JPWO2019224912A1 - 車両通信装置、車両アクセス制御システム、管理装置、車両アクセス制御方法、および車両アクセス制御プログラム - Google Patents
車両通信装置、車両アクセス制御システム、管理装置、車両アクセス制御方法、および車両アクセス制御プログラム Download PDFInfo
- Publication number
- JPWO2019224912A1 JPWO2019224912A1 JP2019513083A JP2019513083A JPWO2019224912A1 JP WO2019224912 A1 JPWO2019224912 A1 JP WO2019224912A1 JP 2019513083 A JP2019513083 A JP 2019513083A JP 2019513083 A JP2019513083 A JP 2019513083A JP WO2019224912 A1 JPWO2019224912 A1 JP WO2019224912A1
- Authority
- JP
- Japan
- Prior art keywords
- vehicle
- user
- function
- decryption
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 128
- 238000000034 method Methods 0.000 title claims description 132
- 230000006870 function Effects 0.000 claims abstract description 232
- 238000003860 storage Methods 0.000 claims abstract description 24
- 230000008569 process Effects 0.000 claims description 90
- 238000007726 management method Methods 0.000 description 99
- 238000012545 processing Methods 0.000 description 30
- 238000012423 maintenance Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000008859 change Effects 0.000 description 7
- 230000004048 modification Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 6
- 238000007781 pre-processing Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 5
- 239000000470 constituent Substances 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012805 post-processing Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R25/00—Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
- B60R25/20—Means to switch the anti-theft system on or off
- B60R25/24—Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Mechanical Engineering (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Multimedia (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
車両通信装置(100)は、車両に搭載された車載機能を提供する。補助記憶装置(160)は、車載機能の実行に用いられる車載機能情報を暗号化した暗号化データ(106)を記憶する。暗号化データ(106)には、復号条件が埋め込まれている。制御部(104)は、ユーザから、車載機能の使用を要求するアクセス要求を受け付ける。アクセス要求は、ユーザの属性を表すアクセス権情報が埋め込まれたユーザ秘密鍵を含む。復号部(102)は、アクセス要求に含まれるユーザ秘密鍵を用いて、アクセス権情報が復号条件に合致する場合に暗号化データ(106)から復号結果として車載機能情報(105)を得る。メモリ(150)は、復号部(102)により得られた車載機能情報(105)を記憶する。
Description
本発明は、車両通信装置、車両アクセス制御システム、管理装置、車両アクセス制御方法、および車両アクセス制御プログラムに関する。特に、車載システムの車載機能に対するアクセス制御を行う車両通信装置、車両アクセス制御システム、管理装置、車両アクセス制御方法、および車両アクセス制御プログラムに関する。
従来、カーナビゲーションシステムまたは自動運転システムといった様々な車載システムが存在する。これらの車載システムでは、第三者が、車載機能を悪用して、車両に攻撃する手法が知られている。よって、許可されていない人物による不正な車載機能の利用を抑制することが求められている。
特許文献1では、携帯端末から車両データを要求したときにアクセスリストを参照し、その結果によりデータの出力の許可あるいは不許可を決定する技術が開示されている。
特許文献1では、携帯端末から車両データを要求したときにアクセスリストを参照し、その結果によりデータの出力の許可あるいは不許可を決定する技術が開示されている。
特許文献1の技術では、アクセスリストを利用しているので、アクセスリストを書き換えるといった不正な攻撃が行われた場合に、車両に対する攻撃を防ぐことができない。
本発明は、不正なユーザによる車載機能の利用を効率的に防止し、車載システムの安全性および利便性を向上させることを目的とする。
本発明に係る車両通信装置は、車両に搭載された車載機能を提供する車両通信装置において、
前記車載機能の実行に用いられる車載機能情報を暗号化した暗号化データであって、復号条件が埋め込まれた暗号化データを記憶する補助記憶装置と、
前記車載機能を使用するユーザから、前記車載機能の使用を要求するアクセス要求であって、前記ユーザの属性を表すアクセス権情報が埋め込まれたユーザ秘密鍵を含むアクセス要求を受け付ける制御部と、
前記アクセス要求に含まれる前記ユーザ秘密鍵を用いて、前記アクセス権情報が前記復号条件に合致する場合に前記暗号化データから復号結果として前記車載機能情報を得る復号部と、
前記復号部により得られた前記車載機能情報を記憶するメモリとを備えた。
前記車載機能の実行に用いられる車載機能情報を暗号化した暗号化データであって、復号条件が埋め込まれた暗号化データを記憶する補助記憶装置と、
前記車載機能を使用するユーザから、前記車載機能の使用を要求するアクセス要求であって、前記ユーザの属性を表すアクセス権情報が埋め込まれたユーザ秘密鍵を含むアクセス要求を受け付ける制御部と、
前記アクセス要求に含まれる前記ユーザ秘密鍵を用いて、前記アクセス権情報が前記復号条件に合致する場合に前記暗号化データから復号結果として前記車載機能情報を得る復号部と、
前記復号部により得られた前記車載機能情報を記憶するメモリとを備えた。
本発明に係る車両通信装置によれば、復号部が、ユーザの属性情報であるアクセス権情報が埋め込まれたユーザ秘密鍵を用いて、アクセス権情報が復号条件に合致する場合に暗号化データから復号結果として車載機能情報を得る。よって、不正なユーザによる車載機能の利用を効率的に防止し、安全性および利便性を向上させることができる。
以下、本発明の実施の形態について、図を用いて説明する。なお、各図中、同一または相当する部分には、同一符号を付している。実施の形態の説明において、同一または相当する部分については、説明を適宜省略または簡略化する。
実施の形態1.
***構成の説明***
図1を用いて、本実施の形態に係る車両アクセス制御システム10の構成について説明する。
車両アクセス制御システム10は、1つの管理装置300と、1つ以上のベンダサーバ800と、1つ以上の車両200と、ユーザ500ごとのICカード600とを備える。ICカード600は、ユーザ500を識別するためのデバイス700の例である。ICはIntegrated Circuitの略である。ただし、車両アクセス制御システム10は、その他の構成を備えても構わないし、各構成の数は1つまたは複数であっても構わない。
車両200と管理装置300とベンダサーバ800とはネットワーク400を介して通信を行う。ネットワーク400の具体例は、インターネットである。
***構成の説明***
図1を用いて、本実施の形態に係る車両アクセス制御システム10の構成について説明する。
車両アクセス制御システム10は、1つの管理装置300と、1つ以上のベンダサーバ800と、1つ以上の車両200と、ユーザ500ごとのICカード600とを備える。ICカード600は、ユーザ500を識別するためのデバイス700の例である。ICはIntegrated Circuitの略である。ただし、車両アクセス制御システム10は、その他の構成を備えても構わないし、各構成の数は1つまたは複数であっても構わない。
車両200と管理装置300とベンダサーバ800とはネットワーク400を介して通信を行う。ネットワーク400の具体例は、インターネットである。
車両200は、互いに通信する少なくとも2つ以上の電子制御装置を搭載する。電子制御装置はECUと呼ばれる。以下において、電子制御装置をECUと呼ぶ。車両200は、CAN(Controller area network)、あるいは、FlexRayといった通信プロトコルに準拠した車載ネットワークを備える。車両200に搭載された複数のECUは、この車載ネットワークを介して互いに通信する。また、車両200は、車両通信装置100を備える。車両通信装置100は、複数の電子制御装置の各電子制御装置と通信する。車両200は、車両システムともいう。また、車両通信装置100は、具体的には、車両200のゲートウェイ装置である。車両通信装置100は、車載装置あるいは車載システムともいう。
ベンダサーバ800は、ベンダにより管理されるサーバ装置である。ベンダは、車体、車載コンポーネント、あるいは、車向けサービスごとに存在する。車載コンポーネントは、車体を構成する内部のECUあるいは車載装置といったコンポーネントである。よって、ベンダサーバ800は複数存在する。ベンダサーバ800は、更新ソフトウェアを提供する。更新ソフトウェアは、機能の追加、機能の変更、あるいは、不具合の修正のための最新のソフトウェアである。車両200では、更新ソフトウェアおよび更新データをダウンロードして現状のプログラムを更新あるいは変更することで、車両内のプログラムが最新の状態になる。
ICカード600は、管理装置300によって生成されたユーザID(IDentifier)およびユーザ秘密鍵といった利用者認証情報を記憶する。ただし、ICカード600は、ICカード600と同等の機能を備えるその他のデバイス700でもよい。具体的には、ICカード600は、スマートフォンあるいはタブレットといった携帯端末730、または、USB(Universal Serial Bus)型トークン750で置換えられてもよい。以下では、デバイス700の例としてICカード600を用いて説明する。
図2を用いて、本実施の形態に係る車両通信装置100の構成について説明する。
車両通信装置100は、車両に搭載された車載機能を提供する装置である。車両通信装置100は、ユーザの属性に基づいて生成されたユーザ秘密鍵を用いたアクセス権付き復号処理を行う。ユーザは、車載機能を使用する者であり、車載機能の使用希望者である。
車両通信装置100は、正規のユーザである使用希望者に対して、暗号化データ106を車載機能情報105に復号し、車載機能を使用可能な状態にする。車載機能情報105は、車載機能の実行に用いられる情報である。ここで、車載機能情報105には、車載機能を使用可能にする車載機能プログラムおよびデータが含まれる。
車両通信装置100は、車両に搭載された車載機能を提供する装置である。車両通信装置100は、ユーザの属性に基づいて生成されたユーザ秘密鍵を用いたアクセス権付き復号処理を行う。ユーザは、車載機能を使用する者であり、車載機能の使用希望者である。
車両通信装置100は、正規のユーザである使用希望者に対して、暗号化データ106を車載機能情報105に復号し、車載機能を使用可能な状態にする。車載機能情報105は、車載機能の実行に用いられる情報である。ここで、車載機能情報105には、車載機能を使用可能にする車載機能プログラムおよびデータが含まれる。
車両通信装置100は、コンピュータである。車両通信装置100は、プロセッサ140を備えるとともに、メモリ150、補助記憶装置160、通信部170、表示部180、および入力装置190といった他のハードウェアを備える。プロセッサ140は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
プロセッサ140は、演算処理を行うICである。プロセッサ140の具体例は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
