JP2020096321A - 認証システム - Google Patents
認証システム Download PDFInfo
- Publication number
- JP2020096321A JP2020096321A JP2018234592A JP2018234592A JP2020096321A JP 2020096321 A JP2020096321 A JP 2020096321A JP 2018234592 A JP2018234592 A JP 2018234592A JP 2018234592 A JP2018234592 A JP 2018234592A JP 2020096321 A JP2020096321 A JP 2020096321A
- Authority
- JP
- Japan
- Prior art keywords
- session key
- unit
- code
- vehicle control
- update
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】認証された機器によりネットワーク圏外で車両制御プログラムを更新する。【解決手段】認証システムはECUと、車両制御プログラムを更新する更新装置と、更新装置の正当性を認証する認証サーバとを備え、更新装置は乱数を生成して認証サーバに送信するセッション鍵生成部を有し、認証サーバは乱数を秘密鍵で暗号化して更新装置に送信するセッション鍵暗号化部を有し、更新装置は乱数と暗号化乱数とを記憶する記憶部と、ECUに接続されると暗号化乱数を転送する転送部とを有し、ECUは秘密鍵に対応する公開鍵で暗号化乱数を復号するセッション鍵復号部と、復号された乱数と記憶部に記憶された乱数とが一致するか否かを判定し、一致すると判定すると更新装置が認証サーバにより正当性が認証された更新装置であると判定する認証判定部と、更新装置による制御プログラムの更新を許可する更新許可部とを有する。【選択図】図2
Description
本発明は、車両の制御プログラムを更新する装置を認証する認証システムに関する。
従来、車両のソフトウェアを更新するための装置の正当性を、認証サーバが認証するようにしたシステムが知られている。例えば特許文献1記載のシステムでは、ソフトウェアの更新用のコンピュータが構成証明データを認証サーバに送信し、認証サーバが構成証明データに基づいてそのコンピュータの正当性を確認して認証情報を生成することで、車両に搭載された機器が認証情報を確認してコンピュータとの接続を許可する。
特許文献1:特開2014−48800号公報
しかしながら、上記特許文献1記載の装置では、ソフトウェアの更新時においてコンピュータ(ソフトウェアの更新用の装置)が認証サーバと接続される必要があるため、ネットワーク圏外で車両のソフトウェアを更新することは難しい。
本発明の一態様は、車両に搭載される車両制御装置と、車両制御装置と通信可能に接続され、車両制御装置の制御プログラムを更新する更新装置と、更新装置と通信可能に接続され、更新装置の正当性を認証する認証サーバと、を備えた認証システムである。更新装置は、乱数からなるセッション鍵を生成して認証サーバに送信するセッション鍵生成部を有し、認証サーバは、セッション鍵生成部から送信されたセッション鍵を所定の秘密鍵で暗号化して更新装置に送信するセッション鍵暗号化部を有し、さらに更新装置は、セッション鍵生成部により生成されたセッション鍵と、セッション鍵暗号化部により送信された暗号化されたセッション鍵と、を記憶する記憶部と、車両制御装置に接続されると記憶部に記憶された暗号化されたセッション鍵を車両制御装置に転送する転送部と、を有し、車両制御装置は、秘密鍵に対応する所定の公開鍵で転送部により転送された暗号化されたセッション鍵を復号するセッション鍵復号部と、セッション鍵復号部により復号されたセッション鍵と、記憶部に記憶された生成されたセッション鍵とが一致するか否かを判定し、一致すると判定すると、更新装置が認証サーバにより正当性が認証された更新装置であると判定する認証判定部と、更新装置による制御プログラムの更新を許可する更新許可部と、をさらに有する。
本発明によれば、認証された機器によりネットワーク圏外において車両の制御プログラムを更新することができる。
以下、図1〜図7を参照して本発明の実施形態について説明する。図1は、本発明の実施形態に係る認証システム100の構成を概略的に示す図である。認証システム100は、車両に搭載されて車両の動作等を制御する車両制御装置1と、車両制御装置1に接続されて車両を制御するためのソフトウェアプログラム(車両制御プログラム)を更新する更新装置2と、更新装置2の正当性を認証する認証サーバ3とを備える。車両制御装置1と更新装置2とは、例えば、車両のDLC(Data Link Coupler)を介してCAN(Controller Area Network)通信等により有線接続される。更新装置2と認証サーバ3とは、インターネット網や携帯電話網などに代表される公衆無線通信網を含むネットワーク4を介して接続される。
