JP2020076877A - Secure logging system - Google Patents
Secure logging system Download PDFInfo
- Publication number
- JP2020076877A JP2020076877A JP2018210313A JP2018210313A JP2020076877A JP 2020076877 A JP2020076877 A JP 2020076877A JP 2018210313 A JP2018210313 A JP 2018210313A JP 2018210313 A JP2018210313 A JP 2018210313A JP 2020076877 A JP2020076877 A JP 2020076877A
- Authority
- JP
- Japan
- Prior art keywords
- data
- nonce
- regional
- block
- vehicle
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Abandoned
Links
Images
Abstract
Description
本発明は、車両に搭載されたロガーが攻撃されてもログデータが保全されるサーバー保存型のシステムであって、さらに、ログデータの完全性を、サーバーおよびサーバー管理者の信頼に依存しないで担保するセキュアロギングシステムに関する。 The present invention is a server-storing system in which log data is preserved even when a logger mounted on a vehicle is attacked. Furthermore, the integrity of log data does not depend on the trust of the server and the server administrator. Secure logging system for security.
従来から、車両、特に自動車における車載ロガーとして、デジタルタコグラフやタクシーメーターなどがある。しかし、高度な技術を持つ攻撃者によってログデータの完全性が侵害され、ログデータが改ざんされる可能性がある。また、ログデータをサーバーに保存している場合には、車載ロガーに対する攻撃が発生してもログデータ改ざんの恐れはない。しかし、サーバーに保存されたログデータの完全性は、サーバーおよびサーバー管理者の信用に依存しており、当該信用が問題になる場合には、ログデータの完全性を確保したとは言い切れない。 2. Description of the Related Art Conventionally, there are digital tachographs, taximeters, etc. as vehicle-mounted loggers in vehicles, especially in automobiles. However, the integrity of log data may be compromised by an advanced attacker, and the log data may be tampered with. Also, if the log data is stored in the server, there is no fear of tampering with the log data even if an attack on the in-vehicle logger occurs. However, the integrity of the log data stored on the server depends on the trust of the server and the server administrator, and if the trust is a problem, it cannot be said that the integrity of the log data has been secured. ..
前述の問題に対して、従来からデータの完全性を担保する技術として、データ保存機器の物理的封印、暗号技術を利用したデータ認証、サーバーへの保存、ブロックチェーン技術の利用等が提案されている。 For the above-mentioned problems, as a technology for ensuring the integrity of data, it has been proposed to physically seal a data storage device, authenticate data using encryption technology, store it on a server, use blockchain technology, etc. There is.
例えば、データ保存機器の物理的封印では、金属による封印やシールによる封印などが用いられており、いずれも、封印の物理的破壊によって開封がなされる。したがって、物理的破壊が存在していないことが目視によって確認されることによって、保存されたデータの完全性が担保される。 For example, a physical seal of a data storage device uses a metal seal, a seal seal, or the like, and both are opened by physical destruction of the seal. Therefore, the integrity of the stored data is guaranteed by visual confirmation that no physical destruction is present.
また、暗号技術を利用したデータ認証は、AES(Advanced Encryption Standard)やRSA(Rivest Shamir Adleman)などの暗号技術を用いて改ざん防止のための認証子や電子署名などを付与する技術である。認証子や電子署名は、秘密情報を持つものしか作れないことから、秘密情報を他者に保有させないことによって、データの完全性を担保することになる。 The data authentication using the cryptographic technique is a technique of adding a certifier or a digital signature for tampering prevention by using the cryptographic technique such as AES (Advanced Encryption Standard) or RSA (Rivest Shamir Adleman). Since the authenticator and the electronic signature can only be made with the confidential information, the integrity of the data is guaranteed by not allowing the confidential information to be held by others.
さらに、電子機器としての信頼性はクライアント機器よりもサーバーの方が高いと言われている。したがって、サーバー保存方式では、クライアント機器からサーバーにログデータを移動させることで、データの完全性を担保している。 Furthermore, it is said that the reliability of the electronic device is higher in the server than in the client device. Therefore, in the server storage method, data integrity is ensured by moving the log data from the client device to the server.
さらに、ブロックチェーン技術を利用するビットコイン等のシステムでは、膨大な計算量が必要な計算結果を使用するので、計算結果を簡単には算出できないことを拠り所として、特定の者の信頼性に依らずにデータの完全性を担保している。以上説明した従来技術のブロックチェーン技術の具体例を以下に示す。 Furthermore, in systems such as Bitcoin that use blockchain technology, since calculation results that require a huge amount of calculation are used, it is not possible to calculate the calculation results easily, relying on the reliability of a specific person. Without guaranteeing data integrity. A specific example of the conventional blockchain technology described above is shown below.
しかし、上記従来技術のデータ保存機器の物理的封印においては、物理的破壊後に、物理的封印の再生が可能であれば、データ改ざんの事実を知られずに、データ改ざんが出来てしまうという課題がある。例えば、物理的破壊を伴わない電気的な手段による攻撃には無力である。 However, in the physical sealing of the above-mentioned conventional data storage device, if the physical sealing can be reproduced after the physical destruction, there is a problem that the data can be falsified without knowing the fact of the data falsification. is there. For example, it is useless for attacks by electrical means without physical destruction.
また、上記従来技術の暗号技術を利用したデータ認証においては、秘密情報が漏えいしたという事実を認識することが難しいため、秘密情報の漏えい後の改ざん検知は困難であるという課題がある。さらに、サーバー保存方式では、サーバーの信頼性に頼れない揚合には、データの完全性を担保できない。さらに、ビットコイン等に使用されるブロックチェーン技術では、データの完全性を担保している膨大な計算量を提供するモチベーションの維持が金銭的対価以外では困難であり、金銭的価値を生むシステム以外への適用は、システム維持が難しい。また、膨大な計算リソースの過半数を、特定の者が制御できる状況となった場合、データの完全性を担保出来なくなる可能性があるという課題もある。 Further, in the data authentication using the above-mentioned conventional encryption technology, it is difficult to recognize the fact that the confidential information has been leaked, and therefore there is a problem that it is difficult to detect falsification after the leakage of the confidential information. Furthermore, the server storage method cannot guarantee the integrity of data unless the reliability of the server is relied upon. Furthermore, with the blockchain technology used for Bitcoin, etc., it is difficult to maintain the motivation to provide a huge amount of calculation that guarantees the integrity of data, except for monetary consideration, except for systems that generate monetary value. It is difficult to maintain the system. In addition, there is also a problem that the integrity of data may not be guaranteed when a specific person can control the majority of the enormous calculation resources.
そこで、本発明は、車両に搭載されたロガーが攻撃されてもログデータが保全されるサーバー保存型のシステムであって、さらに、ログデータの完全性を、サーバーおよびサーバー管理者の信頼に依存しないで担保するセキュアロギングシステムを提供することを目的とする。また、利用者に不便を生じさせることなく、特段のインセンティブを生じさせなくとも膨大な計算量を確保でき、かつ、特定の者が計算リソースの過半数を占めることが非常に困難なシステムを提供することを目的とする。 Therefore, the present invention is a server-storing system in which log data is preserved even if a logger mounted on a vehicle is attacked, and the integrity of log data depends on the trust of the server and the server administrator. The purpose is to provide a secure logging system that is secured without doing so. It also provides a system that does not cause inconvenience to users, can secure a huge amount of calculation without causing special incentives, and is extremely difficult for a specific person to occupy the majority of the calculation resources. The purpose is to
上記課題を解決するため、本発明は次のような構成を採用する。
すなわち、請求項1に係るセキュアロギングシステムの発明は、車両に含まれるデータ保存装置および計算リソース提供装置、並びに、前記データ保存装置および前記計算リソース提供装置と無線接続される地域データセンタを含むブロックチェーン技術を用いたセキュアロギングシステムであって、
前記データ保存装置は、前記車両で生成されるセキュアデータを含む車両データを生成し、前記車両データを前記地域データセンタに送信し、
前記地域データセンタは、前記車両データと、前記ブロックチェーン技術によって生成された直前のブロックデータのハッシュ値と、ナンスを含むブロックデータを記憶し、
前記ナンスは、前記ナンスを含む前記ブロックデータのハッシュ値があらかじめ定められた条件に合致する値になるように前記計算リソース提供装置によって決定され、前記計算リソース提供装置から前記地域データセンタに送信されたナンスであることを特徴とする。
In order to solve the above problems, the present invention adopts the following configurations.
That is, the invention of the secure logging system according to claim 1 is a block including a data storage device and a calculation resource providing device included in a vehicle, and a regional data center wirelessly connected to the data storage device and the calculation resource providing device. A secure logging system using chain technology,
The data storage device generates vehicle data including secure data generated by the vehicle, transmits the vehicle data to the regional data center,
The regional data center stores the vehicle data, a hash value of the immediately preceding block data generated by the block chain technology, and block data including a nonce,
The nonce is determined by the computing resource providing device such that the hash value of the block data including the nonce becomes a value that meets a predetermined condition, and is transmitted from the computing resource providing device to the regional data center. It is a nonce.
上記構成によれば、車両に搭載されたロガーが攻撃されてもログデータが保全されるサーバー保存型のシステムであって、さらに、ログデータの完全性を、サーバーおよびサーバー管理者の信頼に依存しないで担保するシステムが実現できる。また、利用者に不便を生じさせることなく、特段のインセンティブを生じさせなくとも膨大な計算量を確保でき、かつ、特定の者が計算リソースの過半数を占めることが非常に困難なシステムを提供することができる。 According to the above configuration, the log data is preserved even if the logger mounted on the vehicle is attacked, and the integrity of the log data depends on the trust of the server and the server administrator. It is possible to realize a system that does not guarantee. It also provides a system that does not cause inconvenience to users, can secure a huge amount of calculation without causing special incentives, and is extremely difficult for a specific person to occupy the majority of the calculation resources. be able to.
上記課題を解決するために、請求項2に係る発明は、請求項1に記載のセキュアロギングシステムにおいて、前記地域データセンタは、前記計算リソース提供装置から受信した前記ナンスを含む前記ブロックデータのハッシュ値があらかじめ定められた条件に合致する値になることを確認した後に、前記ブロックデータを他の地域データセンタに送信することを特徴とする。 In order to solve the above problems, the invention according to claim 2 is the secure logging system according to claim 1, wherein the regional data center hashes of the block data including the nonce received from the computing resource providing apparatus. It is characterized in that the block data is transmitted to another regional data center after it is confirmed that the value is a value that meets a predetermined condition.
上記構成によれば、ブロックデータを他の地域データセンタと共有することができるようになり、ブロックデータを自地域データセンタのみで保存するよりも、より高度に完全性を担保することが可能なセキュアロギングシステムを実現できる。 According to the above configuration, the block data can be shared with other regional data centers, and it is possible to ensure the integrity to a higher degree than when the block data is stored only in the own regional data center. A secure logging system can be realized.
