用して前記端末装置との間で認証処理を行う車両認証処理部を備える、保守システムである。
(2)本発明の一態様は、上記(1)の保守システムにおいて、前記サーバ装置は、マスタ鍵を格納するサーバ鍵格納部と、前記マスタ鍵と前記作業者認証情報に関連付けられた車両対応識別子とを使用して前記第1鍵を生成するサーバ鍵生成部と、を備え、前記車載装置は、前記サーバ装置のマスタ鍵と同じマスタ鍵を格納する車両鍵格納部と、前記車両鍵格納部のマスタ鍵と前記車両に対応する車両対応識別子とを使用して前記第1鍵を生成する車両鍵生成部と、を備える、保守システムである。
(3)本発明の一態様は、上記(2)の保守システムにおいて、前記サーバ鍵生成部は、前記作業者認証情報の認証時を基準にした所定期間を示す期間情報をさらに使用して前記第1鍵の生成を行い、前記車両鍵生成部は、前記車載装置が前記端末装置から認証要求メッセージを受信した時を基準にした所定期間を示す期間情報をさらに使用して前記第1鍵の生成を行う、保守システムである。
(4)本発明の一態様は、上記(2)又は(3)のいずれかの保守システムにおいて、前記サーバ鍵生成部は、前記サーバ鍵格納部のマスタ鍵と前記作業者認証情報に関連付けられた車両対応識別子とを使用して第2鍵を生成し、前記車両鍵生成部は、前記車両鍵格納部のマスタ鍵と前記車両に対応する車両対応識別子とを使用して第2鍵を生成し、前記サーバ装置は、前記作業者認証情報の作業者に与えられた前記車両の保守の権限を示す権限情報を、前記サーバ鍵生成部が生成した第2鍵を使用して暗号化するサーバ暗号処理部と、前記サーバ暗号処理部により前記権限情報が暗号化された暗号化権限情報を、前記端末装置を介して前記車両に送信する権限情報送信部と、を備え、前記車載装置は、前記車両鍵生成部が生成した第2鍵を使用して前記暗号化権限情報を復号する車両暗号処理部を備える、保守システムである。
(5)本発明の一態様は、上記(1)から(4)のいずれかの保守システムにおいて、前記車両に搭載され、前記車載装置のログを記録する車両記録部を備え、前記端末装置は、前記車両から前記ログを受信して前記サーバ装置に送信する端末ログ送信部を備え、前記サーバ装置は、前記端末装置から受信した前記ログを格納するサーバ記録部を備える、保守システムである。
(6)本発明の一態様は、上記(1)から(5)のいずれかの保守システムにおいて、前記サーバ装置は、同一の作業者認証情報に対して第1鍵を同時期に発行する車両の台数を一定数に制限するサーバ制御部を備える、保守システムである。
(7)本発明の一態様は、上記(1)から(6)のいずれかの保守システムにおいて、前記端末装置は、前記サーバ装置から受信した第1鍵を格納する端末鍵格納部と、前記車両の保守作業の終了を示す信号により前記端末鍵格納部から第1鍵を消去させる端末制御部と、を備える、保守システムである。
(8)本発明の一態様は、サーバ装置と、端末装置と、車両に搭載される車載装置と、を備え、前記サーバ装置は、前記端末装置から作業者認証情報を受信する作業者認証情報受信部と、前記作業者認証情報の認証処理を行うサーバ認証処理部と、前記サーバ認証処理部により前記作業者認証情報の認証が合格した前記端末装置に、前記車載装置が発行したトークンを送信するトークン送信部と、を備え、前記端末装置は、前記作業者認証情報を前記サーバ装置に送信する作業者認証情報送信部と、前記サーバ装置から前記トークンを受信するトークン受信部と、前記トークンを使用して、前記サーバ装置により前記車両に保守コマンドの送信を行う端末制御部と、を備え、前記車載装置は、前記トークンを発行し、前記保守コマンドの送信に使用されたトークンの検証を行う車両制御部を備える、保守システムである。
(9)本発明の一態様は、サーバ装置と、端末装置と、車両に搭載される車載装置と、を備える保守システムの保守方法であり、前記サーバ装置が、前記端末装置から作業者認証情報を受信する作業者認証情報受信ステップと、前記サーバ装置が、前記作業者認証情報の認証処理を行うサーバ認証処理ステップと、前記サーバ装置が、前記サーバ認証処理ステップにより前記作業者認証情報の認証が合格した前記端末装置に前記車載装置との間で使用される第1鍵を送信するサーバ鍵送信ステップと、前記端末装置が、前記作業者認証情報を前記サーバ装置に送信する作業者認証情報送信ステップと、前記端末装置が、前記サーバ装置から前記第1鍵を受信する端末鍵受信ステップと、前記端末装置が、前記第1鍵を使用して前記車載装置との間で認証処理を行う端末認証処理ステップと、前記車載装置が、前記第1鍵を使用して前記端末装置との間で認証処理を行う車両認証処理ステップと、を含む保守方法である。
(10)本発明の一態様は、サーバ装置と、端末装置と、車両に搭載される車載装置と、を備える保守システムの保守方法であり、前記サーバ装置が、前記端末装置から作業者認証情報を受信する作業者認証情報受信ステップと、前記サーバ装置が、前記作業者認証情報の認証処理を行うサーバ認証処理ステップと、前記サーバ装置が、前記サーバ認証処理ステップにより前記作業者認証情報の認証が合格した前記端末装置に、前記車載装置が発行したトークンを送信するトークン送信ステップと、前記端末装置が、前記作業者認証情報を前記サーバ装置に送信する作業者認証情報送信ステップと、前記端末装置が、前記サーバ装置から前記トークンを受信するトークン受信ステップと、前記端末装置が、前記トークンを使用して、前記サーバ装置により前記車両に保守コマンドの送信を行う端末制御ステップと、前記車載装置が、前記トークンを発行するトークン発行ステップと、前記車載装置が、前記保守コマンドの送信に使用されたトークンの検証を行うトークン検証ステップと、を含む保守方法である。
本発明によれば、自動車等の車両の保守の作業を行う際の安全性の向上を図ることができるという効果が得られる。
一実施形態に係る保守システム1の概略構成図である。 一実施形態に係るサーバ装置30の概略構成図である。 一実施形態に係る端末装置50の概略構成図である。 一実施形態に係る車載装置70の概略構成図である。 一実施形態に係る保守方法の例1を示すシーケンスチャートである。 一実施形態に係る保守方法の例2を示すシーケンスチャートである。 一実施形態に係る保守方法の例3を示すシーケンスチャートである。 一実施形態に係る保守方法の例4を示すシーケンスチャートである。 一実施形態に係る保守方法の例5を示すシーケンスチャートである。
以下、図面を参照し、本発明の実施形態について説明する。なお、以下に示す実施形態では、車両として自動車を例に挙げて説明する。
図1は、本実施形態に係る保守システム1の概略構成図である。図1において、保守システム1は、サーバ装置30と、端末装置50と、車載装置70とを備える。車載装置70は自動車10に搭載される装置である。自動車10は、車載装置70と、ゲートウェイ装置16と、複数のECU(電子制御装置)18とを備える。
ECU18は、自動車10に備わる車載コンピュータである。ECU18は、自動車10のエンジン制御等の制御機能を有する。ECU18として、例えば、エンジン制御機能を有するECU、ハンドル制御機能を有するECU、ブレーキ制御機能を有するECUなどがある。ゲートウェイ装置16は、自動車10に搭載されたECU18に適用されるデータのセキュリティ(保安)の機能を有する。なお、自動車10に搭載されたいずれかのECUをゲートウェイ装置16として機能させてもよい。
ゲートウェイ装置16と複数のECU18は、自動車10に備わる通信ネットワーク(以下、車載ネットワークと称する)17に接続される。車載ネットワーク17は、例えば、CAN(Controller Area Network)であってもよい。CANは車両に搭載される通信ネットワークの一つとして知られている。ゲートウェイ装置16は、車載ネットワーク17を介して、各ECU18との間でデータを交換する。ECU18は、車載ネットワーク17を介して、他のECU18との間でデータを交換する。
なお、車両に搭載される通信ネットワークとして、CAN以外の通信ネットワークを自動車10に備え、CAN以外の通信ネットワークを介して、ゲートウェイ装置16とECU18との間のデータの交換、及び、ECU18同士の間のデータの交換が行われてもよい。例えば、LIN(Local Interconnect Network)を自動車10に備えてもよい。また、CANとLINとを自動車10に備えてもよい。また、自動車10において、LINに接続するECU18を備えてもよい。また、ゲートウェイ装置16は、CANとLINとに接続されてもよい。また、ゲートウェイ装置16は、CANを介して該CANに接続されるECU18との間でデータを交換し、また、LINを介して該LINに接続されるECU18との間でデータを交換してもよい。また、ECU18同士が、LINを介してデータを交換してもよい。
自動車10の車載コンピュータシステムは、ゲートウェイ装置16と複数のECU18とが車載ネットワーク17に接続されて構成される。ゲートウェイ装置16は、自動車10の車載コンピュータシステムの内部と外部の間の通信を監視する。ECU18は、ゲートウェイ装置16を介して、車載コンピュータシステムの外部の装置と通信を行う。
なお、車載ネットワーク17の構成として、車載ネットワーク17が複数のバス(通信線)を備え、該複数のバスをゲートウェイ装置16に接続してもよい。この場合、一つのバスに、一つのECU18又は複数のECU18が接続される。
サーバ装置30は、通信路104を介して端末装置50と通信を行う。通信路104は、無線通信路であってもよく、又は、有線通信路であってもよく、又は、無線通信路と有線通信路とから構成されてもよい。例えば、サーバ装置30と端末装置50とを通信ケーブルで接続してもよい。又は、サーバ装置30と端末装置50とは、有線又は無線の通信ネットワークを介して通信を行うように構成してもよい。例えば、サーバ装置30と端末装置50とを、有線又は無線のLANで接続してもよい。
端末装置50は、通信路106を介して自動車10の車載装置70と通信を行う。通信路106は、無線通信路であってもよく、又は、有線通信路であってもよく、又は、無線通信路と有線通信路とから構成されてもよい。例えば、端末装置50と車載装置70とは、有線又は無線の通信ネットワークを介して通信を行うように構成してもよい。例えば、端末装置50と車載装置70とを、有線又は無線のLANで接続してもよい。例えば、端末装置50と車載装置70とは、近距離無線通信により通信を行うように構成してもよい。例えば、端末装置50を自動車10の診断ポートに接続し、端末装置50と車載装置70とは該診断ポートを介して通信を行うように構成してもよい。自動車10の診断ポートとして、例えばOBD(On-board Diagnostics)ポートを使用してもよい。
図2は、本実施形態に係るサーバ装置30の概略構成図である。図2において、サーバ装置30は、サーバ通信部31と、サーバ鍵格納部32と、サーバ鍵生成部33と、サーバ認証処理部34と、サーバ暗号処理部35と、サーバ記録部36と、サーバ制御部37と、作業者情報格納部40とを備える。サーバ通信部31は、通信路104を介して、端末装置50と通信を行う。サーバ鍵格納部32は鍵を格納する。サーバ鍵生成部33は鍵を生成する。サーバ認証処理部34は自動車10の作業者の認証を行う。サーバ暗号処理部35は、データの暗号化及び暗号化データの復号を行う。サーバ記録部36はログの記録及びログの格納を行う。サーバ制御部37はサーバ装置30の制御を行う。
作業者情報格納部40は作業者情報を格納する。作業者情報は、自動車10の保守の作業を行う者として予め登録された作業者の情報である。作業者情報は、作業者の氏名等の作業者を特定する作業者特定情報と、作業者特定情報に関連付けられた作業者認証情報とを含む情報である。作業者認証情報は作業者を認証するための情報である。作業者認証情報は、例えば、作業者識別情報(ID)とパスワード(PWD)の組である。又は、作業者認証情報は、作業者の指紋等の生体情報であってもよい。
サーバ認証処理部34は、端末装置50から受信した作業者認証情報の認証処理を行う。サーバ認証処理部34は、端末装置50から受信した作業者認証情報と、作業者情報格納部40の作業者情報の作業者認証情報とを比較することにより、端末装置50から受信した作業者認証情報の認証の合否を判断する。例えば、端末装置50から受信した作業者認証情報「IDとPWDの組」が、作業者情報格納部40の作業者情報の作業者認証情報「IDとPWDの組」と一致する場合には当該作業者認証情報の認証が合格であり、そうではない場合には当該作業者認証情報の認証が不合格である。例えば、端末装置50から受信した作業者認証情報「作業者の生体情報例えば指紋情報」が、作業者情報格納部40の作業者情報の作業者認証情報「指紋情報」と同一人物の生体情報であると判断された場合には当該作業者認証情報の認証が合格であり、そうではない場合には当該作業者認証情報の認証が不合格である。
なお、作業者情報格納部40は、サーバ装置30の外部の記憶装置に設けられてもよい。この場合、サーバ装置30は、通信により該外部の記憶装置にアクセスして作業者情報格納部40の作業者情報を取得する。
サーバ装置30の機能は、サーバ装置30が備えるCPU(Central Processing Unit:中央演算処理装置)がコンピュータプログラムを実行することにより実現される。なお、サーバ装置30として、汎用のコンピュータ装置を使用して構成してもよく、又は、専用のハードウェア装置として構成してもよい。
サーバ装置30は、セキュアエレメント(Secure Element:SE)を備えてもよい。セキュアエレメントとして、例えば、耐タンパー性(Tamper Resistant)を有する半導体製品が挙げられる。セキュアエレメントとして、例えば、耐タンパー性を有するIC(Integrated Circuit)チップを使用してもよい。セキュアエレメントとして、例えば、SIM(Subscriber Identity Module)又はeSIM(Embedded Subscriber Identity Module)等の通信モジュールを使用してもよい。SIM及びeSIMは耐タンパー性を有する。