車両メーカは、車両制御プログラムのアップデートや品質改善などの必要に応じ、販売店等を通じて更新用プログラムを配布する。販売店等では、来店した顧客の車両の車両制御装置1に更新用プログラムをダウンロードした更新装置2を接続して車両用制御プログラムを更新する。車両制御装置1は、悪意のある第三者によって不正なハードウェアやソフトウェアにより車両制御プログラムが書き換えられることを防止するため、車両メーカの認証サーバ3により認証された更新装置2による更新のみを許可する。車両用制御プログラムの更新は止むを得ずネットワーク4の圏外で行う場合もあるが、このような場合は更新装置2が認証サーバ3による認証を受けることが難しい。そこで、本発明の実施形態に係る認証システム100は、ネットワーク圏外において不正アクセスを排除しつつ車両用制御プログラムを更新するよう、以下のように構成する。
図2は、認証システム100の構成の一例を概略的に示すブロック図である。図2に示すように、認証システム100は、車両制御装置1と、CAN通信等により車両制御装置1と接続可能な更新装置2と、ネットワーク4を介して更新装置2と接続可能な認証サーバ3とを備える。
更新装置2は、車両に接続して運転履歴等の車両情報を取得する診断機などの専用機器であり、予め車両のメーカによりIDおよびパスワード等の認証情報が割り当てられ、専用のソフトウェアがインストールされる。更新装置2は、CPU等の演算部20と、ROM,RAM,ハードディスク等の記憶部21と、その他の周辺回路とを有するコンピュータを含んで構成され、通信部22を介してネットワーク4に接続可能である。演算部20は、機能的構成として、認証情報生成部23と、セッション鍵生成部24と、転送部25と、コード暗号化部26とを有する。記憶部21は、機能的構成として、セッション鍵記憶部27と、暗号化セッション鍵記憶部28とを有する。
認証情報生成部23は、ユーザからの認証要求が入力されると、更新装置2の認証情報を生成し、ネットワーク4を介して認証サーバ3に送信する。ネットワーク4の圏外で更新装置2により車両制御プログラムの更新を行うユーザは、事前にネットワーク4の圏内で更新装置2に認証要求を入力し、認証サーバ3による認証を受ける。認証情報には、車両のメーカにより更新装置2に割り当てられたIDおよびパスワード等の識別情報が含まれる。認証サーバ3は、更新装置2から送信された認証情報を検証することで、更新装置2のハードウェアの正当性を認証する。認証情報には、更新装置2のソフトウェア構成を証明する構成証明情報を含めてもよい。この場合、認証サーバ3は、更新装置2から送信された構成証明情報を検証することで、更新装置2のソフトウェアの正当性を認証する。
認証要求では有効期間を設定することができる。例えば、ネットワーク4の圏外で車両制御プログラムの更新を行う予定の期間を有効期間として設定することができる。有効期間は、更新装置2が認証サーバ3の認証を受けた後、所定時間(例えば、10分間)以上ネットワーク4の圏外に存在した後に、再度、更新装置2がネットワーク4の圏内に入ると強制的に終了するように設定することもできる。これは、更新装置2が認証サーバ3の認証を受けた後、ネットワーク4の圏外にて所定の作業を終え、ネットワーク4の圏内の所定の場所へ戻されたことにより、残存する有効期間は不要と判断できるためである。認証情報生成部23は、認証要求において設定された期間を認証情報とともに認証サーバ3に送信する。
セッション鍵生成部24は、乱数からなるセッション鍵を生成し、認証要求において設定された有効期間とともにネットワーク4を介して認証サーバ3に送信する。セッション鍵は、所定期間ごと、例えば毎日生成され、その度に不規則に変化する一種のワンタイムパスワードである。セッション鍵生成部24により生成されたセッション鍵は、セッション鍵記憶部27に記憶される。認証サーバ3は、更新装置2の正当性を認証することができた場合には、更新装置2から送信されたセッション鍵および有効期間を暗号化し、ネットワーク4を介して更新装置2に送信する。認証サーバ3により暗号化されたセッション鍵(暗号化セッション鍵)および有効期間は、暗号化セッション鍵記憶部28に記憶される。
転送部25は、更新装置2がCAN通信等により車両制御装置1に有線接続されると、暗号化セッション鍵記憶部28に記憶された有効期間付きの暗号化セッション鍵を現在時刻とともに車両制御装置1に送信する。車両制御装置1は、更新装置2から有効期間付きの暗号化セッション鍵および現在時刻を受信すると、現在時刻が有効期間内であることを確認し、後述するチャレンジコードを生成して更新装置2に送信する。
コード暗号化部26は、車両制御装置1から送信されたチャレンジコードをセッション鍵記憶部27に記憶されたセッション鍵で暗号化する。例えば、車両制御装置1から送信されたチャレンジコードとセッション鍵記憶部27に記憶されたセッション鍵とを組み合わせ、周知のハッシュ関数を用いてハッシュ値に変換したレスポンスコードとして車両制御装置1に送信する。
認証サーバ3は、CPU等の演算部30と、ROM,RAM,ハードディスク等の記憶部31と、その他の周辺回路とを有するコンピュータを含んで構成され、通信部32を介してネットワーク4に接続可能である。演算部30は、機能的構成として、更新装置認証部33と、セッション鍵暗号化部34とを有する。記憶部31は、機能的構成として秘密鍵記憶部35を有する。
秘密鍵記憶部35には、公開鍵暗号化方式による秘密鍵が記憶される。秘密鍵に対応する公開鍵は、車両制御装置1の製造時に登録される。