上記課題を解決するために、請求項3に係る発明は、請求項2に記載のセキュアロギングシステムにおいて、前記他の地域データセンタは、前記地域データセンタから受信した前記ナンスを含む前記ブロックデータのハッシュ値があらかじめ定められた条件に合致する値になることを確認した後に、前記ブロックデータを記憶することを特徴とする。 In order to solve the above problem, the invention according to claim 3 is the secure logging system according to claim 2, wherein the other regional data center stores the block data including the nonce received from the regional data center. It is characterized in that the block data is stored after confirming that the hash value becomes a value that meets a predetermined condition.
上記構成によれば、特定の地域データセンタの信頼性に対する依存性がより少ないセキュアロギングシステムを実現し、セキュアデータの完全性の担保をより高度に実現することができる。 According to the above configuration, it is possible to realize a secure logging system that has less dependence on the reliability of a specific regional data center and to further ensure the integrity of secure data.
上記課題を解決するために、請求項4に係る発明は、請求項1乃至3のいずれか一項に記載のセキュアロギングシステムにおいて、前記地域データセンタは、前記計算リソース提供装置から受信した前記ナンスを含む前記ブロックデータのハッシュ値があらかじめ定められた条件に合致する値にならない場合には、前記ナンスを破棄することを特徴とする。 In order to solve the above problems, the invention according to claim 4 is the secure logging system according to any one of claims 1 to 3, wherein the regional data center receives the nonce received from the computing resource providing apparatus. When the hash value of the block data including the above does not reach a value that meets a predetermined condition, the nonce is discarded.
上記構成によれば、完全性を担保すべきセキュアデータの完全性が担保されない状態で保存されることを防ぐことが可能になる。 According to the above configuration, it is possible to prevent the secure data, whose integrity should be secured, from being stored in a state where the integrity is not secured.
上記課題を解決するために、請求項5に係る発明は、請求項1乃至4のいずれか一項に記載のセキュアロギングシステムにおいて、前記地域データセンタは、前記車両データと、前記ブロックチェーン技術によって生成された直前のブロックデータのハッシュ値である前ブロックハッシュ値とを含むナンス付与前ブロックデータを前記計算リソース提供装置に送信する前に、ナンス計算開始通知を他の地域データセンタに送信することを特徴とする。 In order to solve the above problems, the invention according to claim 5 is the secure logging system according to any one of claims 1 to 4, wherein the regional data center uses the vehicle data and the blockchain technology. Before the nonce-giving block data including the previous block hash value, which is the hash value of the immediately previous generated block data, is transmitted to the other regional data center before the nonce calculation start notification is transmitted to the computing resource providing apparatus. Is characterized by.
上記構成によれば、セキュアロギングシステムにおいて、同一の前ブロックハッシュ値を有するブロックデータが複数存在することを回避することが可能になる。 According to the above configuration, in the secure logging system, it is possible to avoid a plurality of block data having the same previous block hash value.
上記課題を解決するために、請求項6に係る発明は、請求項5に記載のセキュアロギングシステムにおいて、前記地域データセンタは、前記ナンス計算開始通知とともに前記ナンス付与前ブロックデータを前記他の地域データセンタに送信し、前記他の地域データセンタは前記他の地域データセンタに属する前記計算リソース提供装置に前記ナンス付与前ブロックデータを送信し、ナンス計算を開始させることを特徴とする。 In order to solve the above-mentioned problems, the invention according to claim 6 is the secure logging system according to claim 5, wherein the regional data center transmits the block data before nonce provision to the other region together with the nonce calculation start notification. The data is transmitted to a data center, and the other regional data center transmits the block data before nonce assignment to the computing resource providing apparatus belonging to the other regional data center to start nonce calculation.
上記構成によれば、複数の地域データセンタのそれぞれに属する計算リソース提供装置でナンス計算を開始させることによって、ナンスの導出がより早く可能になる確率を高めることが期待できる。 According to the above configuration, by starting the nonce calculation by the computing resource providing devices belonging to each of the plurality of regional data centers, it can be expected to increase the probability that the nonce can be derived earlier.
上記課題を解決するために、請求項7に係る発明は、請求項1乃至6のいずれか一項に記載のセキュアロギングシステムにおいて、前記データ保存装置は、前記セキュアデータを記憶し、前記セキュアデータのハッシュ値であるセキュアハッシュ情報を生成し、前記セキュアデータの代わりに前記セキュアハッシュ情報を含む車両ハッシュ化データを生成し、前記車両データの代わりに前記車両ハッシュ化データを前記地域データセンタに送信し、前記地域データセンタは、前記車両データの代わりに前記車両ハッシュ化データを使用することを特徴とする。 In order to solve the above-mentioned problems, the invention according to claim 7 is the secure logging system according to any one of claims 1 to 6, wherein the data storage device stores the secure data and the secure data. Secure hash information that is a hash value of the vehicle, generates vehicle hashed data including the secure hash information in place of the secure data, and transmits the vehicle hashed data in place of the vehicle data to the regional data center. However, the regional data center uses the vehicle hashed data instead of the vehicle data.
地域データセンタ間でブロックデータを共有するため、ブロックデータに含まれるあらゆる車両の車両データそのものを地域データセンタで記憶するには、膨大な記憶領域が必要になる。特に、車両データに含まれるセキュアデータのデータ量が膨大になる可能性がある。 Since block data is shared between regional data centers, a huge storage area is required to store the vehicle data itself of all vehicles included in the block data in the regional data center. In particular, the data amount of secure data included in vehicle data may become enormous.
しかし、上記構成によれば、地域データセンタで記憶されるデータ量を圧縮することが可能になり、データ保存装置においてセキュアデータを記憶させてもセキュアデータの完全性を担保するセキュアロギングシステムが可能になる。 However, according to the above configuration, the amount of data stored in the regional data center can be compressed, and even if the secure data is stored in the data storage device, the secure logging system that secures the integrity of the secure data is possible. become.
上記課題を解決するために、請求項8に係る発明は、請求項1乃至7のいずれか一項に記載のセキュアロギングシステムにおいて、前記地域データセンタは、前記ブロックデータを生成した時刻を示すブロックデータ生成時刻情報を生成し、前記地域データセンタ間で前記ブロックデータ生成時刻情報を共有し、前記ブロックデータを生成した前記地域データセンタは、前記ブロックデータの生成後であってナンス計算調停期間の間はナンス計算希望通知を送信せずに、ナンス計算希望通知を送信した他の地域データセンタの中で最も古い前記ブロックデータ生成時刻情報を有する前記他の地域データセンタが前記ブロックデータを生成することを特徴とする。 In order to solve the above problems, the invention according to claim 8 is the secure logging system according to any one of claims 1 to 7, wherein the regional data center is a block indicating a time when the block data is generated. Data generation time information is generated, the block data generation time information is shared between the regional data centers, and the regional data center that generated the block data is in the nonce arbitration period after the generation of the block data. In the meantime, the nonce calculation request notification is not transmitted, and the other regional data center having the oldest block data generation time information among the other regional data centers that transmitted the nonce calculation desire notification generates the block data. It is characterized by
上記構成によれば、ナンス導出を希望する地域データセンタの中で、もっともブロックデータを生成していない地域データセンタが新たなブロックデータを生成することが可能になるために、ブロックデータの生成機会を均等化することができる。 According to the above configuration, among the regional data centers that desire nonce derivation, the regional data center that has not generated the most block data can generate new block data. Can be equalized.
上記課題を解決するために、請求項9に係る発明は、請求項1乃至8のいずれか一項に記載のセキュアロギングシステムにおいて、前記計算リソース提供装置は、ナンス計算部でナンスを導出するための計算リソースに余剰がある場合には、計算提供リクエストを生成し、いずれかの前記地域データセンタに前記計算提供リクエストを送信することを特徴とする。 In order to solve the above-mentioned problems, the invention according to claim 9 is the secure logging system according to any one of claims 1 to 8, wherein the calculation resource providing device derives a nonce by a nonce calculator. When there is a surplus in the calculation resource of, the calculation providing request is generated, and the calculation providing request is transmitted to one of the regional data centers.
上記構成によれば、計算リソースに余剰がある計算リソース提供装置がナンスを導出するための新たな計算リソース提供装置として参加することが可能になる。 According to the above configuration, a calculation resource providing device having a surplus of calculation resources can participate as a new calculation resource providing device for deriving a nonce.
上記課題を解決するために、請求項10に係る発明は、請求項1乃至9のいずれか一項に記載のセキュアロギングシステムにおいて、前記データ保存装置、前記計算リソース提供装置および前記地域データセンタは、入出力制御部を有し、前記入出力制御部は制御情報を送受信し、送受信される情報の消失および送受信される情報の改変を防止することを特徴とする。
In order to solve the above problems, the invention according to
上記構成によれば、前記データ保存装置、前記計算リソース提供装置および前記地域データセンタは、相互の通信において、TCP通信技術やメッセージ認証技術のようなコントロール通信を入出力制御部によって実行するので、送受信される情報の消失および送受信される情報の改変を防止することが可能になる。 According to the above configuration, the data storage device, the computing resource providing device, and the regional data center execute control communication such as TCP communication technology and message authentication technology by the input / output control unit in mutual communication. It becomes possible to prevent the loss of transmitted / received information and the alteration of transmitted / received information.
本発明によれば、車両に搭載されたロガーが攻撃されてもログデータが保全されるサーバー保存型のシステムであって、さらに、ログデータの完全性を、サーバーおよびサーバー管理者の信頼に依存しないで担保するシステムが実現できる。また、利用者に不便を生じさせることなく、特段のインセンティブを生じさせなくとも膨大な計算量を確保でき、かつ、特定の者が計算リソースの過半数を占めることが非常に困難なシステムを提供することができる。 According to the present invention, a server-storing system in which log data is preserved even if a logger mounted on a vehicle is attacked, and the integrity of log data depends on the trust of the server and the server administrator. It is possible to realize a system that does not guarantee. It also provides a system that does not cause inconvenience to users, can secure a huge amount of calculation without causing special incentives, and is extremely difficult for a specific person to occupy the majority of the calculation resources. be able to.