サーバ装置30のサーバ鍵格納部32及びサーバ鍵生成部33の機能は、セキュアエレメントのCPUがコンピュータプログラムを実行することにより実現されてもよい。
図3は、本実施形態に係る端末装置50の概略構成図である。図3において、端末装置50は、端末通信部51と、端末鍵格納部52と、端末認証処理部54と、端末記録部56と、端末制御部57とを備える。端末通信部51は、通信路104を介して、サーバ装置30と通信を行う。端末通信部51は、通信路106を介して、自動車10の車載装置70と通信を行う。端末鍵格納部52は鍵を格納する。端末認証処理部54は、自動車10の車載装置70との間で認証処理を行う。端末記録部56はログの記録及びログの格納を行う。端末制御部57は端末装置50の制御を行う。
端末装置50の機能は、端末装置50が備えるCPUがコンピュータプログラムを実行することにより実現される。なお、端末装置50として、汎用のコンピュータ装置を使用して構成してもよく、又は、専用のハードウェア装置として構成してもよい。また、端末装置50として、スマートフォン等の携帯通信端末装置、タブレット型のコンピュータ装置(タブレットPC)、据置き型のパーソナルコンピュータ装置などを利用してもよい。
図4は、本実施形態に係る車載装置70の概略構成図である。図4において、車載装置70は、車両通信部71と、車両鍵格納部72と、車両鍵生成部73と、車両認証処理部74と、車両暗号処理部75と、車両記録部76と、車両制御部77とを備える。車両通信部71は、通信路106を介して、端末装置50と通信を行う。車両鍵格納部72は鍵を格納する。車両鍵生成部73は鍵を生成する。車両認証処理部74は、端末装置50との間で認証処理を行う。車両暗号処理部75は、データの暗号化及び暗号化データの復号を行う。車両記録部76はログの記録及びログの格納を行う。車両制御部77は車載装置70の制御を行う。
車載装置70の機能は、車載装置70が備えるCPUがコンピュータプログラムを実行することにより実現される。なお、車載装置70として、汎用のコンピュータ装置を使用して構成してもよく、又は、専用のハードウェア装置として構成してもよい。
車載装置70は、セキュアエレメントを備えてもよい。セキュアエレメントとして、例えば、耐タンパー性を有する半導体製品が挙げられる。セキュアエレメントとして、例えば、耐タンパー性を有するICチップを使用してもよい。セキュアエレメントとして、例えば、SIM又はeSIM等の通信モジュールを使用してもよい。SIM及びeSIMは耐タンパー性を有する。セキュアエレメントとして、例えば、HSM(Hardware Security Module)等の暗号処理チップを使用してもよい。HSMは耐タンパー性を有する。
車載装置70の車両鍵格納部72及び車両鍵生成部73の機能は、セキュアエレメントのCPUがコンピュータプログラムを実行することにより実現されてもよい。
また、車載装置70は、自動車10に搭載されたコンピュータ装置を利用して実現されてもよい。例えば、自動車10に搭載されたインフォテイメント(Infotainment)機器を利用して車載装置70を実現してもよい。インフォテイメント機器として、例えば、ナビゲーション機能、位置情報サービス機能、音楽や動画などのマルチメディア再生機能、音声通信機能、データ通信機能、インターネット接続機能などを有するものが挙げられる。インフォテイメント機器は、一般に、車載インフォテイメント(In-Vehicle Infotainment:IVI)システムと称されたりする。車載装置70の機能は、インフォテイメント機器が備えるCPUが、車載装置70の機能を実現させるためのコンピュータプログラムを実行することにより実現されてもよい。インフォテイメント機器は、耐タンパー性を有するICチップ等のセキュアエレメントを備えてもよい。
また、車載装置70は、自動車10に搭載されたTCU(Tele Communication Unit)を利用して実現されてもよい。TCUは通信装置である。TCUは、無線通信ネットワークを利用するための情報が書き込まれたSIM又はeSIMを備える。TCUは、当該SIM又はeSIMを使用することにより当該無線通信ネットワークに接続して無線通信を行うことができる。車載装置70の機能は、TCUが備えるCPUが、車載装置70の機能を実現させるためのコンピュータプログラムを実行することにより実現されてもよい。TCUのSIM又はeSIMはセキュアエレメントである。
また、車載装置70は、自動車10に搭載されたゲートウェイ装置16を利用して実現されてもよい。車載装置70の機能は、ゲートウェイ装置16が備えるCPUが、車載装置70の機能を実現させるためのコンピュータプログラムを実行することにより実現されてもよい。ゲートウェイ装置16は、HSM等のセキュアエレメントを備えてもよい。
次に図5から図9を参照して本実施形態に係る保守方法の例を順次説明する。本実施形態に係る保守方法は、作業者が自動車10の保守作業を行う際に実行される。自動車10の保守作業は、自動車製造会社での自動車10の生産時、又は、自動車整備工場や自動車販売店、自動車10の保管場所等での自動車10の保守時に実施される。自動車10の保守作業には様々な項目が存在する。自動車10の保守作業として、例えば、自動車10の各種の診断、ECU18のプログラムや設定データのインストール及び更新、ECU18の初期化などが挙げられる。
なお、以下の保守方法の例の説明では、本実施形態に係る作業者の認証方法の一例として、作業者識別情報IDとパスワードPWDの組を使用するID・パスワード認証方法を挙げる。当該ID・パスワード認証方法では、作業者識別情報IDとパスワードPWDの組が作業者認証情報である。正当な作業者の作業者識別情報ID及びパスワードPWDの組は、予め、作業者情報格納部40に登録される。また、作業者が保守作業を行う対象の自動車10を限定する保守対象車限定情報を、当該作業者の作業者識別情報ID及びパスワードPWDの組に関連付けて作業者情報格納部40に格納してもよい。保守対象車限定情報は、例えば、保守作業を行う対象の自動車10の車両識別番号(Vehicle Identification Number:VIN)である。車両識別番号(VIN)については、例えば非特許文献2に記載されている。
[保守方法の例1]
図5を参照して本実施形態に係る保守方法の例1を説明する。図5は、本実施形態に係る保守方法の例1を示すシーケンスチャートである。
サーバ装置30は、マスタ鍵Master_Secretを予めサーバ鍵格納部32に格納する。車載装置70は、マスタ鍵Master_Secretを予め車両鍵格納部72に格納する。サーバ装置30がサーバ鍵格納部32に格納するマスタ鍵Master_Secretと、車載装置70が車両鍵格納部72に格納するマスタ鍵Master_Secretとは、同じである。
(ステップS11)作業者は、端末装置50により、サーバ装置30にログインするための作業者識別情報IDとパスワードPWDとを入力する。また、作業者は、端末装置50により、保守作業を行う対象の自動車10の車両識別番号VINを入力する。端末装置50の端末通信部51は、作業者から端末装置50に入力された作業者識別情報ID及びパスワードPWDの組と車両識別番号VINとを含むログイン要求メッセージを、サーバ装置30に送信する。車両識別番号は車両対応識別子に対応する。
サーバ装置30のサーバ通信部31は、端末装置50からログイン要求メッセージを受信する。サーバ認証処理部34は、サーバ通信部31により端末装置50から受信したログイン要求メッセージに対して認証を行う。サーバ認証処理部34は、ログイン要求メッセージの作業者識別情報ID及びパスワードPWDの組と、作業者情報格納部40の作業者識別情報ID及びパスワードPWDの組とを比較する。この結果、ログイン要求メッセージの作業者識別情報ID及びパスワードPWDの組が、作業者情報格納部40の作業者識別情報ID及びパスワードPWDの組と一致する場合には当該ログイン要求メッセージ(作業者認証情報)の認証が合格であり、そうではない場合には当該ログイン要求メッセージ(作業者認証情報)の認証が不合格である。
なお、作業者情報格納部40の作業者識別情報ID及びパスワードPWDの組に対して保守対象車限定情報の車両識別番号VINが関連付けられている場合には、ログイン要求メッセージの車両識別番号VINが保守対象車限定情報の車両識別番号VINに一致するか否かをさらに判断する。この結果、ログイン要求メッセージの車両識別番号VINが保守対象車限定情報の車両識別番号VINに一致する場合には最終的に当該ログイン要求メッセージ(作業者認証情報)の認証が合格であり、そうではない場合には当該ログイン要求メッセージ(作業者認証情報)の認証が不合格である。
ログイン要求メッセージに対する認証が合格である場合には以降の処理に進む。一方、ログイン要求メッセージに対する認証が不合格である場合には、図5の処理を終了する。ログイン要求メッセージに対する認証が不合格である場合には、端末装置50からサーバ装置30へのログインは失敗である。ログイン要求メッセージに対する認証が不合格である場合には、サーバ装置30は所定のエラー処理を実行してもよい。
(ステップS12)サーバ鍵生成部33は、サーバ鍵格納部32のマスタ鍵Master_Secretと、認証が合格したログイン要求メッセージの車両識別番号VINと、期間情報とを使用して、MAC鍵Kaを生成する。MAC鍵Kaの生成方法は、次式に示される。MAC鍵Kaは第1鍵に対応する。
MAC鍵Ka=ダイジェスト(Master_Secret、VIN、期間情報)
但し、Master_Secretはマスタ鍵である。VINは車両識別番号である。期間情報は、作業者認証情報の認証時を基準にした所定期間を示す情報である。作業者認証情報の認証時は、サーバ通信部31が端末装置50から作業者認証情報を受信した時であってもよく、又は、サーバ認証処理部34が作業者認証情報の認証処理を行った時であってもよい。本実施形態の一例として、作業者認証情報は作業者識別情報ID及びパスワードPWDの組であり、ログイン要求メッセージは作業者認証情報を含むメッセージである。
期間情報の例を以下に示す。作業者認証情報の認証時を、説明の便宜上、ログイン時と称する。これにより、期間情報は、ログイン時を基準にした所定期間を示す情報である。
(期間情報の例1)
ログイン時が「2017年6月12日 午前10時15分20秒」である場合、期間情報は「2017年6月12日」である。期間情報の例1では、ログイン時の日時情報のうち年月日の情報のみを、期間情報に使用する。したがって、期間情報の例1では、ログイン時の日時情報のうち時刻(時分秒)の情報は省略されて、期間情報が生成される。期間情報の例1によれば、期間情報はログイン時の日を示す情報となる。
(期間情報の例2)
ログイン時が「2017年6月12日 午前10時15分20秒」である場合、期間情報は「2017年6月」である。期間情報の例2では、ログイン時の日時情報のうち年月の情報のみを、期間情報に使用する。したがって、期間情報の例2では、ログイン時の日時情報のうち日及び時刻(時分秒)の情報は省略されて、期間情報が生成される。期間情報の例2によれば、期間情報はログイン時の月を示す情報となる。
上述の期間情報の例1及び例2の変形例として、ログイン時の日時情報のうち年の情報のみを期間情報に使用してもよく(つまり、月日及び時刻(時分秒)の情報は省略される)、又は、ログイン時の日時情報のうち年月日及び時の情報のみを期間情報に使用してもよい(つまり、時刻のうち分秒の情報は省略される)。
以上が期間情報の例の説明である。
MAC鍵Kaは、マスタ鍵Master_Secretと車両識別番号VINと期間情報とを使用して生成されるダイジェストである。ダイジェストとして、例えば、ハッシュ(hash)関数により算出される値、又は、排他的論理和演算により算出される値などが挙げられる。例えば、MAC鍵Kaは、マスタ鍵Master_Secretと車両識別番号VINと期間情報とを入力値に使用して算出されるハッシュ関数値である。ダイジェストとして、CMAC(Cipher-based Message Authentication Code)を使用してもよい。例えば、MAC鍵Kaは、CMAC(Master_Secret;VIN、期間情報)である。但し、CMAC(A;B)において、鍵AはCMACの生成に使用される鍵であり、データBはCMACの生成対象のデータである。これにより、MAC鍵Kaは、マスタ鍵Master_Secretを使用して生成される「車両識別番号VINと期間情報との連結データ、のCMAC」である。
以上がMAC鍵Kaの生成方法の説明である。
説明を図5に戻す。
サーバ通信部31は、認証が合格したログイン要求メッセージの送信元の端末装置50に、サーバ鍵生成部33が生成したMAC鍵Kaを返信する。MAC鍵Kaが返信された端末装置50からサーバ装置30へのログインは成功である。
端末装置50の端末通信部51は、サーバ装置30からMAC鍵Kaを受信する。端末鍵格納部52は、端末通信部51によりサーバ装置30から受信したMAC鍵Kaを格納する。
なお、サーバ記録部36は、随時、端末装置50から受信したログイン要求メッセージ及び当該ログイン要求メッセージの認証等についてのログを記録する。当該ログには、ログイン要求メッセージ、当該ログイン要求メッセージの受信日時、当該ログイン要求メッセージの認証結果(合格又は不合格)及びMAC鍵Kaの送信日時などの情報が含まれる。
(ステップS13)端末装置50の端末認証処理部54は、端末通信部51により、チャレンジ(乱数t)を自動車10の車載装置70に送信する。端末認証処理部54は、乱数tを発生し、該乱数tをチャレンジに使用する。端末認証処理部54は、チャレンジ(乱数t)を保持しておく。
自動車10の車載装置70において、車両通信部71は、端末装置50からチャレンジ(乱数t)を受信する。チャレンジ(乱数t)は認証要求メッセージに対応する。