メモリ150は、データを一時的に記憶する記憶装置である。メモリ150の具体例は、SRAM(Static Random Access Memory)、あるいはDRAM(Dynamic Random Access Memory)である。
補助記憶装置160は、データを保管する記憶装置である。補助記憶装置160の具体例は、HDDである。また、補助記憶装置160は、SD(登録商標)メモリカード、CF、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVDといった可搬記憶媒体であってもよい。なお、HDDは、Hard Disk Driveの略語である。SD(登録商標)は、Secure Digitalの略語である。CFは、CompactFlash(登録商標)の略語である。DVDは、Digital Versatile Diskの略語である。
メモリ150には、復号部102により復号された車載機能情報105が一時的に記憶される。
補助記憶装置160には、暗号化データ106、マスタ公開鍵107、復号条件データ108、およびログデータ109が記憶される。
補助記憶装置160は、データを保管する記憶装置である。補助記憶装置160の具体例は、HDDである。また、補助記憶装置160は、SD(登録商標)メモリカード、CF、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVDといった可搬記憶媒体であってもよい。なお、HDDは、Hard Disk Driveの略語である。SD(登録商標)は、Secure Digitalの略語である。CFは、CompactFlash(登録商標)の略語である。DVDは、Digital Versatile Diskの略語である。
メモリ150には、復号部102により復号された車載機能情報105が一時的に記憶される。
補助記憶装置160には、暗号化データ106、マスタ公開鍵107、復号条件データ108、およびログデータ109が記憶される。
通信部170は、通信を行う装置であり、レシーバとトランスミッタとを備える。具体的には、通信部170は通信チップまたはNIC(Network Interface Card)である。
表示部180は、画像を表示する表示装置である。具体的には、表示部180は液晶ディスプレイあるいはタッチパネルである。表示部180はモニタともいう。入力装置190および表示部180は、車両通信装置100への入力を受け付ける受付部として機能する。
表示部180は、画像を表示する表示装置である。具体的には、表示部180は液晶ディスプレイあるいはタッチパネルである。表示部180はモニタともいう。入力装置190および表示部180は、車両通信装置100への入力を受け付ける受付部として機能する。
車両通信装置100は、機能要素として、暗号化部101と復号部102と切替部103と制御部104を備える。暗号化部101は、アクセス権付き暗号化部ともいう。復号部102は、アクセス権付き復号部ともいう。暗号化部101と復号部102と切替部103と制御部104の機能はソフトウェアで実現される。
補助記憶装置160には、暗号化部101と復号部102と切替部103と制御部104の機能を実現する車両アクセス制御プログラムが記憶されている。車両アクセス制御プログラムは、メモリ150にロードされて、プロセッサ140によって実行される。
さらに、補助記憶装置160にはOS(Operating System)が記憶されている。OSの少なくとも一部は、メモリ150にロードされて、プロセッサ140によって実行される。
つまり、プロセッサ140は、OSを実行しながら、車両アクセス制御プログラムを実行する。
補助記憶装置160には、暗号化部101と復号部102と切替部103と制御部104の機能を実現する車両アクセス制御プログラムが記憶されている。車両アクセス制御プログラムは、メモリ150にロードされて、プロセッサ140によって実行される。
さらに、補助記憶装置160にはOS(Operating System)が記憶されている。OSの少なくとも一部は、メモリ150にロードされて、プロセッサ140によって実行される。
つまり、プロセッサ140は、OSを実行しながら、車両アクセス制御プログラムを実行する。
車両アクセス制御プログラムにより利用、処理または出力されるデータ、情報、信号値および変数値は、メモリ150、補助記憶装置160、または、プロセッサ140内のレジスタあるいはキャッシュメモリに記憶される。
なお、車両通信装置100が複数のプロセッサ140を備えて、複数のプロセッサ140が車両アクセス制御プログラムを連携して実行してもよい。また、暗号化部101および復号部102は、暗号演算専用プロセッサを用いて実行してもよい。
メモリ150は、車両通信装置100で使用、生成、入出力または送受信されるデータが記憶される。ただし、メモリ150以外の記憶機器を用いて、車両通信装置100で使用、生成、入出力または送受信されるデータを記憶してもよい。
なお、車両通信装置100が複数のプロセッサ140を備えて、複数のプロセッサ140が車両アクセス制御プログラムを連携して実行してもよい。また、暗号化部101および復号部102は、暗号演算専用プロセッサを用いて実行してもよい。
メモリ150は、車両通信装置100で使用、生成、入出力または送受信されるデータが記憶される。ただし、メモリ150以外の記憶機器を用いて、車両通信装置100で使用、生成、入出力または送受信されるデータを記憶してもよい。
暗号化部101と復号部102と切替部103と制御部104の各部の「部」を「処理」、「手順」あるいは「工程」に読み替えてもよい。また暗号化処理と復号処理と切替処理と制御処理の「処理」を「プログラム」、「プログラムプロダクト」または「プログラムを記録したコンピュータ読取可能な記憶媒体」に読み替えてもよい。
車両アクセス制御プログラムは、上記の各部の「部」を「処理」、「手順」あるいは「工程」に読み替えた各処理、各手順あるいは各工程を、コンピュータに実行させる。また、車両アクセス制御方法は、車両通信装置100が車両アクセス制御プログラムを実行することにより行われる方法である。
車両アクセス制御プログラムは、コンピュータ読取可能な記録媒体に格納されて提供されてもよい。また、車両アクセス制御プログラムは、プログラムプロダクトとして提供されてもよい。
車両アクセス制御プログラムは、上記の各部の「部」を「処理」、「手順」あるいは「工程」に読み替えた各処理、各手順あるいは各工程を、コンピュータに実行させる。また、車両アクセス制御方法は、車両通信装置100が車両アクセス制御プログラムを実行することにより行われる方法である。
車両アクセス制御プログラムは、コンピュータ読取可能な記録媒体に格納されて提供されてもよい。また、車両アクセス制御プログラムは、プログラムプロダクトとして提供されてもよい。
図3を用いて、本実施の形態に係る車両200の構成について説明する。
車両200には、互いに通信する少なくとも2つ以上のECU202が搭載されている。少なくとも2つ以上のECU202は、CANあるいはFlexRayといった通信プロトコルに準拠した車載ネットワーク201を介して、互いに接続される。
車両200には、互いに通信する少なくとも2つ以上のECU202が搭載されている。少なくとも2つ以上のECU202は、CANあるいはFlexRayといった通信プロトコルに準拠した車載ネットワーク201を介して、互いに接続される。
図4を用いて、本実施の形態に係る管理装置300の構成について説明する。
管理装置300は、プロセッサ310、メモリ330、通信部350、および鍵書込み部370といったハードウェアを備えるコンピュータである。プロセッサ310、メモリ330、および通信部350のハードウェア構成は、車両通信装置100のプロセッサ140、メモリ150、および通信部170と同様である。ただし、車両通信装置100は組み込み機器向けのコンピュータであるのに対し、管理装置300はサーバとしての機能を果たすコンピュータである。よって、管理装置300は車両通信装置100よりはるかに計算能力の高いコンピュータである。
管理装置300は、プロセッサ310、メモリ330、通信部350、および鍵書込み部370といったハードウェアを備えるコンピュータである。プロセッサ310、メモリ330、および通信部350のハードウェア構成は、車両通信装置100のプロセッサ140、メモリ150、および通信部170と同様である。ただし、車両通信装置100は組み込み機器向けのコンピュータであるのに対し、管理装置300はサーバとしての機能を果たすコンピュータである。よって、管理装置300は車両通信装置100よりはるかに計算能力の高いコンピュータである。
プロセッサ310は、暗号鍵生成部301と暗号処理部302と管理部303を備える。暗号鍵生成部301は、アクセス権付き暗号処理に必要な複数の鍵を生成する。暗号鍵生成部301は、アクセス権付き暗号鍵生成部ともいう。暗号鍵生成部301は、マスタ鍵生成部312とユーザ秘密鍵生成部313を備える。マスタ鍵生成部312は、マスタ鍵生成を行う。ユーザ秘密鍵生成部313は、ユーザ秘密鍵生成を行う。
暗号処理部302は、暗号化部315と復号部316を備える。暗号化部315は、アクセス権付き暗号化を行う。復号部316は、アクセス権付き復号処理を行う。暗号処理部302は、アクセス権付き暗号処理部ともいう。
管理部303は、ユーザ管理処理を行う。
暗号処理部302は、暗号化部315と復号部316を備える。暗号化部315は、アクセス権付き暗号化を行う。復号部316は、アクセス権付き復号処理を行う。暗号処理部302は、アクセス権付き暗号処理部ともいう。
管理部303は、ユーザ管理処理を行う。
メモリ330には、マスタ鍵データベース331とユーザ管理データベース332と復号条件データベース333が記憶される。
通信部350は、ネットワーク400を介してベンダサーバ800および車両通信装置100と通信する。
鍵書込み部370は、ユーザ秘密鍵生成部313が生成したユーザ秘密鍵といった情報をICカード600に書き込む。
通信部350は、ネットワーク400を介してベンダサーバ800および車両通信装置100と通信する。
鍵書込み部370は、ユーザ秘密鍵生成部313が生成したユーザ秘密鍵といった情報をICカード600に書き込む。
図5を用いて、本実施の形態に係るICカード600の構成について説明する。
ICカード600は、プロセッサ610と、メモリ620と、通信部630とを備える。通信部630はICカード600で使用するデータを通信する。プロセッサ610、メモリ620、および通信部630のハードウェア構成は、車両通信装置100のプロセッサ140、メモリ150、および通信部170と同様である。
プロセッサ610は、復号部601を備える。復号部601は、アクセス権付き復号部ともいう。
メモリ620は、ICカード600で使用するデータを記憶する。具体的には、メモリ620はユーザID603、アクセス権情報604、およびユーザ秘密鍵605を記憶する。
通信部630は、ICカード600で使用するデータを通信する。具体的には、通信部630は、ICカード600の発行時あるいは更新の際に、管理装置300からユーザID603とアクセス権情報604とユーザ秘密鍵605を受信する。また、通信部630は、車両通信装置100との間で車両アクセス制御に必要な送受信を行う。
ICカード600は、プロセッサ610と、メモリ620と、通信部630とを備える。通信部630はICカード600で使用するデータを通信する。プロセッサ610、メモリ620、および通信部630のハードウェア構成は、車両通信装置100のプロセッサ140、メモリ150、および通信部170と同様である。
プロセッサ610は、復号部601を備える。復号部601は、アクセス権付き復号部ともいう。
メモリ620は、ICカード600で使用するデータを記憶する。具体的には、メモリ620はユーザID603、アクセス権情報604、およびユーザ秘密鍵605を記憶する。
通信部630は、ICカード600で使用するデータを通信する。具体的には、通信部630は、ICカード600の発行時あるいは更新の際に、管理装置300からユーザID603とアクセス権情報604とユーザ秘密鍵605を受信する。また、通信部630は、車両通信装置100との間で車両アクセス制御に必要な送受信を行う。
図6は、本実施の形態に係るマスタ鍵データベース331の詳細を示した例である。
マスタ鍵データベース331には、複数のマスタ鍵セット390が含まれる。マスタ鍵セット390は、マスタ公開鍵391とマスタ秘密鍵392とマスタ鍵ID393のセットである。
図7は、本実施の形態に係るユーザ管理データベース332の詳細を示した例である。
ユーザ管理データベース332には、行番号、ユーザID、登録日時、アクセス権情報、マスタ鍵ID、鍵ID、および鍵IDに紐付けられたユーザ秘密鍵といったユーザ管理データ395が含まれる。発行したユーザIDに対する鍵ID、ユーザ秘密鍵を生成するために用いられたマスタ鍵に紐付けるマスタ鍵ID、鍵データを管理装置上で登録、更新あるいは失効といったライフサイクルを一元管理するために用いられる。また、ユーザ管理データ395は、ユーザのアクセス権情報およびユーザ秘密鍵についても、そのID、登録日時および鍵データの情報を含んでいる。すなわち、ユーザ管理データベース332は、ユーザ秘密鍵の登録と管理を行うためにも用いられる。