(セキュアロギングシステム10)
図1に本実施形態のセキュアロギングシステム10の一例を図示する。セキュアロギングシステム10は、自動車等の車両A、B、CおよびDに含まれる計算リソース提供装置3000a〜3000dおよびデータ保存装置1000a〜1000dと、地域データセンタ2000a〜2000dを含んで構成される。以下、計算リソース提供装置3000a〜3000dを総称して計算リソース提供装置3000と称する場合がある。また、データ保存装置1000a〜1000dを総称してデータ保存装置1000、地域データセンタ2000a〜2000dを総称して地域データセンタ2000と称する場合がある。
(Secure logging system 10)
FIG. 1 illustrates an example of the
セキュアロギングシステム10のデータ保存装置1000と地域データセンタ2000は、それぞれ任意の個数が存在してもよい。しかし、計算リソース提供装置3000は少なくとも独立した3個以上の装置が存在しなければならない。それは、膨大な計算リソースの過半数を、特定の者が制御できる状況となった場合には、データの完全性を担保できなくなる可能性があるからである。
An arbitrary number of
なお、地域データセンタ2000は、必ずしも地理的な位置関係ごとに設置される必要はなく、自動車メーカーやサービス提供者や公的機関などが設置してもよい。
The
(データ保存装置1000)
図2に、本実施形態のデータ保存装置1000の一例を図示する。データ保存装置1000は自動車等の車両A、B、CおよびDに含まれる。データ保存装置1000は、データの完全性を担保したい自動車のデータ(例えばドライブレコーダーのログデータやサイバーセキュリティ上の攻撃検知データなど)を収集し、一時保存し、サーバーに送信する機能を有する。データ保存装置1000は、各種情報を入力するための入力部1100、制御部1200、記憶部1300および各種情報を出力するための出力部1400を含んで構成される。
(Data storage device 1000)
FIG. 2 illustrates an example of the
図2に示すデータ保存装置1000は一般的なコンピュータである。一般的なコンピュータが制御プログラムを実行することにより、図2に示す機能を実現する。また、制御部1200はCPU(Central Processing Unit)である。制御部1200は、記憶部1300に記憶されたデータを読み書きしたり、入力部1100および出力部1400とデータを入出力したりして、データ保存装置1000における処理を実行する。
The
また、記憶部1300は、ROM(Read Only Memory)、RAM(Random access memory)、ハードディスク等である。記憶部1300は、制御部1200が処理を実行するための入力データ、出力データおよび中間データなどの各種データを記憶する。 The storage unit 1300 is a ROM (Read Only Memory), a RAM (Random access memory), a hard disk, or the like. The storage unit 1300 stores various data such as input data, output data, and intermediate data for the control unit 1200 to execute processing.
入力部1100は各種のインターフェース機能を有しており、制御部1200の制御によって取得しようとする情報の種類に応じてインターフェース機能を切り替えることが可能に構成されている。
The
制御部1200は、入力部1100および出力部1400を制御する入出力制御部1210、セキュアデータ取得部1220、車両特定情報取得部1230および車両データ生成部1240を含んで構成される。さらに、必須の構成要件ではないが、必要に応じて、制御部1200は、ハッシュ値計算部1250を含んで構成される場合もある。
The control unit 1200 includes an input /
入出力制御部1210は、制御部1200が取得しようとしている情報に応じて入力部1100のインターフェースを切り換える機能を有する。例えば、入出力制御部1210は、車両A〜Dに搭載されているECU(electronic control unit)等の電子機器からセキュアデータ1311および車両特定情報1313を受信する場合には、ECUとのインターフェース機能を入力部1100から選択する。また、入出力制御部1210は、地域データセンタ2000との間で通信を実行する場合に制御情報を受信する場合には、地域データセンタ2000とのインターフェース機能を入力部1100から選択する。
The input /
セキュアデータ取得部1220は、自動車のECU等の電子機器が生成する完全性を確保したいデータの集合であるセキュアデータ1311を、入力部1100を介して取得し、地域データセンタ2000等のサーバーに送信するまでの間、記憶部1300に記憶する機能を有する。また、セキュアデータ取得部1220は、セキュアデータ1311の生成時刻とデータ種別を特定する情報であるセキュアデータ特定情報1312を生成し、地域データセンタ2000等のサーバーに送信するまでの間、記憶部1300に記憶する機能を有する。これにより、送信経路が確保されているタイミング以外に発生したセキュアデータ1311およびセキュアデータ特定情報1312であっても、サーバーに送信されるまでの間に消失することを防ぐことができる。
The secure
なお、セキュアデータ1311は、データ保存装置1000自体が生成してもよい。また、データ保存装置1000は、セキュアデータ1311およびセキュアデータ特定情報1312を地域データセンタ2000等のサーバーに送信した後も継続して保持してもよい。
The
車両特定情報取得部1230は、セキュアデータ1311の送信元である自動車を特定するための情報である車両特定情報1313を、入力部1100を介して取得し、記憶部1300に記憶する機能を有する。車両特定情報1313は、後述する車両データ1310に含まれて地域データセンタ2000に送信される。したがって、地域データセンタ2000は、車両特定情報1313によって車両データ1310の送信元である自動車を認識することができる。データ保存装置1000は、車両特定情報1313を地域データセンタ2000等のサーバーに送信した後も継続して保持してもよい。
The vehicle identification
車両特定情報1313は、車両固有の情報である必要があるため、あらかじめ情報の種類を設定しておくことが望ましい。例えば、車両特定情報1313として車両識別番号(以下、VIN(Vehicle Identification Number)と称する)などを利用することができる。なお、VINを利用した場合には任意の第三者に自動車が特定されてしまうためにプライバシーの問題が生じる可能性がある。このため、VINに対するハッシュ値を生成し、これを固有情報としてもよい。これにより、データ保存装置1000は、地域データセンタ2000に保存した各セキュアデータ1311が、どの車両の情報であるのかを特定するための情報を提供できる。
Since the
車両データ生成部1240は、セキュアデータ1311、セキュアデータ特定情報1312および車両特定情報1313を含むデータセット(以下、車両データ1310と称する)を生成し、地域データセンタ2000に送信する機能を有する。これにより、完全性を担保すべき情報であるセキュアデータ1311を、セキュアデータ1311の所属車両と生成時刻とデータ種別を明確にした状態で、地域データセンタ2000に送信することができる。なお、車両データ1310は、データ保存装置1000の記憶部1300に継続して保持されてもよい。
The vehicle
ハッシュ値計算部1250は、セキュアデータ1311のハッシュ値であるセキュアハッシュ情報1321を演算し、記憶部1300に記憶した後に、地域データセンタ2000に送信する機能を有する。セキュアハッシュ情報1321の詳細については後述する。
The hash
記憶部1300は、セキュアデータ1311、セキュアデータ特定情報1312および車両特定情報1313を含む車両データ1310を記憶する。また、必要に応じて、セキュアハッシュ情報1321も記憶する。
Storage unit 1300
出力部1400は各種のインターフェース機能を有しており、入出力制御部1210の制御によって出力しようとする情報の種類に応じてインターフェース機能を切り替えることが可能に構成されている。
The
(地域データセンタ2000)
図3に、本実施形態の地域データセンタ2000の一例を図示する。地域データセンタ2000は、データ保存装置1000から受信した車両データ1310を、計算リソース提供装置3000の生成するNonce(以下ナンスと称する)を利用して安全に保存する機能を有する(図6および図7を参照)。なお、上述したように地域データセンタ2000は、必ずしも地理的な位置関係ごとに設置される必要はなく、自動車メーカーやサービス提供者や公的機関などが設置してもよい。
(Regional data center 2000)
FIG. 3 illustrates an example of the
図3に示す地域データセンタ2000はサーバーとして機能するコンピュータである。コンピュータが制御プログラムを実行することにより、図3に示す機能を実現する。また、制御部2200はCPUである。制御部2200は、記憶部2300に記憶されたデータを読み書きしたり、入力部2100および出力部2400とデータを入出力したりして、地域データセンタ2000における処理を実行する。
The
また、記憶部2300は、ROM、RAM、ハードディスク等である。記憶部2300は、制御部2200が処理を実行するための入力データ、出力データおよび中間データなどの各種データを記憶する。 The storage unit 2300 is a ROM, RAM, hard disk, or the like. The storage unit 2300 stores various data such as input data, output data, and intermediate data for the control unit 2200 to execute processing.
入力部2100は各種のインターフェース機能を有しており、制御部2200の制御によって取得しようとする情報の種類に応じてインターフェース機能を切り替えることが可能に構成されている。
The
制御部2200は、入力部2100および出力部2400を制御する入出力制御部2210、車両データ取得部2220、車両データ群生成部2230、ハッシュ値計算部2240、ナンス付与前ブロックデータ生成部2250、ナンス取得部2260、ブロックデータ生成部2270、他の地域データセンタのブロックデータ取得部2290を含んで構成される。さらに、必須の構成要件ではないが、必要に応じて、制御部2200は、計算提供リクエスト処理部2280を含んで構成される場合もある。
The control unit 2200 controls the
入出力制御部2210は、制御部2200が取得しようとしている情報に応じて入力部1100のインターフェースを切り換える機能を有する。例えば、入出力制御部2210は、データ保存装置1000から車両データ1310等の情報を受信する場合には、データ保存装置1000とのインターフェース機能を入力部1100から選択する。また、入出力制御部1210は、計算リソース提供装置3000からナンス3320等の情報を受信する場合には、計算リソース提供装置3000とのインターフェース機能を入力部1100から選択する。さらに、入出力制御部1210は、他の地域データセンタ2000との間で通信を実行する場合に車両データ1310等の情報を受信する場合には、他の地域データセンタ2000とのインターフェース機能を入力部1100から選択する。
The input /
車両データ取得部2220は、データ保存装置1000から送信される車両データ1310を、入力部2100を介して受信し、記憶部2300に車両データ2310として記憶する機能を有する。したがって、車両データ1310と車両データ2310は同一のデータである。
The vehicle
車両データ群生成部2230は、車両データ取得部2220が取得した複数の車両データ2310をまとめたデータ群である車両データ群2321を生成する機能を有する。車両データ群2321は、ブロックチェーン技術によって生成されるブロックデータ2330を構成するデータの一部となる。なお、車両データ群2321が含む車両データ2310の量は、計算リソース提供装置3000がナンス3320を導出するための時間の開に発生する車両データ2310の量より多く設定する。また、セキュアデータ1311を含む車両データ2310の完全性が担保されるまでの猶予時間から、ナンス導出に要する時間を引いた時間を、車両データ2310を集めて車両データ群2321を生成する時間の上限として設定する。
The vehicle data
ハッシュ値計算部2240は、ブロックチェーン技術によって生成された直前のブロックデータのハッシュ値を計算し、計算結果を前ブロックハッシュ値2322として記憶部2300に記憶する機能を有する。車両データ群2321および前ブロックハッシュ値2322を関連づけてナンス付与前ブロックデータ2320と称し、記憶部2300で記憶する。
The hash
また、ハッシュ値計算部2240は、計算リソース提供装置3000が計算したナンス3320を受信し、当該ナンス3320とナンス付与前ブロックデータ2320を含むブロックデータ2330のハッシュ値を計算する機能を有する。
The hash
さらに、ハッシュ値計算部2240は、他の地域データセンタ2000から受信したブロックデータ2330のハッシュ値を計算する機能も有する。したがって、ブロックデータ2330は複数の地域データセンタ2000で生成されたブロックデータを含む場合もある。
Furthermore, the hash
ナンス付与前ブロックデータ生成部2250は、車両データ群2321と、ハッシュ値計算部2240が計算した直前のブロックデータの前ブロックハッシュ値2322とを含むナンス付与前ブロックデータ2320を生成する機能を有する。ナンス付与前ブロックデータ2320は計算リソース提供装置3000へ送信され、計算リソース提供装置3000がナンス付与前ブロックデータ2320に適合するナンス3320を計算する。すなわち、ナンス付与前ブロックデータ生成部2250は、ナンス付与前ブロックデータ2320を計算リソース提供装置3000へ送信する機能を有する。これにより、情報の完全性を担保する仕組みで利用する情報の一部であるナンスを導出するための計算を、計算リソース提供装置3000に依頼をすることができる。
The pre-nonce block
ナンス取得部2260は、計算リソース提供装置3000がナンス付与前ブロックデータ2320に適合するように計算したナンス3320を受信し、記憶部2300にナンス2331として記憶する機能を有する。すなわち、計算リソース提供装置3000計算したナンス3320が地域データセンタ2000のブロックデータ2330に含まれるナンス2331として記憶される。これにより、地域データセンタ2000は、完全性を担保すべき情報であるセキュアデータ1311の完全性を担保した状態で保存するために必要な情報の一部を入手することができる。
The
また、ナンス取得部2260は、すでにナンス付与前ブロックデータ2320に対する正しいナンスを受信済みである場合には、新たに受信したナンスを破棄する。これにより、完全性を担保すべき情報であるセキュアデータ1311の完全性が担保されない重複した状態で、ブロックデータ2330が保存されることを防ぐことができる。