(ステップS14)車両鍵生成部73は、車両通信部71が端末装置50からチャレンジ(乱数t)を受信すると、MAC鍵Kaを生成する。
車両鍵生成部73のMAC鍵Kaの生成方法は、上記したステップS12のサーバ鍵生成部33と同じ方法の次式で示される。
MAC鍵Ka=ダイジェスト(Master_Secret、VIN、期間情報)
但し、マスタ鍵Master_Secretは、端末鍵格納部52に格納されているマスタ鍵Master_Secretである。端末鍵格納部52に格納されているマスタ鍵Master_Secretは、サーバ装置30のサーバ鍵格納部32に格納されているマスタ鍵Master_Secretと同じである。車両識別番号VINは、車両鍵生成部73の車載装置70が搭載されている自動車10の車両識別番号VINである。期間情報は、車載装置70が端末装置50から認証要求メッセージを受信した時(認証要求メッセージ受信時)を基準にした所定期間を示す情報である。この期間情報は、上記したサーバ鍵生成部33のMAC鍵Kaの生成に使用される期間情報と同様であるが、ログイン時を認証要求メッセージ受信時に変更して生成される。
例えば、上記の期間情報の例1において、認証要求メッセージ受信時が「2017年6月12日 午後4時20分40秒」である場合、車両鍵生成部73のMAC鍵Kaの生成に使用される期間情報は「2017年6月12日」である。ここで、端末装置50からサーバ装置30へのログイン時が「2017年6月12日 午前10時15分20秒」であった場合、サーバ鍵生成部33のMAC鍵Kaの生成に使用される期間情報と車両鍵生成部73のMAC鍵Kaの生成に使用される期間情報とは、同じ「2017年6月12日」となる。これにより、作業者が端末装置50によりサーバ装置30にログインする時刻と、端末装置50から自動車10の車載装置70に認証要求メッセージを送信する時刻とにずれがあったとしても、同日であれば、MAC鍵Kaの生成に使用される期間情報はサーバ装置30と車載装置70とで同じになるので、サーバ装置30と車載装置70とで同じMAC鍵Kaが生成される。これにより、上記のステップS12でサーバ装置30から端末装置50に送信されて当該端末装置50の端末鍵格納部52に格納されたMAC鍵Kaと、当該端末装置50から認証要求メッセージ(チャレンジ(乱数t))を受信した車載装置70で生成されるMAC鍵Kaとは同じになる。
例えば、上記の期間情報の例2において、認証要求メッセージ受信時が「2017年6月25日 午後4時20分40秒」である場合、車両鍵生成部73のMAC鍵Kaの生成に使用される期間情報は「2017年6月」である。ここで、端末装置50からサーバ装置30へのログイン時が「2017年6月12日 午前10時15分20秒」であった場合、サーバ鍵生成部33のMAC鍵Kaの生成に使用される期間情報と車両鍵生成部73のMAC鍵Kaの生成に使用される期間情報とは、同じ「2017年6月」となる。これにより、作業者が端末装置50によりサーバ装置30にログインする日時と、端末装置50から自動車10の車載装置70に認証要求メッセージを送信する日時とにずれがあったとしても、同月であれば、MAC鍵Kaの生成に使用される期間情報はサーバ装置30と車載装置70とで同じになるので、サーバ装置30と車載装置70とで同じMAC鍵Kaが生成される。これにより、上記のステップS12でサーバ装置30から端末装置50に送信されて当該端末装置50の端末鍵格納部52に格納されたMAC鍵Kaと、当該端末装置50から認証要求メッセージ(チャレンジ(乱数t))を受信した車載装置70で生成されるMAC鍵Kaとは同じになる。
なお、作業者が端末装置50によりサーバ装置30にログインする時と、端末装置50から自動車10の車載装置70に認証要求メッセージを送信する時とのずれが期間情報の許容範囲を超えた場合には、MAC鍵Kaの生成に使用される期間情報はサーバ装置30と車載装置70とで異なるので、サーバ装置30と車載装置70とで異なるMAC鍵Kaが生成される。例えば、上記の期間情報の例1において、端末装置50からサーバ装置30へのログイン時が「2017年6月12日 午前10時15分20秒」であり、且つ、認証要求メッセージ受信時が「2017年6月13日 午前0時5分10秒」である場合、サーバ鍵生成部33のMAC鍵Kaの生成に使用される期間情報は「2017年6月12日」である一方、車両鍵生成部73のMAC鍵Kaの生成に使用される期間情報は「2017年6月13日」であり、サーバ鍵生成部33のMAC鍵Kaの生成に使用される期間情報と車両鍵生成部73のMAC鍵Kaの生成に使用される期間情報とは異なるので、サーバ装置30と車載装置70とで異なるMAC鍵Kaが生成される。したがって、上記のステップS12でサーバ装置30から端末装置50に送信されて当該端末装置50の端末鍵格納部52に格納されたMAC鍵Kaと、当該端末装置50から認証要求メッセージ(チャレンジ(乱数t))を受信した車載装置70で生成されるMAC鍵Kaとは異なる。この場合、後述する、車載装置70のMAC鍵Kaを使用してチャレンジ(乱数t)から生成されたレスポンスKa(乱数t)に対するサーバ装置30のMAC鍵Kaを使用した検証、が不合格になる。
なお、作業者が端末装置50によりサーバ装置30にログインする時と、端末装置50から自動車10の車載装置70に認証要求メッセージを送信する時とのずれが期間情報の許容範囲を超えた場合には、作業者が再度、端末装置50からサーバ装置30にログインし直すことにより、サーバ装置30の期間情報と車載装置70の期間情報とを一致させることができる。
車両鍵格納部72は、車両鍵生成部73が生成したMAC鍵Kaを格納する。車両認証処理部74は、車両鍵格納部72のMAC鍵Kaと、車両通信部71により端末装置50から受信したチャレンジ(乱数t)とを使用して、レスポンスKa(乱数t)を生成する。レスポンス生成・検証方法は、予め、車両認証処理部74に設定される。レスポンスKa(乱数t)は、本実施形態に係る一例として、MAC鍵Kaで乱数tを暗号化した暗号化データである。
なお、レスポンスKa(乱数t)は、本実施形態に係る一例として、CMAC(Ka;乱数t)であってもよい。CMAC(Ka;乱数t)は、MAC鍵Kaを使用して生成される「乱数tのCMAC」である。
車両認証処理部74は、車両通信部71により、レスポンスKa(乱数t)とチャレンジ(乱数v)とを、チャレンジ(乱数t)の送信元の端末装置50に返信する。車両認証処理部74は、乱数vを発生し、該乱数vをチャレンジに使用する。車両認証処理部74は、チャレンジ(乱数v)を保持しておく。
端末装置50の端末通信部51は、自動車10の車載装置70からレスポンスKa(乱数t)とチャレンジ(乱数v)とを受信する。
(ステップS15)端末認証処理部54は、端末通信部51により車載装置70から受信したレスポンスKa(乱数t)の検証を行う。レスポンス生成・検証方法として、車載装置70の車両認証処理部74におけるレスポンス生成・検証方法と同じ方法が、予め、端末認証処理部54に設定される。レスポンスKa(乱数t)の検証において、端末認証処理部54は、上記ステップS13で自動車10の車載装置70に送信し保持したチャレンジ(乱数t)と、端末鍵格納部52のMAC鍵Kaと、を使用する。
例えば、レスポンスKa(乱数t)がMAC鍵Kaによる乱数tの暗号化データである場合、端末認証処理部54は、MAC鍵Kaを使用して、チャレンジ(乱数t)を暗号化し、該暗号化により生成した暗号化データとレスポンスKa(乱数t)とを比較する。この比較の結果、両者が一致する場合にはレスポンスKa(乱数t)の検証が合格であり、両者が不一致の場合にはレスポンスKa(乱数t)の検証が不合格である。
なお、レスポンスKa(乱数t)がMAC鍵Kaによる乱数tの暗号化データである場合の他の検証方法として、端末認証処理部54は、MAC鍵Kaを使用して、レスポンスKa(乱数t)を復号し、該復号の結果とチャレンジ(乱数t)とを比較してもよい。この比較の結果、両者が一致する場合にはレスポンスKa(乱数t)の検証が合格であり、両者が不一致の場合にはレスポンスKa(乱数t)の検証が不合格である。
例えば、レスポンスKa(乱数t)がCMAC(Ka;乱数t)である場合、端末認証処理部54は、MAC鍵Kaを使用して、チャレンジ(乱数t)のCMACを生成し、生成したCMACとレスポンスKa(乱数t)とを比較する。この比較の結果、両者が一致する場合にはレスポンスKa(乱数t)の検証が合格であり、両者が不一致の場合にはレスポンスKa(乱数t)の検証が不合格である。
レスポンスKa(乱数t)の検証が合格である場合には、以降の処理に進む。一方、レスポンスKa(乱数t)の検証が不合格である場合には、図5の処理を終了する。レスポンスKa(乱数t)の検証が不合格である場合には、端末装置50は所定のエラー処理を実行してもよい。
端末認証処理部54は、端末鍵格納部52のMAC鍵Kaと、端末通信部51により車載装置70から受信したチャレンジ(乱数v)とを使用して、レスポンスKa(乱数v)を生成する。端末認証処理部54は、端末通信部51により、レスポンスKa(乱数v)を、チャレンジ(乱数v)の送信元の自動車10の車載装置70に返信する。
自動車10の車載装置70の車両通信部71は、端末装置50からレスポンスKa(乱数v)を受信する。車両認証処理部74は、端末装置50から受信したレスポンスKa(乱数v)の検証を行う。レスポンスKa(乱数v)の検証において、車両認証処理部74は、上記ステップS14で端末装置50に送信し保持したチャレンジ(乱数v)と、車両鍵格納部72のMAC鍵Kaと、を使用する。レスポンスKa(乱数v)の検証方法は、上記した端末認証処理部54によるレスポンスKa(乱数t)の検証方法と同様である。
レスポンスKa(乱数v)の検証が合格である場合には、以降の処理に進む。一方、レスポンスKa(乱数v)の検証が不合格である場合には、図5の処理を終了する。レスポンスKa(乱数v)の検証が不合格である場合には、車載装置70は所定のエラー処理を実行してもよい。
なお、端末記録部56は、随時、自端末装置50と車載装置70との間の認証についてのログを記録する。また、車両記録部76は、随時、自車載装置70と端末装置50との間の認証についてのログを記録する。
(ステップS16)端末装置50の端末制御部57は、保守コマンドを自動車10の車載装置70に送信する。保守コマンドは、自動車10の保守の制御情報(保守制御情報)である。端末制御部57は、作業者の操作により保守コマンドを自動車10の車載装置70に送信してもよく、又は、予め設定された保守作業手順に従って保守コマンドを自動車10の車載装置70に送信してもよい。自動車10の車載装置70の車両通信部71は、端末装置50から保守コマンドを受信する。
(ステップS17)車両制御部77は、車両通信部71により端末装置50から受信した保守コマンドを、該保守コマンドを実行する自動車10の車載装置に転送する。保守コマンドを実行する自動車10の車載装置として、例えば、ゲートウェイ装置16と、ECU18とが挙げられる。なお、端末装置50から保守コマンドを受信した車載装置70自身が、当該保守コマンドを実行してもよい。
車両制御部77は、保守コマンド転送先の車載装置から保守コマンドの実行結果を受信する。車両制御部77は、車両通信部71により、保守コマンドの実行結果を含む保守レスポンスを端末装置50に返信する。
なお、車両記録部76は、随時、保守コマンド及び保守レスポンスについてのログを記録する。また、端末記録部56は、随時、作業員の保守作業の操作、保守コマンド及び保守レスポンスについてのログを記録する。
上述した保守方法の例1によれば、サーバ装置30は、端末装置50から受信した作業者認証情報の認証を行い、当該作業者認証情報の認証が合格した端末装置50に対して、マスタ鍵と当該作業者認証情報に関連付けられた車両識別番号VINとを使用して生成したMAC鍵Kaを送信する。端末装置50は、サーバ装置30から受信したMAC鍵Kaを使用して、自動車10の車載装置70との間で認証処理を行う。自動車10の車載装置70は、マスタ鍵と当該自動車10の車両識別番号VINとを使用して生成したMAC鍵Kaを使用して、端末装置50との間で認証処理を行う。これにより、サーバ装置30が作業者認証情報の認証により本人確認を行った正当な作業者が操作する端末装置50であることを、保守作業の対象の自動車10の車載装置70により認証することができる。このことは、自動車10の保守の作業を行う際の安全性の向上を図る効果を奏する。例えば、端末装置50の紛失や盗難等により当該端末装置50が正当ではない者によって操作されたとしても、当該端末装置50からサーバ装置30へのログインが失敗すれば、端末装置50は正しいMAC鍵Kaを取得できない。これにより、当該端末装置50から自動車10の車載装置70にアクセスしても、当該端末装置50と車載装置70との間の認証が不合格になるので、当該端末装置50を使用して自動車10の保守作業を行うことはできない。
また、保守方法の例1によれば、MAC鍵Kaの生成に期間情報が使用されるので、たとえ一旦は正しいMAC鍵Kaが端末装置50に保持されたとしても、当該期間情報の許容範囲を過ぎれば、当該MAC鍵Kaを使用しても当該端末装置50と車載装置70との間の認証が不合格になるので、当該端末装置50を使用して自動車10の保守作業を行うことはできない。なお、端末装置50が保持したMAC鍵Kaの期間情報の許容範囲が過ぎても、正当な作業者であれば、再度、端末装置50によりサーバ装置30にログインし直すことにより、正しいMAC鍵Kaをサーバ装置30から当該端末装置50に取得することができるので、当該端末装置50を使用して自動車10の保守作業を行うことができる。
なお、MAC鍵Kaの生成に期間情報が使用されなくてもよい。又は、MAC鍵Kaの生成に使用される期間情報は、サーバ装置30と車載装置70とで同じ固定値であってもよい。MAC鍵Kaの生成に期間情報が使用されない、又は、サーバ装置30と車載装置70とで同じ固定値の期間情報がMAC鍵Kaの生成に使用される場合には、当該MAC鍵Kaは任意の時期に使用することができる鍵となる。