マスタ鍵データベース331には、複数のマスタ鍵セット390が含まれる。マスタ鍵セット390は、マスタ公開鍵391とマスタ秘密鍵392とマスタ鍵ID393のセットである。
図7は、本実施の形態に係るユーザ管理データベース332の詳細を示した例である。
ユーザ管理データベース332には、行番号、ユーザID、登録日時、アクセス権情報、マスタ鍵ID、鍵ID、および鍵IDに紐付けられたユーザ秘密鍵といったユーザ管理データ395が含まれる。発行したユーザIDに対する鍵ID、ユーザ秘密鍵を生成するために用いられたマスタ鍵に紐付けるマスタ鍵ID、鍵データを管理装置上で登録、更新あるいは失効といったライフサイクルを一元管理するために用いられる。また、ユーザ管理データ395は、ユーザのアクセス権情報およびユーザ秘密鍵についても、そのID、登録日時および鍵データの情報を含んでいる。すなわち、ユーザ管理データベース332は、ユーザ秘密鍵の登録と管理を行うためにも用いられる。
アクセス権情報は、ユーザの権限を表す情報である。具体的には、アクセス権情報は、車の所有者である、所有者ではないが家族である、ディーラーの社員である、ディーラーの契約社員である、サプライヤである、あるいは、Aである、Bであるの他にも、A且つBであるというように、ユーザに係る複数の属性情報を設定することができる。すなわち、アクセス権情報、すなわち属性情報は複数設定することが可能である。
図8は、本実施の形態に係る復号条件データベース333の詳細を示した例である。
復号条件データベース333は、暗号化されたデータを復号する復号条件を表す復号条件データ394を含む。復号条件データベース333は、複数の復号条件データ394を含む。復号条件データ394には、復号条件IDと、ヘッダ情報と、少なくとも1つの属性情報とが設定されている。復号条件データベース333には、ユーザID、登録日時、属性情報、鍵ID、ユーザ秘密鍵といった情報を含んでいる。
復号条件データベース333は、暗号化されたデータを復号する復号条件を表す復号条件データ394を含む。復号条件データベース333は、複数の復号条件データ394を含む。復号条件データ394には、復号条件IDと、ヘッダ情報と、少なくとも1つの属性情報とが設定されている。復号条件データベース333には、ユーザID、登録日時、属性情報、鍵ID、ユーザ秘密鍵といった情報を含んでいる。
***動作の説明***
車両アクセス制御システム10による車両アクセス制御方法について説明する。車両アクセス制御システム10の動作は車両アクセス制御方法に相当する。また、車両アクセス制御方法の手順は車両アクセス制御プログラムによる処理の手順に相当する。
車両アクセス制御システム10による車両アクセス制御方法について説明する。車両アクセス制御システム10の動作は車両アクセス制御方法に相当する。また、車両アクセス制御方法の手順は車両アクセス制御プログラムによる処理の手順に相当する。
<車両アクセス制御処理>
図9を用いて、本実施の形態に係る車両アクセス制御処理の手順について説明する。
車両アクセス制御処理は、暗号鍵生成処理と、暗号化処理と、アクセス制御処理と、ログ出力処理と、ユーザ管理処理とを有する。
図9を用いて、本実施の形態に係る車両アクセス制御処理の手順について説明する。
車両アクセス制御処理は、暗号鍵生成処理と、暗号化処理と、アクセス制御処理と、ログ出力処理と、ユーザ管理処理とを有する。
ステップS100の暗号鍵生成処理において、管理装置300の暗号鍵生成部301は、マスタ公開鍵、マスタ秘密鍵、およびユーザ秘密鍵といった暗号鍵の生成を行う。そして、管理装置300は、暗号鍵の設定、格納、および配布を行う。管理装置300は、ユーザIDを発行する処理として、生成した暗号鍵をICカードあるいは管理装置300のデータベースに書き込む。ステップS100は、システムの運用稼動前であり、ユーザの新規登録時に実施される処理である。具体的には、ステップS100は、車両200および車両通信装置100の製造時、ユーザへのICカード提供時、あるいは、車載機能の更新時に実施される。
ステップS200の暗号化処理において、管理装置300の暗号化部315は、車両の機能である車載機能の実行に用いられる車載機能情報を暗号化データとして暗号化する。暗号化部315は、暗号化データに復号条件を埋め込んで暗号化する。具体的には、暗号化部315は、車載機能に用いられる車載機能プログラムおよびデータの暗号化を実行する。管理装置300は、暗号化した車載機能プログラムおよびデータを、管理装置300あるいは車両200に記憶する。
車載機能の例として、デバッグ機能あるいはカーシェアリング機能がある。デバッグ機能といった車載機能に用いられる車載機能プログラムおよびデータについては、暗号化データが予め車両200にダウンロードされる。一方、カーシェアリング機能といった車載機能に用いられる車載機能プログラムおよびデータについては、車載機能の使用時に、暗号化データがベンダサーバ800あるいは管理装置300から車両200にダウンロードされる。
ステップS200は、車両200および車両通信装置100の製造時、あるいは車載機能の更新時に実施される。
車載機能の例として、デバッグ機能あるいはカーシェアリング機能がある。デバッグ機能といった車載機能に用いられる車載機能プログラムおよびデータについては、暗号化データが予め車両200にダウンロードされる。一方、カーシェアリング機能といった車載機能に用いられる車載機能プログラムおよびデータについては、車載機能の使用時に、暗号化データがベンダサーバ800あるいは管理装置300から車両200にダウンロードされる。
ステップS200は、車両200および車両通信装置100の製造時、あるいは車載機能の更新時に実施される。
ステップS300のアクセス制御処理において、車両通信装置100は、ユーザからのアクセス要求を受け付け、アクセス権付き復号処理を行う。ステップS300は、車両200が製品として市場で販売された後、所有者あるいはその他のユーザによる使用時に実施される。
ステップS400のログ出力処理において、車両通信装置100は、ユーザからのアクセス要求を受け付け、ステップS300を実行したのち、アクセス権付き暗号化処理を行う。ステップS400は、車両200が製品として市場で販売された後、保守および修理、あるいは不具合解析といった処理を担当するディーラーおよびサプライヤによる使用時に実施される処理である。なお、所有者を含む一般ユーザは、通常、ログ出力処理を実施する必要がないため、実施する権限が与えられない。
ステップS500のユーザ管理処理において、管理装置300の管理部303は、ユーザの新規追加あるいは失効の際に必要な処理を行う。また、管理部303は、カードを再発行する際にはステップS100からの処理を実施するように制御する。
ここで、アクセス権付き暗号方式について説明する。
アクセス権付き暗号方式で用いるユーザ秘密鍵605は、復号を可能とする条件である復号条件を満たす属性に関連付けて生成される。アクセス権付き暗号方式は、ユーザ秘密鍵605を用いて復号することができるように、データを暗号化する暗号方式である。ここで、復号条件とは、復号可能者が有する属性に関する条件である。復号可能者は、暗号化されたデータを復号することが許可された者、すなわち復号可能グループに属する者である。
アクセス権付き暗号方式の一例として「関数型暗号」と呼ばれる暗号方式がある。関数型暗号では、復号可能者の属性を表す属性値を用いた論理式を復号条件として指定することができる。具体的には、「属性値a AND 属性値b」「属性値a OR 属性値b」といった論理式を復号条件として指定することができる。以下、復号条件を示すデータをアクセス権情報604という。
アクセス権付き暗号方式で用いるユーザ秘密鍵605は、復号を可能とする条件である復号条件を満たす属性に関連付けて生成される。アクセス権付き暗号方式は、ユーザ秘密鍵605を用いて復号することができるように、データを暗号化する暗号方式である。ここで、復号条件とは、復号可能者が有する属性に関する条件である。復号可能者は、暗号化されたデータを復号することが許可された者、すなわち復号可能グループに属する者である。
アクセス権付き暗号方式の一例として「関数型暗号」と呼ばれる暗号方式がある。関数型暗号では、復号可能者の属性を表す属性値を用いた論理式を復号条件として指定することができる。具体的には、「属性値a AND 属性値b」「属性値a OR 属性値b」といった論理式を復号条件として指定することができる。以下、復号条件を示すデータをアクセス権情報604という。
<<暗号鍵生成処理>>
図10を用いて、本実施の形態に係るステップS100の暗号鍵生成処理の手順について説明する。
ステップS101において、マスタ鍵生成部312は、マスタ公開鍵391とマスタ秘密鍵392の鍵ペアを生成する。そして、マスタ鍵生成部312は、その鍵ペアに対してマスタ鍵ID393を付与する。マスタ公開鍵391とマスタ秘密鍵392の鍵ペアと、マスタ鍵ID393とのセットをマスタ鍵セット390という。
ステップS102において、マスタ鍵生成部312は、マスタ鍵セット390をマスタ鍵データベース331に登録し、マスタ鍵データベース331を更新する。
ステップS103において、ユーザ秘密鍵生成部313は、ユーザ管理データベース332から、ユーザ毎のアクセス権情報を取得する。ユーザ秘密鍵生成部313は、マスタ秘密鍵392を用いて、ユーザ毎のアクセス権情報に基づいたユーザ秘密鍵を生成する。具体的には、ユーザ秘密鍵生成部313は、ユーザのアクセス権情報を埋め込んだユーザ秘密鍵をユーザ毎に生成する。
ステップS104において、ユーザ秘密鍵生成部313は、ユーザ管理データベース332にユーザ秘密鍵を登録し、ユーザ管理データベース332を更新する。
ステップS105において、鍵書込み部370により、ユーザ秘密鍵がICカードに書き込まれることで、ユーザ秘密鍵がユーザに配布される。具体的には、鍵書込み部370は、ユーザIDとアクセス権情報とユーザ秘密鍵を、ユーザID603とアクセス権情報604とユーザ秘密鍵605としてICカード600に書き込む。
図10を用いて、本実施の形態に係るステップS100の暗号鍵生成処理の手順について説明する。
ステップS101において、マスタ鍵生成部312は、マスタ公開鍵391とマスタ秘密鍵392の鍵ペアを生成する。そして、マスタ鍵生成部312は、その鍵ペアに対してマスタ鍵ID393を付与する。マスタ公開鍵391とマスタ秘密鍵392の鍵ペアと、マスタ鍵ID393とのセットをマスタ鍵セット390という。
ステップS102において、マスタ鍵生成部312は、マスタ鍵セット390をマスタ鍵データベース331に登録し、マスタ鍵データベース331を更新する。
ステップS103において、ユーザ秘密鍵生成部313は、ユーザ管理データベース332から、ユーザ毎のアクセス権情報を取得する。ユーザ秘密鍵生成部313は、マスタ秘密鍵392を用いて、ユーザ毎のアクセス権情報に基づいたユーザ秘密鍵を生成する。具体的には、ユーザ秘密鍵生成部313は、ユーザのアクセス権情報を埋め込んだユーザ秘密鍵をユーザ毎に生成する。
ステップS104において、ユーザ秘密鍵生成部313は、ユーザ管理データベース332にユーザ秘密鍵を登録し、ユーザ管理データベース332を更新する。
ステップS105において、鍵書込み部370により、ユーザ秘密鍵がICカードに書き込まれることで、ユーザ秘密鍵がユーザに配布される。具体的には、鍵書込み部370は、ユーザIDとアクセス権情報とユーザ秘密鍵を、ユーザID603とアクセス権情報604とユーザ秘密鍵605としてICカード600に書き込む。
<<暗号化処理>>
図11を用いて、本実施の形態に係るステップS200の暗号化処理の手順について説明する。
ステップS201において、管理装置300の管理部303は、通信部350により、ネットワーク400を経由、あるいはメディアを用いて、ベンダサーバ800から車載機能情報を取得する。そして、暗号処理部302は、管理部303から車載機能情報を取得する。車載機能情報には、車載機能を使用可能にする車載機能プログラムおよびデータを含む。
ステップS202において、暗号化部315は、メモリ330からマスタ公開鍵391と復号条件データベース333を取得する。暗号化部315は、マスタ公開鍵391と復号条件データベース333を用いて車載機能情報を暗号化する。暗号化部315は、暗号化した車載機能情報を暗号化データ106として生成する。具体的には、暗号化部315は、復号条件データベース333から、車載機能情報を暗号化する際に埋め込む復号条件データ394を取得する。そして、暗号化部315は、マスタ公開鍵391を用いて、復号条件データ394を埋め込んで暗号化した車載機能情報を暗号化データ106として生成する。
ステップS203において、管理部303は、暗号化データ106を車両通信装置100に配布する。具体的には、管理部303は、通信部350によりネットワーク400を介して、暗号化データ106を車両通信装置100に書き込む。通信部350は、車両通信装置100に暗号化データ106を送信する。
図11を用いて、本実施の形態に係るステップS200の暗号化処理の手順について説明する。