Further, when the
ブロックデータ生成部2270は、車両データ群2321と、前ブロックハッシュ値2322と、ナンス取得部2260が取得したナンス2331を含むブロックデータ2330を生成し、ブロックデータ2330を記憶部2300に記憶する機能を有する。これによって、車両データ群2321に含まれる完全性を担保すべき情報であるセキュアデータ1311を、完全性を担保した状態で保存できる。
The block
また、ブロックデータ生成部2270は、生成したブロックデータ2330を、他の地域データセンタ2000に送信する機能を有する。これにより、ブロックデータ2330を他の地域データセンタ2000と共有することができるようになり、ブロックデータ2330を自地域データセンタ2000のみで保存するよりも、より高度に完全性を担保することができるようになる。
The block
他の地域データセンタのブロック取得部2290は、他の地域データセンタ2000が送信するブロックデータ2330を受信し、記憶部2300に記憶する機能を有する。これにより、ブロックデータ2330を単一の地域データセンタ2000のみで保持するよりも、より高度にブロックデータ2330の完全性を担保することができるようになる。
The
計算提供リクエスト処理部2280の詳細については後述する。
Details of the calculation provision
記憶部2300は、データ保存装置1000から送信された車両データ2310、車両データ群2321および前ブロックハッシュ値2322を含むナンス付与前ブロックデータ2320、ナンス付与前ブロックデータ2320に対して計算リソース提供装置3000が計算したナンス2331を含むブロックデータ2330、計算リソース提供装置リスト2340およびブロックデータ生成時刻情報2350を含んで構成される。
The storage unit 2300 provides the calculation
車両データ2310については上述したので、説明の重複を避けるためにここでの説明は省略する。
Since the
ナンス付与前ブロックデータ2320について図12を参照して説明する。図12は地域データセンタ2000bにおけるナンス付与前ブロックデータ2320を詳細に説明するための図である。図12におけるナンス付与前ブロックデータ2320は、車両データ群2321と前ブロックハッシュ値2322を含んで構成される。
The
車両データ群2321は図1における車両Bから送信された車両データB1、車両Cから送信された車両データC1、車両Dから送信された車両データD1等の車両データを含んで構成されてもよい。車両データB1、車両データC1、車両データD1は固定長でも可変長でもよい。また、一例として、車両Cおよび車両Dのエンジンが停止している場合などであって、車両Cおよび車両Dでセキュアデータ1311が発生していない場合には、車両データC1および車両データD1は、車両Bから引き続き送信された車両データであってもよい。前ブロックハッシュ値2322は直前のブロックデータに対してハッシュ値計算部2240が演算したハッシュ値である。
The
ブロックデータ2330について図13を参照して説明する。図13は地域データセンタ2000bにおけるブロックデータ2330を詳細に説明するための図である。図13におけるブロックデータ2330は、車両データ群2321、前ブロックハッシュ値2322およびナンス2331を含んで構成される。
The
車両データ群2321および前ブロックハッシュ値2322は図12において説明したので、記載の重複を避けるためにここでは記載を省略する。ナンス2331は、地域データセンタ2000bから送信された図12のナンス付与前ブロックデータ2320に対して、いずれかの計算リソース提供装置3000が導出したナンス2331であって、最初に導出されたナンス2331である。地域データセンタ2000bは、ナンス2331を含むブロックデータ2330のハッシュ値をハッシュ値計算部2240が計算して、ハッシュ値があらかじめ定められた条件に合致する値のハッシュ値かを検算する。検算した結果、ブロックデータ2330のハッシュ値があらかじめ定められた条件に合致する値のハッシュ値である場合には、地域データセンタ2000bの制御部2200はブロックデータ2330を記憶部2300に記憶する。そして、制御部2200はブロックデータ2330を地域データセンタ2000aおよび地域データセンタ2000cに送信する。したがって、ブロックデータ2330は複数の地域データセンタ2000に分散されて記憶されることになる。
Since the
計算リソース提供装置リスト2340は、ナンス2331を計算するための計算リソースを提供する計算リソース提供装置3000、または、計算リソース提供装置を保有する自動車のリストである。なお、計算リソース提供装置リスト2340は、計算リソース提供装置3000を保有する自動車との通信に必要な宛先アドレスを持つ。これにより、ナンス導出の計算を依頼するためのメッセージの送信先に関する情報を、制御部2200のブロックデータ生成部2270に提供することができる。
The calculation resource providing
ブロックデータ生成時刻情報2350は、ブロックデータ生成部2270がブロックデータ2330を生成した時刻を示す情報である。ブロックデータ生成時刻情報2350の使用方法については、後述する。
The block data
出力部2400は各種のインターフェース機能を有しており、入出力制御部2210の制御によって出力しようとする情報の種類に応じてインターフェース機能を切り替えることが可能に構成されている。
The
(計算リソース提供装置3000)
図4に、本実施形態の計算リソース提供装置3000の一例を図示する。計算リソース提供装置3000は、各種情報を入力するための入力部3100、制御部3200、記憶部3300および各種情報を出力するための出力部3400を含んで構成される。
(Computing resource providing device 3000)
FIG. 4 illustrates an example of the computing
図4に示す計算リソース提供装置3000は一般的なコンピュータである。一般的なコンピュータが制御プログラムを実行することにより、図4に示す機能を実現する。また、制御部3200はCPUである。制御部3200は、記憶部3300に記憶されたデータを読み書きしたり、入力部3100および出力部3400とデータを入出力したりして、計算リソース提供装置3000における処理を実行する。
The calculation
また、記憶部3300は、ROM、RAM、ハードディスク等である。記憶部3300は、制御部3200が処理を実行するための入力データ、出力データおよび中間データなどの各種データを記憶する。 The storage unit 3300 is a ROM, RAM, hard disk, or the like. The storage unit 3300 stores various data such as input data, output data, and intermediate data for the control unit 3200 to execute processing.
入力部3100は各種のインターフェース機能を有しており、制御部3200の制御によって取得しようとする情報の種類に応じてインターフェース機能を切り替えることが可能に構成されている。
The
制御部3200は、入力部3100および出力部3400を制御する入出力制御部3210、ナンス付与前ブロックデータ取得部3220、ナンス計算部3230およびナンス出力部3231を含んで構成される。さらに、必須の構成要件ではないが、必要に応じて、制御部3200は、計算提供リクエスト生成部3240を含んで構成される場合もある。
The control unit 3200 includes an input /
入出力制御部3210は、制御部3200が取得しようとしている情報に応じて入力部3100のインターフェースを切り換える機能を有する。例えば、入出力制御部3210は、地域データセンタ2000からナンス付与前ブロックデータ2320の受信を実行する場合には、地域データセンタ2000とのインターフェース機能を入力部1100から選択する。
The input /
ナンス付与前ブロックデータ取得部3220は、地域データセンタ2000が送信したナンス付与前ブロックデータ2320を受信し、記憶部3300にナンス付与前ブロックデータ3310として記憶する機能を有する。これにより、セキュアデータ1311の完全性を担保する仕組みであるブロックチェーン技術を利用するブロックデータ2330の一部を構成するナンス3320を導出するための計算に必要な情報を入手できる。
The nonce non-grant block
また、ナンス付与前ブロックデータ取得部3220は、新たなナンス付与前ブロックデータ2320を受信した際に、ナンス計算部3230で以前に受信したナンス付与前ブロックデータ2320に対するナンス3320の導出が終了していない揚合には、以前に受信したナンス付与前ブロックデータ2320を破棄し、新たに受信したナンス付与前ブロックデータ2320に対して、ナンス導出のための計算を開始する。これにより、すでに他の計算リソース提供装置3000によって導出されたナンスのための計算を続けることなく、新たなナンス付与前ブロックデータ2320に対するナンス導出のための計算を開始することができる。
In addition, when the
ナンス計算部3230は、ナンス付与前ブロックデータ取得部3220によって受信したナンス付与前ブロックデータ3310に仮のナンスを付与して生成したブロックデータのハッシュ値が、あらかじめ定めた規則に則る条件に合致する値となるようなナンス3320を導出する。なお、この具体的な計算方法およびあらかじめ定めた規則としては、例えば、ビットコインで用いられるブロックチェーン技術などを利用してもよい。また、前記規定値はセキュアロギングシステム10が任意の値に設定することができる。
The
ナンス出力部3231は、ナンス計算部3230によって導出したナンス3320を、出力部3400を介して地域データセンタ2000に送信する機能を有する。この際にどのナンス付与前ブロックデータ3310に対するナンス3320かを示すために、ナンス3320と共に、ナンス付与前ブロックデータ3310を送信してもよい。これにより、情報の完全性を担保する仕組みで利用する情報の一部である導出したナンス3320を、地域データセンタ2000で受信することができる。
The
記憶部3300には、ナンス付与前ブロックデータ3310およびナンス3320を含む情報が記憶される。ナンス付与前ブロックデータ3310は、ナンス付与前ブロックデータ取得部3220が地域データセンタ2000から受信したナンス付与前ブロックデータ2320と同一であって、ナンス計算部3230で使用するデータである。また、ナンス3320は、ハッシュ値があらかじめ定めた規則に則る条件に合致する値となるようにナンス計算部3230が計算したナンスである。
The storage unit 3300 stores information including
出力部3400は各種のインターフェース機能を有しており、入出力制御部3210の制御によって出力しようとする情報の種類に応じてインターフェース機能を切り替えることが可能に構成されている。
The
(データ保存装置1000の処理フロ−)
図5は、本実施形態のデータ保存装置1000の処理フロ−の一例を示す図である。
(Processing flow of the data storage device 1000)
FIG. 5 is a diagram showing an example of a processing flow of the
ステップS501において、セキュアデータ取得部1220は、自動車のECU等の電子機器が生成する完全性を確保したいデータの集合であるセキュアデータ1311を、入力部1100を介して取得する。そして、セキュアデータ取得部1220はセキュアデータ1311を地域データセンタ2000等のサーバーに送信するまでの間、記憶部1300に保持する。また、セキュアデータ取得部1220は、セキュアデータ1311の生成時刻とデータ種別を特定する情報であるセキュアデータ特定情報1312を生成し、地域データセンタ2000等のサーバーに送信するまでの間、記憶部1300に保持する。さらに、車両特定情報取得部1230は、セキュアデータ1311の送信元である自動車を特定するための情報である車両特定情報1313を、入力部1100を介して取得し、記憶部1300に保持する。次に、データ保存装置1000はステップS502に進む。
In step S501, the secure
ステップS502において、車両データ生成部1240は、ステップS501で取得したセキュアデータ1311、セキュアデータ特定情報1312および車両特定情報1313を含む車両データ1310を生成し、記憶部1300に記憶する。次に、データ保存装置1000はステップS503に進む。
In step S502, vehicle
ステップS503において、車両データ生成部1240は、ステップS502で生成した車両データ1310を、出力部1400を介して地域データセンタ2000に送信する。
In step S503, the vehicle
(地域データセンタ2000の処理フロ−)
図6および図7は、本実施形態の地域データセンタ2000の処理フロ−の一例を示す図である。図6では、地域データセンタ2000が計算リソース提供装置3000にナンス付与前ブロックデータ2320を送信するまでの処理について説明する。図7では、地域データセンタ2000が計算リソース提供装置3000からナンス2331を受信し、ブロックデータ2330を生成および記憶し、他の地域データセンタ2000にブロックデータ2330を送信するまでの処理について説明する。
(Processing flow of regional data center 2000)
6 and 7 are diagrams showing an example of the processing flow of the
図6のステップS601において、車両データ取得部2220はデータ保存装置1000から送信されてくる車両データ1310の受信待ちをする。次に、車両データ取得部2220はステップS602に進む。
In step S601 of FIG. 6, the vehicle
ステップS602において、車両データ取得部2220は規定時間が経過したか、車両データ1310が受信されたかを判断する。規定時間が経過した場合(ステップS602:規定時間経過)には、制御部2200はステップS605に進む。車両データ1310が受信された場合(ステップS602:車両データ受信)には、制御部2200はステップS603に進む。ここで、規定時間とは車両データ群2321の生成を開始するまでの時間であって、セキュアロギングシステム10が設定する任意の時間である。なお、セキュアデータ1311を含む車両データ2310の完全性が担保されるまでの猶予時間から、ナンス導出に要する時間を引いた時間を、車両データ2310を集めて車両データ群2321を生成する時間の上限として設定する。
In step S602, vehicle
ステップS603において、車両データ取得部2220はデータ保存装置1000から送信された車両データ1310を取得し、記憶部2300に車両データ1310を車両データ2310として記憶する。次に、車両データ取得部2220はステップS604に進む。
In step S603, the vehicle