[保守方法の例2]
図6を参照して本実施形態に係る保守方法の例2を説明する。図6は、本実施形態に係る保守方法の例2を示すシーケンスチャートである。図6において、図5の各ステップに対応する部分には同一の符号を付している。保守方法の例1と同様に、サーバ装置30のサーバ鍵格納部32と、車載装置70の車両鍵格納部72とは、同じマスタ鍵Master_Secretを予め格納する。以下、保守方法の例1と異なる点を主に説明する。
ステップS11は保守方法の例1と同じである。ログイン要求メッセージに対する認証が合格である場合、ステップS12aが実行される。
(ステップS12a)サーバ鍵生成部33は、サーバ鍵格納部32のマスタ鍵Master_Secretと、認証が合格したログイン要求メッセージの車両識別番号VINと、期間情報と、鍵種別情報Key_ID(Nk)とを使用して、MAC鍵Kaと暗号鍵Kcとを生成する。Nkは鍵の種別を表す変数である。MAC鍵Ka及び暗号鍵Kcの生成方法は、次式に示される。MAC鍵Kaは第1鍵に対応する。暗号鍵Kcは第2鍵に対応する。
MAC鍵Ka=ダイジェスト(Master_Secret、VIN、期間情報、Key_ID(mac))
暗号鍵Kc=ダイジェスト(Master_Secret、VIN、期間情報、Key_ID(kc))
但し、マスタ鍵Master_Secret、車両識別番号VIN、期間情報及びダイジェストについては、上記した保守方法の例1のステップS12の説明と同様である。Key_ID(mac)は、MAC鍵を表す鍵種別情報である。Key_ID(kc)は暗号鍵を表す鍵種別情報である。
サーバ暗号処理部35は、暗号鍵Kcで権限情報を暗号化して暗号化権限情報Kc(権限情報)を生成する。当該権限情報は、ステップS11で認証が合格したログイン要求メッセージの作業者認証情報の作業者に与えられた自動車10の保守の権限を示す情報である。権限情報は、作業者情報に含めて作業者情報格納部40に予め格納される。なお、自動車10の保守の権限の例として、一般の保守項目のみの作業を行うことができる一般権限と、自動車10の安全性に特にかかわるセキュリティ項目の作業を行うことができる特殊権限とが挙げられる。
サーバ通信部31は、認証が合格したログイン要求メッセージの送信元の端末装置50に、サーバ鍵生成部33が生成したMAC鍵Kaと、サーバ暗号処理部35が生成した暗号化権限情報Kc(権限情報)とを返信する。MAC鍵Ka及び暗号化権限情報Kc(権限情報)が返信された端末装置50からサーバ装置30へのログインは成功である。
端末装置50の端末通信部51は、サーバ装置30からMAC鍵Ka及び暗号化権限情報Kc(権限情報)を受信する。端末鍵格納部52は、端末通信部51によりサーバ装置30から受信したMAC鍵Kaを格納する。端末認証処理部54は、端末通信部51によりサーバ装置30から受信した暗号化権限情報Kc(権限情報)を保持する。
なお、サーバ記録部36は、随時、端末装置50から受信したログイン要求メッセージ及び当該ログイン要求メッセージの認証等についてのログを記録する。当該ログには、ログイン要求メッセージ、当該ログイン要求メッセージの受信日時、当該ログイン要求メッセージの認証結果(合格又は不合格)、並びに、MAC鍵Ka及び暗号化権限情報Kc(権限情報)の送信日時などの情報が含まれる。
ステップS13及びステップS14は保守方法の例1と同じである。但し、車載装置70の車両鍵生成部73はMAC鍵Ka及び暗号鍵Kcを生成する。車両鍵生成部73によるMAC鍵Ka及び暗号鍵Kcの生成方法は、上記したステップS12aのサーバ鍵生成部33と同じ方法の次式で示される。
MAC鍵Ka=ダイジェスト(Master_Secret、VIN、期間情報、Key_ID(mac))
暗号鍵Kc=ダイジェスト(Master_Secret、VIN、期間情報、Key_ID(kc))
但し、マスタ鍵Master_Secret、車両識別番号VIN、期間情報及びダイジェストについては、上記した保守方法の例1のステップS14の説明と同様である。Key_ID(mac)は、MAC鍵を表す鍵種別情報である。Key_ID(kc)は暗号鍵を表す鍵種別情報である。
車両鍵格納部72は、車両鍵生成部73が生成したMAC鍵Ka及び暗号鍵Kcを格納する。
(ステップS15a)端末認証処理部54は、端末通信部51により車載装置70から受信したレスポンスKa(乱数t)の検証を行う。レスポンスKa(乱数t)の検証は、保守方法の例1のステップS15と同じである。
レスポンスKa(乱数t)の検証が合格である場合には、以降の処理に進む。一方、レスポンスKa(乱数t)の検証が不合格である場合には、図6の処理を終了する。レスポンスKa(乱数t)の検証が不合格である場合には、端末装置50は所定のエラー処理を実行してもよい。
端末認証処理部54は、端末鍵格納部52のMAC鍵Kaと、端末通信部51により車載装置70から受信したチャレンジ(乱数v)とを使用して、レスポンスKa(乱数v)を生成する。端末認証処理部54は、端末通信部51により、レスポンスKa(乱数v)と暗号化権限情報Kc(権限情報)とを、チャレンジ(乱数v)の送信元の自動車10の車載装置70に返信する。
自動車10の車載装置70の車両通信部71は、端末装置50からレスポンスKa(乱数v)及び暗号化権限情報Kc(権限情報)を受信する。車両認証処理部74は、端末装置50から受信したレスポンスKa(乱数v)の検証を行う。レスポンスKa(乱数v)の検証において、車両認証処理部74は、上記ステップS14で端末装置50に送信し保持したチャレンジ(乱数v)と、車両鍵格納部72のMAC鍵Kaと、を使用する。レスポンスKa(乱数v)の検証方法は、端末認証処理部54によるレスポンスKa(乱数t)の検証方法と同様である。
レスポンスKa(乱数v)の検証が合格である場合には、以降の処理に進む。一方、レスポンスKa(乱数v)の検証が不合格である場合には、図6の処理を終了する。レスポンスKa(乱数v)の検証が不合格である場合には、車載装置70は所定のエラー処理を実行してもよい。
車両暗号処理部75は、車両鍵格納部72の暗号鍵Kcで暗号化権限情報Kc(権限情報)を復号する。この復号により権限情報が取得される。車両制御部77は、当該権限情報を保持する。
なお、端末記録部56は、随時、自端末装置50と車載装置70との間の認証についてのログを記録する。また、車両記録部76は、随時、自車載装置70と端末装置50との間の認証についてのログを記録する。
ステップS16及びステップS17は保守方法の例1と同じである。但し、端末装置50から自動車10の車載装置70に送信される保守コマンドは、当該端末装置50の作業者に与えられた自動車10の保守の権限の範囲内の保守コマンドである。当該端末装置50の作業者に与えられた自動車10の保守の権限は、上記したステップS15aで自動車10の車載装置70が暗号化権限情報Kc(権限情報)の復号により取得した権限情報で示される権限である。車両制御部77は、端末装置50から受信した保守コマンドが当該権限情報の権限の範囲内の保守コマンドである場合には当該保守コマンドが実行されるように制御するが、そうではない場合には当該保守コマンドが実行されないように制御する。
なお、車両記録部76は、随時、保守コマンド及び保守レスポンスについてのログを記録する。また、端末記録部56は、随時、作業員の保守作業の操作、保守コマンド及び保守レスポンスについてのログを記録する。
上述した保守方法の例2によれば、上述した保守方法の例1と同様の効果が得られる。さらに、保守方法の例2によれば、自動車10の保守の権限を示す権限情報が暗号鍵Kcにより暗号化されてサーバ装置30から自動車10の車載装置70に安全に供給される。これにより、作業者に与えられた権限の範囲内の保守コマンドは自動車10で実行されるが、当該作業者に与えられた権限の範囲外の保守コマンドが自動車10で実行されることを防ぐ効果が得られる。
[保守方法の例3]
図7を参照して本実施形態に係る保守方法の例3を説明する。図7は、本実施形態に係る保守方法の例3を示すシーケンスチャートである。図7において、図6の各ステップに対応する部分には同一の符号を付している。保守方法の例2と同様に、サーバ装置30のサーバ鍵格納部32と、車載装置70の車両鍵格納部72とは、同じマスタ鍵Master_Secretを予め格納する。以下、保守方法の例2と異なる点を主に説明する。
ステップS11からステップS17までは、保守方法の例2と同じである。ステップS16の端末装置50の保守コマンド送信とステップS17の車載装置70の保守レスポンス返信とは、繰り返し実行されてもよい。また、サーバ鍵格納部32は暗号鍵Kcを格納する。
(ステップS21)自動車10の車載装置70の車両暗号処理部75は、自己の自動車10の車両識別番号VINと車両記録部76のログとを車両鍵格納部72の暗号鍵Kcで暗号化して報告データKc(VIN、ログ)を生成する。車両通信部71は、報告データKc(VIN、ログ)を端末装置50に送信する。
なお、報告データKc(VIN、ログ)が生成されて自動車10から端末装置50に送信されるタイミングの一例として、車両制御部77が保守作業の終了を判断し、保守作業の終了である場合に、車両制御部77が、報告データの生成を車両暗号処理部75に、報告データの送信を車両通信部71に、それぞれ指示してもよい。報告データKc(VIN、ログ)が生成されて自動車10から端末装置50に送信されるタイミングの他の例として、端末装置50の保守コマンド送信と車載装置70の保守レスポンス返信の組の所定回数の実行毎に、報告データKc(VIN、ログ)が生成されて端末装置50に送信されてもよい。
(ステップS22)端末装置50の端末通信部51は、自動車10から受信した報告データKc(VIN、ログ)をサーバ装置30に送信する。サーバ装置30のサーバ暗号処理部35は、サーバ通信部31により端末装置50から受信した報告データKc(VIN、ログ)を、サーバ鍵格納部32の暗号鍵Kcで復号する。この復号の結果、車両識別番号VINと当該車両識別番号VINの自動車10のログとが取得される。サーバ記録部36は、報告データKc(VIN、ログ)から取得された車両識別番号VINと当該車両識別番号VINの自動車10のログとを関連付けて格納する。
なお、端末装置50が自動車10から報告データKc(VIN、ログ)を受信しても、端末装置50からサーバ装置30に送信するタイミングが直ぐに得られない場合には、端末装置50は、報告データKc(VIN、ログ)を保持しておき、サーバ装置30に送信するタイミングが得られたら当該保持する報告データKc(VIN、ログ)をサーバ装置30に送信する。例えば、サーバ装置30への次のログインのタイミングで、端末装置50が保持する報告データKc(VIN、ログ)をサーバ装置30に送信してもよい。
上述した保守方法の例3によれば、上述した保守方法の例1及び例2と同様の効果が得られる。さらに、保守方法の例3によれば、サーバ装置30が自動車10の保守に関するログを保管することができる。
[保守方法の例4]
図8を参照して本実施形態に係る保守方法の例4を説明する。図8は、本実施形態に係る保守方法の例4を示すシーケンスチャートである。図8において、図7の各ステップに対応する部分には同一の符号を付している。保守方法の例3と同様に、サーバ装置30のサーバ鍵格納部32と、車載装置70の車両鍵格納部72とは、同じマスタ鍵Master_Secretを予め格納する。以下、保守方法の例3と異なる点を主に説明する。
(ステップS10a)端末装置50の端末通信部51とサーバ装置30のサーバ通信部31とは、VPN(Virtual Private Network)回線を確立する。これ以降、端末装置50の端末通信部51とサーバ装置30のサーバ通信部31とは、VPN回線を使用して通信を行う。
ステップS11からステップS17までは、保守方法の例3と同じである。なお、端末装置50の端末通信部51とサーバ装置30のサーバ通信部31との間のVPN回線は、ステップS12aが終了すると、切断されてもよい。
(ステップS10b)端末装置50の端末通信部51は、自動車10の保守作業が終了すると、サーバ装置30のサーバ通信部31との間でVPN回線を確立する。なお、端末装置50の端末通信部51とサーバ装置30のサーバ通信部31との間でステップS10aにより確立されたVPN回線が維持されている場合には、引き続き当該VPN回線が使用されてもよい。
ステップS21及びステップS22は、保守方法の例3と同じである。但し、報告データKc(VIN、ログ)は、端末装置50の端末通信部51とサーバ装置30のサーバ通信部31との間で確立されたVPN回線を介して、端末装置50からサーバ装置30に送信される。
上述した保守方法の例4によれば、上述した保守方法の例1から例3までと同様の効果が得られる。さらに、保守方法の例4によれば、端末装置50とサーバ装置30との間でVPN回線により通信が行われるので、端末装置50とサーバ装置30との間で交換されるMAC鍵Ka等のデータの安全性が向上する効果が得られる。
[変形例1]
上記した保守方法の例1から例4までの変形例1を説明する。変形例1では、同一の作業者認証情報に対してMAC鍵Kaを同時期に発行する自動車10の台数を一定数に制限する発行数制限機能をサーバ装置30に設ける。
同一作業者が端末装置50により同時期に多数の車両識別番号VINをサーバ装置30に送信して、当該多数の車両識別番号VINに対応するMAC鍵Kaを取得することが考えられる。この場合、同一作業者が多数の自動車10に対して端末装置50により保守作業を行うことができるが、必要以上の多数の自動車10の保守作業を同一作業者が行うことは好ましくない場合がある。このため、発行数制限機能をサーバ装置30に設ける。
