JP2019152961A - 検証端末、検証システム - Google Patents

検証端末、検証システム Download PDF

Info

Publication number
JP2019152961A
JP2019152961A JP2018036447A JP2018036447A JP2019152961A JP 2019152961 A JP2019152961 A JP 2019152961A JP 2018036447 A JP2018036447 A JP 2018036447A JP 2018036447 A JP2018036447 A JP 2018036447A JP 2019152961 A JP2019152961 A JP 2019152961A
Authority
JP
Japan
Prior art keywords
approval
block data
terminal
verification
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018036447A
Other languages
English (en)
Other versions
JP7031374B2 (ja
Inventor
達哉 岡部
Tatsuya Okabe
達哉 岡部
英一 奥野
Hidekazu Okuno
英一 奥野
孝男 野尻
Takao Nojiri
孝男 野尻
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2018036447A priority Critical patent/JP7031374B2/ja
Priority to US16/288,484 priority patent/US11431474B2/en
Publication of JP2019152961A publication Critical patent/JP2019152961A/ja
Application granted granted Critical
Publication of JP7031374B2 publication Critical patent/JP7031374B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Traffic Control Systems (AREA)

Abstract

【課題】ランダム性の確保を自動車特有の視点から確保すると共に、自動車特有の限られたリソースでも対応可能な計算負荷で実現することができるデータ改竄防止手法を提供する。【解決手段】格納されている部分ブロックデータの承認を求める複数の承認端末を選択する承認選択部(101)と、格納されている部分ブロックデータに含まれるトランザクションが更新されると、更新されたトランザクション及び更新前の部分ブロックデータのハッシュ値を含めて、選択された承認端末に更新後の部分ブロックデータの承認を求める承認要求部(102)と、承認要求部(102)からの承認要求に応じて承認端末から返信される承認結果に基づいて部分ブロックデータの更新処理を実行する承認結果登録部(103)と、を設ける。【選択図】図6