ステップS604において、車両データ取得部2220は車両データ1310を含む車両データ群2321を生成するために必要な規定データ量の車両データ1310を受信したか否かを判断する。規定データ量の車両データ1310を受信した場合(ステップS604:YES)には、制御部2200はステップS605に進む。規定データ量の車両データ1310を受信していない場合(ステップS604:NO)には、制御部2200はステップS601に進む。規定データ量は、複数の車両データ1310を含むことが想定されるが、1つの車両データ1310によって規定データ量に達する場合もある。規定データ量はセキュアロギングシステム10が設定する任意のデータ量である。なお、車両データ群2321が含む車両データ2310の規定データ量は、計算リソース提供装置3000がナンスを導出するための時間の開に発生する車両データ2310の量より多く設定する。
In step S604, the vehicle
ステップS605において、車両データ群生成部2230は、車両データ取得部2220が取得した複数の車両データ2310をまとめたデータ群である車両データ群2321を生成する。車両データ群2321は、ブロックチェーン技術によって生成されるブロックデータを構成するデータの一部となる。次に、制御部2200はステップS606に進む。
In step S605, the vehicle data
ステップS606において、ハッシュ値計算部2240は、ブロックチェーン技術によって生成された直前のブロックデータのハッシュ値を計算し、計算結果を前ブロックハッシュ値2322として記憶部2300に記憶する。次に、制御部2200はステップS607に進む。
In step S606, the hash
ステップS607において、ナンス付与前ブロックデータ生成部2250は、車両データ群2321と、ハッシュ値計算部2240が計算した直前のブロックデータの前ブロックハッシュ値2322とを含むナンス付与前ブロックデータ2320を生成する。次に、制御部2200はステップS608に進む。
In step S607, the nonce-giving block
ステップS608において、ナンス付与前ブロックデータ生成部2250は、記憶部2300に記憶されている計算リソース提供装置リスト2340からナンス付与前ブロックデータ2320を送信するべきすべてのアドレスを取得する。次に、ナンス付与前ブロックデータ生成部2250はステップS609に進む。
In step S608, the nonce granting block
ステップS609において、ナンス付与前ブロックデータ生成部2250は、ステップS608で取得したすべてのアドレスに、ナンス付与前ブロックデータ2320を、出力部2400を介して出力する。
In step S609, the nonce-attached block
図7のステップS701において、ナンス取得部2260は、計算リソース提供装置3000からナンス付与前ブロックデータ3310に対するナンス3320を取得する。次に、制御部2200はステップS702に進む。
In step S <b> 701 of FIG. 7, the
ステップS702において、ナンス取得部2260は、計算リソース提供装置3000からナンス付与前ブロックデータ2320に対する正しいナンスを既に受信しているか否かを判断する。正しいナンスを既に受信している場合(ステップS702:YES)には、ナンス取得部2260はステップS703に進む。正しいナンスをまだ受信していなかった場合(ステップS702:NO)には、制御部2200はステップS704に進む。
In step S <b> 702, the
ステップS703において、ナンス取得部2260は、計算リソース提供装置3000からステップS701で受信したナンス3320を破棄する。ステップS703の処理は、同一の前ブロックハッシュ値2322を有するブロックデータ2330の重複登録を防ぐための処理である。
In step S703, the
ステップS704において、ブロックデータ生成部2270は、車両データ群2321と、前ブロックハッシュ値2322と、ナンス取得部2260が取得したナンス2331を含むブロックデータ2330を生成する。次に、制御部2200はステップS705に進む。
In step S704, the block
ステップS705において、ハッシュ値計算部2240は、ステップS704で生成されたブロックデータ2330のハッシュ値を計算する。次に、制御部2200はステップS706に進む。
In step S705, the hash
ステップS706において、ハッシュ値計算部2240は、計算されたハッシュ値が規定値内のハッシュ値であるか否かを判断する。計算されたハッシュ値が規定値内のハッシュ値である場合(ステップS706:YES)には、制御部2200はステップS708に進む。計算されたハッシュ値が規定値内のハッシュ値ではない場合(ステップS706:NO)には、制御部2200はステップS707に進む。なお、規定値はセキュアロギングシステム10が任意の値に設定することができる。
In step S706, the hash
ステップS707において、制御部2200はステップS704で生成されたブロックデータ2330とステップS701で受信したナンス3320とを廃棄する。ステップS707の処理は、不正なハッシュ値を持つブロックデータの登録を阻止する処理である。
In step S707, the control unit 2200 discards the
ステップS708において、制御部2200はステップS704で生成されたブロックデータ2330を正しいブロックデータとして記憶部2300に記憶する。次に、制御部2200はステップS709に進む。
In step S708, the control unit 2200 stores the
ステップS709において、制御部2200はステップS704で生成されたブロックデータ2330を、出力部2400を介して、他の地域データセンタ2000に送信する。
In step S709, the control unit 2200 transmits the
(計算リソース提供装置3000の処理フロ−)
図8は、本実施形態の計算リソース提供装置3000の処理フロ−の一例を示す図である。
(Processing flow of the computing resource providing device 3000)
FIG. 8 is a diagram showing an example of a processing flow of the computing
ステップS801において、ナンス付与前ブロックデータ取得部3220は、地域データセンタ2000から送信されるナンス付与前ブロックデータ2320を取得し、記憶部3300にナンス付与前ブロックデータ3310として記憶する。すなわち、ナンス付与前ブロックデータ2320とナンス付与前ブロックデータ3310は同一のデータである。次に、制御部3200はステップS802に進む。
In step S801, the nonce non-grant block
ステップS802において、ナンス計算部3230は、ナンス付与前ブロックデータ3310に対して仮のナンスである仮ナンスを設定する。ナンス計算部3230は仮ナンスを任意の値に設定することができる。次に、制御部3200はステップS803に進む。
In step S <b> 802, the
ステップS803において、ナンス計算部3230は、ナンス付与前ブロックデータ3310と仮ナンスを含むブロックデータに対して、ハッシュ値を計算する。次に、制御部3200はステップS804に進む。
In step S803, the
ステップS804において、ナンス付与前ブロックデータ取得部3220は、新たなナンス付与前ブロックデータ2320を受信したか否かを判断する。新たなナンス付与前ブロックデータ2320が受信された場合(ステップS804:YES)には、ステップS803でハッシュ値を計算しているナンス付与前ブロックデータ3310を破棄し、制御部3200はステップS802に進む。新たなナンス付与前ブロックデータ2320が受信されない場合(ステップS804:NO)には、制御部3200はステップS805に進む。
In step S804, the pre-nonce addition block
ステップS805において、ステップS803で計算されたハッシュ値が規定値内のハッシュ値であるか否かが判断される。計算されたハッシュ値が規定値内のハッシュ値である場合(ステップS805:YES)には、制御部3200はステップS806に進む。計算されたハッシュ値が規定値内のハッシュ値ではない場合(ステップS805:NO)には、制御部3200はステップS802に進み、ナンス計算部3230は異なる仮ナンスを設定する。
In step S805, it is determined whether the hash value calculated in step S803 is within the specified value. When the calculated hash value is within the specified value (step S805: YES), the control unit 3200 proceeds to step S806. When the calculated hash value is not the hash value within the specified value (step S805: NO), the control unit 3200 proceeds to step S802, and the
ステップS806において、ナンス出力部3231は、ナンス計算部3230で計算されたハッシュ値があらかじめ定められた条件に合致する値になるように仮設定された仮ナンスを正式なナンス3320として、地域データセンタ2000に送信する。
In step S806, the
(データ保存装置1000、地域データセンタ2000および計算リソース提供装置3000間の通信シーケンス)
図9にデータ保存装置1000、地域データセンタ2000および計算リソース提供装置3000間の通信シーケンスの一例を図示する。
(Communication sequence between the
FIG. 9 illustrates an example of a communication sequence among the
ステップS901において、データ保存装置1000はセキュアデータ1311を自動車のECUから取得し、または、データ保存装置1000がセキュアデータ1311を生成する。
In step S901, the
ステップS902において、データ保存装置1000の車両データ生成部1240は、セキュアデータ1311、セキュアデータ特定情報1312および車両特定情報1313を含む車両データ1310を生成する。
In step S902, vehicle
ステップS903において、車両データ生成部1240は、生成した車両データ1310を地域データセンタ2000に送信する。
In step S903, vehicle
ステップS904において、地域データセンタ2000の車両データ群生成部2230は、車両データ2310から車両データ群2321を生成する。
In step S904, vehicle data
ステップS905において、ハッシュ値計算部2240は直前のブロックデータのハッシュ値である前ブロックハッシュ値2322を計算して生成する。
In step S905, the hash
ステップS906において、ナンス付与前ブロックデータ生成部2250は車両データ群2321および前ブロックハッシュ値2322を含むナンス付与前ブロックデータ2320を生成する。
In step S906, the nonce-attached block
ステップS907において、ナンス付与前ブロックデータ生成部2250は計算リソース提供装置リスト2340から宛先アドレスを取得する。
In step S907, the nonce-attached block
ステップS908において、ナンス付与前ブロックデータ生成部2250は宛先アドレスに対応する計算リソース提供装置3000にナンス付与前ブロックデータ2320を送信する。
In step S908, the nonce block
ステップS909において、計算リソース提供装置3000において計算中のナンス付与前ブロックデータ3310がある場合には、計算リソース提供装置3000は当該計算中のナンス付与前ブロックデータ3310を破棄する。
In step S909, if there is
ステップS910において、計算リソース提供装置3000は受信したナンス付与前ブロックデータ2320に仮ナンスを付与する。
In step S910, the calculation
ステップS911において、計算リソース提供装置3000のナンス計算部3230は、ナンス付与前ブロックデータ2320に仮ナンスを付与したブロックデータのハッシュ値を計算する。
In step S911, the
ステップS912において、ナンス計算部3230は計算したハッシュ値の判定をする。計算されたハッシュ値が規定値内のハッシュ値である場合には、計算リソース提供装置3000はステップS913に進む。計算されたハッシュ値が規定値内のハッシュ値ではない場合には、計算リソース提供装置3000はステップS910に進み、ナンス計算部3230は異なる仮ナンスを設定する。
In step S912, the
ステップS913において、計算リソース提供装置3000のナンス出力部3231はナンス3320を地域データセンタ2000に送信する。
In step S 913, the
ステップS914において、地域データセンタ2000はステップS913において受信したナンス3320およびステップS908において送信したナンス付与前ブロックデータ2320を含むブロックデータ2330を生成する。
In step S914, the
ステップS915において、地域データセンタ2000のハッシュ値計算部2240はブロックデータ2330のハッシュ値を計算する。
In step S915, the hash
ステップS916において、ステップS915で計算されたハッシュ値が規定値内のハッシュ値である場合には、制御部2200はステップS914で生成されたブロックデータ2330を正しいブロックデータとして記憶部2300に記憶する。
In step S916, when the hash value calculated in step S915 is within the specified value, the control unit 2200 stores the
ステップS917において、制御部2200はステップS914で生成されたブロックデータ2330を、出力部2400を介して他の地域データセンタ2000に送信する。
In step S917, the control unit 2200 transmits the
以上説明したように、従来技術におけるデータ保存機器による物理的封印では、物理的に破壊した後に、物理的封印の再生が可能であれば、データ改ざんの事実を知られずに、データ改ざんができてしまうという課題があった。さらに、従来技術におけるデータ保存機器の物理的封印では、物理的破壊を伴わない電気的な手段による攻撃には対応できずに無力であるという課題があった。しかし、本実施形態では、データそのもの、或いは、データの正しさを証明する情報をサーバーである地域データセンタ2000に保管する。したがって、物理的手段または電気的手段を問わず、クライアントとしてのデータ保存装置1000へアクセスして、保存されているデータの改ざんをしても、改ざん事実の検知がサーバーである地域データセンタ2000で可能となる。