サーバ装置30の発行数制限機能の一例を説明する。サーバ装置30のサーバ制御部37は、各作業者認証情報について、MAC鍵Kaを発行した対象の車両識別番号VINの個数を一定の期間毎に記録する。サーバ制御部37は、当該記録に基づいて、一の作業者認証情報に対してMAC鍵Kaを同時期に発行した自動車10(車両識別番号VIN)の台数が所定の発行上限値(N台、Nは1以上の整数)に達したか否かを判断する。サーバ制御部37は、当該判断の結果、発行上限値に達した作業者認証情報に対して当該期間の新規のMAC鍵Kaの発行を停止するように制御を行う。発行上限値は、各作業者認証情報に対して、同じ値であってもよく、又は、異なる値であってもよい。各作業者認証情報に対して任意の発行上限値が作業者情報格納部40に格納されてもよい。
また、暗号鍵Kcについても、MAC鍵Kaと同様に、同一の作業者認証情報に対して暗号鍵Kcを同時期に発行する自動車10の台数を一定数に制限してもよい。
[変形例2]
上記した保守方法の例1から例4までの変形例2を説明する。変形例2では、端末装置50が保持するMAC鍵Kaを、自動車10の保守作業の終了により端末装置50から消去する消去機能を端末装置50に設ける。
端末装置50が自動車10の保守作業の終了後もMAC鍵Kaを保持し続けることは、当該端末装置50に対する不正なアクセス等の可能性を考えると好ましくない場合がある。このため、消去機能を端末装置50に設ける。
端末装置50の消去機能の一例を説明する。端末装置50の端末鍵格納部52は、サーバ装置30から受信したMAC鍵Kaを格納する。端末制御部57は、保守作業終了信号により端末鍵格納部52からMAC鍵Kaを消去させる。
保守作業終了信号は、自動車10の保守作業の終了を示す信号である。保守作業終了信号は、例えば、作業者が端末装置50により保守作業の終了を示す操作を行ったことを示す信号であってもよい。保守作業終了信号は、例えば、端末装置50が自動車10の保守アプリケーションの実行を終了したことを示す信号であってもよい。保守作業終了信号は、例えば、端末装置50の起動を終了させることを示す信号であってもよい。
また、サーバ装置30から受信した暗号化権限情報Kc(権限情報)を端末装置50が保持する場合には、端末制御部57は、保守作業終了信号により当該暗号化権限情報Kc(権限情報)を消去してもよい。
なお、端末制御部57は、端末装置50と自動車10の車載装置70との間のチャレンジ及びレスポンスによる認証処理が完了した時に、MAC鍵Ka及び暗号化権限情報Kc(権限情報)を消去してもよい。又は、端末制御部57は、サーバ装置30への次のログインのタイミングで、MAC鍵Ka及び暗号化権限情報Kc(権限情報)を消去してもよい。
[保守方法の例5]
図9を参照して本実施形態に係る保守方法の例5を説明する。図9は、本実施形態に係る保守方法の例5を示すシーケンスチャートである。
サーバ装置30は、サーバ公開鍵証明書Kpと、サーバ秘密鍵Ksとを予めサーバ鍵格納部32に格納する。端末装置50は、サーバ公開鍵証明書Kpを予め端末鍵格納部52に格納する。車載装置70は、サーバ公開鍵証明書Kpを予め車両鍵格納部72に格納する。
(ステップS10a)端末装置50の端末通信部51とサーバ装置30のサーバ通信部31とは、VPN回線を確立する。これ以降、端末装置50の端末通信部51とサーバ装置30のサーバ通信部31とは、VPN回線を使用して通信を行う。
ステップS11は保守方法の例1と同じである。ログイン要求メッセージに対する認証が合格である場合、ステップS10cが実行される。
(ステップS10c)サーバ装置30のサーバ通信部31は、端末装置50を介して、認証が合格したログイン要求メッセージの車両識別番号VINに対応する自動車10の車載装置70の車両通信部71との間でVPN回線を確立する。このサーバ通信部31と車両通信部71との間のVPN回線においては、端末装置50の端末通信部51が通信データの中継を行う。これ以降、サーバ装置30のサーバ通信部31と自動車10の車載装置70の車両通信部71とは、VPN回線を使用して通信を行う。
(ステップS30)自動車10の車載装置70の車両制御部77は、トークンを発行する。車両制御部77は、車両通信部71により、当該自動車10の車両識別番号VINと発行したトークンとをサーバ装置30に送信する。サーバ装置30のサーバ通信部31は、自動車10から車両識別番号VINとトークンとを受信する。
(ステップS31)サーバ装置30のサーバ通信部31は、認証が合格したログイン要求メッセージの送信元の端末装置50に、ログイン要求応答メッセージを送信する。このログイン要求応答メッセージは、ログイン結果「合格(OK)」と、自動車10から受信したトークンとを含む。さらに、ログイン要求応答メッセージは、トークンの電子署名を含んでもよい。サーバ装置30は、サーバ鍵格納部32のサーバ秘密鍵Ksを使用してトークンの電子署名を生成する。
端末装置50の端末通信部51は、サーバ装置30からログイン要求応答メッセージを受信する。端末制御部57は、当該ログイン要求応答メッセージのトークンを保持する。
なお、当該ログイン要求応答メッセージにトークンの電子署名が含まれている場合には、端末装置50は、端末鍵格納部52のサーバ公開鍵証明書Kpを使用してトークンの電子署名を検証する。トークンの電子署名の検証が合格である場合には端末制御部57は当該トークンを保持する。一方、トークンの電子署名の検証が不合格である場合には、端末制御部57は、当該トークンを破棄する。トークンの電子署名の検証が不合格である場合には、端末制御部57は、サーバ装置30に対してトークンの再送信を要求する。
(ステップS32)端末装置50の端末制御部57は、自動車10で実行される保守コマンドの送信を要求する保守コマンド送信要求メッセージを、端末通信部51によりサーバ装置30に送信する。当該保守コマンド送信要求メッセージには、端末制御部57が保持するトークンを含める。端末制御部57が保守コマンド送信要求メッセージによりサーバ装置30に送信を要求する保守コマンドは、作業者が端末装置50により指定した保守コマンドであってもよく、又は、保守作業内容として予め設定されていてもよい。
また、サーバ装置30は、ウェブ(Web)ページの提供機能を有し、保守コマンドの選択メニューを有するWebページを端末装置50の表示画面上に表示させる制御を行ってもよい。作業者が端末装置50の表示画面上に表示されたWebページの保守コマンドの選択メニューから所望の保守コマンドを選択することにより、端末制御部57は、当該選択された保守コマンドの送信を要求する保守コマンド送信要求メッセージを端末通信部51によりサーバ装置30に送信する。当該保守コマンド送信要求メッセージには、端末制御部57が保持するトークンを含める。
サーバ装置30のサーバ通信部31は、端末装置50から保守コマンド送信要求メッセージを受信する。
(ステップS33)サーバ装置30のサーバ制御部37は、サーバ通信部31により端末装置50から受信した保守コマンド送信要求メッセージが示す送信要求対象の保守コマンドと、当該保守コマンド送信要求メッセージのトークンとを、サーバ通信部31により自動車10の車載装置70に送信する。自動車10の車載装置70の車両通信部71は、サーバ装置30から保守コマンドとトークンとを受信する。
なお、サーバ装置30は、保守コマンド及びトークンと、当該保守コマンド及びトークンの電子署名とをサーバ通信部31により自動車10の車載装置70に送信してもよい。サーバ装置30は、サーバ鍵格納部32のサーバ秘密鍵Ksを使用して保守コマンド及びトークンの電子署名を生成する。車載装置70は、サーバ装置30から受信した保守コマンド及びトークンの電子署名を、車両鍵格納部72のサーバ公開鍵証明書Kpを使用して検証する。保守コマンド及びトークンの電子署名の検証が合格である場合には、車載装置70は当該保守コマンド及びトークンを保持する。一方、保守コマンド及びトークンの電子署名の検証が不合格である場合には、車載装置70は当該保守コマンド及びトークンを破棄する。保守コマンド及びトークンの電子署名の検証が不合格である場合には、車載装置70はサーバ装置30に対して保守コマンド及びトークンの再送信を要求する。
(ステップS34)自動車10の車載装置70の車両制御部77は、車両通信部71によりサーバ装置30から受信したトークンが自己の発行済みのトークンであるか否かを検証する。トークンの検証結果が合格である場合には以降の処理に進む。一方、トークンの検証結果が不合格である場合には図9の処理を終了する。トークンの検証結果が不合格である場合には、車載装置70は所定のエラー処理を実行してもよい。
車両制御部77は、トークンの検証結果が合格した保守コマンドを、該保守コマンドを実行する自動車10の車載装置に転送する。保守コマンドを実行する自動車10の車載装置として、例えば、ゲートウェイ装置16と、ECU18とが挙げられる。なお、端末装置50から保守コマンドを受信した車載装置70自身が、当該保守コマンドを実行してもよい。
車両制御部77は、保守コマンド転送先の車載装置から保守コマンドの実行結果を受信する。車両制御部77は、車両通信部71により、保守コマンドの実行結果を含む保守レスポンスと、当該保守コマンドのトークンとをサーバ装置30に返信する。
(ステップS35)サーバ装置30のサーバ制御部37は、サーバ通信部31により自動車10から受信した保守レスポンスに基づいて、保守コマンドの実行結果の閲覧データを生成する。サーバ制御部37は、サーバ通信部31により、保守コマンドの実行結果の閲覧データと、サーバ通信部31により自動車10から保守レスポンスと共に受信したトークンとを端末装置50に送信する。
端末装置50は、端末通信部51により、サーバ装置30から保守コマンドの実行結果の閲覧データとトークンとを受信する。端末制御部57は、当該受信したトークンが自己で保持するトークンであるか否かを検証する。トークンの検証結果が合格である場合には以降の処理に進む。一方、トークンの検証結果が不合格である場合には図9の処理を終了する。トークンの検証結果が不合格である場合には、端末装置50は所定のエラー処理を実行してもよい。
端末制御部57は、トークンの検証結果が合格した保守コマンドの実行結果の閲覧データを、端末装置50の表示画面上に表示させる。これにより、作業者は、保守コマンドの実行結果を表示画面上で確認することができる。
上述した保守方法の例5によれば、サーバ装置30は、端末装置50から受信した作業者認証情報の認証を行い、当該作業者認証情報の認証が合格した端末装置50に対して、自動車10の車載装置70が発行したトークンを送信する。端末装置50は、サーバ装置30から受信したトークンを使用して、サーバ装置30により自動車10に保守コマンドの送信を行う。自動車10の車載装置70は、保守コマンドの送信に使用されたトークンの検証を行う。これにより、サーバ装置30が作業者認証情報の認証により本人確認を行った正当な作業者が操作する端末装置50であることを、保守作業の対象の自動車10の車載装置70により認証することができる。このことは、自動車10の保守の作業を行う際の安全性の向上を図る効果を奏する。
上述したように本実施形態によれば、自動車10の保守作業に使用される端末装置50を操作する作業者が正当な者であるのかを認証することができる。これにより、自動車等の車両の保守の作業を行う際の安全性の向上を図ることができるという効果が得られる。
本実施形態によれば、端末装置50が保持するMAC鍵Ka及び暗号鍵Kcが使用できる期間を期間情報により限定することができる。これにより、端末装置50が不適切に使用されることを防止する効果が得られる。
本実施形態によれば、サーバ装置30が格納する各種ログに基づいて、どの作業者がどの自動車10にどのような保守作業を実施したのかを判断することができるようになる。これにより、不適切な作業者に対してはMAC鍵Kaを発行しないようにサーバ装置30に設定することにより、当該不適切な作業者が自動車10の保守作業を実施することを防止できる。
本実施形態によれば、各作業者に与えられた自動車10の保守の権限の範囲内の保守コマンドのみが自動車10で実行されるようにすることができる。これにより、例えば、自動車10の安全性に特にかかわるセキュリティ項目の作業が、当該セキュリティ項目の作業の権限を有さない作業者によって実施されることを防止できる。
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
上述した実施形態では、自動車10の車載装置70が保守コマンドを、当該保守コマンドを実行する自動車10のECU18等の車載装置に転送したが、これに限定されない。例えば、自動車10のECU18等の保守コマンドを実行する車載装置が端末装置50から保守コマンドを受信して実行してもよい。この場合、車載装置70は、端末装置50及びECU18等の保守コマンドを実行する車載装置に対してトークンを発行し、当該トークンの使用により正当な保守コマンドの実行を制御するようにしてもよい。
また、作業者の認証方法は、ID・パスワード認証方法であってもよく、又は、作業者の指紋等の生体情報を使用する生体認証方法であってもよい。
上述した実施形態は、例えば、自動車の製造工場や整備工場、販売店、保管場所等において、自動車10に適用してもよい。
上述した実施形態では、車両として自動車を例に挙げたが、原動機付自転車や鉄道車両等の自動車以外の他の車両にも適用可能である。
また、上述した各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
1…保守システム、16…ゲートウェイ装置、17…車載ネットワーク、18…ECU、30…サーバ装置、31…サーバ通信部、32…サーバ鍵格納部、33…サーバ鍵生成部、34…サーバ認証処理部、35…サーバ暗号処理部、36…サーバ記録部、37…サーバ制御部、40…作業者情報格納部、50…端末装置、51…端末通信部、52…端末鍵格納部、54…端末認証処理部、56…端末記録部、57…端末制御部、70…車載装置、71…車両通信部、72…車両鍵格納部、73…車両鍵生成部、74…車両認証処理部、75…車両暗号処理部、76…車両記録部、77…車両制御部