更新装置認証部33は、更新装置2から送信された認証情報を検証し、更新装置2の正当性を認証する。例えば、更新装置2から送信されたIDおよびパスワードが車両のメーカにより割り当てられたものであると確認されると更新装置2のハードウェアの正当性を認証し、更新装置2のソフトウェア構成が車両のメーカにより定められた専用のソフトウェアと同一であることが確認されると更新装置2のソフトウェアの正当性を認証する。
セッション鍵暗号化部34は、更新装置認証部33により更新装置2の正当性が認証されると、秘密鍵記憶部35に記憶された秘密鍵で更新装置2から送信されたセッション鍵および有効期間を暗号化し、ネットワーク4を介して更新装置2に送信する。
車両制御装置1は、エンジン制御用ECU、変速機制御用ECU等、機能の異なる複数のECUからなる電子制御ユニットにより構成される。車両制御装置1は、CPU等の演算部10と、ROM,RAM,ハードディスク等の記憶部11と、その他の周辺回路とを有するコンピュータを含んで構成される。演算部10は、機能的構成として、セッション鍵復号部12と、コード生成部13と、コード復号部14と、認証判定部15と、更新許可部16とを有する。記憶部11は、機能的構成として、公開鍵記憶部17と、復号済セッション鍵記憶部18と、コード記憶部19とを有する。
公開鍵記憶部17には、認証サーバ3に登録された秘密鍵に対応する公開鍵が記憶される。公開鍵暗号化方式では、互いに異なる一対の公開鍵および秘密鍵が生成され、各種情報データの送信側および受信側により事前共有される。公開鍵および秘密鍵の一方で暗号化された各種情報データは、公開鍵および秘密鍵の他方で復号される。例えば、認証サーバ3の秘密鍵で暗号化された各種情報データは、車両制御装置1の公開鍵で復号される。これにより、ネットワーク4を介して安全に各種情報データを送受信することができる。
セッション鍵復号部12は、公開鍵記憶部17に記憶された公開鍵で、更新装置2から送信された暗号化セッション鍵および有効期間を復号する。セッション鍵復号部12により復号されたセッション鍵は、復号済セッション鍵記憶部18に記憶される。
コード生成部13は、更新装置2から送信された現在時刻がセッション鍵復号部12により復号された有効期間内であることを確認すると、乱数からなるチャレンジコードを生成して更新装置2に送信する。チャレンジコードは、生成される度に不規則に変化する一種のワンタイムパスワードである。コード生成部13により生成されたチャレンジコードは、コード記憶部19に記憶される。更新装置2は、車両制御装置1から送信されたチャレンジコードをセッション鍵で暗号化し、レスポンスコードとして車両制御装置1に送信する。
コード復号部14は、復号済セッション鍵記憶部18に記憶されたセッション鍵で、更新装置2から送信されたレスポンスコードを復号する。復号済セッション鍵記憶部18に記憶されたセッション鍵は、事前共有された一対の公開鍵および秘密鍵により暗号化および復号されていれば、更新装置2のセッション鍵と一致する。この場合、更新装置2のセッション鍵で暗号化されたレスポンスコードは、復号済セッション鍵記憶部18に記憶されたセッション鍵でチャレンジコードと同一のコードに復号することができる。
認証判定部15は、更新装置2が認証サーバ3により正当性が認証された更新装置であるか否かを判定する。すなわち、コード復号部14により復号されたコードがコード記憶部19に記憶されたチャレンジコードと同一のコードであるか否かを判定する。復号されたコードがチャレンジコードと同一のコードであれば、復号済セッション鍵記憶部18に記憶されたセッション鍵が更新装置2のセッション鍵と一致し、事前共有された一対の公開鍵および秘密鍵により暗号化および復号されたものであると判定できる。この場合、更新装置2が認証サーバ3により正当性を認証されたものであると判定できる。
更新許可部16は、認証判定部15により更新装置2が認証サーバ3により正当性を認証されたものであると判定されると、更新装置2による車両制御装置1のセキュア領域へのアクセスおよび車両制御プログラムの更新を許可する。
図3は、認証システム100により実行される処理の一例を示すフローチャートであり、予め記憶されたプログラムに従い、車両制御装置1の演算部10で実行される認証確認処理、更新装置2の演算部20で実行される認証要求処理、および認証サーバ3の演算部30で実行される認証処理の一例を示す。このフローチャートに示す処理は、例えば更新装置2にユーザからの認証要求が入力されると開始される。
更新装置2による認証要求処理では、まず、ステップS20で、認証情報生成部23での処理により、更新装置2の認証情報を生成して認証サーバ3に送信する。次いで、ステップS21で、セッション鍵生成部24での処理により、セッション鍵を生成して認証要求において設定された有効期間とともに認証サーバ3に送信する。
認証サーバ3による認証処理では、ステップS30,S31で、通信部32を介して更新装置2から送信された認証情報、セッション鍵をそれぞれ受信すると、ステップS32で、更新装置認証部33での処理により、ステップS30で受信された認証情報を検証して更新装置2の正当性を認証する。ステップS32で更新装置2の正当性が認証されると、ステップS33で、セッション鍵暗号化部34での処理により、ステップS31で受信されたセッション鍵および有効期間を事前共有された秘密鍵で暗号化して更新装置2に送信する。ステップS32で更新装置2の正当性が認証されない場合は、認証サーバ3での認証処理を終了する。