ステップS201において、管理装置300の管理部303は、通信部350により、ネットワーク400を経由、あるいはメディアを用いて、ベンダサーバ800から車載機能情報を取得する。そして、暗号処理部302は、管理部303から車載機能情報を取得する。車載機能情報には、車載機能を使用可能にする車載機能プログラムおよびデータを含む。
ステップS202において、暗号化部315は、メモリ330からマスタ公開鍵391と復号条件データベース333を取得する。暗号化部315は、マスタ公開鍵391と復号条件データベース333を用いて車載機能情報を暗号化する。暗号化部315は、暗号化した車載機能情報を暗号化データ106として生成する。具体的には、暗号化部315は、復号条件データベース333から、車載機能情報を暗号化する際に埋め込む復号条件データ394を取得する。そして、暗号化部315は、マスタ公開鍵391を用いて、復号条件データ394を埋め込んで暗号化した車載機能情報を暗号化データ106として生成する。
ステップS203において、管理部303は、暗号化データ106を車両通信装置100に配布する。具体的には、管理部303は、通信部350によりネットワーク400を介して、暗号化データ106を車両通信装置100に書き込む。通信部350は、車両通信装置100に暗号化データ106を送信する。
ステップS200の暗号化処理は、車両の製品ライフサイクルにおいて、車両および車両通信装置の製造時、車載機能プログラムの更新時、あるいはサービス提供時といった時点に実施される。
ステップS200の暗号化処理を製造時に実施した後、車に搭載されている車載機能プログラムが更新される場合、ステップS200の暗号化処理が改めて実施される。あるいは、ICカードを再度発行するといった再暗号化が必要な場合は、ステップS200の暗号化処理が改めて実施される。なお、ステップS203が、ステップS202のすぐ後に実施されるとは限らない。暗号化データ106が管理装置300あるいはベンダサーバ800に保管され、必要に応じて車両通信装置100にダウンロードされる形態もある。
ステップS200の暗号化処理を製造時に実施した後、車に搭載されている車載機能プログラムが更新される場合、ステップS200の暗号化処理が改めて実施される。あるいは、ICカードを再度発行するといった再暗号化が必要な場合は、ステップS200の暗号化処理が改めて実施される。なお、ステップS203が、ステップS202のすぐ後に実施されるとは限らない。暗号化データ106が管理装置300あるいはベンダサーバ800に保管され、必要に応じて車両通信装置100にダウンロードされる形態もある。
<<アクセス制御処理>>
図12を用いて、本実施の形態に係るステップS300のアクセス制御処理の手順について説明する。
ステップS310において、車両通信装置100は、アクセス制御前処理を実行する。車両通信装置100は、ユーザから車載機能に対するアクセス要求を受け付ける。そして、車両通信装置100は、アクセス権付き復号処理を実行する。
まず、アクセス制御前処理の概要について説明する。
車両通信装置の補助記憶装置160には、車載機能の実行に用いられる車載機能情報を暗号化した暗号化データ106が記憶されている。暗号化データ106には、復号条件が埋め込まれている。
制御部104は、車載機能を使用するユーザから、車載機能の使用を要求するアクセス要求を受け付ける。アクセス要求には、ユーザの属性を表すアクセス権情報が埋め込まれたユーザ秘密鍵が含まれる。制御部104は、ユーザにより、ユーザ秘密鍵が記憶されたデバイス700、すなわちICカード600に接続されることにより、アクセス要求を受け付ける。
復号部102は、アクセス要求に含まれるユーザ秘密鍵を用いて、アクセス権情報が復号条件に合致する場合に暗号化データ106から復号結果として車載機能情報105を得る。
そして、車両通信装置100に設けられたメモリ150に、復号部102により得られた車載機能情報105を記憶する。
切替部103は、復号部102により得られた車載機能情報105を用いて、車載機能を実行可能にする。
図12を用いて、本実施の形態に係るステップS300のアクセス制御処理の手順について説明する。
ステップS310において、車両通信装置100は、アクセス制御前処理を実行する。車両通信装置100は、ユーザから車載機能に対するアクセス要求を受け付ける。そして、車両通信装置100は、アクセス権付き復号処理を実行する。
まず、アクセス制御前処理の概要について説明する。
車両通信装置の補助記憶装置160には、車載機能の実行に用いられる車載機能情報を暗号化した暗号化データ106が記憶されている。暗号化データ106には、復号条件が埋め込まれている。
制御部104は、車載機能を使用するユーザから、車載機能の使用を要求するアクセス要求を受け付ける。アクセス要求には、ユーザの属性を表すアクセス権情報が埋め込まれたユーザ秘密鍵が含まれる。制御部104は、ユーザにより、ユーザ秘密鍵が記憶されたデバイス700、すなわちICカード600に接続されることにより、アクセス要求を受け付ける。
復号部102は、アクセス要求に含まれるユーザ秘密鍵を用いて、アクセス権情報が復号条件に合致する場合に暗号化データ106から復号結果として車載機能情報105を得る。
そして、車両通信装置100に設けられたメモリ150に、復号部102により得られた車載機能情報105を記憶する。
切替部103は、復号部102により得られた車載機能情報105を用いて、車載機能を実行可能にする。
図13を用いて、実施の形態に係るアクセス制御前処理の手順について説明する。
ステップS311において、車両通信装置100には、ユーザによりICカード600が接続される。車両200を直接操作するユーザが、そのユーザが所有するICカード600を車両通信装置100に接続する。ここで、車両200を直接操作するユーザとは、具体的には、保守あるいは整備に関係する操作を実施する場合には、ディーラーあるいはサプライヤもしくはそれに準ずる組織に所属する者である。接続方法は、接触あるいは非接触を問わないが、通信路および通信プロトコルはセキュリティ上の保護がなされている。
ステップS312において、入力装置190あるいは表示部180は、ユーザから、使用対象の車載機能の指定を受け付ける。あるいは予め使用対象の車載機能が固定で決まっており指定する必要がない場合には、ステップS312はスキップする。
ステップS313において、車両通信装置100の制御部104は、ICカード600から、セキュリティ上の保護がなされた通信路を介した安全な受け渡しによりユーザ秘密鍵605を取得する。
ステップS315において、車両通信装置100の復号部102は、ユーザ秘密鍵605を用いて、指定の車載機能に相当する暗号化データ106の復号を行う。
ステップS320において、制御部104は、暗号化データ106を復号できたか否かを判定する。具体的には、復号部102は、ユーザ秘密鍵605に埋め込まれたユーザのアクセス権情報が、暗号化データ106に埋め込まれた復号条件に合致した場合に、復号結果として車載機能情報105を得る。制御部104は、復号部102により車載機能情報105が得られた場合に復号できたと判定する。一方、制御部104は、復号部102により車載機能情報105が得られない場合に復号できなかったと判定する。復号できた場合は、ステップS325に進む。復号できた場合には、復号部102により得られた車載機能情報105はメモリ150に記憶される。復号できなかった場合、処理を終了する。
ステップS325において、切替部103は、復号部102により得られた車載機能情報105を用いて、車載機能を実行可能にする。切替部103は、車載機能をプログラムに組込み、車載機能を実行可能な状態にする。
ステップS311において、車両通信装置100には、ユーザによりICカード600が接続される。車両200を直接操作するユーザが、そのユーザが所有するICカード600を車両通信装置100に接続する。ここで、車両200を直接操作するユーザとは、具体的には、保守あるいは整備に関係する操作を実施する場合には、ディーラーあるいはサプライヤもしくはそれに準ずる組織に所属する者である。接続方法は、接触あるいは非接触を問わないが、通信路および通信プロトコルはセキュリティ上の保護がなされている。
ステップS312において、入力装置190あるいは表示部180は、ユーザから、使用対象の車載機能の指定を受け付ける。あるいは予め使用対象の車載機能が固定で決まっており指定する必要がない場合には、ステップS312はスキップする。
ステップS313において、車両通信装置100の制御部104は、ICカード600から、セキュリティ上の保護がなされた通信路を介した安全な受け渡しによりユーザ秘密鍵605を取得する。
ステップS315において、車両通信装置100の復号部102は、ユーザ秘密鍵605を用いて、指定の車載機能に相当する暗号化データ106の復号を行う。
ステップS320において、制御部104は、暗号化データ106を復号できたか否かを判定する。具体的には、復号部102は、ユーザ秘密鍵605に埋め込まれたユーザのアクセス権情報が、暗号化データ106に埋め込まれた復号条件に合致した場合に、復号結果として車載機能情報105を得る。制御部104は、復号部102により車載機能情報105が得られた場合に復号できたと判定する。一方、制御部104は、復号部102により車載機能情報105が得られない場合に復号できなかったと判定する。復号できた場合は、ステップS325に進む。復号できた場合には、復号部102により得られた車載機能情報105はメモリ150に記憶される。復号できなかった場合、処理を終了する。
ステップS325において、切替部103は、復号部102により得られた車載機能情報105を用いて、車載機能を実行可能にする。切替部103は、車載機能をプログラムに組込み、車載機能を実行可能な状態にする。
次に、図12に戻り、説明を続ける。
ここで、ステップS330からステップS350の処理の概要について説明する。
制御部104は、ユーザによる車載機能の使用が終了したと判定すると、車載機能情報105をメモリ150から消去し、ユーザによる車載機能の使用を不可とする。また、制御部104は、ユーザにより車載機能が使用中であると判定すると、車載機能の利用可能期間であるか否かを判定する。そして、制御部104は、車載機能の利用可能期間外であると判定すると、車載機能情報105をメモリ150から消去し、ユーザによる車載機能の使用を不可とする。
ここで、ステップS330からステップS350の処理の概要について説明する。
制御部104は、ユーザによる車載機能の使用が終了したと判定すると、車載機能情報105をメモリ150から消去し、ユーザによる車載機能の使用を不可とする。また、制御部104は、ユーザにより車載機能が使用中であると判定すると、車載機能の利用可能期間であるか否かを判定する。そして、制御部104は、車載機能の利用可能期間外であると判定すると、車載機能情報105をメモリ150から消去し、ユーザによる車載機能の使用を不可とする。
ステップS330において、制御部104は、車載機能が利用可能か否かを判定し、利用可能であれば、ステップS331に進む。制御部104により車載機能が利用可能でないと判定されると、処理を終了する。
ステップS331において、車載機能がユーザにより利用される。
ステップS340において、ユーザの利用が終了したことが確認されると、ステップS360に進む。ユーザが利用中であれば、ステップS350に進む。
ステップS350において、制御部104は、現在日時が利用可能期間外か否かを判定し、現在日時が利用可能期間外であれば、ステップS360に進む。現在日時が利用可能期間外でなければ、ステップS340に戻り、再度、車載機能の利用が終了したか否かを判定する。利用可能期間は、車載機能ごとに予め決められた期間である。具体的には、利用可能期間は、利用開始を基点とした所定時間、あるいは、予め設定された日時の期間である。利用可能期間を設けることで、車載機能が不必要に長い期間に渡って有効化されることが抑制される。
ステップS360において、車両通信装置100は、アクセス権制御後処理を実行する。
ステップS331において、車載機能がユーザにより利用される。
ステップS340において、ユーザの利用が終了したことが確認されると、ステップS360に進む。ユーザが利用中であれば、ステップS350に進む。
ステップS350において、制御部104は、現在日時が利用可能期間外か否かを判定し、現在日時が利用可能期間外であれば、ステップS360に進む。現在日時が利用可能期間外でなければ、ステップS340に戻り、再度、車載機能の利用が終了したか否かを判定する。利用可能期間は、車載機能ごとに予め決められた期間である。具体的には、利用可能期間は、利用開始を基点とした所定時間、あるいは、予め設定された日時の期間である。利用可能期間を設けることで、車載機能が不必要に長い期間に渡って有効化されることが抑制される。
ステップS360において、車両通信装置100は、アクセス権制御後処理を実行する。
図14を用いて、実施の形態に係るアクセス制御後処理の手順について説明する。
ステップS361において、制御部104は、プログラムに組み込んだ車載機能を消去し、車載機能が実行不可能な状態にする。
ステップS361において、制御部104は、プログラムに組み込んだ車載機能を消去し、車載機能が実行不可能な状態にする。
<<ログ出力処理>>
図15を用いて、本実施の形態に係るステップS400のログ出力処理の手順について説明する。