Description

本開示は、時系列に沿って更新され追加されるブロックデータの正当性検証を行う検証端末、時系列に沿って更新され追加されるブロックデータの正当性検証を行う検証システムに関する。
サーバーに格納されているデータの保護や、データ保持者が善意の他者とデータを授受する際のデータ保護の観点から、データを暗号化することが行われている。一方、データ管理者やデータ保持者がデータを改竄することを防止するためには、データの暗号化は有効な手段とはならない。
データ管理者やデータ保持者がデータを改竄することを防止するための技術として、下記特許文献1に記載されているようにブロックチェーン技術を活用するものが提案されている。
特開2017−123692号公報
ブロックチェーン技術を用いたデータの改竄防止手法には、全員が巨大なデータを共有してデータの改竄を防止すること、マイナーがブロックチェーンの健全性を膨大なコンピューターリソースを活用して保証すること、その保証の報酬を受け取ることが前提となっている。
ところで、自動車に通信端末を搭載し、ネットワークを介して又は直接他の車やインフラ装置やサーバーと通信を行うコネクテッドカーが普及すると、膨大な台数の端末のセキュリティを確保する必要がある。このセキュリティ確保の一つの側面として、車載データの改竄防止が求められる。車載データとしては、車歴データやセンサー情報といったものが含まれる。悪意のあるユーザーは、例えば車歴データを改ざんして自動車を本来の価値よりも高く転売したり、センサー情報を改竄して他者の混乱を誘発したりといったことを行うことが想定されるため、車載データの改竄防止ニーズは高まるものと想定される。
しかしながら、従来のブロックチェーンの技術をそのまま適用しようとすると、車載のメモリやCPUに制限があるため、膨大な計算負荷に対応することができない。また、報酬を渡すことを前提にすると、その資金源をどのようにするかといったことを含むビジネスモデルの構築に障壁がある。
そこで、従来のブロックチェーンの手法を全て流用するのではなく、ランダム性の確保を自動車特有の視点から確保すると共に、自動車特有の限られたリソースでも対応可能な計算負荷で実現することができるデータ改竄防止手法を提供することを目的とする。
本開示は、時系列に沿って更新され追加されるブロックデータの正当性検証を行う検証端末であって、時系列に沿って新しい方から一部の部分ブロックデータを格納する格納部(104)と、格納部に格納されている部分ブロックデータの承認を求める複数の承認端末を選択する承認選択部(101)と、格納部に格納されている部分ブロックデータに含まれるトランザクションが更新されると、更新されたトランザクション及び更新前の部分ブロックデータのハッシュ値を含めて、選択された承認端末に更新後の部分ブロックデータの承認を求める承認要求部(102)と、承認要求部からの承認要求に応じて承認端末から返信される承認結果に基づいて部分ブロックデータの更新処理を実行する承認結果登録部(103)と、を備える。
本開示では、格納部に時系列に沿って新しい方から一部の部分ブロックデータを格納するので、時系列に沿った全長のブロックデータを格納することに比較して格納するデータ量が少なくなり、検証端末における計算負荷が軽減される。ランダムに選択された承認端末が、部分ブロックデータの承認を実行するので、予め承認端末を予期することができず、格納されている部分ブロックデータの改竄を防止することができる。
本開示は、時系列に沿って更新され追加されるブロックデータの正当性検証を行う検証システムであって、時系列に沿った一部の部分ブロックデータが格納される検証端末と関連付けて、時系列に沿った全長のフルブロックデータを管理サーバーに格納し、検証端末から送信される部分ブロックデータの末端データを管理サーバーが受信し、受信した末端データと格納されているフルブロックデータとを照合して末端データの健全性を検証する。
検証端末の格納部に格納されている部分ブロックデータは、時系列に沿って新しい方から一部の長さしかないので、全長のブロックデータに比較して改竄に対する耐性が低い。そこで、検証端末から末端データの健全性を管理サーバーに問い合わせることで、部分ブロックデータの健全性を確保することができる。
尚、「課題を解決するための手段」及び「特許請求の範囲」に記載した括弧内の符号は、後述する「発明を実施するための形態」との対応関係を示すものであって、「課題を解決するための手段」及び「特許請求の範囲」が、後述する「発明を実施するための形態」に限定されることを示すものではない。
本開示によれば、ランダム性の確保を自動車特有の視点から確保すると共に、自動車特有の限られたリソースでも対応可能な計算負荷で実現することができるデータ改竄防止手法を提供することができる。
図1は、本実施形態の基本概念を説明するための図である。 図2は、本実施形態の基本概念を説明するための図である。 図3は、本実施形態の基本概念を説明するための図である。 図4は、本実施形態の基本概念を説明するための図である。 図5は、本実施形態の基本概念を説明するための図である。 図6は、本実施形態の検証端末としての自動運転車の機能的な構成を説明するための図である。 図7は、自動運転車の情報処理を説明するためのフローチャートである。 図8は、自動運転車の情報処理を説明するためのフローチャートである。 図9は、自動運転車の情報処理を説明するためのフローチャートである。 図10は、自動運転車の情報処理を説明するためのフローチャートである。 図11は、自動運転車の情報処理を説明するためのフローチャートである。 図12は、ブロックデータの更新処理を説明するための図である。
以下、添付図面を参照しながら本実施形態について説明する。説明の理解を容易にするため、各図面において同一の構成要素に対しては可能な限り同一の符号を付して、重複する説明は省略する。
図1を参照しながら、本実施形態の基本概念を説明する。本実施形態は自動運転車に搭載される検証端末及び承認端末を例示しているが、本開示の技術的思想は全ての分散された情報端末のセキュリティ確保のために応用されうるものである。
図1に示されるように、各担当エリアにそれぞれの担当エリアを管理するためのサーバーとして、管理サーバーFOG001,FOG002,FOG003,FOG004,FOG005が設けられている。管理サーバーFOG001,FOG002,FOG003,FOG004,FOG005は、担当エリア内の自動運転車に格納されているブロックデータのマスターデータを格納している。マスターデータは、時系列に形成されるブロックデータにおいて、全長のフルブロックデータである。
各担当エリア内に存在する自動運転車は、自己の近隣の他の自動運転車に対して、自身が格納しているブロックデータの健全性の検証を求める。検証を求める他の自動運転車は、そもそも任意に入れ替わる周囲の自動運転車からランダムに選択されるので、高度にランダム性を確保することができる。
各自動運転車が格納しているブロックデータは、時系列に形成されるブロックデータにおいて、新しい方からの一部である部分ブロックデータである。部分ブロックデータのみを保持することで計算負荷は抑制される。上記したランダム性の確保により、データ改竄を防止することができるが、ブロックデータの特徴であるチェーンの長さによる改竄耐性を確保することは期待できない。特に、部分ブロックデータの末端を改竄される懸念があるので、エンジン始動時や停止時といったタイミングで、部分ブロックデータの健全性を検証することが好ましい。
近隣の他の自動運転車からの過半数の承認が得られれば、自身が格納している部分ブロックデータは健全であると判断し、そうでなければ不健全であると判断する。各自動運転車は、周囲の自動運転車との車車間通信で行われる承認プロセスで健全性が確かめられない場合に、管理サーバーに問い合わせを行うので、管理サーバーの負荷は低減されている。
図2に示されるように、概念的には、管理サーバーFOG001,FOG002,FOG003,FOG004,FOG005,FOG006,FOG007,FOG008,FOG009は、重複しないように担当エリアが設定されている。図2では、管理サーバーFOG003の担当エリアに、自動運転車T011が存在している。管理サーバーFOG004の担当エリアに、自動運転車T002,T003,T007,T008が存在している。管理サーバーFOG005の担当エリアに、自動運転車T001,T004,T005,T006,T009,T013が存在している。管理サーバーFOG006の担当エリアに、自動運転車T012が存在している。