次いで、ステップS22で、更新装置2の通信部22を介して認証サーバ3から送信された有効期間付きの暗号化セッション鍵を受信すると、ステップS23で更新装置2が車両制御装置1に接続されるまで待機する。ステップS23で、更新装置2が車両制御装置1に接続されると、ステップS24で、転送部25での処理により、暗号化セッション鍵記憶部28に記憶された有効期間付きの暗号化セッション鍵を車両制御装置1に転送する。
車両制御装置1による認証確認処理では、ステップS10で、CAN通信等を介して更新装置2から送信された有効期間付きの暗号化セッション鍵を受信すると、ステップS11で、セッション鍵復号部12での処理により、ステップS10で受信された有効期間および暗号化セッション鍵を事前共有された公開鍵で復号する。次いで、ステップS12で、コード生成部13での処理により、更新装置2から送信された現在時刻がステップS11で復号された有効期間内であることを確認すると、ステップS13で、チャレンジコードを生成して更新装置2に送信する。ステップS12で現在時刻が有効期間内であることが確認されない場合は、車両制御装置1での認証確認処理を終了する。
更新装置2では、ステップS25で、CAN通信等を介して車両制御装置1から送信されたチャレンジコードを受信すると、ステップS26で、コード暗号化部26での処理により、ステップS25で受信されたチャレンジコードをステップS21で生成されたセッション鍵で暗号化し、レスポンスコードとして車両制御装置1に送信する。
車両制御装置1では、ステップS14で、CAN通信等を介して更新装置2から送信されたレスポンスコードを受信すると、ステップS15で、コード復号部14での処理により、ステップS11で復号されたセッション鍵でレスポンスコードを復号する。次いで、ステップS16で、認証判定部15での処理により、ステップS15で復号されたコードがステップS13で生成されたチャレンジコードと一致するか否かを判定する。ステップS16で肯定されるとステップS17に進み、否定されると車両制御装置1での処理を終了する。ステップS17では、更新許可部16での処理により、更新装置2による車両制御プログラムの更新を許可する。
図4は、認証システム100による処理を説明する図である。図4を参照して本実施形態に係る認証システム100の主要な動作についてより具体的に説明する。更新装置2のユーザは、ネットワーク4(図1)の圏外において車両用制御プログラムを更新する予定があるものとする。ユーザが事前にネットワーク4の圏内において更新装置2のキーボード等の入力部を介して認証要求を入力すると、更新装置2から認証サーバ3に認証情報、セッション鍵およびユーザにより設定されたセッション鍵の有効期間が送信される(ステップS20,S21)。認証サーバ3は、受信した認証情報に基づいて更新装置2の正当性を認証した場合、受信したセッション鍵および有効期間を事前共有された秘密鍵で暗号化して更新装置2に送信する(ステップS30〜S33)。ユーザは、更新装置2のディスプレイ等の表示部を介して認証が成功したことを確認した後(ステップS22)、更新装置2をネットワーク4の圏外へ持ち出すことができる。
ユーザがネットワーク4の圏外において更新装置2を対象車両の車両制御装置1に接続すると、更新装置2から車両制御装置1に有効期間付きの暗号化セッション鍵が転送される(ステップS23,S24)。車両制御装置1は、受信した有効期間付きの暗号化セッション鍵を事前共有された公開鍵で復号し、現在時刻が有効期間内であればチャレンジコードを更新装置2に送信する(ステップS10〜S13)。更新装置2は、受信したチャレンジコードをセッション鍵で暗号化し、レスポンスコードとして車両制御装置1に送信する(ステップS25,S26)。車両制御装置1は、受信したレスポンスコードをセッション鍵で復号し、チャレンジコードと一致すれば更新装置2による車両制御プログラムの更新を許可する(ステップS14〜S17)。同一の車両メーカの複数の車両に搭載された車両制御装置1など、同一の秘密鍵に対応した公開鍵を保有する複数の車両制御装置1については、有効期間内に順次、車両制御プログラムの更新を行うことができる(ステップS23〜S26,S10〜S17)。
事前にネットワーク4の圏内において認証サーバ3による更新装置2の認証を受け、秘密鍵で暗号化されたセッション鍵を更新装置2内に保有しておくことで、ネットワーク4の圏外において秘密鍵に対応した公開鍵を保有する車両制御装置1に対し、更新装置2が認証サーバ3により正当性を認証されたものであると示すことができる。また、セッション鍵に有効期間を設定することで、更新装置2が事前認証後に悪意のある第三者の手に渡って不正な車両制御プログラムに更新される可能性を低減することができる。このような可能性は、更新装置2がネットワーク4の圏内に入ると有効期間が強制的に終了するように設定することで一層低減することができる。
本実施形態によれば以下のような作用効果を奏することができる。
