JP5348502B2 - ナビゲーションシステム - Google Patents
ナビゲーションシステム Download PDFInfo
- Publication number
- JP5348502B2 JP5348502B2 JP2010035319A JP2010035319A JP5348502B2 JP 5348502 B2 JP5348502 B2 JP 5348502B2 JP 2010035319 A JP2010035319 A JP 2010035319A JP 2010035319 A JP2010035319 A JP 2010035319A JP 5348502 B2 JP5348502 B2 JP 5348502B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- update
- map
- navigation
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01C—MEASURING DISTANCES, LEVELS OR BEARINGS; SURVEYING; NAVIGATION; GYROSCOPIC INSTRUMENTS; PHOTOGRAMMETRY OR VIDEOGRAMMETRY
- G01C21/00—Navigation; Navigational instruments not provided for in groups G01C1/00 - G01C19/00
- G01C21/38—Electronic maps specially adapted for navigation; Updating thereof
- G01C21/3863—Structures of map data
- G01C21/387—Organisation of map data, e.g. version management or database structures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Landscapes
- Engineering & Computer Science (AREA)
- Radar, Positioning & Navigation (AREA)
- Remote Sensing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Automation & Control Theory (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Navigation (AREA)
- Instructional Devices (AREA)
- Traffic Control Systems (AREA)
Description
本発明は、地図データを用いて動作するナビゲーションユニットと、当該ナビゲーションユニットに着脱可能な記録媒体と、当該記録媒体に記録されている地図データを更新するために前記記録媒体との間でデータ伝送を行う更新ユニットとを有するナビゲーションシステムに関する。
近年、大容量化が進むフラッシュメモリ等の記録媒体に地図データを記憶したナビゲーションユニット、特に自動車に搭載されるカーナビゲーションユニットが登場している。また、道路の新設、都市開発等で道路事情が刻々と変化している。このため、ナビゲーションユニットに使用する地図データも随時更新することが望ましい。その際、上述したようなフラッシュメモリ等の記録媒体は、ナビゲーションユニットに着脱可能であるため、このような記録媒体に記録されている地図データを更新する構成とすれば、ナビゲーションユニットないしはナビゲーションユニットのメモリを自動車から取り外す必要がなく更新が容易である。しかしながら、フラッシュメモリ等の記録媒体に記録されたデータは、一般的には容易にコピー可能なので、あるユーザが購入した正規の記録媒体から違法コピーされた違法記録媒体を他のユーザが受け取って、このユーザのナビゲーションユニットに用いる地図データを更新するという不正が可能となる。
上述したような記録媒体の違法コピーを通じた不正を防止しようとする地図データ更新システムも提案されている(例えば、特許文献1参照)。この地図データ更新システムは、地図データ配信センター(以下単にセンターと称する)から配信される更新用の地図データを記録媒体に書込み、その記録媒体を使用して、車載用のナビゲーション装置における地図データを更新するようにしたものであり、前記記録媒体に書込まれる更新用の地図データに、ナビゲーション装置に付与されたユニークな個体IDを属性データとして付加するように構成すると共に、前記ナビゲーション装置に、自らに付与されている個体IDと前記更新用の地図データに付加されている個体IDとが一致するかどうかを判断する判断手段と、この判断手段により個体IDが一致していないと判断されたときに前記記録媒体に書込まれた更新用の地図データを使用できなくする禁止手段とを設けている。
この記録媒体にはナビゲーション装置に付与されたユニークな個体IDが属性データとして付加されているので、ナビゲーション装置における使用時に、判断手段により、ナビゲーション装置に付与されている個体IDと記録媒体に記録されている個体IDとが一致するかどうかが判断され、個体IDが一致していない場合には、禁止手段により、その記録媒体に書込まれた更新用の地図データの使用が禁止される。これにより、更新用の地図データの不正な使用を防止しようとしている。
この記録媒体にはナビゲーション装置に付与されたユニークな個体IDが属性データとして付加されているので、ナビゲーション装置における使用時に、判断手段により、ナビゲーション装置に付与されている個体IDと記録媒体に記録されている個体IDとが一致するかどうかが判断され、個体IDが一致していない場合には、禁止手段により、その記録媒体に書込まれた更新用の地図データの使用が禁止される。これにより、更新用の地図データの不正な使用を防止しようとしている。
さらに、DVDのようなユーザレベルで書き込みが可能な記録媒体を用いたナビゲーション装置が、更新用の地図データのセキュリティを確保するため、地図情報配信センターから配信された地図情報に付された電子署名を抽出し、複数の公開鍵を使用優先順位の順番に使用して、この電子署名を順次検証し、電子署名が検証を通過した場合には、この地図情報を地図情報配信センターから配信された正当な情報であるとして判断するセキュリティ技術も知られている(例えば、特許文献2参照)。さらに、この特許文献2には、地図情報からハッシュ値を作成し、このハッシュ値と復号データとが一致した場合には、この電子署名の検証を通過させ、該ハッシュ値と復号データとが一致しない場合には、この電子署名の検証を通過させないことも開示されている。これにより、悪意のある第三者が、情報配信センターが所有する秘密鍵と異なる秘密鍵で地図情報に電子署名を付した場合だけでなく、電子署名を変更することなく、地図情報を改ざんした場合にも、地図情報から作成したハッシュ値と復号データとが一致しない場合には、電子署名の検証を通過させないことによって、当該地図情報の改ざんを検出して、地図情報の情報セキュリティを確保することが可能となる。
特許文献1による地図データ更新システムでは、ナビゲーション装置に付与されている個体IDをナビゲーション装置あるいは当該装置に使用した記録媒体から読み取っておけば、このユーザが不正にコピーされた地図データを記録した記録媒体に個体IDとして予め読み取っておいた自己のナビゲーション装置の個体IDを書き込むことで、その記録媒体が正規であるとみなされる。従って、比較的容易に更新用の地図データの不正が可能となってしまう。
また、特許文献2で示されているような、地図情報配信センターがハッシュ値を算出して、暗号化して、地図データに添付して各ユーザに配信するような形態では、地図データの正当性を確かめるためにハッシュ値を利用することは有効ではある。しかしながら、ナビゲーションユニットで用いられる地図データを記録した記録媒体がメモリカードのようなナビゲーションユニットに着脱可能なものであり、ユーザが所有する汎用のパソコン等でプログラムを起動させることにより構築される更新ユニットを仲介させて地図データの更新を行うような構成では、なりすまし等により地図データが第三者のパソコン等によってダウンロードされるとともにハッシュ値によるセキュリティ機能をくぐり抜け、地図データの不正コピーや改ざんが行われる可能性が高まる。
上記実情に鑑み、本発明の目的は、ナビゲーションユニットに着脱可能で書き換え可能なフラッシュメモリカードのような記録媒体と、通信回線を通じて地図データ配信センターから更新用の地図データをダウンロードする更新ユニットとを有するナビゲーションシステムにおいて、地図データに関するセキュリティを向上させることである。