図2に示される状態での、各管理サーバーFOG001,FOG002,FOG003,FOG004,FOG005,FOG006,FOG007,FOG008,FOG009に格納されている自動運転車の情報を概念的に示したものが図3に示される対応図である。
管理サーバーFOG001は、主たる担当エリアはFOG−001であるが、FOG−001に隣接する、FOG−002,FOG−004,FOG−005も保存対象領域としている。従って、FOG−004に存在している自動運転車T002,T003,T007,T008のマスターデータと、FOG−005に存在している自動運転車T001,T004,T005,T006,T009,T013のマスターデータと、を保存している。
管理サーバーFOG002は、主たる担当エリアはFOG−002であるが、FOG−002に隣接する、FOG−001,FOG−003,FOG−004,FOG−005,FOG−006も保存対象領域としている。従って、FOG−003に存在している自動運転車T011のマスターデータと、FOG−004に存在している自動運転車T002,T003,T007,T008のマスターデータと、FOG−005に存在している自動運転車T001,T004,T005,T006,T009,T013のマスターデータと、FOG−006に存在している自動運転車T012のマスターデータと、を保存している。
管理サーバーFOG003は、主たる担当エリアはFOG−003であるが、FOG−003に隣接する、FOG−002,FOG−003,FOG−005,FOG−006も保存対象領域としている。従って、FOG−003に存在している自動運転車T011のマスターデータと、FOG−005に存在している自動運転車T001,T004,T005,T006,T009,T013のマスターデータと、FOG−006に存在している自動運転車T012のマスターデータと、を保存している。
管理サーバーFOG004は、主たる担当エリアはFOG−004であるが、FOG−004に隣接する、FOG−001,FOG−002,FOG−005,FOG−007,FOG−008も保存対象領域としている。従って、FOG−004に存在している自動運転車T002,T003,T007,T008のマスターデータと、FOG−005に存在している自動運転車T001,T004,T005,T006,T009,T013のマスターデータと、を保存している。
管理サーバーFOG005は、主たる担当エリアはFOG−005であるが、FOG−005に隣接する、FOG−001,FOG−002,FOG−003,FOG−004,FOG−005,FOG−006,FOG−007,FOG−008,FOG−009も保存対象領域としている。従って、FOG−003に存在している自動運転車T011のマスターデータと、FOG−004に存在している自動運転車T002,T003,T007,T008のマスターデータと、FOG−005に存在している自動運転車T001,T004,T005,T006,T009,T013のマスターデータと、FOG−006に存在している自動運転車T012のマスターデータと、を保存している。
管理サーバーFOG006は、主たる担当エリアはFOG−006であるが、FOG−006に隣接する、FOG−002,FOG−003,FOG−005,FOG−006,FOG−008,FOG−009も保存対象領域としている。従って、FOG−003に存在している自動運転車T011のマスターデータと、FOG−005に存在している自動運転車T001,T004,T005,T006,T009,T013のマスターデータと、FOG−006に存在している自動運転車T012のマスターデータと、を保存している。
管理サーバーFOG007は、主たる担当エリアはFOG−007であるが、FOG−007に隣接する、FOG−004,FOG−005,FOG−007,FOG−008も保存対象領域としている。従って、FOG−005に存在している自動運転車T001,T004,T005,T006,T009,T013のマスターデータを保存している。
管理サーバーFOG008は、主たる担当エリアはFOG−008であるが、FOG−008に隣接する、FOG−004,FOG−005,FOG−006,FOG−007,FOG−008も保存対象領域としている。従って、FOG−004に存在している自動運転車T002,T003,T007,T008のマスターデータと、FOG−005に存在している自動運転車T001,T004,T005,T006,T009,T013のマスターデータと、FOG−006に存在している自動運転車T012のマスターデータと、を保存している。
管理サーバーFOG009は、主たる担当エリアはFOG−009であるが、FOG−009に隣接する、FOG−005,FOG−006,FOG−008,FOG−009も保存対象領域としている。従って、FOG−005に存在している自動運転車T001,T004,T005,T006,T009,T013のマスターデータと、FOG−006に存在している自動運転車T012のマスターデータと、を保存している。
図2に示されるように、自動運転車T010が領域FOG−005から領域FOG−006に移動すると、関連する管理サーバーの保持情報が更新される。領域FOG−005の情報を保持している管理サーバーは、管理サーバーFOG001,FOG002,FOG003,FOG004,FOG005,FOG006,FOG007,FOG008,FOG009である。領域FOG−005から自動運転車T010が退出するので、管理サーバーFOG001,FOG002,FOG003,FOG004,FOG005,FOG006,FOG007,FOG008,FOG009が保持する領域FOG−005に関する情報から、自動運転車T010に関する情報が消去される。
領域FOG−006の情報を保持している管理サーバーは、管理サーバーFOG002,FOG003,FOG004,FOG005,FOG006,FOG008,FOG009である。領域FOG−006に自動運転車T010が侵入するので、管理サーバーFOG002,FOG003,FOG004,FOG005,FOG006,FOG008,FOG009が保持する領域FOG−006に関する情報に、自動運転車T010に関する情報が書き込まれる。
このように更新された後の情報保持状態を図4に示す。図4に示されるように、自動運転車T010のマスターデータは、領域FOG−006に関連付けて保持されている。管理サーバーFOG006に着目すると、自動運転車T010のマスターデータは、自動運転車T010が領域FOG−005から領域FOG−006に移動する前から後にかけて保持され続けている。このように隣接領域を担当する管理サーバーと情報を共有し、対象となる移動体が移動するにあわせてハンドオーバーしていくことで、途切れずに管理することが加納となる。
図5に、各端末として管理される自動運転車のマスターデータの一例を示す。図5に示されるように、マスターデータとしては、車歴情報、支払い履歴情報、ドライバー情報、マップ情報、開発履歴情報、承認履歴情報が含まれている。車歴情報としては、事故履歴、故障履歴、充放電履歴といった情報が含まれる。支払い履歴情報としては、高速料金、物品購入といった情報が含まれる。ドライバー情報としては、シャアカーであるか否かや、保険の加入有無に関する情報が含まれる。承認履歴情報としては、タイムスタンプ、ハッシュ値といった情報が含まれる。
続いて、図6を参照しながら、自動運転車に搭載される検証端末及び承認端末の機能的な構成について説明する。自動運転車T001には、検証端末10及び承認端末20が搭載されている。自動運転車T002にも、検証端末10及び承認端末20が搭載されている。検証端末10及び承認端末20は、管理サーバーFOG001と相互に情報通信可能なように構成されている。検証端末10及び承認端末20は、管理サーバーFOG001のみならず、他の管理サーバーとも情報通信可能なように構成されている。