(1)認証システム100は、車両に搭載される車両制御装置1と、車両制御装置1と通信可能に接続され、車両制御装置1の制御プログラムを更新する更新装置2と、更新装置2と通信可能に接続され、更新装置2の正当性を認証する認証サーバ3とを備える(図1,2)。更新装置2は、乱数からなるセッション鍵を生成して認証サーバ3に送信するセッション鍵生成部24を有する(図2)。認証サーバ3は、セッション鍵生成部24から送信されたセッション鍵を所定の秘密鍵で暗号化して更新装置2に送信するセッション鍵暗号化部34を有する(図2)。さらに更新装置2は、セッション鍵生成部24により生成されたセッション鍵と、セッション鍵暗号化部34により送信された暗号化セッション鍵とを記憶する記憶部21と、車両制御装置1に接続されると記憶部21に記憶された暗号化セッション鍵を車両制御装置1に転送する転送部25とを有する(図2)。車両制御装置1は、秘密鍵に対応する所定の公開鍵で転送部25により転送された暗号化セッション鍵を復号するセッション鍵復号部12と、セッション鍵復号部12により復号されたセッション鍵と記憶部21に記憶された生成されたセッション鍵とが一致するか否かを判定し、一致すると判定すると、更新装置2が認証サーバ3により正当性が認証された更新装置であると判定する認証判定部15と、更新装置2による制御プログラムの更新を許可する更新許可部16とを有する(図2)。
(1)認証システム100は、車両に搭載される車両制御装置1と、車両制御装置1と通信可能に接続され、車両制御装置1の制御プログラムを更新する更新装置2と、更新装置2と通信可能に接続され、更新装置2の正当性を認証する認証サーバ3とを備える(図1,2)。更新装置2は、乱数からなるセッション鍵を生成して認証サーバ3に送信するセッション鍵生成部24を有する(図2)。認証サーバ3は、セッション鍵生成部24から送信されたセッション鍵を所定の秘密鍵で暗号化して更新装置2に送信するセッション鍵暗号化部34を有する(図2)。さらに更新装置2は、セッション鍵生成部24により生成されたセッション鍵と、セッション鍵暗号化部34により送信された暗号化セッション鍵とを記憶する記憶部21と、車両制御装置1に接続されると記憶部21に記憶された暗号化セッション鍵を車両制御装置1に転送する転送部25とを有する(図2)。車両制御装置1は、秘密鍵に対応する所定の公開鍵で転送部25により転送された暗号化セッション鍵を復号するセッション鍵復号部12と、セッション鍵復号部12により復号されたセッション鍵と記憶部21に記憶された生成されたセッション鍵とが一致するか否かを判定し、一致すると判定すると、更新装置2が認証サーバ3により正当性が認証された更新装置であると判定する認証判定部15と、更新装置2による制御プログラムの更新を許可する更新許可部16とを有する(図2)。
予め認証サーバ3による更新装置2の認証を受け、秘密鍵で暗号化されたセッション鍵を更新装置2内に保有しておくことで、ネットワーク圏外において秘密鍵に対応した公開鍵を保有する車両制御装置1に対し、更新装置2が認証サーバ3により正当性を認証されたものであると示すことができる。
(2)車両制御装置1は、更新装置2が接続されると乱数からなるコードを生成して更新装置2に送信するコード生成部13をさらに有する(図2)。更新装置2は、記憶部21に記憶されたセッション鍵でコード生成部13により送信されたコードを暗号化して車両制御装置1に送信するコード暗号化部26をさらに有する(図2)。さらに車両制御装置1は、セッション鍵復号部12により復号されたセッション鍵でコード暗号化部26により暗号化されたコードを復号するコード復号部14を有する(図2)。認証判定部15は、コード生成部13により生成されたコードと、コード復号部14により復号されたコードとが一致するか否かを判定し、一致すると判定すると、セッション鍵復号部12により復号されたセッション鍵と記憶部21に記憶された生成されたセッション鍵とが一致すると判定する。このような構成により、車両制御装置1側から更新装置2が保有するセッション鍵の正当性を確認し、更新装置2が認証サーバ3により正当性を認証されたものであることを確認することができる。
(3)セッション鍵は所定期間有効である。セッション鍵に有効期間を設定することで、有効期間内に複数の車両制御装置1の車両制御プログラムを更新することができる。また、更新装置2が事前認証後に悪意のある第三者の手に渡って不正な車両制御プログラムに更新される可能性を低減することができる。
(4)セッション鍵生成部24は、所定期間を設定する。すなわち、更新装置2のユーザが車両制御プログラムを更新する予定の日時に合わせて必要に応じて有効期間を設定できるため、更新装置2が事前認証後に悪意のある第三者の手に渡って不正な車両制御プログラムに更新される可能性を一層低減することができる。
(5)セッション鍵は、所定期間内であっても、更新装置2と認証サーバ3とが非接続状態から接続状態になると無効になる。更新装置2がネットワーク圏内に入ると有効期間が強制的に終了するように設定することで、更新装置2が事前認証後に悪意のある第三者の手に渡って不正な車両制御プログラムに更新される可能性をより一層低減することができる。
[変形例]
上記の実施形態は、以下のように変形することができる。図5〜図7は、それぞれ図2〜図4に対応する変形例である。なお、図5〜図7において図2〜図4と同一の箇所には同一の符号を付している。上記実施形態に係る認証システム100と変形例に係る認証システム100Aとは、車両制御装置側から更新装置2のセッション鍵を確認するための構成が異なる。すなわち、図5に示すように、認証システム100Aを構成する車両制御装置1Aは、コード復号部14およびコード記憶部19(図2)に代えて、コード暗号化部14Aおよび暗号化コード記憶部19Aを有する。