地図データを用いて動作するナビゲーションユニットと当該ナビゲーションユニットに着脱可能な記録媒体と当該記録媒体との間でデータ伝送可能な更新ユニットとを有し、前記記録媒体は前記地図データが記録される書き換え可能なデータ領域と媒体識別情報が記録される書き換え不能な管理領域とを有し、前記更新ユニットが前記記録媒体に記録されている地図データを更新するために前記記録媒体との間でデータ伝送を行うナビゲーションシステムにおいて、上記目的を達成するため、本発明では、前記更新ユニットが更新暗号化鍵を備え、前記更新ユニットが更新用地図データを前記記録媒体に転送して記録し、かつ前記更新ユニットが、当該更新用地図データの少なくとも一部から生成されたハッシュ値を地図セキュリティデータとして前記記録媒体に転送して記録するとともに、前記地図セキュリティデータまたは当該地図セキュリティデータを処理した地図セキュリティ処理データと、前記媒体識別情報とを前記更新暗号化鍵で暗号化したものが、更新セキュリティデータとして前記記録媒体に転送して記録される。
この構成では、更新ユニットにダウンロードされた更新用の地図データから得られたハッシュ値を地図データが記録される記録媒体に地図セキュリティデータとして記録するだけでなく、この記録媒体の固有情報としての媒体識別情報と先のハッシュ値ないしはこのハッシュ値をさらに処理したものとをグループ化して暗号を施したものも更新セキュリティデータとして記録する。これにより、まずは、地図セキュリティデータによって地図データの正当性の確認が可能となる。さらに、暗号によってセキュリティが強化された更新セキュリティデータにより、この記録媒体をナビゲーションユニットに接続された場合にその地図データ及び記録媒体の正当性をチェックすることが可能となる。
その際、更新暗号化鍵で暗号化され記録媒体に記録された更新セキュリティデータを復号する更新復号鍵をナビゲーションユニットが備えるようにすると、記録媒体がナビゲーションユニットに接続されたときに初めて更新セキュリティデータの内容を見ることができてセキュリティが向上する。このことを具体的に実現するための1つは、前記ナビゲーションユニットが前記更新暗号化鍵で暗号化されたデータを復号する更新復号化鍵を備え、前記更新セキュリティデータに含まれる前記媒体識別情報を前記更新復号化鍵で復号化したものと、前記記録媒体の前記管理領域に記録された媒体識別情報とを比較して一致していれば、当該記録媒体の地図データを使用可能とする構成を採用することである。
本発明の好適な実施形態の1つとして、前記ナビゲーションユニットがナビ暗号化鍵を備え、前記記録媒体から読み出した前記媒体識別情報を前記ナビ暗号化鍵で暗号化したものを、ナビセキュリティデータとして前記記録媒体に転送して記録するものがある。この構成により、ナビゲーションユニットに接続された記録媒体を媒体識別情報で特定化することができる。また、この特定化された記録媒体は特定の更新ユニットと接続されて利用されることが正当な使用方法である。従って、より高いセキュリティを確保するために、前記更新ユニットが前記ナビ暗号化鍵によって暗号化されたデータを複号するためのナビ復号化鍵を備え、前記ナビセキュリティデータに含まれる前記媒体識別情報を前記ナビ復号化鍵で復号化して読み出し、前記更新暗号化鍵で暗号化したものを前記更新セキュリティデータに用いると好適である。
地図データのようなデータ容量が大きいデータからハッシュ値を演算するのは演算負荷が高い。このため、前記更新用地図データは複数のサブデータから構成され、前記地図セキュリティ処理データは、前記各サブデータから生成された複数のハッシュ値からさらに演算されたハッシュ値を前記更新暗号化鍵で暗号化したものとすることも好適な実施形態の一つである。
ナビゲーションユニットと更新ユニットとを一意的に関係付けるためにはこれらの間のデータ伝送の媒体となる記録媒体に記録されるセキュリティデータに一意的なデータとして利用できる固有値を用いると好適である。この目的を果たすための1つの実施形態として、前記更新セキュリティデータに前記更新用地図データの一意的な属性値(差分作成日時ないしは地図作成日)を前記更新暗号化鍵で暗号化したものをさらに含に含めることが提案される。
正規のルートを経て更新ユニットにダウンロードして記録媒体に記録された更新地図データであっても、その後この更新地図データが書き換えられる可能性や、別の記録媒体に書き込まれるといった不正も生じえる。このような問題に対処するため、本発明では、前記ナビゲーションユニットが、前記更新セキュリティデータを復号化して得られたハッシュ値と、前記記録媒体の前記データ領域に記録された地図データから前記更新セキュリティデータの前記ハッシュ値と比較可能に生成されたハッシュ値と、を比較して一致していれば、前記地図データを使用可能とすることが提案される。この構成では、ハッシュ値の照合を通じて、更新セキュリティデータによって規定される記録媒体と、当該記録媒体に記録されている地図データとの整合性をチェックすることができる。
以下、図面を用いて本発明に係るナビゲーションシステムの実施の形態を説明する。図1に示すナビゲーションシステムはカーナビゲーションであり、自動車に搭載されるナビゲーションユニット(以下、単にナビユニットと略称される)1と、この実施形態ではSDカード(より詳しくは、SDメモリーカード又はSDHCメモリーカード)である記録媒体4と、一般には通信機能付きパーソナルコンピュータ(以下、単にパソコンと略称される)である更新ユニット7とから構成されている。ナビユニット1で用いられる地図データはSDカード4に記録されており、カーナビゲーションを利用する際には、SDカード4がナビユニット1に装着される。SDカード4に記録されている地図データは更新可能である。地図データの更新は、更新用の地図データ又は地図差分データ(特に区別する必要があるときを除いて、以後両者を単に地図データと称することにする)を取り扱っている地図センターからインターネットなどのWAN経由で更新ユニット(パソコン)7にダウンロードし、この更新ユニット7を仲介してSDカード4の地図データを最新のものに書き換える。なお、ナビユニット1を搭載した自動車の購入時や、ナビユニット1だけの単独購入時などでは、そのナビユニット1には最新の地図データが記録されたSDカード4が付属している。
以下、本発明によるナビゲーションシステムの基本的なデータの流れとして、図1を用いて、ナビユニット1に用いられていたSDカード4の地図データを更新ユニット7で更新して、再度ナビユニット1で利用する際のデータの流れを説明する。このSDカード4は、メモリ領域として、書き換え可能なデータ領域と、媒体識別情報(ここではCID:Card Identification registerが用いられる)が記録される書き換え不能な管理領域と、を備えている。地図データはデータ領域に記録される。さらに、記録されている地図データの更新の権利に関する情報としての更新最終期限などを含む更新権情報もデータ領域に書き込まれている。
ナビユニット1には、初めからセキュリティ関連のデータとして、このナビユニット1においてデータを暗号化するための暗号化鍵であるナビ暗号化鍵、更新ユニット7において暗号化されたデータを復号する更新復号化鍵が登録されている。更新ユニット7は、更新ユニット7の母体としてのパソコン上で更新ユニット構築のための所定のプログラムを起動することによって、この更新ユニット7においてデータを暗号化するための暗号化鍵である更新暗号化鍵、ナビユニット1において暗号化されたデータを復号するナビ復号化鍵が登録されている。ここでの対応する暗号化鍵と復号化鍵との関係は、公知の秘密鍵と公開鍵との関係と実質的に同じであり、暗号化鍵で暗号化されたデータは、対応する復号化鍵でのみ復号化可能である。また、暗号化鍵から対応する復号化鍵を作り出すこと及び復号化鍵から対応する暗号化鍵を作り出すことは事実上不可能である。
まず、ナビユニット1にSDカード4が装着された段階で、SDカード4から媒体識別情報がナビユニット1に送信されるので(#11)、ナビユニット1は、受け取った媒体識別情報を含むナビセキュリティデータを生成してそのメモリに記録している(#12)。このナビセキュリティデータはナビ暗号化鍵によって暗号化される。その後、SDカード4に送られ、SDカード4のデータ領域に記録される(#13)。
このSDカード4のデータ領域に記録されている地図データを更新する場合は、ナビユニット1から取り外し、所定のプログラムソフトをインストールしたパソコンである更新ユニット7に装着する必要がある。更新ユニット7は、予めセンターから更新用の地図データをダウンロードし、メモリに格納する(#14)。さらに、格納された地図データから算出されたハッシュ値を含む地図セキュリティデータを生成する(#15)。