検証端末10及び承認端末20は、ハードウェア的な構成要素として、CPUといった演算部、RAMやROMといった記憶部、データの授受を行うためのインターフェイス部を備えるコンピューターとして構成されている。検証端末10及び承認端末20は、他の自動運転車に搭載されている同様の検証端末及び承認端末と相互に情報送受信可能なように構成されている。続いて、検証端末10及び承認端末20の機能的な構成要素について説明する。
検証端末10は、承認選択部101と、承認要求部102と、承認結果登録部103と、ブロックデータ格納部104と、を備えている。ブロックデータ格納部104は、本開示の格納部に相当し、時系列に沿って新しい方から一部の部分ブロックデータを格納する部分である。ブロックデータ格納部104に格納されている部分ブロックデータの一例を図12に示す。
図12に示されるように、「#(N−1)ブロック」として記載されている部分ブロックデータは、更新前の部分ブロックデータである。「#(N−1)ブロック」の部分ブロックデータは、
・#N−1ブロックのハッシュ値
・#N−1ブロックの承認時のタイムスタンプ
・#N−2ブロックのハッシュ値(#N−2ブロックは、#N−1ブロックの1つ前)
・#N−1ブロックのトランザクションのマークルルート
・#N−1ブロックのトランザクション発生時のタイムスタンプ
・#N−1ブロックのトランザクション
・#N−1ブロックの承認者のハッシュ値
・#N−1ブロックの承認者アドレスのハッシュ値
を含んでいる。
図6に戻って、検証端末10の説明を続ける。承認選択部101は、ブロックデータ格納部104に格納されている部分ブロックデータの承認を求める複数の承認端末を選択する部分である。
承認要求部102は、ブロックデータ格納部104に格納されている部分ブロックデータに含まれるトランザクションが更新されると、更新されたトランザクション及び更新前の部分ブロックデータのハッシュ値を含めて、選択された承認端末に更新後の部分ブロックデータの承認を求める部分である。図12に示される例に基づいて説明すると、承認要求部102は、次の情報を含めて他の自動運転車に搭載されている承認端末20に承認を求める情報を送信する。
・#N−1ブロックの部分ブロックデータ
・#Nブロックのトランザクション発生時のタイムスタンプ
・#N−1ブロックのトランザクション
図6に戻って、検証端末10の説明を続ける。承認結果登録部103は、承認要求部102からの承認要求に応じて承認端末から返信される承認結果に基づいて部分ブロックデータの更新処理を実行する部分である。図12に示される例に基づいて説明すると、承認結果登録部103は、他の自動運転車に搭載されている承認端末20からの承認が過半数を超えると、次の情報を含む「#Nブロック」の部分ブロックデータを生成し、ブロックデータ格納部104に格納する。
・#Nブロックのハッシュ値
・#Nブロックの承認時のタイムスタンプ
・#N−1ブロックのハッシュ値(#N−1ブロックは、#Nブロックの1つ前)
・#Nブロックのトランザクションのマークルルート
・#Nブロックのトランザクション発生時のタイムスタンプ
・#Nブロックのトランザクション
・#Nブロックの承認者のハッシュ値
・#Nブロックの承認者アドレスのハッシュ値
上記したように、本実施形態の検証端末10は、時系列に沿って更新され追加されるブロックデータの正当性検証を行う検証端末であって、時系列に沿って新しい方から一部の部分ブロックデータを格納する格納部としてのブロックデータ格納部104と、ブロックデータ格納部104に格納されている部分ブロックデータの承認を求める複数の承認端末20を選択する承認選択部101と、ブロックデータ格納部104に格納されている部分ブロックデータに含まれるトランザクションが更新されると、更新されたトランザクション及び更新前の部分ブロックデータのハッシュ値を含めて、選択された承認端末20に更新後の部分ブロックデータの承認を求める承認要求部102と、承認要求部102からの承認要求に応じて承認端末から返信される承認結果に基づいて部分ブロックデータの更新処理を実行する承認結果登録部と、を備える。
本実施形態では、ブロックデータ格納部104に時系列に沿って新しい方から一部の部分ブロックデータを格納するので、時系列に沿った全長のブロックデータを格納することに比較して格納するデータ量が少なくなり、検証端末10における計算負荷が軽減される。ランダムに選択された承認端末20が、部分ブロックデータの承認を実行するので、予め承認端末を予期することができず、格納されている部分ブロックデータの改竄を防止することができる。
本実施形態において、承認選択部101は、自身の近隣に存在する複数の端末から承認端末20を選択する。
検証端末10が移動可能である場合、自身の近隣に存在する端末は変遷するので、変遷する端末の中から承認端末20を選択することになり、承認端末20のランダム性を確保することができる。
本実施形態において、承認結果登録部103は、過半数の承認が得られた場合に、更新されるトランザクションを含む新たな部分ブロックデータを更新追加する。
承認端末20の過半数の承認をもって新たな部分ブロックデータを更新追加するので、検証端末10が移動することに伴う承認端末20のランダム性と併せて、承認プロセスの堅牢性を確保することができる。
本実施形態において、承認結果登録部103は、過半数の承認が得られない場合に、異常が発生したことを管理サーバーFOG001に報知する。過半数の承認が得られない場合に管理サーバーFOG001に報知するので、検証端末10と管理サーバーFOG001との間の通信頻度を低減することができる。
本実施形態において、承認結果登録部103は、所定のタイミングでブロックデータ格納部104に格納されている部分ブロックデータの末端データの健全性を管理サーバーFOG001に問い合わせる。
検証端末10のブロックデータ格納部104に格納されている部分ブロックデータは、時系列に沿って新しい方から一部の長さしかないので、全長のブロックデータに比較して改竄に対する耐性が低い。そこで、所定のタイミングで末端データの健全性を管理サーバーFOG001に問い合わせることで、通信頻度の低減と部分ブロックデータの健全性確保とを両立させることができる。尚、所定のタイミングとしては、自動運転車T001のエンジン始動時やエンジン停止時といったタイミングを含め、様々なタイミングが選択されうる。
本実施形態は、検証端末10、承認端末20、管理サーバーFOG001を含む検証システムとして捉えることができる。この検証システムは、時系列に沿って更新され追加されるブロックデータの正当性検証を行う検証システムであって、時系列に沿った一部の部分ブロックデータが格納される検証端末10と関連付けて、時系列に沿った全長のフルブロックデータを管理サーバーFOG001に格納し、検証端末10から送信される部分ブロックデータの末端データを管理サーバーFOG001が受信し、受信した末端データと格納されているフルブロックデータとを照合して末端データの健全性を検証する。
検証端末10のブロックデータ格納部104に格納されている部分ブロックデータは、時系列に沿って新しい方から一部の長さしかないので、全長のブロックデータに比較して改竄に対する耐性が低い。そこで、検証端末10から末端データの健全性を管理サーバーFOG001に問い合わせることで、部分ブロックデータの健全性を確保することができる。
図1から図5を参照しながら説明したように、管理サーバーFOG001,FOG002,FOG003,FOG004,FOG005,FOG006,FOG007,FOG008,FOG009は、担当エリアごとに設けられており、管理サーバーFOG001,FOG002,FOG003,FOG004,FOG005,FOG006,FOG007,FOG008,FOG009ごとに担当エリア内に存在する検証端末10が格納する末端データの健全性を検証する。
担当エリアごとに管理サーバーFOG001,FOG002,FOG003,FOG004,FOG005,FOG006,FOG007,FOG008,FOG009を設けるので、個々の管理サーバーFOG001,FOG002,FOG003,FOG004,FOG005,FOG006,FOG007,FOG008,FOG009の計算負荷を低減することができる。