ステップS310は、図12で説明したステップS310と同様である。ステップS310により、車両200を直接操作するユーザに対して、車載機能の一つであるログ出力機能が有効になる。車両200を直接操作するユーザとは、上述したように、保守あるいは整備に関係する操作を実施する場合には、ディーラーあるいはサプライヤもしくはそれに準ずる組織に所属する者である。なお、所有者を含む一般ユーザは、通常、ログ出力処理を実施する必要がないため、実施する権限が与えられない。
図15を用いて、本実施の形態に係るステップS400のログ出力処理の手順について説明する。
ステップS310は、図12で説明したステップS310と同様である。ステップS310により、車両200を直接操作するユーザに対して、車載機能の一つであるログ出力機能が有効になる。車両200を直接操作するユーザとは、上述したように、保守あるいは整備に関係する操作を実施する場合には、ディーラーあるいはサプライヤもしくはそれに準ずる組織に所属する者である。なお、所有者を含む一般ユーザは、通常、ログ出力処理を実施する必要がないため、実施する権限が与えられない。
ステップS420において、車両通信装置100の暗号化部101は、マスタ公開鍵107と復号条件データ108を取得し、ログデータ109を暗号化し暗号化データ106を生成する。
ステップS430において、車両通信装置100の出力機器は、ログの暗号化データ106をUSBスティックといった記憶メディアに書き込む。これにより、ユーザは暗号化されたログの暗号化データ106を取得することができる。また、ユーザは、ログの暗号化データ106が格納された記憶メディアを車両外に取り出すことができる。
ステップS430において、車両通信装置100の出力機器は、ログの暗号化データ106をUSBスティックといった記憶メディアに書き込む。これにより、ユーザは暗号化されたログの暗号化データ106を取得することができる。また、ユーザは、ログの暗号化データ106が格納された記憶メディアを車両外に取り出すことができる。
ステップS360は、図12で説明したステップS360と同様である。ステップS360において、制御部104は、プログラムに組み込んだ車載機能、すなわちログ出力機能を消去し、ログ出力機能が実行不可能な状態にする。なお、ステップS360はステップS420の後であれば、ステップS430より前に実施されてもよい。
次に、ステップS440において、ログの暗号化データ106に対してデータ復号処理が実行される。
次に、ステップS440において、ログの暗号化データ106に対してデータ復号処理が実行される。
図16を用いて、本実施の形態に係るステップS440のデータ復号処理の手順について説明する。ここでは、ログビューアーといった開発用環境を備えた専用PC(Personal Computer)が、データ復号処理を実行するものとする。
ステップS441において、ユーザによりICカード600が専用PCに接続される。
ステップS442において、復号部601が、ユーザ秘密鍵605を取得し、暗号化データ106をログデータ109に復号する。正常に復号できた場合、ステップS444において、専用PCにログデータ109を出力する。これにより、ユーザはログデータを参照することができる。正常に復号できない場合、処理を終了する。復号する処理は、機能の実施場所が異なるだけでステップS315と同様である。専用PCは車両通信装置100あるいはICカード600より計算能力の高いコンピュータのため、問題なく処理することが可能である。なお、復号処理は、ICカードより計算能力の高いスマートフォンあるいはタブレットで実行されてもよい。
ステップS441において、ユーザによりICカード600が専用PCに接続される。
ステップS442において、復号部601が、ユーザ秘密鍵605を取得し、暗号化データ106をログデータ109に復号する。正常に復号できた場合、ステップS444において、専用PCにログデータ109を出力する。これにより、ユーザはログデータを参照することができる。正常に復号できない場合、処理を終了する。復号する処理は、機能の実施場所が異なるだけでステップS315と同様である。専用PCは車両通信装置100あるいはICカード600より計算能力の高いコンピュータのため、問題なく処理することが可能である。なお、復号処理は、ICカードより計算能力の高いスマートフォンあるいはタブレットで実行されてもよい。
<<ユーザ管理処理>>
図17を用いて、本実施の形態に係るステップS500のユーザ管理処理の手順について説明する。
ステップS501において、管理部303は、新規ユーザの追加を行うか否かを判定する。新規にユーザを追加して登録を行う場合には、ステップS510に進む。
ステップS502において、管理部303は、既存ユーザの無効化あるいは有効化を行うか否かを判定する。すなわち、管理部303は、既存ユーザの復号条件を変更するか否かを判定する。既存ユーザの復号条件を変更する場合には、ステップS520に進む。これにより、これまで使用を許可されていた特定の属性あるいは人物だけに対して、機能使用の権限を失効させることができる。
ステップS503において、管理部303は、既存ユーザのアクセス権情報を変更するか否かを判定する。既存ユーザのアクセス権情報を変更する場合には、ステップS530に進む。
図17を用いて、本実施の形態に係るステップS500のユーザ管理処理の手順について説明する。
ステップS501において、管理部303は、新規ユーザの追加を行うか否かを判定する。新規にユーザを追加して登録を行う場合には、ステップS510に進む。
ステップS502において、管理部303は、既存ユーザの無効化あるいは有効化を行うか否かを判定する。すなわち、管理部303は、既存ユーザの復号条件を変更するか否かを判定する。既存ユーザの復号条件を変更する場合には、ステップS520に進む。これにより、これまで使用を許可されていた特定の属性あるいは人物だけに対して、機能使用の権限を失効させることができる。
ステップS503において、管理部303は、既存ユーザのアクセス権情報を変更するか否かを判定する。既存ユーザのアクセス権情報を変更する場合には、ステップS530に進む。
図18を用いて、本実施の形態に係るステップS510の新規ユーザ登録処理の手順について説明する。
ステップS511において、管理部303は、ユーザ管理データベース332に、新規ユーザのユーザ管理データ395を生成する。
そして、ステップS103において、ユーザ秘密鍵生成部313は、マスタ秘密鍵392を用いて、新規ユーザのアクセス権情報に基づいたユーザ秘密鍵を生成する。ステップS104において、ユーザ秘密鍵生成部313は、新規ユーザのユーザ管理データ395にユーザ秘密鍵を登録して更新する。ステップS105において、鍵書込み部370は、ユーザIDとアクセス権情報とユーザ秘密鍵を、ユーザID603とアクセス権情報604とユーザ秘密鍵605としてICカード600に書き込む。ステップS103からステップS105は、図10と同様である。
ステップS515において、ICカード600が新規ユーザに配布される。なお、既存の車両アクセス制御システム10に新規ユーザを追加する場合、管理装置300のユーザ管理データベース332への登録と新しいICカード600の発行が必要である。しかし、車両200および車両通信装置100のデータに対する変更は一切必要としない。
ステップS511において、管理部303は、ユーザ管理データベース332に、新規ユーザのユーザ管理データ395を生成する。
そして、ステップS103において、ユーザ秘密鍵生成部313は、マスタ秘密鍵392を用いて、新規ユーザのアクセス権情報に基づいたユーザ秘密鍵を生成する。ステップS104において、ユーザ秘密鍵生成部313は、新規ユーザのユーザ管理データ395にユーザ秘密鍵を登録して更新する。ステップS105において、鍵書込み部370は、ユーザIDとアクセス権情報とユーザ秘密鍵を、ユーザID603とアクセス権情報604とユーザ秘密鍵605としてICカード600に書き込む。ステップS103からステップS105は、図10と同様である。
ステップS515において、ICカード600が新規ユーザに配布される。なお、既存の車両アクセス制御システム10に新規ユーザを追加する場合、管理装置300のユーザ管理データベース332への登録と新しいICカード600の発行が必要である。しかし、車両200および車両通信装置100のデータに対する変更は一切必要としない。
図19を用いて、本実施の形態に係るステップS520の復号条件変更処理の手順について説明する。
ステップS521において、管理部303は、暗号対象に対する復号条件を変えるために、復号条件データ394を変更し、復号条件データベース333を更新する。
ステップS201において、管理部303は、復号条件変更に応じて再暗号化を行うために、ベンダサーバ800から車載機能情報を取得する。車載機能情報と復号条件との対応付けは、管理装置300により管理される。ステップS202において、暗号処理部302が、マスタ公開鍵391と変更後の復号条件データ394とを用いて、車載機能情報を暗号化し、暗号化データ106として生成する。暗号化データ106には、復号条件データ394により表された復号条件が埋め込まれる。ステップS203において、管理部303は、通信部350により、暗号化データ106を車両通信装置100に書き込む。ステップS201からステップS203は、図11と同様である。
ステップS523において、管理部303は、ステップS521の更新にともない車両200の復号条件データ108にも変更が必要か否かを判定する。車両200の復号条件データ108にも変更が必要な場合には、ステップS524において、管理部303は、復号条件データ394を復号条件データ108として車両通信装置100に書込む。
ステップS521において、管理部303は、暗号対象に対する復号条件を変えるために、復号条件データ394を変更し、復号条件データベース333を更新する。
ステップS201において、管理部303は、復号条件変更に応じて再暗号化を行うために、ベンダサーバ800から車載機能情報を取得する。車載機能情報と復号条件との対応付けは、管理装置300により管理される。ステップS202において、暗号処理部302が、マスタ公開鍵391と変更後の復号条件データ394とを用いて、車載機能情報を暗号化し、暗号化データ106として生成する。暗号化データ106には、復号条件データ394により表された復号条件が埋め込まれる。ステップS203において、管理部303は、通信部350により、暗号化データ106を車両通信装置100に書き込む。ステップS201からステップS203は、図11と同様である。
ステップS523において、管理部303は、ステップS521の更新にともない車両200の復号条件データ108にも変更が必要か否かを判定する。車両200の復号条件データ108にも変更が必要な場合には、ステップS524において、管理部303は、復号条件データ394を復号条件データ108として車両通信装置100に書込む。
図20を用いて、本実施の形態に係るステップS530の既存ユーザ情報変更処理の手順について説明する。
ステップS531において、管理部303は、ユーザ管理データ395のアクセス権情報を変更する。
ステップS532において、ユーザ秘密鍵生成部313は、マスタ秘密鍵392と変更したアクセス権情報を用いて、ユーザ秘密鍵605を生成する。
ステップS104において、ユーザ秘密鍵生成部313は、ユーザ管理データ395にユーザ秘密鍵を登録し、ユーザ管理データベース332を更新する。ステップS104は、図10と同様である。
ステップS534において、鍵書込み部370は、ICカード600にアクセス権情報604とユーザ秘密鍵605を書き込み、ICカード600を更新する。
ステップS535において、更新後のICカード600が既存ユーザに配布される。
ステップS531において、管理部303は、ユーザ管理データ395のアクセス権情報を変更する。
ステップS532において、ユーザ秘密鍵生成部313は、マスタ秘密鍵392と変更したアクセス権情報を用いて、ユーザ秘密鍵605を生成する。
ステップS104において、ユーザ秘密鍵生成部313は、ユーザ管理データ395にユーザ秘密鍵を登録し、ユーザ管理データベース332を更新する。ステップS104は、図10と同様である。
ステップS534において、鍵書込み部370は、ICカード600にアクセス権情報604とユーザ秘密鍵605を書き込み、ICカード600を更新する。
ステップS535において、更新後のICカード600が既存ユーザに配布される。
***他の構成***
<変形例1>
図21は、本実施の形態の変形例に係るステップS310aのアクセス制御処理の手順を示す図である。
本実施の形態では、ステップS310のアクセス制御前処理において、車載機能情報の復号処理を車両通信装置100の復号部102で実施している。変形例として、ICカード600の復号部601が、車載機能情報の復号処理を実行してもよい。
図21のアクセス制御処理では、図13のステップS313とステップS315とステップS320に替わり、ステップS314とステップS316とステップS320aを有する。また、ステップS320aとステップS325の間に、ステップS321を有する。
ステップS314において、ICカード600が、車両通信装置100から指定の車載機能に相当する暗号化データ106を取得する。
ステップS316において、ICカード600の復号部601は、暗号化データ106を復号する。