上記の実施形態は、以下のように変形することができる。図5〜図7は、それぞれ図2〜図4に対応する変形例である。なお、図5〜図7において図2〜図4と同一の箇所には同一の符号を付している。上記実施形態に係る認証システム100と変形例に係る認証システム100Aとは、車両制御装置側から更新装置2のセッション鍵を確認するための構成が異なる。すなわち、図5に示すように、認証システム100Aを構成する車両制御装置1Aは、コード復号部14およびコード記憶部19(図2)に代えて、コード暗号化部14Aおよび暗号化コード記憶部19Aを有する。
図6に示すように、コード暗号化部14Aは、ステップS15の処理に代えて、ステップS15Aで、ステップS13で生成されたチャレンジコードをステップS11で復号されたセッション鍵で暗号化する。コード暗号化部14Aにより暗号化された暗号化チャレンジコードは、暗号化コード記憶部19A(図5)に記憶される。また、認証判定部15は、ステップS16の処理に代えて、ステップS16Aで、S15Aで暗号化されたチャレンジコードがステップS14で受信されたレスポンスコードと一致するか否かを判定する。
すなわち、図7に示すように、車両制御装置1A側で復号されたセッション鍵は、事前共有された一対の公開鍵および秘密鍵により暗号化および復号されていれば、更新装置2のセッション鍵と一致する。この場合、車両制御装置1A側で復号されたセッション鍵で暗号化されたチャレンジコードは、更新装置2のセッション鍵で暗号化されたチャレンジコード、すなわちレスポンスコードと一致する。認証システム100Aでは、これらのコードが一致するか否かを判定することで、更新装置2が認証サーバ3により正当性を認証されたものであるか否かを判定する。これにより、変形例に係る認証システム100Aにおいても、ネットワーク4の圏外で車両制御装置1A側から更新装置2が認証サーバ3により正当性を認証されたものであるか否かを確認することができる。
変形例に係る認証システム100Aは、上記実施形態に係る認証システム100と同様、車両の動作等を制御する車両制御装置1Aと、車両制御装置1の制御プログラムを更新する更新装置2と、更新装置2の正当性を認証する認証サーバ3とを備える(図1,5)。更新装置2は、セッション鍵生成部24を有し、認証サーバ3は、セッション鍵暗号化部34を有し、さらに更新装置2は、記憶部21と、転送部25とを有し、車両制御装置1は、セッション鍵復号部12と、認証判定部15と、更新許可部16とを有する(図5)。これにより、上記実施形態に係る認証システム100と同様、ネットワーク圏外において車両制御装置1Aに対し、更新装置2が認証サーバ3により正当性を認証されたものであると示すことができる。
変形例に係る車両制御装置1Aは、更新装置2が接続されると乱数からなるコードを生成して更新装置2に送信するコード生成部13をさらに有する(図5)。更新装置2は、記憶部21に記憶されたセッション鍵でコード生成部13により送信されたコードを暗号化して車両制御装置1Aに送信するコード暗号化部26をさらに有する(図5)。さらに車両制御装置1Aは、セッション鍵復号部12により復号されたセッション鍵でコード生成部13により生成されたコードを暗号化するコード暗号化部14Aを有する(図5)。認証判定部15は、コード暗号化部26により暗号化されたコードと、コード暗号化部14Aにより暗号化されたコードとが一致するか否かを判定し、一致すると判定すると、セッション鍵復号部12により復号されたセッション鍵と記憶部21に記憶された生成されたセッション鍵とが一致すると判定する。これにより、上記実施形態に係る認証システム100と同様、車両制御装置1A側から更新装置2が保有するセッション鍵の正当性を確認し、更新装置2が認証サーバ3により正当性を認証されたものであることを確認することができる。
[他の変形例]
上記実施形態では、車両制御装置1と更新装置2とが車両のDLCを介してCAN通信等により有線接続されるとしたが、車両制御装置と通信可能に接続され、車両制御装置の制御プログラムを更新する更新装置の構成はこのようなものに限らない。例えば、車両制御装置1とWi−Fi(Wireless Fidelity)(登録商標)、Bluetooth(登録商標)等の近接無線通信により通信可能に構成してもよい。
上記実施形態では、車両制御装置1と更新装置2とが車両のDLCを介してCAN通信等により有線接続されるとしたが、車両制御装置と通信可能に接続され、車両制御装置の制御プログラムを更新する更新装置の構成はこのようなものに限らない。例えば、車両制御装置1とWi−Fi(Wireless Fidelity)(登録商標)、Bluetooth(登録商標)等の近接無線通信により通信可能に構成してもよい。
上記実施形態では、セッション鍵生成部24がセッション鍵と認証要求において設定された有効期間とを認証サーバ3に送信するようにしたが、乱数からなるセッション鍵を生成して認証サーバに送信するセッション鍵生成部はこのようなものに限らない。セッション鍵の有効期間を設定しなくてもよい。また、セッション鍵の有効期間に加えてGPSセンサにより取得可能な位置による有効範囲を設定してもよい。この場合、例えば、更新装置2のユーザが車両制御プログラムを更新する予定のエリアに合わせて必要に応じて有効範囲を設定することができる。