検証端末10が異なる担当エリアに移動すると、移動した担当エリアに該当する管理サーバーFOG001,FOG002,FOG003,FOG004,FOG005,FOG006,FOG007,FOG008,FOG009にフルブロックデータが移管される。
検証端末10の移動に応じて管理サーバーFOG001,FOG002,FOG003,FOG004,FOG005,FOG006,FOG007,FOG008,FOG009が格納するフルブロックデータを移管するので、検証端末10の移動に応じた検証を行うことができる。
本実施形態の承認端末20は、機能的な構成要素として、承認受付部201と、承認実行部202と、承認結果登録部203と、承認結果格納部204と、を備えている。
承認受付部201は、他の自動運転車に搭載されている承認要求部102から送信される承認要求を受け付ける部分である。承認実行部202は、承認要求に基づいて、他の自動運転車に搭載されているブロックデータ格納部104に格納されている部分ブロックデータの健全性を検証する部分である。承認結果登録部203は、承認実行部202の承認結果を承認結果格納部204に登録するとともに、管理サーバーFOG001に送信する部分である。
続いて、図7から図11を参照しながら、検証端末10、承認端末20、管理サーバーFOG001の動作について説明する。図7のステップS101では、プログラムのハッシュ値が確認済みか否かを確認する。プログラムの正当性を確認するためのステップである。プログラムのハッシュ値が確認済であればステップS102の処理に進み、プログラムのハッシュ値が確認済でなければステップS101の処理を繰り返す。
ステップS102では、承認選択部101は、承認端末選択処理を実行する。承認端末選択処理について、図8を参照しながら説明する。
図8のステップS151では、承認選択部101が、周囲の自動運転車や情報端末のRSSI(Received Signal Strength Indicator)を取得する。RSSIは、Wi−Fiネットワークにおける受信信号強度を示すものである。RSSIが大きいものを選択することで、近隣の端末を特定することができる。尚、近隣の端末を特定するという観点からは、GPS情報を用いることもできる。
ステップS151に続くステップS152では、承認選択部101が、同種の端末を選択する。同種の端末としては、同種の自動運転車や同種の検証端末と一対になって搭載されている承認端末が選択される。
ステップS152に続くステップS153では、承認選択部101が、選択した端末のアドレスやハッシュ値を取得し、確認する。ステップS153に続くステップS154では、承認選択部101が、選択した端末の承認履歴を確認する。承認履歴があればステップS155の処理に進み、承認履歴がなければステップS156の処理に進む。
ステップS155では、承認選択部101が、過剰重複して承認端末として選択されている端末を排除する処理を実行する。何回も同じ端末を承認端末とすると、不正な改竄を許す余地が大きくなるためである。
ステップS154及びステップS155に続くステップS156では、承認選択部101が承認端末20を抽出する。ステップS156の処理が終了すると、承認端末選択処理を終了し、図7のステップS103の処理に進む。
ステップS103では、承認要求部102が、選択された承認端末20に承認要求を送信する。送信された承認要求は、承認端末20の承認受付部201が受信する。承認要求を受信した承認端末20においては、図11に示される承認処理が行われる。
図11のステップS301では、承認実行部202が、タイムスタンプの整合性を確認する。図12に示す例によれば、#N−1ブロックのトランザクション発生時のタイムスタンプと、#Nブロックのトランザクション発生時のタイムスタンプとの整合性を確認する。時系列が逆転しているなどの不整合が発生していなければ、ステップS302の処理に進む。時系列が逆転しているなどの不整合が発生していれば、ステップS306の処理に進む。
ステップS302では、承認実行部202が、トランザクションの整合性を確認する。図12に示す例によれば、#N−1ブロックのトランザクションと、#Nブロックのトランザクションとの整合性を確認する。トランザクションの整合性がとれていればステップS303の処理に進み、トランザクションの整合性がとれていなければステップS306の処理に進む。
ステップS303では、承認実行部202が、マークルルートの整合性を確認する。図12に示す例によれば、#N−1ブロックのトランザクションにおけるマークルルートと、#Nブロックのトランザクションにおけるマークルルートとの整合性を確認する。マークルルートの整合性がとれていればステップS304の処理に進み、マークルルートの整合性がとれていなければステップS306の処理に進む。
ステップS304では、承認実行部202が、部分ブロックのハッシュ値を確認する。図12に示す例によれば、#N−1ブロックのハッシュ値が、承認結果格納部204に格納されている#N−1ブロックのハッシュ値と同一であるかどうかを確認する。#N−1ブロックのハッシュ値が格納済のハッシュ値と同一であればステップS305の処理に進み、#N−1ブロックのハッシュ値が格納済のハッシュ値と同一なければステップS306の処理に進む。
ステップS305では、承認実行部202が承認要求に対して、承認許可の判断を行い、検証端末10にその旨を送信する。ステップS306では、承認実行部202が承認要求に対して、承認不許可の判断を行い、検証端末10及び管理サーバーFOG001にその旨を送信する。
図7に戻って説明を続ける。ステップS104では、承認結果登録部103が承認結果を受信する。ステップS104に続くステップS105では、承認結果登録部103が、承認結果が正常を示すものであるか(承認要求が許可されたか)を確認する。承認結果が正常を示すものであればステップS106の処理に進み、承認結果が正常を示すものでなければステップS107の処理に進む。
ステップS106では、承認結果登録部103がデータ更新処理を実行する。データ更新処理については、図9を参照しながら説明する。
図9のステップS201では、承認結果登録部103が、承認者アドレスのハッシュ値を追加する。ステップS201に続くステップS202では、承認結果登録部103が、承認結果を送信した承認端末が最終承認者か否かを判断する。最終承認者か否かは、承認要求を送信した複数の承認端末から返信される承認結果が最後となっているか否かで判断する。最終承認者であればステップS203の処理に進み、最終承認者でなければステップS202の処理を続ける。
ステップS203では、承認結果登録部103が、#Nトランザクションのマークルルートを計算する。ステップS203に続くステップS204では、承認結果登録部103が、最終承認者のハッシュ値を追加する。
ステップS204に続くステップS205では、承認結果登録部103が、#Nブロックのハッシュ値を計算し、ブロックデータ格納部104に格納すると共に、承認を行った承認端末20に送信する。ステップS205の処理が終了すると、図7に戻り、検証処理を終了する。
ステップS107では、承認結果登録部103が異常処理を実行する。異常処理については、図10を参照しながら説明する。
図10のステップS251では、承認結果登録部103が、管理サーバーFOG001に異常を報知する。ステップS251に続くステップS252では、承認結果登録部103が、ブロックデータ格納部104に異常履歴を登録する。ステップS252の処理が終了すると、図7に戻り、検証処理を終了する。
以上、具体例を参照しつつ本実施形態について説明した。しかし、本開示はこれらの具体例に限定されるものではない。これら具体例に、当業者が適宜設計変更を加えたものも、本開示の特徴を備えている限り、本開示の範囲に包含される。前述した各具体例が備える各要素およびその配置、条件、形状などは、例示したものに限定されるわけではなく適宜変更することができる。前述した各具体例が備える各要素は、技術的な矛盾が生じない限り、適宜組み合わせを変えることができる。
101:承認選択部
102:承認要求部
103:承認結果登録部
104:ブロックデータ格納部