As described above, in the conventional physical sealing by the data storage device, if the physical sealing can be reproduced after the physical destruction, the data can be tampered without knowing the fact of the data tampering. There was a problem of being lost. Further, the physical sealing of the data storage device in the related art has a problem that it is ineffective because it cannot cope with an attack by an electric means that does not cause physical destruction. However, in the present embodiment, the data itself or the information proving the correctness of the data is stored in the
また、従来技術における暗号技術を利用したデータ認証では、秘密情報の漏えい事実を認識することが難しいため、秘密情報の漏えい後の改ざん検知は困難であるという課題があった。しかし、本実施形態では、データの完全性は、秘密情報には依存していないため、秘密情報の漏えいによる改ざん検知の困難性は生じない。 Further, in the data authentication using the encryption technique in the conventional technology, it is difficult to recognize the fact that the confidential information has been leaked, so that there is a problem that it is difficult to detect falsification after the leakage of the confidential information. However, in the present embodiment, the integrity of the data does not depend on the secret information, and therefore the tampering detection by the leakage of the secret information does not occur.
さらに、従来技術におけるサーバー保存手法では、サーバーの信頼性に頼れない場合には、データの完全性を担保できなかった。しかし、本実施形態では、サーバーに保存してあるデータの改ざんには膨大な計算量が必要であるために改ざんは現実的ではない。したがって、サーバーに保存してあるデータの改ざんの困難性から、サーバーに信頼性がなくとも、データの改ざん検知が可能である。 Furthermore, the server storage method in the related art cannot guarantee the integrity of data unless the reliability of the server can be relied upon. However, in the present embodiment, falsification of data stored in the server requires an enormous amount of calculation, so falsification is not practical. Therefore, due to the difficulty of tampering with the data stored in the server, the tampering of the data can be detected even if the server is not reliable.
さらに、従来技術におけるブロックチェーン技術を用いたビットコインでは、データの完全性を担保している膨大な計算量を提供するためのモチベーションの維持が金銭的対価以外では困難であった。すなわち、ブロックチェーン技術を、金銭的価値を生むシステム以外へ適用するためには、システムの維持方法に課題があった。しかし、本実施形態では、自動車における余剰計算リソースを活用するため、計算量の提供者に不便を生じさせずに膨大な計算量の確保ができることから、システムを維持することが可能となった(図16参照)。 Further, in the bitcoin using the blockchain technology in the related art, it is difficult to maintain the motivation for providing a huge amount of calculation that guarantees the integrity of data other than financial consideration. In other words, there is a problem in the system maintenance method in order to apply the blockchain technology to a system other than a system that produces financial value. However, in the present embodiment, since the surplus calculation resource in the automobile is utilized, a huge amount of calculation can be secured without causing inconvenience to the provider of the calculation amount, so that the system can be maintained ( (See FIG. 16).
(変形例1)
地域データセンタ2000間でブロックデータ2330を共有するため、ブロックデータ2330に含まれるあらゆる車両の車両データ1310そのものを地域データセンタ2000で記憶するには、膨大な記憶領域が必要になる。特に、車両データ1310に含まれるセキュアデータ1311のデータ量が膨大になる可能性がある。
(Modification 1)
Since the
そこで、地域データセンタ2000で記憶されるデータ量を圧縮するために、データ保存装置1000においてセキュアデータ1311を記憶させ、セキュアデータ1311の完全性を担保するシステムが変形例として挙げられる。
Therefore, in order to compress the amount of data stored in the
この場合、地域データセンタ2000では、データ保存装置1000に記憶されたセキュアデータ1311をセキュアにアクセスするためのセキュアハッシュ情報1321をセキュアデータ1311の代わりに記憶する。セキュアハッシュ情報1321には、セキュアデータ1311のハッシュ情報が含まれる。
In this case, the
すなわち、車両データ1310(図15)を、セキュアデータ1311のハッシュ情報であるセキュアハッシュ情報1321、車両特定情報1313およびセキュアデータ特定情報1312のデータセットである車両ハッシュ化データ1320(図14)で置き換えたセキュアロギングシステム10とすることで、地域データセンタ2000に記憶するデータ量を圧縮することができる。
That is, the vehicle data 1310 (FIG. 15) is replaced with vehicle hashed data 1320 (FIG. 14) which is a data set of
つまり、セキュアロギングシステム10におけるデータ保存装置1000の記憶部1300でセキュアデータ1311を記憶し、データ保存装置1000のハッシュ値計算部1250でセキュアデータ1311のセキュアハッシュ情報を生成する。セキュアハッシュ情報にはハッシュ値の他に、ハッシュ関数に関する情報が含まれる場合もある。
That is, the
車両データ生成部1240は、セキュアハッシュ情報1321、車両特定情報1313およびセキュアデータ特定情報1312を含む車両ハッシュ化データ1320を生成し、地域データセンタ2000に送信する。これにより、完全性を担保すべきセキュアデータ1311のハッシュ情報であるセキュアハッシュ情報1321を、セキュアデータ1311の所属車両と生成時刻とデータ種別を明確にした状態で、地域データセンタ2000に送信することができる。
The vehicle
(変形例2)
(データ保存装置1000と地域データセンタ2000の通信)
データ保存装置1000と地域データセンタ2000との問で、車両データ1310(図2、図15)または車両ハッシュ化データ1320(図14)を確実に送受信するために、受信応答などの送受信処理を実施するコントロール通信が必要である。
(Modification 2)
(Communication between the
In order to reliably transmit / receive vehicle data 1310 (FIGS. 2 and 15) or vehicle hashed data 1320 (FIG. 14) between the
そこで、データ保存装置1000の入出力制御部1210および地域データセンタ2000の入出力制御部2210は、コントロール通信を実施する。なお、コントロール通信の具体例としては、TCP通信技術やメッセージ認証技術等の技術を利用することを想定する。
Therefore, the input /
当該コントロール通信によって、データ保存装置1000と地城データセンタ2000との間における、車両データ1310、或いは、車両ハッシュ化データ1320の送受信において、情報消失や意図しない情報変化を防ぐことが可能な情報の送受信を実現できる。
By the control communication, in the transmission / reception of the
(変形例3)
(地域データセンタ2000と計算リソース提供装置3000の通信)
地域データセンタ2000と計算リソース提供装置3000との問で、ナンス付与前ブロックデータ2320、或いは、ナンス3320を確実に送受信するために、コントロール通信が必要である。
(Modification 3)
(Communication between the
Control communication is necessary in order to reliably transmit and receive the
そこで、地域データセンタ2000の入出力制御部2210および計算リソース提供装置3000の入出力制御部3210は、コントロール通信を実施する。なお、コントロール通信の具体例としては、TCP通信技術やメッセージ認証技術等の技術を利用することを想定する。
Therefore, the input /
当該コントロール通信によって、地域データセンタ2000と計算リソース提供装置3000との間における、ナンス付与前ブロックデータ2320、或いは、ナンス3320の送受信において、情報消失や意図しない情報変化を防ぐことを実現できる。
(変形例4)
By the control communication, it is possible to prevent information loss and unintentional information change in the transmission / reception of the
(Modification 4)
(地域データセンタ2000間の通信)
地域データセンタ2000問で、ブロックデータ2330を確実に送受信するために、コントロール通信が必要である。
(Communication between regional data centers 2000)
Control communication is required in order to reliably transmit and receive the
そこで、地域データセンタ2000の入出力制御部2210は、コントロール通信を実施する。なお、コントロール通信の具体例としては、TCP通信技術やメッセージ認証技術等の技術を利用することを想定する。
Therefore, the input /
当該コントロール通信によって、地域データセンタ2000間における、ブロックデータ2330の送受信において、情報消失や意図しない情報変化を防ぐことが可能な情報の送受信を実現できる。
By the control communication, it is possible to transmit / receive information capable of preventing information loss or unintentional information change in transmission / reception of
(変形例5)
(計算リソース提供装置3000による計算提供リクエスト)
計算リソース提供装置3000は、余剰計算リソースを提供可能な状態であることを地域データセンタ2000に通知する。すなわち、計算リソース提供装置3000は、ナンス導出のための計算に参加することを表明するために、参加表明の通知と自分の宛先アドレスを、何れかの地域データセンタ2000に送信する。
(Modification 5)
(Calculation request by the calculation resource providing device 3000)
The computing
地域データセンタ2000の計算提供リクエスト処理部2280は、計算リソース提供装置3000が送信する計算リソースを提供する通知を、入力部2100を介して受信する。当該通知には、計算リソース提供装置3000、または、計算リソース提供装置3000を搭載している自動車の宛先アドレスが含まれる。計算提供リクエスト処理部2280は、当該計算リソース提供装置3000の当該通知を計算リソース提供装置リスト2340に加える。
The calculation provision
計算リソースを提供する通知を送信した計算リソース提供装置3000がナンス導出のための計算に参加することが可能であることを、地域データセンタ2000は認識することができる。また、地域データセンタ2000が当該計算リソース提供装置3000と通信するために必要な宛先アドレスを知ることができる。
The
計算リソース提供装置3000の計算提供リクエスト生成部3240は、計算リソースを提供する通知を、地域データセンタ2000に送信する。当該通知には、計算リソース提供装置3000、または、計算リソース提供装置3000を搭載している自動車の宛先アドレスが含まれる。したがって、計算リソース提供装置3000がナンス導出のための計算に参加することが可能であることを、地域データセンタ2000に通知することができる。また、地域データセンタ2000が当該計算リソース提供装置3000と通信するために必要な宛先アドレスを取得することができる。
The calculation provision
(変形例6)
(他の地域データセンタ2000におけるナンス検算)
ナンス検算を、ブロックデータ2330を生成した地域データセンタ2000のみで実施する場合には、ブロックデータ2330が含むセキュアデータ1311の完全性の担保は、1つの地域データセンタ2000の信頼性に依存する。また、ブロックデータ2330の連続性が途切れる可能性もある。そこで、ナンス検算を、ブロックデータ2330を共有するすべての地域データセンタ2000にて実施することで、特定の地域データセンタ2000の信頼性に依存しないセキュアデータ1311の完全性を担保できる。なお、ナンス検算は、受信したブロックデータ2330のハッシュ値を計算し、計算結果のハッシュ値が規定に則した値であることを確認することによって実現できる。