SDカード4が装着されると、更新ユニット7は、SDカード4にアクセスしてSDカード4に記録されているナビセキュリティデータを受け取る(#16)。このナビセキュリティデータはナビ暗号化鍵によって暗号化されているので、更新ユニット7に登録されているナビ復号化鍵によって復号化され、そこから媒体識別情報が取り出される(#17)。取り出された媒体識別情報と、先に生成されている地図セキュリティデータ(地図データのハッシュ値)または当該地図セキュリティデータを処理した地図セキュリティ処理データ(本実施形態では地図セキュリティデータのハッシュ値)と、格納されている地図データの属性値(例えば地図作成日)とを含む更新セキュリティデータが生成され、更新暗号化鍵で暗号化される(#18)。装着されているSDカード4とこれから地図更新のためのSDカード4に転送される地図データとの間のセキュリティ上の一意的な関係を作り出すために、まず、地図セキュリティデータがSDカード4に送信され、SDカード4のデータ領域に記録される(#19)。さらに暗号化された更新セキュリティデータもSDカード4に送信され、SDカード4のデータ領域に記録される(#20)。最後に(SDカード4の装着後どの時期でもよい)、更新用の地図データがSDカード4に送信され、SDカード4のデータ領域に記録されることで地図更新が完了する(#21)。
地図更新が完了したSDカード4に記録されている更新セキュリティデータは、SDカード4がナビユニット1に装着された際にナビユニット1に送信され(#22)、更新復号化鍵によって復号化され、そこから媒体識別情報が読み出される(#23)。この読み出された媒体識別情報は、ナビユニット1が直接SDカード4の管理領域にアクセスして取得した媒体識別情報と比較することで(#24)、更新ユニット7で更新されたSDカード4と、今このナビユニット1に装着されているSDカード4の同一性をチェックすることができる。
次に、上述したナビゲーションシステムの詳細を説明する。図2は、ナビユニット1の主な機能を示す機能ブロック図である。ナビユニット1は、基本的には、カーナビ本体部1Aと、このカーナビ本体部1Aに接続される記録媒体管理コントローラとしてのSD管理コントローラ1Bとからなる。
カーナビ本体部1Aは、一般のカーナビ装置と同じように、I/Oインターフェース11を介して、種々のカーナビ用センサや入出力デバイスと接続されている。カーナビ用センサとしては、GPS(Global Positioning System)衛星からのGPS信号を受信するGPS受信機91、自車両の進行方位又はその進行方位の変化を検出する方位センサ92、自車両の車速や移動距離を検出する距離センサ93が挙げられる。入出力デバイスとしては、運転者に対する経路案内等を行うスピーカ94やモニタ95、さらにはタッチパネル96等の操作デバイスが挙げられる。
カーナビ本体部1Aにおいて、ハードウェア又はソフトウェア(プログラム)あるいはその両方により構築される主な機能部は、GPS位置情報取得部12、進行方位情報取得部13、地図データ処理部14、マップマッチング部15、走行距離算定部16、ナビゲーション情報処理部である。地図データ処理部14による地図データの検索抽出の対象となる地図データベースはナビユニット1に装着されるSDカード4に構築されている。
GPS位置情報取得部12は、GPS測位によって自車両の位置を表す自車両位置情報を取得する機能を有する。GPS位置情報取得部12では、GPS受信機91で受信されたGPS衛星からの信号を解析し、自車両の現在位置(座標位置:緯度及び経度)を取得することができる。進行方位情報取得部13は、自車両の方位変化量と移動距離とによって自車両の進行方位を表す進行方位情報を取得する機能を有する。このため進行方位情報取得部13は、方位センサ92及び距離センサ93と接続されている。距離センサ93は自車両の車速や移動距離を検出するセンサであり、このセンサ信号に基づいてトータルの走行距離が走行距離算定部16で算定される。マップマッチング部15は、SDカード4から自車位置周辺の地図データを取得し、それに基づいて公知のマップマッチングを行う機能を有する。このマップマッチングにより、GPS位置情報取得部12から出力される自車両位置情報や進行方位情報取得部13から出力される進行方位情報による自車両の現在位置から最短の、地図情報に示される道路上における位置を探索する。この探索された位置は自車両道路上位置であり、この自車両道路上位置がモニタ6に道路地図に重ねて表示される。ナビゲーション情報処理部17は、自車位置表示、出発地から目的地までの経路探索、目的地までの経路案内、目的地検索等のナビゲーション機能を作り出す。例えば、ナビゲーション情報処理部17は、マップマッチング部15で決定された自車位置としての自車両道路上位置に基づいてSDカード4から地図データを取得してモニタ6の表示画面に地図の画像を表示するとともに、当該地図の画像上に、自車両の現在位置及び進行方位を表す自車位置マークを重ね合わせて表示する。また、ナビゲーション情報処理部17は、地図データに基づいて、所定の出発地から目的地までの経路探索を行うとともに、探索された出発地から目的地までの経路と自車位置とに基づいて、モニタ95及びスピーカ94の一方又は双方を用いて、運転者に対する経路案内を行う。モニタ95には操作デバイスとして機能するタッチパネル96が装着されているが、これとは別な操作スイッチや操作ボタンを操作デバイスとして付加してもよい。
お互いの通信インターフェース10、20を介して、カーナビ本体部1Aと接続されているSD管理コントローラ1Bの主な機能部は、SDホストモジュール21、セキュリティデータ用メモリ22、更新権情報処理部23、地図更新期限算定部24、ナビセキュリティデータ生成部25、暗号処理部26である。
SDホストモジュール21は、SDカード4との間のデータ交換を行うものである。セキュリティメモリ22は、車載器IDなどの予めナビユニット1に固有の情報、及び媒体識別情報(CID)などのSDカード4から取得したセキュリティに関するデータを記録するメモリである。ナビユニット1にとっての最初のデータアクセスの対象となったSDカード4の媒体識別情報は、初使用媒体識別情報としてメモリに記録される。すなわち、初使用媒体識別情報は、未使用のナビユニット1に最初に装着されたSDカード4の媒体識別情報である。更新権情報処理部23は、SDカードから取得した更新権情報に基づいて生成した地図更新期限を付加する等してナビユニット側の更新権情報を生成したり、この更新権情報から必要なデータを取り出したりする。地図更新期限算定部24は、装着されたSDカード4における地図データの更新に関する期限を算定する。ここでは、地図更新期限算定部24は、初使用媒体識別情報とSDカード4の媒体識別情報とを比較し、初使用媒体識別情報として記録されている媒体識別情報を有するSDカード4と、それ以外のSDカード4とで異なる地図更新期限を設定する。具体的には、初使用媒体識別情報として記録されている媒体識別情報を持つSDカード4に対しては3年間の更新期限を与え、それ以外のSDカード4に対しては2年間の更新期限を与える。また、SDカード4に記録された地図データが余りにも古すぎると差分を用いた地図更新が困難になるといった問題など種々の問題を引き起こすので、地図更新期限算定部24は、地図更新期限の設定に際して、更新最終期限を参照し、更新最終期限を過ぎたSDカード4に対しては更新期限を付与しない。例えば、更新最終期限は、SDカード4に地図データが記録された時を基準として設定された期限である。
ナビセキュリティデータ生成部26は、更新ユニット7によって不正に地図更新されたSDカード4を見破るためのセキュリティデータを組み合わせてナビセキュリティデータを生成する。ナビセキュリティデータは、少なくとも、SDカード4の管理領域から読み出した媒体識別情報(CID)と地図更新期限の情報とを含んでいる。暗号処理部27は、ここでデータを暗号化する暗号化鍵としてのナビ暗号化鍵と、更新ユニット7で暗号化されたデータを復号する更新復号化鍵と備えている。ハッシュ演算部27は、装着されたSDカード4の地図データのハッシュ値を演算する。
図3に示すように、SDカード4の構成は、市場に流通しているセキュリティ機能付きフラッシュメモリであるSDカードと実質的に同じであり、SDインターフェース40を通じて、更新ユニット7やナビユニット1とデータ交換可能である。その基本的な構成要素として、CPU41、媒体識別情報などを記録している管理用メモリ42、メモリインタフェース43を通じて書き換え可能にデータを記録することができるデータ領域であるフラッシュメモリ44が備えられている。さらに、このナビゲーションシステムのために実装されているプログラム等によって実現する機能部として、パスワードロック処理部55及びCID管理部56も備えられている。
パスワードロック処理部55は、このSDカード4のパスワードロック機能を行うものであるが、ナビユニット1への最初の装着時においてパスワードチェックを行った後には、このパスワードロックは解除され、以後はパスワードを必要とせずに、データアクセスが許可される。CID管理部56は、管理用メモリ42に記録された媒体識別情報(一般にはCIDと呼ばれるコード)を要求に応じて読み出して、要求先に送信する。
図4に示すように、WANインターフェースを通じてWAN(インターネット)と接続可能であるとともにSDインターフェース71を通じてSDカードとデータ交換可能なパソコンにおいて、このナビゲーションシステムで要求される機能を実現するプログラムを実行させることにより、この更新ユニット7に要求される機能部は構築される。その機能部として、地図データ処理部72、地図セキュリティデータ生成部73、更新セキュリティデータ生成部74、ハッシュ演算部75、暗号処理部76が挙げられる。