Claims (8)

  1. 時系列に沿って更新され追加されるブロックデータの正当性検証を行う検証端末であって、
    時系列に沿って新しい方から一部の部分ブロックデータを格納する格納部(104)と、
    前記格納部に格納されている部分ブロックデータの承認を求める複数の承認端末を選択する承認選択部(101)と、
    前記格納部に格納されている部分ブロックデータに含まれるトランザクションが更新されると、更新されたトランザクション及び更新前の部分ブロックデータのハッシュ値を含めて、選択された前記承認端末に更新後の部分ブロックデータの承認を求める承認要求部(102)と、
    前記承認要求部からの承認要求に応じて前記承認端末から返信される承認結果に基づいて部分ブロックデータの更新処理を実行する承認結果登録部(103)と、を備える検証端末。
  2. 請求項1に記載の検証端末であって、
    前記承認選択部は、自身の近隣に存在する複数の端末から前記承認端末を選択する、検証端末。
  3. 請求項2に記載の検証端末であって、
    前記承認結果登録部は、過半数の承認が得られた場合に、更新されるトランザクションを含む新たな部分ブロックデータを更新追加する、検証端末。
  4. 請求項3に記載の検証端末であって、
    前記承認結果登録部は、過半数の承認が得られない場合に、異常が発生したことを管理サーバーに報知する、検証端末。
  5. 請求項1に記載の検証端末であって、
    前記承認結果登録部は、所定のタイミングで前記格納部に格納されている部分ブロックデータの末端データの健全性を管理サーバーに問い合わせる、検証端末。
  6. 時系列に沿って更新され追加されるブロックデータの正当性検証を行う検証システムであって、
    時系列に沿った一部の部分ブロックデータが格納される検証端末と関連付けて、時系列に沿った全長のフルブロックデータを管理サーバーに格納し、
    前記検証端末から送信される前記部分ブロックデータの末端データを前記管理サーバーが受信し、
    受信した前記末端データと格納されている前記フルブロックデータとを照合して前記末端データの健全性を検証する、検証システム。
  7. 請求項6に記載の検証システムであって、
    前記管理サーバーは、担当エリアごとに設けられており、
    前記管理サーバーごとに担当エリア内に存在する前記検証端末が格納する前記末端データの健全性を検証する、検証システム。
  8. 請求項7に記載の検証システムであって、
    前記検証端末が異なる担当エリアに移動すると、移動した担当エリアに該当する前記管理サーバーに前記フルブロックデータが移管される、検証システム。
JP2018036447A 2018-03-01 2018-03-01 検証端末、検証システム Active JP7031374B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2018036447A JP7031374B2 (ja) 2018-03-01 2018-03-01 検証端末、検証システム
US16/288,484 US11431474B2 (en) 2018-03-01 2019-02-28 Verification terminal and verification system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018036447A JP7031374B2 (ja) 2018-03-01 2018-03-01 検証端末、検証システム