ステップS320aにおいて、ICカード600が復号できたか否かを判定し、復号できた場合は、ステップS321に進む。復号できなかった場合、処理を終了する。
ステップS321において、車両通信装置100が、ICカード600から復号後の車載機能情報105を取得する。その他の処理は、図13と同様である。
<変形例1>
図21は、本実施の形態の変形例に係るステップS310aのアクセス制御処理の手順を示す図である。
本実施の形態では、ステップS310のアクセス制御前処理において、車載機能情報の復号処理を車両通信装置100の復号部102で実施している。変形例として、ICカード600の復号部601が、車載機能情報の復号処理を実行してもよい。
図21のアクセス制御処理では、図13のステップS313とステップS315とステップS320に替わり、ステップS314とステップS316とステップS320aを有する。また、ステップS320aとステップS325の間に、ステップS321を有する。
ステップS314において、ICカード600が、車両通信装置100から指定の車載機能に相当する暗号化データ106を取得する。
ステップS316において、ICカード600の復号部601は、暗号化データ106を復号する。
ステップS320aにおいて、ICカード600が復号できたか否かを判定し、復号できた場合は、ステップS321に進む。復号できなかった場合、処理を終了する。
ステップS321において、車両通信装置100が、ICカード600から復号後の車載機能情報105を取得する。その他の処理は、図13と同様である。
車両通信装置100とICカード600間のデータ通信は、セキュリティ上の保護がなされた通信路を介し安全な受け渡しにより行われる。ユーザ秘密鍵605はICカード600内に存在する。計算能力が充分であれば、復号処理はICカード600あるいは、車両通信装置100のどちらで実施してもよい。また、復号処理を他の装置に委譲する復号委譲方式を用いれば、ICカード600と車両通信装置100との両者の計算リソースを使って復号処理を実施してもよい。
<変形例2>
本実施の形態では、車両通信装置100と管理装置300との各装置の構成要素の機能がソフトウェアで実現されるが、変形例として、車両通信装置100と管理装置300との各装置の構成要素の機能がハードウェアで実現されてもよい。すなわち、車両通信装置100と管理装置300との各装置は、プロセッサの替わりに電子回路を備えていてもよい。以下では、車両通信装置100と管理装置300との各装置を単に各装置という。
電子回路は、各装置の構成要素の機能を実現する専用の電子回路である。
電子回路は、具体的には、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA、ASIC、または、FPGAである。GAは、Gate Arrayの略語である。ASICは、Application Specific Integrated Circuitの略語である。FPGAは、Field−Programmable Gate Arrayの略語である。
各装置の構成要素の機能は、1つの電子回路で実現されてもよいし、複数の電子回路に分散して実現されてもよい。
別の変形例として、各装置の構成要素の一部の機能が電子回路で実現され、残りの機能がソフトウェアで実現されてもよい。
本実施の形態では、車両通信装置100と管理装置300との各装置の構成要素の機能がソフトウェアで実現されるが、変形例として、車両通信装置100と管理装置300との各装置の構成要素の機能がハードウェアで実現されてもよい。すなわち、車両通信装置100と管理装置300との各装置は、プロセッサの替わりに電子回路を備えていてもよい。以下では、車両通信装置100と管理装置300との各装置を単に各装置という。
電子回路は、各装置の構成要素の機能を実現する専用の電子回路である。
電子回路は、具体的には、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA、ASIC、または、FPGAである。GAは、Gate Arrayの略語である。ASICは、Application Specific Integrated Circuitの略語である。FPGAは、Field−Programmable Gate Arrayの略語である。
各装置の構成要素の機能は、1つの電子回路で実現されてもよいし、複数の電子回路に分散して実現されてもよい。
別の変形例として、各装置の構成要素の一部の機能が電子回路で実現され、残りの機能がソフトウェアで実現されてもよい。
プロセッサと電子回路の各々は、プロセッシングサーキットリとも呼ばれる。つまり、各装置の構成要素の機能は、プロセッシングサーキットリにより実現される。
***本実施の形態の効果の説明***
車載システムにおいて、第三者が車載装置に搭載された車載機能を悪用して車両に攻撃する手法が知られている。車載機能のうちのデバッグ機能は、プログラムの実行およびメモリへのアクセスを可能にする。このため、デバッグ機能は、攻撃者にとって効率的なアタック経路であり、リスクの高い攻撃となり得る。そこで、許可されていない人物による不正な車載機能の利用を抑制することが求められている。具体例として、特別な入力操作により特殊モードへ遷移した後に、ユーザには開示していない限定機能へのアクセスが可能になるといった仕組みがある。この仕組みは、操作を知れば誰でも使用することが可能になる。よって、この仕組みは、セキュリティを考慮した車両アクセス制御とはいえない。
ここで、通常の技術を用いてユーザに応じた車載機能への車両アクセス制御を実現しようとすると、まずユーザを識別して認証する必要がある。このため、全ユーザをリスト化したデータベースが必要になる。そのデータベースは、車両内に持つ方法と、あるいはクラウド上のサーバであるクラウドサーバに持つ方法の2通りが考えられる。2通りの方法のそれぞれには、以下のような問題がある。
(1)車両にデータベースを持たせると、ユーザの追加あるいは失効に応じてデータベースの情報を変更するという更新を、全車両に対して行う必要がある。データベースのサイズは考慮しない、および、更新はソフトウェア更新と併せて実施可能、とした場合でも、運用が困難である。
(2)クラウドサーバにデータベースを持たせると、データベースの更新といった運用は(1)に比べて容易になる。しかし、利用の都度、クラウドサーバとの通信が必要となる。よって、TAT(Turn Around Time)が長くなる。また、常にネットワーク環境があるとは限らず、ネットワーク環境がなければ利用できないため利便性が悪い。
車載システムにおいて、第三者が車載装置に搭載された車載機能を悪用して車両に攻撃する手法が知られている。車載機能のうちのデバッグ機能は、プログラムの実行およびメモリへのアクセスを可能にする。このため、デバッグ機能は、攻撃者にとって効率的なアタック経路であり、リスクの高い攻撃となり得る。そこで、許可されていない人物による不正な車載機能の利用を抑制することが求められている。具体例として、特別な入力操作により特殊モードへ遷移した後に、ユーザには開示していない限定機能へのアクセスが可能になるといった仕組みがある。この仕組みは、操作を知れば誰でも使用することが可能になる。よって、この仕組みは、セキュリティを考慮した車両アクセス制御とはいえない。
ここで、通常の技術を用いてユーザに応じた車載機能への車両アクセス制御を実現しようとすると、まずユーザを識別して認証する必要がある。このため、全ユーザをリスト化したデータベースが必要になる。そのデータベースは、車両内に持つ方法と、あるいはクラウド上のサーバであるクラウドサーバに持つ方法の2通りが考えられる。2通りの方法のそれぞれには、以下のような問題がある。
(1)車両にデータベースを持たせると、ユーザの追加あるいは失効に応じてデータベースの情報を変更するという更新を、全車両に対して行う必要がある。データベースのサイズは考慮しない、および、更新はソフトウェア更新と併せて実施可能、とした場合でも、運用が困難である。
(2)クラウドサーバにデータベースを持たせると、データベースの更新といった運用は(1)に比べて容易になる。しかし、利用の都度、クラウドサーバとの通信が必要となる。よって、TAT(Turn Around Time)が長くなる。また、常にネットワーク環境があるとは限らず、ネットワーク環境がなければ利用できないため利便性が悪い。
本実施の形態に係る車両アクセス制御システム10によれば、ユーザ管理データベースは管理装置が管理する。よって、本実施の形態に係る車両アクセス制御システム10によれば、上述の(1),(2)のような問題を解決したできる。また、本実施の形態に係る車両アクセス制御システム10によれば、許可されていない人物による不正な車載機能の利用を抑制することができる。すなわち、許可された人物にのみ、許可された車載機能の利用をさせることができる。よって、本実施の形態に係る車両アクセス制御システム10によれば、車載システムの安全性および利便性を向上させることができる。
本実施の形態に係る車両アクセス制御システム10によれば、暗号化データは車両通信装置に格納されるが、車載機能情報は車両通信装置に格納されない。そのため、車載機能情報は外部からの攻撃者あるいは悪意のある第三者から保護される。また、権限をもたない人物による車載機能の利用を抑制することができる。権限をもたない者とは、許可されない属性の者であり、攻撃者あるいは悪意のある第三者を含む者である。すなわち、許可された属性以外の者である。よって、本実施の形態に係る車両アクセス制御システム10によれば、車両通信装置において安全性を確実に向上させることができる。
さらに、本実施の形態に係る車両アクセス制御システム10による効果について説明する。
車両通信装置において、ユーザがデバッグ機能を使うとき、その人物が持つユーザ秘密鍵が復号可能者の属性に相当する場合に限り、暗号化された状態で格納されている車載機能のプログラムが復号される。すなわち、ユーザが持つユーザ秘密鍵が復号可能者の属性に相当する場合に限り、ユーザは目的のデバッグ機能を使用できる。そのため、復号条件に合致しない属性のユーザ、および、正しいユーザ秘密鍵を持たない第三者あるいは攻撃者は、デバッグ機能を使うことができないため、デバッグ機能を悪用した攻撃を防ぐことができる。
車両通信装置において、ユーザがデバッグ機能を使うとき、その人物が持つユーザ秘密鍵が復号可能者の属性に相当する場合に限り、暗号化された状態で格納されている車載機能のプログラムが復号される。すなわち、ユーザが持つユーザ秘密鍵が復号可能者の属性に相当する場合に限り、ユーザは目的のデバッグ機能を使用できる。そのため、復号条件に合致しない属性のユーザ、および、正しいユーザ秘密鍵を持たない第三者あるいは攻撃者は、デバッグ機能を使うことができないため、デバッグ機能を悪用した攻撃を防ぐことができる。
対象のデバッグ機能は通常は暗号化されている。よって、本実施の形態に係る車両アクセス制御システム10によれば、第三者のリバースエンジニアリングによる解析を極めて困難にすることができる。
また、本実施の形態に係る車両アクセス制御システム10では、車両通信装置のアクセス権暗号化機能を利用することで、許可された人物のみがログの内容を閲覧できるようにログを暗号化する。車両から車外へ出力するデータに対してアクセス権を付けることができる。
また、本実施の形態に係る車両アクセス制御システム10では、車両通信装置のアクセス権暗号化機能を利用することで、許可された人物のみがログの内容を閲覧できるようにログを暗号化する。車両から車外へ出力するデータに対してアクセス権を付けることができる。
なお、ユーザに応じて機能利用を許可する、あるいは、許可しない、という権限を分けるようにしたい車載機能として、デバッグ機能は一例であって、デバッグ機能だけに限らず適用が可能である。アクセスを制限する対象となる車載機能は、車両通信装置が有する機能であれば何でもよい。それゆえ、車両を複数のユーザがシェアするような利用形態あるいはサービスにおいて、ユーザに応じた車載機能を提供することができる。ユーザがシェアするような利用形態には、具体例として、カーレンタル、あるいはカーシェアリングといったサービスがある。
「関数型暗号」では、暗号文とその暗号文を復号する鍵とに属性情報あるいはアクセス権限を制御する条件文を組み込むことができる。このため、ユーザの属性の判別あるいは認証を実施する際に必要であったデータベースが不要である。よって、本実施の形態に係る車両アクセス制御システム10では、データベースの更新に伴うメンテナンスコストを削減することができる。
ユーザを識別する方式として、ICカードの他にも車載システムに接続可能なスマートフォン、PCタブレット、あるいはUSB型トークンといった技術を用いることができる。よって、本実施の形態に係る車両アクセス制御システム10では、車載システムへの要件に応じて複数の選択肢からユーザを識別する方式を選択することができる。
本実施の形態は、車以外に、空調、複写機あるいは複合機、入退場管理、工場、発電プラント、鉄道、および衛星といったシステムに適用できる。これらのシステムにおいても、デバッグ機能および保守機能が車載システムと同様に搭載されており、その使用が許されるのは特定の人物に限られるべきであることは車載システムと同様である。また、デバッグ機能に限らずに適用が可能であることも同様である。
実施の形態2.