地図データ処理部72は、センターからダウンロードされた更新用の地図データ(地図データバージョンや地図作成日等の地図データ属性値を含む)を処理して、装着されているSDカード4の地図データを更新する。一般に、更新用の地図データは、差分データとしてダウンロードされるので、この差分データを用いて地図データの更新すべきデータ部分だけを書き換える。地図データは扱いやすいように複数の地図サブデータに区分けされている。地図セキュリティデータ生成部73は、装着されたSDカード4に転送する地図データの識別コードとして用いることができるように、ハッシュ演算部によって上記の地図サブデータのそれぞれから得られたハッシュ値をグループ化して、地図セキュリティデータとする。更新セキュリティデータ生成部74は、装着されたSDカードに記録されたナビセキュリティデータから読み取った媒体識別情報、地図作成日又は差分データから更新地図データを作成した日、及び地図セキュリティデータ生成部73によって生成された地図セキュリティデータから再度ハッシュ演算部によって演算されたハッシュ値をグループ化した更新セキュリティデータを作成する。この更新セキュリティデータは暗号処理部76によって更新暗号化鍵で暗号化され、SDカード4に送信される。暗号処理部76は、ナビユニット1の暗号処理部26においてナビ暗号化鍵で暗号化されたデータを復号するナビ復号化鍵も備えている。これにより、更新ユニット7は、ナビ暗号化鍵で暗号化されたナビセキュリティデータをSDカード4から読み出して復号化することができる。
上述のように構成されたナビゲーションシステムにおいては、ナビユニット1とSDカード4と更新ユニット7との間で、地図データが転送される際、セキュリティ目的で種々の情報ないしはデータが交換される。図5には、そのようなデータや情報のデータ構造がまとめられている。
図5(a)で示す更新権情報はSDカード4に記録されている状態と、その後ナビユニット1に転送されて、そこで記録されるときに構造が異なっている。つまり、SDカード4における更新権情報は、地図データバージョンと更新最終期限とを有する。これに対して、ナビユニット1における更新権情報は、媒体識別情報(CID)と、ナビユニット1に地図更新期限算定部24で算定された地図更新期限とがさらに追加されている。
図5(b)で示すナビセキュリティデータはナビユニット1で生成されるデータであり、媒体識別情報、車載器ID、走行距離、地図更新期限、地図データバージョンを有する。このナビセキュリティデータはナビ暗号化鍵で暗号化されて、ナビユニット1からSDカード4に転送される。
図5(b)で示すナビセキュリティデータはナビユニット1で生成されるデータであり、媒体識別情報、車載器ID、走行距離、地図更新期限、地図データバージョンを有する。このナビセキュリティデータはナビ暗号化鍵で暗号化されて、ナビユニット1からSDカード4に転送される。
図5(c)で示す地図データは、最終的には更新ユニット7でセットアップされるデータであり、地図区分け数で区分けされた複数の地図サブデータ1、・・・とともに、地図データの属性値としての地図データバージョン及び地図作成日を有する。
図5(d)で示す地図セキュリティデータは更新ユニット7で生成されるデータであり、地図区分け数で区分けされた複数の地図サブデータ毎に演算された各地図サブデータのハッシュ値が地図サブデータハッシュ値1、・・・として含まれている。この地図セキュリティデータは、地図データとともに、更新ユニット7からSDカード4に転送される。
図5(e)で示す更新セキュリティデータは更新ユニット7で生成されるデータであり、SDカード4に記録されたナビセキュリティデータから読み出した媒体識別情報、地図セキュリティデータに含まれている複数の地図サブデータハッシュ値からさらにハッシュ演算して得られた二階ハッシュ値である地図セキュリティデータのハッシュ値を含む。この更新セキュリティデータは、更新暗号化鍵で暗号化されて、装着されているSDカード4に転送される。
図5(d)で示す地図セキュリティデータは更新ユニット7で生成されるデータであり、地図区分け数で区分けされた複数の地図サブデータ毎に演算された各地図サブデータのハッシュ値が地図サブデータハッシュ値1、・・・として含まれている。この地図セキュリティデータは、地図データとともに、更新ユニット7からSDカード4に転送される。
図5(e)で示す更新セキュリティデータは更新ユニット7で生成されるデータであり、SDカード4に記録されたナビセキュリティデータから読み出した媒体識別情報、地図セキュリティデータに含まれている複数の地図サブデータハッシュ値からさらにハッシュ演算して得られた二階ハッシュ値である地図セキュリティデータのハッシュ値を含む。この更新セキュリティデータは、更新暗号化鍵で暗号化されて、装着されているSDカード4に転送される。
次に、このナビゲーションシステムにおける、データ交換の手順を説明する。図6は、自動車に搭載され、初めてSDカード4を装着した際の、ナビユニット1とSDカード4との間のデータ交換を模式的に示したダイアグラム図である。
まず、ナビユニット1からSDカード4に対してロック確認が行われ(#30)、Sナビユニット1は、Dカード4からパスワードロックが機能しているというロック情報を受け取ると(#31)、パスワードを送信する(#32)。ナビユニット1からパスワードが送信されると、SDカード4に対するデータアクセスが許可される(#33)。データアクセスが許可されると、ナビユニット1はSDカード4に対して管理領域に記録された媒体識別情報(CID)を要求し(#34)、媒体識別情報(CID)を受け取ると(#35)、一時的にメモリ22に記録する(#36)。さらに、更新権情報(RR)を要求し(#37)、更新権情報(RR)を受け取ると(#38)、地図更新期限算定部24が更新情報(RR)に基づいて地図更新期限を算定する(#39)。本実施形態では、地図更新期限算定部24は、SDカード4に更新権情報(RR)が記録されていることを条件として、当該更新権情報(RR)の読み出し時からの所定期間を当該更新権情報(RR)についての地図更新期限とする。ここでは、地図更新期限算定部24は、上記のとおり、ナビユニット1にとっての最初のデータアクセスの対象となったSDカード4であるか否かにより異なる地図更新期限を与えることとし、具体的には、当該ナビユニットにとっての最初のSDカード4に対しては3年間の更新期限を与え、2枚目以降のSDカード4に対しては2年間の更新期限を与える。またこの際、地図更新期限算定部24は、更新権情報(RR)に含まれる更新最終期限を確認し、更新最終期限を過ぎたSDカード4に対しては更新期限を与えない。次いで、更新権情報処理部23がメモリ22に記録されているデータに基づいて、図5で示すようなデータ構造を有する更新権情報(RR)を作成してメモリ22に記録する(#40)。更新権情報(RR)の再作成と記録が完了すると、SDカード4に更新権情報記録完了が通知され(#41)、これにより更新情報管理部52がフラッシュメモリ44に記録されていた更新権情報を削除する(#42)。続いて、パスワードロック処理部55がパスワードロック機能を解除する(#43)。
まず、ナビユニット1からSDカード4に対してロック確認が行われ(#30)、Sナビユニット1は、Dカード4からパスワードロックが機能しているというロック情報を受け取ると(#31)、パスワードを送信する(#32)。ナビユニット1からパスワードが送信されると、SDカード4に対するデータアクセスが許可される(#33)。データアクセスが許可されると、ナビユニット1はSDカード4に対して管理領域に記録された媒体識別情報(CID)を要求し(#34)、媒体識別情報(CID)を受け取ると(#35)、一時的にメモリ22に記録する(#36)。さらに、更新権情報(RR)を要求し(#37)、更新権情報(RR)を受け取ると(#38)、地図更新期限算定部24が更新情報(RR)に基づいて地図更新期限を算定する(#39)。本実施形態では、地図更新期限算定部24は、SDカード4に更新権情報(RR)が記録されていることを条件として、当該更新権情報(RR)の読み出し時からの所定期間を当該更新権情報(RR)についての地図更新期限とする。ここでは、地図更新期限算定部24は、上記のとおり、ナビユニット1にとっての最初のデータアクセスの対象となったSDカード4であるか否かにより異なる地図更新期限を与えることとし、具体的には、当該ナビユニットにとっての最初のSDカード4に対しては3年間の更新期限を与え、2枚目以降のSDカード4に対しては2年間の更新期限を与える。またこの際、地図更新期限算定部24は、更新権情報(RR)に含まれる更新最終期限を確認し、更新最終期限を過ぎたSDカード4に対しては更新期限を与えない。次いで、更新権情報処理部23がメモリ22に記録されているデータに基づいて、図5で示すようなデータ構造を有する更新権情報(RR)を作成してメモリ22に記録する(#40)。更新権情報(RR)の再作成と記録が完了すると、SDカード4に更新権情報記録完了が通知され(#41)、これにより更新情報管理部52がフラッシュメモリ44に記録されていた更新権情報を削除する(#42)。続いて、パスワードロック処理部55がパスワードロック機能を解除する(#43)。