Publications (2)

Publication Number Publication Date
JP2019152961A true JP2019152961A (ja) 2019-09-12
JP7031374B2 JP7031374B2 (ja) 2022-03-08

Family

ID=67768183

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018036447A Active JP7031374B2 (ja) 2018-03-01 2018-03-01 検証端末、検証システム

Country Status (2)

Country Link
US (1) US11431474B2 (ja)
JP (1) JP7031374B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021068340A (ja) * 2019-10-28 2021-04-30 本田技研工業株式会社 情報管理システム
WO2024069878A1 (ja) * 2022-09-29 2024-04-04 楽天モバイル株式会社 オブジェクトの移動に応じたエッジのアプリケーションリソースの制御

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11671257B2 (en) * 2021-06-21 2023-06-06 Denso Corporation Mobility data storage method and system
US11880567B2 (en) * 2022-02-25 2024-01-23 Cohesity, Inc. Quorum in a distributed system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009169861A (ja) * 2008-01-18 2009-07-30 Fujitsu Ltd 認証システム、認証装置及びコンピュータプログラム
JP2017123116A (ja) * 2016-01-08 2017-07-13 日本電気株式会社 負荷分散システム、負荷分散装置、負荷分散方法、および、プログラム
WO2017170997A1 (ja) * 2016-03-31 2017-10-05 株式会社bitFlyer 階層型ネットワークシステム、これに用いられるノード及びプログラム
JP2017200196A (ja) * 2017-06-01 2017-11-02 株式会社bitFlyer プライベートノード、プライベートノードにおける処理方法、及びそのためのプログラム