本実施の形態では、主に、実施の形態1と異なる点について説明する。なお、実施の形態1と同様の構成には同一の符号を付し、その説明を省略する場合がある。
本実施の形態では、主に、実施の形態1と異なる点について説明する。なお、実施の形態1と同様の構成には同一の符号を付し、その説明を省略する場合がある。
近年、OTA(Over The Air)によりソフトウェアを更新して、不具合を修正したり機能追加したりする技術が実施されている。この技術は、自動車においても標準的になりつつある。よって、自動車には、OTAによりソフトウェアを更新するソフトウェア更新機能が搭載されている場合が多い。
実施の形態1では、予め車両通信装置100のメモリ内に存在する車載機能プログラムをアクセス制御の対象にしている。車載機能プログラムは上述したように車載機能情報の例である。この車載機能プログラムも、上記OTAにより必要に応じて適宜ソフトウェア更新が実施される。この場合、暗号化されておくべき車載機能プログラムは、ユーザが使用する以前に暗号化された状態で車両通信装置100のメモリ内に存在している。したがって、車載機能プログラムは基本的に固定であって、車載機能プログラムの更新のときに、管理装置300からネットワーク経由で更新プログラムがダウンロードされる。管理装置300は、鍵生成、あるいは、ユーザIDおよび鍵の配布といった鍵およびユーザの管理を実施する。鍵およびユーザの管理以外には、ユーザのアクセス要求に対するアクセス制御処理の実施に管理装置300が直接関与することはない。
実施の形態1では、予め車両通信装置100のメモリ内に存在する車載機能プログラムをアクセス制御の対象にしている。車載機能プログラムは上述したように車載機能情報の例である。この車載機能プログラムも、上記OTAにより必要に応じて適宜ソフトウェア更新が実施される。この場合、暗号化されておくべき車載機能プログラムは、ユーザが使用する以前に暗号化された状態で車両通信装置100のメモリ内に存在している。したがって、車載機能プログラムは基本的に固定であって、車載機能プログラムの更新のときに、管理装置300からネットワーク経由で更新プログラムがダウンロードされる。管理装置300は、鍵生成、あるいは、ユーザIDおよび鍵の配布といった鍵およびユーザの管理を実施する。鍵およびユーザの管理以外には、ユーザのアクセス要求に対するアクセス制御処理の実施に管理装置300が直接関与することはない。
本実施の形態では、実施の形態1で実現する動作に加えて、管理装置300がユーザの要求に応じてサービスを提供する。すなわち、本実施の形態では、実施の形態1で実現する動作に加えて、管理装置300がオンデマンドでサービスを提供する。そのため、暗号化された車載機能プログラムは、車両通信装置100に予め記憶されているだけでなく、ユーザが使用しようするときになってはじめて、ネットワークを介して車両200にダウンロードされる場合もある。
図22は、本実施の形態に係る管理装置300aの構成を示す図である。
図22の管理装置300aでは、図4の管理装置300の構成に加え、暗号化部315で暗号化された車載機能情報を、暗号化データ106として記憶する補助記憶装置340を備える。
本実施の形態では、車両通信装置100の制御部104は、アクセス要求を受け付けると、管理装置300から暗号化データ106をダウンロードする。
図22の管理装置300aでは、図4の管理装置300の構成に加え、暗号化部315で暗号化された車載機能情報を、暗号化データ106として記憶する補助記憶装置340を備える。
本実施の形態では、車両通信装置100の制御部104は、アクセス要求を受け付けると、管理装置300から暗号化データ106をダウンロードする。
実施の形態1と異なる点は、以下の点である。
アクセス権付き暗号化された車載機能プログラムは、管理装置300、ベンダサーバ800、あるいはサービスを提供するベンダサーバ装置に記憶されている。必要に応じて管理装置300で暗号化された車載機能プログラムが管理装置300から車両200にダウンロードされ、車両通信装置100に記憶される。もしくは、アクセス権付き暗号化がされていない平文の車載機能プログラムがベンダサーバ800にあり、管理装置300で平文の車載機能プログラムに対してアクセス権付き暗号化処理が実施される。その後、アクセス権付き暗号化データが管理装置300から車両200にダウンロードされ、車両通信装置100に記憶される。アクセス権付き暗号化データが車両通信装置100に記憶された後、それ以降の処理は、実施の形態1と同様である。
アクセス権付き暗号化された車載機能プログラムは、管理装置300、ベンダサーバ800、あるいはサービスを提供するベンダサーバ装置に記憶されている。必要に応じて管理装置300で暗号化された車載機能プログラムが管理装置300から車両200にダウンロードされ、車両通信装置100に記憶される。もしくは、アクセス権付き暗号化がされていない平文の車載機能プログラムがベンダサーバ800にあり、管理装置300で平文の車載機能プログラムに対してアクセス権付き暗号化処理が実施される。その後、アクセス権付き暗号化データが管理装置300から車両200にダウンロードされ、車両通信装置100に記憶される。アクセス権付き暗号化データが車両通信装置100に記憶された後、それ以降の処理は、実施の形態1と同様である。
本実施の形態に係る車両アクセス制御システム10の構成は、実施の形態1と同様である。ただし、本実施の形態では、オンデマンドで管理装置300から車両200へ暗号化データをダウンロードする。このため、車両アクセス制御システム10の構成には、車両200と管理装置300といったサーバとが連携したクラウド型連携サービスに基づく各種サービスを提供するクラウドサーバが加わる。このクラウドサーバは、ベンダサーバ800と同様である。
***本実施の形態の効果の説明***
本実施の形態に係る車両アクセス制御システム10によれば、管理装置300といったサーバと連携したサービスを提供することができ、更に付加価値をつけることができる。具体例としては、複数の車を複数のユーザで使用するカーシェアリングの場合において、車を変えても使用者に応じた機能およびサービスを提供することができる。それにより、ユーザは異なる車(ハードウェア)を選んでも、提供されるデータ、機能、およびサービス(ソフトウェア)をユーザに応じて変えることができる。つまり、ユーザが異なるハードウェアを選んでも、提供されるソフトウェアをユーザに応じて変えることができる。それにより、ユーザはいつも一定のサービスを使用できるので、常に自家用車のような感覚で使うことができるという顕著かつ新たな効果が得られる。
本実施の形態に係る車両アクセス制御システム10によれば、管理装置300といったサーバと連携したサービスを提供することができ、更に付加価値をつけることができる。具体例としては、複数の車を複数のユーザで使用するカーシェアリングの場合において、車を変えても使用者に応じた機能およびサービスを提供することができる。それにより、ユーザは異なる車(ハードウェア)を選んでも、提供されるデータ、機能、およびサービス(ソフトウェア)をユーザに応じて変えることができる。つまり、ユーザが異なるハードウェアを選んでも、提供されるソフトウェアをユーザに応じて変えることができる。それにより、ユーザはいつも一定のサービスを使用できるので、常に自家用車のような感覚で使うことができるという顕著かつ新たな効果が得られる。
ユーザ毎に異なるデータの例として、音楽データ、ナビ情報、およびアドレス帳といった個人のデータがある。本実施の形態に係る車両アクセス制御システム10によれば、それらをクラウドからダウンロードしてくることで利用可能になる。そういった個人のデータには、完全に個々のデータ、あるいは、共有可能なデータがある。これらのデータに対するアクセス制御についても、アクセス権付き暗号化を用いることで、暗号化データ量を削減し暗号化処理に要する時間を短縮できる。これは、暗号化データをユーザ数だけ生成するのではなく共用できる場合があるからである。また、漏洩防止とプライバシ保護の効果が得られる。
また、カーシェアリングあるいはカーレンタルのサービスでは、料金に応じて提供するデータ、機能、あるいはサービスを変えることができる。よって、オプション料金を払えば運転補助機能、あるいは快適系機能の利用が可能になるような操作を実現することができる。運転補助機能の具体例には、自動パーキング、あるいは自動運転といった機能がある。快適系機能の具体例には、マッサージ機能椅子といった機能がある。ここでも、アクセス権付き暗号化データは1つ生成すればよく、ユーザの持つ鍵に応じて、復号処理が制御される。よって、属性情報の定義において、料金に応じて、プレミアム、レギュラー、およびエコノミーといったランク付けを属性情報に付与することで様々な組み合わせの復号条件に適用できる。このように、車載機能に対する車両アクセス制御を実現することが可能になる。
以上のように、サービス内容に応じた車両をそれぞれ別に用意する必要がないため管理およびメンテナンスを含めシステム全体のコストを削減することができる。また車両通信装置100は共通化が図れるため車両製造のコストを下げることができる。
以上のように、サービス内容に応じた車両をそれぞれ別に用意する必要がないため管理およびメンテナンスを含めシステム全体のコストを削減することができる。また車両通信装置100は共通化が図れるため車両製造のコストを下げることができる。
以上の実施の形態1および2では、車両アクセス制御システムの各装置の各部を独立した機能ブロックとして説明した。しかし、車両アクセス制御システムの各装置の構成は、上述した実施の形態のような構成でなくてもよい。車両アクセス制御システムの各装置の機能ブロックは、上述した実施の形態で説明した機能を実現することができれば、どのような構成でもよい。
また、実施の形態1および2のうち、複数の部分を組み合わせて実施しても構わない。あるいは、これらの実施の形態のうち、1つの部分を実施しても構わない。その他、これら実施の形態を、全体としてあるいは部分的に、どのように組み合わせて実施しても構わない。
すなわち、実施の形態1および2では、各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
また、実施の形態1および2のうち、複数の部分を組み合わせて実施しても構わない。あるいは、これらの実施の形態のうち、1つの部分を実施しても構わない。その他、これら実施の形態を、全体としてあるいは部分的に、どのように組み合わせて実施しても構わない。
すなわち、実施の形態1および2では、各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
なお、上述した実施の形態は、本質的に好ましい例示であって、本発明の範囲、本発明の適用物の範囲、および本発明の用途の範囲を制限することを意図するものではない。上述した実施の形態は、必要に応じて種々の変更が可能である。
10 車両アクセス制御システム、100 車両通信装置、101 暗号化部、102 復号部、103 切替部、104 制御部、105 車載機能情報、106 暗号化データ、107 マスタ公開鍵、108 復号条件データ、109 ログデータ、140,310,610 プロセッサ、150,330,620 メモリ、160 補助記憶装置、170,350,630 通信部、180 表示部、190 入力装置、200 車両、201 車載ネットワーク、202 ECU、300 管理装置、301 暗号鍵生成部、302 暗号処理部、303 管理部、312 マスタ鍵生成部、313 ユーザ秘密鍵生成部、315 暗号化部、316 復号部、331 マスタ鍵データベース、332 ユーザ管理データベース、333 復号条件データベース、370 鍵書込み部、390 マスタ鍵セット、391 マスタ公開鍵、392 マスタ秘密鍵、393 マスタ鍵ID、394 復号条件データ、395 ユーザ管理データ、400 ネットワーク、500 ユーザ、600 ICカード、601 復号部、603 ユーザID、604 アクセス権情報、605 ユーザ秘密鍵、700 デバイス、730 携帯端末、750 USB型トークン、800 ベンダサーバ。
Claims (12)
- 車両に搭載された車載機能を提供する車両通信装置において、
前記車載機能の実行に用いられる車載機能情報を暗号化した暗号化データであって、復号条件が埋め込まれた暗号化データを記憶する補助記憶装置と、
前記車載機能を使用するユーザから、前記車載機能の使用を要求するアクセス要求であって、前記ユーザの属性を表すアクセス権情報が埋め込まれたユーザ秘密鍵を含むアクセス要求を受け付ける制御部と、
前記アクセス要求に含まれる前記ユーザ秘密鍵を用いて、前記アクセス権情報が前記復号条件に合致する場合に前記暗号化データから復号結果として前記車載機能情報を得る復号部と、
前記復号部により得られた前記車載機能情報を記憶するメモリと
を備えた車両通信装置。 - 前記制御部は、
前記ユーザによる前記車載機能の使用が終了したと判定すると、前記車載機能情報を前記メモリから消去し、前記ユーザによる前記車載機能の使用を不可とする請求項1に記載の車両通信装置。 - 前記制御部は、
前記ユーザにより前記車載機能が使用中であると判定すると、前記車載機能の利用可能期間であるか否かを判定し、前記車載機能の利用可能期間外であると判定すると、前記車載機能情報を前記メモリから消去し、前記ユーザによる前記車載機能の使用を不可とする請求項2に記載の車両通信装置。 - 前記制御部は、
前記ユーザにより前記ユーザ秘密鍵が記憶されたデバイスに接続されることにより、前記アクセス要求を受け付ける請求項1から3のいずれか1項に記載の車両通信装置。 - 前記車両通信装置は、
前記復号部により得られた前記車載機能情報を用いて、前記車載機能を実行可能にする切替部を備えた請求項1から4のいずれか1項に記載の車両通信装置。 - 車両の機能である車載機能の実行に用いられる車載機能情報を暗号化データとして暗号化する暗号化部であって、前記暗号化データに復号条件を埋め込んで暗号化する暗号化部と、
前記暗号化データを記憶する補助記憶装置と、
前記車載機能を使用するユーザから、前記車載機能の使用を要求するアクセス要求であって、前記ユーザの属性を表すアクセス権情報が埋め込まれたユーザ秘密鍵を含むアクセス要求を受け付ける制御部と、
前記アクセス要求に含まれる前記ユーザ秘密鍵を用いて、前記アクセス権情報が前記復号条件に合致する場合に前記暗号化データから復号結果として前記車載機能情報を得る復号部と、
前記復号部により得られた前記車載機能情報を用いて、前記車載機能を実行可能にする切替部と
を備えた車両アクセス制御システム。 - 前記車両アクセス制御システムは、
前記車両に搭載された車両通信装置と、前記車両通信装置とネットワークを介して通信する管理装置とを有し、
前記暗号化部は、前記管理装置に備えられ、
前記補助記憶装置と前記制御部と前記復号部と前記切替部は、前記車両通信装置に備えられた請求項6に記載の車両アクセス制御システム。 - 前記車両アクセス制御システムは、
前記車両に搭載された車両通信装置と、前記車両通信装置とネットワークを介して通信する管理装置とを有し、
前記暗号化部と前記補助記憶装置は、前記管理装置に備えられ、
前記制御部と前記復号部と前記切替部は、前記車両通信装置に備えられた請求項6に記載の車両アクセス制御システム。 - 前記制御部は、