ナビユニット1では、ナビセキュリティデータ生成部25が、装着されているSDカード4の管理領域としての管理メモリ42から読み出した媒体識別情報(CID)、このナビユニット1に固有している車載器ID(NID)、カーナビ本体1Aから得られる走行距離(Km)、先に算定した地図更新期限(RT)、更新権情報(RR)に含まれている地図データベースバージョン(MV)をグループ化して、ナビセキュリティデータ(NS)を生成し(#44)、メモリ22に記録する(#45)。さらに、ナビセキュリティデータ(NS)は、暗号処理部26によりナビ暗号化鍵を用いて暗号化され(#46)、SDカード4に送信され(#47)、データ領域としてのフラッシュメモリ44に記録される(#48)。
以上により、ナビユニット1とSDカード4の初期処理が完了し、カーナビゲーション処理時には、カーナビ本体1Aからの要求に応じて、SD管理コントローラ1BはSDカード4にアクセスして、必要な地図データをSDカード4から読み出し、カーナビ本体1Aに与える処理が繰り返される。
次に、地図データ更新時におけるSDカードと更新ユニットとの間のデータ交換の流れを図7のダイアグラム図を用いて説明する。
まず、更新ユニット7は、予め、地図データをダウンロードし(#61)、更新用の地図データとしてメモリに格納しておく(#62)。その際、更新前の地図データが更新ユニット7に存在しており、ダウンロードした地図データが差分データの場合には、ここで差分データを用いて既存の地図データを最新版に更新しておく。この状態で、更新対象となるSDカード4が更新ユニット7に装着されると、更新ユニット7は、SDカード4がナビユニット1から受け取って記録しているナビセキュリティデータを要求する(#63)。受け取ったナビセキュリティデータは、メモリに一時的に格納される(#64)。このナビセキュリティデータはナビ復号化鍵を用いて復号化される(#65)。このように復号化されたナビセキュリティデータから媒体識別情報(CID)が取り出され、更新ユニット7のメモリに一時的に格納される(#66)。さらに、復号化されたナビセキュリティデータから地図更新期限が取り出され(#67)、格納している更新用の地図データの作成日時と比較され、作成日時が地図更新期限を過ぎていないか、あるいはその他の設定条件に応じた地図更新期限に関するチェックがなされる(#68)。
まず、更新ユニット7は、予め、地図データをダウンロードし(#61)、更新用の地図データとしてメモリに格納しておく(#62)。その際、更新前の地図データが更新ユニット7に存在しており、ダウンロードした地図データが差分データの場合には、ここで差分データを用いて既存の地図データを最新版に更新しておく。この状態で、更新対象となるSDカード4が更新ユニット7に装着されると、更新ユニット7は、SDカード4がナビユニット1から受け取って記録しているナビセキュリティデータを要求する(#63)。受け取ったナビセキュリティデータは、メモリに一時的に格納される(#64)。このナビセキュリティデータはナビ復号化鍵を用いて復号化される(#65)。このように復号化されたナビセキュリティデータから媒体識別情報(CID)が取り出され、更新ユニット7のメモリに一時的に格納される(#66)。さらに、復号化されたナビセキュリティデータから地図更新期限が取り出され(#67)、格納している更新用の地図データの作成日時と比較され、作成日時が地図更新期限を過ぎていないか、あるいはその他の設定条件に応じた地図更新期限に関するチェックがなされる(#68)。
この地図更新期限に関するチェックがクリアされると更新用の地図データがSDカード4に送信される(#69)。また、更新ユニット7においては、ハッシュ演算部75が地図データのハッシュ値(MH)を算出する(#70)。通常、地図データはデータ容量が大きく分割構成となっているので、各地図サブデータのハッシュ値が算出され、地図セキュリティデータ(MS)が生成される(#71)。さらに、この地図セキュリティデータ(MS)に含まれる各地図サブデータのハッシュ値をまとめてハッシュ演算を行い、統合されたハッシュ値を算出する(#72)。この統合されたハッシュ値が本発明における1つの形態である、地図セキュリティデータを処理した地図セキュリティ処理データとなる。更新セキュリティデータ生成部74は、この統合されたハッシュ値、地図データの作成日、復号化されたナビセキュリティデータから取り出された媒体識別情報などをグループ化することで、更新セキュリティデータ(RS)を生成する(#73)。生成された更新セキュリティデータは更新暗号化鍵で暗号化される(#74)。暗号化された更新セキュリティデータは先に生成された地図セキュリティデータとともにSDカード4に送信され(#75、#76)、SDカード4のデータ領域としてのフラッシュメモリ44に記録される(#77)。
次に、更新ユニットを通じて当初の地図データを更新したSDカード4をナビユニット1で利用する際のデータ交換の流れを図8のダイアグラム図を用いて説明する。
このSDカード4は、最初にナビユニット1に装着した際に、パスワードチェック機能が解除され、また更新権情報も既に削除されている。SDカード4がナビユニット1に装着されると、ナビユニット1はSDカード4に対して管理領域としての管理用メモリ42に記録された媒体識別情報(CID)を要求し(#80)、SDカード4の管理用メモリ42に記録されている媒体識別情報を取得する(#81)。さらに、SDカード4のフラッシュメモリ44に記録されている更新セキュリティデータ(RS)を要求し(#82)、更新セキュリティデータを取得する(#83)。この更新セキュリティデータ(RS)は更新復号化鍵を用いて復号化される(#84)。この更新セキュリティデータには媒体識別情報が含まれているのでこの媒体識別情報と先に取得した媒体識別情報を比較することで、SDカード4と更新ユニット7で更新された地図データとの整合性をチェックする(#85)。媒体識別情報の整合性に問題がなければ、今受け取った更新セキュリティデータに含まれている地図作成日(MD)とナビゲーションユニット1に記録されている地図更新期限とを比較して、その整合性をチェックする(#86)。この整合性に問題なければ、このSDカード4自体は正当とみなすことができる。
このSDカード4は、最初にナビユニット1に装着した際に、パスワードチェック機能が解除され、また更新権情報も既に削除されている。SDカード4がナビユニット1に装着されると、ナビユニット1はSDカード4に対して管理領域としての管理用メモリ42に記録された媒体識別情報(CID)を要求し(#80)、SDカード4の管理用メモリ42に記録されている媒体識別情報を取得する(#81)。さらに、SDカード4のフラッシュメモリ44に記録されている更新セキュリティデータ(RS)を要求し(#82)、更新セキュリティデータを取得する(#83)。この更新セキュリティデータ(RS)は更新復号化鍵を用いて復号化される(#84)。この更新セキュリティデータには媒体識別情報が含まれているのでこの媒体識別情報と先に取得した媒体識別情報を比較することで、SDカード4と更新ユニット7で更新された地図データとの整合性をチェックする(#85)。媒体識別情報の整合性に問題がなければ、今受け取った更新セキュリティデータに含まれている地図作成日(MD)とナビゲーションユニット1に記録されている地図更新期限とを比較して、その整合性をチェックする(#86)。この整合性に問題なければ、このSDカード4自体は正当とみなすことができる。
次に、SDカード4に記録された地図データそのものの正当性(不正にコピーされたものでないことなど)チェックするため、まず、地図セキュリティデータ(RS)をSDカード4に要求し(#87)、地図セキュリティデータを受け取り(#88)、さらに地図データを要求し(#89)、地図データを受け取る(#90)。受け取った地図データ、実際は所定の区分け数で区分けされた各地図サブデータのハッシュ値がハッシュ演算部27によって演算される(#91)。更に、この演算によって得られたハッシュ値群をまとめてハッシュ演算を行い、統合されたハッシュ値を算出する。この統合されたハッシュ値と先に受け取った地図セキュリティデータに含まれているハッシュ値(更新ユニット7により演算された統合されたハッシュ値)とを互いに比較する(#92)。相互のハッシュ値が一致している場合は、更新ユニット7でダウンロードされ作成された地図データと、今装着されているSDカード4に記録されている地図データとが一致していることが保証される。これによって、地図データも含めこのSDカード4の正当性が確認される。さらに、ナビセキュリティデータに走行距離のように運転とともにその値が変化するようなデータを含む場合には、ナビセキュリティデータ生成部25が最新のデータを含むナビセキュリティデータを生成する(#93)。これにより、初期処理が完了し、カーナビゲーション処理時には、カーナビ本体1Aからの要求に応じて、SD管理コントローラ1BはSDカード4にアクセスして、必要な地図データをSDカード4から読み出し、カーナビ本体1Aに与える処理が繰り返される。