以上の説明はあくまで一例であり、本発明の特徴を損なわない限り、上述した実施形態および変形例により本発明が限定されるものではない。上記実施形態と変形例の1つまたは複数を任意に組み合わせることも可能であり、変形例同士を組み合わせることも可能である。
1 車両制御装置、2 更新装置、3 認証サーバ、4 ネットワーク、10 演算部、11 記憶部、12 セッション鍵復号部、13 コード生成部、14 コード復号部、14A コード暗号化部、15 認証判定部、16 更新許可部、17 公開鍵記憶部、18 復号済セッション鍵記憶部、19A コード記憶部、19B 暗号化コード記憶部、20 演算部、21 記憶部、22 通信部、23 認証情報生成部、24 セッション鍵生成部、25 転送部、26 コード暗号化部、27 セッション鍵記憶部、28 暗号化セッション鍵記憶部、30 演算部、31 記憶部、32 通信部、33 更新装置認証部、34 セッション鍵暗号化部、35 秘密鍵記憶部、100A,100B 認証システム
Claims (6)
- 車両に搭載される車両制御装置と、
前記車両制御装置と通信可能に接続され、前記車両制御装置の制御プログラムを更新する更新装置と、
前記更新装置と通信可能に接続され、前記更新装置の正当性を認証する認証サーバと、を備えた認証システムであって、
前記更新装置は、乱数からなるセッション鍵を生成して前記認証サーバに送信するセッション鍵生成部を有し、
前記認証サーバは、前記セッション鍵生成部から送信された前記セッション鍵を所定の秘密鍵で暗号化して前記更新装置に送信するセッション鍵暗号化部を有し、
さらに前記更新装置は、
前記セッション鍵生成部により生成されたセッション鍵と、前記セッション鍵暗号化部により送信された前記暗号化されたセッション鍵と、を記憶する記憶部と、
前記車両制御装置に接続されると前記記憶部に記憶された前記暗号化されたセッション鍵を前記車両制御装置に転送する転送部と、を有し、
前記車両制御装置は、
前記秘密鍵に対応する所定の公開鍵で前記転送部により転送された前記暗号化されたセッション鍵を復号するセッション鍵復号部と、
前記セッション鍵復号部により復号されたセッション鍵と、前記記憶部に記憶された前記生成されたセッション鍵とが一致するか否かを判定し、一致すると判定すると、前記更新装置が前記認証サーバにより正当性が認証された更新装置であると判定する認証判定部と、
前記更新装置による前記制御プログラムの更新を許可する更新許可部と、を有することを特徴とする認証システム。 - 請求項1に記載の認証システムにおいて、
前記車両制御装置は、前記更新装置が接続されると乱数からなるコードを生成して前記更新装置に送信するコード生成部をさらに有し、
前記更新装置は、前記記憶部に記憶されたセッション鍵で前記コード生成部により送信されたコードを暗号化して前記車両制御装置に送信するコード暗号化部をさらに有し、
さらに前記車両制御装置は、前記セッション鍵復号部により復号されたセッション鍵で前記コード暗号化部により暗号化されたコードを復号するコード復号部を有し、
前記認証判定部は、前記コード生成部により生成されたコードと、前記コード復号部により復号されたコードとが一致するか否かを判定し、一致すると判定すると、前記セッション鍵復号部により復号されたセッション鍵と、前記記憶部に記憶された前記生成されたセッション鍵とが一致すると判定することを特徴とする認証システム。 - 請求項1に記載の認証システムにおいて、
前記車両制御装置は、前記更新装置が接続されると乱数からなるコードを生成して前記更新装置に送信するコード生成部をさらに有し、
前記更新装置は、前記記憶部に記憶されたセッション鍵で前記コード生成部により送信されたコードを暗号化して前記車両制御装置に送信する第1コード暗号化部をさらに有し、
さらに前記車両制御装置は、前記セッション鍵復号部により復号されたセッション鍵で前記コード生成部により生成されたコードを暗号化する第2コード暗号化部を有し、
前記認証判定部は、前記第1コード暗号化部により暗号化されたコードと、前記第2コード暗号化部により暗号化されたコードとが一致するか否かを判定し、一致すると判定すると、前記セッション鍵復号部により復号されたセッション鍵と、前記記憶部に記憶された前記生成されたセッション鍵とが一致すると判定することを特徴とする認証システム。 - 請求項1から3のいずれか一項に記載の認証システムにおいて、
前記セッション鍵は所定期間有効であることを特徴とする認証システム。 - 請求項4に記載の認証システムにおいて、
前記セッション鍵生成部は、前記所定期間を設定することを特徴とする認証システム。 - 請求項4または5に記載の認証システムにおいて、
前記セッション鍵は、前記所定期間内であっても、前記更新装置と前記認証サーバとが非接続状態から接続状態になると無効になることを特徴とする認証システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018234592A JP2020096321A (ja) | 2018-12-14 | 2018-12-14 | 認証システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018234592A JP2020096321A (ja) | 2018-12-14 | 2018-12-14 | 認証システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2020096321A true JP2020096321A (ja) | 2020-06-18 |