(Modification 6)
(Nance verification at other regional data centers 2000)
When the nonce check is performed only in the
すなわち、地域データセンタ2000のハッシュ値計算部2240は、他の地域データセンタ2000が送信するブロックデータ2330を受信した場合に、受信したブロックデータ2330に対してハッシュ値を計算する。計算結果のハッシュ値が規定に則した値である場合には、ブロックデータ2330に含まれるナンスが適切な値であることが確認され、ナンス検算が終了する。ナンス検算によって、特定の地域データセンタ2000の信頼性に依存しないセキュアデータ1311の完全性担保が実現できる。
That is, the hash
(変形例7)
(地域データセンタ2000間におけるブロックデータ2330の重複登録回避)
本実施形態では、セキュアロギングシステム10の信頼性を確保するために、同一の前ブロックハッシュ値2322を持つ複数のブロックデータ2330が存在することを回避しなければならない。
(Modification 7)
(Avoid duplicate registration of
In this embodiment, in order to secure the reliability of the
そのために、前ブロックハッシュ値2322を利用したナンス導出のための計算を開始している地域データセンタ2000は、ナンス計算開始通知を他の地域データセンタ2000に送信する。ナンス計算開始通知によって、他の地域データセンタ2000が同一の前ブロックハッシュ値2322を持つナンス付与前ブロックデータ2320に対するナンス導出のための計算を開始することを防止できる。また、ナンス2331の導出が完了した場合には、地域データセンタ2000は他の地域データセンタ2000に対して、ナンス2331の導出が終了した旨の通知であるナンス計算終了通知を送信する。ナンス計算開始通知およびナンス計算終了通知によって、同一の前ブロックハッシュ値2322を持つブロックデータ2330が複数存在することを回避できる(図17)。
Therefore, the
具体的には、地域データセンタ2000の入出力制御部2210は、ナンス計算開始通知およびナンス計算終了通知を、他の地域データセンタ2000に送信する。これによって、すでに地域データセンタ2000においてナンス導出のための計算が開始されているナンス付与前ブロックデータ2320の前ブロックハッシュ値2322を持つ、他のナンス付与前ブロックデータ2320に対するナンス導出のための無駄な計算を防止することができる。
Specifically, the input /
図17を参照すれば、例えば直前のブロックデータ100cがある場合に、直前のブロックデータ100cのハッシュ値140cは、次に生成されるべきブロックデータ100dの前ブロックハッシュ値140cとなる。セキュアロギングシステム10では、前ブロックハッシュ値140cを持つブロックデータ100dは1つだけに制限される。したがって、前ブロックハッシュ値140cを持つブロックデータ100d’が存在することはセキュアロギングシステム10では禁止される。そのために、ナンス計算開始通知を受信した地域データセンタ2000は、前ブロックハッシュ値140cを持つナンス付与前ブロックデータ2320を計算リソース提供装置3000に送信しない。そして、ナンス計算終了通知を受信後に、新たなブロックデータ100dを受信し、新たなブロックデータ100dのハッシュ値を前ブロックハッシュ値として利用する。
Referring to FIG. 17, for example, when there is the immediately preceding
(変形例8)
(地域データセンタ2000間におけるナンス導出のための計算依頼の共有化)
1つの地域データセンタ2000の計算リソース提供装置リスト2340の宛先リストに登録された計算リソース提供装置3000だけでナンス導出のための計算を開始するよりも、複数の地域データセンタ2000の計算リソース提供装置リスト2340の宛先リストに登録された計算リソース提供装置3000でナンス導出のための計算をした方が、早くナンスを導出できることが期待できる。
(Modification 8)
(Sharing calculation requests for nonce derivation among regional data centers 2000)
Rather than starting calculation for nonce derivation only with the calculation
このため、複数の地域データセンタ2000の計算リソース提供装置リスト2340の宛先リストに登録された計算リソース提供装置3000によって、ナンス導出のための計算を実施させる。
For this reason, the calculation
具体的には、地域データセンタ2000の入出力制御部2210が前述のナンス計算開始通知を送信すると、ナンス付与前ブロックデータ生成部2250が、生成したナンス付与前ブロックデータ2320を他の地域データセンタ2000に送信する。
Specifically, when the input /
これにより、他の地域データセンタ2000においても、他の地域データセンタ2000に属する計算リソース提供装置3000にナンスを導出するための計算を依頼するために必要な情報を得ることができる。
As a result, also in the other
すなわち、他の地域データセンタ2000のナンス付与前ブロックデータ生成部2250が、ナンス付与前ブロックデータ2320を受信した場合に、受信したナンス付与前ブロックデータ2320を計算リソース提供装置3000に送信する。これにより、他の地域データセンタ2000においても、ナンスを導出するための計算を、計算リソース提供装置3000に依頼することができる。
That is, when the non-grant block
(変形例9)
(地域データセンタ2000間におけるブロックデータの生成機会の均等化)
変形例7で説明したように、地域データセンタ2000がナンス導出のための計算を開始しようとすると、入出力制御部2210はナンス計算開始通知を他の地域データセンタ2000に送信する。その結果、ナンス計算開始通知の送信競争に敗れる地域データセンタ2000は、いつまでたってもブロックデータ2330を生成できない可能性がある。そこで、入出力制御部2210に、他の地域データセンタ2000との調停機能を持たせて、ナンス付与前ブロックデータ2320の生成機会が可能な限り均等になるように調整を行う。
(Modification 9)
(Equalization of block data generation opportunities among the regional data centers 2000)
As described in Modification 7, when the
例えば、入出力制御部2210は、他の地域データセンタ2000と時刻同期を取り、過去にブロックデータ2330を生成した時刻の情報であるブロックデータ生成時刻情報2350を記憶部2300に記憶する。
For example, the input /
入出力制御部2210は、ナンス計算終了通知を受信後の一定期間であるナンス計算調停期間に、ブロックデータ2330を生成することを希望する場合には、ナンス計算を希望する旨の通知であるナンス計算希望通知を他の地域データセンタ2000に送信する。ナンス計算希望通知にはブロックデータ生成時刻情報2350が含まれる。セキュアロギングシステム10はナンス計算調停期間を任意の値に設定することができる。
When the input /
ナンス計算調停期間に受信したナンス計算希望通知に含まれるブロックデータ生成時刻情報2350と、自地城データセンタ2000のブロックデータ生成時刻情報2350とを比較する。自地城データセンタ2000のブロックデータ生成時刻情報2350がもっとも古いものである場合に、自地城データセンタ2000はナンス計算開始通知を送信する。また、ナンス計算開始通知の送信と同時に、ブロックデータ生成時刻情報2350の時刻を現在の時刻で上書きする。
The block data
これにより、ナンス導出を希望する地域データセンタ2000の中で、もっとも古いブロックデータ生成時刻情報2350を持つ地域データセンタ2000が、ブロックデータ2330を生成することができる。したがって、ブロックデータ2330の生成機会の均等化が実現できる。
As a result, the
図10は、地域データセンタ2000間におけるブロックデータ2330の生成機会を均等化するための通信シーケンスの一例を示す図である。
FIG. 10 is a diagram showing an example of a communication sequence for equalizing the generation opportunities of the
図10では、地域データセンタ2000a、地域データセンタ2000bおよび地域データセンタ2000cの3つの地域データセンタ2000間の調停機能について説明する。
In FIG. 10, an arbitration function between the three
ステップS1001において、地域データセンタ2000aの入出力制御部2210aと地域データセンタ2000bの入出力制御部2210bとで時刻同期を取る。
In step S1001, time synchronization is established between the input / output control unit 2210a of the
ステップS1002において、地域データセンタ2000cの入出力制御部2210cと地域データセンタ2000bの入出力制御部2210bとで時刻同期を取る。ステップS1001とステップS1002は順番が逆でもよいし、同時であってもよい。
In step S1002, time synchronization is established between the input / output control unit 2210c of the
ステップS1003において、ナンス計算調停後の過去のブロックデータ生成時刻情報2350がもっとも新しい、地域データセンタ2000cのブロックデータ生成部2270がブロックデータ2330を生成する。
In step S1003, the block
ステップS1004において、地域データセンタ2000cの入出力制御部2210cはナンス計算終了通知を地域データセンタ2000bに送信する。
In step S1004, the input / output control unit 2210c of the
ステップS1005において、地域データセンタ2000cの入出力制御部2210cはナンス計算終了通知を地域データセンタ2000aに送信する。ステップS1004とステップS1005は順番が逆でもよいし、同時であってもよい。
In step S1005, the input / output control unit 2210c of the
ステップS1006において、地域データセンタ2000a、地域データセンタ2000bおよび地域データセンタ2000cでナンス調停期間が開始される。ナンス計算終了通知を送信した地域データセンタ2000cはナンス調停期間の間にナンス計算希望通知を送信することができない。
In step S1006, the nonce arbitration period is started in the
ステップS1007において、地域データセンタ2000bはナンス計算希望通知を地域データセンタ2000cに送信する。
In step S1007, the
ステップS1008において、地域データセンタ2000bはナンス計算希望通知を地域データセンタ2000aに送信する。
In step S1008, the
ステップS1009において、地域データセンタ2000aはナンス計算希望通知を地域データセンタ2000bに送信する。
In step S1009, the
ステップS1010において、地域データセンタ2000aはナンス計算希望通知を地域データセンタ2000cに送信する。ステップS1007〜ステップS1010は順番が前後してもよいし、同時であってもよい。
In step S1010, the
ステップS1011において、地域データセンタ2000a、地域データセンタ2000bおよび地域データセンタ2000cでナンス調停期間が終了する。
In step S1011, the nonce arbitration period ends at the
ステップS1012において、地域データセンタ2000bの入出力制御部2210bは、地域データセンタ2000bのブロックデータ生成時刻情報2350bと地域データセンタ2000aのブロックデータ生成時刻情報2350aとを比較する。ブロックデータ生成時刻情報2350aは地域データセンタ2000aが送信したナンス計算希望通知に含まれる。ブロックデータ生成時刻情報2350aの時刻がブロックデータ生成時刻情報2350bよりも前の時刻であるために、地域データセンタ2000bはナンス計算開始通知を送信しない。
In step S1012, the input / output control unit 2210b of the
ステップS1013において、地域データセンタ2000aの入出力制御部2210aは、地域データセンタ2000aのブロックデータ生成時刻情報2350aと地域データセンタ2000bのブロックデータ生成時刻情報2350bとを比較する。ブロックデータ生成時刻情報2350bは地域データセンタ2000bが送信したナンス計算希望通知に含まれる。ブロックデータ生成時刻情報2350aの時刻がブロックデータ生成時刻情報2350bよりも前の時刻であるために、地域データセンタ2000aはナンス計算開始通知を送信する。ステップS1012とステップS1013は順番が前後してもよいし、同時であってもよい。
In step S1013, the input / output control unit 2210a of the
ステップS1014において、地域データセンタ2000aの入出力制御部2210aは、ナンス計算開始通知を地域データセンタ2000bに送信する。
In step S1014, the input / output control unit 2210a of the
ステップS1015において、地域データセンタ2000aの入出力制御部2210aは、ナンス計算開始通知を地域データセンタ2000cに送信する。ステップS1014とステップS1015は順番が前後してもよいし、同時であってもよい。
In step S1015, the input / output control unit 2210a of the