Claims (10)

  1. サーバ装置と、端末装置と、車両に搭載される車載装置と、を備え、
    前記サーバ装置は、
    前記端末装置から作業者認証情報を受信する作業者認証情報受信部と、
    前記作業者認証情報の認証処理を行うサーバ認証処理部と、
    前記サーバ認証処理部により前記作業者認証情報の認証が合格した前記端末装置に前記車載装置との間で使用される第1鍵を送信するサーバ鍵送信部と、を備え、
    前記端末装置は、
    前記作業者認証情報を前記サーバ装置に送信する作業者認証情報送信部と、
    前記サーバ装置から前記第1鍵を受信する端末鍵受信部と、
    前記第1鍵を使用して前記車載装置との間で認証処理を行う端末認証処理部と、を備え、
    前記車載装置は、前記第1鍵を使用して前記端末装置との間で認証処理を行う車両認証処理部を備える、
    保守システム。
  2. 前記サーバ装置は、
    マスタ鍵を格納するサーバ鍵格納部と、
    前記マスタ鍵と前記作業者認証情報に関連付けられた車両対応識別子とを使用して前記第1鍵を生成するサーバ鍵生成部と、を備え、
    前記車載装置は、
    前記サーバ装置のマスタ鍵と同じマスタ鍵を格納する車両鍵格納部と、
    前記車両鍵格納部のマスタ鍵と前記車両に対応する車両対応識別子とを使用して前記第1鍵を生成する車両鍵生成部と、を備える、
    請求項1に記載の保守システム。
  3. 前記サーバ鍵生成部は、前記作業者認証情報の認証時を基準にした所定期間を示す期間情報をさらに使用して前記第1鍵の生成を行い、
    前記車両鍵生成部は、前記車載装置が前記端末装置から認証要求メッセージを受信した時を基準にした所定期間を示す期間情報をさらに使用して前記第1鍵の生成を行う、
    請求項2に記載の保守システム。
  4. 前記サーバ鍵生成部は、前記サーバ鍵格納部のマスタ鍵と前記作業者認証情報に関連付けられた車両対応識別子とを使用して第2鍵を生成し、
    前記車両鍵生成部は、前記車両鍵格納部のマスタ鍵と前記車両に対応する車両対応識別子とを使用して第2鍵を生成し、
    前記サーバ装置は、
    前記作業者認証情報の作業者に与えられた前記車両の保守の権限を示す権限情報を、前記サーバ鍵生成部が生成した第2鍵を使用して暗号化するサーバ暗号処理部と、
    前記サーバ暗号処理部により前記権限情報が暗号化された暗号化権限情報を、前記端末装置を介して前記車両に送信する権限情報送信部と、を備え、
    前記車載装置は、前記車両鍵生成部が生成した第2鍵を使用して前記暗号化権限情報を復号する車両暗号処理部を備える、
    請求項2又は3のいずれか1項に記載の保守システム。
  5. 前記車両に搭載され、前記車載装置のログを記録する車両記録部を備え、
    前記端末装置は、前記車両から前記ログを受信して前記サーバ装置に送信する端末ログ送信部を備え、
    前記サーバ装置は、前記端末装置から受信した前記ログを格納するサーバ記録部を備える、
    請求項1から4のいずれか1項に記載の保守システム。
  6. 前記サーバ装置は、同一の作業者認証情報に対して第1鍵を同時期に発行する車両の台数を一定数に制限するサーバ制御部を備える、
    請求項1から5のいずれか1項に記載の保守システム。
  7. 前記端末装置は、
    前記サーバ装置から受信した第1鍵を格納する端末鍵格納部と、
    前記車両の保守作業の終了を示す信号により前記端末鍵格納部から第1鍵を消去させる端末制御部と、を備える、
    請求項1から6のいずれか1項に記載の保守システム。
  8. サーバ装置と、端末装置と、車両に搭載される車載装置と、を備え、
    前記サーバ装置は、
    前記端末装置から作業者認証情報を受信する作業者認証情報受信部と、
    前記作業者認証情報の認証処理を行うサーバ認証処理部と、
    前記サーバ認証処理部により前記作業者認証情報の認証が合格した前記端末装置に、前記車載装置が発行したトークンを送信するトークン送信部と、を備え、
    前記端末装置は、
    前記作業者認証情報を前記サーバ装置に送信する作業者認証情報送信部と、
    前記サーバ装置から前記トークンを受信するトークン受信部と、
    前記トークンを使用して、前記サーバ装置により前記車両に保守コマンドの送信を行う端末制御部と、を備え、
    前記車載装置は、前記トークンを発行し、前記保守コマンドの送信に使用されたトークンの検証を行う車両制御部を備える、
    保守システム。
  9. サーバ装置と、端末装置と、車両に搭載される車載装置と、を備える保守システムの保守方法であり、
    前記サーバ装置が、前記端末装置から作業者認証情報を受信する作業者認証情報受信ステップと、
    前記サーバ装置が、前記作業者認証情報の認証処理を行うサーバ認証処理ステップと、
    前記サーバ装置が、前記サーバ認証処理ステップにより前記作業者認証情報の認証が合格した前記端末装置に前記車載装置との間で使用される第1鍵を送信するサーバ鍵送信ステップと、
    前記端末装置が、前記作業者認証情報を前記サーバ装置に送信する作業者認証情報送信ステップと、
    前記端末装置が、前記サーバ装置から前記第1鍵を受信する端末鍵受信ステップと、
    前記端末装置が、前記第1鍵を使用して前記車載装置との間で認証処理を行う端末認証処理ステップと、
    前記車載装置が、前記第1鍵を使用して前記端末装置との間で認証処理を行う車両認証処理ステップと、
    を含む保守方法。
  10. サーバ装置と、端末装置と、車両に搭載される車載装置と、を備える保守システムの保守方法であり、
    前記サーバ装置が、前記端末装置から作業者認証情報を受信する作業者認証情報受信ステップと、
    前記サーバ装置が、前記作業者認証情報の認証処理を行うサーバ認証処理ステップと、
    前記サーバ装置が、前記サーバ認証処理ステップにより前記作業者認証情報の認証が合格した前記端末装置に、前記車載装置が発行したトークンを送信するトークン送信ステップと、
    前記端末装置が、前記作業者認証情報を前記サーバ装置に送信する作業者認証情報送信ステップと、
    前記端末装置が、前記サーバ装置から前記トークンを受信するトークン受信ステップと、
    前記端末装置が、前記トークンを使用して、前記サーバ装置により前記車両に保守コマンドの送信を行う端末制御ステップと、
    前記車載装置が、前記トークンを発行するトークン発行ステップと、
    前記車載装置が、前記保守コマンドの送信に使用されたトークンの検証を行うトークン検証ステップと、
    を含む保守方法。
JP2017125369A 2017-06-27 2017-06-27 保守システム及び保守方法 Active JP6731887B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2017125369A JP6731887B2 (ja) 2017-06-27 2017-06-27 保守システム及び保守方法
US16/624,077 US11330432B2 (en) 2017-06-27 2018-06-22 Maintenance system and maintenance method
PCT/JP2018/023897 WO2019004097A1 (ja) 2017-06-27 2018-06-22 保守システム及び保守方法
CN201880041382.9A CN110800249B (zh) 2017-06-27 2018-06-22 维护系统以及维护方法
EP18822657.5A EP3648396B1 (en) 2017-06-27 2018-06-22 Maintenance system and maintenance method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017125369A JP6731887B2 (ja) 2017-06-27 2017-06-27 保守システム及び保守方法