Family
ID=71085167
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018234592A Pending JP2020096321A (ja) | 2018-12-14 | 2018-12-14 | 認証システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2020096321A (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11847440B2 (en) | 2021-03-26 | 2023-12-19 | Honda Motor Co., Ltd. | Vehicle program update management system, reprogramming terminal, and vehicle program update management method |
-
2018
- 2018-12-14 JP JP2018234592A patent/JP2020096321A/ja active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11847440B2 (en) | 2021-03-26 | 2023-12-19 | Honda Motor Co., Ltd. | Vehicle program update management system, reprogramming terminal, and vehicle program update management method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109076078B (zh) | 用以建立和更新用于安全的车载网络通信的密钥的方法 | |
EP3602991B1 (en) | Mechanism for achieving mutual identity verification via one-way application-device channels | |
EP2615856B1 (en) | Information distribution method, information distribution system and in-vehicle terminal | |
CN107784223B (zh) | 用于将证书传输到设备中的仪器的计算机装置 | |
JP7008661B2 (ja) | 認証システム | |
US10882492B2 (en) | Method and device for authenticating a user to a transportation vehicle | |
JP5900007B2 (ja) | 車両用データ通信認証システム及び車両用ゲートウェイ装置 | |
CN110637328A (zh) | 一种基于便携式设备的车辆访问方法 | |
JP2010226336A (ja) | 認証方法および認証装置 | |
US20100255813A1 (en) | Security in a telecommunications network | |
JP2013138304A (ja) | セキュリティシステム及び鍵データの運用方法 | |
US11405210B2 (en) | Authentication system | |
JP2017073611A (ja) | 情報処理システム、無線通信チップ、周辺機器、サーバ、アプリケーションプログラム、および情報処理方法 | |
CN110838919B (zh) | 通信方法、存储方法、运算方法及装置 | |
CN113612852A (zh) | 一种基于车载终端的通信方法、装置、设备及存储介质 | |
JP2005065222A (ja) | 電子署名を利用するモバイル機器の制御システム及び方法 | |
WO2017126471A1 (ja) | 認証システム、認証要求装置、車載電子機器、コンピュータプログラム及び認証処理方法 | |
JP2020096321A (ja) | 認証システム | |
US9774630B1 (en) | Administration of multiple network system with a single trust module | |
JP2016152438A (ja) | ソフトウェア更新装置、携帯端末及びソフトウェア更新システム | |
JP2020088836A (ja) | 車両メンテナンスシステム、メンテナンスサーバ装置、管理サーバ装置、車載装置、メンテナンスツール、コンピュータプログラム及び車両メンテナンス方法 | |
CN112733200B (zh) | 业务密钥的信息处理方法、加密机及信息处理系统 | |
CN110061894B (zh) | 一种家居控制方法、系统和家居主控装置 | |
CN114143777B (zh) | 基于sim卡的物联网终端的证书密钥下载方法及系统 | |
WO2021149527A1 (ja) | 中継装置、中継方法及びコンピュータプログラム |