実施形態につき、図面を参照しつつ詳細に説明したが、以上の実施形態に記載した内容により本発明が限定されるものではない。また、上記に記載した構成要素には、当業者が容易に想定できるもの、実質的に同一のものが含まれる。さらに、上記に記載した構成は適宜組み合わせることが可能である。また、本発明の要旨を逸脱しない範囲で構成の種々の省略、置換又は変更を行うことができる。 Although the embodiments have been described in detail with reference to the drawings, the present invention is not limited to the contents described in the above embodiments. Further, the constituent elements described above include those that can be easily conceived by those skilled in the art and those that are substantially the same. Furthermore, the configurations described above can be appropriately combined. In addition, various omissions, substitutions, or changes in the configuration can be made without departing from the scope of the present invention.
本発明は、車両に搭載されたロガーが攻撃されてもログデータが保全されるサーバー保存型のシステムであって、さらに、ログデータの完全性を、サーバーおよびサーバー管理者の信頼に依存しないで担保する場合に用いて、極めて有用である。 The present invention is a server-storing system in which log data is preserved even when a logger mounted on a vehicle is attacked. Furthermore, the integrity of log data does not depend on the trust of the server and the server administrator. It is extremely useful when used for collateral.
10・・・セキュアロギングシステム
1000、1000a、1000b、1000c・・・データ保存装置
1100、2100、3100・・・入力部
1200、2200、3200・・・制御部
1210、2210、3210・・・入出力制御部
1220・・・セキュアデータ取得部
1230・・・車両特定情報取得部
1240・・・車両データ生成部
1250・・・ハッシュ値計算部
1300、2300、3300・・・記憶部
1310、2310、B1、C1、D1・・・車両データ
1311・・・セキュアデータ
1312・・・セキュアデータ特定情報
1313・・・車両特定情報
1321・・・セキュアハッシュ情報
1400、2400、3400・・・出力部
2000、2000a、2000b、2000c・・・地域データセンタ
2220・・・車両データ取得部
2230・・・車両データ群生成部
2240・・・ハッシュ値計算部
2250・・・ナンス付与前ブロックデータ生成部
2260・・・ナンス取得部
2270・・・ブロックデータ生成部
2280・・・計算提供リクエスト処理部
2290・・・他の地域データセンタのブロックデータ取得部
2320、3310・・・ナンス付与前ブロックデータ
2321・・・車両データ群
2322・・・前ブロックハッシュ値
2331、3320・・・ナンス
2340・・・計算リソース提供装置リスト
2350、2350a、2350b、2350c・・・ブロックデータ生成時刻情報
3000、3000a、3000b、3000c・・・計算リソース提供装置
3220・・・ナンス付与前ブロックデータ取得部
3230・・・ナンス計算部
3231・・・ナンス出力部
3240・・・計算提供リクエスト生成部
10 ...
Claims (10)
前記データ保存装置は、前記車両で生成されるセキュアデータを含む車両データを生成し、前記車両データを前記地域データセンタに送信し、
前記地域データセンタは、前記車両データと、前記ブロックチェーン技術によって生成された直前のブロックデータのハッシュ値と、ナンスを含むブロックデータを記憶し、
前記ナンスは、前記ナンスを含む前記ブロックデータのハッシュ値があらかじめ定められた条件に合致する値になるように前記計算リソース提供装置によって決定され、前記計算リソース提供装置から前記地域データセンタに送信されたナンスであることを特徴とするセキュアロギングシステム。 A secure logging system using a block chain technology including a data storage device and a calculation resource providing device included in a vehicle, and a regional data center wirelessly connected to the data storage device and the calculation resource providing device,
The data storage device generates vehicle data including secure data generated by the vehicle, transmits the vehicle data to the regional data center,
The regional data center stores the vehicle data, a hash value of the immediately preceding block data generated by the block chain technology, and block data including a nonce,
The nonce is determined by the computing resource providing device such that the hash value of the block data including the nonce becomes a value that meets a predetermined condition, and is transmitted from the computing resource providing device to the regional data center. Secure logging system characterized by a nonce.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018210313A JP2020076877A (en) | 2018-11-08 | 2018-11-08 | Secure logging system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018210313A JP2020076877A (en) | 2018-11-08 | 2018-11-08 | Secure logging system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2020076877A true JP2020076877A (en) | 2020-05-21 |
Family
ID=70724147
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018210313A Abandoned JP2020076877A (en) | 2018-11-08 | 2018-11-08 | Secure logging system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2020076877A (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017190794A1 (en) * | 2016-05-06 | 2017-11-09 | Rwe International Se | Traffic system |
JP2018018348A (en) * | 2016-07-28 | 2018-02-01 | Kddi株式会社 | System for creating block chain, and program |
US20180091596A1 (en) * | 2016-09-27 | 2018-03-29 | Intel Corporation | Trusted vehicle telematics using blockchain data analytics |
-
2018
- 2018-11-08 JP JP2018210313A patent/JP2020076877A/en not_active Abandoned
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017190794A1 (en) * | 2016-05-06 | 2017-11-09 | Rwe International Se | Traffic system |
JP2018018348A (en) * | 2016-07-28 | 2018-02-01 | Kddi株式会社 | System for creating block chain, and program |
US20180091596A1 (en) * | 2016-09-27 | 2018-03-29 | Intel Corporation | Trusted vehicle telematics using blockchain data analytics |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3454238B1 (en) | Registration and authorization method, device and system | |
US11212087B2 (en) | Management system, key generation device, in-vehicle computer, management method, and computer program | |
US11265170B2 (en) | Vehicle information collection system, vehicle-mounted computer, vehicle information collection device, vehicle information collection method, and computer program | |
CN111064569B (en) | Cluster key obtaining method and device of trusted computing cluster | |
CN113691502B (en) | Communication method, device, gateway server, client and storage medium | |
CN110830245B (en) | Anti-quantum-computation distributed Internet of vehicles method and system based on identity secret sharing and implicit certificate | |
CN110365486B (en) | Certificate application method, device and equipment | |
CN111565182B (en) | Vehicle diagnosis method and device and storage medium | |
CA3013687A1 (en) | A method of data transfer, a method of controlling use of data and a cryptographic device | |
JP2021511743A (en) | Methods, application servers, IOT devices and media for implementing IOT services | |
EP2166727A1 (en) | Center apparatus, terminal apparatus, and authentication system | |
CN114362993B (en) | Block chain assisted Internet of vehicles security authentication method | |
CN114978635A (en) | Cross-domain authentication method and device, and user registration method and device | |
CN115484025A (en) | Vehicle encrypted communication method and device | |
CN113259722B (en) | Secure video Internet of things key management method, device and system | |
CN113438205B (en) | Block chain data access control method, node and system | |
CN108900595B (en) | Method, device and equipment for accessing data of cloud storage server and computing medium | |
JP6939313B2 (en) | Distributed authentication system | |
CN113810410B (en) | Method, system and storage medium for encryption of non-abusive key decentralization attribute base | |
CN116633582A (en) | Secure communication method, apparatus, electronic device and storage medium | |
Groza et al. | CarINA-Car sharing with IdeNtity based Access control re-enforced by TPM | |
EP4270858A1 (en) | Identity authentication method and apparatus, device, chip, storage medium, and program | |
JP2020076877A (en) | Secure logging system | |
CN113079511A (en) | Method, device, vehicle and storage medium for information sharing between vehicles | |
CN109104393B (en) | Identity authentication method, device and system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211014 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220711 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220830 |
|
A762 | Written abandonment of application |
Free format text: JAPANESE INTERMEDIATE CODE: A762 Effective date: 20221005 |