Publications (2)

Publication Number Publication Date
JP2019009688A true JP2019009688A (ja) 2019-01-17
JP6731887B2 JP6731887B2 (ja) 2020-07-29

Family

ID=64742936

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017125369A Active JP6731887B2 (ja) 2017-06-27 2017-06-27 保守システム及び保守方法

Country Status (5)

Country Link
US (1) US11330432B2 (ja)
EP (1) EP3648396B1 (ja)
JP (1) JP6731887B2 (ja)
CN (1) CN110800249B (ja)
WO (1) WO2019004097A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6794383B2 (ja) * 2018-01-15 2020-12-02 株式会社東芝 電子装置、方法、プログラム及びサーバ、方法、プログラム
CN111835627B (zh) * 2019-04-23 2022-04-26 华为技术有限公司 车载网关的通信方法、车载网关及智能车辆
DE102019212958B3 (de) 2019-08-28 2021-03-04 Volkswagen Aktiengesellschaft Verfahren und Vorrichtung zur Erzeugung von kryptographischen Schlüsseln nach einem Schlüsselableitungsmodell sowie Fahrzeug
CN111709538B (zh) * 2020-05-25 2023-11-24 中国商用飞机有限责任公司 用于认证飞行器的地面维护设备的系统和方法
US11871228B2 (en) * 2020-06-15 2024-01-09 Toyota Motor Engineering & Manufacturing North America, Inc. System and method of manufacturer-approved access to vehicle sensor data by mobile application
CN112308247A (zh) * 2020-10-29 2021-02-02 广州汽车集团股份有限公司 车辆维护的方法、装置、电子设备和存储介质
CN112383620B (zh) * 2020-11-13 2022-08-02 亿咖通(湖北)技术有限公司 一种车载设备与云平台的通信方法、设备及存储介质
US20220255752A1 (en) * 2021-02-09 2022-08-11 Ford Global Technologies, Llc Vehicle computing device authentication
CN113129486A (zh) * 2021-04-16 2021-07-16 山东爱德邦智能科技有限公司 车锁控制方法、终端设备、hid车锁设备及电子设备
US11798326B2 (en) * 2021-05-19 2023-10-24 Toyota Motor Engineering & Manufacturing North America, Inc. Systems and methods for accessing protected vehicle activity data
US11917086B2 (en) * 2021-12-16 2024-02-27 Gm Cruise Holdings Llc Short-lived symmetric keys for autonomous vehicles

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008085468A (ja) * 2006-09-26 2008-04-10 Fujitsu Ltd 鍵管理機能を持つセキュア素子および情報処理装置
JP2010228907A (ja) * 2009-03-30 2010-10-14 Mitsubishi Electric Building Techno Service Co Ltd エレベーターの保守システム及び保守方法、並びに保守端末装置
JP2013045278A (ja) * 2011-08-24 2013-03-04 Nomura Research Institute Ltd アクセス管理装置
JP2014092957A (ja) * 2012-11-05 2014-05-19 Canon Marketing Japan Inc 情報処理システム、画像形成装置、情報処理装置と、その方法及びプログラム
WO2015129352A1 (ja) * 2014-02-28 2015-09-03 日立オートモティブシステムズ株式会社 認証システム、車載制御装置
FR3030818A1 (fr) * 2014-12-23 2016-06-24 Valeo Comfort & Driving Assistance Procede de transmission securisee d'une cle virtuelle et methode d'authentification d'un terminal mobile
WO2016194118A1 (ja) * 2015-06-01 2016-12-08 ボルボ トラック コーポレーション 車両運行管理システム