以上のような構成を備えることにより、強固なセキュリティを有する地図データ更新を実現することができる。具体的には、以下のような類型が考えられる。
(1)新しいSDカード4から地図データを丸ごとデッドコピーしようとした場合、パスワードロック機能が働くため、専用のナビユニット1でしかデータアクセスが許可されないので、そのような地図データのデッドコピーができない。また、パスワードロック解除後は更新権データが削除されているので、不正に地図データの更新権を得ることはできない。
(2)SDカード4をナビユニット1に装着することでパスワードロック機能が解除された後に、当該SDカード4を丸ごとデッドコピーした他のSDカード4を使用する場合、ナビセキュリティデータの媒体識別情報とSDカードに固有の媒体識別情報(管理用メモリに記録されているもの)との不整合から不正コピーが認識でき、使用を禁止できる。
(3)地図データの一部が修正ないしは不正にコピーされたSDカード4が装着された場合、ナビユニット4の起動時に上述したような地図データのハッシュ値を演算し、この演算値とナビセキュリティデータに含まれているハッシュ値とを比較することで、その使用を禁止することができる。
(4)更新ユニットの時計を過去にずらせることで地図更新期限の切れたSDカード4の地図更新をしようとした場合、ナビセキュリティデータに含まれている地図更新期限と更新用の地図データの属性値としての地図作成日とを比較しその整合性をチェックすることで更新ユニットの不正な時計設定を検知することができる。ナビセキュリティデータの地図更新期限を書き換えることはナビセキュリティデータがナビ暗号化鍵で暗号化されているので不可能である。さらに、地図更新期限が残っている他のSDカード4のナビセキュリティデータをまるごとコピーした場合には、更新ユニット7において地図更新ができたとしても、その際そのナビセキュリティデータの媒体識別情報が書き込まれるので、ナビユニット1においてその更新セキュリティデータの媒体識別情報とSDカード4の管理用メモリ42から読み出された媒体識別情報とを比較することでその不正が検知可能となる。
(5)更新ユニット7にインストールされているこのナビゲーションシステムのためのプログラムがクラックされ、上述した更新期限チェック等の機能部をパッチで回避された場合、ナビユニットが更新セキュリティデータに含まれている地図作成日と地図更新期限を比較することでそのような不正を検知することができる。また、更新ユニット7にインストールされているプログラムがクラックされることでのナビゲーションシステムにおける暗号システムの脆弱化は、ナビユニット1のナビ暗号化鍵で暗号化された暗号は更新ユニット7のナビ復号化鍵によってのみ復号でき、更新ユニット7の更新暗号化鍵で暗号化された暗号はナビユニット1の更新復号化鍵によってのみ復号できるように、異なる2つの暗号鍵システムを取り入れることで、回避している。
〔別実施の形態〕
(1)上述した実施の形態では、ナビユニット1で使用される前でのSDカード(記録媒体の一種)4へのデータアクセスを防止するためにパスワードロック機能を採用していたが、他のロック機能を、特には使用する記録媒体に適したロック機能を採用することができる。また、パスワードロック機能は更新権情報のデータ領域からの削除の後に解除されていたが、その前に解除することを本発明は除外しているわけではない。さらに、パスワードロック機能は外したナビゲーションシステムも本発明の範囲内である。
(2)ある程度のセキュリティの脆弱化が許容できる場合、SDカード(記録媒体の一種)4のデータ領域から読み出された更新権情報が前記ナビユニットのメモリに記録しないシステムとすることも本発明の枠内で可能である。
(3)ナビユニットにとっての最初のデータアクセスの対象となった記録媒体の媒体識別情報が初使用媒体識別情報として前記ナビユニットのメモリに記録することも、本発明の枠内で省略することも可能である。また、適用する分野によっては、初使用媒体識別情報として記録されている媒体識別情報を有する記録媒体と、それ以外の記録媒体では地図更新期限を必ずしも異ならせる必要はない。
(4)上述した実施例では、ナビユニットは、更新権情報の読み出し時からの所定期間を当該更新権情報についての地図更新期限としていたが、地図更新期限の起点となるタイミングは更新権情報の読み出し時以外のものを採用することもできる。そのタイミングとしては、例えば、ナビユニットへの記録媒体の装着時、車両の走行距離が所定距離を越えた時、地図データが記録された記録媒体の製造時あるいは出荷時等が挙げられる。
(5)セキュリティを強固にするための最適な実施の形態として、ナビユニット1と更新ユニット7との間において異なる2つの暗号鍵システムを取り入れられていたが、本発明はこれに限定されるわけではなく、単一の共通鍵による暗号システムを採用することも本発明に含まれる。
(6)上述した実施の形態では、地図データは複数のサブデータから構成されており、更新セキュリティデータに利用される地図セキュリティ処理データは、各サブデータから生成された複数のハッシュ値からさらに演算されたハッシュ値であったが、このような二階ハッシュ演算を行わずに一階ハッシュ演算されたもの、すなわち地図セキュリティデータをそのまま利用してもよい。
(7)更新セキュリティデータに含まれる更新用地図データの一意的な属性値として地図作成日を採用していたが、地図作成履歴コードなどその他の一意的な属性値を採用してもよい。
(8)SDカード(記録媒体の一種)4に内蔵されているCPUシステムの能力は年々高まっているので、上述したナビゲーションシステムでナビユニット1や更新ユニット7に構築されていた更新情報の管理機能やハッシュ演算機能、暗号機能などをSDカード側に構築することの本発明の枠内で可能である。
(1)新しいSDカード4から地図データを丸ごとデッドコピーしようとした場合、パスワードロック機能が働くため、専用のナビユニット1でしかデータアクセスが許可されないので、そのような地図データのデッドコピーができない。また、パスワードロック解除後は更新権データが削除されているので、不正に地図データの更新権を得ることはできない。
(2)SDカード4をナビユニット1に装着することでパスワードロック機能が解除された後に、当該SDカード4を丸ごとデッドコピーした他のSDカード4を使用する場合、ナビセキュリティデータの媒体識別情報とSDカードに固有の媒体識別情報(管理用メモリに記録されているもの)との不整合から不正コピーが認識でき、使用を禁止できる。
(3)地図データの一部が修正ないしは不正にコピーされたSDカード4が装着された場合、ナビユニット4の起動時に上述したような地図データのハッシュ値を演算し、この演算値とナビセキュリティデータに含まれているハッシュ値とを比較することで、その使用を禁止することができる。
(4)更新ユニットの時計を過去にずらせることで地図更新期限の切れたSDカード4の地図更新をしようとした場合、ナビセキュリティデータに含まれている地図更新期限と更新用の地図データの属性値としての地図作成日とを比較しその整合性をチェックすることで更新ユニットの不正な時計設定を検知することができる。ナビセキュリティデータの地図更新期限を書き換えることはナビセキュリティデータがナビ暗号化鍵で暗号化されているので不可能である。さらに、地図更新期限が残っている他のSDカード4のナビセキュリティデータをまるごとコピーした場合には、更新ユニット7において地図更新ができたとしても、その際そのナビセキュリティデータの媒体識別情報が書き込まれるので、ナビユニット1においてその更新セキュリティデータの媒体識別情報とSDカード4の管理用メモリ42から読み出された媒体識別情報とを比較することでその不正が検知可能となる。
(5)更新ユニット7にインストールされているこのナビゲーションシステムのためのプログラムがクラックされ、上述した更新期限チェック等の機能部をパッチで回避された場合、ナビユニットが更新セキュリティデータに含まれている地図作成日と地図更新期限を比較することでそのような不正を検知することができる。また、更新ユニット7にインストールされているプログラムがクラックされることでのナビゲーションシステムにおける暗号システムの脆弱化は、ナビユニット1のナビ暗号化鍵で暗号化された暗号は更新ユニット7のナビ復号化鍵によってのみ復号でき、更新ユニット7の更新暗号化鍵で暗号化された暗号はナビユニット1の更新復号化鍵によってのみ復号できるように、異なる2つの暗号鍵システムを取り入れることで、回避している。
〔別実施の形態〕