前記アクセス要求を受け付けると、前記管理装置から前記暗号化データをダウンロードする請求項8に記載の車両アクセス制御システム。 - 車両に搭載された車載機能を提供する車両通信装置であって、前記車載機能を使用するユーザから前記車載機能の使用を要求するアクセス要求を受け付ける車両通信装置と通信する管理装置において、
暗号化されたデータを復号する復号条件を含む復号条件データベースと、
前記車載機能の実行に用いられる車載機能情報を暗号化データとして暗号化する暗号化部であって、前記暗号化データに前記復号条件を埋め込んで暗号化する暗号化部と、
前記車両通信装置に前記暗号化データを送信する通信部と
を備え、
前記車両通信装置は、
前記ユーザの属性を表すアクセス権情報が埋め込まれたユーザ秘密鍵を含むアクセス要求を受け付け、前記アクセス要求に含まれる前記ユーザ秘密鍵を用いて、前記アクセス権情報が前記復号条件に合致する場合に前記暗号化データから復号結果として前記車載機能情報を得る管理装置。 - 暗号化部が、車両の機能である車載機能の実行に用いられる車載機能情報を、復号条件を埋め込んで暗号化データとして暗号化し、
制御部が、前記車載機能を使用するユーザから、前記車載機能の使用を要求するアクセス要求であって、前記ユーザの属性を表すアクセス権情報が埋め込まれたユーザ秘密鍵を含むアクセス要求を受け付け、
復号部が、前記アクセス要求に含まれる前記ユーザ秘密鍵を用いて、前記アクセス権情報が前記復号条件に合致する場合に前記暗号化データから復号結果として前記車載機能情報を得て、
切替部が、前記復号部により得られた前記車載機能情報を用いて、前記車載機能を実行可能にする車両アクセス制御方法。 - 車両の機能である車載機能の実行に用いられる車載機能情報を暗号化データとして暗号化する暗号化処理であって、前記暗号化データに復号条件を埋め込んで暗号化する暗号化処理と、
前記車載機能を使用するユーザから、前記車載機能の使用を要求するアクセス要求であって、前記ユーザの属性を表すアクセス権情報が埋め込まれたユーザ秘密鍵を含むアクセス要求を受け付ける制御処理と、
前記アクセス要求に含まれる前記ユーザ秘密鍵を用いて、前記アクセス権情報が前記復号条件に合致する場合に前記暗号化データから復号結果として前記車載機能情報を得る復号処理と、
前記復号処理により得られた前記車載機能情報を用いて、前記車載機能を実行可能にする切替処理と
をコンピュータに実行させる車両アクセス制御プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2018/019671 WO2019224912A1 (ja) | 2018-05-22 | 2018-05-22 | 車両通信装置、車両アクセス制御システム、管理装置、車両アクセス制御方法、および車両アクセス制御プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPWO2019224912A1 true JPWO2019224912A1 (ja) | 2020-05-28 |
Family
ID=68616840
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019513083A Pending JPWO2019224912A1 (ja) | 2018-05-22 | 2018-05-22 | 車両通信装置、車両アクセス制御システム、管理装置、車両アクセス制御方法、および車両アクセス制御プログラム |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JPWO2019224912A1 (ja) |
| WO (1) | WO2019224912A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6861789B1 (ja) * | 2019-12-20 | 2021-04-21 | 三菱電機株式会社 | 車載記録装置および情報記録方法 |
| CN112115494B (zh) * | 2020-09-22 | 2023-04-25 | 安徽大学 | 一种适用于自动驾驶车辆内部的数据访问控制方法 |
| WO2023131965A1 (en) * | 2022-01-07 | 2023-07-13 | Tvs Motor Company Limited | A system and a method to access and process a user cum vehicle information |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000194565A (ja) * | 1998-12-28 | 2000-07-14 | Internatl Business Mach Corp <Ibm> | Javaコンポ―ネントを作成する方法及びシステム |
| JP2005011101A (ja) * | 2003-06-19 | 2005-01-13 | Denso Corp | 車両用通信システム、及び、車載装置 |
| JP2009263869A (ja) * | 2008-04-22 | 2009-11-12 | N-Crypt Inc | 電子鍵システム |
| JP2010154203A (ja) * | 2008-12-25 | 2010-07-08 | Toyota Motor Corp | 情報通信システム |
| JP2011164861A (ja) * | 2010-02-08 | 2011-08-25 | Honda Motor Co Ltd | 情報処理システム |
| WO2012011575A1 (ja) * | 2010-07-23 | 2012-01-26 | 日本電信電話株式会社 | 暗号システム、暗号通信方法、暗号化装置、鍵生成装置、復号装置、コンテンツサーバ装置、プログラム、記憶媒体 |
| JP2012198052A (ja) * | 2011-03-18 | 2012-10-18 | Denso Corp | 車載機能制御装置 |
| JP2013192090A (ja) * | 2012-03-14 | 2013-09-26 | Denso Corp | 通信システム、中継装置、車外装置及び通信方法 |
| JP2015529599A (ja) * | 2012-09-28 | 2015-10-08 | インテル コーポレイション | 車両群に対する段階的アクセスレベル |
| WO2018070242A1 (ja) * | 2016-10-13 | 2018-04-19 | 日立オートモティブシステムズ株式会社 | 車載ゲートウェイ、鍵管理装置 |
-
2018
- 2018-05-22 WO PCT/JP2018/019671 patent/WO2019224912A1/ja active Application Filing
- 2018-05-22 JP JP2019513083A patent/JPWO2019224912A1/ja active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000194565A (ja) * | 1998-12-28 | 2000-07-14 | Internatl Business Mach Corp <Ibm> | Javaコンポ―ネントを作成する方法及びシステム |
| JP2005011101A (ja) * | 2003-06-19 | 2005-01-13 | Denso Corp | 車両用通信システム、及び、車載装置 |
| JP2009263869A (ja) * | 2008-04-22 | 2009-11-12 | N-Crypt Inc | 電子鍵システム |
| JP2010154203A (ja) * | 2008-12-25 | 2010-07-08 | Toyota Motor Corp | 情報通信システム |
| JP2011164861A (ja) * | 2010-02-08 | 2011-08-25 | Honda Motor Co Ltd | 情報処理システム |
| WO2012011575A1 (ja) * | 2010-07-23 | 2012-01-26 | 日本電信電話株式会社 | 暗号システム、暗号通信方法、暗号化装置、鍵生成装置、復号装置、コンテンツサーバ装置、プログラム、記憶媒体 |
| JP2012198052A (ja) * | 2011-03-18 | 2012-10-18 | Denso Corp | 車載機能制御装置 |
| JP2013192090A (ja) * | 2012-03-14 | 2013-09-26 | Denso Corp | 通信システム、中継装置、車外装置及び通信方法 |
| JP2015529599A (ja) * | 2012-09-28 | 2015-10-08 | インテル コーポレイション | 車両群に対する段階的アクセスレベル |
| WO2018070242A1 (ja) * | 2016-10-13 | 2018-04-19 | 日立オートモティブシステムズ株式会社 | 車載ゲートウェイ、鍵管理装置 |
Non-Patent Citations (3)
| Title |
|---|
| AMBROSIN, M. ET AL.: "Updaticator: Updating Billions of Devices by an Efficient, Scalable and Secure Software Update Distr", [ONLINE], JPN6019023363, 15 September 2014 (2014-09-15), ISSN: 0004127630 * |
| 光成滋生, クラウドを支えるこれからの暗号技術, JPN6019023354, 1 July 2015 (2015-07-01), pages 113 - 132, ISSN: 0004127628 * |
| 高島克幸,岡本龍明: "アクセス権限を制御できる最新技術「関数型暗号」", 日経エレクトロニクス, vol. 第1087号, JPN6019023357, 23 July 2012 (2012-07-23), pages 87 - 95, ISSN: 0004127629 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019224912A1 (ja) | 2019-11-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108462568B (zh) | 一种基于区块链的安全文件存储和共享方法、云存储系统 | |
| JP6991431B2 (ja) | ホストシステムとデータ処理アクセラレータの間の通信を保護するための方法およびシステム | |
| CN101523398B (zh) | 用于管理对插件数据文件访问的系统和方法 | |
| US8126150B2 (en) | Storage medium processing method, storage medium processing device, and program | |
| US8983872B2 (en) | Apparatus and method for digital rights management | |
| KR101712784B1 (ko) | 글로벌 플랫폼 규격을 사용하는 발행자 보안 도메인에 대한 키 관리 시스템 및 방법 | |
| US8214630B2 (en) | Method and apparatus for controlling enablement of JTAG interface | |
| US9548859B2 (en) | Ticket-based implementation of content leasing | |
| US7051211B1 (en) | Secure software distribution and installation | |
| KR100746030B1 (ko) | 권리 위임에 의해 권리 객체를 대리하여 생성하는 방법 및장치 | |
| JP6190188B2 (ja) | 情報配信システムおよびそれに用いるサーバ、車載端末、通信端末 | |
| JP2019523494A (ja) | ブロックチェーンにより実現される方法及びシステム | |
| TWI420339B (zh) | 軟體授權系統及方法 | |
| JP2009517785A (ja) | 信頼できる時刻を利用したデジタル著作権管理 | |
| US20060155651A1 (en) | Device and method for digital rights management | |
| JP5204553B2 (ja) | グループ従属端末、グループ管理端末、サーバ、鍵更新システム及びその鍵更新方法 | |
| JP2007511810A (ja) | 乱数関数を利用した実行証明 | |
| JP2006523995A (ja) | 認可証明書におけるユーザ・アイデンティティのプライバシ | |
| JP5025640B2 (ja) | Drm基盤のコンテンツ提供及び処理方法並びにその装置 | |
| JPWO2019224912A1 (ja) | 車両通信装置、車両アクセス制御システム、管理装置、車両アクセス制御方法、および車両アクセス制御プログラム | |
| JP2005293357A (ja) | ログインシステム及び方法 | |
| WO2006031030A1 (en) | Method and apparatus for searching for rights objects stored in portable storage device using object identifier | |
| WO2020075396A1 (ja) | 推論装置、推論方法及び推論プログラム | |
| EP1836851A1 (en) | Host device, portable storage device, and method for updating meta information regarding right objects stored in portable storage device | |
| WO2019163026A1 (ja) | 車載機能アクセス制御システム、車載装置および車載機能アクセス制御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190307 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190307 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20190307 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20190322 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190625 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190809 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20191008 |