Family Cites Families (64)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030005326A1 (en) * 2001-06-29 2003-01-02 Todd Flemming Method and system for implementing a security application services provider
JP3928941B2 (ja) * 2002-07-02 2007-06-13 株式会社日立製作所 アクセス管理装置、その方法及びそのプログラム、並びに監視保守センタシステム
US20070245369A1 (en) * 2003-09-05 2007-10-18 Remote Security Systems, Llc Lockbox management system and method
JP4567603B2 (ja) * 2003-12-26 2010-10-20 三菱電機株式会社 被認証装置及び認証装置及び認証方法
US20050154923A1 (en) * 2004-01-09 2005-07-14 Simon Lok Single use secure token appliance
US7924709B2 (en) * 2004-05-12 2011-04-12 Hewlett-Packard Development Company, L.P. Access control of resources using tokens
US7314169B1 (en) * 2004-09-29 2008-01-01 Rockwell Automation Technologies, Inc. Device that issues authority for automation systems by issuing an encrypted time pass
US7711965B2 (en) * 2004-10-20 2010-05-04 Intel Corporation Data security
US7788499B2 (en) * 2005-12-19 2010-08-31 Microsoft Corporation Security tokens including displayable claims
US8239092B2 (en) * 2007-05-08 2012-08-07 Smartdrive Systems Inc. Distributed vehicle event recorder systems having a portable memory data transfer system
US20100031321A1 (en) * 2007-06-11 2010-02-04 Protegrity Corporation Method and system for preventing impersonation of computer system user
WO2009147734A1 (ja) 2008-06-04 2009-12-10 株式会社ルネサステクノロジ 車両、メンテナンス装置、メンテナンスサービスシステム及びメンテナンスサービス方法
US8351454B2 (en) * 2009-05-20 2013-01-08 Robert Bosch Gmbh Security system and method for wireless communication within a vehicle
US8984282B1 (en) * 2009-06-03 2015-03-17 James F. Kragh Identity validation and verification system and associated methods
CN102812487A (zh) * 2009-11-24 2012-12-05 约翰·安东尼·乔伊丝 用于提供基于因特网交易的方法和系统
US9832026B2 (en) * 2010-04-30 2017-11-28 T-Central, Inc. System and method from Internet of Things (IoT) security and management
US9716595B1 (en) * 2010-04-30 2017-07-25 T-Central, Inc. System and method for internet of things (IOT) security and management
US8347080B2 (en) * 2010-05-10 2013-01-01 Research In Motion Limited System and method for multi-certificate and certificate authority strategy
JP5613596B2 (ja) * 2011-03-08 2014-10-29 Kddi株式会社 認証システム、端末装置、認証サーバ、およびプログラム
US8789146B2 (en) * 2011-04-14 2014-07-22 Yubico Inc. Dual interface device for access control and a method therefor
US9003492B2 (en) * 2011-06-21 2015-04-07 Qualcomm Incorporated Secure client authentication and service authorization in a shared communication network
US9330245B2 (en) * 2011-12-01 2016-05-03 Dashlane SAS Cloud-based data backup and sync with secure local storage of access keys
US20130208893A1 (en) * 2012-02-13 2013-08-15 Eugene Shablygin Sharing secure data
EP2903248B1 (en) * 2012-09-28 2020-06-24 Kubota Corporation Data communication system for work machine
US9059977B2 (en) * 2013-03-13 2015-06-16 Route1 Inc. Distribution of secure or cryptographic material
US9904579B2 (en) * 2013-03-15 2018-02-27 Advanced Elemental Technologies, Inc. Methods and systems for purposeful computing
US9760697B1 (en) * 2013-06-27 2017-09-12 Interacvault Inc. Secure interactive electronic vault with dynamic access controls
JP6190188B2 (ja) * 2013-07-05 2017-08-30 クラリオン株式会社 情報配信システムおよびそれに用いるサーバ、車載端末、通信端末
US9407620B2 (en) * 2013-08-23 2016-08-02 Morphotrust Usa, Llc System and method for identity management
US9204302B1 (en) * 2013-10-29 2015-12-01 Sprint Spectrum L.P. Method for secure voicemail access
US9398397B2 (en) * 2014-01-09 2016-07-19 Ford Global Technologies, Llc Secure manipulation of embedded modem connection settings through short messaging service communication
US9674194B1 (en) * 2014-03-12 2017-06-06 Amazon Technologies, Inc. Privilege distribution through signed permissions grants
JP6354541B2 (ja) * 2014-11-26 2018-07-11 株式会社デンソー 車両遠隔操作システム、携帯通信機
DE112015005968T5 (de) * 2015-01-16 2017-10-12 Autonetworks Technologies, Ltd. Kommunikationssystem und Vergleichsverfahren
US10409781B2 (en) * 2015-04-29 2019-09-10 Box, Inc. Multi-regime caching in a virtual file system for cloud-based shared content
JP6365410B2 (ja) * 2015-05-22 2018-08-01 株式会社デンソー 車両用通信システム
JP6444263B2 (ja) * 2015-05-27 2018-12-26 クラリオン株式会社 コンテンツ配信システム、コンテンツ配信方法
KR20160146343A (ko) * 2015-06-12 2016-12-21 엘지전자 주식회사 위치 정보를 기반으로 하는 블랙박스 영상 공유 방법 및 이를 이용한 단말기
ES2628907T3 (es) * 2015-06-30 2017-08-04 Skidata Ag Método para la configuración de aparatos electrónicos, particularmente para la configuración de componentes de un sistema de control de acceso
US9888035B2 (en) * 2015-06-30 2018-02-06 Symantec Corporation Systems and methods for detecting man-in-the-middle attacks
US10395253B2 (en) * 2015-07-01 2019-08-27 Liveensure, Inc. System and method for securing and monetizing peer-to-peer digital content
US10140600B2 (en) * 2015-07-01 2018-11-27 Liveensure, Inc. System and method for mobile peer authentication and asset control
WO2017022821A1 (ja) * 2015-08-05 2017-02-09 Kddi株式会社 管理装置、管理システム、鍵生成装置、鍵生成システム、鍵管理システム、車両、管理方法、鍵生成方法、及びコンピュータプログラム
US9923717B2 (en) * 2015-10-07 2018-03-20 International Business Machines Corporation Refresh of shared cryptographic keys
KR101618692B1 (ko) * 2016-01-06 2016-05-09 주식회사 센스톤 보안성이 강화된 사용자 인증방법
JP6419738B2 (ja) 2016-01-15 2018-11-07 株式会社アイビルド マンホール改修工法及びマンホール改修構造
JP6260066B2 (ja) * 2016-01-18 2018-01-17 Kddi株式会社 車載コンピュータシステム及び車両
DE102016201603A1 (de) * 2016-02-03 2017-08-03 Continental Automotive Gmbh Verfahren und Vorrichtungen zum Entriegeln eines Kraftfahrzeugs mit einem Motorstart- und/oder Fahrzeugzugangssystem
US10855664B1 (en) * 2016-02-08 2020-12-01 Microstrategy Incorporated Proximity-based logical access
US20190110195A1 (en) * 2016-04-27 2019-04-11 Nec Corporation Key derivation method, communication system, communication terminal, and communication device
US10270762B2 (en) * 2016-04-28 2019-04-23 SSenStone Inc. User authentication method for enhancing integrity and security
JP6792959B2 (ja) * 2016-05-16 2020-12-02 クラリオン株式会社 情報端末、通信端末、ライセンス移行システム、ライセンス移行方法
US10580226B2 (en) * 2016-06-27 2020-03-03 Snap-On Incorporated System and method for generating vehicle data report with tool measurement
KR102510868B1 (ko) * 2016-07-07 2023-03-16 삼성에스디에스 주식회사 클라이언트 시스템 인증 방법, 클라이언트 장치 및 인증 서버
JP6683588B2 (ja) * 2016-11-10 2020-04-22 Kddi株式会社 再利用システム、サーバ装置、再利用方法、及びコンピュータプログラム
JP6288219B1 (ja) * 2016-11-18 2018-03-07 Kddi株式会社 通信システム
DE112017007149T5 (de) * 2017-03-31 2019-12-12 Ford Global Technologies, Llc Tönen von fahrzeugfenstern
US10816644B2 (en) * 2017-04-07 2020-10-27 Ford Global Technologies, Llc Modulated infrared lighting
US10373402B2 (en) * 2017-04-25 2019-08-06 TrueLite Trace, Inc. Commercial driver electronic logging rule compliance and vehicle inspection voice assistant system
CN107274570B (zh) * 2017-05-05 2018-03-06 北京摩拜科技有限公司 车辆管理方法、安装在车辆上的管理设备和车辆
US10455416B2 (en) * 2017-05-26 2019-10-22 Honeywell International Inc. Systems and methods for providing a secured password and authentication mechanism for programming and updating software or firmware
EP3664415B1 (en) * 2017-07-31 2023-06-14 Altimobility Corporation Connected gateway server system for real-time vehicle control service
JP6696942B2 (ja) * 2017-08-14 2020-05-20 Kddi株式会社 車両保安システム及び車両保安方法
US10627245B2 (en) * 2017-10-05 2020-04-21 Ford Global Technologies, Llc Vehicle service control

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008085468A (ja) * 2006-09-26 2008-04-10 Fujitsu Ltd 鍵管理機能を持つセキュア素子および情報処理装置
JP2010228907A (ja) * 2009-03-30 2010-10-14 Mitsubishi Electric Building Techno Service Co Ltd エレベーターの保守システム及び保守方法、並びに保守端末装置
JP2013045278A (ja) * 2011-08-24 2013-03-04 Nomura Research Institute Ltd アクセス管理装置
JP2014092957A (ja) * 2012-11-05 2014-05-19 Canon Marketing Japan Inc 情報処理システム、画像形成装置、情報処理装置と、その方法及びプログラム
WO2015129352A1 (ja) * 2014-02-28 2015-09-03 日立オートモティブシステムズ株式会社 認証システム、車載制御装置
FR3030818A1 (fr) * 2014-12-23 2016-06-24 Valeo Comfort & Driving Assistance Procede de transmission securisee d'une cle virtuelle et methode d'authentification d'un terminal mobile
WO2016194118A1 (ja) * 2015-06-01 2016-12-08 ボルボ トラック コーポレーション 車両運行管理システム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
溝口 誠一郎 ほか: "セキュアなリモートリプログラミング方式の実装", コンピュータセキュリティシンポジウム2016 論文集, vol. 2016, no. 2, JPN6018036906, 4 October 2016 (2016-10-04), JP, pages 379 - 383, ISSN: 0004292469 *

Also Published As

Publication number Publication date
US20200389791A1 (en) 2020-12-10
CN110800249B (zh) 2023-05-12
EP3648396A4 (en) 2020-10-28
EP3648396A1 (en) 2020-05-06
EP3648396B1 (en) 2022-05-18
US11330432B2 (en) 2022-05-10
WO2019004097A1 (ja) 2019-01-03
CN110800249A (zh) 2020-02-14
JP6731887B2 (ja) 2020-07-29

Similar Documents

Publication Publication Date Title
JP6731887B2 (ja) 保守システム及び保守方法
JP7018109B2 (ja) 機器の安全なプロビジョニングと管理
US20200177398A1 (en) System, certification authority, vehicle-mounted computer, vehicle, public key certificate issuance method, and program
CN111131313B (zh) 智能网联汽车更换ecu的安全保障方法及系统
JP6228093B2 (ja) システム
CN111447601B (zh) 一种汽车蓝牙钥匙的实现方法及装置
JP6288219B1 (ja) 通信システム
JP6190443B2 (ja) 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
CN112055344B (zh) 一种工程机械蓝牙设备身份认证系统及方法
JP6547180B2 (ja) 通信システム
JP2018019415A (ja) システム、認証局、車載コンピュータ、公開鍵証明書発行方法、及びプログラム
CN112261103A (zh) 一种节点接入方法及相关设备
JP6905950B2 (ja) 端末装置、自動車、自動車の遠隔操作端末の認証方法及びコンピュータプログラム
JP2020088836A (ja) 車両メンテナンスシステム、メンテナンスサーバ装置、管理サーバ装置、車載装置、メンテナンスツール、コンピュータプログラム及び車両メンテナンス方法
JP2020088417A (ja) 車両メンテナンスシステム、メンテナンスサーバ装置、認証装置、メンテナンスツール、コンピュータプログラム及び車両メンテナンス方法
US10263976B2 (en) Method for excluding a participant from a group having authorized communication
JP2018042256A (ja) システム及び管理方法
JP2020086540A (ja) メンテナンスサーバ装置、車両メンテナンスシステム、コンピュータプログラム及び車両メンテナンス方法
JP6640128B2 (ja) 制御システム及び制御方法
JP6554704B2 (ja) データ提供システム及びデータ提供方法
JP2017208731A (ja) 管理システム、管理装置、車載コンピュータ、管理方法、及びコンピュータプログラム
US20230129128A1 (en) Secure and documented key access by an application
JP2018142823A (ja) 通信システム、及び、通信方法
WO2018131270A1 (ja) 通信システム、車両、サーバ装置、通信方法、及びコンピュータプログラム
CN116233188A (zh) 车联网数据传输方法、装置、系统和计算机设备

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20170628

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190710

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191015

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191209

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20200317

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200522

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20200602

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200630

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200707

R150 Certificate of patent or registration of utility model

Ref document number: 6731887

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150