(1)上述した実施の形態では、ナビユニット1で使用される前でのSDカード(記録媒体の一種)4へのデータアクセスを防止するためにパスワードロック機能を採用していたが、他のロック機能を、特には使用する記録媒体に適したロック機能を採用することができる。また、パスワードロック機能は更新権情報のデータ領域からの削除の後に解除されていたが、その前に解除することを本発明は除外しているわけではない。さらに、パスワードロック機能は外したナビゲーションシステムも本発明の範囲内である。
(2)ある程度のセキュリティの脆弱化が許容できる場合、SDカード(記録媒体の一種)4のデータ領域から読み出された更新権情報が前記ナビユニットのメモリに記録しないシステムとすることも本発明の枠内で可能である。
(3)ナビユニットにとっての最初のデータアクセスの対象となった記録媒体の媒体識別情報が初使用媒体識別情報として前記ナビユニットのメモリに記録することも、本発明の枠内で省略することも可能である。また、適用する分野によっては、初使用媒体識別情報として記録されている媒体識別情報を有する記録媒体と、それ以外の記録媒体では地図更新期限を必ずしも異ならせる必要はない。
(4)上述した実施例では、ナビユニットは、更新権情報の読み出し時からの所定期間を当該更新権情報についての地図更新期限としていたが、地図更新期限の起点となるタイミングは更新権情報の読み出し時以外のものを採用することもできる。そのタイミングとしては、例えば、ナビユニットへの記録媒体の装着時、車両の走行距離が所定距離を越えた時、地図データが記録された記録媒体の製造時あるいは出荷時等が挙げられる。
(5)セキュリティを強固にするための最適な実施の形態として、ナビユニット1と更新ユニット7との間において異なる2つの暗号鍵システムを取り入れられていたが、本発明はこれに限定されるわけではなく、単一の共通鍵による暗号システムを採用することも本発明に含まれる。
(6)上述した実施の形態では、地図データは複数のサブデータから構成されており、更新セキュリティデータに利用される地図セキュリティ処理データは、各サブデータから生成された複数のハッシュ値からさらに演算されたハッシュ値であったが、このような二階ハッシュ演算を行わずに一階ハッシュ演算されたもの、すなわち地図セキュリティデータをそのまま利用してもよい。
(7)更新セキュリティデータに含まれる更新用地図データの一意的な属性値として地図作成日を採用していたが、地図作成履歴コードなどその他の一意的な属性値を採用してもよい。
(8)SDカード(記録媒体の一種)4に内蔵されているCPUシステムの能力は年々高まっているので、上述したナビゲーションシステムでナビユニット1や更新ユニット7に構築されていた更新情報の管理機能やハッシュ演算機能、暗号機能などをSDカード側に構築することの本発明の枠内で可能である。
本発明のナビゲーションシステムは、車両搭載されるカーナビゲーションだけでなく、ポータブル型のナビゲーションシステムなど、着脱可能な記録媒体に更新可能な地図データを記録して用いる種々のナビゲーションシステムに適用可能である。
1:ナビユニット(ナビゲーションユニット)
1A:カーナビ本体
1B:SD管理コントローラ
21:SDホストモジュール
22:セキュリティデータ用メモリ
23:更新権情報処理部
24:地図更新期限算定部
25:ナビセキュリティデータ正西部
26:暗号処理部
27:ハッシュ演算部
4:SDカード(記録媒体)
42:管理用メモリ(管理領域)
44:フラッシュメモリ(データ領域)
51:地図データ処理部
52:更新情報管理部
53:地図セキュリティデータ処理部
54:ナビセキュリティデータ処理部
55:パスワードロック処理部
56:CID管理部
7:更新ユニット
72:地図データ処理部
73:地図セキュリティデータ生成部
74:更新セキュリティデータ生成部
75:ハッシュ演算部
76:暗号処理部
1A:カーナビ本体
1B:SD管理コントローラ
21:SDホストモジュール
22:セキュリティデータ用メモリ
23:更新権情報処理部
24:地図更新期限算定部
25:ナビセキュリティデータ正西部
26:暗号処理部
27:ハッシュ演算部
4:SDカード(記録媒体)
42:管理用メモリ(管理領域)
44:フラッシュメモリ(データ領域)
51:地図データ処理部
52:更新情報管理部
53:地図セキュリティデータ処理部
54:ナビセキュリティデータ処理部
55:パスワードロック処理部
56:CID管理部
7:更新ユニット
72:地図データ処理部
73:地図セキュリティデータ生成部
74:更新セキュリティデータ生成部
75:ハッシュ演算部
76:暗号処理部
Claims (7)
- 地図データを用いて動作するナビゲーションユニットと当該ナビゲーションユニットに着脱可能な記録媒体と当該記録媒体との間でデータ伝送可能な更新ユニットとを有し、前記記録媒体は前記地図データが記録される書き換え可能なデータ領域と媒体識別情報が記録される書き換え不能な管理領域とを有し、前記更新ユニットが前記記録媒体に記録されている地図データを更新するために前記記録媒体との間でデータ伝送を行うナビゲーションシステムにおいて、
前記更新ユニットが更新暗号化鍵を備え、
前記更新ユニットが更新用地図データを前記記録媒体に転送して記録し、かつ
前記更新ユニットが、当該更新用地図データの少なくとも一部から生成されたハッシュ値を地図セキュリティデータとして前記記録媒体に転送して記録するとともに、前記地図セキュリティデータまたは当該地図セキュリティデータを処理した地図セキュリティ処理データと、前記媒体識別情報とを前記更新暗号化鍵で暗号化したものを、更新セキュリティデータとして前記記録媒体に転送して記録するナビゲーションシステム。 - 前記ナビゲーションユニットがナビ暗号化鍵を備え、前記記録媒体から読み出した前記媒体識別情報を前記ナビ暗号化鍵で暗号化したものを、ナビセキュリティデータとして前記記録媒体に転送して記録する請求項1に記載のナビゲーションシステム。
- 前記更新ユニットが前記ナビ暗号化鍵によって暗号化されたデータを複号するためのナビ復号化鍵を備え、前記ナビセキュリティデータに含まれる前記媒体識別情報を前記ナビ復号化鍵で復号化して読み出し、前記更新暗号化鍵で暗号化したものを前記更新セキュリティデータに用いる請求項2に記載のナビゲーションシステム。
- 前記更新用地図データは複数のサブデータから構成されており、前記地図セキュリティ処理データは、前記各サブデータから生成された複数のハッシュ値からさらに演算されたハッシュ値を前記更新暗号化鍵で暗号化したものである請求項1に記載のナビゲーションシステム。
- 前記更新セキュリティデータには前記更新用地図データの一意的な属性値を前記更新暗号化鍵で暗号化したものがさらに含まれている請求項1または2に記載のナビゲーションシステム。
- 前記ナビゲーションユニットが前記更新暗号化鍵で暗号化されたデータを復号する更新復号化鍵を備え、前記更新セキュリティデータに含まれる前記媒体識別情報を前記更新復号化鍵で復号化したものと、前記記録媒体の前記管理領域に記録された媒体識別情報とを比較して一致していれば、当該記録媒体の地図データを使用可能とする請求項1から5のいずれか一項に記載のナビゲーションシステム。
- 前記ナビゲーションユニットが、前記更新セキュリティデータを復号化して得られたハッシュ値と、前記記録媒体の前記データ領域に記録された地図データから前記更新セキュリティデータの前記ハッシュ値と比較可能に生成されたハッシュ値と、を比較して一致していれば、前記地図データを使用可能とする請求項1から6のいずれか一項に記載のナビゲーションシステム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010035319A JP5348502B2 (ja) | 2010-02-19 | 2010-02-19 | ナビゲーションシステム |
| PCT/JP2011/050610 WO2011102164A1 (en) | 2010-02-19 | 2011-01-07 | Navigation system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010035319A JP5348502B2 (ja) | 2010-02-19 | 2010-02-19 | ナビゲーションシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011169824A JP2011169824A (ja) | 2011-09-01 |
| JP5348502B2 true JP5348502B2 (ja) | 2013-11-20 |
Family
ID=43927862
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010035319A Expired - Fee Related JP5348502B2 (ja) | 2010-02-19 | 2010-02-19 | ナビゲーションシステム |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP5348502B2 (ja) |