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002244555A (ja) 2001-02-21 2002-08-30 Nippon Telegr & Teleph Corp <Ntt> データ改竄検出方法及び装置及びデータ改竄検出プログラム及びデータ改竄検出プログラムを格納した記憶媒体
JP2004137897A (ja) 2002-10-15 2004-05-13 Denso Corp 走行距離改ざん防止装置
JP4817153B2 (ja) 2009-11-06 2011-11-16 Necインフロンティア株式会社 情報端末に組み込まれたソフトウェアの更新時の認証方法、そのシステム及びそのプログラム
JP2011133967A (ja) 2009-12-22 2011-07-07 Yokogawa Electric Corp 測定装置
JP5616810B2 (ja) 2011-01-31 2014-10-29 カヤバ工業株式会社 ドライブレコーダ及びドライブレコーダシステム
JP5772031B2 (ja) 2011-02-08 2015-09-02 富士通株式会社 通信装置およびセキュアモジュール
JP5479408B2 (ja) 2011-07-06 2014-04-23 日立オートモティブシステムズ株式会社 車載ネットワークシステム
JP5686697B2 (ja) 2011-08-05 2015-03-18 三菱電機株式会社 組込み機器保守システム
JP5735887B2 (ja) 2011-08-09 2015-06-17 矢崎エナジーシステム株式会社 運行カード初期化方法
JP2013107454A (ja) 2011-11-18 2013-06-06 Denso Corp 車載中継装置
JP5678907B2 (ja) 2012-02-15 2015-03-04 株式会社デンソー 中継システム、外部装置
JP2013196330A (ja) 2012-03-19 2013-09-30 Kayaba Ind Co Ltd ドライブレコーダ
JP5535273B2 (ja) 2012-06-11 2014-07-02 株式会社東芝 データ受信装置及びデータ送受信方法
JP6382724B2 (ja) 2014-01-06 2018-08-29 アーガス サイバー セキュリティ リミテッド グローバル自動車安全システム
JP6468133B2 (ja) 2015-09-02 2019-02-13 トヨタ自動車株式会社 車載ネットワークシステム
JP6452156B2 (ja) 2015-09-03 2019-01-16 日本電信電話株式会社 許諾情報管理システム、利用者端末、権利者端末、許諾情報管理方法、および、許諾情報管理プログラム
JP6173541B2 (ja) 2015-10-09 2017-08-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ装置、攻撃検知方法及びプログラム
JP6355168B2 (ja) 2015-11-09 2018-07-11 日本電信電話株式会社 ブロックチェーン生成装置、ブロックチェーン生成方法、ブロックチェーン検証装置、ブロックチェーン検証方法およびプログラム
JP6358658B2 (ja) 2015-11-09 2018-07-18 日本電信電話株式会社 ブロックチェーン生成装置、ブロックチェーン生成方法、ブロックチェーン検証装置、ブロックチェーン検証方法およびプログラム
JP6608256B2 (ja) 2015-11-26 2019-11-20 株式会社bitFlyer Blockchain 電子データの存在証明プログラムおよび存在証明サーバ
JP6649215B2 (ja) 2015-12-14 2020-02-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America セキュリティ装置、ネットワークシステム及び攻撃検知方法
US9960920B2 (en) * 2016-01-26 2018-05-01 Stampery Inc. Systems and methods for certification of data units and/or certification verification
US20180063238A1 (en) * 2016-08-25 2018-03-01 Jiangang Zhang Massively Scalable, Low Latency, High Concurrency and High Throughput Decentralized Consensus Algorithm
JP6275302B2 (ja) 2017-03-22 2018-02-07 株式会社bitFlyer 存在証明装置、存在証明方法、及びそのためのプログラム
US11132660B2 (en) * 2017-12-12 2021-09-28 Mastercard International Incorporated Systems and methods for distributed peer to peer analytics
CN108270573B (zh) * 2018-01-12 2020-11-10 西安电子科技大学 无人驾驶汽车的隐私保护方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009169861A (ja) * 2008-01-18 2009-07-30 Fujitsu Ltd 認証システム、認証装置及びコンピュータプログラム
JP2017123116A (ja) * 2016-01-08 2017-07-13 日本電気株式会社 負荷分散システム、負荷分散装置、負荷分散方法、および、プログラム
WO2017170997A1 (ja) * 2016-03-31 2017-10-05 株式会社bitFlyer 階層型ネットワークシステム、これに用いられるノード及びプログラム
JP2017200196A (ja) * 2017-06-01 2017-11-02 株式会社bitFlyer プライベートノード、プライベートノードにおける処理方法、及びそのためのプログラム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021068340A (ja) * 2019-10-28 2021-04-30 本田技研工業株式会社 情報管理システム
JP7080207B2 (ja) 2019-10-28 2022-06-03 本田技研工業株式会社 情報管理システム
WO2024069878A1 (ja) * 2022-09-29 2024-04-04 楽天モバイル株式会社 オブジェクトの移動に応じたエッジのアプリケーションリソースの制御

Also Published As

Publication number Publication date
US11431474B2 (en) 2022-08-30
US20190273606A1 (en) 2019-09-05
JP7031374B2 (ja) 2022-03-08

Similar Documents

Publication Publication Date Title
JP7031374B2 (ja) 検証端末、検証システム
CN111461723B (zh) 基于区块链的数据处理系统及方法、装置
JP5949732B2 (ja) プログラム更新システム及びプログラム更新方法
JP5641244B2 (ja) 車両用ネットワークシステム及び車両用情報処理方法
CN111107136A (zh) 一种基于ipfs的区块链跨链中继方法
WO2014196181A1 (ja) データ認証装置、及びデータ認証方法
JP6190443B2 (ja) 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
CN109600366A (zh) 基于区块链的保护用户数据隐私的方法及装置
CN109523045B (zh) 一种提供差旅服务的方法及设备
JP2018007049A (ja) 情報共有システム、計算機、及び、情報共有方法
EP3499793B1 (en) Data provision system, data security device, data provision method, and computer program
KR20170099155A (ko) 가상 화폐를 이용하여 주식을 발행하여 분배하고 발행된 주식의 소유권을 이전하는 방법 및 서버
CN112865959B (zh) 分布式节点设备的共识方法、节点设备及分布式网络
KR20200017839A (ko) 열차간 합의에 의한 선로 자원 공유 방법 및 그 장치
KR20140016269A (ko) 차량 통신 시스템, 액세스 데이터 장치 및 텔레매틱스 통신 시스템
US20220217536A1 (en) Communication method and apparatus for vehicle, and electronic device
CN110505311A (zh) 一种同构区块链跨链交互方法和系统
CN105933185A (zh) 一种确定路由器连接异常类型的方法与设备
WO2019067533A1 (en) SYSTEM AND METHODS FOR RESOLVING DATA DIVERGENCES IN A SYSTEM DISTRIBUTED WITH BLOCK CHAIN CONTROLS
CN111260475A (zh) 一种数据处理方法、区块链节点设备及存储介质
US20230403254A1 (en) Decentralized identifier determination by a registry operator or registrar
KR101829731B1 (ko) 주주명부를 등록하고 주식 소유권 이전을 기록하는 방법 및 서버
CN108769058B (zh) 一种接入认证方法及装置
CN116600295A (zh) 一种车联网通信方法及装置
CN111311269B (zh) 基于区块链的用车出行方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210120

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211013

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211116

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220114

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220125

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220207

R151 Written notification of patent or utility model registration

Ref document number: 7031374

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151