| WO (1) | WO2011102164A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9141372B1 (en) * | 2014-06-20 | 2015-09-22 | GM Global Technology Operations LLC | Secure and interruptible transfer of a map update package to a navigation device |
| US9992628B2 (en) * | 2016-04-21 | 2018-06-05 | Microsoft Technology Licensing, Llc | Map downloading based on user's future location |
| GB202002612D0 (en) * | 2020-02-25 | 2020-04-08 | Tomtom Global Content Bv | Digital map data with enhanced functional safety |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7613917B1 (en) * | 2000-09-18 | 2009-11-03 | Navteq North America, Llc | Method and system for mass distribution of geographic data for navigation systems |
| US6490521B2 (en) * | 2000-12-28 | 2002-12-03 | Intel Corporation | Voice-controlled navigation device utilizing wireless data transmission for obtaining maps and real-time overlay information |
| JP4422372B2 (ja) * | 2001-10-23 | 2010-02-24 | トヨタ自動車株式会社 | 地図データ処理装置 |
| JP2004139442A (ja) * | 2002-10-18 | 2004-05-13 | Toyota Motor Corp | 情報端末装置、情報端末装置の動作制御方法、特定情報記憶プログラム、特定情報記憶プログラムを格納する記憶媒体、所定情報変更プログラム、端末動作プログラム、端末動作プログラムを格納する記憶媒体、及びセンタ |
| KR101254209B1 (ko) * | 2004-03-22 | 2013-04-23 | 삼성전자주식회사 | 디바이스와 휴대용 저장장치간에 권리 객체를 이동,복사하는 방법 및 장치 |
| JP2005331579A (ja) | 2004-05-18 | 2005-12-02 | Denso Corp | 地図データ更新システム |
| WO2007074557A1 (ja) * | 2005-12-26 | 2007-07-05 | Mitsubishi Electric Corporation | コンテンツ配信システムおよび端末およびサーバ |
| JP4633747B2 (ja) * | 2007-01-17 | 2011-02-16 | アイシン・エィ・ダブリュ株式会社 | 情報配信システム及び情報配信方法 |
| EP2410460B1 (en) * | 2007-02-23 | 2015-03-25 | Panasonic Corporation | Rights object moving method and corresponding content player |
-
2010
- 2010-02-19 JP JP2010035319A patent/JP5348502B2/ja not_active Expired - Fee Related
-
2011
- 2011-01-07 WO PCT/JP2011/050610 patent/WO2011102164A1/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011169824A (ja) | 2011-09-01 |
| WO2011102164A1 (en) | 2011-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10229547B2 (en) | In-vehicle gateway device, storage control method, and computer program product | |
| JP4372791B2 (ja) | 情報記憶装置 | |
| EP2079986B1 (en) | Navigation apparatus and information distribution system | |
| JP2021523490A (ja) | 信頼できるコンテキスチャルコンテンツ | |
| CN111159305B (zh) | 基于区块链的车辆数据处理方法、装置及系统 | |
| US20050187674A1 (en) | Program distribution system, program distribution device, and in-vehicle gateway device | |
| US8656127B2 (en) | Information processing terminal, method, program, and integrated circuit for controlling access to confidential information, and recording medium having the program recorded thereon | |
| WO2011073899A1 (en) | Data processing apparatus | |
| JP5348503B2 (ja) | ナビゲーションシステム | |
| CN110582430A (zh) | 车载认证系统、车载认证方法以及车载认证程序 | |
| JP5861597B2 (ja) | 認証システムおよび認証方法 | |
| JP5348502B2 (ja) | ナビゲーションシステム | |
| JP2013026964A (ja) | 車両用情報更新装置および車両用情報更新方法 | |
| JP2012224239A (ja) | 認証システム及び認証方法 | |
| JP2024505138A (ja) | 輸送機関に対する外部機能のプロビジョニング | |
| WO2019224912A1 (ja) | 車両通信装置、車両アクセス制御システム、管理装置、車両アクセス制御方法、および車両アクセス制御プログラム | |
| JP4850520B2 (ja) | 車載装置、失効管理装置および失効管理システム | |
| CN115600190A (zh) | 一种基于中央计算平台的数据可信执行方法及装置 | |
| JP7513542B2 (ja) | 情報処理システム | |
| US20210271696A1 (en) | Map output device, map output system, and computer-readable storage medium including program | |
| US12026288B2 (en) | Method, apparatus, and computer program product for confidential computing | |
| JP7232793B2 (ja) | 地図出力装置、地図出力システム及びプログラム | |
| JP2022174524A (ja) | 地図出力装置及び地図出力システム | |
| WO2007061006A1 (ja) | 情報読取装置、認証情報生成装置、情報読取方法、認証情報生成方法、情報読取プログラム、認証情報生成プログラムおよび記録媒体 | |
| JP2007230404A (ja) | 免許改ざん防止装置、免許改ざん防止システム、免許改ざん防止方法およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120229 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130718 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130725 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130807 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5348502 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |